close

Вход

Забыли?

вход по аккаунту

?

Vasin Tehnologii paketnoj kommutacii Tsh2 marshrutizaciya i kommutaciya utshebnoe posobiye

код для вставкиСкачать
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ
БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
ПОВОЛЖСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ТЕЛЕКОММУНИКАЦИЙ И ИНФОРМАТИКИ
Васин Н. Н.
Технологии пакетной коммутации
Часть 2. Маршрутизация и коммутация
Учебное пособие
Самара - 2015
ФЕДЕРАЛЬНОЕ АГЕНТСТВО СВЯЗИ
Федеральное государственное образовательное бюджетное учреждение
высшего профессионального образования
«ПОВОЛЖСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ТЕЛЕКОММУНИКАЦИЙ И ИНФОРМАТИКИ»
Кафедра систем связи
Н.Н. Васин
Технологии пакетной коммутации
Часть 2. Маршрутизация и коммутация
УЧЕБНОЕ ПОСОБИЕ
Самара
2015
2
УДК 004.7
621.395
В
Рекомендовано к изданию методическим советом ПГУТИ,
протокол № 13 от 24.03.2015 г.
Васин Н.Н.
В
Технологии пакетной коммутации. Часть 2. Маршрутизация и коммутация. Учебное
пособие / Н.Н. Васин. – Самара: ПГУТИ, 2015. – 261 с.
Рассматриваются принципы маршрутизации и коммутации сообщений в сетях пакетной
коммутации, основные технологии локальных сетей, принципы и средства межсетевого
взаимодействия, принципы построения и функционирования глобальных сетей. Описано
функционирование и основные характеристики коммутаторов и маршрутизаторов,
приводятся примеры технологий конфигурирования сетевых устройств, их проверки и
отладки. Данная дисциплина «Технологии пакетной коммутации» входит в учебный план
направления подготовки бакалавров 210700 «Инфокоммуникационные технологии и
системы связи», сформированный на основе ФГОС ВПО. Учебное пособие предназначено
для студентов очного и заочного обучения. Оно может быть также полезно студентам по
направлению
подготовки
специалистов
90302
«Информационная
безопасность
телекоммуникационных систем», а также слушателям курсов повышения квалификации в
Самарском региональном техническом тренинг центре.
ISBN
Васин Н.Н., 2015
3
ОГЛАВЛЕНИЕ
стр
Предисловие
Введение
5
6
1. Принципы и средства межсетевого взаимодействия
1.1. Функции маршрутизаторов
1.2. Маршрутизаторы в сетях IPv6
1.3. Передача данных в сетях с маршрутизаторами
Краткие итоги раздела 1
Вопросы по разделу 1
Упражнения
8
8
16
19
26
28
29
2. Статическая маршрутизация
2.1. Основы статической маршрутизации
2.2. Конфигурирование статической маршрутизации
2.3. Конфигурирование статической маршрутизации по умолчанию
2.4. Маршрутизация в сетях с бесклассовой адресацией
2.5. Статическая маршрутизация в сетях IPv6
Краткие итоги раздела 2
Вопросы по разделу 2
Упражнения
30
30
32
37
39
41
45
46
47
3. Динамическая маршрутизация
3.1. Общие сведения о протоколах динамической маршрутизации
3.2. Протокол RIP
3.3. Протоколы RIP-2 и RIPng
3.4. Протокол EIGRP
Краткие итоги раздела 3
Вопросы по разделу 3
Упражнения
48
48
55
64
71
81
83
84
4. Протокол OSPF
4.1. Общие сведения о протоколе OSPF
4.2. Конфигурирование протокола OSPF
4.3. Особенности конфигурирования протокола OSPF3
Краткие итоги раздела 4
Вопросы по разделу 4
Упражнения
85
85
95
104
109
111
112
5. Списки контроля доступа
5.1. Функционирование списков доступа
5.2. Конфигурирование стандартных списков доступа
5.3. Конфигурирование расширенных списков доступа
5.4. Списки доступа IPv6
Краткие итоги раздела 5
Вопросы по разделу 5
Упражнения
113
113
117
121
126
129
130
131
4
6. Коммутируемые сети
6.1. Иерархическая модель построения локальных сетей
6.2. Конфигурирование коммутаторов
6.3. Безопасность сетей на коммутаторах
6.4. Протокол охватывающего дерева STP
Краткие итоги раздела 6
Вопросы по разделу 6
Упражнения
132
132
140
145
153
162
164
166
7. Виртуальные локальные сети
7.1. Общие сведения о виртуальных локальных сетях
7.2. Конфигурирование виртуальных локальных сетей
7.3. Конфигурирование транковых соединений
7.4. Безопасность сетей VLAN
7.5. Маршрутизация между виртуальными локальными сетями
Краткие итоги раздела 7
Вопросы по разделу 7
Упражнения
167
167
175
181
184
187
194
196
197
8. Протокол динамического конфигурирования узлов
8.1. Общие сведения о динамическом конфигурировании узлов
8.2. Конфигурирование сервера DHCP на маршрутизаторе
8.3. Общие сведения о протоколе DHCPv6
8.4. Конфигурирование сервера DHCPv6 на маршрутизаторе
Краткие итоги раздела 8
Вопросы по разделу 8
Упражнения
198
9. Трансляция адресов
9.1. Общие сведения о трансляции адресов
9.2. Конфигурирование трансляторов
Краткие итоги раздела 9
Вопросы по разделу
Упражнения
216
216
222
233
234
234
10. Технологии глобальных сетей
10.1. Общие сведения о глобальных сетях
16.2. Протоколы соединений «точка-точка»
10.3. Многопротокольная коммутация на основе меток
Краткие итоги раздела 10
Вопросы по разделу 10
235
235
242
247
253
254
Заключение
Список литературы
Список терминов и сокращений
201
205
208
213
214
215
255
256
257
5
ПРЕДИСЛОВИЕ
Настоящее учебное пособие предназначено для студентов по направлению
подготовки бакалавров 210700 «Инфокоммуникационные технологии и системы связи», а
также
специалистов 90302 «Информационная безопасность телекоммуникационных
систем».
Оно может быть также полезно для слушателей курсов, обучающихся по программе
Академии Cisco для получения международного сертификата CCNA .
Вопросам создания компьютерных сетей посвящен достаточно обстоятельный
учебник [1], который выдержал ряд изданий. Однако большой объем учебника затрудняет
пользование им студентам и слушателям краткосрочных курсов. Кроме того, в учебнике не
рассматриваются вопросы и примеры конфигурирования аппаратных средств сетей связи,
что стало актуально в последнее время.
В учебниках [2, 3] излагаются материалы по созданию сетей и систем практически
всех видов. Однако вопросы конфигурирования аппаратных средств не рассматриваются.
При создании сетей передачи данных наиболее широко в настоящее время
используются аппаратные средства компании Cisco. Вопросы конфигурирования, отладки и
проверки оборудования в таких сетях рассматриваются в учебных руководствах [4, 5],
которые являются узкоспециализированными и характеризуются очень большим объемом.
Поэтому возникла необходимость в компактном курсе лекций для обучения студентов
технологиям сетей передачи данных. Учебные пособия [6, 7] были созданы для других
специальностей и направлений подготовки инженеров. Настоящее учебное пособие является
второй частью ранее изданного курса «Технологии пакетной коммутации» [8]. В первой
части излагались основы построения сетей пакетной коммутации, предлагаемый вниманию
читателей курс посвящен, главным образом, вопросам коммутации и маршрутизации в
инфокоммуникационных сетях.
6
ВВЕДЕНИЕ
В настоящее время Интернет создал единое информационное пространство на земле.
Интернет состоит из множества больших и малых сетей, а также индивидуальных
компьютеров, которые связаны между собой. Основу Интернета составляют IP –технологии.
Современные тенденции развития систем и сетей телекоммуникаций предполагают
предоставление разных видов услуг: обмен данными, передача аудио- и видеоинформации
по единой мультисервисной сети связи. Для этой цели создаются сети нового поколения Next
Generation Network – NGN.
Передача данных по сети Интернет реализуется, главным образом, на базе протокола
TCP/IP (Transmission Control Protocol / Internet Protocol – Протокол управления
передачей/Межсетевой протокол). TCP/IP – это набор протоколов или правил, которые были
развиты, чтобы позволить компьютерам совместно использовать ресурсы сети.
Наиболее распространенным оборудованием в сетях TCP/IP являются коммутаторы и
маршрутизаторы фирмы Cisco. Сведения о создании сетей на таком оборудовании,
функционировании аппаратуры и конфигурировании разбросаны по многим источникам.
Поэтому в настоящем учебном курсе вопросы конфигурирования сетевых устройств
рассматриваются на примере оборудования фирмы Cisco, которое используется в Самарском
региональном техническом тренинг центре (СРТТЦ), на базе которого функционирует
Академия Cisco – учебный центр международного стандарта, и на кафедре систем связи
ПГУТИ, где работает автор.
При использовании реального оборудования, например, из 4 маршрутизаторов и 4
коммутаторов группа студентов из 6 – 7 человек вынуждена конфигурировать один
маршрутизатор, что снижает эффективность обучения. Для устранения данного недостатка в
дополнение к существующему оборудованию используются программные имитаторы
функционирования сети. Ранее это был симулятор RouterSim CCNA3.0, в настоящее время
Международная Академия Cisco предоставляет каждому слушателю курсов CCNA
симулятор Packet Tracer, имеющий очень широкие возможности по моделированию сети.
Конфигурирование маршрутизаторов и коммутаторов с использованием симулятора почти
ничем не отличается от работы с реальным оборудованием. При этом на каждом компьютере
с установленным симулятором
можно конфигурировать достаточно сложную сеть,
включающую несколько маршрутизаторов, коммутаторов и компьютеров, а также некоторые
другие сетевые устройства, такие как сетевые серверы, IP телефоны. Данный комплекс
позволяет студентам и слушателям локальной академии Cisco полноценно освоить
программирование аппаратуры Cisco без риска повредить реальную аппаратуру сетевого
комплекса. На реальном же оборудовании проводится закрепление полученных знаний и
навыков.
В предлагаемом учебном пособии рассматриваются принципы построения сетей
пакетной коммутации, основные технологии сетей, принципы и средства межсетевого
взаимодействия, функционирование и основные характеристики коммутаторов и
7
маршрутизаторов, вопросы маршрутизации, конфигурирования виртуальных локальных
сетей, обеспечения безопасности сетей и устройств. Теоретический материал закрепляется в
ходе проведения лабораторных работ и практических занятий. Каждый раздел завершается
краткими итогами, вопросами и упражнениями по тематики раздела.
8
1. ПРИНЦИПЫ И СРЕДСТВА МЕЖСЕТЕВОГО ВЗАИМОДЕЙСТВИЯ
Приведены основные устройства и методы межсетевого взаимодействия, принципы
маршрутизации (статической и динамической), функционирование таблиц маршрутизации в
сетях IPv4 и IPv6. Рассмотрен процесс передачи данных по сети.
1.1. Функции маршрутизаторов
В первой части настоящего курса отмечалось, что соединение локальных сетей LAN
различных технологий (Fast Ethernet, Gigabit Ethernet, Token Ring и др.) в глобальную
(распределенную) WAN-сеть происходит с помощью устройств (маршрутизаторов) и
протоколов сетевого уровня 3 семиуровневой эталонной модели OSI или уровня
межсетевого взаимодействия модели TCP/IP. Поэтому маршрутизаторы имеют как LAN, так
и WAN интерфейсы (рис. 1.1).
Сеть 6
210.6.6.0/24
Интернет
D
192.168.10.1
.11
...
S1/1
.25
Сервер
F0/0
S1/1 Сеть 5
210.5.5.0/24
.1
G0/0
.1
.2
G0/1
A
Сеть 2
S1/2 .1
192.168.20.0/24
F0/0
Sw1
Сеть 7
210.7.7.0/24
Сеть 3
200.30.30.0/24
.1
.2
B
S1/1
.1 F0/1
Sw2
Сеть 1
192.168.10.0/24
Сеть 8
210.8.8.0/24
S1/2
С
Сеть 4
200.40.40.0/24
F0/0
Сервер
Сеть 9
192.168.9.0/24
Рис. 1.1. Пример распределенной сети
LAN-интерфейсы (G0/0, G0/1, F0/0, F0/1) используются для связи с узлами
(компьютерами, серверами), напрямую или через коммутаторы; WAN-интерфейсы (S1/1,
S1/2) необходимы, чтобы связываться с другими маршрутизаторами и всемирной сетью
Интернет. Интерфейсы могут подключаться к разным видам передающей среды, в которых
могут использоваться различные технологии канального и физического уровней.
Когда адресат назначения находится в другой сети, то конечный узел пересылает
пакет на шлюз по умолчанию, роль которого выполняет интерфейс маршрутизатора, через
который все пакеты из локальной сети пересылаются в удаленные сети. Например, для сети
192.168.10.0/24 (рис. 1.1) шлюзом по умолчанию является интерфейс F0/0 маршрутизатора
9
А с адресом 192.168.10.1, а интерфейс F0/1 маршрутизатора В выполняет роль шлюза по
умолчанию для сети 192.168.9.0/24. Через шлюз по умолчанию пакеты из удаленных сетей
поступают в локальную сеть назначения.
При пересылке пакетов адресату назначения маршрутизатор реализует две основные
функции:
- выбирает наилучший (оптимальный) путь к адресату, анализируя логический адрес
назначения передаваемого пакета данных;
- производит коммутацию принятого пакета с входного интерфейса на выходной для
пересылки адресату.
Процесс выбора наилучшего пути получил название маршрутизация.
Маршрутизаторы принимают решения, базируясь на сетевых логических адресах (IPадресах), находящихся в заголовке пакета. Для определения наилучшего пути передачи
данных через связываемые сети, маршрутизаторы строят таблицы маршрутизации и
обмениваются сетевой маршрутной информацией с другими сетевыми устройствами.
Ниже приведен пример конфигурирования основных параметров (интерфейсов)
маршрутизатора R-A (рис. 1.1). Интерфейсам маршрутизатора нужно задать IP-адрес и
включить их (активировать), т.к. все интерфейсы в исходном состоянии выключены.
R-A(config)#int f0/0
R-A(config-if)#ip add 192.168.10.1 255.255.255.0
R-A(config-if)#no shutdown
R-A(config-if)# int g0/1
R-A(config-if)#ip add 192.168.20.1 255.255.255.0
R-A(config-if)#no shutdown
R-A(config-if)# int s1/1
R-A(config-if)#ip add 210.5.5.1 255.255.255.0
R-A(config-if)#clock rate 64000
R-A(config-if)#no shutdown
R-A(config-if)# int s1/2
R-A(config-if)#ip add 210.8.8.1 255.255.255.0
R-A(config-if)#clock rate 64000
R-A(config-if)#no shutdown
Команда clock rate переводит интерфейс из исходного режима терминального
устройства DTE в режим канального управляющего устройства DCE. При последовательном
соединении маршрутизаторов один из двух соединяемых интерфейсов должен быть
управляющим, т.е. DCE.
Аналогично сконфигурированы другие маршрутизаторы. После конфигурирования
интерфейсов в таблице маршрутизации появляются прямо присоединенные сети, что
позволяет направлять пакеты, адресованные узлам в этих сетях. Кроме того, в
10
рассматриваемом примере на всех маршрутизаторах сконфигурирована динамическая
маршрутизация с использованием протокола RIP, о котором пойдет речь в следующих
разделах настоящего курса. Результатом конфигурирования элементов сети (рис. 1.1)
является приведенная ниже таблица маршрутизации R-A:
R-A>show ip route
Codes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGP
D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterarea
N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2
E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGP
i-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea
*-candidatedefault,U-per-userstaticroute,o-ODR
P-periodicdownloadedstaticroute
Gateway of last resort is not set
R192.168.9.0/24[120/1]via192.168.20.2,00:00:09,GigabitEthernet0/1
C 192.168.10.0/24isdirectlyconnected,FastEthernet0/0
C 192.168.20.0/24isdirectlyconnected,GigabitEthernet0/1
R200.30.30.0/24[120/1]via192.168.20.2,00:00:09,GigabitEthernet0/1
R200.40.40.0/24[120/2]via192.168.20.2,00:00:09,GigabitEthernet0/1
C 210.5.5.0/24isdirectlyconnected,Serial1/1
R 210.6.6.0/24[120/1]via210.5.5.2,00:00:18,Serial1/1
R 210.7.7.0/24[120/1]via210.5.5.2,00:00:18,Serial1/1
C 210.8.8.0/24isdirectlyconnected,Serial1/2
В таблице символом С помечены четыре сети непосредственно присоединенные
(connected) к определенному интерфейсу маршрутизатора. Сеть 192.168.10.0/24
присоединена к интерфейсу FastEthernet 0/0 (или F0/0), сеть 192.168.20.0/24 – к интерфейсу
GigabitEthernet 0/1 (или G0/1), сеть 210.5.5.0/24 – к интерфейсу Serial 1/1 (или S1/1), сеть
210.8.8.0/24 – к S1/2. Когда узел направляет кадр другому узлу из той же прямо
присоединенной сети, то в такой пересылке шлюз по умолчанию (интерфейс
маршрутизатора) участие не принимает. Передача кадра сообщения производится
непосредственно адресату с использованием МАС-адресов источника и назначения.
Маршруты
могут
создаваться
вручную
администратором
(статическая
маршрутизация). Статические маршруты в таблице маршрутизации помечаются символом S.
Таблица маршрутизации может также создаваться, обновляться и поддерживаться
динамически (автоматически) с помощью протоколов маршрутизации.
В вышеприведенном примере маршруты к удаленным сетям помечены символом R,
который указывает, что источником создания маршрутов к удаленным сетям является
протокол RIP. При создании путей протоколом OSPF маршруты помечаются символом O, а
при работе протокола маршрутизации EIGRP маршруты идентифицируются символом D.
11
Перечень поддерживаемых протоколов маршрутизации можно посмотреть по команде
Router(config)#router ?.
Вторая колонка (столбец) таблицы маршрутизации показывает адреса сетей, к
которым проложен путь. Например, в первой строке указан маршрут к сети 192.168.9.0/24,
который лежит через адрес следующего перехода (next hop) 192.168.20.2 и свой выходной
интерфейс GigabitEthernet 0/1. Таким образом, поступивший на один из интерфейсов
маршрутизатора пакет, адресованный узлу в Сети 9, должен быть скоммутирован на
выходной интерфейс G0/1. При адресации узлов, находящихся в других сетях, например в
сети 210.6.6.0/24 или 210.7.7.0/24, в качестве выходного используется интерфейс Serial 1/1.
В строке таблицы также указано значение таймера, например 00:00:09.
Кроме того, в квадратных скобках строки таблицы маршрутизации указаны:
административное расстояние – 120 и метрика – 1. Административное расстояние (AD)
показывает степень достоверности (доверия) источника маршрута. Чем меньше AD, тем
выше достоверность. Маршруты, созданные администратором вручную (статические
маршруты), характеризуются значением AD = 1.
Протоколы маршрутизации имеют различные заданные по умолчанию
административные расстояния (табл. 1.1). Если на маршрутизаторе функционирует
несколько протоколов, то в таблице маршрутизации устанавливается маршрут, проложенный
протоколом с самым малым значением административного расстояния. В последней строке
таблицы указано, что административное расстояние увеличено до 170, когда маршрут
получен от внешнего (стороннего) маршрутизатора.
маршрутизации помечается символом D*EX.
Такой
маршрут
в
таблице
Таблица 1.1
Административные расстояния по умолчанию
Протокол
Connected
Static
eBGP
EIGRP
Административное
расстояние
0
1
20
90
Протокол
OSPF
IS-IS
RIP
EIGRP (External)
Административное
расстояние
110
115
120
170
Определение наилучшего (оптимального) пути производится протоколом
маршрутизации на основе определенного критерия – метрики. Значение метрики
используется при оценке возможных путей к адресату назначения. Метрика может включать
разные параметры, например: количество переходов (количество маршрутизаторов) на пути
к адресату, полосу пропускания канала, задержку, надежность, загрузку, обобщенную
стоимость и другие параметры сетевого соединения. В вышеприведенной распечатке
команlы show ip route для маршрутов, созданных протоколом RIP, значение метрики [120/1]
равно 1. Это означает, что расстояние до маршрутизатора, к которому присоединена сеть
назначения, составляет один переход. Наименьшая метрика означает наилучший
12
маршрут. Метрика статического маршрута всегда равна 0.
Каждый интерфейс маршрутизатора подключен к сети (подсети), имеющей свой
логический IP-адрес. Широковещательные сообщения передаются только в пределах сети
или, по-другому, в пределах широковещательного домена. Поэтому говорят, что
маршрутизаторы делят сеть на широковещательные домены. Маршрутизаторы блокируют
широковещательные сообщения и не пропускают их в другие сети. Деление сети на
широковещательные домены повышает безопасность, поскольку широковещательный шторм
может распространяться только в пределах домена (в пределах одной сети).
Когда на один из интерфейсов маршрутизатора (входной интерфейс) поступает
пакет, адресованный узлу из другой присоединенной сети, он направляется на выходной
интерфейс, к которому присоединена сеть назначения.
Получив кадр на входной интерфейс, маршрутизатор:
1. Декапсулирует пакет из кадра.
2. Из заголовка пакета считывает IP-адрес узла назначения.
3. С помощью маски вычисляет адрес сети назначения.
4. Обращается к таблице маршрутизации, чтобы определить, на какой выходной
интерфейс, ведущий к сети назначения, произвести коммутацию пакета.
5. На выходном интерфейсе инкапсулирует пакет в новый кадр и отправляет его
в направлении адресата назначения.
Подобная последовательность действий, выполняемая центральным процессором
(ЦП) маршрутизатора, получила название программной коммутации. Она выполняется с
каждым пакетом, поступившим на входной интерфейс, что замедляет процесс передачи
данных. Особенно остро данная проблема проявляется при передаче ауди- и
видеоинформации, когда требуется, чтобы все пакеты шли по одному маршруту для
уменьшения задержек и их вариации.
Для ускорения процесса коммутации пакетов с входного интерфейса на выходной
используется кэш быстрой коммутации, который хранит информацию о выходном
интерфейсе и следующем переходе для определенного адресата назначения. При получении
пакета маршрутизатор ищет в кэше запись адреса назначения. Если такая запись имеется, то
пакет направляется на следующий переход без обработки в центральном процессоре. Если
записи нет, то выполняется программная коммутация и делается запись в кэш, поэтому
последующим пакетам для того же адресата не требуется обработка в ЦП.
Технология Cisco Express Forwarding (CEF) для ускорения коммутации пакетов с
входного интерфейса на выходной формирует базу данных переадресации (FIB) и таблицу
смежности (adjacency), записи в которой создаются при изменении сетевой топологии. Когда
завершается процесс сходимости сети, в базе данных FIB и таблице смежности будет полная
информация для пересылки пакетов. Технология CEF коммутации пакетов является самым
13
быстрым механизмом продвижения пакетов, поскольку все возможные маршруты
проложены заранее.
При начальной конфигурации маршрутизатора или коммутатора обычно его
консольный порт (console) подключается к последовательному порту RS-232 компьютера
(терминала) посредством консольного кабеля. Поскольку современные компьютеры
практически не комплектуются последовательными портами, то используются адаптеры для
перехода от разъема DB9 последовательного порта к разъему USB. Для эмуляции терминала
используются программы Hyper Terminal, PuTTY, Tera Term.
Конфигурирование сетевых устройств возможно также при использовании
удаленного доступа к коммутатору или маршрутизатору через виртуальные линии vty с
использованием протоколов Telnet или SSH. Для этого на маршрутизаторе должны быть
заданы адреса интерфейсов, проведена их активация, а также установлены необходимые
пароли (см. раздел 2, Часть 1).
Для управления коммутатором используется интерфейс виртуальной локальной сети
VLAN. Ниже приведен пример конфигурирования виртуального интерфейса vlan 1
коммутатора Sw1 (рис. 1.1), когда задается адрес интерфейса, производится его включение
(активация) и создается шлюз по умолчанию:
Sw1(config)#int vlan 1
Sw1(config-if)#ip add 192.168.10.2 255.255.255.0
Sw1(config-if)#no shut
Sw1(config-if)#exit
Sw1(config)#ip default-gateway 192.168.10.1
В тех случаях, когда виртуальные локальные сети не формируются, коммутатору
дополнительное конфигурирование не потребуется, т.е. он может работать с конфигурацией,
заданной по умолчанию, когда все интерфейсы коммутатора включены. Коммутаторы
обычно содержат интерфейсы одного типа (Fast Ethernet, Gigabit Ethernet) в отличие от
маршрутизаторов, поддерживающих интерфейсы разных типов (Ethernet, Serial,
беспроводные).
Адресная информация конечным узлам, как правило, назначается протоколом
динамического конфигурирования узлов DHCP. Однако статические адреса конечным узлам
также могут назначаться администратором вручную. Статические адреса рекомендуется
назначать интерфейсам маршрутизаторов, серверам, сетевым принтерам. Для включения
в работу сети конечных узлов (host) на них необходимо установить ряд параметров: IP-адрес
узла, маску, адрес шлюза по умолчанию. Функцию шлюзов, через которые узлы
отправляют пакеты из локальной сети и получают сообщения из составной распределенной
сети, выполняют интерфейсы каждого маршрутизатора, к которым присоединены локальные
сети (рис. 1.1).
14
1.2. Маршрутизаторы в сетях IPv6
Конфигурирование интерфейсов маршрутизаторов в сетях IPv6 очень похоже на
конфигурирование в сетях IPv4. Особенности приведены на примере конфигурирования сети
рис. 1.2.
2001:db8:a:1::1/64
2001:db8:a:3::1/64
S0/3/0
Sw1
...
2001:db8:a:3::2/64
2001:db8:a:5::1/64
S0/3/1
G0/1
B
DCE
2001:db8:a:2::1/64 G0/1
2001:db8:a:4::1/64 G0/0
A
G0/0
Sw2
Sw3
...
...
Sw4
...
Рис. 1.2. Пример сети IPv6
На маршрутизаторе R-A сконфигурированы 3 интерфейса:
Router(config)#hostname R-A
R-A(config)#int g0/0
R-A(config-if)#ipv6 address 2001:db8:a:1::1/64
R-A(config-if)#no shutdown
R-A(config-if)#int g0/1
R-A(config-if)#ipv6 add 2001:db8:a:2::1/64
R-A(config-if)#no shutdown
Последовательный интерфейс S0/3/0 является устройством DCE:
R-A(config-if)#int s0/3/0
R-A(config-if)#ipv6 add 2001:db8:a:3::1/64
R-A(config-if)#clock rate 64000
R-A(config-if)#no shutdown
В результате формируется таблица маршрутизации, содержащая 5 входов –
непосредственно присоединенных сети и три локальных интерфейса:
две
R-A#sh ipv6 route
IPv6 Routing Table - 5 entries
15
C 2001:DB8:A:1::/64 [0/0]
via ::, GigabitEthernet0/0
L 2001:DB8:A:1::1/128 [0/0]
via ::, GigabitEthernet0/0
C 2001:DB8:A:2::/64 [0/0]
via ::, GigabitEthernet0/1
L 2001:DB8:A:2::1/128 [0/0]
via ::, GigabitEthernet0/1
L FF00::/8 [0/0]
via ::, Null0
R-A#
Маршруты к непосредственно присоединенным сетям обозначены символом С
(также как в сетях IPv4), а символом L обозначены локальные маршруты, созданные при
конфигурировании интерфейса. Причем, на интерфейсах сконфигурированы не только
глобальные адреса, но и локальные индивидуальные адреса канала, которые используются
для обмена сообщениями внутри локального канала (подсети), где они должны быть
уникальными. Пакеты с локальными адресами канала не могут пересылаться в другие
подсети. Локальные индивидуальные адреса канала назначаются динамически.
Динамическое конфигурирование локальных индивидуальных адресов IPv6 производится
даже тогда, когда глобальный адрес IPv6 не назначен. При этом шлюзу по умолчанию
назначается локальный адрес маршрутизатора. Это позволяет сетевым устройствам
обмениваться маршрутной информацией и пересылать сообщения внутри локального
канала без использования глобальных адресов.
Маршруты к удаленным сетям, созданные протоколом RIP, помечаются символом R,
протоколом EIGRP – символом D, протоколом OSPF – символом О
Локальные и глобальные индивидуальные адреса интерфейсов маршрутизаторов
можно посмотреть по команде show ipv6 interface brief, которая также отображает
состояние устройств (портов) уровня 1 и 2 (up/up, down/down, up/down):
R-A#sh ipv6 int brief
GigabitEthernet0/0
[up/up]
FE80::205:5EFF:FE44:C801
2001:DB8:A:1::1
GigabitEthernet0/1
[up/up]
FE80::205:5EFF:FE44:C802
2001:DB8:A:2::1
GigabitEthernet0/2
[administratively down/down]
Serial0/3/0
[up/up]
16
FE80::20A:41FF:FE25:4101
2001:DB8:A:3::1
Serial0/3/1
[administratively down/down]
Vlan1
[administratively down/down]
Из распечатки следует, что на каждом интерфейсе сконфигурированы как локальные,
так и глобальные индивидуальные адреса IPv6. Например, на интерфейсе GigabitEthernet0/0
заданы локальный и глобальный адреса (FE80::205:5EFF:FE44:C801 и 2001:DB8:A:1::1).
Следует обратить внимание, что устройство уровня 1 (порт) может быть включено (up), а
программное обеспечение интерфейса уровня 2 – выключено (down). Обратной ситуации
(down/up) быть не может.
Версия IPv6 позволяет использовать в качестве идентификатора интерфейса его
MAC-адрес, который автоматически конфигурируется, например, по команде ipv6 add
2001:db8:a:1::1/64 eui-64, когда устанавливается глобальный адрес интерфейсу
GigabitEthernet 0/0:
R-A(config)#int g0/0
R-A(config-if)#ipv6 add 2001:db8:a:1::1/64 eui-64
Из нижеприведенной распечатки следует, что после ввода команды, использующей
механизм eui-64, на интерфейсе GigabitEthernet 0/0 установлен один локальный и два
глобальных адреса (выделены цветом), что возможно в версии IPv6, в отличие от IPv4:
R-A#sh ipv6 int brief
GigabitEthernet0/0
[up/up]
FE80::205:5EFF:FE44:C801
2001:DB8:A:1::1
2001:DB8:A:1:205:5EFF:FE44:C801
GigabitEthernet0/1
[up/up]
FE80::205:5EFF:FE44:C802
2001:DB8:A:2::1
GigabitEthernet0/2
[administratively down/down]
Serial0/3/0
[up/up]
FE80::20A:41FF:FE25:4101
2001:DB8:A:3::1
Локальные адреса могут быть заданы администратором вручную из диапазона
FE80::/64 с добавлением атрибута link-local, например:
R-А(config)#int g0/0
R-А(config-if)#ipv6 add fe80::1 link-local
17
Следует отметить, что индивидуальный глобальный адрес не является обязательным.
Локальный адрес канала обязателен и во многих случаях его достаточно при
конфигурировании соответствующего интерфейса IPv6.
Для полноценной работы сети (например, рис 1.2) на маршрутизаторе необходимо
сконфигурировать протокол динамической маршрутизации или сконфигурировать
статические маршруты. Маршрутизация IPv6 включается после ввода команды ipv6
unicast-routing. в режиме глобального конфигурирования:
Router(config)#ipv6 unicast-routing
18
1.3. Передача данных в сетях с маршрутизаторами
Процесс передачи данных от Узла X до Узла Y рассмотрен на примере сети (рис. 1.3).
Предполагается, что маршрут проложен через маршрутизаторы A, B, C. Логические и
физические адреса конечных узлов и интерфейсов маршрутизаторов, задействованных в
этом процессе передачи, приведены в табл. 1.1. Сетевая маска во всех сетях – 255.255.255.0.
Интерфейсы FastEthernet (F0/0, F0/1) характеризуются физическими МАС-адресами и
логическими IP-адресами; последовательные (serial) интерфейсы (S1/1, S1/2) МАС-адресов
не имеют.
ISP
Интернет
Узел Y
200.6.6.2
D
E
Сервер
S1/2
Sw2
Сеть 1
192.168.10.0/24
S1/1
S1/1
F0/1 F0/0
Sw1
...
F0/0
S1/2
A
Сеть 2
198.20.20.0/24
B
F0/1
F0/0
Сеть 4
200.40.40.0/24
S1/2
Сеть 3
210.30.30.0/24
С
S1/3
Узел X
D
B
S1/1
Рис. 1.3. Передача данных по сети
Таблица 1.1
Устройство
Узел X
R-A
R-B
R-C
Узел Y
Адреса узлов и интерфейсов маршрутизаторов
Интерфейс
IP-адрес
МАС-адрес
F0/0
192.168.10.11
011ABCF00000
F0/0
192.168.10.1
0001AAAAF000
F0/1
198.20.20.5
0002AAAAF111
F0/0
198.20.20.6
0001BBBBF000
S1/1
210.30.30.9
S1/1
200.6.6.1
S1/2
210.30.30.10
F0/0
200.40.40.1
0002CCCCF000
F0/0
200.40.40.8
088DEF012345
Усл. обозн.
01-F0
0A-F0
0A-F1
0B-F0
0C-F0
08-F0
Сообщение, сформированное протоколами верхних уровней компьютера Узел X,
поступает на сетевой Уровень 3, где IP-протокол формирует пакет данных. Поскольку адрес
назначения 200.40.40.8 не относится к сети 192.168.10.0, в которой находится Узел X, то
необходима маршрутизация.
19
Первые поля
заголовка пакета
Пакет данных
Заголовок пакета
IP-адрес узла
IP-адрес узла
источника
назначения
192.168.10.11
200.40.40.8
Поле данных
Data
На канальном уровне Узел X инкапсулирует сформированный пакет в кадр
соответствующей технологии, в данном примере Fast Ethernet. В заголовке кадра, наряду с
другой информацией, указываются МАС-адреса источника и назначения. Поскольку МАСадреса довольно длинные (12 шестнадцатеричных разрядов), то при дальнейшем
рассмотрении введены их условные обозначения. МАС-адрес источника будет
011ABCF00000 (условное обозначение 01-F0).
Поскольку в данном примере МАС-адрес получателя (Узел Y) компьютеру Узел X не
известен, то Узел X обращается к таблице ARP-протокола. Узел не находит
соответствующей записи в таблице ARP, поэтому он посылает в локальную сеть
широковещательный ARP-запрос, в котором задает сетевой логический IP-адрес устройства
назначения – 200.40.40.8. Адресат назначения находится за пределами локальной сети
192.168.10.0.
Поскольку маршрутизаторы не транслируют широковещательные запросы в другие
сегменты сети, то в этом случае маршрутизатор R-A в ответ на запрос посылает ARP-ответ с
MAC-адресом своего входного интерфейса F0/0, на который поступил запрос. Входной
интерфейс играет роль шлюза по умолчанию. ARP-протокол обращается к соответствующей
строке таблицы ARP и посылает Узлу X ответ с МАС-адресом 0A-F0. (Далее везде МАСадреса заменяются их условными обозначениями).
IP адрес
МАС адрес
192.168.10.1
0A-F0
В соответствие с полученным МАС-адресом 0A-F0 Узел X формирует кадр, который
по физической среде передается в маршрутизатор R-A:
Кадр данных
Заголовок кадра
МАС-адрес узла
назначения
0A-F0
МАС-адрес узла
источника
01-F0
Заголовок пакета
IP- адрес узла
источника
192.168.10.11
IP- адрес узла
назначения
200.40.40.8
Поле
данных
Data
Поступивший на входной интерфейс маршрутизатора R-A пакет данных извлекается
из кадра (декапсулируется), чтобы определить: на какой выходной интерфейс (F0/1 или S1/2)
скоммутировать (продвинуть) принятый пакет. Для этого производится логическое
умножение (т.е. операция И, AND) IP-адреса узла назначения на маску и определяется сеть
назначения (200.40.40.0). Затем производится обращение к таблице маршрутизации, в
20
соответствие с которой определяется адрес входного интерфейса следующего
маршрутизатора R-В (адрес следующего перехода) и выходной интерфейс маршрутизатора
R-A.
Согласно приведенной ниже таблицы маршрутизации путь к сети 200.40.40.0 лежит
через адрес следующего перехода 198.20.20.6 и выходной (исходящий) интерфейс F0/1
(соответствующая строка выделена желтым цветом).
R-A>shiproute
Gatewayoflastresortisnotset
C 192.168.10.0/24isdirectlyconnected,FastEthernet0/0
C 198.20.20.0/24isdirectlyconnected,FastEthernet0/1
R200.6.6.0/24[120/2]via198.20.20.6,00:00:25,FastEthernet0/1
R200.7.7.0/24[120/2]via198.20.20.6,00:00:25,FastEthernet0/1
R200.9.9.0/24[120/1]via198.20.20.6,00:00:25,FastEthernet0/1
R200.40.40.0/24[120/2]via198.20.20.6,00:00:25,FastEthernet0/1
R210.30.30.0/24[120/1]via198.20.20.6,00:00:25,FastEthernet0/1
Затем формируется новый заголовок пакета, который продвигается к выходному
интерфейсу F0/1 маршрутизатора R-A. В новом пакете изменяются некоторые поля
заголовка (TTL, контрольная сумма заголовка), но IP-адреса источника и узла назначения
остаются неизменными:
Первые поля
заголовка пакета
Пакет данных
Заголовок пакета
IP- адрес узла
IP- адрес узла
источника
назначения
192.168.10.11
200.40.40.8
Поле данных
Data
На интерфейсе F0/1 маршрутизатора R-A пакет инкапсулируется в новый кадр, где в
качестве МАС-адреса узла источника будет использоваться физический адрес выходного
интерфейса F0/1 – 0A-F1 маршрутизатора R-A. МАС-адрес узла назначения определяется с
помощью ARP-протокола, как было описано выше. МАС-адресом узла назначения будет
физический адрес входного интерфейса F0/0 маршрутизатора R-В, т.е. – 0B-F0.
Сформированный кадр по сетевой среде передается на входной интерфейс
маршрутизатора R-В:
Кадр данных
Заголовок кадра
Заголовок пакета
МАС-адрес узла
МАС-адрес узла
IP- адрес узла
IP- адрес узла
назначения
источника 0A-F1
источника
назначения
0B-F0
192.168.10.11
200.40.40.8
Данные
Data
21
Приняв кадр, маршрутизатор R-В извлекает из него пакет данных, с использованием
маски вычисляет адрес сети назначения, и по таблице маршрутизации определяет выходной
интерфейс:
R-B>sh ip route
...
R200.40.40.0/24[120/1]via210.30.30.10,00:00:04,Serial1/1
На выходном интерфейсе S1/1 пакет инкапсулируется в новый кадр, который передается в
маршрутизатор R-С.
Поскольку Сеть 3 (рис. 1.3) представляет собой соединение «точка-точка», то
интерфейсы такого соединения не имеют МАС-адресов. Заголовок кадра существенно
упрощается, т.к. интерфейсы непосредственно связаны между собой. Например, по
протоколу PPP (Point-to-Point Protocol) в поле адреса назначения используется
широковещательный адрес – 11111111.
Кадр данных
Заголовок кадра
Физический адрес узла
назначения 11111111
Заголовок пакета
IP- адрес узла
IP-адрес узла
источника
назначения
192.168.10.11
200.40.40.8
Данные
Data
В маршрутизаторе R-С, также как в R-А и R-В, формируются новый пакет и кадр.
Таблица маршрутизации R-С включает 4 непосредственно присоединенных сети, одна из
которых (200.40.40.0) является сетью назначения, путь к этой сети лежит через интерфейс
F0/0.
R-C>shiproute
Gatewayoflastresortisnotset
R
R
C
C
R
192.168.10.0/24[120/2]via210.30.30.9,00:00:24,Serial1/2
198.20.20.0/24[120/1]via210.30.30.9,00:00:24,Serial1/2
200.6.6.0/24isdirectlyconnected,Serial1/1
200.7.7.0/24isdirectlyconnected,Serial1/3
200.9.9.0/24[120/1]via200.7.7.1,00:00:10,Serial1/3
[120/1]via210.30.30.9,00:00:24,Serial1/2
C 200.40.40.0/24isdirectlyconnected,FastEthernet0/0
C 210.30.30.0/24isdirectlyconnected,Serial1/2
Поскольку адресат назначения находится в сети, которая непосредственно
присоединена к интерфейсу F0/0 маршрутизатора R-С, то кадр передается узлу назначения
Узел Y:
22
Заголовок кадра
МАС-адрес узла
МАС-адрес узла
назначения
источника
08-F0
0C-F0
Кадр данных
Заголовок пакета
IP- адрес узла
IP-адрес узла
источника
назначения
192.168.10.11
200.40.40.8
Данные
Data
На Узле Y пакет данных извлекается из кадра. Если пакет при передаче был фрагментирован,
то из фрагментов формируется целый пакет и через соответствующий межуровневый
интерфейс направляется на транспортный уровень, где из пакетов извлекаются сегменты
данных, а из сегментов формируется сообщение.
На пути кадра к устройству назначения его заголовок и трейлер, в котором
размещается контрольная сумма кадра, изменяются при прохождении через каждое
устройство 3-го уровня составной сети, например, через маршрутизатор. Это происходит
вследствие того, что в кадре используется локальная адресация 2-го уровня, а пакеты
адресуются с использованием логического адреса 3-го уровня, и в пакете задается конечный
IP-адрес узла назначения.
Таким образом, при передаче данных через составную сеть IP-адреса узла
назначения и узла источника остаются неизменными, МАС-адреса назначения и
источника изменяются при прохождении каждого маршрутизатора.
Всякий раз при формировании кадра вычисляется контрольная сумма, которая
записывается в поле FCS трейлера кадра (см. раздел 5.2, Часть 1). При приеме кадра на
каждом входном интерфейсе всех устройств на пути к адресату назначения вновь
вычисляется контрольная сумма, которая сравнивается с принятой в трейлере. Правильность
принятых данных проверяется с использованием циклического кода CRC. Если расчетный
результат и контрольная сумма не совпадают, то кадр отбрасывается. При положительном
результате сравнения из кадра извлекается пакет, который проверяется, предназначен ли
пакет сетям, прямо присоединенным к данному маршрутизатору, или его надо передать
другому устройству составной сети, т.е. маршрутизировать.
В тех случаях, когда в маршрутизатор поступает пакет, чей адрес сети назначения в
таблице маршрутизации отсутствует, пакет отбрасывается. Чтобы пакет не уничтожался, на
маршрутизаторах формируют маршрут по умолчанию. Например, на маршрутизаторе R-С
сформированный маршрут по умолчанию (S* 0.0.0.0/0 [1/0] via 200.6.6.2) позволяет все пакеты с
неизвестными адресами сетей назначения направлять в сторону Интернета, через интерфейс
S1/1, к которому присоединена сеть 200.6.6.0. В таблице маршрутизации будет запись о том,
что сформирован шлюз последней надежды к любой неизвестной сети (Gateway of last resort is
200.6.6.2 to network 0.0.0.0).
R-C#show ip route
...
Gateway of last resort is 200.6.6.2 to network 0.0.0.0
23
R 192.168.10.0/24 [120/2] via 210.30.30.9, 00:00:09, Serial1/2
R 198.20.20.0/24 [120/1] via 210.30.30.9, 00:00:09, Serial1/2
C 200.6.6.0/24 is directly connected, Serial1/1
C 200.7.7.0/24 is directly connected, Serial1/3
R 200.9.9.0/24 [120/1] via 200.7.7.1, 00:00:13, Serial1/3
[120/1] via 210.30.30.9, 00:00:09, Serial1/2
C 200.40.40.0/24 is directly connected, FastEthernet0/0
C 210.30.30.0/24 is directly connected, Serial1/2
S* 0.0.0.0/0 [1/0] via 200.6.6.2
R-C#
Краткие итоги раздела 1
1.
Главными функциями маршрутизаторов являются: выбор наилучшего пути для
пакетов к адресату назначения и коммутация принятого пакета с входного интерфейса на
соответствующий выходной интерфейс.
2.
Когда адресат назначения находится в другой сети, то конечный узел пересылает
пакет на шлюз по умолчанию, роль которого выполняет интерфейс маршрутизатора, через
который все пакеты из локальной сети пересылаются в удаленные сети.
3.
Для определения наилучшего пути передачи данных через связываемые сети,
маршрутизаторы строят таблицы маршрутизации и обмениваются сетевой маршрутной
информацией с другими сетевыми устройствами.
4.
Администратор может создавать статические маршруты и поддерживать таблицы
маршрутизации вручную. Однако большинство таблиц маршрутизации создается и
поддерживается динамически, за счет использования протоколов маршрутизации, которые
позволяют маршрутизаторам автоматически обмениваться информацией о сетевой
топологии друг с другом.
5.
Маршрутизатор ретранслирует пакет, продвигая его с входного интерфейса на
выходной, для чего использует сетевую часть адреса назначения и обращается к таблице
маршрутизации.
6.
Основными параметрами таблицы маршрутизации являются адрес сети назначения и
сетевой адрес входного интерфейса следующего маршрутизатора на пути к адресату
назначения (следующий переход – next hop), а также собственный выходной интерфейс
маршрутизатора.
7.
Маршрутизатор оценивает доступные пути к адресату назначения и выбирает
наиболее рациональный маршрут на основе некоторого критерия – метрики. Наименьшая
метрика означает наилучший маршрут. Метрика статического маршрута всегда равна 0.
8.
Административное расстояние (AD) показывает степень достоверности (доверия)
источника маршрута. Чем меньше AD, тем выше достоверность.
9.
Протокол разрешения адресов (ARP) реализует процесс нахождения МАС-адреса по
известному сетевому IP-адресу. Таблица ARP содержит MAC и IP адреса устройств
локальной сети.
10.
Маршрутизаторы делят сеть на подсети или широковещательные домены.
11.
Маршрутизация может функционировать на основе программной коммутации,
использования кэш быстрой коммутации, технологии Cisco Express Forwarding (CEF),
которая является самым быстрым механизмом продвижения пакетов.
24
12.
Для включения в работу сети конечных узлов на них необходимо установить: IP-адрес
узла, маску, адрес шлюза по умолчанию.
13.
Адресная информация конечным узлам, как правило, назначается протоколом
динамического конфигурирования узлов DHCP. Однако статические адреса конечным узлам
также могут назначаться администратором вручную. Статические адреса рекомендуется
назначать интерфейсам маршрутизаторов, серверам, сетевым принтерам.
14.
На интерфейсах IPv6 конфигурируются глобальные и локальные индивидуальные
адреса канала, используемые для обмена данными внутри локального канала (подсети), где
они должны быть уникальными.
15.
Сконфигурированные локальные индивидуальные адреса канала позволяют сетевым
устройствам обмениваться маршрутной информацией и пересылать сообщения внутри
локального канала даже без использования глобальных адресов.
16.
Версия IPv6 позволяет использовать в качестве идентификатора интерфейса его
MAC-адрес, который автоматически конфигурируется.
17.
Маршрутизация IPv6 включается после формирования команды ipv6 unicast-routing.
в режиме глобального конфигурирования.
18.
При передаче данных через составную сеть IP-адреса узла назначения и узла
источника остаются неизменными.
19.
При передаче данных через составную сеть МАС-адреса назначения и источника
меняются при прохождении каждого маршрутизатора.
20.
При формировании кадра вычисляется контрольная сумма, которая записывается в
поле FCS трейлера кадра. При приеме кадра на каждом входном интерфейсе вновь
вычисляется контрольная сумма, которая сравнивается с принятой.
21.
При передаче данных через соединения «точка-точка» заголовок кадра может быть
существенно упрощен.
25
Вопросы по разделу 1
Какие устройства объединяют локальные сети LAN в распределенную составную сеть?
Каковы основные функции маршрутизатора?
Какого типа интерфейсы имеют маршрутизаторы ?
Что означают термины DTE, DCE?
Могут ли маршрутизаторы объединять локальные сети различных технологий?
Какую функцию выполняет административное расстояние в процессе маршрутизации?
На основании чего маршрутизатор ретранслирует пакет, продвигая его с входного
интерфейса на выходной?
8. Что служит оценкой наилучшего пути к адресату назначения?
9. Какой протокол позволяет находить МАС-адреса по известному сетевому IP-адресу?
10. По какой команде может быть просмотрена ARP-таблица узла?
11. В каком случае маршрутизатор в ответ на запрос посылает ARP-ответ с MAC-адресом
своего входного интерфейса, на который поступил запрос?
12. Как формируются таблицы маршрутизации? Какие параметры она содержит?
13. Что означает термин адрес следующего перехода (next hop)?
14. Что означает термин шлюз по умолчанию?
15. Какие параметры необходимо настроить на конечном узле?
16. Какие параметры необходимо настроить на интерфейсе маршрутизатора? Какие
команды для этого используются?
17. Какие типы интерфейсов используются в маршрутизаторах и коммутаторах?
18. Какие параметры интерфейсов позволяет посмотреть команда show ip interface brief?
19. Какие протоколы маршрутизации используются в IP-сетях?
20. В чем состоит различие статической и динамической маршрутизации?
21. По какой команде можно посмотреть поддерживаемые протоколы маршрутизации?
22. Как в таблице маршрутизации идентифицируются протоколы маршрутизации?
23. По какой команде в сетях IPv6 автоматически конфигурируется в качестве
идентификатора интерфейса его MAC-адрес?
24. Какова роль локальных адресов в сетях IPv6?
25. При передаче данных через составную сеть, какие адреса остаются неизменными, а
какие меняются при прохождении каждого маршрутизатора?
26. Для чего на маршрутизаторах формируют маршрут по умолчанию?
1.
2.
3.
4.
5.
6.
7.
26
Упражнения
1.
В нижеприведенной схеме составной сети из четырех последовательно соединенных
маршрутизаторов назначьте МАС-адреса интерфейсов Fast Ethernet.
Сеть 2
200.20.20.0/24
.1
.2
A
F0/1 F0/0
F0/0 .1
Сеть 1
192.168.10.0/24
Узел X
192.168.10.11
Сеть 4
200.40.40.0/24
Сеть 3
200.30.30.0/24
.11
.12
B
S1/1
S1/2
.1
С
F0/1
F0/0
.2
D
B
.1 F0/0
Сеть 5
210.5.5.0/24
Узел Y
210.5.5.21
2.
Для вышеприведенной схемы рассмотрите процесс передачи данных от Узла Y до
Узла X через маршрутизаторы A, B, C, D.
3.
Укажите основные параметры таблиц маршрутизации всех маршрутизаторов.
4.
Укажите, какие интерфейсы будут использоваться при прохождении кадров через
каждый маршрутизатор.
5.
Укажите, какие IP-адреса и МАС-адреса и каких интерфейсов будут использоваться в
качестве адресов источников и адресов назначения передаваемых кадров и пакетов при их
прохождении через каждый маршрутизатор.
6.
Поясните, какие параметры можно посмотреть на каждом конечном узле по команде
ipconfig /all. Выполните команду на своем компьютере, прокомментируйте результат.
7.
Поясните, почему из двух последовательно соединенных серийных интерфейсов
маршрутизаторов один должен выполнять роль устройства DCE, а второй – устройства DTE.
27
2. СТАТИЧЕСКАЯ МАРШРУТИЗАЦИЯ
Рассмотрены основы функционирования и конфигурирования статической
маршрутизации сетей IPv4, IPv6, а также маршрутизации по умолчанию. Приведены
примеры конфигурирования маршрутизаторов. Проанализированы таблицы маршрутизации,
методы отладки сети.
2.1. Основы статической маршрутизации
Маршруты к удаленным сетям могут быть сконфигурированы для каждого
маршрутизатора вручную администратором (статическая маршрутизация) или созданы с
помощью маршрутизирующих протоколов (динамическая маршрутизация).
Статические маршруты полностью определены администратором, поэтому они более
безопасны, требуют меньше вычислительных ресурсов и более узкую полосу
пропускания по сравнению с динамическими маршрутами. Однако сети, использующие
статическую маршрутизацию, плохо масштабируемы, при изменении топологии требуется
внесение изменений администратором в конфигурацию, что может приводить к ошибкам.
Поэтому статическая маршрутизация используется либо в малых сетях, либо в комбинации с
протоколами динамической маршрутизации на отдельных участках сети. Статические
маршруты, по сравнению с динамическими, характеризуются более высоким приоритетом,
поскольку административное расстояние AD = 1 (см. табл. 1.1).
Статическая маршрутизация часто используется в тупиковых сетях, обмен данными
с которыми реализуется через маршрутизатор, который подключен к одному соседнему
маршрутизатору. При рассмотрении статической маршрутизации используется составная
сеть, структурная схема которой приведена на рис. 2.1. В приведенной схеме сети тупиковой
является Сеть 1, а тупиковым маршрутизатором – R-А, поскольку он соединен только с
маршрутизатором R-В. Все пакета из Сети 1 могут быть отправлены только через
маршрутизатор R-А по стандартному статическому маршруту в маршрутизатор R-В.
Статическая маршрутизация используется также при создании маршрута по
умолчанию, который указывает путь к сетям, не имеющим соответствующих входов в
таблице маршрутизации. В схеме сети рис. 2.1 все пакеты с неизвестными адресами сетей
назначения из маршрутизатора R-С можно направлять в Интернет, т.е. в сеть провайдера ISP.
Адрес маршрута по умолчанию 0.0.0.0/0 означает любые адреса сетей с любыми масками.
28
Сеть 5
200.5.5.0/24
Сеть 4
200.4.4.0/24
A
.11
.12
S1/1
S1/2
.11
.12
S1/1 S1/2
B
Cеть 6
200.6.6.0/24
C
.11
.12
S1/1
S1/2
F0/0 .1
F0/0 .1
F0/0
Сеть 1
192.168.10.0/24
Сеть 2
192.168.20.0/24
.1
D
ISP
Cеть 3
192.168.30.0/24
Рис.2.1. Пример составной сети
Статическая маршрутизация также используется при формировании суммарных
(объединенных) маршрутов, что сокращает количество записей в таблице маршрутизации
(см. раздел 8.2, Часть 1).
Кроме
того,
для
создания
резервных
путей
конфигурируются
плавающие
статические маршруты. Когда основной маршрут «падает», включается резервный, для
чего администратор вручную задает резервному пути более высокое значение
административного расстояния AD. Так если основной маршрут имеет административное
расстояние 1, то резервному статическому пути следует задать AD > 1, например, AD = 5.
29
2.2. Конфигурирование статической маршрутизации
Чтобы сконфигурировать статическую маршрутизацию администратор должен задать
маршруты ко всем возможным сетям назначения, которые не присоединены
непосредственно к данному маршрутизатору. Например, из маршрутизатора R-A (рис. 2.1), к
которому прямо присоединены две сети (Сеть 1, Сеть 4), необходимо проложить маршруты к
четырем оставшимся сетям (из шести представленных на схеме). К маршрутизатору R-B
прямо присоединены 3 сети (Сеть 2, Сеть 4, Сеть 5), поэтому из него следует проложить 3
маршрута к оставшимся сетям.
Для конфигурирования статической маршрутизации используется команда ip route,
которая содержит три параметра:
- адрес сети назначения,
- сетевую маску,
- адрес входного интерфейса следующего маршрутизатора на пути к адресату (next
hop) или идентификатор выходного интерфейса.
Адрес входного интерфейса следующего маршрутизатора (следующего перехода) на
пути к адресату иногда называют шлюзом. Например, для пакетов, попавших в
маршрутизатор R-В, шлюзами будут:
1. Интерфейс s1/1 маршрутизатора R-A с адресом 200.4.4.11,
2. Интерфейс s1/2 маршрутизатора R-С с адресом 200.5.5.12.
Ниже приведен пример конфигурирования статической маршрутизации для
маршрутизатора R-В, когда используется адрес следующего перехода. Маршрутизатор R-В
непосредственно связан с сетями 192.168.20.0, 200.4.4.0 и 200.5.5.0, поэтому статические
маршруты нужно создать для остальных трех сетей, которые прямо не присоединены к R-В.
Router>enable
Router#config t
Router(config)#hostname R-B
R-B(config)#ip route 192.168.10.0 255.255.255.0 200.4.4.11
R-B(config)#ip route 192.168.30.0 255.255.255.0 200.5.5.12
R-B(config)#ip route 200.6.6.0 255.255.255.0 200.5.5.12
R-B(config)#exit
R-B#copy run start
Аналогично конфигурируются остальные маршрутизаторы.
Верификация статической конфигурации производится по командам show ip route и
show running-config. Например, по команде show ip route отображается таблица
маршрутизации:
R-B#show ip route
30
Codes:C-connected,S-static, I-IGRP,R-RIP,M-mobile,B-BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2,
* - candidate default, U - per-user static route, o – ODR
P – periodic downloaded static route
Gateway of last resort is not set
S
192.168.10.0/24 [1/0] via 200.4.4.11
C
S
C
C
S
R-B#
192.168.20.0/24 is directly connected. FastEthernet0/0
192.168.30.0/24 [1/0] via 200.5.5.12
200.4.4.0/24 is directly connected. Serial1/2
200.5.5.0/24 is directly connected. Serial1/1
200.6.6.0/24 [1/0] via 200.5.5.12
Символами С в таблице маршрутизации помечены непосредственно присоединенные
к маршрутизатору R-В сети, а символом S – созданные администратором статические
маршруты к удаленным сетям. Так статический маршрут к сети 192.168.10.0 проложен через
интерфейс s1/1 маршрутизатора R-A с адресом 200.4.4.11, маршруты к двум другим сетям
проложены через шлюз 200.5.5.12. Приведенные в распечатке значения [1/0] представляют
собой административное расстояние AD = 1 и метрику = 0.
При получении маршрутизатором R-В пакета, адресованного, например, узлу в сети
192.168.30.0, производится обращение к таблице маршрутизации, где есть строка S
192.168.30.0/24 [1/0] via 200.5.5.12, в которой указано, что адресом следующего перехода будет
200.5.5.12. Однако в этой строке таблицы не указан выходной интерфейс, на который
следует скоммутировать поступивший пакет. Поэтому определяется сеть адреса следующего
перехода (200.5.5.0) и производится второе обращение к таблице маршрутизации, что
называется рекурсией. Из таблицы следует, что сеть 200.5.5.0 присоединена к интерфейсу
Serial 1/1. Таким образом, при создании маршрутов следующего перехода производится
рекурсивная обработка маршрута, т.е. два обращения к таблице, что замедляет процесс
маршрутизации.
Для ускорения процесса маршрутизации вместо адреса следующего перехода (next
hop) можно задать идентификатор выходного интерфейса маршрутизатора и тем самым
избежать рекурсивной обработки маршрута. При этом формируется прямо
присоединенный статический маршрут. В процессе конфигурирования предварительно
нужно удалить все ранее созданные статические маршруты следующего перехода. Удаление
статических маршрутов производится командой no ip route, например:
31
R-B(config)#no ip route 200.6.6.0 255.255.255.0 200.5.5.12
Ниже приведен пример конфигурирования маршрутизатора R-B (рис. 2.1) с использованием
выходного интерфейса:
R-B(config)#ip route 192.168.10.0 255.255.255.0 S1/2
R-B(config)#ip route 192.168.30.0 255.255.255.0 S1/1
R-B(config)#ip route 200.6.6.0 255.255.255.0 S1/1
В этом случае таблица маршрутизации выглядит следующим образом:
R-B#show ip route
...
Gateway of last resort is not set
S 192.168.10.0/24 is directly connected, Serial1/2
C 192.168.20.0/24 is directly connected, FastEthernet0/0
S 192.168.30.0/24 is directly connected, Serial1/1
C 200.4.4.0/24 is directly connected, Serial1/2
C 200.5.5.0/24 is directly connected, Serial1/1
S 200.6.6.0/24 is directly connected, Serial1/1
R-B#
Когда необходимо посмотреть только статические маршруты можно использовать команду
show ip route static.
В созданных маршрутах сразу указан выходной интерфейс, поэтому нет
необходимости в рекурсивной обработке. Записи маршрутов к удаленным сетям изменились
и по форме стали такими же, как записи прямо присоединенных сетей.
Созданные статические маршруты можно посмотреть не только по команде sh ip
route, когда в таблице маршрутизации отображаются адреса сетей назначения, но также с
помощью команды show running-config (сокращенно sh run), часть распечатки которой
приведена ниже:
R-B#show run
Building configuration...
...
!
interface FastEthernet0/0
ip address 192.168.20.1 255.255.255.0
duplex auto
speed auto
!
interface Serial1/1
ip address 200.5.5.11 255.255.255.0
32
clock rate 64000
!
interface Serial1/2
ip address 200.4.4.12 255.255.255.0
!
ip classless
ip route 192.168.30.0 255.255.255.0 Serial1/1
ip route 192.168.10.0 255.255.255.0 Serial1/2
ip route 200.6.6.0 255.255.255.0 Serial1/1
!
R-B#
Однако использование прямо присоединенных (подключенных) статических
маршрутов не всегда возможно. Например, если в сети рис. 2.2 задать прямо
присоединенный маршрут из R-A в сеть 192.168.30.0
R-А(config)#ip route 192.168.30.0 255.255.255.0 g0/1
то он не будет определен, поскольку из коммутатора Sw 2, соединяющего интерфейс G0/1 RA и G0/0 маршрутизатора R-B, возможны и другие пути.
G0/1
А
G0/0
.1
G0/0
Sw 2
B
...
Сеть 2
192.168.20.0/24
Sw 1
.2
...
G0/1
Sw 3
...
Сеть 1
192.168.10.0/24
Сеть 3
192.168.30.0/24
Рис. 2.2. Пример соединения GigabitEthernet
Поэтому в случае Ethernet-соединений необходимо задавать не только выходной
интерфейс, но и адрес следующего перехода:
R-А(config)#ip route 192.168.30.0 255.255.255.0 g0/1 192.168.20.2
В этом случае реализуется полностью заданный статический маршрут.
Верификация работоспособности сети и таблицы маршрутизации производится с
использованием команд ping и traceroute, которые проверяют обеспечение IP-связи между
маршрутизаторами. Команды ping и traceroute являются утилитами протокола ICMP,
который разработан в дополнение к протоколу IP, не имеющему средств проверки
достижимости или недостижимости узлов и сетей. Эти команды позволяют с каждого
33
маршрутизатора и конечного узла производить тестирование (прозвонку) интерфейсов
других маршрутизаторов и узлов.
Маршруты удаляются из таблицы маршрутизации, если выходной интерфейс
маршрутизатора прекращает функционирование. Поэтому при отладке сети необходимо
проверять не только таблицу маршрутизации, но и состояние интерфейсов. Совокупность
команд ping, show ip route, show running-config и show ip interface brief позволяет в
большинстве случаев отладить сеть и устранить неполадки.
34
2.3. Конфигурирование статической маршрутизации по умолчанию
Статическая маршрутизация по умолчанию означает, что, если пакет предназначен
для сети, которая не указана в таблице маршрутизации, то маршрутизатор отправит пакет по
заданному по умолчанию маршруту. При этом маршрутизатор направляет пакеты к
следующему маршрутизатору, когда тот в таблице не задан явно.
Статическая маршрутизация по умолчанию широко используется на пограничных
маршрутизаторах при подключении к сети провайдера ISP. Например, на маршрутизаторе RC (рис. 2.1) может быть сконфигурирован маршрут по умолчанию, когда все пакеты с
неизвестными адресами сетей назначения будут направляться в сеть ISP, т.е. в Интернет.
Маршрут по умолчанию будет уместным также на тупиковом маршрутизаторе R-А, потому
что через него лежит единственный путь в составную сеть и из нее. Например, для всех
пакетов, попавших в маршрутизатор A маршрут по умолчанию будет через его порт s1/1, т.е.
шлюзом будет входной интерфейс маршрутизатора R-В с адресом 200.4.4.12.
В процессе конфигурирования маршрутизации по умолчанию, также как при
статической маршрутизации, используют команду ip route, но в адресе и маске сети (и
подсети) используют все нули, которые означают все сети со всеми масками:
R-A#config t
R-A(config)#ip route 0.0.0.0 0.0.0.0 200.4.4.12
После конфигурирования маршрута по умолчанию в таблице маршрутизации появляется
статический маршрут, помеченный звездочкой (S*) и запись, что установлен шлюз
последней надежды (Gateway of last resort is ...):
R-A#show ip route
...
Gateway of last resort is 200.4.4.12 to network 0.0.0.0
C 192.168.10.0/24 is directly connected, FastEthernet0/0
C 200.4.4.0/24 is directly connected, Serial1/1
S* 0.0.0.0/0 [1/0] via 200.4.4.12
35
При подключении к Интернету на маршрутизаторе подключаемой сети, например R-С
рис. 2.1, обычно конфигурируется маршрут по умолчанию, а на граничном
маршрутизаторе R-D провайдера конфигурируется стандартный статический маршрут.
Иногда маршрутизатор получает пакеты, предназначенные для неизвестной подсети,
входящей в известную сеть, которая объединяет подсети. При этом маршрутизатор может
уничтожить такие пакеты. Для предотвращения этого нужно использовать режиим
глобальной конфигурации ip classless, чтобы программное обеспечение Cisco IOS не
уничтожало пакеты, а отправляло эти пакеты по маршруту умолчания.
Плавающий статический маршрут конфигурируется в тех случаях, когда
необходимо создать резервный маршрут. Например, в сети рис. 2.3 основной маршрут из
Сети 1 в Сеть 5 проложен через Сеть 6.
R-A(config)#ip route 192.168.50.0 255.255.255.0 192.168.60.2
Тогда резервный маршрут (с метрикой 3) может пройти через Сеть 2 и Сеть 4
R-A(config)#ip route 192.168.50.0 255.255.255.0 192.168.20.12 3
В нормальном состоянии работает основной маршрут, метрика которого по умолчанию
равна 1 < 3. При обрушении основного будет работать резервный маршрут с метрикой 3.
Cеть 6
.1
S1/0
A
F0/0
.1
S1/1
.11
192.168.60.0/24
.2
S1/3
.12
Сеть 2 S1/2
192.168.20.0/24
.11
S1/1
B
F0/0
.12
S1/2
C
F0/0
.1
Сеть 4
192.168.40.0/24
.1
Сеть 1
192.168.10.0/24
Cеть 5
192.168.50.0/24
Сеть 3
192.168.30.0/24
Рис. 2.3. К примеру конфигурирования плавающего маршрута
36
2.4.
Маршрутизация в сетях с бесклассовой адресацией
Адресация на основе классов позволяла определять маску сети по кодовой
комбинации старших разрядов адреса
0ххххххх – класс А, маска 255.0.0.0
10хххххх – класс В, маска 255.255.0.0
110ххххх – класс С, маска 255.255.255.0
1110хххх – класс D, многоадресный (multicast).
Поэтому при обмене маршрутной информацией не было необходимости передавать значение
маски, которая определялась тремя старшими битами адреса.
Кроме того, маску сети можно было определить по значению маски интерфейса
маршрутизатора, к которому прямо присоединена сеть. Например, в схеме сети рис. 2.4 при
передаче маршрутной информации от маршрутизатора R-A в R-B нестандартная для адреса
класса В маска (с префиксом /24) определяется маской адреса входного интерфейса S1/2
маршрутизатора R-B. Поэтому R-B добавляет в свою таблицу маршрутизации маршрут к
сети 172.20.10.0/24.
Сеть 4
200.40.40.0/24
Сеть 2
172.20.20.0/24
A
.11
.12
S1/1
S1/2
.11
.12
S1/1 S1/2
B
F0/0 .1
F0/0
Сеть 1
172.20.10.0/24
Сеть 3
172.20.30.0/24
.1
C
F0/0 .1
Cеть 5
10.50.0.0/16
Рис. 2.4. Обмен маршрутной информацией в сети
В свою очередь, маршрутизатор R-B отправляет обновление в R-С. При этом он
суммирует адреса трех подсетей (172.20.10.0/24, 172.20.20.0/24 и 172.20.30.0/24). Адрес
входного интерфейса маршрутизатора R-С (200.40.40.12) не входит ни в одну подсеть сети
172.20.0.0, поэтому к поступившему суммарному адресу обновления применяется
стандартная маска класса В (255.255.0.0), и в таблицу маршрутизации R-С добавляется
маршрут к сети 172.20.0.0/16.
37
Адресация и маршрутизация на основе классов неэффективно используют
выделенные адресные пространства. Поэтому организация IETF в документе RFC 1517
представила концепцию бесклассовой междоменной маршрутизации (Classless InterDomain
Routing – CIDR). Другим методом экономии IP-адресов является использование масок
переменной длины VLSM (см. раздел 8.1 Часть 1).
Схема CIDR позволяет объединять маршруты (агрегировать префиксы), что
уменьшает размер таблиц маршрутизации и ускоряет процесс обработки пакетов. Кроме
того, CIDR позволяет формировать суперсети, объединяющие несколько сетей со
стандартными масками в сеть, маска которой меньше стандартной. Агрегирование адресов
маршрутов было рассмотрено в разделе 8.2 Часть 1.
В схеме сети рис. 2.4 на маршрутизаторе R-С вместо трех статических маршрутов к
сетям 172.20.10.0/24, 172.20.20.0/24 и 172.20.30.0/24 можно сформировать один суммарный
R-С(config)#ip route 172.20.0.0 255.255.0.0 200.40.40.11
Объединение нескольких статических маршрутов возможно, если объединяемые сети
являются смежными и маршруты проложены через один выходной интерфейс
маршрутизатора или единый адрес следующего перехода.
38
2.5. Статическая маршрутизация в сетях IPv6
Статическая маршрутизация в сетях IPv6 позволяет сконфигурировать: стандартный
статический маршрут, суммарный и плавающий статические маршруты, а также
статический маршрут по умолчанию. Конфигурирование статической маршрутизации IPv6
рассмотрено на примере распределенной сети рис. 2.5.
Сеть 5
2001:db8:a:5::/64
Сеть 4
2001:db8:a:4::/64
.10
A
.11
S0/3/0 S0/3/1
G0/0 .1
Сеть 1
2001:db8:a:1::/64
.10
B
S0/3/0
G0/0 .1
Сеть 2
2001:db8:a:2::/64
Cеть 6
2001:db8:a:6::/64
.10
.11
S0/3/1
C
S0/3/0
G0/0 .1
.11
S0/3/1
D
ISP
Cеть 3
2001:db8:a:3::/64
Рис. 2.5. Распределенная сеть
Как отмечалось в разделе 1.2, маршрутизация IPv6 включается после формирования
команды ipv6 unicast-routing. в режиме глобального конфигурирования:
Router(config)#ipv6 unicast-routing
Статические маршруты конфигурируются по команде ipv6 route, например,
стандартные статические маршруты на маршрутизаторе R-A в сети рис. 2.5 формируются
следующим образом:
R-A(config)#ipv6 route 2001:db8:a:2::/64 2001:db8:a:4::11
R-A(config)#ipv6 route 2001:db8:a:3::/64 2001:db8:a:4::11
R-A(config)#ipv6 route 2001:db8:a:5::/64 2001:db8:a:4::11
R-A(config)#ipv6 route 2001:db8:a:6::/64 2001:db8:a:4::11
R-A(config)#
Посмотреть созданные маршруты можно по следующей команде:
R-A#show ipv6 route
IPv6 Routing Table - 9 entries
Codes:C-Connected,L-Local,S-Static,R-RIP,B-BGP
39
U-Per-userStaticroute,M-MIPv6
I1-ISISL1,I2-ISISL2,IA-ISISinterarea,IS-ISISsummary
O-OSPFintra,OI-OSPFinter,OE1-OSPFext1,OE2-OSPFext2
ON1-OSPFNSSAext1,ON2-OSPFNSSAext2
D-EIGRP,EX-EIGRPexternal
C 2001:DB8:A:1::/64 [0/0]
via ::, GigabitEthernet0/0
L 2001:DB8:A:1::1/128 [0/0]
via ::, GigabitEthernet0/0
S 2001:DB8:A:2::/64 [1/0]
via 2001:DB8:A:4::11
S 2001:DB8:A:3::/64 [1/0]
via 2001:DB8:A:4::11
C 2001:DB8:A:4::/64 [0/0]
via ::, Serial0/3/0
L 2001:DB8:A:4::10/128 [0/0]
via ::, Serial0/3/0
S 2001:DB8:A:5::/64 [1/0]
via 2001:DB8:A:4::11
S 2001:DB8:A:6::/64 [1/0]
via 2001:DB8:A:4::11
L FF00::/8 [0/0]
via ::, Null0
R-A#
Из распечатки следует, что две сети (2001:DB8:A:1::/64 и 2001:DB8:A:4::/64) являются прямо
присоединенными.
К
четырем
сетям
(2001:DB8:A:2::/64,
2001:DB8:A:3::/64,
2001:DB8:A:5::/64 и 2001:DB8:A:6::/64) проложены статические маршруты.
В рассмотренном примере, также как в сетях IPv4, при коммутации поступившего
пакета с входного интерфейса на выходной требуется рекурсивный алгоритм обработки
маршрута. Для ускорения процесса коммутации можно сконфигурировать прямо
подключенный статический маршрут с указанием выходного интерфейса, например:
R-A(config)#ipv6 route 2001:db8:a:2::/64 s0/3/0
Новые технологии предусматривают использование механизма CEF, что существенно
ускоряет процесс коммутации пакетов (см. раздел 1.1).
В сетях IPv6 на интерфейсах маршрутизаторов автоматически задаются локальные
адреса (link-local), которые отображаются по команде:
R-B>show ipv6 int brief
GigabitEthernet0/0
[up/up]
FE80::20D:BDFF:FEE6:7701
2001:DB8:A:2::1
GigabitEthernet0/1
[administratively down/down]
GigabitEthernet0/2
[administratively down/down]
Serial0/3/0
[up/up]
FE80::209:7CFF:FEE1:5001
40
2001:DB8:A:5::10
Serial0/3/1
[up/up]
FE80::209:7CFF:FEE1:5002
2001:DB8:A:4::11
Vlan1
[administratively down/down]
Локальные адреса могут быть изменены администратором, например:
R-В(config)#int g0/0
R-В(config-if)#ipv6 add fe80::1 link-local
R-В(config-if)#int s0/3/1
R-В(config-if)#ipv6 add fe80::11 link-local
R-В(config-if)#int s0/3/0
R-В(config-if)#ipv6 add fe80::10 link-local
При конфигурировании статической маршрутизации локальные адреса можно
использовать в качестве адресов следующего перехода, например:
R-B(config)#ipv6 route 2001:db8:a:1::/64 fe80::10
R-B(config)#ipv6 route 2001:db8:a:3::/64 fe80::11
R-B(config)#ipv6 route 2001:db8:a:6::/64 fe80::11
Следует помнить, что локальные адреса являются уникальными только в одном
локальном канале, т.е. адрес fe80::10 может быть использован как в сети 4, так и в сети 5
(рис. 2.5). Для устранения этой неоднозначности следует формировать полностью заданные
статические маршруты:
R-B(config)#ipv6 route 2001:db8:a:1::/64 s0/3/1 fe80::10
R-B(config)#ipv6 route 2001:db8:a:3::/64 s0/3/0 fe80::11
R-B(config)#ipv6 route 2001:db8:a:6::/64 s0/3/0 fe80::11
R-B#sh ipv6 route
IPv6 Routing Table - 10 entries
S 2001:DB8:A:1::/64 [1/0]
via FE80::10, Serial0/3/1
C 2001:DB8:A:2::/64 [0/0]
via ::, GigabitEthernet0/0
L 2001:DB8:A:2::1/128 [0/0]
via ::, GigabitEthernet0/0
S 2001:DB8:A:3::/64 [1/0]
via FE80::11, Serial0/3/0
C 2001:DB8:A:4::/64 [0/0]
via ::, Serial0/3/1
L 2001:DB8:A:4::11/128 [0/0]
via ::, Serial0/3/1
C 2001:DB8:A:5::/64 [0/0]
41
via ::, Serial0/3/0
L 2001:DB8:A:5::10/128 [0/0]
via ::, Serial0/3/0
S 2001:DB8:A:6::/64 [1/0]
via FE80::11, Serial0/3/0
L FF00::/8 [0/0]
via ::, Null0
Статическая маршрутизация IPv6 по умолчанию широко используется на
пограничных маршрутизаторах при подключении к сети провайдера ISP, а также на
тупиковых маршрутизаторах. Например, для всех пакетов, попавших в маршрутизатор R-A
(рис. 2.5) маршрут по умолчанию будет через его выходной порт s0/3/0, а шлюзом
следующего перехода будет входной интерфейс маршрутизатора R-В с адресом
2001:db8:a:4::11. Конфигурирование маршрута по умолчанию показано в следующем
примере:
R-A(config)#ipv6 route ::/0 2001:db8:a:4::11 или
R-A(config)#ipv6 route ::/0 s0/3/0
Статическая маршрутизация IPv6, также как IPv4, может использовать суммирование
адресов. Например, в распределенной сети рис. 2.5 на маршрутизаторе R-С можно
сформировать суммарный адрес к сетям 2001:db8:a:1::/64, 2001:db8:a:2::/64, 2001:db8:a:4::/64
R-С(config)#ipv6 route 2001:db8:a::/61 2001:db8:a:5::10
Префикс /61 получился, поскольку три последних бита сетевой части адреса Сети 1
будут 001, Сети 2 – 010, Сети 4 – 100, т.е. различие в последних трех разрядах. Поэтому
префикс на 3 меньше, чем /64.
Краткие итоги раздела 2
1. Статическая маршрутизация создается администратором вручную, поэтому она более
безопасна, требует меньше вычислительных ресурсов и более узкую полосу пропускания
по сравнению с динамической маршрутизацией.
2. Статические маршруты характеризуются высоким приоритетом, поскольку
административное расстояние AD = 1.
3. Сети, использующие статическую маршрутизацию, плохо масштабируемы, при
изменении топологии требуется внесение изменений администратором, что может
приводить к ошибкам.
4. В сети можно сконфигурировать стандартные статические маршруты, маршруты по
умолчанию, суммарные (объединенные) маршруты, плавающие статические маршруты.
5. Для конфигурирования статической маршрутизации используется команда ip route,
которая содержит параметры: адрес сети назначения, сетевую маску и адрес входного
интерфейса следующего маршрутизатора на пути к адресату (next hop) или
идентификатор выходного интерфейса.
6. Формат команды конфигурирования стандартной статической маршрутизации
следующий:
Router(config)#ip route <адрес> <маска> <next hop>
7. Рекурсивный алгоритм замедляет процесс обработки маршрута.
42
8. Формат команды конфигурирования статической маршрутизации с использованием
выходного интерфейса (присоединенного маршрута) следующий:
Router(config)#ip route <адрес> <маска> <выходной интерфейс>
9. В случае использования Ethernet-соединений необходимо формировать полностью
заданный статический маршрут.
10. Статическая маршрутизация по умолчанию используется для отправки пакетов, когда
сеть назначения отсутствует в таблице маршрутизации.
11. Формат команды конфигурирования статической маршрутизации по умолчанию
следующий:
Router(config)#ip route 0.0.0.0 0.0.0.0 <next hop>
12. Плавающий статический маршрут конфигурируется в тех случаях, когда необходимо
создать резервный маршрут.
13. В таблице маршрутизации созданные администратором статические маршруты к
удаленным сетям помечены символом S, а маршруты по умолчанию – символом S*.
14. При подключении к Интернету на маршрутизаторе подключаемой сети обычно
конфигурируется маршрут по умолчанию, а на граничном маршрутизаторе провайдера –
стандартный статический маршрут.
15. Для ускорения процесса маршрутизации программная коммутация заменяется
технологией CEF.
16. Статическая маршрутизация в сетях IPv6, также как IPv4, позволяет сконфигурировать
стандартный статический маршрут, суммарный и плавающий статические маршруты,
статический маршрут по умолчанию.
17. Маршрутизация IPv6 включается после выполнения команды ipv6 unicast-routing в
режиме глобального конфигурирования.
18. В сетях IPv6 на интерфейсах маршрутизаторов автоматически задаются локальные
адреса (link-local), которые можно использовать в качестве адреса следующего перехода.
19. Верификация таблицы маршрутизации производится с использованием команды show ip
route, show ipv6 route.
Вопросы по разделу 2
1. Кто создает статическую маршрутизацию?
2. Каковы преимущества и недостатки статической маршрутизации по сравнению с
динамической?
3. Какие команды используются для создания статической маршрутизации?
4. Каков формат команды конфигурирования стандартной статической маршрутизации?
5. Каков формат команды конфигурирования статической маршрутизации с
использованием выходного интерфейса?
6. Для чего необходим маршрут по умолчанию?
7. Каков формат команды конфигурирования статической маршрутизации по умолчанию в
сетях IPv4, IPv6?
8. Какие маршруты обычно конфигурируется при подключении к Интернету на
маршрутизаторе подключаемой сети и на граничном маршрутизаторе провайдера?
9. Для чего конфигурируется плавающий статический маршрут?
10. Что собой представляет технология CEF?
11. Какими символами помечаются маршруты, созданные администратором?
12. Какие изменения происходят в таблице маршрутизации, если выходной интерфейс
перестает функционировать?
13. По какой команде можно посмотреть таблицу маршрутизации IPv4, IPv6?
43
14. Какие команды используются для проверки и отладки конфигурации?
15. Почему в сетях с адресацией на основе классов в обновлениях не передается значение
маски?
16. Почему при использовании масок переменной длины (VLSM) происходит экономия IPадресов?
17. Что означает термин CIDR? Какие преимущества обеспечивает суммирование
маршрутов?
Упражнения
1.
В среде Packet Tracer сконфигурируйте стандартную статическую маршрутизацию
нижеприведенной схемы с заданными в таблице адресами. Проведите проверку и
отладку с использованием команд show running-config, show ip route, ping, traceroute
и tracert.
Сеть 4
S1/1
A
Сеть 5
S1/1
S1/2
DCE
F0/0
Host 1-1 Host 1-n
Сеть 1
Наименование
Сеть 1
f0/0
Host 1-1
Host 1-n
Сеть 3
f0/0
Host 3-1
Host 3-n
Адрес
10.1.10.0/24
10.1.10.1
10.1.10.2
10.1.10.n
192.168.30.0/24
192.168.30.1
192.168.30.2
192.168.30.n
Сеть 5
s1/1
s1/2
205.5.5.0/24
200.5.5.1
200.5.5.2
B
F0/0
S1/2
DCE
C
F0/0
Host 2-1 Host 2-n
Host 3-1 Host 3-n
Сеть 2
Сеть 3
Наименование
Сеть 2
f0/0
Host 2-1
Host 2-n
Сеть 4
s1/1
s1/2
Адрес
172.16.20.0/24
172.16.20.1
172.16.20.2
172.16.20.n
204.4.4.0/24
204.4.4.1
204.4.4.2
44
2. Для вышеприведенной схемы сети сконфигурируйте непосредственно присоединенные
статические маршруты. Проведите сравнительный анализ таблиц маршрутизации по п.1 и
п.2.
3. Для вышеприведенной схемы сети самостоятельно задайте адреса IPv6. Сконфигурируйте
статическую маршрутизацию. Проведите проверку и отладку сети.
45
3. ДИНАМИЧЕСКАЯ МАРШРУТИЗАЦИЯ
Рассмотрены принципы функционирования протоколов маршрутизации. Проведен
сравнительный анализ протоколов вектора расстояния и состояния канала. Приведены
основные характеристики протоколов RIP, RIP2, EIGRP OSPF. Рассмотрены основы
конфигурирования динамической маршрутизации. Проанализированы таблицы
маршрутизации.
3.1. Общие сведения о протоколах динамической маршрутизации
Маршрутизаторы функционируют в сетях с коммутацией пакетов, где все возможные
маршруты уже существуют. Процесс прокладывания пути производится либо вручную
администратором (статическая маршрутизация), либо автоматически маршрутизирующим
протоколом (динамическая маршрутизация).
Маршрутизаторы, зная информацию о пути к некоторым сетям, обмениваются этой
информацией с другими устройствами. После таких обновлений все маршрутизаторы будут
иметь согласованную информацию о маршрутах к доступным сетям. Процесс обмена
обновлениями реализуют протоколы маршрутизации. Таким образом, протоколы
маршрутизации разделяют сетевую информацию между маршрутизаторами.
При изменениях в топологии требуется некоторое время (время сходимости или
конвергенции) для согласования информации в таблицах маршрутизации всех
маршрутизаторов сети. Время сходимости является важным фактором при выборе протокола
маршрутизации.
Маршрутная информация собирается по определенным правилам в ходе реализации
алгоритма динамического обмена обновлениями (update, модификациями) между
маршрутизаторами. Протокол маршрутизации должен создавать и поддерживать таблицы
маршрутизации, где хранятся пути ко всем доступным сетям назначения, а также извещать
другие маршрутизаторы о всех известных ему изменениях в топологии сети, т.е. решать
задачу обнаружения сетей.
Совокупность
сетей,
представленных
маршрутизаторами
под
общим
административным управлением, образует автономную систему (рис. 3.1). Примерами
автономных систем являются сети отдельных провайдеров ISP. Автономные системы
нумеруются (AS1, AS2, …AS107, …) и в некоторых протоколах (IGRP, EIGRP) эти номера
используются при конфигурировании.
46
AS1
AS107
BGP
Автономная система 1
Автономная система 107
Рис. 3.1. Взаимодействие автономных систем
В настоящем курсе рассматривается маршрутизация только внутри автономной
системы, где работают протоколы внутренней маршрутизации (Interior Gateway Protocols IGP), к которым относятся RIP, RIPv2, EIGRP, OSPF, IS-IS. Маршрутизацию между
автономными системами производят протоколы внешней маршрутизации (Exterior Gateway
Protocols - EGP). Примером протокола внешней маршрутизации является протокол BGP,
который работает на пограничных маршрутизаторах автономных систем (рис. 3.1). Протокол
BGP, обеспечивающий маршрутизацию между автономными системами, изучается в курсе
CCNP сетевой академии Cisco.
Совокупность протоколов маршрутизации приведена в табл. 3.1, из которой следует,
что протоколы динамической маршрутизации, работающие внутри автономных систем, в
свою очередь, подразделяются на протоколы вектора расстояния (distance-vector) и
протоколы состояния канала (link-state).
Таблица 3.1
Протоколы динамической маршрутизации
Протоколы внутренней маршрутизации
Вектора расстояния
RIP-2
EIGRP
Состояния канала
OSPF
IS-IS
Протоколы внешней
маршрутизации
Вектора пути
BGP
Протоколы вектора расстояния определяют расстояние и направление, т.е. вектор
соединения в составной сети на пути к адресату. При использовании протокола вектора
расстояния маршрутизаторы посылают всю или часть таблицы маршрутизации соседним
(смежным) маршрутизаторам. В таких протоколах как RIP и RIP-2 расстояние выражается в
количестве переходов (hop count) в соединении на пути от узла источника к адресату
назначения. Обмен обновлениями (update) или модификациями происходит периодически,
даже если в сети нет никаких изменений, на что требуется значительная часть полосы
пропускания. Получив обновление маршрутной информации, маршрутизатор может заново
47
вычислить все известные пути и произвести изменения в таблице маршрутизации.
Протоколы состояния канала создают полную картину топологии сети и вычисляют
кратчайшие пути ко всем сетям назначения. Если путей с одинаковой метрикой несколько,
то выбирается первый из вычисленных. Рассылка обновлений маршрутной информации
производится только при изменениях топологии сети. Протоколы состояния канала (или
соединения) быстрее реагируют на изменения в сети по сравнению с протоколами вектора
расстояния, но при этом требуют больших вычислительных ресурсов.
Когда инкапсулированный в кадр пакет прибывает на входной интерфейс,
маршрутизатор декапсулирует его, затем использует таблицу маршрутизации, чтобы
определить, по какому маршруту направить пакет, т.е. на какой свой выходной интерфейс
передать поступивший пакет. Выходной интерфейс связан с наиболее рациональным
маршрутом к адресату назначения. Этот процесс называется коммутацией или
продвижением пакета. На выходном интерфейсе пакет инкапсулируется в новый кадр, при
этом маршрутизатор добавляет информацию для формирования кадра (см. материалы
раздела 1.3).
Маршрутизаторы способны одновременно поддерживать несколько независимых
протоколов с разными административными расстояниями (AD), которые показывают
степень достоверности источника маршрута. Чем меньше AD, тем выше достоверность (см.
таблицу 1.1). В таблицу маршрутизации устанавливаются маршруты, созданные
протоколами с наименьшим административным расстоянием.
Определение протоколом маршрутизации наиболее рационального (оптимального)
пути производится на основе определенного критерия – метрики. Значение метрики
используется при оценке возможных путей к адресату назначения. В настоящем курсе
рассматриваются следующие протоколы маршрутизации:
RIP (Routing Information Protocol) – протокол маршрутизации на основе вектора
расстояния (первая и вторая версии),
EIGRP (Enhanced Interior Gateway Routing Protocol) – расширенный протокол
внутренней маршрутизации,
OSPF (Open Shortest Path First) – открытый протокол маршрутизации по состоянию
канала.
Перечисленные протоколы используют разные параметры метрики.
Различные протоколы маршрутизации используют разные алгоритмы при выборе
маршрута, т.е. выходного интерфейса и (или) адреса следующего перехода, на который
должен быть передан пакет. Алгоритм и метрика определяются целым рядом решаемых
задач, таких как простота, устойчивость, гибкость, быстрая сходимость или конвергенция.
Сходимость – это процесс согласования между маршрутизаторами сети информации о
доступных маршрутах. При изменениях состояния сети необходимо, чтобы обмен
модификациями восстановил согласованную сетевую информацию.
Каждый алгоритм по своему интерпретирует выбор наиболее рационального пути на
48
основе метрики. Обычно меньшее значение метрики соответствует лучшему маршруту.
Метрика может базироваться на одном или на нескольких параметрах пути. В протоколах
маршрутизации наиболее часто используются следующие параметры метрики:
- Полоса пропускания (Bandwidth) – способность соединения передавать данные с
некоторой скоростью. Например, соединения сети Fast Ethernet передающие данные
со скоростью 100 Мбит/c, предпочтительней каналов Е1 со скоростью 2,048 Мбит/c.
- Задержка (Delay) – это длительность времени прохождения пакета от источника до
адресата назначения. Задержка зависит от количества промежуточных соединений и
их типов, объема буферных устройств маршрутизаторов, сходимости сети и
расстояния между узлами. Загрузка (Load) – определяется количеством информации,
загружающей сетевые ресурсы (маршрутизаторы и каналы). Чем больше загрузка, тем
-
-
больше очереди на обслуживание, тем дольше пакет будет в пути.
Надежность (Reliability) –определяется интенсивностью ошибок на каждом сетевом
соединении.
Количество переходов (Hop count) – это количество маршрутизаторов, через которые
пакет должен пройти на пути к адресату назначения (число переходов от
маршрутизатора к маршрутизатору).
Стоимость (Cost) – обобщенный параметр затрат на передачу пакета к адресату
назначения. Иногда стоимость имеет произвольное значение, назначенное
администратором.
Наиболее известным в сети Internet протоколом вектора расстояния (distance-vector)
является Routing Information Protocol (RIP), который использует в качестве метрики число
переходов (hop count) на пути к адресату назначения.
Другим простым протоколом вектора расстояния является Interior Gateway Routing
Protocol (IGRP), который был разработан в корпорации Cisco. Для работы в больших сетях
на смену ему пришел протокол Enhanced IGRP (EIGRP), который включает много
особенностей протоколов как типа link-state, так и distance-vector. Поэтому он, по сути,
является гибридным протоколом. Однако разработчики фирмы Cisco относят его к
протоколам distance-vector.
Протоколы вектора расстояния (RIP, IGRP) периодически рассылают
обновления маршрутной информации. У протокола RIP этот период равен 30 сек. При этом
обновляются таблицы маршрутизации, которые хранят всю информацию о маршрутах в
сети. При изменении в сети маршрутизатор, обнаруживший такое изменение, сразу начинает
обмен маршрутной информацией с соседними маршрутизаторами. Этот обмен идет
последовательно от маршрутизатора к маршрутизатору с некоторой задержкой,
определяемой временем модификации таблиц в каждом маршрутизаторе, а также
специальным таймером. Поэтому сходимость (конвергенция) сети, когда все
маршрутизаторы будут иметь согласованную информацию о сетевых соединениях,
происходит медленно, что является недостатком протоколов вектора расстояния.
49
Таким образом, протоколы вектора расстояния RIP характеризуются медленной
сходимостью, т.е. длительным временем согласования информации в таблицах
маршрутизации при изменениях топологии сети,
Протокол вектора расстояния RIP использует счетчик переходов (hop count) в
качестве метрики, чтобы определить расстояние до определенного соединения в составной
сети. Если существует несколько путей, то RIP выберет путь с наименьшим числом
маршрутизаторов или переходов к адресату назначения. Однако выбранный маршрут не
всегда является лучшим путем к адресату, поскольку выбранный маршрут с наименьшим
числом устройств может характеризоваться меньшей скоростью передачи (более узкой
полосой пропускания, меньшей пропускной способностью) по сравнению с
альтернативными маршрутами, созданными другими протоколами. Кроме того, RIP не
может направлять пакеты далее 15 переходов, поэтому он рекомендован для работы в малых
и средних сетях. Рассылка обновлений протоколом первой версии RIPv1 производится в
широковещательном режиме (адрес 255.255.255.255).
Протокол первой версии RIPv1 требует, чтобы все устройства в подсети использовали
одинаковую маску подсети, т.к. RIP не включает информацию о маске подсети в обновления
маршрутизации. Такой метод получил название маршрутизации на основе классов
(classful routing), что ограничивает применение протокола RIPv1 в современных сетях.
Протокол вектора расстояния второй версии RIP Version 2 (RIPv2) обеспечивает
бесклассовую маршрутизацию CIDR (Classless Interdomain Routing), поскольку в
обновления маршрутизации включена информация о маске подсети (о префиксе). При
этом внутри одной сети могут существовать подсети с масками переменной длины (VariableLength Subnet Mask – VLSM). В обновления также включена адресная информация о шлюзах
по умолчанию. Рассылка обновлений протоколом версии RIPv2 производится в
многоадресном режиме (адрес 224.0.0.9).
Протокол вектора расстояния EIGRP обеспечивает быструю сходимость и малое
количество служебной информации, передаваемой в обновлениях (только об изменениях в
сети), что экономит полосу пропускания. EIGRP использует ряд функций, применяемые в
протоколах состояния канала (link-state). Протоколы EIGRP работают с оборудованием
CISCO и не всегда поддерживаются программным обеспечением аппаратуры других фирм.
Рассылка обновлений протоколом EIGRP производится в многоадресном режиме (адрес
224.0.0.10).
Наиболее известными протоколами состояния канала (соединения) являются
протокол Open Shortest Path First (OSPF) и протокол Intermediate System-to-Intermediate
System (IS-IS). Протокол маршрутизации OSPF разработан организацией Engineering Task
Force (IETF). Он предназначен для работы в больших гибких составных сетях, может
работать с оборудованием разных фирм производителей, поэтому получил широкое
распространение.
Протокол состояния канала OSPF использует алгоритм Дийкстры (Dijkstra),
50
согласно которому устанавливаются отношения смежности с соседними устройствами,
путем обмена с ними короткими Hello-пакетами, создаются таблицы соседних устройств,
оцениваются стоимости соединений, которые хранятся в специальной базе данных (link-state
database). На основе таблиц соседних устройств и информации базы данных формируются
таблицы маршрутизации. В базе данных хранится один или несколько путей к адресату
назначения, из которых выбирается первый кратчайший путь (Shortest Path First – SPF),
который и помещается в таблицу маршрутизации. Если первый путь становится
недоступным, то протокол может оперативно выбрать из базы данных другой без
дополнительных вычислений.
Рассылка обновлений о состоянии канала производится при запуске протокола
маршрутизации и при изменениях топологии сети. При этом маршрутизатор создает
извещение о состоянии этого соединения (Link-State Advertisement - LSA). Сообщение LSA
затем передается всем смежным маршрутизаторам, которые, получив LSA, транслируют
копию LSA всем соседям и затем модифицируют базу данных. При таком волновом
распространении пакетов все маршрутизаторы создадут базы данных и таблицы
маршрутизации, которые будут согласованно отражать топологию перед модификацией.
Такой алгоритм обеспечивает быструю сходимость.
Протокол граничного шлюза (Border Gateway Protocol - BGP) относится к внешним
протоколам External Gateway Protocol (EGP). Протокол обеспечивает обмен
маршрутизирующей информацией между автономными системами, гарантирует выбор пути,
свободный от маршрутных петель (loop-free). Протокол BGP используется основными
сетевыми компаниями, в том числе провайдерами Интернет. Протокол BGP принимает
решение о выборе маршрута на основе сетевой политики.
51
3.2. Протокол RIP
Протокол RIP для своей работы использует алгоритм Беллмана-Форда.
Функционирование алгоритма рассмотрено на примере сети из четырех последовательно
соединенных маршрутизаторов (рис. 3.2), где Сеть 1 непосредственно присоединена к
маршрутизатору А, поэтому метрика пути к Сети 1 из А равна 0. Протокол RIP каждые 30
сек. рассылает обновления.
Сеть 6
200.6.6.0/24
Сеть 5
200.5.5.0/24
A
.11
.12
S1/1
S1/2
.11
.12
S1/1 S1/2
B
F0/0 .1
F0/0
Сеть 1
192.168.10.0/24
Сеть 2
192.168.20.0/24
.1
Сеть 7
200.7.7.0/24
C
.11
.12
S1/1
S1/2
F0/0 .1
Cеть 3
192.168.30.0/24
D
F0/0 .1
Cеть 4
192.168.40.0/24
Рис. 3.2. Сеть последовательно соединенных маршрутизаторов
В исходном состоянии у маршрутизаторов нет никакой информации о доступных
маршрутах к сетям. После конфигурирования адресной информации и активации
интерфейсов в таблице маршрутизации объявляются прямо присоединенные сети.
Например, таблица маршрутизации R-А (рис. 3.2) содержит маршруты к двум прямо
присоединенным сетям, а R-B – к трем присоединенным сетям:
R-А>show ip route
...
Gateway of last resort is not set
C 192.168.10.0/24 is directly connected, FastEthernet0/0
C 200.5.5.0/24 is directly connected, Serial1/1
R-B>show ip route
...
Gateway of last resort is not set
52
C 192.168.20.0/24 is directly connected, FastEthernet0/0
C 200.5.5.0/24 is directly connected, Serial1/2
C 200.6.6.0/24 is directly connected, Serial1/1
Метрика прямо присоединенных маршрутов равна 0 (количество переходов = 0).
Конфигурирование протокола RIP
Конфигурирование протокола RIP производится путем использования команды router
rip и сообщения протоколу адресов непосредственно присоединенных сетей. При обмене
маршрутной информацией между маршрутизаторами обновления передаются через
интерфейсы прямо присоединенных сетей и адреса этих сетей объявляются соседям.
Поэтому маршрутизаторы последовательно получают от соседей информацию о всех
доступных сетях автономной системы.
Обмен маршрутной информацией протокол RIP производит периодически каждые 30
секунд. Таким образом, спустя некоторое время таблица маршрутизации каждого
маршрутизатора будет содержать не только информацию о непосредственно
присоединенных сетях, но и о путях к удаленным сетям. Ниже приведен пример
конфигурирования протокола RIPv1 на маршрутизаторе R-В сети рис. 3.2.:
R-В(config)#router rip
R-В(config-router)#network 200.5.5.0
R-В(config-router)#network 200.6.6.0
R-В(config-router)#network 192.168.20.0
В приведенном примере по командам network перечислены три сети,
непосредственно присоединенные к маршрутизатору. Их адреса передаются через все
интерфейсы соседним маршрутизаторам. Другие маршрутизаторы конфигурируется
аналогично.
Для отключения протокола RIP используется команда:
R-В(config)#no router rip
Согласно алгоритма Беллмана-Форда маршрутизатор А посылает маршрутизатору
В информацию о пути в Сеть 1, при этом добавляется 1 к значению вектора расстояния, т.е.
метрика увеличивается до единицы. Таким образом, в таблице маршрутизации В будет
информация, что расстояние до Сети 1 равно одному переходу [120/1]:
R-B#show ip route
...
Gateway of last resort is not set
R 192.168.10.0/24 [120/1] via 200.5.5.11, 00:00:02, Serial1/2
C 192.168.20.0/24 is directly connected, FastEthernet0/0
53
C 200.5.5.0/24 is directly connected, Serial1/2
C 200.6.6.0/24 is directly connected, Serial1/1
Первый вход (первая строка) таблицы маршрутизации задает путь к удаленной сети
назначения. В квадратных скобках таблицы кроме значения метрики отображается
административное расстояние протокола (AD = 120). В строке также показан адрес
следующего перехода (200.5.5.11), выходной интерфейс (S1/2) и значение таймера,
настроенного на период в 30 сек., т.е. следующее обновление маршрутной информации
будет через 28 сек.
Если на маршрутизаторах R-C и R-D также сконфигурирован протокол RIP, то R-В
посылает копию таблицы маршрутизации маршрутизатору С, где метрика расстояния до
Сети 1 увеличивается до 2:
R-С#show ip route
...
Gateway of last resort is not set
R
R
C
R
C
C
192.168.10.0/24 [120/2] via 200.6.6.11, 00:00:04, Serial1/2
192.168.20.0/24 [120/1] via 200.6.6.11, 00:00:04, Serial1/2
192.168.30.0/24 is directly connected, FastEthernet0/0
200.5.5.0/24 [120/1] via 200.6.6.11, 00:00:04, Serial1/2
200.6.6.0/24 is directly connected, Serial1/2
200.7.7.0/24 is directly connected, Serial1/1
Кроме того, в результате обмена маршрутной информацией между R-B R-C в таблице
последнего появились маршруты к Сети 2 и Сети 5, метрика которых составляет 1.
В свою очередь, маршрутизатор С обменивается маршрутной информацией с
маршрутизатором D, при этом метрика пути в Сеть 1 повышается до 3, а в Сеть 2 и Сеть 5 –
до 2. То есть, результирующий вектор или расстояние поэтапно увеличивается.
R-D#show ip route
...
Gateway of last resort is not set
R
R
R
C
R
R
C
192.168.10.0/24 [120/3] via 200.7.7.11, 00:00:03, Serial1/2
192.168.20.0/24 [120/2] via 200.7.7.11, 00:00:03, Serial1/2
192.168.30.0/24 [120/1] via 200.7.7.11, 00:00:03, Serial1/2
192.168.40.0/24 is directly connected, FastEthernet0/0
200.5.5.0/24 [120/2] via 200.7.7.11, 00:00:03, Serial1/2
200.6.6.0/24 [120/1] via 200.7.7.11, 00:00:03, Serial1/2
200.7.7.0/24 is directly connected, Serial1/2
Эта особенность алгоритма может приводить к появлению маршрутных петель в
случае медленной конвергенции после изменений в сети. Движение пакетов по маршрутной
петле теоретически может быть бесконечным. Однако в существующих протоколах имеется
54
ряд средств, чтобы
маршрутизации.
предотвратить
бесконечную
циркуляцию
пакетов
по
петле
1. В протоколе вектора расстояния RIP максимальное значение метрики не может
превышать 15. Поэтому, как только при обмене маршрутной информацией
возрастающая на каждом шаге движения по петле метрика достигает значения 16,
сеть будет считаться недостижимой и пакет отбрасывается.
2. В заголовке сетевого протокола IP (см. рис. 6.1 Часть 1) имеется поле времени
жизни TTL, которое декрементируется при прохождении каждого маршрутизатора.
Таким образом, число устройств, через которые может пройти пакет, ограничено. При
обнулении значения TTL маршрутизатор отбрасывает пакет и отправителю с
помощью протокола ICMP посылается сообщение о недостижимости сети.
3. Принцип расщепления горизонта (split horizon) указывает, что нельзя посылать
информацию маршрутизатору о недостижимости сети в обратном направлении, т.е.
запрещается пересылать обновления на тот же интерфейс, откуда первоначально была
получена информация о состоянии соединения.
4. Пометка недоступного маршрута запрещенной метрикой (route poisoning). В этом
случае маршрутизатор сразу же после получения сообщения о недостижимости
какой-то сети, включает в соответствующую строку таблицы маршрутизации
запрещенное значение метрики, равное 16. Обычно этот метод используется
совместно с принципом расщепления горизонта и механизмом мгновенной рассылки
объявлений об изменении топологии сети.
5. Согласно метода мгновенных обновлений (triggered update) их рассылка
производится сразу, как только маршрутизатор обнаружит какие-либо изменения в
сети, не дожидаясь окончания периода обновления. Последующие маршрутизаторы
также мгновенно рассылают информацию об изменении в сети. Это приводит к
ускорению конвергенции сети.
6. Таймер удержания информации (holddown timer) запускается на маршрутизаторе,
когда от соседнего устройства приходит информация о том, что ранее доступная сеть
становится недоступной. Это дает больше времени для распространения информации
об изменениях по всей сети. При этом возможны разные варианты действия
протокола вектора расстояния:
а) если до истечения времени таймера удержания информации от того же устройства
приходит обновление, что сеть снова стала достижимой, то протокол помечает сеть как
доступную и выключает таймер;
б) если до истечения времени таймера приходит обновление от другого
маршрутизатора с лучшей метрикой, чем была ранее, то протокол помечает сеть как
доступную и выключает таймер;
в) если до истечения времени таймера приходит обновление от другого
маршрутизатора с худшей метрикой, то это обновление игнорируется.
55
Таким образом, указанные меры борьбы с маршрутными петлями позволяют
маршрутизаторам избегать их. Однако время конвергенции протокола RIP велико, по
сравнению с протоколами состояния канала link-state. Поэтому протокол RIP используется
только в малых сетях. Однако у названного протокола есть важное достоинство. Для его
функционирования требуется существенно меньше объем оперативной памяти и меньшее
быстродействие центрального процессора. Поэтому данный протокол остается
востребованным, он разработан и для новой версии IPv6.
Протокол вектора расстояния RIP не включает в обновления маршрутизации
информацию о маске подсети (о префиксе), поэтому является протоколом маршрутизации на
основе адресов полного класса (classfull), что является главным недостатком протокола.
В случае не корректно спроектированной сети, содержащей разделенные подсети
одной сети полного класса, применение протокола RIP может привести к проблемам
маршрутизации. Примером не корректно спроектированной сети является схема рис. 3.3.
Сеть 6
200.5.5.4/30
Сеть 5
200.5.5.0/30
.1
.2
S1/1
S1/2
F0/0
.17
A
F0/1 .33
.18
.30
Cеть 1
192.168.10.16/28
.34
.62
Сеть 2
192.168.10.32/27
.5
B
.6
S1/1 S1/2
F0/0 .129
F0/0 .65
.66
.70
Сеть 3
192.168.20.64/29
C
.130
.190
Cеть 4
192.168.10.128/26
Рис. 3.3. Пример составной сети
Из рис. 3.3 следует, что Сеть 1 (192.168.10.16/28), Сеть 2 (192.168.10.32/27) и Сеть 4
(192.168.10.128/26) являются подсетями сети 192.168.10.0/24. Причем, Сети 1, 2 и Сеть 4
разделены Сетью 5 и Сетью 6. Конфигурирование адресов интерфейсов и протокола RIP
приведено на примере маршрутизатора R-A:
R_А(config)#router rip
R_А(config-router)#network 192.168.10.16
R_А(config-router)#network 192.168.10.32
R_А(config-router)#network 200.5.5.0
R-А#show run
56
...
interface FastEthernet0/0
ip address 192.168.10.17 255.255.255.240
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.10.33 255.255.255.224
duplex auto
speed auto
!
interface Serial1/1
ip address 200.5.5.1 255.255.255.252
clock rate 64000
!
router rip
network 192.168.10.0
network 200.5.5.0
Поскольку RIP относится к протоколам типа classfull, то он объединяет отдельные
подсети в рамках сети полного класса, в данном случае сети класса С, что можно увидеть из
распечатки команды show running-config (выделено цветом). Две подсети (192.168.10.16 и
192.168.10.32), которые были заданы при конфигурировании, протокол RIP объединил в сеть
класса С (network 192.168.10.0).
R-А#show ip route
...
Gateway of last resort is not set
192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.10.16/28 is directly connected, FastEthernet0/0
C 192.168.10.32/27 is directly connected, FastEthernet0/1
R 192.168.20.0/24 [120/1] via 200.5.5.2, 00:00:05, Serial1/1
200.5.5.0/30 is subnetted, 2 subnets
C 200.5.5.0 is directly connected, Serial1/1
R 200.5.5.4 [120/1] via 200.5.5.2, 00:00:05, Serial1/1
Из распечатки команды sh ip route следует, что сеть 192.168.10.0/24 разделена на две
непосредственно присоединенных подсети с масками разной длины: 192.168.10.16/28 и
192.168.10.32/27. При этом сеть полного класса 192.168.10.0/24 называется родительской, а
подсети 192.168.10.16/28 и 192.168.10.32/27 – дочерними.
Кроме того, в таблице маршрутизации R-А (рис. 3.3) отсутствует маршрут к сети
192.168.10.128/26. Поскольку протокол RIP в своих обновлениях не передает маску подсети,
то подсеть 192.168.10.128/26 объединена в рамках сети 192.168.10.0/24. Из-за отсутствия в
таблице маршрутизации R-А маршрута к сети 192.168.10.128/26 «пингование» интерфейса
192.168.10.129 – неудачное:
57
R-А>ping 192.168.10.129
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.129, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Конфигурирование маршрутизатора В дало следующий результат:
R-В#show ip route
...
Gateway of last resort is not set
R 192.168.10.0/24 [120/1] via 200.5.5.1, 00:00:15, Serial1/2
[120/1] via 200.5.5.6, 00:00:02, Serial1/1
192.168.20.0/29 is subnetted, 1 subnets
C 192.168.20.64 is directly connected, FastEthernet0/0
200.5.5.0/30 is subnetted, 2 subnets
C 200.5.5.0 is directly connected, Serial1/2
C 200.5.5.4 is directly connected, Serial1/1
Протокол RIP объединил две подсети 200.5.5.0/30 и 200.5.5.4/30 в сеть network
200.5.5.0, поэтому в таблице маршрутизации R-В имеется два маршрута к сети
192.168.10.0/24, причем, один путь направлен влево через интерфейс 200.5.5.1, а другой
вправо через 200.5.5.6. Поскольку оба пути характеризуются одинаковой метрикой, равной 1,
то протокол RIP использует баланс маршрутов и поочередно посылает пакеты через два
разных интерфейса одному адресату назначения, например – 192.168.10.17. Поэтому один
пакет доходит до адресата, а второй – нет:
R_В#ping 192.168.10.17
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.17, timeout is 2 seconds:
!U!.!
Success rate is 60 percent (3/5), round-trip min/avg/max = 34/59/59 ms
Пакеты эхо запроса поочередно попадают, то к адресату назначения (ответ !), то
направляются в другую сторону, где устройство назначения недоступно (U) или время
ожидания превышает допустимое (.).
В таблице маршрутизации R-С отсутствует маршрут к подсетям 192.168.10.16/28 и
192.168.10.32/27, поскольку они объединены с подсетью 192.168.10.128/26 в рамках одной
родительской сети 192.168.10.0:
R_С#show ip route
...
192.168.10.0/26 is subnetted, 1 subnets
58
C 192.168.10.128 is directly connected, FastEthernet0/0
R 192.168.20.0/24 [120/1] via 200.5.5.5, 00:00:03, Serial1/2
200.5.5.0/30 is subnetted, 2 subnets
R 200.5.5.0 [120/1] via 200.5.5.5, 00:00:03, Serial1/2
C 200.5.5.4 is directly connected, Serial1/2
Таким образом, в некорректно спроектированной сети (рис. 3.3) подсети
192.168.10.16/28, 192.168.10.32/27 и 192.168.10.128/26 разделены (или, по-другому,
разобщены) сетями 200.5.5.0/30 и 200.5.5.4/30. При использовании протокола RIP в такой
сети ее работоспособность нарушена. Это происходит из-за того, что протокол RIP в своих
обновлениях маршрутной информацией не передает значения маски подсетей и суммирует
адреса подсетей в рамках сети полного класса.
59
3.3. Протоколы RIP-2 и RIPng
Для обеспечения бесклассовой междоменной маршрутизации CIDR и возможности
использования сетевых масок переменной длины VLSM разработан и эксплуатируется
протокол вектора расстояния RIPv2, который в обновлениях передает не только адрес сети
назначения, но и значение маски подсети, а также адрес следующего перехода (шлюза).
При этом используется значение маски интерфейса, к которому присоединена сеть,
поэтому маска при конфигурировании не задается, также как в RIPv1. Обмен маршрутной
информацией происходит с использованием сегментов UDP (адрес порта 250). Кроме того,
протокол RIPv2 поддерживает механизм аутентификации для обеспечения безопасности
модификации таблиц. Остальные параметры RIPv2 такие же, как у протокола RIPv1.
При конфигурировании RIPv2 на маршрутизаторах А, В, С (рис. 3.3) необходимо
дополнительно указать, что используется протокол версии 2. Например, при
конфигурировании маршрутизатора А:
R_А(config)#router rip
R_А(config-router)#version 2
R_А(config-router)#network 192.168.10.16
R_А(config-router)#network 192.168.10.32
R_А(config-router)#network 200.5.5.0
Кроме того, чтобы не корректно спроектированная сеть (рис. 3.3) функционировала,
необходимо отменить автоматическое суммирование маршрутов. Автоматическое
суммирование дает возможность сократить число входов (строк) таблицы маршрутизации,
что ускоряет процесс обработки адресов назначения маршрутизатором. При этом вместо
адресов нескольких подсетей будет задан один агрегированный (объединенный) адрес.
Однако в случае не корректно спроектированной сети (рис. 3.3) подсети 192.168.10.16/28,
192.168.10.32/27 и 192.168.10.128/26 будут объединены в рамках адреса 192.168.10.0/24 сети
полного класса, поэтому работоспособность сети будет нарушена, также как в случае
функционирования протокола RIPv1.
Для нормального функционирования RIPv2 в сети (рис. 3.3) достаточно отменить
режим автосуммирования на всех маршрутизаторах:
R_А(config)#router rip
R_А(config-router)#version 2
R_А(config-router)#no auto-summary
Работоспособность сети проверяется по командам show run, show ip route, ping, tracert,
traceroute. Ниже приведена распечатка таблицы маршрутизации R-B:
R-В#show ip route
...
Gateway of last resort is not set
60
192.168.10.0/24 is variably subnetted, 3 subnets, 3 masks
R 192.168.10.16/28 [120/1] via 200.5.5.1, 00:00:21, Serial1/2
R 192.168.10.32/27 [120/1] via 200.5.5.1, 00:00:21, Serial1/2
R 192.168.10.128/26 [120/1] via 200.5.5.6, 00:00:24, Serial1/1
192.168.20.0/29 is subnetted, 1 subnets
C 192.168.20.64 is directly connected, FastEthernet0/0
200.5.5.0/30 is subnetted, 2 subnets
C 200.5.5.0 is directly connected, Serial1/2
C 200.5.5.4 is directly connected, Serial1/1
R-В#
Поскольку на R-B и на соседних маршрутизаторах сконфигурирован протокол RIPv2
и отменен режим автоматического суммирования маршрутов, то в таблицах существуют
маршруты к адресам подсетей с масками переменной длины.
Распечатка показывает, что родительская сеть 192.168.10.0/24 включает три
дочерние подсети (192.168.10.16/28, 192.168.10.32/27, 192.168.10.128/26) с масками
переменной длины. Родительская сеть 200.5.5.0/30 включает две дочерние подсети (200.5.5.0,
200.5.5.4) с масками одинаковой длины, поэтому префикс (/30) задан для родительской сети.
Пути к сетям, маска которых равна или меньше маски сети полного класса,
называются маршрутами уровня 1. Примером маршрута уровня 1 из приведенной
распечатки является маршрут к прямо присоединенной сети
(C 192.168.20.64 is directly
connected, FastEthernet0/0). Путь к родительской сети 192.168.10.0/24 тоже является
маршрутом уровня 1. К маршрутам уровня 1 также относятся маршруты по умолчанию и
маршруты к объединенным сетям (supernet).
Пути к дочерним сетям являются маршрутами уровня 2.
Выбор маршрута осущестляется на принципе максимально длинного совпадения
сетевой части адреса назначения пакета и строки таблицы маршрутизации.
Если в маршруте указан адрес следующего перехода или выходной интерфейс, то
такой маршрут называет окончательным (ultimate). Например, маршрут R 192.168.10.16/28
[120/1] via 200.5.5.1, 00:00:21, Serial1/2 является окончательным.
Важную информацию об используемом протоколе дает распечатка команды show ip
protocol:
R-B>show ip protocols
Routing Protocol is "rip"
Sending updates every 30 seconds, next due in 21 seconds
Invalid after 180 seconds, hold down 180, flushed after 240
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Redistributing: rip
Default version control: send version 2, receive 2
Interface
Send Recv Triggered RIP Key-chain
FastEthernet0/0 2 2
Serial1/1
2 2
61
Serial1/2
2 2
Automatic network summarization is not in effect
Maximum path: 4
Routing for Networks:
192.168.20.0
200.5.5.0
Passive Interface(s):
Routing Information Sources:
Gateway Distance Last Update
200.5.5.1
120 00:00:16
200.5.5.6
120 00:00:03
Distance: (default is 120)
Из распечатки следует, что используется протокол RIP с административным расстоянием
120. Выделенная цветом часть строки распечатки показывает, что это протокол RIPv2,
который посылает и принимает обновления версии 2 (send version 2, receive 2) через все свои
интерфейсы. Автоматическое суммирование выключено. Маршрутизация реализована для
присоединенных сетей 192.168.20.0 и 200.5.5.0, пассивные интерфейсы отсутствуют. Шлюзами
для пересылки пакетов являются 200.5.5.1 и 200.5.5.6 .
Через пассивный интерфейс маршрутизатор может получать обновления, но
отправлять обновления не может. В остальном – это обычный интерфейс, через который
передаются пакеты данных. Например, в схеме рис. 3.3 через интерфейс F0/0 нет смысла
передавать обновления из маршрутизатора R-B, поскольку в локальной сети 3
(192.168.20.64/29) нет маршрутизаторов RIP. Поэтому интерфейс F0/0 можно
сконфигурировать как пассивный:
R-B(config)#router rip
R-B(config-router)#passive-interface f0/0
Команда passive-interface default делает все интерфейсы пассивными. Отмена
пассивного режима интерфейса производится по команде no passive-interface.
Следует отметить, что команда passive-interface используется и в других протоколах
маршрутизации.
При рассмотрении статической маршрутизации отмечалось, что на граничных с сетью
ISP маршрутизаторах (R-C на рис. 3.4) обычно конфигурируется статический маршрут по
умолчанию.
62
200.5.5.0/30
.1
.2
S1/1
S1/2
F0/0
.17
A
F0/1 .33
.18
.30
Cеть 1
192.168.10.16/28
.34
.62
Сеть 2
192.168.10.32/27
.5
B
.70
Сеть 3
192.168.20.64/29
200.7.7.0/24
.6
S1/1 S1/2
C
.11
.12
S1/1
S1/2
F0/0 .129
F0/0 .65
.66
Сеть 7
Сеть 6
200.5.5.4/30
Сеть 5
.130
ISP
.190
Cеть 4
192.168.10.128/26
Рис. 3.4. Пример распределенной сети
Например, в сети рис. 3.4 такой маршрут о умолчанию формируется на
маршрутизаторе R-C:
R-С(config)#ip route 0.0.0.0 0.0.0.0 200.7.7.12
При этом таблица маршрутизации R-C будет включать маршрут по умолчанию, который
помечен символом S*:
R-С#>sh ip route
...
Gateway of last resort is 200.7.7.12 to network 0.0.0.0
192.168.10.0/24 is variably subnetted, 3 subnets, 3 masks
R 192.168.10.16/28 [120/2] via 200.5.5.5, 00:00:19, Serial1/2
R 192.168.10.32/27 [120/2] via 200.5.5.5, 00:00:19, Serial1/2
C 192.168.10.128/26 is directly connected, FastEthernet0/0
192.168.20.0/29 is subnetted, 1 subnets
R 192.168.20.64 [120/1] via 200.5.5.5, 00:00:19, Serial1/2
200.5.5.0/30 is subnetted, 2 subnets
R 200.5.5.0 [120/1] via 200.5.5.5, 00:00:19, Serial1/2
C 200.5.5.4 is directly connected, Serial1/2
C 200.7.7.0/24 is directly connected, Serial1/1
S* 0.0.0.0/0 [1/0] via 200.7.7.12
После создания маршрута по умолчанию в таблице маршрутизации формируется
шлюз последней надежды (Gateway of last resort is 200.7.7.12 to network 0.0.0.0).
Чтобы не конфигурировать маршруты по умолчанию на R-А и R-В, на них можно
распространить уже созданный маршрут по следующей команде:
R-С(config)#router rip
R-С(config-router)#default-information originate
63
При этом в таблицах маршрутизации R-А и R-В будет сформирован маршрут по умолчанию,
помеченный символом R*:
R-В>sh ip route
...
Gateway of last resort is 200.5.5.6 to network 0.0.0.0
192.168.10.0/24 is variably subnetted, 3 subnets, 3 masks
R 192.168.10.16/28 [120/1] via 200.5.5.1, 00:00:22, Serial1/2
R 192.168.10.32/27 [120/1] via 200.5.5.1, 00:00:22, Serial1/2
R 192.168.10.128/26 [120/1] via 200.5.5.6, 00:00:06, Serial1/1
192.168.20.0/29 is subnetted, 1 subnets
C 192.168.20.64 is directly connected, FastEthernet0/0
200.5.5.0/30 is subnetted, 2 subnets
C 200.5.5.0 is directly connected, Serial1/2
C 200.5.5.4 is directly connected, Serial1/1
R* 0.0.0.0/0 [120/1] via 200.5.5.6, 00:00:06, Serial1/1
R-А>sh ip route
...
Gateway of last resort is 200.5.5.2 to network 0.0.0.0
192.168.10.0/24 is variably subnetted, 3 subnets, 3 masks
C 192.168.10.16/28 is directly connected, FastEthernet0/0
C 192.168.10.32/27 is directly connected, FastEthernet0/1
R 192.168.10.128/26 [120/2] via 200.5.5.2, 00:00:07, Serial1/1
192.168.20.0/29 is subnetted, 1 subnets
R 192.168.20.64 [120/1] via 200.5.5.2, 00:00:07, Serial1/1
200.5.5.0/30 is subnetted, 2 subnets
C 200.5.5.0 is directly connected, Serial1/1
R 200.5.5.4 [120/1] via 200.5.5.2, 00:00:07, Serial1/1
R* 0.0.0.0/0 [120/2] via 200.5.5.2, 00:00:07, Serial1/1
То есть, маршрут R* распространен протоколом RIP. Аналогичные механизмы есть и
в других протоколах.
Протокол RIPng
Для работы в сетях IPv6 на базе RIPv2 разработан протокол RIPng с
административным расстоянием AD = 120 и допустимым количеством переходов – 15.
Конфигурирование протокола RIPng приведено на примере сети рис. 3.5, где сформировано
пять подсетей (2001:db8:a:1::/64, 2001:db8:a:2::/64, 2001:db8:a:3::/64, 2001:db8:a:4::/64,
2001:db8:a:5::/64).
64
2001:db8:a:1::1/64
2001:db8:a:3::1/64
S0/3/0
Sw1
...
2001:db8:a:3::2/64
2001:db8:a:5::1/64
S0/3/1
G0/1
B
DCE
2001:db8:a:2::1/64 G0/1
2001:db8:a:4::1/64 G0/0
G0/0
A
Sw2
Sw3
...
...
Sw4
...
Рис. 3.5. Пример сети IPv6
Для работы любого маршрутизирующего протокола в сети IPv6 необходимо
разрешить маршрутизаторам передачу пакетов сетевого протокола IPv6, для чего
используется команда:
R-A(config)#ipv6 unicast-routing
Формирование маршрутизирующего протокола RIPng производится в режиме
конфигурирования интерфейса, что является главным отличием RIPng от RIP-2. При этом
используется следующая последовательность команд:
R-A(config)#int g0/0
R-A(config-if)#ipv6 rip RIP6 enable
где RIP6 – доменное имя протокола.
Аналогично настраиваются все другие интерфейсы маршрутизаторов сети. Таким
образом, при конфигурировании RIPng прямо присоединенные сети по команде network не
задаются. Протокол конфигурирутся на каждом интерфейсе.
Сетевой протокол IPv6 является бесклассовым, поэтому все пути в таблице
маршрутизации являются окончательными маршрутами уровня 1.
65
3.4. Протокол EIGRP
В настоящее время на аппаратуре Cisco рекомендовано использовать расширенный
дистанционно-векторный маршрутизирующий протокол (Enhanced Interior Gateway Routing
Protocol – EIGRP). Административное расстояние EIGRP равно 90 (см. табл. 1.1). Протокол
EIGRP используется внутри автономных систем (АS), в которых группы маршрутизаторов
разделяют маршрутную информацию (см. рис. 3.1). Протокол обеспечивает до 255
переходов, в отличие от протокола RIP, который обеспечивает 15 переходов.
Автономные системы объединяют сети под общим административным управлением.
Поскольку все маршрутизаторы в АS должны совместно использовать маршрутную
информацию, то у них конфигурируется одинаковый номер автономной системы.
При формировании маршрутов протокол EIGRP использует специально
разработанный для этих целей алгоритм (Diffusing Update Algorithm – DUAL). Согласно
алгоритма DUAL протокол EIGRP не проводит периодический обмен объемными
обновлениями (update) маршрутной информации, а использует небольшие пакеты Hello для
контроля связи с соседними маршрутизаторами (механизм keepalive).
Обмен маршрутной информацией производится только при возникновении изменений
в сети (появление новых связей, недоступных узлов и сетей, изменение метрики). При
обмене используется групповой адрес 224.0.0.10, в отличие от протокола RIP, который
использует широковещательный адрес 255.255.255.255. Причем, производится обмен
неполной (partial) маршрутной информацией, касающейся только изменений в сети, и с
ограниченным (bounded) числом тех маршрутизаторов, которых затрагивают эти
изменения. Кроме того, алгоритм DUAL не использует таймеры удержания информации
holddown (см. раздел 3.2), как это делает алгоритм Беллмана-Форда протокола RIP. Поэтому
сходимость (convergence) сетей EIGRP более быстрая.
При обмене маршрутной информацией алгоритма DUAL создает топологическую
таблицу, в которой хранятся не только наилучшие маршруты, но и альтернативные. При
выходе из строя основного маршрута алгоритм DUAL использует резервный из
топологической таблицы без дополнительных вычислений и обмена с другими
маршрутизаторами. Это также ускоряет сходимость.
Протоколы маршрутизации используют метрику, чтобы определить кратчайший
маршрут к устройству назначения. Метрика протокола EIGRP учитывает совокупность
параметров. Алгоритм DUAL протокола рассчитывает значение метрики для каждого пути
через сеть. Меньшее число указывает лучший маршрут. Полоса пропускания и задержка
являются статическими параметрами метрики, они остаются неизменными для каждого
интерфейса, пока не будет перестроена сеть или реконфигурирован маршрутизатор.
Параметры загрузка (load) и надежность (reliability) являются динамическими, они могут
рассчитываться маршрутизатором для каждого интерфейса в реальном времени.
Чем больше факторов, которые составляют метрику, тем больше гибкость протокола,
чтобы учитывать особенности сети. По умолчанию, протокол EIGRP использует
66
статические параметры (полосу пропускания и задержки), чтобы вычислить значение
метрики. Но при вычислении метрики могут также использоваться динамические факторы
загрузки и надежности, т.е маршрутизатор может принять решение, основанное на текущем
состоянии сети. Если соединение становится сильно загруженным или ненадежным, метрика
увеличится. При этом может использоваться запасной маршрут.
Для вычисления метрики М протоколов IGRP, EIGRP используется следующая
обобщенная формула:
M = [k1 * Bandwidth + (k2 * Bandwidth)/(256-load) + k3*Delay] * [k5/(reliability + k4)] ,
где * – обобщенный оператор,
k – коэффициенты, которые могут принимать значения 0 или 1.
По умолчанию коэффициенты k1 = k3 = 1 и k2 = k4 = k5 = 0, при этом метрика EIGRP
вычисляется следующим образом:
Метрика = (10 000 000/ Bandwidth + Σ delay/10)×256
При вычислении значения метрики полоса пропускания (Bandwidth) задается в
кбит/с, а суммарная задержка – в мкс. Задержка определяется типом выходного
интерфейса маршрутизатора и технологией среды передачи данных. Задержка интерфейсов
FastEthernet равна 100 мкс, Ethernet – 1000 мкс, интерфейсов первичных потоков Е1, Т1 – 20
000 мкс. Задержка интерфейсов ОЦК (64 кбит/с) также составляет 20 000 мкс.
Метрика маршрута, состоящего из нескольких соединений, определяется
полосой пропускания самого «медленного» соединения и суммарной задержкой всех
выходных интерфейсов маршрутизаторов.
Например, если сообщение передается с узла локальной сети через интерфейс
FastEthernet маршрутизатора и далее через последовательный интерфейс, предназначенный
для передачи первичного цифрового потока с полосой пропускания 2048 кбит/с, то метрика
будет равна:
107 ×∙256 /2048 + (20 000 +100) ×∙256/10 = 125∙104 + 514560 = 1 764 560.
Метрика соединения со скоростью передачи 64 кбит/с будет равна 40 ∙ 106, а при скорости
128 кбит/с метрика – 20∙ 106. По умолчанию на соединениях задана либо скорость 128 кбит/с,
либо скорость Е1 или Т1.
Значения коэффициентов k1, k2, k3, k4, k5 можно изменить по команде:
Router(confi-router)#metric weights tos k1 k2 k3 k4 k5
Значения k1, k2, k3, k4, k5 передается в пакете протокола EIGRP.
Заголовок пакета EIGRP располагается следом за заголовком IP-пакета и содержит
код типа пакета, номер автономной системы. В самом EIGRP-пакете содержится
67
информация о значениях коэффициентов k1, k2, k3, k4, k5, задержки, ширины полосы
пропускания, надежности, загрузки, префиксе, т.е. о маске переменной длины и другая
информация.
Особенностью протокола EIGRP является использование собственного протокола
надежной доставки (Reliable Transport Protocol – RTP), поскольку EIGRP взаимодействует
не только с IP-протоколом, но и с протоколами IPX, Apple-Talk, которые не поддерживают
TCP и UDP. Протокол надежной доставки RTP может работать с подтверждением доставки
(reliable) и без подтверждения (unreliable).
Для обмена информацией между маршрутизаторами протокол EIGRP использует пять
типов пакетов:
1. Hello
2.
3.
4.
5.
Update
Acknowledgment
Query
Replay
Hello-пакеты используются, чтобы поддерживать отношения смежности (adjacency)
между соседними устройствами. Они передаются периодически с использованием
многоадресного режима (адрес 224.0.0.10) и без подтверждения доставки. В большинстве
случаев период рассылки Hello-пакетов составляет 5 сек. Если в течение утроенного периода
времени рассылки Hello-пакет не будут получены, то это будет означать, что связь с
устройством потеряна. Результатом обмена Hello-пакетами является построение таблицы
соседних устройств (Neighbor Table). Таблицу соседних
маршрутизатора R_B (рис. 3.6) можно посмотреть по команде:
устройств,
например,
R_В#show ip eigrp neighbors
IP-EIGRP neighbors for process 1
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 200.5.5.1 Ser1/2 10 00:01:09 40 500 0 12
1 200.5.5.6 Ser1/1 11 00:01:09 40 500 0 17
68
200.5.5.0/30
.1
.2
S1/1
S1/2
F0/0
.17
A
F0/1 .33
.18
.30
Cеть 1
192.168.10.16/28
.34
.62
Сеть 2
192.168.10.32/27
.5
B
.70
Сеть 3
192.168.20.64/29
200.7.7.0/24
.6
S1/1 S1/2
C
.11
.12
S1/1
S1/2
F0/0 .129
F0/0 .65
.66
Сеть 7
Сеть 6
200.5.5.4/30
Сеть 5
.130
ISP
.190
Cеть 4
192.168.10.128/26
Рис. 3.6. Сеть с протоколом EIGRP
В таблице указаны адреса входных интерфейсов соседних маршрутизаторов (Address), типы
собственных выходных интерфейсов (Interface), значение текущего времени (Holdtime) и
другая информация.
Второй тип пакетов Update рассылается не периодически, а только по мере
возникновения изменений в сети. Пакеты могут рассылаться в одноадресном (unicast) или
многоадресном (multiicast) режиме. Рассылка пакетов Update проводится с подтверждением
доставки (Acknowledgment), сами пакеты подтверждения Acknowledgment рассылаются в
одноадресном режиме без подтверждения доставки.
Пакеты Query и Replay используются алгоритмом DUAL для начального создания
топологии сети и при ее изменениях. При этом всегда применяется надежная доставка.
Пакеты Query могут рассылаться в одноадресном или многоадресном режимах, Replay –
всегда в одноадресном.
Для эффективного функционирования помимо таблицы соседних устройств
(Neighbor Table) протокол EIGRP строит и поддерживает таблицу топологии сети (Topology
Table) и таблицу маршрутизации (Routing Table). При любых изменениях топологии,
которые фиксируются в таблицах соседних устройств и топологии сети, алгоритм DUAL
либо включает в таблицу маршрутизации запасные маршруты из таблицы топологии, либо
вычисляет новые маршруты и затем включает их в таблицу маршрутизации. Алгоритм
DUAL обеспечивает вычисление маршрутов свободных от маршрутных петель (loopfree).
Конфигурирование протокола EIGRP
Составная сеть (рис. 3.6) может быть интерпретирована, как автономная система,
например, номер 30. Адреса сетей, интерфейсов и узлов составной сети приведены на схеме.
69
При адресации типа classless в сетях EIGRP можно адресовать подсети с использованием
масок переменной длины, поскольку протокол EIGRP передает значение масок в своих
пакетах Update. Причем используется маска переменной длины типа wildcard-mask.
Подобная маска получается путем инвертирования обычной маски подсети. Если при
конфигурировании ввести обычную маску, то операционная система IOS исправит маску на
инвертированную, например, маску 255.255.255.240 операционная система исправит на
0.0.0.15, что будет отображено по команде show running-config.
Ниже приведен пример конфигурирования на маршрутизаторах А, В, С протокола
EIGRP. Активизация протокола EIGRP производится командой router eigrp 30 в режиме
глобального конфигурирования с указанием номера автономной системы (в данном примере
30). После перехода маршрутизатора в режим детального конфигурирования вводятся адреса
непосредственно присоединенных сетей с указанием инвертированной маски.
Маршрутизатор R_А:
R_A(config)#router eigrp 30
R_A(config-router)#network 192.168.10.16 0.0.0.15
R_A(config-router)#network 192.168.10.32 0.0.0.31
R_A(config-router)#network 200.5.5.0 0.0.0.3
Маршрутизатор R_B:
R_В(config)#router eigrp 30
R_В(config-router)#network 192.168.20.64 0.0.0.7
R_В(config-router)#network 200.5.5.0 0.0.0.3
R_В(config-router)#network 200.5.5.4 0.0.0.3
Маршрутизатор R_С:
R_С(config)#router eigrp 30
R_С(config-router)#network 192.168.10.128 0.0.0.63
R_С(config-router)#network 200.5.5.4 0.0.0.3
Результат конфигурирования можно посмотреть по команде show ip route. Ниже
приведены распечатки таблиц маршрутизации всех маршрутизаторов. Маршруты, созданные
протоколом EIGRP, помечены символом D.
Таблица маршрутизации R_А:
R_А#sh ip route
...
Gateway of last resort is not set
70
192.168.10.0/24 is variably subnetted, 3 subnets, 3 masks
D 192.168.10.0/24 is a summary, 00:02:05, Null0
C 192.168.10.16/28 is directly connected, FastEthernet0/0
C 192.168.10.32/27 is directly connected, FastEthernet0/1
D 192.168.20.0/24 [90/20514560] via 200.5.5.2, 00:01:05, Serial1/1
200.5.5.0/24 is variably subnetted, 3 subnets, 2 masks
D 200.5.5.0/24 is a summary, 00:01:27, Null0
C 200.5.5.0/30 is directly connected, Serial1/1
D 200.5.5.4/30 [90/21024000] via 200.5.5.2, 00:01:27, Serial1/1
R_А#
Из таблицы следует, что путь в сеть 192.168.10.128/26 отсутствует, поскольку он
входит в суммарный маршрут 192.168.10.0/24. Протокол EIGRP автоматически формирует
суммарные маршруты, которые в таблицах отмечены интерфейсом Null0, что показывает
вторая строка таблицы маршрутизации. Пакеты, поступающие на интерфейс Null0,
уничтожаются. То есть, пакет адресованный подсети 192.168.10.128/26 при поступлении в
маршрутизатор R_А будет уничтожен.
То, что в протоколе RIP называлось адресом следующего перехода (next hop) или
шлюзом, в терминах протокола EIGRP называется преемником (successor). Например, для
маршрута к сети 192.168.20.0/24 (строка 5 таблицы) преемником будет интерфейс 200.5.5.2
маршрутизатора R_В. Административное расстояние EIGRP равно 90, а метрика составляет
20514560, выходным интерфейсом маршрутизатора R_А является Serial1/1.
Таблица маршрутизации R_B:
R_В#sh ip route
...
Gateway of last resort is not set
D 192.168.10.0/24 [90/20514560] via 200.5.5.1, 00:01:45, Serial1/2
[90/20514560] via 200.5.5.6, 00:00:23, Serial1/1
192.168.20.0/24 is variably subnetted, 2 subnets, 2 masks
D 192.168.20.0/24 is a summary, 00:01:18, Null0
C 192.168.20.64/29 is directly connected, FastEthernet0/0
200.5.5.0/24 is variably subnetted, 3 subnets, 2 masks
D 200.5.5.0/24 is a summary, 00:00:43, Null0
C 200.5.5.0/30 is directly connected, Serial1/2
C 200.5.5.4/30 is directly connected, Serial1/1
Из анализа таблицы маршрутизации R_В следует, что путь в объединенную сеть 192.168.10.0/24
может быть как влево через 200.5.5.1, так и вправо через 200.5.5.6, т.е. ситуация аналогична
протоколу RIP.
71
Таблица маршрутизации Router_С:
R_С#sh ip route
...
Gateway of last resort is not set
192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks
D 192.168.10.0/24 is a summary, 00:00:11, Null0
C 192.168.10.128/26 is directly connected, FastEthernet0/0
D 192.168.20.0/24 [90/20514560] via 200.5.5.5, 00:00:07, Serial1/2
200.5.5.0/24 is variably subnetted, 3 subnets, 2 masks
D 200.5.5.0/24 is a summary, 00:00:07, Null0
D 200.5.5.0/30 [90/21024000] via 200.5.5.5, 00:00:07, Serial1/2
C 200.5.5.4/30 is directly connected, Serial1/2
Из таблицы маршрутизации R_С следует, что маршрут к сетям 192.168.10.16/28 и
192.168.10.32/27 отсутствует, вследствие того что протокол EIGRP автоматически
суммировал маршруты и использовал выходной интерфейс Null0. Функцию автоматического
суммирования маршрутов (auto-summary) можно видеть по команде show running-config.
Например, для маршрутизатора R_B:
R_В#sh run
Building configuration...
...
!
router eigrp 30
network 192.168.20.64 0.0.0.7
network 200.5.5.0 0.0.0.3
network 200.5.5.4 0.0.0.3
auto-summary
!
...
Чтобы протокол EIGRP мог обеспечить маршрутизацию в сети (рис.3.6), необходимо
отменить авто-суммирование маршрутов на всех маршрутизаторах, как в протоколе RIPv2.
Например, на маршрутизаторе R_B отмена авто-суммирования производится по следующей
команде:
R_B(config)#router eigrp 30
R_B(config-router)#no auto-summary
Проверка подтверждает отмену авто-суммирования:
R_В#sh run
Building configuration...
...
72
router eigrp 30
network 192.168.20.64 0.0.0.7
network 200.5.5.0 0.0.0.3
network 200.5.5.4 0.0.0.3
no auto-summary
...
Отмена авто-суммирования приводит к увеличению количества строк в таблице
маршрутизации, что повышает нагрузку на процессор при обработке маршрутов. Однако
пятая строка таблицы R_А (выделена цветом) теперь содержит маршрут к подсети
192.168.10.128/26, которого ранее не было, что можно видеть из распечатки команд sh ip
route:
R_А#sh ip route
...
Gateway of last resort is not set
192.168.10.0/24 is variably subnetted, 4 subnets, 4 masks
D 192.168.10.0/24 is a summary, 00:05:09, Null0
C 192.168.10.16/28 is directly connected, FastEthernet0/0
C 192.168.10.32/27 is directly connected, FastEthernet0/1
D 192.168.10.128/26 [90/21026560] via 200.5.5.2, 00:00:14, Serial1/1
192.168.20.0/24 is variably subnetted, 2 subnets, 2 masks
D 192.168.20.0/24 [90/20514560] via 200.5.5.2, 00:00:32, Serial1/1
D 192.168.20.64/29 [90/20514560] via 200.5.5.2, 00:00:32, Serial1/1
...
В остальном, таблица маршрутизации не изменилась.
Аналогичная ситуация и в маршрутизаторе R_В. Если раньше путь в объединенную
сеть 192.168.10.0/24 мог быть как влево через 200.5.5.1, так и вправо через 200.5.5.6, то после
отмены авто-суммирования, путь к подсетям 192.168.10.16/28 и 192.168.10.32/27 лежит влево
через интерфейс 200.5.5.1, а к подсети 192.168.10.128/26 – вправо, через 200.5.5.6. Указанные
маршруты в таблице маршрутизации выделены цветом:
R_В#sh ip route
...
Gateway of last resort is not set
192.168.10.0/24 is variably subnetted, 4 subnets, 4 masks
D 192.168.10.0/24 is a summary, 00:01:44, Null0
D 192.168.10.16/28 [90/20514560] via 200.5.5.1, 00:01:30, Serial1/2
D 192.168.10.32/27 [90/20514560] via 200.5.5.1, 00:01:30, Serial1/2
73
D 192.168.10.128/26 [90/20514560] via 200.5.5.6, 00:01:13, Serial1/1
...
В остальном, таблица маршрутизации не изменилась.
В маршрутизаторе R_С появились пути к подсетям 192.168.10.16/28 и
192.168.10.32/27 (выделены цветом):
R_С#sh ip route
...
192.168.10.0/24 is variably subnetted, 4 subnets, 4 masks
D 192.168.10.0/24 is a summary, 00:02:18, Null0
D 192.168.10.16/28 [90/21026560] via 200.5.5.5, 00:02:02, Serial1/2
D 192.168.10.32/27 [90/21026560] via 200.5.5.5, 00:02:02, Serial1/2
C 192.168.10.128/26 is directly connected, FastEthernet0/0
192.168.20.0/24 is variably subnetted, 2 subnets, 2 masks
D 192.168.20.0/24 is a summary, 00:02:18, Null0
D 192.168.20.64/29 [90/20514560] via 200.5.5.5, 00:02:02, Serial1/2
200.5.5.0/24 is variably subnetted, 3 subnets, 2 masks
D 200.5.5.0/24 is a summary, 00:02:18, Null0
D 200.5.5.0/30 [90/21024000] via 200.5.5.5, 00:02:02, Serial1/2
C 200.5.5.4/30 is directly connected, Serial1/2
Таким образом, протокол EIGRP обеспечивает бесклассовую междоменную
маршрутизацию CIDR и возможность использования сетевых масок переменной длины
VLSM. Протокол EIGRP в обновлениях передает адрес сети назначения, значение сетевой
маски подсети, а также адрес следующего перехода (шлюза).
74
Краткие итоги раздела 3
1. Протоколы динамической маршрутизации разделяют сетевую информацию путем обмена
данными между маршрутизаторами.
2. Протоколы маршрутизации обнаруживают сети и прокладывают маршруты к удаленным
сетям, создавая и поддерживая таблицы маршрутизации, на основе которых
маршрутизатор коммутирует поступивший пакет с входного интерфейса на выходной.
3. Протоколы маршрутизации характеризуются административным расстоянием (AD),
которое показывает степень достоверности источника маршрута, т.е. протокола,
создавшего маршрут. Определение наиболее рационального (оптимального) пути
производится на основе метрики.
4. В качестве метрики может использоваться: количество переходов между
маршрутизаторами на пути до сети назначения; полоса пропускания соединений;
задержка на пути от источника до адресата назначения; загрузка канала; надежность
передачи; обобщенная стоимость.
5. При изменениях в топологии требуется некоторое время (время сходимости или
конвергенции) для согласования информации в таблицах маршрутизации всех
маршрутизаторов сети. Время сходимости должно быть минимальным.
6. Совокупность сетей, представленных набором маршрутизаторов под общим
административным управлением, образует автономную систему.
7. Протоколы динамической маршрутизации, работающие внутри автономных систем,
подразделяются на протоколы вектора расстояния (distance-vector) и протоколы
состояния канала (link-state).
8. Метрика протоколов вектора расстояния RIP и RIP-2 выражается в количестве переходов
(hop count) на пути от узла источника к адресату назначения. Обмен обновлениями или
модификациями происходит периодически каждые 30 сек., даже если в сети нет никаких
изменений. Сходимость медленная.
9. Протокол RIPv1 использует маршрутизациию на основе классов, когда все устройства в
подсети имеют одинаковую маску, т.к. RIP не включает информацию о маске подсети в
обновления маршрутизации.
10. Протоколы вектора расстояния RIP и RIP-2 используют алгоритм Беллмана-Форда, когда
существует возможность возникновения маршрутных петель, для борьбы с которыми
разработан ряд методов.
11. Протоколы RIPv2, EIGRP, OSPF обеспечивают бесклассовую маршрутизацию, поскольку
в обновления включена информация о маске подсети (о префиксе). При этом внутри
одной сети могут существовать подсети с масками разной длины (VLSM).
12. Протокол состояния канала OSPF использует алгоритм Дийкстры (Dijkstra), когда
создается полная картина топологии сети, формируются таблицы соседних устройств,
базы данных, таблицы маршрутизации, и вычисляются кратчайшие пути ко всем сетям
назначения. Обмен маршрутной информацией проводится только при изменениях
топологии. Характеризуются быстрой сходимостью.
13. Когда происходят изменения в маршрутах или каналах, маршрутизатор, первым
заметивший изменение в сети, создает извещение о состоянии этого соединения (LSA) и
передает его всем соседним маршрутизаторам.
14. При обмене маршрутной информацией между маршрутизаторами обновления
передаются через интерфейсы прямо присоединенных сетей и адреса этих сетей
объявляются соседям.
15. Конфигурирование протокола RIP производится путем использования команды router
rip и сообщения протоколу адресов непосредственно присоединенных сетей.
16. Бесклассовый протокол RIPv2 поддерживает механизм аутентификации для обеспечения
безопасности модификации таблиц.
75
17. В таблицах маршрутизации пути к сетям, маска которых равна или меньше маски сети
полного класса, называются маршрутами уровня 1. Если в маршруте указан адрес
следующего перехода или выходной интерфейс, то такой маршрут называет
окончательным.
18. Маршруты также классифицируются на родительские уровня 1 и дочерние уровня 2.
19. Через пассивный интерфейс маршрутизатора передаются пакеты данных, можно
получать обновления, но отправлять обновления нельзя.
20. Для распространения созданного маршрута по умолчанию используется команда defaultinformation originate. Маршрут помечается «звездочкой».
21. Для работы в сетях IPv6 на базе RIPv2 разработан протокол RIPng.
22. Сетевой протокол IPv6 является бесклассовым, поэтому все маршруты в таблице
маршрутизации являются окончательными уровня 1.
23. Для работы любого маршрутизирующего протокола в сети IPv6 необходимо разрешение
ipv6 unicast-routing.
24. Расширенный дистанционно-векторный маршрутизирующий протокол EIGRP
используется внутри автономных систем, имеет административное расстояние 90.
Протокол обеспечивает бесклассовую междоменную маршрутизацию и использование
сетевых масок переменной длины.
25. EIGRP характеризуется быстрой сходимостью. Реализует обмен неполной маршрутной
информацией, касающейся только изменений в сети, и с ограниченным числом
маршрутизаторов, которых затрагивают изменения.
26. Метрика маршрута, состоящего из нескольких соединений, определяется полосой
пропускания самого «медленного» соединения и суммарной задержкой всех выходных
интерфейсов маршрутизаторов.
27. Протокол EIGRP формирует таблицы соседних устройств, таблицы топологии сети и
таблицы маршрутизации.
76
Вопросы по разделу 3
1.
Что означает динамическая маршрутизация?
2.
Какие функции выполняют маршрутизирующие (routing) протоколы?
3.
Какие протоколы функционируют внутри автономных систем и между автономными
система?
4.
Что такое административное расстояние, как оно используется?
5.
Какое административное расстояние протоколов RIP, EIGRP, OSPF?
6.
На основании чего производится определение оптимального пути к сети назначения?
7.
Какие параметры метрики используют маршрутизирующие протоколы?
8.
Что означает термин сходимость?
9.
Как маршрутизаторы обмениваются таблицами маршрутизации с соседями при
использовании алгоритма вектора расстояния?
10. Когда маршрутизаторы обмениваются маршрутной информацией при использовании
протокола состояния канала?
11. Какие адреса используют протоколы RIPv1, RIPv2, EIGRP, OSPF при рассылке
обновлений?
12. Какие алгоритмы маршрутизации используют протоколы RIP, EIGRP, OSPF?
13. Где храниться полная информация о топологии сети при использовании протокола
состояния канала?
14. Когда создается извещение о состоянии соединения LSA?
15. В каких типах маршрутизации информация о маске подсети включается в обновления?
16. Какие методы разработаны для борьбы с маршрутными петлями в протоколах вектора
расстояния?
17. Каковы функции пассивного интерфейса? Каков формат команды создания пассивного
интерфейса?
18. Какая команда распространяет уже созданный маршрут по умолчанию?
19. В чем заключаются особенности конфигурирования протокола RIPng?
20. Какая команда разрешает маршрутизаторам передачу пакетов сетевого протокола IPv6?
21. Какие типы пакетов использует протокол EIGRP для обмена маршрутной
информацией? Каковы их функции?
22. Какие таблицы формирует протокол EIGRP?
23. Каков формат команд конфигурирования протоколов RIP, EIGRP?
24. В каких случаях рекомендуется отменять автосуммирование?
25. Какой маршрут считается окончательным?
26. Почему в сетях IPv6 все маршруты в таблице маршрутизации являются
окончательными уровня 1?
Упражнения
2.
3.
4.
В среде Packet Tracer сконфигурируйте динамическую маршрутизацию
нижеприведенной схемы с использованием протокола RIPv2.
Проведите проверку и отладку сети с использованием команд show running-config,
show ip route, ping, traceroute и tracert.
Прокомментируйте таблицу маршрутизации. Объясните, как формируется метрика
пути к Сети 3 на маршрутизаторах A, B.
77
A
Сеть 4
200.4.4.12/30
DCE
.14
S0/3/0
S0/3/1
G0/0 .129
.130
Сеть 1
192.168.10.128/26
6.
7.
8.
B
S0/3/0
S0/3/1
G0/0 .161
.162
...
5.
Сеть 5
200.4.4.16/30
DCE
.18
C
.17 G0/0
.18
...
Сеть 2
10.10.20.160/27
...
Сеть 3
192.168.10.16/29
Удалите протокол RIP, сконфигурируйте динамическую маршрутизацию с
использованием протокола EIGRP.
Проведите проверку с использованием команд show running-config, show ip route,
ping, traceroute и tracert.
Прокомментируйте таблицу маршрутизации. Объясните, как формируется метрика
пути к Сети 3 на маршрутизаторах A, B.
Измените значение полосы пропускания соединений Сеть 4, Сеть 5 и объясните
изменение метрики.
78
4. ПРОТОКОЛ OSPF
Рассмотрены принципы функционирования протокола динамической маршрутизации
по состоянию канала. Приведены основные характеристики протокола OSPF. Рассмотрены
основы конфигурирования динамической маршрутизации на базе протоколов
маршрутизации OSPF2 в сетях IPv4 и OSPF3 в сетях IPv6. Проанализированы таблицы
маршрутизации.
4.1. Общие сведения о протоколе OSPF
Протокол состояния канала (Link-state) Open Shortest Path First (OSPF)
предназначен для работы в больших гибких составных сетях, где обмен маршрутной
информацией между множеством маршрутпзаторов потребовал бы значительных
вычислительных ресурсов и пропускной способности сети. Поэтому большая сеть делится на
области или зоны (area), внутри которых и происходит рассылка обновлений
(модификаций) при изменениях в сетевой топологии. Использование OSPF внутри
определенной области, в которой маршрутизаторы разделяют маршрутную информацию
между собой (рис. 4.1), снижает нагрузку на сеть.
Область 1
ABR Область 0 ABR Область 21
Рис. 4.1. Области функционирования протокола OSPF
Областей (зон) может быть несколько, среди которых нулевая область (area 0)
является главной или единственной. Остальные зоны взаимодействуют с нулевой областью,
а напрямую между собой не взаимодействуют. Взаимодействие периферийных областей с
магистральной (area 0) производится через пограничные маршрутизаторы ABR (рис. 4.1).
Далее рассматривается случай единственной области area 0.
Протокол OSPF оперативно реагируют на изменения в сети, обеспечивая быструю
сходимость. Он может работать с оборудованием разных фирм производителей, и потому
получил широкое распространение. Административное расстояние протокола OSPF равно
110 (см. табл. 1.1).
79
Протокол OSPF формирует три базы данных, на основе которых создает
соответствующие таблицы:
1. База данных смежности (adjacency database) позволяет сформировать таблицу соседних
устройств (neighbor table), содержимое которой можно посмотреть по команде show ip ospf
neighbor.
2. На основе базы данных о состоянии каналов (Link-State DataBase - LSDB) формируется
таблица топологии сети (topology table), проверяемая по команде show ip ospf database.
После схождения сети базы данных о состоянии каналов LSDB должны быть одинаковы у
всех маршрутизаторов области.
3. На основе базы LSDB и базы данных смежности формируется база пересылки и
создается таблица маршрутизации, которую можно посмотреть по команде show ip route.
В основе протокола OSPF лежит алгоритм Дийкстра (Dijkstra), обеспечивающий
выбор кратчайшего пути (shortest path) к адресату назначения. Протокол OSPF не
проводит периодический обмен объемными обновлениями (update) маршрутной
информации для снижения нагрузки на сеть, и характеризуется быстрой сходимостью.
Сходимость или конвергенция (convergence) сети достигается, когда базы данных о
состоянии каналов LSDB одинаковы у всех маршрутизаторов области.
Для обмена маршрутной информацией между устройствами протокол OSPF
использует пять типов пакетов:
1.
2.
3.
4.
5.
Пакет приветствия Hello.
Пакет описания базы данных DataBase Description – DBD.
Пакет запроса Link-State Request – LSR.
Пакет обновлений Link-State Update – LSU.
Пакет подтверждения Link-State Acknowledgment – LSAck.
Пакеты Hello маршрутизатор отправляет со всех своих интерфейсов, чтобы
обнаружить соседние устройства. В отличие от других, Hello-пакеты рассылаются
периодически и довольно часто, чтобы непрерывно отслеживать работоспособность
соседних устройств. После обмена Hello-пакетами между соседними устройствами
устанавливаются и поддерживаются отношения смежности (adjacency) и формируются
таблицы соседних устройств.
Различают три типа сетей:
1. Широковещательные с множественным доступом (Broadcast multi-access), например
Ethernet.
2. Сети типа точка-точка (Point-to-point).
3. Нешироковещательные с множественным доступом (Nonbroadcast multi-access – NBMA),
например, сети Frame Relay, ATM.
В сетях первых двух типов период рассылки Hello-пакетов – 10 секунд, а в сетях
NBMA – 30 сек. Период простоя (Dead Interval) – в четыре раза больше. Если в течение
80
периода простоя от соседнего устройства не пришло ни одного Hello-пакета, то считается,
что устройство прекратило функционирование. Протокол OSPF удалит не отвечающего
соседа из базы данных LSDB. При рассылке Hello-пакетов в сетях IPv4 используется адрес
224.0.0.5 многоадресного режима без подтверждения доставки. В сетях IPv6 для рассылки
используется адрес FF02::5.
Пакет DBD содержит сокращенный список базы данных передающего маршрутизатора
и используется принимающим маршрутизатором для синхронизации (проверки) своей базы
данных. Базы данных должны быть идентичными. Принимающий маршрутизатор может
запросить полную информацию о входах базы данных передатчика, используя пакет запроса
Link-State Request – LSR .
Для обмена объявлениями о состоянии канала используется пакет обновлений LinkState Update – LSU. Пакет LSU может содержать различные типы извещений или объявлений
(Link-State Advertisements – LSAs). Обмен пакетами объявлений LSAs производится на
начальном этапе формирования сети после установления отношения смежности, а также
при возникновении изменений в топологии сети.
Когда происходят изменения в каком-либо соединении сети, то маршрутизатор,
первым заметивший это изменение, создает извещение о состоянии этого соединения LSAs,
которое передается соседним устройствам. Каждое устройство, получив обновление LSAs,
транслирует копии LSAs всем соседним маршрутизаторам в пределах области и затем
модифицирует свою топологическую базу данных. Такая лавинообразная рассылка
объявлений о состоянии каналов ускоряет процесс сходимости.
Для подтверждения принятого пакета обновлений LSU используется пакет
подтверждения (Link-State Acknowledgment – LSAck), который рассылается в одноадресном
режиме.
Состояние канала (соединения) – это описание интерфейса, которое включает IP
адрес интерфейса, маску подсети, тип сети и другие параметры. Полученные пакеты LSAs
позволяют протоколу OSPF сформировать на маршрутизаторе базу данных о состоянии
каналов LSDB. Зная базу данных, алгоритм Dijkstra (shortest path first algorithm – SPF)
вычисляет кратчайшие пути к сетям назначения. При этом строится древовидная топология
кратчайших путей SPF ко всем доступным сетям, свободная от маршрутных петель. Корнем
в дереве является сам маршрутизатор. Первый вычисленный кратчайший путь записывается
в таблицу маршрутизации.
Пакет OSPF размещается внутри IP-пакета сразу за IP-заголовком (рис.4.2).
Заголовок кадра
01-00-5Е-00-00-05
Заголовок IP-пакета
224.0.0.5
Пакет OSPF
Заголовок OSPF
База данных
Идентификаторы
Данные пакета
Рис. 4.2. Заголовок OSPF
81
При передаче сообщения OSPF заголовок кадра включает групповой МАС-адрес
назначения (01-00-5Е-00-00-05 или 01-00-5Е-00-00-06) и одноадресный МАС-адрес
источника.
Заголовок IP-пакета содержит групповой адрес назначения (224.0.0.5 или 224.0.0.6) и
IP-адрес источника. В поле протокола пакета задается значение 89, что говорит об
использовании OSPF.
Заголовок OSPF содержит:
- тип пакета;
- идентификатор маршрутизатора (Router ID);
- идентификатор области (area 0);
- другие параметры.
Идентификатор устройства (Router ID), по сути, является IP-адресом одного из
интерфейсов маршрутизатора.
Данные пакета OSPF зависят от типа пакета. Так пакет приветствия Hello включает:
- маску сети или подсети;
- интервалы времени рассылки пакетов (Hello Interval), интервал простоя (Dead
Interval);
- приоритет маршрутизатора;
- идентификаторы назначенного (главного, определяющего) маршрутизатора
(Designated Router - DR) и запасного назначенного маршрутизатора (Backup Designated
Router - BDR) данной области;
- список соседних устройств, содержащий идентификаторы соседей.
Для формирования смежности необходимо, чтобы маршрутизаторы работали в сети
одного типа, и у соседних устройств должны быть одинаковы:
1. Период времени обмена Hello-пакетами (Hello Interval).
2. Период времени простоя (Dead Interval), по истечению которого связь считается
потерянной, если за это время не было получено ни одного Hello-пакета.
Выбор назначенного (главного) маршрутизатора области сети (Designated – DR) и
запасного назначенного маршрутизатора сети (BDR), производится в сетях с
множественным доступом. В сетях «точка-точка» этот механизм не используется. В сегменте
сети с множественным доступом, несколько маршрутизаторов связаны между собой.
Поскольку каждый маршрутизатор должен установить полное отношение смежности со
всеми соседними маршрутизаторами и обменяться информацией о состоянии связи всех
соединений, то, например, при 5 маршрутизаторах необходим обмен десятью состояниями
связи. В общем случае для n маршрутизаторов должно быть n∙(n-1)/2 обменов, на что
должны быть выделены дополнительные ресурсы, прежде всего, полоса пропускания.
Если в сети выбран назначенный маршрутизатор области (DR), то маршрутизатор,
первым обнаруживший изменение в сети, посылает информацию об изменениях только
82
маршрутизатору DR, а тот в свою очередь, рассылает LSAs всем другим OSPF
маршрутизаторам области, по адресу 224.0.0.5. Это сокращает количество обменов
модификациями в сети. Если маршрутизатор DR выходит из строя, то его функции начинает
выполнять запасной назначенный маршрутизатор области сети BDR.
Выбор DR и BDR происходит на основе сравнения приоритетов маршрутизаторов. По
умолчанию приоритет всех маршрутизаторов равен 1. Значение приоритета может быть
любым от 0 до 255. Маршрутизатор с приоритетом 0 не может быть избранным DR или
BDR. Маршрутизатор с самым высоким OSPF приоритетом будет отобран как DR
маршрутизатор. Маршрутизатор со вторым приоритетом будет BDR.
Когда не задано никаких дополнительных параметров и приоритет одинаков, выбор
DR и BDR происходит на основе идентификаторов (ID) маршрутизаторов.
Идентификатор маршрутизатора (ID) может быть задан администратором по
команде:
Router(config)#router ospf № процесса
Router(config-router)#router-id ip-адрес
У данной
маршрутизатора.
команды
наивысший
приоритет
назначения
идентификатора
Если идентификатор не задан администратором, то протокол OSPF автоматически
выбирает в качестве ID адрес одного из интерфейсов с наибольшим значением.
Маршрутизатор с высшим значением идентификатора ID становится DR. Маршрутизатор со
вторым наибольшим значением идентификатора ID становится BDR.
Поскольку на интерфейсах используются разъемы, то они являются ненадежными
элементами сети. Для повышения надежности работы DR на маршрутизаторах формируют
виртуальные логические интерфейсы loopback. OSPF использует адрес интерфейса
loopback как ID маршрутизатора, независимо от значения адресов других интерфейсов.
Маршрутизатор, на котором сформировано несколько интерфейсов loopback, использует
самое большое значение адреса интерфейса loopback в качестве ID маршрутизатора. Таким
образом, выбор DR и BDR происходит на основе сравнения адресов интерфейсов loopback.
После выбора, DR и BDR сохраняют свои роли, даже если к сети добавляются
маршрутизаторы с более высоким приоритетом до тех пор, пока маршрутизаторы не будут
переконфигурированы.
Создание интерфейса loopback производится по команде interface loopback,
например:
Router(config)# interface loopback 0
Router(config-if)#ip address 10.1.1.1 255.255.255.255
83
Интерфейс loopback должен формироваться с маской подсети на 32 бита – 255.255.255.255.
Такая маска называется маской узла, потому что маска определяет сеть одного узла.
Изменение приоритета OSPF может производиться администратором по команде ip
ospf priority в режиме конфигурирования интерфейса:
Router(config-if)#ip ospf priority №
Значение приоритета (№) интерфейса может изменяться в пределах от 0 до 255.
Приоритет можно посмотреть по команде:
Router#show ip ospf interface тип интерфейса
При подключении маршрутизатора, например В к сети (рис. 4.3), протокол OSPF
проходит последовательно несколько стадий, чтобы достичь сходимости. На этапе
установления отношения смежности происходит переход интерфейса G0/1 маршрутизатора
В из выключенного состояния Down в состояние Init, когда интерфейс начинает передавать
Hello-пакеты.
Маршрутизатор В отправляет Hello-пакеты с идентификатором, например
192.168.10.2, из всех своих интерфейсов по групповому адресу 224.0.0.5. Получив Helloпакет, соседний маршрутизатор А устанавливает отношение смежности с В, добавив
полученный идентификатор в свою базу данных смежности и модифицировав таблицу
соседних устройств. При этом маршрутизатор А в режиме одноадресной рассылки
отправляет Hello-пакет маршрутизатору В. Пакет содержит идентификатор самого
устройства А, например 192.168.10.1, и список соседей, подключенных к этому интерфейсу,
т.е. идентификатор 192.168.10.2.
Сеть
192.168.10.0/24
A
G0/0
.1
G0/1
.2
B
...
Рис. 4.3. Подключение маршрутизатора к сети
Получив Hello-пакет со своим собственным идентификатором, маршрутизатор В
добавляет устройство А в свою базу данных смежности и формирует таблицу соседних
устройств. Протокол OSPF переводит маршрутизатор в состояние Two-Way.
84
После этого в сетях Ethernet проводятся выборы назначенного (DR) и запасного
(BDR). Если маршрутизаторы А и В (рис. 4.3) имеют одинаковый приоритет, например 1, то
в Ethernet-соединении между устройствами наибольшее значение IP-адреса (192.168.10.2)
имеет интерфейс G0/1. Поэтому назначенным (DR) будет маршрутизатор В, резервным
(BDR) – станет маршрутизатор А.
На следующем этапе синхронизации баз данных в состоянии ExStart устройство с
боле высоким значением идентификатора (маршрутизатор В) становится ведущим, которое
начинает процесс обмена пакетами DBD с ведомым (состояние Exchange). Получение
пакетов DBD подтверждается пакетами LSAck. Если информация в пакетах DBD
показывает, что требуются дополнительные данные, то используются пакты LSR и LSU
(состояние Loading, работает алгоритм SPF). Достижение маршрутизаторами сходимости
характеризуется состоянием Full.
После синхронизации баз данных пакеты LSU рассылаются только при изменениях
топологии сети или каждые 30 минут работы.
При отладке сети команда show ip protocols отображает номер процесса OSPF,
идентификатор маршрутизатора, адреса присоединенных сетей, наличие пассивных
интерфейсов, адреса источников, из которых передаются обновления, значение
административного расстояния.
Метрика протокола OSPF
Протокол маршрутизации OSPF в качестве метрики использует стоимость (cost).
Метрика протокола OSPF базируются на пропускной способности соединения bandwidth.
Алгоритм протокола рассчитывает суммарное значение стоимости всех соединений через
сеть. Меньшее значение указывает лучший маршрут. Для вычисления метрики OSPF
используется следующая формула:
Метрика (Cost) = 108 / Bandwidth,
где пропусканая способность bandwidth задается в бит/c.
По умолчанию протокол OSPF автоматически устанавливает максимальное значение
пропусканой способности в 100 Мбит/с. При этом минимальную стоимость 1 будут иметь
соединения FastEthernet, Gigabit Ethernet и 10 GigabitEthernet (табл. 4.1). Соединение Ethernet
характеризуется стоимостью 10 единиц, канал ОЦК со скоростью 64 кбит/с – 1562,5 ≈ 1562,
канал со скоростью 128 кбит/с – 781, канал Т1 – 64, канал Е1 – 48 единиц.
Таблица 4.1
Стоимость соединений (cost)
85
Усл. обозначен.
Bandwidth, Мбит/с
ОЦК
0,064
-
T1
E1
0,128
1,544
2,048
Fast
100
Giga
1000
10G
10000
100
1562
781
64
48
1
1
1
1000
15625
7812
647
488
10
1
1
10 000
156250
78125
6477
4882
100
10
1
Поскольку минимальную стоимость в одну единицу имеют соединения FastEthernet,
GigabitEthernet и 10 GigabitEthernet, то при выборе между такими соединениями протокол
OSPF не сможет корректно прокладывать маршрут. Поэтому появилась необходимость
изменения значений метрики, что реализуется по команде:
R1(config-router)#auto-cost reference-bandwidth 1000
В этом случае стоимость в 1 единицу будут иметь соединения GigabitEthernet и
10GigabitEthernet, стоимость соединения FastEthernet будет равна – 10 единицам, другие
типы соединений также повысят стоимость в 10 раз. Если ввести команду auto-cost
reference-bandwidth 10000, то стоимость в 1 единицу будет иметь соединение 10
GigabitEthernet.
Команду auto-cost reference-bandwidth необходимо выполнить на всех
маршрутизаторах домена, чтобы протокол OSPF мог правильно выбирать кратчайшие пути к
сетям назначения.
Стоимости по умолчанию можно восстановить по команде auto-cost referencebandwidth 100, когда минимальную стоимость 1 будут иметь соединения со скоростью 100
Мбит/с и выше, т.е. соединения FastEthernet, GigabitEthernet, 10 GigabitEthernet.
Если маршрут состоит из нескольких соединений, то значения метрик cost
складываются. Например, для сети (рис. 4.4) стоимость маршрута из маршрутизатора А в
локальную Сеть 2 будет складываться из метрики соединения между маршрутизаторами А и
В (48), метрики соединения между В и С (1562) и метрики сети назначения Ethernet (10).
2048 кбит/с
A
F0/ 1
64 кбит/с
B
Сеть 1
C
Сеть 2
E0/ 1
Рис. 4.4. Метрика сети OSPF
Суммарное значение метрики будет равно МΣ = 48+1562+10 = 1620.
Значение пропускной способности, которое учитывается при вычислении метрики
маршрута, может быть изменено по команде bandwidth, где полоса пропускания задается в
кбит/c. например:
86
Router(config)#interface serial 0/0
Router(config-if)#bandwidth 64
Значение пропусканой способности должно соответствовать реальным линиям связи,
что не всегда выполняется. Причем, пропускная способность должна быть задана
одинаковой на обеих сторонах соединения.
Операционная система Cisco IOS позволяет задавать не только пропускную
способность bandwidth, но и непосредственно значение cost по команде:
Router(config-if)#ip ospf cost значение
4.2. Конфигурирование протокола OSPF
Ниже приведен пример конфигурирования протокола OSPF на маршрутизаторах сети
IPv4 (рис. 4.5).
Сеть 5
Сеть 6
200.5.5.12/30
200.5.5.16/30
DCE
DCE
.14
.18
S0/3/0
S0/3/1
A
S0/3/0
S0/3/1
C
B
G0/0
.193
G0/0 .161
.129 G0/1
.17 G0/0
.130
.194
...
Сеть 1
192.168.10.128/26
.162
...
Сеть 2
192.168.10.192/28
.18
...
Сеть 3
10.10.20.160/27
...
Сеть 4
192.168.10.16/29
Рис. 4.5. Сеть IPv4 с протоколом OSPF
Из рис. 4.5 следует, что Сеть 1 (192.168.10.128/26), Сеть 2 (192.168.10.192/28) и Сеть 4
(192.168.10.16/29) являются подсетями сети 192.168.10.0/24. Причем, Сети 1, 2 и Сеть 4
разделены Сетями 5 и 6.
При конфигурировании протокола OSPF необходимо задать номер процесса (по
умолчанию 1) и адреса непосредственно присоединенных сетей с их шаблонными масками
переменной длины (wildcard-mask). При этом для каждой сети указывается номер области
(area 0):
87
Маршрутизатор R-А:
R-A(config)#router ospf 1
R-A(config-router)#network 192.168.10.128 0.0.0.63 area 0
R-A(config-router)#network 192.168.10.192 0.0.0.15 area 0
R-A(config-router)#network 200.5.5.12 0.0.0.3 area 0
Маршрутизатор R-B:
R-B(config)#router ospf 1
R-B(config-router)#network 10.10.20.160 0.0.0.31 area 0
R-B(config-router)#network 200.5.5.12 0.0.0.3 area 0
R-B(config-router)#network 200.5.5.16 0.0.0.3 area 0
Маршрутизатор R-С:
R-C(config)#router ospf 1
R-C(config-router)#network 192.168.10.16 0.0.0.7 area 0 R-C(config-router)#network 200.5.5.16 0.0.0.3 area
0
Ниже приведена таблица маршрутизации R_А:
R-A#sh ip route
...
Gateway of last resort is not set
10.0.0.0/27issubnetted,1subnets
O 10.10.20.160/27[110/65]via200.5.5.14,00:01:09,Serial0/3/0
192.168.10.0/24isvariablysubnetted,5subnets,4masks
O 192.168.10.16/29[110/129]via200.5.5.14,00:01:09,Serial0/3/0
C 192.168.10.128/26isdirectlyconnected,GigabitEthernet0/0
L 192.168.10.129/32isdirectlyconnected,GigabitEthernet0/0
C 192.168.10.192/28isdirectlyconnected,GigabitEthernet0/1
L 192.168.10.193/32isdirectlyconnected,GigabitEthernet0/1
200.5.5.0/24isvariablysubnetted,3subnets,2masks
C 200.5.5.12/30isdirectlyconnected,Serial0/3/0
L 200.5.5.13/32isdirectlyconnected,Serial0/3/0
O 200.5.5.16/30[110/128]via200.5.5.14,00:01:09,Serial0/3/0
R-A#
Маршруты, созданные протоколом OSPF помечены символом О, административное
расстояние – 110. Метрика пути к сети 10.10.20.160/27 составляет 65 единиц (64 единицы
последовательное соединение «точка-точка» со скоростью 1544 кбит/с и соединение Gigabit
Ethernet с метрикой в 1 единицу). В распечатке таблицы маршрутизации R-А следует
88
обратить внимание на то, что метрика к сети 200.5.5.16/30 составляет 128 единиц (два
последовательных соединения «точка-точка»), а к сети 192.168.10.16/29 – на 1 больше (129
единиц), поскольку дополнительно имеется соединение Gigabit Ethernet с метрикой в 1
единицу (такой же как у соединений Fast Ethernet).
Таблица соседних устройств, например маршрутизатора В, отображает следующие
параметры:
R-B>show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
200.5.5.18 0 FULL/ - 00:00:39 200.5.5.18 Serial0/3/0
200.5.5.13 0 FULL/ - 00:00:39 200.5.5.13 Serial0/3/1
- идентификаторы соседних устройств (А – 200.5.5.13, В – 200.5.5.18);
- приоритет Pri = 0, т.к. в соединениях «точка - точка» не используется;
- состояние Full, т.е. базы данных соседей одинаковы, сеть характеризуется сходимостью;
тире после (Full / –) означает, что DR в соединении не выбирается;
- значение интервала простоя (00:00:39);
- адреса входных интерфейсов соседних устройств (совпадают с ID);
- тип интерфейсов (Serial 0/3/1, Serial 0/3/0).
Таблица соседних устройств маршрутизатора А аналогична:
R-A>show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
200.5.5.17 0 FULL/ - 00:00:35 200.5.5.14 Serial0/3/0
При изменении идентификатора маршрутизатора, например А, система требует
перезагрузки маршрутизатора или ввода команды clear ip ospf process в привилегированном
режиме
R-A(config)#router ospf 1
R-A(config-router)#router-id 10.10.10.10
R-A(config-router)#Reload or use "clear ip ospf process" command, for this to take effect
R-A#clear ip ospf process
Reset ALL OSPF processes? [no]: y
После этой команды идентификатор маршрутизатора изменяется:
89
R-A#show ip protocols
00:23:58: %OSPF-5-ADJCHG: Process 1, Nbr 200.5.5.17 on Serial0/3/0 from LOADING to FULL, Loading Done
Routing Protocol is "ospf 1"
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Router ID 10.10.10.10
...
Изменяется также таблица соседних устройств (изменяются идентификаторы соседних
устройств: А – 10.10.10.10, В – 200.5.5.18)
R-B>show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
200.5.5.18 0 FULL/ - 00:00:34 200.5.5.18 Serial0/3/0
10.10.10.10 0 FULL/ - 00:00:35 200.5.5.13 Serial0/3/1
При этом адрес входного интерфейса соседнего маршрутизатора А не совпадает с его ID.
Конфигурирование пассивного интерфейса
Маршрутизаторы рассылают объявления OSPF из всех интерфейсов, что перегружает
сеть и снижает информационную безопасность. Однако, например, в сети рис. 4.5,
маршрутизатору А нет смысла рассылать извещения OSPF из интерфейсов G0/0 и G0/1,
поскольку они не подключены к другим маршрутизаторам. Поэтому указанные интерфейсы
можно перевести в пассивный режим, когда они будут передавать и принимать данные, но
не будут рассылать объявления OSPF. Ниже приведен пример конфигурирования пассивного
интерфейса G0/0 по следующей команде:
R-A(config)#router ospf 1
R-A(config-router)#passive-interface g0/0
Верификация по команде show ip protocols показывает, что интерфейс G0/0 переведен в
пассивный режим:
R-A#show ip protocols
Routing Protocol is "ospf 1"
...
Passive Interface(s):
GigabitEthernet0/0
Повторное активирование интерфейса производится по команде
90
R-A(config-router)#no passive-interface g0/0
Значение стоимости соединений каждого из интерфейсов R-A можно проверить по
команде:
R-A>show ip ospf interface
GigabitEthernet0/0 is up, line protocol is up
Internet address is 192.168.10.129/26, Area 0
Process ID 1, Router ID 10.10.10.10, Network Type BROADCAST, Cost: 1
Transmit Delay is 1 sec, State DR, Priority 1
...
No Hellos (Passive interface)
...
GigabitEthernet0/1 is up, line protocol is up
Internet address is 192.168.10.193/28, Area 0
Process ID 1, Router ID 10.10.10.10, Network Type BROADCAST, Cost: 1
...
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:09
...
Serial0/3/0 is up, line protocol is up
Internet address is 200.5.5.13/30, Area 0
Process ID 1, Router ID 10.10.10.10, Network Type POINT-TO-POINT, Cost: 64
...
Hello due in 00:00:09
...
Значение bandwidth для последовательного интерфейса можно посмотреть по команде show
interfaces s0/3/0, которое в нижеприведенном примере составляет 1544 кбит/с:
R-A# show int s0/3/0
Serial0/3/0 is up, line protocol is up (connected)
Hardware is HD64570
Internet address is 200.5.5.13/30
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
...
Распечатка команды show ip protocols отображает идентификатор маршрутизатора,
адреса присоединенных сетей, административное расстояние и другие параметры:
R-A>show ip protocols
Routing Protocol is "ospf 1"
...
Router ID 10.10.10.10
Number of areas in this router is 1. 1 normal 0 stub 0 nssa
Maximum path: 4
Routing for Networks:
192.168.10.128 0.0.0.63 area 0
91
192.168.10.192 0.0.0.15 area 0
200.5.5.12 0.0.0.3 area 0
Passive Interface(s):
GigabitEthernet0/0
Routing Information Sources:
Gateway Distance Last Update
10.20.10.20
110 00:15:41
200.5.5.17
110 00:15:41
200.5.5.18
110 00:00:35
Distance: (default is 110)
Конфигурирование динамической маршрутизации по умолчанию
Конфигурирование динамической маршрутизации по умолчанию рассмотрено на
примере сети рис. 4.6 Для маршрутизатора желательно поддерживать маршруты к каждому
возможному адресу назначения. Поэтому на маршрутизаторах формируют маршрут по
умолчанию или шлюз последней надежды (Gateway of last resort). Это позволяет
маршрутизаторам отправлять пакеты, предназначенные любому узлу Интернета, без
необходимости поддерживать в таблице записи (входы) для каждой сети.
Сеть 5
Сеть 6
200.7.7.0/30
200.5.5.12/30
200.5.5.16/30
.1
.2
DCE
DCE
.14
.18
S0/3/0
S0/3/1
A
Lo1
S0/3/0
S0/3/1
C
B
G0/0
.193
G0/0 .161
.129 G0/1
.17 G0/0
.130
.194
...
Сеть 1
192.168.10.128/26
.162
...
.18
...
Сеть 2
192.168.10.192/28
ISP
Сеть 3
10.10.20.160/27
...
Сеть 4
192.168.10.16/29
Рис. 4.6. Пример сети IPv4
Например, в сети рис. 4.6 маршруты по умолчанию могут быть сконфигурированы,
чтобы передавать пакеты с не заданными в таблицах маршрутизации адресами сетей
назначения в сеть провайдера ISP.
Для имитации сети провайдера ISP на маршрутизаторе С сконфигурирован
виртуальный интерфейс Loopback1 с адресом 200.7.7.1/30
R-С(config)#interface loopback 1
R-С(config-if)#ip address 200.7.7.1 255.255.255.252
Формирование маршрута по умолчанию производится по команде:
92
R-С(config)#ip route 0.0.0.0 0.0.0.0 loopback 1
После чего в таблице маршрутизации появляется запись о создании шлюза последней
надежды (Gateway of last resort is 0.0.0.0 to network 0.0.0.0) и маршрута по умолчанию S* 0.0.0.0/0isdirectlyconnected,
Loopback1
R-C#show ip route
...
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
10.0.0.0/27issubnetted,1subnets
O 10.10.20.160/27[110/65]via200.5.5.17,01:08:37,Serial0/3/1
192.168.10.0/24isvariablysubnetted,4subnets,4masks
C 192.168.10.16/29isdirectlyconnected,GigabitEthernet0/0
L 192.168.10.17/32isdirectlyconnected,GigabitEthernet0/0
O 192.168.10.128/26[110/129]via200.5.5.17,01:08:27,Serial0/3/1
O 192.168.10.192/28[110/129]via200.5.5.17,01:08:27,Serial0/3/1
00.5.5.0/24isvariablysubnetted,3subnets,2masks
O 200.5.5.12/30[110/128]via200.5.5.17,01:08:37,Serial0/3/1
C 200.5.5.16/30isdirectlyconnected,Serial0/3/1
L 200.5.5.18/32isdirectlyconnected,Serial0/3/1
200.7.7.0/24isvariablysubnetted,2subnets,2masks
C 200.7.7.0/30isdirectlyconnected,Loopback1
L 200.7.7.1/32isdirectlyconnected,Loopback1
S* 0.0.0.0/0 is directly connected, Loopback1
Однако в таблицах маршрутизации других маршрутизаторов (А и В) подобной информации
нет. Для распространения информации о маршруте по умолчанию на другие
маршрутизаторы используется следующая команда:
R-C(config)#router ospf 1
R-C(config-router)#default-information originate
Это дает возможность протоколу OSPF распространить информацию о маршруте по
умолчанию на другие маршрутизаторы, что можно видеть, например, по таблице
маршрутизации маршрутизатора В, где появилась строка маршрута O*E2 0.0.0.0/0[110/1]via200.5.5.18,
00:00:28,Serial0/3/0, помеченная символом O* :
R-B>show ip route
...
Gatewayoflastresortis200.5.5.18tonetwork0.0.0.0
10.0.0.0/8isvariablysubnetted,2subnets,2masks
93
C 10.10.20.160/27isdirectlyconnected,GigabitEthernet0/0
L 10.10.20.161/32isdirectlyconnected,GigabitEthernet0/0
192.168.10.0/24isvariablysubnetted,3subnets,3masks
O 192.168.10.16/29[110/65]via200.5.5.18,01:27:55,Serial0/3/0
O 192.168.10.128/26[110/65]via200.5.5.13,01:27:55,Serial0/3/1
O 192.168.10.192/28[110/65]via200.5.5.13,01:27:55,Serial0/3/1
200.5.5.0/24isvariablysubnetted,4subnets,2masks
C 200.5.5.12/30isdirectlyconnected,Serial0/3/1
L 200.5.5.14/32isdirectlyconnected,Serial0/3/1
C 200.5.5.16/30isdirectlyconnected,Serial0/3/0
L 200.5.5.17/32isdirectlyconnected,Serial0/3/0
O*E2 0.0.0.0/0[110/1]via200.5.5.18,00:00:28,Serial0/3/0
В таблице маршрутизатора А сформирована аналогичная строка:
R-A>show ip route
...
Gatewayoflastresortis200.5.5.14tonetwork0.0.0.0
10.0.0.0/27issubnetted,1subnets
O 10.10.20.160/27[110/65]via200.5.5.14,01:28:31,Serial0/3/0
192.168.10.0/24isvariablysubnetted,5subnets,4masks
O 192.168.10.16/29[110/129]via200.5.5.14,01:28:31,Serial0/3/0
C 192.168.10.128/26isdirectlyconnected,GigabitEthernet0/0
L 192.168.10.129/32isdirectlyconnected,GigabitEthernet0/0
C 192.168.10.192/28isdirectlyconnected,GigabitEthernet0/1
L 192.168.10.193/32isdirectlyconnected,GigabitEthernet0/1
200.5.5.0/24isvariablysubnetted,3subnets,2masks
C 200.5.5.12/30isdirectlyconnected,Serial0/3/0
L 200.5.5.13/32isdirectlyconnected,Serial0/3/0
O 200.5.5.16/30[110/128]via200.5.5.14,01:28:31,Serial0/3/0
O*E2 0.0.0.0/0[110/1]via200.5.5.14,00:01:04,Serial0/3/0
4.3. Особенности конфигурирования протокола OSPF3
Для работы в сетях IPv6 разработан бесклассовый протокол маршрутизации по
состоянию канала OSPF3, большинство параметров которого аналогичны протоколу OSPF2,
работающему в сетях IPv4. Оба протокола работают на основе алгоритма SPF. Метрикой
обоих протоколов является стоимость (cost = 108 / Bandwidth), где пропускания способность
bandwidth задается в бит/c. При обмене маршрутной информацией рассылаются те же типы
пакетов, что рассмотрены в разделе 4.1. Рассылка маршрутной информации в OSPF3
производится с использованием группового адреса FF02::5 или FF02::6 и маршрутизаторов
94
DR и BDR. Кроме того, для рассылки внутри локального канала используются
индивидуальные локальные адреса источника и назначения. OSPF3 использует
аутентификацию IPv6 по протоколу IPSec.
В отличие от OSPF2, у которого маршрутизация включается автоматически при
конфигурировании протокола, включение маршрутизации OSPF3 производится по
специальной команде:
Router(config)#ipv6 unicast-routing
Особенности конфигурирования OSPF3 рассмотрены на примере сети рис. 4.7.
G0/0
.51
A
.1
G0/1
Сеть 5
2001:db8:a:5::/64
DCE
.2
S0/3/0
S0/3/1
.1
.51
...
Сеть 1
2001:db8:a:1::/64
Сеть 6
2001:db8:a:6::/64
DCE
.2
B
G0/0
S0/3/0
.51
...
Сеть 2
2001:db8:a:2::/64
C
S0/3/1
.1 G0/0
.1
.51
...
Сеть 3
2001:db8:a:3::/64
...
Сеть 4
2001:db8:a:4::/64
Рис. 4.7. Сеть с протоколом OSPF3
Конфигурирование интерфейсов определяет прямо присоединенные сети
Router(config)#hostname R-A
R-A(config)#int g0/0
R-A(config-if)#ipv6 add 2001:DB8:A:1::1/64
R-A(config-if)#no shutdown
R-A(config-if)#int g0/1
R-A(config-if)#ipv6 add 2001:DB8:A:2::1/64
R-A(config-if)#no shutdown
R-A(config-if)#int s0/3/0
R-A(config-if)#ipv6 add 2001:DB8:A:5::1/64
R-A(config-if)#clock rate 64000
R-A(config-if)#no shutdown
R-A(config)#ipv6 unicast-routing
Аналогично конфигурируются интерфейсы других маршрутизаторов.
95
Проверку сконфигурированных параметров можно произвести по команде:
R-A#show ipv6 int brief
GigabitEthernet0/0
[up/up]
FE80::260:70FF:FEAA:A401
2001:DB8:A:1::1
GigabitEthernet0/1
[up/up]
FE80::260:70FF:FEAA:A402
2001:DB8:A:2::1
GigabitEthernet0/2
[administratively down/down]
Serial0/3/0
[up/up]
FE80::203:E4FF:FE88:3101
2001:DB8:A:5::1
...
R-A#
Команда отображает локальные (например, FE80::260:70FF:FEAA:A401) и глобальные
адреса (например, 2001:DB8:A:1::1).
Для работы OSPF3 в сетях IPv6 на маршрутизаторах автоматически или вручную
задаются идентификаторы (ID), которые представлены адресами IPv4. Администратор
может сконфигурировать идентификаторы следующей последовательностью команд:
R-A(config)#ipv6 router ospf 1
R-A(config-rtr)#router-id 1.1.1.1
R-B(config)#ipv6 router ospf 1
R-B(config-rtr)#router-id 2.2.2.2
R-C(config)#ipv6 router ospf 1
R-C(config-rtr)#router-id 3.3.3.3
Комплексную проверку проделанной работы реализует команда:
R-A#show run
...
hostname R-A
!
ipv6 unicast-routing
!
interface GigabitEthernet0/0
ipv6 address 2001:DB8:A:1::1/64
!
interface GigabitEthernet0/1
ipv6 address 2001:DB8:A:2::1/64
...
interface Serial0/3/0
ipv6 address 2001:DB8:A:5::1/64
clock rate 64000
!
ipv6 router ospf 1
96
router-id 1.1.1.1
log-adjacency-changes
!
ip classless
...
line con 0
line aux 0
line vty 0 4
login
end
Из распечатки следует, что на маршрутизаторе А включена маршрутизация (ipv6 unicastrouting), на интерфейсах заданы адреса IPv6, и создан идентификатор (router-id 1.1.1.1).
При конфигурировании протокола OSPF3 он устанавливается на каждом активном
интерфейсе маршрутизатора в отличие от OSPF2, где проводилось описание адресов прямо
присоединенных сетей (network) и областей (area). Ниже приведена последовательность
команд, которая устанавливает OSPF3 на каждый функционирующий интерфейс
R-A#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R-A(config)#int g0/0
R-A(config-if)#ipv6 ospf 1 area 0
R-A(config-if)#int g0/1
R-A(config-if)#ipv6 ospf 1 area 0
R-A(config-if)#int s0/3/0
R-A(config-if)#ipv6 ospf 1 area 0
Изменения отображает команда проверки текущей конфигурации:
R-A#show run
interface GigabitEthernet0/0
ipv6 address 2001:DB8:A:1::1/64
ipv6 ospf 1 area 0
!
interface GigabitEthernet0/1
ipv6 address 2001:DB8:A:2::1/64
ipv6 ospf 1 area 0
!
interface Serial0/3/0
ipv6 address 2001:DB8:A:5::1/64
ipv6 ospf 1 area 0
clock rate 64000
!
ipv6 router ospf 1
router-id 1.1.1.1
log-adjacency-changes
!
ip classless
97
...
R-A#
После соответствующего конфигурирования всех маршрутизаторов сети (рис. 4.7)
протокол OSPF3 создает таблицу соседних устройств, таблицу данных о состоянии каналов и
таблицу маршрутизации.
Таблица маршрутизации А содержит три маршрута к удаленным сетям, путь к
которым проходит через выходной интерфейс Serial 0/3/0:
R-A>show ipv6 route
IPv6 Routing Table - 10 entries
...
C 2001:DB8:A:1::/64 [0/0]
via ::, GigabitEthernet0/0
L 2001:DB8:A:1::1/128 [0/0]
via ::, GigabitEthernet0/0
C 2001:DB8:A:2::/64 [0/0]
via ::, GigabitEthernet0/1
L 2001:DB8:A:2::1/128 [0/0]
via ::, GigabitEthernet0/1
O 2001:DB8:A:3::/64 [110/65]
via FE80::20C:85FF:FE10:D402, Serial0/3/0
O 2001:DB8:A:4::/64 [110/129]
via FE80::20C:85FF:FE10:D402, Serial0/3/0
C 2001:DB8:A:5::/64 [0/0]
via ::, Serial0/3/0
L 2001:DB8:A:5::1/128 [0/0]
via ::, Serial0/3/0
O 2001:DB8:A:6::/64 [110/128]
via FE80::20C:85FF:FE10:D402, Serial0/3/0
L FF00::/8 [0/0]
via ::, Null0
R-A>
Когда необходима специфическая информация только о маршрутах, созданных
протоколом OSPF3, используют команду:
R-A>show ipv6 route ospf
...
O 2001:DB8:A:3::/64 [110/65]
via FE80::20C:85FF:FE10:D402, Serial0/3/0
O 2001:DB8:A:4::/64 [110/129]
via FE80::20C:85FF:FE10:D402, Serial0/3/0
O 2001:DB8:A:6::/64 [110/128]
via FE80::20C:85FF:FE10:D402, Serial0/3/0
R-A>
98
Таблицу соседних устройств можно посмотреть по команде show ipv6 ospf neighbor.
Например, таблица соседних устройств маршрутизатора А отображает только одно
устройство – маршрутизатор В:
R-A>show ipv6 ospf neighbor
Neighbor ID Pri State Dead Time Interface ID Interface
2.2.2.2 0 FULL/ - 00:00:36 5
Serial0/3/0
Таблица соседних устройств маршрутизатора В отображает два устройства (А и В) с
идентификаторами 1.1.1.1 и 3.3.3.3:
R-B#show ipv6 ospf neighbor
Neighbor ID Pri State Dead Time Interface ID Interface
3.3.3.3 0 FULL/ - 00:00:35 5
Serial0/3/0
1.1.1.1 0 FULL/ - 00:00:38 4
Serial0/3/1
R-B#
Краткие итоги раздела 4
1.
Протокол состояния канала Open Shortest Path First – OSPF предназначен для работы в
больших гибких составных сетях и может работать с оборудованием разных фирм
производителей.
2.
Административное расстояние протокола OSPF равно 110. Протокол используется
внутри определенной области. Нулевая область (area 0) является главной или единственной.
3.
Протокол OSPF формирует три базы данных: базу данных смежности; базу данных о
состоянии каналов (LSDB); базу пересылки.
4.
На основе баз данных формируются: таблица соседних устройств; таблица топологии
сети; таблица маршрутизации.
5.
Для обмена маршрутной информацией используется 5 типов пакетов:
приветствия Hello, описания базы данных DBD, запроса LSR, обновлений LSU (LSАs),
подтверждения LSAck.
6.
Обмен маршрутной информацией производится с использованием адресов 224.0.0.5
или 224.0.0.6 многоадресного режима, чему соответствует групповой МАС-адрес назначения
(01-00-5Е-00-00-05 и 01-00-5Е-00-00-06), а также в одноадресном режиме.
7.
Протокол OSPF не проводит периодический обмен объемными обновлениями
маршрутной информации и характеризуется быстрой сходимостью. Обмен маршрутной
информацией (LSU) производится только при возникновении изменений в топологии сети.
8.
Hello-пакеты используются, чтобы обнаруживать соседние устройства, устанавливать
и поддерживать с ними отношения смежности.
9.
В сетях Ethernet период рассылки Hello-пакетов протокола OSPF составляет 10
секунд. Период простоя – в четыре раза больше. Если в течение периода простоя от
соседнего устройства не пришло ни одного Hello-пакета, то OSPF удалит не отвечающего
соседа из базы данных LSDB.
10.
В сошедшейся сети базы данных маршрутизаторов должны быть идентичными.
99
11.
Каждое устройство, получив обновление LSAs, транслирует копии LSAs всем
соседним маршрутизаторам в пределах области и затем модифицирует свою топологическую
базу данных. Лавинообразная рассылка объявлений о состоянии каналов ускоряет процесс
сходимости.
12.
Для формирования путей свободных от маршрутных петель строится топологическое
дерево с использованием алгоритма Dijkstra выбора первого кратчайшего пути.
13.
В сетях с множественным доступом (Ethernet, Frame Relay) выбирается главный
назначенный маршрутизатор (DR) и запасной (BDR), что сокращает объем информации
обновлений. Выбор DR и BDR происходит на основе идентификаторов маршрутизаторов.
14.
Метрика протокола OSPF (стоимость) базируются на пропускной способности.
Алгоритм протокола рассчитывает суммарное значение стоимости всех соединений из
маршрутизатора до узла назначения.
15.
Протокол OSPF поддерживает маски переменной длины, бесклассовую адресацию на
основе префикса, обеспечивает маршрутизацию в топологии с разделенными сетями.
16.
При конфигурировании протокола OSPF необходимо задать номер процесса (по
умолчанию 1) и адреса непосредственно присоединенных сетей с их шаблонными масками
переменной длины (wildcard-mask). При этом для каждой сети указывается номер области
(area 0).
17.
Интерфейсы маршрутизатора можно перевести в пассивный режим, когда они будут
передавать и принимать данные, но не будут рассылать объявления OSPF.
18.
Распространение информации о маршруте по умолчанию на другие маршрутизаторы
реализует команда default-information originate.
19.
В сетях IPv6 при конфигурировании протокола OSPF3 включение маршрутизации
производится по команде ipv6 unicast-routing в режиме глобального конфигурирования.
Маршрутизатору назначают идентификатор, например 1.1.1.1, по командам:
R-A(config)#ipv6 router ospf 1
R-A(config-rtr)#router-id 1.1.1.1
20.
Включение протокола OSPF3 на интерфейсах производится по команде Router(configif)#ipv6 ospf 1 area 0.
21.
Проверка созданных протоколом OSPF3 маршрутов реализуется командой show ipv6
route.
Вопросы по разделу 4
1. Почему протокол OSPF используется внутри определенной области (area)?
2. Какие базы данных формирует протокол OSPF? Какие требования предъявляются к базам
данных разных маршрутизаторов области?
3. Какие таблицы строятся на основе баз данных топологии?
4. Какие команды используются для просмотра таблиц протокола OSPF?
5. Какие типы пакетов используется для обмена маршрутной информацией?
6. Какие IP-адреса и MAC-адреса использует протокол OSPF для обмена маршрутной
информацией?
7. Для чего нужны и какую информацию содержат Hello-пакеты OSPF? По какой команде
можно посмотреть таблицу соседних устройств?
8. Каков период передачи Hello-пакетов протокола OSPF в сетях Ethernet?
9. Что произойдет, если в течение периода простоя от соседнего устройства не пришло ни
одного Hello-пакета?
10. Какую информацию содержит заголовок Hello-пакета?
11. Какую информацию содержит поле данных Hello-пакета?
12. В каких случаях производится обмен пакетами LSU? Что такое LSAs?
13. Какие параметры учитывает метрика протокола OSPF?
14. В каких сетях и для чего выбираются назначенный DR и запасной BDR маршрутизатор?
100
15. Для чего назначается идентификатор маршрутизатора?
16. Какие команды использует администратор при назначении идентификатора
маршрутизатора? По какой команде можно проверить идентификатор?
17. Как формируются и используются виртуальные логические интерфейсы loopback при
выборе DR и BDR маршрутизаторов?
18. Каков формат команд конфигурирования протокола OSPF?
19. Какие параметры отображает команда show ip protocols?
20. В чем состоит различие технологий аутентификации OSPF2 и OSPF3?
21. Что используется в качестве идентификаторов протокола OSPF3?
22. Какие команды формируют номер процесса OSPF3 и задают идентификатор?
23. Какая команда используется для просмотра таблиц маршрутизации OSPF3?
24. По какой команде протоколOSPF3 устанавливают на интерфейс?
25. В чем особенность команды show ipv6 route ospf?
101
Упражнения
В нижеприведенной схеме сети сконфигурируйте динамическую маршрутизацию
OSPF3. Проведите проверку и отладку с использованием команд show running-config, show
ipv6 int brief show ipv6 route, show ipv6 route ospf, show ipv6 ospf neighbor, ping, traceroute
и tracert.
G0/0
.51
A
.1
G0/1
Сеть 5
2001:db8:a:5::/64
DCE
.2
S0/3/0
S0/3/1
.1
.51
...
Сеть 1
2001:db8:a:1::/64
Сеть 6
2001:db8:a:6::/64
DCE
.2
B
G0/0
S0/3/0
.51
...
Сеть 2
2001:db8:a:2::/64
S0/3/1
C
.1 G0/0
.1
.51
...
Сеть 3
2001:db8:a:3::/64
...
Сеть 4
2001:db8:a:4::/64
Проанализируйте таблицы маршрутизации, таблицы соседних стройств маршрутизаторов.
Посчитайте метрики маршрутов, сравните с табличными значениями.
102
5. СПИСКИ КОНТРОЛЯ ДОСТУПА
Рассмотрены принципы функционирования сетевых фильтров. Приведены примеры
конфигурирования стандартных, расширенных, именованных списков доступа. Даны
команды верификации и отладки сетевых фильтров.
Информационная безопасность телекоммуникационных сетей обеспечивается
комплексом мер по их защите. Для защиты информации широко используются пароли,
криптографирование передаваемой информации, устройства физической безопасности и
другие аппаратные и программные средства. В настоящем разделе рассматриваются списки
контроля доступа – сетевые фильтры, которые устанавливаются на интерфейсах
маршрутизаторов. Списки доступа обеспечивают базовый уровень безопасности и
определяют, к каким доменам сети открыт доступ, а к каким закрыт. Списки доступа широко
применяются на практике.
5.1. Функционирование списков доступа
Сетевой администратор должен иметь возможность управления трафиком,
обеспечивая доступ к требуемым ресурсам зарегистрированным легальным пользователям и
запрещая несанкционированный доступ к сети. Эффективным средством фильтрации
трафика являются списки контроля доступа (Access Control Lists – ACL) или просто
списки доступа, которые являются сетевыми фильтрами. Списки доступа представляют
собой последовательность команд, разрешающих (permit) или запрещающих (deny)
продвижение пакетов через маршрутизатор, т.е. разрешающих или запрещающих доступ из
других локальных сетей или из Интернета в защищаемую сеть, а также удаленный доступ по
протоколам Telnet, SSH. При конфигурировании списков доступа маршрутизатор не только
создает пути передачи пакетов, но и фильтрует проходящий через него трафик.
Списки доступа ACL могут быть созданы для всех сетевых протоколов,
функционирующих на маршрутизаторе, например, IPv4, IPv6 или IPX, и устанавливаются на
интерфейсах маршрутизаторов. Запрет или разрешение сетевого трафика через интерфейс
маршрутизатора реализуется на основании анализа совпадения определенных условий
(правил). Для этого списки доступа представляются в виде последовательных записей, в
которых анализируются используемые адреса и протоколы. Списки доступа (сетевые
фильтры) создаются как для входящих, так и для исходящих пакетов на основании
анализируемых параметров (адреса источника, адреса назначения, используемого
протокола и номера порта верхнего уровня), указанных в списке доступа ACL (рис. 5.1).
103
Заголовок
кадра
Заголовок
сегмента
Заголовок
пакета
Поле
данных
Номер порта
Протокол
Адрес назначения
Адрес источника
Принятие
Permit
решения при
тестировании Deny
пакета
Рис. 5.1. Принятие решения при тестировании пакета
Отдельные списки доступа могут быть созданы на каждом интерфейсе
маршрутизатора для каждого направления сетевого трафика (исходящего и входящего) и
для каждого сетевого протокола установленного на интерфейсе. Например, на трех
интерфейсах маршрутизатора (рис. 5.2), сконфигурированных для двух сетевых протоколов
(IPv4, IPv6), может быть создано 12 отдельных списков доступа: шесть для IPv4 и шесть для
IPv6. То есть, на каждом интерфейсе по 4 списка: 2 для входящего и 2 для исходящего
трафика.
ACL 1
ACL 2
ACL 5
ACL 3
ACL 4
ACL 6
Рис. 5.2. Списки доступа для одного сетевого протокола (IPv4)
Списки доступа, установленные для фильтрации входящего трафика, обрабатывают
пакеты до продвижения пакета на выходной интерфейс. Таким образом, пакет, который по
условиям списка доступа отбрасывается, не будет маршрутизироваться, что экономит
ресурсы маршрутизатора.
Исходящие списки доступа удобно использовать для защиты локальной сети от
нежелательного трафика, поступающего на разные входы маршрутизатора.
Списки доступа повышают гибкость сети. Например, списки, ограничивающие видео
трафик, могут уменьшить нагрузку на сеть и поэтому повысить ее пропускную способность
для передачи данных или аудио сигналов. Списки позволяют определить, какие типы
трафика могут быть отправлены, а какие заблокированы в интерфейсах маршрутизатора,
например, можно разрешить маршрутизацию электронной почте, но блокировать трафик
104
Telnet. Можно использовать разрешение или запрет доступа различным типам файлов, таким
как FTP или HTTP.
Если списки доступа не формируются на маршрутизаторе, то все проходящие
через маршрутизатор пакеты, будут иметь доступ к сети.
Список доступа ACL составляется из утверждений (условий), которые определяют,
следует ли пакеты принимать или отклонять во входных или выходных интерфейсах
маршрутизатора. Программное обеспечение IOS Cisco проверяет пакет последовательно по
каждому условию. Если условие, разрешающее продвижение пакета, расположено наверху
списка, никакие условия, добавленные ниже, не будут запрещать продвижение пакета.
Список доступа можно редактировать только в определенных условиях, которые
специально
конфигурируются.
В
большинстве
случаев
при
необходимости
редактирования рекомендуется список доступа целиком удалить и создать новый
список с новыми условиями.
Созданные маршрутизатором пакеты списками доступа не фильтруются.
Функционирование маршрутизатора по проверке соответствия принятого пакета
требованиям списка доступа производится следующим образом. Когда кадр поступает на
интерфейс, маршрутизатор извлекает (декапсулирует) из кадра пакет и проверяет его на
соответствие условиям списка ACL входного интерфейса. При отсутствии запрета или
отсутствии списка доступа пакет маршрутизируется и продвигается на выходной интерфейс,
где вновь проверяется, затем инкапсулируется в новый кадр и отправляется интерфейсу
следующего устройства.
Проверка условий (утверждений) списка доступа производится последовательно.
Если текущее утверждение верно, пакет обрабатывается в соответствие с командами permit
или deny списка доступа. В конце каждого списка присутствует неявно заданная по
умолчанию команда deny any (запретить все остальное). Поэтому если в списке доступа
нет ни одного разрешающего условия, то весь трафик будет заблокирован.
Существуют разные типы списков доступа: стандартные (standard ACLs),
расширенные (extended ACLs), именованные (named ACLs). Когда список доступа
конфигурируются на маршрутизаторе, каждый список должен иметь уникальный
идентификационный номер или имя. Идентификационный номер созданного списка
доступа должен находиться в пределах определенного диапазона, заданного для этого типа
списка (табл.5.1).
Таблица 5.1
Диапазоны идентификационных номеров списков доступа
Диапазон номеров
1-99
100-199
1300-1999
2000-2699
Название списка доступа
IP standard access-list
IP extended access-list
IP standard access-list (extended range)
IP extended access-list (extended range)
105
600-699
800-899
900-999
Appletalk access-list
IPX standard access-list
IPX extended access-list
Стандартные списки доступа (Standard access lists) – для принятия решения (permit
или deny) в IP пакете анализируется только адрес источника сообщения.
Расширенные списки доступа (Extended access lists) проверяют как IP-адрес
источника, так и IP-адрес назначения, поле протокола в заголовке пакета сетевого уровня и
номер порта в заголовке транспортного уровня.
Таким образом, для каждого протокола, для каждого направления трафика и для
каждого интерфейса может быть создан свой список доступа. Исходящие фильтры не
затрагивают трафик, который идет из местного маршрутизатора.
Стандартные списки доступа рекомендуется устанавливать по возможности ближе к
адресату назначения, а расширенные – ближе к источнику. То есть стандартные списки
доступа должны блокировать устройство или сеть назначения и располагаться поближе к
защищаемой сети, а расширенные списки устанавливаются ближе к возможному источнику
нежелательного трафика.
Список доступа производит фильтрацию пакетов по порядку, поэтому в строках
списков следует задавать условия фильтрации, начиная от специфических условий до
общих. Условия списка доступа обрабатываются последовательно от вершины списка к
основанию, пока не будет найдено соответствующее условие. Если никакое условие не
найдено, то тогда пакет отклоняется и уничтожается, поскольку неявное условие deny any
(запретить все остальное) есть неявно в конце любого списка доступа. Не удовлетворяющий
списку доступа пакет протокола IP будет отклонен и уничтожен, при этом отправителю
будет послано сообщение протокола ICMP. Новые записи (линии) всегда добавляются в
конце списка доступа.
5.2. Конфигурирование стандартных списков доступа
Конфигурирование списков доступа производится в два этапа:
1. Создание списка доступа в режиме глобального конфигурирования.
2. Привязка списка доступа к интерфейсу в режиме детального конфигурирования
интерфейса.
Формат команды создания стандартного списка доступа следующий:
Router(config)#access-list {номер} {permit или deny} {адрес источника}
Списки доступа могут фильтровать как трафик, входящий в маршрутизатор (in), так и
трафик, исходящий из маршрутизатора (out). Направление трафика указывается при
106
привязке списка доступа к интерфейсу. Формат команды привязки списка к интерфейсу
следующий:
Router(config-if)#{протокол} access-group {номер} {in или out}
После привязки списка доступа его содержимое не может быть изменено. Не
удовлетворяющий администратора список доступа должен быть удален командой no accesslist и затем создан заново.
Ниже приведены примеры конфигурирования стандартных списков доступа по
защите Сети 1 (рис. 5.3).
Сеть 4
200.4.4.0/24
DCE
.2
A
S0/3/0
B
S0/3/1
G0/0 .1
.11
Сеть 5
200.5.5.0/24
DCE
.2
G0/0
.34
Сеть 1
192.168.10.0/24
S0/3/0
.1
.11
.34
Сеть 2
192.168.20.0/24
S0/3/1
C
G0/0 .1
.11
.34
Сеть 3
192.168.30.0/24
Рис. 5.3. Схема сети
Пример 1. Необходимо, чтобы узлы Сети 1 были доступны только узлу Сети 2 с
адресом 192.168.20.11, а все остальные узлы Сети 2 и Сети 3 не имели бы доступа в Сеть1.
Список доступа следует установить на интерфейс G0/0 маршрутизатора Router_A. Номер
списка доступа (10) выбирается из диапазона табл. 5.1.
Создание и установка списка доступа производится по командам:
Router_A(config)#access-list 10 permit 192.168.20.11
Router_A(config)#int g0/0
Router_A(config-if)#ip access-group 10 out
Согласно созданной конфигурации ко всем исходящим из маршрутизатора через интерфейс
G0/0 пакетам будет применяться список доступа:
permit 192.168.20.11 – присутствует в списке в явном виде,
deny any – присутствует неявно в конце каждого списка доступа.
Некоторые версии операционных систем IOS маршрутизаторов требуют в
обязательном порядке использование инверсных масок WildCard при задании адресов узлов
107
и сетей, либо расширения host при задании адресов узлов. Подобные дополнения
рассмотрены в следующих примерах.
Пример 2. Серверы Сети 1 должны быть доступны всем узлам Сети 2 и узлу Сети 3 с
адресом 192.168.30.11, остальные узлы Сети 3 не должны иметь доступа. Список доступа
установить на интерфейс G0/0 Router_A. В списке доступа анализируются адреса сети и
отдельного узла, поэтому необходимо использовать маску WildCard. Нулевые значения
шаблонной маски WildCard означают требование обработки соответствующих разрядов
адреса, а единичные значения – игнорирование соответствующих разрядов адреса при
функционировании списка доступа. Таким образом, маска 0.0.0.0 предписывает анализ и
обработку всех разрядов адреса, т.е. в этом случае будет обрабатываться адрес узла. Маска
0.0.0.255 показывает, что обрабатываться будет только сетевая часть адреса класса С.
Следовательно, список доступа будет следующим:
Router_A(config)#access-list 11 permit 192.168.30.11 0.0.0.0
Router_A(config)#access-list 11 permit 192.168.20.0 0.0.0.255
Router_A(config)#int g0/0
Router_A(config-if)#ip access-group 11 out
Согласно созданной конфигурации ко всем исходящим из маршрутизатора пакетам через
интерфейс f0/0 будет применяться список доступа:
permit 192.168.30.11 0.0.0.0 – разрешение доступа узлу в Сеть 1,
permit 192.168.20.0 0.0.0.255 – разрешение доступа всем узлам Сети 2 в Сеть 1,
deny any – присутствует неявно в конце списка доступа.
Записи 192.168.30.11 0.0.0.0 полностью соответствует другой вариант – host
192.168.30.11, который также предписывает обрабатывать адрес только одного узла.
Пример 3. В Сети рис.5.3 необходимо установить список доступа, который:
1. блокирует рабочей станции 192.168.20.11 Сети 2 доступ в Сеть1;
2. блокирует рабочей станции 192.168.30.24 Сети 3 доступ в Сеть1;
Для этого создается список доступа:
Router_А(config)#access-list 12 deny host 192.168.20.11
Router_А(config)#access-list 12 deny host 192.168.30.24
Router_А(config)#access-list 12 permit any
Router_А(config)#int g0/0
Router_А(config-if)#ip access-group 12 out
Данный список блокирует доступ в Сеть 1 только двум рабочим станциям
192.168.20.11 и 192.168.30.24, а всем остальным – доступ разрешен. Если бы отсутствовала
108
третья строка списка доступа, то ни одна станция из других сетей не могла бы попасть в Сеть
1.
Поскольку созданные маршрутизатором пакеты списками доступа не фильтруются, то
это дает возможность открывать несанкционированные Telnet- и SSH-сессии. Поэтому для
повышения безопасности удаленного доступа через виртуальные линии vty могут
использоваться списки контроля доступа c командой access-class. Списки доступа,
созданные этой командой, управляют процессом создания исходящих и входящих
соединений маршрутизатора. Формат команды следующий:
Router(config)#access-class {номер} {in [vrf-also] | out}
Пример конфигурирования списка ограничения удаленного доступа рассмотрен для
сети рис. 5.4.
G0/0
A
.1
...
Сеть 1
192.168.10.0/24
Сеть 4
200.4.4.0/24
DCE
.2
S0/3/0
S0/3/1
G0/1 .1
B
G0/0 .1
...
Сеть 2
192.168.20.0/24
...
Сеть 3
192.168.30.0/24
Рис. 5.4. Сеть со списком ограничения удаленного доступа
Например, в сети ограничивается удаленный доступ, например по Telnet, с одного из узлов
сети 192.168.10.0 или 192.168.20.0:
R-A(config)#enable password cis-1
R-A(config)#line vty 0 4
R-A(config-line)#password cis-2
R-A(config-line)#login
Для ограничения доступа только узлу 192.168.10.11 из сети 1 создается следующий список:
R-A(config-line)#access-class 11 in
R-A(config-line)#exit
R-A(config)#access-list 11 permit 192.168.20.11 0.0.0.0
R-A(config)#access-list 11 deny any
109
Параметр in ограничивает доступ входящим соединениям между адресами списка и
маршрутизатором, out – блокирует исходящие соединения.
5.3. Конфигурирование расширенных списков доступа
В отличие от стандартных списков доступа, где в качестве критерия фильтрации
используется только один параметр – адрес источника, расширенные списки используют
несколько параметров:
- адрес источника,
- адрес назначения,
- протокол,
- порт.
Формат команды создания расширенного списка доступа следующий:
Router(config)#access-list {номер} {permit или deny} {протокол} {адрес источника} {адрес
назначения} {порт}
В поле протокола задается имя или номер (0 – 255) протокола сети Интернет.
Наиболее часто используются протоколы IP, TCP, UDP, OSPF, RIP и др. Поле порта
используется либо для задания номера (0 – 65535), либо – имени портов, например, FTP или
Telnet.
Формат команды привязки списка доступа к интерфейсу аналогичен команде
стандартного списка:
Router(config-if)#{протокол} access-group {номер} {in или out}
Пример 4. В сети (рис. 5.3) необходимо:
1. разрешить одной рабочей станции 192.168.30.11 Сети 3 доступ к серверу Сети 1 с IPадресом 192.168.10.25 и адресом порта 8080;
2. разрешить всем рабочим станциям Сети 2 с адресом 192.168.20.0 доступ к тому же
серверу;
3. разрешить всем рабочим станциям доступ ко всем Web-серверам Сети
Для этого создается список доступа:
Router_А(config)#access-list 110 permit tcp host 192.168.30.11 host 192.168.10.25 eq 8080
Router_А(config)#access-list 110 permit tcp 192.168.20.0 0.0.0.255 host 192.168.10.25 eq 8080
Router_А(config)#access-list 110 permit tcp any any eq WWW
110
Router_А(config)#int g0/0
Router_А(config-if)#ip access-group 110 out
Запись any (все) эквивалентна записи 0.0.0.0 255.255.255.255, т.е. ни один бит адреса не
должен анализироваться. Следовательно, в третьем условии Примера 4 записано требование,
исключить фильтрацию по адресу источника и адресу назначения, т.е. запись permit tcp any any
означает «разрешить доступ всем сегментам tcp ко всем узлам сети». Единственный критерий
фильтрации – это порт eq WWW.
Запись eq означает требование анализа пакетов только с данным номером порта
назначения. Вместо нее могла быть другая запись, например, neq, означающая требование
анализа пакетов с другими номерами, за исключением данного. Запись range означает
требование анализа пакетов с номерами портов в указанном диапазоне.
Пример 5. Необходимо в сети (рис. 5.3) создать список доступа, чтобы:
1. блокировать рабочей станции 192.168.20.11 Сети 2 доступ по telnet в Сеть 1, но
оставить доступ для другого сервиса;
2. блокировать рабочей станции 192.168.30.24 Сети 3 доступ по telnet в Сеть 1, но
оставить доступ для другого сервиса;
Для этого создается список доступа:
Router_А(config)#access-list 115 deny tcp host 192.168.20.11 192.168.10.0 0.0.0.255 eq telnet
Router_А(config)#access-list 115 deny tcp host 192.168.30.24 192.168.10.0 0.0.0.255 eq telnet
Router_А(config)#access-list 115 permit ip any any
Router_А(config)#int g0/0
Router_А(config-if)#ip access-group 115 out
Третье условие Примера 4 предписывает исключить фильтрацию по адресу источника
и адресу назначения всех IP-пакетов, т.е. всех сегментов TCP и UDP.
Удаление списков доступа производится с использованием отрицания no. Например,
удаление списка доступа из предыдущего примера производится по команде:
RouterА(config)#no access-list 115
111
Именованные списки доступа
Именованные списки доступа позволяют за счет введения имени списка сократить
затем объем записей при конфигурировании. Кроме того, снимаются ограничения в 99
стандартных и 100 номеров расширенных списков, поскольку имен можно придумать много.
Именованный список доступа с именем spisok для вышеприведенного примера 4 будет
выглядеть следующим образом:
Router_А(config)#access-list extended spisok
Router_А(config-ext-nac1)#permit tcp host 192.168.30.11 host 192.168.10.25 eq 8080
Router_А(config-ext-nac1)#permit tcp 192.168.20.0 0.0.0.255 host 192.168.10.25 eq 8080
Router_А(config-ext-nac1)#permit tcp any any eq WWW
Router_А(config-ext-nac1)#exit
Router_А(config)#int g0/0
Router_А(config-if)#ip access-group spisok out
Контроль списков доступа
Контроль списков доступа производится по командам show. Например, контроль
любых списков доступа производится по команде:
RouterА#show access-list
Extended IP access list 110
permit tcp host 192.168.30.11 host 192.168.10.25 eq 8080 (34 matches)
permit tcp 192.168.20.11 0.0.0.255 host 192.168.10.25 eq 8080 (11 matches)
permit tcp any any eq WWW (29 matches)
Контроль IP-списков доступа производится по команде:
RouterА#show ip access-list
Списки доступа, установленные на интерфейсы, можно посмотреть по команде show
ip interface, а также show running-config.
Редактирование списков доступа
В разделе 5.1 отмечалось, что при необходимости редактирования рекомендуется
список доступа целиком удалить и создать новый список с новыми условиями. Чтобы
облегчить этот процесс, требующий редактирования список можно скопировать, например,
из распечатки команды show run, затем вставить его в текстовый редактор, отредактировать,
112
удалить старый список из конфигурации маршрутизации и создать новый
отредактированный список.
Второй способ редактирования предусматривает использование свойства нумерации
строк именованного списка доступа. Например, создан именованный список доступа:
R-A(config)#ip access-list standard ACL
R-A(config-std-nacl)#permit host 192.168.20.11
R-A(config-std-nacl)#permit host 192.168.30.11
R-A(config-std-nacl)#int g0/0
R-A(config-if)#ip access-group ACL out
Команда show access-lists отображает строки списка, причем нумерация идет через 10
R-A#show access-lists
Standard IP access list ACL
10 permit host 192.168.20.11 (4 match(es))
20 permit host 192.168.30.11 (4 match(es))
R-A#
Если в списке необходимо произвести изменения, например, запретить узлу host
192.168.20.11 доступ в сеть 1 и разрешить доступ всем остальным узлам сети 192.168.20.0 ,
то это может реализовать следующая последовательность команд:
R-A(config)#ip access-list standard ACL
R-A(config-std-nacl)#no 10
R-A(config-std-nacl)#10 deny host 192.168.20.11
R-A(config-std-nacl)#15 permit 192.168.20.0 0.0.0.255
В этом примере новая строка списка (15) вставлена между 10-ой и 20-ой строками:
R-A#sh access-list
Standard IP access list ACL
10 deny host 192.168.20.11
15 permit 192.168.20.0 0.0.0.255
20 permit host 192.168.30.11 (4 match(es))
R-A#
5.4. Списки доступа IPv6
Ниже рассмотрены особенности конфигурирования списков доступа IPv6 на примере
сети рис. 5.5.
113
A
G0/0
Сеть 4
2001:db8:a:5::/64
DCE
.2
S0/3/0
S0/3/1
.1
.11
Сеть 5
2001:db8:a:6::/64
DCE
.2
B
G0/0
S0/3/0
...
Сеть 1
2001:db8:a:1::/64
G0/0
.1
.21
C
S0/3/1
.1
.31
...
Сеть 2
2001:db8:a:2::/64
...
Сеть 3
2001:db8:a:3::/64
Рис. 5.5. Пример сети IPv6
Протокол IPv6 поддерживает только именованные расширенные списки доступа.
Имена списков IPv6 и IPv4 должны быть разными. Вместо команды назначения списка
доступа на интерфейс (ip access-group) протокола IPv4, в сетях IPv6 используется команда
ipv6 traffic-filter.
В конце списка доступа IPv6 неявно присутствует команда deny ipv6 any any. Кроме
того, список доступа IPv6 включает еще два неявных условия:
permit icmp any any nd-ns,
permit icmp any any nd-na.
Эти условия необходимы для разрешения передачи пакетов обнаружения соседних
устройств и их МАС-адресов (Neighbor Discovery – nd) средствами протокола ICMP (вместо
протокола ARP в сетях IPV4). Для получения МАС-адреса соседнего устройства (конечного
узла или интерфейса сетевого элемента) маршрутизатор посылает запрос (Neighbor
Solicitation – ns), и в ответ получает сообщение объявления соседнего устройства (Neighbor
Advertisement – na). Первое условие разрешает передачу запроса обнаружения соседей (ndns), второе (nd-na) – объявления соседних устройств.
Конфигурирование списков доступа IPv6 сводится к заданию имени списка,
формированию условий списка и назначению списка на интерфейс. Например, в сети рис. 5.5
необходимо создать список доступа, запрещающий доступ в Сеть 1 всем узлам Сети 3 и
разрешающий доступ всем узлам Сети 2:
R-A(config)#ipv6 access-list ACL
R-A(config-ipv6-acl)#deny ipv6 2001:DB8:A:3::/64 any
R-A(config-ipv6-acl)#permit ipv6 any any
114
Назначение списка ACL на интерфейс S0/3/0 маршрутизатора А производится по команде:
R-A(config)#int s0/3/0
R-A(config-if)# ipv6 traffic-filter ACL in
Верификацию списка доступа можно провести по командам show run, show access-list.
Например:
R-A#show run
Building configuration...
...
ipv6 unicast-routing
...
interface GigabitEthernet0/0
ipv6 address 2001:DB8:A:1::1/64
ipv6 ospf 1 area 0
!
interface Serial0/3/0
ipv6 traffic-filter ACL in
ipv6 address 2001:DB8:B:1::1/64
ipv6 ospf 1 area 0
clock rate 64000
!
ipv6 router ospf 1
router-id 1.1.1.1
log-adjacency-changes
!
ip classless
!
ipv6 access-list ACL
deny ipv6 2001:DB8:A:3::/64 any
permit ipv6 any any
...
R-A#
Для удаления списка доступа необходимо отменить назначение на интерфейс в
режиме конфигурирования интерфейса (no ipv6 traffic-filter имя in|out) затем удалить сам
список (no ipv6 access-list имя).
115
Краткие итоги раздела 5
1. Для защиты информации на интерфейсах маршрутизаторов конфигурируются списки
доступа (ACL) или сетевые фильтры, которые обеспечивают базовый уровень
безопасности.
2. Списки доступа могут использоваться, чтобы разрешать (permit) или запрещать (deny)
продвижение пакетов через маршрутизатор.
3. Запрет или разрешение сетевого трафика через интерфейс маршрутизатора реализуется
на основании анализа совпадения определенных условий (правил).
4. В списке доступа ACL могут анализироваться адреса источника, адреса назначения,
протоколы и номера портов.
5. Списки доступа могут быть определены для каждого установленного на интерфейсе
протокола и для каждого направления сетевого трафика (исходящего и входящего).
6. Каждый список должен иметь уникальный идентификационный номер или имя.
7. Стандартные списки доступа для принятия решения анализируют в пакете только IPадрес источника сообщения.
8. Расширенные списки доступа проверяют IP-адрес источника, IP-адрес назначения, поле
протокола в заголовке пакета и номер порта в заголовке сегмента.
9. Стандартные списки доступа должны располагаться поближе к адресату назначения.
10. Расширенные списки доступа должны быть установлены по возможности близко к
источнику сообщений.
11. Условие deny any (запретить все остальное) есть неявно в конце любого списка доступа.
12. Создание списка доступа производится в режиме глобального конфигурирования.
Формат команды создания стандартного списка доступа следующий:
Router(config)#access-list {номер} {permit или deny} {адрес источника}.
13. Привязка списка доступа к интерфейсу производится в режиме детального
конфигурирования интерфейса. Формат команды привязки списка к интерфейсу
следующий:
Router(config-if)#{протокол} access-group {номер} {in или out}
14. Формат команды создания расширенного списка доступа следующий:
Router(config)#access-list {номер} {permit или deny} {протокол} {адрес источника} {адрес
назначения} {порт}
15. Именованные списки доступа позволяют за счет введения имени списка сократить затем
объем записей при конфигурировании.
16. Контроль списков доступа производится по командам show run, show access-list, show ip
interface.
17. Нумерация строк именованного списка доступа позволяет корректировать его.
18. Протокол IPv6 поддерживает именованные расширенные списки доступа. Вместо
команды назначения списка доступа на интерфейс (ip access-group) протокола IPv4, в
сетях IPv6 используется команда ipv6 traffic-filter.
19. В конце списка доступа IPv6 неявно присутствует команда deny ipv6 any any.
20. Список доступа IPv6 включает также два неявных условия:
permit icmp any any nd-ns,
permit icmp any any nd-na,
необходимых для разрешения передачи пакетов обнаружения соседних устройств и их МАСадресов (Neighbor Discovery – nd) средствами протокола ICMP (вместо протокола ARP в
сетях IPV4).
116
Вопросы по разделу 5
1. Для чего используются списки доступа?
2. На основании чего формируется запрет или разрешение сетевого трафика через
интерфейс маршрутизатора?
3. Какие параметры пакета могут анализироваться в стандартном и расширенном списке
доступа?
4. Где устанавливаются списки доступа и для какого трафика?
5. Какое условие имеется неявно в конце любого списка доступа?
6. Для чего нужны идентификационные номера списков доступа?
7. Каков формат команды создания стандартного списка доступа?
8. Каков формат команды создания расширенного списка доступа?
9. Каков формат команды привязки списка к интерфейсу?
10. Чем различается функционирование входящих и исходящих списков доступа?
11. Какие достоинства имеют именованные списки доступа?
12. Какая команда используется для ограничения удаленного доступа через виртуальные
линии vty?
13. Какие команды производят контроль списков доступа?
14. Возможно ли редактирование списков доступа?
15. В чем особенности конфигурирования списков доступа в сетях IPv6?
16. Какие команды используются для удаления списков доступа IPv6?
Упражнения
1. Сконфигурируйте список доступа для защиты узла 192.168.10.11 Сети 1
нижеприведенной схемы от несанкционированного доступа со всех узлов Сети 2 и одного
узла Сети 3 по командам протокола ICMP. Кроме того разрешить доступ по Telnet с узлов
Сети 2 на узел Сети 1.
Сеть 4
200.4.4.0/24
DCE
.2
A
S0/3/0
G0/0
.34
Сеть 1
192.168.10.0/24
2.
B
S0/3/1
G0/0 .1
.11
Сеть 5
200.5.5.0/24
DCE
.2
.11
S0/3/0
.1
.34
Сеть 2
192.168.20.0/24
S0/3/1
C
G0/0 .1
.11
.34
Сеть 3
192.168.30.0/24
Проведите проверку и отладку сети с использованием команд show running-config,
show access-list, show ip access-list, show ip interface, ping, traceroute , tracert и telnet.
117
6. КОММУТИРУЕМЫЕ СЕТИ
Рассмотрены принципы построения сетей на коммутаторах, приведены особенности
конфигурирования коммутаторов, управления таблицей коммутации. некоторые вопросы
конфигурирования безопасности на коммутаторах.
6.1. Иерархическая модель построения локальных сетей
Современные сети пакетной коммутации обычно строятся на базе коммутаторов
(коммутируемые сети), которые имеют 12 – 48 портов (интерфейсов), а некоторые
коммутаторы и больше. Если такого количества портов хватает для всех пользователей, то
структура сети будет представлена простейшей одноуровневой схемой (рис. 6.1а).
Современные
сети
развивающихся
предприятий
должны
быть
легко
масштабируемыми (расширяемыми), управляемыми и надежными. Подобные задачи
наиболее просто решаются в случае использования иерархической топологии сети, модель
которой включает несколько уровней иерархии. Сеть среднего предприятия может быть
построена по двухуровневой схеме (рис. 6.1б), которую называют моделью со свернутым
ядром. Сети крупных корпораций строятся по трехуровневой схеме (рис. 6.1в), включающей
нижний уровень доступа (Access), средний уровень распределения (Distribution) и верхний
уровень ядра (Core).
На уровне ядра и уровне распределения коммутируемых сетей (рис. 6.1в) обычно
функционируют многоуровневые коммутаторы (по-другому, коммутаторы 3-го уровня или
коммутаторы-маршрутизаторы), которые характеризуются большим количеством портов и
высоким быстродействием, как коммутаторы, а также широкими функциональными
возможностями, как маршрутизаторы.
На разных уровнях модели сети (рис. 6.1в) решаются разные задачи, исходя из
предъявляемых требований. Иерархическая схема сети легко масштабируется;
коммутаторы уровня распределения и ядра, а также их соединения дублируются, что
обеспечивает избыточность (резервирование) и повышает надежность сети. Коммутаторы
разных уровней могут иметь разное быстродействие, сравнительно низкое на уровне доступа
и самое высокое на уровне ядра.
118
а)
б)
Уровень ядра
ISP
C1
R-A
D1
A1
R-B
C2
D2
Уровень распределения
A2
A3
Уровень доступа
A4
Сервер
Сервер
в)
Рис. 6.1. Схемы локальных сетей на базе коммутаторов
Уровень ядра (Core layer) представляет собой быстродействующую магистраль
(backbone) сети и дает возможность соединения с сетью Интернет через маршрутизатор.
Требование высокого быстродействия обусловлено тем, что на этом уровне передается
суммарный поток данных всех пользователей. В настоящее время на уровне ядра
используются технологии Gigabit Ethernet и 10 Gigabit Ethernet. Важным свойством ядра
является его избыточность. Резервирование оборудования позволяет обеспечить высокую
надежность. Поэтому коммутаторы уровня ядра обычно дублируются (коммутаторы С1,
С2 – рис. 6.1в).
Уровень распределения (Distribution layer) также характеризуется введением
избыточных устройств и соединений для повышения надежности. На этом уровне
119
формируются широковещательные домены, т.е. реализуется управление потоками, что
характерно для функций сетевого уровня модели OSI, обеспечивается маршрутизация
между виртуальными локальными сетями (VLAN). Для повышения безопасности сети на
этом уровне реализуется политика безопасности, формируются списки доступа, (см. раздел
5). В настоящее время на уровне распределения широко используется технология Gigabit
Ethernet. На рис. 6.1в уровень распределения представлен коммутаторами 3-го уровня D1,
D2.
Уровень доступа (Access layer) обеспечивает доступ конечным узлам к сети. Именно
на этом уровне часто бывают попытки несанкционированного доступа, поэтому вопросы
безопасности портов коммутаторов наиболее актуальны на данном уровне. То есть, на этом
уровне модели (рис. 6.1в) необходимо обеспечить безопасность портов, чтобы не допустить
несанкционированное проникновение в сеть. Поскольку пользователей и портов
коммутаторов на этом уровне очень много, то коммутаторы обычно не дублируются. Для
разграничения потоков и создания широковещательных доменов порты коммутатора
приписываются к виртуальным локальным сетям (VLAN). Основными технологиями уровня
доступа является Fast Ethernet и Gigabit Ethernet. На рис. 6.1в уровень доступа представлен
коммутаторами А1 – А4.
Безопасность и управляемость сетей, построенных по иерархической топологии,
легко реализуются, поскольку на каждом уровне могут решаться свои специфические задачи.
Политика информационной безопасности предусматривает обеспечение защиты на всех
уровнях модели.
Управление на уровне доступа задает, к каким портам коммутатора может
подключаться тот или иной конечный узел, идентификация каждого узла производится по
его МАС-адресу. Если конечные узлы неавторизованных пользователей не будут иметь
доступа к коммутаторам, то повышается безопасность всей сети.
Кроме того, на уровне доступа могут формироваться виртуальные локальные сети
(VLAN), позволяющие сегментировать сеть на отдельные широковещательные домены
(подсети). Это также повышает безопасность сети, поскольку широковещательные
сообщения передаются только в пределах домена и не могут «затопить» всю сеть.
На уровне распределения политика безопасности может предусмотреть
использование сетевых фильтров. Следовательно, коммутаторы уровня распределения
должны выполнять функции устройств 3-го уровня модели OSI. Поэтому такие коммутаторы
и получили название коммутаторов третьего уровня или многоуровневых. Специальное
программное обеспечение по защите информации может использоваться на уровне ядра.
Вопросы гарантии качества обслуживания решаются на всех уровнях модели рис.
6.1в. Качество услуг (Quality of Service – QoS) очень важно обеспечить в мультисервисных
сетях, поскольку в них передаются как цифровые данные, так и потоки аудио- и
видеоинформации. Как правило, на уровне доступа в определенный момент времени
коммутатор имеет дело с каким-то одним видом информации (аудио-, видео-, данными).
Однако на уровне распределения и ядра коммутируются агрегированные потоки
120
информации, поэтому средства этих уровней должны обеспечивать заданное качество QoS
для каждого из передаваемых видов информации. Это реализуется за счет задания разных
приоритетов передаваемых сообщений.
Важным вопросом при проектировании сети иерархической модели является место
размещения серверов, банков и баз данных, сетевых принтеров. Необходимо
минимизировать количество промежуточных
устройств (коммутаторов) между
пользователем и общесетевым оборудованием, а также оптимизировать пропускную
способность соединений, поскольку к серверам и банкам данных может одновременно
обращаться множество конечных устройств.
К коммутаторам сетей разной сложности и уровня иерархической структуры
предъявляются различные требования, поэтому выпускаются несколько типов
коммутаторов:
- с фиксированной конфигурацией;
- с модульной конфигурацией;
- стекируемые (stackable).
Примером современных устройств с фиксированной конфигурацией являются
коммутаторы серии Catalyst 2960, которые имеют достаточно много (24 – 48) портов Fast
Ethernet и 2 – 4 порта Gigabit Ethernet.
Материнская плата (шасси) коммутатора модульной конфигурации позволяет
монтировать разное количество линейных плат, содержащих порты, по требованию
заказчика. Обычно коммутаторы модульной конфигурации являются наиболее
дорогостоящими.
Стекируемые коммутаторы с помощью специального кабеля (special backplane cable)
и разъема на задней панели коммутатора объединяются в единый высокопроизводительный
стек. Технология Cisco StackWise позволяет объединять до 9 коммутаторов. Стекируемые
коммутаторы обычно дешевле модульных при одинаковой производительности.
Форм-факторы отражают характеристики коммутаторов, среди которых наиболее
важными являются плотность портов и производительность.:
Плотность портов характеризует способность коммутатора поддерживать требуемое
количество устройств в сети (компьютеров, серверов, IP-телефонов, сетевых принтеров), для
чего требуется определенное количество доступных портов.
Производительность коммутатора определяет количество передаваемых данных в
единицу времени через все его порты. Это значение обычно несколько меньше суммы
производительностей каждого порта. Порты коммутатора характеризуются определенной
скоростью передачи данных, например, широко распространенный коммутатор уровня
доступа Catalyst 2960 может иметь 24 порта со скоростью 100 Мбит/с и 2 или 4 порта со
скоростью 1000 Мбит/с.
Для повышения производительности (пропускной способности) какого либо участка
сети в ряде случаев проводят объединение (агрегирование) соединений, а также создают
транковые соединения, что характерно для всех уровней модели рис. 6.1в. Принцип
121
агрегирования
нескольких
портов
коммутатора
для
обеспечения
требуемой
производительности наглядно отображает схема рис. 6.2, когда доступ к серверу может
одновременно потребоваться нескольким конечным узлам. Для обеспечения требуемой
повышенной производительности соединения сервера с коммутатором объединяются
(агрегируются) несколько портов коммутатора.
Сервер
Коммутатор
Рис. 6.2. Агрегирование портов коммутатора
Скорость передачи данных порта коммутатора определяется двумя техническими
характеристиками: скоростью фильтрации и скоростью продвижения. Фильтрация кадров
происходит в том случае, когда адресат назначения находится в том же сегменте, что и
источник передаваемых данных. При этом нет необходимости передавать кадр через
коммутатор, поэтому после приема кадра в буфер и определения адресата назначения
коммутатор уничтожает находящийся в буфере кадр, копия которого уже поступила
адресату. Сегменты образуются устройствами физического уровня (повторителями,
концентраторами). Двухточечное соединение компьютера с интерфейсом коммутатора
образует микросегмент.
Продвижение кадров происходит в том случае, когда адресат назначения находится в
другом сегменте. Поэтому после приема кадра в буфер и определения адресата назначения
коммутатор передает кадр в выходной порт, согласно таблице коммутации. Скорости
фильтрации и продвижения задаются в количестве кадров в секунду, при этом используются
кадры минимального размера, например, длиной 64 байта. Скорость фильтрации выше
скорости продвижения и не ограничивает (не блокирует) производительность коммутатора.
Время с момента прихода первого байта кадра на входной порт и до его появления на
выходном порте характеризует задержку передачи. Значение задержки во многом
определяется режимом коммутации.
Коммутаторы могут работать в нескольких режимах, при изменении которых
меняются задержка и надежность. Для обеспечения максимального быстродействия
(минимальной задержки) коммутатор может начинать передачу кадра сразу, как только
122
получит МАС-адрес узла назначения. Такой режим получил название сквозной коммутации
или коммутации «на лету» (cut-through switching), он обеспечивает наименьшую задержку
при прохождении кадров через коммутатор. Однако в этом режиме невозможен контроль
ошибок, поскольку поле контрольной суммы находится в конце кадра. Следовательно, этот
режим характеризуется низкой надежностью. В данном режиме сеть «засоряется»
поврежденными кадрами, что снижает ее производительность.
Во втором режиме коммутатор получает кадр целиком, помещает его в буфер,
проверяет поле контрольной суммы (FCS) и затем пересылает адресату. Если получен кадр с
ошибками, то он отбрасывается (discarded) коммутатором. Поскольку кадр перед отправкой
адресату назначения запоминается в буферной памяти, то такой режим коммутации получил
название коммутации с промежуточным хранением или буферизацией (store-and-forward
switching). Таким образом, в этом режиме обеспечивается высокая надежность, но
сравнительно низкая скорость коммутации.
Коммутация с буферизацией является
основным режимом современных коммутаторов.
Промежуточное положение между режимами сквозной коммутацией на лету и
буферизацией занимает режим коммутации свободного фрагмента. В этом режиме в буфер
помещается 64 байта кадра, читаются заголовок кадра, поле данных минимальной длины и
контрольная сумма, после этого передается кадр. Проверка контрольной суммы
производится только у коротких кадров, в больших кадрах контрольная сумма не
проверяется.
Когда используется режим сквозной коммутации на лету, порты устройств источника
и назначения должны иметь одинаковую скорость передачи. Такой режим называется
симметричной коммутацией. Если скорости не одинаковы, то кадр должен запоминаться
(буферизироваться) перед тем, как будет передаваться с другой скоростью. Такой режим
называется асимметричной коммутацией, при этом должен использоваться режим с
буферизацией. Например, для реализации асимметричного режима коммутации сервер
может подключаться к порту Gigabit Ethernet, а рабочие станции пользователей – к портам
Fast Ethernet (рис. 6.3).
G 0/1
F 0/1
Сервер
G 0/2
...
F 0/24
Сервер
Рис. 6.3. Асимметричная коммутация
123
Для буферизации кадров при асимметричном режиме коммутатор может
использовать буферную память портов или общую память коммутатора. Во втором
случае требуемый каждому порту объем памяти выделяется динамически, что и позволяет
успешно реализовать асимметричную коммутацию.
Современные коммутаторы позволяют передавать напряжение питания на некоторые
конечные узлы, например, на видеокамеры, IP-телефоны и др. Такая технология получила
название «мощность поверх Ethernet» (Power over Ethernet – PoE), что добавляет гибкости
при построении сетей.
Для создания локальных сетей выпускается широкий спектр коммутаторов, например,
Catalyst 2960, 3560, 3750, 4500, 6500 и другие. Они различаются количеством портов,
производительностью, функциональными возможностями, ценой. Информацию о них можно
найти в Интернете.
124
6.2. Конфигурирование коммутаторов
При включении коммутатора начинается процесс начальной загрузки в следующей
последовательности:
- выполнение программы проверки аппаратных средств POST;
- загрузка из ПЗУ (ROM) программы начального загрузчика;
- инициализация регистров центрального процессора;
- инициализация файловой системы во флеш-памяти;
- загрузка операционной системы IOS в оперативную память;
- передача операционной системе IOS управления коммутатором.
После того, как коммутатор загрузился, он может конфигурироваться.
Конфигурирование коммутатора проводится при начальной настройке, изменении топологии
сети, коррекции сбоев. При первоначальном конфигурировании консольный порт
коммутатора соединяется с компьютером консольным кабелем. Если процедура проверки
POST и загрузка операционной системы IOS выполнены успешно, то появляется
приглашение пользовательского режима:
Switch>
Коммутатор может работать по умолчанию без изменения базовой IP-конфигурации.
Достаточно включить устройство и оно должно начать работать, точно так же, как при
использовании концентратора. Однако при создании виртуальных локальных сетей (VLAN)
и для обеспечения требуемого уровня безопасности коммутатором необходимо управлять.
Вопросы начального конфигурирования коммутаторов и маршрутизаторов рассмотрены в
разделе 2.2 Части 1 настоящего курса, где показано, что помимо пользовательского режима
используется привилегированный режим, а также режимы глобального и специфического
(детального) конфигурирования.
В разделе 5.5 Части 1 отмечалось, что современные коммутаторы работают в
полнодуплексном режиме, когда отсутствуют коллизии и их не нужно обрабатывать,
передача данных между двумя узлами происходит одновременно в обе стороны, при этом за
счет двунаправленной передачи данных повышается производительность коммутатора.
Также же в разделах 2.3 и 6.5 Части 1 приведены особенности удаленного доступа к
коммутаторам Catalist, для чего введен виртуальный интерфейс (SVI) виртуальной
локальной сети vlan 1, на котором устанавливается конфигурация для управления
коммутатором. Поскольку интерфейс SVI сети vlan 1 по умолчанию является управляющим
и это общеизвестно, то рекомендуется для повышения безопасности в качестве SVI и сети
управления использовать сеть с другим номером, например, vlan 101. На указанный
интерфейс задается IP-адрес, маска сети или подсети, интерфейс активируется, задается
шлюз по умолчанию, например:
125
Switch(config)#interface VLAN 101
Switch(config-if)#ip address 192.168.1.11 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#ip default-gateway 192.168.1.1
Однако распечатка команды show interface vlan101 показывает, что vlan 101 и
протокол находятся в состоянии down (выделено цветом), несмотря на то, что интерфейс SVI
был активирован:
Switch#show interface vlan101
Vlan101 is down, line protocol is down
HardwareisCPUInterface,addressis000c.8565.26db(bia000c.8565.26db)
Internet address is 192.168.10.11/24
...
Для перевода vlan 101 и протокола в состояние up на коммутаторе необходимо
создать виртуальную локальную сеть vlan 101 и приписать к ней порт с конечным
устройством, например F0/19 (рис. 6.4):
Catalyst 2960
G0/0
G1/1
F0/19
Рис. 6.4. Сеть на коммутаторе
Switch(config)#vlan 101
Switch(config-vlan)#exit
Switch(config)#int f0/19
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 101
Конфигурация коммутатора хранится в NVRAM, также как у маршрутизатора.
Посмотреть конфигурацию можно по команде:
Switch#show run
...
!
interface FastEthernet0/19
switchport access vlan 101
switchport mode access
!
126
interface Vlan1
no ip address
shutdown
!
interface Vlan101
ip address 192.168.10.11 255.255.255.0
!
ip default-gateway 192.168.10.1
...
Switch#
Чтобы изменить IP-адрес управления и заданный по умолчанию шлюз на
коммутаторе, можно либо ввести новый адрес, либо удалить информацию командами
глобальной конфигурации no ip address или no ip default-gateway.
На интерфейсах современных коммутаторов встроена функция автоматического
определения типа кабеля (Auto-MDIX), поэтому отпала необходимость в двух типах кабеля
(прямого и кроссового). Включение функции Auto-MDIX производится по команде mdix
auto в режиме конфигурирования интерфейса. Информацию о настройке функции AutoMDIX, например, на интерфейсе F0/1, можно получить по команде
show controllers ethernet-controller f0/1 pfy.
Конфигурирование протокола SSH на коммутаторе
Протокол удаленного доступа Telnet передает данные в открытой незашифрованной
форме, что снижает информационную безопасность. Поэтому рекомендуется Telnet заменять
протоколом SSH, который шифрует передаваемые данные. Номер порта Telnet – 23, SSH –
22. Оба протокола на транспортном уровне взаимодействуют с TCP.
Для того чтобы сконфигурировать SSH на коммутаторе (рис. 6.4) необходимо
выполнить ряд команд.
Предварительно нужно задать имя коммутатора, например:
Switch(config)#hostname S-A
В режиме глобального конфигурирования требуется задать имя домену, где функционирует
SSH, например class:
S-A(config)#ip domain-name class
Протокол SSH автоматически включается при создании пары ключей RSA, при этом
требуется указать длину модуля в диапазоне от 360 до 2048. В приведенном примере задана
длина 1024:
S-A(config)#crypto key generate rsa
127
The name for the keys will be: S-A.class
Choosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys.Choosingakeymodulusgreaterthan512may
takeafewminutes.
Howmanybitsinthemodulus[512]:1024
%Generating1024bitRSAkeys,keyswillbenon-exportable...[OK]
Для аутентификации пользователя задают его имя (например, vas) и пароль (например, cis1):
S-A(config)#username vas secret cis1
*??? 1 0:4:3.608: %SSH-5-ENABLED: SSH 1.99 has been enabled
Сообщение говорит о том, что используется версия 1.99. В настоящее время
предпочтительной является версия 2, которую необходимо задать.
Настройку SSH на виртуальных линиях реализует следующая последовательность
команд:
S-A(config)#line vty 0 4
S-A(config-line)#transport input ssh
S-A(config-line)#login local
S-A(config-line)#exit
S-A(config)#ip ssh version 2
Если ранее на виртуальном интерфейсе (SVI) не была установлена конфигурация для
управления коммутатором, то это необходимо сделать, например:
S-A(config)#int vlan 101
S-A(config-if)#ip add 192.168.10.11 255.255.255.0
S-A(config-if)#no shut
S-A(config-if)#exit
S-A(config)#ip default-gateway 192.168.10.1
Кроме того, необходимо сформировать виртуальную локальную сеть vlan 101 и к ней
приписать физический интерфейс, например interface f0/19, к которому подключен
персональный компьютер:
S-A(config)#vlan 101
S-A(config-vlan)#
%LINK-5-CHANGED: Interface Vlan101, changed state to up
S-A(config-vlan)#int f0/19
S-A(config-if)#switchport access vlan 101
S-A(config-if)#
Проверка возможности удаленного доступа по SSH с персонального компьютера (рис. 6.3)
производится по команде:
128
PC>ssh –l vas 192.168.10.11
Open
Password:
S-А>
При этом протокол Telnet не работает. Ввод команды transport input all на линиях vty
разрешает функционирование как SSH, так и Telnet.
129
6.3. Безопасность сетей на коммутаторах
Для получения неправомочного доступа к коммутируемой локальной сети и
передаваемой по ней информации злоумышленники используют уязвимость в защите сети.
Успешная борьба с хакерами возможна, когда известны их методы проникновения в сеть.
Один из методов получения неправомочного доступа к передаваемым по сети данным
использует широковещательные рассылки протокола CDP, который обнаруживает прямо
подключенные устройства Cisco и облегчает создание сети. Протокол CDP по умолчанию
настроен на всех портах устройств Cisco (коммутаторах и маршрутизаторах). Рассылки
протокола CDP реализуются на 2-ом уровне модели OSI и производятся только внутри
локальной сети. Подключившись к локальной сети, хакер может получить информацию об
адресах устройств, версии IOS и другую информацию, необходимую для организации атак.
Поэтому, несмотря на удобства, предоставляемые протоколом CDP, его рекомендуется
отключать (no cdp run – в режиме глобальной конфигурации), если в нем нет острой
необходимости.
Для неправомочного получения передаваемой по локальной сети информации хакеры
часто организуют атаки на DHCP-серверы. При этом используются атаки истощения
ресурсов DHCP-сервера, т.е. доступных для пользователей IP-адресов, и атаки подмены
легального DHCP-сервера ложным. Для истощения ресурсов хакер организует рассылку
множества ложных запросов на DHCP-сервер, который выдает адреса виртуальным ложным
пользователям, а легальным – адресов не достается. Таким образом, организуется отказ в
обслуживании легальных пользователей.
Подмена легального DHCP-сервера ложным (DHCP-спуфинг) обычно реализуется
после атаки истощения. Ложный DHCP-сервер начинает раздавать клиентам ложные адреса,
в том числе ложный адрес службы доменных имен DNS. Тем самым злоумышленник
получает доступ к передаваемой по сети информации.
Для борьбы с атаками на DHCP-серверы проводят отслеживание DHCP-сообщений.
Данная функция классифицирует порты коммутатора на надежные (доверенные) и
ненадежные. Надежные порты могут получать все виды сообщений (см. раздел 10.3.4 Часть
1): запросы (DHCP Discover, DHCP Request); предложения (DHCP Offer); подтверждения
(DHCP Pack); ненадежные могут только получать запросы и не могут отправлять сообщения
сервера DHCP. На рис. 6.5 приведен пример сети, в которой порты F0/1 коммутаторов Sw-A
и Sw-B являются надежными, остальные – ненадежные. Следует подчеркнуть, что надежные
порты F0/1 коммутаторов лежат на пути к серверу DHCP.
130
F0/1
Sw-A
Sw-B
F0/1
Сервер
DHCP
Узел 1
Узел 2
Хакер
Рис. 6.5. Надежные и ненадежные порты коммутатора
Если устройство хакера, подключенное к ненадежному порту и имитирующее
ложный DHCP-сервер, отправит пакет с предложением (DHCP Offer), то порт выключается.
Для ненадежных портов формируют таблицу привязок устройств, которая задает МАС-адрес
и IP-адрес клиента, номер VLAN, идентификатор порта, что разрешает подключаться к
коммутатору только авторизованным пользователям, т.е. фильтровать трафик.
Надежные порты формируются специальным образом. Например, для создания
надежного порта F0/1 на коммутаторе Sw-A (рис.6.5) необходимо запустить функцию
отслеживания DHCP:
Sw-A(config)#ip dhcp snooping
Затем указать виртуальные локальные сети, например vlan 10, vlan 20, vlan 30
Sw-A(config)#ip dhcp snooping vlan 10,20,30
Затем задать надежные порты, например:
Sw-A(config)#int f0/1
Sw-A(config-if)#ip dhcp snooping trust
Распространенным методом неправомочного доступа к передаваемой по сети
информации является атака лавинного переполнения таблицы коммутации. Когда таблица
МАС-адресов не заполнена, коммутатор, получив кадр, передает его из всех своих портов, за
исключением того, на который кадр был получен (см. раздел 5.5 часть 1). Этим свойством
пользуются хакеры, которые «наводняют» сеть сообщениями с ложными адресами
источника, адресная таблица коммутации переполняется, и коммутатор начинает работать в
режиме концентратора. При этом подключившийся к коммутатору злоумышленник получает
возможность анализировать всю информацию, передаваемую по локальной сети.
Конфигурирование функции безопасности порта снижает возможность атаки переполнения
таблицы коммутации.
Комплекс указанных мер, наряду с функцией безопасности порта, позволяют снизить
уязвимость сети.
131
Функция безопасности портов коммутаторов
Безопасность локальной сети определяется функцией безопасности портов
коммутаторов (Port Security), которая включает ряд аспектов. В разделе 5.5 часть 1
отмечалось, что таблица коммутации (таблица МАС-адресов) создается динамически. Кадры,
которые имеют MAC-адрес назначения, зарегистрированный в таблице, могут
переключаться
только
на
соответствующий
интерфейс
без
использования
широковещательной передачи на все порты. Если в течение определенного времени (300
секунд по умолчанию) с какого либо узла нет передачи кадров, то адрес такого узла
удаляется из таблицы. Кадры на этот узел передаются в широковещательном режиме, что
снижает безопасность.
Для повышения безопасности администратор может:
- создать запись таблицы коммутации вручную, указав МАС-адрес узла, которому
разрешено подключение, остальным узлам доступ запрещен; статические записи может
удалить только администратор;
- динамические записи таблицы коммутации перевести в режим статических, когда
они не будут удаляться по истечению заданного таймером времени; записи удаляются только
после перезагрузки коммутатора;
- создать записи на основе привязки (sticky), которые не удаляются даже после
перезагрузки коммутатора;
- ограничить количество МАС-адресов, которым разрешено подключение к порту
коммутатора.
Методы реализации функцией безопасности портов коммутатора рассмотрены на
примере сети рис. 6.6.
РС3
F0/14
РС4
Sw-A
Hub
F0/10
РС5
РС0
F0/11
РС1
F0/12
РС2
Рис. 6.6. Реализация функцией безопасности портов
В исходном состоянии таблица очищена:
Sw-А>sh mac-address-table
Mac Address Table
------------------------------------------Vlan Mac Address
Type
Ports
132
---- ----------Sw-А>
--------
-----
«Прозвонка» с узла РС3 на узел РС1 формирует две динамические записи в таблице
коммутации, которые и удаляются динамически через 5 минут. Таблица коммутации
отображается по следующей команде:
Sw-A#show mac-address-table
Mac Address Table
------------------------------------------Vlan Mac Address
Type
Ports
---- ------------------ ----1 0007.ec37.978b DYNAMIC Fa0/11
1 00e0.f935.2720 DYNAMIC Fa0/14
Не дожидаясь истечения заданного таймером времени, администратор может вручную
произвести очистку динамически созданных адресов путем использования команды clear
mac-address-table в привилегированном режиме.
Формирование статической записи таблицы коммутации (таблицы MAC-адресов)
производится по следующей команде:
Switch(config)#mac-address-table static <МАС-адрес узла> vlan <имя vlan> interface
FastEthernet <номер>
Для интерфейса F0/10 сети рис. 6.6 с подключенным узлом РС0 с МАСадресом 0090.2131.14DE статическая запись будет следующей:
Sw-A(config)#mac-address-table static 0090.2131.14de vlan 1 interface f0/10
Значение физического адреса можно получить по команде
РС0>ipconfig /all
В результате таблица коммутации приобретает следующий вид:
Sw-A#show mac-address-table
Mac Address Table
------------------------------------------Vlan Mac Address
Type
Ports
---- ------------------ ----1 0007.ec37.978b DYNAMIC Fa0/11
1 00e0.f935.2720 DYNAMIC Fa0/14
1 0090.2131.14de STATIC
Fa0/10
Распечатка команды show run содержит информацию о статической записи:
Switch_A#sh run
...
133
mac-address-table static 0090.2131.14de vlan 1 interface FastEthernet0/10
Чтобы удалить созданные статически записи МАС-адресов, нужно использовать
следующую команду:
Switch(config)#no mac-address-table static <МАС-адрес узла> interface FastEthernet
<номер> vlan <номер>
Перевод динамических записей таблицы коммутации в режим статических
реализуется по команде switchport port-security в режиме конфигурирования интерфейса.
Например, после настройки безопасности порта F0/11 (рис. 6.6)
Sw-A(config-if)#int f0/11
Sw-A(config-if)#switchport mode access
Sw-A(config-if)#switchport port-security
и «прозвонки» с узла РС1 на узел РС3 таблица МАС-адресов приобретает следующий вид:
Sw-A#show mac-address-table
Mac Address Table
------------------------------------------Vlan Mac Address
Type
Ports
---- ------------------ ----1 0007.ec37.978b STATIC
Fa0/11
1 0090.2131.14de STATIC
Fa0/10
1 00e0.f935.2720 DYNAMIC Fa0/14
Записи, преобразованные из динамических в статические по команде switchport portsecurity, удаляются после перезагрузки коммутатора. Чтобы этого не происходило, создают
записи на основе привязки (sticky):
Sw-A(config)#int f0/12
Sw-A(config-if)#switchport mode access
Sw-A(config-if)#switchport port-security
Sw-A(config-if)#switchport port-security mac-address sticky
Эти записи добавляются в текущую конфигурацию, их можно посмотреть по команде show
run.
В схеме рис. 6.6 три компьютера РС3, РС4, РС5 подключены к коммутатору через
концентратор. Если известно, что лишь два узла являются легальными, и значит третий –
нелегальный, то можно настроить порт, так чтобы МАС-адреса двух узлов, первыми
передающих данные, были разрешенными, а попытки передачи данных другими узлами
134
приводили бы к блокировке порта или отбрасыванию кадра. Максимальное количество
разрешенных (защищенных) МАС-адресов, например 2, задается по команде:
Sw-A(config-if)#switchport port-security max 2
Существуют разные режимы реагирования на нарушение безопасности. По
умолчанию на коммутаторах установлен режим shutdown, который при необходимости
можно установить по команде:
Sw-A(config-if)#switchport port-security violation shutdown
Нарушение безопасности происходит, когда нелегитимная станция попытается
получить доступ к интерфейсу. В этом режиме при нарушении безопасности порт
принудительно выключается. Включение порта производится путем последовательного
административного выключения (shutdown) и затем включения (no shutdown) интерфейса.
Существуют еще два режима реагирования на нарушения безопасности: режим
защиты (Protect) и режим ограничения (Restrict). В этих режимах пакеты с неизвестными
исходящими МАС-адресами отбрасываются (уничтожаются). При этом в режиме
ограничения формируется уведомление, а в режиме защиты – не формируется.
Для того чтобы злоумышленнику был затруднен доступ в локальную сеть,
необходимо все неиспользуемые порты коммутатора отключить по команде shutdown.
Установку функции безопасности на интерфейсе можно проверить по командам show
run, show mac-address-table, show port-security int <тип номер>. Например, проверка порта
F0/12 (рис.6.6) дает следующий результат:
Sw-A#show port-security int f0/12
Port Security
: Enabled
Port Status
: Secure-up
Violation Mode
: Shutdown
Aging Time
: 0 mins
Aging Type
: Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses
:1
Total MAC Addresses
:1
Configured MAC Addresses : 0
Sticky MAC Addresses
:1
Last Source Address:Vlan : 0010.1123.2AE5:1
Security Violation Count : 0
Из распечатки следует, что функция безопасности порта F0/12 коммутатора (Port Security)
включена (Enabled), режим реагирования – Shutdown, максимальное число разрешенных
MAC-адресов – 1, запись функции безопасности создана на основе привязки (Sticky).
Аналогичную информацию дает распечатка текущей конфигурации:
Sw-A#sh run
135
...
interface FastEthernet0/10
switchport mode access
!
interface FastEthernet0/11
switchport mode access
switchport port-security
!
interface FastEthernet0/12
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0010.1123.2AE5
!
interface FastEthernet0/13
!
interface FastEthernet0/14
switchport mode access
switchport port-security
switchport port-security maximum 2
...
mac-address-table static 0090.2131.14de vlan 1 interface FastEthernet0/10
Среди базовых функций безопасности сети следует отметить оценку уязвимости,
которую дает аудит сети и моделирование атак (пробное проникновение в сеть). Аудит
определяет тип данных, которые может получить злоумышленник с помощью анализатора
сетевого трафика. Моделирование атак позволяет оценить текущую уязвимость сети.
136
6.4. Протокол охватывающего дерева STP
Многоуровневая схема коммутируемой сети (рис.6.1в) характеризуется избыточными
устройствами и соединениями, что обеспечивает высокую надежность. Однако избыточные
соединения могут приводить к образованию маршрутных петель, что, в свою очередь, может
привести к зацикливанию передаваемых пакетов, широковещательному шторму и падению
сети.
Из рис. 6.7 следует, что от узла Host i до Host j существует 5 различных путей (1, 2, 3,
4, 5).
3,4,5
2,5
1,2,3,4
4,5
5
3,5
1,5
1,2,3,4
5
1,3,5
2,4,5
Host j
Host i
Рис. 6.7. Избыточные пути в многоуровневой модели сети
Множество путей могут образовывать маршрутные петли (рис. 6.8), приводящие к
зацикливанию кадров в какой-либо петле.
Рис. 6.8. Образование маршрутной петли
137
Поэтому к топологии сети предъявляются два противоположных требования:
- с одной стороны, для повышения надежности необходимы избыточные устройства и
маршруты (соединения);
- с другой стороны, топология сети должна быть древовидной, т.е. не должна иметь
маршрутных петель.
Для разрешения этих противоречивых требований был разработан протокол
охватывающего (покрывающего) дерева (Spanning-Tree Protocol – STP), который при
наличии избыточных физических соединений прокладывает логические маршруты так,
чтобы топология сети была древовидной. Алгоритм STA, реализующий протокол STP,
автоматически выключает избыточные маршруты, образующие маршрутные петли.
Избыточные соединения могут быть автоматически активизированы при выходе из строя
соединений основного маршрута.
Таким образом, коммутаторы используют алгоритм STA, чтобы перевести в резервное
состояние избыточные пути, которые не соответствуют иерархической древовидной
топологии. Запасные избыточные пути задействуются, если основные выходят из строя.
Протокол STP используется для создания логической иерархии без петель, т.е. при наличии
физических петель, логические петли отсутствуют (рис. 6.9).
Корневой
коммутатор К
R
D1
A1
R
R
С1
С2
R
R
D2
A2
R
D3
A3
R
A4
R
R
D4
A5
R
A6
R
Рис. 6.9. Древовидная топология локальной сети
При этом топология сети будет древовидной и каждый конечный узел будет
характеризоваться единственным путем до главного или корневого (root) коммутатора К
(рис. 6.9). Причем, расстояние от каждого узла до корневого коммутатора будет
минимальным.
Для работы STP каждый коммутатор периодически каждые 2 секунды рассылает
служебные Hello кадры (Bridge Protocol Data Unit – BPDU) во все свои порты, чтобы
позволить другим коммутаторам знать о его существовании. Кадры BPDU содержат
идентификаторы коммутаторов (bridge ID – BID) и портов, эта информация используется,
чтобы выбрать корневой коммутатор сети. Расстояние до корневого коммутатора также
138
передается в кадрах BPDU. Для выбора корневого коммутатора администратор может
устанавливать коммутаторам приоритет (также как в протоколе OSPF при выборе
маршрутизатора DR). При одинаковых приоритетах выбор производится на основании
идентификаторов BID. Коммутатор с наименьшим значением BID становится корневым.
В исходном состоянии каждый коммутатор считает себя корневым. Когда приходит
служебный Hello кадр BPDU с меньшим (с лучшим) значением идентификатора BID,
коммутатор обновляет свое состояние и рассылает обновленные кадры BPDU другим
коммутаторам. Если же приходит кадр BPDU с худшим (с большим) значением BID, то кадр
отбрасывается, состояние коммутатора не модифицируется.
Идентификатор коммутатора BID представляет собой число размером 8 байт, где 6
младших байт отображают МАС-адрес блока управления коммутатора, а два старших байта
– задаваемый администратором приоритет, который может изменяться от 1 до 65536 (по
умолчанию 32768). Причем, при использовании виртуальных локальных сетей VLAN два
старших байта приоритета разделены на два поля: поле собственно приоритета и поле
расширения идентификатора ID (рис. 6.10).
Приоритет
Расширение ID
4 бита
12 бит
МАС адрес
48 бит
Рис. 6.10. Формат идентификатора BID
Поле расширения идентификатора ID размером в 12 бит служит для идентификации
VLAN. При этом общее значение приоритета (два старших байта) изменяется кратно 4096.
Таким образом, задав приоритет, администратор определит корневой коммутатор. При
одинаковых значениях приоритета и одинаковых расширениях ID идентификатора BID будет
определяться МАС-адресом блока управления коммутатора. С учетом того, что по
умолчанию управляющей является VLAN1, то приоритет по умолчанию будет 32769.
Задание приоритета некоторому коммутатору Switch-A1, который администратор
решает сделать корневым, производится по команде:
Switch-A1(config)#spanning-tree vlan 1 priority 24576
Корневым можно сделать коммутатор также по следующей команде:
Switch-A1(config)#spanning-tree vlan 1 root primary.
Проверить состояние коммутатора можно по команде:
Switch-A1#show spanning-tree.
Для описания топологии локальной сети (рис. 6.7 – 6.9) введены понятия корневой
порт (root port) и назначенный порт (designated port). Корневой порт некорневого
коммутатора характеризуется кратчайшим расстоянием до любого порта корневого
коммутатора, на рис. 6.9 корневые порты помечены квадратиками и символом R.
139
Назначенный порт помечен полукругом, через него реализуется связь коммутатора более
высокого уровня с коммутатором более низкого уровня иерархии.
На рис. 6.11 показан фрагмент схемы локальной сети рис. 6.9.
Корневой
коммутатор К
С1
R
R
D1
A1
R
D2
A2
R
A3
R
Рис. 6.11. Фрагмент схемы локальной сети
Из схемы следует, что корневой коммутатор автоматически сконфигурировал все
свои порты в качестве назначенных (designated). Другие коммутаторы (не корневые)
конфигурируют порты с кратчайшим расстоянием до корневого коммутатора в качестве
корневых (root port), а остальные порты – как не назначенные, которые блокируются и в
передаче данных не участвуют. Например, соединение портов коммутаторов A2 и D2
образует сегмент сети, в котором оба коммутатора имеют одинаковый приоритет. В
сегменте может быть только один назначенный порт.
При выборе назначенного и не назначенного порта основным приоритетом является
расстояние (метрика) до корневого коммутатора. Вторым приоритетным параметром
является МАС-адрес. Порт, у которого большее значение МАС-адреса станет не
назначенным (non-designated port). Не назначенный порт иногда называют
дополнительным. Кроме того, порты коммутатора могут находиться в неработающем
запрещенном состоянии (disabled port). Протокол STP в процессе работы определяет роль
каждого порта: корневой, назначенный, не назначенный (не работающий).
Расстояние от произвольного коммутатора до корневого оценивается в соответствии с
метрикой, в качестве которой обычно используется величина обратная скорости передачи
данных по сегменту (также как в протоколе OSPF, см. раздел 4.1). Согласно стандарта
802.1D-2004 скоростям технологий Ethernet и будущих высокоскоростных технологий
соответствуют новые значения метрики, приведенные в третьей строке табл. 6.1. В четвертой
стоке приведены старые значения метрики по умолчанию.
Таблица 6.1
Значения метрики технологий Ethernet
Технология
-
-
10GEthernet
GEthernet
FastEthernet
Ethernet
140
Мбит/с
Метрика новая
Метрика стар.
107
2
-
105
200
-
10000
2000
2
1000
20 000
4
100
200 000
19
10
2 106
100
Значение метрики на каждом из портов коммутатора можно сконфигурировать.
Например, для порта F0/1 некоторого коммутатора Switch-A1 можно задать значение
метрики в диапазоне от 1 до 200 000 000:
Switch-A1(config)#int f0/1
Switch-A1(config-if)#spanning-tree cost 200
Вернуться к значению по умолчанию можно, используя команду no spanning-tree
cost.
По значению метрики алгоритм STA оценивает расстояние от каждого коммутатора
до корневого. Если существует несколько маршрутов, то STA определяет единственный
корневой порт, выбирая путь до корневого коммутатора с наименьшим значением метрики.
При наличии нескольких портов с одинаковым значением метрики корневой порт
определяется по значению идентификатора. Размер идентификатора порта – 2 байта, где
младший байт отображает порядковый номер порта коммутатора, а старший байт –
задаваемый администратором приоритет (по умолчанию – 128). Приоритет может
изменяться в диапазоне от 0 до 240 с шагом 16. Значение приоритета порта можно задать в
режиме конфигурирования интерфейса по команде:
Switch-A1(config-if)#spanning-tree port-priority 96
Значение собственного идентификатора коммутатора и его составляющих (адрес,
метрика, значение Hello интервала), а также идентификатора корневого коммутатора можно
посмотреть по команде show spanning-tree.
Таким образом, в процессе работы STP производится:
1. Выбор корневого коммутатора (root bridge).
2. Выбор корневых портов (root ports).
3. Выбор назначенных и не назначенных портов (designated, non-designated ports).
Каждый порт коммутатора, который использует протокол STP, находится в одном из
следующих 5 состояний:
- Блокировка (Blocking)
- Прослушивание (Listening)
- Обучение (Learning)
- Продвижение (Forwarding)
- Запрещенное (Disabled)
При инициализации коммутатора все порты, за исключением находящихся в
запрещенном не работающем состоянии (Disabled), переводятся в состояние блокировки
Blocking.
141
В состоянии блокировки (Blocking) порты коммутатора принимают и обрабатывают
уведомления BPDU протокола STP, чтобы определить корневой коммутатор, но не передают
информационные данные.
В состояние прослушивания (Listening) коммутатор переходит на время,
определяемое таймером и составляющее 15 сек. В этом состоянии коммутатор не только
принимает уведомления BPDU, но и отправляет собственные. При этом формируются
корневые и назначенные порты, остальные порты блокируются, т.е. создается древовидная
топология сети. Если за время работы таймера порт получит уведомление STP с лучшей чем
его метрикой, то он перейдет в состояние блокировки Blocking. Если принятая метрика хуже
его собственной, то уведомление отбрасывается.
После 15 секунд состояния прослушивания коммутатор перейдет в состояние
обучения (Learning), чтобы принимать, но еще не продвигать пакеты данных и создавать
адресную таблицу коммутации. Длительность состояния Learning в 15 секунд также задается
таймером. При получении уведомления BPDU с лучшей, чем его собственная, метрикой порт
переходит в состояние блокировки.
После окончания заданного таймером времени порт коммутатора переходит в
состояние продвижения (Forwarding), т.е. начинается полноценная коммутация пакетов в
соответствии с созданной таблицей. При этом корневой коммутатор генерирует и передает
служебные пакеты Hello. Остальные коммутаторы принимают пакеты Hello на корневые
порты и ретранслируют пакеты через назначенные порты.
Если в течение 20 секунд (10 интервалов по умолчанию) корневой порт любого
коммутатора не получает пакет Hello, то он считает, что корневой коммутатор вышел из
строя. При этом коммутатор считает себя корневым и рассылает уведомления BPDU через
все свои порты. Начинается новый процесс протокола STP по созданию древовидной
топологии сети.
Переход порта в состояние запрещения (Disabled) и выход из него реализуется по
командам конфигурирования.
Таким образом, протокол STP для реализации работы алгоритма использует три
таймера:
- таймер периодичности Hello пакетов (Hello time) может изменять свои значения от 1 до
10 секунд. По умолчанию – 2 сек.;
- таймер состояний прослушивания и обучения (Forward delay) может быть настроен на
значения от 4 до 30 секунд. По умолчанию отсчитывает два периода по 15 сек.;
- таймер сохранения текущей конфигурации при отсутствии Hello пакетов (Maximum age)
формирует длительность от 6 до 40 секунд. По умолчанию – 20 сек.
142
Быстродействующие протоколы
Существенным недостатком протокола STP является слишком долгое время
формирования новой конфигурации сети, которое может составлять значение порядка 1
минуты (20 секунд сохранения текущей конфигурации, плюс 15 секунд состояния
прослушивания, плюс 15 секунд состояния обучения – итого 50 сек.). Поэтому были
разработаны различные варианты быстродействующих протоколов охватывающего
(покрывающего) дерева.
Созданный компанией Cisco быстродействующий протокол для работы с
виртуальными локальными сетями (Rapid per-VLAN spanning tree protocol –rapid PVST+)
стал основой для международных стандартов IEEE. Быстродействующий протокол (Rapid
STP – RSTP) входит в состав стандарта 802.1D-2004. Протокол Multiple STP – MSTP,
позволяющий протоколу STP взаимодействовать с множеством виртуальных локальных
сетей, входит в стандарт IEEE 802.1Q-2003.
Наиболее известным в настоящее время является быстродействующий протокол
RSTP. Для ускорения функционирования локальной сети древовидной топологии протокол
RSTP предусматривает, что порты доступа конечных узлов к сети не участвуют в стадии
прослушивания (Listening) и обучения (Learning), поскольку они входят в тупиковые
сегменты, откуда существует единственный путь в сеть (рис. 6.7 – 6.9). Эта технология
компании Cisco получила название PortFast. Для остальных портов исключена стадия
прослушивания, поэтому реализуется сразу переход в состояние обучения. Вместо 20 секунд
сохранения текущей конфигурации при отсутствии пакетов Hello установлена длительность
таймера (Maximum age) в 6 сек. Поэтому при отказе в сети протокол RSTP создает новую
древовидную топологию значительно быстрее, чем протокол STP. Оба этих протокола (STP
и RSTP) являются совместимыми. Причем, на части коммутаторов может быть
сконфигурирован протокол STP, а на других – может использоваться RSTP.
Технология PortFast для тупиковых портов (edge port) может быть сконфигурирована
на интерфейсах доступа к сети, например, на портах F0/1, …, F0/n коммутаторов А1 – А3
(рис. 6.11). При этом для конфигурирования F0/1 коммутатора Switch-A1 используется
команда:
Switch-A1(config)#int f0/1
Switch-A1(config-if)#spanning-tree portfast
Отмена технологии производится по команде:
Switch-A1(config-if)#no spanning-tree portfast
Проверка производится по команде sh run.
В протоколе RSTP помимо корневых и назначенных введены новые роли портов:
альтернативные – alternate (рис. 6.12) и резервные – backup.
143
Корневой коммутатор S1
(Root Bridge)
Назначенный порт - F2
Корневой порт - F3
F1 - назначенный порт
F4 - корневой порт
S3
S2
Назначенный порт - F5
F6 - альтернативный порт
Рис. 6.12. Порты локальной сети
Альтернативный порт, например порт F6 коммутатора S2, дублирует корневой порт F4 при
его отказе. Если сегмент, соединяющий коммутатор S1 (порт F1) и коммутатор S2 (порт F4),
выходит из строя, то передача кадров из S2 корневому коммутатору S1 будет производиться
через альтернативный порт F6. Резервный порт дублирует назначенный.
144
Краткие итоги раздела 6
1. Иерархическая топология коммутируемых сетей позволяет легко ими управлять,
масштабировать (расширять) и резервировать устройства и соединения, обеспечивая
требуемую надежность.
2. Модель коммутируемой сети включает три уровня иерархии: уровень ядра, уровень
доступа, уровень распределения.
3. На уровне доступа коммутаторы обеспечивают пользователям доступ к сети. Расширение
сети обеспечивается за счет подключения дополнительных коммутаторов. Управление
устройствами уровня доступа должно обеспечить безопасность и качество
предоставляемых услуг телекоммуникаций.
4. . На уровне доступа формируются виртуальные локальные сети (VLAN), позволяющие
сегментировать сеть на отдельные широковещательные домены. При этом деление сети
на подсети реализуют коммутаторы.
5. Уровень распределения является интерфейсом между пользователями и
быстродействующей магистралью ядра. На этом уровне формируются избыточные
соединения, что повышает надежность сети; агрегируются границы маршрутизации
третьего уровня OSI.
6. Уровень ядра обеспечивает быстродействующую магистраль между сетями.
7. Свернутое ядро реализуется при объединении с уровнем распределения.
8. Форм-факторами коммутаторов являются плотность портов и производительность.
9. В настоящее время выпускаются коммутаторы с различными форм-факторами: с
фиксированной или с модульной конфигурацией, а также стекируемые (stackable). Они
различаются ценой, количеством портов, производительностью, функциональными
возможностями.
10. Коммутаторы могут работать в нескольких режимах, при изменении которых меняются
задержка и надежность. Режим сквозной коммутации или коммутации “на лету”
обеспечивает наименьшую задержку, но в этом режиме невозможен контроль ошибок.
Режим с промежуточным хранением или буферизацией обеспечивает высокую
надежность, но сравнительно низкую скорость коммутации.
11. При первоначальном конфигурировании коммутатора его консольный порт соединяется с
компьютером консольным кабелем.
12. Коммутатор может работать по умолчанию без изменения базовой IP-конфигурации.
Управлять коммутатором необходимо при создании виртуальных локальных сетей
(VLAN) и для обеспечения фнукций безопасности.
13. Для управления коммутатором в режиме удаленного доступа конфигурируется
виртуальный интерфейс (SVI) виртуальной локальной сети vlan, на который задается IPадрес, маска сети, интерфейс активируется, и задается шлюз по умолчанию.
14. Управляющую виртуальную локальную сеть по умолчанию vlan 1 следует изменить на
другую.
15. Включение функции Auto-MDIX производится по команде mdix auto в режиме
конфигурирования интерфейса.
16. Для повышения информационной безопасности рекомендуется Telnet заменять
протоколом SSH, который шифрует передаваемые данные. Номер порта Telnet – 23, SSH
– 22. Оба протокола на транспортном уровне взаимодействуют с TCP.
17. Распространенным методом неправомочного доступа к передаваемой по сети
информации является атака лавинного переполнения таблицы коммутации.
18. Кадры, которые имеют MAC-адрес назначения, зарегистрированный в таблице
коммутации, могут переключаться только на соответствующий интерфейс без
использования широковещательной передачи на все порты, что повышает безопасность.
19. Конфигурирование функций безопасности портов коммутатора повышает
информационную безопасность сети.
145
20. Для повышения безопасности можно создавать запись таблицы коммутации вручную,
динамические записи таблицы коммутации перевести в режим статических, создавать
записи на основе привязки (sticky), которые не удаляются даже после перезагрузки
коммутатора; ограничивать количество МАС-адресов, которым разрешено подключение
к порту коммутатора.
21. Формат команды статического конфигурирования МАС-адреса на заданный интерфейс
следующий:
Switch(config)#mac-address-table static <МАС-адрес узла> vlan <имя vlan> interface
FastEthernet <номер>
22. Обеспечения безопасности на интерфейсе конфигурируется командой switchport portsecurity в режиме конфигурирования интерфейса.
23. Число МАС-адресов на порт может быть ограничено до одного командой switchport
port-security max 1.
24. Существуют различные режимы реагирования системы на нарушения безопасности. По
умолчанию на коммутаторах установлен режим shutdown, который выключает порт при
попытке несанкционированного доступа.
25. Существуют еще два режима реагирования на нарушения безопасности: режим защиты
и ограничения. В этих режимах пакеты с неизвестными исходящими МАС-адресами
отбрасываются. При этом в режиме ограничения формируется уведомление, а в режиме
защиты – нет.
26. Для повышения безопасности рекомендуется выключать все неиспользуемые порты
коммутатора.
27. Избыточные устройства и соединения повышают надежность сети, но могут приводить
к образованию маршрутных петель
28. Протокол охватывающего (покрывающего) дерева (STP), при наличии избыточных
физических соединений прокладывает логические маршруты так, чтобы логическая
топология сети была древовидной.
29. В сети автоматически выбрают корневой коммутатор, расстояние до которого
передается в служебных кадрах BPDU. Корневой коммутатор имеет наименьшее
(лучшее) значение идентификатора BID.
30. Идентификатор коммутатора BID представляет собой число размером 8 байт, где 6
младших байт отображают МАС-адрес блока управления коммутатора, а два старших
байта – задаваемый администратором приоритет.
31. Корневой порт некорневого коммутатора характеризуется кратчайшим расстоянием до
любого порта корневого коммутатора. Назначенный порт реализует связь коммутатора
более высокого уровня с коммутатором более низкого уровня иерархии.
32. Каждый порт коммутатора находится в одном из 5 состояний: блокировки,
прослушивания, обучения, продвижения и запрещенное.
33. Быстродействующие протоколы, например протокол RSTP, пропускают или сокращают
длительность состояний.
Вопросы по разделу 6
1. Почему в современных сетях используются иерархические структуры сети, модель
которой включает два или три уровня иерархии?
2. В чем преимущества иерархической модель сети?
3. Каковы функции уровня доступа иерархической модель сети?
4. Каковы функции уровня распределения иерархической модель сети?
5. Каковы функции уровня ядра иерархической модель сети?
146
6. Что такое «форм-факторы» коммутатора? Что такое плотность портов?
7. В чем преимущества и недостатки коммутаторов с фиксированной и модульной
конфигурацией, а также стекируемых коммутаторов?
8. В чем преимущества и недостатки методов коммутации с буферизацией и «на лету»?
9. Каковы особенности режимов симметричной и асимметричной коммутации?
10. Какой тип пересылки сообщений использует коммутатор, если в его таблице коммутации
отсутствует MAC-адрес назначения?
11. В какой последовательности происходит начальная загрузка коммутатора?
12. В какой режим переходит коммутатор после успешной начальной загрузки?
13. Какие устройства образуют домены коллизий и широковещательные домены?
14. Для чего, на каком интерфейсе и по каким командам конфигурируется IP-адрес, маска
сети и шлюз по умолчанию коммутатора?
15. Почему рекомендуется изменить номер виртуальной сети по умолчанию?
16. Для чего и по какой команде производится включение функции Auto-MDIX? По какой
команде можно провести верификацию этой функции?
17. Каковы преимущества полнодуплексного режима? Какая команда используется для его
установки?
18. Каковы основные этапы и команды создания удаленного доступа по протоколу SSH?
19. Каковы функции протокола CDP? Почему для повышения безопасности его
рекомендуется выключать?
20. Какие атаки на сервер DHCP используют злоумышленники?
21. Что такое надежные (доверенные) и ненадежные порты?
22. Как конфигурируется функция отслеживания DHCP?
23. С какой целью хакеры проводят атаки лавинного переполнения таблицы коммутации?
24. Для чего необходимы аудит и моделирование атак сети?
25. За счет чего реализуется функция безопасности портов коммутаторов (Port Security)?
26. По какой команде можно посмотреть содержимое таблицы коммутации?
27. По какой команде конфигурируется администратором статическая запись таблицы
коммутации?
28. По какой команде конфигурируется динамический режим обеспечения безопасности на
интерфейсе?
29. Как создать записи на основе привязки (sticky), которые не удаляются даже после
перезагрузки коммутатора?
30. Как ограничить количество МАС-адресов, которым разрешено подключение к порту
коммутатора?
31. Какие существуют режимы реагирования на нарушение безопасности? Как их
сконфигурировать?
32. Какие команды используются для верификации функции безопасности портов
коммутаторов?
33. Какие протоколы позволяют при наличии избыточных физических соединений создавать
древовидную логическую топологию сети?
34. Как выбирается корневой коммутатор?
35. Какие функции выполняют корневой, назначенный, не назначенный порты?
36. Как оценивается расстояние от произвольного коммутатора до корневого? В чем
измеряется метрика?
37. Какие состояния этапы использует протокол STP?
38. За счет чего повышается быстродействие протокола RSTP?
147
Упражнения
1.
Создайте сеть на коммутаторе, концентраторе и конечных узлах.
РС3
РС4
F0/14
Sw-A
Hub
F0/10
РС5
РС0
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
F0/11
РС1
F0/12
РС2
Сконфигурируйте адреса конечных узлов.
Смоделируйте четыре динамических записи в таблице коммутации.
Проведите проверку таблицы коммутации.
Сконфигурируйте удаленный доступ к коммутатору по протоколу SSH. Проверьте
возможность доступа.
Сконфигурируйте удаленный доступ по протоколу SSH и Telnet.
Для узла РС0 сконфигурируйте статическую запись в таблице коммутации. МАС-адрес
определите по команде ipconfig /all.
Для оставшихся конечных узлов сконфигурируйте безопасность на интерфейсах F0/11,
F0/12, F0/14.
Проведите проверку таблицы коммутации и текущей конфигурации.
Для порта F0/11 создайте запись на основе привязки (sticky).
Сохраните текущую конфигурацию. Закройте Packet Tracer, сохраните схему и вновь
запустите ее.
Проведите проверку таблицы коммутации и текущей конфигурации.
Ограничьте число МАС-адресов на порт F0/14 до 2.
Смоделируйте доступ к сети последовательно с узлов РС3, РС4, РС5.
Объясните функционирование безопасности.
Восстановите работоспособность порта коммутатора.
148
7. ВИРТУАЛЬНЫЕ ЛОКАЛЬНЫЕ СЕТИ
Приведены общие сведения о виртуальных локальных сетях, принципы организации
транковых соединений. Рассмотрено конфигурирование виртуальных локальных сетей.
Маршрутизация между сетями. Верификация и отладка.
7.1. Общие сведения о виртуальных локальных сетях
Безопасность телекоммуникационных сетей во многом определяется размерами
широковещательных доменов, внутри которых может происходить несанкционированный
доступ к конфиденциальной информации. Кроме того, в больших сетях наблюдается
деградация производительности, поэтому сети делят на более мелкие подсети, каждая из
которых представляет собой широковещательный домен. В традиционных сетях деление на
широковещательные домены реализуют маршрутизаторы.
Виртуальные сети созданы, чтобы реализовать сегментацию сети на коммутаторах,
т.е. на втором уровне модели OSI. Создание виртуальных локальных сетей (Virtual Local
Area Networks – VLAN), которые представляют собой логическое объединение групп
рабочих станций сети (рис. 7.1), является одним из основных методов защиты информации и
повышения производительности сетей пакетной коммутации на коммутаторах.
Vlan 10
PC0
192.168.10.11
Vlan 20
PC2
192.168.20.11
Vlan 30
PC4
192.168.30.11
Sw-A
PC1
192.168.10.12
Vlan 10
PC3
192.168.20.12
Vlan 20
PC5
192.168.30.12
Vlan 30
Рис. 7.1. Виртуальные локальные сети VLAN
Обычно VLAN группируются по функциональным особенностям работы, независимо
от физического местоположения пользователей. Обмен данными происходит только между
устройствами, находящимися в одной сети VLAN. Рабочая станция в виртуальной сети,
например, РС1 в сети vlan10 (рис. 7.1), ограничена общением с узлом РС0 в той же самой
vlan10. Каждой VLAN назначают свой IP-адрес сети (подсети).
Виртуальные сети логически сегментируют всю сеть на широковещательные домены
так, чтобы пакеты пересылались только между портами, которые назначены на ту же самую
149
VLAN (приписаны к одной VLAN). Каждая сеть VLAN состоит из узлов, объединенных
единственным широковещательным доменом, образованным приписанными к виртуальной
сети портами коммутатора.
Поскольку каждая виртуальная сеть представляет широковещательный домен, то
маршрутизаторы в топологии сетей VLAN (рис. 7.1) обеспечивают фильтрацию
широковещательных передач, безопасность, управление трафиком и связь между VLAN.
Коммутаторы не обеспечивают трафик между VLAN, поскольку это нарушает целостность
широковещательного домена
VLAN.
Трафик
между
VLAN обеспечивается
маршрутизацией, т.е. общение между узлами разных виртуальных сетей происходит только
через маршрутизатор R (рис. 7.2)или коммутатор третьего уровня.
Vlan 10
PC0
192.168.10.11
Vlan 20
PC2
192.168.20.11
Vlan 30
PC4
192.168.30.11
Sw-A
PC1
192.168.10.12
Vlan 10
PC3
192.168.20.12
Vlan 20
R
PC5
192.168.30.12
Vlan 30
Рис. 7.2. Маршрутизация между VLAN
На практике используются несколько типов виртуальных локальных сетей:
- VLAN для передачи данных;
- VLAN для передачи голосового трафика;
- VLAN для трафика управления.
По умолчанию все порты коммутатора приписаны к первой виртуальной локальной
сети VLAN1 и предназначены для передачи данных. Ниже приведена распечатка команды
show vlan brief, коммутатора Catalyst 2960, которая показывает, что после начальной загрузки
коммутатора все его порты приписаны к сети по умолчанию VLAN1. Первая сеть является
активной. Других активных виртуальных сетей нет, за исключением 1002 – 1005,
зарезервированных для сетей устаревших технологий token-ring и fddi.
Switch>show vlan brief
VLANName
Status Ports
----------------------------------------------------------150
1 default
active Fa0/1,Fa0/2,Fa0/3,Fa0/4
Fa0/5,Fa0/6,Fa0/7,Fa0/8
Fa0/9,Fa0/10,Fa0/11,Fa0/12
Fa0/13,Fa0/14,Fa0/15,Fa0/16
Fa0/17,Fa0/18,Fa0/19,Fa0/20
Fa0/21,Fa0/22,Fa0/23,Fa0/24
Gig1/1,Gig1/2
1002fddi-default active
1003token-ring-default active
1004fddinet-default active
1005trnet-default active
Switch>
Для управления виртуальными локальными сетями используется виртуальный
интерфейс SVI одной из VLAN. Этому интерфейсу назначается IP-адрес с маской, а также
шлюз по умолчанию (default gateway). Через этот интерфейс можно управлять
коммутатором, в том числе удаленно по протоколам Telnet и SSH. Интерфейс SVI по
умолчанию является интерфейсом первой сети VLAN1. Сеть VLAN1 получила название сеть
по умолчанию (default VLAN). Эту сеть нельзя переименовать или удалить. Поскольку
данная информация известна всем, то хакеры пытаются атаковать, в первую очередь, именно
эту сеть. Поэтому на практике администраторы изменяют идентификатор управляющей сети,
например, на сеть с номером VLAN 101, т.е. сетью управления может быть любая сеть
VLAN, сконфигурированная для функций управления.
Каждой виртуальной сети при конфигурировании должен быть назначен IP-адрес сети
(подсети) с соответствующей маской, для того чтобы узлы виртуальных сетей могли
свободно общаться между собой внутри VLAN. Передача трафика между виртуальными
локальными сетями возможна только при наличии маршрутизации. Например, VLAN10 (рис.
7.1) может иметь адрес 192.168.10.0/24, VLAN20 – адрес 192.168.20.0/24, VLAN30 – адрес
192.168.30.0/24. Каждому узлу необходимо задать IP-адрес из диапазона адресов
соответствующей виртуальной сети, например, узел РС0 – адрес 192.168.10.11, узел РС1 –
адрес 192.168.10.12, узел РС2 – адрес 192.168.20.11, узел РС3 – адрес 192.168.20.12, узел РС4
– адрес 192.168.30.11, узел РС5 – адрес 192.168.30.12.
Идентификаторы виртуальных сетей (VLAN10, VLAN20, VLAN30 и т.д.) могут
назначаться из нормального диапазона 1 – 1005, в котором номера 1002 – 1005
зарезервированы для виртуальных сетей технологий Token Ring и FDDI. Существует также
расширенный диапазон идентификаторов 1006 – 4094. Однако для облегчения управления
рекомендуется, чтобы сетей VLAN было не более 255 и сети не расширялись вне Уровня 2
коммутатора.
Поскольку кадры данных могут быть получены коммутатором от любого устройства,
присоединенного к любой виртуальной сети, то при обмене данными между
коммутаторами в заголовок кадра добавляется уникальный маркер (идентификатор) кадра
151
– тег (tag) виртуальной сети, который идентифицирует VLAN каждого пакета (рис. 7.3).
Передаваемый при этом по сети трафик называется тегированным.
Для передачи трафика разных VLAN между устройствами создают магистральные
транковые каналы (Trunk). Такие каналы формируют между коммутаторами, между
коммутаторами и маршрутизаторами, а также между коммутаторами и серверами,
поддерживающими протокол 802.1Q. На рис. 7.3 представлен транковый канал между
коммутаторами Sw-A и Sw-B.
Vlan 10
PC0
192.168.10.11
Vlan 20
PC2
192.168.20.11
Sw-A
PC1
192.168.10.12
Vlan 10
PC3
192.168.20.12
Vlan 20
Vlan 30
PC4
192.168.30.11
Vlan 10
PC6
192.168.10.13
Vlan 20
PC8
192.168.20.13
Vlan 30
PC10
192.168.30.13
Транк
Sw-В
PC5
192.168.30.12
Vlan 30
PC7
192.168.10.14
Vlan 10
PC9
192.168.20.14
Vlan 20
PC11
192.168.30.14
Vlan 30
Рис. 7.3. Виртуальные локальные сети на двух коммутаторах
Функционирование виртуальных локальных сетей определяется протоколом 802.1Q.
Согласно этому протоколу порты коммутатора подразделяются на:
порты доступа (access port), которые передают нетегированный трафик одной сети
VLAN;
транковые порты (trunk port), передающие тегированный трафик нескольких сетей
VLAN.
Итак, транковые соединения (Trunk) и транковые порты предназначены для
передачи трафика нескольких VLAN. То есть, транк – это канал, передающий кадры
множества виртуальных локальных сетей. Через транковый порт 802.1Q может предаваться
трафик нескольких виртуальных локальных сетей, а также трафик узлов не входящих в
состав VLAN. Например, в сети рис. 7.4 соединения «точка – точка» между коммутаторами
S1 и S3, между S2 и S3, между S3 и маршрутизатором R являются транковыми. Поскольку по
магистральному транковому соединению передаются данные разных сетей VLAN, то кадр
должен помечаться уникальным идентификатором – тегом виртуальной сети. Кадры,
передаваемые внутри VLAN на одном коммутаторе не тегируются.
Узел Х не входит ни в одну VLAN, но его сообщения могут быть переданы через
коммутатор S2 по транковым соединениям в маршрутизатор R и далее. Узлы одной VLAN,
152
подключенные к разным коммутаторам могут обмениваться информацией через транковые
соединения без использования маршрутизаторов.
R
Транк
S1
Транк
S3
Транк
S2
Узел X
VLAN 10
Узел 10-1
Узел 30-1
Узел 20-1
Узел 10-n
VLAN 20
Узел 20-k
Узел 30-m
VLAN 30
Рис. 7.4. Транковые соединения виртуальных локальных сетей
Протоколом 802.1Q предусмотрена собственная сеть native VLAN, которая
назначается транковому порту, но трафик которой передается нетегированным. Когда
нетегированные кадры поступают на транковый порт, коммутатор считает их кадрами сети
native VLAN. Трафик, поступающий от узлов не входящих в состав виртуальных локальных
сетей, причисляется к сети native VLAN. По умолчанию сетью native VLAN является VLAN
1. Трафик сети native VLAN 1 передается через транковый порт нетегированным.
Когда на транковый порт поступает тегированный кадр, у которого идентификатор
тега совпадает с номером native VLAN, то порт отбрасывает такой кадр. Тегированные кадры
в сети native VLAN поддерживают IP-телефоны, серверы, маршрутизаторы и коммутаторы
не фирм Cisco. При получении нетегированных кадров транковый порт пересылает их в сеть
native VLAN. Если к сети native VLAN не присоединены никакие устройств, то кадр будет
отброшен.
Для native VLAN следует выделять отдельную сеть отличную от VLAN1. В
вышеприведенной распечатке команды show vlan brief сеть VLAN1 является единственной
активной сетью, совпадающей с native VLAN. Такая конфигурация снижает безопасность
сети. Обычно в качестве native VLAN назначают сеть с другим номером, например VLAN 15,
при этом весь нетегированный трафик будет передаваться в сеть VLAN 15.
Роль сети native VLAN рассмотрена на примере сети рис. 7.5, где компьютер Узел 1
через концентратор Hub подключен к транковому каналу между коммутаторами Sw-A и SwB. Сетью native VLAN является сеть по умолчанию Vlan 1. Узел 1 передает в транковый
канал нетегированный трафик, который коммутаторы отправляют в сеть Vlan 1, узлы
153
которой подключены как к коммутатору Sw-A, так и к Sw-B. Тегированный трафик
транкового канала компьютером Узел 1 отбрасывается.
Sw-A
Hub
Транк
Узел 1
Vlan 1 Vlan 2 Vlan 3
Sw-B
Транк
Vlan 1 Vlan 2 Vlan 3
Рис. 7.5. Сеть native VLAN
Сеть рис. 7.5 плохо спроектирована, поскольку в транковом канале установлен
концентратор, через который возможен доступ к транковому соединению, что снижает
безопасность сети.
Стандарт IEEE 802.1Q, определяющий правила формирование виртуальных
локальных сетей, предусматривает введение в заголовок кадра поля меток (тега),
содержащего четыре байта. Тег вводится в кадр между полем адреса источника и полем
Тип/Длина (рис. 7.6). Двенадцать двоичных разрядов тега (VLAN ID) используются для
адресации (идентификации) VLAN, что позволяет маркировать (тегировать) до 4096
виртуальных сетей, это охватывает нормальный (1 – 1005) и расширенный (1006 – 4094)
диапазоны идентификаторов VLAN.
МАС-адр. назн.
МАС-адр. ист.
Тип/Длина
Данные
Контр. сум.
Тег
Тип (0х8100)
2 байта
Приорит. CFI
3 бита
1 бит
VLAN ID
12 бит
Рис. 7.6. Формат тега виртуальной сети
Маркирование кадров необходимо при обмене данными между коммутаторами.
Следует отметить, что транковый протокол VLAN – VTP, реализующий автоматизацию
конфигурирования
коммутаторов,
использует
только
нормальный
диапазон
идентификаторов VLAN и не распознает сети расширенного диапазона.
Три бита тега (Приорит.) позволяют задавать 8 уровней приоритета передаваемых
сообщений, т.е. позволяют обеспечивать качество (QoS) передаваемых данных. Наивысший
приоритет уровня 7 имеют кадры управления сетью, уровень 6 – кадры передачи голосового
трафика, 5 – передача видео. Остальные уровни обеспечивают передачу данных с разным
154
приоритетом. Единичное значение поля CFI показывает, это что виртуальная сеть
технологии Token Ring. Поле Тип длиной 2 байта идентифицирует протокол, для случая
Ethernet значение поля типа 0х8100.
Когда коммутатор получает кадр на интерфейс из приписанной к порту сети VLAN,
он добавляет в кадр тег, вычисляет новую контрольную сумму и пересылает новый
тегированный кадр через транковое соединение.
При создании сетей VLAN нормального диапазона конфигурация коммутатора под
именем файла данных vlan.dat хранится во флеш-памяти. Поскольку флеш-память является
энергонезависимой, то копирование текущей конфигурации (copy run start) не обязательно,
но желательно. Когда из флеш-памяти удаляется файл данных vlan.dat и производится
перезагрузка коммутатора, то стирается вся информация о сетях VLAN.
В технологии VoIP для подключения телефона обычно используются две VLAN: одна
для голосового трафика, а вторая – для обмена данными. Оба вида трафика передаются в
коммутатор по транковому соединению (рис.7.7).
Транк Коммутатор
телефона
Голосовая
VLAN
Телефонный
аппарат
VLAN
данных
Узел
Рис. 7.7. Подключение телефона в технологии VoIP
7.2. Конфигурирование виртуальных локальных сетей
Конфигурационный файл коммутатора в виде базы данных vlan.dat хранится во
флэш-памяти. Чтобы удалить старую конфигурацию и создать новую, необходимо удалить
начальную конфигурацию, удалить файл vlan.dat и перезагрузить коммутатор.
Каждая VLAN должна иметь уникальный адрес Уровня 3, т.е. выделенный ей адрес
подсети. Это позволяет маршрутизаторам переключать пакеты между виртуальными
локальными сетями.
Статическое конфигурирование виртуальных сетей сводится к назначению портов
коммутатора на каждую виртуальную локальную сеть VLAN, что может непосредственно
конфигурироваться на коммутаторе через использование командной строки CLI. Таким
образом, при статическом конфигурировании каждый порт приписывается к какой-то
виртуальной локальной сети. Статически сконфигурированные порты поддерживают
назначенную конфигурацию до тех пор, пока не будут изменены вручную. Пользователи
подключены к портам коммутатора на уровне доступа (access layer). Маркировка (Frame
tagging) используется, чтобы обмениваться данными, передаваемыми между коммутаторами.
155
По умолчанию управляющей сетью является первая сеть VLAN 1, однако ей может
быть назначен другой номер, причем, сеть VLAN 1 является Ethernet сетью, и ей
принадлежит IP-адрес коммутатора.
Ниже рассмотрено конфигурирование коммутатора на примере виртуальной
локальной сети (рис. 7.8). Примеры конфигурирования даны для коммутатора серии Catalyst
2960.
Vlan 10
PC0
10.1.10.11
Vlan 20
PC2
172.16.20.11
F0/1
Vlan 30
PC4
192.168.30.11
F0/3
F0/5
F0/2 Sw-A F0/6
F0/4
PC1
10.1.10.12
PC3
172.16.20.12
PC5
192.168.30.12
Рис. 7.8. Виртуальные локальные сети
Исходное состояние виртуальных сетей и интерфейсов коммутатора показано в
распечатке команды show vlan brief, из которой следует, что все 24 интерфейса FastEthernet и
два интерфейса GigabitEthernet приписаны к сети по умолчанию VLAN 1.
Switch>show vlan brief
VLANName
Status Ports
----------------------------------------------------------1 default
active Fa0/1,Fa0/2,Fa0/3,Fa0/4
Fa0/5,Fa0/6,Fa0/7,Fa0/8
Fa0/9,Fa0/10,Fa0/11,Fa0/12
Fa0/13,Fa0/14,Fa0/15,Fa0/16
Fa0/17,Fa0/18,Fa0/19,Fa0/20
Fa0/21,Fa0/22,Fa0/23,Fa0/24
Gig1/1,Gig1/2
1002fddi-default active
1003token-ring-default active
1004fddinet-default active
1005trnet-default active
Создание виртуальных сетей производится в режиме глобального конфигурирования.
Ниже приведены примеры конфигурирования трех виртуальных локальных сетей (рис. 7.8)
vlan 10, vlan 20, vlan 30:
156
Switch>enable
Switch#conft
Switch(config)#hostname Sw-A
Sw-A(config)#vlan 10
Sw-A(config-vlan)#vlan 20
Sw-A(config-vlan)#vlan 30
После создания виртуальных сетей vlan 10, vlan 20, vlan 30 они становятся активными,
но порты остаются приписанными к VLAN 1, что можно видеть по команде showvlanbrief:
Sw-A#shvlanbrief
VLANName
Status
Ports
----------------------- --------------------------------------1 default
active Fa0/1,Fa0/2,Fa0/3,Fa0/4
Fa0/5,Fa0/6,Fa0/7,Fa0/8
Fa0/9,Fa0/10,Fa0/11,Fa0/12
Fa0/13,Fa0/14,Fa0/15,Fa0/16
Fa0/17,Fa0/18,Fa0/19,Fa0/20
Fa0/21,Fa0/22,Fa0/23,Fa0/24
Gig1/1,Gig1/2
10 VLAN0010
active
20 VLAN0020
active
30 VLAN0030
active
...
При желании можно также сформировать имя VLAN, например, по команде:
Sw-A(config)#vlan 30
Sw-A(config-vlan)#name VIRT30
Указанные операции не являются обязательными, они служат только для
удобства чтения распечаток. При отмене имени (no name) виртуальная локальная сеть
будет идентифицироваться стандартно.
На следующем этапе конфигурирования необходимо назначить виртуальные сети на
определенные интерфейсы (приписать интерфейсы к созданным виртуальным сетям),
используя пару команд switchport mode access, switchport access vlan <номер>. Ниже приведен пример
указанных операций для сети рис. 7.8.
Sw-A(config)#intf0/1
Sw-A(config-if)#switchportmodeaccess
Sw-A(config-if)#switchportaccessvlan10
Sw-A(config-if)#intf0/2
Sw-A(config-if)#switchportmodeaccess
Sw-A(config-if)#switchportaccessvlan10
Sw-A(config-if)#intf0/3
157
Sw-A(config-if)#switchportmodeaccess
Sw-A(config-if)#switchportaccessvlan20
Sw-A(config-if)#intf0/4
Sw-A(config-if)#switchportmodeaccess
Sw-A(config-if)#switchportaccessvlan20
Sw-A(config-if)#intf0/5
Sw-A(config-if)#switchportmodeaccess
Sw-A(config-if)#switchportaccessvlan30
Sw-A(config-if)#intf0/6
Sw-A(config-if)#switchportmodeaccess
Sw-A(config-if)#switchportaccessvlan30
Если при конфигурировании нескольких портов режим не изменяется, то команда
switchportmodeaccess может использоваться один раз для первого конфигурируемого интерфейса.
Если интерфейс коммутатора приписывается к несуществующей VLAN, то эта сеть
создается автоматически. При этом операционная система формирует сообщение, что сеть
не существует и затем, что сеть создается, например:
Sw-A(config)#int f0/7
Sw-A(config-if)#switchport access vlan 40
% Access VLAN does not exist. Creating vlan 40
Sw-A(config-if)#
Верификацию полученной конфигурации можно произвести с помощью команд show
vlan или show vlan brief, например:
Sw-А#sh vlan brief
VLAN Name
Status Ports
---- -------------------------------- --------- ------------------------------1 default
active Fa0/8, Fa0/9, Fa0/10, Fa0/11
Fa0/12, Fa0/13, Fa0/14, Fa0/15
Fa0/16, Fa0/17, Fa0/18, Fa0/19
Fa0/20, Fa0/21, Fa0/22, Fa0/23
Fa0/24, Gig1/1, Gig1/2
10 VLAN0010
active Fa0/1, Fa0/2
20 VLAN0020
active Fa0/3, Fa0/4
30 VLAN0030
active Fa0/5, Fa0/6
40 VLAN0040
active Fa0/7
...
158
Кроме того, конфигурацию конкретной виртуальной сети, например VLAN2, можно
также просмотреть с помощью команд show vlan id 2 или по имени show vlan name VLAN2,
если оно задано.
Конфигурационный файл коммутатора должен быть скопирован в энергонезависимую
память коммутатора по команде
Sw-A #copy running-config startup-config
Он может быть также скопирован на сервер TFTP с помощью команды copy running-config
tftp.
Параметры конфигурации можно посмотреть с помощью команд show running-config
или show vlan. Команда show interfaces switchport отображает наиболее полную
информацию о всех портах коммутатора. Информацию о конкретном порте, например f0/1,
можно получить по команде show interfaces f0/1 switchport, в том числе о сети доступа и
голосовой сети:
Sw-A>show interface f0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: static access
Operational Mode: down
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 10 (VLAN0010)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Trunking VLANs Enabled: ALL
...
Удаление виртуальной сети, например vlan 10, выполняется по команде:
Sw-A(config)#novlan10
Когда виртуальная локальная сеть удалена, все порты, приписанные к этой VLAN,
становятся бездействующими. Однако порты останутся связанными с удаленной
виртуальной сетью VLAN пока не будут приписаны к другим виртуальным сетям или не
будет восстановлена прежняя сеть.
Для того, чтобы отменить неверное назначение интерфейса на виртуальную сеть,
например, ошибочное назначение на интерфейс F0/2 виртуальной сети vlan 20, используется
команда:
159
Sw-A(config)#int f0/2
Sw-A(config-if)#no switchport access vlan 20
При этом порт F0/2 возвращается в сеть по умолчанию VLAN 1.
Порт F0/2 можно приписать к другой виртуальной сети, например, к vlan 10, не удаляя из
сети vlan 20:
Sw-A(config)#int f0/2
Sw-A(config-if)#switchport mode access
Sw-A(config-if)#switchport access vlan 10
Таким образом, если порт приписывается к несуществующей сети, то эта сеть
создается автоматически и сообщается, что сеть не создана (% Access VLAN does not exist. Creating
vlan 50).
Если удаляется сеть, то приписанные к этой сети порты, становятся неактивными.
Однако порты не возвращаются в сеть по умолчанию. При восстановлении сети порты
оказываются связанными с этой сетью.
160
7.3. Конфигурирование транковых соединений
При формировании виртуальных локальных сетей на нескольких коммутаторах
необходимо создать несколько физических соединений между коммутаторами по числу
VLAN (рис. 7.9). Большое количество VLAN потребует большое количество портов на
каждом из коммутаторов и соединений между ними.
Vlan 10
PC0
10.1.10.11
Vlan 20
PC2
172.16.20.11
F0/1
Vlan 30
PC4
192.168.30.11
Vlan 10
PC6
10.1.10.13
F0/3
F0/1
F0/5
PC5
192.168.30.12
PC3
172.16.20.12
Vlan 30
PC10
192.168.30.13
F0/3
F0/5
Sw-B F0/6
F0/2 F0/4
F0/2 Sw-A
F0/4 F0/6
PC1
10.1.10.12
Vlan 20
PC8
172.16.20.13
PC7
10.1.10.14
PC9
172.16.20.14
PC11
192.168.30.14
Рис. 7.9. VLAN на двух коммутаторах
Использование транкового соединения позволяет заменить множество физических
соединений одним транковым (рис. 7.10).
Vlan 10
PC0
10.1.10.11
Vlan 20
PC2
172.16.20.11
F0/1
Vlan 10
PC6
10.1.10.13
F0/3
F0/5
F0/2 Sw-A
F0/4 F0/6 F0/11
PC1
10.1.10.12
Vlan 30
PC4
192.168.30.11
PC3
172.16.20.12
Vlan 30
PC10
192.168.30.13
F0/1 F0/3
F0/5
F0/11
Sw-B F0/6
F0/2 F0/4
Транк
PC5
192.168.30.12
Vlan 20
PC8
172.16.20.13
PC7
10.1.10.14
PC9
172.16.20.14
PC11
192.168.30.14
Рис. 7.10. Транковое соединение двух коммутаторов
Транковое соединение конфигурируется на портах обоих коммутаторов А и В, при
этом используется команда switchport mode trunk . Например, если в качестве транковых
используются порты F0/11, то:
161
Sw-А(config)#int f0/11
Sw-А(config-if)#switchport modetrunk
Доступ в транковый канал по умолчанию открыт для всех виртуальных локальных
сетей, чем могут воспользоваться хакеры. С целью ограничения VLAN, которым открыт
доступ к транковому каналу, используется команда switchport trunk allowed vlan <номер, номер,...>, в
которой перечислены VLAN с разрешенным доступом. Следовательно, если в сети рис. 7.10
на коммутаторах Sw-A и Sw-B в качестве транковых настроены интерфейсы F0/11, то по
умолчанию по транковому соединению может передаваться трафик всех трех сетей vlan 10,
vlan 20, vlan 30.
Если же дополнительно будет введена следующая команда:
Sw-А(config-if)#switchport trunk allowed vlan 10,30
то по транковому каналу будет передаваться трафик только vlan 10 и vlan 30. Не указанным в
команде сетям (vlan 20) доступ в магистральный порт (F0/11) будет запрещен.
Основную информацию о транковом порте F0/11 можно получить по командам show
int f0/11 switchport, show int trunk.
Sw-А>show int f0/11 switchport
Name: Fa0/11
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Appliance trust: none
Sw-А>show int trunk
162
Port Mode
Fa0/11 on
Encapsulation Status Native vlan
802.1q trunking 1
Port Vlans allowed on trunk
Fa0/11 10,30
Port Vlans allowed and active in management domain
Fa0/11 10,30
Port Vlans in spanning tree forwarding state and not pruned
Fa0/11 10,30
Следует обратить внимание, что сети VLAN20 нет в списке разрешенных сетей
транкового канала (Vlans allowed on trunk).
В сетях VLAN используются разные режимы транковых соединений, но режимы
интерфейсов на разных концах соединения должны быть согласованы. Согласование
магистральных транковых каналов реализует динамический транковый протокол (DTP),
который является протоколом Cisco и не поддерживает оборудование других
производителей. Для немагистральных каналов протокол DTP рекомендуется отключать.
При формировании транкового соединения между коммутатором Cisco и устройством
не поддерживающем DTP на интерфейсе выполняют пару команд: switchport mode trunk и
switchport nonegotiate, что позволяет создавать транковое соединение, но сообщения DTP
при этом не передаются.
Протокол DTP поддерживает на интерфейсах коммутатора следующие режимы:
switchport mode dynamic auto является режимом по умолчанию на всех интерфейсах
Ethernet. При переводе соседнего интерфейса в транковый режим канал становится
транковым;
switchport mode access делает интерфейс и весь канал нетранковым, не зависимо от
режима соседнего интерфейса;
switchport mode dynamic desirable (рекомендованный режим) использовался по
умолчанию на коммутаторах старых версий (например, 2950). Интерфейс переводился в
транковый режим, если сосед становился транковым.
switchport mode trunk делает интерфейс постоянным транковым, не зависимо от
режима соседнего интерфейса;
switchport nonegotiate позволяет создавать транковое соединение, но сообщения DTP
при этом не формируются и не передаются. Режим switchport nonegotiate используется
только, когда интерфейс находится в access или trunk режиме. Поскольку сообщения DTP не
передаются, то соседний интерфейс настраивается вручную.
163
7.4. Безопасность сетей VLAN
В исходном состоянии все порты коммутаторов Cisco приписаны к сети VLAN 1,
которая по умолчанию является сетью Ethernet. Для повышения информационной
безопасности необходимо все порты пользователей приписать к сетям отличным от VLAN 1,
неиспользуемые порты выключить или присоединить к неиспользуемой сети (unused –
«черная дыра»).
Для удаленного доступа к коммутатору конфигурируется виртуальный интерфейс
SVI, который должен быть приписан к VLAN, номер которой отличается от VLAN1. На
коммутаторе необходимо сконфигурировать протокол SSH, который обеспечивает обмен
зашифрованными данными.
Через транковые порты коммутатора передаются сообщения нескольких VLAN.
Поэтому хакеры часто проводят атаки доступа через транковые соединения. Сеть native
VLAN, которой по умолчанию является VLAN1 и трафик которой передается
нетегированным, представляет хорошую возможность для несанкционированного доступа.
Поэтому в качестве native обычно назначают сеть с номером отличным от VLAN 1,
например:
Sw_A(config-if)#switchport trunk native vlan 15
Атаки переходов (VLAN hopping) позволяют сети хакера видеть трафик атакуемой
сети. При этом хакер может либо подменить коммутатор (switch spoofing), либо
использовать двойное тегирование (double tagging), чтобы получить доступ к атакуемой
сети.
Автоматическая настройка магистрального канала по умолчанию предполагает, что
порт настроен на динамический автоматический режим (switchport mode dynamic auto),
что дает возможность атаки переходов. При спуфинг-атаке хакер создает транковый канал с
атакуемым коммутатором, имитируя сообщения 802.1Q и протокола DTP и получая доступ к
сетям VLAN, назначенным на интерфейс. Для снижения риска атаки рекомендуется
отключать протокол DTP, транковые каналы настраивать вручную только на тех портах,
где это необходимо, неиспользуемые порты выключать.
Принцип атаки с двойным тегированием заключается в том, что хакер формирует
кадр, в который вставляет две метки (два тега). Первая (внешняя) метка совпадает с native
VLAN транкового порта, поэтому коммутатор считает, что кадр получен на транковый порт.
Коммутатор удаляет первую внешнюю метку и не проверяет вторую (внутреннюю) метку.
Кадр заново не тегируется, поскольку относится к native VLAN, и пересылается из всех
портов native VLAN. Когда кадр попадает в следующий коммутатор, то анализируется
вторая метка, в которой указана атакуемая сеть. Данный вид атаки реализуется только в
случае, если хакер подключен к сети native VLAN транкового порта. Поэтому сеть native
VLAN транковых портов должна отличаться от пользовательских сетей.
164
Таким образом, автоматическая настройка по умолчанию магистрального канала
открывает хакеру возможность атаки переходов.
При передаче трафика между портами коммутатора, например, между узлами 1 и 2
(рис. 7.11), узел 3 при определенных условиях может видеть трафик соседних устройств. Для
предотвращения этого создают защищенные порты, обмен данными между которыми
запрещен при любой пересылке (одноадресной, многоадресной, широковещательной).
Например, в схеме рис. 7.11 можно сформировать защищенные порты F0/1 и F0/3, между
которыми пересылка данных будет запрещена. Следует отметить, что в этом случае защита
похожа на создание списков доступа, но реализуется на уровне 2 модели OSI. При этом
создается так называемая граничная частная сеть (Private VLAN – PVLAN).
Sw-A
F0/1
Узел 1
F0/2
Узел 2
F0/3
Узел 3
Рис. 7.11. Передача трафика между портами коммутатора
Обмен данными между защищенным и незащищенным портами производится в
обычном режиме. То есть обмен данными между защищенным и незащищенным портом
разрешен, например, между узлами 1 и 2, а также между узлами 2 и 3.
Защищенные порты конфигурируются вручную. Для создания защищенного порта
используется следующая команда:
Switch(config)#int f0/1
Switch(config-if)#switchport protected
Для отмены этого режима используется команда no switchport protected. Проверку
конфигурации можно провести по команде show int f0/1 switchport.
165
7.5. Маршрутизация между виртуальными локальными сетями
Каждая виртуальная локальная сеть представляет широковещательный домен.
Поэтому трафик между VLAN обеспечивается маршрутизацией, которую реализуют
маршрутизаторы или коммутаторы третьего уровня.
В простейшем случае к коммутатору подключается маршрутизатор (рис. 7.12).
Причем, количество интерфейсов маршрутизатора и количество соединений между
коммутатором и маршрутизатором равно числу VLAN. Порты коммутатора должны работать
в режиме доступа switchport mode access.
РС0
10.1.10.11
vlan 10
F0/1 F0/2
РС2
172.16.20.11
vlan 20
РС4
192.168.30.11
vlan 30
Коммутатор Sw_A
F0/3
РС1
10.1.10.12
vlan 10
РС3
172.16.20.12
vlan 20
РС5
192.168.30.12
vlan 30
Рис. 7.12. Маршрутизация между VLAN
В приведенном примере сети (рис. 7.12) для соединения с маршрутизатором в схеме
дополнительно задействованы три интерфейса коммутатора Sw_А: F0/11, F0/12, Ff0/13. При
этом порт F0/11 приписан к сети vlan 10, порт F0/12 – к vlan 20, порт F0/13 – к vlan 30. На
интерфейсе маршрутизатора F0/1 сконфигурирован адрес 10.1.10.1, на интерфейсе F0/2 –
172.16.20.1, на интерфейсе F0/3 – 192.168.30.1. Интерфейсы F0/1, F0/2, F0/3 являются
шлюзами по умолчанию для сетей vlan 10, vlan 20, vlan 30. Все виртуальные локальные сети
являются прямо подключенными к маршрутизатору, поэтому между ними могут
пересылаться пакеты, т.е. реализуется маршрутизация.
Такая схема не является оптимальной, поскольку требует большого количества (по
числу VLAN) интерфейсов и соединений между маршрутизатором и коммутатором.
При транковом соединении коммутатора и маршрутизатора три физических канала
между ними (рис. 7.12) заменяются одним транковым каналом (рис. 7.13). Такая схема
организации маршрутизации получила название «router-on-a stick».
166
РС0
10.1.10.11
vlan 10
F0/0
РС2
172.16.20.11
vlan 20
Транк
РС1
10.1.10.12
vlan 10
РС4
192.168.30.11
vlan 30
Коммутатор Sw_A
РС3
172.16.20.12
vlan 20
РС5
192.168.30.12
vlan 30
Рис. 7.13. Транковое соединение коммутатора и маршрутизатора
Для создания транкового соединения на коммутаторе задействован интерфейс F0/10, а
на маршрутизаторе – интерфейс F0/0.
Конфигурирование коммутатора будет следующим:
Sw_A>ena
Sw_A#conf t
Sw_A(config)#vlan 10
Sw_A(config-vlan)#vlan 20
Sw_A(config-vlan)#vlan 30
Sw_A(config-vlan)#int f0/1
Sw_A(config-if)#switchport mode access
Sw_A(config-if)#switchport access vlan 10
Sw_A(config-if)#int f0/4
Sw_A(config-if)#switchport access vlan 10
Sw_A(config-if)#int f0/2
Sw_A(config-if)#switchport access vlan 20
Sw_A(config-if)#int f0/5
Sw_A(config-if)#switchport access vlan 20
Sw_A(config-if)#int f0/3
Sw_A(config-if)#switchport access vlan 30
Sw_A(config-if)#int f0/6
Sw_A(config-if)#switchport access vlan 30
Sw_A(config-if)#int f0/10
Sw_A(config-if)#switchport mode trunk
Sw_A(config-if)#
По команде show int f0/10 switchport можно посмотреть состояние интерфейса:
Sw_A#show int f0/10 switchport
Name: Fa0/10
Switchport: Enabled
167
Administrative Mode: trunk
Operational Mode: down
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
...
Sw_A#
Из распечатки следует, что порт F0/10 находится в режиме Trunk.
Конфигурирование маршрутизатора сводится к тому, что на его интерфейсе F0/0
формируются субинтерфейсы F0/0.10, F0/0.20, F0/0.30 (по количеству VLAN). На указанных
субинтерфейсах задается протокол Dot 1q для виртуальных сетей vlan 10, vlan 20, vlan 30.
Последовательность команд необходимо завершить включением интерфейса no shutdown.
Отдельные субинтерфейсы не включаются.
Router>ena
Router#conf t
Router(config-if)#int f0/0.10
Router(config-subif)#encapsulation dot1q 10
Router(config-subif)#ip add 10.1.10.1 255.255.255.0
Router(config-subif)#int f0/0.20
Router(config-subif)#encapsulation dot1q 20
Router(config-subif)#ip add 172.16.20.1 255.255.255.0
Router(config-subif)#int f0/0.30
Router(config-subif)#encapsulation dot1q 30
Router(config-subif)#ip add 192.168.30.1 255.255.255.0
Router(config-subif)#int f0/0
Router(config-if)#no shutdown
Результат конфигурирования проверяется по команде show ip route:
Router#show ip route
...
Gateway of last resort is not set
10.0.0.0/24 is subnetted, 1 subnets
C 10.1.10.0 is directly connected, FastEthernet0/0.10
172.16.0.0/24 is subnetted, 1 subnets
C 172.16.20.0 is directly connected, FastEthernet0/0.20
C 192.168.30.0/24 is directly connected, FastEthernet0/0.30
Router#
Из таблицы маршрутизации следует, что сети 10.1.10.0, 172.16.20.0, 192.168.30.0
являются непосредственно присоединенными, причем, каждая сеть присоединена к
168
маршрутизатору через свой субинтерфейс. Поэтому маршрутизатор обеспечивает
маршрутизацию между сетями, что проверяется по командам ping, tracert.
Динамический протокол транкового соединения (DTP) маршрутизатор не
поддерживает, поэтому нельзя использовать команды switchport mode dynamic auto и
switchport mode dynamic desirable.
Из недостатков виртуальных локальных сетей с маршрутизацией «router-on-a stick»
можно отметить плохую масштабируемость при количестве VLAN больше 50. Поскольку на
физическом интерфейсе сформировано несколько субинтерфейсов, то будет конкуренция
трафика разных сетей VLAN через транковый канал.
Многоуровневый коммутатор (коммутатор - маршрутизатор) характеризуется
большим числом портов (как коммутатор) и широкими функциональными возможностями
(как маршрутизатор). Поэтому при использовании многоуровневого коммутатора
(коммутатора 3-го уровня), поддерживающего статическую и динамическую
маршрутизацию, а также маршрутизацию между VLAN, отпадает необходимость в
отдельном маршрутизаторе (рис. 7.14). При этом на коммутаторе 3-го уровня должна быть
включена IP-маршрутизация.
Sw-С
Транк
Транк
Транк
Sw-A
Sw-B
Vlan 1 Vlan 2 Vlan 3
Vlan 1 Vlan 2 Vlan 3
Рис. 7.14. Многоуровневый коммутатор в сетях VLAN
Многоуровневые коммутаторы характеризуются более высокой скоростью обработки
пакетов по сравнению с маршрутизаторами, поэтому широко используются в сетях
различного назначения. Однако их стоимость высока по сравнению с решением «router-on-a
stick».
Коммутаторы серии Catalyst 2960 реализуют функции только статической
маршрутизации при ограниченном количестве маршрутов. Более производительные
коммутаторы Catalyst 3560 и Catalyst 4500 поддерживают как статическую, так и
динамическую маршрутизацию. Они используют по умолчанию интерфейсы 2-го уровня.
169
Высокопроизводительные коммутаторы Catalyst 6500 поддерживают практически все
функции маршрутизаторов, используя по умолчанию интерфейсы 3-го уровня.
Использование многоуровневых коммутаторов повышает скорость маршрутизации,
поскольку трафик 2-го и 3-го уровня обрабатывается внутри коммутатора и нет внешних
соединений между коммутатором и маршрутизатором. Следовательно, нет задержек на
интерфейсах.
Перечисленные коммутаторы могут поддерживать следующие интерфейсы 3-го
уровня:
- виртуальный интерфейс коммутатора (SVI) используется для маршрутизации
между VLAN;
- маршрутизируемый порт является интерфейсом 3-го уровня.
Виртуальный интерфейс коммутатора (SVI) создает возможность удаленного доступа
и управления. Через виртуальные внутренние интерфейсы SVI реализуется маршрутизация
между сетями VLAN. На SVI конфигурируется IP-адрес, что дает возможность
устанавливать списки доступа и повышать уровень информационной безопасности.
Маршрутизируемые
порты,
которые
являются
аналогом
интерфейсов
маршрутизатора, обычно устанавливаются между коммутаторами уровня распределения и
ядра. Протокол STP на них не работает, и на них нельзя конфигурировать субинтерфейсы.
На коммутаторах Catalyst 2960, которые используются, как правило, на уровне доступа,
маршрутизируемые порты не поддерживаются.
Интерфейсы коммутаторов Catalyst 3560 по умолчанию настроены в режим портов 2го уровня. Поэтому при использовании коммутаторов Catalyst 3560 на уровне распределения
или ядра сети интерфейсы конфигурируются вручную администратором как
маршрутизируемые порты. Формирование маршрутизируемых портов производится в
режиме конфигурирования интерфейсов по команде no switchport.
Функции коммутатора Catalyst 2960 в качестве устройства 3-го уровня ограничены.
Они определяются рядом шаблонов, которыми управляет диспетчер базы данных
коммутатора (Switch Database Manager – SDM). Шаблоны включают набор определенных
функций:
default – шаблон по умолчанию, который не поддерживает статическую
машрутизацию;
dual-ipv4-and-ipv6 – шаблон по умолчанию для адресации IPv6;
lanbase-routing – шаблон, поддерживающий статическую маршрутизацию между
сетями. Количество маршрутов ограничено;
qos – шаблон обеспечения качества.
При исходной конфигурации на коммутаторе настроен шаблон по умолчанию. Для
реализации статической маршрутизации необходимо изменить шаблон по следующей
команде:
170
Switch(config)#sdm prefer lanbase-routing
Для ввода нового шаблона в действие необходимо перезагрузить коммутатор.
Выполнение команды перезагрузки возможно из режима глобального конфигурирования
(вместо привилегированного) при использовании команды do:
Switch(config)#do reload
Текущий шаблон можно посмотреть по команде:
Switch#show sdm prefer
Маршрутизация на коммутаторе включается по команде:
Switch(config)#ip routing
После этого можно сконфигурировать статический маршрут или маршрут по умолчанию.
171
Краткие итоги раздела 7
1.
Виртуальная локальная сеть VLAN состоит из узлов, объединенных
широковещательным доменом, образованным приписанными к виртуальной сети портами
коммутатора.
2
Виртуальные локальные сети логически сегментируют всю сеть на широковещательные
домены так, чтобы пакеты пересылались только между портами, которые приписаны к одной
VLAN.
3
Трафик между VLAN обеспечивается маршрутизацией, т.е. общение между узлами
разных виртуальных сетей происходит только через маршрутизатор или коммутатор
третьего уровня.
4
На практике используются несколько типов виртуальных локальных сетей: VLAN для
передачи данных; VLAN для трафика управления; VLAN для передачи голосового трафика.
5
По умолчанию все порты коммутатора приписаны к первой виртуальной локальной
сети VLAN1 и предназначены для передачи данных.
6
Для управления виртуальными локальными сетями, в том числе удаленного доступа,
используется виртуальный интерфейс SVI одной из VLAN (по умолчанию VLAN 1). Этому
интерфейсу назначается IP-адрес с маской, а также шлюз по умолчанию. Администраторы
обычно изменяют номер управляющей сети для повышения безопасности.
7
Каждой виртуальной сети при конфигурировании должен быть назначен IP-адрес сети
или подсети с соответствующей маской и шлюзом.
8
Функционирование виртуальных локальных сетей определяется протоколом 802.1Q.
9
При построении сети на нескольких коммутаторах в заголовок кадра добавляется
уникальный идентификатор – тег (tag) виртуальной сети, который определяет членство
VLAN каждого пакета.
10
Маркировка (тегирование) используется для обмена данными сетей VLAN между
коммутаторами.
11 Тег размером в 2 байта вводится в кадр между полем адреса источника и полем
Тип/Длина. 12 бит тега (VLAN ID) используются для идентификации VLAN, что позволяет
маркировать (тегировать) до 4096 виртуальных сетей, это охватывает нормальный (1 – 1005)
и расширенный (1006 – 4094) диапазоны идентификаторов VLAN.
12 Совокупность физических каналов между двумя устройствами может быть заменена
одним агрегированным логическим каналом, получившим название транк (Trunk).
13 Транк – это магистральный канал, передающий кадры нескольких виртуальных
локальных сетей.
14 Транковые порты передают тегированный трафик нескольких сетей VLAN, порты
доступа передают нетегированный трафик одной сети VLAN.
15 Протоколом 802.1Q предусмотрена собственная сеть native VLAN, которая назначена
транковому порту, но трафик которой передается нетегированным.
16 При создании сетей VLAN нормального диапазона конфигурация коммутатора под
именем файла данных vlan.dat хранится во флеш-памяти.
17 Состояние виртуальных сетей и интерфейсов коммутатора отображается в распечатке
команд show vlan, show vlan brief.
18 При конфигурировании создают виртуальные локальные сети VLAN (например,
Switch(config)#vlan 10) и назначают порты коммутатора на каждую VLAN (например,
Switch(config-if)#switchportmodeaccess, Switch(config-if)#switchportaccessvlan10).
19 Для создания транковых портов используют команду switchport modetrunk.
20 Согласование магистральных транковых каналов реализует динамический транковый
протокол DTP, который является протоколом Cisco и не поддерживает оборудование других
производителей. Для немагистральных каналов протокол DTP рекомендуется отключать.
172
21 Атаки переходов позволяют хакеру видеть трафик атакуемой сети. При этом хакер
может либо подменить коммутатор (switch spoofing), либо использовать двойное тегирование
(double tagging).
22 Защищенные порты запрещают обмен данными между интерфейсами при любой
пересылке. При этом создается граничная частная сеть PVLAN.
23 Для обеспечения маршрутизации между VLAN при использовании транковых
соединениях на интерфейсе маршрутизатора формируются несколько субинтерфейсов (по
количеству виртуальных локальных сетей).
24 Многоуровневые коммутаторы характеризуются более высокой скоростью обработки
пакетов по сравнению с маршрутизаторами, поэтому широко используются в сетях
различного назначения. Однако их стоимость высока.
25 Многоуровневые коммутаторы дополнительно поддерживают маршрутизируемый
порт, который является интерфейсом 3-го уровня OSI.
173
Вопросы по разделу 7
1. Для чего создаются виртуальные локальные сети? Их достоинства?
2. Как связываются между собой VLAN?
3. Как обеспечивается общение между узлами разных виртуальных сетей?
4. Какие типы сетей используются на практике?
5. Как обеспечивается управление виртуальными локальными сетями?
6. Можно ли построить VLAN на нескольких коммутаторах? Как это сделать?
7. Для чего служит идентификатор кадра (tag)? Где он размещается?
8. Между какими устройствами создаются магистральные транковые каналы?
9. Что такое транк? Как он создается на коммутаторе и маршрутизаторе?
10. Какие команды используются для назначения VLAN на интерфейсы?
11. Что будет, если назначить порт на не существующую VLAN?
12. Что будет, если ввести команду no switchport access vlan 10, на интерфейсе ранее
назначенном на сеть VLAN 10?
13. Как переназначить порт на другую VLAN?
14. Что будет с портами, назначенными на VLAN, при удалении сети?
15. Какие команды используются для создания транковых соединений?
16. Какая команда позволяет ограничить трафик через транковое соединение для некоторых
VLAN?
17. Какие команды используются для верификации VLAN?
18. Какая информация отображается по команде show interface <тип, номер> switchport?
19. Какие функции выполняет протокол DTP? В каких случаях он используется и в каких не
используется?
20. Для чего на интерфейсе конфигурируют команду switchport nonegotiate?
21. Какие два типа атак переходов используют хакеры? Как с ними бороться?
22. Что дает конфигурирование защищенного порта PVLAN?
23. Для чего выключают неиспользуемые порты?
24. Какие схемы используют для маршрутизации трафика между VLAN?
25. Для чего используются субинтерфейсы маршрутизаторов?
26. Каков формат команды конфигурирования маршрутизатора в схеме router-on-a-stick?
27. В чем достоинства и недостатки схемы router-on-a-stick?
28. Что такое коммутатор уровня 3? В чем его достоинства и недостатки?
29. Какие типы портов используются в коммутаторах уровня 3?
30. Что такое шаблоны, которыми управляет диспетчер базы данных коммутатора SDM?
Упражнения
1. Сформируйте в Packet Tracer схему сети
174
R
Транк
S1
Транк
S3
Транк
S2
Узел X
VLAN 10
Узел 10-1
Узел 30-1
Узел 20-1
Узел 10-n
VLAN 20
Узел 20-k
Узел 30-m
VLAN 30
2. Сконфигурируйте коммутаторы и маршрутизатор, чтобы обеспечить межсетевое
взаимодействие VLAN.
3. Проведите отладку и проверку сети.
175
8. ПРОТОКОЛ ДИНАМИЧЕСКОГО КОНФИГУРИРОВАНИЯ УЗЛОВ
Рассматривается принципы функционирования протоколов динамического
конфигурирования узлов .в сетях IPv4, IPv6. Приведены примеры конфигурирования
серверов DHCPv4, DHCPv6 на маршрутизаторах.
8.1. Общие сведения о динамическом конфигурировании узлов
Всем устройствам, которые обмениваются сообщениями через сеть Интернет,
необходимы уникальные IP-адреса, которые назначаются в статическом или динамическом
режиме. В статическом режиме IP-адреса назначает администратор маршрутизаторам,
серверам, сетевым принтерам и другим устройствам, адреса которых меняются редко. В то
же время, адреса рабочих станций (узлов) могут изменяться достаточно часто.
Протокол динамического конфигурирования узлов (Dynamic Host Configuration
Protocol – DHCP) позволяет автоматизировать процесс назначения IP-адресов рабочим
станциям из диапазона (пула) адресов, выделенного провайдером администратору.
Назначение адресов может происходить в трех режимах:
в ручном режиме администратор назначает устройству выделенный протоколом
DHCP статический IP-адрес;
в автоматическом режиме протокол DHCP автоматически выделяет устройству в
постоянное пользование статический IP-адрес из пула адресов;
в динамическом режиме протокол DHCP выделяет из пула адресов в аренду
устройству IP-адрес на определенный период времени.
Динамическое назначение адресов протоколом DHCP производится по запросу
клиента на определенный промежуток времени, для продления которого пользователь
должен периодически обращаться к серверу. При освобождении IP-адресов они
возвращаются в пул DHCP-серверу, который перераспределяет их. При повторном запросе
клиента, освободившего IP-адрес, сервер пытается назначить ранее использовавшийся адрес.
Помимо IP-адреса протокол DHCP предоставляет пользователю еще целый ряд параметров
(маску подсети, шлюз по умолчанию, IP-адрес сервера DNS и другие параметры).
В качестве DHCP-сервера могут работать различные устройства при установке
соответствующего программного обеспечения. В локальных сетях сервер конфигурируется
либо на выделенном персональном компьютере, либо на локальном маршрутизаторе,
который получает IP-адреса с DHCP-сервера провайдера.
Получение адресной информации от DHCP-сервера (IP-адрес, маска подсети, адрес
шлюза по умолчанию, адрес DNS-сервера) происходит за 4 этапа (рис. 8.1):
176
G0/0
МАС-адрес клиента
00-АА-АА-АА-АА-АА
DHCP DISCOVER
DHCP OFFER
DHCP REQUEST
Сервер
DHCP
Сервер
DHCP
DHCP PACK
Рис. 8.1. Получение адресной информации от DHCP-сервера
1. Клиент, которому необходима адресная информация, посылает в сеть кадр
широковещательного запроса обнаружения серверов DHCP DISCOVER с МАС-адресом
назначения FF-FF-FF-FF-FF-FF.
2. Сервер отвечает предложением арендовать IP-адрес (DHCP OFFER) с
использованием одноадресной рассылки.
3. В локальной сети может быть несколько DHCP-серверов. Поэтому клиент выбирает
сервер и посылает ему широковещательный запрос DHCP REQUEST на получение IPадреса. Запрос широковещательный, чтобы другие DHCP-серверы знали, что их
предложение отклонено.
4. Сервер отвечает положительным подтверждением DHCP PACK в одноадресном
режиме или дает отрицательный ответ DHCP NAK, если истекло время действия
предложения или предложенный адрес уже передан другому клиенту. В этом случае процесс
получения адресной информации нужно начать заново с посылки широковещательного
запроса DHCP DISCOVER.
Продление срока аренды IP-адреса производится путем посылки запроса DHCP
REQUEST в одноадресном режиме.
Когда сервер получает запрос DHCP REQUEST, он проверяет, не выдан ли уже
другому клиенту предлагаемый сервером IP-адрес. Для этого сервер посылает запрос
(команду ping) на предлагаемый IP-адрес. При отрицательном результате «пингования»
сервер DHCP резервирует IP-адрес, протокол ARP создает запись МАС-адреса клиента и
выданного ему IP-адреса.
На рис. 8.2 изображен формат кадра обнаружения сервера DHCPv4, где неизвестные
данные в кадре отображаются в виде четырех нулей 0.0.0.0.
Кадр обнаружения
Заголовок кадра
Заголовок пакета
МАС-адрес узла
назначения
FF-FF-FF-FF-FF-FF
МАС-адрес узла
IP- адрес узла
источника 0.0.0.0
IP- адрес узла
Заголовок
сегмента
UDP 67
Поле данных
IP- адрес клиента 0.0.0.0
IP- адрес шлюза 0.0.0.0
Маска 0.0.0.0
MAC- адрес клиента
177
источника A
00-АА-АА-АА-АА-АА
назначения
255.255.255.255
00-АА-АА-АА-АА-АА
Рис. 8.2. Формат кадра обнаружения DHCPv4
178
8.2. Конфигурирование сервера DHCP на маршрутизаторе
Конфигурирование сервера DHCP на маршрутизаторе рассмотрено на примере сети
рис. 8.3.
G0/0
A
.1
...
Сеть 1
192.168.10.0/24
Сеть 4
200.4.4.0/24
DCE
.2
S0/3/0
S0/3/1
G0/1 .1
B
G0/0 .1
...
Сеть 2
192.168.20.0/24
...
Сеть 3
192.168.30.0/24
Рис. 8.3. Сервер DHCP на маршрутизаторе
При конфигурировании сервера DHCP на маршрутизаторе необходимо задать пул
адресов, например, все адреса сети 192.168.10.0/24 за исключением первых пяти адресов
(192.168.10.1 – 192.168.10.5), зарезервированных для серверов, маршрутизаторов, сетевых
принтеров, а также последнего адреса 192.168.10.254. Присвоить пулу имя (прописными
буквами), после чего в приглашении формируется расширение R-A(dhcp-config)#. Кроме того,
задается шлюз по умолчанию (192.168.10.1).
R-A(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.5
R-A(config)#ip dhcp excluded-address 192.168.10.254
R-A(config)#ip dhcp pool SERV-DH
R-A(dhcp-config)#network 192.168.10.0 255.255.255.0
R-A(dhcp-config)#default-router 192.168.10.1
Для проверки функционирования сервера DHCP используется ряд приемов и команд.
Например, при обращении к параметрам конфигурации компьютера (рис. 8.4) видно, что
узлу присвоен первый доступный адрес (192.168.10.6) из пула адресов сервера DHCP.
179
Рис. 8.4. IP-конфигурация узла
В полном объеме адресная информация конечного узла отображается по команде:
Для обновления адресной информации на конечном узле можно последовательно
вести команды:
По первой команде ipconfig/release адресная информация обнуляется, по второй
ipconfig/renew адресная информация обновляется.
Команда show ip dhcp binding позволяет проследить, какие IP-адреса назначены сервером
автоматически:
R-A#show ip dhcp binding
IP address
Client-ID/ Lease expiration Type
Hardware address
192.168.10.6 00D0.D3D9.D233 -Automatic
Основные параметры DHCP-сервера отображает текущая конфигурация:
R-A#show run
...
180
ip dhcp excluded-address 192.168.10.1 192.168.10.5
ip dhcp excluded-address 192.168.10.254
!
ip dhcp pool SERV-DH
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
По умолчанию служба DHCPv4 включена на всех маршрутизаторах Cisco. Для ее
выключения следует дать команду:
R-A(config)#no service dhcp
Повторное включение службы производится по команде:
R-A(config)#service dhcp
Ретрансляция сообщений DHCP
Во многих случаях клиент и DHCP-сервер могут находиться в разных сетях,
например, узел А (рис. 8.5) находится в сети 1, а сервер – в сети 2.
G0/0
A
.1
Сеть 4
200.4.4.0/24
DCE
.2
S0/3/0
S0/3/1
G0/1 .1
B
G0/0 .1
192.168.20.2
Узел А
Сервер
DHCP
Сеть 1
192.168.10.0/24
Сеть 2
192.168.20.0/24
Сеть 3
192.168.30.0/24
Рис. 8.5. Ретрансляция DHCP
Конфигурирование функции ретрансляции разрешает маршрутизатору пересылать
широковещательные сообщения DHCP-протокола. Для этого на интерфейсе G0/0
маршрутизатора R-A конфигурируется команда с адресом DHCP-сервера:
R-A(config)#int g0/0
R-A(config-if)#ip helper-address 192.168.20.2
181
В этом случае маршрутизатор выступает в роли ретранслятора. Он получает от узла А
широковещательные запросы (DHCP DISCOVER, DHCP REQUEST) и пересылает их на
уникальный адрес (192.168.20.2) DHCP-сервера, который выделяет адреса узлу А.
В схеме сети рис. 8.5 между маршрутизатором и DHCP-сервером установлен
коммутатор. Длительные процессы протоколов STP, RSTP могут стать причиной не
назначения узлам адресной информации сервером. В этом случае рекомендуется
конфигурировать порты коммутатора как граничные. Граничные порты сразу переходят в
состояние пересылки (Forwarding), минуя состояния прослушивания (Listening) и обучения
(Learning). За счет этого сокращается длительность переходных процессов протоколов STP,
RSTP.
Маршрутизатор может не только выступать в роли DHCP-сервера, но и быть
клиентом, когда получает IP-адрес для своего интерфейса от сервера провайдера. Обычно
этот метод используется в домашних сетях и малых офисах SOHO по требованию
провайдера. Конфигурирование интерфейса Gigabit Ethernet производится по команде:
Router(config)#int g0/0
Router(config-if)#ip address dhcp
182
8.3. Общие сведения о протоколе DHCPv6
В сетях IPv6 индивидуальные глобальные адреса могут быть созданы вручную
администратором или получены автоматически (динамически). Причем, существуют разные
способы динамического назначения адресов:
1. Использование только объявлений маршрутизатора, когда реализуется
автоматическое получение адресной информации без отслеживания состояния (StateLess
Address AutoConfiguration – SLAAC).
2. Использование объявлений маршрутизатора и протокола DHCPv6 без
отслеживания состояния (DHCPv6 SLAAC).
3. Использование протокола DHCPv6 с отслеживанием состояния.
Способ динамического назначения адресов определяется комбинацией двух флагов,
содержащихся в объявлении рассылки адресной информации (Router Advertisement – RA ):
- флаг управления конфигурацией адресов М (Managet Address Configuration flag)
- флаг другой конфигурации О (Other Configuration flag).
Режим SLAAC
Первый способ (SLAAC), когда флаги М = 0, О = 0, базируется на использовании
сообщений протокола ICMPv6. Маршрутизатор периодически каждые 200 сек. рассылает
объявления RA по адресу FF02::1, где передает всем узлам локального канала значение
префикса и его длину. На основе этой информации клиент сам формирует индивидуальный
глобальный адрес IPv6, поэтому маршрутизатор, выполняющий роль сервера, не знает,
существуют ли такие адреса еще на каких либо узлах, т.е. маршрутизатор не отслеживает
состояние (SLAAC). Клиент сам может сделать запрос (Router Solicitation – RS) на
получение адресной информации с использованием многоадресной рассылки FF02::2, не
дожидаясь окончания периода в 200 сек. При получении запроса RS маршрутизатор
немедленно посылает объявление RA с адресной информацией.
Для того чтобы маршрутизатор начал рассылать адресную информацию, ему надо
разрешить маршрутизацию IPv6:
Router(config)#ipv6 unicast-routing
Получив объявление RA, узел сам формирует индивидуальный глобальный адрес
IPv6, добавляя к полученному префиксу идентификатор интерфейса длиной 64 бита
(механизм EUI-64 или генерация случайного числа). Кроме того, в режиме SLAAC в
сообщении RA содержится информация о шлюзе по умолчанию.
Поскольку ни узел, ни маршрутизатор не знают, существует ли такой адрес на других
узлах (маршрутизатор не отслеживает состояние SLAAC), то запускается процесс поиска
адресов дубликатов (Duplicate Address Detection – DAD). Для этого узел посылает эхо-запрос
183
протокола ICMPv6 в локальный канал с собственным адресом назначения. Если ответа нет,
то это означает, что сформированный адрес уникальный.
Если на интерфейсе маршрутизатора был изменен режим динамического назначения
адресов, то для восстановления режима SLAAC необходимо установить флаги М и О в
нулевое состояние
Router(config-if)#no ipv6 nd managed-config-flag
Router(config-if)#no ipv6 nd other-config-flag
Режим SLAAC и DHCPv6
При втором способе динамического назначения адресов (М = 0, О = 1,) клиент
использует объявления маршрутизатора RA и протокол DHCPv6 без отслеживания
состояния (SLAAC и DHCPv6). Объявления RA, рассылаемые маршрутизатором,
используются для создания индивидуальных глобальных адресов. Дополнительная
информация, например адреса DNS-серверов, может быть получена от сервера DHCP. В этом
режиме DHCP-сервер не отслеживает состояние адресов клиентов, т.е не выделяют IPv6адреса, а только предоставляют информацию для создания глобальных адресов.
Режим SLAAC и DHCPv6 формируется по команде
Router(config-if)#ipv6 nd other-config-flag
Режим DHCPv6 с отслеживанием состояния
В данном режиме сервер DHCPv6 выделяет адреса IPv6 и отслеживает их. Поэтому
дублирование адресов отсутствует. Режим DHCPv6 с отслеживанием состояния формируется
по команде (M = 1):
Router(config-if)#ipv6 nd managed-config-flag
Флаг О не используется.
Для получения адресной информации клиент анализирует объявления
рассылаемые маршрутизатором периодически или в ответ на запрос RS (рис. 8.6).
RA,
184
A
Запрос RS
Сообщение RA
SOLICIT
ADVERTISE
Сервер
DHCP
REQUEST или
INFORMATION-REQUEST
REPLAY
Рис. 8.6. Получение адресной информации
Если один из флагов находится в единичном состоянии (M =1 или О =1), то клиент
начинает взаимодействие с DHCPv6-сервером, посылая запрос SOLICIT. При этом
используется номером порта 547, протокол UDP. Запрос DHCPv6 SOLICIT рассылается на
адрес FF02::1:2 на все DHCPv6-серверы локального канала. В ответ сервер передает в
одноадресном режиме сообщение ADVERTISE о доступности услуг сервера. Если клиент
работает в режиме без отслеживания состояния (SLAAC и DHCPv6, флаг О = 1), то он
передает запрос INFORMATION REQUEST на получение дополнительной информации,
поскольку IPv6-адрес клиент формирует сам. Если же у клиента установлен режим с
отслеживанием состояния (М=1), то он передает запрос REQUEST на получение полной
адресной информации. DHCPv6-сервер отвечает сообщением REPLAY в режиме
одноадресной рассылки.
8.4. Конфигурирование сервера DHCPv6 на маршрутизаторе
Конфигурировании DHCPv6-сервера без отслеживания состояния и с отслеживанием
состояния имеет небольшие особенности. В первом случае производится следующая
последовательность действий на маршрутизаторе:
1. Активируется маршрутизация IPv6:
Router(config)#ipv6 unicast-routing
2. Создается пул DHCPv6, например, с именем SERV-DH:
Router(config)#ipv6 dhcp pool SERV-DH
3. DHCPv6-сервер можно настроить, чтобы он сообщал клиенту дополнительную
информацию, например, адрес DNS-сервера
Router(config-dhcpv6)#dns-server <адрес IPv6>
4. Конфигурируется интерфейс маршрутизатора, например, G0/0
Router(config)#int g0/0
Router(config-if)#ipv6 address <адрес IPv6>
5. Созданный пул с именем SERV-DH устанавливается на интерфейс
185
Router(config-if)#ipv6 dhcp server SERV-DH
6. Задается режим сервера без отслеживания состояния
Router(config-if)#ipv6 nd other-config-flag
Пример конфигурирования приведен для следующей схемы сети:
G0/0
A
.1
DCE
S0/3/0
.2
S0/3/1
G0/1 .1
Сервер
DHCP
B
G0/0 .1
Узел А
Рис. 8.7. Пример схемы сети IPv6
DHCPv6-сервера без отслеживания состояния создается на интерфейсе G0/1.
R-A#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R-A(config)#ipv6 unicast-routing
R-A(config)#ipv6 dhcp pool SERV-DH
R-A(config-dhcp)#dns-server 2001:db8:a:1::17
R-A(config-dhcp)#int g0/1
R-A(config-if)#ipv6 add 2001:db8:a:1::1/64
R-A(config-if)#ipv6 dhcp server SERV-DH
R-A(config-if)#ipv6 nd other-config-flag
Результат можно посмотреть по команде show running-config
R-A#sh run
...
ip dhcp excluded-address 192.168.10.1 192.168.10.5
ip dhcp excluded-address 192.168.10.254
!
ip dhcp pool SERV-DH
network 192.168.20.0 255.255.255.0
default-router 192.168.20.1
ipv6 unicast-routing
!
186
ipv6 dhcp pool SERV-DH
dns-server 2001:DB8:A:1::17
!
...
interface GigabitEthernet0/0
ip address 192.168.10.1 255.255.255.0
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 192.168.20.1 255.255.255.0
ip helper-address 192.168.10.1
ip helper-address 192.168.20.1
duplex auto
speed auto
ipv6 address 2001:DB8:A:1::1/64
ipv6 nd other-config-flag
ipv6 dhcp server SERV-DH
...
R-A#
На узле А, наряду с ранее созданной адресной информацией IPv4, появились
автоматически сконфигурированные адреса IPv6, в том числе: уникальный глобальный адрес
узла – 2001:DB8:A:1:250:FFF:FE8C:78DA/64; адрес шлюза по умолчанию локального канала
– FE80::20D:BDFF:FE7C:6002; адрес DNS-сервера – 2001:DB8:A:1::17 (рис. 8.8).
Рис. 8.8. Получение адресной информации от сервера DHCPv6
Во втором случае (только DHCPv6 с отслеживанием состояния) на маршрутизаторе
конфигурируется следующая последовательность команд:
187
1. Активируется маршрутизация IPv6:
Router(config)#ipv6 unicast-routing
2. Создается пул DHCPv6, например, с именем SERV-DHC:
Router(config)#ipv6 dhcp pool SERV-DHC
3. Задается префикс пула назначаемых адресов, например, 2001:db8:a:1::/64
Router(config-dhcpv6)#address prefix server
2001:db8:a:1::/64 life time infinite
В этой команде параметр life time задает время аренды адреса в секундах (в приведенном
примере - бесконечность).
4. DHCPv6-сервер настраивается, чтобы сообщать клиенту дополнительную информацию,
например, адрес DNS-сервера
Router(config-dhcpv6)#dns-server <адрес IPv6>
5. Конфигурируется интерфейс маршрутизатора, например, G0/0
Router(config)#int g0/0
Router(config-if)#ipv6 address <адрес IPv6>
6. Созданный пул с именем SERV-DHC устанавливается на интерфейс
Router(config-if)#ipv6 dhcp server SERV-DHC
6. Задается режим сервера с отслеживанием состояния
Router(config-if)#ipv6 nd managed-config-flag
Для проверки конфигурации маршрутизатора используются команды show run, show ipv6
interface g0/0.
Команда проверки интерфейса, например, show ipv6 interface g0/1. дает возможность
отследить режим автоматического назначения IPv6-адресов, например:
R-A#sh ipv6 int g0/1
GigabitEthernet0/1 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::20D:BDFF:FE7C:6002
No Virtual link-local address(es):
Global unicast address(es):
2001:DB8:A:1::1, subnet is 2001:DB8:A:1::/64
...
Hosts use stateless autoconfig for addresses.
Последняя строка показывает, что это режим SLAAC.
В случае режима DHCPv6 без отслеживания состояния последняя строка будет:
Hosts use DHCP to obtain other configuration.
В режима DHCPv6 c отслеживаниtv состояния последняя строка будет:
Hosts use DHCP to obtain routable addresses.
188
Ретрансляция сообщений DHCP
Если клиент и DHCP-сервер находятся в разных сетях, например узел А
(2001:DB8:A:1::11/64) и сервер (2001:DB8:A:2::15/64) сети рис. 18.5, то на интерфейсе G0/1
конфигурируется функция ретрансляции, которая разрешает маршрутизатору пересылать
широковещательные сообщения DHCP-протокола. Для этого на интерфейсе G0/1
маршрутизатора R-A конфигурируется команда с адресом DHCPv6-сервера:
R-A(config)#int g0/1
R-A(config-if)#ipv6 dhcp relay destination 2001:DB8:A:2::15/64
В этом случае маршрутизатор выступает в роли ретранслятора. Он получает от узла А
широковещательные запросы на адрес FF02::1:2 и пересылает их на уникальный адрес
(2001:DB8:A:2::15/64) DHCP-сервера, который выделяет адреса узлу А.
189
Краткие итоги раздела 8
1. Протокол динамического конфигурирования узлов DHCP позволяет автоматизировать
процесс назначения IP-адресов рабочим станциям из диапазона (пула) адресов, выделенного
провайдером администратору.
2. Назначение адресов может происходить в трех режимах: ручном, автоматическом,
динамическом.
3. В ручном режиме администратор сам назначает устройству выделенный протоколом
DHCP статический IP-адрес.
4. В автоматическом режиме протокол DHCP выделяет устройству в постоянное
пользование статический IP-адрес из пула адресов.
5. В динамическом режиме протокол DHCP выделяет из пула адресов в аренду устройству
IP-адрес на определенный период времени.
6. В локальных сетях сервер конфигурируется: либо на выделенном персональном
компьютере; либо на локальном маршрутизаторе, который получает IP-адреса от DHCPсервера провайдера.
7. Клиент, которому необходим адрес, посылает в сеть широковещательный запрос
обнаружения серверов DHCP DISCOVER с МАС-адресом назначения FF-FF-FF-FF-FF-FF.
8. Сервер отвечает предложением арендовать IP-адрес (DHCP OFFER) с использованием
одноадресной рассылки.
9. В локальной сети может быть несколько DHCP-серверов. Поэтому клиент выбирает
сервер и посылает ему широковещательный запрос DHCP REQUEST на получение IP-адреса.
Запрос широковещательный, чтобы другие DHCP-серверы знали, что их предложение
отклонено.
10. Сервер отвечает положительным подтверждением DHCP PACK в одноадресном
режиме или дает отрицательный ответ DHCP NAK.
11. Продление срока аренды IP-адреса производится путем посылки запроса DHCP
REQUEST в одноадресном режиме.
12. При конфигурировании сервера DHCP на маршрутизаторе задают пул адресов, за
исключением адресов, зарезервированных для серверов, маршрутизаторов, сетевых
принтеров.
13. Резервирование пула (диапазона) адресов выполняется по команде Router(config)#ip
dhcp excluded-address <адрес первый> <адрес последний>
14. Включение сервера производится после присвоения пулу имени: Router(config)#ip dhcp
pool SERV-DH
15. Когда клиент и DHCP-сервер находятся в разных сетях, то на интерфейсе
маршрутизатора конфигурируется функция ретрансляции Router(config-if)#ip helper-address
<адрес>
16. Маршрутизатор может не только выступать в роли DHCP-сервера, но и быть клиентом,
когда получает IP-адрес для своего интерфейса от сервера провайдера. При этом
конфигурирование интерфейса производится по команде: Router(config-if)#ip address dhcp
17. В сетях IPv6 индивидуальные глобальные адреса могут быть назначены автоматически
разным способами.
18. Использование только объявлений маршрутизатора, когда реализуется автоматическое
получение адресной информации без отслеживания состояния SLAAC.
19. Использование объявлений маршрутизатора и протокола DHCPv6 без отслеживания
состояния (DHCPv6 SLAAC).
20. Использование протокола DHCPv6 с отслеживанием состояния.
21. Способ динамического назначения адресов определяется комбинацией двух флагов,
содержащихся в объявлении RA: флаг управления конфигурацией адресов М и флаг другой
конфигурации О.
190
22. Способ SLAAC (флаги М = 0, О = 0) базируется на использовании сообщений RA
протокола ICMPv6, которые маршрутизатор периодически каждые 200 сек. рассылает по
адресу FF02::1, где передает всем узлам локального канала значение префикса и его длину.
23. При втором способе динамического назначения адресов (М = 0, О = 1,) клиент
использует объявления маршрутизатора для создания индивидуальных глобальных адресов.
Дополнительная информация, например адреса DNS-серверов, может быть получена от
сервера DHCP.
24. Второй режим (SLAAC и DHCPv6) формируется по команде Router(config-if)#ipv6 nd
other-config-flag
25. Третий режим DHCPv6 с отслеживанием состояния (M = 1) формируется по команде
Router(config-if)#ipv6 nd managed-config-flag
26. Если клиент и DHCP-сервер находятся в разных сетях, то на интерфейсе
маршрутизатора конфигурируется команда с адресом DHCPv6-сервера Router(config-if)#ipv6
dhcp relay destination <адрес>
Вопросы по разделу 8
1. Какими сообщениями обмениваются клиент и сервер DHCP?
2. В каких случаях запрос DHCP REQUEST передается в широковещательном режиме, и в
каких – в одноадресном?
3. В чем различие динамического и автоматического методов назначения адресов IPv4?
4. Каково назначение команды Router(config)#ip dhcp excluded-address 192.168.10.1
192.168.10.5 ?
5. Каково назначение команды Routr(config)#ip dhcp pool SERV-DH. В какой режим при
этом переходит маршрутизатор?
6. Какую команду нужно дать, чтобы маршрутизатор получал IP-адреса от сервера DHCP?
7. В каких случаях маршрутизатор конфигурируют, чтобы он получал адресную
информацию от DHCP-сервера?
8. Для чего порты коммутатора настраивают, как граничные?
9. Какая команда позволяет клиенту получать адресную информацию от DHCP-сервера,
расположенного в другой локальной сети?
10. Какие режимы получения адресной информации используются в сетях IPv6? В чем их
различие?
11. Как кодируются и конфигурируются режимы в сообщениях?
12. Сообщения какого протокола используют DHCP-серверы для организации передачи
адресной информации?
13. Какой адрес шлюза по умолчанию в сетях IPv6 используется при пересылке адресной
информации в режиме SLAAC?
14. В чем состоит различие сообщений REQUEST и INFORMATION REQUEST?
15. Как и в каких случаях конфигурируется функция ретрансляции сообщений DHCPv6сервера?
Упражнения
1. Сформируйте схему сети
191
G0/0
...
2.
3.
4.
5.
6.
7.
A
.1
G0/1 .1
...
Сеть 1
Сеть 2
192.168.10.0/24
192.168.20.0/24
Сконфигурируйте интерфейсы.
Сконфигурируйте DHCP-сервер на интерфейсе G0/0
Проведите отладку и проверку работоспособности сервера.
Измените адреса сети 1 на 2001:db8:a:1::/64 и сети 2 на 2001:db8:a:2::/64.
Сконфигурируйте DHCPv6-сервер на интерфейсе G0/0.
Проведите отладку и проверку работоспособности сервера.
192
9. ТРАНСЛЯЦИЯ АДРЕСОВ
Рассматриваются принципы трансляции адресов из частных в публичные и наоборот.
Приведены примеры конфигурирования трансляторов NAT и PAT на маршрутизаторах,
примеры отладки реализованных трансляторов.
9.1. Общие сведения о трансляции адресов
Управление общедоступными (публичными) IP-адресами реализуется международной
организацией Internet Assigned Numbers Authority (IANA) и пятью Региональными Интернет
Регистраторами адресов (Regional Internet Registry – RIR), которые выделяют адреса сетевым
операторам и провайдерам, а те, в свою очередь, выделяют адреса сетевым администраторам
и отдельным пользователям (см. раздел 7.3 Часть 1).
В связи с бурным ростом числа пользователей сети Интернет, обусловленным
развитием мобильной связи, использованием сетевых технологий для управления
технологическими процессами и бытовой техникой, в настоящее время наблюдается
дефицит публичных адресов IPv4. Кардинальным решением данной проблемы является
разработка и внедрение адресации версии IPv6. В связи со сложностью внедрения IPv6 в
настоящее время для снижения остроты дефицита IP-адресов в сетях IPv4 используются
различные методы и средства. В частности, широко используются частные адреса (см. раздел
7.3 Часть 1).
Использование частных адресов (Private IP addresses) несколько ослабляет проблему
нехватки публичных адресов. Локальные частные сети, не подключенные к Интернет, могут
иметь любые адреса, лишь бы они были уникальны внутри частной сети. Поэтому в разных
частных сетях могут использоваться одни и те же частные адреса. Выход в Интернет пакетов
с частными адресами блокируется маршрутизаторами. Таким образом, частные адреса не
могут быть использованы непосредственно в сети Интернет.
Документ RFC 1918 устанавливает три блока частных адресов для использования
внутри частных сетей (табл. 9.1).
Таблица 9.1
Диапазоны частных адресов
№
Диапазон адресов
Префикс
1
10.0.0.0 – 10.255.255.255
/8
2
172.16.0.0 – 172.31.255.255
/12
3
192.168.0.0 – 192.168.255.255
/16
193
Для того чтобы узлы с частными адресами могли при необходимости подключаться к
сети Интернет, используются специальные трансляторы частных адресов в публичные.
Например, транслятор сетевых адресов (Network Address Translation – NAT) переводит
один частный адрес в один публичный. Поэтому экономия IP-адресов может быть
достигнута только за счет того, что не всем узлам частной сети разрешается выход в
Интернет.
Второй тип транслятора Port Address Translation – PAT один общедоступный IPадрес комбинирует с набором номеров порта узла источника, т.е. формируется совокупность
комплексных
адресов,
называемых
сокетами,
например
192.168.10.17:1275,
192.168.10.17:1086, 192.168.10.17:2013. При этом один IP-адрес могут использовать сразу
несколько узлов частной сети. Поэтому данный метод трансляции частных адресов в
публичные эффективно экономит общедоступные IP-адреса. Транслятор PAT называют
также NAT Overload, где один IP-адрес используется многими пользователями.
Когда клиент сети с частными адресами посылает пакеты в сеть Интернет, транслятор
адресов NAT переводит внутренний (inside) локальный (частный) IP-адрес клиента во
внутренний глобальный (публичный) адрес. Адрес назначения по отношению к клиенту,
например, посылающему запрос серверу, является внешним (outside). В общем случае
внешние адреса также могут быть локальными и глобальными
Таким образом, NAT позволяет многим сетям использовать одни и те же частные IPадреса. При этом публичные адреса используются только по мере необходимости при
передаче информации в Интернет. Кроме того, NAT повышает безопасности сети, т.к.
скрывает внутренние (частные) IP-адреса от внешних сетей.
На рис. 9.1 приведена схема сети, в которой используется транслятор адресов.
Трансляторы NAT обычно устанавливаются на границе тупиковой сети. В нашем примере RВ – граничный маршрутизатор, через который все пользователи внутренних частных сетей
на маршрутизаторах R-А, R-В подсоединяются к маршрутизатору R-ISP сети провайдера
(поставщика) интернет-услуг. На маршрутизаторе R-В и установливается транслятор NAT.
R-A
...
200.50.50.128/29
10.10.10.0/30
192.168.10.1
DCE
DCE
Интернет
R-ISP
210.4.4.2/28
R-B
210.4.4.18/28 Сервер
192.168.20.254 Сервер
192.168.10.0/24
Внутренняя сеть
Внешняя сеть
Рис. 9.1. Сеть с транслятором NAT
194
При передаче пакета из внутренней (inside) сети, например из 192.168.10.0, в сеть
Интернет граничный маршрутизатор транслирует внутренний частный адрес компьютера в
публичный маршрутизируемый (routable) адрес внешней (outside) сети. Для реализации
трансляции частных адресов в публичные провайдер выделяет администратору набор (пул)
публичных адресов, например, пул адресов: 222.100.100.60 – 222.100.100.62.
На рис. 9.2. приведен пример передачи пакета с узла с IP-адресом 192.168.10.11 на
веб-сервер сети провайдера с IP-адресом 210.4.4.18.
192.168.10.11
222.100.100.60
Интернет
192.168.10.1
R-A
DCE
DCE
R-B
R-ISP
210.4.4.18/28
Сервер
192.168.10.11
Рис. 9.2. Пример трансляции адресов NAT
В приведенном примере внутренний (Inside) локальный адрес – это частный IPадрес 192.168.10.11, назначенный администратором на конечный узел внутренней сети.
Внутренний (Inside) глобальный адрес – это публичный адрес, который назначается
транслятором соответствующему внутреннему узлу, когда пакет выходит из NAT
маршрутизатора. Это адрес, который виден из внешней сети. При передаче запроса с
компьютера на сервер (рис. 9.2) транслятор NAT преобразует внутренний локальный адрес
источника 192.168.10.11 во внутренний глобальный 222.100.100.60, который выбирает
транслятор NAT из таблицы перевода (NAT Table). Если транслятор не находит
соответствующей строки в таблице перевода, то пакет уничтожается.
Внешний (Outside) глобальный адрес – это адрес назначения в сети Интернет,
например IP-адрес 210.4.4.18 (рис. 9.2). В некоторых случаях адресат назначения может
находиться в частной сети, поэтому также может потребоваться транслятор NAT
Трансляторы NAT могут работать в динамическом или статическом режимах.
В динамическом режиме NAT автоматически назначает публичные адреса на
передаваемые пакеты из заданного провайдером пула общедоступных публичных адресов.
Когда конечный узел с частным IP-адресом запрашивает доступ в Интернет, динамический
NAT выбирает из пула свободный IP-адрес, который не используется другими узлами.
В статическом режиме администратор создает таблицу соответствия частных и
глобальных адресов, и записи в таблице не меняются. Статический NAT обычно
используется для веб-серверов или узлов, которые должны иметь постоянный адрес,
который доступен из Интернета. Эти внутренние узлы могут быть серверами предприятия
или сетевыми устройствами.
195
Транслятор номера порта
Транслятор номера порта PAT или, по-другому, NAT Overload, переводит многие
частные IP-адреса в один или несколько публичных адресов. Получив от провайдера один
публичный адрес, можно обеспечить доступ в Интернет сразу нескольким конечным узлам с
частными адресами. Это возможно только, если каждый частный адрес будет дополнительно
помечен (идентифицирован) номером порта, который задается на 4-ом транспортном уровне
модели OSI.
При открытии сессии TCP/IP, например, при посылке запроса на сервер, сообщению
(сегменту) присваивается номер порта назначения из диапазона известных номеров в
пределах от 0 до 1023, а также номер порта источника из диапазона зарегистрированных
портов (от 1024 до 49151) или диапазона динамических портов (от 49151 до 65535).
Транслятор PAT в маршрутизаторе дополняет IP-адрес источника этим номером
порта, формируя комплексный публичный адрес (сокет). Когда ответ возвращается с сервера,
исходный номер порта узла клиента, который на обратном пути становится номером порта
назначения, определяет, какому клиенту маршрутизатор должен направить пакеты.
На рис. 9.3 приведен пример, когда узлы с внутренними частными адресами
источников информации 192.168.10.11 и 192.168.10.12 обращаются к веб-серверу с адресом
210.4.4.18. На транспортном уровне запросам конечных узлов назначаются номера портов
источников, соответственно 192.168.10.11:1407 и 192.168.10.12:1258.
Транслятор PAT граничного маршрутизатора R-В изменяет внутренние локальные
адреса источников на внутренние глобальные адреса с теми же самыми номерами портов,
т.е. формирует соответствующие публичные комплексные адреса, например,
222.100.100.60:1407 и 222.100.100.60:1258.
Интернет
192.168.10.1
192.168.10.12
192.168.10.11
R-A
DCE
DCE
R-B
192.168.10.11:1407
222.100.100.60:1407
192.168.10.12:1258
222.100.100.60:1258
R-ISP
210.4.4.18/28
Сервер
Рис. 9.3. Пример функционирования PAT
При этом комплексный адрес назначения (DA) будет внешним IP-адресом с назначенным
номером порта службы уровня приложений, в данном случае 210.4.4.18:80 веб-сервера
HTTP.
196
В формате заголовка сегмента (см. рис. 9.1, 9.2 Часть 1) номер порта задается 16-ти
разрядным двоичным числом. Поэтому один внешний глобальный адрес теоретически может
использоваться для адресации 64К узлов. На практике число узлов на один глобальный адрес
не превышает 4000.
Пакеты, поступающие из публичной сети, направляются адресату назначения в
частной сети, в соответствии с таблицей транслятора, где отображены пары публичных и
частных адресов. Этот процесс называется прослеживанием связи (connection tracking).
В предыдущем примере номера портов двух источников 1407 и 1258 в граничном
шлюзе не изменяются. Однако если эти номера портов уже используются в других текущих
сессиях, то эти номера переназначаются на первое доступное число. Например (рис. 9.4),
одинаковый номер порта 1258 используется в пакете, пересылаемом с узла 192.168.10.12 и в
пакете, передаваемом с узла 192.168.10.13.
192.168.10.11:1407
192.168.10.12:1258
R-A
192.168.10.13:1258
DCE
DCE
R-B
192.168.10.11:1407
192.168.10.12:1258
222.100.100.60:1407
222.100.100.60:1258
192.168.10.13:1258
222.100.100.60:1259
Рис. 9.4. Изменение номера порта источника транслятором РАТ
Поэтому транслятор РАТ на граничном маршрутизаторе R-В изменит во внутреннем
глобальном адресе источника номер порта второго пакета на 1259. Если доступных номеров
портов больше нет, то транслятор РАТ попытается использовать следующий IP-адрес из пула
доступных для транслятора адресов.
197
9.2. Конфигурирование трансляторов
Статический транслятор NAT
При создании статического транслятора необходимо определить соответствующие
внутренние и внешние адреса и сконфигурировать NAT на требуемых для трансляции
интерфейсах. На рис. 9.5 приведена схема фрагмента внутренней сети, где на
маршрутизаторе R-A требуется установить транслятор NAT для доступа к внешней сети
провайдера ISP.
10.20.20.11
Сервер 1
Внутренняя сеть
10.20.20.0/24
F0/1
.1
PC1
10.20.20.12
Внешняя сеть ISP
200.5.5.0/30
DCE
.1
.2
R-A
S1/1
NAT
10.20.20.11 → 220.20.20.11
10.20.20.12 → 220.20.20.12
S1/2
PC2
F0/0
.1
R-ISP
192.168.30.11
.1
F0/1
192.168.40.11 Сервер 2
Рис. 9.5. Внутренняя сеть и сеть провайдера ISP
Для нормального функционирования сети необходимо сконфигурировать все
интерфейсы маршрутизаторов R-A и R-ISP, все конечные узлы сети, а также
сконфигурировать маршрутизирующий протокол, например, RIP. Ниже приведены
результаты конфигурирования, отображаемые командами sh run и sh ip route.
R-A#sh run
...
interface FastEthernet0/1
ip address 10.20.20.1 255.255.255.0
!
interface Serial1/1
ip address 200.5.5.1 255.255.255.252
clock rate 64000
router rip
network 200.5.5.0
network 220.20.20.0
!
Следует обратить внимание, что при конфигурировании протокола RIP в качестве
непосредственно присоединенной дается описание внешней сети network 220.20.20.0/24, а
не внутренней сети 10.20.20.0/24 с тем, чтобы из внешней сети не было видно конфигурации
198
внутренней сети. При этом таблица маршрутизации
непосредственно присоединенной сеть 10.20.20.0:
R-A
содержит
в
качестве
R-A#sh ip route
...
10.0.0.0/24 is subnetted, 1 subnets
C 10.20.20.0 is directly connected, FastEthernet0/1
R 192.168.30.0/24 [120/1] via 200.5.5.2, 00:00:11, Serial1/1
R 192.168.40.0/24 [120/1] via 200.5.5.2, 00:00:11, Serial1/1
200.5.5.0/30 is subnetted, 1 subnets
C 200.5.5.0 is directly connected, Serial1/1
Информация о сети 220.20.20.0 в маршрутизаторе R-ISP отсутствует, поэтому в
таблице конфигурации маршрутизатора R-ISP нет маршрута ни к сети 10.20.20.0, ни к сети
220.20.20.0. Поэтому в маршрутизаторе R-ISP сформирован статический маршрут к сети
220.20.20.0, что отражено в распечатках команд show run, show ip route.
R-ISP#sh run
...
interface FastEthernet0/0
ip address 192.168.30.1 255.255.255.0
!
interface FastEthernet0/1
ip address 192.168.40.1 255.255.255.0
!
interface Serial1/2
ip address 200.5.5.2 255.255.255.252
!
router rip
network 192.168.30.0
network 192.168.40.0
network 200.5.5.0
!
ip classless
ip route 220.20.20.0 255.255.255.0 Serial1/2
R-ISP#sh ip route
...
C 192.168.30.0/24 is directly connected, FastEthernet0/0
C 192.168.40.0/24 is directly connected, FastEthernet0/1
200.5.5.0/30 is subnetted, 1 subnets
C 200.5.5.0 is directly connected, Serial1/2
S 220.20.20.0/24 is directly connected, Serial1/2
Ниже приведен пример конфигурирования статического транслятора NAT, который
транслирует внутренний адрес, например, 10.20.20.12 во внешний публичный адрес
220.20.20.12 при обращении к серверу сети ISP (192.168.40.11), а при ответе на запрос из
сети Интернет – переводит внешний публичный адрес 220.20.20.12 во внутренний адрес
10.20.20.12.
199
R-А(config)#ip nat inside source static 10.20.20.12 220.20.20.12
R-А(config)#int f0/0
R-А(config-if)#ip nat inside
R-А(config-if)#int s1/1
R-А(config-if)#ip nat outside
Первая команда приведенной последовательности формирует сам транслятор.
Транслятор устанавливается на внутренний (inside) и внешний (outside) интерфейсы
маршрутизатора R-А. В приведенном примере внутренним интерфейсом является F0/0 с
адресом 10.20.20.1, внешний интерфейс – s1/1 с адресом 200.5.5.1. Поэтому вторая и третья
строка устанавливают внутренний интерфейс, четвертая и пятая – устанавливают внешний
интерфейс.
Проверка, проводимая с помощью команд ping, подтверждает работоспособность
транслятора:
PC1>ping 192.168.40.11
Pinging 192.168.40.11 with 32 bytes of data:
Reply from 192.168.40.11: bytes=32 time=160ms TTL=126
Reply from 192.168.40.11: bytes=32 time=176ms TTL=126
Reply from 192.168.40.11: bytes=32 time=187ms TTL=126
Reply from 192.168.40.11: bytes=32 time=189ms TTL=126
Для того чтобы транслятор позволил реализовать запросы из внешней сети к серверу
10.20.20.11 внутренней сети, необходимо сконфигурировать еще одну строку транслятора:
R-А(config)#ip nat inside source static 10.20.20.11 220.20.20.11
Проверка дает следующий положительный результат:
PC2>ping 220.20.20.11
Pinging 220.20.20.11 with 32 bytes of data:
Reply from 220.20.20.11: bytes=32 time=131ms TTL=126
Reply from 220.20.20.11: bytes=32 time=133ms TTL=126
Reply from 220.20.20.11: bytes=32 time=127ms TTL=126
Reply from 220.20.20.11: bytes=32 time=114ms TTL=126
«Прозвонка» узла внутренней сети PC2>ping 10.20.20.11 показывает недостижимость
(unreachable) узла, т.е. внутренняя сеть скрыта от внешней, что повышает безопасность.
200
Конфигурирование динамического транслятора NAT
Процесс конфигурирования динамического транслятора NAT рассмотрен на примере
сети рис. 9.6.
Внешняя сеть
Внутренняя сеть
R-A
192.168.10.2
F0/0
.1
Сервер 1
220.5.5.0/24
DCE
S1/2
.1
.2
S1/1
F0/1 .1
192.168.10.10 192.168.10.11
РС1
РС2
РС3
192.168.20.21
R-B
F0/1
200.3.3.33
РС5
F0/0
.1
.1
200.4.4.44
Сервер 2
РС4 192.168.20.22
...
Рис. 9.6. Сеть с динамическим транслятором NAT
Статический NAT обеспечивает постоянные пары локального и глобального адресов.
В случае динамического NAT внутренние локальные адреса (обычно частные)
преобразуются в глобальные адреса (обычно публичные), которые берутся из набора (пула)
адресов, выдаваемых Интернет сервис-провайдером (ISP) администратору. При передаче
сообщений в обратную сторону, из внешней сети во внутреннюю, публичные глобальные
адреса назначения преобразуются NAT в частные локальные адреса. Таким образом, один
локальный адрес транслируется в один глобальный и наоборот. Поэтому пул должен
содержать столько адресов, сколько внутренних устройств одновременно могут
потребовать доступ к внешним. Если все доступные адреса пула использованы, то
внутреннее устройство должно дожидаться освобождения глобального адреса.
Для конфигурирования динамического NAT на маршрутизаторе необходимо
установить список доступа ACL, разрешающий трансляцию подлежащих переводу адресов и
пул глобальных адресов. В схеме (рис. 9.6) транслятор позволяет переводить внутренние
частные адреса диапазона, например 192.168.0.0/16 в публичные адреса диапазона
220.5.5.227 – 220.5.5.229. При этом в данном примере свободных адресов для трансляции
всего 3, т.е. только 3 устройства из внутренней сети могут одновременно передавать
сообщения во внешнюю сеть.
Создание списка доступа производится по команде:
R-А(config)#access-list 11 permit 192.168.0.0 0.0.255.255
Следующая команда определяет набор (пул) адресов с 220. 5.5.227 по 220.5.5.229,
который назван по имени NAT-P:
201
R-А(config)#ip nat pool NAT-P 220.5.5.227 220.5.5.229 netmask 255.255.255.224
Затем задается команда, связывающая список доступа с пулом адресов:
R-А(config)#ip nat inside source list 11 pool NAT-P
Создание транслятора NAT завершается определением внутреннего и внешнего
интерфейсов
R-А(config)#int f0/0
R-А(config-if)#ip nat inside
R-А(config)#int f0/1
R-А(config-if)#ip nat inside
R-А(config-if)#int s1/1
R-А(config-if)#ip nat outside
Работоспособность транслятора можно проверить путем посылки эхо запросов (ping)
с узлов РС1, РС2, РС3, РС4 внутренней сети на сервер 200.4.4.44 внешней сети. Проверка по
команде show ip nat translations показывает, что в процессе трансляции участвовали IP-адреса
только трех узлов РС1, РС2, РС3:
R-A#showipnattranslations
Pro Insideglobal Insidelocal Outsidelocal Outsideglobal
icmp 220.5.5.229:65 192.168.10.10:65 200.4.4.44:65 200.4.4.44:65
icmp 220.5.5.229:66 192.168.10.10:66 200.4.4.44:66 200.4.4.44:66
icmp 220.5.5.229:67 192.168.10.10:67 200.4.4.44:67 200.4.4.44:67
icmp 220.5.5.229:68 192.168.10.10:68 200.4.4.44:68 200.4.4.44:68
icmp 220.5.5.228:77 192.168.10.11:77 200.4.4.44:77 200.4.4.44:77
icmp 220.5.5.228:78 192.168.10.11:78 200.4.4.44:78 200.4.4.44:78
icmp 220.5.5.228:79 192.168.10.11:79 200.4.4.44:79 200.4.4.44:79
icmp 220.5.5.228:80 192.168.10.11:80 200.4.4.44:80 200.4.4.44:80
icmp 220.5.5.227:81 192.168.20.21:81 200.4.4.44:81 200.4.4.44:81
icmp 220.5.5.227:82 192.168.20.21:82 200.4.4.44:82 200.4.4.44:82
icmp 220.5.5.227:83 192.168.20.21:83 200.4.4.44:83 200.4.4.44:83
icmp 220.5.5.227:84 192.168.20.21:84 200.4.4.44:84 200.4.4.44:84
R-A#
Узел РС4 не смог передать эхо запросы протокола ICMP на сервер 200.4.4.44, поскольку все
адреса пула были использованы узлами РС1, РС2, РС3.
Каждый адрес в вышеприведенной распечатке дополнен порядковым номером
пересылаемого пакета, который записан через двоеточие, например 192.168.10.10:65.
202
Конфигурирование транслятора номера порта PAT
На рис. 9.7 приведен пример фрагмента сети, в которой транслятор РАТ (NAT
Overload) переводит множество частных IP-адресов диапазона 192.168.0.0/16 внутренней
сети в публичные адреса из диапазона 220.5.5.231 – 220.5.5.233.
Внешняя сеть
Внутренняя сеть
R-A
РС0 192.168.10.10
F0/0
.1
220.5.5.0/24
DCE
S1/2
.1
.2
S1/1
R-B
F0/1 .1
192.168.10.11 192.168.10.12
РС1
РС2
РС3
192.168.20.21
F0/1
200.3.3.33
РС5
F0/0
.1
.1
200.4.4.44
Сервер
РС4 192.168.20.22
Рис. 9.7. Сеть с транслятором PAT
Ниже приведена последовательность команд конфигурирования транслятора NAT
Overload (РАТ) на маршрутизаторе R-А для случая, когда провайдер выделил набор (pool) из
трех адресов. Последовательность команд конфигурирования будет следующей:
R-А(config)# access-list 12 permit 192.168.0.0 0.0.255.255
R-А(config)#ip nat pool PAT-P 220.5.5.231 220.5.5.233 netmask 255.255.255.224
R-A(config)#ip nat inside source list 12 pool PAT-P overload
R-А(config)#int f0/0
R-А(config-if)#ip nat inside
R-А(config)#int f0/1
R-А(config-if)#ip nat inside
R-А(config-if)#int s1/1
R-А(config-if)#ip nat outside
В этом примере транслятор РAT переводит частные адреса узлов сети 192.168.0.0/16 в
публичные адреса с добавлением номера порта. «Прозвонка» сервера 200.4.4.44 с узлов
внутренней сети и последующая проверка дали следующий результат:
R-A#show ip nat translations
Pro Insideglobal Insidelocal OutsidelocalOutsideglobal
icmp220.5.5.231:1 192.168.10.10:1 200.4.4.44:1 200.4.4.44:1
203
icmp220.5.5.231:2 192.168.10.10:2 200.4.4.44:2 200.4.4.44:2
icmp220.5.5.231:3 192.168.10.10:3 200.4.4.44:3 200.4.4.44:3
icmp220.5.5.231:4 192.168.10.10:4 200.4.4.44:4 200.4.4.44:4
icmp220.5.5.231:1024 192.168.10.11:1 200.4.4.44:1 200.4.4.44:1024
icmp220.5.5.231:1025 192.168.10.11:2 200.4.4.44:2 200.4.4.44:1025
icmp220.5.5.231:1026 192.168.10.11:3 200.4.4.44:3 200.4.4.44:1026
icmp220.5.5.231:1027 192.168.10.11:4 200.4.4.44:4 200.4.4.44:1027
icmp220.5.5.231:1028 192.168.10.12:1 200.4.4.44:1 200.4.4.44:1028
icmp220.5.5.231:1029 192.168.10.12:2 200.4.4.44:2 200.4.4.44:1029
icmp220.5.5.231:1032 192.168.20.21:1 200.4.4.44:1 200.4.4.44:1032
icmp220.5.5.231:1033 192.168.20.21:2 200.4.4.44:2 200.4.4.44:1033
icmp220.5.5.231:1034 192.168.20.21:3 200.4.4.44:3 200.4.4.44:1034
icmp220.5.5.231:1036 192.168.20.21:4 200.4.4.44:4 200.4.4.44:1036
icmp220.5.5.231:1035 192.168.20.22:1 200.4.4.44:1 200.4.4.44:1035
icmp220.5.5.231:1037 192.168.20.22:2 200.4.4.44:2 200.4.4.44:1037
icmp220.5.5.231:1038 192.168.20.22:3 200.4.4.44:3 200.4.4.44:1038
icmp220.5.5.231:1039 192.168.20.22:4 200.4.4.44:4 200.4.4.44:1039
R-A#
В данном примере не три, а все узлы внутренней сети, определенные списком доступа
access-list 12, посылают трафик во внешнюю сеть через маршрутизатор R-А. При этом
внутренние частные адреса (192.168.10.10, 192.168.10.11, 192.168.10.12, 192.168.20.21,
192.168.20.22) транслируются в один публичный адрес 220.5.5.231, который дополняется
номером порта (1024, 1025, …, 1039). IP-адреса и номера портов образуют глобальные адреса
источников (Inside global). При адресации узла назначения те же номера порта используются
при формировании внешних глобальных адресов (Outside global) передаваемых пакетов.
Причем, первые 4 эхо запроса использовали IP-адрес 220.5.5.231 без формирования сокета, а
для остальных запросов к IP-адресу добавлен номер порта.
При дефиците публичных IP-адресов можно не задавать пул, а использовать адрес
внешнего интерфейса маршрутизатора R-A:
R-А(config)# access-list 12 permit 192.168.0.0 0.0.255.255
R-A(config)#ip nat inside source list 12 int s1/1 overload
R-А(config)#int f0/0
R-А(config-if)#ip nat inside
R-А(config)#int f0/1
R-А(config-if)#ip nat inside
R-А(config-if)#int s1/1
R-А(config-if)#ip nat outside
204
Информацию о трансляторе можно посмотреть по команде show run. Статистику
работы транслятора отображает команда:
R-A#show ip nat statistics,
распечатка которой приводит общее число активных трансляций, параметры конфигурации
транслятора, количество адресов в пуле и др.
По умолчанию динамические записи транслятора сохраняются 24 часа. В некоторых
случаях динамические записи требуется очистить скорее. Для этого используется команда
очистки:
R-А#clear ip nat translation,
которая удаляет все динамически созданные строки транслятора.
Статические записи удаляются только при удалении самого транслятора.
205
Переадресация портов
Транслятор адресов NAT повышает информационную безопасность, поскольку
запрещает доступ из Интернета к узлам внутренней сети, в том числе к серверам. Однако в
ряде случаев такой доступ необходим. Технология переадресации порта (порт продвижения
– Port forwarding) позволяет клиентам из внешней сети получать доступ к узлам (серверам)
во внутренней сети через специального сконфигурированный транслятор адресов NAT. На
рис. 9.8 приведен пример фрагмента сети, позволяющей пояснить принцип действия
переадресации порта.
Внутренняя сеть
Внешняя сеть
200.5.5.0/24
Веб
сервер
.1
S1/0
R-A
S1/1
200.5.5.15
192.168.10.11
Рис. 9.8. Принцип действия переадресации порта
Для того, чтобы клиент из внешней сети, например 200.5.5.15, получил доступ к
находящемуся во внутренней локальной сети веб серверу 192.168.10.11 с номером порта 80,
на маршрутизаторе R-A необходимо сделать статическую переадресацию порта по команде:
R-A(config)#ip nat inside source static tcp 192.168.10.11 80 200.5.5.1 8008
Также как во всех предыдущих примерах, на маршрутизаторе R-A необходимо
сконфигурировать внутренний и внешний интерфейсы..
Получив пакет с адресом назначения 200.5.5.1:8008, маршрутизатор обращается к
таблице транслятора NAT, находит соответствующую строку и перенаправляет пакет по
адресу 192.168.10.11:80. То есть, клиент (200.5.5.15) получает доступ к серверу во
внутренней сети через глобальный адрес 200.5.5.1 интерфейса S1/1 маршрутизатора R-A с
номером порта 8008. При ответе на запрос транслятор NAT маршрутизатора выполняет
обратные преобразования.
Трансляция адресов в сетях IPv6
Протокол IPv6 обеспечивает адресацию 2128 узлов, поэтому проблема дефицита
адресов и необходимости транслятора NAT отсутствует. Однако на период перехода от сетей
IPv4 к сетям IPv6 наряду с технологией двойного стека и туннелированием используется
технология трансляции адресов NAT64 (рис. 9.9).
206
Сервер
Сеть IPv4
Сеть IPv6
R-A
NAT64
Рис. 9.9. Транслятор NAT64
Транслятор NAT64 конфигурируется статически или динамически на маршрутизаторе
R-A. При этом формируются соответствующие пары адресов IPv6 и IPv4, что обеспечивает
перевод адресов IPv6 в IPv4 и обратно. Поскольку адресов IPv6 во много раз больше IPv4, то
реализовать симметричный перевод невозможно. Статические трансляторы NAT64
рекомендуется использовать для известных серверов IPv4. Для клиентов IPv6 может быть
использована автоматическая трансляция адресов.
Уникальные локальные адреса IPv6
Уникальные локальные адреса IPv6 (Unique Local Addresses – ULA) диапазона FC00 –
FDFF выделены документом RFC 4193 для взаимодействия узлов в пределах некоторой
локальной сети. В этом отношении ULA похожи на частные адреса RFC 1918 сетей IPv4.
Однако, если частные адреса RFC 1918 и трансляторы NAT, PAT создавались для экономии
адресов IPv4 и, попутно, для повышения уровня безопасности, то ULA таких целей не
преследуют. Уникальные локальные адреса не зависят от провайдера и полностью
определяются администратором.
Краткие итоги раздела 9
1. Использование частных адресов несколько ослабляет проблему нехватки публичных
адресов IPv4.
2. Транслятор сетевых адресов NAT переводит один частный адрес в один публичный. Он
транслирует внутренний (inside) локальный (частный) IP-адрес клиента во внутренний
глобальный (публичный) адрес
3. Транслятор PAT (NAT Overload) комбинирует один общедоступный IP-адрес с набором
номеров порта узла источника, т.е. формирует совокупность комплексных адресов,
называемых сокетами.
4. NAT повышает безопасности сети, т.к. скрывает внутренние (частные) IP-адреса от
внешних сетей.
5. Статический NAT обеспечивает постоянные пары локального и глобального адресов. При
создании статического транслятора используется команда, строки которой создают пары
внутренних (inside) частных IP-адресов и внутренних глобальных (публичных) адресов
R-А(config)#ip nat inside source static 10.20.20.12 220.20.20.12
6. В случае динамического NAT внутренние локальные адреса преобразуются в глобальные
адреса (обычно публичные), которые берутся из набора (пула) адресов.
207
7. Для конфигурирования динамического NAT на маршрутизаторе необходимо установить
список доступа ACL, разрешающий трансляцию подлежащих переводу адресов и пул
глобальных адресов
R-А(config)#access-list 11 permit 192.168.0.0 0.0.255.255
8. На следующем этапе нужно определить набор (пул) адресов и задать ему имя R-А(config)#ip
nat pool NAT-P 220.5.5.227 220.5.5.229 netmask 255.255.255.224
9. Затем необходимо связать список доступа с пулом адресов
R-А(config)#ip nat
inside source list 11 pool NAT-P
10. Создание динамического транслятора NAT завершается определением внутреннего и
внешнего интерфейсов
R-А(config)#int тип номер
R-А(config-if)#ip nat inside
R-А(config-if)#int тип номер
R-А(config-if)#ip nat outside
11. При создании транслятора РАТ связь списка доступа с пулом адресов
R-A(config)#ip nat
inside source list 12 pool PAT-P overload
12. Технология переадресации порта позволяет клиентам из внешней сети получать доступ к
узлам (серверам) во внутренней сети через специального сконфигурированный
транслятор адресов NAT.
13. На период перехода от сетей IPv4 к сетям IPv6 используется технология трансляции
адресов NAT64.
Вопросы по разделу 9
Какие блоки частных адресов введены документом RFC 1918?
Какие типы трансляторов частных адресов в публичные используются на практике?
Почему трансляторы NAT повышают безопасность сети?
Где обычно устанавливаются трансляторы NAT?
Что отражают термины внутренний локальный адрес, внутренний глобальный адрес,
внешний глобальный адрес?
6. Как функционируют статический и динамический трансляторы?
7. Как конфигурируются статический и динамический трансляторы?
8. Сколько адресов должен содержать пул динамического транслятора?
9. В чем состоят особенности конфигурирования транслятора NAT Overload (РАТ) на
маршрутизаторе?
10. Какие команды используются для проверки функционирования трансляторов?
11. Для чего используется технология переадресации порта?
12. В каких случаях используется технология трансляции адресов NAT64?
1.
2.
3.
4.
5.
Упражнения
Для нижеприведенной схемы сети последовательно сконфигурируйте:
- статический транслятор NAT;
- динамический транслятор NAT;
- транслятор РАТ.
208
Внешняя сеть
Внутренняя сеть
R-A
РС0 192.168.10.10
F0/0
.1
220.5.5.0/24
DCE
S1/2
.1
.2
S1/1
F0/1 .1
192.168.10.11 192.168.10.12
РС1
РС2
РС3
192.168.20.21
R-B
F0/1
200.3.3.33
РС5
F0/0
.1
.1
200.4.4.44
Сервер
РС4 192.168.20.22
Проведите проверку функционирования трансляторов.
209
10. ТЕХНОЛОГИИ ГЛОБАЛЬНЫХ СЕТЕЙ
Рассмотрены: основные принципы и сетевые технологии, используемые при
построении глобальных сетей; протоколы соединений «точка-точка»; технология
многопротокольной коммутации на основе меток.
10.1. Общие сведения о глобальных сетях
Локальные сети (LAN) функционируют в пределах ограниченного географического
пространства (в пределах комнаты, этажа, здания или группы близко расположенных
зданий). Глобальные сети (WAN) обеспечивают связь между далеко расположенными
локальными сетями, удаленными пользователями. Сети WAN должны переносить различные
типы трафика (голос, видео и данные) с требуемым качеством обслуживания.
Технологии глобальных сетей отличаются по предоставляемым услугам,
быстродействию, стоимости услуг и оборудования. Услуги транспортной сети WAN
пользователям предоставляют провайдеры. Часть оборудования сети размещается у
провайдера, другая часть – у пользователя. Оборудование, размещаемое у пользователя,
называется оборудованием помещения клиента (customer premises equipment - CPE). Клиент
имеет либо собственное оборудование CPE, либо арендует его у поставщика услуг.
Оборудование CPE по кабелю соединяется с ближайшим центральным офисом (central office
- CO) поставщика услуг. Эту систему кабелей часто называют местной петлей (local loop),
или "последней милей" (last-mile).
Глобальные сети можно классифицировать на сети с коммутацией пакетов, с
коммутацией каналов и сети с выделенными линиями (рис.10.1).
Глобальные сети- WAN
Коммутация
пакетов
Коммутация
каналов
Выделенные
линии
Рис.10.1. Классификация глобальных сетей
Сети на основе выделенных линий связи экономически дороги, поскольку не всегда
загружены полностью. Разделяемая общая линия в сетях с коммутацией каналов и пакетов
позволяет снизить экономические затраты.
Сети с коммутацией каналов создавались для телефонных сетей общего
пользования. Для повышения производительности их магистралей были разработаны
технологии PDH, SDH. Сети были предназначены для равномерного потокового трафика.
Поэтому при появлении компьютерных сетей потребовались новые сетевые технологии.
210
Сети с коммутацией пакетов, предназначенные для эластичного (пульсирующего)
трафика, в последнее время получили широкое развитие, поскольку они обеспечивают более
рентабельную технологию глобальных сетей по сравнению с технологией сетей с
коммутацией каналов, предназначенных для равномерного (потокового) трафика.
При создании мультисервисных сетей, передающих все виды трафика (аудио сигналы,
видеоинформацию, данные) сети с коммутацией каналов играют роль транспорта для сетей с
коммутацией пакетов. По оптической транспортной сети (ОТС) или сети SDH передаются
данные в виде пакетов переменной длины.
Сети с коммутацией пакетов могут быть с предварительным соединением
(connection-oriented) или без предварительного соединения (connectionless), т.е.
дейтаграммные сети. В дейтаграммных сетях, например Интернет, каждый промежуточный
коммуникационный узел (коммутатор или маршрутизатор) должен обрабатывать
многоразрядный адрес, чтобы решить, какому следующему узлу передать полученный
пакет.
В сетях с предварительным соединением сначала определяется маршрут, по которому
будет передаваться совокупность пакетов. Каждое соединение маршрута помечается
короткими идентификаторами, которые хранятся в таблице коммутации. Обработка
идентификаторов требует значительно меньше времени, чем обработка многоразрядных
адресов и занимает меньше объем памяти. Проложенный маршрут через ряд физически
существующих каналов получил название виртуального канала (Virtual Circuit – VC).
Виртуальный канал может быть всегда доступным, т.е. постоянным (Permanent Virtual Circuit
– PVC) или создаваемым на время, т.е. коммутируемым (Switched Virtual Circuit – SVC).
Ряд технологий, используемых в глобальных сетях, представлен в табл. 10.1.
Таблица 10.1
Технологии глобальных сетей
Сетевой уровень
Канальный уровень
Физич-ий
уровень
Выделенные каналы
IP
Ethernet, FR,
HDLC, PPP
ATM, MPLS
SDH, OTN
Выделенные волны
λ – DWDM, CWDM
Выделенные волокна
Оптические волокна
Коммутация
пакетов
Коммутация
каналов
Интернет-протокол IP является самым распространенным сетевым протоколом,
функционирующем на третьем (сетевом) уровне модели OSI. Протокол IP применяется для
построения как локальных, так и глобальных сетей, обеспечивая связь между разнородными
далеко расположенными корпоративными и локальными сетями, а также удаленными
пользователями. IP-адресация позволяет обращаться к любым адресатам внутри всемирной
сети Интернет, для чего необходимо задать IP-адрес источника сообщения и IP-адрес
назначения. Интернет представляет сеть с коммутацией пакетов. В многоуровневой модели
211
глобальных сетей (табл. 10.1) протокол IP расположен на верхнем уровне. Остальные уровни
обеспечивают услуги для IP-протокола.
Канальный уровень модели OSI представлен в модели технологий глобальных сетей
(табл. 10.1) технологиями коммутации пакетов (Ethernet, Frame Relay, ATM, MPLS), а также
технологиями соединений точка-точка (HDLC, PPP). Технологии Frame Relay, ATM,
использующие виртуальные каналы, вытесняются новыми технологиями MPLS и Carrier
Ethernet.
К физическому уровню модели OSI относятся технологии коммутации каналов,
которые выполняют роль транспорта для технологий коммутации пакетов. Это технологии
PDH, SDH, технологии спектрального уплотнения по длине волны λ – DWDM, CWDM, а
также технология дальнейшего их развития – оптические транспортные сети - ОТС (OTN).
Другие технологии коммутации каналов (ISDN, технологии телефонных сетей общего
пользования) в глобальных сетях с коммутацией пакетов используются все реже и поэтому в
модели табл. 10.1 не отражены.
Выделенные линии могут быть представлены выделенными волокнами, выделенными
волнами, выделенными каналами. Оптические волокна выделяются крупными операторами с
разветвленной кабельной системой другим операторам и провайдерам. Выделенные волны
(λ) предоставляются провайдерам и администраторам корпоративных сетей. Отдельные
каналы PDH, SDH выделяются для корпоративных и локальных сетей.
Интернет образован совокупностью сетей операторов и провайдеров фиксированнеой
и мобильной связи, соединенных с локальными сетями, сетями доступа и отдельными
пользователями (рис. 10.2).
212
Оператор
фиксированной
связи
Провайдер
Оператор
мобильной
связи
Провайдер
Сеть доступа
Локальная сеть
Локальная сеть
Пользователи
Пользователи
Рис. 10.2. Схематичное изображение сети Интернет
Устройства клиента, которые подготавливают данные и передают их по локальной
петле в сеть провайдера, называют терминальным оборудованием (data terminal equipment –
DTE), например, маршрутизатор. Устройства, которые соединяют центральный офис
провайдера (СО) с локальной петлей, называют канальным оборудованием (data
communications equipment – DCE). Интерфейс DTE/DCE использует различные протоколы
физического уровня, которые определяют скорость передачи, используемый код и
электрические параметры, например, протоколы V.35, EIA/TIA-232. Оборудование DCE
обеспечивает провайдер, который предоставляет услуги для DTE, доступные через модем
для аналоговых линий связи или через устройство согласования с каналом (channel service
unit/data service unit - CSU/DSU) для цифровых линий, которое может быть встроено в
интерфейс маршрутизатора.
Таким образом, присоединение маршрутизаторов, которые относятся к
терминальному оборудованию DTE, через выделенный канал, например, PDH или SDH, к
сети провайдера реализуется через аппаратуру DSU/CSU устройства DCE (рис.10.3).
213
Сеть PDH/SDH
Устройство типа DTE Устройство типа DСE
(DSU/CSU)
(маршрутизатор)
Рис. 10.3. Соединение маршрутизатора с глобальной сетью
В тех случаях, когда устройство DCE встроено в порт маршрутизатора, его необходимо
сконфигурировать.
При непосредственном соединении маршрутизаторов друг с другом, как например, на
рис. 10.4, один из интерфейсов должен быть типа DCE, а второй – остается DTE.
A
DCE
DTE
B
DCE
DTE C
Рис. 10.4. Непосредственное соединение маршрутизаторов
Глобальные сети строятся либо с использованием маршрутизаторов (рис. 10.5), либо
коммутаторов, например в сетях Frame Relay, либо коммутаторов-маршрутизаторов в сетях
MPLS (рис. 10.6).
Локальная
сеть 1
Локальная
сеть 2
Глобальная
сеть IP
D
C
A
Е
B
Локальная
сеть 3
Рис. 10.5. Глобальная сеть IP на базе маршрутизаторов
214
Маршрутизаторы (рис. 10.5) содержат интерфейсы как локальных (интерфейсы
Ethernet), так и глобальных сетей (интерфейсы serial). В простейшем случае глобальная IPсеть образуется путем соединения последовательных интерфейсов маршрутизаторов
выделенными линиями, при этом реализуются соединения «точка-точка». Эти линии
представляют собой либо физически выделяемые волокна кабелей связи, либо отдельные
волны λ, либо цифровые каналы сетей PDH/SDH.
Коммутаторы-маршрутизаторы или коммутаторы третьего уровня (рис.10.6) обладают
свойствами, как коммутаторов, так и маршрутизаторов.
Глобальная сеть MPLS
Корпоративная сеть
Локальная сеть
Рис. 10.6. Глобальная сеть MPLS на базе коммутаторов-маршрутизаторов
Коммутаторы-маршрутизаторы имеют достаточно много портов и характеризуются высокой
производительностью, как всякие коммутаторы, а также характеризуются широкими
функциональными возможностями, прежде всего функцией маршрутизации, как всякие
маршрутизаторы.
При передаче информации по глобальной сети пакеты проходят через целый ряд
промежуточных устройств (коммутаторов, маршрутизаторов). В каждом из них
производится обработка полученного пакета и продвижение его на выходной интерфейс.
Промежуточное устройство при обработке пакета задействует программно-аппаратные
средства не всех семи уровней модели OSI, а только нижних. Если IP-сеть непосредственно
использует услуги выделенных каналов, то в промежуточных устройствах функционируют
средства трех нижних уровней модели OSI (рис. 10.7).
215
Конечный
узел X
Конечный
узел Y
Прикладной
Прикладной
Представит.
Сеансовый
Промежуточный
узел A
Промежуточный
узел B
Транспортный
Представит.
Сеансовый
Транспортный
Сетевой
Сетевой
Сетевой
Сетевой
Канальный
Канальный
Канальный
Канальный
Физический
Физический
Физический
Физический
Рис. 10.7. Три нижних уровня модели OSI в глобальных сетях
В сетевых технологиях с использованием виртуальных каналов (Frame Relay, АТМ,
MPLS) в процессе формирования канала используются средства трех нижних уровней
модели OSI. Однако когда канал уже сформирован, то используются средства только двух
нижних уровней (рис. 10.8), что ускоряет процесс продвижения пакетов, т.е. уменьшается
задержка пакетов в промежуточных устройствах.
Конечный
узелX
Конечный
узелY
Прикладной
Прикладной
Представит.
Сеансовый
Промежуточный
узелA
Промежуточный
узелB
Представит.
Сеансовый
Транспортный
Транспортный
Сетевой
Сетевой
Канальный
Канальный
Канальный
Канальный
Физический
Физический
Физический
Физический
Рис. 10.8. Два нижних уровня модели OSI в глобальных сетях
10.2. Протоколы соединений «точка-точка»
Передача сообщений между маршрутизаторами в IP-сети на основе выделенных
каналов происходит при инкапсуляции пакета в кадр канального уровня. Протоколы,
работающие на этом уровне (табл. 10.1), должны обеспечивать управление передачей,
согласование параметров обмена, необходимые проверки для защиты сети на данном уровне.
Кроме того, Ethernet и совместимые с ним протоколы обеспечивают физическую адресацию
216
(МАС-адреса). В соединениях «точка-точка», характерных для структуры глобальной IP-сети
(рис. 10.5), нет необходимости задания физических адресов, поскольку интерфейсы
непосредственно соединены друг с другом. Поэтому широко используются два протокола:
высокоуровневого управления соединением (High-level Data Link Control – HDLC) и
протокол точка-точка (Point-to-Point Protocol – PPP), в которых адреса задаются формально.
Протокол HDLC
Протокол HDLC установлен по умолчанию на всех устройствах Cisco, использующих
выделенные линии и коммутируемые каналы глобальных сетей. Формат кадра протокола
HDLC приведен на рис. 10.9. Поле флага длиной в 1 байт – 01111110 используется в качестве
разделителя кадров. При передаче данных после каждых пяти единиц вставляется 0. На
приемной стороне протокол удаляет вставленные нулевые биты. Поэтому, если на приемной
стороне будет получено 6 единиц подряд, то это будет означать прием флага (нового кадра).
Флаг
01111110
Адрес
Контроль
Данные
Конт. сумма
11111111
Флаг
01111110
Заголовок
Рис. 10.9. Формат кадра протокола HDLC
Поле адреса длиной 1 – 2 байта может содержать уникальный, групповой или
широковещательный адрес. В соединениях «точка-точка» обычно используются
широковещательные адреса 11111111. Поле контроля показывает, какая информация
передается: управляющие кадры, информационные данные или универсальные
(ненумерованные) кадры. Адрес и поле контроля образуют заголовок кадра. Длина поля
контрольной суммы (FCS) составляет 2 – 4 байта.
Версия протокола HDLC фирмы Cisco в заголовке содержит дополнительно
идентификатор протокола сетевого уровня, пакет которого инкапсулирован в поле данных
кадра (рис. 10.10). Это обеспечивает поддержку множества протоколов сетевого уровня (IP,
IPX …). Например, при использовании протокола IP в поле контроля содержится
шестнадцатеричное число 0×0800. В поле данных кадра канального Уровня 2
инкапсулируется пакет сетевого уровня.
Флаг
01111110
Адрес
Контр.
Протокол
Данные
Конт. сум.
0×0800
11111111
Флаг
01111110
Рис. 10.10. Формат кадра протокола HDLC Cisco
217
Протокол HDLC представляет собой стек протоколов канального уровня для
глобальных сетей:
- LAP-B – для сетей Х.25;
- LAP-D – для сетей ISDN;
- LAP-M – для сетей, использующих модемы;
- LAP-F – для сетей Frame Relay.
По умолчанию на синхронных последовательных интерфейсах устройств Cisco
сконфигурирован протокол HDLC, который обеспечивает надежную доставку данных по
ненадежным линиям. Если на конфигурируемом устройстве протокол HDLC был удален, то
его можно восстановить на соответствующем интерфейсе по команде:
Router(config-if)#encapsulation hdlc
Проверить установленный протокол, например, на интерфейсе serial 0/1, можно по команде:
Router#show interfaces serial 0/1.
Протокол РРР
Когда в сети на основе выделенных каналов функционирует оборудование различных
фирм производителей, то передача сообщений между маршрутизаторами по выделенным
линиям глобальных сетей производится с использованием протокола «точка-точка» (Pointto-Point Protocol – PPP). В отличие от HDLC протокол РРР поддерживает аутентификацию
при установлении соединения.
Функции протокола РРР охватывают физический и канальный уровни, а также
позволяют устанавливать взаимоотношения с сетевым уровнем. На физическом уровне могут
использоваться синхронные и асинхронные соединения через RS-232-C, V.35 или другие
интерфейсы DTE/DCE, которые определяют скорость передачи данных.
В рамках протокола РРР функционируют протоколы управления соединением (Link
Control Protocol – LCP) и управления сетью (Network Control Protocols – NCP). На канальном
уровне функционирует протокол LCP, который настраивает параметры соединения «точкаточка» канального уровня, тестирует и завершает соединение. Параметры соединения
устанавливаются в процессе переговоров между узлами. Это могут быть значения MTU,
режим аутентификации, сжатия данных, контроля ошибок.
Режим аутентификации может использовать протокол аутентификации по паролю
(Password Authentication Protocol – PAP) или более строгий протокол аутентификации по
квитированию вызова (Challenge Handshake Authentication Protocol – CHAP).
Набор протоколов управления сетью (Network Control Protocols – NCP) позволяет
взаимодействовать с различными протоколами сетевого уровня (IP Control Protocol, Appletalk
Control Protocol, Novell IPX Control Protocol).
218
В протоколе PPP сохранен формат кадра протокола HDLC, но в поле данных
размещены дополнительные поля заголовка. В отличие от протокола HDLC протокол РРР не
обеспечивает процедуры надежной передачи данных и управления потоком. Однако
протокол РРР дополнен процедурой принятия параметров соединения (качество линий,
размер кадров, тип аутентификации, протокол сетевого уровня). Формат кадра протокола
РРР приведен на рис. 10.11.
Флаг
01111110
Адрес
Контр.
Протокол
Данные
Конт. сум.
11111111
Рис. 10.11. Формат кадра протокола РРР
Поле флага аналогично протоколу HDLC – 01111110 используется в качестве
разделителя кадров. Достаточно одного флага в начале кадра. Поле адреса всегда содержит
широковещательный адрес 11111111. Поле контроля длиной в один байт (00000011)
обеспечивает передачу ненумерованных кадров. Поле протокола идентифицирует протокол
сетевого уровня, пакет которого инкапсулирован в поле данных кадра. Максимальный
размер поля данных по умолчанию составляет 1500 байт.
Протокол управления соединением (LCP) устанавливает сессию между
взаимодействующими узлами, поддерживает ее и завершает. На этапе установления
соединения инициирующий сессию узел посылает запрос (LCP Configure-Request) с
предлагаемыми параметрами конфигурации. Второй узел в ответ либо подтверждает
конфигурацию(LCP Configure-Ack), либо отвергает ее. После чего задается режим
аутентификации.
Специфическая информация служебных пакетов LCP заключена в поле данных кадра
протокола РРР (рис. 10.11).
В поле данных кадра протокола РРР помещаются:
- поле кода (Code) длиной в один байт определяет тип пакета LCP, например, запрос
конфигурации, подтверждение или отклонение конфигурации.
- поле идентификатора (Identifier) длиной в один байт определяет совпадение пакетов
запроса и ответа;
- поле длины (Length) занимает 2 байта и задает общий размер пакета LCP;
- поле данных (Data) переменной длины определяется кодом.
В поле данных могут размещаться конфигурационные опции, такие как тип
аутентификации (по паролю PAP или по квитированию вызова CHAP), тип сжатия данных и
др.
Затем в работу включается протокол NCP. В настоящем конспекте лекций из сетевых
протоколов рассматривается только протокол IP. Поэтому в рамках протокола NCP речь идет
только о протоколе IP Control Protocol (IPCP). На этапе установления соединения
инициирующий сессию узел посылает запрос об алгоритме сжатия информации и об IP219
адресе. Последовательный порт может иметь отдельный IP-адрес или набор IP-адресов для
подканалов синхронных транспортных модулей STM (для виртуальных контейнеров).
На этапе передачи данных протокол LCP поддерживает соединение и проводит его
отладку (тестирует качество соединения), посылая и принимая служебные кадры (EchoRequest, Echo-Reply). После передачи данных сетевого уровня LCP протокол переходит к
этапу завершения соединения.
На этапе завершения сессии узлы обмениваются пакетами запроса на завершение
(LCP Terminate-Request) и подтверждения (LCP Terminate-Ack).
Конфигурирование параметров протокола РРР
При конфигурировании протокола РРР необходимо предварительно на
маршрутизаторе сконфигурировать маршрутизирующий протокол (RIP, OSPF, EIGRP).
Затем на последовательном интерфейсе маршрутизатора установить протокол РРР по
команде:
Router(config-if)#encapsulation ppp
Конфигурирование типа сжатия производится по команде:
Router(config-if)#compress [predictor | stac]
Проверить установленный протокол, например, на интерфейсе serial 0/1, можно по команде:
Router#show interfaces serial 0/1.
Кроме того, по этой команде можно посмотреть состояние LCP и NCP.
10.3. Многопротокольная коммутация на основе меток
Технология многопротокольной коммутации по меткам (Multi Protocol Label Switching
– MPLS) объединила технологию сетей виртуальных каналов с технологией сетей TCP/IP.
Многопротокольная технология MPLS поддерживает не только стек TCP/IP, но и другие
стеки протоколов, например IPX/SPX. Эта технология использует принципы сетей с
виртуальными каналами (Frame Relay, ATM) для быстрой коммутации пакетов в
многопротокольных сетях, что обеспечивает построение магистральных сетей, имеющих
высокую скорость обработки трафика и возможность организации дополнительных
сервисов.
В качестве сетевых элементов MPLS применяются коммутаторы-маршрутизаторы,
которые коммутируют пакеты по меткам (Label Switching Router – LSR). При формировании
220
меток используются технологии Сетевого уровня, а при передаче пакетов – технологии
Канального уровня. Поэтому коммутатор-маршрутизатор LSR наделен качествами как
работающего на сетевом уровне маршрутизатора с широкими функциональными
возможностями, так и коммутатора канального уровня с высоким быстродействием. Метка
передается в составе пакета, ее значение уникально для каждого участка пути между узлами
сети MPLS. Маршрутизатор LSR определяет и поддерживает топологию сети с помощью
протоколов маршрутизации (OSPF, BGP и др.), а продвижение пакетов по сети одного
провайдера производится с использованием виртуальных каналов.
Обмен метками между LSR позволяет сформировать внутри сети MPLS пути с
коммутацией по меткам (Label Switching Path – LSP). Для этого коммутаторымаршрутизаторы, которые далее обозначаются как обычные маршрутизаторы, (рис. 10.12)
строят таблицы продвижения по меткам (табл.10.2). Построением таблиц занимается
протокол распределения меток (Label Distribution Protocol – LDP) в процессе формирования
виртуальных каналов, которые являются путями коммутации по меткам LSP. Прокладка
виртуальных каналов производится на основе таблиц маршрутизации с использованием
многоразрядных IP-адресов, а передача данных ведется на основе таблиц продвижения с
использованием коротких номеров меток, что повышает производительность
маршрутизатора LSR.
291 1054
s1
101 s0
s3 105
,
,
,
253
,
265
s2
157 105
Рис. 10.12. Коммутатор-маршрутизатор LSR
Таблица 10.2
Таблица продвижения по меткам коммутатора-маршрутизатора LSR
Входной интерфейс
Метка
s0
s0
s3
101
253
265
Выходной интерфейс
(Next Hop)
s1
s2
s2
Действия
291
157
105
Получая пакет, маршрутизатор LSR по номеру интерфейса, на который пришел пакет,
и по значению привязанной к пакету метки определяет выходной интерфейс. Старое
значение метки заменяется новым, которое содержится в поле «выходная метка» таблицы, и
пакет отправляется к следующему устройству.
Таблица 10.2 содержит описание входного интерфейса маршрутизатора LSR с
соответствующей меткой виртуального соединения и описание выходного интерфейса с
221
новой меткой виртуального пути. В таблице новая метка обозначена полем «Действия».
Адрес виртуального пути может быть иерархическим, поэтому используется стек меток.
Поле «Действия» отображает не только номер метки, но и команды по введению или
удалению метки более высокого уровня, т.е. по перемещению стека меток. Также как в
таблицах маршрутизации в поле «Выходной интерфейс» может задаваться либо условное
обозначение выходного интерфейса маршрутизатора LSR, для которого построена таблица,
либо входной интерфейс следующего коммутирующего по меткам маршрутизатора (Next
Hop) на пути пакета.
На границе сети MPLS функционируют пограничные коммутирующие по меткам
маршрутизаторы (Label switch Edge Routers – LER), которые принимают от внешних IPсетей стандартные пакеты с IP-адресами, добавляют к ним соответствующие метки и
направляют пакеты по сформированному виртуальному пути через промежуточные
маршрутизаторы LSR (рис. 10.13).
0
IP-сеть 2
LER3
LER4
MPLS-сеть
LER2
LSR2
LSR1
150
205
LSP2
LSR4
350
LSP1
102
IP-сеть 3
LSR3
1409
IP-сеть 4
LER5
108
LER1
LER6
IP-сеть 1
Рис. 10.13. IP-сеть на основе MPLS
Внутри сети MPLS продвижение пакетов осуществляется по меткам, что ускоряет
процесс передачи. Виртуальные пути коммутации по меткам, например, пути LSP1, LSP2,
222
являются однонаправленными, поэтому один и тот же маршрут в разных направлениях
(LSP1, LSP2) помечен двумя разными наборами меток. При продвижении пакета с входного
интерфейса маршрутизатора на выходной номер метки изменяется. При выходе пакета из
сети MPLS метка должна быть удалена, чтобы передавать пакет дальше в стандартной форме
по заданному IP-адресу. Для ускорения продвижения пакетов метку удаляет не пограничный
маршрутизатор LER, а последний маршрутизатор LSR сети MPLS при передаче пакета
пограничному маршрутизатору. Например, на виртуальном пути LSP1 удаление метки
производит LSR3, удаление метки на виртуальном пути LSP2 производит маршрутизатор
LSR4. Номер метки имеет не глобальное, а локальное значение на двухточечном соединении.
Виртуальные пути прокладываются заранее. При появлении в таблице
маршрутизации новой записи маршрутизатор запускает процесс прокладки нового
виртуального пути к вновь появившейся сети. Например, если в таблице маршрутизатора
LSR4 появилась новая IP-сеть 5 с адресом 131.1.22.0, то LSR4 посылает запрос протокола
распределения меток LDP маршрутизатору LSR1 (рис. 10.14, табл. 10.3). В запросе
указывается IP-адрес сети, к которой нужно проложить новый виртуальный путь LSP1.
IP-сеть 2
200.101.1.0
LER3
LER4
MPLS-сеть
LER2
LSR2
LSR1
LSP1
IP-сеть 5
131.1.22.0
IP-сеть 3
198.14.47.0
LSR3
LSR4
IP-сеть 4
175.12.12.0
LER5
LER1
IP-сеть 1
201.10.67.0
LER6
Рис. 10.14. Формирование виртуального пути с помощью протокола LDP
Таблица 10.3
Пример таблицы маршрутизации LSR4
223
Сеть
IP-сеть 5
IP-сеть 1
IP-сеть 2
IP-сеть 3
IP-сеть 4
Адрес
131.1.22.0
201.10.67.0
200.101.1.0
198.14.47.0
175.12.12.0
Шлюз (Next Hop)
LSR1
LER1
LSR2
LSR2
LSR2
Если маршрутизатор LSR1 определяет, что в его таблице продвижения также нет
виртуального пути к IP-сети 5, то он передает запрос следующему маршрутизатору в
соответствии с его таблицей маршрутизации, т.е. маршрутизатору LER2. Поскольку LER2
является пограничным, то он посылает ответ маршрутизатору LSR1, который в свою очередь
передает ответ маршрутизатору LSR4. При этом протокол распределения меток LDP
назначает номера меток виртуальным соединениям. В дальнейшем передача пакетов данных
в IP-сеть 5 будет производиться не на основе таблицы маршрутизации, а на основе таблицы
продвижения. Таким образом, запросы, ответы, таблицы продвижения и номера меток
формируются с помощью протокола распределения меток LDP.
Если пути к некоторым сетям, например, к IP-сети 3 с адресом 198.14.47.0 и к IP-сети
4 с адресом 175.12.12.0, в пределах MPLS-сети совпадают, то маршрутизаторы создают
объединенные (агрегированные) пути к таким сетям. Агрегированные маршруты образуют
класс эквивалентности перенаправления/форвардинга (FEC). Все пакеты определенного FEC,
входящие в сеть через определенный узел, будут следовать по единому маршруту. Таким
образом, принадлежность пакета определенному FEC определяется, когда пакет попадает в
пограничный маршрутизатор. Пакет помечается меткой раньше, чем продвигается на
выходной интерфейс. При вхождении пакета в MPLS-сеть через разные маршрутизаторы, он
помечается разными метками.
В технологии MPLS используются кадры разных технологий канального уровня: PPP,
Ethernet, Frame Relay, ATM. В эти кадры помещается IP-пакет с заголовком MPLS. Заголовок
MPLS содержит 32 двоичных разряда, из которых 20 разрядов занимает поле номера метки, 8
разрядов – поле время жизни TTL, дублирующее соответствующее поле заголовка IP-пакета,
3 разряда – поле класса сервиса CoS для передаваемого типа трафика, 1 разряд – признак S
дна стека меток (рис. 10.15). Заголовок MPLS помещается между заголовком кадра PPP,
Ethernet, Frame Relay и заголовком IP-пакета.
Заголовок MPLS
Заголовок кадра Номер метки CoS S TTL Заголовок пакета
Поле данных
Рис. 10.15. Формат заголовка MPLS
224
Поскольку внутри сети MPLS нет необходимости анализировать заголовки сетевого
уровня, то маршрутизаторы можно заменить коммутаторами, которые идентифицируют
метку и производят ее замену при продвижении пакетов, что повышает быстродействие.
Продвижение кадра внутри маршрутизатора сети MPLS производится на основе
меток, а не на основе технологий канального уровня, например, Ethernet. Поэтому при
продвижении кадра отпадает необходимость изменения МАС-адресов источника и
назначения в кадре, следовательно, отпадает необходимость обращения к ARP-таблице и
необходимость широковещательных ARP-запросов. Все это существенно ускоряет процесс
передачи пакета по сети.
Один и тот же путь или отрезок пути можно пометить разными метами для разных
видов трафика. Это дает возможность строить развитую систему приоритетов и создавать
эффективную систему управления качеством QoS.
225
Краткие итоги раздела 10
1. Глобальные сети (WAN) обеспечивают связь между далеко расположенными локальными
сетями, удаленными пользователями.
2. Услуги транспортной сети WAN пользователям предоставляют провайдеры.
3."Последняя миля" (last-mile) или местная петля (local loop) – это система кабелей, которая
соединяет оборудование помещения клиента (CPE) с центральным офисом (CO) поставщика
услуг.
4. В сетях с предварительным соединением сначала определяется маршрут, по которому
будет передаваться совокупность пакетов. Каждое соединение маршрута помечается
короткими идентификаторами, которые хранятся в таблице коммутации.
5. Обработка идентификаторов требует значительно меньше времени, чем обработка
многоразрядных адресов и занимает меньше объем памяти.
6. Технологии коммутации каналов выполняют роль транспорта для технологий
коммутации пакетов.
7. Протокол высокоуровневого управления соединением (HDLC) установлен по умолчанию
на всех устройствах Cisco. Поле адреса длиной 1 – 2 байта может содержать уникальный,
групповой или широковещательный адрес.
8. Поле адреса протокола точка-точка (PPP) содержит широковещательный адрес 11111111.
Протокол РРР поддерживает аутентификацию при установлении соединения.
9. Режим аутентификации протокола РРР может использовать аутентификацию по паролю
(PAP) или более строгую аутентификацию по квитированию вызова (CHAP).
10. Технология многопротокольной коммутации по меткам (MPLS) объединила технологию
сетей виртуальных каналов с технологией сетей TCP/IP.
11. Коммутаторы-маршрутизаторы (LSR) коммутируют пакеты по меткам. При
формировании меток используются технологии Сетевого уровня, а при передаче пакетов –
технологии Канального уровня.
12. На границе сети MPLS функционируют пограничные коммутирующие по меткам
маршрутизаторы (Label switch Edge Routers – LER), которые принимают от внешних IP-сетей
стандартные пакеты с IP-адресами, добавляют к ним соответствующие метки и направляют
пакеты по сформированному виртуальному пути через промежуточные маршрутизаторы
LSR.
226
Вопросы по разделу 10
Какие функции выполняют глобальные сети?
Кто предоставляет пользователям (клиентам) услуги транспортирования сообщений?
Что такое «последняя миля» или местная (локальная) петля?
Чем характеризуются сети с предварительным соединением (сети на основе виртуальных
каналов)?
5. Как адресуются сообщения при использовании протокола HDLC?
6. Как адресуются сообщения при использовании протокола РРР?
7. Каковы дополнительные возможности протокола РРР по сравнению с протоколом
HDLC?
8. В чем особенности технологии многопротокольной коммутации по меткам (MPLS)?
9. Какие маршрутизаторы используются на гаранице и внутри сети MPLS?
10. Как создаются таблицы продвижения по меткам коммутатора-маршрутизатора LSR?
11. Какие параметры содержит таблица маршрутизации и таблица продвижения по меткам?
1.
2.
3.
4.
227
Заключение
Среди проблем в области сетевых технологий важное место занимают подготовка и
переподготовка кадров, а также обеспечение информационной безопасности. Это
обусловлено повсеместным переходом аналоговых и цифровых АТС на использование сетей
с пакетной коммутацией, а также ростом угроз несанкционированного доступа. В связи с
переходом на сети с пакетной коммутацией, в настоящее время происходит интенсивная
переподготовка кадров, работающих в области телекоммуникаций. Требования знания основ
создания защищенных сетей работодатели предъявляют и к поступающим на работу
студентам.
Существующая в настоящее время система защиты информации при передаче по сети
не в полной мере удовлетворяет требованиям по защите от несанкционированного доступа.
Поэтому происходит постоянный поиск путей и способов создания аппаратно-программных
средств и комплексов в рамках системы обеспечения информационной безопасности. Знание
и учет особенностей построения и функционирования сети, конкретных стандартов и
протоколов является основой успешного решения этой задачи.
Автор надеется, что материал настоящего учебного пособия представлен в доступной
форме, что облегчит читателям задачу овладения технологиями современных сетей.
Слушатели курсов и студенты, освоившие технологии виртуальных локальных сетейи
обеспечение безопасности коммутаторов, а также конфигурирование сетевых фильтров
(списков доступа), смогут эффективно создавать защищенные сети, как локальные, так и
распределенные.
228
Список литературы
1. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы:
Учебник для вузов. СПб: Питер, 2011 – 944 с.
2. Гольдштейн Б.С., Соколов Н.А., Яновский Г.Г. Сети связи: Учебник для ВУЗов.
СПб.:БХВ-Петербург, 2010 – 400 с.
3. Гордиенко В.Н., Крухмалев В.В., Моченов А.Д., Шарафутдинов Р.М. Оптические
телекоммуникационные системы. Учебник для вузов /. Под ред. В.Н. Гордиенко. – М.:
Горячая линия – Телеком, 2011 – 368 с.
4. Программа сетевой академии Cisco CCNA 1 и 2. Вспомогательное руководство. М.:
Издательский дом «Вильямс», 2005. – 1168 с.
5. Программа сетевой академии Cisco CCNA 3 и 4. Вспомогательное руководство. М.:
Издательский дом «Вильямс», 2006. – 1000 с.
6. Системы и сети пакетной коммутации. Самара: ФГОБУ ВПО ПГУТИ, ООО
«Издательство Ас Гард», 2012, 364 с.
7. Васин Н.Н. Основы сетевых технологий на базе коммутаторов и маршрутизаторов. –
М.: Интернет-Университет Информационных технологий: БИНОМ, 2011. – 270 с.
8. Васин Н.Н. Технологии пакетной коммутации. Часть 1. Основы построения сетей
пакетной коммутации. Учебное пособие. ПГУТИ, ИУНЛ, 2014, 239 с.
229
Список терминов и сокращений
A
ACL – Access Control List – список контроля доступа, список доступа.
Acknowledgment – подтверждения принятых данных, подтверждение доставки.
ATM – Asynchronous Transfer Mode – асинхронный способ передачи данных.
ARP – Address Resolution Protocol – протокол разрешения адресов.
B
Bandwidth – полоса пропускания.
BDR – Backup Designated Router – запасной назначенный маршрутизатор.
BGP – Border Gateway Protocol – протокол граничного шлюза.
Best-effort delivery – доставка по возможности, доставка с наибольшими возможными
усилиями.
Bridge – мост.
Broadcast – широковещательная передача, широковещание.
Bus – шина.
Bootstrap – загрузчик, программа начальной загрузки.
C
CDMA – Code Division Multiple Access – множественный доступ с кодовым разделением.
Checksum – контрольная сумма
CIDR – classless interdomain routing – бесклассовая междоменная маршрутизация.
Classless routing – бесклассовая маршрутизация
CLI – command-line interface – интерфейс командной строки.
Connectionless protocol – протокол, не ориентированный на соединение, протокол
дейтаграммного типа (без предварительного соединения отправителя и получателя)
Connection-oriented protocol – протокол ориентированный на предварительное соединение
отправителя и получателя
CSMA/CD – Carrier Sence Multiply Access with Collision Detection – метод множественного
доступа к среде с контролем несущей и обнаружением коллизий.
CSU/DSU – Channel Service Unit /Data Service Unit – каналообразующее оборудование,
согласующее с каналом устройство.
Cut-through switching – сквозная коммутация или коммутация “на лету”.
D
Data – данные
DA – Destination Address – адрес получателя, адрес назначения.
DCE – Data Circuit-terminating Equipment или Data Communications Equipment – канальное
телекоммуникационное оборудование.
Delay – задержка.
DHCP – Dynamic Host Configuration Protocol – протокол динамического конфигурирования
узлов.
Distance-vector Protocol – протокол вектора расстояния.
DNS – Domain Name System – система доменных имен.
DR – Designated Router – назначенный маршрутизатор.
DSAP – Destination Service Access Point – адрес точки входа службы назначения.
DSL - Digital Subscriber Line (цифровая абонентская линия)
DSSS – Direct Sequence Spread Spectrum – прямое последовательное расширение спектра.
DTE – Data Terminal Equipment – оконечное или терминальное оборудование.
DWDM – Dense Wave-length Division Multiplexing – плотное спектральное уплотнение по
длине волны.
230
E
EGP – Exterior Gateway Protocol – протокол внешней маршрутизации.
EIGRP – Enhanced Interior Gateway Routing Protocol – расширенный протокол внутренней
маршрутизации.
Ethernet – сетевая технология канального уровня.
F
Fiber optic – оптическое волокно.
Flash –флэш-память (энергонезависимая).
Forwarding – перенаправление, продвижение (кадра, пакета).
FTP – File Transfer Protocol – протокол передачи файлов.
FR – Frame Relay – сети трансляции кадров.
Frame – кадр.
G
Gateway Default – шлюз по умолчанию.
H
HDLC – High-level Data Link Control – протокол высокоуровневого управления соединением.
Header – заголовок.
Hop count – количестве переходов (между маршрутизаторами).
Host – конечный узел, абонент, компьютер, хост.
HTTP – Hypertext Transfer Protocol – протокол передачи гипертекстовой информации.
HTTPS – HTTP Secure, защищенный протокол передачи гипертекстовой информации.
Hub – концентратор.
I
IANA – Internet Assigned Numbers Authority – организация, распределяющая адреса в
Интернете.
IEEE – Institute of Electrical and Electronics Engineers – Институт инженеров по
электротехнике и радиоэлектронике.
IGP – Interior Gateway Protocol – протокол внутренней маршрутизации.
IMAP – Internet Messaging Access Protocol – протокол электронной почты.
IMS – Internet Multi Service – мультисервисная сеть.
IOS – Internetwork Operation System – сетевая операционная система.
IP – Internet Protocol (сетевой протокол)
IPv4, IPv6 – сетевые интернет протоколы 4-ой и 6-ой версий.
ISDN – Integrated Services Digital Network – цифровая сеть с интегрированными услугами.
ISO – International Standards Organization – международная организация по стандартизации.
ITU – International Telecommunications Union– международный союз телекоммуникаций.
L
LAN – Local Area Network – локальная сеть.
LER – Label switch Edge Router – пограничный маршрутизатор, коммутирующий пакеты по
меткам.
Link-state Protocol – протокол состояния канала.
LLC – Logical Link Control – управление логической передачей данных.
LSA – Link-State Advertisement – извещение о состоянии соединения.
LSR – Label Switching Router –маршрутизатор, коммутирующий пакеты по меткам.
231
Last-mile (local loop) – «последняя миля», соединение оборудования помещения клиента
(customer premises equipment - CPE) с центральным офисом (central office - CO) поставщика
услуг.
M
MAC – Media Access Control – подуровень управления доступом к среде.
MDA – Mail Delivery Agent – агент доставки почты.
MPLS – Multi Protocol Label Switching – многопротокольная коммутация по меткам.
MTA – Mail Transfer Agent – агент передачи почты.
MUA – Mail User Agent – почтовый агент пользователя, почтовый клиент.
Multicast Mode – групповой режим передачи.
Multimode Fiber – многомодовое волокно.
MUX – мультиплексор.
N
NAT – Network Address Translation – трансляция сетевых адресов.
NIC – Network Interface Card – сетевой адаптер, сетевая карта.
NGN – Next Generation Network – сети следующего поколения.
Next hop address – адрес следующего перехода.
NVRAM – non-volatile RAM – энергонезависимая оперативная память, где хранится
стартовый (startup) конфигурационный файл.
O
OFDM – Orthogonal Frequency Division Multiplexing – ортогональное частотное
мультиплексирование.
OSI – Open System Interconnection reference model – базовая эталонная модель
взаимодействия открытых систем.
OSPF – Open Shortest Path First – открытый протокол маршрутизации по состоянию канала.
OTN оптические транспортные сети.
P
PAT – Port Address Translation – трансляция сетевых адресов с использованием номеров
портов.
PDH – Plesiochronous Digital Hierarchy – плезиохронная цифровая иерархия.
PDU – Protocol Data Unit – единица данных (протокола).
PDV – Path Delay Value – значение задержки в пути, удвоенная задержка распространения
сигнала.
Р2Р – приложение peer-to-peer.
Peer-to-peer – модель соединения равноправных узлов сети.
POP – Post Office Protocol – протокол электронной почты.
PPP – Point-to-Point Protocol – протокол соединений точка-точка.
Private IP addresses – частные IP-адреса.
Public IP addresses – публичные IP-адреса.
Q
QoS – Quality of Service – качество обслуживания.
R
RIP – Routing Information Protocol – протокол маршрутизации на основе вектора расстояния.
Routed protocol – маршрутизируемый протокол (не путать с протоколом маршрутизации!).
Router – маршрутизатор
Routing protocol – протокол маршрутизации, маршрутизирующий протокол.
232
RTP – Reliable Transport Protocol – протокол надежной доставки.
S
SA – Source Address – адрес отправителя информации, адрес источника.
SDH – Synchronous Digital Hierarchy – синхронная цифровая иерархия.
Sequence Number – номер последовательности.
SFD – Start of Frame Delimiter – ограничитель начала кадра.
Singlemode Fiber – одномодовое волокно
SMTP – Simple Mail Transfer Protocol – протокол электронной почты.
SNMP – Simple Network Management Protocol, простой протокол управления сетью.
Socket – сокет, программный интерфейс.
Socket address – комбинация IP-адреса и порта (в сетевой терминологии).
Source Port – порт источник, который посылает данные.
SSAP – Source Service Access Point – адрес точки входа службы источника.
SSH – Secure Shell – протокол удаленного доступа, обеспечивающий шифрование
передаваемых данных.
Store-and-forward switching – режим коммутации с промежуточным хранением или
буферизацией
STP – shielded twisted pair – экранированная витая пара.
STP – Spanning-Tree Protocol – Протокол STP для предотвращения петель в коммутируемых
сетях.
Switch – коммутатор.
T
TCP – Transmission Control Protocol – протокол управления передачей.
Telnet – протокол удаленного доступа, обеспечивающий подключение к командной строке
удаленного узла.
TFTP – Trivial FTP – простой протокол передачи файлов.
Token Ring – сетевая технология канального уровня с передачей маркера.
Trunk – транк – канал, передающий кадры множества виртуальных локальных сетей,
магистральный канал.
U
UDP – User Datagram Protocol – протокол дейтаграмм пользователя.
Updates routing – обновления маршрутизации.
UTP – unshielded twisted pair – неэкранированная витая пара.
V
VLAN – Virtual Local Area Networks – виртуальная локальная сеть.
VLSM – Variable-Length Subnet Mask – маска переменной длины.
Voice over IP – голос поверх IP.
VPN – Virtual private network – виртуальная частная сеть.
W
WAN – Wide Area Network – глобальная сеть.
WAP – Wireless Access Point – точка беспроводного доступа.
WDM – Wave-length Division Multiplexing – спектральное уплотнение по длине волны.
Wi-Fi – стандарт беспроводных локальных сетей.
Window Size – размер окна.
WLAN – Wireless LAN – беспроводные локальные сети.
WWW – World Wide Web – всемирная паутина; сервис предоставляющий доступ к
гипертекстовой информации.
233
Документ
Категория
Без категории
Просмотров
10
Размер файла
2 878 Кб
Теги
tehnologii, kommutacii, posobiye, tsh2, utshebnoe, paketnoj, kommutaciya, marshrutizaciya, vasil
1/--страниц
Пожаловаться на содержимое документа