close

Вход

Забыли?

вход по аккаунту

?

Vasin Osnovy konfigurirovaniya setevyh ustrojstv huawei uchebnoe posobie 2018

код для вставкиСкачать
Федеральное агентство связи
Федеральное государственное бюджетное образовательное учреждение
высшего образования
«Поволжский государственный университет телекоммуникаций и информатики»
_____________________________________________________________________________
Н.Н. Васин
ОСНОВЫ КОНФИГУРИРОВАНИЯ
СЕТЕВЫХ УСТРОЙСТВ HUAWEI
УЧЕБНОЕ ПОСОБИЕ
Самара
2018
1
УДК 004.3
621.395
Васин Н.Н.
В Основы конфигурирования сетевых устройств Huawei: Учебное пособие. – Самара:
ПГУТИ, 2018. – 279 с.
Приведено краткое описание функционирования и основные характеристики
коммутаторов и маршрутизаторов, рассматриваются принципы и основные технологии
конфигурирования сетевых устройств, приводятся примеры конфигурирования устройств
Huawei, их проверки и отладки.
Рекомендуется Учебно-методическим советом ФГБОУ ВО ПГУТИ к
использованию в качестве учебного пособия по дисциплинам: «Технологии пакетной
коммутации», входящей в учебный план направления подготовки бакалавров 11.03.02 –
Инфокоммуникационные технологии и системы связи; «Технологии пакетной
коммутации глобальных сетей», входящей в учебный план направления подготовки
магистров 11.04.02 – Инфокоммуникационные технологии и системы связи. Учебное
пособие также рекомендуется слушателям курсов повышения квалификации в Самарском
региональном техническом тренинг центре.
Рецензент: д.т.н., профессор Росляков А.В.
Федеральное государственное бюджетное образовательное учреждение
высшего образования
«Поволжский государственный университет телекоммуникаций и информатики»
 Васин Н.Н., 2018
2
ОГЛАВЛЕНИЕ
Введение
Часть 1. Основы построения сетей пакетной коммутации
стр
5
6
1. Общие вопросы технологий сетей пакетной коммутации
6
1.1. Основные термины и определения
1.2. Локальные и глобальные сети
1.3. Основные требования к сетям
6
10
13
2. Протоколы обмена сообщениями
17
2.1. Общие сведения о протоколах обмена сообщениями по сети
2.2. Организации по стандартизации протоколов
2.3. Семиуровневая модель взаимодействия открытых систем
2.4. Процесс передачи сообщений по сети
3. Физический уровень сетевой модели
17
19
21
27
31
3.1. Общие сведения о физическом уровне
3.2. Медные кабели
3.3. Волоконно-оптические кабели
3.4. Беспроводная среда
4. Канальный уровень сетевой модели OSI
31
32
35
39
43
4.1. Общие сведения о канальном уровне
4.2. Форматы кадров канального уровня
4.3. Адресация в локальных сетях
4.4. Протокол ARP
5. Сетевой уровень модели OSI
43
48
51
54
59
5.1. Общие сведения о сетевом уровне
5.2. Протокол IPv4
5.3. Протокол IPv6
5.4. Принципы маршрутизации
59
60
63
67
6. Транспортный уровень моделей OSI, TCP/IP
6.1. Общие сведения о транспортном уровне
6.2. Установление соединения
6.3. Передача данных
7. Прикладной уровень
72
72
79
81
85
7.1. Функции прикладного уровня
7.2. Модели построения сети
7.3. Протоколы прикладного уровня
85
86
87
8. Адресация в IP - сетях
93
8.1. Логические адреса версии IPv4
8.2. Виды рассылки данных
8.3. Частные и публичные адреса
93
98
100
3
8.4. Общие сведения об адресах версии IPv6
8.5. Типы адресов IPv6
8.6. Протокол ICMPv6
8.7. Методы сетевой миграции
9. Формирование подсетей
102
105
114
116
119
9.1. Формирование подсетей IPv4
9.2. Агрегирование адресов
9.3. Особенности формирования сетей IPv6
119
126
128
Часть 2. Основы маршрутизации и коммутации
131
10. Общие сведения о конфигурировании сетевых устройств Huawei
10.1. Программно-аппаратные средства сетей пакетной коммутации.
10.2. Основы конфигурирования устройств Huawei
10.3. Конфигурирование интерфейсов
10.4. Доступ к сетевым устройствам
11. Статическая маршрутизация
131
131
136
140
145
154
11.1. Основы статической маршрутизации
11.2. Конфигурирование статической маршрутизации
11.3. Статическая маршрутизация в сетях IPv6
12. Протокол OSPF
154
155
161
166
12.1. Протоколы динамической маршрутизации
12.2. Общие сведения о протоколе OSPF
12.3. Конфигурирование протокола OSPF
12.4. Конфигурирование дополнительных параметров маршрутизации
12.5. Конфигурирование OSPF для нескольких областей
13. Коммутируемые сети
166
170
185
189
195
201
13.1. Иерархическая модель построения локальных сетей
13.2. Формирование адресной таблицы коммутации
13.3. Протокол охватывающего дерева STP
13.4. Конфигурирование STP
14. Виртуальные локальные сети
201
213
219
227
235
14.1. Общие сведения о виртуальных локальных сетях
14.2. Конфигурирование виртуальных локальных сетей
14.3. Конфигурирование транковых соединений
14.4. Маршрутизация между виртуальными локальными сетями
15. Списки контроля доступа
235
243
250
254
261
15.1. Функционирование списков доступа
15.2. Конфигурирование базовых списков доступа
15.3. Продвинутые списки контроля доступа
Список литературы
Приложение
261
265
274
278
279
4
Введение
Вопросам создания компьютерных сетей посвящен достаточно
обстоятельный учебник [1], который выдержал ряд изданий. Однако большой
объем учебника затрудняет пользование им студентам. Кроме того, в
учебнике практически не рассматриваются вопросы и примеры
конфигурирования аппаратных средств сетей связи, что стало актуально в
последнее время.
При создании сетей передачи данных в настоящее время широко
используются
аппаратные
средства
фирмы
Huawei.
Вопросы
конфигурирования, отладки и проверки оборудования в таких сетях
рассматриваются в узкоспециализированных учебных руководствах [2-5].
Однако все указанные руководства характеризуются очень большим объемом
и сложностью изложения. Наиболее новая и полная информация по вопросу
конфигурирования и отладки содержится в учебном руководстве [6] на сайте
http://support.huawei.com,
где
необходимо
зарегистрироваться.
«Путеводитель» по сайту приведен в Приложении. Материалы сайта
представлены на английском, а также на китайском языке.
Поэтому возникла необходимость в компактном пособии для обучения
студентов и слушателей курсов повышения квалификации технологиям
пакетной коммутации. В учебных пособиях [7, 8] вопросы конфигурирования
аппаратных средств рассмотрены на примерах аппаратуры Cisco. Указанные
учебные пособия рекомендуется использовать при самостоятельном
изучении курса. В предлагаемом издании рассматриваются принципы
технологий сетей пакетной коммутации на примерах конфигурирования
маршрутизаторов и коммутаторов Huawei.
Теоретический материал закрепляется в ходе проведения лабораторных
работ [9] и практических занятий.
5
Часть 1. Основы построения сетей пакетной
коммутации
1. ОБЩИЕ ВОПРОСЫ ТЕХНОЛОГИЙ СЕТЕЙ ПАКЕТНОЙ
КОММУТАЦИИ
1.1. Основные термины и определения
Сети и системы передачи информации представляют собой комплекс
аппаратных
и
программных
средств,
обеспечивающих
обмен
информационными сообщениями между абонентами с заданными
параметрами качества. По системам и сетям передаются телефонные
сообщения фиксированной и подвижной (мобильной) связи, цифровые
данные компьютеров, видеоинформация.
Сообщение – форма представления информации, удобная для передачи
на расстояние. Отображение сообщения обеспечивается изменением какоголибо параметра информационного сигнала, который представляет собой
определенный физический процесс. В сетях и системах передачи сообщений
используются электромагнитные сигналы, передача и прием которых
производится по направляющей среде: по медным проводам, по оптическому
волокну или беспроводной среде распространения.
Множество источников и приемников сообщений, соединенных между
собой аппаратными средствами и средой передачи сигналов (линиями связи),
образуют сеть передачи информации (инфокоммуникационную сеть).
Абоненты, получающие услуги инфокоммуникационных сетей по обмену
сообщениями (компьютерными данными, аудио- и видеоинформацией),
являются пользователями сетевых услуг.
Аппаратура абонентов (рис. 1.1) представлена узлами (У) или, подругому, конечными узлами сетей, которым соответствует широко
распространенное англоязычное наименование Host (хост). Соединение
многочисленных узлов, находящихся на большом расстоянии между собой,
обычно производится через транзитные (промежуточные) сетевые элементы
(СЭ) или пункты связи.
6
У1
Маршрут
B
У2
A СЭ1
У4
Интерфейс
C
D
Маршрут
B
A
У3
СЭ2
D
СЭ3
E
B
A
У5
C
C
У6
Маршрут
Рис.1.1. Сеть передачи сообщений
Конечные узлы сетей (серверы, рабочие станции, персональные
компьютеры, ноутбуки, планшеты, смартфоны, телефонные аппараты и т.д.)
создают и принимают передаваемые сообщения, обычно в виде цифровых
данных. Конечные узлы всех видов условно представлены на рис. 1.1 в виде
компьютеров. Сетевые элементы направляют передаваемые сообщения по
определенному пути (маршруту) от источника до получателя и управляют
передаваемым потоком данных.
Таким образом, инфокоммуникационная сеть представляет собой
совокупность узлов (У) и сетевых элементов (СЭ), соединенных линиями
(каналами) связи. При этом сетевые элементы производят переключение
(коммутацию) поступившего сообщения с входного порта (интерфейса) на
выходной. Например, в сети рис. 1.1 при передаче сообщения от конечного
узла У1 узлу У6 сетевой элемент СЭ1 производит коммутацию сообщения с
входного интерфейса В на выходной интерфейс С, сетевой элемент СЭ3 – с
входного интерфейса В на выходной Е. При этом формируется определенный
канал (или маршрут), по которому передается сообщение. Процесс
формирования канала и передачи сообщения с входного интерфейса на
выходной получил название коммутация. В сетях с коммутацией каналов
7
сформированный канал передается абонентам (пользователям) на
определенное время или в постоянное пользование.
В некоторых сетях все возможные маршруты заранее созданы и
необходимо только выбрать оптимальный. Процесс выбора оптимального
маршрута получил название маршрутизация, а устройство ее реализующее
– маршрутизатор. Таким образом, промежуточные сетевые элементы могут
выполнять функции коммутаторов, которые формируют маршрут, и (или)
маршрутизаторов, которые производят выбор оптимального маршрута.
Совокупность передаваемых сообщений, или последовательность
информационных единиц, объединенных общими признаками, получила
название информационный поток.
В связи с большим разнообразием видов передаваемых сообщений и
сигналов, среды распространения, методов и устройств коммутации или
маршрутизации сигналов и информационных потоков существующие сети
классифицируются согласно требованиям Единой сети электросвязи
Российской Федерации (ЕСЭ РФ). Разнообразные классификационные
признаки, характеристики, параметры обусловили большое количество видов
(типов) сетей, примерами которых могут служить:
- сети транспортные и сети доступа;
- сети магистральные и местные;
- сети фиксированной связи или телефонные сети общего пользования
(ТфОП), и сети подвижной связи (сотовые, спутниковые);
- сети передачи данных (компьютерные, телеграфные);
- сети с коммутацией каналов и сети с коммутацией пакетов;
- сети локальные и глобальные.
В настоящем курсе рассматриваются, в той или иной степени, все сети
передачи информации с вышеприведенными классификационными
признаками. За основу принята классификация сетей с коммутацией
каналов и коммутацией пакетов. В сетях с коммутацией каналов
предварительно сформированный канал предоставляется в распоряжение
абонентов, обменивающихся сообщениями. Поэтому в таких сетях
сравнительно легко обеспечиваются требования безопасности и качества
передачи сообщений, однако эффективность использования канала
сравнительно низкая. Формирование каналов реализуют коммутаторы.
8
В сетях с коммутацией пакетов все возможные маршруты заранее
созданы (скоммутированы) и маршрутизатор выбирает оптимальный путь.
Эффективность использования каналов в сетях с коммутацией пакетов выше,
чем в сетях с коммутацией каналов. Поэтому сети с коммутацией пакетов
стали основой при создании всемирной сети Интернет.
Всемирная сеть Интернет образована совокупностью сетей операторов
и провайдеров (Internet Service Provider – ISP) фиксированной и мобильной
связи (рис. 1.2). Провайдеры ISP предоставляют доступ в Интернет (и
связанные с этим сетевые услуги) отдельным пользователям (абонентам),
пользователям, объединенным в локальные сети, а также сетям предприятий.
Функционирование Интернета базируется на технологиях сетей с
коммутацией пакетов, основу которых составляет набор (стек) протоколов
TCP/IP (Transmission Control Protocol/Internet Protocol – Протокол
управления передачей/Межсетевой протокол). Каждый протокол стека
TCP/IP представляет собой совокупность правил, позволяющих абонентам
совместно использовать сетевые ресурсы.
Оператор
фиксированной
связи
Провайдер
Оператор
мобильной
связи
Провайдер
Сеть доступа
Локальная сеть
Локальная сеть
Пользователи
Пользователи
Рис.1.2. Схематичное изображение сети Интернет
9
Как правило, сетевые ресурсы и услуги сосредоточены на выделенных
серверах, которые представляют собой компьютеры с соответствующим
серверным программным обеспечением, например, веб-серверы. На
компьютерах пользователей сетевых услуг устанавливается клиентское
программное обеспечение, например, веб-браузеры. Для получения
требуемых услуг клиенты обращаются к серверам.
1.2. Локальные и глобальные сети
Локальные сети (Local Area Network – LAN) функционируют в
пределах ограниченного географического пространства (в пределах комнаты,
этажа, здания или группы близко расположенных зданий). Совокупность
нескольких локальных сетей, объединенных линиями связи, называют
составной, распределенной или глобальной сетью (Wide Area Network –
WAN). Глобальные сети обеспечивают связь между далеко расположенными
локальными сетями, удаленными пользователями (рис. 1.3). Сети WAN
должны переносить различные типы трафика (голос, видео, данные) с
требуемым качеством обслуживания. Сети WAN строят на основе различных
технологий, в том числе с коммутацией каналов и с коммутацией пакетов.
Глобальная сеть С
Локальная сеть А
Локальная сеть В
RB
SwB
RA
SwA
RD
УB1
УА1
УАn
УBm
RC
Рис. 1.3. Локальные и глобальные сети
Любые сети (локальные, глобальные) включают три составляющих:
устройства, среда передачи, услуги (сервисы). Конечные узлы на рис. 1.3
представлены компьютерами (УА1, УАn, УВ1, УВm), промежуточные
10
сетевые устройства – коммутаторами (Switch – SwA, SwB) и
маршрутизаторами (Router – RA, RB, RC, RD).
В качестве среды в сетях передачи могут использоваться медные и
волоконно-оптические кабели, а также радиоканалы беспроводной среды.
При выборе среды передачи данных необходимо учитывать скорость и
расстояние, на которое требуется передавать сигналы, а также условия
эксплуатации (город, сельская местность, горы, болота и т.д.).
Определяющую роль часто играет стоимость оборудования, прокладки
кабелей, стоимость эксплуатации.
Конечные узлы сетей создают и принимают передаваемые по сети
сообщения (компьютеры, видеокамеры, сетевые принтеры, аппараты IPтелефонии и т.д.). Конечные узлы всех видов условно представлены на
рис.1.3 в виде компьютеров. Чтобы передача сообщений была адресной, всем
узлам должны быть присвоены адреса.
Промежуточные сетевые устройства (маршрутизаторы, коммутаторы)
сами не создают и не изменяют передаваемые сообщения, но выбирают
наилучший путь от источника до адресата назначения и управляют
передаваемыми потоками, обеспечивая требуемый уровень качества и
безопасности передаваемой информации, фильтруя потоки данных. При
выходе из строя основного пути промежуточные устройства перенаправляют
сообщения по альтернативным маршрутам.
Локальные сети LAN, функционируя на ограниченном географическом
пространстве при ограниченном количестве пользователей, обеспечивают
более высокую скорость передачи сообщений по сравнению с глобальными
сетями WAN. Управление локальными сетями обычно производится одной
организацией (администратором), что повышает качество и безопасность
передаваемой информации.
Администрирование глобальных сетей, разнесенных на большие
расстояния, реализуют разные провайдеры ISP. Причем, для разных
информационных потоков, передаваемых по глобальным сетям,
предъявляются разные требования по скорости, информационной
безопасности и надежности.
11
На рис. 1.4 приведены основные технологии локальных и глобальных
сетей передачи данных. В локальных сетях используются Ethernetсовместимые технологии, различающиеся скоростью передачи данных.
В сетях с коммутацией пакетов (рис. 1.4) основной является технология
Интернет протокола (Internet Protocol – IP), которая использует
дейтаграммный метод передачи сообщений. Совместимыми с IP-сетями
являются сети технологии на основе протокола коммутации по меткам (Multi
Protocol Label Switching – MPLS). В настоящее время MPLS является
основной транспортной технологии для сетей с пакетной коммутацией.
Технологии сетей
передачи данных
Локальные
Fast
Ethernet
Gigabit
Ethernet
10 Gigabit
Ethernet
Глобальные
100 Gigabit
Ethernet
С коммутацией
пакетов
IP
MPLS
FR
ATM
С коммутацией
каналов
Выделенные
линии
PDH , SDH,
WDM, OTN
Рис. 1.4. Классификация технологий сетей передачи данных
Глобальные сети с коммутацией каналов (рис. 1.4) используют
технологии плезиохронной цифровой иерархии (Plesiochronous Digital
Hierarchy – PDH), синхронной цифровой иерархии (Synchronous Digital
Hierarchy – SDH), а также технологии оптических линий связи спектрального
уплотнения по длине волны (Wave-length Division Multiplexing – WDM). Их
объединяют технологии оптических транспортных сетей – ОТС (Optical
Transport Network – OTN). Скорость передачи данных по сетям технологии
PDH составляет от 2 Мбит/с до 139 Мбит/с; технологии SDH – от 155 Мбит/с
до 40 Гбит/с. Дальнейшее увеличение скорости передачи данных достигнуто
в системах со спектральным уплотнением по длине волны (технологии
CWDM, DWDM) на волоконно-оптических кабелях.
12
1.3. Основные требования к сетям
Передаваемые по сетям сообщения (дискретные данные, аудио- и
видеоинформация) различны по своей природе, поэтому различны и
требования к сетям передачи информации. Традиционно для передачи
телефонных сообщений используются сети с коммутацией каналов, где
предварительно устанавливается соединение между абонентами (создается
канал связи), затем по созданному каналу производится обмен сообщениями.
В цифровых телефонных сетях при передаче аудио-сигналов трафик
равномерный (потоковый), как показано на рис. 1.5а. При передаче
потокового трафика предъявляются требования минимизации задержки и
вариации задержек (джиттера), чтобы не влиять на качество передаваемой
информации. Потеря отдельных элементов потока не критична.
Поскольку канал связи полностью выделяется паре абонентов, то для
него можно задать параметры и характеристики, обеспечив требуемые
значения задержки и вариации задержек – джиттера. Когда все доступные
каналы заняты, новому запросу на соединение отказывают в обслуживании.
Выделенный в распоряжение пары абонентов скоммутированный канал
связи используется не эффективно. Коэффициент использования канала
обычно оценивают значением 0,25.
t
T
,
a)
t
T1
T2
T
,
T3
б)
Рис. 1.5. Равномерный (а) и неравномерный (б) потоки данных
В отличие от сетей с коммутацией каналов сети с коммутацией пакетов
могут более эффективно использовать свои ресурсы. Сети с коммутацией
сообщений или пакетов (компьютерные сети) изначально создавались для
13
передачи данных, поэтому значения задержки и джиттер не играли
существенной роли. При передаче компьютерных данных трафик (рис. 1.5б)
является
неравномерным
(пульсирующим
или
эластичным).
Передаваемые данные слабо чувствительны к задержкам и джиттеру, однако
очень чувствительны к потерям и искажениям пакетов. Поэтому наряду со
средней скоростью трафика и его пульсацией, необходимо обеспечить
надежность приема передаваемых пакетов.
Из рис. 1.5б видно, что на интервале времени Т2 канал не используется
парой абонентов (источником передаваемых данных и адресатом –
получателем). Поэтому на этом интервале времени можно передавать
информацию других абонентов, что повышает эффективность сети с
пакетной коммутацией.
В создаваемых в настоящее время сетях следующего поколения (Next
Generation Network - NGN) используют коммутацию пакетов для передачи
всех видов трафика: аудио-сигналов (IP-телефония), видеоинформации,
компьютерных данных. Подобные сети также называют мультисервисными
в отличие от ранее существовавших моносервисных сетей. Поскольку в сети
NGN передается трафик различного вида, то и требования к качеству
обслуживания (Quality of Service – QoS) разных видов передаваемого
трафика будут различны. Качество обслуживания и сетевые показатели
качества определены Рекомендацией МСЭ-Т Y.1541.
При передаче потокового трафика аудио- и видеоинформации главным
требованием является минимизация задержки и джиттера. Поэтому такие
сообщения должны передаваться в первую очередь. При передаче
эластичного трафика главным требованием является надежность передачи
сообщений. При потере отдельных пакетов передаваемого сообщения они
должны быть переданы повторно, на что тратится дополнительное время.
Ко всем сетям, и особенно к мультисервисным, предъявляется ряд
требований: надежность, масштабируемость, качество обслуживания,
безопасность.
Надежность обеспечивается резервированием устройств и соединений.
При выходе из строя какого-либо устройства или соединения в сети
производится переключение на резервный канал, чтобы пользователь
14
продолжал получать затребованную услугу. То есть, сети должны быть
отказоустойчивы и всегда доступны для авторизованных пользователей.
Масштабируемость предполагает возможность расширения сети без
снижения скорости передачи и ухудшения качества предоставляемых услуг
пользователям существующей сети.
Требования качества обслуживания (QoS) для разных видов
передаваемого трафика различны. Они, как правило, связаны со скоростью,
задержками и надежностью передачи данных. Когда требуемая скорость
передачи данных превышает пропускную способность канала, то в сети
возникает перегрузка (затор), при этом возникает очередь на обслуживание.
Поэтому в сетях формируется система приоритетов передачи разных видов
сообщений. Приоритет передачи аудио- и видеоинформации, выше
приоритета передачи данных (электронная почта, пересылка файлов).
В сети Интернет, в корпоративных, глобальных и локальных сетях, по
которым передаются пакеты цифровых данных, аудио- и видеоинформации,
важно обеспечить информационную безопасность. Поскольку сеть
Интернет является общедоступной, то ей могут воспользоваться
злоумышленники (хакеры) для проникновения во внутренние сети
предприятий, на серверы и на конечные узлы пользователей.
Стандарт ISO/IEC 27002 определяет информационную безопасность
как «сохранение конфиденциальности (уверенности в том, что информация
доступна только тем, кто уполномочен иметь такой доступ), целостности
(гарантии точности и полноты информации, а также методов её обработки) и
доступности (гарантии того, что уполномоченные пользователи имеют
доступ к информации и связанным с ней ресурсам)».
Система мер информационной безопасности включает антивирусное
программное обеспечение, управление доступом к сети и файлам (пароли,
средства аутентификации, позволяющие установить подлинность личности),
шифрование передаваемой по сети информации, системы обнаружения и
предотвращения вторжения, средства физической безопасности.
Следует отметить, что ни один из методов, устройств или средств не
способен обеспечить надежную защиту информации. Только комплекс мер
обеспечивает безопасность требуемого уровня. Ряд принципов или комплекс
мер по защите информации называется политикой безопасности.
15
Вопросы по разделу 1
1. Что собой представляют сети передачи информации?
2. Почему нельзя соединить всех абонентов непосредственно между собой?
3. Какие элементы входят в обобщенную структурную схему системы
передачи информации?
4. Какие функции выполняют конечные узлы и промежуточные сетевые
элементы?
5. Чем отличаются сети с коммутацией каналов от сетей с коммутацией
сообщений (пакетов)?
6. Какие функции выполняет коммутатор? Какие функции выполняет
маршрутизатор?
7. В чем различие коммутации пакетов и коммутации сообщений?
8. В чем заключается процесс мультиплексирования?
9. Кто предоставляет доступ в Интернет?
10.Какие технологии используются в локальных и глобальных сетях?
11.Почему технологию IP называют дейтаграммной?
12.К каким параметрам канала чувствителен равномерный (потоковый)
трафик?
13.К каким параметрам канала чувствителен неравномерный
(пульсирующий) трафик?
14.На базе какого стека (набора) протоколов создаются современные сети?
15.Как определяется информационная безопасность?
Упражнения
1. Изобразите структурную схему сети передачи. Объясните функции
конечных узлов и сетевых элементов.
2. Изобразите структурную схему сети Интернет. Объясните функции ISP.
3. Объясните, в чем различие сетей LAN и WAN.
4. Приведите классификацию технологий сетей передачи данных. Объясните
особенности технологий.
5. Изобразите равномерный и неравномерный трафики сообщений.
Проведите сравнительный анализ их основных параметров.
6. Дайте определение информационной безопасности.
16
2. ПРОТОКОЛЫ ОБМЕНА СООБЩЕНИЯМИ
2.1. Общие сведения о протоколах обмена сообщениями по сети
Для успешного обмена сообщениями между источником и получателем
информации необходимы правила, которые определяют конкретные
требования по передаче сообщений:
тип сообщения (компьютерные данные, аудио- или видео сообщение);
размер сообщения, его формат;
методы доставки сообщения и другие параметры.
Совокупность правил по реализации конкретного требования
составляет протокол, а набор протоколов для реализации обмена
сообщениями по сети называется стек протоколов (stack). Протоколы стека
ранжированы по уровням, и нижележащие уровни предоставляют услуги
вышележащим. Сложность сетевых структур и разнообразие устройств
телекоммуникаций, выпускаемых различными фирмами, привели к
необходимости стандартизации как устройств, так и процедур обмена
данными между пользователями. Если программно-аппаратные средства
сетей отвечают заданным стандартным правилам (протоколам) и у них
используются стандартные устройства сопряжения (интерфейсы), то они
способны взаимодействовать между собой, даже если созданы разными
производителями.
Протоколы, используемые для обмена сообщениями по сети, могут
быть открытыми и «проприетарными», т.е. частными, для использования
которых необходимо разрешение разработчика. Некоторые проприетарные
протоколы со временем становятся открытыми.
Наиболее известным открытым стеком протоколов является TCP/IP, в
котором выделено 4 уровня (рис. 2.1). На верхнем прикладном уровне
функционируют протоколы передачи сообщений (приложения). Например,
протокол передачи гипертекстовой информации (Hypertext Transfer Protocol –
HTTP) определяет правила взаимодействия веб-клиента и веб-сервера. Вебклиент посылает запросы на веб-сервер и получает ответы.
17
Протоколы передачи сообщений
(Приложения – HTTP, SMTP, FTP)
Протоколы управления передачей
(Транспортные – TCP, UDP)
Протоколы межсетевого обмена
(Internet Protocol – IPv4, IPv6)
Протоколы сетевого доступа
(Ethernet)
Рис. 2.1. Стек протоколов TCP/IP
Процессом передачи сообщений управляют протоколы транспортного
уровня (TCP, UDP). Они определяют, какое приложение верхнего уровня
требуется для обработки данного сообщения. Если сообщение большого
размера, то делят его на более мелкие части – сегменты. Кроме того,
протокол TCP обеспечивает надежность передачи – при потере или
искажении части сообщения производится его повторная передача.
Протоколы уровня межсетевого обмена (IPv4, IPv6) обеспечивают
доставку сообщения по наилучшему (оптимальному) маршруту адресату
назначения. Единицы информации, передаваемые на этом уровне, получили
название пакеты. Поддержку протокола IP осуществляет протокол
межсетевых управляющих сообщений (Internet Control Message Protocol –
ICMP), а также протоколы маршрутизации.
Протоколы сетевого доступа (например, Ethernet и совместимые с
ним) адаптируют передаваемые пакеты к физической среде передачи
сообщений. Существуют различные методы доступа к среде. Среда может
быть разной (медная, волоконно-оптическая, беспроводная), поэтому и
передаваемые электромагнитные сигналы будут разными. На этом уровне
функционируют драйверы интерфейсов.
18
2.2. Организации по стандартизации протоколов
В связи с множеством задач по передаче сообщений по сети создано
большое количество сетевых протоколов. Целый ряд организаций
разрабатывают и внедряют открытые стандарты. Среди организаций по
стандартизации сетевых протоколов наиболее известными являются:
ISOC – Общество Интернет (Internet Society), которое осуществляет
общее руководство по развитию и обеспечению доступности сети Интернета.
является организационной основой для ряда организаций (IAB, IETF, IRTF).
IAB – Совет по архитектуре (Internet Architecture Board) руководит
разработкой и редактированием стандартов и протоколов Интернет.
IETF – Инженерная группа по развитию Интернета (Internet
Engineering Task Force) решает текущие задачи по разработке и поддержке
технологий TCP/IP, в том числе создание документов RFC (Request for
Comments), которые являются рабочими предложениями стандартов и могут
обсуждаться. Создает стандарты пространства от межсетевого уровня до
уровня приложений.
IRTF – Инженерная группа перспективных долгосрочных
исследований (Internet Research Task Force).
IEEE – Институт инженеров по электротехнике и электронике (Institute
of Electrical and Electronics Engineers) разработал целый ряд важнейших
стандартов в области технологий проводных и беспроводных локальных
сетей. Например, IEEE 802.1, IEEE 802.3, IEEE 802.11, IEEE 802.16 и др.
Широко известный стандарт IEEE 802.3 определяет правила доступа к
проводной среде передачи для локальных сетей стандартов, совместимых с
Ethernet (FastEthernet, GigabitEthernet, 10 GigabitEthernet, 100 GigabitEthernet).
Стандарт IEEE 802.11 определяет правила взаимодействия устройств
беспроводных локальных сетей (Wi-Fi). Для разработки стандартов IEEE
предлагает интерактивные ресурсы.
ISO – Международная организация по стандартизации (International
Organization for Standardization) широко известна в связи с созданием
семиуровневой базовой эталонной модели открытых систем (Open Systems
Interconnection Basic Reference Model – OSI). ISO взаимодействует с
19
Международной электротехнической комиссией – МЭК (International
Electrotechnical Commission – IEC).
В таблице 2.1 приведен еще ряд организаций, занимающихся
разработкой стандартов сетевых протоколов.
Таблица 2.1
Организации по разработке сетевых протоколов
ICANN Интернет корпорация по присвоению имен и номеров. Создает
политику выделения доменных имен и IP-адресов, которые
используются системой доменных имен DNS. Задает
идентификаторы протоколов уровня приложений. Согласовывает
международные имена сайтов и IP-адресов.
Администрация адресного пространства Интернет является
IANA
отделом ICANN, который распределяет IP-адреса и выделяет
доменные имена. Является хранилищем для реестра имен и
номеров протоколов. Управляет корневой зоной системы DNS.
ITU-T Международный союз электросвязи, сектор стандартизации
электросвязи определяет стандарты передачи телевидения (IPTV),
сжатия видеоинформации. ITU также занимается глобальными
вопросами голода, изменений климата.
Ассоциация электронной промышленности создает стандарты по
EIA
телекоммуникационным стойкам, разъемам и кабелям.
Ассоциация телекоммуникационной промышленности создает
TIA
стандарты станций сотовой связи, устройств голосовой связи по
IP. Международные стандарты по кабельным разъемам, а также
стандарты по облачным технологиям. Вопросы экстренного
реагирования для обеспечения национальной безопасности.
В предлагаемом курсе приводятся
организации и разработанные ими стандарты.
20
ссылки
на
перечисленные
2.3. Семиуровневая модель взаимодействия открытых систем
Международная организация по стандартизации (International Standards
Organization - ISO) создала базовую эталонную модель взаимодействия
открытых систем (Open System Interconnection reference model - OSI),
которая определяет концепцию и методологию создания сетей передачи
данных. Модель описывает стандартные правила функционирования
устройств и программных средств при обмене данными между узлами в
открытой системе. Открытая система состоит из программно-аппаратных
средств, способных взаимодействовать между собой при использовании
стандартных правил и устройств сопряжения (интерфейсов).
Модель ISO/OSI включает семь уровней. На рис. 2.2 показана модель
взаимодействия двух устройств: узла источника (source) и узла назначения
(destination). Совокупность правил, по которым происходит обмен
данными между программно-аппаратными средствами, находящимися
на одном уровне, называется протоколом. Набор протоколов называется
стеком протоколов и задается определенным стандартом. Взаимодействие
между уровнями определяется стандартными интерфейсами.
Уровни узла источника
Уровни узла назначения
Примеры протоколов
7. Прикладной
7. Прикладной
HTTP, FTP, SMTP,DNS
6. Представления
6. Представления
ASCII, MPEG, JPEG
5. Сеансовый
5. Сеансовый
4. Транспортный
4. Транспортный
TCP, UDP
3. Сетевой
3. Сетевой
IPv4, IPv6
2. Канальный
2. Канальный
Ethernet, GigabitEthernet
1. Физический
1. Физический
ISO/IEC 11801
Рис. 2.2. Семиуровневая модель ISO/OSI
Взаимодействие соответствующих уровней сетевых устройств является
виртуальным, за исключением физического уровня, на котором происходит
21
обмен данными по физической среде, соединяющей компьютеры. На рис. 2.2
приведены также примеры протоколов, управляющих взаимодействием узлов
на различных уровнях модели OSI.
Виртуальный обмен между соответствующими уровнями узлов A и B
(рис. 2.3) происходит определенными единицами информации. На трех
верхних уровнях – это сообщения или данные. На транспортном уровне –
сегменты (Segment), на сетевом уровне – пакеты (Packet), на канальном
уровне – кадры (Frame) и на физическом – последовательность битов.
Узел А
7. Прикладной
6. Представления
5. Сеансовый
4. Транспортный
3. Сетевой
2. Канальный
1. Физический
Узел В
Данные
Данные
Данные
Сегменты
Пакеты
Кадры
Биты
7. Прикладной
6. Представления
5. Сеансовый
4. Транспортный
Маршрутизатор
(Router)
3. Сетевой
2. Канальный
1. Физический
Sw
Коммутатор
(Switch)
Hub
Концентратор
(Hub)
Рис. 2.3. Устройства и единицы информации соответствующих уровней
Базовая эталонная модель OSI (рис. 2.2, 2.3) регламентируется ГОСТом
Р ИСО/МЭК 7498–1–99, где канальный уровень 2 представлен, как уровень
звена данных. Однако в большей части литературы этот уровень именуется
канальным. В некоторых литературных источниках, например [7], верхний
уровень 7 называется уровнем приложений.
Для каждой сетевой технологии существуют свои протоколы и свои
технические средства, часть из которых имеет условные обозначения,
приведенные на рис. 2.3. Данные обозначения введены фирмой Cisco и стали
общепринятыми. Среди технических средств физического уровня следует
отметить кабели, разъемы, повторители сигналов (repeater), многопортовые
22
повторители или концентраторы (hub), преобразователи среды (transceiver),
например, преобразователи электрических сигналов в оптические и наоборот.
На канальном уровне это мосты (bridge) и коммутаторы (switch). На сетевом
уровне – маршрутизаторы (router). Сетевые карты или адаптеры (Network
Interface Card – NIC) функционируют как на канальном, так и на физическом
уровне, что обусловлено сетевой технологией и средой передачи данных.
При передаче данных от источника к узлу назначения, подготовленные
передаваемые данные последовательно проходят от самого верхнего 7-го
Прикладного уровня узла источника информации до самого нижнего –
Физического уровня 1, затем передаются по физической среде узлу
назначения, где последовательно проходят от нижнего уровня 1 до уровня 7.
Самый верхний уровень 7 Прикладной (Application Layer) оперирует
наиболее общей единицей данных – сообщением. На этом уровне
реализуется управление общим доступом к сети, потоком данных, сетевыми
службами (протоколами), такими как FTP, TFTP, HTTP, SMTP, SNMP и др.
Уровень 6 Представления (Presentation Layer) изменяет форму
представления данных. Например, передаваемые с уровня 7 данные
преобразуются в общепринятый формат ASCII. При приеме данных
происходит обратный процесс. На уровне 6 также происходит сжатие данных
(протоколы MPEG, JPEG).
Сеансовый (Session Layer) уровень 5 устанавливает сеанс связи двух
конечных узлов (компьютеров), определяет, какой узел является ведущим, а
какой ведомым, задает для передающей стороны время передачи. Этот
уровень определяет сеанс связи с сетью Интернет.
Транспортный уровень 4 (Transport Layer) делит большое сообщение
узла источника информации на части, при этом добавляет заголовок и
формирует сегменты определенного объема, а короткие сообщения может
объединять в один сегмент. В узле назначения происходит обратный
процесс. В заголовке сегмента задаются номера портов источника и
назначения, которые адресуют службы верхнего уровня (приложения) для
обработки данного сегмента. Кроме того, транспортный уровень
обеспечивает надежную доставку пакетов. При обнаружении потерь и
ошибок на этом уровне формируется запрос повторной передачи, при этом
используется протокол TCP. Когда необходимость проверки правильности
23
доставленного сообщения отсутствует, то используется более простой и
быстрый протокол дейтаграмм пользователя (User Datagram Protocol –
UDP). Протокол UDP используется пре передаче потоковых данных (аудиои видеоинформации).
Сетевой уровень (Network Layer) 3 адресует сообщение, задавая
единице передаваемых данных (пакету) логические сетевые адреса узла
назначения и узла источника (IP-адреса), определяет маршрут, по которому
будет отправлен пакет данных, транслирует логические сетевые адреса в
физические, а на приемной стороне – физические адреса в логические.
Сетевые логические IP-адреса принадлежат пользователям.
Канальный уровень 2 (Data Link) формирует из пакетов кадры
данных (frames). На этом уровне задаются физические адреса устройстваотправителя и устройства-получателя данных, например, МАС-адреса при
использовании технологии Ethernet. На этом же уровне к передаваемым
данным добавляется контрольная сумма, определяемая с помощью алгоритма
циклического кода. На приемной стороне по контрольной сумме определяют
наличие ошибок.
Физический уровень 1 (Physical) осуществляет передачу потока битов
по соответствующей физической среде (электрический или оптический
кабель, радиоканал) через соответствующий интерфейс. На этом уровне
производится кодирование данных, синхронизация передаваемых битов
информации.
Важным процессом при передаче данных является инкапсуляция
(encapsulation) данных, когда на каждом уровне происходит обрамление
данных заголовками со служебной информацией. Названия информационных
единиц на каждом уровне, их размер и другие параметры инкапсуляции
задаются согласно протоколу единиц данных (Protocol Data Unit – PDU).
Итак, на трех верхних уровнях – это сообщение (Data), на Транспортном
Уровне 4 – сегмент (Segment), на Сетевом Уровне 3 – пакет (Packet), на
Канальном Уровне 2 – кадр (Frame), на Физическом Уровне 1 –
последовательность битов.
Передаваемое сообщение, сформированное приложением, проходит
три верхних уровня и поступает на транспортный уровень, где делится на
части и каждая часть инкапсулируется (помещается) в сегмент данных
24
(рис.2.4). В заголовке сегмента содержится номер порта источника,
подготовившего сообщение, и номер порта назначения, который будет
обрабатывать данный сегмент. Например, серверы электронной почты с
номерами портов 25 и 110 позволяют посылать e-mail сообщения и
принимать их, № порта 80 адресует веб-сервер.
Прикладной
Представления
Данные
Сеансовый
Транспортный
Сетевой
Канальный
Физический
Заголовок
сегмента
Данные
Сегмент
Заголовок Заголовок
пакета
сегмента
Данные
Пакет
Заголовок Заголовок Заголовок
кадра
пакета
сегмента
Данные
Концевик
Кадр
Биты передаваемых данных
Рис. 2.4. Инкапсуляция данных
На сетевом уровне сегмент инкапсулируется в пакет данных, заголовок
(header) которого содержит, кроме прочего, сетевые (логические) адреса
отправителя информации (источника) – Source Address (SA) и получателя
(назначения) – Destination Address (DA), IP-адреса.
На канальном уровне пакет инкапсулируется в кадр (frame) данных,
заголовок которого содержит физические адреса узла передатчика и
приемника, а также другую информацию. Кроме того, на этом уровне
добавляется концевик (трейлер) кадра, содержащий информацию,
необходимую для проверки правильности принятой информации.
Помимо семиуровневой OSI модели на практике применяется
четырехуровневая модель TCP/IP (рис. 2.5).
25
Модель TCP/IP
Модель OSI
Прикладной
Представления
Прикладной
Сеансовый
Транспортный
Транспортный
Сетевой
Межсетевой
Канальный
Сетевого доступа
Физический
Рис. 2.5. Модели OSI и TCP/IP
Прикладной уровень модели TCP/IP по названию совпадает с названием
модели OSI, но по функциям гораздо шире, поскольку охватывает три
верхних уровня (Прикладной, Представления и Сеансовый). Транспортный
уровень обеих моделей и по названию, и по функциям одинаков. Сетевой
(Network) уровень модели OSI соответствует межсетевому (Internet) уровню
модели TCP/IP, а два нижних уровня (канальный и физический)
представлены объединенным уровнем сетевого доступа (Network Access).
Протоколы транспортного уровня (TCP, UDP) взаимодействуют с
определенными протоколами прикладного уровня. Так протокол TCP,
обеспечивающий надежность передачи данных, взаимодействует с
протоколами HTTP, FTP, SMTP и др. Он имеет возможность не только
обеспечивать повторную передачу потерянных пакетов, но и управлять
потоком передаваемых данных, предотвращая их потерю из-за чрезмерно
высокой скорости передачи источником информации.
26
Вместе с физическими, например, МАС-адресами, и логическими IPадресами задание номеров портов образует тройную систему адресации,
которая позволяет адресовать устройства, пользователей и программное
обеспечение приложений.
2.4. Процесс передачи сообщений по сети
Процесс передачи одного большого сообщения по сети может занять
много времени, до завершения которого другие пользователи не имели бы
возможности передавать свои данные. Поэтому большое сообщение делится
на сегменты, которые определенным образом нумеруются, и по сети
передается чередующаяся последовательность сегментов разных сообщений.
Процесс чередования сегментов разных сообщений получил название
мультиплексирование.
Для доставки сообщения от источника до назначения, передаваемые
информационные единицы (сегменты, пакеты, кадры – см. рис. 2.4) должны
адресоваться. На транспортном уровне задаются номера портов, на сетевом
уровне – логические адреса, на канальном уровне – физические адреса, что
образует тройную систему адресации сообщений.
Логические IP-адреса задаются протоколом IPv4 в виде 32-х разрядного
двоичного кода. В документации IP-адреса представлены в виде четырех
октетов (байтов) в десятичном коде, октеты отделены десятичной точкой,
например, 192.168.10.73. Протоколом IPv6 предусмотрены адреса длиной 128
двоичных разрядов, представленные в шестнадцатеричной системе,
например, 2001:0DB8:000A:0001:0002:B3FF:FE18:A1D7. Физические MACадреса содержат 48 двоичных разрядов, представленных в документации в
шестнадцатеричной системе в одной из следующих форм;
03:A7:BE:59:4D:8C; 03-A7-BE-59-4D-8C; 03A7.BE59.4D8C.
В заголовке пакета указывается как IP-адрес источника сообщения,
так и IP-адрес назначения (рис. 2.6). Эти адреса функционируют во всей сети
Интернет. IP-адреса являются иерархическими: старшая часть адреса
задает номер сети, а младшая часть – номер узла в этой сети. Если источник
сообщения и адресат назначения находятся в одной сети, то кадр сообщения
27
канального уровня передается по каналу с использованием физических,
например, МАС-адресов. В заголовке кадра указывается как МАС-адрес
источника сообщения, так и МАС-адрес назначения.
МАС-адрес МАС-адрес IP-адрес
IP-адрес
назначения источника источника назначения
Данные
Трейлер
Рис.2.6. Адресация назначения и источника в пакете и кадре данных
На передающей стороне сообщение последовательно проходит все
уровни модели OSI (рис. 2.2, 2.4) сверху вниз. В процессе инкапсуляции
последовательно формируются сегменты с номерами портов, пакеты с
логическими IP-адресами, кадры с физическими МАС-адресами. Номера
портов задаются исходя из используемого сервиса (сервер HTTP, SMTP, FTP
или др.). Логические IP-адреса определяют пользователя. Физический МАСадрес источника назначается автоматически самим устройством-источником
передаваемой информации.
Для определения МАС-адреса назначения по IP-адресу используется
протокол разрешения адресов (Address Resolution Protocol – ARP). Узел,
передающий
сообщение,
посылает
в
свою
локальную
сеть
широковещательный ARP-запрос, в котором указан IP-адрес назначения.
Узел, распознавший свой IP-адрес в запросе, посылает ответ со своим МАСадресом.
Если адресат назначения находится в другой сети, то в ответ на
широковещательный ARP-запрос приходит МАС-адрес шлюза по
умолчанию. Шлюз по умолчанию это интерфейс маршрутизатора, через
который пакеты из локальной сети передаются в составную сеть. Если шлюз
по умолчанию сконфигурирован неверно, то в этом случае возможен обмен
сообщениями только между узлами локальной сети, но не возможен обмен с
удаленными устройствами из других сетей.
Источник сообщения всегда единственный, поэтому имеет уникальный
логический и физический адрес. Однако сообщение может быть адресовано
единственному (уникальному) устройству, или группе устройств, или всем
устройствам в сети. При этом реализуется либо одноадресная рассылка
сообщения (unicast), либо многоадресная групповая (multicast), либо
28
широковещательная рассылка сообщения (broadcast). Для каждого вида
рассылки сообщения существуют свои особенности задания адресов.
Поскольку на трех нижних уровнях модели OSI функционируют
аппаратно-программные средства, то обработка сообщения проводится с
высокой скоростью. На верхних же уровнях функционируют программные
средства, что увеличивает время обработки.
В реальных сетях сообщение от одного конечного узла до другого
проходит через целый ряд промежуточных устройств (коммутаторов,
маршрутизаторов). Поэтому для снижения времени задержки (повышения
быстродействия) на промежуточных устройствах сообщение обрабатывается
средствами только трех, или даже двух, нижних уровней (рис. 2.7).
Конечный узел X
Конечный узел Y
Прикладной
Предствления
Сеансовый
Прикладной
Промежуточный
узел А
Промежуточный
узел В
Транспортный
Предствления
Сеансовый
Транспортный
Сетевой
Сетевой
Сетевой
Сетевой
Канальный
Канальный
Канальный
Канальный
Физический
Физический
Физический
Физический
Рис. 2.7. Передача сообщения по сети
Сформированное на узле источнике сообщение последовательно
проходит все семь уровней с 7 по 1, на что тратится много времени. Таким
образом, Транспортный уровень, обеспечивающий надежность передачи
данных, и верхние уровни (Приложений, Представления, Сеансовый)
функционирует только на конечных узлах, что снижает задержку передачи
сообщения по всей сети от одного конечного узла до другого. В приведенном
примере (рис. 2.7) протокол IP функционирует на всех сетевых элементах, а
полный стек протоколов TCP/IP – только на конечных узлах.
29
Вопросы по разделу 2
1. Какие модели используются в технологиях сетей пакетной коммутации?
2. Какие известны уровни модели TCP/IP?
3. Каковы основные функции Уровня 1 модели OSI?
4. Каковы основные функции Уровня 2 модели OSI?
5. Каковы основные функции Уровня 3 модели OSI?
6. Каковы основные функции Уровня 4 модели OSI?
7. Каковы основные функции Уровня 5 модели OSI?
8. Каковы основные функции Уровня 6 модели OSI?
9. Каковы основные функции Уровня 7 модели OSI?
10.Что собой представляет инкапсуляция данных?
11.На каком уровне модели OSI задаются IP адреса?
12.Какие устройства функционируют на Уровне 3 модели OSI?
13.Какие устройства функционируют на Уровне 2 модели OSI?
14.Какие устройства функционируют на Уровне 1 модели OSI?
15.Какие уровни моделей OSI и TCP/IP одинаковы по функциям и по
названию?
16.Что определяет PDU?
17.В чем заключается управление потоком протоколом TCP?
18.Каковы функции протокола TCP?
19.При передаче каких видов трафика используется протокол UDP?
20.Какие виды рассылки сообщений используются в сетях?
21.Какие три системы адресации используются в сетевых технологиях?
22.Каковы функции протокола ARP?
23.Если адресат назначения находится в другой сети, какой МАС-адрес
назначения будет установлен в заголовке кадра?
Упражнения
1. Изобразите эталонную модель взаимодействия открытых систем ISO/OSI.
2. Сравните функции уровней моделей OSI и TCP/IP.
3. Изобразите схему инкапсуляции единиц информации на транспортном,
сетевом и канальном уровнях.
4. Приведите примеры логических и физических адресов.
5. Объясните, почему в сетях используется три системы адресации.
30
3. ФИЗИЧЕСКИЙ УРОВЕНЬ СЕТЕВОЙ МОДЕЛИ
3.1. Общие сведения о физическом уровне
Программно-аппаратные средства нижних уровней модели сети (OSI
или TCP/IP) обеспечивают доступ к сетевой среде передачи информации.
Программные и аппаратные средства физического и канального уровней
зависят от сетевых технологий. Аппаратные средства физического уровня
представлены медными и оптоволоконными кабелями, беспроводной средой
передачи данных, разъемами, повторителями сигналов, многопортовыми
повторителями или концентраторами (hub), преобразователями среды
(transceiver), например, преобразователями электрических сигналов в
оптические и наоборот. Аппаратные средства канального уровня
представлены коммутаторами (switch). Отдельно следует отметить сетевые
карты или адаптеры (Network Interface Card – NIC), функционирование
которых охватывает как канальный, так и физический уровни. В модели
TCP/IP канальный и физический уровни представлены объединенным
уровнем сетевого доступа Network Access.
В качестве среды передачи данных используют коаксиальный кабель,
неэкранированную (UTP – unshielded twisted pair) или экранированную
витую пару (STP – shielded twisted pair), оптоволоконный кабель (fiber optic),
беспроводные радиоканалы. Для каждой среды и технологии передачи
данных определены свои протоколы и стандарты, разработкой которых
занимается целый ряд международных организаций (см. раздел 2.2).
Различная физическая среда позволяет передавать данные по сети с
разной скоростью. При этом измеряются и учитываются следующие
параметры:
пропускная
способность
(bandwidth),
отображающая
объем
переданных данных за единицу времени (Кбит/с, Мбит/с, Гбит/с);
производительность (throughput) ниже пропускной способности из-за
возникновения очередей и различных задержек при передаче данных;
полезная пропускная способность (goodput) – это объем переданных за
единицу времени данных без учета заголовков сегментов, пакетов, кадров, а
также другой служебной информации.
31
Как правило, наибольшую скорость и дальность передачи данных
обеспечивают оптоволоконные кабели, у которых меньше влияние
электромагнитных (EMI) и радиочастотных помех (RFI), а также
отсутствуют перекрестные помехи (crosstalk) из-за взаимного влияния
сигналов в соседних волокнах.
Беспроводная среда характеризуется сравнительно малой скоростью и
дальностью передачи. Однако мобильность пользователей и легкость
развертывания беспроводных сетей предопределили их бурное развитие.
Главной проблемой беспроводных сетей стала информационная
безопасность.
3.2. Медные кабели
Медные кабели имеют средние показатели при сравнении с
беспроводной средой и оптоволоконными кабелями. Медные кабели
получили широкое распространение в локальных сетях технологий Fast
Ethernet, Gigabit Ethernet, 10 Gigabit Ethernet.
Локальные сети, как правило, строятся на основе неэкранированной
витой пары (Unshielded Twisted Pair – UTP). Экранированная витая пара
(STP), по сравнению с неэкранированной, обеспечивает лучшую защиту
передаваемого сигнала от помех, однако UTP дешевле. Кабели UTP
называют симметричными в отличие от коаксиальных медных кабелей.
Симметричные кабели UTP обеспечивают передачу сигналов на
расстояние до 100 м.
В кабеле UTP четыре пары свитых медных проводов. Для подключения
кабеля к сетевым устройствам используется разъем (коннектор) 8Р8С (8
Position, 8 Contact) или, по-другому RJ-45, имеющий 8 контактов.
Основными характеристиками кабелей являются: максимальная
частота передаваемого по кабелю сигнала, затухание, величина перекрестных
помех. Для снижения влияния электромагнитных (EMI) и радиочастотных
помех (RFI), вызванных электромагнитными полями электромоторов, печей
СВЧ, ламп дневного света, пары медных проводов свивают, что также
снижает перекрестные помехи (crosstalk) в соседних витых парах.
32
Основные характеристики кабелей специфицированы международным
стандартом ISO/IEC 11801 (или стандартом TIA/EIA-568A, 568В), который
специфицирует кабели по категориям (табл. 3.1).
Таблица 3.1
Категории кабелей и разъемов
Категория Полоса Скорость
кабеля и
частот, передачи,
Типовые приложения
разъема
МГц
Мбит/c
Телефонный кабель для передачи
Категория 1
0,1
0,5
голоса или данных при помощи модема
Категория 2
1
4
Локальные сети Token Ring
10
Локальные сети Ethernet 10Base-T
Категория 3
16
100
Локальные сети Ethernet 100Base-T4
Категория 5
100
100
Сети Fast Ethernet 100Base-TХ
Категория 6
250
1000
Сети Fast Ethernet и Gigabit Ethernet
Категория 7
600
10000
Сети 10 Gigabit Ethernet
Кабели категорий 3 – 7, предназначены для работы в сетях Ethernet и
совместимых с ними, позволяют передавать данные на расстояние до 100 м.
Широко распространенный в настоящее время симметричный кабель
UTP категории 5 характеризуется: затуханием от 0,8 дБ на частоте 64 кГц до
22 дБ на частоте 100 МГц; волновое сопротивление 100 или 120 Ом; активное
сопротивление не более 9,4 Ом на 100 м; емкость не более 5,6 нФ на 100 м.
В настоящее время кабель UTP категории 5 в сетях Fast Ethernet
100Base-TХ заменяется кабелем категории 5е, по которому можно
передавать данные со скоростью выше 125 Мбит/с.
Кабели категории 7 – экранированные, они имеет общий экран и
экраны вокруг каждой пары. Седьмая категория, строго говоря, не UTP, а
S/FTP (Screened Fully Shielded Twisted Pair).
Витая пара категории 7a с полосой частот до 1200 МГц разработана для
передачи данных на скоростях до 40 Гбит/с на расстояние до 50 м, а при
скорости до 100 Гбит/с – на расстояние до 15 м. Это меньше обычного для
витой пары расстояния 100 м, но скорость передачи очень высокая.
На рис. 3.1, 3.2 приведена схема формирования витых пар
симметричного кабеля с использованием 8-ми контактного разъема 8Р8С
(RJ-45). Такие кабели являются основными в локальных сетях Ethernet.
33
1
2
3
4
5
6
7
8
Рис. 3.1. Схема формирования витых пар симметричного кабеля
8Р8С
RJ-45
1
2
3
4
5
6
7
8
1
2
3
4
5
6
7
8
8Р8С
RJ-45
Рис. 3.2. Симметричный кабель
Первая пара проводов (бело-оранжевого и оранжевого цвета, контакты
1, 2) используется для передачи, вторая пара (бело-зеленого и зеленого цвета,
контакты 3, 6) – для приема. Оставшиеся 2 пары (синего и бело-синего цвета,
контакты 4, 5; бело-коричневого и коричневого цвета, контакты 7, 8)
используются по-разному.
В современных сетевых устройствах имеются определители типа
портов (технология Auto-MDIX) соединяемых устройств, которые при
необходимости автоматически выполняют кроссирование соединения внутри
устройства.
Для конфигурирования коммутатора или маршрутизатора их
консольный порт (Console) соединяют с последовательным СОМ-портом
(RS-232) или с USB-портом компьютера (терминала). При этом используется
консольный кабель, называемый также Rollover Cable (рис. 3.3).
Консольный кабель – плоский, голубого или черного цвета. В консольных
кабелях с одной стороны установлен разъем RJ-45, а с другой стороны
разъем DB-9 или USB.
34
1
2
3
4
5
6
7
8
8Р8С
RJ-45
8
7
6
5
4
3
2
1
8Р8С
RJ-45
Рис. 3.3. Консольный кабель
3.3. Волоконно-оптические кабели
В качестве среды передачи сигналов в сетях наряду с медными
кабелями широко используются волоконно-оптические кабели (fiber optic).
Достоинством волоконно-оптического кабеля является отсутствие проблемы
перекрестных помех (crosstalk) и электромагнитных помех от внешних
источников. Это позволяет передавать сигналы с большей скоростью и на
большее расстояние по сравнению с медным кабелем.
Передача оптических сигналов производится в трех диапазонах (окнах
прозрачности) оптического волокна (ОВ) со средней длиной волны 830 нм,
1310 нм, 1550 нм, где затухание a существенно меньше, чем на соседних
участках инфракрасного диапазона. Причем, затухание снижается примерно
вдвое при переходе к более длинноволновому диапазону.
Диапазон углов падения луча света на торец оптического волокна, при
котором реализуется первое условие полного внутреннего отражения (1 >
кр), называется числовой апертурой волокна А (рис. 3.4). Лучи света
должны входить в сердцевину только под углом, находящимся внутри
числовой апертуры волокна.
А
Рис. 3.4. Ввод луча света в оптическое волокно
35
Поскольку составляющие луча света входят в оптическое волокно под
разными углами, то они отражаются от границы раздела сердцевины и
оболочки под разными углами, при этом взаимодействуют между собой
(интерферируют) и частично подавляют или усиливают друг друга.
Оставшиеся усиленные составляющие части луча света формируют так
называемые моды. Поскольку моды проходят разное расстояние до
устройства назначения (рис. 3.5а), то формируемый на выходе оптического
волокна импульс не только задерживается на время tз и подвергается
затуханию, но и получается размытым (рис. 3.5б).
pвх
t
pвых
t
tз
а)
б)
Рис. 3.5. Прохождение импульсного сигнала по оптическому волокну
Явление размыва (уширения) импульса на выходе оптического
волокна получило название дисперсия. Таким образом, наличие многих мод
в оптическом волокне приводит к появлению межмодовой дисперсии
передаваемого сигнала, из-за которой снижается скорость передачи данных.
Возникновение многих мод в волокне возможно, при сравнительно большом
диаметре сердцевины. Такое волокно называется многомодовым (multimode
– ММ). В многомодовом оптическом кабеле используется волокно с
сердцевиной диаметром 62,5 или 50 микрон и оболочкой диаметром 125
микрон. Такие кабели обозначаются 62,5/125 или 50/125.
Одномодовое волокно (singlemode – SM) имеет меньший диаметр
сердцевины, что позволяет только одной моде луча света распространяться
по сердцевине вдоль оси волокна (рис. 3.6). Диаметр сердцевины
одномодового волокна уменьшен до значения 8 – 10 микрон. Обычно
одномодовое волокно маркируют следующим образом – 9/125. Это означает,
что диаметр сердцевины составляет 9 микрон, а оболочки – 125 микрон.
Одномодовое волокно более дорогое по сравнению с многомодовым.
36
Рис. 3.6. Одномодовое волокно
Однако в одномодовых кабелях выше скорость передачи данных и больше
расстояние, на которое могут быть переданы данные. Поэтому кабели с
одномодовым волокном широко используются в технологиях транспортных
сетей – для междугородней связи.
В одномодовом волокне межмодовая дисперсия отсутствует. Однако,
присутствует хроматическая дисперсия, характерная как для многомодового,
так и для одномодового волокна. В многомодовом волокне она незаметна на
фоне большого значения межмодовой дисперсии. Хроматическая дисперсия
возникает из-за того, что волны света разной длины проходят через
оптическое волокно с несколько различными скоростями.
Таким образом, хроматическая дисперсия одномодового оптического
волокна зависит от длины волны. Параметры ОВ определяются
рекомендациями Международного союза электросвязи (G.652, G.653, G.654,
G.655). Для стандартного одномодового оптического волокна (G.652) эта
зависимость проходит через ноль на длине волны 1310 нм. Поэтому для
работы в длинноволновом диапазоне (λ = 1550 нм), где наименьшее
затухание, разработано одномодовое оптическое волокно (G.653) со
смещенной дисперсией, у которого нулевое значение дисперсии смещено в
район 1550 нм. Оптическое волокно (G.655) со смещенной ненулевой
дисперсией предназначено для работы в системах со спектральным
уплотнением по длине волны WDM.
В линиях передачи комбинируют участки оптического волокна,
характеризующиеся положительной дисперсией, с участками волокна с
отрицательной дисперсией, чтобы в некоторой мере скомпенсировать
дисперсию.
37
Для приема оптических сигналов используют фотодиоды, которые
работают на длинах волн 850, 1310 или 1550 нм, преобразуя принятые
оптические импульсы в электрические сигналы.
Наиболее полную проверку оптоволоконных кабелей реализуют
оптические рефлектометры (OTDR). Тестирующий световой импульс
отражается от неоднородностей волокна (обратное рассеивание), что дает
возможность локализации этих неоднородностей.
Для подключения оптоволоконных кабелей к сетевым устройствам
используют различные соединители (разъемы), приведенные на рис. 3.7.
Рис. 3.7. Соединители (разъемы) оптоволоконных кабелей (ST, SC, FC, LC)
38
3.4. Беспроводная среда
Беспроводная среда образуется совокупностью радиоканалов,
сгруппированных в несколько частотных диапазонов. Три частотных
диапазона: 900 МГц, 2,4 ГГц и 5 ГГц, рекомендованы Международным
союзом телекоммуникаций ITU для использования в промышленности, науке
и медицине (Industrial, Scientific, Medical – ISM) и не требуют
лицензирования. В указанных частотных диапазонах и строится большинство
беспроводных локальных и глобальных сетей связи. Более низкий частотный
диапазон увеличивает расстояние передачи и улучшает распространение
радиоволн внутри зданий. Однако число каналов и, следовательно,
пользователей при этом снижается.
Техника модуляции широкополосных сигналов позволяют повысить
помехозащищенность при сосредоточенных помехах высокого уровня и
низком уровне сигнала. На практике широко используются технологии
прямого последовательного расширения спектра (Direct Sequence Spread
Spectrum – DSSS) и ортогонального частотного мультиплексирования
(Orthogonal Frequency Division Multiplexing – OFDM). Устройства,
использующие OFDM, имеют более высокую скорость передачи данных.
Однако устройства с модуляцией DSSS – проще и дешевле.
Мультиплексирование каналов производится на основе техники, называемой
Множественным доступом с кодовым разделением (Code Division Multiple
Access – CDMA).
В настоящее время широко применяются беспроводные сети, которые
реализуют соединения абонентов через точки беспроводного доступа
(Wireless Access Point – WAP). В свою очередь, точки беспроводного доступа
могут соединяться с другими сетевыми устройствами, например с
коммутаторами, маршрутизаторами, посредством кабелей, образуя
достаточно разветвленную сеть.
Беспроводная (wireless) среда регламентируется набором стандартов,
которые различаются частотным диапазоном, скоростью передачи данных и
расстоянием. Стандарт IEEE 802.11 (Wi-Fi) является основным стандартом
беспроводных локальных сетей (Wireless LAN – WLAN). Параметры
беспроводных сетей в значительной мере определяются используемой
39
техникой модуляции. Основные параметры технологий стандарта 802.11 (WiFi) приведены в табл. 3.2.
Таблица 3.2
Параметры стандартов Wi-Fi беспроводной среды передачи
Стандарт
Частотный
Макс. скорость
Совместимость с
диапазон, ГГц передачи, Мбит/с другими стандартами
802.11a
5
54
нет
802.11b
2,4
11
нет
802.11g
2,4
54
802.11 b
802.11n
2,4 или 5
200 – 600
802.11 a/b/g
802.11ac
2,4 и 5
450 – 1300
802.11 a/ b/g/n
802.11ad
2,4, 5 и 60
7000
802.11 a/ b/g/n/ac
Стандарт IEEE 802.11a регламентирует работу устройств WLAN в
частотном диапазоне 5 ГГц. Скорость передачи – до 54 Мбит/с, а в
некоторых случаях – до 108 Мбит/с. В производственных технологических
сетях скорость передачи обычно оценивается в 20-26 Мбит/с. Использование
высокочастотного диапазона 5 ГГц стандарта 802.11a ограничивает
расстояние передачи и распространение радиоволн внутри зданий.
Используемый вид модуляции – OFDM. Устройства стандарта 802.11a не
могут взаимодействовать с устройствами стандарта 802.11b и 802.11g,
поскольку последние работают в диапазоне 2,4 ГГц и характеризуется
скоростью передачи до 11 Мбит/с, вид модуляции – DSSS..
Устройства стандарта 802.11n способны работать как в частотном
диапазоне 5 ГГц, так и 2,4 ГГц. Максимальное значение скорости передачи
200 – 600 Мбит/с. Устройства стандарта 802.11n совместимы с устройствами
стандартов 802.11a/b/g.
Новые устройства стандартов 802.11ac и 802.11ad обеспечивают более
высокую скорость передачи (табл. 3.2) и совместимость с предыдущими
стандартами.
Все технологии 802.11 используют метод множественного доступа к
среде с контролем несущей и предотвращением (избежанием) коллизий
(Carrier Sense Multiple Access / Collision Avoidance – CSMA/CA). Согласно
этому методу устройство, которому требуется передать данные, проверяет
среду передачи на наличие сигнала данных. Если среда свободна, устройство
40
отправляет уведомление о своем намерении использовать ее. Затем
устройство отправляет данные.
В отличие от метода множественного доступа к среде с контролем
несущей и обнаружением коллизий (Carrier Sense Multiple Access / Collision
Detection – CSMA/CD), который использовался в ранних версиях Ethernet,
метод CSMA/CA позволяет значительно уменьшить количество коллизий в
сети с разделяемой средой передачи, но не предотвратить их полностью.
Помимо сетей вышеприведенных стандартов 802.11 создаются и
эксплуатируются сети стандарта IEEE 802.15 (Wireless Personal Area Network
– WPAN) или "Bluetooth", которые являются примером персональных сетей
(Personal Area Network – PAN). Кроме того, сети стандарт IEEE 802.16
(Worldwide Interoperability for Microwave Access – WiMAX), которые
обеспечивают широкополосную связь на значительно большее расстояние по
сравнению с вышеприведенными технологиями.
41
Вопросы по разделу 3
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
В чем состоит различие измеряемых параметров сети: пропускная
способность (bandwidth); производительность (throughput); полезная
пропускная способность (goodput)?
Какие типы кабелей используются в локальных сетях передачи данных?
Какие меры борьбы принимают для снижения влияния внешних (EMI,
RFI) и перекрестных помех в симметричных медных кабелях?
Какова скорость и дальность передачи кабеля UTP 5, 5е категории?
Для соединения, каких устройств используется консольный кабель?
В чем преимущества волоконно-оптического кабеля перед медным?
На каких длинах волн производится передача сигналов по оптическому
кабелю?
Какие разъемы используются в волоконно-оптических кабелях?
Какие проблемы необходимо учитывать при создании беспроводных
сетей?
Какие частотные диапазоны рекомендованы для использования в
промышленности, науке и медицине и не требуют лицензирования?
Какой стандарт является основным в беспроводных локальных сетях?
Какой стандарт предусматривает передачу данных в диапазоне 5 ГГц со
скоростью до 54 Мбит/с?
Какой стандарт предусматривает передачу данных в диапазоне 2,4 ГГц
со скоростью до 54 Мбит/с?
Какой механизм используется для проверки отсутствия ошибок в
передаваемой в кадре информации?
Упражнения
1. Укажите скорости и дальность передачи симметричных медных кабелей.
2. Изобразите схемы прямого, кроссового и консольного кабелей.
3. Объясните условия, при которых возникает полное внутреннее отражение
в волокне оптического кабеля.
4. Укажите основные параметры стандартов Wi-Fi беспроводной среды
передачи.
42
4. КАНАЛЬНЫЙ УРОВЕНЬ СЕТЕВОЙ МОДЕЛИ OSI
4.1. Общие сведения о канальном уровне
Программно-аппаратные средства канального уровня (Data Link)
модели OSI обеспечивают доступ к сетевой среде передачи информации, и
организуют обмен данными через общую локальную среду. Канальный
уровень находится между сетевым и физическим уровнями модели OSI,
поэтому он должен предоставлять сервис вышележащему уровню,
взаимодействуя с сетевым протоколом, и обеспечивая инкапсулированным в
кадр пакетам доступ к сетевой среде. В то же время, канальный уровень
управляет процессом размещения передаваемых данных в физической среде.
Поэтому канальный уровень разделен на 2 подуровня (рис. 4.1): верхний
подуровень управления логическим каналом передачи данных (Logical
Link Control – LLC), являющийся общим для всех технологий, и нижний
подуровень управления доступом к среде (Media Access Control – MAC).
Кроме того, средства канального уровня позволяют обнаруживать ошибки в
передаваемых данных.
802.2
Подуровень логической передачи данных
Logical Link Control - LLC
Подуровень
LLC
Подуровень
МАС
Ethernet (802.3)
Спецификации 10 Base-T
Витая пара
10 Base-FB
Fast Ethernet (802.3u)
10 Base-FL 100Base-T4 100Base-TX 100Base-FX
Оптоволокно Оптоволокно Витая пара
Витая пара Оптоволокно
Рис. 4.1. Подуровни канального уровня
Взаимодействие узлов локальных сетей происходит на основе
протоколов канального уровня. Передача данных в локальных сетях
происходит на сравнительно короткие расстояния (внутри зданий или между
близко расположенными зданиями), но с высокой скоростью (10 Мбит/с –
43
100 Гбит/с). Расстояние и скорость передачи данных определяется
аппаратурой соответствующих стандартов.
Международным институтом инженеров по электротехнике и
радиоэлектронике (Institute of Electrical and Electronics Engineers – IEEE)
было разработано семейство стандартов 802.х, которое регламентирует
функционирование канального и физического уровней семиуровневой
модели ISO/OSI. Ряд этих протоколов являются общими для всех технологий,
например стандарт 802.2, другие протоколы (например, 802.3, 802.3u, 802.5)
определяют особенности технологий локальных сетей.
Подуровень LLC реализуется программными средствами. На
подуровне LLC существует несколько процедур, которые позволяют
устанавливать или не устанавливать связь перед передачей кадров,
содержащих данные, восстанавливать или не восстанавливать кадры при их
потере или обнаружении ошибок. Подуровень LLC реализует связь с
протоколами сетевого уровня, обычно с протоколом IP. Связь с сетевым
уровнем и определение логических процедур передачи кадров по сети
реализует протокол 802.2. Протокол 802.1 дает общие определения
локальных вычислительных сетей, связь с моделью ISO/OSI. Существуют
также модификации этого протокола.
Подуровень МАС определяет особенности доступа к физической
среде при использовании различных технологий локальных сетей. Каждой
технологии МАС-уровня (каждому протоколу: 802.3, 802.3u, 802.3z и др.)
соответствует несколько вариантов спецификаций (протоколов) физического
уровня (рис. 4.1). Спецификация технологии МАС-уровня – определяет
среду физического уровня и основные параметры передачи данных (скорость
передачи, вид среды, узкополосная или широкополосная).
На канальном уровне передающей стороны формируется кадр, в
который инкапсулируется пакет. В процессе инкапсуляции к пакету
сетевого протокола, например IP, добавляется заголовок и концевик
(трейлер) кадра. Таким образом, кадр любой сетевой технологии состоит из
трех частей:
- заголовка,
- поля данных, где размещен пакет,
- концевика.
44
На приемной стороне реализуется обратный процесс декапсуляции,
когда из кадра извлекается пакет.
Заголовок включает разделители кадров, поля адресов и управления.
Разделители кадров позволяют определить начало кадра и обеспечить
синхронизацию между передатчиком и приемником. При использовании
Ethernet-совместимых технологий адресацию данных в локальных сетях
осуществляют МАС-адреса.
Концевик содержит поле контрольной суммы (Frame Check Sequence –
FCS), которая вычисляется при передаче кадра с использованием
циклического кода CRC. На приемной стороне контрольная сумма кадра
вычисляется вновь и сравнивается с принятой. Если они совпадают, то
считают, что кадр передан без ошибок. При расхождении значений FCS кадр
отбрасывается и требуется его повторная передача.
При передаче по сети кадр последовательно проходит целый ряд
соединений, характеризующихся разной физической средой. Например, при
передаче данных с Узла А на Узел В (рис. 4.2) данные последовательно
А
Оптика
В
Медь
WAP
Беспроводная
точка доступа
Медь
Радиоканалы
Медь
Узел В
Узел А
Рис. 4.2. Сеть с разнородными соединениями
проходят через: соединение Ethernet между Узлом А и маршрутизатором А
(медь, неэкранированная витая пара), соединение между маршрутизаторами
А и В (волоконно-оптический кабель), медный кабель последовательного
соединения «точка-точка» между маршрутизатором В и беспроводной
точкой доступа WAP, беспроводное соединение (радиоканал) между WAP и
конечным Узлом В. Поэтому для каждого соединения формируется свой
кадр специфического формата.
45
Пакет, подготовленный Узлом А, инкапсулируется в кадр локальной
сети, который передается в маршрутизатор А. Маршрутизатор декапсулирует
пакет из принятого кадра, определяет на какой выходной интерфейс передать
пакет, затем формирует новый кадр для передачи по оптической среде.
Маршрутизатор В декапсулирует пакет из принятого кадра, определяет на
какой выходной интерфейс передать пакет, затем формирует новый кадр для
передачи по медной среде последовательного соединения «точка-точка».
Беспроводная точка доступа WAP, в свою очередь, формирует свой кадр для
передачи данных по радиоканалу на конечный Узел В.
Совместное использование среды несколькими устройствами
реализуется на основе двух основных методов:
- метод конкурентного (недетерминированого) доступа (Contentionbased Access), когда все узлы сети равноправны, очередность передачи
данных не организована. Для передачи данный узел должен прослушать
среду, если она свободна, то можно передать информацию. При этом могут
возникнуть конфликты (коллизии), когда два (или более) узла начинают
передачу данных;
- метод контролируемого (детерминированного) доступа (Controlled
Access), который обеспечивает узлам очередность доступа к среде для
передачи данных.
На ранних этапах создания Ethernet-сетей использовалась топология
«шина», разделяемая среда передачи данных являлась общей для всех
пользователей. При этом реализовался метод множественного доступа к
общей среде передачи (протокол 802.3). При этом требовался контроль
несущей, наличие которой говорило о том, что какой-то узел уже передает
данные по общей среде. Поэтому узел, желающий передать данные, должен
был дождаться окончания передачи и при освобождении среды попытаться
передать данные.
Переданную в сеть информацию может получить любой компьютер, у
которого адрес сетевого адаптера NIC совпадает с МАС-адресом назначения
передаваемого кадра, или все компьютеры сети при широковещательной
передаче. Однако передавать информацию в любой момент времени может
только один узел. Прежде чем начать передачу, узел должен убедиться, что
общая шина свободна, для чего узел прослушивает среду.
46
При одновременной передаче данных двумя или более компьютерами
возникает конфликт (коллизия), когда данные передающих узлов
накладываются друг на друга, происходит искажение и потеря информации.
Поэтому требуется обработка коллизии и повторная передача участвовавших
в коллизии кадров.
Подобный метод недетерминированного (ассоциативного) доступа к
среде получил название множественного доступа к среде с контролем
несущей и обнаружением коллизий (Carrier Sense Multiply Access with
Collision Detection – CSMA/CD).
Метод CSMA/CD не организует и не обслуживает очередность доступа
к среде передачи, поэтому не требует больших вычислительных ресурсов и
пропускной способности сети. Однако при высокой загрузке сети количество
коллизий возрастает и производительность (throughput) снижается. Данный
метод использовался в сетях технологии Ethernet, выполненными на
концентраторах с полудуплексными проводными соединениями (медными и
волоконно-оптическими кабелями).
В настоящее время использование в локальных сетях коммутаторов с
полнодуплексными соединениями позволило полностью устранить
коллизии. Однако возможность использования метода CSMA/CD
сохранилась.
В
беспроводных
сетях
технологий
802.11
используется
ассоциативный метод множественного доступа к среде с контролем
несущей и предотвращением (избежанием) коллизий (Carrier Sense Multiple
Access / Collision Avoidance – CSMA/CA). Обмен сообщениями производится
через беспроводную точку доступа. Согласно этому методу, устройство,
которому требуется передать данные, проверяет среду передачи на наличие
сигнала несущей. Если среда свободна, устройство отправляет уведомление
беспроводной точке доступа о своем намерении использовать ее. Затем
устройство отправляет данные.
В отличие от метода множественного доступа к среде с контролем
несущей и обнаружением коллизий (CSMA/CD), метод CSMA/CA позволяет
значительно уменьшить количество коллизий в сети с разделяемой средой
передачи, но не предотвратить их полностью.
47
4.2. Форматы кадров канального уровня
В локальных и глобальных сетях на канальном уровне используются
различные протоколы и различные форматы кадров. В локальных сетях
основным протоколом канального уровня является Ethernet и совместимые с
ним. В глобальных соединениях «точка-точка» наиболее распространенным
является протокол Point-to-Point Protocol – PPP. В беспроводных сетях
технологий 802.11 используется метод множественного доступа к среде с
контролем несущей и предотвращением (избежанием) коллизий (CSMA/CA).
Формат кадра Ethernet
Формат кадров канального уровня практически одинаков для всех
Ethernet совместимых технологий. Технология Ethernet предусматривает
кадры четырех форматов, которые незначительно отличаются друг от друга.
Один из форматов кадра (802.3) подуровня МАС приведен на рис. 4.3.
Преамбула
SFD
DA
7 байт (10101010) 10101011 6 байт
SA
L/T
6 байт 2 байта
Data
FCS
46 - 1500 байт
4 байта
Рис. 4.3. Формат кадра подуровня МАС
Разделитель кадров, позволяющий определить начало кадра и
обеспечить синхронизацию между передатчиком и приемником, представлен
преамбулой и начальным ограничителем кадра (Start of Frame Delimiter SFD). Преамбула кадра состоит из семи байт 10101010, необходимых для
вхождения приемника в режим синхронизации. Начальный ограничитель –
10101011 отмечает начало кадра. В некоторых форматах все 8 байт, которые
перечислены, называются преамбулой.
Формат кадра включает поля физических адресов узла назначения (DA
– Destination Address) и узла источника (SA – Source Address). В технологиях
Ethernet физические адреса получили название МАС-адресов. МАС-адреса
содержат 48 двоичных разрядов и отображаются в шестнадцатеричной
системе одной из следующих форм: 00-19-D1-93-7E-BC, 00:19:D1:93:7E:BC,
0019.D193.7EBC. МАС-адреса являются «плоскими» не иерархическими.
48
В локальных сетях адресация сообщений производится на основе
МАС-адресов, которые «прошиты» в ПЗУ сетевых карт конечных узлов и на
интерфейсах сетевых элементов. При запуске компьютера МАС-адрес из
ПЗУ копируется в оперативную память ОЗУ. В современной аппаратуре
электронные программаторы позволяют изменять МАС-адреса, что снижает
эффективность фильтрации трафика на основе МАС-адресов, т.е. снижает
информационную безопасность.
Адрес, состоящий из всех единиц FF-FF-FF-FF-FF-FF, является
широковещательным адресом (broadcast), когда передаваемая в кадре
информация предназначена всем узлам локальной сети.
Младшие 24 разряда МАС-адреса (6 шестнадцатеричных разрядов)
задают уникальный номер оборудования, например, номер сетевой карты.
Старшие 24 разряда физического МАС-адреса, называемые уникальным
идентификатором организации (OUI), присваиваются производителю
оборудования институтом IEEE.
Поле L (рис. 5.3) определяет длину поля данных Data, которое может
быть от 46 до 1500 байт. Если поле данных меньше 46 байт, то оно
дополняется до 46 байт.
В настоящее время часто используется формат кадра стандарта Ethernet
II, в котором вместо поля L задается поле типа Т, где указан протокол
сетевого уровня. Например, при использовании на сетевом уровне протокола
IPv4 шестнадцатеричное значение поля Т будет 0×0800. В случае передачи
кадра протокола ARP значение поля Т – 0×0806. Остальные поля кадра
Ethernet II идентичны кадру стандарта 802.3.
Поле контрольной суммы (FCS – Frame Check Sequence) длиной в 4
байта позволяет определить наличие ошибок в полученном кадре, за счет
использования алгоритма проверки на основе циклического кода CRC.
Таким образом, минимальный размер кадра с учетом адресного поля
(12 байт), поля L/T (2 байта) и поля контрольной суммы FCS (4 байта)
составляет 64 байта, а максимальный размер – 1518 байт. С учетом
преамбулы минимальный размер кадра – 72 байта.
При использовании широко известных технологий виртуальных
локальных сетей (Virtual Local Area Network – VLAN) в формате кадра
необходимо задать изменения, определяемые протоколом 802.1Q:
49
идентификатор VLAN (12 бит), индикатор формата (1 бит), приоритет (3
бита) и идентификатор протокола (2 байта), итого 4 дополнительных байта.
Поэтому максимальный размер кадра, определяемый стандартом IEEE
802.3ac, составляет 1522 байта. Дополнительные 4 байта заголовка
вставляются между полем адреса источника и полем L/T (рис. 4.4).
Преамбула
SFD
DA
SA
7 байт
1 байт
6 байт
6 байт
VLAN
Данные
L/T
FCS
4 байта 2 байта 46 – 1500 байт 4 байта
Рис. 4.4. Формат кадра VLAN (802.3ac)
Когда сетевое устройство принимает кадр, размер которого меньше
минимального или больше максимального, то устройство отбрасывает такой
кадр, поскольку считает, что кадр искажен в результате коллизии или
воздействия помех.
Формат кадра беспроводной локальной сети
В технологиях беспроводных сетей стандарта 802.11, называемых
также Wi-Fi (Wireless Fidelity), используется формат кадра, изображенный на
рис. 4.5.
Управл.
кадром
Длитель/
Идентиф
DA
SA
RA
Управл.
последов
TA
Основной
текст кадра
FCS
Рис. 4.5. Формат кадра стандарта 802.11
Также как в сетях Ethernet в сетях Wi-Fi на уровне управления
логическим каналом LLC используется протокол 802.2. В формате кадра
используются МАС-адрес назначения DA и МАС-адрес источника SA по 48
двоичных разряда. Концевик кадра содержит контрольную сумму FCS для
проверки принятого кадра на наличие ошибок.
50
Обмен сообщениями в сетях Wi-Fi обычно производится через
промежуточные устройства (беспроводные точки доступа). Поэтому в
формате кадра 802.11 дополнительно предусмотрены:
- поле адреса приемника (Receiver Address – RA), которое содержит
МАС-адрес беспроводного устройства, являющегося непосредственным
получателем кадра;
- поле адреса передатчика (Transmitter Address – TA), которое содержит
МАС-адрес беспроводного устройства, передавшего кадр.
Поле управления кадром содержит информацию о версии протокола,
типе кадра (контроль, управление, данные), о наличии дополнительных
фрагментов кадров, о шифровании данных, и другую информацию.
Поле Длительность/Идентификатор используется по-разному, в
зависимости от типа кадра. В этом поле указывается либо время, требуемое
для передачи кадра, либо идентификатор станции, передавшей кадр.
Поле управления последовательностью размером в 2 байта состоит
из двух частей: первые 4 бита задают номер фрагмента кадра; оставшиеся 12
бит задают номер последовательности, который был присвоен кадру.
В кадрах могут передаваться данные (пакет IP) или служебная
информация, размещаемые в поле основного текста кадра (Frame Body).
4.3. Адресация в локальных сетях
Адресация в локальных сетях реализуется на основе МАС-адресов.
Адресация может быть одноадресная (unicast), многоадресная (multicast),
широковещательная (broadcast). В одноадресном режиме узел-источник,
например, с IP-адресом 192.168.10.11 передает данные только одному узлу с
IP-адресом 192.168.10.22 (рис. 4.6).
51
192.168.10.22
01-C9-FA-E5-77-2A
192.168.10.11
192.168.10.33
01-C9-FA-DB-55-89
01-C9-FA-E5-77-FF
192.168.10.44
01-C9-FA-B4-32-85
Рис. 4.6. Одноадресный режим передачи данных
При этом передаваемый по локальной сети кадр (рис. 4.7) содержит в своем
заголовке МАС-адреса назначения и источника.
01-C9-FA-E5-77-2A 01-C9-FA-DB-55-89 192.168.10.11 192.168.10.22
IP-пакет
FCS
MAC-адрес назначен MAC-адрес источн. IP-адрес источ IP-адрес назн.
Данные
Контр.
сумма
Рис. 4.7. Кадр одноадресной рассылки
В многоадресном режиме (групповая адресация) IP-адреса задаются из
диапазона 224.0.0.0 – 239.255.255.255. Так узел-источник, с IP-адресом
192.168.10.11 передает данные тем узлам, которые имеют групповой адрес,
например, 224.0.0.202 (рис. 4.8, 4.9).
01-00-5Е-00-00-СA
01-C9-FA-DB-55-89 192.168.10.11
224.0.0.202
MAC-адрес назначен MAC-адрес источн. IP-адрес источ IP-адрес назн.
IP-пакет
FCS
Данные
Контр.
сумма
Рис. 4.8. Кадр многоадресной рассылки
Групповым IP-адресам соответствуют МАС-адреса, начинающиеся с
01-00-5Е. Младшие разряды МАС-адреса формируются из младших разрядов
IP-адреса. Например, IP-адресу 224.0.0.202 соответствует групповой МАСадрес 01-00-5Е-00-00-СА.
52
224.0.0.202
01-00-5Е-00-00-СA
192.168.10.11
192.168.10.33
01-C9-FA-DB-55-89
01-C9-FA-E5-77-FF
224.0.0.202
01-00-5Е-00-00-СА
Рис. 4.9. Многоадресный режим передачи данных
В широковещательном режиме узел-источник, например, с IP-адресом
192.168.10.11 передает данные всем узлам локальной сети по адресу
192.168.10.255 (рис. 4.10, 4.11). Широковещательный МАС-адрес назначения
FF-FF-FF-FF-FF-FF содержит 48 единиц.
01-C9-FA-DB-55-89 192.168.10.11 192.168.10.255
IP-пакет
FCS
MAC-адрес назначен MAC-адрес источн. IP-адрес источ IP-адрес назн.
Данные
Контр.
сумма
FF-FF-FF-FF-FF-FF
Рис.4.10. Кадр широковещательной рассылки
192.168.10.22
01-C9-FA-E5-77-2A
192.168.10.11
192.168.10.33
01-C9-FA-DB-55-89
01-C9-FA-E5-77-FF
192.168.10.44
01-C9-FA-B4-32-85
Рис.4.11. Широковещательный режим передачи данных
53
4.4. Протокол ARP
В локальных сетях телекоммуникаций устройствам необходимы как
физический МАС-адрес, так и логический IP-адрес, которые однозначно
адресуют любое устройство в сети, образуя соответствующую пару.
Указанные пары МАС- и IP-адресов узлов локальной сети (называемые
также сопоставлениями) хранятся в таблице протокола разрешения адресов
(Address Resolution Protocol – ARP). Протокол ARP входит в стек протоколов
TCP/IP и реализует процесс нахождения МАС-адреса по известному
сетевому IP-адресу.
На каждом конечном узле можно посмотреть его физический адрес и
IP-адрес по команде ipconfig или ipconfig /all (рис. 4.12).
Рис. 4.12. Результат выполнения команды ipconfig /all
Из распечатки следует, что физическим МАС-адресом конечного узла
является 00-19-D1-93-7E-BE, а логическим IP-адресом – 10.0.118.52.
Протокол ARP может по IP-адресу определить МАС-адрес устройства.
Каждое устройство в сети поддерживает таблицу ARP, которая содержит
соответствующие MAC и IP адреса других устройств той же локальной сети.
Таблица ARP любого узла может быть просмотрена по команде arp –a
54
(рис.4.13). Записи таблицы хранятся в памяти RAM, где динамически
поддерживаются. Если узлы долго не передают данные, то соответствующие
записи из таблицы удаляются, что представлено на рис. 4.13, где таблица
содержит только одну пару IP и MAC адресов.
Рис. 4.13. Таблица ARP
Таблица ARP пополняется динамически путем контроля трафика
локального сегмента сети. Все узлы локальной сети Ethernet анализируют
трафик, чтобы определить, предназначены ли данные для них. При этом IP и
MAC-адреса источников дейтаграмм записываются в таблице ARP.
Например, после общения с узлом 10.0.118.65 в таблице ARP появляется
дополнительная, по сравнению с рис. 4.13, запись (рис. 4.14).
Рис. 4.14. Изменения в таблице ARP
Для проверки записей ARP-таблицы маршрутизатора используется
команда show ip arp. Когда устройство передает пакет по IP-адресу
назначения, оно проверяет, имеется ли в ARP-таблице соответствующий
МАС-адрес назначения. Если соответствующая запись имеется, то она
используется при инкапсуляции пакета в кадр данных. Данные передаются
по сетевой среде, устройство назначения принимает их.
55
Если узел не находит соответствующей записи в таблице ARP, то он
для получения MAC-адреса назначения посылает в локальную сеть
широковещательный ARP-запрос, в котором задается сетевой логический
IP-адрес устройства назначения. Все другие устройства сети анализируют
его. Если у одного из устройств локальной сети IP-адрес совпадает с
запрашиваемым, то устройство посылает ARP-ответ, который содержит пару
IP и MAC адресов. Эта пара IP и MAC адресов записывается в ARP-таблице.
Если в локальной сети нет запрашиваемого IP-адреса, то устройство
источник сообщает об ошибке.
Когда данные передаются за пределы локальной сети, то для передачи
сообщения необходимы IP и MAC-адреса как устройства назначения, так и
МАС-адреса промежуточных маршрутизирующих устройств. Поскольку
маршрутизаторы не транслируют широковещательные запросы в другие
сегменты сети, то в этом случае маршрутизатор в ответ на запрос посылает
ARP-ответ с MAC-адресом своего входного интерфейса, на который
поступил запрос. Таким образом, сформированный конечным устройством
кадр поступит на входной интерфейс маршрутизатора, который после
анализа адреса сети назначения и обращения к таблице маршрутизации
продвинет пакет на выходной интерфейс.
Входной интерфейс маршрутизатора, через который узлы локальной
сети могут передавать сообщения в удаленные сети, получил название шлюз.
IP-адрес входного интерфейса маршрутизатора на пути к устройству
назначения (шлюз по умолчанию – Default Gateway) обычно
конфигурируется на всех конечных узлах. Источник сообщения сравнивает
IP-адрес назначения со своим IP-адресом и определяет, находятся ли эти
адреса в одном сегменте сети или в разных сегментах. Если они находятся в
разных сегментах, то данные будут переданы только при условии, что
установлен шлюз по умолчанию.
Таким образом, при передаче данных по сети узел для нахождения
МАС-адреса назначения посылает в сеть широковещательный ARP
запрос, в котором задается IP-адрес устройства назначения, на который
в ответ получает: либо МАС-адрес узла назначения из той же локальной
сети, либо МАС-адрес входного интерфейса маршрутизатора (шлюза по
умолчанию), если адресат находится в удаленной сети.
56
При передаче по сети IP-адреса источника и назначения остаются
неизменными на всем пути следования пакета. При поступлении в
маршрутизатор из кадра извлекается пакет, определяется на какой выходной
интерфейс необходимо его продвинуть. На выходном интерфейсе
формируется новый кадр, в котором задаются новые МАС-адреса источника
и назначения. То есть, МАС-адреса изменяются в каждом маршрутизаторе.
В крупных сетях широковещательные ARP-запросы могут приводить к
перегрузке сети. Кроме того, широковещательные запросы легко
перехватывают хакеры, получая информацию об IP- и МАС-адресах сети.
Поэтому для сокращения широковещательных ARP-запросов администратор
может создавать записи в таблице ARP статически. Статические записи
динамически не удаляются, удалить их может только сам администратор.
57
Вопросы по разделу 4
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
Какие функции выполняет верхний подуровень канального уровня?
Какие функции выполняет нижний подуровень канального уровня?
Что определяют спецификации технологии МАС-уровня?
Сколько двоичных разрядов содержит МАС-адрес и в какой системе он
представлен?
Что задают первые и последние три байта МАС-адреса?
Каким типом адреса является FF-FF-FF-FF-FF-FF?
Какой МАС-адрес соответствует групповому IP-адресу 224.0.61.200?
Какие адреса остаются неизменными на всем пути следования пакета, а
какие изменяются в каждом маршрутизаторе?
Какой протокол может по IP-адресу определить МАС-адрес устройства?
Какие недостатки ARP-протокола?
Какой метод доступа к среде отображается аббревиатурой CSMA/CD?
В чем различие ассоциативного (конкурентного) и детерминированного
(контролируемого) методов доступа к среде?
Для чего необходима преамбула в кадре Ethernet?
Как адресуются источник и устройство назначения в кадре Ethernet?
Какую функцию выполняет контрольная сумма в кадре Ethernet?
Что такое коллизия?
Какое устройство ограничивает коллизию пределами одного сегмента?
На базе каких адресов происходит адресация узлов в локальных сетях?
Чем различаются продвижение и фильтрация кадров?
Какое устройство делит сеть на широковещательные домены?
Какими параметрами определяется производительность коммутатора?
Упражнения
1. Перечислите спецификации технологий Ethernet, Fast Ethernet. Приведите
их основные характеристики.
2. Изобразите формат кадра МАС. Укажите размер и назначение его полей.
3. Объясните, почему задается минимальная длина поля данных.
4. Изобразите схему локальной сети на коммутаторе с пятью конечными
узлами, укажите номера портов и МАС-адреса узлов.
58
5. СЕТЕВОЙ УРОВЕНЬ МОДЕЛИ OSI
5.1. Общие сведения о сетевом уровне
Объединение
нескольких
локальных
сетей
в
глобальную
(распределенную, составную) WAN сеть происходит с помощью устройств
и протоколов сетевого уровня 3 семиуровневой эталонной модели или
уровня межсетевого взаимодействия модели TCP/IP. Если LAN объединяют
рабочие станции, периферию, терминалы и другое сетевое оборудование в
одной аудитории или в одном здании, то WAN обеспечивают соединение
LAN на широком географическом пространстве. В составную
распределенную сеть (internetwork, internet) входят как локальные сети и
подсети, так и отдельные пользователи.
При передаче по сети большое сообщение сегментируется, а сегменты
инкапсулируются в пакеты, которые представляют формат информационных
данных третьего сетевого уровня. Для функционирования программноаппаратных средств сетевого уровня 3 необходимо реализовать процессы
адресации пакетов, их маршрутизации, инкапсуляции сегментов в пакеты
на передающей стороне и декапсуляции сегментов из пакетов на приемной.
Основными устройствами, объединяющими LAN в составную сеть,
являются маршрутизаторы (routers). Функционирование маршрутизаторов
на Уровне 3 модели OSI происходит по правилам сетевых протоколов
(Internet Protocol) версий 4 или 6 (IPv4 или IPv6). Сетевые протоколы IP
функционируют без предварительного установления соединения
(connectionless) между источником и получателем сообщения. При этом
доставка сообщения производится с максимальными усилиями (best effort
delivery), но без гарантий, т.е. доставка ненадежная (unreliable). Такой
метод доставки (передачи) данных получил название дейтаграммный.
Поскольку при дейтаграммном методе передачи пакеты отправляются
адресату назначения без предварительного установления соединения, то
пакет будет отправлен даже, если адресат не может его принять. При
повреждении пакетов или их потере требуется повторная передача
поврежденных или потерянных данных. Сетевые протоколы IP не имеют
средств подтверждения доставки пакетов, их целостности, что и определяет
59
ненадежность доставки. Однако дейтаграммные протоколы IP создают
сравнительно небольшую нагрузку на сеть, что определило их высокую
эффективность и широкое распространение. Такой способ доставки
называют оптимальным. Функции надежности доставки возложены на
другие протоколы, в частности на протокол TCP транспортного уровня.
Важно отметить, что сетевые протоколы независимы от среды
передачи. Поэтому один и тот же пакет может передаваться по медным и
оптоволоконным кабелям, радиоканалам. Однако максимальный размер поля
данных кадра может различаться в зависимости от среды, поэтому пакеты в
ряде случаев разбиваются на более мелкие фрагменты (фрагментирование).
Для определения наилучшего пути передачи данных через
связываемые сети, маршрутизаторы строят таблицы маршрутизации и
обмениваются
сетевой
маршрутной
информацией
с
другими
маршрутизаторами. Маршрутизаторы принимают решения, базируясь на
сетевых логических адресах (IP-адресах), находящихся в заголовке пакета
(дейтаграммы). Администратор может конфигурировать статические
маршруты и поддерживать таблицы маршрутизации вручную. Однако
большинство таблиц маршрутизации создается и поддерживается
динамически, за счет использования протоколов маршрутизации (routing
protocol), которые позволяют маршрутизаторам автоматически обмениваться
информацией о сетевой топологии друг с другом, т.е. разделять маршрутную
информацию.
5.2. Протокол IPv4
В настоящее время широко используется сетевой протокол IPv4 и
внедряется IPv6. Формат пакета сетевого протокола IPv4 (рис. 5.1) включает
заголовок, состоящий из 12 полей общей длиной в 160 бит (5 слов по 4 байта,
т.е. 20 байт), поле опций переменной длины и поле данных.
60
0…3
4…7
8 … 15
16 … 18
1. Версия 2. Дл. заг 3. Диф-е сервисы
4. Общая длина пакета
5. Идентификатор
8. Время жизни
19 … 31
6. Флаги
9. Протокол
7. Смещение
10. Контрольная сумма заголовка
11. Адрес источника сообщения
12. Адрес назначения
13. Поле опций
14. Поле опций
Рис. 5.1. Формат заголовка пакета IPv4
1.
Первое 4-х разрядное поле (Vers) задает номер версии протокола.
Например, в заголовке номер версии IPv4 будет задан в двоичной системе –
0100. В описаниях версия 4 выглядит следующим образом: Version = 4 (0x4).
2.
Длина заголовка – количество 32-разрядных слов в заголовке,
задается вторым полем (HLEN). Например, код в этом поле – 0101 или запись
Header Length = 20 (0x14) означает, что заголовок содержит 5 слов по 32
разряда или 20 байт.
3.
В новых спецификациях протокола IPv4 третье поле называется
дифференцированные сервисы (DS). Старшие шесть бит поля определяют
код дифференцированных сервисов (DSCP) и обеспечивают качество
обслуживания QoS. Два младших бита используются для уведомления о
перегрузке сети (ECN). В старых спецификациях это поле типа сервиса
(Type of Service – ToS) длиной 8 бит включало четыре идентификатора:
трехразрядный идентификатор PR и одноразрядные D, T, R. Идентификатор
PR определял тип пакета (нормальный, управляющий и др.) и в соответствие
с этим задавался приоритет передаваемого пакета. Установка 1 в разряде D
означало требование минимизации задержки при передаче пакета; единица в
разряде Т означало требование максимальной пропускной способности;
установка 1 в разряде R требовало обеспечение максимальной надежности.
4.
Поле Total Length задает общую длину пакета, включая
заголовок и поле данных. 16 разрядов поля позволяют задавать
61
максимальную длину 64 Кбайт (65 535 байт). Поскольку максимальная длина
поля данных кадра в большинстве технологий локальных сетей меньше 64
Кбайт, например, в Ethernet она составляет 1500 байт, то большие пакеты
разбивают на фрагменты. При фрагментировании пакета используется
информация 5, 6 и 7 полей. Все фрагменты должны иметь:
идентификационный номер пакета; определитель порядка следования
фрагмента
при
сборке
пакета;
дополнительную
информацию.
Фрагментирование пакетов может производить конечный узел, исходя из
максимального размера единицы передаваемой информации (Maximum
Transmission Unit – MTU) на канальном уровне. Вторичную фрагментацию
может выполнять транзитный сетевой элемент, если пакет передается из сети
с большим значением MTU в сеть с меньшим MTU.
5. Пятое
поле
заголовка
Идентификатор
используется
при
фрагментировании пакета и содержит его идентификационный номер.
6.
Трехразрядное поле флагов (Flags) содержит два одноразрядных
флага фрагментации. Установка 1 в разряде DF запрещает маршрутизатору
производить фрагментирование данного пакета. Единичка в разряде MF
указывает, что данный пакет не является последним.
7.
13-разрядное поле смещения данных (Fragment Offset) помогает
собрать фрагменты в единый пакет. Оно задает смещение в байтах поля
данных этого пакета от начала общего поля данных исходного не
фрагментированного пакета.
8.
Из заданного значения время жизни (Time to Live – TTL),
которое может составлять значение от 0 до 255, при прохождении каждого
маршрутизатора (или каждую секунду) вычитается 1. Таким образом, число
узлов, через которые может пройти пакет, ограничено.
9.
Поле протокол (Protocol) указывает тип протокола верхнего
уровня (TCP – тип 6, UDP – тип 17 и др.), которому будет передан принятый
пакет после завершения IP процесса.
10. Поле контрольной суммы заголовка (Header Checksum).
Поскольку при прохождении маршрутизатора значения некоторых полей
заголовка изменяются, например время жизни TTL, то расчет контрольной
суммы производится в каждом маршрутизаторе заново.
11. Согласно версии IPv4, длина адреса источника информации
62
(Source IP address) равна 32 двоичным разрядам (4 байтам).
12. Адрес назначения (Destination IP address) длиной 4 байта (32
разряда). При передаче по сети адреса источника и назначения остаются
неизменными.
13. Поле опций (IP option) позволяет поддерживать различные
опции, например, опцию защиты информации. Поскольку это поле может
иметь разную длину, то оно дополняется нулями до 32 разрядов.
14. Поле данных Data имеет длину более 64 двоичных разрядов.
5.3. Протокол IPv6
Для повышения скорости передачи данных по сети в протоколе IPv6,
по сравнению с протоколом IPv4, исключены некоторые функции
маршрутизатора. Так, маршрутизатор не выполняет фрагментирование
пакетов, объем которых превышает MTU канального уровня. Функция
фрагментирования возложена на конечные узлы. Поэтому информация о
фрагментировании удалена из основного фиксированного заголовка и, при
необходимости, может быть включена в расширенные заголовки.
Расширенные заголовки обычно обрабатываются конечными узлами. Кроме
того, исключена функция вычисления и проверки контрольной суммы,
поскольку подобная проверка проводится на канальном и транспортном
уровне. Вычисление контрольной суммы в каждом маршрутизаторе было
обусловлено тем, что значение поля TTL декрементировалось.
Пакет протокола IPv6 включает фиксированный заголовок и поле
полезных данных (нагрузку). Кроме основного фиксированного заголовка
управляющая информация может содержаться в одном из необязательных
дополнительных (расширенных) заголовков. Расширенные заголовки
размещаются между фиксированным заголовком и заголовком протокола
более высокого уровня. Полезные данные обычно включают сегменты
транспортного уровня или данные сетевого уровня, например сообщения
протокола ICMP.
Формат заголовка пакета IPv6 приведен на рис. 5.2. Он состоит из 9
полей общей длиной в 320 бит (10 слов по 32 бита или по 4 байта, т.е. всего
63
40 байт). Сравнительный анализ заголовков IPv4 (рис. 5.1) и IPv6 показывает,
что в заголовке IPv6 сохранилось поле версии, которое содержит значение
0110. Изменился размер полей адреса источника информации и адреса
назначения, которые стали по 128 бит (4 строки по 4 байта). Вместо поля
«Время жизни» появилось поле «Ограничения переходов» (Hop Limit) c
аналогичными функциями.
В заголовке IPv6 вместо поля дифференцированные сервисы (тип
сервиса) IPv4 появилось поле «Класс трафика» (Traffic Class), которое
определяет приоритет передаваемого пакета. Первые 6 бит определяют класс
трафика, оставшиеся 2 бита используются для контроля перегрузки.
4
…
11 12 …15
…
16
23
24
…
31
3. Метка потока
1. Версия 2. Класс трафика
4. Длина поля нагрузки
5. След. заголовок 6. Огранич. перех.
7. Адрес источника информации
10 слов
0 … 3
8. Адрес назначения
9. Поле данных
Рис. 5.2. Формат заголовка пакета IPv6
Новое поле IPv6 «Метка потока» (Flow Label – FL) позволяет
идентифицировать различные транспортные потоки без декапсуляции пакета
транспортного уровня. При использовании версии IPv4 только на
транспортном уровне задавался номер порта, т.е. адресовалось приложение
верхнего уровня. «Метка потока» позволяет значительно упростить
маршрутизацию однородного потока пакетов. При этом маршрутизаторы
будут передавать пакеты сообщения реального времени (аудио- и
видеоинформация) вдоль одного и того же пути, чтобы избежать вариации
64
задержек (джиттера) и избежать приема пакетов не в том порядке, в котором
они передавались.
Вместо поля «Общая длина пакета» в новой версии появилось «Длина
поля нагрузки» (Payload Length), которое не учитывает длину заголовка.
В заголовке IPv6 отсутствуют поля, связанные с фрагментированием
пакетов, нет поля контрольной суммы заголовка и поля опций. Функция
фрагментирования пакета передана конечным узлам, которые определяют
размер единицы передаваемой информации MTU вдоль всего маршрута
передачи пакета. Для этого маршрутизаторы посылают сообщение протокола
ICMP конечному узлу источнику, который уменьшает размер пакета.
Поле «Следующего заголовка» (Next Header) позволяет создавать
расширенные
(дополнительные)
заголовки,
задавая
заголовки
маршрутизации, фрагментации, аутентификации, а также тип заголовка, где
определяется протокол транспортного уровня (TCP, UDP). Расширенный
заголовок может также определять тип приложения верхнего уровня. Таким
образом, расширенные заголовки содержат дополнительную информацию и
размещены между фиксированным заголовком и заголовком протокола более
высокого уровня (рис. 5.3).
Фиксированный заголовок IPv6
Дополнительный заголовок маршрутизации
Дополнительный заголовок аутентификации
...
Поле данных
Рис. 5.3. Расширенные (дополнительные) заголовки IPv6
Подводя итог, можно отметить ряд преимуществ IPv6 по сравнению с
IPv4. Он характеризуется расширенной IP адресацией, легким
65
агрегированием префиксов адресов. Конечный узел может иметь несколько
IP-адресов поверх одного физического соединения, что позволяет
реализовать соединение с несколькими Интернет-сервис провайдерами.
Упрощенный заголовок повышает производительность маршрутизации. При
этом не используются широковещательные передачи, не вычисляется
контрольная сумма заголовка, передаваемые потоки помечаются. Протокол
IPv6 обеспечивает подвижную связь и более высокий уровень безопасности
передаваемой информации по сравнению с IPv4. Для обеспечения
безопасности протокол IPv6 использует протокол IPSec, поддержка которого
является для него обязательной, и аутентификацию. Упрощенный заголовок
повышает производительность маршрутизации.
Протокол IPv6 имеет еще целый ряд отличий от IPv4. Например, для
самотестирования (loopback) в IPv4 использовался адрес 127.0.0.1, а в версии
IPv6 для этих целей предусмотрен адрес 0:0:0:0:0:0:0:1, который может быть
представлен как ":: 1".
Переход от IPv6 к IPv4 и обратно обеспечивается за счет создания
двойного стека и туннелей. При реализации двойного стека на интерфейсе
каждого узла конфигурируется два стека протоколов, т.е. маршрутизатор и
коммутатор конфигурируются, чтобы поддерживать оба протокола, причем,
IPv6, является привилегированным. Это позволяет узлу осуществлять
соединения как с сетью IPv4, так и с сетью IPv6.
При туннелировании пакет IPv6 инкапсулируется внутрь протокола,
например, IPv4, когда пакет включает 20-байтовый заголовок IPv4 без опций,
заголовок IPv6 и полезную нагрузку.
66
5.4. Принципы маршрутизации
Заголовок пакета содержит сетевые IP-адреса узла назначения и узла
источника. На основе этой информации маршрутизаторы осуществляют
передачу пакетов между конечными узлами составной сети по
определенному наилучшему маршруту. Процесс прокладывания наилучшего
маршрута к адресату назначения получил название маршрутизация.
Конечный узел может адресовать сообщение узлу из той же локальной
сети, в этом случае маршрутизация не потребуется, доставка сообщения
реализуется с использованием МАС-адресов. При адресации сообщения узлу
в удаленной сети пересылка данных происходит через маршрутизатор,
подключенный к локальной сети, и называемый шлюзом по умолчанию
(Default Gateway). Точнее, шлюзом по умолчанию называется входной
интерфейс маршрутизатора, через который пакеты из локальной сети
пересылаются в удаленные сети.
Маршрутизатор оценивает доступные пути к адресату назначения и
выбирает наиболее рациональный маршрут на основе некоторого критерия –
метрики. При оценке возможных путей маршрутизаторы используют
информацию о топологии сети. Эта информация может быть
сконфигурирована сетевым администратором или собрана в ходе процесса
динамического обмена служебной информацией между маршрутизаторами,
который выполняется в сети протоколами маршрутизации.
Процесс прокладывания маршрута происходит последовательно от
маршрутизатора к маршрутизатору. При прокладывании пути для пакета
каждый маршрутизатор анализирует сетевую часть адреса узла назначения,
заданного в заголовке поступившего пакета, т.е. вычленяет адрес сети
назначения из адреса узла. Затем маршрутизатор обращается к таблице
маршрутизации, в которой хранятся адреса всех доступных сетей, и
определяет свой выходной интерфейс, на который необходимо передать
(продвинуть) пакет. Таким образом, маршрутизатор ретранслирует пакет,
продвигая его с входного интерфейса на выходной, для чего использует
сетевую часть
маршрутизации.
адреса
назначения
67
и
обращается
к
таблице
В процессе передачи пакетов от конечного узла xi локальной сети Х
через маршрутизатор RA до узла yj, находящегося в сети Y, присоединенной
к маршрутизатору RВ (рис. 5.4), может быть выбран один из путей:
1. Через маршрутизатор RС;
2. Через маршрутизаторы RD и RE;
3. Через маршрутизаторы RF, RG и RH.
Пакет, сформированный узлом xi в локальной сети Х и принятый на
входном интерфейсе 1a, маршрутизатор RA должен передать (продвинуть) на
другой (выходной) интерфейс на пути к адресату назначения (2a, 3a или 4a).
2c
3c
1c
RC
2a
RA
1a
3a
4a
1d
2d
RD
1f
2f
Сеть X
RF
2e
1e
RE
1g
2g
1b
2b
3b RB
2h
4b
1h
RH
RG
xi
Сеть Y
yj
Рис. 5.4. Определения пути пакета
Оценка и выбор наилучшего пути производится на основе метрики.
Например, если метрика учитывает только количество маршрутизаторов на
пути к адресату, то будет выбран первый (верхний) маршрут. Если же
метрика учитывает полосу пропускания линий связи, соединяющих
маршрутизаторы, то может быть выбран второй или третий маршрут при
условии, что на этом пути будут наиболее широкополосные линии связи.
Маршрутизаторы в целом сетевого адреса не имеют, но каждый
интерфейс маршрутизатора имеет уникальный адрес, сетевая часть которого
совпадает с адресом сети, соединенной с данным интерфейсом. В
приведенном выше примере (рис. 5.4) сетевая часть адреса интерфейса 1а
совпадает с адресом локальной сети X, где находится источник сообщения –
конечный узел xi.
68
Для определения наилучшего пути к сети назначения (сеть Y с узлом
назначения yj) маршрутизатор использует таблицу маршрутизации,
основными параметрами которой являются адрес (номер) сети назначения и
адрес входного интерфейса следующего (соседнего) маршрутизатора на пути
к адресату назначения. Этот адрес интерфейса получил название
следующего перехода (next hop).
Параметры таблиц маршрутизации устройств разных фирм
производителей аппаратуры могут варьироваться, но обычно в таблицах
маршрутизации задаются:
- источники созданного маршрута;
- адреса сетей назначения, маски;
- предпочтение источника созданного маршрута (административное
расстояние) или другой аналогичный параметр;
- значения метрики;
- адреса следующего перехода (next hop);
- выходной интерфейс маршрутизатора на пути к сети назначения.
В таблице маршрутизации указываются непосредственно (прямо)
присоединенные сети (directly connected) и маршруты к удаленным сетям.
Если в таблице маршрутизации не создан путь к сети назначения
пакета, то маршрутизатор отбрасывает (discard) такой пакет. Однако на
маршрутизаторе можно сконфигурировать маршрут по умолчанию, когда
пакеты с незаданными в таблице маршрутизации адресами сети назначения,
будут пересылаться через определенный интерфейс, называемый «шлюзом
последней надежды» – Gateway of last resort.
Конечный узел также формирует таблицу маршрутизации к другим
узлам локальной сети, чтобы пакеты направлялись в сеть назначения. Эту
таблицу можно посмотреть по команде netstat –r или route print
узла. На рис. 5.5 приведена таблица маршрутизации реального компьютера,
подключенного к сети Интернет.
Таблица маршрутизации узла (хоста) содержит пять столбцов:
- сетевой адрес содержит адреса доступных сетей назначения;
- маски сети определяют сетевую часть адреса;
69
- адрес шлюза, через который пакеты могут передаваться за пределы
локальной сети;
- интерфейс представляет IP-адрес физического интерфейса узла, через
который пакеты направляются к шлюзу;
- метрику использует маршрутизатор для определения наилучшего
пути к устройству назначения.
Рис. 5.5. Таблица маршрутизации конечного узла
Самый первый путь с адресом 0.0.0.0 и маской 0.0.0.0 является
маршрутом по умолчанию. Все пакеты, у которых адреса сетей назначения
с любыми масками отсутствуют в таблице маршрутизации хоста,
пересылаются к шлюзу с IP-адресом 10.225.75.13 (в данном примере). Шлюз
пересылает пакет на выходной интерфейс маршрутизатора в соответствии с
адресом назначения и таблицей маршрутизации. Для адресации узлов внутри
локальной сети шлюз не используется. Узлы должны создавать и
поддерживать собственную локальную таблицу маршрутизации.
70
Вопросы по разделу 5
Какие устройства объединяют LAN в распределенную составную сеть?
Какие сетевые протоколы используются в сети Интернет?
Почему дейтаграммный способ доставки является оптимальным?
Что обеспечивает надежность доставки при использовании
дейтаграммных сетевых протоколов?
5. На основании чего маршрутизатор ретранслирует пакет, продвигая его с
входного интерфейса на выходной?
6. Что служит оценкой наилучшего пути к адресату назначения?
7. Какие поля заголовка IPv4, IPv6 определяют приоритет пакета?
8. Для чего введено новое поле IPv6 «Метка потока» (FL)?
9. Почему протокол IPv6 не фрагментирует пакеты? На кого возложена эта
функция?
10.Какое поле, вместо «Время жизни» (TTL) протокола IPv4, введено в
заголовке IPv6?
11.Какую информацию содержат необязательные дополнительные
(расширенные) заголовки IPv6?
12.Какой размер адреса назначения и источника протокола IPv6?
13.Почему в сетях протокола IPv6 не используется транслятор NAT?
14.Как формируются таблицы маршрутизации?
15.Какие основные параметры содержит таблица маршрутизации?
16.Что означает термин адрес следующего перехода (next hop)?
17. Что означает термин Шлюз по умолчанию?
18.Какие параметры содержит таблица марщрутизации?
19.Для чего узлы должны создавать и поддерживать собственную локальную
таблицу маршрутизации?
1.
2.
3.
4.
Упражнения
1. Поясните, с использованием какой линии создается конфигурационный
файл, и где он может сохраняться.
2. Изобразите схему составной сети из четырех маршрутизаторов,
последовательно соединенных через FastEthernet интерфейсы. Обозначьте
интерфейсы. Укажите, МАС-адреса каких интерфейсов будут
использоваться в качестве адресов источников и адресов назначения
передаваемых кадрах при их прохождении через каждый маршрутизатор.
3. Укажите основные параметры таблицы маршрутизации маршрутизатора В
(рис. 6.5), для чего используйте распечатку.
4. Поясните, какие параметры можно посмотреть на каждом конечном узле
по команде ipconfig /all.
71
6. ТРАНСПОРТНЫЙ УРОВЕНЬ МОДЕЛЕЙ OSI, TCP/IP
6.1. Общие сведения о транспортном уровне
Основной функцией транспортного уровня является транспортировка
сообщений между приложениями узла источника и узла назначения.
Приложение узла источника формирует сообщение и передает его на
приложение узла назначения независимо от маршрута, т.е. независимо от
протоколов сетевого уровня, и независимо от среды передачи, т.е.
независимо от протоколов канального и физического уровней. Транспортный
уровень реализует управление потоком информации от источника до
устройства назначения.
Транспортный уровень делит большое сообщение узла источника
информации на части, при этом добавляет заголовок и формирует сегменты
определенного объема, а короткие сообщения может объединять в один
сегмент. В узле назначения происходит обратный процесс. В заголовке
сегмента задаются номера порта источника и назначения, которые адресуют
службы верхнего прикладного уровня для обработки данного сегмента.
Кроме того, транспортный уровень может обеспечивать надежную доставку
пакетов. При обнаружении потерь и ошибок на этом уровне формируется
запрос повторной передачи, при этом используется протокол TCP. Когда
необходимость предварительного соединения и проверки правильности
доставленного сообщения отсутствует, то используется более простой и
быстродействующий протокол дейтаграмм пользователя (User Datagram
Protocol – UDP).
Транспортный уровень моделей OSI и TCP/IP одинаков как по
функциям, так и по названию. Термин TCP/IP – это комбинация двух
протоколов. Протокол IP функционирует на сетевом Уровне 3 модели OSI,
он является протоколом дейтаграммного типа без предварительного
соединения (connectionless), который обеспечивает доставку сообщения через
сеть по возможности, т.е. доставку с наибольшими возможными усилиями
(best-effort delivery), но без гарантий, т.е. доставка не надежная.
Протокол управления передачей TCP работает на транспортном
Уровне 4 модели OSI и является протоколом, ориентированным на
предварительное соединение (connection-oriented), что обеспечивает контроль
72
потока и надежность доставки. Когда эти протоколы (TCP/IP) объединены,
они обеспечивают более широкий объем услуг: малую задержку и высокую
надежность. Всемирная сеть Интернет строится на основе набора (стека)
протоколов TCP/IP.
Контроль доставки сообщения из одного конца соединения до другого
и надежность обеспечены целым рядом параметров, передаваемых в
заголовках сегментов:
номерами последовательности передаваемых сегментов данных,
размером, так называемого, скользящего окна,
квитированием, т.е. подтверждением приема сообщения.
Транспортный уровень устанавливает логическое соединение между
двумя конечными точками сети. Протоколы транспортного уровня
сегментируют данные, посланные приложениями верхнего уровня на
передающей стороне, и повторно собирают (реассемблируют) из полученных
сегментов целое сообщение на приемной стороне.
Таким образом, протоколы транспортного уровня реализуют
сегментацию данных и повторную сборку целого сообщения из полученных
сегментов. Большинство сетей имеет ограничение на объем передаваемых
сообщений. Поэтому Транспортный уровень делит большое сообщение
уровня приложений на сегменты данных, размер которых соответствует
требованиям протокола единиц данных (Protocol Data Unit – PDU) более
низких уровней сетевой модели. Кроме того, если в процессе контроля
обнаружится, что принятое сообщение содержит ошибку, то возникает
необходимость повторной передачи всего большого сообщения. При
обнаружении ошибки в одном из принятых сегментов только данный сегмент
будет передан повторно.
Мультиплексирование сегментов передаваемых данных позволяет
одновременно передавать различные потоки данных. При этом
высокоскоростной поток передаваемых сообщений, например видео-поток,
не заблокирует другие сообщения.
На каждом конечном узле сети может быть запущено много разных
приложений. Кроме того, сегменты могут быть направлены одному или
многим узлам назначения. Процесс обмена данными между приложениями
источника и назначения называется сеансом связи. Протоколы транспортного
73
уровня обеспечивают многочисленные одновременно протекающие
процессы обмена данными, т.е. отслеживают отдельные сеансы связи.
Множество одновременно протекающих процессов обмена данными
верхнего уровня (множество сеансов связи) может быть мультиплексировано
поверх одного логического транспортного соединения.
Чтобы передавать потоки данных соответствующим приложениям,
протокол транспортного уровня должен идентифицировать каждое
приложение. В протоколах TCP и UDP в качестве идентификатора
приложения используют номер порта. Номер порта в заголовке сегмента
транспортного уровня указывает, какое приложение создало передаваемое
сообщение, и какое должно обрабатывать полученные данные. При
множестве одновременно протекающих процессах обмена данными каждому
из приложений или услуг назначается свой адрес (номер порта) так, чтобы
транспортный уровень мог определить, с каким конкретно приложением или
службой должны взаимодействовать передаваемые данные.
Протокол контроля передачи TCP является ориентированным на
предварительное соединение (connection-oriented). Помимо деления
сообщения на сегменты и идентификации приложений (задание номеров
портов источника и назначения) TCP обеспечивает надежность и контроль
потока. Он взаимодействует с протоколами верхнего уровня приложений:
HTTP, SMTP, FTP, Telnet и другими.
Протокол UDP является протоколом дейтаграммного типа
(connectionless), он взаимодействует с такими протоколами прикладного
уровня, как система доменных имен (DNS), передачи потока видеоданных
(Video Steaming), голос поверх IP (Voice over IP) и рядом других. Следует
отметить, что система DNS взаимодействует как с TCP, так и с UDP.
Протокол транспортного уровня TCP помимо деления сообщения на
сегменты и идентификации приложений обеспечивает:
1. Контроль потока.
2. Надежность доставки сообщения.
Контроль потока необходим, чтобы гарантировать, что источник,
передавая данные с некоторой скоростью, не переполняет буферные
устройства узла назначения. Если узел назначения не может обрабатывать
данные в темпе их поступления, то может произойти переполнение буферов
74
и потеря данных. Управление скоростью передачи данных обеспечивается
изменением размера окна (Window Size), который указывает, сколько байт
данных должно быть передано за одну порцию. При переполнении буферных
устройств узел назначения посылает источнику требование уменьшения
размера окна, т.е. снижения скорости передачи.
После получения каждой порции данных узел назначения посылает
источнику подтверждение принятых данных или подтверждение
доставки (acknowledgment). Подтверждение (квитирование) обеспечивает
надежность сети. Если подтверждение не получено, то неподтвержденная
часть данных передается узлом источником повторно.
В дейтаграммных IP-сетях пакеты одного сообщения между двумя
конечными устройствами могут проходить разными путями. Поэтому на узел
назначения сегменты могут прийти не в том порядке, в котором были
переданы. Надежный протокол транспортного уровня (ТСР) должен
восстановить правильный порядок сегментов и собрать переданное
сообщение, т.е. реассемблировать его.
Адресация приложений, надежность, контроль потока, сегментация
сообщений и их реассемблирование, реализуются путем задания ряда
параметров в заголовке сегмента TCP (рис. 6.1), размер которого 20 байт.
1
2
3
4
5
6
7
8
9
10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32
Номер порта источника
Номер порта назначения
Номер последовательности
Номер подтверждения
ДЗ
Резерв
Код
Размер окна
Контрольная сумма
Индикатор
Опции
Данные
Рис. 6.1. Формат заголовка сегмента TCP
Поля заголовка TCP сегмента определяют следующее:
- Номер порта источника (Source Port) – 16 бит номера порта,
который посылает данные;
- Номер порта назначения (Destination Port) – 16 бит номера порта,
который принимает данные;
75
- Номер последовательности (Sequence Number) – 32 бита номера
первого байта в сегменте, используемого, чтобы гарантировать объединение
частей (порций) данных в корректном порядке в устройстве назначения;
- Номер подтверждения (Acknowledgment Number) – 32 бита
последовательного номера подтверждения принятых данных, (начальный
номер байта следующей ожидаемой порции данных);
- ДЗ – длина заголовка (число 32-разрядных слов в заголовке, в
примере рис. 9.1 – пять слов);
- Резерв – разряды поля, установленные в ноль;
- Код – 6 разрядов, определяющих тип сегмента, например, сегмент
установки соединения (SYN) и завершения сеанса (FIN), сегмент
подтверждения принятых данных (ACK), срочного сообщения (URG), а
также PSH – протолкнуть данные и RST – оборвать соединение;
- Размер окна (Window Size) – число байтов, передаваемых за одну
порцию;
- Контрольная сумма (Checksum) – значение контрольной суммы
заголовка и поля данных;
- Индикатор (Urgent pointer) – индицирует конец срочных данных;
- Опции (Option) – поле не обязательное, каждая текущая опция
определяет максимальный размер TCP сегмента;
- Данные (Data) – сообщение протокола верхнего уровня.
Заголовок TCP (рис. 6.1) содержит номер последовательности
(Sequence Number), используемый, чтобы гарантировать объединение частей
(сегментов) сообщения в том порядке, в котором они были переданы. TCP
обеспечивает надежность передачи сообщений за счет передачи номера
подтверждения, и контроль потока, управляемого размером окна. Однако
TCP потребляет много ресурсов и вносит задержку в передачу данных. При
передаче некоторых видов трафика (аудио- и видеоинформация) задержка и
особенно ее вариация могут исказить передаваемые сообщения.
Когда требования высокой скорости передачи данных, минимизации
задержек и джиттера превалируют над надежностью и гарантией доставки
сообщения, то используется более простой и быстрый протокол дейтаграмм
пользователя (UDP). Его скорость передачи данных выше, чем TCP.
76
UDP является протоколом дейтаграммного типа, поэтому в заголовке
его сегмента (рис. 6.2) отсутствуют такие параметры, как Номер
последовательности, Номер подтверждения, Размер окна, характерные для
TCP.
1
2
3
4
5
6
7
8
9
10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32
Номер порта источника
Номер порта назначения
Длина
Контрольная сумма
Данные
Рис. 6.2. Формат сегмента UDP
Поля UDP сегмента определяют следующее:
- Номер порта источника (Source Port) – 16 бит номера порта,
который посылает данные;
- Номер порта назначения (Destination Port) – 16 бит номера порта,
который принимает данные;
- Длина (Length) – число байтов в заголовке и в поле данных;
- Контрольная сумма (Checksum) – контрольная сумма заголовка и
поля данных;
- Данные (Data) – сообщение протокола верхнего уровня.
Поскольку протокол UDP не обладает механизмами надежности, то она
обеспечивается протоколами верхнего прикладного уровня.
Комбинация номера порта и IP-адреса образует комплексный адрес,
называемый сокет (socket address), который определяет не только уникальное
устройство, но и программное обеспечение, используемое для создания и
обработки сообщения, например, 192.168.10.17:1275; 10.1.10.6:53.
Номера портов делятся на несколько типов:
- известные номера (Well Known Ports), диапазон адресов которых
находится в пределах от 0 до 1023, назначаются серверам;
- зарегистрированные порты с номерами от 1024 до 49151
назначаются как серверам, так и пользователям;
- динамические порты с номерами от 49151 до 65535, которые
обычно динамически присваиваются пользователям.
77
Номера известных портов заданы организацией Internet Assigned
Numbers Authority (IANA), распределяющей адреса в Интернете. Номера
известных портов назначаются протоколам и службам сервиса прикладного
уровня. Номера некоторых известных портов протокола TCP приведены в
табл. 6.1
Таблица 6.1
Номера известных портов
Протоколы
FTP
Telnet
SMTP
HTTP
HTTPS
POP3
Порты
20, 21
23
25
80
443
110
В приложении протокола передачи файлов FTP используются два
известных (стандартных) номера порта 20 и 21. Порт 20 используется для
передачи данных, а порт 21 – для управления соединением.
Среди номеров известных портов протокола UDP наиболее
распространенными являются: протокол TFTP – 69, RIP – 520.
Служба DNS с номером порта 53 и простой протокол управления сетью
(Simple Network Management Protocol – SNMP) с номером порта 161
взаимодействуют как с протоколом TCP, так и с UDP.
Зарегистрированные порты назначаются как пользователям, так и
приложениям. Например, из зарегистрированных номеров портов можно
отметить 8008 и 8080, которые часто используются Proxy-серверами.
Комплексные адреса (сокеты) широко используются при обращении
клиентов к серверам. Источник запроса идентифицируется сокетом,
образованным IP-адресом и номером порта, который генерируется
случайным образом. Например, сокет 10.0.118.52:1244 определяет клиента,
как источник запроса. Сокет 10.0.118.3:80 определяет IP-адрес устройства и
программное обеспечение, используемое для обработки запроса – сервер
HTTP. При ответе сервер формирует сообщение, где сокет 10.0.118.52:1244
используется в качестве адреса назначения. Разные номера портов с одним
IP-адресом источника позволяют клиенту формировать несколько разных
запросов.
Если необходимо узнать, какие TCP соединения активны на сетевом
конечном узле, то можно использовать команду netstat в режиме командной
строки. В распечатке команды (рис. 6.3) указаны: протокол (TCP), локальные
78
адреса (имена) узлов с динамически назначенными номерами портов,
внешние адреса (имена) узлов назначения с номером порта, а также
состояние связи. В данном примере (рис. 6.3) номер порта локального адреса
является динамически назначаемым зарегистрированным портом источника с
номером больше 1023. Для адреса www.cisco.com внешний порт задан
символически (http). Состояние связи может быть с установленным
соединением (ESTABLISHED) или с ожиданием окончания соединения
(TIME_WAIT), когда был послан запрос окончания соединения (FIN).
Рис. 6.3. Результат выполнения команды netstat
6.2. Установление соединения
Поскольку TCP является протоколом, ориентированным на
предварительное соединение (connection-oriented), то сначала необходимо
установить сессию между приложениями конечных устройств. Узел
отправитель инициализирует соединение, которое должно быть
подтверждено узлом получателем. Программное обеспечение протокола TCP
обменивается сообщениями через сеть, чтобы проверить, что передача
разрешена и что обе стороны готовы к ней.
Соединение между двумя устройствами производится за три этапа
(рис. 6.4).
79
A
1
B
2
3
Рис. 6.4. Установление соединения
Во-первых, узел отправитель инициализирует установление связи
путем посылки узлу получателю запроса синхронизации SYN (1).
Во-вторых, узел получатель подтверждает запрос синхронизации и
задает свои параметры синхронизации ACK (2).
В-третьих, узлу получателю посылается подтверждение, что обе
стороны готовы для передачи данных (3).
Такой механизм получил название трехэтапного установления связи
(Three-way handshake). Оба узла должны согласовать начальные номера
последовательности передаваемых частей информации, что происходит через
обмен сегментами синхронизации (SYN) и подтверждения (ACK).
Синхронизация требует, чтобы каждая сторона послала собственный
начальный номер последовательности и получила подтверждение от другой
стороны. Каждая сторона, получив начальный номер последовательности от
другой
стороны,
отвечает
подтверждением
ACK.
Например,
последовательность, соответствующая рис. 6.4, будет следующей:
1.
Узел отправитель (A) инициализирует соединение, посылая
сегмент с флагом SYN узлу получателю (B), в котором указывает номер
своей последовательности Sequence Number длиной 32 бита, например, SECА
= 101. Флаг SYN установлен в поле Код (рис. 6.1). Начальное значение
номера последовательности SEC выбирается случайным образом и
инкрементируется (увеличивается на единицу) при передаче каждого байта
данных, что позволяет отслеживать поток данных.
2.
Получив сегмент инициализации соединения, узел B делает
запись принятого номера последовательности 101 и формирует ответ с
флагами ACK и SYN. Подтверждение формируется в следующем виде ACKВ
= 101 + 1 = 102. Ответ ACKВ = 102 означает, что хост B получил сегмент
80
данных, включая байт с номером 101, и ожидает следующий байт с номером
102. Одновременно хост B формирует начальный номер своей
последовательности данных, например, SECВ = 51.
3.
Узел A, получив сегмент от B со значениями ACKВ = 102, SECВ =
51, формирует ответ ACKА = 52, SECА = 102, который завершает процесс
соединения. При этом установлен флаг ACK.
6.3. Передача данных
При установлении соединения задается начальное значение номера
байта передаваемых данных. Этот номер увеличивается по мере передачи
байт. Поэтому на приемной стороне можно отследить потерянные сегменты.
Сегменты данных нужно предоставить пользователю получателю в том
же порядке, в котором они были переданы. Сбой происходит, если какие-то
сегменты данных потеряны, повреждены или получены в неверном порядке.
Поэтому получатель должен подтвердить получение каждого сегмента.
Однако если бы отправитель ждал ответ ACK после посылки каждого
сегмента, то производительность сети была бы низкой. Поэтому, надежный,
ориентированный на предварительное соединение протокол TCP, позволяет
послать несколько сегментов прежде, чем отправитель получит
подтверждение ACK.
Размер окна (Window Size) заголовка сегмента TCP определяет,
сколько байт передается в одной порции подтверждаемых данных. Размер
окна в заголовке сегмента задается в количестве передаваемых байтов. Узелполучатель передает отправителю подтверждение ACK, когда примет
указанное в окне количество байтов данных.
На рис. 6.5 приведен пример, когда размер окна составляет 3000 байт.
81
Узел-отправитель
Передача пакета 1
Передача пакета 2
Размер окна = 3000
1500 байт
Получение пакета 1
с 1 по 1500 байт
1500 байт
Получение пакета 2
с 1501 по 3000 байт
Получение
подтверждения
Передача пакета 3
Передача пакета 4
Узел-получатель
1500 байт
1500 байт
Подтверждение
ACK = 3001
Получение пакета 3
с 3001 по 4500 байт
Получение пакета 4
с 4501 по 6000 байт
Подтверждение
ACK = 6001
Получение
подтверждения
Рис. 6.5. Процесс передачи байт данных
Каждый передаваемый сегмент содержит 1500 байт, что соответствует
размеру поля данных кадра Ethernet. Поэтому узел-отправитель передает два
сегмента подряд, на которые узел-получатель посылает подтверждение ACK
с номером следующего ожидаемого байта, т.е. ACK = 3001. После получения
узлом-отправителем подтверждения процесс передачи данных повторяется.
Если какой-то сегмент в процессе передачи был потерян, например, изза перегрузки сети, то узел-получатель в ответе укажет начальный номер
потерянного сегмента (рис. 6.6), чтобы этот сегмент был передан повторно.
При этом размер окна может быть уменьшен до 1500 байт, т.е. до размера
одного передаваемого сегмента.
Перегрузка буферов данных может произойти по причинам:
1. Высокоскоростной узел-отправитель генерирует трафик быстрее, чем
сеть может передать его, а узел-получатель принять.
2. Несколько узлов одновременно посылают сообщения одному узлуполучателю.
Когда данные прибывают на узел-получатель слишком быстро, то
буферные устройства адресата могут оказаться перегружены и приходящие
пакеты будут отбрасываться. Чтобы не потерять данные, процесс TCP на
узле-получателе может послать отправителю индикатор «не готов», чтобы
отправитель приостановил передачу данных.
82
Узел-отправитель
Передача пакета 1
Передача пакета 2
Размер окна = 3000
1500 байт
Получение пакета 1
с 1 по 1500 байт
1500 байт
Получение пакета 2
с 1501 по 3000 байт
Получение
подтверждения
Передача пакета 3
Передача пакета 4
Получение
подтверждения
Передача пакета 3
Узел-получатель
1500 байт
1500 байт
Подтверждение
ACK = 3001
Пакет 3 был
потерян
Получение пакета 4
с 4501 по 6000 байт
Подтверждение
ACK = 3001
Window
= 1500
Размер окна = 1500
1500 байт
Получение
подтверждения
Получение пакета 3
с 3001 по 4500 байт
Подтверждение
ACK = 4501
Рис. 6.6. Перегрузка в процессе передачи данных
Когда получатель вновь сможет обрабатывать дополнительные данные,
он посылает индикатор «готов». Когда этот индикатор получен, отправитель
может продолжить передачу.
При передаче срочных сообщений используется бит URG в поле кода
передаваемых сегментов. Такие сегменты передаются в первую очередь.
Завершение соединения
Завершение соединения в конце передачи данных происходит в 4 этапа:
1. Узел-отправитель, инициализировавший обмен данными, посылает
сегмент конца передачи с установленным флагом FIN, сигнализирующий,
что данных для передачи больше нет;
2. В ответ на это узел-получатель подтверждает (ACK) конец передачи;
3. Узел-получатель также посылает сигнал конца передачи FIN.
4. Узел-отправитель подтверждает получение информации (ACK).
На этом соединение заканчивается, т.е. завершение соединения происходит в
четыре этапа.
83
Вопросы по разделу 6
1. В чем различие между протоколами TCP и UDP?
2. По какой команде можно узнать, какие TCP соединения активны на
сетевом конечном узле?
3. Какую функцию в заголовке сегмента TCP выполняет номер
последовательности?
4. Какую функцию в заголовке сегмента TCP выполняет подтверждение?
5. Что задает размер окна в заголовке сегмента TCP?
6. Какую функцию в заголовке сегмента TCP, UDP выполняют номера
порта?
7. За сколько этапов выполняется предварительное установление соединения
у протокола TCP? Какие флаги при этом используются?
8. Чем определяется размер поля данных сегмента?
9. Какой диапазон номеров имеют хорошо известные порты? Кому они
назначаются?
10.Какие диапазоны номеров имеют зарегистрированные и динамические
порты? Кому они назначаются?
11.Какой номер порта источника выберет приложение клиента?
12.С какими приложениями работает протокол TCP?
13.С какими приложениями работает протокол UDP? В чем его
преимущество по сравнению с TCP?
14.Если при запросе приложения TFTP не будет получен ответ, то будет ли
повторный запрос? Если будет, то кто его сформирует?
15.Какие приложения работают и с UDP и с TCP?
16.Каковы этапы установления соединения протокол TCP?
17.Как будет реагировать система при потере первого пакета TFTP?
18.Какой протокол транспортного уровня может переупорядочить сегменты?
Упражнения
1. Приведите номера хорошо известных портов.
2. Изобразите формат заголовка сегмента TCP. Объясните назначение полей
заголовка.
3. Сравните форматы заголовков сегментов TCP и UDP.
4. Изобразите процесс установления соединения протокола TCP.
5. Изобразите процесс передачи данных при использовании протокола TCP.
6. Объясните, за счет чего протокол TCP реализует надежность передачи
данных.
84
7. ПРИКЛАДНОЙ УРОВЕНЬ
7.1. Функции прикладного уровня
Прикладной уровень модели OSI обеспечивает сопряжение абонента с
сетевыми технологиями, что позволяет пользователям общаться между собой
через сеть. Другими словами, прикладной уровень создает интерфейс между
приложениями конечных устройств при передаче сообщений по сети.
Уровень представления 6 изменяет форму передаваемых данных в вид
удобный для передачи по сети адресату. Например, передаваемые с верхнего
уровня 7 данные преобразуются в общепринятый формат ASCII; при
передаче изображений используются форматы обмена графическими
данными GIF, PNG. На уровне 6 также происходит сжатие данных
(протоколы MPEG, JPEG).
Сеансовый уровень 5 устанавливает и поддерживает сеанс связи двух
приложений конечных узлов (компьютеров), определяет, какой узел является
ведущим, а какой ведомым, задает для передающей стороны время передачи.
Этот уровень определяет также сеанс связи с сетью Интернет.
Прикладной уровень TCP/IP охватывает три уровня модели OSI
(приложений, представления, сеансовый). Широко используемые известные
приложения: HTTP, FTP, SMTP, DNS.
Протоколы и службы прикладного уровня обычно представлены
соответствующими серверами. Однако сервер, как отдельное устройство,
может объединять функции нескольких служб сервиса; или наоборот, служба
одного вида услуг может быть представлена многими серверами.
Наиболее распространенными протоколами и службами прикладного
уровня являются:
- протоколы электронной почты (Simple Mail Transfer Protocol – SMTP,
Post Office Protocol – POP, Internet Messaging Access Protocol – IMAP);
- протокол передачи гипертекстовой информации или web-сервер
(Hypertext Transfer Protocol – HTTP);
- протокол передачи файлов (File Transfer Protocol – FTP) и простой
протокол передачи файлов (Trivial FTP – TFTP);
- система доменных имен (Domain Name System – DNS);
85
- протокол удаленного доступа (Telnet), обеспечивающий виртуальное
соединение с удаленными сетевыми устройствами и протокол удаленного
доступа, обеспечивающий шифрование передаваемых данных (Secure Shell –
SSH);
- протокол динамического конфигурирования узлов (Dynamic Host
Configuration Protocol – DHCP).
7.2. Модели построения сети
Существуют две модели построения сети:
1. Модель «клиент – сервер»;
2. Модель соединения равноправных узлов сети (peer-to-peer – Р2Р) или,
по-другому, модель одноранговой сети.
При соединении равноправных узлов связанные через сеть конечные
устройства разделяют общие ресурсы (например, принтеры, файлы) без
выделенного сервера. Модель соединения равноправных узлов сети (peer-topeer – Р2Р) представлена одноранговыми сетями и Р2Р приложениями.
Одноранговые сети обычно используются при ограниченном
количестве пользователей, они плохо масштабируются. Каждое конечное
устройство (peer) может функционировать либо как сервер, либо как клиент.
Компьютер может выполнять роль сервера для одного соединения, и роль
клиента для другого, т.е. роль клиента или сервера устанавливается в каждом
отдельном запросе. Ресурсы сети и управление ей являются
децентрализованными. Поэтому трудно обеспечить безопасность.
Равноправные приложения Р2Р на конечных устройствах позволяют
одновременно функционировать им и как сервер, и как клиент в одном сеансе
связи. Некоторые приложения Р2Р используют гибридную систему, когда
ресурсы и доступ к ним децентрализованы, а информация о нахождении
ресурсов находится в централизованном каталоге.
Согласно модели «клиент – сервер» обмен данными между клиентами
происходит через выделенный сервер. Клиент запрашивает информацию,
пересылая запрос выделенному серверу (upload), который в ответ на запрос
86
посылает файл данных (download), принимаемый клиентом. Следовательно,
клиент инициирует процесс обмена информацией в среде «клиент – сервер»
и получает от сервера требуемую информацию. Пересылка сообщения от
клиента на сервер получил название отправка, а с сервера клиенту –
загрузка. Для реализации такой модели программное обеспечение должно
состоять из двух частей: клиентского (клиент) и серверного (сервер)
приложений.
Главным достоинством модели «клиент – сервер» является
централизация управления сетью, что повышает безопасность сети.
7.3. Протоколы прикладного уровня
Протоколы передачи электронной почты
При передаче электронной почты и взаимодействии почтовых серверов
между собой используется простой протокол передачи почты (Simple Mail
Transfer Protocol – SMTP), у которого номер порта 25. Для получения
клиентом сообщения с сервера используется протокол почтового отделения
(Post Office Protocol – POP) с номером порта 110 или протокол доступа к
сообщениям (Internet Messaging Access Protocol – IMAP).
На рис. 7.1 приведена модель клиент-сервер в службе электронной
почты. При пересылке почты от клиента на сервер используется протокол
SMTP. Получив сообщение клиента, сервер ставит его в очередь или
пересылает на другой сервер, используя протокол SMTP.
Сервер
Download
Upload
POP
SMTP
Клиент
Рис. 7.1. Модель клиент-сервер в службе электронной почты
87
Когда почтовый сервер получает сообщение, предназначенное для его
клиента, он хранит это сообщение и ждет, когда адресат назначения заберет
свою почту, используя один из почтовых протоколов (POP3 или IMAP4),
которые на транспортном уровне используют протокол TCP для надежной
доставки данных.
Почтовые серверы общаются друг с другом, используя протокол SMTP,
который транспортирует почтовые сообщения в текстовом формате,
взаимодействуя с TCP.
В процессе подготовки электронной почты используется клиентское
приложение, называемое почтовый агент пользователя, почтовый клиент
(Mail User Agent – MUA). Приложение MUA позволяет посылать сообщения
и помещать полученные сообщения в почтовый ящик клиента (рис. 7.2).
Клиент
получатель
Клиент
отправитель
SMTP
Mail User Agent
MUA
Сервер
SMTP
Mail Transfer Agent
MTA
Сервер
POP
Mail Delivery Agent
MDA
Mail Transfer Agent
MTA
Mail User Agent
MUA
Рис. 7.2. Передача электронной почты по сети
При передаче сообщений между серверами используется Агент
передачи почты (Mail Transfer Agent – MTA). Агент MTA получает
сообщения от MUA или от другого MTA и передает их по сети. Агенты MTA
используют протокол SMTP, для передачи электронной почты между
серверами. Если сообщение из сервера может быть отправлено сразу клиенту
локальной сети, то подключается Агент доставки почты (Mail Delivery Agent
– MDA). Агент MDA получает прибывающую почту от MTA и помещает ее в
соответствующие почтовые ящики пользователей, используя протокол РОР.
88
Протокол HTTP
Самым распространенным протоколом прикладного уровня в
настоящее время является протокол передачи гипертекстовой
информации (Hypertext Transfer Protocol – HTTP), который работает в сети
Интернет. Его основным приложением является Web-браузер, который
отображает данные на Web-страницах, используя текст, графику, звук и
видео. Web-страницы создаются с использованием языка разметки
гипертекста Hypertext Markup Language (HTML), который определяет
местоположения для размещения текста, файлов и объектов, которые
должны быть переданы от сервера по сети до Web-браузера. Протокол HTTP
имеет номер порта – 80, и функционирует совместно с протоколом
транспортного уровня TCP.
Протокол HTTP характеризуется сравнительно невысоким уровнем
безопасности, поскольку передаваемые по сети сообщения не зашифрованы.
Для повышения уровня безопасности передачи сообщений через Интернет
разработан протокол HTTP Secure (HTTPS). В этом протоколе используется
процесс шифрования (криптографирования) данных (encryption) и
аутентификации (authentication), что существенно повышает уровень
безопасности. Номер порта протокола HTTPS – 443.
Система доменных имен DNS
Система доменных имен (Domain Name System – DNS), используется
в Интернете для того, чтобы переводить имена сайтов или доменов в
числовые значения IP-адреса. При передаче сообщений по сети используются
IP-адреса. Однако людям легче запомнить доменное имя, например,
support.huawei.com, чем числовой адрес 87.245.195.73. Кроме того,
числовые адреса могут со временем меняться.
Поскольку для передачи по сети требуется числовой IP-адрес, то
конечный узел (хост) обращается к DNS-серверу и по имени сайта получает
соответствующий адрес. Служба DNS использует распределенный набор
серверов разного уровня иерархии, чтобы получить требуемое соответствие
между именем и числовым IP-адресом.
89
Операционные системы компьютеров содержат утилиту nslookup,
которая позволяет пользователю вручную запрашивать адрес сервера и
идентифицировать название хоста.
Протокол динамического конфигурирования узлов DHCP
Всем устройствам, которые обмениваются сообщениями через сеть
Интернет, необходимы уникальные IP-адреса. Эти адреса могут назначаться
в статическом или динамическом режиме. В статическом режиме адреса
вручную назначает администратор при конфигурировании серверов,
маршрутизаторов, сетевых принтеров и других устройств, адреса которых
меняются редко. В то же время, адреса рабочих станций могут изменяться
достаточно часто.
Протокол динамического конфигурирования узлов (Dynamic Host
Configuration Protocol – DHCP) позволяет автоматизировать процесс
назначения IP-адресов рабочим станциям из диапазона, предоставленного
администратору
провайдером.
Динамическое
назначение
адресов
протоколом DHCP производится по запросу клиента на определенный
промежуток времени, для продления которого пользователь должен
периодически обращаться к серверу. При освобождении IP-адресов они
возвращаются DHCP-серверу, который перераспределяет их. При повторном
запросе клиента, освободившего IP-адрес, сервер пытается назначить ранее
использовавшийся адрес. Помимо IP-адреса протокол DHCP предоставляет
пользователю еще целый ряд параметров (маску подсети, шлюз по
умолчанию, IP-адрес сервера DNS и др.).
В качестве DHCP-сервера могут работать различные устройства при
установке соответствующего программного обеспечения. В локальных сетях
сервер конфигурируется либо на выделенном персональном компьютере,
либо на локальном маршрутизаторе, который получает IP-адреса с DHCPсервера провайдера.
Получение адресной информации от DHCP-сервера (IP-адрес, маска
подсети, адрес шлюза по умолчанию, адрес DNS-сервера) происходит за 4
этапа (рис. 7.3):
90
1. Клиент, которому необходима адресная информация, посылает в сеть
кадр с МАС-адресом назначения FF-FF-FF-FF-FF-FF широковещательного
запроса DHCP DISCOVER для обнаружения серверов.
2. Сервер отвечает предложением арендовать IP-адрес (DHCP OFFER) с
использованием одноадресной рассылки.
3. В локальной сети может быть несколько DHCP-серверов. Поэтому
клиент выбирает сервер и посылает ему запрос DHCP REQUEST.
Сервер отвечает положительным подтверждением DHCP PACK или дает
отрицательный ответ DHCP NAK, если истекло время действия предложения
или предложенный адрес уже передан другому клиенту. В этом случае
процесс получения адресной информации нужно начать заново с посылки
широковещательного запроса DHCP DISCOVER. Продление срока аренды
IP-адреса производится путем посылки запроса DHCP REQUEST.
DHCP DISCOVER
DHCP OFFER
DHCP REQUEST
Сервер
DHCP
Сервер
DHCP
DHCP PACK
Рис. 7.3. Получение адресной информации от DHCP-сервера
Протоколы удаленного доступа
Протокол Telnet обеспечивает подключение к командной строке
удаленного узла, т.е. обеспечивает виртуальное соединение пользователя с
удаленными сетевыми устройствами: компьютерами, маршрутизаторами,
коммутаторами. Чтобы сделать подключение клиента по протоколу Telnet,
задают имя удаленного узла. В качестве имени узла используется IP-адрес
или имя доменной системы DNS удаленного устройства. Вся обработка
информации и использование памяти производится на процессоре
удаленного устройства, а отображение результатов конфигурирования
91
протокол Telnet транслирует на монитор пользователя. Telnet работает на
прикладном уровне модели TCP/IP, OSI, поэтому охватывает все уровни
модели. Номер порта протокола Telnet – 23.
Протокол Telnet поддерживает аутентификацию, поэтому на удаленном
устройстве задается пароль, который должен знать пользователь. Однако
Telnet не поддерживает криптографирование данных, которые передаются по
сети как простой текст. Это означает, что данные могут быть перехвачены.
Для защиты передаваемой информации разработан протокол удаленного
доступа, обеспечивающий шифрование передаваемых данных (Secure Shell –
SSH). Он обеспечивает криптографирование данных и более надежную
аутентификацию, номер порта – 22.
Вопросы по разделу 7
1. Какие уровни модели OSI соответствуют уровню приложений модели
TCP/IP?
2. Где находятся основные ресурсы сети модели «клиент – сервер»?
3. Где находятся основные ресурсы сети модели «peer-to-peer»?
4. В чем различие сетей моделей с выделенным сервером и одноранговых с
точки управления и безопасности?
5. Какие функции выполняет протокол HTTP?
6. В чем различие между протоколами HTTP и HTTPS?
7. Для чего используется система доменных имен DNS?
8. По какой команде можно получить адрес DNS сервера?
9. Если удаленный сайт сменил IP-адрес, то может ли пользователь
получить доступ к нему?
10.Какие протоколы обеспечивают удаленный доступ, т.е. подключение
пользователя к командной строке удаленного узла?
11. Какой протокол обеспечивает динамическое конфигурирование узлов?
12. Какие сообщения используются для обращения к DHCP серверу?
Упражнения
1. Перечислите номера портов протоколов HTTP, HTTPS, FTP, DNS, Telnet,
SMTP, РОР. Укажите, какие функции выполняют данные протоколы.
2. Назовите протоколы передачи электронной почты. Объясните различие
протоколов POP и IMAP.
3. С использованием командной строки выполните команды: ipconfig,
nslookup на своем компьютере. Прокомментируйте результат.
92
8. АДРЕСАЦИЯ В IP - СЕТЯХ
8.1. Логические адреса версии IPv4
Узлы IP-сети имеют уникальные физические и логические адреса.
Физический адрес устанавливается изготовителем аппаратных средств,
например, МАС-адрес сетевой карты NIC, который «прошивается» в ПЗУ.
Логический адрес устанавливается администратором или назначается
динамически протоколом DHCP из диапазона выделенных провайдером
адресов.
Логические адреса узлов в IP-сетях версии IPv4, используемой в
настоящее время, содержат 32 двоичных разряда, т.е. 4 байта (4 октета).
Каждый из 4 байт адреса в технической документации отображается
десятичным числом, а байты разделяются точкой, например, 172.100.220.14.
Часть этого адреса (старшие разряды) является номером сети, а другая
часть (младшие разряды) – номером узла в сети. Таким образом, IP-адреса
являются иерархическими, в отличие от плоских МАС-адресов.
Граница между сетевой и узловой частью может проходить в
произвольной части адреса, при этом адресация называется бесклассовой
(classless). При адресации на основе полного класса (classfull) граница между
сетевой и узловой частью проходит по границе байтов и сетевая часть строго
определенного размера. Адреса делятся на классы в соответствии с тем,
сколько байт адреса относится к номеру сети, а сколько к номеру узла. Для
уникальной адресации узлов (unicast) используются три класса адресов.
В адресе класса А старший байт задает адрес сети, а три младших
байта – адрес узла (host). Причем старший бит адреса равен 0.
0
      
2-ой байт
№ сети – 1 байт
3-ий байт
4-ый байт
№ узла – 3 байта
В адресе класса В два старших байта задают адрес сети, а два младших байта
– адрес узла. Значение двух старших бита адреса – 10.
1
0      
2-ой байт
№ сети – 2 байта
3-ий байт
4-ый байт
№ узла – 2 байта
93
В адресе класса С три старших байта задают адрес сети, а младший байт –
адрес узла. Значение трех старших битов адреса – 110.
1
1 0     
2-ой байт
3-ий байт
№ сети – 3 байта
4-ый байт
№ узла – 1 байт
Существует также многоадресный или групповой (multicast) класс D
и резервный класс E. При групповой адресации сообщение передается всем
узлам и интерфейсам, на которых помимо уникальных адресов unicast
сконфигурированы адреса класса D (multicast). Дополнительная информация
по классам и адресам приведена в табл. 8.1.
Таблица 8.1
Классы IP адресов
Класс
Первый байт
адреса
Наименьший
адрес сети
Наибольший
адрес сети
Максимальное
число узлов
A
0
1.0.0.0
126.0.0.0
224 - 2
B
10
128.0.0.0
191.255.0.0
216 - 2
C
110
192.0.0.0
223.255.255.0
D
1110
224.0.0.0
239.255.255.255
multicast
E
11110
240.0.0.0
247.255.255.255
Резерв
254
Номер узла (адрес host) не может состоять только из одних единиц или
нулей. Если в поле адреса узла все нули, то это означает, что задается
номер (адрес) сети или подсети. Если же в этом поле все двоичные разряды
равны единице, то это означает широковещательный (broadcast) адрес,
когда сообщение предназначено всем узлам сети, в которой находится узел,
сформировавший данный пакет, т.е. источник передаваемой информации.
Этим объясняется уменьшение максимального числа узлов в сети на 2 (см.
табл.8.1). Таким образом, максимальное число узлов в сети класса С будет
равно 28 – 2 = 254.
Старший разряд адреса класса А всегда равен 0, поэтому адреса сетей
могут находиться в диапазоне от 1 до 127. Однако адрес 127.0.0.1
предназначен для самотестирования, по этому адресу узел обращается к
самому себе, проверяя, установлен ли протокол TCP/IP на этом узле.
Поэтому адрес сети 127.0.0.0 не входит в состав адресов таблицы 8.1.
94
С целью сокращения количества адресов, которыми оперирует
маршрутизатор, в его таблице маршрутизации задаются адреса сетей, а не
узлов. В то же время, в адресной части пакета задаются адреса узлов (см. рис.
5.1). Поэтому маршрутизатор, получив пакет, должен из адреса узла
назначения получить адрес сети. Эту операцию маршрутизатор реализует
путем логического умножения сетевого адреса узла на маску. Число
разрядов маски равно числу разрядов IP-адреса. Непрерывная
последовательность единиц в старших разрядах маски соответствует числу
разрядов адреса, относящихся к номеру сети. Младшие разряды маски,
равные нулю, соответствуют разрядам адреса узла в сети. При логическом
умножении адреса узла на маску получается адрес сети. Например, при
умножении IP-адреса 192.100.12.67 на стандартную маску класса С, равную
255.255.255.0, получается следующий результат:
11000000.01100100.00001100.01000011
11111111.11111111.11111111.00000000
11000000.01100100.00001100.00000000
т.е. получен адрес сети 192.100.12.0.
Аналогичная запись предыдущего адреса с соответствующей маской
класса С может также иметь следующий вид: 192.100.12.67/24, означающий,
что маска содержит единицы в 24 старших разрядах. При этом 24 старших
разряда будут одинаковы для всех узлов сети, т.е. образуют общую часть
адреса, называемую префиксом. Именно префикс имеет обозначение /24 в
данном примере..
Стандартная маска адреса класса В имеет 16 единиц в старших
разрядах и 16 нулей в младших. Поэтому, если адрес узла будет равен
172.16.37.103/16, то адрес сети будет равен 172.16.0.0. Маска адреса класса А
имеет 8 единиц в старших разрядах и 24 нуля в младших. Поэтому,
например, адресу узла 10.116.37.103/8 соответствует адрес сети 10.0.0.0.
Разбиение адресов на классы жестко задает максимальное количество
узлов в сети. Этому типу адресации соответствуют протоколы
маршрутизации типа Classful, которые требуют, чтобы использовалась
единая (стандартная) маска сети. Например, сети с адресом 192.168.187.0
95
соответствует стандартная маска 255.255.255.0, а сети 172.16.0.0 –
стандартная маска 255.255.0.0.
IP-адреса узлов могут назначаться администратором вручную
(статическая адресация), что очень кропотливо. Протокол динамического
конфигурирования узлов (Dynamic Host Configuration Protocol – DHCP)
позволяет узлу динамически без участия администратора получать IP-адрес.
Нужно только определить диапазон разрешенных IP-адресов на DHCPсервере.
Для назначения адреса вручную в главном меню компьютера нужно
последовательно выбрать: “Пуск”, “Настройка”, “Панель управления”,
“Сетевые подключения”, “Подключение по локальной сети”. Во
всплывшем окне (рис. 8.1 а) выбрать “Свойства”. В следующем окне
выбрать “Протокол Интернета (TCP/IP)” (рис. 8.1 б), затем “Свойства”.
а)
б)
Рис. 8.1. Окна выбора протокола TCP/IP
При
использовании
статической
адресации
администратору
необходимо вручную назначить IP-адрес, маску подсети и основной шлюз по
умолчанию (рис. 8.2).
96
Рис. 8.2. Назначение IP-адреса администратором вручную
Кроме того, при конфигурировании могут задаваться адреса серверов
системы доменных имен (Domain Name System – DNS), которые преобразуют
имена сайтов назначения в IP-адреса.
Вручную назначаются адреса сетевым принтерам, серверам и
интерфейсам маршрутизаторов.
Протокол динамического конфигурирования узлов DHCP позволяет
узлу динамически без участия администратора получать IP-адрес, облегчая
работу администратора и исключая ошибочное назначение адресов, уже
используемых другим пользователями. Протокол DHCP присваивает узлам
IP-адреса временно из пула (набора) адресов, полученного у сетевого
оператора (провайдера). Если пользователь уходит из сети, то его IP-адрес
возвращается в пул и может быть использован другим пользователем или
прежним при возвращении в сеть. Протокол DHCP старается сохранять за
пользователем ранее использовавшийся IP-адрес.
Настройки адресов компьютера можно посмотреть по команде ipconfig
в командной строке (рис. 8.3). В данном примере на компьютере задан адрес
97
IPv4 – 10.0.100.62 и адрес IPv6 – 2001:0:9d38:6ab8:10d7:3e31:f5ff:9bc1. Кроме
того, на компьютере задан локальный IPv6-адрес канала.
Рис. 8.3. Результат выполнения команды ipconfig
8.2. Виды рассылки данных
В сетях IPv4 используются следующие виды рассылки данных:
одноадресная (unicast),
широковещательная (broadcast),
многоадресная (multicast).
При одноадресной рассылке, например, когда узел А (рис. 8.4)
посылает сообщение узлу G, в заголовке пакета задаются индивидуальные
(уникальные) адреса источника (192.168.1.11) и назначения (192.168.1.30).
Следует отметить, что адрес источника сообщения – всегда уникальный.
При широковещательной рассылке пакет адресуется всем узлам в сети.
Например, адреса источника (192.168.1.11) и назначения (192.168.1.255).
Узловая (хостовая) часть адреса в двоичном коде содержит все единицы, в
десятичной форме – 255. Адрес назначения 192.168.1.255 является адресом
98
прямой широковещательной рассылки, когда сообщение передается всем
узлам в сети (192.168.1.0), причем, сообщение можно переслать даже из
другой сети.
S1/1
S1/2
F0/0
A
B
192.168.1.11
192.168.1.12
C
...
192.168.1.13
224.0.0.50
G
192.168.1.30
224.0.0.50
Рис. 8.4. Сеть передачи данных
Ограниченная широковещательная рассылка только внутри
локальной сети всегда использует адрес 255.255.255.255. Маршрутизаторы
блокируют сообщения с ограниченной широковещательной рассылкой,
разделяя сеть на широковещательные домены.
При многоадресной рассылке, например, когда узел А (рис. 8.4)
одновременно посылает сообщение узлам С и G, в заголовке пакета задаются
индивидуальный (уникальный) адрес источника (192.168.1.11) и групповой
адрес назначения (224.0.0.50). Такое сообщение получат все узлы, имеющие
групповой адрес 224.0.0.50. Следует отметить, что узлы С и G будут также
получать сообщения с уникальными адресами назначения 192.168.1.13 и
192.168.1.30 соответственно. Групповые адреса назначаются из диапазона
224.0.0.0 – 239.255.255.255. Зарезервированные локальные адреса диапазона
224.0.0.0 – 224.0.0.255 обычно используется маршрутизаторами при обмене
маршрутной информацией. Пакеты с такими адресами не пересылаются за
пределы локальной сети. Глобальные адреса 224.0.1.0 – 238.255.255.255
используются для многоадресной рассылки сообщений через Интернет.
99
8.3. Частные и публичные адреса
Адреса всех пользователей сети Internet должны быть уникальными.
Первоначально уникальность адресов обеспечивал центр Internet Network
Information Center (Inter NIC), на смену которому пришла Администрация
адресного пространства Интернет (Internet Assigned Numbers Authority –
IANA). IANA управляет IP-адресами, чтобы не произошло дублирования
общедоступных (публичных) адресов, распределяя их между пятью
Региональными Интернет регистраторами (Regional Internet Regiestry – RIR):
ARIN (Северная Америка), RIPE (Россия, Европа, страны СНГ, Ближняя
Азия), APNIC (Азия и Австралия), LACNIC (Латинская и Южная Америка),
AfriNIC (Африка). Таким образом, все общедоступные (публичные) адреса
должны быть зарегистрированы регистратором RIR, который выделяет
адреса сетевым операторам и провайдерам, а те, в свою очередь, выделяет
адреса сетевым администраторам и отдельным пользователям.
В связи с быстрым ростом Internet, существует дефицит публичных
адресов IPv4. Радикально решить проблему дефицита IP-адресов может
созданная новая шестая версия (IPv6) адресации в IP-сетях. Для смягчения
проблемы нехватки публичных адресов IPv4 были разработаны новые схемы
адресации, такие как бесклассовая междоменная маршрутизация (CIDR) и
адресация на основе масок переменной длины (VLSM).
Кроме того, проблему нехватки публичных адресов может в некоторой
мере ослабить использование частных адресов (Private IP addresses). Сети с
частными адресами, не подключенные к Internet, могут иметь любые адреса,
лишь бы они были уникальны внутри частной сети. Выход в Интернет
пакетов с частными адресами блокируется маршрутизатором. Документ
RFC 1918 устанавливает три блока частных адресов для использования
внутри частных сетей (табл. 8.2).
Таблица 8.2
Диапазоны частных адресов
№
Диапазон адресов
Префикс
1
10.0.0.0 – 10.255.255.255
/8
2
172.16.0.0 – 172.31.255.255
/12
3
192.168.0.0 – 192.168.255.255
/16
100
Таким образом, частные адреса не могут быть использованы
непосредственно в сети Интернет, т.к. маршрутизаторы отбрасывают пакеты
с частными адресами. Чтобы узлы с частными адресами могли при
необходимости подключаться к сети Интернет, используются специальные
трансляторы частных адресов в публичные, например, транслятор сетевых
адресов (Network Address Translation – NAT). Данный транслятор переводит
частный адрес в общедоступный. Поэтому экономия IP-адресов может быть
достигнута только за счет того, что не всем узлам частной сети разрешается
выход в Интернет.
Второй тип транслятора (Port Address Translation – PAT) один
публичный адрес комбинирует с набором номеров порта узла источника, т.е.
формируется совокупность комплексных адресов, называемых сокетами,
например 192.168.10.17:1275, 192.168.10.17:1086, 192.168.10.17:2013. При
этом один IP-адрес могут использовать сразу несколько узлов частной сети с
разными номерами портов. Поэтому данный метод трансляции частных
адресов в публичные эффективно экономит общедоступные IP-адреса.
В адресном пространстве IPv4 выделен специальный блок локальных
адресов (169.254.0.0 – 169.254.255.255), когда пересылка сообщений
возможна только в пределах локальной сети. Эти адреса используются в тех
случаях, когда получение IP-адреса от DHCP-сервера невозможно, например,
в одноранговых сетях peer-to-peer.
Другой блок адресов (192.0.2.0 – 192.0.2.255), называемый TEST-NET,
зарезервирован для учебных целей и для использования в документации.
Для использования в сетях операторов связи выделены частные адреса
общего адресного пространства 100.64.0.0/10.
101
8.4. Общие сведения об адресах версии IPv6
Версия IPv6 использует для адресации 128 двоичных разрядов, что
обеспечивает адресацию 3,4 1038 объектов.
Адрес IPv6 состоит из 8 блоков по 16 двоичных разрядов. Каждый
блок представлен в виде четырех шестнадцатеричных чисел.
Блоки разделяются двоеточием:
2001:0000:7ee5:d947:0009:01c5:6b9f:00c4.
Впереди стоящие нули могут быть пропущены:
2001:0:7ee5:d947:9:1c5:6b9f:c4
.Несколько нулей подряд в адресе IPv6 могут быть заменены двойным
двоеточием, так адрес 2001:0:0:0:0:0:0:c4 может быть представлен 2001::c4.
Два двоеточия подряд могут быть использованы только один раз.
Адреса версии IPv6 являются иерархическими, также как и IPv4.
Младшие разряды задают номер узла (идентификатор интерфейса), а
старшие разряды – для задания префикса адреса (номера) сети, подсети.
Длина префикса может находиться в диапазоне от 0 до 128. В большинстве
случаев префикс составляет /64, т.е. сетевая часть адреса составляет 64 бита.
Оставшиеся 64 бита идентифицируют интерфейс или узел сети (рис. 8.5).
Префикс адреса (64 бита)
127
Идентификатор интерфейса (64 бита)
64 63
0
Рис. 8.5. Формат адреса IPv6
Поле префикса формата версии IPv6 имеет размер 3 бита и значение в
двоичном коде 001. Поэтому адреса версии IPv6 могут начинаться либо с
шестнадцатеричной цифры 2 (0010), либо 3 (0011). В настоящее время
организация IANA задает три старших разряда адреса IPv6 в
шестнадцатеричном коде в виде 200, т.е. все адреса начинаются с цифры 2.
Таким образом, IANA в настоящее время определяет 12 старших битов
адреса IPv6 (0010 0000 0000). Следующие 12 разрядов адреса
идентифицируют регионального регистратора RIR. Например, регистратор
APNIC представлен шестнадцатеричным значением 102 (0001 0000 0010),
ARIN – значением 104 (0001 0000 0100), а RIPE представлен значением 106
102
(0001 0000 0110). Следовательно, IANA и RIR задают старшие 24 двоичные
разряда адреса IPv6. Например, адрес RIPE в шестнадцатеричной форме
будет составлять 2001:06. Оставшиеся два шестнадцатеричных числа второго
блока адреса IPv6 идентифицируют крупных сетевых операторов.
В протоколе IPv6 адрес 2001:0DB8::/32 зарезервирован для
использования в документации и в примерах. Поэтому во всех
последующих примерах использован именно этот адрес.
Старшие 32 двоичных разряда адреса (рис. 8.6) образуют префикс
провайдера /32 (2001:0db8).
Идентификатор интерфейса (64 бит)
2001
Префикс ISP /32
Префикс сайта /48
Префикс подсети /64
Рис. 8.6. Префиксы формата адреса IPv6
Следующий (третий) блок образует префикс глобальной
маршрутизации или, по-другому, префикс сайта /48. Префикс глобальной
маршрутизации /48 обычно выделяется интернет-регистратором крупным
корпоративным сетям, но может назначаться и индивидуальным
пользователям. Администраторы, получившие в пользование диапазон
адресов с префиксом /48, имеют возможность создания 64К (65536) подсетей,
адреса которых задаются четвертым блоком, т.е. 16 двоичными разрядами
указанного блока адреса IPv6. Ниже на рис. 8.7 приведен пример адреса
2001:db8:a:1:2:b3ff:fe18:a1d7 и функций его отдельных разрядов.
В приведенном примере организация IANA задает значение 200 трех
старших шестнадцатеричных чисел адреса IPv6. Региональный регистратор
идентифицируется значением 10d. Таким образом, IANA и RIR задают
старшую часть адреса IPv6 (2001:0d). Оставшиеся два шестнадцатеричных
числа (b8) второго блока (второго хекстета) адреса IPv6 идентифицируют
103
провайдера (ISP). Поэтому старшие 32 двоичных разряда адреса (рис. 8.7)
образуют префикс провайдера (2001:0db8/32).
200
10d
b8
000a
IANA Регистратор ISP
Сайт
Префикс глобальной маршрутизации
(префикс сайта /48)
0001
0002:b3ff:fe18:a1d7
ID подсети
(16 бит)
Идентификатор (ID)
интерфейса (64 бит)
Рис. 8.7. Поля адреса IPv6
Значение адреса поля сайта (000a) выдается отдельным городам,
районам, организациям, т.е. адресует определенный сайт. Поэтому старшие
48 двоичных разрядов адреса образуют префикс сайта или префикс
глобальной маршрутизации (рис. 8.7).
Четвертый блок адреса (0001) задает адрес подсети внутри сайта, т.е.
используется для адресации подсетей пользователя. Таким образом, сетевой
администратор, имея 16 двоичных разрядов поля ID подсети, может
сформировать до 65536 отдельных подсетей. То есть, старшие 64 двоичных
разрядов адреса IPv6 образуют префикс подсети 2001:db8:000a:0001/64 или
2001:db8:a:1/64.
Последние 4 блока шестнадцатеричного адреса (0002:b3ff:fe18:a1d7 на
рис. 8.7) составляют идентификатор интерфейса, где могут задаваться
МАС-адреса, АТМ-адреса, телефонные номера, а также адреса IPv4, что
обеспечивает совместимость с ранее разработанными технологиями.
Идентификатор интерфейса может быть сконфигурирован вручную
администратором или задан динамически, например, с использованием
механизма расширенного уникального идентификатора EUI-64 (Extended
Unique Identifier). При задании МАС-адреса в поле идентификатора
интерфейса механизм EUI-64 расширяет 48 бит MAC-адреса до 64 битов. Для
этого 16-битовое число 0xFFFE, представленное в шестнадцатеричной
системе, вставляется в середину MAC-адреса, чтобы создать 64-битовый
уникальный идентификатор интерфейса, как показано в примере рис. 8.8.
Старшие 24 двоичных разряда идентификатора интерфейса представляют
собой уникальный идентификатор организации (OUI), выпускающей сетевое
оборудование.
104
00
0С B3 18 A1 D7
02 0С B3 FF FE 18 A1 D7
Рис. 8.8. Формирование идентификатора интерфейса из MAC-адреса
В процессе создания идентификатора интерфейса с использованием
механизма EUI-64 старший седьмой бит инвертируется (00:0С:В3 →
02:0С::В3). В двоичном коде:
0000 0000:0000 1100:1011 0011 → 0000 0010:0000 1100:1011 0011.
Младшие 24 двоичных разряда являются уникальным идентификатором
устройства.
Таким образом, в поле идентификатора интерфейса можно
разместить физический МАС-адрес длиной 48 бит (вместе со вставкой FF FE
образуют физический адрес длиной 64 двоичных разряда). В этом случае
идентификаторы интерфейса могут быть получены динамически из адреса
Уровня 2. Поэтому отпадает необходимость в протоколе ARP, что ускоряет
процесс продвижения пакета.
8.5. Типы адресов IPv6
Протокол IPv6 предусматривает 3 типа адресов:
1. Индивидуальный (unicast) – идентифицирует интерфейс устройства.
Адрес источника сообщения всегда должен быть индивидуальным.
2. Групповой (multicast) – реализует многоадресный режим передачи.
Протокол IPv6 не предусматривает широковещательную передачу
сообщений. Однако групповой метод может осуществить рассылку
сообщений всем узлам локальной сети.
3. Произвольный (anycast) – назначается нескольким устройствам (как
при групповом методе передачи), но пакет с произвольным адресом
назначения доходит до ближайшего устройства с таким адресом.
105
8.5.1. Индивидуальные адреса IPv6
Протокол IPv6 предусматривает несколько типов индивидуальных адресов:
1. Специальные адреса
2. Глобальные индивидуальные адреса
3. Локальные адреса канала
Специальные адреса
1. Адрес логического интерфейса loopback ::1/128 или ::1 протокола
IPv6 аналогичен адресу 127.0.0.1 протокола IPv4. Он служит для
самотестирования, когда проверяется, установлен ли стек протоколов TCP/IP.
2. Неопределенный адрес ::/128 или :: протокола IPv6 в некоторых
случаях используется в качестве адреса источника в пакете, когда источнику
еще не назначен постоянный индивидуальный адрес.
3. Встроенные адреса IPv4 необходимы на период перехода от IPv4 к
IPv6.
Для преобразования адреса IPv6 в адрес IPv4 разработан подтип
адреса, в котором 4 младших байта содержат адрес предыдущей версии
IPv4, а старшие 12 байт – содержат нули. При преобразовании адреса
IPv4 в адрес IPv6 младшие 4 байта содержат адрес версии IPv4, байты 5 и
6 содержат единицы, а старшие 10 байт содержат нули.
Глобальные индивидуальные адреса IPv6
Глобальные индивидуальные адреса IPv6 являются уникальными во
всей сети Интернет. Также как уникальные адреса IPv4 они либо
назначаются
администратором
статически,
либо
присваиваются
динамически.
Глобальный индивидуальный адрес IPv6 состоит из трех частей (рис. 8.9):
1. префикса глобальной маршрутизации (48 старших бит адреса)
2. идентификатора подсети (16 бит)
3. идентификатора интерфейса (64 младших бита адреса).
106
Префикс глобальной
маршрутизации
48 бит
Идентификатор
подсети
16 бит
Идентификатор интерфейса
64 бита
Рис. 8.9. Три части адреса IPv6
Глобальные индивидуальные адреса могут либо назначаться
администратором статически, либо динамически (автоматически).
Статическое конфигурирование интерфейсов IPv6 аналогично IPv4
и сводится к заданию адресов, включению интерфейсов, конфигурированию
DCE на последовательных соединениях. Ниже приведен пример
конфигурирования интерфейсов маршрутизатора HА сети IPv6 (рис. 8.10).
Префикс глобальной маршрутизации 2001:db8:a/48, подсети 1, 2, 3, 4.
2001:db8:a:2::/64
.1
.2
G0/0/1
Sw
Sw
.1
HA G0/0/1 G0/0/2 HB
G0/0/0 .1
G0/0/0 .1
G0/0/2
.2
HC
Сеть 3
2001:db8:a:3::/64
Sw
Сеть 1
РС
.11 2001:db8:a:1::/64
Сеть 4
РС
.42 2001:db8:a:4::/64
Рис. 8.10. Пример адресов интерфейсов сети IPv6
Сеть рис. 8.10 реализована на аппаратуре Huawei, поэтому при
конфигурировании необходимо разрешить работу ipv6 на интерфейсе по
команде ipv6 enable:
<HA>system-view
[HA]int g0/0/0
[HA-GigabitEthernet0/0/0]ipv6 enable
[HA-GigabitEthernet0/0/0]ipv6 address 2001:db8:a:1::1/64
[HA]int g0/0/0
[HA-GigabitEthernet0/0/1]ipv6 enable
[HA-GigabitEthernet0/0/1]ipv6 address 2001:db8:a:2::1/64
107
Конфигурацию интерфейсов можно посмотреть по команде:
<HA>display ipv6 interface brief
...
Interface
Physical
GigabitEthernet0/0/0
up
[IPv6 Address] 2001:DB8:A:1::1
GigabitEthernet0/0/1
up
[IPv6 Address] 2001:DB8:A:2::1
<HA>
Protocol
up
up
Аналогично конфигурируются остальные маршрутизаторы HB, HC.
Поскольку IPv6 позволяет устанавливать на интерфейс несколько адресов,
то ошибочно введенный адрес необходимо удалить по команде:
undo ipv6 address,
а не просто перезаписать новый адрес, как в IPv4.
При автоматическом назначении глобальных индивидуальных
адресов IPv6 используются три варианта:
1.
Автоконфигурирование без сохранения состояния адреса, когда
адресную информацию (значение префикса, адрес шлюза по
умолчанию) устройство получает от маршрутизатора.
2.
Всю адресную информацию устройство получает от сервера DHCP.
3.
Адресную информацию устройство получает от маршрутизатора,
дополнительную информацию – от сервера DHCP.
В первом случае используются сообщения «Объявления
маршрутизатора IPv6», которые маршрутизатор IPv6 рассылает
периодически каждые 200 секунд в режиме многоадресной групповой
рассылки. Для ускорения получения адресной информации устройство может
послать «Запрос маршрутизатора IPv6», ответ на который приходит
немедленно.
Во втором случае сервер DHCPv6 назначает устройству полный
глобальный адрес, включающий префикс и идентификатор интерфейса.
МАС-адрес, созданный EUI-64, позволяет определять идентификатор узла
назначения, что снижает безопасность передачи данных по сети. Случайно
108
сгенерированное
безопасность.
значение
идентификатора
интерфейса
повышает
Третий случай – гибридный, часть адресной информации (префикс)
узел получает от маршрутизатора, а дополнительную, например, адрес DNS –
от сервера DHCPv6.
Конфигурирование адресов IPv6 интерфейсов маршрутизатора не
достаточно для того, чтобы маршрутизатор мог функционировать, рассылая
сообщения «Объявления маршрутизатора IPv6». Маршрутизация IPv6
включается после выполнения команды ipv6:
[HA]ipv6.
Кроме того, на маршрутизаторе необходимо сконфигурировать
протокол динамической маршрутизации или сконфигурировать статические
маршруты. После этого маршрутизатор сможет пересылать пакеты и
отправлять служебные сообщения «Объявления маршрутизатора IPv6».
При конфигурировании устройств IPv6 необходимо учитывать, что
устройство может получить индивидуальный IPv6-адрес динамически и,
кроме того, на нем может быть сконфигурировано статически несколько
IPv6-адресов одной сети. Устройство также может функционировать с
несколькими шлюзами по умолчанию.
При рассылке сообщений «Объявления маршрутизатора IPv6» в
качестве адреса источника сообщения и адреса шлюза по умолчанию
используются локальные адреса.
Локальные индивидуальные адреса канала
Локальные индивидуальные адреса канала используются для обмена
сообщениями внутри подсети (локального канала), где они должны быть
уникальными. Пакеты с локальными адресами канала не могут пересылаться
в другие подсети. Локальные индивидуальные адреса канала могут быть
назначены администратором вручную или динамически, когда устройство
автоматически создает его без обращения к серверу DHCP.
109
Локальные индивидуальные адреса канала назначаются из диапазона
FE80::/10 – FEBF::/10. В двоичном коде эти адреса будут следующие:
1111 1110 1000 0000 – 1111 1110 1011 1111. Для локальных индивидуальных
адресов канала обычно используется префикс FE80::/64 с идентификатором
интерфейса, сгенерированным случайным образом или созданным
механизмом EUI-64 (рис. 8.11).
10 бит
54 бита
64 бита
Идентификатор интерфейса
1111 1110 10
FE80::/64
Рис. 8.11. Локальные индивидуальные адреса канала
Локальный МАС-адрес действителен только в пределах сетевого
сегмента канального уровня. Для определения адресов в других сетях узел
может запросить информацию о настройках сети, отправив запрос протокола
ICMPv6. Объединив сетевой префикс и идентификатор интерфейса, узел
сформирует адрес назначения.
Динамическое назначение локальных индивидуальных адресов IPv6
производится даже тогда, когда глобальный адрес IPv6 еще не назначен.
Например, на конечном узле РС (рис. 8.10) назначен индивидуальный
локальный адрес fe80::5689:98ff:fe29:7919, что можно видеть по
команде:
PC>ipconfig
Link local IPv6 address...........:
fe80::5689:98ff:fe29:7919
IPv6 address......................:
IPv6 gateway......................:
IPv4 address......................:
Subnet mask.......................:
Gateway...........................:
Physical address..................:
DNS server........................:
:: / 128
::
0.0.0.0
0.0.0.0
0.0.0.0
54-89-98-29-79-19
PC>
Узловая часть локального адреса сформирована из физического МАСадреса 54-89-98-29-79-19 с использованием механизма EUI-64, т.к. в
110
средину 48-разрядного МАС-адреса вставлено число ff:fe, старший
седьмой бит инвертирован и получен идентификатор размером 64 бита (см.
рис. 8.8):
Шлюзу по умолчанию первого канала (Сеть 1, рис. 8.10) назначается
локальный адрес интерфейса G0/0/0 маршрутизатора HА. Это позволяет
сетевым устройствам обмениваться маршрутной информацией и
пересылать сообщения внутри локального канала без использования
глобальных адресов.
Локальные адреса используются:
1. Для адресации шлюза по умолчанию
2. Для обмена сообщениями протоколов маршрутизации
3. Для адреса следующего перехода в таблицах маршрутизации
Локальные адреса IPv6 интерфейсов маршрутизатора могут быть
получены динамически или сконфигурированы вручную администратором,
например:
[HA]int g0/0/0
[HA-GigabitEthernet0/0/0]ipv6 enable
[HA-GigabitEthernet0/0/0]ipv6 address fe80::11 link-local
[HA]int g0/0/1
[HA-GigabitEthernet0/0/1]ipv6 enable
[HA-GigabitEthernet0/0/1]ipv6 address fe80::11 link-local
Результат конфигурирования виден по распечатке текущей конфигурации:
<HA>display current-configuration
sysname HR-A
#
ipv6
...
interface GigabitEthernet0/0/0
ipv6 enable
ipv6 address 2001:DB8:A:1::1/64
ipv6 address FE80::11 link-local
interface GigabitEthernet0/0/1
ipv6 enable
ipv6 address 2001:DB8:A:2::1/64
ipv6 address FE80::11 link-local
111
На каждом интерфейсе установлен как локальный, так и
глобальный адрес.
В вышеприведенном примере на всех интерфейсах маршрутизатора HА
был сконфигурирован одинаковый локальный адрес FE80::11. Это
возможно, поскольку он должен быть уникальным только в пределах канала
(подсети). На всех интерфейсах второго маршрутизатора HВ может быть
сконфигурирован, например, локальный адрес ipv6
add
fe80::22
link-local. При посылке пакета с локальным адресом назначения,
например при выполнении команды ping, может потребоваться указать
выходной интерфейс, поскольку одинаковый локальный адрес может быть в
разных подсетях, присоединенных к разным интерфейсам.
Проверку состояния интерфейсов маршрутизатора IPv6 можно
проводить с помощью ряда команд: display current-configuration,
display interfaces, display ipv6 interface brief, а также с
помощью команды display ipv6 routing-table.
Следует отметить, что индивидуальный глобальный адрес не является
обязательным, во многих случаях достаточно локального адреса канала,
который создается при конфигурировании соответствующего интерфейса
IPv6.
8.5.2. Групповые адреса IPv6
Групповые адреса IPv6 используются только в качества адреса
назначения и не могут быть адресами источника. Они имеют префикс
FF00::/8 и классифицируются на:
1. Присвоенные групповые адреса
2. Групповые адреса запрошенного узла
112
Присвоенные групповые адреса
Присвоенный групповой адрес FF02::1 используется для передачи
сообщений всем узлам, имеющим такой адрес. Например, в сети рис. 8.12
узлы имеют групповой адрес FF02::1, наряду с индивидуальным адресом. С
использованием группового адреса FF02::1 всем узлам в сети рассылаются
объявления маршрутизатора, содержащие значение префикса, его длину и
адрес шлюза по умолчанию.
2001:0DB8:A:1::1/64
...
FF02::1
2001:0DB8:A:1::2/64
FF02::1
2001:0DB8:A:1::3/64
FF02::1
2001:0DB8:A:1::14/64
Рис. 8.12. Рассылка сообщений по групповому адресу FF02::1
Присвоенный групповой адрес FF02::2 используется для передачи
сообщений всем маршрутизаторам, которым присваивается такой адрес.
Групповой адрес FF02::2 используется устройствами при формировании
запросов маршрутизаторам.
Многоадресный режим широко используется для обмена маршрутной
информацией между маршрутизаторами. Примеры таких адресов протоколов
IPv4 и IPv6 приведены в табл. 8.3.
Таблица 8.3
Адреса многоадресного режима
Протокол
IPv4 (multicast)
IPv6 (multicast)
1
OSPF
224.0.0.5
FF02::5
2
OSPF
224.0.0.6
FF02::6
3
RIP-2
224.0.0.9
FF02::9
4
EIGRP
224.0.0.10
FF02::A
113
Групповой адрес запрошенного узла
Многоадресные сообщения на адрес FF02::1 позволяют реализовать
широковещательные (broadcast) передачи, поскольку передача сообщения
идет всем узлам в сети. Для сокращения трафика может использоваться
групповой адрес запрашиваемого узла (multicast), когда объединяется
префикс группового адреса FF02:0:0:0:0:1:FF00::/104 и младшие 24 бита
глобального индивидуального адреса IPv6.
Пакеты с такими групповыми адресами будут предназначаться только
запрошенным узлам, у которых младшие 24 бита адреса соответствуют
младшим 24 битам IPv6-адреса назначения пакета. При назначении
индивидуального глобального адреса IPv6 автоматически формируется
групповой адрес запрошенного узла. Вероятность того, что в локальном
канале окажется другой узел с таким же групповым адресом запрашиваемого
узла – невелика и составляет 1/224. Режим многоадресной рассылки
запрашиваемого узла обычно используется для определения (разрешения)
МАС-адреса назначения по известному IPv6-адресу.
8.6. Протокол ICMPv6
Для передачи некоторых видов служебной информации в сетях IPv6
используется протокол ICMPv6, принцип работы которого аналогичен
протоколу ICMPv4. Наиболее известными сообщениями ICMPv6 являются:
- подтверждение доступности узла или сервиса (услуги),
- недоступность узла или сервиса,
- истечение времени,
- переадресация маршрута.
Для подтверждения доступности узла используется утилита ping,
когда по заданному IPv6-адресу посылается серия эхо-запросов, на которые,
в случае доступности узла, приходят эхо-ответы. Функционирование
команды ping протокола ICMPv6 аналогично протоколу ICMPv4.
Сообщение об истечении времени жизни пакета приходит в том случае,
если обнуляется значение поля TTL («Время жизни» сетевого протокола IPv4
или аналогичного поля «Ограничение переходов» IPv6). В этом случае пакет
114
отбрасывается и посылается сообщение ICMPv4 или ICMPv6 об истечении
времени жизни пакета. Это свойство используется при реализации утилиты
trace или traceroute. При первой трассировке в пакете запроса задается
значение TTL = 1 и пакет доходит только до первого маршрутизатора, где
значение TTL обнуляется и маршрутизатор формирует ответное сообщение
об истечении времени. При второй трассировке TTL = 2, ответ приходит от
второго маршрутизатора и т.д.
При возникновении новых маршрутов с лучшей метрикой к адресату
назначения протоколы ICMP посылают сообщение переадресации маршрута
источнику передаваемой информации.
Сетевой протокол IPv4 использовал в частных локальных сетях
частные адреса. Похожую возможность предоставляет протокол IPv6. Для
этого могут использоваться уникальные локальные адреса из диапазона
FC00::/7 – FDFF::/7, которые обеспечивают адресацию ограниченного
количества узлов или даже адресацию в пределах одного узла.
Помимо
вышеперечисленных
сообщений
протокол
ICMPv6
предусматривает новые виды сообщений:
«Запрос маршрутизатора»
«Объявление маршрутизатора»
«Запрос соседнего узла»
«Объявление соседнего узла»
Выше было показано, что на «Запрос маршрутизатора IPv6»,
рассылаемый устройством в многоадресном режиме всем маршрутизаторам
IPv6, в режиме SLAAC может быть получена адресная информация (значение
префикса, его длина и адрес шлюза по умолчанию), рассылаемая в
«Объявлениях маршрутизатора IPv6».
Сообщения «Запрос соседнего узла» и «Объявление соседнего узла»
используются для определения (разрешения) МАС-адреса назначения по
известному IPv6-адресу. Действие сообщений «Запрос соседнего узла» и
«Объявление соседнего узла» похоже на функционирование протокола ARP
в сети IPv4. Узел отправляет в локальную сеть запрос с групповым адресом
запрашиваемого узла, в котором объединяется префикс группового адреса
FF02:0:0:0:0:1:FF00::/104 и младшие 24 бита глобального индивидуального
115
адреса IPv6. В ответ на запрос получает от запрашиваемого узла
«Объявление соседнего узла» его МАС-адресом.
Пара сообщений «Запрос соседнего узла» и «Объявление соседнего
узла» используется также для обнаружения адресов дубликатов. Для этого
узел направляет в локальную сеть «Запрос соседнего узла» со своим IPv6адресом. Если в сети есть узел с таким же IPv6-адресом, то он отправляет
«Объявление соседнего узла», которое уведомляет, что запрошенный адрес
уже используется. Если ответ не приходит в течение заданного таймером
времени, то запрошенный IPv6-адрес может быть использован на
запрашивающем узле.
8.7. Методы сетевой миграции
В переходный период будут существовать оба сетевых протокола IPv4
и IPv6. В одних сетях будет использоваться IPv4, в других – IPv6. Поэтому
необходимы механизмы перехода из одной сети в другую. Можно отметить
три таких механизма (три метода сетевой миграции):
двойной стек;
туннелирование;
преобразование адресов.
На период перехода от IPv4 к IPv6 разработан механизм двойного
стека, когда маршрутизаторы, коммутаторы и конечные узлы
конфигурируются, чтобы поддерживать оба протокола, причем, IPv6,
является привилегированным. То есть, на интерфейсах устройств
конфигурируется два стека протоколов.
При туннелировании пакеты IPv6 инкапсулируются в пакеты IPv4,
при этом, пакеты IPv6 воспринимаются как обычные передаваемые данные.
Это позволяет передавать пакеты IPv6 через сети IPv4.
Преобразователи адресов NAT-64 преобразуют адреса пакетов IPv6 в
IPv4 и наоборот. Функционирование NAT-64 напоминает функционирование
транслятора адресов NAT, преобразующего частные адреса в публичные, и
наоборот, в сетях IPv4.
116
Вопросы по разделу 8
1. Кто назначает логические адреса интерфейсам маршрутизаторов и
конечным узлам сети?
2. Сколько двоичных разрядов содержат логические адреса узлов в IP-сетях
версии IPv4?
3. Что определяют старшие и младшие разряды сетевого адреса?
4. Какие классы уникальных адресов используются в сетях?
5. Какие размеры имеют стандартные маски адресов классов А, В, С?
6. Какое максимальное число узлов могут задавать адреса класса С?
7. Какой адрес используется для самотестирования?
8. Для чего нужны сетевые маски?
9. Как называется общая часть адреса нескольких устройств?
10.Какова длина префикса маски 255.255.240.0?
11.Какие устройства делят сеть на широковещательные домены?
12.В чем состоит различие прямой и ограниченной широковещательных
рассылок?
13.В чем состоит различие широковещательной и групповой рассылок?
14.Для чего используются частные адреса в локальных сетях? Каковы их
диапазоны?
15.Что переводит частные адреса в публичные и обратно?
16.Какой диапазон адресов используется в локальных сетях, когда
невозможно получить адрес от протокола DHCP?
17.Какой блок адресов, называемый TEST-NET, зарезервирован для учебных
целей и использования в документации?
18.Какие адреса называют сокетами?
19.Что позволит радикально решить проблему дефицита IP-адресов?
20.Сколько двоичных разрядов содержат логические адреса в IPv6-сетях?
21.Как представлены адреса версии IPv6?
22.Какие типы индивидуальных адресов используются в IPv6-сетях?
23.Каковы три составляющих индивидуального глобального адреса?
24.Из какого диапазона назначаются локальные индивидуальные адреса
канала? Для чего они нужны?
25.Какой используется адрес для передачи сообщения всем узлам в сети?
26.Какой используется адрес для передачи сообщения всем маршрутизаторам
в сети?
27.Какую команду необходимо использовать, чтобы маршрутизатор начал
функционировать в режиме IPv6?
28.Для чего используется многоадресная рассылка запрошенного узла?
29.Для чего необходим протокол ICMP? Какие сообщения он передает?
30.Какие методы сетевой миграции используются для совместной работы
сетей IPv6 и IPv4?
117
Упражнения
1. Приведите примеры адресов конечных узлов классов А, В, С. Используя
стандартные маски, рассчитайте адреса соответствующих сетей.
2. Переведите адреса 10.169.77.19; 172.18.190.59; 192.168.55.112 в двоичную
систему.
3. Рассчитайте максимальное количество узлов в подсетях 10.169.77.16/28;
172.18.190/27; 192.168.55.112/29.
4. Проверьте, установлен ли протокол TCP/IP на Вашем компьютере.
5. Определите параметры настройки адресов компьютера.
6. Проведите тестирование по адресу 127.0.0.1. Объясните результат.
7. Приведите примеры адресов прямой и ограниченной широковещательной
рассылки.
8. Приведите примеры частных адресов из трех выделенных диапазонов.
9. Приведите пример адреса IPv6, зарезервированного для использования в
документации и в учебных целях. Объясните назначение каждого блока.
10.Приведите пример адреса IPv6, идентификатор интерфейса которого
создан с использованием механизма EUI-64.
118
9. ФОРМИРОВАНИЕ ПОДСЕТЕЙ
9.1. Формирование подсетей IPv4
В разделе 8.1 было показано, что при использовании адресации на
основе полного класса (classfull) в сетях класса А может быть адресовано до
(224 – 2) узлов, класса В – (216 – 2) узлов и класса С – 254 узла. Крупные сети
характеризуются сложностью идентификации большого количества узлов,
поэтому задачи динамического конфигурирования узлов возлагаются на
серверы DHCP. Однако широковещательные запросы в больших сетях,
например, при обращении к протоколам DHCP, ARP, требуют значительную
полосу пропускания. Они создают дополнительную нагрузку на сеть и
снижают ее производительность, поскольку широковещательные запросы
должны обрабатываться всеми узлами сети. Кроме того, крупные сети
характеризуются трудностями управления и обеспечения безопасности.
Поэтому большие сети делят на подсети, в которых указанные проблемы
проявляются в меньшей степени.
Серверам, маршрутизаторам, сетевым принтерам IP-адреса
назначают администраторы вручную (статическая адресация).
Деление крупной сети на подсети обычно реализует маршрутизатор,
каждый интерфейс которого подключен к своей непосредственно
присоединенной сети (подсети). Для каждой подсети необходимо задать IPадрес, причем, адресные пространства подсетей не должны
перекрываться. Интерфейс маршрутизатора является шлюзом по
умолчанию для всех конечных узлов непосредственно присоединенной
локальной сети. Таким образом, взаимодействие узлов разных подсетей
происходит через маршрутизатор.
Деление сети на подсети может реализовать и коммутатор, используя
технологию виртуальных локальных сетей VLAN.
При проектировании подсетей необходимо учитывать:
географическое расположение конечных узлов, которые будут
объединены в подсеть;
функциональная принадлежность узлов (учебный класс, деканат, и т.д.);
степень информационной безопасности.
119
Формирование подсетей внутри выделенного адресного пространства
проводит администратор, используя бесклассовую (classless) адресацию,
когда граница между сетевой и узловой частью проходит в произвольном
месте IP-адреса. Например, администратору выделен адрес 198.11.163.0/24
класса С, т.е. выделено адресное пространство в 256 адресов, и ему
необходимо создать 10 компьютерных подсетей по 12 узлов в каждой. Для
адресации 10 подсетей потребуется 4 двоичных разряда адреса, и для
адресации 12 узлов также потребуется 4 бита. Поэтому из узловой части
адреса длиной в 8 бит будет заимствовано 4 старших бита для адресации
подсетей. Оставшиеся 4 бита будут использоваться для адресации узлов.
Таким образом, маска сети должна иметь единицы в 28 = (24 + 4)
старших двоичных разрядах и 4 нуля в младших, т.е. маска в двоичном коде
будет – 11111111.11111111.11111111.11110000, а в десятичном коде –
255.255.255.240. В этом случае максимально может быть задано 16 подсетей
по 14 узлов в каждой (табл. 9.1). В данном примере из 16 подсетей
администратор использует 10, а оставшиеся 6 использоваться не будут.
Таблица 9.1
Адреса узлов и подсетей
№ подсети
Адрес подсети
Адреса узлов
1
198.11.163.0
2
198.11.163.16
3
198.11.163.32
…
10
…
198.11.163.144
…
16
…
198.11.163.240
198.11.163.1 198.11.163.14
198.11.163.17 198.11.163.30
198.11.163.33 198.11.163.46
…
198.11.163.145 198.11.163.158
…
198.11.163.241 198.11.163.254
Из 16 адресов, задаваемых узловой частью IP-адреса, самый первый
адрес, содержащий все нулевые биты, будет являться номером сети.
Последний адрес, содержащий в узловой части двоичные единицы, является
широковещательным адресом в этой подсети. Поэтому для идентификации
узлов остается 14 адресов. В их число входит и адрес шлюза по умолчанию.
120
Например, если задан адрес 198.11.163.83 с маской 255.255.255.240, то
после логического умножения адреса на маску будет получен адрес подсети:
11000110.00001011.10100011.01010011
11111111.11111111.11111111.11110000
11000110.00001011.10100011.01010000 .
В узловой части адреса подсети 11000110.00001011.10100011.01010000
– все нули. Старшие четыре бита последнего октета содержат значение 80 (в
двоичной форме – 11000110.00001011.10100011.01010000), т.е. номер
подсети 198.11.163.80/28, а номер узла – равен 3 (0011) в этой подсети. Если
в узловой части адреса все единицы (11000110.00001011.10100011.01011111),
то это будет широковещательный адрес 198.11.163.95 в сети 198.11.163.80/28.
В вышеприведенном примере адреса подсетей 198.11.163.0,
198.11.163.16, …, 198.11.163.80, …, 198.11.163.240 идут через 16 = 2 4
(значение младшего разряда сетевой части IP-адреса).
С помощью маски 255.255.255.224 (префикс /27) в адресном
пространстве 198.11.163.0/24 можно сформировать 8 подсетей по 30 узлов в
каждой, а с помощью маски 255.255.255.248 (префикс /29) можно задать 32
подсети по 6 узлов. Используя маски разной длины, администратор может
формировать подсети разного размера в пределах выделенного адресного
пространства. Таким образом, маски переменной длины (Variable-length
subnet mask - VLSM) позволяют создавать подсети разного размера, гибко
задавая границы между полем адреса сети и полем адреса узла. Технология
VLSM позволяет использовать больше чем одну маску подсети в пределах
выделенного адресного пространства.
Например, для формирования сетей по 30 узлов в каждой требуется 27
разрядов маски, содержащих единицы, а для создания сети, соединяющей
пару маршрутизаторов (точка - точка), требуется всего два адреса. Однако в
сетях «точка – точка» еще один адрес необходим для номера сети, и один
адрес – для широковещательной рассылки. Таким образом, при маске в 30
двоичных разрядов (префикс /30) два младших разряда адреса позволяют
сформировать 4 адреса, из которых 1-й используется для адреса сети, 2-ой и
3-й – для адресации узлов, а 4-й – в качестве широковещательного адреса.
121
В примере (рис. 9.1, табл. 9.2), адресное пространство 192.168.10.0/24
использовано для создания 4 подсетей по 32 адреса в каждой (30 узлов, адрес
подсети, широковещательный адрес), т.е. маска имеет единицы в 27 старших
двоичных разрядах (префикс /27).
192.168.10.192/30
192.168.10.196/30 192.168.10.200/30
G0/0/1 .202
G0/0/1 .194
G0/0/1 .198
.201 G0/0/2
.193 G0/0/2 B
A
.197 G0/0/2 C
D
.1
.33
.65
G0/0/0
G0/0/0
G0/0/0 .97
G0/0/0
Sw
Sw
Сеть 1
192.168.10.0/27
Сеть 2
192.168.10.32/27
РС2
РС1
Sw
Sw
Сеть 3
192.168.10.64/27
РС3
Сеть 4
192.168.10.96/27
РС4
Рис. 9.1. Пример использования масок переменной длины
Таблица 9.2
Формирование подсетей и субподсетей
Номер подсети
Подсеть 0
Подсеть 1
Подсеть 2
Подсеть 3
Подсеть 4
Подсеть 5
Подсеть 6
Адрес подсети
192.168.100.0
192.168.100.32
192.168.100.64
192.168.100.96
192.168.100.128
192.168.100.160
192.168.100.192
Префикс
27
27
27
27
27
27
27
Субподсеть 0
Субподсеть 1
Субподсеть 2
Субподсеть 3
Субподсеть 4
Субподсеть 5
Субподсеть 6
Субподсеть 7
Подсеть 7
192.168.100.192
192.168.100.196
192.168.100.200
192.168.100.204
192.168.100.208
192.168.100.212
192.168.100.216
192.168.100.220
192.168.100.224
30
30
30
30
30
30
30
30
27
Число узлов подсети
30
30
30
30
30
30
Используется для
формирования субподсетей
2
2
2
2
2
2
2
2
30
Оставшиеся 4 блока адресов по 32 адреса в каждом могут быть
использованы администратором по его усмотрению. В приведенном примере
122
подсеть 6 разделена на субподсети для адресации соединений «точка –
точка». При этом используется маска, содержащая не 27 единиц, а – 30
единиц (префикс /30).
Таким образом, за счет использования VLSM может быть
сформировано 7 подсетей с числом узлов до 30 и восемь субподсетей с
числом узлов 2. Каждая из субподсетей имеет диапазонов адресов,
используемых для связей «точка-точка». В схеме распределенной составной
сети (рис. 9.1) четыре локальных сети (192.168.10.0/27, 192.168.10.32/27,
192.168.10.64/27, 192.168.10.96/27) и три сети соединений «точка-точка».
Таким образом, маски переменной длины VLSM позволяют создавать
подсети разного размера. Например, сеть 198.11.163.0/24 может быть разбита
на десять подсетей: две подсети по 62 узла в каждой, две подсети по 30
узлов, 2 подсети по 14 узлов и 4 подсети по 6 узлов в каждой (табл. 9.3).
Таблица 9.3
Формирование подсетей с использованием масок переменной длины
№ подсети Маска
Адрес подсети Число узлов Адреса узлов
1
255.255.255.192 198.11.163.0
62
2
255.255.255.192 198.11.163.64
62
3
255.255.255.224 198.11.163.128 30
4
255.255.255.224 198.11.163.160 30
5
255.255.255.240 198.11.163.192 14
6
255.255.255.240 198.11.163.208 14
7
255.255.255.248 198.11.163.224 6
8
255.255.255.248 198.11.163.232 6
9
255.255.255.248 198.11.163.240 6
10
255.255.255.248 198.11.163.248 6
123
198.11.163.1 198.11.163.62
198.11.163.65 198.11.163.126
198.11.163.129 198.11.163.158
198.11.163.161 198.11.163.190
198.11.163.193 198.11.163.206
198.11.163.209 198.11.163.222
198.11.163.225 198.11.163.230
198.11.163.233 198.11.163.238
198.11.163.241 198.11.163.246
198.11.163.249 198.11.163.254
Соответственно маски будут иметь размер: /26 – для первых двух
подсетей, /27 – для третьей и четвертой подсети, /28 – для пятой и шестой,
/29 – для четырех последних подсетей. Естественно, что могут быть
реализованы и другие варианты деления сети на подсети и субподсети.
Важно помнить, что только неиспользованные подсети могут далее
делиться на субподсети. Если какой-то адрес подсети уже используется, то
подсеть на субподсети далее делиться не может.
На рис. 9.2 представлен еще один пример формирования подсетей с
префиксом /26 из адреса 172.16.32.0/23:
1)
2)
3)
4)
172.16.32.0/26;
172.16.32.64/26;
172.16.32.128/26;
172.16.32.192/26;
-
10101100.00010000.00100000.00000000
10101100.00010000.00100000.01000000
10101100.00010000.00100000.10000000
10101100.00010000.00100000.11000000
172.16.32.0/26
A
172.16.33.0/30
172.16.32.64/26
172.16.33.4/30
B
172.16.33.8/30
172.16.32.128/26
E
C
172.16.33.12/30
172.16.32.192/26
D
Рис. 9.2. Использование подсетей и субподсетей
В приведенном примере одну из подсетей, например 172.16.33.0/26,
разделили на субподсети с маской в /30.
Не все протоколы маршрутизации поддерживают технологию VLSM,
например, первая версия протокола RIPv1 не поддерживает маски
переменной длины. Маскирование переменной длины VLSM поддерживают
протоколы Open Shortest Path First (OSPF), Integrated IS-IS, Enhanced Interior
124
Gateway Routing Protocol (EIGRP), протокол второй версии RIP v2, а также
статическая маршрутизация.
При проектировании подсетей особое внимание необходимо уделить
плану выделения адресов с тем, чтобы диапазоны адресов подсетей не
пересекались. На рис. 9.3 приведен пример сети 192.168.10.0/25 (пул из 128
адресов), состоящей из 7 подсетей с масками переменной длины. На схеме у
всех локальных подсетей шлюзу по умолчанию назначен первый адрес в
подсети. Иногда щлюзу по умолчанию назначают последний адрес в сети.
При указании адресов интерфейсов на схеме приведены только значения
последнего октета (в десятичной системе). Для соединений между
маршрутизаторами использована маска 255.255.255.252, т.е. используется
префикс /30.
192.168.10.112/30
192.168.10.116/30 192.168.10.120/30
G0/0/1 .122
G0/0/1 .114
G0/0/1 .118
.121 G0/0/2
.113 G0/0/2 B
A
.117 G0/0/2 C
D
G0/0/0 .1
G0/0/0 .65
G0/0/0 .97
G0/0/0 .33
Sw
Sw
Сеть 1
192.168.10.0/26
РС1
РС2
Sw
Сеть 2
192.168.10.64/27
Sw
Сеть 3
192.168.10.104/29
РС3
Сеть 4
192.168.10.96/29
РС4
Рис. 9.3. Пример сети, состоящей из 7 подсетей
Если бы в приведенной схеме сети (рис. 9.3) для каждой подсети
использовался бы адрес полного класса, например С, то для 7 подсетей
потребовался бы объем адресного пространства 7×256 = 1792 адресов,
причем, большая часть адресов оставалась бы неиспользованной. В
приведенном примере использовали 128 адресов. Следовательно,
использование масок переменной длины VLSM предоставляет эффективное
средство экономии дефицитных IPv4-адресов.
125
9.2. Агрегирование адресов
При проектировании сетей может быть поставлена задача, когда
несколько отдельных адресов сетей необходимо объединить в общий
(агрегированный) адрес. В ряде случаев это сокращает число записей в
таблице маршрутизации. Например, две сети
172.16.14.0/24
10101100.00010000.00001110.00000000 и
172.16.15.0/24
10101100.00010000.00001111.00000000
могут быть агрегированы (объединены) так, чтобы маршрутизаторы
использовали только один маршрут для объединенной (агрегированной)
сети 172.16.14.0/23, поскольку 23 старших разряда адреса обеих сетей
одинаковы. Таким образом, префикс показывает, сколько старших разрядов
адреса одинаковы в обеих сетях
Тип маршрутизации, использующий агрегированные адреса и маски
переменной длины VLSM, получил название бесклассовой междоменной
маршрутизации (classless interdomain routing - CIDR). Агрегирование
маршрутов уменьшает нагрузку на маршрутизаторы.
Ниже рассмотрен следующий пример агрегирования адресов. Группа
из четырех подсетей:
192.168.16.0/24
11000000.10101000.00010000.00000000
192.168.17.0/24
11000000.10101000.00010001.00000000
192.168.18.0/24
11000000.10101000.00010010.00000000
192.168.19.0/24
11000000.10101000.00010011.00000000
может быть представлена суммарным (агрегированным) адресом
192.168.16.0/22
11000000.10101000.00010000.00000000,
поскольку 22 разряда адреса у них одинаковы.
Аналогично группа из других четырех подсетей:
192.168.20.0/24
11000000.10101000.00010100.00000000
192.168.21.0/24
11000000.10101000.00010101.00000000
192.168.22.0/24
11000000.10101000.00010110.00000000
192.168.23.0/24
11000000.10101000.00010111.00000000
может быть представлена агрегированным адресом
192.168.20.0/22
11000000.10101000.00010100.00000000,
поскольку 22 разряда адреса у них также одинаковы.
126
Третья группа подсетей:
192.168.24.0/24
11000000.10101000.00011000.00000000
192.168.25.0/24
11000000.10101000.00011001.00000000
192.168.26.0/24
11000000.10101000.00011010.00000000
192.168.27.0/24
11000000.10101000.00011011.00000000
может быть представлена агрегированным адресом
192.168.24.0/22
11000000.10101000.00011000.00000000,
поскольку и у них одинаковы 22 разряда адреса.
Агрегирование приведенных выше адресов иллюстрирует рис. 9.4. При
обмене маршрутной информацией каждый из маршрутизаторов А, В, С
вместо адресов четырех подсетей передает адрес только одного
(агрегированного) маршрута с префиксом в 22 двоичных разряда. Адреса
четырех указанных подсетей имеют общую часть – префикс, который
используется как единый совокупный адрес. В маршрутизаторе D можно
сформировать агрегированный адрес всех трех групп подсетей. Он будет
иметь адрес 192.168.16.0/20, т.е. маска (префикс) содержит 20 единиц в
старших разрядах, поскольку все представленные на рис. 9.4 адреса имеют
двадцать одинаковых старших двоичных разрядов адреса.
192.168.16.0/24
192.168.17.0/24
192.168.18.0/24
192.168.19.0/24
192.168.20.0/24
192.168.21.0/24
192.168.22.0/24
192.168.23.0/24
192.168.24.0/24
192.168.25.0/24
192.168.26.0/24
192.168.27.0/24
A
Агрегированный адрес
192.168.16.0/22
Агрегированный адрес
192.168.20.0/22
Агрегированный адрес
192.168.16.0/20
B
D
C
Агрегированный адрес
192.168.24.0/22
Рис. 9.4. Агрегирование адресов маршрутов
Таким образом, итоговый суммарный маршрут трех групп подсетей
(рис. 9.4) содержит префикс на 20 битов, общий для всех адресов в указанной
сети – 192.168.16.0/20 - 11000000.10101000.00010000.00000000. Двадцать
старших разрядов адреса (11000000.10101000.0001) используются как
127
единый адрес организации, которая подключается к сети Интернет через
маршрутизатор D.
Чтобы функционировала маршрутизация CIDR на основе префикса,
адреса должны быть назначены иерархическим способом. Маршрутизатор
должен знать номера всех присоединенных к нему подсетей и не должен
сообщать другим маршрутизаторам о каждой подсети, если он может послать
один совокупный маршрут (aggregate route). При этом маршрутизатор, реже
обращается к таблице маршрутизации, что повышает производительность.
Маршрутизация на основе CIDR и масок переменной длины возможна,
если маршрутизаторы сети используют бесклассовый (classless) протокол
маршрутизации, например, OSPF, RIP-2 или IS-IS. Бесклассовые
протоколы маршрутизации передают в обновлениях маршрутизации
(routing updates) 32-разрядные IP-адреса и соответствующие маски.
9.3. Особенности формирования сетей IPv6
Основной задачей формирования подсетей в технологии IPv4 является
экономия дефицитных IPv4-адресов. В сетях IPv6 целью разбиения больших
сетей на подсети является создание иерархической системы адресации,
удобной при создании и обслуживании сетей. В иерархически
спроектированной сети легче обеспечить расширяемость, управляемость,
информационную безопасность.
Префикс сайта или глобальной маршрутизации содержит 48 двоичных
разряда (/48), что показано на рис. 9.5.
Префикс глобальной
маршрутизации
48 бит
Идентификатор
подсети
16 бит
Идентификатор интерфейса
64 бита
Рис. 9.5. Три части адреса IPv6
Администратор, получивший диапазон адресов с префиксом /48, имеет
возможность создания 216 = 65536 (64К) сетей, адреса которых задаются
идентификатором сети (подсети) IPv6. Старшие 64 двоичных разрядов адреса
IPv6 образуют префикс подсети 2001:db8:000a:0001/64 (2001:db8:a:1/64).
128
Оставляя неизменным префикс сайта, администратор задает номера сетей
(2001:db8:a:1/64, 2001:db8:a:2/64, …, 2001:db8:a:9/64, …). При этом сеть
может выглядеть, например, следующим образом (рис. 9.6):
Сеть 1
2001:db8:a:1/64
Сеть 2
2001:db8:a:2/64
A
B
Sw
Sw
Сеть 4
2001:db8:a:4/64
Сеть 5
2001:db8:a:5/64
Сеть 3
2001:db8:a:3/64
C
D
Sw
Sw
Сеть 6
2001:db8:a:6/64
Сеть 7
2001:db8:a:7/64
Рис. 9.6. Пример сети IPv6
Адресное пространство в этом случае используется неэффективно,
поскольку, например, соединение «точка-точка» адресуется полем
идентификатора интерфейса длиной 64 бита. Однако это не критично для
версии IPv6.
В сетях IPv6 можно создавать подсети (субподсети), заимствуя
адресные биты из поля идентификатора интерфейса, по аналогии с сетями
IPv4. Причем, заимствование рекомендуется делать кратным 4 битам, что
соответствует
одному шестнадцатеричному символу.
При
этом
рекомендуемые префиксы будут следующие: /68, /72. /76 и т.д.
Вопросы по разделу 9
1.
2.
3.
4.
5.
Для чего производится деление сети на подсети?
Какое устройство производит деление сети на подсети?
Может ли деление сети на подсети может реализовать коммутатор?
Каким маскам соответствуют префиксы /20, /23, /26, /28, /30?
Сколько максимально подсетей может быть сформировано при
использовании маски 255.255.255.224? Сколько максимально узлов в
каждой?
129
6. В какую сеть входит узел 172.20.171.25/18? Каков широковещательный
адрес в этой сети?
7. В какую сеть входит узел 172.20.171.25/20? Каков широковещательный
адрес в этой сети?
8. В чем состоит ошибка задания адреса сети 192.168.10.160/26
9. Какую маску следует использовать для формирования 8-ми
компьютерных классов по 10-12 компьютеров в каждом?
10.Каковы будут адреса шлюза по умолчанию, первого и последнего
компьютеров, широковещательной рассылки в сети 10.10.10.160/27?
11. Каковы будут адреса шлюза по умолчанию, первого и последнего
компьютеров, широковещательной рассылки в сети 172.20.10.128/26?
12.Что позволяет радикально решить проблему дефицита IP-адресов?
13. Сколько сетей может сформировать администратор, используя поле
идентификатора подсети IPv6?
14. Какие префиксы рекомендуется использовать при формировании
подсетей IPv6?
Упражнения
1. Рассчитайте максимальное количество узлов в подсетях 10.169.77.16/28;
172.18.190/27; 192.168.55.112/29.
2. Для выделенного диапазона адресов 172.16.10.0/24 сформируйте 10
подсетей по 8 – 14 компьютеров в каждой. Какова будет сетевая маска?
3. Для выделенного адреса 10.1.5.0/24 сформируйте 2 подсети по 50 – 60
компьютеров, 2 подсети по 25 – 30 компьютеров, 2 подсети по 10 – 12
компьютеров, 2 подсети по 5 – 6 компьютеров, остальные адреса
использовать для адресации соединений «точка - точка».
4. Для нижеприведенной схемы задан диапазон адресов (10.10.10.64/26) и
задано количество компьютеров в каждой подсети. Укажите адрес каждой
подсети, первого компьютера, адрес шлюза по умолчанию,
широковещательный адрес каждой подсети, также адреса соединений
между маршрутизаторами.
A
Sw
25 комп.
B
C
Sw
Sw
5 комп.
10 комп.
130
Часть 2. Основы маршрутизации и коммутации
10. ОБЩИЕ СВЕДЕНИЯ О КОНФИГУРИРОВАНИИ
СЕТЕВЫХ УСТРОЙСТВ HUAWEI
10.1. Программно-аппаратные средства сетей пакетной коммутации
Основными сетевыми элементами технологий пакетной коммутации
являются: маршрутизаторы (Router), коммутаторы (Switch), межсетевые
экраны (Firewall), беспроводные точки доступа (Wireless Access Point –
WAP).
Коммутаторы с помощью кабелей объединяют конечные узлы в
локальные сети LAN. Аналогичные функции, но с использованием
радиоканалов, выполняют беспроводные точки доступа WAP. Сами
беспроводные точки доступа могут по кабелям подключаться к
коммутаторам LAN.
Маршрутизаторы
представляют
собой
специализированные
компьютеры для выполнения специфических функций сетевых устройств.
Они производят объединение нескольких локальных сетей в глобальную
(распределенную,
составную)
WAN-сеть.
Главными
функциями
маршрутизаторов являются:
- выбор наилучшего пути для пакетов к адресату назначения.
- продвижение (коммутация) принятого пакета с входного интерфейса
на соответствующий выходной интерфейс.
Функционирование маршрутизаторов происходит по правилам
сетевого протокола IP – Internet Protocol. Для определения наилучшего пути
передачи данных через связываемые сети, маршрутизаторы строят таблицы
маршрутизации и обмениваются сетевой маршрутной информацией с
другими маршрутизаторами. Маршрутизаторы принимают решения,
базируясь на сетевых логических адресах (IP-адресах) в заголовке пакета и
обращаясь к таблицам маршрутизации. Администратор может создавать
(конфигурировать) статические маршруты и поддерживать таблицы
маршрутизации вручную. Однако большинство таблиц маршрутизации
создается и поддерживается динамически, за счет использования
131
протоколов маршрутизации (Routing Protocol), которые позволяют
маршрутизаторам автоматически обмениваться информацией о сетевой
топологии друг с другом.
Функционирование маршрутизаторов, коммутаторов и других сетевых
элементов и узлов происходит под управлением сетевой операционной
системы (Internetwork Operation System – IOS), для хранения которой
используется несколько видов памяти (рис. 1.2). Аппаратные средства
крупных фирм (например, Cisco, Huawei) имеют свои собственные IOS.
Текущая версия IOS при включении устройства копируется в оперативную
память RAM. Помимо текущей версии IOS оперативная память RAM, пока
включено питание, содержит активный конфигурационный файл (Active
Configuration File), таблицы протоколов динамической маршрутизации, и
других протоколов, выполняет буферизацию пакетов и поддерживает их
очередь.
Постоянное запоминающее устройство (ПЗУ – ROM) содержит
программу начальной загрузки (bootstrap) и тестирования, а также
сокращенную версию операционной системы, установленную при
изготовлении маршрутизатора (рис. 10.1). Обычно эта версия IOS
используется только при выходе из строя Flash памяти для загрузки новой
версии операционной системы.
ПЗУ (ROM)
Bootstrap
Программа начальной
загрузки и тестирования
ППЗУ (Flash)
Сервер TFTP
ПЗУ (ROM)
Internetwork
Operation
Sistem (IOS)
Нахождение и загрузка
Операционной Системы
ППЗУ (NVRAM)
Сервер TFTP
Консоль
Конфигурационный файл
Нахождение, загрузка
или создание
файла конфигурации
Рис. 10.1. Элементы памяти и программ маршрутизатора
132
Память ROM также поддерживает команды для теста диагностики
аппаратных средств (Power-On Self Test - POST). Именно с программы POST
начинается загрузка маршрутизатора. Затем в оперативную память
загружается код начальной загрузки, определяющий, откуда следует
загружать образ операционной системы IOS и конфигурационный файл.
Загрузка операционной системы IOS в оперативную память обычно
производится из энергонезависимой флэш-памяти (Flash), которая является
перепрограммируемым запоминающим устройством (ППЗУ). После
модернизации IOS она перезаписывается во флэш-память, где может
храниться несколько версий. Версию операционной системы можно также
сохранять на TFTP-сервере, откуда загружать в оперативную память.
На следующем этапе производится загрузка конфигурационного
файла в оперативную память из энергонезависимой (non-volatile)
оперативной памяти NVRAM маршрутизатора, которая, также как флэшпамять является устройством ППЗУ. NVRAM хранит стартовый
конфигурационный файл, который после изменения конфигурации
перезаписывается в ППЗУ, где создается резервная копия. При включении
маршрутизатора стартовый конфигурационный файл копируется в
оперативную память, где называется файлом текущей конфигурации
(current-configuration).
Конфигурационные файлы содержат команды и параметры для
управления потоком трафика, проходящим через маршрутизатор.
Конфигурационный файл используется для выбора сетевых протоколов и
протоколов маршрутизации, которые определяют наилучший путь для
пакетов к адресуемой сети. Первоначально конфигурационный файл обычно
создается с консольной линии (console) и помимо памяти NVRAM может
сохраняться на TFTP-сервере (рис. 10.1).
В процессе конфигурирования маршрутизатора задаются адреса
интерфейсов, пароли, создаются таблицы маршрутизации, устанавливаются
протоколы, проводится проверка параметров. Процесс коммутации и
продвижения данных проходит под управлением операционной системы.
Временное хранение входящих и исходящих пакетов обеспечивается в
памяти интерфейсов, которые могут быть выполнены на материнской плате
или в виде отдельных модулей.
133
В программных средствах операционной системы выделяют ядро,
которое взаимодействует с аппаратными средствами конечных узлов и
сетевых элементов, и оболочку, обеспечивающую взаимодействие
(интерфейс) человека с устройствами. Такое взаимодействие производится
либо через интерфейс командной строки (command line interface - CLI),
либо с помощью графического интерфейса пользователя (Graphical User
Interface – GUI).
Помимо интерфейсов локальных и глобальных соединений
маршрутизаторы и коммутаторы имеют консольные порты управления
(console) для прямого подключения к компьютеру. Именно через этот порт
обеспечивается доступ к интерфейсу командной строки CLI для создания и
изменения конфигурационного файла. К маршрутизатору и коммутатору
может быть также организован удаленный доступ через виртуальные линии
vty по протоколу Telnet или SSH.
Таким образом, доступ к сетевому устройству (коммутатору,
маршрутизатору) для его конфигурирования или проверки состояния
производится:
- через консольный порт Console;
- через виртуальные линии (vty) удаленного доступа.
Вход с консольной линии Console обеспечивает полный доступ ко всем
установкам маршрутизатора и коммутатора, поэтому необходима защита
сетевых элементов: ограничение физического доступа и разрешение
аутентификации доступа. Подключение через консольный порт называют
внеполосным, т.к. для подключения не нужна дополнительная полоса
пропускания сети. Подключение реализуется по специальному консольному
кабелю.
Удаленный доступ по виртуальным линиям (vty) с использованием
протоколов Telnet, Secure Shell – SSH, позволяет на расстоянии изменять
конфигурацию сетевых элементов и обеспечивать контроль проходящего по
ним трафика. Telnet, SSH – это протоколы удаленного доступа, которые
содержат программное обеспечение клиента и сервера. Протоколы Telnet и
SSH обеспечивают подключение к командной строке удаленного узла. Для
организации
удаленного
доступа
необходимо
предварительно
сконфигурировать аутентификацию маршрутизатора (коммутатора), прежде
134
всего, требуется задать имя удаленного устройства и установить пароль на
виртуальные линии доступа. Если пароль не установлен, то реализация
удаленного доступа не возможна. Вся обработка информации и
использование памяти проводится на процессоре удаленного сетевого узла, а
отображение результатов конфигурирования протокол Telnet транслирует на
монитор пользователя.
Telnet не поддерживает криптографирование данных, которые
передаются по сети как простой текст. Это означает, что данные могут быть
перехвачены. Для защиты передаваемой информации разработан протокол
удаленного доступа, обеспечивающий шифрование передаваемых данных
(Secure Shell – SSH). Он обеспечивает криптографирование данных и более
надежную аутентификацию.
Далее рассматриваются различные аспекты конфигурирования сетевых
устройств фирмы Huawei.
135
10.2. Основы конфигурирования устройств Huawei
Изучение
основ
конфигурирования
устройств
Huawei
(маршрутизаторов,
коммутаторов)
может
производиться
как
с
использованием реального оборудования (рис. 10.2), так и моделей этих
устройств симулятора eNSP.
Рис. 10.2. Оборудование Huawei
Для нормального функционирования маршрутизатора требуется запуск
операционной системы (IOS) и конфигурационного файла (см. рис. 10.1).
Нормальное функционирование маршрутизатора требует использования
полной версии системы IOS, которая хранится во флэш-памяти или на tftpсервере, и при включении копируется в оперативную память. Операционные
системы маршрутизаторов имеют интерфейс командной строки (CLI) для
создания и изменения конфигурационного файла.
Изучение основных процессов конфигурирования маршрутизаторов и
коммутаторов проводится на примере схемы сети (рис. 10.3). Схема
реализуется либо на реальном оборудовании, либо на базе программного
136
пакета eNSP. Она содержит два маршрутизатора HR1 и HR2, коммутатор Sw,
конечные узлы (персональные компьютеры РС0, РС1, РС2). Компьютер РС0
подключается к порту Console маршрутизатора и служит для
конфигурирования устройства.
G0/0/0
HR1
Console
Sw
РС1
G0/0/1
РС2
G0/0/0
HR2
РС0
COM1
Рис. 10.3. Схема сети
Создание файла начальной конфигурации реального маршрутизатора
или коммутатора производится через его консольный порт (Console),
который подключают к последовательному порту (СОМ1, СОМ2) или USBпорту компьютера консольным кабелем (на схемах изображается
дугообразной линией). Затем включают устройство и обращаются к одной из
программ эмуляции терминала для настройки сетевого элемента: Hyper
Terminal, Putty, Terra Term. При этом необходимо задать параметры порта:
скорость – 9600 бит/с; биты данных – 8; четность – нет; стоповые биты – 1;
управление потоком – нет.
После этого происходит начальная загрузка маршрутизатора.
После начальной загрузки маршрутизатор (коммутатор) готов к работе.
Инструкция по запуску пакета eNSP и работе с ним приведена на сайте
http://www.huawei.com/ru/, а также в методических указаниях [9]. Наиболее
новую и полную информацию по конфигурированию сетевых устройств дает
электронное руководство Configuration Guid (support.huawei.com). Создание
конфигурационного файла маршрутизатора или коммутатора во многом
похожи, поэтому далее рассматривается процесс функционирования
маршрутизатора. Конфигурирование коммутатора будет оговариваться
отдельно в необходимых случаях.
Для студентов и слушателей, знакомых с основами конфигурирования
устройств Cisco, ниже в табл. 10.1 приведено соответствие между
137
некоторыми командами операционных систем Cisco и Huawei, что облегчит
понимание процесса создания конфигурационного файла.
Таблица 10.1
Соответствие некоторых команд и служебных слов Cisco и Huawei
Cisco
enable, configure terminal
running-configuration
show
clear
copy
quit
no
Huawei
system-view
current-configuration
display
reset
save
exit
undo
Конфигурирование
маршрутизатора
Huawei
производится в
нескольких режимах. После включения устройства оно находится в
пользовательском режиме (user-view), когда на экране монитора
появляется следующее приглашение:
<Huawei>
В этом режиме выполняется большое количество команд, набор которых
можно посмотреть по знаку ? следующим образом:
<Huawei> ?
User view commands:
_hidecmd
arp-ping
ARP-ping
batch-cmd
Batch commands
...
display
Display current system information
Команда состоит из текста собственно команды и следующих за
ней ключевых слов и параметров (атрибутов).
Среди доступных команд присутствует display, которая отображает
информацию системы. Ниже приведены некоторые атрибуты команды:
<Huawei>display ?
aaa
access-user
...
current-configuration
AAA
User access
Current configuration
138
Последний (выделенный цветом) атрибут позволяет отобразить распечатку
текущей конфигурации маршрутизатора по команде:
<Huawei>display current-configuration
#
sysname Huawei
...
interface Ethernet0/0/0
#
interface Ethernet0/0/1
Данная команда будет постоянно использоваться в настоящем курсе, она
выполняется из любого режима, может быть записана в сокращенной форме:
<Huawei>di cu
Переход в следующий режим системного конфигурирования (system-view)
производится по команде:
<Huawei>system-view
[Huawei]
Или в сокращенной форме:
<Huawei>sy
[Huawei]
В
этом
режиме
доступны
команды
системного
(глобального)
конфигурирования, которые отображаются по команде [Huawei]?. Так в
системном режиме можно задать имя маршрутизатора, например HR1:
[Huawei]sysname HR1
[HR1]
Возвращение в пользовательский режим производится по команде
(quit – Exit from current command view). В сокращенной форме:
[HR1]q
<HR1>
При вводе команды она немедленно вступает в действие, текущая
конфигурация устройства при этом сразу изменяется. Однако после
выключения устройства изменения текущей конфигурации, хранящейся в
оперативной памяти RAM, пропадают. При новом включении в оперативную
память будет загружена старая конфигурация (startup), хранящаяся в
NVRAM. Поэтому текущую конфигурацию нужно сохранять, что в системе
Huawei производится в пользовательском режиме по команде:
139
<HR1>save
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Info: Please input the file name ( *.cfg, *.zip ) [vrpcfg.zip]:
Oct 30 2016 07:58:10-08:00 HR2 %%01CFM/4/SAVE(l)[0]:The user
chose Y when deciding whether to save the configuration to the
device.
Now saving the current configuration to the slot 17.
Save the configuration successfully.
<HR1>
Обратите внимание, что при выполнении команды save требуется
подтверждение Are you sure to continue?[Y/N]y.
Выход в пользовательский режим из любого режима возможен по
команде return или по комбинации клавиш ctrl – z.
10.3. Конфигурирование интерфейсов
Для обмена сообщениями в сети Интернет все устройства должны
иметь логические адреса версий IPv4 или IPv6. Например, в сети рис. 10.4
интерфейсу GigabitEthernet 0/0/0 маршрутизатора HR1 необходимо назначить
адрес 200.30.30.1, интерфейсу Ethernet 0/0/0 – 192.168.10.1, одному из
конечных узлов (PC1) – адрес 192.168.10.11, а другому (PC2) – 192.168.10.12.
Сеть 192.168.10.0/24
Сеть 200.30.30.0/24
.1
E0/0/0
Sw
РС1
.11
HR1
.1
G0/0/0
.2
G0/0/1
РС2
.12
Рис. 10.4. Адреса сетей и интерфейсов
140
HR2
E0/0/0
Интерфейс Ethernet 0/0/0 и конечные узлы PC1, PC2, объединенные
коммутатором Sw, образуют локальную сеть с адресом 192.168.10.0/24, в
которой E0/0/0 является шлюзом. Символом Ethernet в системе Huawei
обозначают собственно Ethernet и FastEthernet.
При конфигурировании интерфейсов операционная система Huawei
дает возможность задавать не маску, а префикс, когда маске 255.255.255.0
соответствует префикс /24.
Конфигурирование интерфейса GigabitEthernet 0/0/0 маршрутизатора
(рис. 10.4) сводится к заданию IP-адреса и префикса по команде ip
address. В аппаратуре Huawei все интерфейсы маршрутизатора и
коммутатора в исходном состоянии обычно включены, поэтому их не
активируют. Ниже приведены примеры конфигурирования интерфейсов.
<Huawei>system-view
[Huawei]sysname HR1
[HR1]interface GigabitEthernet 0/0/0
Последняя команда могла быть записана в сокращенной форме:
[HR1]int G0/0/0
[HR1-GigabitEthernet0/0/0]ip address 200.30.30.1 24
После ввода команды система перешла в следующий режим
конфигурирования интерфейса, в приглашении указывается тип и номер
интерфейса, которому необходимо сконфигурировать (задать) адрес:
Обратите внимание, что маска 255.255.255.0 записана сокращенно – 24.
Конфигурирование интерфейса Ethernet 0/0/0:
[HR1]interface Ethernet0/0/0
[HR1-Ethernet0/0/0]ip address 192.168.10.1 24
Текущая конфигурация (display
current-configuration) дает
информацию об интерфейсах, причем маска отображается полностью:
<HR1>display current-configuration
#
sysname HR1
141
...
interface Ethernet0/0/0
ip address 192.168.10.1 255.255.255.0
#
interface GigabitEthernet0/0/0
ip address 200.30.30.1 255.255.255.0
...
Для конечного узла (РС) помимо IP-адреса и маски необходимо задать
адрес шлюза по умолчанию, который является адресом интерфейса
маршрутизатора, через который все узлы локальной сети могут выходить в
составную глобальную сеть. На рис. 10.4 шлюзом по умолчанию для
конечных узлов сети 192.168.10.0 будет интерфейс Ethernet 0/0/0
маршрутизатора HR1 с адресом 192.168.10.1 (на схеме обозначен Е0/0/0).
IP-адреса узлов могут назначаться администратором вручную
(статическая адресация). Однако это очень кропотливое занятие. Поэтому
протокол динамического конфигурирования узлов (Dynamic Host
Configuration Protocol – DHCP) позволяет узлу динамически без участия
администратора получать IP-адрес. Администратору нужно только
определить диапазон разрешенных IP-адресов на DHCP-сервере.
Вручную назначаются адреса сетевым принтерам, серверам и
интерфейсам маршрутизаторов.
Настройки адресов компьютеров, например РС1 (рис. 10.4), можно
посмотреть по команде ipconfig в командной строке:
PC1>ipconfig
Link local IPv6 address...........:
IPv6 address......................:
IPv6 gateway......................:
IPv4 address......................:
Subnet mask.......................:
Gateway...........................:
Physical address..................:
DNS server........................:
fe80::5689:98ff:fe48:6abc
:: / 128
::
192.168.10.11
255.255.255.0
192.168.10.1
54-89-98-48-6A-BC
Компьютер РС1 имеет адрес IPv4 – 192.168.10.11 с маской
255.255.255.0 и шлюз по умолчанию 192.168.10.1.
142
Проверка работоспособности сетевых устройств производится с
использованием ряда команд. Например, по команде ping 127.0.0.1 узел
производит самотестирование для проверки, работоспособен ли на узле стек
протоколов TCP/IP. Адрес 127.0.0.1 является зарезервированным Loopbackадресом обратной связи.
PC1>ping 127.0.0.1
Ping
From
From
From
From
From
127.0.0.1:
127.0.0.1:
127.0.0.1:
127.0.0.1:
127.0.0.1:
127.0.0.1:
32 data bytes,
bytes=32 seq=1
bytes=32 seq=2
bytes=32 seq=3
bytes=32 seq=4
bytes=32 seq=5
Press Ctrl_C to break
ttl=128 time<1 ms
ttl=128 time<1 ms
ttl=128 time<1 ms
ttl=128 time<1 ms
ttl=128 time<1 ms
--- 127.0.0.1 ping statistics --5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 0/0/0 ms
Результат выполнения команды ping 127.0.0.1 показывает, что было
послано пять пакетов эхо-запроса длиной по 32 байта, на которые получено
пять эхо-ответов за время менее 1 мс.
По команде ping 192.168.10.1 с конечного узла проверяется
работоспособность шлюза по умолчанию, которым на схеме рис. 10.4
является интерфейс Ethernet 0/0/0.
PC1>ping 192.168.10.1
Ping
From
From
From
From
From
192.168.10.1:
192.168.10.1:
192.168.10.1:
192.168.10.1:
192.168.10.1:
192.168.10.1:
32 data bytes,
bytes=32 seq=1
bytes=32 seq=2
bytes=32 seq=3
bytes=32 seq=4
bytes=32 seq=5
...
143
Press Ctrl_C to
ttl=255 time=32
ttl=255 time=31
ttl=255 time=47
ttl=255 time=32
ttl=255 time=47
break
ms
ms
ms
ms
ms
Сохранение текущей конфигурации производится по команде:
<Huawei>save
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Oct 31 2016 07:35:51-08:00 Huawei %%01CFM/4/SAVE(l)[0]:The user
chose Y when deciding whether to save the configuration to the
device.
Now saving the current configuration to the slot 17.
Save the configuration successfully.
<Huawei>
а перезагрузка:
<Huawei>reboot
Обобщенную информацию о состоянии интерфейсов и их IP-адресах можно
получить по следующей команде:
<HR1>display ip interface brief
...
The
The
The
The
number
number
number
number
of
of
of
of
interface
interface
interface
interface
Interface
Ethernet0/0/0
Ethernet0/0/1
GigabitEthernet0/0/0
GigabitEthernet0/0/1
GigabitEthernet0/0/2
GigabitEthernet0/0/3
NULL0
Serial0/0/0
Serial0/0/1
Serial0/0/2
Serial0/0/3
that
that
that
that
is
is
is
is
UP in Physical is 3
DOWN in Physical is 8
UP in Protocol is 3
DOWN in Protocol is 8
IP Address/Mask
192.168.10.1/24
unassigned
200.30.30.1/24
unassigned
unassigned
unassigned
unassigned
unassigned
unassigned
unassigned
unassigned
<HR1>
144
Physical
up
down
up
down
down
down
up
down
down
down
down
Protocol
up
down
up
down
down
down
up(s)
down
down
down
down
10.4. Доступ к сетевым устройствам
Доступ к сетевым устройствам для управления ими и верификации
возможен различными способами:
1. Путем прямого подключения монитора (компьютера) к консольному
порту (Console) маршрутизатора или коммутатора.
2. Удаленный доступ по виртуальным линиям (vty) с использованием
протокола Telnet. Номер порта 23.
3. Удаленный доступ по виртуальным линиям (vty) с использованием
протокола Secure Shell Telnet (STelnet). Номер порта 22.
При удаленном доступе по протоколу Telnet данные по сети
передаются в открытой форме, поэтому могут быть перехвачены. Для
реализации удаленного доступа к сетевым устройствам с передачей данных
в шифрованном виде необходимо использовать протокол STelnet (SSH).
В разделе 10.2 отмечалось, что для первоначального конфигурирования
сетевого устройства (маршрутизатора или коммутатора) необходим вход в
устройство с консольной линии Console, который обеспечивает полный
доступ ко всем установкам маршрутизатора (коммутатора), поэтому
необходима защита сетевых элементов:
ограничение физического доступа к устройствам;
аутентификация пользователя (разрешение доступа).
Подключение к порту Console реализуется по специальному
консольному кабелю (см. рис. 3.4). Для подключения кабеля к сетевым
устройствам используется разъем (коннектор) 8Р8С (RJ-45), с другой
стороны разъем DB-9 или USB.
После соединения с маршрутизатором (коммутатором) на мониторе
запускают программу эмуляции терминала для настройки сетевого элемента:
Hyper Terminal, Putty, Terra Term с параметрами:
- скорость – 9600 бит/с;
- биты данных – 8;
- четность – нет;
- стоповые биты – 1;
- управление потоком – нет.
После этого происходит начальная загрузка маршрутизатора. Затем
можно производить начальное конфигурирование. Поскольку никакие
145
параметры аутентификации не настраивались, то при входе в устройство на
данном этапе пароль не требуется.
Конфигурирование различных видов аутентификации для реализации
доступа: через консольную линию и удаленно по Telnet, рассмотрено на
примере сети рис. 10.5.
Рис. 10.5. Схема сети
После включения устройства оно находится в пользовательском
режиме (user-view), на экран монитора выводится следующее приглашение:
<Huawei>
В стандартной конфигурации сетевого устройства по умолчанию
настроены функции aaa:
- аутентификация (authentication-scheme default);
- авторизация (authorization-scheme default);
- учет (accounting-scheme default),
позволяющие реализовать и отслеживать доступ к устройствам. Указанные
настройки, а также домен (domain default) отображаются в текущей
конфигурации, например, маршрутизатора Huawei:
<Huawei>display current-configuration
#
sysname Huawei
...
aaa
authentication-scheme default
authorization-scheme default
146
accounting-scheme default
domain default
domain default_admin
...
user-interface con 0
user-interface vty 0 4
user-interface vty 16 20
...
Три последние строки распечатки несут информацию о том, что
пользовательские интерфейсы консольной линии и виртуальных линий vty не
созданы.
Если указанные настройки аутентификации по какой-то причине были
удалены, то их необходимо восстановить:
<Huawei>system-view
[Huawei]sysname R1
[R1]aaa
[R1-aaa]authentication-scheme default
[R1-aaa]authorization-scheme default
[R1-aaa]accounting-scheme default
[R1-aaa]domain default
[R1-aaa]domain default_admin
Кроме того, на сетевых элементах R1, R2 сформированы адреса интерфейсов,
согласно схеме рис. 10.5, и сконфигурирован протокол маршрутизации OSPF.
Конфигурирование интерфейсов рассмотрено в разделе 10.3, а протокола
OSPF – будет рассмотрено в разделе 12.
Далее рассматриваются различные виды доступа к сетевым
устройствам (через консольный порт, удаленный доступ по Telnet).
147
Доступ к сетевому устройству через консольный порт
Первоначально на защищаемом устройстве создается интерфейс
пользователя (user-interface) для доступа через консоль (console 0),
задается режим аутентификации (aaa), уровень привилегий (level 15):
[R1]user-interface console 0
[R1-ui-console0]authentication-mode aaa
[R1-ui-console0]user privilege level 15
[R1-ui-console0]quit
В режиме аутентификации aaa конфигурируется имя (vas) и пароль
(huawei1) локального пользователя, а также уровень привилегий данного
пользователя и сервис с терминала:
[R1]aaa
[R1-aaa]local-user vas password cipher huawei1
Info: Add a new user.
[R1-aaa]local-user vas privilege level 3
[R1-aaa]local-user vas service-type terminal
Сформированные установки отображаются в текущей конфигурации:
<R1>display current-configuration
#
sysname R1
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user vas password cipher IbM6.'"'d1;BH^68NhwOwa-#
local-user vas privilege level 3
local-user vas service-type terminal
local-user admin password cipher R'J**ZipYH;BH^68NhwO!S*#
local-user admin service-type http
...
interface Ethernet0/0/0
ip address 172.20.20.1 255.255.255.240
...
interface GigabitEthernet0/0/0
148
ip address 10.10.10.1 255.255.255.252
...
ospf 1
area 0.0.0.0
network 172.20.20.0 0.0.0.15
network 10.10.10.0 0.0.0.3
#
user-interface con 0
authentication-mode aaa
user privilege level 15
user-interface vty 0 4
user-interface vty 16 20
#
return
<R1>
Распечатка показывает, что создан пользовательский интерфейс линии
con 0 с режимом аутентификации по имени (vas) и паролю (huawey1).
Проверка возможности доступа в маршрутизатор R1 с компьютера РС1
через консольный порт Con 0 (рис. 10.5) реализуется по команде Connect.
При этом операционная система запрашивает имя и пароль, т.е. требуется
аутентификация для входа в маршрутизатор (имя – vas; пароль –
huawei1):
Username:vas
Password:
<R1>
Доступ реализован.
Вывод: Доступ в маршрутизатор R1 возможет только с использованием
аутентификации (ааа) по имени (vas) и паролю (huawei1).
149
Удаленный доступ к сетевому устройству по протоколу Telnet
Удаленный доступ к сетевому устройству возможен только после его
первоначального конфигурирования, где должны быть заданы адреса
интерфейсов, маршрутизация, параметры аутентификации.
При конфигурировании удаленного доступа по протоколу Telnet
необходимо:
- задать функции и параметры сервера Telnet;
- создать интерфейс пользователя (user-interface) с заданными
параметрами;
- сконфигурировать локального пользователя Telnet.
Существует несколько способов формирования удаленного доступа по
протоколу Telnet, реализация которых зависит от конкретной схемы сети и
параметров доступа.
Ниже рассмотрен пример конфигурации удаленного доступа по Telnet
из R1 к маршрутизатору R2 (рис. 10.5). На маршрутизаторе R2
конфигурируется сервер Telnet; интерфейс пользователя виртуальных линий
(vty 0 4), через которые и реализуется удаленный доступ; режим и
параметры аутентификации:
[R2]telnet server enable
[R2]user-interface vty 0 4
[R2-ui-vty0-4]user privilege level 15
[R2-ui-vty0-4]authentication-mode aaa
Затем конфигурируется информация для доступа локального пользователя
(имя, пароль, тип сервиса, уровень привилегий).
[R2]aaa
[R2-aaa]local-user vas2 password cipher huawei2
[R2-aaa]local-user vas2 service-type telnet
[R2-aaa]local-user vas2 privilege level 3
После этого проводится проверка возможности удаленного доступа в
маршрутизатор R2 из удаленного маршрутизатора R1 (рис. 10.5):
<R1>telnet 192.168.30.1
Trying 192.168.30.1 ...
Press CTRL+K to abort
Connected to 192.168.30.1 ...
150
Login authentication
Username:vas2
Password:
Info: The max number of VTY users is 10, and the number
of current VTY users on line is 1.
The current login time is 2017-03-05 14:59:24.
<R2>
Удаленный доступ в маршрутизатор R2 реализован.
Параметры конфигурации R2 можно увидеть по команде:
<R2>display current-configuration
#
sysname R2
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user vas2 password cipher *n4>+8amCN@X,k6.E\Z,VT;#
local-user vas2 privilege level 3
local-user vas2 service-type telnet
local-user admin password cipher /Yo"1Qm*Q-ani^>"qh^;z5,#
local-user admin service-type http
...
interface Ethernet0/0/0
ip address 192.168.30.1 255.255.255.240
...
interface GigabitEthernet0/0/0
ip address 10.10.10.2 255.255.255.252
...
ospf 1
area 0.0.0.0
network 192.168.30.0 0.0.0.15
network 10.10.10.0 0.0.0.3
#
user-interface con 0
user-interface vty 0 4
authentication-mode aaa
user privilege level 15
...
<R2>
151
Вопросы по разделу 10
1. Каковы главные функции маршрутизатора?
2. Откуда перезаписываются в оперативную память образ операционной
системы и конфигурационный файл?
3. Каковы функции флеш-памяти?
4. Где хранится стартовый файл конфигурации?
5. Какая информация хранится в ПЗУ ROM?
6. Какие средства используются для начального конфигурирования
маршрутизаторов и коммутаторов?
7. Какие параметры устройства должны быть настроены для удаленного
доступа к нему?
8. Какой протокол обеспечивает обмен шифрованной информацией при
удаленном доступе к сетевому устройству?
9. Каков начальный режим конфигурирования при работе через интерфейс
командной строки CLI?
10.Какие режимы конфигурирования используются в маршрутизаторах и
коммутаторах, какие параметры задаются в каждом из них?
11.Какие интерфейсы можно защищать паролями?
12.Почему для удаленного доступа необходимо задавать имя устройства и
пароль на вход через виртуальные линии?
13.По какой команде проводится сохранение текущей конфигурации? Где
она сохраняется?
14.Какие команды используются для конфигурирования адресной
информации маршрутизатора?
15.В каком состоянии по умолчанию находятся интерфейсы
маршрутизаторов и коммутаторов Huawei?
16.Что такое шлюз по умолчанию? Как его сконфигурировать?
17.По какой команде можно посмотреть адресную информацию компьютера?
18. Каким устройствам адреса назначаются вручную администратором?
19.Что проверяется по команде ping 127.0.0.1?
20.Какие сведения можно получить по команде display ip interface
brief?
152
Упражнения
1. На реальном оборудовании или в среде eNSP сформируйте схему сети
G0/0/0
HR1
G0/0/1
Sw1
РС1
Sw2
РС2
РС3
РС4
2. Посмотрите начальную конфигурацию сетевых элементов.
3. Конфигурацию конечных узлов посмотрите по команде ipconfig в
командной строке.
4. Сконфигурируйте имя маршрутизатора и интерфейсы G0/0/0, G0/0/1.
Используйте адреса G0/0/0 – 192.168.1.1/24; G0/0/1 – 192.168.2.1/24.
5. Вновь проверьте конфигурации. Объясните изменения. Сохраните
конфигурацию.
6. Внесите изменения в конфигурацию маршрутизатора, установив все
известные Вам пароли.
7. Проверьте функционирование паролей. Конфигурацию не сохраняйте.
8. Посмотрите конфигурацию по команде display currentconfiguration. Прокомментируйте конфигурацию.
9. Введите команду перезагрузки. Снова проверьте текущую конфигурацию.
Прокомментируйте проделанную работу.
153
12. СТАТИЧЕСКАЯ МАРШРУТИЗАЦИЯ
12.1. Основы статической маршрутизации
Маршруты к удаленным сетям могут быть сконфигурированы для
каждого маршрутизатора вручную администратором (статическая
маршрутизация) или созданы с помощью маршрутизирующих протоколов
(динамическая маршрутизация).
Статические маршруты полностью определены администратором,
поэтому они более безопасны, требуют меньше вычислительных ресурсов
и более узкую полосу пропускания по сравнению с динамическими
маршрутами. Однако сети, использующие статическую маршрутизацию,
плохо масштабируемы, при изменении топологии требуется внесение
изменений администратором в конфигурацию, что может приводить к
ошибкам. Поэтому статическая маршрутизация используется либо в малых
сетях, либо в комбинации с протоколами динамической маршрутизации на
отдельных участках сети.
Статическая маршрутизация часто используется в тупиковых сетях,
обмен данными с которыми реализуется через маршрутизатор, который
подключен только к одному соседнему маршрутизатору. При рассмотрении
статической маршрутизации используется составная сеть, структурная схема
которой приведена на рис. 11.1. В приведенной схеме сети тупиковой
является Сеть 1, а тупиковым маршрутизатором – HА, поскольку он
соединен только с маршрутизатором HВ. Все пакета из Сети 1 могут быть
отправлены только через маршрутизатор HА по стандартному
статическому маршруту в маршрутизатор HВ.
Статическая маршрутизация формируется при создании маршрута по
умолчанию, который указывает путь к сетям, не имеющим соответствующих
входов в таблице маршрутизации. В схеме сети рис. 11.1 пакеты с
неизвестными адресами сетей назначения из маршрутизатора HС можно
направлять в Интернет, т.е. в сеть провайдера ISP. Адрес маршрута по
умолчанию 0.0.0.0/0 означает любые адреса сетей с любыми масками.
154
200.40.40.0/30
G0/0/1
.2
HA
G0/0/0 .1
.1
G0/0/2 HB
G0/0/0 .1
Sw
РС11
200.50.50.0/30
Сеть 1
192.168.10.0/24 РС21
.11
G0/0/1
G0/0/1
.2
G0/0/2
.1
HC
G0/0/0 .1
Сеть ISP
Sw
Sw
Сеть 2
192.168.20.0/24
Сеть 3
192.168.30.0/24
РС31
.21
.31
Рис. 11.1. Пример составной сети
Статическая маршрутизация также используется при формировании
суммарных (объединенных) маршрутов, что сокращает количество записей
в таблице маршрутизации.
11.2. Конфигурирование статической маршрутизации
Чтобы сконфигурировать статическую маршрутизацию администратор
должен задать маршруты ко всем возможным сетям назначения, которые не
присоединены непосредственно к программируемому маршрутизатору.
Например, из маршрутизатора HA (рис. 11.1), к которому прямо
присоединены две сети (Сеть 1 – 192.168.10.0/24, Сеть 4 – 200.40.40.0/30),
необходимо проложить маршруты к остальным сетям. К маршрутизатору НB
прямо присоединены 3 сети (Сеть 2, Сеть 4, Сеть 5).
Для конфигурирования статической маршрутизации используется
команда ip route, которая содержит параметры:
- адрес сети назначения,
- сетевую маску,
- адрес входного интерфейса следующего маршрутизатора на пути к
адресату (next hop).
155
Адрес входного интерфейса следующего маршрутизатора (следующего
перехода – Next Hop) на пути к адресату иногда называют шлюзом.
Например, для пакетов, попавших в маршрутизатор НВ, шлюзами будут:
1. Интерфейс g0/0/1 маршрутизатора HA с адресом 200.40.40.1,
2. Интерфейс g0/0/2 маршрутизатора HС с адресом 200.50.50.2.
Ниже приведен пример конфигурирования статической маршрутизации
для маршрутизатора HA, когда используется адрес следующего перехода.
Маршрутизатор HA непосредственно связан с сетями 192.168.10.0 и
200.40.40.0 , поэтому статические маршруты нужно создать для остальных
сетей, которые прямо не присоединены к HА.
<HA>system-view
[HA]interface g0/0/1
[HA-Serial0/0/0]ip address 200.40.40.1 30
[HA]interface g0/0/0
[HA-GigabitEthernet0/0/0]ip address 192.168.10.1 24
[HA]ip route-static 192.168.20.0 255.255.255.0 200.40.40.2
[HA]ip route-static 192.168.30.0 255.255.255.0 200.40.40.2
[HA]ip route-static 200.50.50.0 255.255.255.252 200.40.40.2
Сохранение конфигурации:
<HA>save
The current configuration will be written to the
device.
Are you sure to continue?[Y/N]y
Now saving the current configuration to the slot 17.
Nov 15 2016 21:01:08-08:00 HR-1
%%01CFM/4/SAVE(l)[0]:The user chose Y when decid
ing whether to save the configuration to the device.
Save the configuration successfully.
<НA>
Аналогично конфигурируются остальные маршрутизаторы.
Состояние маршрутизатора отображается по команде распечатки
текущей конфигурации:
156
<HА>display current-configuration
#
sysname HА
...
interface GigabitEthernet0/0/0
ip address 192.168.10.1 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 200.40.40.1 255.255.255.252
...
ip route-static 192.168.20.0 255.255.255.0 200.40.40.2
ip route-static 192.168.30.0 255.255.255.0 200.40.40.2
ip route-static 200.50.50.0 255.255.255.252 200.40.40.2
...
return
<HА>
Проверка созданных статических маршрутов производится по команде
display ip routing-table, например:
[HА]display ip routing-table
Route Flags: R - relay, D - download to fib
-------------------------------------------------------------Routing Tables: Public
Destinations : 10
Routes : 10
Destination/Mask Proto
Pre
Cost Flags NextHop
127.0.0.0/8
127.0.0.1/32
192.168.10.0/24
192.168.10.1/32
192.168.20.0/24
192.168.30.0/24
200.40.40.0/30
200.40.40.1/32
200.40.40.2/32
200.50.50.0/30
0
0
0
0
60
60
0
0
0
60
0
0
0
0
0
0
0
0
0
0
Direct
Direct
Direct
Direct
Static
Static
Direct
Direct
Direct
Static
D
D
D
D
RD
RD
D
D
D
RD
127.0.0.1
127.0.0.1
192.168.10.1
127.0.0.1
200.40.40.2
200.40.40.2
200.40.40.1
127.0.0.1
200.40.40.2
200.40.40.2
Interface
InLoopBack0
InLoopBack0
GigabitEthernet0/0/0
GigabitEthernet0/0/0
GigabitEthernet0/0/1
GigabitEthernet0/0/1
GigabitEthernet0/0/1
GigabitEthernet0/0/1
GigabitEthernet0/0/1
GigabitEthernet0/0/1
Из таблицы маршрутизации следует, что статические маршруты
(Static) с предпочтением (Pre
=
60) проложены к трем сетям
(192.168.20.0, 192.168.30.0 и 200.50.50.0). Все три маршрута проходят через
адрес следующего перехода 200.40.40.2 (NextHop). Выходным интерфейсом
является GigabitEthernet0/0/1.
157
Пути к удаленным сетям в маршрутизаторе HВ проложены через
разные выходные интерфейсы:
к сети 192.168.10.0 – через интерфейс GigabitEthernet0/0/2,
а к сети 192.168.30.0 – через GigabitEthernet0/0/1.
<HВ>display ip routing-table
...
192.168.10.0/24 Static 60 0 RD
...
192.168.30.0/24 Static 60 0 RD
200.40.40.1
GigabitEthernet0/0/2
200.50.50.2
GigabitEthernet0/0/1
В третьем маршрутизаторе НС проложено три статических маршрута
через выходной интерфейс GigabitEthernet0/0/2 и адрес следующего
перехода 200.50.50.1:
[HС]display ip
...
192.168.10.0/24
192.168.20.0/24
...
200.40.40.0/30
routing-table
Static 60
Static 60
0 RD 200.50.50.1 GigabitEthernet0/0/2
0 RD 200.50.50.1 GigabitEthernet0/0/2
Static 60
0 RD 200.50.50.1 GigabitEthernet0/0/2
Метрика всех созданных статических маршрутов Cost = 0.
При получении маршрутизатором НВ пакета, адресованного,
например, узлу в сети 192.168.30.0, производится обращение к таблице
маршрутизации, где есть строка 192.168.30.0/24 Static 60 0 RD
200.50.50.2
GigabitEthernet0/0/1, в которой указано, что адресом
следующего перехода будет 200.50.50.2. Выходным интерфейсом, на
который нужно продвинуть пакет, будет GigabitEthernet0/0/1.
Верификация работоспособности сети и таблицы маршрутизации
производится с использованием команд ping и traceroute, которые
проверяют обеспечение IP-связи между маршрутизаторами и между
конечными узлами. Команды ping и traceroute являются утилитами
протокола ICMP, который разработан в дополнение к протоколу IP, не
имеющему средств проверки достижимости или недостижимости узлов и
158
сетей. Эти команды позволяют с каждого маршрутизатора и конечного узла
производить тестирование интерфейсов других маршрутизаторов и узлов.
Маршруты удаляются из таблицы маршрутизации, если выходной
интерфейс маршрутизатора прекращает функционирование. Поэтому при
отладке сети необходимо проверять не только таблицу маршрутизации, но и
состояние
интерфейсов.
Совокупность
команд
ping,
traceroute,
display ip routing-table, display current-configuration и
display
ip
interface
brief позволяет в большинстве случаев
отладить сеть и устранить неполадки.
Конфигурирование статической маршрутизации по умолчанию
Статическая маршрутизация по умолчанию означает, что, если
пакет предназначен для сети, которая не указана в таблице маршрутизации,
то маршрутизатор отправит пакет по заданному по умолчанию маршруту.
При этом маршрутизатор направляет пакеты к следующему маршрутизатору,
когда тот в таблице не задан явно.
Статическая маршрутизация по умолчанию широко используется на
пограничных маршрутизаторах при подключении к сети провайдера ISP.
Например, на маршрутизаторе НC (рис. 11.1) может быть сконфигурирован
маршрут по умолчанию, когда все пакеты с неизвестными адресами сетей
назначения будут направляться в сеть ISP, т.е. в Интернет. Маршрут по
умолчанию будет уместным также на тупиковом маршрутизаторе НА,
потому что через него лежит единственный путь в составную сеть и из нее.
Например, для всех пакетов, попавших в маршрутизатор НA маршрут по
умолчанию будет через его порт GigabitEthernet0/0/1, т.е. шлюзом
будет входной интерфейс маршрутизатора HВ с адресом 200.40.40.2.
В процессе конфигурирования маршрутизации по умолчанию
предварительно необходимо отменить все созданные статические маршруты:
[HА]undo ip route-static 192.168.20.0 255.255.255.0 200.40.40.2
159
[HА]undo ip route-static 192.168.30.0 255.255.255.0 200.40.40.2
[HА]undo ip route-static 200.50.50.0 255.255.255.252 200.40.40.2
Затем также как при статической маршрутизации, исполняют команду
ip route, но в адресе и маске сети (и подсети) используют все нули, которые
означают все сети со всеми масками:
[HA]ip route-static 0.0.0.0 0.0.0.0 200.40.40.2,
В результате в таблице маршрутизации появляется статический маршрут по
умолчанию:
[HA]display ip routing-table
...
0.0.0.0/0
Static
60
0
RD
200.40.40.2 GigabitEthernet0/0/1
Текущая конфигурация, например маршрутизатора НА, также как его
таблица маршрутизации, отображает маршрут по умолчанию ip routestatic 0.0.0.0 0.0.0.0 200.40.40.2:
<HA>display current-configuration
#
sysname HA
...
interface GigabitEthernet0/0/0
ip address 192.168.10.1 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 200.40.40.1 255.255.255.252
...
ip route-static 0.0.0.0 0.0.0.0 200.40.40.2
...
<HA>
При подключении к Интернету на маршрутизаторе подключаемой сети,
например HС рис. 11.1, обычно конфигурируется маршрут по умолчанию,
а на граничном маршрутизаторе провайдера ISP конфигурируется
стандартный статический маршрут для доступа в сеть абонента.
[HC]ip route-static 0.0.0.0 0.0.0.0 200.60.60.2,
160
где 200.60.60.2 – адрес входного интерфейса граничного маршрутизатора
ISP.
Вместо входного интерфейса соседнего маршрутизатора можно указать свой
выходной интерфейс (g0/0/1 с адресом 200.60.60.1):
[HС]ip route-static 0.0.0.0 0.0.0.0 g0/0/1
11.3. Статическая маршрутизация в сетях IPv6
Статическая маршрутизация в сетях IPv6 позволяет сконфигурировать,
также как в Ipv4, стандартные статические маршруты и статические
маршруты по умолчанию. Конфигурирование статической маршрутизации
IPv6 рассмотрено на примере распределенной сети рис. 11.2.
Сеть 4
2001:db8:a:4/64
.1
G0/0/2
Сеть 5
2001:db8:a:5/64
.1 G0/0/2
A
B
G0/0/1 .2
G0/0/0 .1
G0/0/0 .1
Sw
Sw
Сеть 1
2001:db8:a:1/64
PC11
G0/0/1
2001:db8:a:6/64
.1
C
.2
G0/0/0 .1
ISP
G0/0/1
Sw
Сеть 2
2001:db8:a:2/64
PC21
Сеть 3
2001:db8:a:3/64
PC31
Рис. 11.2. Распределенная сеть IPv6
Маршрутизация IPv6 включается после формирования команды ipv6
на всех маршрутизаторах, например:
[A]ipv6
161
Статические маршруты конфигурируются по команде ipv6 routestatic. В качестве параметров команды задают: адрес сети назначения,
значение длины префикса, адрес следующего перехода. Например,
стандартные статические маршруты на маршрутизаторе A в сети рис. 11.2
формируются следующим образом:
[A]ipv6
[A]ipv6
[A]ipv6
[A]ipv6
route-static
route-static
route-static
route-static
2001:db8:a:2::
2001:db8:a:3::
2001:db8:a:5::
2001:db8:a:6::
64
64
64
64
2001:db8:a:4::2
2001:db8:a:4::2
2001:db8:a:4::2
2001:db8:a:4::2
Проделанная работа проверяется по командам display currentconfiguration, display ipv6 routing-table, ping .
<A>display current-configuration
#
sysname A
#
ipv6
...
interface GigabitEthernet0/0/0
ipv6 enable
ipv6 address 2001:DB8:A:1::1/64
#
interface GigabitEthernet0/0/1
ipv6 enable
ipv6 address 2001:DB8:A:4::1/64
...
ipv6 route-static 2001:DB8:A:2::
ipv6 route-static 2001:DB8:A:3::
ipv6 route-static 2001:DB8:A:5::
ipv6 route-static 2001:DB8:A:6::
...
return
<HA>
64
64
64
64
2001:DB8:A:4::2
2001:DB8:A:4::2
2001:DB8:A:4::2
2001:DB8:A:4::2
Созданные маршруты можно посмотреть в таблице маршрутизации по
команде:
[А]display ipv6 routing-table
Статические маршруты с предпочтением (Preference = 60) и метрикой
(Cost = 0) проложены к четырем удаленным сетям (2001:DB8:A:2::/64,
2001:DB8:A:3::/64, 2001:DB8:A:5::/64 и 2001:DB8:A:6::/64).
162
Аналогично конфигурируются остальные маршрутизаторы сети рис. 11.2.
«Прозвонка» узла РС11 с узла РС31 демонстрирует работоспособность
сети:
PC31>ping 2001:db8:a:1::11
Ping
From
From
From
From
From
2001:db8:a:1::11:
2001:db8:a:1::11:
2001:db8:a:1::11:
2001:db8:a:1::11:
2001:db8:a:1::11:
2001:db8:a:1::11:
32 data bytes,
bytes=32 seq=1
bytes=32 seq=2
bytes=32 seq=3
bytes=32 seq=4
bytes=32 seq=5
Press Ctrl_C to break
hop limit=252 time=234
hop limit=252 time=140
hop limit=252 time=109
hop limit=252 time=110
hop limit=252 time=125
ms
ms
ms
ms
ms
--- 2001:db8:a:1::11 ping statistics --5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 109/143/234 ms
В сетях IPv6 на интерфейсах маршрутизаторов автоматически задаются
локальные адреса (link-local), которые отображаются, например, по команде:
<А>display ipv6 interface g0/0/0
GigabitEthernet0/0/0 current state : UP
IPv6 protocol current state : UP
IPv6 is enabled, link-local address is FE80::5689:98FF:FE9C:32FB
Global unicast address(es):
2001:DB8:A:1::1, subnet is 2001:DB8:A:1::/64
...
<HА>
Из распечатки видно, что локальный адрес сформирован из префикса
FE80: и МАС-адреса интерфейса с использованием механизма EUI-64. В ряде
случаев пользоваться довольно громоздким локальным адресом
FE80::5689:98FF:FE9C:32FB неудобно. Поэтому администратор может
сформировать короткий адрес, например:
[A]int g0/0/0
[A-GigabitEthernet0/0]ipv6 enable
[A-GigabitEthernet0/0]ipv6 address fe80::111 link-local
163
Распечатка команды display
ipv6
interface
g0/0/0
показывает
изменение локального адреса интерфейса:
[А]display ipv6 interface g0/0/0
GigabitEthernet0/0/0 current state : UP
IPv6 protocol current state : UP
IPv6 is enabled, link-local address is FE80::111
Global unicast address(es):
2001:DB8:A:1::1, subnet is 2001:DB8:A:1::/64
...
[А]
Следует помнить, что локальные адреса являются уникальными только
в одном локальном канале, т.е. адрес fe80::111 может быть использован
как в сети 1 (рис. 11.2), так и в других сетях (2, 3, 4, 5).
Статическая маршрутизация IPv6 по умолчанию широко используется
на пограничных маршрутизаторах при подключении к сети провайдера ISP, а
также на тупиковых маршрутизаторах. Например, для всех пакетов,
попавших в маршрутизатор A (рис. 11.2) маршрут по умолчанию будет через
его выходной порт G0/0/0, а шлюзом следующего перехода будет входной
интерфейс маршрутизатора В (G0/0/2) с адресом 2001:db8:a:4::2.
Конфигурирование маршрута по умолчанию показано в следующем примере:
A(config)#ipv6 route ::/0 2001:db8:a:4::2
Статическая маршрутизация IPv6, также как IPv4, может использовать
суммирование адресов. Например, в распределенной сети рис. 11.2 на
маршрутизаторе С можно сформировать суммарный адрес к сетям
2001:db8:a:1::/64, 2001:db8:a:2::/64, 2001:db8:a:4::/64
С(config)#ipv6 route 2001:db8:a::/61 2001:db8:a:5::1
Префикс /61 получился, поскольку три последних бита сетевой части
адреса будут: Сети 1 – 001, Сети 2 – 010, Сети 4 – 100, т.е. различие в трех
последних двоичных разрядах. Поэтому префикс на 3 меньше, чем /64.
164
Вопросы по разделу 11
1. Кто создает статическую маршрутизацию?
2. Каковы преимущества и недостатки статической маршрутизации по
сравнению с динамической?
3. Какие команды используются для создания статической маршрутизации?
4. Каков формат команды конфигурирования стандартной статической
маршрутизации?
5. Каков формат команды конфигурирования статической маршрутизации с
использованием выходного интерфейса?
6. Для чего необходим маршрут по умолчанию?
7. Каков формат команды конфигурирования статической маршрутизации по
умолчанию в сетях IPv4, IPv6?
8. Какие маршруты обычно конфигурируется при подключении к Интернету
на маршрутизаторе подключаемой сети и на граничном маршрутизаторе
провайдера?
9. Какие изменения происходят в таблице маршрутизации, если выходной
интерфейс перестает функционировать?
10. По какой команде можно посмотреть таблицу маршрутизации IPv4, IPv6?
11. Какие команды используются для проверки и отладки конфигурации?
Упражнения
1.
2.
В среде eNSP создайте нижеприведенную схему сети, задайте адреса
(вариант 1 – IPv4, вариант 2 – IPv6).
Сконфигурируйте статическую маршрутизацию. Проведите проверку и
отладку с использованием команд display current-configuration,
display ip routing-table, ping, traceroute, tracert.
G0/0/1
A
G0/0/0
G0/0/2 B
G0/0/0
Sw
Sw
Сеть 1
РС1
G0/0/1
G0/0/2 C
G0/0/0
D
G0/0/0
Sw
Сеть 2
РС2
G0/0/1
G0/0/2
Sw
Сеть 4
Сеть 3
РС3
165
РС4
12. ПРОТОКОЛ OSPF
12.1. Протоколы динамической маршрутизации
Маршрутизаторы функционируют в сетях с коммутацией пакетов.
Процесс прокладывания пути производится либо вручную администратором
(статическая маршрутизация), либо автоматически маршрутизирующим
протоколом (динамическая маршрутизация).
Маршрутизаторы, зная первоначально информацию о присоединенных
сетях, обмениваются этой информацией с другими устройствами. После
таких обновлений все маршрутизаторы будут иметь согласованную
информацию о маршрутах к доступным сетям. Процесс обмена
обновлениями реализуют протоколы маршрутизации. Итак, протоколы
маршрутизации разделяют сетевую информацию между маршрутизаторами.
При изменениях в топологии требуется некоторое время (время
сходимости или конвергенции) для согласования информации в таблицах
маршрутизации всех маршрутизаторов сети. Время сходимости является
важным фактором при выборе протокола маршрутизации.
Маршрутная информация собирается по определенным правилам в
ходе реализации алгоритма динамического обмена обновлениями (update,
модификациями) между маршрутизаторами. Протокол маршрутизации
должен создавать и поддерживать таблицы маршрутизации, где хранятся
пути ко всем доступным сетям назначения, а также извещать другие
маршрутизаторы о всех известных ему изменениях в топологии сети, т.е.
решать задачу обнаружения сетей.
Совокупность сетей, представленных маршрутизаторами под общим
административным управлением, образует автономную систему (рис. 12.1).
Примерами автономных систем являются сети отдельных провайдеров ISP.
Автономные системы нумеруются (AS1, AS2, …AS107, …).
Внутри автономной системы работают протоколы внутренней
маршрутизации (Interior Gateway Protocols - IGP), к которым относятся RIP,
RIPv2, EIGRP, OSPF, IS-IS. Маршрутизацию между автономными системами
производят протоколы внешней маршрутизации (Exterior Gateway Protocols EGP). Протокол внешней маршрутизации (Border Gateway Protocol – BGP)
обеспечивает связь между автономными системами (рис. 12.1).
166
AS1
AS107
BGP
Автономная система 1
Автономная система 107
Рис. 12.1. Взаимодействие автономных систем
Совокупность протоколов маршрутизации приведена в табл. 12.1, из
которой следует, что протоколы динамической маршрутизации, работающие
внутри автономных систем, в свою очередь, подразделяются на протоколы
вектора расстояния (distance-vector) и протоколы состояния канала
(link-state).
Таблица 12.1
Протоколы динамической маршрутизации
Протоколы внутренней маршрутизации
Вектора расстояния
Состояния канала
RIP-2
OSPF
EIGRP
IS-IS
Протоколы внешней
маршрутизации
Вектора пути
BGP
Протоколы вектора расстояния определяют расстояние и
направление, т.е. вектор соединения в составной сети на пути к адресату. При
использовании протокола вектора расстояния маршрутизаторы посылают
всю или часть таблицы маршрутизации соседним (смежным)
маршрутизаторам. В таких протоколах как RIP и RIP-2 расстояние
выражается в количестве переходов (hop count), т.е. количестве
маршрутизаторов в соединении на пути от узла источника к адресату
назначения. Обмен обновлениями (update) или модификациями происходит
периодически, даже если в сети нет никаких изменений, на что тратится
значительная часть полосы пропускания. Получив обновление маршрутной
информации, маршрутизатор может заново вычислить все известные пути и
произвести изменения в таблице маршрутизации.
167
Протоколы состояния канала (Link-State) создают полную картину
топологии сети и вычисляют кратчайшие пути ко всем сетям назначения.
Если путей с одинаковой метрикой несколько, то выбирается первый из
вычисленных.
Рассылка
обновлений
маршрутной
информации
производится только при изменениях топологии сети. Протоколы
состояния канала (или соединения) быстрее реагируют на изменения в сети
по сравнению с протоколами вектора расстояния, но при этом требуют
больших вычислительных ресурсов.
Протокол граничного шлюза (Border Gateway Protocol - BGP)
относится к внешним протоколам External Gateway Protocol (EGP). Протокол
обеспечивает обмен маршрутизирующей информацией между автономными
системами, гарантирует выбор пути, свободный от маршрутных петель (loopfree). Протокол BGP используется основными сетевыми компаниями, в том
числе провайдерами Интернет. Протокол BGP принимает решение о выборе
маршрута на основе сетевой политики.
Когда инкапсулированный в кадр пакет прибывает на входной
интерфейс, маршрутизатор декапсулирует его, затем использует таблицу
маршрутизации, чтобы определить, по какому маршруту направить пакет,
т.е. на какой свой выходной интерфейс передать поступивший пакет.
Выходной интерфейс связан с наиболее рациональным маршрутом к
адресату назначения. Этот процесс называется коммутацией или
продвижением пакета. На выходном интерфейсе пакет инкапсулируется в
новый кадр, при этом маршрутизатор добавляет информацию для
формирования кадра.
Маршрутизаторы способны одновременно поддерживать несколько
независимых протоколов с разными предпочтениями (Pre), которые
показывают степень достоверности источника маршрута. Чем меньше Pre,
тем выше достоверность. В таблицу маршрутизации устанавливаются
маршруты, созданные протоколами с наименьшим значением предпочтения.
Таким
образом,
предпочтение
является
некоторым
аналогом
административного расстояния в маршрутизаторах Cisco. Ниже приведены
сведения о предпочтении маршрутизации аппаратуры Huawei и
административных расстояниях Cisco (табл. 12.2).
168
Таблица 12.2
Предпочтение (Huawei) и административное расстояние (Cisco)
Маршрутизация
1
2
3
4
5
Direct
OSPF
IS-IS
Static
RIP
Предпочтение (Pre),
Huawei
0
10
15
60
100
Административное
расстояние, Cisco
0
110
115
1
120
Определение протоколом маршрутизации наиболее рационального
(оптимального) пути производится на основе определенного критерия –
метрики. Значение метрики используется при оценке возможных путей к
адресату назначения.
Различные протоколы маршрутизации используют разные алгоритмы
при выборе маршрута, т.е. выходного интерфейса и (или) адреса следующего
перехода, на который должен быть передан пакет. Алгоритм и метрика
определяются целым рядом решаемых задач, таких как простота,
устойчивость, гибкость, быстрая сходимость или конвергенция. Сходимость
– это процесс согласования между маршрутизаторами сети информации о
доступных маршрутах. При изменениях состояния сети необходимо, чтобы
обмен модификациями восстановил согласованную сетевую информацию.
Каждый алгоритм по своему интерпретирует выбор наиболее
рационального пути на основе метрики. Обычно меньшее значение
метрики соответствует лучшему маршруту. Метрика может базироваться
на одном или на нескольких параметрах пути.
Наиболее известными протоколами состояния канала (соединения)
являются протокол Open Shortest Path First (OSPF) и протокол Intermediate
System-to-Intermediate System (IS-IS). Протокол маршрутизации OSPF
разработан организацией Engineering Task Force (IETF). Он может работать с
оборудованием разных фирм производителей, поэтому получил широкое
распространение.
169
12.2. Общие сведения о протоколе OSPF
Спецификация открытого протокола маршрутизации по состоянию
канала (Open Shortest Path First – OSPFv2) для сетей IPv4 определена
документами RFC 1247, RFC 2328, а спецификация протокола OSPFv3 для
сетей IPv6 – документами RFC 2740, RFC 5340.
Протокол OSPF предназначен для работы в больших составных сетях,
к которым относятся сети крупных предприятий и сетевых операторов.
Использование в большой сети оператора маршрутизирующих протоколов
вектора расстояния затруднительно, поскольку протокол RIP принципиально
не может работать в больших сетях. Поэтому в больших сетях широко
используется протокол OSPF, который предусматривает деление сети на
отдельные области или зоны (area), внутри которых и происходит рассылка
уведомлений (извещений), содержащих информацию о модификациях
(обновлениях), возникающих при изменениях сетевой топологии.
Использование OSPF внутри определенной области, где маршрутизаторы
разделяют маршрутную информацию между собой (рис. 12.2), снижает
нагрузку на сеть.
R1-2
R1-3
R1
R1-1
R2
Область
area 1
ABR
R3-2
R3
ASBR
Область
area 0
R3-1
Область
area 31
R3-3
R3-4
Интернет
Рис. 12.2. Области функционирования протокола OSPF
Протокол OSPF в сетях с аппаратурой Huawei предпочтительней
протоколов IS-IS и RIP (см. табл. 12.2).
OSPF поддерживает маски переменной длины VLSM и технологию
бесклассовой междоменной маршрутизации CIDR.
170
Протокол OSPF поддерживает аутентификацию MD5, что
обеспечивает высокий уровень информационной безопасности. Другое его
достоинство обусловлено тем, что рассылка обновлений OSPF происходит
лавинообразно, что сокращает время сходимости (convergence).
В большой сети таблица маршрутизации может быть очень объемной,
на обработку которой потребуется много ресурсов, тем более что OSPF не
объединяет маршруты по умолчанию. Прокладку маршрутов в удаленные
сети протокол OSPF производит с использованием алгоритма Дийкстры
(Dijkstra) вычисления первого кратчайшего пути (Shortest Path First algoritm
– SPF). При любых изменениях топологии, которые в больших сетях
происходят чаще, чем в малых, запускается алгоритм SPF расчета
маршрутов к удаленным сетям, что поглощает сетевые и вычислительные
ресурсы. Эти обстоятельства и привели к необходимости деления большой
составной сети на области. При изменении топологии сети в какой-то зоне,
алгоритм SPF запускается только в той области, где произошли изменения.
Это сокращает объем вычислений и передаваемых обновлений, которыми
обмениваются маршрутизаторы. Сообщения обновлений не выходят пределы
области с измененной топологией.
Областей (зон) может быть несколько, среди которых нулевая область
(area 0) является главной или единственной (рис. 12.2). Остальные зоны
напрямую между собой не взаимодействуют, ограничивая взаимодействие
только с нулевой областью. Взаимодействие периферийных областей,
например, области area 1 и area 31, с магистральной областью (area 0)
производится через маршрутизаторы R2, R3, которые являются
пограничными (Area Border Router – ABR).
В магистральной области area 0 обычно нет конечных узлов, она
объединяет периферийные области в единую сеть, пересылая пакеты с
высокой скоростью. Рекомендуется, чтобы маршрутизатор входил не более
чем в 3 области, в любой области не должно быть более 50 маршрутизаторов,
у каждого из которых не должно быть более 60 соседних маршрутизаторов.
171
Маршрутизаторы OSPF больших составных сетей делятся на 4 типа:
1. Внутренние маршрутизаторы, у которых одинаковые базы данных LSDB и
все интерфейсы находятся в одной области. Например, R3-1, R3-2, R3-3,
R3-4 (рис. 12.2) являются внутренними маршрутизаторами области area 31.
2. Магистральные маршрутизаторы R1, R2, R3 (рис. 4.2) находятся в
магистральной области area 0.
3. Пограничные маршрутизаторы (ABR), интерфейсы которых входят в
разные области. В сети рис. 12.2 маршрутизаторы R2, R3 являются
пограничными между магистральной областью area 0 и периферийными
областями. Пограничные маршрутизаторы должны поддерживать базы
данных LSDB всех областей, куда они входят.
4. Пограничные маршрутизаторы автономной системы (Autonomous System
Boundary Router – ASBR) имеет интерфейсы, подключенные к другим
автономным системам, которые могут не поддерживать OSPF. Например,
маршрутизатор R3, через который корпоративная сеть (рис. 12.2)
соединяется с Интернетом.
Маршрутизатор одновременно может относиться к двум-трем типам.
Например, маршрутизатор R3 (рис. 12.2) одновременно является
магистральным, пограничным (ABR) и пограничным маршрутизатором
автономной системы (ASBR).
Для работы алгоритма SPF протокол OSPF создает и поддерживает три
базы данных, на основе которых строит различные таблицы:
1. База данных смежности позволяет создать таблицу соседних
устройств, которую можно посмотреть по команде display ospf peer.
2. База данных о состоянии каналов (Link-State DataBase - LSDB)
позволяет сформировать таблицу топологии, отображаемую по команде
display ospf lsdb .
3. База данных пересылки, на основе которой создаются таблицы
маршрутизации, отображаемые по командам display ospf routing,
display ip routing-table.
Создание баз данных обеспечивается обменом содержащими
маршрутную информацию пакетами OSPF между маршрутизаторами. При
172
этом протокол OSPF использует пять типов пакетов для обмена
маршрутной информацией между устройствами:
1.
2.
3.
4.
5.
Тип 1. Пакет приветствия (Hello).
Тип 2. Пакет описания базы данных (DataBase Description – DBD).
Тип 3. Пакет запроса о состоянии каналов (Link-State Request – LSR).
Тип 4. Пакет обновлений состояния каналов (Link-State Update – LSU).
Тип 5. Пакет подтверждения получения обновлений о состоянии
каналов (Link-State Acknowledgment – LSAck).
Заголовок пакета OSPF размещается сразу за заголовком IP-пакета. На
рис. 12.3 показан общий формат пакета OSPF, данные которого зависят от
его типа.
Заголовок
кадра
Заголовок
IP-пакета
Заголовок
пакета OSPF
Данные пакета OSPF
Пакет OSPF
Рис. 12.3. Формат пакета OSPF
Формат заголовка одинаков для всех пакетов OSPF. Он содержит
24 байта (6 слов по 32 бита), что показано на рис. 12.4.
Номер версии
Тип
Длина пакета
Идентификатор маршрутизатора
Идентификатор области
Контрольная сумма
Тип аутентификации
Данные аутентификации
Рис. 12.4. Заголовок пакета OSPF
Поле номера версии протокола OSPF для сетей IPv4 в настоящее
время имеет номер 2 (OSPFv2).
Длина пакета (поле 16 бит) задается в байтах, включая заголовок и
данные.
173
Идентификатор маршрутизатора (Router ID), создавшего пакет OSPF
(поле 32 бита), по форме, является адресом IPv4, который может быть задан
администратором. Например, идентификатор 1.1.1.1 задается по команде:
[Huawei]router id 1.1.1.1
Если идентификатор не задан администратором, то протокол OSPF
автоматически в качестве ID выбирает IP-адрес одного из своих
интерфейсов с наибольшим значением. Причем, если на маршрутизаторе
сформированы виртуальные логические интерфейсы loopback, то OSPF
использует IP-адрес интерфейса loopback с наибольшим значением, как ID
маршрутизатора, независимо от значения адресов физических интерфейсов.
Идентификатор области длиной 32 бита (Area ID) определяет
область, откуда передан пакет OSPF. В зоне area 0 идентификатор 0.0.0.0.
Контрольная сумма позволяет оценить целостность принятого пакета.
Тип аутентификации (поле 16 бит). OSPF поддерживает разные типы
аутентификации, например, аутентификация может отсутствовать, могут
использоваться пароли, может использоваться аутентификация Message
Digest 5 (MD5), когда маршрутизаторы обмениваются зашифрованными
сообщениями с одинаковыми предварительно заданными паролями.
Данные аутентификации размещаются в поле длиной 64 бита (2
слова по 32 бита), используются процедурой аутентификации.
При передаче сообщения OSPF в сетях Ethernet в заголовке кадра в
качестве адреса назначения задают групповой МАС-адрес 01-00-5Е-00-00-05
или 01-00-5Е-00-00-06 (рис. 12.5) и одноадресный МАС-адрес источника.
Заголовок IP-пакета содержит групповой адрес назначения (224.0.0.5 или
224.0.0.6), а также IP-адрес источника. В поле протокола заголовка IP-пакета
задается значение 89, что говорит об использовании OSPF.
Заголовок кадра
Заголовок IP-пакета
01-00-5Е-00-00-05
Пакет OSPF
Заголовок OSPF
База данных
Идентификаторы
224.0.0.5
Рис. 12.5. Размещение полей пакета OSPF
174
Данные пакета
Информация поля данных пакета OSPF зависит от его типа. На рис.12.6
приведен формат пакета Hello-приветствия (пакет Типа 1). Пакеты
приветствия Hello маршрутизатор OSPF отправляет из всех своих
интерфейсов, чтобы обнаружить соседние устройства и установить с ними
отношение смежности. В отличие от других пакетов, Hello-пакеты
рассылаются периодически и довольно часто, чтобы непрерывно
отслеживать работоспособность соседних устройств. В широковещательных
сетях с множественным доступом (Ethernet) Hello-пакеты рассылаются
каждые 10 сек. В нешироковещательных сетях с множественным доступом
(Frame Relay, ATM) Hello-пакеты рассылаются каждые 30 сек.
Версия
Заголовок
пакета
OSPF-пакет
Hello
Тип 1
Длина пакета
Идентификатор маршрутизатора
Идентификатор области
Контрольная сумма
Тип аутентификации
Аутентификация
Аутентификация
Маска сети
Интервал приветствия
Параметр
Приоритет
Интервал простоя
Назначенный маршрутизатор (DR)
Резервный назначенный маршрутизатор (BDR)
Список соседних устройств
(Идентифитор 1-го соседа)
…
(Идентифитор n-го соседа)
Рис. 12.6. Формат пакета приветствия (Hello)
Если параметры Hello-пакетов принимаются соседями и соответствуют
их требованиям, то между соседними устройствами устанавливаются и
поддерживаются отношения смежности (adjacency) и формируются таблицы
соседних устройств.
Для формирования смежности необходимо, чтобы маршрутизаторы
работали в сети одного типа, и у соседних устройств были одинаковы:
1. Период времени обмена Hello-пакетами (Hello Interval).
2. Период времени простоя (Dead Interval), по истечению которого связь
считается потерянной, если за это время не было получено ни одного
175
Hello-пакета. Период простоя по умолчанию в 4 раза превышает Hello
Interval.
Кроме того, пакет приветствия Hello включает (рис. 12.6):
- маску сети или подсети отправляющего интерфейса;
- приоритет маршрутизатора, который может изменяться от 0 до 255 (по
умолчанию равен 1) и используется при выборе DR/BDR;
- список соседних устройств, содержащий идентификаторы всех
соседних маршрутизаторов;
идентификаторы
назначенного
(главного,
определяющего)
маршрутизатора (Designated Router - DR) и запасного назначенного
маршрутизатора (Backup Designated Router - BDR) данной области.
Поле «Параметр» (или Опции) является не обязательным. Задание в этом
поле разряда T = 1 означает, что маршрутизатор поддерживает разные типы
услуг (Type of Service – ToS) и требуемое качество обслуживания. При Т = 0
маршрутизатор не поддерживает ToS. Для того, чтобы маршрутизатор был
способен обрабатывать информацию из внешних автономных систем, в поле
опций устанавливают разряд Е-bit.
Пакеты типа 2 передают описание базы данных (Data Base Description –
DBD) передающего маршрутизатора, но не ее содержимое. Это позволяет
принимающему маршрутизатору синхронизировать свою информацию о
топологии сети с передающим маршрутизатором.
Обмен маршрутной информацией между маршрутизаторами для
формирования базы данных о состоянии каналов LSDB производится либо на
начальном этапе формирования сети, либо по запросу. Запрос производится
с помощью пакета типа 3 – (Link State Request – LSR).
Для формирования и обновления базы данных о состоянии каналов
(LSDB) и создания таблицы топологии (topology table) маршрутизаторы
OSPF обмениваются пакетами 4-го типа (рис. 12.7) – обновлений состояния
каналов (Link State Update – LSU).
176
Версия
Заголовок
пакета
OSPF-пакет
LSU
Тип 4
Длина пакета
Идентификатор маршрутизатора
Идентификатор области
Контрольная сумма
Тип аутентификации
Аутентификация
Аутентификация
Число извещений о состоянии канала
Извещение (LSA) о состоянии канала 1
Извещение (LSA) о состоянии канала 2
…
Извещение (LSA) о состоянии канала n
Рис. 12.7. Формат пакета LSU
Пакеты LSU включают извещения (уведомления) различного типа
(Link State Advertisement – LSA). Извещения LSA лавинообразно передаются
всем соседним маршрутизаторам на начальном этапе формирования сети, а
затем только при изменениях топологии сети, что экономит сетевые и
вычислительные ресурсы.
Пакеты протокола OSPF 5-го типа (Link-State Acknowledgment –
LSAck) подтверждают получение обновлений о состоянии каналов.
Состояние канала (соединения) – это описание, которое включает IP
адрес интерфейса, маску подсети, тип сети и другие параметры. Полученные
пакеты LSA позволяют протоколу OSPF сформировать на маршрутизаторе
базу данных о состоянии каналов LSDB. Каждый пакет LSA отображает
отдельную запись базы данных LSDB, с информацией о какой-то сети
области OSPF. Совокупность этих записей отображает полную топологию
области OSPF.
Существует несколько (11) типов пакетов LSA, определяющих каналы
маршрутизатора. Описание некоторых из них приведено ниже.
1. Пакеты LSA типа 1 создаются всеми маршрутизаторами и рассылаются
внутри области. Они содержат список префиксов непосредственно
присоединенных сетей, типы и состояние каналов. Идентификатор
маршрутизатора используется в качестве идентификатора LSA типа 1.
177
2. Пакеты LSA типа 2 используются в сетях Frame Relay, ATM, которые
относятся к не широковещательным сетям с множественным доступом
(NBMA). Создаются только маршрутизатором DR и рассылаются внутри
области. Далее в настоящем курсе не рассматриваются.
3. Пакеты LSA типа 3 рассылаются граничными маршрутизаторами ABR из
одной области в другую. Они содержат сетевые адреса, которые
рассылались в пакетах LSA типа 1 внутри области и хранились в базе
данных LSDB. Для каждой сети требуется пакет LSA типа 3. Объявляемые
в пакетах маршруты добавляются в таблицу маршрутизации (или
удаляются из нее). При этом алгоритм SPF не запускается.
4. Пакеты LSA типа 4 используются для объявления маршрутизатора ASBR в
домене OSPF. Пакеты LSA типа 4 создаются маршрутизатором ABR в
области, где есть ASBR. Эти пакеты транслируются граничными
маршрутизаторами ABR во все области. Идентификатор маршрутизатора
ASBR является идентификатором состояния канала.
5. Пакеты LSA типа 5 используются для объявления маршрутов внешних
сетей вне автономной системы OSPF, т.е. это сообщения о внешних
маршрутах. Пакеты LSA типа 5 формируются и рассылаются
маршрутизатором ASBR. Рассылка идет по всему домену OSPF. Адрес
внешней сети является идентификатором состояния канала.
На рис. 12.8 приведен пример обмена пакетами LSA разных типов в областях
домена OSPF при изменении топологии в Области 20.
Интернет
Область 1
Область 0
LSA тип 3
LSA тип 3
Область 20
LSA тип 1
ASBR
DR
DR
ABR1
ABR2
Рис. 12.8. Пример обмена пакетами LSA разных типов
178
На этапе установления отношений смежности в широковещательных
сетях Ethernet протокол OSPF осуществляет обмен маршрутной
информацией каждого маршрутизатора с каждым. То же самое происходит
при изменении в сети (рис. 12.9а). Даже в пределах одной области лавинная
рассылка LSA-извещений перегружает сеть. Поэтому в широковещательных
сетях Ethernet выбирают назначенный (определяющий, выделенный)
маршрутизатор (Designated – DR) и запасной (Backup) назначенный
маршрутизатор (BDR). Другие маршрутизаторы обозначаются Drother.
Если в сети выбран назначенный маршрутизатор области (DR), то
маршрутизатор, первым обнаруживший изменение в сети, посылает
информацию об изменениях только маршрутизаторам DR и BDR, по адресу
224.0.0.6. В свою очередь, DR рассылает LSA всем другим OSPF
маршрутизаторам области (рис. 12.9 б), по адресу групповой рассылки
224.0.0.5. Это сокращает количество обменов модификациями LSA в сети.
Если маршрутизатор DR выходит из строя, то его функции начинает
выполнять запасной назначенный маршрутизатор области сети BDR. Пока
функционирует DR запасной BDR пассивен. На рис. 12.9 б запасной
назначенный маршрутизатор BDR не показан.
Изменение
топологии
Изменение
топологии
LSA
R1
DR
LSA
R1
R2
R2
LSA
LSA
LSA
LSA
R3
LSA
R4
R3
R4
а)
б)
Рис. 12.9. Рассылки LSA в сети без DR (а) и с DR (б)
Выбор DR и BDR происходит на основе сравнения приоритетов
маршрутизаторов. По умолчанию приоритет всех маршрутизаторов равен 1.
Значение приоритета может быть любым от 0 до 255. Маршрутизатор с
приоритетом 0 не может быть избранным DR или BDR. Маршрутизатор с
179
самым высоким OSPF приоритетом будет отобран как DR маршрутизатор.
Маршрутизатор со вторым приоритетом будет BDR.
Когда не задано никаких дополнительных параметров и приоритет
одинаков, выбор DR и BDR происходит на основе идентификаторов (ID)
маршрутизаторов.
Выше было показано, что идентификатор маршрутизатора (ID) может
быть задан администратором по команде:
[Huawei]router id 1.1.1.1
У данной команды наивысший приоритет назначения идентификатора
маршрутизатора. Маршрутизатор с высшим значением идентификатора ID
становится DR. Маршрутизатор со вторым наибольшим значением
идентификатора ID становится BDR.
Если идентификатор не задан администратором, то протокол OSPF
автоматически выбирает в качестве ID адрес одного из интерфейсов с
наибольшим значением.
Поскольку на интерфейсах используются разъемы, то они являются
ненадежными элементами сети. Для повышения надежности работы DR на
маршрутизаторах формируют виртуальные логические интерфейсы
loopback. OSPF использует адрес интерфейса loopback как ID
маршрутизатора, независимо от значения адресов других интерфейсов.
Маршрутизатор, на котором сформировано несколько интерфейсов loopback,
использует самое большое значение адреса интерфейса loopback в качестве
ID маршрутизатора. Таким образом, выбор DR и BDR происходит на основе
сравнения адресов интерфейсов loopback.
Интерфейс loopback формируется с маской подсети на 32 бита –
255.255.255.255. Такая маска называется маской узла, потому что маска
определяет сеть одного узла.
После выбора DR и BDR сохраняют свои роли, даже если к сети
добавляются маршрутизаторы с более высоким приоритетом до тех пор, пока
маршрутизаторы не будут переконфигурированы.
Изменение приоритета OSPF может производиться администратором
по команде ip ospf priority в режиме конфигурирования интерфейса,
который участвует в выборах DR, например:
180
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ospf dr-priority <номер>
Значение приоритета (номер) интерфейса может изменяться в
пределах от 0 до 255. Приоритет можно посмотреть по командам:
display ospf peer, display
current-configuration.
ospf
interface,
display
При изменении топологии сети, например, при подключении
маршрутизатора В к сети (рис. 12.10), протокол OSPF проходит
последовательно несколько стадий, чтобы достичь сходимости.
Сеть
192.168.10.0/24
A
G0/0
.1
G0/1
.2
B
...
Рис. 12.10. Подключение маршрутизатора к сети
На этапе установления отношения смежности происходит переход
интерфейса G0/1 маршрутизатора В из выключенного состояния Down в
состояние
Init. Маршрутизатор В
отправляет
Hello-пакеты с
идентификатором, например 192.168.10.2, из всех своих интерфейсов по
групповому адресу 224.0.0.5. Получив Hello-пакет, соседний маршрутизатор
А устанавливает отношение смежности с В, добавив полученный
идентификатор в свою базу данных смежности и модифицировав таблицу
соседних устройств. При этом маршрутизатор А в режиме одноадресной
рассылки отправляет Hello-пакет маршрутизатору В. Пакет содержит
идентификатор самого устройства А, например 192.168.10.1, и список
соседей, подключенных к этому интерфейсу, т.е. идентификатор
192.168.10.2.
181
Получив Hello-пакет со своим собственным идентификатором,
маршрутизатор В добавляет устройство А в свою базу данных смежности и
формирует таблицу соседних устройств. Протокол OSPF переводит
маршрутизатор в состояние Two-Way.
После этого в сетях Ethernet проводятся выборы назначенного (DR) и
запасного (BDR). Если маршрутизаторы А и В (рис. 12.10) имеют
одинаковый приоритет, например 1, то в Ethernet-соединении между
устройствами наибольшее значение IP-адреса (192.168.10.2) имеет интерфейс
G0/1. Поэтому назначенным (DR) будет маршрутизатор В, резервным (BDR)
– станет маршрутизатор А.
На следующем этапе синхронизации баз данных в состоянии ExStart
устройство с боле высоким значением идентификатора (маршрутизатор В)
становится ведущим, которое начинает процесс обмена пакетами DBD с
ведомым (состояние Exchange). Получение пакетов DBD подтверждается
пакетами LSAck. Если информация в пакетах DBD показывает, что
требуются дополнительные данные, то используются пакты LSR и LSU
(состояние Loading, работает алгоритм SPF). Достижение маршрутизаторами
сходимости характеризуется состоянием Full.
После получения маршрутной информации запускается алгоритм SPF и
формируются таблицы маршрутизации.
После синхронизации баз данных пакеты LSU рассылаются только при
изменениях топологии сети или каждые 30 минут работы.
Метрика протокола OSPF
Протокол маршрутизации OSPF в качестве метрики использует
стоимость (cost). Метрика протокола OSPF базируются на пропускной
способности соединения bandwidth. Алгоритм протокола рассчитывает
суммарное значение стоимости всех соединений через сеть. Меньшее
значение указывает лучший маршрут. Для вычисления метрики OSPF
используется следующая формула:
Метрика(Cost)= 108 /Bandwidth,
где пропускная способность bandwidth задается в бит/c.
182
По умолчанию протокол OSPF автоматически устанавливает
максимальное значение пропускной способности в 100 Мбит/с. При этом
минимальную стоимость 1 будут иметь соединения FastEthernet,
GigabitEthernet и 10 GigabitEthernet (табл. 12.3). Соединение Ethernet
характеризуется стоимостью 10 единиц, канал ОЦК со скоростью 64 кбит/с –
1562, канал со скоростью 128 кбит/с – 781, канал Т1 – 64, канал Е1 – 48.
Таблица 12.3
Стоимость соединений (cost)
Усл. обозначен.
ОЦК
-
Bandwidth,Мбит/с 0,064
T1
E1
Fast
Giga
0,128
1,544
2,048
100
1000
10G
10000
100
1562
781
64
48
1
1
1
1000
15625
7812
647
488
10
1
1
10000
156250
78125
6477
4882
100
10
1
Поскольку минимальную стоимость в одну единицу имеют соединения
FastEthernet, GigabitEthernet и 10 GigabitEthernet, то при выборе между
такими соединениями протокол OSPF не сможет корректно прокладывать
маршрут. Поэтому появилась необходимость изменения значений метрики,
что реализуется по команде:
[Huawei]ospf 1
[Huawei-ospf-1]bandwidth-reference 1000
В этом случае стоимость в 1 единицу будут иметь соединения GigabitEthernet
и 10GigabitEthernet, стоимость соединения FastEthernet будет равна – 10
единицам, другие типы соединений также повысят стоимость в 10 раз. Если
ввести команду bandwidth-reference 10000, то стоимость в 1 единицу
будет иметь только соединение 10 GigabitEthernet.
Команду bandwidth-reference необходимо выполнить на всех
маршрутизаторах домена.
bandwidth-reference.
Стоимости
по
Отмена
умолчанию
команды
можно
производится:
восстановить
по
undo
команде
bandwidth-reference 100, когда минимальную стоимость 1 будут
иметь соединения со скоростью 100 Мбит/с и выше, т.е. соединения
FastEthernet, GigabitEthernet, 10 GigabitEthernet.
183
Если маршрут состоит из нескольких соединений, то значения метрик
cost складываются. Например, для сети (рис. 12.11) стоимость маршрута из
маршрутизатора А в локальную Сеть 2 будет складываться из метрики
соединения между маршрутизаторами А и В (48), метрики соединения между
В и С (1562) и метрики сети назначения Ethernet (10).
Суммарное значение метрики будет равно МΣ = 48+1562+10 = 1620.
2048 кбит/с
A
F0/ 1
64 кбит/с
B
Сеть 1
C
Сеть 2
E0/ 1
Рис. 12.11. Метрика сети OSPF
Значение пропускной способности учитывается при вычислении
метрики маршрута.
Операционная система позволяет задавать на интерфейсе значение cost
по команде, например:
[Huawei] interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0] ospf cost 1
Значение метрики Cost на интерфейсе соединения можно проверить по
команде display ospf interface <Тип Номер>, например:
< Huawei>display ospf interface GigabitEthernet 0/0/0
OSPF Process 1 with Router ID 110.110.110.110
Interfaces
Interface: 40.40.40.1 (GigabitEthernet0/0/0)
Cost: 1
State: DR
Type: Broadcast
MTU: 1500
Priority: 1
Designated Router: 40.40.40.1
Backup Designated Router: 40.40.40.2
Timers: Hello 10, Dead 40, Poll 120, Retransmit 5, Transmit
Delay 1
<Huawei>
Значение Cost: 1 соответствует пропускной способности интерфейса
GigabitEthernet – 106 бит/c (см. табл. 12.3).
184
12.3. Конфигурирование протокола OSPFv2
Ниже приведен пример конфигурирования протокола OSPF на
маршрутизаторах Huawei для одной области (area 0) сети IPv4 (рис. 12.12).
RA
40.40.40.0/30
40.40.40.4/30
G0/0/0 .2
.1 G0/0/1
G0/0/0 .6
.5 G0/0/1
G0/0/2 .17
SwA
10.10.10.16/28
.18
PC1
RB
G0/0/2 .33
SwB
RC
G0/0/2 .65
SwC
172.20.20.32/27
.34
PC2
192.168.30.64/26
.66
PC3
Рис. 12.12. Сеть IPv4 с протоколом OSPFv2
При конфигурировании протокола OSPF необходимо задать номер
процесса (по умолчанию 1), номер области (area 0) и адреса непосредственно
присоединенных сетей с их шаблонными (инверсными) масками:
Маршрутизатор RА:
[RA]ospf 1
[RA-ospf-1]area 0
[RA-ospf-1-area-0.0.0.0]
[RA-ospf-1-area-0.0.0.0]network 10.10.10.16 0.0.0.15
[RA-ospf-1-area-0.0.0.0]network 40.40.40.0 0.0.0.3
Маршрутизатор RB:
[RB]ospf 1
[RB-ospf-1]area 0
[RB-ospf-1-area-0.0.0.0]
[RB-ospf-1-area-0.0.0.0]network 40.40.40.0 0.0.0.3
[RB-ospf-1-area-0.0.0.0]network 40.40.40.4 0.0.0.3
[RB-ospf-1-area-0.0.0.0]network 172.20.20.32 0.0.0.31
185
Маршрутизатор RС:
[RC]ospf 1
[RC-ospf-1]area 0
[RC-ospf-1-area-0.0.0.0]
[RC-ospf-1-area-0.0.0.0]network 192.168.30.64 0.0.0.63
[RC-ospf-1-area-0.0.0.0]network 40.40.40.4 0.0.0.3
Текущая конфигурация отражает основные параметры маршрутизатора RA:
<RA>display current-configuration
#
sysname RA
...
interface GigabitEthernet0/0/0
ip address 40.40.40.1 255.255.255.252
#
interface GigabitEthernet0/0/2
ip address 10.10.10.17 255.255.255.240
#
ospf 1
area 0.0.0.0
network 40.40.40.0 0.0.0.3
network 10.10.10.16 0.0.0.15
#
return
<RA>
Таблица маршрутизации RA содержит пути ко всем доступным сетям:
<RA>display ip routing-table
Route Flags: R - relay, D - download to fib
----------------------------------------------------------------------------Routing Tables: Public
Destinations : 9
Routes : 9
Destination/Mask
10.10.10.16/28
10.10.10.17/32
40.40.40.0/30
40.40.40.1/32
40.40.40.4/30
127.0.0.0/8
127.0.0.1/32
172.20.20.32/27
192.168.30.64/26
Proto
Pre
Cost
Direct
Direct
Direct
Direct
OSPF
Direct
Direct
OSPF
OSPF
0
0
0
0
10
0
0
10
10
0
0
0
0
2
0
0
2
3
Flags NextHop
D
D
D
D
D
D
D
D
D
<RA>
186
10.10.10.17
127.0.0.1
40.40.40.1
127.0.0.1
40.40.40.2
127.0.0.1
127.0.0.1
40.40.40.2
40.40.40.2
Interface
GigabitEthernet0/0/2
GigabitEthernet0/0/2
GigabitEthernet0/0/0
GigabitEthernet0/0/0
GigabitEthernet0/0/0
InLoopBack0
InLoopBack0
GigabitEthernet0/0/0
GigabitEthernet0/0/0
Из 9 маршрутов (входов) таблицы три пути к удаленным сетям созданы
протоколом OSPF с предпочтением Pre = 10 (выделены цветом). Остальные
6 сетей – прямо присоединенные (Direct). Адресом следующего перехода в
удаленные сети (NextHop) является 40.40.40.2, выходным интерфейсом –
GigabitEthernet0/0/0. Стоимость пути к сетям 172.20.20.32 и
40.40.40.4 составляет Cost = 2, поскольку каждое из двух соединений
GigabitEthernet оценивается Cost = 1. Метрика пути в наиболее
удаленную сеть (192.168.30.64) равна Cost = 3, т.к. маршрут содержит три
соединения GigabitEthernet.
Пути ко всем доступным сетям содержатся также и в таблице ospf
routing:
<RA>display ospf routing
OSPF Process 1 with Router ID 40.40.40.1
Routing Tables
Routing for Network
Destination
Cost
10.10.10.16/28
1
40.40.40.0/30
1
40.40.40.4/30
2
172.20.20.32/27
2
192.168.30.64/26
3
Total Nets: 5
Intra Area: 5
Type
Stub
Transit
Transit
Stub
Stub
Inter Area: 0
ASE: 0
NextHop
10.10.10.17
40.40.40.1
40.40.40.2
40.40.40.2
40.40.40.2
AdvRouter
40.40.40.1
40.40.40.1
40.40.40.6
40.40.40.5
40.40.40.6
Area
0.0.0.0
0.0.0.0
0.0.0.0
0.0.0.0
0.0.0.0
NSSA: 0
<RA>
В таблице ospf routing указано:
- идентификатор маршрутизатора RA (Router ID 40.40.40.1),
который выбирался автоматически из адресов интерфейсов 40.40.40.1 и
10.10.10.17;
- все сети входят в область Area 0;
- сети 10.10.10.16/28, 172.20.20.32/27, 192.168.30.64/26 являются
тупиковыми (Stub), поскольку подключены к одному маршрутизатору.
Остальные сети – транзитные (Transit);
- сети 10.10.10.16/28 и 40.40.40.0/30 объявляет маршрутизатор RA
(AdvRouter) с идентификатором 40.40.40.1;
187
- маршрутизатор RC с идентификатором 40.40.40.6 объявляет сети
40.40.40.4/30 и 192.168.30.64/26;
- маршрутизатор RB с идентификатором 40.40.40.5 объявляет сеть
172.20.20.32/27.
У маршрутизатора RA всего один сосед (маршрутизатор RB),
информацию о котором можно получить по следующей команде:
<RA> display ospf peer
OSPF Process 1 with Router ID 40.40.40.1
Neighbors
Area 0.0.0.0 interface 40.40.40.1(GigabitEthernet0/0/0)'s neighbors
Router ID: 40.40.40.5
Address: 40.40.40.2
State: Full Mode:Nbr is Master Priority: 1
DR: 40.40.40.2 BDR: 40.40.40.1 MTU: 0
Dead timer due in 38 sec
Retrans timer interval: 5
Neighbor is up for 00:01:49
Authentication Sequence: [ 0 ]
Распечатка команды display ospf peer показывает, что сосед (peer)
находится в области Area 0.0.0.0 и его идентификатор Router ID:
40.40.40.5,
т.е.
это
маршрутизатор
RB.
Состояние
соединения
маршрутизаторов RA и RB достигло сходимости (State: Full), приоритет
(Priority: 1) назначен по умолчанию. Назначенный маршрутизатор в
сети, соединяющей RA и RB, DR: 40.40.40.2, а запасной назначенный
маршрутизатор BDR: 40.40.40.1.
У маршрутизатора RB (Router ID 40.40.40.5) два соседа (RA и
RC), с которыми достигнуто состояние сходимости (State: Full).
<RB>display ospf peer
OSPF Process 1 with Router ID 40.40.40.5
Neighbors
Area 0.0.0.0 interface 40.40.40.5(GigabitEthernet0/0/0)'s neighbors
Router ID: 40.40.40.6
Address: 40.40.40.6
State: Full Mode:Nbr is Master Priority: 1
DR: 40.40.40.6 BDR: 40.40.40.5 MTU: 0
Dead timer due in 34 sec
Retrans timer interval: 5
188
Neighbor is up for 00:00:38
Authentication Sequence: [ 0 ]
Neighbors
Area 0.0.0.0 interface 40.40.40.2(GigabitEthernet0/0/1)'s neighbors
Router ID: 40.40.40.1
Address: 40.40.40.1
State: Full Mode:Nbr is Slave Priority: 1
DR: 40.40.40.2 BDR: 40.40.40.1 MTU: 0
Dead timer due in 35 sec
Retrans timer interval: 5
Neighbor is up for 00:01:39
Authentication Sequence: [ 0 ]
<RB>
В сети, соединяющей RA и RB, назначенный маршрутизатор DR:
40.40.40.2, а в сети, соединяющей RB и RC, назначенный маршрутизатор
DR: 40.40.40.6.
Таким образом, все маршрутизаторы входят в область Area 0;
идентификаторы маршрутизаторов: RA –ID: 40.40.40.1; RB – ID:
40.40.40.5; RC – ID: 40.40.40.6. Всем маршрутизаторам назначен
приоритет по умолчанию (Priority: 1).
12.4. Конфигурирование дополнительных параметров маршрутизации
Идентификаторы маршрутизаторов
Примеры конфигурации отдельных параметров маршрутизаторов
рассмотрены для схемы сети рис. 12.12. Идентификатор маршрутизатора
может быть не только выбран из адресов интерфейсов, но и задан
администратором, например по командам:
[RА]ospf router-id 110.110.110.110
[RВ]ospf router-id 20.20.20.20
[RC]ospf router-id 30.30.30.30
После этого требуется перезагрузка по команде, например,<RA>reboot.
189
Текущая конфигурация отображает изменения (появление нового
идентификатора), например:
<RA>display current-configuration
...
interface GigabitEthernet0/0/0
ip address 40.40.40.1 255.255.255.252
...
interface GigabitEthernet0/0/2
ip address 10.10.10.17 255.255.255.240
...
ospf 1 router-id 110.110.110.110
area 0.0.0.0
network 40.40.40.0 0.0.0.3
network 10.10.10.16 0.0.0.15
В таблицах соседних устройств появляются новые идентификаторы,
например в маршрутизаторах RA и RB:
<RA>display ospf peer
OSPF Process 1 with Router ID 110.110.110.110
Neighbors
Area 0.0.0.0 interface 40.40.40.1(GigabitEthernet0/0/0)'s neighbors
Router ID: 20.20.20.20
Address: 40.40.40.2
State: Full Mode:Nbr is Slave Priority: 1
DR: 40.40.40.1 BDR: 40.40.40.2 MTU: 0
Dead timer due in 31 sec
Retrans timer interval: 5
Neighbor is up for 01:12:02
Authentication Sequence: [ 0 ]
<RB>display ospf peer
OSPF Process 1 with Router ID 20.20.20.20
Neighbors
Area 0.0.0.0 interface 40.40.40.5(GigabitEthernet0/0/0)'s neighbors
Router ID: 30.30.30.30
Address: 40.40.40.6
State: Full Mode:Nbr is Master Priority: 1
DR: 40.40.40.6 BDR: 40.40.40.5 MTU: 0
Dead timer due in 28 sec
Retrans timer interval: 5
Neighbor is up for 01:09:03
Authentication Sequence: [ 0 ]
Neighbors
Area 0.0.0.0 interface 40.40.40.2(GigabitEthernet0/0/1)'s neighbors
Router ID: 110.110.110.110 Address: 40.40.40.1
State: Full Mode:Nbr is Master Priority: 1
190
DR: 40.40.40.1 BDR: 40.40.40.2
Dead timer due in 35 sec
Retrans timer interval: 5
Neighbor is up for 00:54:23
Authentication Sequence: [ 0 ]
MTU: 0
Следует обратить внимание, что созданные администратором
идентификаторы 110.110.110.110, 20.20.20.20, 30,30,30,30 используются при
выборе назначенного маршрутизатора DR и запасного BDR. Поэтому на
соединении RA и RB, назначенный маршрутизатор DR: 40.40.40.1, а не
40.40.40.2, как было ранее, поскольку выбор DR произведен по ID:
110.110.110.110 маршрутизатора RA.
Конфигурирование пассивного интерфейса
Маршрутизаторы рассылают объявления OSPF из всех интерфейсов,
что перегружает сеть и снижает информационную безопасность. Однако,
например, в сети рис. 12.12, маршрутизатору RА нет смысла рассылать
извещения OSPF из интерфейса G0/0/2, поскольку он не подключен к другим
маршрутизаторам. Поэтому указанный интерфейс можно перевести в
пассивный режим silent, когда он будет передавать и принимать данные,
но не будут рассылать объявления OSPF. Ниже приведен пример
конфигурирования пассивного интерфейса G0/0/2 маршрутизатора RА по
следующей команде:
[RA]ospf 1
[RA-ospf-1]silent-interface g0/0/2
Проверка показывает, что интерфейс находится в пассивном режиме
silent, пакетов hellos – нет:
[RA]display ospf interface GigabitEthernet 0/0/2
OSPF Process 1 with Router ID 110.110.110.110
Interfaces
Interface: 10.10.10.17 (GigabitEthernet0/0/2)
Cost: 1
State: DR
Type: Broadcast
191
MTU: 1500
Priority: 1
Designated Router: 10.10.10.17
Backup Designated Router: 0.0.0.0
Timers: Hello 10, Dead 40, Poll 120, Retransmit 5, Transmit
Delay 1
Silent interface, No hellos
[RA]
Повторное активирование интерфейса производится по команде:
[RA-ospf-1]undo silent-interface GigabitEthernet 0/0/2
Конфигурирование динамической маршрутизации по умолчанию
Конфигурирование динамической маршрутизации по умолчанию
рассмотрено на примере сети рис. 12.13.
RA
40.40.40.0/30
40.40.40.4/30
G0/0/0 .2
.1 G0/0/1
G0/0/0 .6
.5 G0/0/1
G0/0/2 .17
SwA
10.10.10.16/28
.18
PC1
RB
G0/0/2 .33
100.100.100.0/30
RC
G0/0/0
.1
ISP
G0/0/2 .65
SwB
SwC
172.20.20.32/27
.34
192.168.30.64/26
.66
PC2
PC3
Рис. 12.13. Сеть для динамической маршрутизации по умолчанию
Для маршрутизатора желательно поддерживать маршруты к любому
возможному адресу назначения. Поэтому на маршрутизаторах формируют
маршрут по умолчанию. Это позволяет маршрутизаторам отправлять пакеты,
предназначенные любому узлу Интернета, без необходимости поддерживать
в таблице записи (входы) для каждой сети.
Например, в сети рис. 12.13 маршруты по умолчанию могут быть
сконфигурированы, чтобы передавать пакеты с не заданными в таблицах
192
маршрутизации адресами сетей назначения в сеть провайдера ISP.
Формирование маршрута по умолчанию в сеть провайдера ISP производится
на маршрутизаторе RС по команде:
[RС]ip route-static 0.0.0.0 0.0.0.0 100.100.100.2
После чего в таблице маршрутизации появляется запись о создании
статического маршрута по умолчанию (0.0.0.0/0 Static) с предпочтением
Pre = 60 и метрикой Cost = 0:
[RC]display ip routing-table
Route Flags: R - relay, D - download to fib
----------------------------------------------------------------------------Routing Tables: Public
Destinations : 12
Routes : 12
Destination/Mask
0.0.0.0/0
10.10.10.16/28
40.40.40.0/30
...
172.20.20.32/27
192.168.30.64/26
192.168.30.65/32
Proto
Pre Cost Flags NextHop
Interface
Static
OSPF
OSPF
60
10
10
0
3
2
RD
D
D
100.100.100.2
40.40.40.5
40.40.40.5
GigabitEthernet0/0/0
GigabitEthernet0/0/1
GigabitEthernet0/0/1
OSPF
Direct
Direct
10
0
0
2
0
0
D
D
D
40.40.40.5
192.168.30.65
127.0.0.1
GigabitEthernet0/0/1
GigabitEthernet0/0/2
GigabitEthernet0/0/2
[RC]
Однако в таблицах маршрутизации других маршрутизаторов (RА и RВ)
подобной информации нет. Поэтому пакеты, адресованные узлам сети
провайдера ISP, маршрутизаторами RА и RВ будут отбрасываться.
Для распространения информации о маршруте по умолчанию
протоколом OSPF на другие маршрутизаторы используется следующая
последовательность команд:
[RC]ospf-1
[RC-ospf-1]default-route-advertise
Это дает возможность OSPF распространить информацию о маршруте
по умолчанию на другие маршрутизаторы, что можно видеть по таблицам
маршрутизации маршрутизаторов RА, RВ, где появились выделенные цветом
строки статических маршрутов по умолчанию:
193
<RA>display ip routing-table
Route Flags: R - relay, D - download to fib
----------------------------------------------------------------------------Routing Tables: Public
Destinations : 10
Routes : 10
Destination/Mask
Proto
Pre
Cost
O_ASE
150
1
D
40.40.40.2
GigabitEthernet0/0/0
40.40.40.4/30
OSPF
10
2
D
40.40.40.2
GigabitEthernet0/0/0
172.20.20.32/27
192.168.30.64/26
OSPF
OSPF
10
10
2
3
D
D
40.40.40.2
40.40.40.2
GigabitEthernet0/0/0
GigabitEthernet0/0/0
0.0.0.0/0
Flags NextHop
Interface
...
...
<RB>display ip routing-table
Route Flags: R - relay, D - download to fib
----------------------------------------------------------------------------Routing Tables: Public
Destinations : 11
Routes : 11
Destination/Mask
0.0.0.0/0
10.10.10.16/28
192.168.30.64/26
...
<RB>
Proto
O_ASE
OSPF
OSPF
Pre
Cost
150
10
10
1
2
2
Flags NextHop
D
D
D
Interface
40.40.40.6
40.40.40.1
40.40.40.6
GigabitEthernet0/0/0
GigabitEthernet0/0/1
GigabitEthernet0/0/0
Символ O_ASE показывает, что маршруты созданы протоколом OSPF (O) и
объявлены (AS) внешним
маршрутизатором RС.
(E)
устройством,
194
в
данном
примере
–
12.5. Конфигурирование OSPF для нескольких областей
На рис. 12.14 приведена схема сети OSPFv2 с несколькими областями
(Area 0, Area 1, Area 2). У маршрутизатора RA интерфейс G0/0/0 с адресом
10.10.10.1/30 входит в Area 0, а интерфейс G0/0/1с адресом 172.16.16.1/30 – в
область Area 1. Интерфейс G0/0/0 маршрутизатора RB принадлежит области
Area 0, а интерфейс G0/0/2 – области Area 2.
Area 0
RA
G0/0/1 .1
172.16.16.0/30
G0/0/2 .2
G0/0/0
G0/0/0
.1
.2
10.10.10.0/30
Area 1
RC
G0/0/2 .6
RE
.1 G0/0/2
192.168.20.0/30
.2 G0/0/3
RD
G0/0/1 .5
172.16.16.4/30
RB
.5 G0/0/2
Area 2
192.168.20.4/30
.6 G0/0/3
RF
Рис. 12.14. Несколько областей сети OSPFv2
После назначения имен и формирования адресов интерфейсов
конфигурируется протокол OSPF, например:
[RA]ospf router-id 100.100.100.100
[RA]ospf 1
[RA-ospf-1]area 0
[RA-ospf-1-area-0.0.0.0]network 10.10.10.0 0.0.0.3
[RA-ospf-1-area-0.0.0.0]area 1
[RA-ospf-1-area-0.0.0.1]network 172.16.16.0 0.0.0.3
<RA>display ospf peer
OSPF Process 1 with Router ID 100.100.100.100
Neighbors
Area 0.0.0.0 interface 10.10.10.1(GigabitEthernet0/0/0)'s neighbors
Router ID: 2.2.2.2
Address: 10.10.10.2
State: Full Mode:Nbr is Slave Priority: 1
DR: 10.10.10.1 BDR: 10.10.10.2 MTU: 0
Dead timer due in 34 sec
195
Retrans timer interval: 5
Neighbor is up for 00:11:00
Authentication Sequence: [ 0 ]
Neighbors
Area 0.0.0.1 interface 172.16.16.1(GigabitEthernet0/0/1)'s neighbors
Router ID: 3.3.3.3
Address: 172.16.16.2
State: Full Mode:Nbr is Slave Priority: 1
DR: 172.16.16.1 BDR: 172.16.16.2 MTU: 0
Dead timer due in 35 sec
Retrans timer interval: 5
Neighbor is up for 00:11:01
Authentication Sequence: [ 0 ]
<RA>
Таблица маршрутизации RA содержит созданные протоколом OSPF
три маршрута к удаленным сетям (172.16.16.4/30 – метрика 2, 192.168.20.0/30
– метрика 2, 192.168.20.4/30 – метрика 3), с предпочтением Pre = 10. Путь к
сети 172.16.16.4/30 лежит по схеме вниз через свой выходной интерфейс
GigabitEthernet 0/0/1и адрес следующего перехода (NextHop – 172.16.16.2).
Маршрут к сетям 192.168.20.0/30 и 192.168.20.4/30 проходит через выходной
интерфейс GigabitEthernet 0/0/0 и адрес следующего перехода (NextHop –
10.10.10.2).
<RA>display ip routing-table
Route Flags: R - relay, D - download to fib
----------------------------------------------------------------------------Routing Tables: Public
Destinations : 9
Routes : 9
Destination/Mask
10.10.10.0/30
10.10.10.1/32
127.0.0.0/8
127.0.0.1/32
172.16.16.0/30
172.16.16.1/32
172.16.16.4/30
192.168.20.0/30
192.168.20.4/30
Proto
Direct
Direct
Direct
Direct
Direct
Direct
OSPF
OSPF
OSPF
Pre
0
0
0
0
0
0
10
10
10
Cost Flags NextHop
0
0
0
0
0
0
2
2
3
D
D
D
D
D
D
D
D
D
10.10.10.1
127.0.0.1
127.0.0.1
127.0.0.1
172.16.16.1
127.0.0.1
172.16.16.2
10.10.10.2
10.10.10.2
Interface
GigabitEthernet0/0/0
GigabitEthernet0/0/0
InLoopBack0
InLoopBack0
GigabitEthernet0/0/1
GigabitEthernet0/0/1
GigabitEthernet0/0/1
GigabitEthernet0/0/0
GigabitEthernet0/0/0
<RA>
Информацию об извещающих маршрутизаторах (AdvRouter), типе сети и
области (Area) можно получить по следующей команде:
196
<RA>display ospf routing
OSPF Process 1 with Router ID 100.100.100.100
Routing Tables
Routing for Network
Destination
Cost
10.10.10.0/30
1
172.16.16.0/30
1
172.16.16.4/30
2
192.168.20.0/30
2
192.168.20.4/30
3
Total Nets: 5
Intra Area: 3
Type
Transit
Transit
Transit
Inter-area
Inter-area
Inter Area: 2
ASE: 0
NextHop
10.10.10.1
172.16.16.1
172.16.16.2
10.10.10.2
10.10.10.2
AdvRouter
100.100.100.100
100.100.100.100
3.3.3.3
2.2.2.2
2.2.2.2
Area
0.0.0.0
0.0.0.1
0.0.0.1
0.0.0.0
0.0.0.0
NSSA: 0
<RA>
Из приведенной таблицы следует, что извещения о двух сетях 192.168.20.0/30
и 192.168.20.4/30 пришли из других автономных систем (Inter-area). Эти
сети были объявлены маршрутизатором RB с идентификатором 2.2.2.2 из
области Area 0 (AdvRouter). Сеть 172.16.16.4/30 с метрикой Cost = 2
объявлена маршрутизатором RC с идентификатором 3.3.3.3 в области Area 1.
Наиболее длинные маршруты сформированы на маршрутизаторах RE и
RF. Например, таблица маршрутизации RE содержит маршрут в удаленную
сеть 192.168.20.4/30 с метрикой Cost = 5:
[RE]display ip routing-table
Route Flags: R - relay, D - download to fib
----------------------------------------------------------------------------Routing Tables: Public
Destinations : 8
Routes : 8
Destination/Mask
10.10.10.0/30
127.0.0.0/8
127.0.0.1/32
172.16.16.0/30
172.16.16.4/30
172.16.16.6/32
192.168.20.0/30
192.168.20.4/30
Proto
Pre
Cost Flags NextHop
Interface
OSPF
Direct
Direct
OSPF
Direct
Direct
OSPF
OSPF
10
0
0
10
0
0
10
10
3
0
0
2
0
0
4
5
GigabitEthernet0/0/2
InLoopBack0
InLoopBack0
GigabitEthernet0/0/2
GigabitEthernet0/0/2
GigabitEthernet0/0/2
GigabitEthernet0/0/2
GigabitEthernet0/0/2
D
D
D
D
D
D
D
D
172.16.16.5
127.0.0.1
127.0.0.1
172.16.16.5
172.16.16.6
127.0.0.1
172.16.16.5
172.16.16.5
Информация об этой сети (192.168.20.4/30), находящейся в другой
автономной системе (Inter-area) была получена от маршрутизатора RA
(AdvRouter – 100.100.100.100).
197
<RE>display ospf routing
OSPF Process 1 with Router ID 172.16.16.6
Routing Tables
Routing for Network
Destination
Cost
172.16.16.4/30
1
10.10.10.0/30
3
172.16.16.0/30
2
192.168.20.0/30
4
192.168.20.4/30
5
Total Nets: 5
Intra Area: 2
Type
Transit
Inter-area
Transit
Inter-area
Inter-area
Inter Area: 3
ASE: 0
NextHop
172.16.16.6
172.16.16.5
172.16.16.5
172.16.16.5
172.16.16.5
AdvRouter
172.16.16.6
100.100.100.100
100.100.100.100
100.100.100.100
100.100.100.100
Area
0.0.0.1
0.0.0.1
0.0.0.1
0.0.0.1
0.0.0.1
NSSA: 0
<RE>
Можно обратить внимание, что идентификатор маршрутизатора не был
задан администратором и был выбран автоматически (Router ID
172.16.16.6).
198
Вопросы по разделу 12
1. Почему протокол OSPF используется внутри определенной области (area)?
2. Какие базы данных формирует протокол OSPF? Какие требования
предъявляются к базам данных разных маршрутизаторов области?
3. Какие таблицы строятся на основе баз данных топологии?
4. Какие команды используются для просмотра таблиц протокола OSPF?
5. Какие типы пакетов используется для обмена маршрутной информацией?
6. Какие IP-адреса и MAC-адреса использует протокол OSPF для обмена
маршрутной информацией?
7. Для чего нужны и какую информацию содержат Hello-пакеты OSPF?
По какой команде можно посмотреть таблицу соседних устройств?
8. Каков период передачи Hello-пакетов протокола OSPF в сетях Ethernet?
9. Что произойдет, если в течение периода простоя от соседнего устройства
не пришло ни одного Hello-пакета?
10. Какую информацию содержит заголовок Hello-пакета?
11. Какую информацию содержит поле данных Hello-пакета?
12. В каких случаях производится обмен пакетами LSU? Что такое LSAs?
13. Какие параметры учитывает метрика протокола OSPF?
14. В каких сетях и для чего выбираются назначенный DR и запасной BDR
маршрутизатор?
15. Для чего назначается идентификатор маршрутизатора?
16. Какие команды использует администратор при назначении
идентификатора маршрутизатора? По какой команде можно проверить
идентификатор?
17. Каков формат команд конфигурирования протокола OSPF?
18. Что используется в качестве идентификаторов протокола OSPF3?
Упражнения
В нижеприведенной схеме сети сконфигурируйте динамическую
маршрутизацию OSPF. Проведите проверку и отладку сети с использованием
всех известных Вам команд.
199
RA
40.40.40.0/30
40.40.40.4/30
G0/0/0 .2
.1 G0/0/1
G0/0/0 .6
.5 G0/0/1
G0/0/2 .17
SwA
10.10.10.16/28
.18
PC1
RB
G0/0/2 .33
SwB
RC
G0/0/2 .65
SwC
172.20.20.32/27
.34
PC2
192.168.30.64/26
.66
PC3
Проанализируйте таблицы маршрутизации, таблицы соседних устройств
маршрутизаторов. Посчитайте метрики маршрутов, сравните с табличными
значениями.
200
13. КОММУТИРУЕМЫЕ СЕТИ
13.1. Иерархическая модель построения локальных сетей
Современные локальные сети пакетной коммутации обычно строятся
на базе коммутаторов (коммутируемые сети), которые имеют 12 – 48 портов
(интерфейсов), а некоторые коммутаторы и больше. Если такого количества
портов хватает для всех пользователей, то структура сети будет представлена
простейшей одноуровневой схемой (рис. 13.1а).
Сеть среднего предприятия может быть построена по двухуровневой
схеме (рис.13.1б), которую называют моделью со свернутым ядром. Сети
крупных корпораций строятся по трехуровневой схеме (рис. 13.1в),
включающей нижний уровень доступа (Access), средний уровень
распределения (Distribution) и верхний уровень ядра (Core).
На уровне ядра и уровне распределения коммутируемых сетей
(рис.15.1в) обычно функционируют многоуровневые коммутаторы, или подругому, коммутаторы 3-го уровня (L3), поскольку они могут выполнять
функции устройств третьего сетевого уровня модели OSI. Коммутаторы L3
характеризуются большим количеством портов и высоким быстродействием,
как коммутаторы уровня L2, а также широкими функциональными
возможностями, как маршрутизаторы. Условное обозначение коммутаторов
L3 (коммутаторов-маршрутизаторов) приведено на рис. 13.1в. На схемах
сетей с оборудованием Huawei используются и другие условные обозначения
коммутаторов уровней L2, L3 [2 - 6].
На разных уровнях модели сети (рис. 13.1в) решаются разные задачи,
исходя из предъявляемых требований. Иерархическая схема сети легко
масштабируется; коммутаторы уровня распределения и ядра, а также их
соединения дублируются, что обеспечивает избыточность (резервирование)
и повышает надежность сети. Коммутаторы разных уровней могут иметь
разное быстродействие, сравнительно низкое на уровне доступа и самое
высокое на уровне ядра.
201
а)
б)
Уровень ядра
ISP
C1
R-A
D1
A1
R-B
C2
D2
Уровень распределения
A2
A3
Уровень доступа
A4
Сервер
Сервер
в)
Рис. 13.1. Схемы локальных сетей на базе коммутаторов
Уровень ядра (Core layer) представляет собой быстродействующую
магистраль (backbone) сети и дает возможность соединения с сетью
Интернет через маршрутизатор. Требование высокого быстродействия
обусловлено тем, что на этом уровне передается суммарный поток данных
всех пользователей. В настоящее время на уровне ядра используются
технологии 10 GigabitEthernet, 40 GigabitEthernet и 100 GigabitEthernet.
Важным свойством ядра является его избыточность. Резервирование
202
оборудования позволяет обеспечить высокую надежность. Поэтому
коммутаторы уровня ядра обычно дублируются (коммутаторы С1, С2 –
рис. 13.1в).
Уровень распределения (Distribution layer) также характеризуется
введением избыточных устройств и соединений для повышения
надежности. На этом уровне формируются широковещательные домены, т.е.
реализуется управление потоками, что характерно для функций сетевого
уровня модели OSI, обеспечивается маршрутизация между виртуальными
локальными сетями (VLAN). Для повышения безопасности сети на этом
уровне реализуется политика безопасности, формируются списки доступа. В
настоящее время на уровне распределения широко используется технология
GigabitEthernet, 10 GigabitEthernet. На рис. 13.1в уровень распределения
представлен коммутаторами 3-го уровня D1, D2.
Уровень доступа (Access layer) обеспечивает доступ конечным узлам к
сети. Именно на этом уровне часто бывают попытки несанкционированного
доступа, поэтому вопросы безопасности портов коммутаторов наиболее
актуальны на данном уровне. То есть, на этом уровне модели (рис. 13.1в)
необходимо обеспечить безопасность портов, чтобы не допустить
несанкционированное проникновение в сеть. Поскольку пользователей и
портов коммутаторов на этом уровне очень много, то коммутаторы обычно
не дублируются. Для разграничения потоков и создания широковещательных
доменов порты коммутатора приписываются к виртуальным локальным
сетям (VLAN). Основными технологиями уровня доступа является Fast
Ethernet и Gigabit Ethernet. На рис. 13.1в уровень доступа представлен
коммутаторами А1 – А4.
Управление на уровне доступа задает, к каким портам коммутатора
может подключаться тот или иной конечный узел, идентификация каждого
узла производится по его МАС-адресу. Если конечные узлы
неавторизованных пользователей не будут иметь доступа к коммутаторам, то
повышается безопасность всей сети.
Кроме того, на уровне доступа могут формироваться виртуальные
локальные сети (VLAN), позволяющие сегментировать сеть на отдельные
широковещательные домены (подсети). Это повышает безопасность сети,
203
поскольку широковещательные сообщения передаются только в пределах
домена и не могут «затопить» всю сеть.
Безопасность и управляемость сетей, построенных по иерархической
топологии, легко реализуются, поскольку на каждом уровне могут решаться
свои специфические задачи. Политика информационной безопасности
предусматривает обеспечение защиты на всех уровнях модели.
На уровне распределения политика безопасности может предусмотреть
использование сетевых фильтров. Следовательно, коммутаторы уровня
распределения должны выполнять функции устройств 3-го уровня модели
OSI. Поэтому такие коммутаторы и получили название коммутаторов
третьего уровня или многоуровневых. Специальное программное
обеспечение по защите информации может использоваться на уровне ядра.
Вопросы гарантии качества обслуживания, также как вопросы
безопасности, решаются на всех уровнях модели рис. 13.1в. Качество услуг
(Quality of Service – QoS) очень важно обеспечить в мультисервисных сетях,
поскольку в них передаются как цифровые данные, так и потоки аудио- и
видеоинформации. Как правило, на уровне доступа в определенный момент
времени коммутатор имеет дело с каким-то одним видом информации
(аудио-, видео-, данными). Однако на уровне распределения и ядра
коммутируются агрегированные потоки информации, поэтому средства этих
уровней должны обеспечивать заданное качество QoS для каждого из
передаваемых видов информации. Это реализуется за счет задания разных
приоритетов передаваемых сообщений.
Важным вопросом при проектировании сети иерархической модели
является место размещения серверов, банков и баз данных, сетевых
принтеров. Необходимо минимизировать количество промежуточных
устройств (коммутаторов) между пользователем и общесетевым
оборудованием, а также оптимизировать пропускную способность
соединений, поскольку к серверам и банкам данных может одновременно
обращаться множество конечных устройств.
К коммутаторам сетей разной сложности и уровня иерархической
структуры предъявляются различные требования, поэтому выпускаются
несколько типов коммутаторов:
- с фиксированной конфигурацией;
204
- с модульной конфигурацией;
- стекируемые (stackable).
На уровне доступа используются сравнительно простые коммутаторы с
фиксированной конфигурацией
Материнская плата (шасси) коммутатора модульной конфигурации
позволяет монтировать разное количество линейных плат, содержащих
порты, по требованию заказчика. Обычно коммутаторы модульной
конфигурации являются наиболее дорогостоящими.
Стекируемые коммутаторы с помощью специального кабеля и
внешнего разъема объединяются в единый высокопроизводительный стек
технологией объединения iStack. Стекируемые коммутаторы обычно
дешевле модульных при одинаковой производительности.
Форм-факторы отражают характеристики коммутаторов, среди
которых
наиболее
важными
являются
плотность
портов
и
производительность.
Плотность портов характеризует способность коммутатора
поддерживать требуемое количество устройств в сети (компьютеров,
серверов, IP-телефонов, сетевых принтеров), для чего требуется
определенное количество доступных портов.
Производительность
коммутатора
определяет
количество
передаваемых данных в единицу времени через все его порты. Это значение
обычно несколько меньше суммы производительностей каждого порта.
Порты коммутатора характеризуются определенной скоростью передачи
данных.
Для повышения производительности (пропускной способности) какого
либо участка сети в ряде случаев проводят объединение (агрегирование)
соединений, а также создают транковые соединения, что характерно для всех
уровней модели рис. 13.1в. Принцип агрегирования нескольких портов
коммутатора для обеспечения требуемой производительности наглядно
отображает схема рис. 13.2, когда доступ к серверу может одновременно
потребоваться нескольким конечным узлам. Для обеспечения требуемой
повышенной производительности соединения сервера с коммутатором
объединяются (агрегируются) несколько портов коммутатора.
205
Сервер
Коммутатор
Рис. 13.2. Агрегирование портов коммутатора
Каждый порт коммутатора образует сегмент, к которому могут
подсоединяться
устройства
физического
уровня:
концентраторы,
повторители (рис. 13.2). Двухточечное соединение компьютера с
интерфейсом (портом) коммутатора образует микросегмент.
Существует два режима двусторонней связи: полудуплексный (halfduplex) и полнодуплексный (full-duplex). В полудуплексном режиме в любой
момент времени одна станция может либо вести передачу, либо принимать
данные. В полнодуплексном режиме устройство может одновременно
принимать и передавать информацию, т.е. обе станции в соединении точкаточка, могут передавать данные в любое время, независимо от того, передает
ли другая станция. Новые высокоскоростные сети Ethernet работают только в
полнодуплексном режиме. Однако коммутаторы могут использовать как
полудуплексный, так и полнодуплексный режим.
Скорость передачи данных порта коммутатора определяется двумя
техническими характеристиками: скоростью фильтрации и скоростью
продвижения. Фильтрация кадров происходит в том случае, когда адресат
назначения находится в том же сегменте, что и источник передаваемых
данных. При этом нет необходимости передавать кадр через коммутатор,
поэтому после приема кадра в буфер и определения адресата назначения
коммутатор уничтожает находящийся в буфере кадр, копия которого уже
отправлена адресату.
206
Продвижение кадров происходит в том случае, когда адресат
назначения находится в другом сегменте. Поэтому после приема кадра в
буфер и определения адресата назначения коммутатор передает кадр в
выходной порт, согласно таблице коммутации. Скорости фильтрации и
продвижения задаются в количестве кадров в секунду, при этом
используются кадры минимального размера, например, длиной 64 байта.
Скорость фильтрации выше скорости продвижения и не ограничивает (не
блокирует) производительность коммутатора.
Время с момента прихода первого байта кадра на входной порт и до его
появления на выходном порте характеризует задержку передачи. Значение
задержки во многом определяется режимом коммутации.
Коммутаторы могут работать в нескольких режимах, при изменении
которых меняются задержка и надежность. Для обеспечения максимального
быстродействия (минимальной задержки) коммутатор может начинать
передачу кадра сразу, как только получит МАС-адрес узла назначения. Такой
режим получил название сквозной коммутации или коммутации «на лету»
(cut-through switching), он обеспечивает наименьшую задержку при
прохождении кадров через коммутатор. Однако в этом режиме невозможен
контроль ошибок, поскольку поле контрольной суммы находится в конце
кадра. Следовательно, этот режим характеризуется низкой надежностью.
Во втором режиме коммутатор получает кадр целиком, помещает его в
буфер, проверяет поле контрольной суммы (FCS) и затем пересылает
адресату. Если получен кадр с ошибками, то он отбрасывается (discarded)
коммутатором. Поскольку кадр перед отправкой адресату назначения
запоминается в буферной памяти, то такой режим коммутации получил
название коммутации с промежуточным хранением или буферизацией
(store-and-forward switching). Таким образом, в этом режиме обеспечивается
высокая надежность, но сравнительно низкая скорость коммутации.
Коммутация с буферизацией является
основным режимом современных коммутаторов.
Промежуточное положение между режимами сквозной коммутацией на
лету и буферизацией занимает режим коммутации свободного фрагмента.
В этом режиме в буфер помещается 64 байта кадра, читаются заголовок
кадра, поле данных минимальной длины и контрольная сумма, после этого
207
передается кадр. Проверка контрольной суммы производится только у
коротких кадров, в больших кадрах контрольная сумма не проверяется.
Когда используется режим сквозной коммутации на лету, порты
устройств источника и назначения должны иметь одинаковую скорость
передачи. Такой режим называется симметричной коммутацией. Если
скорости не одинаковы, то кадр должен запоминаться (буферизироваться)
перед тем, как будет передаваться с другой скоростью. Такой режим
называется асимметричной коммутацией, при этом должен использоваться
режим с буферизацией. Например, для реализации асимметричного режима
коммутации сервер может подключаться к порту Gigabit Ethernet, а рабочие
станции пользователей – к портам Fast Ethernet (рис. 13.3).
G 0/1
F 0/1
G 0/2
...
Сервер
F 0/24
Сервер
Рис. 13.3. Асимметричная коммутация
Для буферизации кадров при асимметричном режиме коммутатор
может использовать буферную память портов или общую память
коммутатора. Во втором случае требуемый каждому порту объем памяти
выделяется динамически, что и позволяет успешно реализовать
асимметричную коммутацию.
Современные коммутаторы используют функцию Auto-MDIX, которая
позволяет автоматически определять требуемый тип медного кабеля (прямой
или кроссовый). Таким образом, отпадает необходимость создания и
хранения двух типов кабеля (прямого и кроссового).
Кроме того, современные коммутаторы позволяют передавать
напряжение питания на некоторые конечные узлы, например, на
видеокамеры, IP-телефоны и др. Такая технология получила название
«мощность поверх Ethernet» (Power over Ethernet – PoE), что добавляет
гибкости при построении сетей.
208
Коммутатор является устройством канального уровня семиуровневой
модели ISO OSI, где для адресации используются МАС-адреса (рис. 13.4).
Адресация происходит на основе МАС-адресов сетевых адаптеров узлов.
Коммутатор (Switch)
Порт 1
Порт n
Порт 2
Порт k
Концентратор
(Hub)
...
0B1481182001
Концентратор
(Hub)
...
0002B318A102
...
0002B318A103
0AA0C9851004
Рис. 13.4. Сеть на базе коммутатора
Для передачи кадров коммутатор использует алгоритм, определяемый
стандартом 802.1D. Реализация алгоритма происходит за счет создания
статических или динамических записей адресной таблицы коммутации.
Статические записи таблицы создаются администратором.
Важно отметить, что коммутатор можно не конфигурировать, он будет
работать по умолчанию, создавая записи адресной таблицы в динамическом
режиме. При этом в буферной памяти порта запоминаются все поступившие
на порт кадры.
При получении кадров с широковещательными адресами коммутатор
передает их на все свои порты. В ряде случаев такой режим удобен. Однако,
если какой либо узел из-за сбоя начинает ошибочно генерировать кадры с
широковещательными адресами, то сеть очень быстро оказывается
перегруженной, наступает широковещательный шторм (broadcast storm),
сеть “падает”. Этим пользуются злоумышленники, нарушающие нормальное
функционирование сети. Они «наводняют» сеть широковещательными
сообщениями с ложными адресами источника, адресная таблица коммутации
переполняется, и коммутатор начинает работать, как концентратор. При этом
209
злоумышленник получает возможность анализировать всю информацию,
передаваемую по локальной сети. С широковещательным штормом может
бороться маршрутизатор (рис. 13.5).
Маршрутизатор делит сеть на широковещательные домены, т.е. на
отдельные сети (подсети). Поэтому широковещательные сообщения
распространяются только в пределах локальной сети. В главе, посвященной
виртуальным локальным сетям (глава 16 настоящего курса) будет показано,
что деление на широковещательные домены может реализовать коммутатор
при создании виртуальных локальных сетей VLAN.
Маршрутизатор
Коммутатор
Коммутатор
Коммутатор
Концентратор
Шир. вещ-ый
домен № 1
Широковещательный
домен № 2
Широковещательный
домен № 3
Рис. 13.5. Деление сети на широковещательные домены
Выбор коммутаторов для проектируемой сети определяется рядом
параметров: скоростью фильтрации кадров, скоростью продвижения кадров,
пропускной способностью, длительностью задержки передачи кадра, а также
возможностью подачи питания на конечный узел по кабелю Ethernet (PoE),
конструктивными особенностями коммутатора и другими характеристиками.
Скорость фильтрации определяется временем приема кадра,
запоминанием его в буфере, обращением к адресной таблице коммутации и
удалением кадра из буферной памяти, если адресат и источник находятся в
одном сегменте. Коммутатор обычно успевает фильтровать кадры в темпе их
поступления в интерфейс, поэтому фильтрация не вносит дополнительной
задержки.
210
Скорость продвижения кадров определяется временем приема кадра,
запоминанием его в буфере, обращением к адресной таблице и передачей
кадра с входного порта на выходной, который связан с устройством
назначения. Скорость фильтрации и скорость продвижения задаются в
кадрах в секунду, причем, для оценки этих параметров обычно берутся кадры
минимальной длины 64 байта.
Пропускная способность коммутатора определяется количеством
передаваемых данных, содержащихся в поле Data кадра, в единицу времени.
Пропускная способность достигает своего максимального значения при
передаче кадров максимальной длины.
Задержка передачи кадров определяется временем от момента
появления первого байта кадра на входном порте коммутатора до момента
появления этого байта на выходном порте. В зависимости от режима
коммутации время задержки составляет от единиц до сотен микросекунд.
Основные параметры коммутаторов иногда называют обобщенным
термином – форм-фактор.
Конструктивно коммутатор может быть фиксированной или
модульной конфигурации. Коммутатор фиксированной конфигурации
содержит определенное количество портов, и эту конфигурацию изменить
нельзя. В коммутаторах модульной конфигурации пользователь может
устанавливать требуемое количество модулей портов в пределах
возможностей линейной платы. Добавление новой линейной платы
увеличивает количество портов и повышает плотность портов.
Для расширения функциональных возможностей коммутаторов
используют компактные приемо-передатчики (трансиверы) стандарта SFP
(Small Form-factor Pluggable). Через модули SFP (рис. 13.6) реализуется
присоединение оптического или симметричного медного кабеля (витая пара)
к порту коммутатора. Разные модули SFP позволяют использовать как
многомодовое, так и одномодовое волокно на различных длинах волн (850
нм, 1310 нм, 1550 нм) для передачи данных на разное расстояние. В
технологиях Ethernet модули SFP реализуют скорости передачи 100 Мбит/c, 1
Гбит/c, 10 Гбит/c, 20 Гбит/c; в технологиях SDH модули SFP позволяют
передавать потоки данных уровня STM-1, STM-4, STM-16.
211
Рис. 13.6. Модули SFP
Для создания локальных сетей выпускается широкий спектр
коммутаторов. Они различаются количеством портов, производительностью,
функциональными возможностями, ценой. Характеристики моделей
выпускаемых коммутаторов Huawei можно найти в Интернете, например
http://e.huawei.com/ru/products/enterprise-networking/switches/campus-switches.
Коммутаторы серии S1700 для малых и средних предприятий с
портами Fast Ethernet и Gigabit Ethernet обычно используются на уровне
доступа модели рис. 13.1. Аналогичные задачи решают коммутаторы серий
S2700 и S3700 в корпоративных сетях.
Коммутаторы серии S5700 с внутренними гигабитными портами и
внешними портами 10GE для технологии объединения в стек iStack могут
использоваться на уровне распределения и уровне ядра модели рис. 13.1. Для
этих целей также рекомендуются коммутаторы серий S6700, S7700 и S9700,
которые имеют платы с портами производительностью 10GE и 40GE.
Серия высокопроизводительных коммутаторов Cloud Engine 12800
уровня ядра сетей центров обработки данных комплектуется портами 100GE.
212
13.2. Формирование адресной таблицы коммутации
При включении коммутатора начинается процесс начальной загрузки в
следующей последовательности:
- выполнение программы проверки аппаратных средств POST;
- загрузка из ПЗУ (ROM) программы начального загрузчика;
- инициализация регистров центрального процессора;
- инициализация файловой системы во флеш-памяти;
- загрузка операционной системы IOS в оперативную память;
- передача операционной системе IOS управления коммутатором.
Коммутатор может работать по умолчанию без изменения базовой
конфигурации. Достаточно включить устройство и оно должно начать
работать. Однако при создании виртуальных локальных сетей (VLAN) и для
обеспечения требуемого уровня безопасности коммутатором необходимо
управлять.
Коммутатор является устройством канального уровня L2 модели ISO
OSI, где для адресации происходит на основе МАС-адресов сетевых
адаптеров узлов. Формирование таблицы коммутации с использованием
MAC-адресов и номеров портов рассмотрено на примере сети рис. 13.7.
G0/0/1
G0/0/2
SwA
E0/0/1
РС1
54-89-98-48-6a-dc
SwB
E0/0/2
E0/0/4
РС2
РС4
54-89-98-22-6f-66
54-89-98-6f-2c-2a
E0/0/5
РС5
54-89-98-29-79-19
Рис. 13.7. Сеть на коммутаторах
Первоначально в коммутаторах отсутствует информация о том, какие
МАС-адреса имеют подключенные к портам узлы. Поэтому коммутатор,
получив кадр, передает его из всех своих портов, за исключением того, на
который кадр был получен, т.е. работает как концентратор. Одновременно
213
коммутатор запоминает МАС-адрес источника в адресной таблице
коммутации. Например, если узел РС1 (рис. 13.7) с МАС-адресом 54-89-9848-6A-DC по команде ping передает серию эхо-запросов на узел РС2 с МАСадресом 54-89-98-22-6F-66 и получает эхо-ответы, то в таблице МАС-адресов
появляются две первые динамические записи, которые можно посмотреть по
следующей команде:
<SwA>display mac-address dynamic
MAC address table of slot 0:
-------------------------------------------------------------------------MAC Address
VLAN/
PEVLAN CEVLAN Port
Type
LSP/LSR-ID
VSI/SI
MAC-Tunnel
-------------------------------------------------------------------------5489-9848-6adc 1
Eth0/0/1
dynamic 0/5489-9822-6f66 1
Eth0/0/2
dynamic 0/-------------------------------------------------------------------------Total matching items on slot 0 displayed = 2
В записях указано, что узел с МАС-адресом 5489-9848-6adc
динамически присоединен к порту Eth0/0/1, а узел с МАС-адресом 54899822-6f66 присоединен к порту Eth0/0/2. Таким образом, число записей в
адресной таблице может быть равно числу узлов в сети, построенной на
основе коммутатора.
Если узлы РС1 и РС2 не участвуют в дальнейшем обмене данными
между собой или с другими узлами, то динамические записи спустя
определенное время (по умолчанию 5 мин.) удаляются из адресной таблицы
коммутации.
Когда по команде ping производится проверка доступности узлов,
присоединенных к другому коммутатору SwВ, например узлов РС4, РС5 с
узла РС1, то в таблице МАС-адресов SwA отображаются три строки. Причем
кадры от РС4 (МАС-адрес 54-89-98-6F-2C-2A) и РС5 (5489-9829-7919)
поступили в коммутатор SwA через один и тот же порт GigabitEthernet 0/0/1.
214
<SwA>display mac-address dynamic
MAC address table of slot 0:
-------------------------------------------------------------------------MAC Address
VLAN/
PEVLAN CEVLAN Port
Type
LSP/LSR-ID
VSI/SI
MAC-Tunnel
-------------------------------------------------------------------------5489-986f-2c2a 1
GE0/0/1
dynamic 0/5489-9848-6adc 1
Eth0/0/1 dynamic 0/5489-9829-7919 1
GE0/0/1
dynamic 0/-------------------------------------------------------------------------Total matching items on slot 0 displayed = 3
<SwA>
Таким образом, к порту GigabitEthernet 0/0/1 коммутатора SwA могут
быть приписаны все конечные узлы, присоединенные к коммутатору SwB.
Когда адресная таблица коммутации сформирована, продвижение
кадров с входного интерфейса коммутатора на выходной происходит не в
широковещательном режиме, а на основании записей в адресной таблице.
При получении кадра коммутатор проверяет, существует ли МАС-адрес узла
назначения в таблице коммутации. При обнаружении адресата в таблице
коммутатор производит еще одну проверку: находятся ли адресат и источник
в одном сегменте. Если они в разных сегментах, то коммутатор производит
коммутацию или перенаправление кадра, (продвижение, forwarding) в
порт, к которому подключен узел назначения. Если адресат и источник
находятся в одном сегменте, то передавать кадр на другой порт не нужно. В
этом случае кадр должен быть удален из буфера порта, что называется
фильтрацией кадров.
С появлением в сети новых узлов адресная таблица пополняется.
Соответствующая динамически созданная запись из адресной
таблицы коммутации удаляется, если в течение определенного времени
какой-то узел не передает данные. При этом кадры, предназначенные этому
узлу, передаются в широковещательном режиме, безопасность нарушается.
Поэтому при необходимости администратор может включать в таблицу
статические записи, которые не удаляются динамически. Такую запись
может удалить только сам администратор.
215
Создание статической записи производится по команде, например:
[SwA]mac-address static 5489-9822-6f66 Ethernet 0/0/2 vlan 1
Проверка статической записи производится по команде:
[SwA]display mac-address static
MAC address table of slot 0:
-------------------------------------------------------------------------MAC Address
VLAN/
PEVLAN CEVLAN Port
Type
LSP/LSR-ID
VSI/SI
MAC-Tunnel
-------------------------------------------------------------------------5489-9822-6f66 1
Eth0/0/2 static
-------------------------------------------------------------------------Total matching items on slot 0 displayed = 1
После создания статической записи и обмене данными между PC1 и PC2
PC1>ping 192.168.10.12
динамическая запись будет создаваться только для порта Eth0/0/1, т.к. на
порте Eth0/0/2 сформирована статическая запись:
<SwA>display mac-address dynamic
...
MAC Address
VLAN/
PEVLAN CEVLAN Port
...
5489-9848-6adc 1
Eth0/0/1
Type
LSP/LSR-ID
dynamic
0/-
Создание статических записей – занятие довольно кропотливое. Поэтому
существует способ перевода динамических записей в статические при
конфигурировании на интерфейсе режима безопасности, например на порте
Ethernet0/0/1:
[SwA]int e0/0/1
[SwA-Ethernet0/0/1]port-security enable
Создание записи в адресной таблице производится после передачи
данных с узла РС1, например:
PC1>ping 192.168.10.14
216
Проверка созданного режима безопасности производится по команде:
[SwA]display mac-address security
...
MAC Address
VLAN/
PEVLAN CEVLAN Port
...
5489-9848-6adc 1
Eth0/0/1
Type
LSP/LSR-ID
security -
Поскольку на порте Ethernet0/0/1 сформирована безопасная запись, то
динамическая запись будет создана только одна – для GigabitEthernet0/0/1:
[SwA]display mac-address dynamic
...
MAC Address
VLAN/
...
5489-986f-2c2a 1
PEVLAN CEVLAN Port
Type
LSP/LSR-ID
-
dynamic
0/-
-
GE0/0/1
Спустя время динамическая запись будет сброшена, а записи static и
security останется.
После перезагрузки коммутатора будут сброшены все записи адресной
таблицы коммутации, в том числе записи static и security.
[SwA]int g0/0/1
[SwA-GigabitEthernet0/0/1]port-security enable
[SwA-GigabitEthernet0/0/1]port-security max-mac-num 1
PC4>ping 192.168.10.11
Ping
From
From
From
From
From
192.168.10.11:
192.168.10.11:
192.168.10.11:
192.168.10.11:
192.168.10.11:
192.168.10.11:
32 data bytes,
bytes=32 seq=1
bytes=32 seq=2
bytes=32 seq=3
bytes=32 seq=4
bytes=32 seq=5
Press Ctrl_C to
ttl=128 time=31
ttl=128 time=47
ttl=128 time=32
ttl=128 time=47
ttl=128 time=47
break
ms
ms
ms
ms
ms
PC4>
PC5>ping 192.168.10.11
Ping
From
From
From
From
From
192.168.10.11:
192.168.10.15:
192.168.10.15:
192.168.10.15:
192.168.10.15:
192.168.10.15:
32 data bytes, Press Ctrl_C to break
Destination host unreachable
Destination host unreachable
Destination host unreachable
Destination host unreachable
Destination host unreachable
217
Поскольку максимальное количество подключаемых к порту узлов
ограничено до одного (port-security max-mac-num 1), то первый
узел РС4 получил доступ в коммутатор SwA, а второй узел РС5 доступа не
получил.
Режим реагирования на нарушение безопасности может быть
различным, что показано в следующей распечатке:
[SwA-GigabitEthernet0/0/1]port-security protect-action ?
protect
Discard packets
restrict Discard packets and warning
shutdown Shutdown
Стандартно при нарушении безопасности пакеты отбрасываются (protect).
Следующий режим (restrict) не только отбрасывает пакеты, но и делает
уведомление. Наиболее строгий режим (shutdown) при нарушении
безопасности производит выключение порта.
[SwA-GigabitEthernet0/0/1]port-security protect-action shutdown
Для восстановления работоспособности после нарушения безопасности
необходимо включить порт по команде:
[SwA-GigabitEthernet0/0/1]undo shutdown
После того, как коммутатор загрузился, он может конфигурироваться.
Конфигурирование коммутатора проводится при начальной настройке,
изменении топологии сети, коррекции сбоев. При первоначальном
конфигурировании консольный порт коммутатора соединяется с
компьютером консольным кабелем. Если процедура проверки POST и
загрузка операционной системы IOS выполнены успешно, то появляется
приглашение пользовательского режима:
<Huawei>
Современные коммутаторы работают в полнодуплексном режиме,
когда отсутствуют коллизии и их не нужно обрабатывать, передача данных
между двумя узлами происходит одновременно в обе стороны, при этом за
счет двунаправленной передачи данных повышается производительность
коммутатора.
218
13.3. Протокол охватывающего дерева STP
Многоуровневая коммутируемая сеть (рис. 13.1в) характеризуется
избыточными устройствами и соединениями, что обеспечивает высокую
надежность. Однако избыточные соединения могут приводить к образованию
маршрутных петель, что, в свою очередь, может привести к зацикливанию
передаваемых пакетов, широковещательному шторму и падению сети.
Из рис. 13.8 следует, что от узла Host i до Host j существует 5
различных путей (1, 2, 3, 4, 5).
3,4,5
2,5
1,2,3,4
4,5
5
3,5
1,5
1,2,3,4
5
1,3,5
2,4,5
Host j
Host i
Рис. 13.8. Избыточные пути в многоуровневой модели сети
Множество путей могут образовывать маршрутные петли (рис. 13.9),
приводящие к зацикливанию кадров в какой-либо петле.
Рис. 13.9. Образование маршрутной петли
219
Поэтому к топологии сети предъявляются два противоположных
требования:
- с одной стороны, для повышения надежности необходимы
избыточные устройства и маршруты (соединения);
- с другой стороны, топология сети должна быть древовидной, т.е. не
должна иметь маршрутных петель.
Для разрешения этих противоречивых требований был разработан
протокол охватывающего (покрывающего) дерева (Spanning-Tree Protocol
– STP), который при наличии избыточных физических соединений
прокладывает логические маршруты так, чтобы топология сети была
древовидной. Алгоритм STA, реализующий протокол STP, автоматически
выключает избыточные маршруты, образующие маршрутные петли.
Избыточные соединения могут быть автоматически активизированы при
выходе из строя соединений основного маршрута.
Таким образом, коммутаторы используют алгоритм STA, чтобы
перевести в резервное состояние избыточные пути, которые не
соответствуют иерархической древовидной топологии. Запасные избыточные
пути задействуются, если основные выходят из строя. Протокол STP
используется для создания логической иерархии без петель, т.е. при наличии
физических петель, логические петли отсутствуют (рис. 13.10).
Корневой
коммутатор К
R
D1
A1
R
R
С1
С2
R
R
D2
A2
R
D3
A3
R
A4
R
R
D4
A5
R
A6
R
Рис. 13.10. Древовидная топология локальной сети
При этом топология сети будет древовидной и каждый конечный узел
будет характеризоваться единственным путем до главного или корневого
220
(root) коммутатора К (рис. 13.10). Причем, расстояние от каждого узла до
корневого коммутатора будет минимальным.
Для работы STP каждый коммутатор периодически каждые 2 секунды
рассылает служебные Hello кадры (Bridge Protocol Data Unit – BPDU) во все
свои порты, чтобы позволить другим коммутаторам знать о его
существовании. Кадры BPDU содержат идентификаторы коммутаторов
(bridge ID – BID) и портов, эта информация используется, чтобы выбрать
корневой коммутатор сети. Расстояние до корневого коммутатора также
передается в кадрах BPDU. Для выбора корневого коммутатора
администратор может устанавливать коммутаторам приоритет (также как в
протоколе OSPF при выборе маршрутизатора DR). При одинаковых
приоритетах выбор производится на основании идентификаторов BID.
Коммутатор с наименьшим значением BID становится корневым.
В исходном состоянии каждый коммутатор считает себя корневым.
Когда приходит служебный Hello кадр BPDU с меньшим (с лучшим)
значением идентификатора BID, коммутатор обновляет свое состояние и
рассылает обновленные кадры BPDU другим коммутаторам. Если же
приходит кадр BPDU с худшим (с большим) значением BID, то кадр
отбрасывается, состояние коммутатора не модифицируется.
Идентификатор коммутатора BID представляет собой число размером 8
байт, где 6 младших байт отображают МАС-адрес блока управления
коммутатора, а два старших байта – задаваемый администратором приоритет,
который может изменяться от 1 до 65536 (по умолчанию 32768). Причем, при
использовании виртуальных локальных сетей VLAN два старших байта
приоритета разделены на два поля: поле собственно приоритета и поле
расширения идентификатора ID (рис. 13.11).
Приоритет
Расширение ID
4 бита
12 бит
МАС адрес
48 бит
Рис. 13.11. Формат идентификатора BID
Поле расширения идентификатора ID размером в 12 бит служит для
идентификации VLAN. При этом общее значение приоритета (два старших
байта) изменяется кратно 4096. Таким образом, задав приоритет,
221
администратор определит корневой коммутатор. При одинаковых значениях
приоритета и одинаковых расширениях ID идентификатора BID будет
определяться МАС-адресом блока управления коммутатора. С учетом того,
что по умолчанию управляющей является VLAN1, то приоритет по
умолчанию будет 32769.
Для описания топологии локальной сети (рис. 13.8 – 13.10) введены
понятия корневой порт (root port) и назначенный порт (designated port).
Корневой порт некорневого коммутатора характеризуется кратчайшим
расстоянием до любого порта корневого коммутатора, на рис. 13.10 корневые
порты помечены квадратиками и символом R. Назначенный порт помечен
полукругом, через него реализуется связь коммутатора более высокого
уровня с коммутатором более низкого уровня иерархии.
На рис. 13.12 показан фрагмент схемы локальной сети рис. 13.10.
Корневой
коммутатор К
С1
R
R
D1
A1
R
D2
A2
R
A3
R
Рис. 13.12. Фрагмент схемы локальной сети
Из схемы следует, что корневой коммутатор автоматически
сконфигурировал все свои порты в качестве назначенных (designated).
Другие коммутаторы (не корневые) конфигурируют порты с кратчайшим
расстоянием до корневого коммутатора в качестве корневых (root port), а
остальные порты – как не назначенные, которые блокируются и в передаче
данных не участвуют. Например, соединение портов коммутаторов A2 и D2
образует сегмент сети, в котором оба коммутатора имеют одинаковый
приоритет. В сегменте может быть только один назначенный порт.
222
При выборе назначенного и не назначенного порта основным
приоритетом является расстояние (метрика) до корневого коммутатора.
Вторым приоритетным параметром является МАС-адрес. Порт, у которого
большее значение МАС-адреса станет не назначенным (non-designated port).
Не назначенный порт иногда называют дополнительным. Кроме того, порты
коммутатора могут находиться в неработающем запрещенном состоянии
(disabled port). Протокол STP в процессе работы определяет роль каждого
порта: корневой, назначенный, не назначенный (не работающий).
Расстояние от произвольного коммутатора до корневого оценивается в
соответствии с метрикой, в качестве которой обычно используется величина
обратная скорости передачи данных по сегменту. Согласно стандарта
802.1D-2004 скоростям технологий Ethernet и будущих высокоскоростных
технологий соответствуют новые значения метрики, приведенные в третьей
строке табл. 13.1. В четвертой стоке приведены старые значения метрики по
умолчанию.
Таблица 13.1
Значения метрики технологий Ethernet
Технология
Мбит/с
Метрика новая
Метрика стар.
107
2
-
105
200
-
10GEthernet GEthernet FastEthernet Ethernet
10000
1000
100
10
2000
20 000
200 000
2 106
2
4
19
100
По значению метрики алгоритм STA оценивает расстояние от каждого
коммутатора до корневого. Если существует несколько маршрутов, то STA
определяет единственный корневой порт, выбирая путь до корневого
коммутатора с наименьшим значением метрики.
При наличии нескольких портов с одинаковым значением метрики
корневой порт определяется по значению идентификатора. Размер
идентификатора порта – 2 байта, где младший байт отображает порядковый
номер порта коммутатора, а старший байт – задаваемый администратором
приоритет (по умолчанию – 128). Приоритет может изменяться в диапазоне
от 0 до 240 с шагом 16.
223
Таким образом, в процессе работы STP производится:
1. Выбор корневого коммутатора (root bridge).
2. Выбор корневых портов (root ports).
3. Выбор назначенных и не назначенных портов (designated, non-designated
ports).
Каждый порт коммутатора, который использует протокол STP,
находится в одном из следующих 5 состояний:
- Блокировка (Blocking)
- Прослушивание (Listening)
- Обучение (Learning)
- Продвижение (Forwarding)
- Запрещенное (Disabled)
При инициализации коммутатора все порты, за исключением
находящихся в запрещенном не работающем состоянии (Disabled),
переводятся в состояние блокировки Blocking.
В состоянии блокировки (Blocking) порты коммутатора принимают и
обрабатывают уведомления BPDU протокола STP, чтобы определить
корневой коммутатор, но не передают информационные данные.
В состояние прослушивания (Listening) коммутатор переходит на
время, определяемое таймером и составляющее 15 сек. В этом состоянии
коммутатор не только принимает уведомления BPDU, но и отправляет
собственные. При этом формируются корневые и назначенные порты,
остальные порты блокируются, т.е. создается древовидная топология сети.
Если за время работы таймера порт получит уведомление STP с лучшей чем
его метрикой, то он перейдет в состояние блокировки Blocking. Если
принятая метрика хуже его собственной, то уведомление отбрасывается.
После 15 секунд состояния прослушивания коммутатор перейдет в
состояние обучения (Learning), чтобы принимать, но еще не продвигать
пакеты данных и создавать адресную таблицу коммутации. Длительность
состояния Learning в 15 секунд также задается таймером. При получении
уведомления BPDU с лучшей, чем его собственная, метрикой порт переходит
в состояние блокировки.
224
После окончания заданного таймером времени порт коммутатора
переходит в состояние продвижения (Forwarding), т.е. начинается
полноценная коммутация пакетов в соответствии с созданной таблицей. При
этом корневой коммутатор генерирует и передает служебные пакеты Hello.
Остальные коммутаторы принимают пакеты Hello на корневые порты и
ретранслируют пакеты через назначенные порты.
Если в течение 20 секунд (10 интервалов по умолчанию) корневой порт
любого коммутатора не получает пакет Hello, то он считает, что корневой
коммутатор вышел из строя. При этом коммутатор считает себя корневым и
рассылает уведомления BPDU через все свои порты. Начинается новый
процесс протокола STP по созданию древовидной топологии сети.
Переход порта в состояние запрещения (Disabled) и выход из него
реализуется по командам конфигурирования.
Таким образом, протокол STP для реализации работы алгоритма
использует три таймера:
- таймер периодичности Hello пакетов (Hello time) может изменять свои
значения от 1 до 10 секунд. По умолчанию – 2 сек.;
- таймер состояний прослушивания и обучения (Forward delay) может
быть настроен на значения от 4 до 30 секунд. По умолчанию отсчитывает два
периода по 15 сек.;
- таймер сохранения текущей конфигурации при отсутствии Hello пакетов
(Maximum age) формирует длительность от 6 до 40 секунд. По умолчанию –
20 сек.
Быстродействующие протоколы
Существенным недостатком протокола STP является слишком долгое
время формирования новой конфигурации сети, которое может составлять
значение порядка 1 минуты (20 секунд сохранения текущей конфигурации,
плюс 15 секунд состояния прослушивания, плюс 15 секунд состояния
обучения – итого 50 сек.). Поэтому были разработаны различные варианты
быстродействующих протоколов охватывающего (покрывающего) дерева.
Созданный компанией Cisco быстродействующий протокол для работы
с виртуальными локальными сетями (Rapid per-VLAN spanning tree protocol –
225
rapid PVST+) стал основой для международных стандартов IEEE.
Быстродействующий протокол (Rapid STP – RSTP) входит в состав
стандарта 802.1D-2004. Протокол Multiple STP – MSTP, позволяющий
протоколу STP взаимодействовать с множеством виртуальных локальных
сетей, входит в стандарт IEEE 802.1Q-2003.
Наиболее известным в настоящее время является быстродействующий
протокол RSTP. Для ускорения функционирования локальной сети
древовидной топологии протокол RSTP предусматривает, что порты доступа
конечных узлов к сети не участвуют в стадии прослушивания (Listening) и
обучения (Learning), поскольку они входят в тупиковые сегменты, откуда
существует единственный путь в сеть (рис. 13.8 – 13.10). Для остальных
портов исключена стадия прослушивания, поэтому реализуется сразу
переход в состояние обучения. Вместо 20 секунд сохранения текущей
конфигурации при отсутствии пакетов Hello установлена длительность
таймера (Maximum age) в 6 сек. Поэтому при отказе в сети протокол RSTP
создает новую древовидную топологию значительно быстрее, чем протокол
STP. Оба этих протокола (STP и RSTP) являются совместимыми. Причем, на
части коммутаторов может быть сконфигурирован протокол STP, а на других
– может использоваться RSTP.
В протоколе RSTP помимо корневых и назначенных введены новые
роли портов: альтернативные – alternate (рис. 13.13) и резервные – backup.
Корневой коммутатор S1
(Root Bridge)
Назначенный порт - F2
Корневой порт - F3
F1 - назначенный порт
F4 - корневой порт
S3
S2
Назначенный порт - F5
F6 - альтернативный порт
Рис. 13.13. Порты локальной сети
Альтернативный порт, например порт F6 коммутатора S2, дублирует
корневой порт F4 при его отказе. Если сегмент, соединяющий коммутатор S1
226
(порт F1) и коммутатор S2 (порт F4), выходит из строя, то передача кадров из
S2 корневому коммутатору S1 будет производиться через альтернативный
порт F6. Резервный порт дублирует назначенный.
13.4. Конфигурирование STP
Конфигурирование протокола STP
трехуровневой топологии рис. 13.14.
Уровень ядра
проведено
SwA
G0/0/1
E0/0/3
E0/0/3
SwB
G0/0/2
G0/0/2
G0/0/1
Уровень
доступа E0/0/1
SwC
сети
G0/0/2
G0/0/1
Уровень
распределения
примере
Корневой (Root)
коммутатор
SwR
G0/0/1
на
G0/0/1
E0/0/4
E0/0/2
E0/0/4
E0/0/1
РС1
РС2
10.10.10.11/24 20.20.20.21/24
SwD
E0/0/2
РС3
РС4
10.10.10.12/24 20.20.20.22/24
Рис. 13.14. Схема сети трехуровневой топологии с протоколом STP
Конфигурирование начинается с формирования имен коммутаторов,
создания виртуальных локальных сетей, адресации конечных узлов, задания
режима протокола STP, определения первичного корневого и вторичного
коммутатора. Имена сформированы в соответствии со схемой рис. 13.14.
На всех коммутаторах сети рис. 13.14 сформированы две виртуальных
локальных сети vlan 10 vlan 20, например:
227
[SwA]vlan 10
[SwA-vlan10]vlan 20
На интерфейсах Ethernet0/0/1, Ethernet0/0/2 коммутаторов SwC, SwD
формируется режим доступа, порты приписываются к vlan 10 vlan 20:
[SwC]interface Ethernet0/0/1
[SwC-Ethernet0/0/1]port link-type access
[SwC-Ethernet0/0/1]port default vlan 10
[SwC]interface Ethernet0/0/2
[SwC-Ethernet0/0/2]port link-type access
[SwC-Ethernet0/0/2]port default vlan 20
[SwD]interface Ethernet0/0/1
[SwD-Ethernet0/0/1]port link-type access
[SwD-Ethernet0/0/1]port default vlan 10
[SwD]interface Ethernet0/0/2
[SwD-Ethernet0/0/2]port link-type access
[SwD-Ethernet0/0/2]port default vlan 20
На интерфейсах Ethernet0/0/4, GigabitEthernet0/0/1 коммутаторов SwC,
SwD формируется транковый режим:
[SwC]interface Ethernet0/0/4
[SwC-Ethernet0/0/4]port link-type trunk
[SwC-Ethernet0/0/4]port trunk allow-pass vlan 10 20
[SwC]interface GigabitEthernet0/0/1
[SwC-GigabitEthernet0/0/1]port link-type trunk
[SwC-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
[SwD]interface Ethernet0/0/4
[SwD-Ethernet0/0/4]port link-type trunk
[SwD-Ethernet0/0/4]port trunk allow-pass vlan 10 20
[SwD]interface GigabitEthernet0/0/1
[SwD-GigabitEthernet0/0/1]port link-type trunk
[SwD-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
На всех интерфейсах коммутаторов SwA, SwB формируется транковый
режим:
228
[SwA]interface GigabitEthernet 0/0/1
[SwA-GigabitEthernet0/0/1]port link-type trunk
[SwA-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
[SwA]interface GigabitEthernet 0/0/2
[SwA-GigabitEthernet0/0/2]port link-type trunk
[SwA-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 20
[SwA]interface Eth0/0/3
[SwA-Ethernet0/0/3]port link-type trunk
[SwA-Ethernet0/0/3]port trunk allow-pass vlan 10 20
[SwB]interface GigabitEthernet0/0/1
[SwB-GigabitEthernet0/0/1]port link-type trunk
[SwB-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
[SwB]interface GigabitEthernet0/0/2
[SwB-GigabitEthernet0/0/2]port link-type trunk
[SwB-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 20
[SwB]interface Ethernet0/0/3
[SwB-Ethernet0/0/3]port link-type trunk
[SwB-Ethernet0/0/3]port trunk allow-pass vlan 10 20
На интерфейсах корневого коммутатора SwR также формируется
транковый режим:
[SwR]interface GigabitEthernet0/0/1
[SwR-GigabitEthernet0/0/1]port link-type trunk
[SwR-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
[SwR]interface GigabitEthernet0/0/2
[SwR-GigabitEthernet0/0/2]port link-type trunk
[SwR-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 20
[SwR-GigabitEthernet0/0/2]q
[SwR]
Затем на коммутаторе SwR задается режим работы протокола STP:
[SwR]stp mode stp
Коммутатор SwR определяется как первичный:
229
[SwR]stp root primary
а коммутатор SwA – как вторичный:
[SwA]stp root secondary
В табл. 13.1 приведены возможные значения стоимости пути Ethernetсоединений. В дальнейших примерах конфигурирования используется
значение метрики 200000 и стандартный в Huawei метод оценки расстояния
от произвольного коммутатора до корневого (stp pathcost-standard
legacy).
[SWabcd]stp pathcost-standard legacy
Аналогичные команды выполняются на коммутаторах SwA, SwB, SwC, SwD.
На интерфейсах Ethernet
устанавливается значение метрики:
0/0/4
коммутаторов
SwC,
SwD
[SwC]interface Ethernet0/0/4
[SwC-Ethernet0/0/4]stp cost 200000
[SwD]interface Ethernet0/0/4
[SwD-Ethernet0/0/4]stp cost 200000
На уровне доступа (рис. 13.14) конечные узлы присоединены к
коммутаторам (SwC, SwD), никаких резервных устройств и соединений нет,
поэтому маршрутные петли отсутствуют, и нет необходимости в работе STP,
поэтому протокол на портах Eth0/0/1 и Eth0/0/2 выключается:
[SwC]interface Ethernet0/0/1
[SwC-Ethernet0/0/1]stp disable
[SwC]interface Ethernet0/0/2
[SwC-Ethernet0/0/2]stp disable
[SwD]interface Ethernet0/0/1
[SwD-Ethernet0/0/1]stp disable
230
[SwD]interface Ethernet0/0/2
[SwD-Ethernet0/0/2]stp disable
Для нормальной работы STP разрешается его функционирование на
всех коммутаторах схемы рис. 13.14, например на SwR:
[SwR]stp enable
Аналогично конфигурируются SwA, SwB, SwC, SwD.
Кроме того, необходимо разрешить функционирование STP на каждом
участвующем в работе интерфейсе, например:
[SwR]interface GigabitEthernet0/0/1
[SwR-GigabitEthernet0/0/1]stp enable
[SwR]interface GigabitEthernet0/0/2
[SwR-GigabitEthernet0/0/2]stp enable
Аналогично конфигурируются порты коммутаторов SwA, SwB, SwC, SwD.
Текущая конфигурация корневого коммутатора
[SwR]display current-configuration
#
sysname SWabcd
#
vlan batch 10 20
#
stp mode stp
stp instance 0 root primary
stp pathcost-standard legacy
...
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20
...
return
[SwR]
Состояние STP на всех интерфейсах коммутатора отображает команда:
231
[SwR] display stp brief
MSTID Port
0
GigabitEthernet0/0/1
0
GigabitEthernet0/0/2
[SwR]
Role
DESI
DESI
STP State
FORWARDING
FORWARDING
Protection
NONE
NONE
Аналогичная информация на других коммутаторах SwA, SwB, SwC, SwD
показывает, что STP создал древовидную топологию сети:
[SwA]display stp brief
MSTID Port
0
Ethernet0/0/3
0
GigabitEthernet0/0/1
0
GigabitEthernet0/0/2
[SwA]
Role
DESI
ROOT
DESI
STP State
FORWARDING
FORWARDING
FORWARDING
Protection
NONE
NONE
NONE
[SwB]display stp brief
MSTID Port
0
Ethernet0/0/3
0
GigabitEthernet0/0/1
0
GigabitEthernet0/0/2
[SwB]
Role
DESI
ROOT
DESI
STP State
FORWARDING
FORWARDING
FORWARDING
Protection
NONE
NONE
NONE
<SwC>display stp brief
MSTID Port
0
Ethernet0/0/4
0
GigabitEthernet0/0/1
<SwC>
Role
ALTE
ROOT
STP State
DISCARDING
FORWARDING
Protection
NONE
NONE
<SwD>display stp brief
MSTID Port
0
Ethernet0/0/4
0
GigabitEthernet0/0/1
<SwD>
Role
ALTE
ROOT
STP State
DISCARDING
FORWARDING
Protection
NONE
NONE
232
Вопросы по разделу 13
1. Почему в современных сетях используются иерархические структуры
сети, модель которой включает два или три уровня иерархии?
2. В чем преимущества иерархической модель сети?
3. Каковы функции уровня доступа иерархической модель сети?
4. Каковы функции уровня распределения иерархической модель сети?
5. Каковы функции уровня ядра иерархической модель сети?
6. Что такое «форм-факторы» коммутатора? Что такое плотность портов?
7. В чем преимущества и недостатки коммутаторов с фиксированной и
модульной конфигурацией, а также стекируемых коммутаторов?
8. В чем преимущества и недостатки методов коммутации с буферизацией и
«на лету»?
9. Каковы особенности режимов симметричной и асимметричной
коммутации?
10.Какой тип пересылки сообщений использует коммутатор, если в его
таблице коммутации отсутствует MAC-адрес назначения?
11.В какой последовательности происходит начальная загрузка коммутатора?
12.В какой режим переходит коммутатор после успешной начальной
загрузки?
13.Какие устройства образуют домены коллизий и широковещательные
домены?
14.С какой целью хакеры проводят атаки лавинного переполнения таблицы
коммутации?
15.Для чего необходимы аудит и моделирование атак сети?
16.По какой команде можно посмотреть содержимое таблицы коммутации?
17.По какой команде конфигурируется администратором статическая запись
таблицы коммутации?
18.По какой команде конфигурируется динамический режим обеспечения
безопасности на интерфейсе?
19.Как ограничить количество МАС-адресов, которым разрешено
подключение к порту коммутатора?
20.Какие существуют режимы реагирования на нарушение безопасности?
Как их сконфигурировать?
21.Какие команды используются для верификации функции безопасности
портов коммутаторов?
22.Какие протоколы позволяют при наличии избыточных физических
соединений создавать древовидную логическую топологию сети?
23.Как выбирается корневой коммутатор?
24.Какие функции выполняют корневой, назначенный, не назначенный
порты?
25.Как оценивается расстояние от произвольного коммутатора до корневого?
26.Какие состояния этапы использует протокол STP?
27.За счет чего повышается быстродействие протокола RSTP?
233
Упражнения
1.
Создайте сеть на коммутаторе, концентраторе и конечных узлах.
РС3
РС4
F0/14
Sw-A
Hub
F0/10
РС5
РС0
F0/11
РС1
F0/12
РС2
Сконфигурируйте адреса конечных узлов.
Смоделируйте четыре динамических записи в таблице коммутации.
Проведите проверку таблицы коммутации.
Для узла РС0 сконфигурируйте статическую запись в таблице
коммутации. МАС-адрес определите по команде ipconfig /all.
6. Для оставшихся конечных узлов сконфигурируйте безопасность на
интерфейсах F0/11, F0/12, F0/14.
7. Проведите проверку таблицы коммутации и текущей конфигурации.
8. Ограничьте число МАС-адресов на порт F0/14 до 2.
9. Смоделируйте доступ к сети последовательно с узлов РС3, РС4, РС5.
10. Объясните функционирование безопасности.
11. Восстановите работоспособность порта коммутатора.
2.
3.
4.
5.
234
14. ВИРТУАЛЬНЫЕ ЛОКАЛЬНЫЕ СЕТИ
14.1. Общие сведения о виртуальных локальных сетях
Безопасность телекоммуникационных сетей во многом определяется
размерами широковещательных доменов, внутри которых может
происходить
несанкционированный
доступ
к
конфиденциальной
информации. Кроме того, в больших сетях наблюдается деградация
производительности, поэтому сети делят на более мелкие подсети, каждая из
которых представляет собой широковещательный домен. В традиционных
сетях деление на широковещательные домены реализуют маршрутизаторы.
Виртуальные сети созданы, чтобы реализовать сегментацию сети на
коммутаторах. Создание виртуальных локальных сетей (Virtual Local Area
Networks – VLAN), которые представляют собой логическое объединение
групп рабочих станций сети (рис. 14.1), является одним из основных
методов защиты информации и повышения производительности сетей
пакетной коммутации на коммутаторах.
Vlan 10
PC0
192.168.10.11
Vlan 20
PC2
192.168.20.11
Vlan 30
PC4
192.168.30.11
Sw-A
PC1
192.168.10.12
Vlan 10
PC3
192.168.20.12
Vlan 20
PC5
192.168.30.12
Vlan 30
Рис. 14.1. Виртуальные локальные сети VLAN
Обычно VLAN группируются по функциональным особенностям
работы, независимо от физического местоположения пользователей. Обмен
данными происходит только между устройствами, находящимися в одной
сети VLAN. Рабочая станция в виртуальной сети, например, РС1 в сети
235
vlan10 (рис. 14.1), ограничена общением с узлом РС0 в той же самой vlan10.
Каждой VLAN назначают свой IP-адрес сети (подсети).
Виртуальные сети VLAN логически сегментируют всю сеть на
широковещательные домены так, чтобы пакеты пересылались только между
портами, которые назначены на ту же самую VLAN (приписаны к одной
VLAN). Каждая сеть VLAN состоит из узлов, объединенных единственным
широковещательным доменом, образованным приписанными к виртуальной
сети портами коммутатора.
Поскольку каждая виртуальная сеть представляет широковещательный
домен, то маршрутизаторы в топологии сетей VLAN (рис. 14.1)
обеспечивают фильтрацию широковещательных передач, безопасность,
управление трафиком и связь между VLAN. Коммутаторы не обеспечивают
трафик между VLAN, поскольку это нарушило бы целостность
широковещательного домена VLAN. Трафик между VLAN обеспечивается
маршрутизацией, т.е. общение между узлами разных виртуальных сетей
происходит только через маршрутизатор R (рис. 14.2) или коммутатор
третьего уровня (L3).
Vlan 10
PC0
192.168.10.11
Vlan 20
PC2
192.168.20.11
Vlan 30
PC4
192.168.30.11
Sw-A
PC1
192.168.10.12
Vlan 10
R
PC3
192.168.20.12
Vlan 20
PC5
192.168.30.12
Vlan 30
Рис. 14.2. Маршрутизация между VLAN
На практике используются несколько типов виртуальных локальных сетей:
- VLAN для передачи данных;
- VLAN для передачи видеоинформации;
- VLAN для передачи голосового трафика;
236
- VLAN для трафика управления.
По умолчанию все порты коммутатора по умолчанию приписаны к
VLAN1 и предназначены для передачи данных. Ниже приведена распечатка
команды display vlan коммутатора Huawei серии S3700, которая после
начальной загрузки коммутатора показывает, что все порты (22 порта
Ethernet и 2 порта GigabitEthernet), приписанны к первой сети с
идентификатором VID 1.
<Huawei>display vlan
The total number of vlans is : 1
---------------------------------------------------------------------------U: Up;
D: Down;
TG: Tagged;
UT: Untagged;
MP: Vlan-mapping;
ST: Vlan-stacking;
#: ProtocolTransparent-vlan;
*: Management-vlan;
---------------------------------------------------------------------------VID Type
Ports
---------------------------------------------------------------------------1
common UT:Eth0/0/1(D)
Eth0/0/2(D)
Eth0/0/3(D)
Eth0/0/4(D)
Eth0/0/5(D)
Eth0/0/6(D)
Eth0/0/7(D)
Eth0/0/8(D)
Eth0/0/9(D)
Eth0/0/10(D)
Eth0/0/11(D)
Eth0/0/12(D)
Eth0/0/13(D)
Eth0/0/14(D)
Eth0/0/15(D)
Eth0/0/16(D)
Eth0/0/17(D)
Eth0/0/18(D)
Eth0/0/19(D)
Eth0/0/20(D)
Eth0/0/21(D)
Eth0/0/22(D)
GE0/0/1(D)
GE0/0/2(D)
VID Status Property
MAC-LRN Statistics Description
---------------------------------------------------------------------------1
enable
default
enable
disable
VLAN 0001
Для управления виртуальными локальными сетями используется
виртуальный интерфейс SVI одной из VLAN. Этому интерфейсу
назначается IP-адрес с маской, а также шлюз по умолчанию (default gateway).
Через этот интерфейс можно управлять коммутатором, в том числе удаленно
по протоколам Telnet и SSH. Интерфейс SVI по умолчанию является
интерфейсом первой сети VLAN1. Сеть VLAN1 получила название сеть по
умолчанию (default VLAN). Эту сеть нельзя переименовать или удалить.
Поскольку данная информация известна всем, то хакеры пытаются атаковать,
в первую очередь, именно эту сеть. Поэтому на практике администраторы
изменяют идентификатор управляющей сети, например, на сеть VLAN 101.
Каждой виртуальной сети при конфигурировании должен быть
назначен IP-адрес сети (подсети) с соответствующей маской, для того чтобы
узлы виртуальных сетей могли свободно общаться между собой внутри
237
VLAN. Передача трафика между виртуальными локальными сетями
возможна только при наличии маршрутизации. Например, VLAN10
(рис.14.2) может иметь адрес 192.168.10.0/24, VLAN20 – адрес
192.168.20.0/24, VLAN30 – адрес 192.168.30.0/24. Каждому узлу необходимо
задать IP-адрес из диапазона адресов соответствующей виртуальной сети,
например, узел РС0 – адрес 192.168.10.11, узел РС1 – адрес 192.168.10.12,
узел РС2 – адрес 192.168.20.11, узел РС3 – адрес 192.168.20.12, узел РС4 –
адрес 192.168.30.11, узел РС5 – адрес 192.168.30.12.
Идентификаторы виртуальных сетей (VLAN10, VLAN20, VLAN30 и
т.д.) могут назначаться из диапазона 1 – 4094. Однако для облегчения
управления рекомендуется, чтобы сетей VLAN было не более 255 и сети не
расширялись вне Уровня 2 коммутатора.
Поскольку кадры данных могут быть получены коммутатором от
любого устройства, присоединенного к любой виртуальной сети, то при
обмене данными между коммутаторами (рис. 14.3) в заголовок кадра
добавляется уникальный маркер (идентификатор) кадра – тег (tag)
виртуальной сети, который идентифицирует VLAN каждого пакета.
Передаваемый при этом по сети трафик называется тегированным.
Для передачи трафика разных VLAN между устройствами создают
магистральные транковые каналы (Trunk). Такие каналы создают между
коммутаторами, между коммутаторами и маршрутизаторами, а также между
коммутаторами и серверами, поддерживающими протокол 802.1Q. На рис.
16.3 представлен транковый канал между коммутаторами Sw-A и Sw-B.
Функционирование виртуальных локальных сетей определяется
протоколом 802.1Q. Согласно этому протоколу порты коммутатора
подразделяются на:
порты доступа (access port), которые передают нетегированный
трафик одной сети VLAN;
транковые порты (trunk port), передающие тегированный трафик
разных сетей VLAN.
238
Vlan 20
PC2
192.168.20.11
Vlan 10
PC0
192.168.10.11
Vlan 30
PC4
192.168.30.11
Vlan 20
PC8
192.168.20.13
Vlan 30
PC10
192.168.30.13
Транк
Sw-A
PC1
192.168.10.12
Vlan 10
Vlan 10
PC6
192.168.10.13
Sw-В
PC3
192.168.20.12
Vlan 20
PC5
192.168.30.12
Vlan 30
PC7
192.168.10.14
Vlan 10
PC9
192.168.20.14
Vlan 20
PC11
192.168.30.14
Vlan 30
Рис. 14.3. Виртуальные локальные сети на двух коммутаторах
Итак, транковые соединения (Trunk) и транковые порты
предназначены для передачи трафика нескольких VLAN. То есть, транк –
это канал, передающий кадры множества виртуальных локальных сетей.
Через транковый порт 802.1Q может предаваться трафик нескольких
виртуальных локальных сетей, а также трафик узлов не входящих в состав
VLAN. Например, в сети рис. 14.4 соединения «точка – точка» между
коммутаторами S1 и S3, между S2 и S3, между S3 и маршрутизатором R
являются транковыми.
R
Транк
S1
Транк
S3
Транк
S2
Узел X
VLAN 10
Узел 10-1
Узел 30-1
Узел 20-1
Узел 10-n
VLAN 20
Узел 20-k
Узел 30-m
VLAN 30
Рис. 14.4. Транковые соединения виртуальных локальных сетей
239
Поскольку по магистральному транковому соединению передаются
данные разных сетей VLAN, то кадр должен помечаться уникальным
идентификатором – тегом виртуальной сети. Кадры, передаваемые внутри
VLAN на одном коммутаторе, не тегируются.
Узел Х (рис. 14.4) не входит ни в одну VLAN, но его сообщения могут
быть переданы через коммутатор S2 по транковым соединениям в
маршрутизатор R и далее. Узлы одной VLAN, подключенные к разным
коммутаторам могут обмениваться информацией через транковые
соединения без использования маршрутизаторов.
Протоколом 802.1Q предусмотрена собственная сеть native VLAN,
которая назначается транковому порту, но трафик которой передается
нетегированным. Когда нетегированные кадры поступают на транковый
порт, коммутатор считает их кадрами сети native VLAN. Трафик,
поступающий от узлов не входящих в состав виртуальных локальных сетей,
причисляется к сети native VLAN. По умолчанию сетью native VLAN
является VLAN 1. Трафик сети native VLAN 1 передается через транковый
порт нетегированным.
Когда на транковый порт поступает тегированный кадр, у которого
идентификатор тега совпадает с номером native VLAN, то порт отбрасывает
такой кадр. При получении нетегированных кадров транковый порт
пересылает их в сеть native VLAN. Если к сети native VLAN не
присоединены никакие устройств, то кадр будет отброшен.
Для native VLAN следует выделять отдельную сеть отличную от
VLAN1. В вышеприведенной распечатке команды display vlan сеть
VLAN1 является единственной активной сетью, совпадающей с native VLAN.
Такая конфигурация снижает безопасность сети. Обычно в качестве native
VLAN назначают сеть с другим номером, например VLAN 15.
Роль сети native VLAN рассмотрена на примере сети рис. 14.5, где
компьютер Узел 1 через концентратор Hub подключен к транковому каналу
между коммутаторами Sw-A и Sw-B. Сетью native VLAN является сеть по
умолчанию Vlan 1. Узел 1 передает в транковый канал нетегированный
трафик, который коммутаторы отправляют в сеть Vlan 1, узлы которой
подключены как к коммутатору Sw-A, так и к Sw-B. Тегированный трафик
транкового канала компьютером Узел 1 отбрасывается.
240
Sw-A
Hub
Транк
Узел 1
Vlan 1 Vlan 2 Vlan 3
Sw-B
Транк
Vlan 1 Vlan 2 Vlan 3
Рис. 14.5. Сеть native VLAN
Сеть рис. 14.5 плохо спроектирована, поскольку в транковом канале
установлен концентратор, через который возможен доступ к транковому
соединению, что снижает безопасность сети.
Стандарт IEEE 802.1Q, определяющий правила формирование
виртуальных локальных сетей, предусматривает введение в заголовок кадра
поля меток (тега), содержащего четыре байта. Тег вводится в кадр между
полем адреса источника и полем Тип/Длина (рис. 14.6). Двенадцать
двоичных разрядов тега (VLAN ID) используются для адресации
(идентификации) VLAN, что позволяет маркировать (тегировать) до 4094
виртуальных сетей.
МАС-адр. назн.
МАС-адр. ист.
Тип/Длина
Данные
Контр. сум.
Тег
Тип (0х8100)
2 байта
Приорит. CFI
3 бита
1 бит
VLAN ID
12 бит
Рис. 14.6. Формат тега виртуальной сети
Три бита тега (Приорит.) позволяют задавать 8 уровней приоритета
передаваемых сообщений, т.е. позволяют обеспечивать качество (QoS)
передаваемых данных. Наивысший приоритет уровня 7 имеют кадры
управления сетью, уровень 6 – кадры передачи голосового трафика, 5 –
передача видео. Остальные уровни обеспечивают передачу данных с разным
приоритетом. Единичное значение поля CFI показывает, это что виртуальная
241
сеть технологии Token Ring. Поле Тип длиной 2 байта идентифицирует
протокол, для случая Ethernet значение поля типа 0х8100.
Когда коммутатор получает кадр, предназначенный узлу,
присоединенному к другому коммутатору, он добавляет в кадр тег,
вычисляет новую контрольную сумму и пересылает новый тегированный
кадр через транковое соединение.
В технологии VoIP для подключения телефона обычно используются
две VLAN: одна для голосового трафика, а вторая – для обмена данными.
Оба вида трафика передаются в коммутатор по транковому соединению
(рис.14.7).
Транк Коммутатор
телефона
Голосовая
VLAN
Телефонный
аппарат
VLAN
данных
Узел
Рис. 14.7. Подключение телефона в технологии VoIP
242
14.2. Конфигурирование виртуальных локальных сетей
Существуют разные способы деления большой коммутируемой сети на
отдельные виртуальные локальные сети VLAN. Наиболее известным
является способ деления на основе номеров портов, когда порт коммутатора
приписывается (добавляется) к конкретной VLAN. Каждая VLAN должна
иметь уникальный адрес Уровня 3, т.е. выделенный ей адрес подсети. Это
позволяет узлам свободно обмениваться сообщениями внутри VLAN, а при
необходимости маршрутизаторам переключать пакеты между виртуальными
локальными сетями.
Другие способы деления коммутируемой сети на отдельные VLAN,
основанные на МАС-адресах, на IP-адресах, на протоколах, на политике,
используются реже и в настоящем курсе не рассматриваются.
Конфигурирование виртуальных сетей (базирующихся на делении на
основе номеров портов) сводится к назначению портов коммутатора на
каждую виртуальную локальную сеть VLAN, что может непосредственно
конфигурироваться на коммутаторе через использование командной строки
CLI. Таким образом, при статическом конфигурировании каждый порт
приписывается к какой-то виртуальной локальной сети. Статически
сконфигурированные порты поддерживают назначенную конфигурацию до
тех пор, пока не будут изменены вручную. Пользователи подключены к
портам коммутатора на уровне доступа (access layer). Маркировка (Frame
tagging) используется, чтобы обмениваться данными, передаваемыми между
коммутаторами.
По умолчанию управляющей сетью является первая сеть VLAN 1,
однако ей может быть назначен другой номер, причем, сеть VLAN 1 является
Ethernet сетью, и ей принадлежит IP-адрес коммутатора.
Ниже рассмотрено конфигурирование коммутатора на примере
виртуальной локальной сети (рис. 14.8). Примеры конфигурирования даны
для коммутатора серии S 3700. Исходное состояние виртуальных сетей и
интерфейсов коммутатора показано в распечатке команды display vlan, из
которой следует, что все 22 порта Ethernet и два интерфейса GigabitEthernet
приписаны по умолчанию к сети VLAN 1.
243
Vlan 10
Vlan 20
Vlan 30
РС1
РС3
172.20.20.21
192.168.30.31
10.10.10.11
E0/0/1
E0/0/2
E0/0/11
РС5
E0/0/21
G0/0/2
SwA
E0/0/22
E0/0/12
РС2
РС4
РС6
10.10.10.12
172.20.20.22
192.168.30.32
Рис. 14.8. Виртуальные локальные сети
<Huawei>display vlan
The total number of vlans is : 1
...
VID Type
Ports
---------------------------------------------------------------------------1
common UT:Eth0/0/1(D)
Eth0/0/2(D)
Eth0/0/3(D)
Eth0/0/4(D)
Eth0/0/5(D)
Eth0/0/6(D)
Eth0/0/7(D)
Eth0/0/8(D)
Eth0/0/9(D)
Eth0/0/10(D)
Eth0/0/11(D)
Eth0/0/12(D)
Eth0/0/13(D)
Eth0/0/14(D)
Eth0/0/15(D)
Eth0/0/16(D)
Eth0/0/17(D)
Eth0/0/18(D)
Eth0/0/19(D)
Eth0/0/20(D)
Eth0/0/21(D)
Eth0/0/22(D)
GE0/0/1(D)
GE0/0/2(D)
VID Status Property
MAC-LRN Statistics Description
---------------------------------------------------------------------------1
enable
default
enable
disable
VLAN 0001
Создание виртуальных локальных сетей производится в режиме
системного конфигурирования. Ниже даны примеры конфигурирования трех
виртуальных локальных сетей (рис. 14.8) vlan 10, vlan 20, vlan 30:
<Huawei>system-view
[Huawei]sysname SwA
[SwA]vlan 10
[SwA-vlan10]vlan 20
[SwA-vlan20]vlan 30
244
После создания виртуальных сетей vlan 10, vlan 20, vlan 30 они
становятся активными, но порты остаются приписанными к VLAN 1, что
можно видеть по команде display vlan:
<SwA>display vlan
...
VID Type
Ports
---------------------------------------------------------------------------1
common UT:Eth0/0/1(U)
Eth0/0/2(U)
Eth0/0/3(D)
Eth0/0/4(D)
Eth0/0/5(D)
Eth0/0/6(D)
Eth0/0/7(D)
Eth0/0/8(D)
Eth0/0/9(D)
Eth0/0/10(D)
Eth0/0/11(U)
Eth0/0/12(U)
Eth0/0/13(D)
Eth0/0/14(D)
Eth0/0/15(D)
Eth0/0/16(D)
Eth0/0/17(D)
Eth0/0/18(D)
Eth0/0/19(D)
Eth0/0/20(D)
Eth0/0/21(U)
Eth0/0/22(U)
GE0/0/1(D)
GE0/0/2(D)
10
20
30
common
common
common
VID Status Property
MAC-LRN Statistics Description
---------------------------------------------------------------------------1
10
20
30
enable
enable
enable
enable
default
default
default
default
enable
enable
enable
enable
disable
disable
disable
disable
VLAN
VLAN
VLAN
VLAN
0001
0010
0020
0030
<SwA>
На следующем этапе конфигурирования необходимо назначить
виртуальные сети на определенные интерфейсы (приписать порты к
созданным виртуальным сетям), используя пару команд port link-type
access, port default vlan <номер>. Ниже приведен пример указанных
операций для сети рис. 14.8:
[SwA]int e0/0/1
[SwA-Ethernet0/0/1]port link-type access
[SwA-Ethernet0/0/1]port default vlan 10
[SwA-Ethernet0/0/1]int e0/0/2
[SwA-Ethernet0/0/2]port link-type access
[SwA-Ethernet0/0/2]port default vlan 10
[SwA-Ethernet0/0/2]int e0/0/11
[SwA-Ethernet0/0/11]port link-type access
[SwA-Ethernet0/0/11]port default vlan 20
[SwA-Ethernet0/0/11]int e0/0/12
[SwA-Ethernet0/0/12]port link-type access
[SwA-Ethernet0/0/12]port default vlan 20
245
[SwA-Ethernet0/0/12]int e0/0/21
[SwA-Ethernet0/0/21]port link-type access
[SwA-Ethernet0/0/21]port default vlan 30
[SwA-Ethernet0/0/21]int e0/0/22
[SwA-Ethernet0/0/22]port link-type access
[SwA-Ethernet0/0/22]port default vlan 30
Изменения конфигурации отражает команда:
[SwA]display vlan
...
VID Type
Ports
---------------------------------------------------------------------------1
common UT:Eth0/0/3(D)
Eth0/0/4(D)
Eth0/0/5(D)
Eth0/0/6(D)
Eth0/0/7(D)
Eth0/0/8(D)
Eth0/0/9(D)
Eth0/0/10(D)
Eth0/0/13(D)
Eth0/0/14(D)
Eth0/0/15(D)
Eth0/0/16(D)
Eth0/0/17(D)
Eth0/0/18(D)
Eth0/0/19(D)
Eth0/0/20(D)
GE0/0/1(D)
GE0/0/2(D)
10
common
UT:Eth0/0/1(U)
Eth0/0/2(U)
20
common
UT:Eth0/0/11(U)
Eth0/0/12(U)
30
common
UT:Eth0/0/21(U)
Eth0/0/22(U)
VID Status Property
MAC-LRN Statistics Description
---------------------------------------------------------------------------1
10
20
30
enable
enable
enable
enable
default
default
default
default
enable
enable
enable
enable
disable
disable
disable
disable
VLAN
VLAN
VLAN
VLAN
0001
0010
0020
0030
Из распечатки следует, что по 2 порта приписано к каждой из
сформированных сетей (VLAN 10, 20, 30).
Конфигурацию конкретной виртуальной сети, например VLAN20,
можно посмотреть с помощью команды display vlan 20:
[SwA]dis vlan 20
...
VID Type
Ports
--------------------------------------------------------------20
common UT:Eth0/0/11(U)
Eth0/0/12(U)
VID Status Property
MAC-LRN Statistics Description
--------------------------------------------------------------20
enable default
enable disable
VLAN 0020
[SwA]
Конфигурационный файл коммутатора должен быть сохранен по команде:
<SwA>save
246
Параметры конфигурации коммутатора можно также посмотреть с
помощью команды display current-configuration:
<SwA>display current-configuration
#
sysname SwA
#
vlan batch 10 20 30
...
interface Vlanif1
#
interface MEth0/0/1
#
interface Ethernet0/0/1
port link-type access
port default vlan 10
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
...
interface Ethernet0/0/11
port link-type access
port default vlan 20
#
interface Ethernet0/0/12
port link-type access
port default vlan 20
#
interface Ethernet0/0/13
port link-type access
...
interface Ethernet0/0/21
port link-type access
port default vlan 30
#
interface Ethernet0/0/22
port link-type access
port default vlan 30
...
return
<SwA>
Удаление виртуальной сети, например vlan 10, выполняется по команде:
[SwA]undo vlan 10
Когда виртуальная локальная сеть удалена, все порты, приписанные к
этой VLAN, возвращаются в сеть VLAN 1, оставаясь в состоянии Up:
247
[SwA]dis vlan
...
VID Type
Ports
---------------------------------------------------------------------------1
common UT:Eth0/0/1(U)
Eth0/0/2(U)
Eth0/0/3(D)
Eth0/0/4(D)
Eth0/0/5(D)
Eth0/0/6(D)
Eth0/0/7(D)
Eth0/0/8(D)
Eth0/0/9(D)
Eth0/0/10(D)
Eth0/0/13(U)
Eth0/0/14(D)
Eth0/0/15(D)
Eth0/0/16(D)
Eth0/0/17(D)
Eth0/0/18(D)
Eth0/0/19(D)
Eth0/0/20(D)
GE0/0/1(D)
GE0/0/2(D)
20
common
UT:Eth0/0/11(U)
Eth0/0/12(U)
30
common
UT:Eth0/0/21(U)
Eth0/0/22(U)
VID Status Property
MAC-LRN Statistics Description
---------------------------------------------------------------------------1
20
30
enable
enable
enable
default
default
default
enable
enable
enable
disable
disable
disable
VLAN 0001
VLAN 0020
VLAN 0030
[SwA]
Для того, чтобы отменить неверное назначение виртуальной сети,
например vlan 20 на интерфейс E0/0/12, используется команда:
[SwA-Ethernet0/0/12]undo port default vlan
При этом порт Eth0/0/12 возвращается в сеть по умолчанию VLAN 1 и
находится в состоянии Up (выделено цветом):
<SwA>display vlan
...
VID Type
Ports
---------------------------------------------------------------------------1
common UT:Eth0/0/1(U)
Eth0/0/2(U)
Eth0/0/3(D)
Eth0/0/4(D)
Eth0/0/5(D)
Eth0/0/6(D)
Eth0/0/7(D)
Eth0/0/8(D)
Eth0/0/9(D)
Eth0/0/10(D)
Eth0/0/12(U)
Eth0/0/13(U)
Eth0/0/14(D)
Eth0/0/15(D)
Eth0/0/16(D)
Eth0/0/17(D)
Eth0/0/18(D)
Eth0/0/19(D)
Eth0/0/20(D)
GE0/0/1(D)
GE0/0/2(D)
10
common
20
common UT:Eth0/0/11(U)
30
common UT:Eth0/0/21(U)
Eth0/0/22(U)
...
<SwA>
Порт коммутатора, приписанный к какой-то сети, можно приписать к
другой vlan. Например, порт E0/0/22, на который назначена vlan 30, можно
приписать к другой виртуальной сети (например, к vlan 10), не удаляя
предварительно из сети vlan 30:
248
[SwA]vlan 10
[SwA-vlan10]q
[SwA]int e0/0/22
[SwA-Ethernet0/0/22]port link-type access
[SwA-Ethernet0/0/22]port default vlan 10
Результат отображается по команде (выделено цветом):
[SwA]dis vlan
The total number of vlans is : 4
...
VID Type
Ports
---------------------------------------------------------------------------1
common UT:Eth0/0/1(U)
Eth0/0/2(U)
Eth0/0/3(D)
Eth0/0/4(D)
Eth0/0/5(D)
Eth0/0/6(D)
Eth0/0/7(D)
Eth0/0/8(D)
Eth0/0/9(D)
Eth0/0/10(D)
Eth0/0/12(U)
Eth0/0/13(U)
Eth0/0/14(D)
Eth0/0/15(D)
Eth0/0/16(D)
Eth0/0/17(D)
Eth0/0/18(D)
Eth0/0/19(D)
Eth0/0/20(D)
GE0/0/1(D)
GE0/0/2(D)
10
common UT:Eth0/0/22(U)
20
common UT:Eth0/0/11(U)
30
common UT:Eth0/0/21(U)
249
14.3. Конфигурирование транковых соединений
При формировании виртуальных локальных сетей на нескольких
коммутаторах необходимо создать несколько физических соединений между
коммутаторами по числу VLAN (рис. 14.9). При большом количестве VLAN
потребуется большое количество портов на каждом из коммутаторов и
соединений между ними, что не всегда можно реализовать на практике при
создании сетей.
Vlan 10
Vlan 20
Vlan 30
РС1
РС3
172.20.20.21
10.10.10.11
E0/0/1
E0/0/2
РС2
10.10.10.12
E0/0/11
Vlan 10
Vlan 20
Vlan 30
РС5
РС7
192.168.30.31
10.10.10.13
РС9
172.20.20.21
192.168.30.33
E0/0/21
E0/0/1
SwA
E0/0/12 E0/0/22
РС4
РС6
172.20.20.22
192.168.30.32
E0/0/2
РС8
10.10.10.14
E0/0/11
РС11
E0/0/21
SwB
E0/0/22
E0/0/12
РС10
РС12
172.20.20.22
192.168.30.34
Рис. 14.9. VLAN на двух коммутаторах
Использование транкового соединения (транкового канала, Trunk)
позволяет заменить множество физических соединений одним транковым
(рис. 14.10), внутри которого формируется несколько виртуальных
логических каналов (по числу vlan). Ниже рассмотрен пример создания
транкового соединения двух коммутаторов (рис. 14.10), на каждом из
которых ранее были сконфигурированы три сети vlan 10, 20, 30.
250
Vlan 10
Vlan 20
Vlan 30
РС1
РС3
172.20.20.21
10.10.10.11
E0/0/1
E0/0/2
РС2
10.10.10.12
E0/0/11
Vlan 10
Vlan 20
Vlan 30
РС5
РС7
192.168.30.31
10.10.10.13
РС9
172.20.20.23
192.168.30.33
E0/0/21
E0/0/1
G0/0/2
G0/0/2
Trunk
SwA
Транковый канал
E0/0/12 E0/0/22
E0/0/2
РС4
РС6
172.20.20.22
192.168.30.32
РС8
10.10.10.14
E0/0/11
РС11
E0/0/21
SwB
E0/0/22
E0/0/12
РС10
РС12
172.20.20.24
192.168.30.34
Рис. 14.10. Транковое соединение двух коммутаторов
В исходном состоянии на коммутаторах SwA, SwB сконфигурированы
сети vlan 10, 20, 30, что следует из распечатки:
[SwA]display vlan
...
VID Type
Ports
---------------------------------------------------------------------------1
common UT:Eth0/0/3(D)
Eth0/0/4(D)
Eth0/0/5(D)
Eth0/0/6(D)
Eth0/0/7(D)
Eth0/0/8(D)
Eth0/0/9(D)
Eth0/0/10(D)
Eth0/0/13(D)
Eth0/0/14(D)
Eth0/0/15(D)
Eth0/0/16(D)
Eth0/0/17(D)
Eth0/0/18(D)
Eth0/0/19(D)
Eth0/0/20(D)
GE0/0/1(D)
GE0/0/2(D)
10
common
UT:Eth0/0/1(U)
Eth0/0/2(U)
20
common
UT:Eth0/0/11(U)
Eth0/0/12(U)
30
common
UT:Eth0/0/21(U)
Eth0/0/22(U)
...
[SwA]
На коммутаторе SwB аналогичная конфигурация.
Формирование транкового интерфейса производится по командам:
[SwA]interface GigabitEthernet 0/0/2
[SwA-GigabitEthernet0/0/2]port link-type trunk
251
При создании транкового канала коммутаторов Huawei необходимо
указать, трафик каких vlan может передаваться по нему. Это реализуется,
например, по команде:
[SwA-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 20 30
Результат приведен ниже в распечатке, из которой видно, что через
транковый интерфейс GE0/0/2 разрешена передача тегированного трафика
(метка TG) сетей vlan 10, vlan 20, vlan 30:
[SwA]display vlan
...
10
common
20
common
UT:Eth0/0/1(U)
TG:GE0/0/2(U)
UT:Eth0/0/11(U)
30
common
TG:GE0/0/2(U)
UT:Eth0/0/21(U)
Eth0/0/2(U)
Eth0/0/12(U)
Eth0/0/22(U)
TG:GE0/0/2(U)
...
[SwA]
Запрет передачи трафика какой-либо сети vlan через транковый канал
производится, например, по команде:
[SwA-GigabitEthernet0/0/2]undo port trunk allow-pass vlan 1
Команда запретила трафик сети vlan 1 через транковый канал.
Краткую информацию о состоянии всех портов коммутатора можно
получить по команде:
[SwA]display port vlan
Port
Link Type
PVID Trunk VLAN List
--------------------------------------------------------------Ethernet0/0/1
access
10
Ethernet0/0/2
access
10
Ethernet0/0/3
hybrid
1
Ethernet0/0/4
hybrid
1
Ethernet0/0/5
hybrid
1
Ethernet0/0/6
hybrid
1
Ethernet0/0/7
hybrid
1
Ethernet0/0/8
hybrid
1
Ethernet0/0/9
hybrid
1
252
Ethernet0/0/10
Ethernet0/0/11
Ethernet0/0/12
Ethernet0/0/13
Ethernet0/0/14
Ethernet0/0/15
Ethernet0/0/16
Ethernet0/0/17
Ethernet0/0/18
Ethernet0/0/19
Ethernet0/0/20
Ethernet0/0/21
Ethernet0/0/22
GigabitEthernet0/0/1
GigabitEthernet0/0/2
[SwA]
hybrid
access
access
access
hybrid
hybrid
hybrid
hybrid
hybrid
hybrid
hybrid
access
access
hybrid
trunk
1
20
20
1
1
1
1
1
1
1
1
30
30
1
1
10 20 30
Итак, на интерфейсе GigabitEthernet0/0/2 создан транковый канал для
передачи трафика сетей vlan 10, vlan 20, vlan 30; трафик сети vlan 1 запрещен.
Транковые порты конфигурируется на обеих сторонах соединения
коммутаторов SwА и SwВ.
Основную информацию о транковом порте можно получить по
команде:
<SwA>display port vlan GigabitEthernet 0/0/2
Port
Link Type
PVID Trunk VLAN List
-----------------------------------------------------------GigabitEthernet0/0/2
trunk
1
10 20 30
<SwA>
Проверка работоспособности сети (рис. 14.10) проведена по команде
ping, которая показала, что узлы, присоединенные к разным коммутаторам
внутри vlan 20, обмениваются сообщениями через транковый канал:
PC9>ping 172.20.20.22
Ping
From
From
From
From
From
172.20.20.22:
172.20.20.22:
172.20.20.22:
172.20.20.22:
172.20.20.22:
172.20.20.22:
32 data bytes,
bytes=32 seq=1
bytes=32 seq=2
bytes=32 seq=3
bytes=32 seq=4
bytes=32 seq=5
253
Press Ctrl_C to
ttl=128 time=47
ttl=128 time=31
ttl=128 time=47
ttl=128 time=47
ttl=128 time=16
break
ms
ms
ms
ms
ms
14.4. Маршрутизация между виртуальными локальными сетями
Между виртуальными локальными сетями, также как и между
физически существующими LAN, необходимо организовать обмен
сообщениями. Каждая виртуальная локальная сеть VLAN представляет
широковещательный домен. Поэтому трафик между VLAN обеспечивается
маршрутизацией, которую реализуют маршрутизаторы или коммутаторы
третьего уровня.
В простейшем случае к коммутатору подключается маршрутизатор
(рис. 14.11). Причем, для каждой VLAN создается отдельное соединение
маршрутизатора и коммутатора. Таким образом, количество интерфейсов
маршрутизатора и количество соединений между коммутатором и
маршрутизатором должно быть равно числу VLAN, при этом порты
коммутатора должны работать в режиме доступа port
link-type
access.
Vlan 10
Vlan 20
Vlan 30
РС1
РС3
172.20.20.21
192.168.30.31
10.10.10.11
E0/0/1 E0/0/11
HR1
E0/0/21
G0/0/2
SwA
E0/0/12 E0/0/22
E0/0/2
РС4
РС6
172.20.20.22
192.168.30.32
РС2
10.10.10.12
РС5
Рис. 14.11. Маршрутизация между VLAN
В приведенном примере сети (рис. 14.11) для соединения с
маршрутизатором в схеме дополнительно задействованы три интерфейса
254
коммутатора SwА, которые являются шлюзами для сетей vlan 10, vlan 20,
vlan 30. Все виртуальные локальные сети являются прямо присоединенными
к маршрутизатору, поэтому после конфигурирования IP-адресов
интерфейсов маршрутизатора между сетями VLAN могут пересылаться
пакеты, т.е. реализуется маршрутизация.
Однако схема (рис. 14.11) не является оптимальной, поскольку требует
большого количества (по числу VLAN) интерфейсов и соединений между
маршрутизатором и коммутатором.
При транковом (Trunk) соединении коммутатора и маршрутизатора
три физических канала между ними (рис. 14.11) заменяются одним
транковым каналом (рис. 14.12), в котором создается несколько (по числу
VLAN) виртуальных логических каналов.
Vlan 10
Vlan 20
Vlan 30
РС1
РС3
172.20.20.21
192.168.30.31
10.10.10.11
E0/0/1 E0/0/11
Trunk
HR1
G0/0/0
E0/0/21
G0/0/2
SwA
E0/0/12 E0/0/22
G0/0/1
E0/0/2
РС4
РС6
172.20.20.22
192.168.30.32
РС2
10.10.10.12
РС5
Рис. 14.12. Маршрутизация через транковый канал
Для создания транкового соединения на коммутаторе SwA (рис. 14.12)
задействован интерфейс G0/0/1, а на маршрутизаторе HR1 – интерфейс
G0/0/0.
255
Конфигурирование коммутатора будет следующим:
[SwA]int e0/0/1
[SwA-Ethernet0/0/1]port link-type access
[SwA-Ethernet0/0/1]port default vlan 10
[SwA-Ethernet0/0/1]int e0/0/2
[SwA-Ethernet0/0/2]port link-type access
[SwA-Ethernet0/0/2]port default vlan 10
[SwA-Ethernet0/0/2]int e0/0/11
[SwA-Ethernet0/0/11]port link-type access
[SwA-Ethernet0/0/11]port default vlan 20
[SwA-Ethernet0/0/11]int e0/0/12
[SwA-Ethernet0/0/12]port link-type access
[SwA-Ethernet0/0/12]port default vlan 20
[SwA-Ethernet0/0/12]int e0/0/21
[SwA-Ethernet0/0/21]port link-type access
[SwA-Ethernet0/0/21]port default vlan 30
[SwA-Ethernet0/0/21]int e0/0/22
[SwA-Ethernet0/0/22]port link-type access
[SwA-Ethernet0/0/22]port default vlan 30
[SwA-Ethernet0/0/22]int g0/0/1
[SwA-GigabitEthernet0/0/2]port link-type trunk
[SwA-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 20 30
Конфигурирование маршрутизатора сводится к тому, что на его
интерфейсе G0/0/0 формируются субинтерфейсы G0/0/0.10, G0/0/0.20,
G0/0/0.30 (по количеству VLAN). На указанных субинтерфейсах задается
протокол Dot 1q для виртуальных сетей vlan 10, vlan 20, vlan 30 и IP-адрес
шлюза:
[Huawei]sysname HR1
[HR1]int g0/0/0.10
[HR1-GigabitEthernet0/0/0.10]vlan-type dot1q 10
[HR1-GigabitEthernet0/0/0.10]ip add 10.10.10.1 255.255.255.0
[HR1-GigabitEthernet0/0/0.10]int g0/0/0.20
[HR1-GigabitEthernet0/0/0.20]vlan-type dot1q 20
[HR1-GigabitEthernet0/0/0.20]ip add 172.20.20.1 255.255.255.0
[HR1-GigabitEthernet0/0/0.20]int g0/0/0.30
[HR1-GigabitEthernet0/0/0.30]vlan-type dot1q 30
[HR1-GigabitEthernet0/0/0.30]ip add 192.168.30.1 255.255.255.0
256
Результат конфигурирования проверяется по команде display ip
routing-table:
[HR1]display ip routing-table
Route Flags: R - relay, D - download to fib
--------------------------------------------------------------------------Routing Tables: Public
Destinations : 8
Routes : 8
Destination/Mask Proto
10.10.10.0/24
10.10.10.1/32
127.0.0.0/8
127.0.0.1/32
172.20.20.0/24
172.20.20.1/32
192.168.30.0/24
192.168.30.1/32
Direct
Direct
Direct
Direct
Direct
Direct
Direct
Direct
Pre Cost Flags NextHop
Interface
0
0
0
0
0
0
0
0
GigabitEthernet0/0/0.10
GigabitEthernet0/0/0.10
InLoopBack0
InLoopBack0
GigabitEthernet0/0/0.20
GigabitEthernet0/0/0.20
GigabitEthernet0/0/0.30
GigabitEthernet0/0/0.30
0
0
0
0
0
0
0
0
D
D
D
D
D
D
D
D
10.10.10.1
127.0.0.1
127.0.0.1
127.0.0.1
172.20.20.1
127.0.0.1
192.168.30.1
127.0.0.1
[HR1]
Из таблицы маршрутизации следует, что сети 10.10.10.0, 172.20.20.0,
192.168.30.0 являются непосредственно присоединенными, причем, каждая
сеть присоединена к маршрутизатору через свой субинтерфейс. Поэтому
маршрутизатор обеспечивает маршрутизацию между сетями, что проверяется
по командам ping, выполняемым, например, с конечного узла РС1 (IP-адрес
– 10.10.10.11):
PC1>ping 10.10.10.12
Ping
From
From
From
From
From
10.10.10.12:
10.10.10.12:
10.10.10.12:
10.10.10.12:
10.10.10.12:
10.10.10.12:
32 data bytes,
bytes=32 seq=1
bytes=32 seq=2
bytes=32 seq=3
bytes=32 seq=4
bytes=32 seq=5
Press Ctrl_C to break
ttl=127 time=110 ms
ttl=127 time=78 ms
ttl=127 time=78 ms
ttl=127 time=78 ms
ttl=127 time=78 ms
PC1>ping 172.20.20.21
Ping
From
From
From
From
From
172.20.20.21:
172.20.20.21:
172.20.20.21:
172.20.20.21:
172.20.20.21:
172.20.20.21:
32 data bytes,
bytes=32 seq=1
bytes=32 seq=2
bytes=32 seq=3
bytes=32 seq=4
bytes=32 seq=5
Press Ctrl_C to
ttl=128 time=15
ttl=128 time=63
ttl=128 time=16
ttl=128 time=31
ttl=128 time=16
257
break
ms
ms
ms
ms
ms
PC1>ping 192.168.30.31
Ping
From
From
From
From
From
192.168.30.31:
192.168.30.31:
192.168.30.31:
192.168.30.31:
192.168.30.31:
192.168.30.31:
32 data bytes,
bytes=32 seq=1
bytes=32 seq=2
bytes=32 seq=3
bytes=32 seq=4
bytes=32 seq=5
Press Ctrl_C to break
ttl=127 time=156 ms
ttl=127 time=109 ms
ttl=127 time=93 ms
ttl=127 time=62 ms
ttl=127 time=93 ms
Все узлы сети рис. 14.12 доступны.
258
Вопросы по разделу 14
Для чего создаются виртуальные локальные сети? Их достоинства?
Как связываются между собой VLAN?
Как обеспечивается общение между узлами разных виртуальных сетей?
Какие типы сетей используются на практике?
Как обеспечивается управление виртуальными локальными сетями?
Можно ли построить VLAN на нескольких коммутаторах? Как это
сделать?
7. Для чего служит идентификатор кадра (tag)? Где он размещается?
8. Между какими устройствами создаются магистральные транковые
каналы?
9. Что такое транк? Как он создается транковый канал на коммутаторе и
маршрутизаторе?
10.Какие команды используются для назначения VLAN на интерфейсы?
11.Что будет, если назначить порт на не существующую VLAN?
12.Как переназначить порт на другую VLAN?
13.Что будет с портами, назначенными на VLAN, при удалении сети?
14.Какие команды используются для создания транковых соединений?
15.Какая команда позволяет ограничить трафик через транковое соединение
для некоторых VLAN?
16.Какие команды используются для верификации VLAN?
17.Для чего выключают неиспользуемые порты?
18.Какие устройства и схемы используют для маршрутизации трафика между
VLAN?
19.Для чего используются субинтерфейсы маршрутизаторов?
20.Каков формат команд конфигурирования маршрутизатора в сетях Vlan?
21.Что такое коммутатор уровня 3?
1.
2.
3.
4.
5.
6.
259
Упражнения
1. Сформируйте в среде eNSP схему сети:
R
Транк
S1
Транк
Транк
S3
S2
Узел X
VLAN 10
Узел 10-1
Узел 30-1
Узел 20-1
Узел 10-n
VLAN 20
Узел 20-k
Узел 30-m
VLAN 30
2. Сконфигурируйте коммутаторы и маршрутизатор, чтобы обеспечить
межсетевое взаимодействие VLAN.
3. Проведите отладку и проверку сети.
260
15. СПИСКИ КОНТРОЛЯ ДОСТУПА
15.1. Функционирование списков доступа
Информационная
безопасность
телекоммуникационных
сетей
обеспечивается комплексом мер по их защите. Для защиты информации
широко
используются
пароли,
криптографирование
передаваемой
информации, устройства физической безопасности и другие аппаратные и
программные средства. В настоящем разделе рассматриваются списки
контроля доступа, которые устанавливаются на интерфейсах коммутаторов
или маршрутизаторов. Списки доступа обеспечивают базовый уровень
безопасности и определяют, к каким доменам сети открыт доступ, а к каким
закрыт. Списки доступа широко применяются на практике.
Сетевой администратор должен иметь возможность управления
трафиком,
обеспечивая
доступ
зарегистрированным
легальным
пользователям к требуемым ресурсам и запрещая несанкционированный
доступ к сетям и ресурсам. Эффективным средством классификации и
фильтрации трафика являются списки контроля доступа (Access Control Lists
– ACL) или просто списки доступа.
Списки доступа представляют собой последовательность правил
(записей), разрешающих (permit) или запрещающих (deny) продвижение
пакетов через коммутатор или маршрутизатор, т.е. разрешающих или
запрещающих доступ из других локальных сетей или из Интернета в
защищаемую сеть (в защищаемый сервер), а также удаленный доступ по
протоколам Telnet, SSH. Записи списка доступа нумеруются с определенным
шагом (по умолчанию шаг равен 5). Это позволяет вставлять новые записи
между уже существующими.
При конфигурировании списков доступа маршрутизатор (коммутатор)
классифицирует пакеты, фильтрует проходящий через него трафик,
определяет политику маршрутизации.
Списки доступа ACL могут быть созданы для всех сетевых протоколов,
функционирующих на маршрутизаторе, например, IPv4, IPv6, и
устанавливаются на интерфейсах коммутаторов или маршрутизаторов.
Запрет или разрешение сетевого трафика через интерфейс коммутатора или
маршрутизатора реализуется на основании анализа совпадения определенных
261
условий (правил). Записи списка доступа последовательно анализируются и
сравниваются с параметрами, которые используются в заголовках пакетов
передаваемых сообщений (с адресами, протоколами).
Списки доступа создаются как для входящего, так и для исходящего
трафика на основании анализируемых параметров (IP-адреса источника, IPадреса назначения, используемого протокола и номера порта верхнего
уровня), указанных в списке доступа ACL, MAC-адресов кадра (рис. 15.1).
Заголовок
кадра
Заголовок
пакета
Заголовок
сегмента
Поле
данных
Номер порта
Протокол
IP-адрес назначения
IP-адрес источника
МАС-адреса кадра
Принятие
решения
при анализе
заголовка
сообщения
Permit
Deny
Рис. 15.1. Принятие решения при тестировании пакета
Отдельные списки доступа могут быть созданы на каждом интерфейсе
коммутатора или маршрутизатора для каждого направления сетевого
трафика (исходящего и входящего) и для каждого сетевого протокола
установленного на интерфейсе. Например, на трех интерфейсах коммутатора
или маршрутизатора (рис. 15.2), сконфигурированных для двух сетевых
протоколов (IPv4, IPv6), может быть создано 12 отдельных списков доступа:
шесть для IPv4 и шесть для IPv6. То есть, на каждом интерфейсе по 4 списка:
2 для входящего и 2 для исходящего трафика.
262
ACL 1
ACL 3
ACL 2
ACL 4
ACL 5
ACL 1
ACL 3
ACL 2
ACL 4
ACL 6
ACL 5
ACL 6
Рис. 15.2. Списки доступа для одного сетевого протокола (IPv4)
Списки доступа, установленные для фильтрации входящего трафика,
обрабатывают пакеты до продвижения пакета на выходной интерфейс. Таким
образом, кадр, который по условиям списка доступа отбрасывается, не будет
коммутироваться, что экономит ресурсы коммутатора (маршрутизатора).
Исходящие списки доступа удобно использовать для защиты
виртуальной локальной сети от нежелательного трафика, поступающего на
разные порты коммутатора.
Списки доступа повышают гибкость сети. Например, списки,
ограничивающие видео трафик, могут уменьшить нагрузку на сеть и поэтому
повысить ее пропускную способность для передачи данных или аудио
сигналов. Списки позволяют определить, какие типы трафика могут быть
отправлены, а какие заблокированы в интерфейсах сетевого устройства,
например, можно разрешить передачу электронной почты, но блокировать
трафик Telnet. Можно использовать разрешение или запрет доступа к
различным серверам, таким как FTP или HTTP.
Если списки доступа не формируются на коммутаторе или
маршрутизаторе, то все проходящие через сетевое устройство пакеты,
будут иметь доступ к сети.
Программное обеспечение IOS коммутатора или маршрутизатора
проверяет поступивший пакет последовательно по каждому условию списка
доступа ACL. Если текущее утверждение верно, пакет обрабатывается в
соответствие с командами permit или deny.
Существуют разные типы списков доступа: базовые (Basic ACL),
продвинутые (Advanced ACL), нумерованные (Numbered ACL),
именованные (Named ACL), списки доступа уровня 2, базирующиеся на
МАС-адресах. Каждый список должен иметь уникальное имя или
идентификационный номер. Идентификационный номер базового списка
263
доступа находится в пределах 2000 – 2999. Продвинутым спискам задают
номера из диапазона 3000 – 3999. Спискам доступа уровня 2, присваивают
номера 4000 - 4999. Именованные списки доступа имеют уникальное имя.
Базовые ACL применяются для классификации трафика, фильтрации
пакетов на интерфейсе, создания трансляторов адресов NAT и для других
целей. При принятии решения (permit
или deny) базовый ACL
анализирует в IP пакете адрес источника сообщения.
Продвинутые списки контроля доступа (Advanced ACL) используются
для тех же целей, что и базовые, но анализирует как IP-адрес источника, так
и IP-адрес назначения, а также поле протокола в заголовке пакета сетевого
уровня и номер порта в заголовке транспортного уровня.
Базовые списки доступа рекомендуется устанавливать по возможности
ближе к адресату назначения, а продвинутые – ближе к источнику.
Список доступа производит классификацию и фильтрацию пакетов по
порядку, поэтому в строках списков следует задавать условия фильтрации,
начиная от специфических условий – до общих. Условия списка доступа
обрабатываются последовательно от вершины списка к основанию, пока не
будет найдено соответствующее условие. Не удовлетворяющий списку
доступа пакет протокола IP будет отклонен и уничтожен, при этом
отправителю будет послано сообщение протокола ICMP.
264
15.2. Конфигурирование базовых списков доступа
При создании и установке списков контроля доступа Huawei
применение
дополнительных
команд
и
аргументов
расширяет
функциональные возможности фильтрации трафика. При этом используются
следующие термины и команды:
- Traffic Classifier (Классификатор трафика);
- Traffic Behavior (Поведение трафика);
- Traffic policy (Политика трафика).
Traffic Classifier определяет класс трафик, который будет
фильтроваться с помощью этого списка доступа. Поведение Traffic Behavior
указывает, разрешается (permit) или запрещается (deny) прохождение
трафика, определенного классификатором, через фильтр. Наиболее общие
вопросы фильтрации трафика определяет политика Traffic policy.
Ниже приведены примеры конфигурирования списков контроля
доступа в Сеть 1 (рис. 15.3). Списки могут устанавливаться как на
интерфейсах маршрутизаторов, так и коммутаторов. В нижеприведенных
примерах созданные списки ACL устанавливаются на интерфейсе G0/0/1
маршрутизатора RA.
10.10.10.0/30
G0/0/0
.2
RA
G0/0/1 .1
.1
G0/0/1
10.10.10.4/30
G0/0/1 RB
G0/0/2 .1
.6
G0/0/0
G0/0/1 RC
.5
G0/0/2 .1
G0/0/2
G0/0/2
SwA
SwB
SwC
РС11 .11 .15 РС15
РС21 .21 .25 РС25
РС31 .31 .35 РС35
Сеть 1 192.168.10.0/24
Сеть 2 192.168.20.0/24
Рис. 13.3. Схема сети
265
Сеть 3 192.168.30.0/24
Предварительно на маршрутизаторах сети (рис. 15.3) конфигурируются
интерфейсы и протокол маршрутизации. При этом текущая конфигурация,
например, маршрутизатора RA будет следующая:
<RA>display current-configuration
...
interface GigabitEthernet0/0/0
ip address 10.10.10.1 255.255.255.252
#
interface GigabitEthernet0/0/1
ip address 192.168.10.1 255.255.255.0
...
ospf 1
area 0.0.0.0
network 10.10.10.0 0.0.0.3
network 192.168.10.0 0.0.0.255
...
<RA>
Аналогично создаются конфигурации маршрутизаторов RB и RC,
после чего все узлы могут обмениваться информацией.
<RB>display current-configuration
...
interface GigabitEthernet0/0/0
ip address 10.10.10.5 255.255.255.252
#
interface GigabitEthernet0/0/1
ip address 10.10.10.2 255.255.255.252
#
interface GigabitEthernet0/0/2
ip address 192.168.20.1 255.255.255.0
...
ospf 1
area 0.0.0.0
network 10.10.10.0 0.0.0.3
network 10.10.10.4 0.0.0.3
network 192.168.20.0 0.0.0.255
...
<RB>
[RC]display current-configuration
...
interface GigabitEthernet0/0/0
#
interface GigabitEthernet0/0/1
266
ip address 10.10.10.6 255.255.255.252
#
interface GigabitEthernet0/0/2
ip address 192.168.30.1 255.255.255.0
...
ospf 1
area 0.0.0.0
network 192.168.30.0 0.0.0.255
network 10.10.10.4 0.0.0.3
...
[RC]
При конфигурировании списков доступа:
1. Создаются список доступа и правила его функционирования.
2. Формируются классификатор, поведение и политика.
3. Осуществляется привязка списка доступа к интерфейсу в режиме
конфигурирования интерфейса.
Пример 1. В первом примере рассматривается создание базового списка
ACL, который запрещает узлам РС21, РС31 доступ к узлам сети 1.
При конфигурировании базового списка контроля доступа задается его
номер или имя, например:
[RA]acl number 2002
[RA-acl-basic-2002]
Слово number в первой строке может быть опущено.
Затем определяются правила: запретить (deny) или разрешить (permit)
прохождение трафика от источника (source) с заданным IP-адресом и
инверсной маской:
[RA-acl-basic-2002]rule deny source 192.168.20.21 0
[RA-acl-basic-2002]rule deny source 192.168.30.31 0
Маске 0, записанной в вышеприведенных командах, соответствует инверсная
маска 0.0.0.0, т.е. в этом случае задается конкретный узел. Для задания сети,
например с префиксом /24, должна быть задана маска 0.0.0.255.
После определения правил задаются: классификатор
поведение и политика использования списка контроля доступа.
267
трафика,
При создании классификатора создается его идентификатор. Обычно
это символы tc, однако могут быть заданы и другие символы.
[RA]traffic classifier tc operator and
[RA-classifier-tc]if-match acl 2002
[RA-classifier-tc]q
Поведение (идентификатор tb) определяет, что нужно делать с
трафиком, если информация в заголовке пакета совпадает с условиями
списка доступа. Например, для отбрасывания трафика конфигурируется
поведение deny:
[RA]traffic behavior tb
[RA-behavior-tb]deny
Политика (идентификатор tp) связывает классификатор с поведением:
[RA]traffic policy tp
[RA-trafficpolicy-tp]classifier tc behavior tb
В приведенном примере список контроля доступа предписывает отбрасывать
трафик, поступивший от узлов 192.168.20.21 и 192.168.30.31
Затем список доступа устанавливается на интерфейс, например G0/0/1
коммутатора RA, чтобы классифицировать и фильтровать исходящий
трафик:
[RA]int g0/0/1
[RA-GigabitEthernet0/0/1]traffic-policy tp outbound
Распечатка текущей конфигурации коммутатора SwA отображает
правила списка доступа, классификатор, поведение, политику, а также
показывает, что список установлен на интерфейс GigabitEthernet 0/0/1 и
настроен на входящий трафик:
<RA>display current-configuration
...
acl number 2002
rule 5 deny source 192.168.20.21 0
rule 10 deny source 192.168.30.31 0
#
traffic classifier tc operator and
if-match acl 2002
#
268
traffic behavior tb
deny
#
traffic policy tp
classifier tc behavior tb
...
interface GigabitEthernet0/0/0
ip address 10.10.10.1 255.255.255.252
#
interface GigabitEthernet0/0/1
ip address 192.168.10.1 255.255.255.0
traffic-policy tp outbound
...
ospf 1
area 0.0.0.0
network 10.10.10.0 0.0.0.3
network 192.168.10.0 0.0.0.255
...
<RA>
Проверка показывает, что «прозвонка» узла, находящегося в первой
сети, с узла-источника 192.168.20.21 не дала положительного результата:
PC21>ping 192.168.10.11
Ping 192.168.10.11: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Это происходит, поскольку одно из правил (rule deny source
192.168.20.21 0) списка доступа acl number 2002 и поведение
(deny) предписывают отбрасывать входящий трафик, поступающий на
интерфейс G0/0/1 маршрутизатора RA от узла-источника с IP-адресом
192.168.20.21.
В то же время, «прозвонка» интерфейса G0/0/1 маршрутизатора RA с
узла-источника 192.168.20.21 дает положительный результат, поскольку
интерфейса G0/0/1 находится до места установки списка доступа:
PC21>ping 192.168.10.1
Ping 192.168.10.1: 32 data bytes, Press Ctrl_C to break
From 192.168.10.1: bytes=32 seq=1 ttl=254 time=47 ms
269
From
From
From
From
192.168.10.1:
192.168.10.1:
192.168.10.1:
192.168.10.1:
bytes=32
bytes=32
bytes=32
bytes=32
seq=2
seq=3
seq=4
seq=5
ttl=254
ttl=254
ttl=254
ttl=254
time=46
time=62
time=31
time=47
ms
ms
ms
ms
Аналогичные результаты показывает проверка с узла-источника
192.168.30.31 (узлы первой сети не доступны):
PC31>ping 192.168.10.11
Ping 192.168.10.11: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Со всех остальных узлов сетей 2 и 3 (рис. 15.3) узлы первой сети
доступны, например:
PC35>ping 192.168.10.11
Ping
From
From
From
From
From
192.168.10.11:
192.168.10.11:
192.168.10.11:
192.168.10.11:
192.168.10.11:
192.168.10.11:
32 data bytes,
bytes=32 seq=1
bytes=32 seq=2
bytes=32 seq=3
bytes=32 seq=4
bytes=32 seq=5
Press Ctrl_C to break
ttl=253 time=63 ms
ttl=253 time=62 ms
ttl=253 time=78 ms
ttl=253 time=109 ms
ttl=253 time=62 ms
Все созданные на сетевом устройстве списки доступа отображается по
команде:
<RA>display acl all
Total nonempty ACL number is 1
Basic
Acl's
rule
rule
ACL 2002, 2 rules
step is 5
5 deny source 192.168.20.22 0
10 deny source 192.168.30.33 0
Правила списка доступа нумеруются с шагом 5, чтобы можно было
корректировать список, вставляя строки с номерами, например 6, 7, 8, 9.
Удаление списка доступа производится по команде:
270
[RA]undo acl 2002
Проверка дает следующий результат:
[RA]display acl all
Total nonempty ACL number is 0
То есть, все списки удалены.
Но классификатор, поведение, политика и привязка к интерфейсу остались:
[RA]display current-configuration
#
sysname RA
...
traffic classifier tc operator and
if-match acl 2002
#
traffic behavior tb
deny
#
traffic policy tp
classifier tc behavior tb
...
interface GigabitEthernet0/0/1
traffic-policy tp outbound
...
Полное удаление списка доступа реализуется последовательностью команд:
<RA>system-view
[RA]undo acl 2002
[RA]interface GigabitEthernet 0/0/1
[RA-GigabitEthernet0/0/1]undo traffic-policy tp outbound
[RA-GigabitEthernet0/0/1]q
[RA]undo traffic policy tp
[RA]undo traffic behavior tb
[RA]undo traffic classifier tc
Текущая конфигурация подтверждает удаление старого 2002 списка доступа:
[RA]display current-configuration
#
sysname RA
...
interface GigabitEthernet0/0/1
...
271
return
[RA]
Пример 2. После удаления старого списка создается новый базовый
список ACL, который запрещает всем узлам сети 2 и узлу РС35 из сети 3
доступ к узлам сети 1:
[RA]acl 2003
[RA-acl-basic-2003]rule deny source 192.168.20.0 0.0.0.255
[RA-acl-basic-2003]rule deny source 192.168.30.35 0
Задаются классификатор трафика, поведение и политика:
[RA]traffic classifier tc operator and
[RA-classifier-tc]if-match acl 2003
[RA-classifier-tc]q
Поведение (идентификатор tb):
[RA]traffic behavior tb
[RA-behavior-tb]deny
Политика (идентификатор tp):
[RA]traffic policy tp
[RA-trafficpolicy-tp]classifier tc behavior tb
Затем список доступа устанавливается на интерфейс, например:
[RA]int g0/0/1
[RA-GigabitEthernet0/0/1]traffic-policy tp outbound
Команда display acl all отображает новый список доступа:
<RA>display acl all
Total nonempty ACL number is 1
Basic
Acl's
rule
rule
ACL 2003, 2 rules
step is 5
5 deny source 192.168.20.0 0.0.0.255
10 deny source 192.168.30.35 0
<RA>
272
Проверка показывает, что после установки нового списка ACL 2003 на
интерфейс GigabitEthernet 0/0/1 маршрутизатора RA все узлы сети 2 и узел
РС35 не имеют доступа к узлам сети 1:
PC21>ping 192.168.10.11
Ping 192.168.10.11: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!
PC25>ping 192.168.10.11
Ping 192.168.10.11: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!
PC35>ping 192.168.10.11
Ping 192.168.10.11: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Узлу РС31 доступ в сеть 1 не был запрещен:
PC31>ping 192.168.10.11
Ping
From
From
From
From
From
192.168.10.11:
192.168.10.11:
192.168.10.11:
192.168.10.11:
192.168.10.11:
192.168.10.11:
32 data bytes,
bytes=32 seq=1
bytes=32 seq=2
bytes=32 seq=3
bytes=32 seq=4
bytes=32 seq=5
273
Press Ctrl_C to break
ttl=125 time=109 ms
ttl=125 time=124 ms
ttl=125 time=109 ms
ttl=125 time=125 ms
ttl=125 time=140 ms
15.3. Продвинутые списки контроля доступа
При конфигурировании правил продвинутых списков контроля доступа
(Advanced ACL) задаются не только IP-адреса источников, но и IP-адреса
назначения, а также протокол в заголовке пакета сетевого уровня, а в
некоторых случаях номер порта в заголовке транспортного уровня.
Например, при создании списка ACL, который запрещает узлу 192.168.20.21
сети 2 доступ к узлу 192.168.10.11 сети 1 (рис. 15.3) по команде ping, правило
может быть следующим:
[RA]acl 3300
[RA-acl-adv-3300]rule deny icmp source 192.168.20.21 0
destination 192.168.10.11 0
При конфигурировании правила задан протокол ICMP, поскольку проверки
функционирования списка ACL обычно проводятся с использованием
команды ping, которая является утилитой ICMP.
Классификатор определяет трафик, чьи параметры совпадают со
списком acl 3300:
[RA]traffic classifier tc
[RA-classifier-tc]if-match acl 3300
Поведение (идентификатор tb):
[RA]traffic behavior tb
[RA-behavior-tb]deny
Политика (идентификатор tp):
[RA]traffic policy tp
[RA-trafficpolicy-tp]classifier tc behavior tb
Затем список доступа устанавливается на интерфейс, например:
[RA]int g0/0/1
[RA-GigabitEthernet0/0/1]traffic-policy tp outbound,
где контролируется исходящий трафик.
274
Текущая конфигурация отражает произведенные изменения:
[RA]display current-configuration
#
sysname RA
...
acl number 3300
rule 5 deny icmp source 192.168.20.21 0 destination
192.168.10.11 0
#
traffic classifier tc operator and
if-match acl 3300
#
traffic behavior tb
deny
#
traffic policy tp
classifier tc behavior tb
...
interface GigabitEthernet0/0/1
traffic-policy tp outbound
...
[RA]
Непосредственно список доступа можно посмотреть по команде:
<RA>display acl all
Total nonempty ACL number is 1
Advanced ACL 3300, 1 rule
Acl's step is 5
rule 5 deny tcp source 192.168.20.21 0 destination
192.168.10.11 0
Проверка показывает, что после установки списка ACL 3300 на
интерфейс GigabitEthernet 0/0/1 мвршрутизатора RA узел РС21 не имеет
доступа к узлу 192.168.10.11 сети 1:
PC21>ping 192.168.10.11
Ping 192.168.10.11: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Все остальные узлы сети рис. 15.3 имеют доступ к узлу 192.168.10.11.
275
Помимо протокола ICMP в правилах могут быть заданы протоколы IP,
TCP, UDP. Когда задаются протоколы TCP или UDP, то после адреса
источника и назначения указывается также номер (или название) порта.
Однако если в правиле rule deny icmp source 192.168.20.21 0
destination 192.168.10.11 0 протокол ICMP заменить, например,
протоколом TCP, то список не будет ограничивать трафик, в чем можно
убедиться при «прозвонке»:
PC21>ping 192.168.10.11
Ping 192.168.10.11:
Request timeout!
From 192.168.10.11:
From 192.168.10.11:
From 192.168.10.11:
From 192.168.10.11:
32 data bytes, Press Ctrl_C to break
bytes=32
bytes=32
bytes=32
bytes=32
seq=2
seq=3
seq=4
seq=5
ttl=126
ttl=126
ttl=126
ttl=126
time=93 ms
time=78 ms
time=109 ms
time=78 ms
В тех случаях, когда требуется задать адрес всех возможных
пользователей, применяется термин any. Например, запись permit tcp any
any означает «разрешить доступ всем сегментам tcp ко всем адресатам».
Для списков доступа можно задавать и другие параметры, например
интервал времени, в течение которого действует ACL [ 8 ].
276
Вопросы по разделу 15
1. Для чего используются списки доступа?
2. На основании чего формируется запрет или разрешение сетевого трафика
через интерфейс маршрутизатора (коммутатора)?
3. Какие параметры пакета могут анализироваться в базовом и продвинутом
списке доступа?
4. Для чего нужны идентификационные номера списков доступа?
5. Каков формат команды создания базового списка доступа (пример)?
6. Каков формат команды создания продвинутого списка доступа (пример)?
7. Каков формат команды привязки списка к интерфейсу?
8. Какие команды производят контроль списков доступа?
9. Возможно ли редактирование списков доступа?
10.Какие команды используются для удаления списков доступа?
Упражнения
1. Сконфигурируйте список доступа для защиты узла 192.168.30.35 Сети 3
нижеприведенной схемы от несанкционированного доступа со всех узлов
Сети 2 по командам протокола ICMP.
10.10.10.0/30
G0/0/0
.2
RA
G0/0/2 .1
.1
G0/0/1
G0/0/1 RB
G0/0/2 .1
.6
G0/0/0
G0/0/1 RC
.5
G0/0/2 .1
G0/0/1
G0/0/1
SwA
SwB
SwC
РС11 .11 .15 РС15
РС21 .21 .25 РС25
РС31 .31 .35 РС35
Сеть 1 192.168.10.0/24
2.
10.10.10.4/30
Сеть 2 192.168.20.0/24
Проведите проверку и отладку сети.
277
Сеть 3 192.168.30.0/24
Список литературы
1. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии,
протоколы. СПб: Питер, 2016. – 992 с.
2. Configuration Guide - IP Routing. Huawei Technologies Co., Ltd. - 2011, 714 с.
3. Configuration Guide - IP Service. Huawei Technologies Co., Ltd. - 2012, 214 с.
4. Configuration Guide - Ethernet. Huawei Technologies Co., Ltd. - 2011, 442 с.
5. Configuration Guide – Security. Huawei Technologies Co., Ltd. - 2012, 286 с.
6. http://support.huawei.com/
7. Васин Н.Н. Системы и сети пакетной коммутации. Часть 1.Основы
построения сетей пакетной коммутации: Учебное пособие. – Самара:
ПГУТИ, ИУНЛ, 2015. – 238 с.
8. Васин Н.Н. Системы и сети пакетной коммутации. Часть 2.
Маршрутизация и коммутация: Учебное пособие. – Самара: ПГУТИ,
ИУНЛ, 2015. – 261 с.
9. Васин Н.Н., Вьюшкова Е.А. Основы конфигурирования коммутаторов и
маршрутизаторов Huawei: Методические указания по проведению
лабораторных работ. – Самара: ПГУТИ, ИУНЛ, 2016. – 55 с.
278
Приложение
При изучении основ конфигурирования устройств Huawei встречаются
вопросы, на которые можно найти ответы в руководствах [2 - 5]. Наиболее
новую и полную информацию дает электронное руководство Configuration
Guid, которое доступно зарегистрированным пользователям по следующей
последовательности ссылок:
Название
Примечания
Support.huawei.com
Enterprise
Products@Solutions
Routers
Регистрация, имя, пароль
Вверху

AR1200 Series Enterprise Routers
Справа, середина
Внизу

Configuration & Commissioning
1.
2.
3.
4.
5.
Technical Support
6.
Recommendation
AR1200 V200R007 Configuration Guide
7.
8.
9.
10.
11.
12.
Documentation (hdx)
Configuration
CLI-based Typical Configuration Examples
…
Example for Configuring
http://support.huawei.com/hedex/hdx.do?docid=EDOC1000085855&lang=en&idPath=7919710|
21432787|7923148|22318718|6078839
279
Документ
Категория
Без категории
Просмотров
0
Размер файла
3 847 Кб
Теги
posobie, setevyh, konfigurirovaniya, osnovy, uchebnoy, 2018, ustrojstvo, huawei, vasil
1/--страниц
Пожаловаться на содержимое документа