Официальное руководство по подготовке к сертификационным экзаменам CCNA ICND2 200-105. Маршрутизация и коммутация [Академическое ed.] 9785990944657, 9781587205989

Table of contents :
Об авторе
О соавторе
Технические рецензенты
Посвящение
Благодарности
Ждем ваших отзывов!
Введение
Об экзаменах
Экзамены на получение сертификатов CCENT и CCNA R&S
Типы экзаменационных вопросов
Как проводится экзамен CCNA
Экзаменационные темы, публикуемые компанией Cisco
Об экзаменационных темах в этой книге
Особенности книги
Особенности использования глав
Особенности использования обзоров частей
Заключительный обзор
Другие особенности
Новое большое средство: приложения для обзоров
Как получить электронные элементы этой книги
Структура книги, главы и приложения
Структура книги, главы и приложения
Главы по ICND1 в этой книге
Дополнительное содержимое в приложениях на образе DVD
Справочная информация
Установка процессора Pearson IT Certification Practice Test и вопросов
Экзаменационные базы данных PCPT этой книги
Как просмотреть вопросы только обзоров частей
О диаграммах связей
О приобретении практических навыков
Упражнения Config Lab
Коротко о Pearson Network Simulator Lite
Эмулятор Pearson Network Simulator
Больше лабораторных работ
Дополнительная информация
Условные обозначения сетевых устройств
Соглашения по синтаксису команд
План изучения
Коротко о сертификационных экзаменах Cisco
Пять этапов учебного плана
Что сделать, прежде чем приступить к главе 1
Найдите задачи обзора в Интернете и на образе DVD
Дополнительные задачи перед началом
Итак, приступим
Часть I. Локальные сети Ethernet
Глава 1. Реализация виртуальных локальных сетей Ethernet
Основные темы
Концепции виртуальных локальных сетей
Конфигурация сетей и магистралей VLAN
Обзор
Резюме
Контрольные вопросы
Обзор главы
Ключевые темы
Ключевые термины
Таблицы команд
Глава 2. Концепции протокола распределенного связующего дерева
Основные темы
Протокол распределенного связующего дерева (IEEE 802.1D)
Концепции протокола Rapid STP (IEEE 802.1w)
Состояния и процессы RSTP
Опциональные средства протокола STP
Обзор
Резюме
Контрольные вопросы
Обзор главы
Ключевые темы
Ключевые термины
Глава 3. Реализация протокола распределенного связующего дерева
Основные темы
Реализация протокола STP
Реализация опциональных средств протокола STP
Реализация протокола RSTP
Обзор
Резюме
Контрольные вопросы
Обзор главы
Ключевые темы
Ключевые термины
Таблицы команд
Глава 4. Поиск и устранение неисправностей в локальных сетях
Основные темы
Поиск и устранение неисправностей протокола STP
Поиск и устранение неисправностей канала EtherChannel уровня 2
Анализ уровня данных коммутатора
Поиск и устранение неисправностей сетей VLAN и магистральных каналов VLAN
Обзор
Резюме
Обзор главы
Ключевые темы
Таблицы команд
Глава 5. Протокол создания магистралей VLAN
Основные темы
Концепции протокола создания магистралей VLAN (VTP)
Настройка и проверка протокола VTP
Поиск и устранение неисправностей VTP
Обзор
Резюме
Контрольные вопросы
Обзор главы
Ключевые темы
Ключевые термины
Таблицы команд
Глава 6. Другие темы по локальным сетям
Основные темы
Защита доступа с использованием IEEE 802.1x
Аутентификация AAA
Отслеживание DHCP
Стекирование коммутаторов и агрегирование шасси
Обзор
Резюме
Контрольные вопросы
Обзор главы
Ключевые темы
Ключевые термины
Обзор части I
Повторите вопросы из обзора глав
Ответы на вопросы обзора части
Повторите ключевые темы
Создайте диаграмму связей концепций протокола STP
Создайте диаграмму связей терминов
Создайте диаграммы связей команд
Выполните лабораторные работы
Часть II. Протоколы маршрутизации IPv4
Глава 7. Концепции протокола OSPF
Основные темы
Сравнение средств протокола динамической маршрутизации
Концепции и работа протокола OSPF
Проект областей OSPF
Обзор
Резюме
Контрольные вопросы
Обзор главы
Ключевые темы
Ключевые термины
Глава 8. Реализация протокола OSPF для IPv4
Основные темы
Реализация протокола OSPFv2 для одиночной области
Реализация протокола OSPFv2 для многих областей
Дополнительные средства OSPF
Обзор
Резюме
Контрольные вопросы
Обзор главы
Ключевые темы
Ключевые термины
Таблицы команд
Глава 9. Концепции протокола EIGRP
Основные темы
EIGRP и дистанционно-векторные протоколы маршрутизации
Концепции и принцип работы протокола EIGRP
Обзор
Резюме
Контрольные вопросы
Обзор главы
Ключевые темы
Ключевые термины
Глава 10. Реализация протокола EIGRP для IPv4
Основные темы
Базовая настройка и проверка протокола EIGRP
Метрики EIGRP, оптимальные и резервные маршруты
Другие параметры конфигурации EIGRP
Обзор
Резюме
Контрольные вопросы
Обзор главы
Ключевые темы
Ключевые термины
Таблицы команд
Глава 11. Поиск и устранение неисправностей протоколов маршрутизации IPv4
Основные темы
Методы поиска и устранения проблем в протоколах маршрутизации
Интерфейсы, участвующие в маршрутизации
Соседские отношения
Обзор
Резюме
Обзор главы
Ключевые темы
Таблицы команд
Глава 12. Реализация протокола External BGP
Основные темы
Концепции протокола BGP
Настройка и проверка протокола eBGP
Обзор
Резюме
Контрольные вопросы
Обзор главы
Ключевые темы
Ключевые термины
Таблицы команд
Обзор части II
Повторите вопросы из обзоров глав
Ответьте на вопросы обзора части
Повторите ключевые темы
Создайте диаграмму связей первопричин OSPF и EIGRP
Создайте диаграмму связей команд OSPF, EIGRP и BGP
Выполните лабораторные работы
Часть III. Глобальные сети
Глава 13. Реализация двухточечных сетей WAN
Основные темы
Протокол HDLC в сети WAN на базе выделенных линий
Протокол PPP в сети WAN на базе выделенных линий
Поиск и устранение неисправностей в последовательных каналах
Обзор
Резюме
Контрольные вопросы
Обзор главы
Ключевые темы
Ключевые термины
Таблицы команд
Глава 14. Частные глобальные сети с Ethernet и MPLS
Основные темы
Metro Ethernet
Мультипротокольная коммутация по меткам (MPLS)
Обзор
Резюме
Контрольные вопросы
Обзор главы
Ключевые темы
Ключевые термины
Глава 15. Частные глобальные сети с VPN через Интернет
Основные темы
Доступ к Интернету и основные принципы VPN
Туннели GRE и DMVPN
PPP поверх Ethernet
Обзор
Резюме
Контрольные вопросы
Обзор главы
Ключевые темы
Ключевые термины
Таблицы команд
Обзор части III
Повторите вопросы из обзоров глав
Ответьте на вопросы из обзора части
Повторите ключевые темы
Создайте диаграммы связей терминов
Создайте диаграммы связей команд
Выполните лабораторные работы
Часть IV. Службы IPv4: ACL и QoS
Глава 16. Простые списки управления доступом IPv4
Основные темы
Основы списков управления доступом IPv4
Стандартные нумерованные списки ACL IPv4
Практические задания на применение стандартных списков ACL
Обзор
Резюме
Контрольные вопросы
Обзор главы
Ключевые темы
Ключевые термины
Дополнительные практические задания
Таблицы команд
Ответы к практическим заданиям
Глава 17. Расширенные списки управления доступом
Основные темы
Расширенные нумерованные списки управления доступом IP
Именованные списки ACL и их редактирование
Поиск и устранение неисправностей списков ACL IPv4
Обзор
Резюме
Контрольные вопросы
Обзор главы
Ключевые темы
Ключевые термины
Таблицы команд
Ответы к практическим заданиям
Глава 18. Качество обслуживания (QoS)
Основные темы
Введение в QoS
Классификация и маркировка
Управление трафиком в условиях затора (организация очереди)
Ограничение исходящего и входящего трафиков
Предотвращение перегрузки
Обзор
Резюме
Контрольные вопросы
Обзор главы
Ключевые темы
Ключевые термины
Обзор части IV
Повторите вопросы из обзоров глав
Ответьте на вопросы из обзора части
Повторите ключевые темы
Создайте диаграммы связей команд
Создайте диаграммы связей терминов QoS
Выполните лабораторные работы
Часть V. Маршрутизация IPv4, поиск и устранение неисправностей
Глава 19. Маршрутизация IPv4 в локальных сетях
Основные темы
Маршрутизация VLAN по магистральным каналам 802.1Q
Маршрутизация VLAN с использованием SVI коммутатора уровня 3
Маршрутизация VLAN с использованием маршрутизирующих портов коммутатора уровня 3
Обзор
Резюме
Контрольные вопросы
Обзор главы
Ключевые темы
Ключевые термины
Таблицы команд
Глава 20. Реализация протокола HSRP для маршрутизации первого транзитного участка
Основные темы
Концепции протоколов FHRP и HSRP
Реализация протокола HSRP
Поиск и устранение неисправностей HSRP
Обзор
Резюме
Контрольные вопросы
Обзор главы
Ключевые темы
Ключевые термины
Таблицы команд
Глава 21. Поиск и устранение неисправностей маршрутизации IPv4
Основные темы
Проблемы между хостом и стандартным маршрутизатором
Проблемы перенаправления пакетов между маршрутизаторами
Обзор
Резюме
Обзор главы
Ключевые темы
Обзор части V
Повторите вопросы из обзоров глав
Ответьте на вопросы обзора части
Повторите ключевые темы
Создайте диаграмму связей первопричин неисправностей
Создайте диаграммы связей команд
Выполните лабораторные работы
Часть VI. Протокол IPv6
Глава 22. Осуществление, поиск и устранение неисправностей маршрутизации IPv6
Основные темы
Нормальная работа протокола IPv6
Поиск и устранение неисправностей IPv6
Обзор
Резюме
Обзор главы
Ключевые темы
Ключевые термины
Таблицы команд
Глава 23. Реализация протокола OSPF для IPv6
Основные темы
Концепции протокола OSPFv3 для IPv6
Настройка протокола OSPFv3
Проверка, поиск и устранение неисправностей OSPFv3
Обзор
Резюме
Контрольные вопросы
Обзор главы
Ключевые темы
Ключевые термины
Таблицы команд
Глава 24. Реализация протокола EIGRP для IPv6
Основные темы
Конфигурация протокола EIGRP для IPv6
Проверка, поиск и устранение неисправностей протокола EIGRP для IPv6
Обзор
Резюме
Контрольные вопросы
Обзор главы
Ключевые темы
Ключевые термины
Таблицы команд
Глава 25. Списки управления доступом IPv6
Основные темы
Основы списков управления доступом IPv6
Настройка стандартных списков ACL IPv6
Настройка расширенных списков ACL IPv6
Другие темы списков ACL IPv6
Обзор
Резюме
Контрольные вопросы
Обзор главы
Ключевые темы
Ключевые термины
Таблицы команд
Ответы к практическим заданиям
Обзор части VI
Повторите вопросы из обзоров глав
Ответьте на вопросы из обзора части
Повторите ключевые темы
Создайте диаграмму связей первопричин неисправностей
Создайте диаграммы связей команд
Выполните лабораторные работы
Часть VII. Разное
Глава 26. Управление сетью
Основные темы
Простой протокол управления сетью
Соглашение об уровне услуг IP
Анализатор коммутируемого порта
Обзор
Резюме
Контрольные вопросы
Обзор главы
Ключевые темы
Ключевые термины
Таблицы команд
Глава 27. Сетевая вычислительная среда
Основные темы
Концепции сетевой вычислительной среды
Пути трафика WAN для доступа к службе сетевой среды
Функции и службы виртуальной сети
Обзор
Резюме
Контрольные вопросы
Обзор главы
Ключевые темы
Ключевые термины
Глава 28. Программируемость сети и SDN
Основные темы
Основы программируемости сети и SDN
Примеры сетевой программируемости и SDN
Приложение Cisco APIC-EM Path Trace ACL Analysis
Обзор
Резюме
Контрольные вопросы
Обзор главы
Ключевые темы
Ключевые термины
Обзор части VII
Повторите вопросы из обзоров глав
Ответьте на вопросы обзора части
Повторите ключевые темы
Создайте диаграммы связей команд
Создайте диаграммы связей терминов
Выполните лабораторные работы
Часть VIII. Финальный обзор
Глава 29. Подготовка к экзамену
Советы о самом экзамене
Обзор экзамена
Часть IX. Приложения (в книге)
Приложение A. Справочные числовые таблицы
Приложение Б. Обновление экзамена CCNA ICND2 200-105
Получите самые свежие материалы на веб-сайте
Техническая информация
Инструменты APIC-EM Path Trace и ACL Analysis
Функции и применение APIC-EM
Приложение Path Trace APIC-EM
Средство анализа ACL приложения APIC‑EM Path Trace (ACL Trace)
Словарь терминов
Предметный указатель
Часть X. Приложения (на веб-сайте)

Citation preview

Официальное руководство по подготовке к сертификационным экзаменам

CCNA

ICND2 200-105

Маршрутизация и коммутация Академическое издание

CCNA Routing and Switching

ICND2 200-105 Official Cert Guide Academic Edition

WENDELL ODOM, CCIE® NO. 1624 with contributing author

SСОП HOGG, CCIE NO.® 5133

Cisco Press 800 East 96th Street lndianapolis, IN 46240 USA

Официальное руководство по подготовке к сертификационным экзаменам

CCNA ICND2 200-105 Маршрутизация и коммутация Академическое издание

УЭНДЕЛЛ ОДОМ, CCIE® №1624 Скотт Хогг, CCIE® №5133

Москва

2018

• Санкт-Петербург

ББК

32.973.26-018.2.75 0-44 УДК 681.3.07 Компьютерное издательство "Диалектика" Перевод с английского и редакция В.А. Коваленко По общим вопросам обращайтесь в издательство "Диалектика" по адресу:

[email protected],http://www.dialektika.com Одом, Уэнделл.

Cisco по подготовке к сертификационным экза­ CCNA ICN D2 200-105: маршрутизация и коммутация, академическое из­ дание.: Пер. с англ. - СПб.: ООО "Диалектика", 2018. - 1008 с.: ил. - Парал.

0-44

Официальное руководство

менам

тит. англ.

ISBN 978-5-9909446-5-7 (рус.) ББК

32.973.26-018.2. 75

Все названия программных продуктов являются зарегистрированными торговыми марками со­

ответствующих фирм. Никакая часть настоящего издания 11и в каких uелях не может быть воспроизведе11а 11 какой бы то ни было форме и какими бы то ни было средствами, будь то электронные или механические, включая фотокопирование и 3апись на маr·нитный носитель, если на это нет 11исьме11ною рюреше­ ния издательства

Cisco Prcss. Authorized translation from the English language edition puЬlished Ьу Cisco Press, Copyright (с) 2017 Ьу Pearson Education, lnc. All rights reserved. No part ofthis book may Ье reproduced or transmitted in any torm or Ьу any meaпs, electronic or mechanical, including photocopying, recording, or Ьу any intoпnation storage and retrieval system, without written permission from the PuЫisher, except for the inclusion ofbriefquotations in а revicw. Russian language editioп pt1Ыished Ьу Dialektika Computer Books PuЫishingaccording to the Agreement with R&l Enterprises lnternational, Copyright © 2018 Научно-популярное издание Уэнделл Одом

Официальное руководство

Cisco по подготовке к сертификационным экзаменам CCNA ICND2 200-105: маршрутизация и коммутация Академическое издание Полписано в печать

24.07.2018. Формат 70х100/16. Times. Усл. 11еч. л. 81,27. Уч.-изд. л. 77,2. Тираж 300 экз. Заказ № 7903 Гарнитура

Отпечатано

u АО

"Первая Обрюuовая ти11ографиs1"

Филиал "Чеховский Печатный Двор"

142300, Московская область, г. Чехов, ул. Полиграфистов, 11. www.chpd.ru, E-mail: [email protected], тел. 8 (499) 270-73-59

Сайт:

ООО "Диалектика",

195027,

lSBN 978-5-9909446-5-7 (рус.) lSBN 978-1-5872-0598-9 (англ.)

Са11кт-Петербург, Магнитоюрская ул., 11.

30, лит.

А, 1юм.

848

1утаторами и матстральным соединением

Магистральное соединение позволяет коммутаторам передавать фреймы несколь­ ких сетей VLAN по одному физическому каналу за счет добавления небольшого за­ головка к фрейму Ethernet. Пример на рис. 1.5 демонстрирует передачу компьютером

РС 11 широковещательного фрейма на интерфейсе FaO/I (этап 1). Для лавинной рас­ сылки коммутатор SWI должен перенаправить широковещательный фрейм на ком­ мутатор SW2. Но коммутатор SWI должен как-то дать знать коммутатору SW2, что фрейм принадлежит сети VLAN 10, чтобы после его получения осуществить лавин­ ную рассылку только в сети VLAN 10, а не VLAN 20. Как показано на этапе 2, перед передачей фрейма коммутатор SWI добавил к исходному фрейму Ethernet заголовок VLAN, в котором указан идентификатор VLAN (в данном случае - VLAN 10).

VLAN 10

G0/ 1 20

VLAN 20

VLAN 20 Рис.

1.5.

Магистралыте соединение

VLAN ме.жду двумя коммутаторами

SW2 понимает, что он принадлежит сети VLAN 10. SW2 удаляет заголовок VLAN и перенаправляет первоначальный фрейм по интерфейсу к VLAN 10 (этап 3). Для другого примера рассмотрим случай, когда компьютер РС21 (в сети VLAN 20) посылает широковещательный фрейм. Коммутатор SWI посылает его через порт Fa0/4 (поскольку этот порт находится в сети VLAN 20) и порт GiO/I (посколь­ Получив фрейм, коммутатор

Затем коммутатор

ку это магистральный канал, а значит, он поддерживает несколько разных сетей

VLAN).

Коммутатор

SWI

добавляет к фрейму заголовок магистрали, содержащий

Глава

1. Реализация виртуальных локальных сетей Ethernet

59

идентификатор

VLAN 20. Выяснив, что фрейм принадлежит сети VLAN 20, коммуrа­ SW2 удалит магистральный заголовок и перенаправит его только на порты Fa0/3 и Fa0/4, поскольку они находятся в сети VLAN 20, но не на порты FaO/I и Fa0/2, так как они находятся в сети VLAN 10.

тор

Протоколы магистралей

VLAN 802.1Q и ISL В последние годы компания Cisco использует два протокола магистральных соеди­ нений: протокол межкоммутаторных соединений (lnter-Switch Link - ISL) и протокол 802.1 Q стандарта IEEE. Компания Cisco использовала протокол ISL задолго до появ­ ления протокола 802.1 Q частично потому, что институr 1ЕЕЕ еще не определил стан­ дарт для магистралей VLAN. Несколько лет назад IEEE закончил работу над стандар­ том 802. IQ, определяющим иной способ создания магистральных соединений. Сейчас протокол 802.1 Q стал наиболее популярным протоколом магистральных соединений, и компания Cisco больше не поддерживает стандарт ISL на некоторых более новых мо­ делях коммутаторов LAN, включая 2960, который используется в примерах этой книги. Хотя оба протокола отмечают каждый фрейм идентификатором VLAN, детали проuесса у них разные. Протокол 802.IQ использует дополнительное 4-байтовое поле - заголовок 802. 1Q в заголовке Ethernet первоначального фрейма, как показано на рис. 1.6, вверху. Что касается полей в заголовке 802.1 Q, то поле идентификато­ ра VLAN занимает только 12 бит, но для тем данной книги это не имеет значения. Теоретически это 12-битовое поле способно идентифиuировать максимум 2 12 (4096) сетей VLAN, хотя на практике доступно максимум 4094 значения. (Согласно стан­ дартам 802.1Q и 1SL поле идентификатора VLAN имеет два зарезервированных зна­ чения - О и 4095.) 802.10

г

--- ---------

---

1....Тип _

... ... ...

"• --- --- --...

1 Рис.

Коммутаторы

1.6.

Данные

... ...

... ... ...

1

Заголовок магистрального соединения по стандарту

Cisco

... ...

разделяют диапазон идентификаторов

802. /Q

VLAN (1-4094)

на два

диапазона: нормальный и расширенный. Все коммутаторы могут использовать нор­ мальный диапазон идентификаторов

VLAN

со значениями

1-1005, и только неко­ 1005 до 4094. Правила исполь­ идентификаторов VLAN зависят VLAN (VLAN Trunking Protocol -

торые могут использовать расширенный диапазон от зования коммуrаторами расширенного диапазона

от конфигураuии протокола создания магистралей VТР), кратко обсуждаемого ниже. Для

каждого магистрального канала стандарт

802.1 Q определяет также один VLAN, обозначающий собственную сеть VLAN (native VLAN) (стандартно это VLAN 1). По определению протокол 802.1Q не добавляет за­ головок 802.1 Q к фреймам в собственной сети VLAN. Когда коммутатор с другой сто­ роны магистрального канала получает фрейм без заголовка 802.1 Q, он понимает, что фрейм принадлежит собственной сети VLAN. Из-за этого оба коммутатора должны "договориться'', какую сеть VLAN считать собственной. спеuиальный идентификатор

Часть

60

1. Локальные сети Ethernet

Согласно стандарту

802.1 Q собственная

сеть

VLAN

обладает некими уникальны­

ми функциями, например способна обеспечивать соединения с устройствами, кото­

рые не поддерживают магистральное соединение. Например, коммутатор

Cisco

мо­

жет быть подключен к коммутатору, который не поддерживает магистральные соеди­

нения

802.1 Q. Коммутатор Cisco мог бы послать фреймы со значением собственной VLAN, т.е. без магистрального заголовка, и другой коммутатор будет понимать их. Концепция собственной сети VLAN позволяет коммутаторам передавать трафик как минимум одной сети VLAN (собственной VLAN), поддерживая некоторые базо­

сети

вые функции, такие как доступность коммутатора по Telпet.

Перенаправление данных между сетями

VLAN

При создании территориальной локальной сети, содержашей много сетей требуется

обеспечить всем устройствам

возможность

передавать данные

VLAN, на

все

остальные устройства. Давайте обсудим некоторые из концепций перенаправления данных между сетями

VLAN.

В первую очередь, это поможет усвоить терминологию коммутаторов функции и логика коммутаторов

протоколам уровня

Все

7 упоминалось о том, что ком­ 2), распознают МАС­ адрес получателя (адрес уровня 2) и перенаправляют фрейм Ethernet на другой интер­ фейс. В этой главе уже упоминалась концепция сетей VLAN как широковешательных доменов, что тоже является концепцией уровня 2. Хотя одни коммутаторы LAN работают так, как описывалось до сих пор, другие коммутаторы LAN обладают куда большими возможностями. Коммутаторы LAN, пе­ редаюшие данные на основании логики уровня 2, зачастую называют коммутатора­ ми уровня 2 (Layer 2 switch). Но есть коммутаторы, способные выполнять некоторые функции маршрутизатора, - они используют дополнительную логику, определенную протоколами уровня 3. Эти коммутаторы называют многоуровневыми коммутатора­ ми (multilayer switch) или коммутаторами уровня З (Layer 3 switch). Этот раздел начи­ нается с обсуждения перенаправления данных между сетями VLAN коммутаторами уровня 2, а завершается обсуждением применения для этого коммутаторов уровня 3. мутаторы

LAN

2

модели

LAN.

описанные до сих пор, соответствовали

Ethernet,

OSI.

получают фреймы

Например, в главе

Ethernet

(концепция уровня

Маршрутизация пакетов между сетями

VLAN

с использованием маршрутизатора

При включении виртуальной локальной сети

(VLAN)

в проект территориальной

локальной сети все устройства сети VLAN должны быть в той же подсети. Согласно той же логике устройства в разных сетях VLAN должны принадлежать разным под­ сетям. Например, два компьютера, показанные на рис.

VLAN 10 и в подсети 10. Два компьютера, сети VLAN (20) и в другой подсети (20).

Подсеть

1.7,

слева, находятся в сети

показанные справа, находятся в другой

- - --......&. Wilma 10

Рис. 1. 7. Маршрутизация на коммутаторах между двумя физически разделенными сетями VLAN

VLAN 20 Подсеть

20

Глава 1. Реализация виртуальных локальных сетей Ethernet

61

ВНИМАНИЕ!

Подсети на рисунке обозначены несколько абстрактно как "подсеть

1О",

чтобы не отвлекать­

ся на номера подсетей. Обратите также внимание на то, что номера подсетей не должны со­ впадать с номерами сетей

VLAN.

Чтобы подчеркнуть идею о том, что коммутаторы уровня лять данные между двумя сетями

VLAN,

коммутатор на рис.

2 не будут перенаправ­ 1.7 представлен "разо­

рnанным" надвое, как будто это два коммутатора. Когда одни порты настроены как принадлежащие сети

VLAN 10,

а другие

- VLAN 20,

коммутатор действует, как два

отдельных коммутатора, перенаправляющих трафик. Фактически одна из задач сетей VLAN заключается в том, чтобы отделить трафик одной виртуальной сети от другой и предотвратить попадание фреймов из одной сети

компьютер

Dino (VLAN 10)

пошлет любой фрейм

VLAN в другую. Например, если Ethernet на коммутатор SW1 уров­

ня 2, то коммутатор не станет перенапраnлять его на компьютеры справа, находящи­ еся в сети VLAN 20. Сеть в целом должна обеспечивать передачу трафика, входящего и исходящего из каждой сети

VLAN,

даже при том, что коммутатор уровня

2

не перенаправляет

фреймы за пределы виртуальной сети. Задачу перенаправления данных между сетя­ ми VLAN выполняет маршрутизатор. Вместо коммутации фреймов Ethernet уровня 2 между двумя сетями ми пакеты уровня

VLAN

сеть должна перенаправлять между этими двумя подсетя­

3.

Поскольку в предыдущем абзаце встретилась довольно специфическая форму­ лировка, связанная с уровнями

2 и 3, уделим минуту этой теме. Логика уроuня 2 не 2 перенаправлять фреймы Ethernet уровня 2 (L2PDU) маршрутизаторы могут перенаправить пакеты уровня 3

позволяет коммутатору уровня между сетями

VLAN.

Однако

между подсетями, как и положено.

(L3PDU)

На рис.

1.8,

например, представлен маршрутизатор, способный перенаправлять

пакеты между подсетями

10

уровня

с тем же разделенным надвое коммутатором для двух раз­

что и на рис.

2,

ных сетей

VLAN

1. 7,

и

20.

На рисунке демонстрируется тот же коммутатор

с теми же компьютерами и теми же сетями

теперь коммутатор подключен к маршрутизатору сом, принадлежащим сети

VLAN 10,

направлять фреймы в каждой сети

VLAN

и подсетями. Но

одним физическим интерфей­

и вторым, принадлежащим сети

соединении с каждой подсетью коммутатор уровня задачу о перенаправлении пакетов

RI

2 вполне

VLAN 20.

При

может продолжить пере­

VLAN, в то время как маршрутизатор будет решать 1Р между подсетями. VlAN 20 Подсеть

Рис.

1.8.

Маршрутизация между двумя сетями

VLAN на

двух физических интерфейсах

20

Часть

62

1. Локальные сети Ethernet

1.8

1Р, передаваемый компьютером Fred из одной сети Betty, находяшийся в другой сети YLAN (подсети). Коммутатор уровня 2 передает два разных фрейма Ethernet уровня 2: один, в сети VLAN 1О, от компьютера Fred на интерфейс FO/O маршрутизатора R 1, и другой, в сети VLAN 20, от интерфейса FO/I маршрутизатора RI на компьютер Betty. С точки зрения уровня 3 компьютер Fred посылает пакет IP на свой стандартный маршрути­ затор (R 1), он перенаправляет пакет на другой интерфейс (FO/I) в другую подсеть, где располагается компьютер Betty. Хотя проект на рис. 1.8 вполне работоспособен, он использует слишком много физических интерфейсов, по одному на каждую VLAN. Намного менее расточитель­ На рис.

VLAN

показан пакет

(подсети) на компьютер

ное (и более предпочтительное) решение подразумевает использование магистраль­

VLAN между коммутатором и маршрутизатором. Так, для поддержки VLAN достаточно только одного физического канала связи между марш­

ного канала всех сетей

рутизатором и коммутатором. Магистральное соединение возможно между любыми двумя устройствами, способными поддерживать его: между двумя коммутаторами, между

маршрутизатором

и

коммутатором

и

даже

между аппаратными

средствами

сервера и коммутатором.

На рис.

1.9

представлен концептуально тот же проект, что и на рис.

пакетом, следующим от компьютера тор

RI

Fred

к компьютеру

использует магистральное соединение

для каждой сети

1.8,

с тем же

но теперь маршрутиза­

вместо отдельного канала связи

VLAN.

VLAN 10 10

Подсеть

VLAN

Betty,

Dino

~----:;!fte=I

Fred y

- - - -..D!., Wilma

=

VLAN 20 Подсеть

20

.QЬ. Betty

_ _ __

_ _ _ _

·-- ........ ,... ~® у

Рис.

1.9.

Маршрутизация между двумя сетями Vl~AN

с использованием магистралыюго канала на маршрутизаторе

ВНИМАНИЕ!

Поскольку у маршрутизатора один физический канал связи, подключенный к коммутатору такой проект сети иногда называют "маршрутизатор на палочке" (router-on-a-stick).

LAN,

Еше немного терминологии: концепцию на рис. "маршрутизация пакетов между сетями

1.8 и 1.9 иногда упоминают как VLAN" (routing packets between VLAN). Эту

фразу вполне можно использовать, люди поймут, что имеется в виду. Но буквально эта фраза неверна, поскольку объединяет маршрутизацию пакетов (концепция уров­

ня

3)

и

VLAN

(концепция уровня

2).

Просто "маршрутизация между сетями

VLAN"

короче, хотя буквально правильно "маршрутизация пакетов уровня

3 между

подсетя­

ми уровня

уровня

2".

3 при

сопоставлении каждой из подсетей с сетями

VLAN

Глава

1. Реализация виртуальных локальных сетей Ethernet

Маршрутизация пакетов коммутаторами уровня

63

3

У маршруrизаuии пакетов с использованием физического маршруrизатора (даже при магистральном канале VLAN, как на рис. 1.9) все еще остается одна серьезная

проблема:

производительность.

Физический

налагает ограничение

канал связи

на количество передаваемых битов, а недорогие маршруrизаторы обычно не отлича­ ются высокой мощностью и не мoryr перенаправлять достаточно много пакетов за

секунду

(packets per second - pps),

чтобы поддерживать необходимый объем трафика.

Окончательное решение подразумевает передачу функuий маршруrизаuии ап­ паратным средствам коммуrатора LAN. Производители уже довольно давно начали объединять аппаратные и программные средства коммуrаторов уровня 2 с маршру­ тизаторами уровня 3, выпуская коммутаторы уровня З (они же многоуровневые комму­

3 могут быть настроены так, чтобы действовать или как только коммуrаторы уровня 2, или как коммутаторы уровня 2 с маршрутизатора­ ми уровня 3. В настоящее время многие средние и крупные корпоративные территориальные локальные сети используют для перенаправления пакетов между подсетями (VLAN) таторы) . Коммуrаторы уровня

коммутаторы уровня

3.

Конuептуально коммуrатор уровня 3 работает подобно первоначальным двум устройствам, на базе которых он создан: коммутатора LAN уровня 2 и маршрути­ затора уровня 3. Фактически, если понятны концепuии перенаправления пакетов на рис.

1.8

при отдельном коммуrаторе уровня

2

и маршрутизаторе уровня

имеете общее представление о работе коммутатора уровня

3,

3,

вы

объединяющем все эти

функции в одном устройстве. Эта конuепция представлена на рис. 1.10, она повторя­ ет многие подробности рис . 1.8, но с дополнительным прямоугольником, демонстри­ рующим, что один коммуrатор уровня 3 выполняет функuии коммутатора уровня 2 и маршрутизатора уровня

3. Коммутатор уровня

3

(Все функции в среднем прямоугольнике)

VLAN 10 Подсеть 1О

Dino -~---1.._-~

Интерфейс

VLAN 10

Интерфейс

VLAN 20

Рис. / . /О. Маршрутизация между сетями

VIAN

с использованием коммутатора уровня З

Эта глава знакомит с основами маршрутизаuии пакетов (точнее, между подсетями

в сетях

VLAN) .

IP между сетями VLAN

Конфигураuия сетей, использующих

внешний маршрутизатор, рассматривается в главе 16, а пока рассмотрим конфигура­ uию и проверку сетей VLAN, а также магистральных каналов VLAN .

Часть

64

1.

Локальные сети

Ethernet

Конфигурация сетей и магистралей Для работы коммутаторам купить коммутатор

Cisco,

Cisco

VLAN

никакой настройки не требуется. Вполне можно

подключить его к соответствующим кабелям, включить,

и он заработает. Вам никогда не придется настраивать коммутатор, и он будет пре­ красно работать (даже если придется соединять коммутаторы), пока не понадобится

несколько сетей

VLAN.

Подробнее конфигурация

VLAN

рассматривается в двух разделах этой главы. В пер­

вом описана настройка интерфейсов доступа, т.е. интерфейсов коммутатора, не исполь­ зуемых для магистральных соединений

для магистральных соединений

Создание сетей

YLAN,

Настройка интерфейсов, используемых

VLAN.

рассматривается во втором разделе.

VLAN и назначение интерфейсов доступа

В этом разделе показано, как создать сеть

VLAN,

присвоить ей имя и добавить

в нее интерфейсы. Чтобы можно было сосредоточиться на рассмотрении этой темы, в примерах настоящего раздела используется один коммутатор, который не нуждает­

ся в магистрали

VLAN.

Чтобы коммутатор Cisco начал перенаправлять фреймы в определенную сеть YLAN, его нужно настроить, указав на существование еще одной сети VLAN. Кроме того, у коммутатора должны быть немагистральные интерфейсы (интерфейсы досту­ па

(access interface)),

принадлежащие этой сети

лы, поддерживающие эту

VLAN.

VLAN,

и (или) магистральные кана­

Этапы настройки интерфейсов доступа приведены

ниже, настройка магистрального канала

-

в соответствующем разделе далее.

Настройка конфигурации VLAN и назначение интерфейсов

• Этап

1

Чтобы настроить конфигурацию новой сети

VLAN,

выполните следующие

действия.

А. В режиме настройки конфигурации введите глобальную команду конфигурации

vlan

идентификатор vlапдля создания сети

VLAN

и перейдите в режим настройки конфнгурации сети VLAN В. (Необязательно.) Чтобы присвоить сети

VLAN

имя, введите подкоманду

имя. Если этого не сделать, именем VLAN будет VLANZZZZ, десятичный идентификатор из четырех цифр

VLAN name где

Этап

2

zzzz -

Для каждого интерфейса доступа (интерфейса, принадлежащего не магистральному каналу, а отдельной сети

VLAN)

выполните следующие

действия.

А. Используйте команду

interface

номер тип в глобальном режиме

конфигурации, чтобы перейти в режим конфигурации каждого настраиваемого интерфейса В. Используйте команду

swi tchport access vlan

идентификатор

v lan

в режиме конфигурации интерфейса, чтобы задать номер сети VLAN, связанной с данным интерфейсом

С. (Необязательно.) Чтобы перевести этот порт в режим доступа (т.е. не магистрального канала), используйте команду

swi tchport mode

access в режиме конфигурации интерфейса Хотя этот список и выглядит устрашающе, на самом деле процесс настройки оди­ ночного коммутатора довольно прост. Например, если порты коммутатора следует

Глава

1.

Реализация виртуальных локальных сетей Etherпet

распределить по трем сетям

11, vlan 12

и

access vlan

vlan 13.

VLAN (11, 12 и 13), достаточно ввести три

команды:

Затем для каждого интерфейса введите команду

11(или12, или

лежащей сети

13), чтобы

65

vlan switchport

присвоить соответствующий интерфейс над­

VLAN.

ВНИМАНИЕ!

Термин стандартная

VLAN (default VLAN) (уnоминаемый в экзаменационных темах) отно­ switchport access vlan идентификатор vlan, nри которой стандартно исnользуется идентификатор VLAN 1. Другими словами, стандартно каждому nорту nрисвоен доступ к сети VLAN 1.

сится к стандартной настройке команды

Первый пример: полная настройка сети В примере

VLAN

1.1

VLAN

показан процесс настройки, сводящийся к добавлению новой сети

и назначению интерфейсов доступа к ней. На рис.

сматриваемая в данном примере, с одним коммутатором

VLAN ( 1, 2

и

3),

1.11 представлена сеть, рас­ LAN (SWI) и тремя сетями

в каждой из которых имеется по два хоста. В этом примере при­

ведены подробные сведения о выполнении двухэтапноrо процесса настройки сети

VLAN 2

и назначения ей интерфейсов; настройка конфигурации сети

VLAN 3

сматривается в следующем примере.

VLAN 2

VLAN 1

VLAN

Рис.

Пример

1.1.

/.11.

Сеть с од11им коммутатором и тремя сетями

Настройка сетей

SWl# show vlan brief Name

VLAN

VLAN

З

VlAN

и назначение им интерфейсов

Status

Ports

------------------- ----------- -------------------------------

1002 1003 1004 1005

default

active

fddi-default token-ring-default fddinet-def ault trnet-default

act/unsup act/unsup act/unsup act/unsup

FaO/l, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gi0/1, Gi0/2

рас­

Часть

66

Вьппе сети командой

1. Локальные сети Ethernet

VLAN 2 и 3 еще не name Freds-vlan , с

существуют .

Ниже добавляется сеть

VLAN 2,

присвоением ей двух интерфейсов.

SWl# configure terminal Enter configuration commands , one per line. End with CNTL/Z. SWl(config)# vlan 2 SW l (config - vlan)# name Freds-vlan SWl (con fig - vlan)# exit SWl(config)# interface range fastethernet 0/13 - 14 SWl(conf i g- if)# switchport access vlan 2 SWl(config - if)# switchport mode access SWl(conf i g- if)# end 1

подкома н да

Н иже

и н терфейса

show running-config

выводит

списки

команд

' на и нтерфейсах Fa0/ 13 и Fa0/14. SWl# show running-config !

Часть

строк

пропущена

для

краткости

vlan 2 name Freds-vlan !

е ще

часть

строк

пропущена

для

краткости

interface FastEthernet0/13 switchport access vlan 2 switchport mode access interface FastEthernet0/14 switchport access vlan 2 switchport mode access SWl# show vlan brief VLAN Name

Status

Ports

1 default

active

2 Freds-vlan 1002 f ddi-default 1003 token - ring-default 1004 f ddi net-default 1005 trnet - default

active act/unsup act/unsup act/unsup act/unsup

FaO/l, Fa0/2 , Fa0/3 , Fa0/4 Fa0/5, Fa0/6 , Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11 , Fa0/12 Fa0/15, Fa0/16 , Fa0/17 , Fa0/18 Fa0/ 19, Fa0/20 , Fa0/21 , Fa0/22 Fa0/23 , Fa0/24, GiO/l , Gi0/2 Fa0/13 , Fa0/14

SWl# show vlan id 2 VLAN Name

Status

Ports

active

Fa0/13 , Fa0/14

2

Freds-vlan

VLAN

Туре

SAID

MTU

Parent RingNo BridgeNo Stp BrdgMode Transl Trans2

Глава 1. Реализация виртуальных локальных сетей Ethernet

2

enet

о

о

100010 1500 -

67

Remote SPAN VLAN DisaЫed

Primary Secondary

Туре

Ports

Этот пример начинается с выполнения команды

show vlan brief,

позволяющей

убедиться в том, что пять неудаляемых сетей

VLAN имеют стандартные параметры, а все интерфейсы назначены сети VLAN 1. (Сеть VLAN 1 не может быть удалена, но может использоваться. На настоящий момент сети VLAN 1002-1005 не могут быть удалены и не могут использоваться для доступа.) Следует отметить, что рассматри­

ваемый коммутатор

порта

GigaЬit

2960 имеет 24 Ethernet (GiO/I и Gi0/2), в VLAN 1.

выводе первой команды все они принадлежали

Fast Ethernet (FaO/l-Fa0/24)

сети Далее показан процесс создания сети

Fa0/13

и

Fa0/14.

VLAN 2

и два порта

и назначение ей интерфейсов

Обратите внимание, что в данном примере используется коман­

да

interface range, применяющая подкоманды интерфейса swi tchport access vlan 2 к обоим интерфейсам в диапазоне, что подтверждается выводом команды show running-config в конце примера. После добавления данной конфигурации для получения информации о новой сети

VLAN

в этом примере повторно выполняется команда

указаны сеть

VLAN 2,

имя

Следующая далее команда своены сети

show vlaп brief. В ее выводе Freds-vlan и присвоенные ей интерфейсы Fa0/13 и Fa0/14. show vlan id 2 подтверждает, что порты Fa0/13 и Fa0/14 при­

VLAN 2.

Сеть в примере на рис.

1.11

использует в качестве портов доступа шесть интер­

фейсов коммутатора. Такие порты не должны использовать магистральное соеди­ нение, они должны быть присвоены конкретной сети

access vlan

идентификатор

vlan.

VLAN

командой

swi tchport

Однако согласно конфигурации в примере

1.1

эти интерфейсы могли вести Переговоры, чтобы стать портами магистрального ка­ нала (стандартное состояние коммутатора). Это позволяет порту договориться ома­ гистральном соединении и решить, действовать ли как интерфейс доступа или как магистральный интерфейс. Для портов, которые всегда должны быть портами доступа, имеет смысл ввести

необязательную подкоманду интерфейса swi tchport mode access. Она указывает коммутатору, что порту позволено быть только интерфейсом доступа. Более подроб­ ная информация о командах, позволяющих порту вести переговоры об использова­ нии магистральных соединений, приведена в следующем разделе.

Второй пример: сокращенная настройка сети Пример

1.1

VLAN

демонстрирует несколько необязательных команд конфигурации,

побочным эффектом которых является немного более продолжительная настройка. Альтернативная конфигурация в примере

VLAN 3

(как показано на рис.

1.11 ),

1.2 намного короче,

в нем добавляется сеть

ее следует считать продолжением примера

Обратите также внимание, что до начала этого примера на коммутаторе ствуют данные о сети

VLAN 3.

SWI

1.1.

отсут­

Часть

68 Пример

1.2.

1. Локальные сети Ethernet

Более короткий пример настройки сети

VLAN

(сети

VLAN 3)

SWl# confiqure terminal Enter configuration commands, one per line. End with CNTL/Z. SWl(config)# SWl(config-if-range)# SWl(config-if-range)#

лz

SWl# show vlan brief VLAN Name

Status

Ports fa0/1, fa0/5, fa0/9, fa0/17, fa0/21, GiO/l, fa0/13,

1

default

active

2

freds-vlan

active

1002 1003 1004 1005

fddi-default token-ring-default fddinet-def ault trnet-default

act/unsup act/unsup act/unsup act/unsup

fa0/2, fa0/3, fa0/4 fa0/6, fa0/7, fa0/8 fa0/10, fa0/11, fa0/12 fa0/18, fa0/19, fa0/20 fa0/22, fa0/23, fa0/24 Gi0/2 fa0/14

Пример 1.2демонстрирует, как коммутатор может динамически создать сеть

VLAN vlan идентификатор_ vlan), ког­ да подкоманда интерфейса swi tchport access vlan применяется к ненастроенной в настоящий момент сети VLAN. В начале этого примера на коммутаторе SWI от­ сутствует информация о сети VLAN 3, а когда используется подкоманда интерфейса swi tchport access vlan 3, коммутатор понимает, что такой сети не существует, и, как упомянуто в выделенном серым сообщении этого примера, создает сеть VLAN 3, используя стандартное имя (VLAN0003). Ни каких других действий по созданию этой сети VLAN не требуются. В конце рассматриваемого процесса обнаруживается, что на коммутаторе существует сеть VLAN 3, а в сети VLAN 3 находятся интерфейсы Fa0/15 и Fa0/16, о чем свидетельствует выделенная часть вывода команды show vlan brief. (эквивалент глобальной команды конфигурации

Протокол создания магистралей Прежде чем перейти

VLAN

к следующим примерам конфигурации, следует узнать

о прежнем протоколе Cisco - протоколе создания магистралей VLAN (VLAN Truпking Protocol - VТР). Это собственный протокол компании Cisco, выполняющийся на ее коммутаторах. Он анонсирует каждую сеть ре командой

vlan

VLAN,

настроенную на одном коммутато­

номер, чтобы о ней узнали все остальные коммутаторы в террито­

риальной локальной сети. Однако по разным причинам в большинстве корпоратив­ ных сетей протокол VТР не используют. Эта книга не пропагандирует протокол VТР. Но он оказывает некоторое влияние

на работу коммутаторов

Cisco Catalyst, даже если не используется. В этом кратком

Глава 1. Реализация виртуальных локальных сетей Ethernet

69

разделе протокол УТР обсуждается достаточно подробно, чтобы можно было заме­ тить небольшие отличия в его работе. В данной книге мы по возможности пытаемся игнорировать протокол УТР. Для этого во всех приведенных примерах коммутаторы используются в прозрачном ре­

жиме протокола УТР (глобальная команда ключении (глобальная команда

vtp mode transparent) или при его vtp mode off). Обе позволяют администратору

дать как стандартный, так и расширенный диапазон сетей числяет команды

vlan

в файле конфигурации

от­ за­

VLAN, а коммутатор пере­

running-config.

И наконец, встретив в практическом применении (выполняя упражнения лабо­ раторных работ с реальными коммутаторами или их эмуляторами) необычное пове­

дение сетей

VLAN,

проверьте состояние протокола УТР командой

show vtp status.

Если коммутатор будет использовать серверный или клиентский режим УТР, то об­ наружится следующее:

•

серверные коммутаторы могут настраивать сети диапазоне

• •

только в стандартном

клиентские коммутаторы не могут настраивать сети

VLAN; VLAN

благодаря УТР серверы и клиенты могут узнавать о новых мутаторов, а также видеть свои сети

•

VLAN

(1-1005);

команда

show running-config

от других ком­

VLAN удаленными другими коммутаторами;

не отображает команды

vlan.

Если в лабораторной работе это возможно, переходите в прозрачный режим

УТР, а в практической задаче по настройке конфигурации коммутатора игнори­

руйте УТР, пока не изучите экзаменационные темы

JCND2

и не будете готовы

работать с УТР. ВНИМАНИЕ! Не изменяйте параметры VТР на подключенном к рабочей сети коммутаторе, пока не узнаете

в главе

5 точно,

как работает VТР

Конфигурация магистрального соединения

VLAN

Настройка магистрального соединения между двумя коммутаторами

Cisco

может

быть очень простой, если она осуществляется только статически. Например, если два коммутатора

кол

802. IQ,

Cisco 2960 соединены один с другим, они поддерживают только прото­ ISL. Достаточно добавить буквально одну подкоманду интерфейса

но не

для порта коммутатора на каждой стороне канала связи

и будет получен магистральный канал

VLAN,

(swi tchport mode trunk),

поддерживаемый всеми сетями

VLAN,

известными каждому коммутатору.

Однако конфигурация магистрали на коммутаторах

Cisco

имеет еще много воз­

можностей, включая несколько вариантов для динамических переговоров о разных

параметрах магистрали. Либо они могут быть заданы предварительно, либо коммута­ торы могут сами договориться о них следующим образом.

•

Тип магистрального соединения: протокол 1ЕЕЕ, протокол

802.1 Q или

перегово­

ры о применяемом протоколе.

•

Административный режим: всегда магистральный канал, никогда магистраль­ ный канал или переговоры.

Часть

70

1. Локальные сети Ethernet

Сначала рассмотрим тип магистрального соединения. Коммутаторы держивающие протоколы

ISL

и

802.IQ,

Cisco,

под­

способны вести переговоры об используе­

мом типе с помощью протокола динамического согласования магистральных каналов Если оба коммутатора поддерживают оба прото­

(Dynamic Trunk Protocol - DTP). кола, они используют протокол

ISL;

протокол. Современные коммутаторы

ISL.

в противном случае они используют общий

Cisco

не поддерживают устаревший протокол

Коммутаторы, поддерживающие оба типа магистрального соединения, исполь­

зуют подкоманду интерфейса

switchport trunk encapsulation {dotlq 1 isl 1

DTP договаривать­

.пля того, чтобы задать тип или поз1юлить протоколу

negotiate} ся о типе.

DTP

Протокол

позволяет также согласовать административный режим локаль­

ных портов коммутаторов. Под административным режимом (administrative mode) подразумевается настройка конфигурации, определяющая, должно ли использовать­ ся магистральное соединение на интерфейсе. У каждого интерфейса также есть ра­ бочий режим

(operational mode),

когда интерфейс выполняет присущие ему действия,

возможно, выбранные протоколом

DTP

в ходе переговоров с другим устройством.

Для определения административного режима магистрали коммутаторы пользуют подкоманду интерфейса ми в табл.

swi tchport mode

Cisco

ис­

с параметрами, перечисленны­

1.1.

Таблица

1.1.

Параметры комаtщы

swi tchport mode,

определяющие административный режим магистрали Параметр

Описание

access

Всегда быть портом доступа (а не магистрального канала)

trunk

Всегда быть портом магистрального канала

dynamic desiraЫe

Передавать и отвечать на сообщения переговоров, чтобы динамически решить, использовать ли магистральное соединение

dynamic auto

Пассивно ожидать получения сообщений переговоров. При получении таковых вести переговоры об использовании магистрального соединения

В качестве примера рассмотрим два коммутатора на рис. ная на рис.

1.11,

1.12.

Это сеть, показан­

дополненная магистральным каналом к новому коммутатору

часть портов которого подключена к сетям VLAN 1 и VLAN соединения оба коммутатора используют канал связи GigaЬit

SW2, 3. Для магистрального Ethernet. В данном слу­

чае магистральное соединение не создается динамически, поскольку у обоих ком­

мутаторов

(2960)

стандартно задан административный режим

dynamic auto,

а это

значит, что ни один из них не инициализирует процесс согласования магистрального

соединения. После изменения конфигурации одного коммутатора .пля использова­ ния режима

dynamic

desiraЫe, предназначенного .пля инициализации перегово­

ров, на коммутаторах проводится согласование магистрального соединения, а имен­

но

-

соединения по протоколу

только протокол Пример

1.3

таторов на рис. между ними.

802.1 Q,

поскольку коммутаторы

2960

поддерживают

802. 1Q.

начинается с отображения стандартной конфигурации двух комму­

1.12

и позволяет убедиться в отсутствии магистрального соединения

Глава 1. Реализация виртуальных локальных сетей Ethernet

VLAN 2

Fa0/ 13

VLAN 1

VLAN 3

g

g

-

а,

"'L

~

GI0/ 1 Магистраль

Рис.

Пример

1.3.

1.12.

Сеть с двумя коммутаторами и тремя сетями

VEAN

Изначальное (стандартное) состояние: между коммутаторами

SW1

и

SW2

нет магистрального соединения

SWl# show interfaces gigahit 0/1 switchport Name: GiO/l Switchport: ЕпаЫеd Admiпistrative Mode : dyпamic auto Operational Mode : static access Administrative Trunking Encapsulation : dotlq Operatioпal Trunking Encapsulation : native Negotiatioп of Truпkiпg: Оп Access Mode VLAN: 1 (default) Truпkiпg Native Mode VLAN: 1 (default) Admiпistrative Native VLAN taggiпg: епаЫеd Voice VLAN : none Access Mode VLAN: 1 (default) Truпkiпg Native Mode VLAN: 1 (default) Admiпistrative Native VLAN taggiпg: епаЫеd Voice VLAN: попе Admiпistrative

private-vlaп

Admiпistrative

private-vlaп mappiпg:

host-associatioп:

Admiпistrative private-vlaп

truпk

Admiпistrative

private-vlaп

truпk

Admiпistrative private-vlaп

truпk

Admiпistrative private-vlaп

truпk

Admiпistrative

truпk

Operatioпal

private-vlaп

private-vlaп:

Trunking VLANs

EnaЬled :

попе

ALL

попе

попе

пative VLAN: попе Native VLAN taggiпg: eпcapsulatioп: dotlq пormal VLANs: попе private VLANs: попе

епаЫеd

71

Часть

72

1.

Локальные сети

Ethernet

Pruпiпg VLANs ЕпаЫеd: 2-1001 Capture Mode DisaЫed Capture VLANs Allowed: ALL

Protected: false Uпkпоwп

uп1cast

Ыocked:

disaЫed

multicast Ыocked: Appliaпce trust: попе Uпkпоwп

! !

Обратите внимание ,

disaЫed

выполнение следующей команды приводит

к

появлению одной пустой строки вывода .

SWl# show interfaces trunk SWl# Прежде всего рассмотрим важные сведения, содержащиеся в выводе команды

в начале примера

show interfaces swi tchport

1.3.

Вывод демонстрирует приме­

нение стандартного значения административного режима

dynamic auto.

В комму­

таторе SW2 также применяется значение dynamic auto, поэтому в выводе команды состояния коммутатора SWl показано как access, а это значит, что магистральное соединение отсутствует. В третьей выделенной строке показан единственный под­

держиваемый тип магистрального соединения мутаторе, поддерживающем оба протокола,

negotiate,

(802.1 Q) в коммутаторе 2960. (На ком­ ISL и 802.1 Q, это было бы значение

означающее переговоры о типе или инкапсуляции магистрального сое­

динения.) Наконец фактически применяемый тип магистрального соединения ука­ зан как

nati ve, а 802.lQ.

значит, используется собственная сеть

VLAN

в соответствии с про­

токолом

Пример завершается командой

show interfaces trunk,

но без вывода. Эта ко­

манда выводит информацию обо всех интерфейсах магистральных каналов, работа­ ющих в настоящий момент, т.е. перечисляет интерфейсы, которые в настоящее время

используют магистральное соединение

VLAN.

Не перечисляя интерфейсы, эта ко­

манда также подтверждает, что канал связи между коммутаторами не является магис­

тральным соединением.

Теперь рассмотрим пример

1.4, демонстрирующий

новую конфигурацию, при ко­

торой магистральное соединение разрешено. В данном случае коммутатор строен командой

swi tchport mode dynamic

SWl

на­

desiraЫe, требующей от коммутатора

начать процесс переговоров, а не ждать их от другого устройства. Как только команда будет введена, появятся регистрационные сообщения, свидетельствующие об отклю­ чении, а затем о включении интерфейса, как обычно происходит при переходе ин­

терфейса из режима доступа в режим магистрального канала. Пример

1.4.

Изменение режима коммутатора с

dynamic auto

на

dynamic

SW1

desiraЫe

SWl# configure terminal Eпter

coпfiguratioп commaпds,

опе per liпe. Епd with CNTL/Z. interface gigaЬit 0/1 SWl(coпfig-if)# switchport mode dynamic desiraЬle

SWl(coпfig)#

SWl(coпfig-if)#

лz

SWl# %LINEPROT0-5-UPDOWN: Line protocol on Interface

GigabitEtherпetO/l,

chaпged

Глава

1. Реализация виртуальных локальных сетей Ethernet

73

state to down %LINEPROT0-5-UPDOWN: Line protocol on Interface GigabitEthernetO/l, changed state to up SWl# show interfaces gigaЬit 0/1 switchport Name: Gi0/1 Switchport: EnaЬled Administrative Mode : dynamic desiraЫe Operational Mode : trunk Administrative Trunking Encapsulation : dotlq Operational Trunking Encapsulation : dotlq Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) ' строки пропущены для краткости Следующая

команда

раньше

выводила одну

пустую строку,

а

теперь

ее

вывод

содержит информацию об одной действующей магистрали .

SWl# show interfaces trunk Port GiO/l

Mode

Port GiO/l

Vlans allowed on trunk 1-4094

Port GiO/l

Vlans allowed and active in management domain 1-3

Port GiO/l

Vlans in spanning tree forwarding state and not pruned 1-3

desiraЫe

Encapsulation 802 . lq

SWl# show vlan id 2 VLAN Name 2

Freds-vlan

VLAN

Туре

SAID

2

enet

100010 1500 -

MTU

Status Native vlan trunking 1

Status

Ports

active

Fa0/13 , Fa0/14 , GO/l

Parent RingNo BridgeNo Stp BrdgMode Transl Trans2 о

о

Remote SPAN VLAN DisaЫed

Primary Secondary

Туре

Ports

Для проверки того, что магистральное соединение теперь работает, в середи­

не примера мание:

в ее

1.4 введена команда show interfaces swi tchport. Обратите вни­ выводе

по-прежнему отображаются административные

параметры,

Часть

74

1. Локальные сети Ethernet

демонстрирующие введенные в конфигураuию значения, но наряду с ними отобра­ жаются рабочие настройки, благодаря чему можно узнать, какие действия в настоя­

щее время выполняются коммутатором. В данном случае коммутатор

SW\

находится

в рабочем режиме магистрального канала с применением инкапсуляции

В конце примера приведен вывод команды

отображает интерфейс

GO/\,

dotlQ. show interfaces trunk, который

подтверждая, что теперь он работает как магистраль.

Смысл вывода этой команды обсуждается в следующем разделе. Для подготовки к экзаменам следует быть готовым интерпретировать вывод ко­ манды

show vlan id 2,

разбираться в том, как по ее выводу определять заданный

административный режим, и знать, должно ли А канале быть создано магистральное

соединение, если применяются указанные настройки. В табл.

1.2

перечислены соче­

тания административных режимов магистрального соединения и ожидаемые режи­

мы работы (магистральный или доступа), устанавливаемые в результате применения заданных параметров. В левой части таблицы указаны административные режимы, используемые коммутатором на одном конце канала, а в верхней части

-

админи­

стративные режимы, заданные для коммутатора на другом конце канала.

Таблица

1.2. Ожидаемый

рабочий режим магистрали

на основании параметров административных режимов

access

dynamic auto

trunk

dynamic desirahle

access

access

access

Не используется*

access

dynamic auto

Административный режим

access

access

trunk

trunk

trunk

Не используется*

trunk

trunk

trunk

dynamic

access

trunk

trunk

trunk

desiraЫe

*Когда коммутатор на одном конце находится в режиме

trunk,

access,

а на другом

-

в режиме

возникают проблемы. Избегайте такой комбинации.

Компания

Cisco

рекомендует отключать

переговоры

магистральных

каналов

на больщинстве портов для повышения их защиты. Большинство портов на боль­ шинстве коммутаторов используется для подключения пользователей. Не забывайте, что переговоры

DTP можно отключить

в целом с помощью подкоманды интерфейса

swi tchport nonegotiate. Реализация интерфейсов, подключенных к телефонам Следующая тема довольно странная, по крайней мере в контексте каналов до­

ступа и магистральных линий. В мире телефонии

Ethernet

для подключения к сети

Ethernet;

IP

телефоны используют порты

таким образом, они могут использовать

протокол порт

IP для передачи и получения голосового трафика через пакеты IP. При этом Ethernet коммутатора действует как порт доступа, но в то же время и как маги­

стральный канал до некоторой степени. Эта последняя тема главы посвящена данной концепции.

Концепции rолосовой сети

VLAN

и данных

До IР-телефонии компьютер мог находиться на том же столе, что и телефон.

Телефон обычно использовал кабель

UTP,

соединяющий его с неким голосовым

Глава

1.

Реализация виртуальных локальных сетей

Ethernet

75

устройством (голосовым коммутатором (voice switch) или мини-АТС (Private Branch Exchange - РВХ)). Компьютер, конечно, подключался с использованием неэкрани­ рованной витой пары (кабеля UTP) к обычному коммутатору LAN, находящемуся в сер верной комнате, зачастую в той же, где и голосовой коммутатор. Идея представ­

лена на рис.

1.13. Серверная

Стол пользователя

Голосовой

Телефонный кабель

коммутатор

Кабель

Рис.

Коммутатор

Ethernet

Ethernet

1. 13. До 1Р-телефонии: компьютер и телефон,

по одному кабелю

на ка.ж:дый для соединения с двумя разными устройствами

(IP telephony) относится к той области сетей, в которой те­ IP для передачи и получения голосовых данных, пред­ ставленных в виде битов в части данных пакета IP. Телефоны подключаются к сети, как и большинство других устройств конечного пользователя, используя Ethemet или Wi-Fi. Новые телефоны \Р не подключаются кабелем непосредственно к голосово­ му коммутатору, они подключаются к сети \Р кабелями Ethernet через порт Ethernet, встроенный в телефон. Далее телефоны общаются по сети 1Р с программным обеспе­ Термин /Р-телефония

лефоны используют пакеты

чением, которое заменило АТС и другие функции РВХ . (Современным продуктом от Cisco, осуществляющим эту функцию 1Р-телефонии, является Менеджер унифици­ рованной коммуникации

Cisco (Cisco Unified Communication Manager).)

Переход от использования уже существующей телефонной проводки к новой IР­ телефонии, нуждающейся в кабелях UTP с поддержкой Ethernet, вызвал определен­ ные проблемы в некоторых офисах.

• •

•

1Р) зачастую не были способны Ethernet в 100 или IOOO Мбит/с.

Кабели старых телефонов (не рость передачи данных

обеспечить ско­

В большинстве компаний от кабельной комнаты до каждого стола был проло­ жен только один кабель UTP, но теперь в кабеле от рабочего стола до серверной нуждались два устройства (компьютер и новый IР-телефон) . Подвести новый кабель к каждому столу было бы дорого, а кроме того, понадо­ билось бы больше портов коммутатора.

Для решения этой проблемы компания

Cisco

встроила в каждый телефон малень­

кие коммутаторы с тремя портами.

Начиная с первых IР-телефонов в их нижней части находился маленький комму­

LAN. На рис. 1.14 представлено простое кабельное соединение между сервер­ ной и одним физическим портом на встроенном коммутаторе, а также компьютером, подключенным коротким соединительным кабелем к другому физическому порту.

татор

Внутренний процессор телефона подключен к внутреннему порту коммутатора.

Часть

76

Локальные сети

1.

Ethernet Серверная

Стол пользователя Компьютер

Телефон

Кабель

Ethernet Коммутатор

Ethernet Соединительный

Встроенный

кабель

коммутатор

Рис.

1.14.

Кабельное соеди11ение через встрое11ный коммутатор

Сегодня у большинства использующих

1Р-телефонию

1?-телефона

организаций есть два

устройства на каждом порте доступа. Кроме того, в полезных советах Cisco по про­ ектированию 1Р-телефонии рекомендуется помещать телефоны в одну сеть VLAN, а компьютеры

в другую. При этом порт коммутатора действует и как канал досту­

-

па (для трафика компьютера), и как магистральный канал (для трафика телефона). Конфигурация определяет две сети

• ·: •

Определения сети данных Сеть данных

доступа

VLAN

VLAN

VLAN (data VLAN).

VLAN

на том же порте следующим образом.

и голосовой сети

VLAN

Идея и конфигурация те же, что и для сети

на порте доступа, но определенная как

VLAN

на канале свя­

зи для перенаправления трафика для устройства, соединенного с телефоном на столе (обычно

•

Голосовая сеть

-

компьютера пользователя).

VLAN (voice VLAN). VLAN

ния трафика телефона. Трафик в этой

на канале связи для nеренаправле­

VLAN

обычно отмечается заголовком

"802.IQ". На рис.

1.15

представлен проект с двумя сетями

VLAN

на портах доступа, поддер­

живающих IР-телефоны.

Голосовая

VLAN 11

сеть

VLAN Сеть

VLAN 10

данных

VLAN Рис.

1.15. Проект локальной сети с данными VLAN 10 и телефонами в сети V/,AN 11

в сети

Глава

1. Реализация виртуальных локальных сетей Ethernet

Настройка и проверка rолосовой сети

VLAN

и сети данных

77

VLAN

Настройка порта коммутатора для поддержки IР-телефонов, как только вы узна­

ете идентификаторы сетей

VLAN,

запланированных для голоса и данных, довольно

проста. Сложности могут возникнуть при изменении смысла команд

show

после их

настройки. Порт действует как порт доступа разными способами. Однако при боль­ шинстве параметров конфигурации голосовые фреймы передаются с заголовком

чтобы канал связи поддерживал фреймы в обеих

802.1 Q,

это ведет к несколько иному выводу команды

Это демонстрируется в примере тора

(F0/1-F0/4)

1.5.

VLAN

на канале связи. Но

show.

В данном случае все четыре порта коммута­

изначально имеют стандартную конфигурацию. При настройке

добавляются новые сети

VLAN для данных и

голоса. Затем все четыре порта настраи­

ваются как порты доступа и определяется сеть доступа нии

1Р-телефонии

включает команду

VLAN,

упоминается и как сеть данных

swi tchport voice vlan 11,

VLAN, которая при обсужде­ VLAN. И наконец конфигурация

которая определяет голосовую сеть

используемую на порте. Примеру соответствует рис.

но использование портов Пример

1.5.

1.15,

на котором показа­

F0/1-F0/4.

Настройка сетей

VLAN

для данных

и голоса на портах, подключенных к телефонам

SWl# configure tenni.nal Enter configuration commands, one per line. End with CNTL/Z. SWl(config)# vlan 10 SWl(config-vlan)# vlan 11 SWl(config-vlan)# interface range FastEthernet0/1 - 4 SWl(config-if)# switchport mode access SWl(config-if)# switchport access vlan 10 SWl(config-if)# switchport voice vlan 11 SWl(config-if)#лz

SWl# ВНИМАНИЕ!

Для работы с

1Р-телефонами Cisco

на интерфейсе для голосового порта доступа должен быть

разрешен протокол СОР, обсуждаемый в главе

33.

Стандартно протокол СОР разрешен, поэ­

тому его настройка здесь не представлена.

Для простоты обзора и изучения этапы настройки приведены ниже .

Настройка сетей VLAN для данных и голоса

• Этап

VLAN для данных и голоса еще не существует на коммутаторе, vlan идентификатор vlan в глобальном режиме конфигурации, чтобы их создать Этап 2 Настройте сеть данных VLAN в качестве сети доступа VLAN как обычно. А. Используйте команду interface тип номер в глобальном режиме 1

Если сетей

используйте команду

конфигурации, чтобы перейти в режим конфигурации интерфейса. В. Используйте команду

swi tchport access vlan

идентификатор

в режиме конфигурации интерфейса, чтобы определить сеть данных

v lan

VLAN.

Часть

78

1.

Локальные сети

С. Используйте команду

Ethernet

swi tchport mode access

в режиме

конфигурации интерфейса, чтобы заставить этот порт всегда работать в режиме доступа (т.е. немагистрального канала)

Этап

3

Используйте команду

swi tchport voice vlan

идентификатор

vlan

в режиме конфигурации интерфейса, чтобы установить идентификатор голосовой сети

VLAN

Проверка состояния порта коммутатора, настроенного, как в примере монстрирует несколько иной

вывод по сравнению с чистыми

1.5,

де­

конфигурациями

порта доступа или порта магистрального канала, приведенными ранее в этой главе.

Например, команда show interfaces swi tchport демонстрирует подробности ра­ боты интерфейса, включая многие детали о портах доступа. Пример 1.6 демонстри­ рует эти подробности для порта Пример

1.6.

F0/4

Проверка сети данных и голосовой сети

после добавления конфигурации в примере

VLAN

(сети доступа

1.5.

VLAN)

VLAN

SWl# show interfaces FastEthernet 0/4 switchport Name: Fa0/4 Switchport: EnaЫed Administrative Mode : static access Operational Mode : static access Administrative Trunking Encapsulation: dotlq Operational Trunking Encapsulation: native Negotiation of Trunking: Off Access Mode VLAN : 10 (VLAN0010) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enaЫed Voice VLAN : 11 (VLANOOll) Остальная

часть

вывода

пропущена

для

краткости

В первых трех выделенных строках вывода все подробности должны быть зна­

комы для любого порта доступа. Команда конфигурации

swi tchport mode access

стати,1ески устанавливает административный режим, чтобы настроить порт, как порт

доступа, поэтому порт, конечно, работает, как порт доступа. Кроме того, как показа­ но в третьей выделенной строке, команда конфигурации

10

определила режим доступа

VLAN,

swi tchport access vlan

как выделено в выводе.

Четвертая выделенная строка демонстрирует новую информацию: идентифика­

тор голосовой сети

vlan 11.

VLAN,

заданный в данном случае командой

Эта небольшая строка вывода

-

swi tchport voice

единственная информация, которой вывод

отличается от прежних примеров для порта доступа в этой главе.

Эти порты действуют скорее как порты доступа, чем как порты магистрального

канала. Фактически команда

show interfaces тип номер swi tchport смело объ­ Operational Mode: static access (Рабочий режим: статический доступ). Однако другая команда show показывает лишь немного больше об основной работе с пакетами, отмеченными заголовком "802.1 Q" для голосовых фреймов. Как уже упоминалось, команда show interfaces trunk (т.е. команда, которая являет

не упоминает конкретный интерфейс в середине) выводит рабочие магистральные каналы на коммутаторе. Ни один из портов IР-телефонии не приведен в списке ма­ гистральных каналов

-

это доказательство того, что эти каналы связи не рассматри­

ваются как магистральные каналы. Пример

1.7 демонстрирует

именно это.

Глава

1. Реализация виртуальных локальных сетей Etherпet

79

Однако команда

show interfaces trunkc указанием интерфейса в середине, так­ 1. 7, действительно выводит немного дополнительной Обратите внимание, что в данном случае команда show interfaces

же представленная в примере информации.

FO/ 4 trunk

выводит состояние интерфейса как не магистральное соединение, но при

разрешенных сетях

VLAN 1О

и 11 на магистральном канале. (Обычно на порте досту­ VLAN, указываемая в выводе этой команды как Vlans VLAN, разрешенные на магистральном канале).)

па есть только сеть доступа

allowed on trunk (Сети Пример

1.7. Указание

в выводе разрешенных и активных сетей

VLAN

SWl# show interfaces trunk SWl# show interfaces F0/4 trunk Encapsulation 802.lq

Status not-trunking

Native vlan 1

Port Fa0/4

Mode of f

Port Fa0/4

Vlans allowed on trunk 10-11

Port FaO/ 4

Vlans allowed and active in management domain 10-11

Port Fa0/4

Vlans in spanning tree forwarding state and not pruned 10-11

Резюме по портам IР-телефонии на коммутаторах

Может показаться, что этот короткой раздел об IР-телефонии и конфигурации коммутаторов включает множество важных мелочей, и это так. Вот самые важные для понимания элементы.

• ·: •

Концепции сетей

VLAN для данных и голоса, конфиrурация и проверка

Сначала настраивайте эти порты, как обычные порты доступа: сделайте их ста­

тическими портами доступа и присвойте им сеть доступа

•

Добавьте еще одну команду

(switchport voice голосовую сеть VLAN.

vlan), чтобы определить

•

VLAN.

vlan

Ищите упоминание об идентификаторе голосовой сети

show interfaces

тип

номер

swi tchport

идентификатор_

но команда

VLAN,

не даст в выводе никаких других

новых фактов.

•

Ищите в выводе команды торы сетей

•

VLAN

show interfaces

тип номер

trunk

идентифика­

для голоса и данных.

Не ожидайте в выводе команды

show interfaces trunk увидеть

ске рабочих магистральных каналов.

порт в спи­

Часть

80

1.

Локальные сети

Ethernet

Обзор Резюме

•

Сети

VLAN

позволяют создать на одном физическом коммутаторе множество

широковещательных доменов.

•

У меньших широковещательных доменов с использованием сетей много

преимуществ,

включая

сокращение

количества

хостов,

VLAN

есть

получающих

широковещательные, групповые и одноадресатные фреймы с неизвестным получателем; увеличение защищенности за счет изоляции трафика; а также гибкость проекта сети.

•

Магистральное соединение жество сетей

•

Стандарт

VLAN

VLAN

используется для передачи трафика во мно­

по одному физическому соединению между коммутаторами.

IEEE 802.IQ

для магистрального соединения подразумевает допол­

нительный 4-байтовый тег в заголовке

•

Ethernet,

позволяющий отметить сеть

которой принадлежит пакет.

VLAN,

Маршрутизация между сетями

VLAN

требует такого устройства уровня

маршрутизатор, настроенный, как магистральный интерфейс или коммутатор уровня

802.1 Q •

3.

Существует четыре административных режима магистрального порта комму­ татора:

•

3, как (ROAS) IEEE

access, trunk

(статический),

dynarnic

desiraЫe и

dynarnic auto.

Если на порте коммутатора настроен административным режим

access,

он

trunk,

он

будет всегда оставаться в рабочем режиме доступа.

•

Если на порте коммутатора настроен административным режим всегда будет оставаться в рабочем режиме магистрального канала.

•

Если на порте коммутатора настроен административным режим

dynarnic

desiraЫe, он попытается сформировать магистральный канал с дистанцион­ ным устройством, настроенным на административный режим desiraЫe или

•

Если

на порте коммутатора настроен административным режим

auto,

он сформирует магистральный канал с дистанционным устройством,

настроенным на административный режим

•

dynarnic

desiraЫe или

dynarnic trunk.

При подключении к решению для IР-телефонии на порте коммутатора могут

быть настроены сетью данных

вой сети

•

trunk, dynarnic

dynarnic auto.

VLAN

VLAN

и голосовая сеть

VLAN.

обычно маркируется согласно стандарту 1ЕЕЕ

При настройке порта коммутатора для

1Р-телефонии

Трафик голосо­

802.1 Q.

настройте его, как обыч­

ный порт доступа, а затем добавьте дополнительные голосовые команды кон­

фигурации для поддержки голосовой сети

VLAN.

Контрольные вопросы

1.

Какой из следующих терминов, применяемых в локальной сети, наиболее точ­

но соответствует термину сеть

VLAN?

А) Домен коллизий. Б) Широковещательный домен.

Глава

1.

Реализация виртуальных локальных сетей

Ethernet

81

В) Домен подсети.

Г) Оrдельный коммутатор. Д) Магистраль.

2.

Предположим, имеется коммутатор с тремя сетями VLAN. Сколько требуется подсетей IP при условии, что на всех хостах во всех сетях VLAN должны при­ меняться протоколы TCP/IP? А) О. Б)

1.

В)

2.

Г)

3.

Д) Об этом нельзя судить на основании лишь предоставленной информации.

3.

Коммутатор

SWI посылает фрейм коммутатору SW2 по магистрали, использу­ 802.1 Q. Какой из ответов описывает процесс изменения или коммутатором SWI заголовка фрейма Ethernet перед его перена­ на коммутатор SW2?

ющей протокол добавления правлением

А) Добавляет 4-байтовый заголовок и изменяет МАС-адрес. Б) Добавляет 4-байтовый заголовок и не изменяет МАС-адрес. В) Инкапсулирует первоначальный фрейм в совершенно новый заголовок

Ethemet. Г) Все ответы неверные.

4.

Предположим, получено такое указание, что коммутатор 1 настроен с параме­ тром dynamic auto для создания магистрали на интерфейсе Fa0/5, который подключен к коммутатору 2. Необходимо настроить конфигурацию коммута­ тора 2. Какая из следующих настроек для магистрального соединения может обеспечить работу магистрали? (Выберите два ответа.)

А) Перевод магистрали в режим Б) Параметр

dynamic auto.

В) Параметр

dynarnic

Г) Параметр

access.

trunk.

desiraЬle.

Д) Все ответы неверные.

5.

Коммутатор только что получен от корпорации Cisco. Еще не проводилось ни­ VLAN, протокола УТР или любой другой конфигурации. Инженер настраивает команды vlan 22 и narne Hannahs-VLAN, а затем вы­ ходит из режима конфигурации. Какое из следующих утверждений является каких настроек сетей

истинным? отображается сеть

А) В выводе команды

show vlan brief

Б) В выводе команды

show running-config

В) Сеть

VLAN 22

VLAN 22.

отображается сеть

YLAN 22.

не создается в этом процессе.

Г) Сеть VLAN 22 не существует в этом коммутаторе до тех пор, пока в нее не добавлено ни одного интерфейса.

Часть

82

6.

1.

Локальные сети

Ethernet

Какая из следующих команд по:3Воляет получить информацию о состоянии интерфейсов коммутатора, т.е. работают ли они в настоящий момент как маги­ стральные каналы

VLAN'!

(Выберите два ответа).

А)

show interfaces

Б)

show interfaces swi tchport

В)

show interfaces trunk

Г)

show trunks

Обзор главы Обзор этой главы осуществляется с использованием инструментов книги, образа

DVD

или интерактивных инструментов для того же материала на веб-сайте книги.

Ключевые элементы и их местоположение приведены в табл.

1.3.

Чтобы лучше про­

следить свой прогресс в обучении, запишите во втором столбuе дату завершения этих действий.

Таблица

1.3.

Процесс изучения главы

Элемент обзора

Дата

Используемый ресурс

Ключевые темы

Книга, образ DУD/веб-сайт

Ключевые термины

Книга, образ DУD/неб-сайт

Контрольные вопросы

Книга, РСРТ

Лабораторные работы

Книга,

Таблицы для запоминания

Книга, образ DУD/неб-сайт

Списки конфигурации

Книга, образ DУD/веб-сайт

Таблицы команд

Книга

Sini Lite,

блог

Ключевые темы Повторите все ключевые темы данной главы, отмеченные пиктограммой "Ключевая тема". Ключевые темы и соответствующие им страницы приведены в табл.

Элемент Рис.

1.2

Описание

Список

Страница

Создание двух широковещательных доменов с использование\1 одного коммутатора и сети

1.4.

55

VLAN

Причины применения сетей

VLAN

VLAN

56

Рис.

1.5

Магистральное соединение

Рис.

1.6

Заголовок магистрального соединения по стандарту

Рис.

1.9

между двумя коммутаторами

Маршрутизация между двумя сетями

VLAN

магистрального канала на маршрутизаторе

802.1 Q

с использованием

58

59 62

Глава

1. Реализация виртуальных локальных сетей Ethernet

83

Окончание табл.

Элемент

Рис.

Маршрутизация между сетями уровня

Табл.

Страница

Описание

1.1 О 1.1

1.4

VLAN

с использованием коммутатора

63

определяющие

70

3

Параметры команды

switchport mode,

административный режим магистрали

Табл.

1.2

Ожидаемый рабочий режим магистрали на основании параметров

74

административных режимов

Список

Определения сети данных

Список

Концепции сетей

VLAN

и голосовой сети

VLAN для данных

76

VLAN

и голоса, конфигурация

79

и проверка

Ключевые термины Стандарт

802.1 Q (802.1 Q), магистраль (trunk), административный режим маги­ (trunking administrative mode), рабочий режим магистрали (trunking operational mode ), сеть VLAN (VLAN ), протокол Vf P (Vf P), сквозной режим Vf P (Vf Ptransparent mode), коммутатор уровня 3 (Layer 3 switch), интерфейс доступа (access interface), ма­ гистральный интерфейс (trunk interface), сеть данных VLAN (data VLAN), голосовая сеть VLAN (voice VLAN). страли

Таблицы команд В табл.

1.5

и

1.6

приведены команды конфигурации и проверки, используемые

в этой главе. Рассматривайте их как простое упражнение: закройте левый столбец,

прочитайте правый столбец и попытайтесь вспомнить команду. Затем повторите это упражнение, закрыв правый столбец и попытавшись вспомнить, что делает команда.

Таблица

1.5.

Команды конфигурации Описание

Команда

vlan

идентификатор_ vlan

Глобальная команда конфигурации, позволяющая создать сеть

VLAN

и перевести интерфейс командной

строки в режим настройки конфигурации сети

name

имя

vlan

Подкоманда сети

сети

[no] shutdown

VLAN,

VLAN

позволяющая присвоить имя

VLAN

Подкоманда режима

(no shutdown)

VLAN,

позволяющая включить

или отключить

(shutdown)

сеть

VLAN

[no] shutdown vlan

Глобальная команда конфигурации, аналогичная

идентификатор_ vlan

подкоманде режима

vtp mode {server 1 client transparent 1 off}

режим VТР

switchport mode {access 1 dynamic {auto 1 desiraЬle} trunk}

VLAN [no] shutdown

Г,~обальная команда конфигурации, определяющая

Подкоманда интерфейса, задающая административный режим магистрального соединения на интерфейсе

Часть

84

1. Локальные сети Ethernet Окончание табл.

1.5

Описание

Команда

switchport access vlan

Подкоманда интерфейса, применяемая дпя статической

идентификатор_ vlan

настройки интерфейса при подключении к одной

указанной сети

switchport trunk encapsulation {dotlq 1 isl 1 negotiate}

VLAN

Подкоманда интерфейса, определяющая тип используемого магистрального соединения с учетом того, задано ли магистральное соединение

в конфигурации или согласовано

swi tchport trunk nati ve vlan идентификатор_ vlan switchport nonegotiate

Подкоманда интерфейса, определяющая собственную сеть YLAN для порта магистрального канала Подкоманда интерфейса, запрещающая согласование при создании магистрали

switchport voice vlan v lan

VLAN

Подкоманда интерфейса, определяющая голосовую

идентификатор_

сеть

VLAN

на порте и означающая, что коммутатор

использует для фреймов в этой сети

switchport trunk allowed vlan {add 1 all 1 except remove} список vlan Таблица

1.6.

VLAN

метки

802.1 Q

Подкоманда интерфейса, определяющая список

разрешенных сетей

VLAN

Пользовательские команды Описание

Команда

show interf aces

Выводит информацию о любом интерфейсе,

идентификатор_интерфейса

относящуюся к административным настройкам

switchport

и рабочему состоянию

show interf aces

Выводит информацию обо всех действующих

идентификатор_интерфейса

магистралях (но не о других интерфейсах), включая

trunk

список сетей

VLAN,

трафик которых может быть

перенаправлен по данной магистрали

show vlan [brief 1 id 1 name имя_vlап 1 summary)

Выводит информацию о сети

show vlan [vlan)

Отображает информацию о сети

VLAN

идентификатор_vlап

show vtp status

Выводит информацию о конфигурации протокола

УТР и о состоянии

Ответы на контрольные вопросы

1-

Б.

2-

Г.

3-

VLAN

Б.

4-

А, В.

5-

А, Б.

6-

Б, В.

ГЛАВА

2

Концепции протокола распределенного связующего дерева

Протокол распределенного связующего дерева

Ethernet

(STP)

позволяет локальным сетям

получать преимущество от установки избыточных каналов связи в

LAN

без

возникновения известных проблем, связанных с наличием дополнительных кана­ лов связи. Использование избыточных каналов связи в проекте LAN позволяет ей сохранять работоспособность после нарушения некоторых каналов связи или даже

отказа коммутатора. Хороший проект локальной сети подразумевает достаточную избыточность, чтобы отказ даже одного отдельного элемента не смог нарушить ее

работу; протокол STP позволяет использовать в проекте избыточность, не создавая некоторых дополнительных проблем. Протокол STP затрагивает множество аспектов логики перенаправления комму­

татора. Поскольку компания Cisco вынесла темы STP в часть ICND2 экзамена CCNA Routing and Switching, во всех примерах в книге по ICN D 1 отсутствуют подробности, связанные с избыточными каналами связи в локальных сетях. Большинство приме­ ров LAN в книге по ICND2 включают избыточность. Поэтому приготовьтесь пере­

осмыслить то, что вы узнали о локальных сетях из книги по ICND\, и привыкать к локальным сетям с избыточными каналами связи, а также влиянию на их работу протокола STP и связанных с ним средств. Материал в этой главе организован в три раздела. Первый знакомит с фундамен­ тальными концепциями протокола STP, относящимися к большинству типов STP. За последние годы протокол STP был улучшен и изменен, одним из главных усовер­ шенствований является протокол Rapid STP (RSTP). Первый раздел рассматривает концепции STP без дополнительной логики RSTP, концепциям RSTP посвящен вто­ рой раздел главы. В заключительном разделе обсуждаются некоторые средства опти­

STP: режим PortFast, служба BPDU Guard и каналы EtherChannel. Что касается экзаменационных тем этой главы, обратите внимание, что во всех них встречаются одинаковые слова: "настройка", "проверка'', "поиск и устранение неисправностей". Глава не углубляется в каждую из конкретных тем, она скорее ор­

мизации и защиты

ганизует их, чтобы подготовить читателя к изучению подробностей настройки, про­

верки, поиска и устранения неисправностей этих средств в главах

3 и 4.

86

Часть

1. Локальные сети Ethernet

В этой главе рассматриваются следующие экзаменационные темы

1.0.

Технологии коммутации сетей

1.3.

LAN

Настройка, проверка, поиск и устранение неисправностей протоколов

1.3.а. Режим

STP (PVST +

и

RPVST +)

1.3.Ь. Выбор корневого моста

1.4.

STP

Настройка, проверка, поиск и устранение неисправностей необязательных

средств, связанных с протоколом 1.4.а.

STP

PortFast

1.4.Ь. Служба

1.5.

STP

BPDU Guard

Настройка, проверка, поиск и устранение неисправностей (уровень

уровень

3)

EtherChanпel

1.5.а. Статика 1.5.Ь.

PAGP

1.5.с.

LACP

2/

Глава

2.

Концепции протокола распределенного связующего дерева

87

Основные темы Протокол распределенного связующего дерева

(IEEE 802.1 D) Без протокола распределенного связующего дерева

(Spanning Tree Protoco\ - STP) Ethernet

локальная сеть с избыточными каналами связи могла бы передавать фреймы по кругу неопределенно долгое время. Протокол

STP

позволяет блокировать некото­

рые порты коммутатора так, чтобы они не передавали фреймы. Протокол

STP разум­

но выбирает блокируемые порты с учетом двух задач.

•

Все устройства в сети

VLAN

способны передавать фреймы на все другие устрой­

ства, т.е. блокировать следует не слишком много портов, чтобы не отрезать одни

части сети

8

LAN

от других.

Фреймы имеют короткую продолжительность существования, что не позволя­ ет передавать их по кругу неопределенно долго.

Протокол

STP

соблюдает баланс, позволяя доставлять фреймы каждому устрой­

ству, но не вызывать проблем, связанных с круговой передачей фреймов по сети.

Для предотвращения круговой передачи фреймов протокол

STP добавляет допол­

нительную проверку на каждом интерфейсе, прежде чем коммутатор использует его для передачи или получения пользовательского трафика. Проверка такова: если порт находится в состоянии перенаправления для данной сети

VLAN,

то использовать его

как обычно; если он находится в состоянии блокировки, блокировать весь пользо­ вательский трафик, не посылать и не передавать пользовательский трафик на этом интерфейсе для данной сети

VLAN. STP

Отметим, что эти состояния

не изменяют другую информаuию, уже извест­

ную об интерфейсах коммутатора. Состояние интерфейса

connected/notconnect

не изменяется. Рабочее состояние интерфейса, доступа или магистрального канала не изменяется. Протокол блокировки (Ьlockiпg

state),

добавляет свое дополнительное состояние, состояние

STP

просто отключая интерфейс.

Хотя и разными способами, но в этих двух последних разделах подводится итог тому, что делает протокол

STP.

Однако подробности того, как именно протокол

STP

осуществляет свою работу, могут потребовать длительного изучения и практики. Первый главный раздел этой главы начинается с объяснения необходимости в про­

токоле

STP

и фундаментальных идеях, благодаря которым протокол

STP

решает

проблемы uиклической передачи фреймов. Большая часть этого раздела посвящена

выбору протоколом

STP блокируемых

портов коммутатора длн решения своих задач.

Потребность в связующем дереве Протокол STP предотвращает три общие проблемы локальных сетей Etherпet. Фактически все три проблемы - это побочные эффекты uиклической передачи не­ которых фреймов Ethemet на протяжении довольно продолжительного времени (ча­ сов, дней или даже постоянно, пока не откажут устройства или каналы связи сети

LAN).

Стандартно протокол

STP

на коммутаторах

Cisco

запущен, но вы можете его

отключить. Не отключайте его, если не знаете точно, что делаете! Даже один фрейм, передаваемый в сети по кругу, может вызвать широковещатель­ ный шторм

(broadcast storm).

Широковещательный шторм происходит тогда, когда

Часть

88

1.

Локальные сети

Ethernet

широковещательные, многоадресатные или одноадресатные фреймы для неизвестного

получатели циклически передаются по сети

Широковещательные штормы спо­

LAN.

собны заполнить все каналы связи копиями этого одного фрейма, вытесняя полезные фреймы, а также значительно снижая производительность устройств конечного поль­ зователя, заставляя его обрабатывать слишком много широковещательных фреймов. Чтобы помочь понять, как это происходит, на рис.

2.1

приведен пример сети, в ко­

торой компьютер ВоЬ посылает широковещательный фрейм. Пунктирные линии по­ казывают, как коммутаторы перенаправляют фрейм без протокола

STP.

ВНИМАНИЕ! Первоначальный широковещательный фрейм может быть также послан по кругу в проти­

воположном направлении, когда коммутатор SWЗ пошлет копию первоначального фрейма через свой порт

GiO/I.

На рисунке это не показано, чтобы не загромождать его.

Помните описанную ранее логику сети

LAN?

Она требует от коммутатора пере­

дать широковещательный фрейм на все интерфейсы в той же сети

VLAN,

кроме того

интерфейса, на который прибыл фрейм. Согласно рисунку это означает, что комму­ татор SWЗ перенаправит фрейм, полученный с компьютера ВоЬ, на коммутатор SW2, а он перенаправит фрейм на коммутатор SWI, который, в свою очередь, перенапра­ вит его назад, на коммутатор SWЗ, а тот снова перенаправит его на коммутатор

SW2.

Archie

Larry

~ Fa0/11

GI0/1 GI0/2

GI0/2

~;с:_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_~-~~~--- :-ff

'

'

, '," ' ,' '

у

GI0/1

Fa0/12

'

'

'f ,' ,'

J..

GI0/2

Fa0/131 ВоЬ

0200.3333.3333 Рис.

2.1.

//Jироковещательный шторм

Когда происходит широковещательный шторм, как на рис.

2.1,

фреймы переда­

ются бесконечно, пока что-то не изменится: отключится интерфейс, перезагрузится коммутатор или еще нечто нарушит цикл. Обратите также внимание, что все то же самое происходит и в противоположном направлении. Когда компьютер ВоЬ переда­ ет первоначальный фрейм, коммутатор SWЗ перенаправляет его копию и на комму­ татор

SWI,

он

на коммутатор

-

SW2

и т.д.

Широковещательный шторм приводит также к другой, намного более серьез­

ной

проблеме

-

неустойчивости таблицы

МАС-адресов (МАС tаЫе

instaЬility).

Глава

2.

Концепции протокола распределенного связующего дерева

89

Неустойчивость таблиuы МАС-адресов означает, что информаuия таблиuы МАС­ адресов коммутатора постоянно изменяется, поскольку фреймы с тем же МАС­ адресом отправителя поступают в разные порты. Чтобы узнать, почему, рассмотрим

пример, в котором коммутатор

внизу на рис.

SW3,

2.1,

начинает с записи в таблиuе

МАС-адресов, ассоuиирующей компьютер ВоЬ с портом

fa0/13

0200.3333.3333

Fa0/13:

VLAN 1

Теперь рассмотрим проuесс обучения коммутатора, происходящий при передаче uиклического фрейма на коммутатор

SW2,

затем

на коммутатор

-

SWI.

а затем

-

на­

зад, на интерфейс GIO/I коммутатора SW3. Коммутатор SW3 думает так: "Хм". МАС­ адрес отправителя - 0200.3333.3333, а фрейм поступил на мой интерфейс GiO/I ".Это приводит к следующей записи на коммутаторе SW3 с интерфейсом GiO/I вместо Fa0/13:

VLAN l

GiO/l

0200.3333.3333

На настоящий момент коммутатор

SW3

сам не может правильно доставить фрейм

по МАС-адресу компьютера ВоЬ. Если на коммутатор

SW3

поступает фрейм, предна­

значенный для компьютера ВоЬ (другой фрейм, а не передаваемый по кругу и при­ nедший к проблеме), коммутатор

GiO/I

на коммутатор

SW3

ошибочно направляет его через интерфейс

SWI.

Циклические фреймы во время широковещательного шторма создают и третью проблему: к месту назначения прибывает несколько копий фрейма. Рассмотрим слу­

чай, когда компьютер ВоЬ передает фрейм на компьютер мутаторов не знает МАС-адрес компьютера

Larry.

Larry,

но ни один из ком­

Коммутаторы лавинно рассылают

фреймы, посланные на неизвестный одноадресатный МАС-адрес. Когда компьютер ВоЬ посылает фрейм на МАС-адрес компьютера

Larry, коммутатор SW3 посылает SW2. Коммутаторы SWI и SW2 также лавинно рассылают фрейм, запуская его копии по кругу. Коммутатор SWI отсылает также копию каждого фрейма на интерфейс Fa0/11 компьютеру Larry. В результате компьютер Larry получает несколько копий фрейма, что может привести к отказу его копию и коммутатору

SWI,

и коммутатору

приложения, если оно неустойчиво к проблемам сети.

Три класса основных проблем, вызванных отсутствием протокола ных сетях

LAN,

представлены в табл.

1 ~~~ Таблица

2.1.

STP

в избыточ­

2.1.

Три класса проблем, вызываемых отсутствием протокола

STP

в избыточных локальных сетях Проблема Широковещательный шторм

Описание Перенаправление фрейма повторяется на тех же каналах связи, растрачивая существенную часть их пропускной

способности Неустойчивость таблицы

Реагируя на циклические фреймы, коммутатор непрерывно

МАС-адресов

заносит в таблицу МАС-адресов неправильные записи, приводящие к передаче фреймов в неправильном направлении

Передача нескольких фреймов

Побочный эффект циклической передачи фреймов, когда хосту доставляется несколько копий одного фрейма, нарушая его работу

Часть

90

1.

Локальные сети

Ethernet

Что делает связующее дерево Протокол

IEEE 802.1 D

предотвращает циклы, переводя каждый порт коммутатора либо

STP

в состояние перенаправления, либо в состояние блокировки. Интерфейсы в со­ стоянии перенаправления действуют как обычно, перенаправляя и получая фрей­ мы. Но интерфейсы в блокированном состоянии не обрабатывают никаких фрей­ мов, кроме сообщений протокола

STP

(и некоторых других служебных сообщений).

Блокированные интерфейсы не перенаправляют пользовательские фреймы, не из­ учают МАС-адреса полученных фреймов и не обрабатывают полученные пользова­ тельские фреймы.

На рис.

2.2

приведено простое дерево

STP,

решающее представленную на рис.

2.1

проблему за счет перевода одного порта коммутатора SWЗ в состояние блокировки.

Archie

Larry

Fa0/11 -11(------

@

Gi0/ 2

GI0/1

Fa0/12

,

-----------------------------·

@

G10/2 .

Gi0/ 1

~--/

_______ ,,...

Qj,

@

~-·

·®

БЛОКИРОВКА

GI0/ 1

Fa0/ 131 J,.

:CD

ВоЬ

0200.3333.3333 Рис.

2.2.

Протокол

STP блокирует

порт, чтобы разорвать круг

Теперь, когда компьютер ВоЬ посылает широковещательный фрейм, он не пере­ дается по кругу. На рисунке показаны следующие этапы.

Этап

1 Компьютер ВоЬ посылает фрейм коммутатору SWЗ

Этап

2

Коммутатор SWЗ перенаправляет фрейм только коммутатору не через интерфейс

Gi0/2

коммутатору

SW2,

SWl,

но

поскольку этот интерфейс

находится в состоянии блокировки

Этап З

Коммутатор

Этап

4

Коммутатор

Этап

5

SWl SW2

рассылает фрейм на интерфейсы рассылает фрейм на интерфейсы

Fa0/11 Fa0/12

и и

GiO/l GiO/l

Физи~ - - - - - ~ 1 address ipv4 key port < номер_порта> 1 1 1 1 1

Создание группы из одного или нескольких серверов

group server server name - server name

ааа

-- •

Рис. 6.5. Разрешение МА, а также определение серверов МА и их групп

Концепции на рис. 6.5 - это еще не все, что нужно для завершения настройки аутентификации ААА . Для этого операционная система IOS использует следующую дополнительную логику.

•

IOS переходит на стандартную аутентификацию при vty и вспомогательный порт согласно параметру ааа authentication login defaul t.

Операционная система

подключении через консоль,

глобальной команды

•

Глобальная команда ааа

authentication login defaul t методl метод2".

задает различные методы аутентификации, включая ссылку на используемую

группу ААА (см. рис.

•

6.5, внизу).

К методам относятся: определенная группа ААА серверов ААА; l "локально настроенный список имен пользователя и паролей"; "использование паролей, заданных подкомандой password".

ocal line

означает означает

В основном, когда ААА необходимо использовать для аутентификации при ре­ гистрации

на

или линиях vty, проще всего использовать команду ааа login defaul t. Как демонстрирует рис. 6.6, у нее может быть

консоли

authentication

список из нескольких методов аутентификации. Коммутатор пробует первый метод, и, если он дает категорический ответ, процесс завершается. Но если этот метод недо­ ступен (например, ни один из серверов ААА недоступен по сети

система

IOS

1Р),

операционная

на локальном устройстве переходит к следующему методу. ааа

authentication login default



Перва~опь~ка ~

Вторая попытка

Рис.

6.6.

Стандартные правила ауте11тификации при входе

208

Часть

1. Локальные сети Ethernet

Идея определять несколько методов для аутентификации при входе имеет смысл. Например, первый метод может полагаться на группу ААА, чтобы каждый инженер использовал при доступе к каждому устройству свои уникальные имя и пароль. Но инженер не должен потерять способность подключаться к устройствам только из­

за проблем в сети

IP,

не позволяющим серверам ААА передать ответ на коммутатор.

Таким образом, использование резервного метода доступа (второй метод в коман­ де)

-

грамотный подход.

На рис. 6.7 приведены три типичные команды. Все они ссылаются на одну и ту же группу ААА (WO-AAA-Group). Первая команда на рисунке недальновидно исполь­ зует только один метод аутентификации группой ААА. Вторая команда использует два метода аутентификации: с использованием ААА и локальный (local). (Ключевое слово

в этой команде указывает на список локальных команд

local

username,

на­

строенных на локальном коммутаторе.) Третья команда на рисунке также использует группу ААА как первый метод и ключевое слово line, указывающее операционной системе

IOS

использовать строку подкоманды

password.

ф ааа authentication login default group WO·AAA·Group (Использование сервера ААА)

@

ааа authentication login default group WO-AAA-Group (Использование сервера ААА)

local

t

Второй метод. Использование локальны х имен пользователя

@

ааа authentication login default group WO-AAA-Group (Использование сервера ААА)

logan

t

Второй метод . Использование имени и пароля

Рис.

Отслеживание

6. 7.

Примеры комбинаций методов аутентификации

DHCP

Чтобы понять, какие риски существуют в современных сетях, следует знать пра­ вила. Затем следует подумать, как злоумышленник может использовать эти правила в своих интересах. Атаки некоторых видов могут нанести вред непосредственно (ата­ ка отказ в обслуживании (Denial-of-Service - DoS)). Либо злоумышленник может со­ брать данные для подготовки к некой другой атаке. Безотносительно задачи каждого изучаемого сетевого протокола или функции следует знать их возможности, которые злоумышленник может использовать в своих интересах.

Компания

Cisco

решила добавить в текущий экзамен

CCNA R&S

одну тему, по­

священную снижению вероятности атак с использованием именно протокола DHCP. Протокол DHCP стал весьма популярен, он используется практически во всех кор­ поративных и домашних сетях, а также провайдерами служб. В связи с этим зло­ умышленники искали способы использовать в своих интересах протокол DHCP. Один из способов снизить риски, связанные с протоколом DHCP, подразумевает использование отслеживания DHCP (DHCP snooping) - средства коммутатора LAN.

Данный раздел главы рассматривает основы отслеживания

DHCP.

Он начинается

с основной идеи, а затем демонстрируется пример того, как злоумышленник может

использовать протокол

DHCP

используемую отслеживанием

в своих целях. Последний раздел объясняет логику,

DHCP.

Глава

Основы отслеживания Функция отслеживания

6. Другие темы по локальным сетям

209

DHCP DHCP на коммутаторе действует в некотором роде по­ ACL. Она отслеживает входящие сообщения на всех

добно брандмауэру или списку

портах или некоторых портах (в зависимости от конфигурации). Она ищет сообще­ ния

DHCP,

сообщения

игнорируя все остальные сообщения, и позволяет им пройти. Для любого

DHCP

логика отслеживания на коммутаторе подразумевает выбор: раз­

решить передачу или запретить.

Для ясности отслеживание

это возможность коммутатора уровня

DHCP -

маршрутизатора, а именно: любой коммутатор уровня мутацию уровня

2

2, а не 2 не только осуществляет ком­

или действует, как многоуровневый коммутатор, обычно он обес­

печивает и отслеживание

DHCP.

Отслеживание

DHCP осуществляется на устрой­ VLAN, а это роль коммутатора

стве, находящемся между устройствами в той же сети уровня

2,

а не коммутатора уровня

3 или маршрутизатора. DHCP - это концепция

Первая главная идея отслеживания

внутренних и внеш­

них портов. Чтобы понять, почему, давайте рассмотрим устройства, которые могут быть подключены к коммутатору. Список включает маршрутизаторы, серверы и дру­ гие коммутаторы. Он включает устройства конечного пользователя, такие как ком­ пьютеры, а также беспроводные точки доступа, которые, в свою очередь, соединяют­

ся с устройствами конечного пользователя. Все это представлено на рис.

Внешний

Внутренний

D

Сервер·-------~ DHCP Рис.

6.8.

Отслеживание

6.8.

Основы отслеживания

DHCP

DHCP: клиентские порты являются

внешними

начинается с утверждения, что устройства конечного поль­

зователя (внешние) небезопасны, а устройства в пределах подконтрольных инженер­

но-техническому отделу (внутренние)

-

безопасны. Однако устройство на внешнем

порте вполне может использовать протокол как внешний, отслеживание

DHCP. Таким образом, DHCP осуществляет следующее.

Отслеживает входящие сообщения

DHCP

определив порт

и отбрасывает любые не характерные

для внешнего порта, а следовательно, возможно, являющиеся частью некой атаки.

Пример атаки с использованием протокола

DHCP

На рис.

6.9 приведены компьютер законного пользователя (справа) и настоящий DHCP (слева). Но злоумышленник подключил свой портативный компьютер к локальной сети и начал с него атаку DHCP. Помните, что первое сообщение DHCP компьютера РС 1 будет широковещательным в локальной сети, поэтому компьютер

сервер

злоумышленника будет получать все широковещательные сообщения от любых кли­ ентов

DHCP,

таких как

PCI.

(В данном случае подразумевается, что во время атаки

компьютер РС 1 пытается зарезервировать

1Р-адрес.)

21 О

Часть

1.

Локальные сети

Ethernet

Настоящий

Фальшивый сервер ОНСР

серверОНСР

Рис.

6. 9.

В ходе атаки

DllCP предоставляются

правильный

1Р-адрес,

но неправильный стандартный шлюз

В этом примере созданный и используемый злоумышленником сервер предоставляет компьютеру

PCI

DHCP

правильный IР-адрес в правильной подсети с пра­

вильной маской. Почему'? Злоумышленник хочет, чтобы компьютер

PCI

работал

правильно, но с одним отличием. Обратите внимание, что компьютеру РС 1 назна­ чен стандартный шлюз 1О.1. 1.2, являющийся адресом компьютера злоумышленника, а не адрес

10. 1. 1. 1,

являющийся адресом маршрутизатора

R 1.

Теперь компьютер РС 1

полагает, что имеет все необходимое для подключения к сети, и так оно и есть, но

- такова 6. 1О.

теперь все его пакеты

попадают сначала на компьютер злоумышленника

атака через посредника

(man-in-the-middle attack),

представленная на рис.

CD

10.1.1.11 GW=10.1 .1.2

Злоумышленник . Атака через посредника

Рис.

6. JO.

Прискорбный результат: атака

DllCP перешла

в атаку через посредника

Линии со стрелками на рисунке демонстрируют поток данных после завершения

процесса

DHCP.

Компьютер РС 1 передает свои пакеты любого трафика, выходящего

за пределы подсети, на стандартный шлюз, 1О.1.

1.2,

который принадлежит злоумыш­

леннику. Злоумышленник передает пакеты на маршрутизатор

R 1.

Пользователь ком­

пьютера РС 1 может подключаться к любым приложениям как обычно, но злоумыш­ ленник теперь может сохранять копии всего переданного компьютером

Как работает отслеживание

PCI.

DHCP

Приведенный пример демонстрирует только одну атаку. Некоторые атаки ис­

пользуют дополнительный сервер

DHCP

(фальшивый сервер

DHCP (spurious DHCP

а некоторые полагаются на использование разных функций клиента DHCP. Отслеживание DHCP учитывает, как должен работать протокол DHCP, и отфиль­

server)),

тровывает любые сообщения, непохожие на нормальное использование протокола

DHCP.

Глава

Отслеживание

DHeP

6.

Другие темы по локальным сетям

211

нуждается в нескольких параметрах конфигурации. В пер­

вую очередь, инженер разрешает отслеживание

DHeP

либо глобально на коммута­

торе, либо по каждой сети VLЛN (т.е. на некоторых VLЛN разрешено, а на других

-

нет). После разрешения все порты считаются внешними (небезопасными), пока не будут настроены как внутренние (безопасные).

Затем некоторые порты коммутатора должны быть настроены как внутренние.

Любые порты коммутатора, подключенные к законным серверам

долж­

DHeP,

ны быть внутренними. Кроме того, порты соединенные с другими коммутаторами и маршрутизаторами, также должны быть внутренними. Почему? Внутренние пор­

ты

- это в основном порты, способные получать сообщения от законных серверов DHeP в сети. Законные серверы DHeP в сети известны. В книге по JeNDI описаны сообщения DHeP, используемые в нормальном процессе резервирования DHeP (DJSeOVER, OFFER, REQUEST, лек IDORA]). Эти и другие сообщения DHeP обычно передаются или клиентом DHeP, или сер­ вером, но не обоими. В сообщениях DORA клиент передает запросы DISeOVER и REQUEST, а сервер отвечает сообщениями OFFER и лек. Зная, ЧТО только серве­ ры DHeP могут передавать сообщения OFFER и лек, отслеживание DHeP разре­ шает на внутренних портах входящие сообщения OFFER и лек, но отфильтровыва­

ет эти сообщения, если они поступают ло внешние порты.

Таким образом, первое правило отслеживания

DHeP

мя коммутатора

дове­

-

рятьлюбым портам, на которые могут поступить законные сообщения от безопасных

серверов

DHeP.

И наоборот, считать порт небезопасным, если коммутатор решает

отбрасывать все входящие сообщения сервера законный сервер

DHeP

DHeP.

Это представлено на рис.

6.11:

расположен слева, на внутреннем порте.

Внутренний

Внешний

~~~~F_0/~1dd!Ed&_F0_/2~~~~--g ~

Все сообщения

_,,.- ~

DHCP разрешены!

Сообщения сервера DHCP запрещены! Сообщения клиента DHCP проверяются

по таблице привязки

Рис.

Логика внешних портов

6.11.

DHeP

//равила отслеживания

DHCP

немного сложнее. В основном внешние порты

это совокупность реальных пользователей, жестко связанных с протоколом

DHeP.

К этим портам относятся также пользователи, пытающиеся атаковать сеть с исполь­ DHeP, и никак нельзя спрогнозировать, у каких из внешних

зованием протокола

портов законные пользователи, а какие пытаются атаковать сеть. Таким образом,

DHeP

функция отслеживания

должна прослеживать сообщения

DHeP

на протя­

жении некоторого времени и даже сохранять некоторую информацию о состоянии в таблице привязки

DHeP

DHeP,

чтобы можно было принять решение, когда сообщение

нужно отбросить.

Таблица привязки

DHCP (DHeP Binding

ТаЬ\е)

-

это список информационных

элементов о каждом успешном резервировании 1Рv4-адреса. Каждое новое сообще­ ние

DHeP,

полученное на внешнем порте, можно затем сравнить с записями в та­

блице привязки отброшено.

DHeP,

и если коммутатор обнаружит конфликт, то сообщение будет

Часть

212

Локальные сети Ethernet

1.

Подробности представлены на рис.

6.12; здесь коммутатор создает одну 3апись в сво­ DHCP. В этой простой сети клиент DHCP (справа) резервирует IР-адрес 10.1.1.11 у сервера DHCP (слева). Функция отслеживания DHCP коммутатора объединяет информацию из сообщений DHCP с информацией о порте (интерфейс F0/2 присвоен коммутатором сети YLAN 11) и помещает ее в таблицу привязки DHCP. ей таблице привязки

Внутренний

Внешний

F0/1

МАС : 0200.1111 .1111 IP: 10.1 .1.11 Таблица привязки

DHCP

коммутатора

Интерфейс

VLAN

МАС

F0/ 2

11

0200.1111 .1111

Рис.

6. 12.

SW1

IP

Законный клиент

10.1.1.11

DHCP и

запись в таблице привязки

DHCP,

созданная отслеживанием [)1/СР

Благодаря записи в таблице привязки

DHCP

отслеживание

DHCP

предотвратило

бы попытку другого клиента на другом порте коммутатора использовать тот же 1Р-адрес (10.1.1.11) или тот же МАС-адрес (2000.1111.1111). (Большинство атак клиента DHCP подразумевают использование того же

IP-

или МАС-адреса, что и у законного хоста.)

Обратите внимание, что, кроме подобных брандмауэру правил фильтрации на ос­ новании логики, отслеживанию частоты сообщений

общений

DHCP

DHCP

DHCP

можно также задать количественный предел

на интерфейсе. Например, предел частоты входящих со­

на внешних интерфейсах позволит предотвратить атаку

DoS,

наме­

ревающуюся перегрузить законный сервер DHCP запросами или израсходовать весь доступный диапазон IР-адресов сервера DHCP.

Итоги по средствам отслеживания Отслеживание

DHCP

DHCP способствует снижению риска, в частности по тому, что

протокол DHCP - жизненно важная часть большинства сетей. Ниже приведены не­ которые из ключевых моментов отслеживания DHCP для простоты изучения. ~

. .. .:

•

• •

Ключевые моменты отслеживания

DНС Р

Внутренние порты. Разрешают все входящие сообщения

DHCP.

Внешние порты, сообщения сервера. Внешние порты отбрасывают все входящие сообщения, которые посчитают сообщениями сервера.

•

Внешние порты, клиентские сообщения. При рассмотрении клиентских сооб­ щений внешние порты исполь3уют более сложную логику. Они сравнивают все входящие сообщения

вязки

DHCP

DHCP

с существующей информацией таблицы при­

и при обнаружении конфликта отбрасывают сообщение

DHCP.

Если сообщение не конфликтует с таблицей, коммутатор позволяет ему прой­ ти и добавляет, как правило, новую запись в таблицу привязки

•

DHCP.

Оrрани•1ение частоты. Опционально можно задать предел количеству сообще­ ний DHCP, получаемых портом за секунду.

Глава

6. Другие темы по локальным сетям

213

Стекирование коммутаторов и агрегирование шасси Компания Cisco предоставляет несколько возможностей, позволяющих клиентам настроить свои коммутаторы Cisco для совместной работы, как будто это один ком­ мутатор, а не несколько. Данный заключительный раздел главы посвящен двум глав­ ным ветвям этих технологий : стекированию коммутаторов, применяемому обычно

к коммутаторам уровня доступа, и агрегированию шасси, обычно применяемому к коммутаторам ядра и распределения .

Традиционная коммутация доступа без стекирования Предположим на мгновение, что вы отвечаете за создание новой территориаль­

ной сети, охватывающей несколько многоэтажных офисных зданий. Вы выезжаете на местность, изу•1аете схемы территории и начинаете думать, где будут размещаться все люди и компьютеры . В некий момент вы доходите до вопроса о количестве необ­ ходимых портов Etheгnet в каждой кабельной комнате . Предположим, что для одной кабельной комнаты на сегодня необходимо тов, и вы решаете, что

200

150 пор­

коммутаторных портов будет вполне достаточно на бли­

жайшее будущее. Какого размера коммутаторы вы купите? Можно ли купить для ка­ бельной комнаты один коммутатор с по крайней мере с 200-ми портами ? (Модели коммутаторов в книге рассматриваются не очень подробно, но вы можете купить коммутатор LAN с несколькими сотнями портов.) Или купить пару коммутаторов

с по крайней мере

100 портами

каждый? Или восемь-девять коммутаторов по

24 пор­

та доступа каждый? У использования меньшего количества больших коммутаторов есть свои преиму­ щества и недостатки, у использования большего количества меньших - тоже. Для удовлетворения подобных потребностей такие производители, как компания Cisco,

выпускают широкий диапазон коммутаторов с разным количеством портов. Однако такое средство, как стекирование коммутаторов (switch stacking) , позволяет получить часть преимуществ обоих подходов.

Чтобы оценить преимущества стекирования коммутаторов, вообразите типичный проект локальной сети, подобный представленному на рис. 6.13. На рисунке приве­ ден концептуальный проект с двумя коммутаторами распределения и четырьмя ком­ мутаторами уровня доступа.

Рис. 6. 13. Типичный проект т ерриториальной сети: коммутаторы доступа и rJвa коммутатора распределения

Позвольте подчеркнуть здесь несколько моментов для последующего упомина­ ния. Все коммутаторы доступа, Al-A4, работают как отдельные устройства. Сетевой инженер должен настроить каждый. У каждого из них есть 1Р-адрес для управления. На каждом из них выполняются протоколы СОР и STP, а возможно, и VГР. У каждого

Часть

214

1.

Локальные сети

Ethernet

из них есть таблиuа МАС-адресов, и каждый из них перенаправляет на ее основании фреймы

Конфигурации всех коммутаторов, вероятно, весьма похожи, но

Ethernet.

и они, и все функции являются сугубо индивидуальными. Теперь представьте, что физически эти четыре коммутатора уровня доступа распо­

ложены не так, как на рис.

6.13,

а собраны в одной кабельной комнате, даже в одной

стойке. Предположим, что в данном случае все четыре коммутатора доступа все-та­

ки находятся в той же стойке в той же кабельной комнате. Вся кабельная проводка на этаже расходится от этой кабельной комнаты, и каждый кабель подключен к не­

коему порту одного из этих четырех коммутаторов. Каждый коммутатор может быть

высотой в один юнит

(Rack Unit -

RU

равен

1,75

дюйма или

44,45

мм) и все они

смонтированы один поверх другого.

Стекирование коммутаторов уровня доступа Описанный на настояший момент случай является буквально стопкой

(stack)

коммутаторов один поверх другого. Технология стекирования коммутаторов позво­

ляет сетевому инженеру заставить эту стопку физических коммутаторов действовать, как единый коммутатор. Например, если бы стопка коммутаторов состояла из четы­

.

рех коммутаторов на рис.

•:.·

• •

6.13,

то для них было бы истинно следуюшее .

Общие возможности стека коммутаторов

Cisco

•

У всего стека единый IР-адрес управления.

•

Инженер подключается по

Telnet

или

SSH

к одному коммутатору (с единым

IР-адресом управления), а не к каждому коммутатору.

•

Один файл конфигурации включает все интерфейсы всех четырех физических коммутаторов.

•

Протоколы

•

Порты коммутатора выглядят принадлежашими тому же коммутатору.

•

Существует единая таблица МАС-адресов, относящаяся ко всем портам всех

STP,

СОР, VГР запускаются на одном коммутаторе, а не на каждом.

физических коммутаторов. С учетом всех возможных средств коммутатора список можно было бы продол­ жать довольно долго, но (в двух словах) стекирование коммутаторов заставляет ком­ мутаторы действовать как один большой коммутатор.

Для этого коммутаторы следует соединить специальной сетью. Данная сеть не использует стандартные порты аппаратные порты

-

логий стекирования

Ethemet, для этого коммутаторы имеют специальные (stacking port). При использовании техно­ Cisco FlexStack и FlexStack-Plus в каждый коммутатор должен порты стекирования

быть включен модуль стекирования, затем коммутаторы соединяются кабелем сте­ кирования.

ВНИМАНИЕ! За последние годы компания

Cisco

создала несколько технологий стекирования, и чтобы не

упоминать их все, данный раздел описывает возможности технологий

Plus.

FlexStack

и

FlexStack

Они в различной степени поддерживаются наиболее популярными семействами комму­

таторов

2960-S,

2960-Х и

2960-XR.

Глава

6. Другие темы по локальным сетям

215

Совместно кабели стекирования закольцовывают коммутаторы, как показано

на рис.

6.14.

Таким образом, коммутаторы соединяются последовательно, причем

последний коммутатор подключается к первому. Используя дуплексную передачу на каждом канале связи, модули и кабели стекирования создают два пути перена­

правления данных между физическими коммутаторами в стеке. Коммутаторы ис­ пользуют эти соединения для общения между собой при перенаправлении фреймов и выполнении других служебных функций.

Кабели стекирования

Рис.

6.14.

Кабели стекирования между коммутаторами доступа в той .ж:е стойке

Обратите внимание, что у каждого модуля стекирования есть два порта для под­ ключения к модулю стекирования другого коммутатора. Например, если все четыре

коммутатора являются коммутаторами

2960XR,

то каждому понадобились бы один

модуль стекирования и четыре кабеля на всех, чтобы соединить четыре коммутатора.

Рис.

6.15

демонстрирует ту же идею, что и рис.

6.14,

но как фотографию реальных

коммутаторов с кабелями стекирования слева.

Рис.

6.15.

Фотография четырех ко.мл1утаторов 2960Х,

соединенных кабелялш стекирования слева

Стек коммутаторов можно буквально считать стопкой коммутаторов в той же стойке. Кабели стекирования коротки, что подразумевает плотный монтаж коммута­

торов в том же месте стойки. Например, компания рования длиной

Plus,

0.5, 1 и 3

Cisco предоставляет кабели стеки­ FlexStack и FlexStack-

метра для технологий стекирования

обсуждаемых подробнее в конце этого раздела.

Часть 1. Локальные сети Ethernet

216

Работа стека коммутаторов как единого логического коммутатора Собранные в стек коммутаторы действуют как единый логический коммутатор Этот термин подчеркивает тот очевидный факт, что физические ком­

(logical switch).

мутаторы действуют совместно как один коммутатор.

Чтобы все это работало, один коммутатор действует как мастер стека (stack контролирует остальную часть коммутаторов. Каналы связи, созданные ка­ белями стекирования, позволяют физическим коммутаторам общаться , но управляет

master),

работой мастер стека. Например, если пронумеровать физические коммутаторы как

1, 2, 3 и 4, мутаторе

фрейм мог бы поступить на коммутатор

3.

Если бы коммутатор

4,

а выйти из канала связи на ком­

мастером стека, то для перенаправления это­ должны были бы общаться по каналам связи стека .

1 был

1, 3 и 4 как мастер стека, искал бы соответствие в таблице МАС-адресов, что­ бы выбрать направление перенаправления фреймов. На рис. 6.16 демонстрируется влияние на проект локальной сети наличия стека коммутаторов, действующего как единый логический коммутатор . Проект на рисун­ го фрейма коммутаторы Коммутатор

1,

ке демонстрирует неизменность кабельной проводки между четырьмя коммутатора­

ми доступа и коммутаторами распределения . Ранее у каждого отдельного коммута­ тора доступа было по два канала связи к уровню распределения : по одному кабелю

к каждому коммутатору распределения (см. рис. 6. 13). Эта кабельная проводка не изменилась . Однако, действуя как единый логический коммутатор, стек коммутато­ ров работает теперь как один коммутатор с четырьмя каналами связи к каждому ком­ мутатору распределения. Добавьте небольшую настройку, чтобы поместить каждый

набор из четырех каналов связи в канал

ленный на рис .

EtherChannel,

и получится проект, представ­

6.16.

Рис.

6. 16. Стек действует как единый коммутатор

Стек также упрощает работу. Вообразите , например, область топологии STP для VLAN, у которой есть порты доступа на всех четырех физических коммутаторах доступа в этом примере. Связующее дерево включило бы все шесть коммутаторов . При стеке коммутаторов, действующем как единый логический коммутатор , у той же сети

VLAN

будет теперь только три коммутатора в топологии

проще понимать и прогнозировать .

STP,

ее будет намного

Глава

Технологии

6. Другие темы по локальным сетям

217

Cisco FlexStack и FlexStack-Plus

Только чтобы добавить лоследний штрих в общую картину стека коммутаторов, этот заключительный раздел лосвящен некоторым частностям технологий стекиро­

вания

Cisco FlexStack

и

FlexStack-Plus. Cisco требуют,

Технологии стекирования

чтобы комлания

Cisco

внесла стекиро­

вание в набор возможностей ее продуктов лри условии, что для этого лонадобятся

слецифические алларатные средства. У комлании Сisсодавняя история создания но­ вых моделей серии коммутаторов с номерами серии, начинающимися с

2960. В доку­ Cisco технология стекирования FlexStack указана как лринадлежащая мо­ делям серии 2960-S. Влоследствии комлания Cisco усовершенствовала технологию FlexStack до технологии FlexStack-Plus, добавив ее поддержку в модели серий 2960-Х и 2960-XR. Для лоддержки стекирования коммутаторов в будущем лроектируемые ментации

апларатные средства стекирования имеют тенденцию улучшаться со временем, как

отмечено в табл.

6.2,

сравнивающей технологии

\iWll:lll::lш.и< Таблица

6.2.

Сравнение возможностей технологий

FlexStack

и

FlexStack-Plus.

Cisco FlexStack и FlexStack-Plus FlexStack

FlexStack-Plus

Год выхода

2010

2013

Серия моделей коммутатора

2960-S,

Скорость одиночного канала стекирования в обоих

10

2960-Х

Гбит/с

2960-Х,

20

2960-XR

Гбит/с

направлениях (дуплексная передача)

Максимальное количество коммутаторов в одном стеке

4

8

Агрегирование шасси Термин агрегирование шасси

Cisco,

(chassis

aggregatioп) относится к другой технологии

лозволяющей нескольким коммутаторам работать как один. С точки зрения

общей картины стекирование коммутаторов ислользуется чаще и лоддерживается

на коммутаторах

Cisco,

лредназначенных для уровня достула. Агрегирование шасси

лредназначается для более мощных коммутаторов, находящихся на уровнях раслре­ деления и ядра. Вот некоторые из основных отличий агрегирования шасси.

•

Обычно лрименяется для более мощных коммутаторов, ислользуемых как коммутаторы раслределения или ядра.

•

Не требует слециальных алпаратных адаптеров, ислользует вместо них интер-

фейсы

Ethernet.

•

Агрегирует два коммутатора.

•

Возможно, несколько сложнее, но и функциональнее.

Основная идея агрегирования шасси та же, что и для стекирования коммутаторов: позволить нескольким коммутаторам действовать как один, обеслечив соответству­

ющие преимущества. Наибольшим из них являются технологии высокой достулнос­ ти в лроекте локальных сетей. Данный раздел рассматривает некоторые из соображе­ ний, чтобы дать общее лредставление о концелциях, лежащих в основе технологий высокой доступности для уровней ядра и раслределения.

218

Часть

1.

Локальные сети Etherпet

ВНИМАНИЕ! Этот раздел дает лишь общее представление об агрегировании шасси, а подробности конкрет­

ных реализаций, поддерживаемых коммутаторами серий 6500 и 6800, можно найти на Cisco. сот по теме Cisco's Virtual Switching System (VSS) (Системы виртуальной коммутации Cisco).

Технологии высокой доступности коммутаторов ядра и распределения Даже без агрегирования шасси у коммутаторов распределения и ядра должна быть технология высокой доступности. Несколько следующих страниц посвящены тому, как можно повысить доступность коммутаторов уровня распределения ил и ядра даже

без агрегирования шасси.

В проекте большой или средней реальной корпоративной территориальной ло­ кальной сети, как правило, можно найти куда больше коммутаторов доступа, чем

коммутаторов ядра и распределения. Например, в десятиэтажном здании может быть по четыре коммутатора доступа на этаже, всего

40

коммутаторов доступа. В том же

здании, вероятно, будет лишь пара коммутаторов распределения.

Но почему два коммутатора распределения, а не один? Если бы проект использо­ вал только один коммутатор распределения, при его отказе ни одно устройство в зда­

нии не смогло бы получить доступ к остальной части сети. Таким образом, если два коммутатора распределения из причин

-

-

в цене, а вторая

это хорошо, то почему не четыре? Или восемь'? Одна в сложности. Таким образом, пара коммутаторов

-

распределения на каждое здание обеспечивает баланс между высокой доступностью и невысокой ценой (или сложностью). Средства высокой доступности типичных коммутаторов распределения и ядра по­ зволяют разработчикам сетей создавать отличные проекты только с двумя коммута­

торами распределения или ядра. Компания

Cisco

выпускает типичные коммутаторы

распределения/ядра с большей избыточностью. Например, на рис. типичный корпусный коммутатор

card)

с портами

Etl1ernet.

Cisco.

6.17

представлен

У него есть слоты для линейных плат

(line

Есть две платы управления, осуществляющие перенаправ­

ление фреймов и пакетов. И два блока питания, которые желательно подключать к разным источникам питания.

Линейная плата Линейная плата Управляющая Управляющая

1 2

Линейная плата Линейная плата Линейная плата

• Первыи

Блок

Блок

питания 1 питания 2

источник питания

в

•

торои

источник питания

Рис. 6.17. Обычное расположение линейных плат в модульном коммутаторе Cisco распределения/ядра

Теперь представьте два коммутатора распределения, расположенных рядом в ка­

бельной комнате, как показано на рис. 6.18. Проект обычно позволяет соединить оба коммутатора каналом EtherChannel. Для лучшей доступности канал EtherChannel мо­ жет использовать порты от разных линейных плат, чтобы при отказе одной из линей­

ных плат канал

EtherChannel

продолжал работать.

Глава

6. Другие темы по локальным сетям

EtherChannel L2 Линейная плата

-

Управляющая Управляющая

1 2

Линейная плата

о

\1

Линейная плата питания

Рис.

6. 18.

1

1Блок

питания

Линейная плата Управляющая

1

Управляющая

2

Линейная плата

о

Линейная плата

Блок

Линейная плата

::::

~

Линейная плата

или LЗ

А

о

219

_

Линейная плата

Линейная плата

Блок

питания

2

1

1 Блок

питания

2

Использование для каншю EthetChaппel разных линейных плат

Улучшение проекта и повышение доступности с помощью агрегирования шасси

Теперь рассмотрим применение агрегирования шасси к паре коммутаторов рас­ пределения. С точки зрения результата два коммутатора действуют как один, совсем как при стекировании коммутаторов. Однако механизм агрегирования шасси иной.

Сравнение приведено на рис.

6.19.

Два коммутатора распределения слева дей­

ствуют независимо, а два коммутатора распределения справа объединены. В обоих

случаях каждый коммутатор распределения соединен одним каналом связи уровня

2

с коммутаторами уровня доступа А\ и А2, которые действуют независимо, т.е. они не используют стекирование коммутаторов. Таким образом, единственное различие между примерами слева и справа в том, что коммутаторы распределения справа ис­ пользуют агрегирование.

Шасси

1

Шасси

2

Агрегированные коммутаторы

Рис.

6. 19.

Одно из преимуществ проекта с агрегированием коммутаторов распределения

Справа на рисунке приведен агрегированный коммутатор, выглядящий, как один коммутатор, подключенный к коммутаторам уровня доступа. Фактически несмот­ ря на то, что каналы связи подключаются к двум разным коммутаторам, они могут

быть настроены как канал EtherChannel с помощью такого средства, как Ethe!Channel (технология МЕС).

Multichassis

Ниже приведен список некоторых преимуществ агрегирования коммутаторов.

Обратите внимание, что большинство преимуществ уже знакомо вам по обсуждению стекирования коммутаторов. Единственное различие относится к активному/актив­ ному уровню данных.

220

Часть

1.

Локальные сети

Ethernet

Основные характеристики агрегирования коммутаторов

• •

.

Multichassis EtherChannel (МЕС). Позволяет EtherChannel между двумя физическими коммутаторами .

использовать канал

•

Технология

•

Уровень управления "активный/резервный". Упрощает работу уровня управления, поскольку пара действует как один коммутатор для таких протоколов уровня

управления, как

•

STP, VГР, EtherChannel, ARP и

протоколов маршрутизации.

Использует мощь плат управления

Уровень данных "активный/активный".

для перенаправления на обоих коммутаторах при активных уровнях

2 и 3 пе­

ренаправления плат управления обоих коммутаторов . Для обеспечения это­ го

процесса

синхронизируют свои

коммутаторы

таблицы

маршрутизации

и МАС-адресов.

•

Централизованное управление коммутатором. Упрощает работу протоколов управления за счет запуска протоколов управления (Telnet, SSH, SN М Р) на ак­ тивном коммутаторе; конфигурация автоматически синхронизируется с ре­ зервным коммутатором .

И наконец у использования агрегирования шасси и стекирования коммутато­ ров вместе в одной и той же сети есть несколько серьезных преимуществ. Вернемся

к рис .

6.13

в начале этого раздела . Там были представлены два коммутатора распреде­

ления и четыре коммутатора доступа , все действующие независимо с одним каналом связи между каждым коммутатором доступа и каждым коммутатором распределения .

Если для этих четырех коммутаторов доступа разрешено стекирование коммутато­ ров, а для двух коммутаторов распределения

топология , представленная на рис .

-

агрегирование шасси, то получится

6.20.

Агрегированные коммутаторы

Перенаправление

8

каналов

STP

EtherChannel

Стек коммутаторов

Рис.

6.20.

Шесть коммутаторов действуют как два

Глава

6. Другие темы по локальным сетям

221

Обзор Резюме

•

При использовании

IEEE 802. lx для

передачи сообщений расширяемого про­

токола аутентификации (ExtensiЫe Authentication Protoco\ ЕАР) между соиска­ телем и аутентификатором используется инкапсуляция EAPoL, а от аутенти­ фикатора до сервера аутентификации

•

Протокол

TACACS+

-

протокол

RADI US.

является собственным протоколом

Cisco,

обычно ис­

пользуемым на сетевых устройствах. Он использует порт ТСР 49, шифрует весь пакет и поддерживает функцию разрешения подмножества команд CLI для каждого пользователя.

•

Протокол RADIUS является стандартным протоколом, обычно используе­ мым пользователями. Он использует порты UDP 1645 и 1812, шифрует только пароль и не поддерживает функцию разрешения подмножества команд CLI для каждого пользователя.

•

При использовании отслеживания

DHCP

все клиентские порты считаются

внешними. Внутренними считаются порты, соединенные (или имеющие пути) с законным сервером

•

DHCP.

При использовании отслеживания DHCP все небезопасные порты отбрасы­ вают все входящие сообщения, считающиеся сообщениями сервера DHCP, но пропускают сообщения, считающиеся клиентскими сообщениями

•

DHCP.

При использовании стекирования для коммутаторов уровня доступа у всех них будет единый IР-адрес управления; они будут настраиваться как единое

устройство; у них будет единый файл конфигурации; протоколы

STP, CDP

и VГР запускаются на одном сервере; они будут использовать единую таблицу МАС-адресов.

•

Кабели стекирования соединяют коммутаторы в кольцо, подключая каждый к следующему в стопке. Первый и последний коммутаторы замыкают кольцо, соединяясь вместе.

•

Есть две возможности стекирования коммутаторов Cisco уровня доступа: FlexStack и более новая технология FlexStack-Plus. Технология FlexStack обеспечивает скорость 10 Гбит/с и до четырех коммутаторов в стеке. Технология FlexStack-Plus обеспечивает скорость 20 Гбит/с и до восьми ком­

технология

мутаторов в стеке.

•

Технология

Multichassis EtherChannel (МЕС) позволяет EtherChannel между двумя физическими коммутаторами.

использовать канал

•

Существуют две возможности реализации уровня управления: "активный/ре­ зервный" и "активный/активный". При использовании модели "активный/ резервный" пара действует как единый коммутатор для протоколов STP, VГР, EtherChannel, ARP и протоколов маршрутизации. При применении модели "активный/активный" пара использует возможности перенаправления плат управления обоих коммутаторов и синхронизирует их таблицы маршрутиза­

ции и МАС-адресов.

222

Часть

1.

Локальные сети

Ethernet

Контрольные вопросы

1.

Какую роль обычно играет коммутатор

LAN

при использовании

IEEE 802. \х?

А) Сервер аутентификации. Б) Соискатель. В) Транслятор. Г) Аутентификатор.

2.

Какие из следующих ответов справедливы для протокола для протокола

TACACS+,

но не

RADIUS?

А) Протокол шифрует пароль при передаче.

Б) Как транспортный протокол используется

UDP.

В) Разрешает разным пользователям использовать разные подмножества ко­

манд СLI. Г) Определены документом

3.

RFC.

Инженер слышал об отслеживании

DHCP

и решает его реализовать. Сеть

включает устройства, действующие в основном как коммутаторы уровня многоуровневые коммутаторы (т.е. осуществляют коммутацию уровней 2 и

2, 3)

и маршрутизаторы. На каких из приведенных ниже устройств можно реализо­

вать отслеживание

DHCP?

А) Коммутаторы уровня

(Выберите два ответа.)

2.

Б) Маршрутизаторы. В) Многоуровневые коммутаторы.

Г) Концентраторы

4.

LAN.

Коммутатор

ру уровня

SW2 уровня 2 подключен к нескольким устройствам: коммутато­ 2 (SW\), маршрутизатору, серверу DHCP и трем компьютерам (РС 1,

РС2 и РСЗ). Все компьютеры вполне ожидаемо будут использовать протокол

DHCP

для резервирования своих IР-адресов. Сетевой инженер реализует

на коммутаторе

SW2 отслеживание DHCP.

Инженеру неизвестно, что компью­

тер РСЗ использует злоумышленник. Что из следующего вероятнее всего спра­

ведливо для портов коммутатора

SW2, подключенных к указанным DHCP? (Выберите два ответа.)

устрой­

ствам, с точки зрения отслеживания

А) Порт, соединенный с маршрутизатором, небезопасен.

Б) Порт, соединенный с коммутатором

SWI,

безопасен.

В) Порт, соединенный с компьютером РС\, небезопасен. Г) Порт, соединенный с компьютером РСЗ, безопасен.

5.

Сетевой инженер взял 'Iетыре коммутатора 2960-Х и создал стек коммутато­ ров, используя технологию стекирования FlexStack или FlexStack-P\us от Cisco. Теперь рассмотрим такие функции уровня данных, как передача фреймов; такие функции уровня управления, как

обслуживания, как поддержка

Telnet

и

STP и УТР; и такие функции уровня SSH. Как только кабели стекирования

будут подключены, что из следующего будет истинно о работе стека из четырех коммутаторов?

Глава

6. Другие темы по локальным сетям

223

А) Стек действует как единый коммутатор для функций уровня данных, но разделяет коммутаторы для функций уровня обслуживания и управления.

Б) Стек действует как единый коммутатор для функций уровня данных и функ­ ции уровня управления, но разделяет коммутаторы для функций уровня об­ служивания.

В) Стек действует как один коммутатор для уровня данных, уровня управле­

ния и функции уровня обслуживания. Г) Стек действует как единый коммутатор для функций уровня данных, управ­ ления и функций уровня обслуживания, а также предоставляет резервные каналы связи, если все каналы связи одного коммутатора откажут.

Обзор главы Обзор этой главы осуществляется с использованием инструментов книги, образа

DVD

или интерактивных инструментов для того же материала на веб-сайте книги. Ключевые

элементы и их местоположение приведены в табл.

6.3.

Чтобы лучше проследить свой

прогресс в обучении, запишите во втором столбце дату завершения этих действий.

Таблица

6.3.

Процесс изучения главы

Элемент обзора

Используемый ресурс

Дата

Ключевые темы

Книга, образ DУD/веб-сайт

Ключевые термины

Книга, образ DУD/веб-сайт

Контрольные вопросы

Книга, РСРТ

Таблиuы д.11и запоминания

Книга, приложение

Ключевые темы Повторите все ключевые темы данной главы, отмеченные пиктограммой" Ключевая тема". Ключевые темы и соответствующие им страницы приведены в табл. 6.4.

Страница

Элемент

Описание

Рис.

Взаимодействие протоколов ЕАР и

6.3

Табл.

6.1

Сравнение протоколов

Рис.

6.8

Основы отслеживания

Рис.

6.11

Правила отслеживания

TACACS+

DHCP:

и

RADIUS с 802. lx

204

RADIUS

205

клиентские порты являются внешними

DHCP

209 211

Список

Ключевые моменты отслеживания

Список

Общие возможности стека коммутаторов

Рис.

Кабели стекирования между коммутаторами доступа в той же стойке

215

Сравнение возможностей технологий

217

6.14

Табл.

6.2

Список

DHCP

212 Cisco

Cisco FlexStack и FlexStack-Plus

Основные характеристики агрегирования коммутаторов

214

220

224

Часть

1. Локальные сети Ethernet

Ключевые термины Технология

FlexStack (FlexStack), технология FlexStack-Plus (FlexStack-Plus), мо­ (stacking module ), кабель стекирования (stacking саЫе ), стекирова­ ние коммутаторов (switch stacking), агрегирование шасси (chassis aggregation), техно­ логия Multichassis EtherChannel (Multichassis EtherChannel), внутренний порт (trusted port), внешний порт (untrusted port), таблица привязки DHCP (DHCP Binding ТаЫе), отслеживание DHCP (DHCP snooping), сервер АЛА (АЛА server), расширяемый про­ токол аутентификации (ExtensiЫe Authentication Protocol - ЕАР), ЕАР по LAN (ЕАР over LAN - EAPoL), соискатель (supplicant), аутентификатор (authenticator). дуль стекирования

Ответы на контрольные вопросы

1-

Г.

2-

В.

3-

А, В.

4-

Б, В.

5-

В.

Глава

Обзор части

6. Другие темы по локальным сетям

225

1

Проследите свой прогресс изучения материала части по контрольному списку в следующей таблиuе. Подробно задачи описаны ниже.

Контрольный список обзора части

1

Задача

Первая дата

Вторая дата

завершения

завершения

Повторите воnросы из обзоров глав Ответьте на воnросы обзора части Повторите ключевые темы

Создайте диаграмму связей концеnций

STP

Создайте диаграмму связей терминов Создайте диаграммы связей команд Выnолните лабораторные работы

Повторите вопросы из обзора глав Ответьте снова на вопросы обзоров глав этой части, используя программное обе­ спечение РСРТ. Инструкция по запуску программного обеспечения РСРТ с вопро­ сами обзоров глав только этой части приведена в разделе "Как просмотреть вопросы только обзоров глав конкретной части" введения к книге.

Ответы на вопросы обзора части Ответьте на вопросы обзора этой части, используя программное обеспечение

РСРТ. Инструкuия по запуску программного обеспечения РСРТ с вопросами обзо­ ров только этой части приведена в разделе "Как просмотреть вопросы обзоров ча­ стей" введения к книге.

Повторите ключевые темы Снова

просмотрите

темы

прочитанных

глав,

отмеченные

пиктограммой

"Ключевая тема". Если вам не все понятно, уделите время повторному изучению или воспользуйтесь приложениями на сопутствующем веб-сайте или

DYD.

Создайте диаграмму связей концепций протокола Протокол распределенного связующего дерева

(STP)

STP

определяет много концеп­

uий, которые имеет смысл организовать в памяти. В этом может помочь создание диаграммы связей, организующей конuепции протокола

STP в три

категории, следу­

ющим образом. Вот несколько рекомендаuий по организаuии этих концепuий.

•

Правила. Сюда относятся все правила, используемые коммутатором при выбо­ ре (например, правила выбора корневого коммутатора).

226 •

Часть

1. Локальные сети Ethernet STP определяет и

Роли. Протокол

роли, и состояния; пример роли

-

роль кор­

невого порта.

•

Состояния. Пример состояния

перенаправление.

-

В пределах каждой из этих ветвей создайте разделы для

802.1 D STP и 802.1 w RSTP.

Создайте диаграмму связей терминов В этой части рассматривается множество разных тем. Попробуйте, не заглядывая в предыдущие главы или свои записи, создать диаграмму связей со всеми терминами,

которые сможете вспомнить из части

1.

Ваши задачи таковы.

•

Обдумайте каждый термин, который сможете вспомнить.

•

Организуйте термины по разделам: сети

УТР, ААА,

STP,

802. lx,

VLAN, магистральные DHCP, создание стека и

отслеживание

каналы

VLAN,

агрегирование

коммутаторов.

•

Вписав в одну из диаграмм связей все термины, которые вы смогли вспомнить, просмотрите разделы "Ключевые термины" в конце глав 1-6. Добавьте в диа­ граммы связей все пропущенные термины.

Создайте диаграммы связей команд В части 1 этой книги представлено несколько пользовательских команд и конфи­ гураций. Создайте одну диаграмму связей (или раздел большой диаграммы связей) для каждой из следующих категорий команд.

магистрали

VLAN,

802.IQ, STP/RSTP,

канал

EtherChannel,

УТР

По каждой категории вспомните все команды конфигурации и все пользователь­ ские команды (главным образом команды

show).

По каждой категории сгруппируйте

команды конфигурации отдельно от пользовательских команд. Пример диаграммы связей приведен на рисунке ниже. interface vlan number

1 ip address lp address subnet-mask

~

config "'Т

/ \

Подцержка

."" "

.. " ••

ip address dhcp [no] shutdown ip default -gateway address ip name-server server_ip_1 server_ip_2 ".

1Pv4

на коммутаторе) 4 ,

...··.

··.•••

-.д,.

ЕХЕС

t

show interfaces vlan 1 r

L show dhcp lease

Пример сети, используемой в упражнениях по диаграмме связей

Глава

6. Другие темы по локальным сетям

227

ВНИМАНИЕ!

Более подробная информация по этой теме приведена в разделе "О диаграммах связей" вве­ дения к данной книге.

Создайте диаграммы связей из таблицы ниже на бумаге или используя любое гра­ фическое программное обеспечение. Если используется программное обеспечение, имеет смысл сохранить результат в файл для последующего анализа. Ответы приве­ дены в приложении Д

Е) на

(Appendix

DVD,

но ваши диаграммы связей могут выгля­

деть иначе.

Диаграммы связей обзора части Диаграмма

1 l)J.e сохранен результат

Описание

Диаграмма связей концепций

2

Диаграмма связей терминов

3

Диаграммы связей команд

STP

Выполните лабораторные работы Это первая часть книги с командами коммутатора. Если вы еще не выбрали ин­ струментальные средства для проведения лабораторных работ и экспериментов с ко­ мандами в этих главах, самое время сделать это. Воспроизведите примеры в главах и опробуйте все команды

•

Sim Lite.

show;

команды

show очень

важны при ответах на вопросы.

Чтобы выполнить некоторые лабораторные работы и привыкнуть

к интерфейсу

CLI, можете использовать эмулятор Pearson Network Simulator Lite, поддерживающий эту книгу. Все лабораторные работы в приложении ICN 02 Sim Lite соответствуют темам данной части, поэтому для знакомства с интерфейсом CLI вполне можете полагаться на эти лабораторные работы. •

Эмулятор

Pearson Network.

Полная версия эмулятора

Pearson ICND2

более

ориентирована на сценарии конфигурации и лабораторные работы на поиск и устранение неисправностей, связанных с темами этой части книги. Для ла­ бораторных работ этого типа есть больший набор тем, они хорошо подходят

для обзора данной части. (Подробности о том, как найти лабораторные работы по темам этой части книги, приведены во введении.)

•

Config Labs. На досуге просмотрите и повторите лабораторные Config Labs для этой части книги на благе автора; начините с http: / certskills. com/ccna и перейдите на Hands-On > Config Lab.

работы /Ыоg.

Сетям

TCP/IP

нужны маршруты

на протоколах маршрутизации

1Pv4,

IP.

Шесть глав части

обсуждаемых в рамках

11 сосредоточены ICND2.

Первые четыре главы этой части посвящены подробностям протоколов версии 2 и EIGRP. Глава 7 начинается с концепций OSPFv2 и продол­ жается деталями реализации протокола OSPFv2 (настройка и проверка) в гла­

OSPF

ве 8. Главы 9 и 10 используют тот же подход для протокола EIGRP: в одной главе - концепции (глава 9), в другой - детали реализации (глава 10). Глава 11 объединяет четыре главы о протоколах маршрутизации OSPFv2 и EIGRP, обсуждая поиск и устранение неисправностей в обоих случаях. Хотя это и разные протоколы, поиск и устранение их неисправностей подра­ зумевает ту же логику. Эта глава весьма подробна. И наконец впервые в истории экзаменов CCNA Cisco R&S компания Cisco добавила в экзаменационные темы нечто большее, чем простое упоминание

BG Р. Глава 12 завершает часть 11 обсуждением протокола External BGP (eBGP), используемого между предприятием и ISP. Это обсуждение

протокола

включает фундаментальные концепции, настройку и проверку.

Часть

Глава

11.

Протоколы маршрутизации

Концепции протокола

OSPF OSPF

Глава

7. 8. 9.

Глава

10.

Реализация протокола

Глава

11.

Поиск и устранение неисправностей протоколов маршрутизации

12.

Реализация протокола

Глава

Глава

Реализация протокола

Концепции протокола

Обзор части

11

для

1Pv4

1Pv4

EIGRP EIGRP для 1Pv4 External BGP

1Pv4

ГЛАВА

Концепции протокола

7

OSPF

В этой главе начинается серия из четырех подобных глав. Открытый протокол поиска первого кратчайшего маршрута

(OSPF) и улучшенный протокол маршрути­ (EIGRP) являются двумя наиболее популярными прото­ колами маршрутизации 1Pv4, используемыми в корпоративных сетях. Данная глава знакомит с концепцией протокола OSPF, а подробностям его реализации посвящена следующая глава. Главы 9 и 10 таким же образом рассматривают протокол EIGRP. В частности, в этой главе подробно рассматриваются концепции протокола OSPF версии 2 (OSPFv2). Протоколу OSPFv2 уже более 20 лет, и для анонсирования марш­ рутов 1Pv4 он используется чаще всего. Протокол OSPF давно стал частью истории CCNAR&S. зации внутреннего шлюза

В данной главе есть три главных раздела. Первый посвящен протоколам марш­ рутизации вообще, определению внутренних и внешних протоколов маршрутиза­

ции, а также фундаментальным средствам и терминам протоколов маршрутизации. Эта информация несколько совпадает с изложенной в книге по ICNDl, но эти темы включены как в экзамен ICNDI, так и в ICND2; таким образом, здесь затрагивают­ ся те же темы. Второй главный раздел рассматривает внутреннюю работу протокола

OSPFv2,

использование соседских отношений

обмен базами данных и вычис­

OSPF,

ление маршрутов. Третий раздел завершает обсуждение рассмотрением некоторых

проблем применения протокола

OSPF.

В этой главе рассматриваются следующие экзаменационные темы

2.0.

Технологии маршрутизации

2.2.

Сходства и различия дистанционно-векторных протоколов и протоколов маршрутизации с учетом состояния каналов

2.3. Сходства и различия внутренних и внешних протоколов маршрутизации 2.4.

Настройка, проверка, поиск и устранение неисправностей однои многообластного протоколов

OSPFv2

для

1Pv4

(исключая

аутентификацию, фильтрацию, ручное суммирование, перераспределение, тупики, виртуальный канал и

LSA)

Глава

7. Концепции протокола OSPF

231

Основные темы Сравнение средств протокола

динамической маршрутизации Маршрутизаторы добавляют маршруты

IP

в свои таблицы маршрутизации тре­

мя способами: как подключенные, как статические или как изученные с помощью протоколов динамической маршрутизации. Прежде чем углубляться в обсуждение темы, имеет смысл определить несколько связанных с ними терминов и устранить

заблуждения по поводу терминов протокол маршрутизации рутизируемый протокол

(routed protocol

и routaЫe

(routing protocol) и марш­ protocol). Лежащие в основе этих

терминов концепции вовсе не трудны, просто сами термины настолько похожи, что

во многих документах их не различают и путают. Обобщенно эти термины определя­ ют следующим образом.

•

Протокол маршрутизации

(routing protocol).

Набор сообщений, правил и алго­

ритмов, используемых маршрутизаторами для общей задачи изучения маршру­

тов. Этот процесс подразумевает обмен и анализ информации о маршрутиза­ ции. Каждый маршрутизатор выбирает наилучший маршрут к каждой подсети (выбор пути), а выбранные оптимальные маршруты помещает в свою таблицу

маршрутизации

•

IP.

К таким протоколам относятся

Маршрутизируемый протокол

(routed protoco\

RIP, EIGRP, OSPF

и routaЬ\e

protocol).

и

BGP.

Оба терми­

на описывают протокол, определяющий структуру пакета и логику адресации,

позволяющие маршрутизаторам перенаправлять (или маршрутизировать) па­ кеты. Маршрутизаторы перенаправляют пакеты в соответствии с маршрути­

зируемыми протоколами. К таким протоколам относятся и версии 6 (1 Рvб).

IP

версии

4 (1Pv4)

ВНИМАНИЕ!

Термин выбор пути

(path selection) иногда применяют к части задач протокола маршрутиза­ ции, подразумевающей выбор протоколом маршрутизации наилучшего маршрута. Даже при том, что протоколы маршрутизации (такие, как

OSPF)

отличаются

от маршрутизируемых протоколов (таких, как 1Р), взаимодействуют они очень тесно. Процесс маршрутизации обеспечивает перенаправление пакетов IP, но если у марш­ рутизатора нет в таблице маршрутизации маршрута IP, соответствующего адресу по­ лучателя пакета, то маршрутизатор отбрасывает пакет. Чтобы маршрутизаторы мог­ ли изучить все возможные маршруты и добавить их к таблице маршрутизации, они

нуждаются в протоколах маршрутизации. Это позволит процессу маршрутизации перенаправлять пакеты, используя такие протоколы, как IP.

Функции протокола маршрутизации Программное обеспечение рутизации

1Р,

Cisco IOS

поддерживает несколько протоколов марш­

осушествляющих те же общие функции.

232

Часть

11. Протоколы маршрутизации 1Pv4

Функции протокола маршрутизации

IP

1. Изучать информаuию о маршрутах к подсетям IP от других соседних маршру­ тизаторов.

2. Анонсировать информаuию о маршрутах к подсетям IP другим соседним маршрутизаторам.

3. Если к подсети есть несколько маршрутов, то наилучший выбирается на осно­ вании метрик.

4.

Если топология сети изменится (например, откажет канал связи), то некото­ рые маршруты окажутся неверными, и придется выбирать новый оптималь­

ный маршрут. (Этот проuесс носит название конвергенция

(convergence).)

ВНИМАНИЕ! Соседний маршрутизатор подключен к тому же каналу связи, что и другой маршрутизатор, например к тому же каналу связи

На рис.

7.1

WAN

или к тому же каналу

Ethernet LAN.

приведен пример трех из четырех приведенных выше функuий.

Маршрутизаторы

R 1 и R3 узнают о маршруте к подсети 172.16.3.0/24 от маршрутиза­ R2 (функuия 1). После того как маршрутизатор R3 узнает о маршруте к подсети 172.16.3.0/24 от маршрутизатора R2, он анонсирует этот маршрут маршрутизатору RI (функuия 2). Затем маршрутизатор RI принимает решение о двух изученных им маршрутах к подсети 172.16.3.0/24: один с метрикой 1 от маршрутизатора R2 и один с метрикой 2 от маршрутизатора R3. Маршрутизатор RI выбирает маршрут с мень­ шей метрикой, т.е. через маршрутизатор R2 (функuия 3).

тора

GO/ol

У меня есть маршрут к

У меня есть маршрут к

172.16.3.0/24, метрика 2

172.16.3.0/24, метрика 1

Я буду использовать

маршрут S0/0/0, поскольку его метрик

ниже

S0/0/0 172.16.6.252

S0/0/1 GO/ O.

S0/0/1~

S0/0/0

7

172.16.2.252 -

172.16.3.Q/24

172.16.1.0/24 Таблица маршрутизации Подсеть

Вых . инт.

172.16.3.0 S0/0/0 Рис.

7.1.

G0/ 1

IP маршрутизатора R1

....:----------

След. маршр . Метрика

У меня есть маршрут к

172.16.2.252 1

172.16.3.Q/24, метрика 1

Три из четырех базовых фу11кций протоколов маршрутизации

Конвергенuия (сходимость) рутизаuии. Термин конвергенция

- четвертая упомянутая здесьфункuия протокола марш­ (convergence) относится к проuессу, происходящему при

Глава

7. Концепции протокола OSPF

233

изменении топологии сети, т.е. когда отказывает маршругизатор или канал связи (либо когда они восстанавливают работу). Когда нечто изменяется, могуг измениться и наи­ лучшие доступные в сети маршругы. Конвергенция

-

это процесс, в ходе которого все

маршругизаторы осознают, что произошло некое изменение, анонсируют информацию об изменениях всем остальным маршругизаторам, а они выбирают для каждой подсети новые оптимальные маршругы. Способность к быстрой конвергенции (без циклов) яв­ ляется одним из важнейших критериев при выборе протокола маршругизации IP. Конвергенция на рис. 7.1 могла бы иметь место при повреждении канала связи между маршругизаторами R 1 и R2. В этом случае маршругизатор R 1 прекратит ис­ пользовать свой прежний маршруг длs1 подсети 172.16.3.0/24 (непосредственно через маршрутизатор

R2)

и начнет посылать пакеты через маршругизатор RЗ.

Внутренние и внешние протоколы маршрутизации Протоколы маршругизации 1Р относятся к одной из двух главных категорий: протоколы маршрутизации внутреннего шлюза ( 1nterior Gateway Protocol - IG Р) и про­ токолы маршрутизации внешнего шлюза ( Exterior Gateway Protoco\ - EG Р). Как они

..

определяются, описано ниже

.:

- •

.

Определения протоколов

IG Р н EG Р

•

/GP. Протокол маршрутизации, предназначенный для использования води ­ ночной автономной системе (Autonomous System - AS).

•

EGP.

Протокол маршругизации, предназначенный для совместного использо­

вания разными автономными системами.

ВНИМАНИЕ!

Термины

/(iP и F.GP включают слово

"шлюз" потому, что м а ршрутизаторы раньше называли

шлюза~и .

В этих определениях использован еще один новый термин: автономная система

Автономная система - это сеть под административным контролем одной организации. Например, сеть, созданная и оплаченная некой ком­ панией, будет, вероятнее всего, системой AS, школьная сеть также, вероятно, является

(ALttonomous System - AS) .

автономной системой. Другими примерами являются разнообразные государствен­ ные или национальные учреждения, вполне способные создавать собственные сети.

Каждый провайдер

ISP также обычно является

отдельной автономной системой.

Некоторые протоколы маршругизации лучше работают в автономной системе

(согласно проекту), поэтому их относят к протоколам IGP. И наоборот, протоколы маршрутизации, предназначенные для обмена маршрутами между маршрутизато­

рами в разных автономных системах , относят к протоколам граничного шлюза

EGP. Сегодня протокол

( Border Gateway Protocol - BG Р) является единственным

и с пользу­ ем ым протоколом EG Р. Каждой системе AS может быть присвоен номер AS (AS number - ASN). Правом присвоения номеров ASN, как и открытых IР-адресов, обладает центр по присвоению

адресов Интернета

o r g ).

(lnternet Assigned Numbers Authority- IANA; http : // www. iana .

Центр делегирует свои полномочия другим организациям по всему миру, как

правило, тем же организациям , которые присоаиваютоткрытые 1Р-адреса. Например, в Северной Америке этим занимается Americaп Registry for lnternet Numbers (ARIN);

http: // www .arin .ne t.

Часть

234

На рис.

7.2

11.

Протоколы маршрутизации

1Pv4

приведено некое уменьшенное представление Всемирного Интернета.

На рисунке представлены два предприятия и три провайдера служб Интернета, ис­ пользующих протоколы

IG Р (OSPF и EIG RP) ASN.

в собственных сетях и протоколы

BGP

между системами, обозначенными как

ASN 500

Рис.

7.2.

Сравнение областей применения протоколов

Сравнение протоколов

IUP и !XiP

IGP

У предприятий есть несколько вариантов при выборе протокола

IGP

для своей

корпоративной сети, но большинство компаний ныне использует протокол или

и

EIGRP. Данная

8 посвящены

OSPF 7

книга рассматривает оба эти протокола маршрутизации: главы

протоколу

OSPF, а главы 9 и 10- протоколу EIGRP.

Прежде чем углу­

биться в подробности этих двух протоколов, рассмотрим в следующем разделе неко­

торые из основных задач каждого протокола внутреннего шлюза (сравниваются про­

токолы

OSPF

и

EIG RP),

а также несколько других протоколов маршрутизации

Алгоритмы протокола маршрутизации

1Pv4.

IGP

Базовые алгоритмы протокола маршрутизации определяют то, как они решают

свою задачу. Термин алгоритм протокола маршрутизации

(routing protoco\ algorithm)

относится к логике, используемой различными протоколами маршрутизации для из­

учения всех возможных маршрутов и выбора наилучшего для каждой подсети, а так­ же реакции на изменения в объединенной сети (конвергенции). Протоколы маршру­

.

тизации

.: , ..

. .

•

IGP

используют три основных типа алгоритмов протокола маршрутизации .

Три типа алгоритмов протокола маршрутизации

IGP

Дистанционно-векторный (или алгоритм Беллмана-Форда, по имени его соз­ дателей).

• •

Улучшенный дистанционно-векторный (или "сбалансированный гибридный"). Состояния канала.

Глава

Исторически

первыми

были

7.

изобретены

Концепции протокола

дистанuионно-векторные

лы в начале 1980-х годов. Протокол маршрутной информации

Protocol - RI Р) был

OSPF

235

протоко­

(Routing lnformation

первым популярным дистанuионно-векторным протоколом, ис­

пользуемым протоколом

1Р,

а немного позже появился собственный протокол ком­

пании

Cisco - протокол маршрутизации Protocol - IGRP).

внутреннего шлюза

(lnterior Gateway Routing

К началу 1990-х дистанuионно-векторные протоколы проявили медленную кон­ вергенuию и вероятность uиклических маршрутов. Это потребовало разработки новых

протоколов

маршрутизаuии,

использующих

альтернативные

алгоритмы.

Основные проблемы решили протоколы состояния канала, в частности открытый

(Open Slюrtest Patl1 First - OSPF) /S-/S (lntegrated lntermediate System to lntermediate System). Но у всего

протокол поиска первого кратчайшего маршрута

и протокол

своя uена: они потребовали дополнительной мощности проuессора и памяти марш­ рутизатора, а также более тщательного планирования от сетевых инженеров.

Cisco

выпустила

собственный расишренный протокол маршрутизации внутреннего шлюза

Почти одновременно с введением протокола

(Enhanced

lnterior Gateway Routing Protocol - EIGRP),

OSPF

компания

использовавший некоторые из средств

прежнего протокола маршрутизаuии внутреннего шлюза. Протокол

решал

EIGRP

те же задачи, что и протоколы маршрутизаuии по состоянию канала, но при мень­

шем планировании реализуемой сети. Со временем протокол

EJGRP был

классифи­

uирован как уникальный тип протокола маршрутизаuии. Но поскольку он больше исполь-зовал дистанuионно-векторные средства, чем средства состояния канала, его

обычно относят скорее к улучшенным дистанuионно-векторным протоколам.

Метрики Протоколы маршрутизаuии выбирают наилучший маршрут к подсети на основа­ нии самой нюкой метрики маршрута. Протокол

RIP,

например, исполиует счетчик

количества маршрутизаторов (транзитных участков) между текущим маршрутизато­

ром и подсетью на-значения. Протокол

OSPF подсчитывает uену каждого интерфейса

в скво-зном маршруте, а также uену на основании ширины полосы пропускания ка­

нала свюи. Список важнейших протоколов маршрутизаuии и некоторые подробности о них приведены в табл.

Таблица

IP для

эюаменов

CCNA

7.1.

7.1. Сравнение метрик IGP Описание

IGP

Метрика

RIPv2

Счетчик транзитных

Количество маршрутизаторов (транзитных

переходов

участков) между маршрутизатором и подсетью назначения

OSPF

Цена

Сумма стоимостей всех интерфейсов для всех каналов связи на маршруте со стоимостью,

полученной на основании ширины полосы

пропускания интерфейса

EIG RP

Соотношение ширины полосы

Вычисляется на основании самого медленного

пропускания и задержки

канала свнзи маршрута, а кумулятивная задержка

связана с каждым интерфейсом на маршруте

Часть

236

11. Протоколы маршрутизации 1Pv4

Хотя современные экзамены

CCENT

и

CCNA игнорируют протокол RIP, краткое EIG RP позволяет лучше понять, поче­ протокол RIP. На рис. 7.3 приведен пример,

сравнение его метрик с метриками протокола му протоколы

OSPF и EIGRP превзошли

в котором маршрутизатор В имеет два возможных маршрута к подсети \О.\.\ .О слева:

более короткий маршрут по медленному каналу связи

(64

Кбит/с) и более длинный

маршрут по высокоскоростным каналам связи (Т\).

RIP П одсеть

EIGRP П одсеть

10.1.1.0

10.1 .1.0

--

•·······

....... ·>-

•·······

Интервал f?ij Hello

В Интервал

lcia1 Hello

~

~

Рис.

7.6.

Пакеты

"Hello OSPP"

Маршрутизаторы А и В посылают сообщения

"Hello"

в сеть

LAN. Они продол­ Hello Timer. Само

жают регулярно посылать их с интервалом, заданным параметром сообщение

• • •

"Hello"

Сообщение

имеет следующие свойства.

"Hello"

предваряется заголовком пакета

IP

с типом протокола

89.

Пакеты Hello посылают на многоадресатный IР-адрес 224.0.0.5, предназначен­ ный для всех маршрутизаторов, поддерживающих протокол OSPF. Маршрутизаторы

посылаемые на многоадресат­

ный IР-адрес

соседях.

На рис.

7.7

OSPF получают пакеты He\lo, 224.0.0.5, и узнают из них о новых

показано несколько предварительных состояний соседей, используе­

мых на ранних этапах формирования соседских отношений

ка представлены сообщения

"Hello"

OSPF.

В центре рисун­

и результирующие состояния соседей (слева

Глава

7.

Концепции протокола

OSPF

243

и сnрава

no краям рисунка). Каждый маршрутизатор имеет nеременную состояния хранящую его nредставление о соседе.

OSPF,

RID 1.1.1.1

RID2.2.2.2

•

•81111-~~-:z:z

ф (Канал связи между R1 и R2 восстанавливается".)

@ Hello, Seen [nulll Му RID 1 1.1.1

------------------------------------------~

®

lnit

Hello, Seen [1. 1 1.1 ], Му RID 2.2.2.2 ~-----------------------------------------2-Way

t:;'\

\il Hello, Seen [1

1.1. 1, 2.2.2.2], Му RID 1.1.1.1

·······---------------····-···-······-----~

Рис.

7. 7.

2-Way

1/реrJварителыtые состояния соседей

Согласно этапам на рисунке

npouecc

начинается nри отключенном канале связи,

когда маршрутизаторы ничего не знают ни один о другом, ни о том , что они соседи

В результате у них нет никакого состояния, информация друг о друге отсут­

OSPF.

ствует, и они не указывают один другого в выводе команды

s ho w ip o s pf neighb o r .

На этаnе 2 маршрутизатор RI nосылает nервый nакет Hello - так маршрути затор R2 узнает о существовании маршрутизатора RI как маршрутизатора OSPF. Теnерь маршрутизатор R2 укажет маршрутизатор R 1 как соседа с nромежуточным состояни­ ем

lnit

(инициализация).

Процесс продолжается на этапе 3, на котором маршрутизатор R2 возвращает со­ общение "Hello" . Это сообщение оnовещает маршрутизатор RI о существовании маршрути затора R2 и nозволя ет маршрутизатору R 1 nерейти в состояние двухсторон­ него соответствия

(2-way state).

сообщение

от маршрутизатора

"Hello"

На этаnе

RI

4

маршрутизатор

и маршрутизатор

R2 nолу•1ает сл едующее R2 такж е может перейти

в состояние двухстороннего соответствия.

Завершив эти предварительные этапы, каждый маршрутизатор достигает состоя­

ния

2-way со

.. .. :

• • •

своим соседом. На настоящий момент истинны два следующих факта .

Ключевые факты о состоянии

2-way протокола OSPF

Маршрутизатор получил от соседа сообще ни е

"H ello" с

иде нтификатором

RI D

этого маршрутизатора, указанного как его сосед .

•

Маршрутизатор nроверил все nараметры в пол ученном от соседа сообщении

''Hello" •

и не нашел проблем. Маршрутизатор стал соседом.

Если оба маршрутизатора достигают состояния двухстороннего соответствия один с другим, это озн ач ает, что конфигурации обоих маршрутизаторов отве ­ чают всем требованиям

OSPF

на роль соседей. Фактически с этого моме нта

они соседи и готовы обменяться своими базами

Обмен базами

LSDB

LSDB один

с дру гим.

между соседями

Одна и з задач формирования соседских отношений OSPF - это nозволить двум соседим обмениватьсн своими базами данных. Следу ющий раздел рассм атривает не ­ которы е из подробностей обм е н а базами данных

OSPF.

Часть

244

11. Протоколы маршрутизации 1Pv4

Обмен полными анонсами

LSA с соседями 2-way соседа OSPF означает, что маршрутизатор доступен для обмена с соседом базами LSDB. Другими словами, маршрутизаторы готовы на

(ABR)

10.1. 11 .0 Внутренние маршрутизаторы

Область

Рис.

7.13.

Таблица

OSPF.

7.6.

10 . 1 . 12 . О

10 . 1 . 13 . О

10 . 1 .1 4. О

Внутренние маршрутизаторы

Область2

1

Проект с тре~tя областями

OSPf'u ш1ршрут11заторам11 D/ и

D2в качестве ABR

7.6. Терминология проекта OSPF

Термин

Определение

Грш111чныu маршрутизатор

Маршрутизатор

области (Агеа

к магистральной области и как минимум к одной обычной

Borde1· Router -

OSPF,

интерфейсы которого подключены

ABR) Ма1истралы1ыli маршрутюатор

Маршрутизатор, соединенный с магистральной областью

(backbone

(включая маршрутизаторы

ABR)

router) В11утрею1иli маршрутизатор

Маршрутюатор, все интерфейсы которого находятся

( internal router)

в одной (не магистральной) области

Область (агеа)

Набор маршрутизаторов и каналов связи, совместно

использующих ту же информацию баз

LSDB, но в целях

эффективности не делящихся ею с маршрутизаторами из других областей Ма1истралыюн область

(backbone

агеа)

Специальная область

OSPF (область 0), с которой должны

быть соединены все остальные области

252

Часть

11. Протоколы маршрутизации 1Pv4 Оконча/fuе табл.

7.6

Термин

Определение

Внутриобластной маршрут

Маршрут к подсети в той же области, что и маршрутизатор

(intra-area route) Межобластной маршрут

Маршрут к подсети в области , отличной от области

(interarea route)

маршрутизатора

Как области сокращают время вычисления

SPF

На рис. 7.13 представлены типичный проект области и связанная с областями тер­ минология, но не отображаются мощь и преимущества областей. Чтобы понять, как области сокращают работу алгоритма SPF, необходимо разобраться в том, как проис­ ходят изменения в базах

LSDB области.

Большую часть времени алгоритм SPF тратит на обработку подробностей топо­ логии, а именно - на маршрутизаторы и соединяющие их каналы связи. Области сокращают объем работ алгоритма SPF, поскольку в списке LSDB каждой области указаны маршрутизаторы и каналы связи только этой области (рис. 7.14, слева).

Хотя топологической информации в базе

LSDB

стало меньwе, в ней все еще

должна быть информация обо всех подсетях во всех областях, чтобы каждый марш­

рутизатор мог создать маршруты 1Pv4 для всех подсетей. Таким образом, в проекте областей OSPFv2 используется очень краткая обобщенная информация о подсетях в других областях. Анонсы LSA не включают топологическую информацию о других областях, поэтому они не требуют от алгоритма SPF большого количества работы во­ обще. Все эти подсети выглядят как подсети, соединенные с маршрутизатором (в данном случае- с маршрутизатором DI).

База

LSDB

области

ABR

1

Подсети в других областях:

объем работ SPF небольшой

Подробные топологические данные (маршрутизаторы и каналы связи):

объем работ

Рис.

SPF большой

7.14. Концепция баз LSDB меньшей области 1

Преимущества областей

OSPF

Таким образом, проекте одиночной областью

OSPF хорош для малых сетей OSPF,

он позволяет избежать дополнительных сложностей и сделать сеть немного проще. Планирование также потребует меньше усилий, поскольку не нужно думать о том, какие части сети в какую область поместить.

Глава

7. Концепции протокола OSPF

253

В больших сетях использование нескольких областей улучшает работу протокола

OSPF

несколькими способами. Ниже приведен список ключевых доводов в пользу

использования нескольких областей в больших сетях

OSPF.

•

Меньший размер базы

•

Проuессорам маршрутизаторов требуется меньше uиклов на обработку мень­ ших баз LSDB областей по алгоритму SPF, сокращаются дополнительные за­

LSDB

в каждой области требует меньше памяти.

траты проuессора и улучшается время конвергенuии.

•

Изменения в сети (например, отказ и восстановление каналов связи) требу­ ют вычислений

SPF только

на тех соединенных с областью маршрутизаторах,

на которых канал связи изменил состояние, что сокращает количество марш­

рутизаторов, на которых повторно запускается протокол

•

SPF.

Между областями можно передавать меньше информаuии в анонсах, сокра­ щая ширину полосы пропускания, необходимую для передачи анонсов

LSA.

254

Часть

11.

Протоколы маршрутизации

1Pv4

Обзор Резюме

•

У протоколов маршрутизации четыре общие задачи: они получают маршрут­

ную информацию о подсетях

1Рот

соседних маршрутизаторов; они анонсиру­

ют маршрутную информацию о подсетях

соседним маршрутизаторам; если

IP

к одной и той же подсети возможно несколько маршрутов, то они выбирают наилучший на основании метрик; если первоначальный маршрут оказывается

недоступным, они выбирают новый.

•

Протоколы маршрутизации могут относиться к одной из двух категорий: про­

токолы маршрутизации внутреннего шлюза ции внешнего шлюза

•

(IGP)

и протоколы маршрутиза­

(EGP).

Есть три основные ветви алгоритмов протоколов маршрутизации: дистанци­ онно-векторная, улучшенная дистанционно-векторная и состояния канала.

•

Экзаменационные темы

CCNA R&S

рассматривают метрики, используемые

такими внутренними протоколами маршрутизации, как ходов),

•

OSPF

(стоимость) и

•

1Pv4,

включая

VLSM

R\Pvl,

по определению

1Pv4,

включая

RIPv2, OSPF и EIG RP,

и суммирование маршрутов вручную.

дистанционно-векторный протокол

RIPvl -

(счетчик пере­

VLSM.

Бесклассовые протоколы маршрутизации поддерживают маски

RIPv2

(составная метрика).

Классовые протоколы маршрутизации не поддерживают маски

•

EIGRP

\Pv4

с медленной сходимостью

(конвергенцией) и без использования многоадресатной передачи для рассыл­ ки анонсов маршрутизации.

•

дистанционно-векторный протокол

RIPv2 -

(конвергенцией), поддержкой масок

VLSM

1Pv4

с медленной сходимостью

и суммирования вручную, а также

использующий для передачи анонсов маршрутизации многоадресатную рас­ сылку.

•

улучшенный дистанционно-векторный протокол

EIGRP -

конвергенцией, поддержкой масок ственный протокол

Cisco,

VLSM

\Pv4

с быстрой

и суммирования вручную. Это соб­

использующий для передачи анонсов маршрутиза­

ции многоадресатную рассылку.

•

OSPF -

протокол состояния канала для протокола

ций, поддержкой масок

VLSM

1Pv4

с быстрой конверген­

и суммирования вручную, а также использую­

щий для передачи анонсов маршрутизации многоадресатную рассылку.

•

\S-IS -

протокол состояния канала с быстрой конвергенций, поддержкой (в

его реализации

TCP/IP для \Pv4)

масок

VLSM

и суммирования вручную, а так­

же использующий для передачи анонсов маршрутизации многоадресатную рассылку.

•

Когда на маршрутизаторе выполняется несколько протоколов маршрутизации

и маршрутизатор узнает ту же маршрутную информацию через разные прото­ колы, выбирается маршрут от протокола с самым низким административным

расстоянием

(AD).

Глава

•

Когда соседские отношения

7. Концепции протокола OSPF

OSPF достигают

состояния

2-way,

тинны следующие факты: маршрутизатор получил сообщение его соседа с собственным

RID

няться своими

OSPF

2-way, они базами LSDB.

нет.

OSPF

фактически являются соседями и готовы обме­

Полностью согласованными соседями тизаторы, остающиеся в состоянии

•

от сво­

Если оба маршрутизатора с предполагаемыми соседскими отношениями достигли состояния

•

становятся ис­

"Hello"

маршрутизатора, указанным как замеченный;

никаких проблем с параметрами

•

255

OSPF полагают не выделенные маршру­ 2-way.

Полностью согласованными соседями

OSPF

полагают маршрутизаторы, на­ (full) и обменявшиеся базами

ходящиеся R состоянии полной синхронизации

LSDB. •

Метрика

вычисляется на основании суммы всех стоимостей исходящих

OSPF

интерфейсов на маршруте к получателю.

•

Все интерфейсы, находящиеся в одной и той же подсети, должны находиться в одной области.

• •

Область должна быть непрерывной. Маршрутизатор, все интерфейсы которого находятся в одной области,

-

это

внутренний маршрутизатор.

•

Маршрутизатор с интерфейсами в магистральной области и в не магистраль­ ной области

•

это граничный маршрутизатор зоны (маршрутизатор

-

ABR).

Маршрутизатор с интерфейсом в магистральной области считают магистраль­ ным маршрутизатором.

•

Все не магистральные области должны соединиться с магистральной и иметь по крайней мере один маршрутизатор

ABR

с магистральной и не магистраль­

ной областями.

• •

Область OSPF включает набор маршрутизаторов и каналов связи, совместно использующих одну и ту же информацию баз LSDB. Область

OSPF

О является специальной магистральной областью к которой

должны подключаться

•

r1ce

области.

Внутриобластной маршрут

OSPF -

это маршрут к подсети в одной и той же

области.

•

Межобластной маршрут

OSPF -

это маршрут к подсети вне одной и той же

области.

Контрольные вопросы

1.

Какие из следующих протоколов маршрутизации используют логику состоя­

ния канала? А)

RIPvl.

Б)

RIPv2.

В)

EIGRP.

Г)

OSPF.

256 2.

Часть

11. Протоколы маршрутизации 1Pv4

Какие из перечисленных ниже протоколов маршрутизаuии используют метри­ ку, полностью или частично зависящую от полосы пропускания'? (Выберите два ответа.)

3.

А)

RIPvl.

Б)

RIPv2.

В)

EIGRP.

Г)

OSPF.

Какие из следующих внутренних протоколов маршрутизаuии поддерживают маски А) Б)

В) Г)

4.

VLSM?

(Выберите три ответа.)

RIPvl. RIPv2. EIGRP. OSPF.

Используя протокол

OSPFv2, два маршрутизатора стали соседями и обменя­ LSA. В результате маршрутизатор Rl поместил некото­ рые из маршрутов, полученные по протоколу OSPF, в свою таблиuу маршрути­ заuии. Что из следующего лучше описывает то, как маршрутизатор R 1 исполь­ зует вновь полученные анонсы LSA для выбора маршрута 1Р, добавляемого

лись всеми анонсами

в его таблиuу маршрутизаuии? А). Каждый анонс

LSA содержит

маршрут, который будет скопирован в табли­

uу маршрутизаuии.

Б). Некоторые анонсы

LSA содержат

маршруты, которые могут быть скопиро­

ваны в таблиuу маршрутизаuии.

В). Для вычисления маршрутов запускается математический механизм обрабатывающий анонсы LSA. Г). Маршрутизатор

Rl

вообще не использует анонсы

LSA

SPF,

при выборе добавля­

емых маршрутов.

5.

Какое из следующих состояний соседа

OSPF ожидается по завершении OSPF?

обмена

топологической информаuией между двумя соседями А) Б)

В) Г)

6.

2-way. Full.

Up/up. Final.

Сеть небольшой компании использует токол

OSPFv2.

15

маршрутизаторов,

40

подсетей и про­

Что из следующего считается преимуществом использования

проекта одиночной области по сравнению с проектом нескольких областей?

А) Сокращены дополнительные затраты по обработке на большинстве маршрутизаторов.

Б) Изменение состояния одного канала связи не потребует запуска алгоритма

SPF

на всех остальных маршрутизаторах.

В) Упростились планирование и обслуживание. Г) Разрешено суммирование маршрутов, что сокращает размер таблиu марш­ рутизаuии

IP.

Глава

7.

Концепции протокола

OSPF

257

Обзор главы Обзор этой главы осуществляется с использованием инструментов книги, образа или интерактивных инструментов ДТJЯ того же материала на веб-сайте книги.

DVD

Ключевые элементы и их местоположение приведены в табл.

7.7.

Чтобы лучше про­

следить свой прогресс в обучении, запишите во втором столбце дату завершения этих действий.

Таблица

7. 7.

Процесс изучения главы

Элемент обзора

Дата

Используемый ресурс

Ключевые темы

Книга, образ ОVО/веб-сайт

Ключевые термины

Книга, образ ОУО/веб-сайт

Контрольные вопросы

Книга, РСРТ

Таблицы для запоминания

Книга, образ ОУО/веб-сайт

Ключевые темы Повторите все ключевые темы данной главы, отмеченные пиктограммой" Ключевая тема". Ключевые темы и соответствующие им страницы приведены в табл.

Элемент

Описание

Список

Функции протокола маршрутизации

Страница

232

Определения протоколов

Список

Три типа алгоритмов протокола маршрутизации

Табл.

7. 1

Сравнение метрик

Табл.

7.2

Сравнение внутренних протоколов маршрутизации

IGP

и

IP

Список

Табл.

Стабильные состояния соседей Как протокол

Рис.

Дерево

7. 11

2-way

S PF для 172. 16.3,0/24

OSPF

Правила проекта областей

OSPF

Проект с тремя областями

OSPF и

Табл.

7.6

234

IP

237

OSPF

243

и их значения

247

маршрута

выбора маршрута от маршрутизатора

Рис.

в качестве

протокола

OSPF вычисляет стоимость

Список

7.13

233 IGP

235

Ключевые факты о состоянии

Определение

EGP

IGP

Список

7.4

7.8.

248 R 1 к сети

248

250 маршрутизаторами

01

и

02

251

ABR

Терминология проекта

OSPF

251

Ключевые термины Конвергенция (convergence), алгоритм поиска первого кратчайшего маршру­ (Shortest Path First - SPF), вектор расстояния (distance vector), протокол марш­ рутизации внутреннего шлюза (lnterior Gateway Protoco\ - JGP), состояние канала

та

258

Часть

11. Протоколы маршрутизации 1Pv4

(link-State Advertisement - LSA), база данных (Link-State Database - LSDB), метрика (metгic), состояние двух­ стороннего соответствия (2-way state), состояние полной синхронизации (full state), граничный маршрутизатор зоны (Агеа Вогdег Routeг - ABR), выделенный маршру­ тизатор (Designated Routeг - DR), резервный выделенный маршрутизатор (Backup Designated Routeг - BDR), полностью согласованный (fully adjacent), интервал Hello (Hello lnterval), интервал Dead (Dead lnterval), обновление состояния канала (linkstate update), сосед (neighboг), идентификатор маршрутизатора (Routeг ID - RID), топологическая база данных (topology database), внутренний маршрутизатор (inteгnal гоutег), магистральная область (backbone агеа). (link-state),

анонс состояния канала

состояний каналов

Ответы на контрольные вопросы

1-

Г.

2-

В, Г.

3-

Б, В, Г.

4-

В.

5-

Б.

6-

В.

ГЛАВА

Реализация протокола

8

OSPF

для1Рv4 Концепции протокола

OSPF

версии

2 (OSPFv2)

представлены в предыдущей гла­

ве, а в этой главе описаны подробности реализации открытого протокола поиска

первого кратчайшего маршрута, т.е. использование протокола

OSPF для 1Pv4,

а так­

же подробности настройки и проверки множества средств протокола OSPFv2. В этой главе затрагивается широкое разнообразие параметров настройки, поэто­ му ее содержимое разделено на три главных раздела. Первый главный раздел демон­ стрирует настройку и проверку протокола

OSPFv2

в простом проекте для одиночной

области. В таком проекте все интерфейсы находятся в одной области и этот факт оказывает влияние на виды информации, выводимые командой пользующая команду

OSPF network.

OSPFv2.

главный

ис­

OSPF со

многими областями.

общих средств протокола Сюда относятся совершенно иной способ разрешения протокола OSPFv2

на маршрутизаторе

раздел

OSPFv2,

Второй раздел повторяет те же виды настройки

и проверки, что и первый, но теперь в проекте Третий

Кроме того,

show.

в первом разделе используется традиционная конфигурация протокола

Cisco -

рассматривает множество

с использованием подкоманды интерфейса, а не коман­

ды OSPF network, а также настройка стандартных маршрутов и балансировка нагрузки OSPF.

OSPF,

метрик

OSPF

И наконец? обратите внимание, что в названии экзаменационной темы ниже специально исключены некоторые разделы протокола

OSPF.

В этой главе рассматриваются следующие экзаменационные темы

2.0.

Технологии маршрутизации

2.4.

Настройка, проверка, поиск и устранение неисправностей одно­ и многообластного протоколов

OSPFv2

для

1Pv4

(исключая

аутентификацию, фильтрацию, ручное суммирование, перераспределение, тупики, виртуальный канал и

LSA)

Часть 11. Протоколы маршрутизации 1Pv4

260

Основные темы Реализация протокола Для настройки протокола

OSPFv2 для одиночной области

OSPF

необходимо лишь несколько этапов, но необя­

зательных этапов может быть множество. После выбора проекта

OSPF (в больших IP эта задача может быть сложной) настройка может быть очень простой: включение протокола OSPF на каждом интерфейсе маршрутизатора и по­ мещение этого интерфейса в соответствующую область OSPF.

объединенных сетях

В этом разделе приведено несколько примеров конфигурации объединенной сети

OSPF с

одной областью. После этих примеров рассматривается несколько дополни­

тельных, необязательных параметров конфигурации. Ниже описаны рассматривае­ мые в первом разделе данной главы этапы настройки протокола

OSPF,

а также крат­

кий перечень необходимых команд .

Этапы настройки протокола OSPF

• Этап

1

Этап

2

Используя глобальную команду router ospf идентификатор процесса, перейдите в режим конфигурации OSPF для указанного процесса OSPF

(Необязательно.) Задайте идентификатор маршрутизатора А. Используя подкоманду маршрутизатора

router-id

OSPF.

значение

идентификатора, задайте идентификатор маршрутизатора. В. Используя глобальную команду

interface loopback

-

номер наряду

с командой ip address адрес маска, задайте IР-адрес на петлевом интерфейсе (выберите самый большой IР-адрес из всех рабочих петлевых). С. Сошлитесь на IР-адрес интерфейса (выберите самый большой IР-адрес из всех рабочих не петлевых)

Этап

3

Используя одну или несколько подкоманд маршрутизатора адрес шаблон маски

area

network

iр­

идентификатор области, разрешите протокол

OSPFv2 на всех интерфейсах, соответствуюшИх заданным адресу и маске, OSPF на интерфейсе заданной области

запустив протокол Этап

4

(Необязательно.) Используя подкоманду маршрутизатора

interface

тип номер, настройте все интерфейсы

passi ve-

OSPF как пассивные,

если на них не могут или не должны формироваться соседские отношения Для большей наглядности на рис.

8.1

представлены процесс настройки протокола

а также отношения между командами конфигурации OSPF. Обратите вни­ мание, что настройка создает процесс маршрутизации в одной части конфигурации, а затем косвенно включает протокол OSPF на каждом интерфейсе. Конфигурация не перечисляет интерфейсы, на которых включен протокол OSPF. вместо этого опе­

OSPFv2,

рационная система IOS применяет логический процесс сравнения команды OSPF командой интерфейса ip address. Более подробная информация об этой

network с

логике приведена в следующем примере.

Глава 8. Реализация протокола OSPF для 1Pv4

261

Конфигурация

Режим

OSPF:

...~--------+- Определение идентификатора процесса router ospf 1 router-id 1.1.1 .1 ~ Установка идентификатора маршрутизатора (необязательно) •.--------+-Включение процесса OSPF на интерфеИсе (косвенно) пetwork 10.0.0.О

0.255 255.255 area О

L-. Определите номера области

"~"'"''РФ'''' 1'°'"'"'' iпterface

S0/ 0/0 ip address 10.1. 1 1 255.255.255.О Рис.

8. /.

Оргатпацин настройки

Настройка одиночной области На рис.

OSPFv2

OSPF

приведен пример сети, используемой дЛЯ конфигураuии

8.2

OSPF.

Все

каналы связи находятся в области О. Здесь есть четыре маршрутизатора, каждый из которых подключен к одной или двум локальным сетям. Но обратите внимание, что маршрутизаторы RЗ и R4 (см. рис. 8.2, вверху) подключены к тем же двум VLAN (под­ сетям), а следовательно, имеют соседские отношения между собой по каждой из этих

VLAN.

(Два коммутатора верху действуют как коммутаторы уровня

2.)

VLAN 342 / 10.1.3.128/25 VLAN 341 / 10.1.3.0/25

S0/ 0/ 0

S0/ 0/ 1 10.1.24.Q/25

10.1.13.Q/25

.2

VLAN 11 10.1.1.0/25

VLAN 12

10.1.2.0/25

10.1.1.128/25

Рис.

8.2.

Пример сети дАн кт11ригурации

OSPf'c од11ой областью

Прежде чем переходить к детальному рассмотрению протокола ся к примеру

8.1

S0/ 0/ 0

настройки

1Рv4-адресаuии

OSPF,

обратим­

на маршрутизаторе RЗ. В конфигураuии

маршрутизатора RЗ каждому интерфейсу присвоен IР-адрес, а на интерфейсе разрешено магистральное соединение

802.1 Q.

GO/O

(Хотя здесь это и не показано, на ком­

мутаторе SWЗ настроено магистральное соединение с другой стороной этого канала связи

Ethernet.)

Часть

262 Пример

11. Протоколы маршрутизации 1Pv4

8.1. Настройка 1Рv4-адресов на маршрутизаторе RЗ (включающем магистральное соединение VLAN)

interface gigabitethernet 0/0.341 encapsulation dotlq 341 ip address 10.1.3.1 255.255.255.128 interface gigabitethernet 0/0.342 encapsulation dotlq 342 ip address 10.1.3.129 255.255.255.128 interface serial 0/0/0 ip address 10.1.13.3 255.255.255.128 Изначальная конфигурация одиночной области на маршрутизаторе RЗ, как по­ казано в примере ных на рис.

8.2.

8.2,

включает протокол

в режим конфигурации

OSPF.

OSPF

Сначала глобальная команда

OSPF

на всех интерфейсах, представлен­

router ospf 1

переводит пользователя

и устанавливает идентификатор процесса

(process ID)

Это число должно быть уникальным только на локальном маршрутизаторе,

применение различных идентификаторов процесса позволяет маршрутизатору под­

держивать несколько процессов OSPF в одном маршрутизаторе. (Команда router использует идентификатор процесса для различения процессов.) Идентификатор процесса не должен соответствовать каждому маршрутизатору и может быть любым

целым числом от Пример

8.2.

1 до 65 535.

Настройка одиночной области OSPF на маршрутизаторе RЗ с использованием одной команды network

router ospf 1 network 10.0.0.0 0.255.255.255 area

О

В общем случае, а не как в данном конкретном примере, команда

network указы­

вает маршрутизатору найти свои локальные интерфейсы, соответствующие первым двум параметрам команды network. Затем для каждого соответствующего интер­ фейса маршрутизатор включает протокол

OSPF

на этих интерфейсах, обнаружива­

ет соседей, устанавливает соседские отношения и присваивает интерфейс области, указанной командой

network.

(Обратите внимание, что область может быть задана

и как целое число, и как десятично-точечное, но в данной книге для номеров обла­

стей используются целые числа. Целочисленные номера областей находятся в диапа­

зоне от О до 4 294 967 295.) Конкретная команда в примере

8.2

назначает все соответствующие интерфейсы

области О. Однако первые два параметра, iр-адрес и шаблон_ маски, имеющие зна­ чения \О.О.О.О и

0.255.255.255,

требуют некоторых пояснений. В данном случае ко­

манде соответствуют все три интерфейса, представленные для маршрутизатора RЗ (в следующем разделе объясняется, почему).

Соответствие команде

OSPF network

Ключом к пониманию традиционной конфигурации

в первом примере, является понимание команд

network

OSPFv2, OSPF network.

представленной

Команда

OSPF

сравнивает свой первый параметр с каждым IР-адресом интерфейса на ло­

кальном маршрутизаторе, пытаясь найти соответствие. Но вместо сравнения всех

Глава

номеров в команде

network

8. Реализация протокола OSPF для 1Pv4

263

со всеми 1Рv4-адресами интерфейсов маршрутизатор

может сравнивать лишь подмножество октетов на основании шаблона маски следу­ ющим образом .

Примеры шаблонов маски OSPF и их смысл

• ·; •

wildcard

О. О. О. О. Сравнивает все

•

wildcard

О. О. О.

255.

4 октета

(т.е. числа должны совпадать).

Сравнивает только первые

3 октета.

Последний октет

при сравнении игнорируется.

•

О. О.

wildcard

255. 255.

Сравнивает только первые

2 октета.

Последние

2 ок­

Сравнивает только первый октет. Последние

3 ок­

тета при сравнении игнорируются.

•

О.

wildcard

255. 255. 255.

тета при сравнении игнорируются.

•

wildcard 255. 255. 255. 255. Не сравнивает ничего. начает соответствие команде network любых адресов.

Этот шаблон маски оз­

Значение О в октете шаблона маски указывает операционной системе нивать этот октет на соответствие, а значение

IOS

срав­

игнорировать этот октет при

255 -

сравнении чисел.

Благодаря Например,

шаблону

на

network, одни 8.1.

команда RЗ

обладает

network

может быть

применено

высокой

гибкостью.

множество

команд

из которых соответствуют всем интерфейсам, а другие -лишь их под­

множеству. В табл.

Таблица

маски

маршрутизаторе

приведено несколько примеров с примечаниями.

8.1

Примеры команды

network

на маршрутизаторе

R3

с ожидаемыми результатами

Команда

Лоrика команды

Соответствующие интерфейсы

network 10.1.0.0 0.0.255.255

Соответствуют IР-адреса

network 10.0.0.0 0.255.255.255

Соответствуют 1Р-адреса

network О.О.О.О 255.255.255.255

Соответствуют все

network 10. 1. 13. О О. О. О. 2 55

Соответствуют IР-адреса интерфейсов, начинающиеся с

network 10 .1. 3 .1

Соответствует только один IР-адрес:

о.о.о.о

10.1.3.l

G0/0.341 G0/0.342 S0/0/0

интерфейсов, начинающиеся с

10.1 G0/0.341 G0/0.342 S0/0/0

интерфейсов, начинающиеся с

10

1Р-адреса

G0/0.341 G0/0.342 S0/0/0

интерфейсов

S0/0/0 10.1.13 G0/0.341

Шаблон маски определяет для локального маршрутизатора правила поиска со­ ответствующих интерфейсов. Пример

демонстрирует использование команды

network 10. О.

О на маршрутизаторе RЗ. Однако шаблон

О. О О.

8.2 255. 255. 255 area

маски допускает несколько разных корректных конфигураций

маршрутизаторы

Rl

и

R2

цию, представленную в примере маршрутизаторах протокол

на рис.

8.2.

OSPF.

Например,

в той же объединенной сети использовали бы конфигура­

OSPF

8.3,

с двумя другими шаблонами маски. На обоих

включается на всех интерфейсах, представленных

Часть 11. Протоколы маршрутизации 1Pv4

264 Пример

8.3.

Конфиrурация

OSPF

1

на

всех

трех

на маршрутизаторах

одна

команда

network

R1

и

R2

включает

протокол

OSPF

интерфейсах

router ospf 1 network 10.1.0.0 0.0.255.255 area - по одной router ospf 1 network 10.1.12.2 О.О.О.О area О network 10.1.24.2 О.О.О.О area О network 10.1.2.2 О.О.О.О area О

О

команде

network

на

каждый

интерфейс

И наконец обратите внимание на то, что вполне применимы и другие значения шаблона маски, пока их значения в двоичном виде представляют собой неразрывную

последовательность двоичных нулей и единую строку двоичных единиц. В основ­ ном сюда относятся все шаблоны маски, применяемые для соответствия всем IР­

адресам в подсети, как обсуждается в главе 16 (являющейся копией главы по ICNDI). Например, маскаО.255.255.0 недопустима.

25

книги

ВНИМАНИЕ! Для первого параметра (адреса) команда

network использует другое соглашение: если октет 255 октета шаблона маски, то октетом параметра Однако операционная система IOS вполне примет команду network, наруша­

будет проигнорирован в связи со значением адреса будет О.

ющую это правило, но затем изменит этот октет адреса на О, прежде чем поместить его в файл

текущей конфигурации. Например, операционная система

network 1.2.3.4

0.0.255.255нanetwork

Проверка протокола

OSPFv2

IOS изменит 1.2.0.0 0.0.255.255.

введенную команду

для одиночной области

Как уже упоминалось в главе

7,

маршрутизаторы

OSPF

используют процесс из

трех этапов, который в конечном счете добавляет маршруты, изученные по прото­

колу

OSPF,

в таблицу маршрутизации

IP.

Сначала они устанавливают соседские от­

ношения, затем создают и рассылают анонсы

LSA,

чтобы у каждого маршрутизатора

в одной и той же области была одинаковая копия базы

LSDB.

маршрутизатор независимо вычисляет по алгоритму

собственные маршруты

SPF

И наконец каждый

1Р

и добавляет их в таблицу маршрутизации.

Команды

show ip ospf neighbor, show ip ospf database

и

show ip route

отображают информацию о каждом из трех этапов соответственно. Для проверки состояния OSPF их можно использовать в той же последовательности. Либо можно просто просмотреть таблицу маршрутизации IP и, если маршруты выглядят правиль­ но, убедиться, что протокол

OSPF,

вероятно, работает правильно.

Рассмотрим сначала, например, список соседей, известных на маршрутизаторе

RЗ, согласно конфигурации в примерах

8.1, 8.2 и 8.3. У маршрутизатора RЗ должны R 1 по последовательному каналу свя­ отношения с маршрутизатором R4 по двум разным

быть соседские отношения с маршрутизатором

зи. У него также есть соседские каналам

VLAN,

к которыми подключены оба маршрутизатора. Все три соседа пред­

ставлены в примере

8.4.

Глава

Пример

8.4.

Соседи

R3# show ip ospf

neighЬor

Pri

State FULL/ FULL/DR FULL/DR

Neighbor ID 1. 1.1 .1 10.1.24.4 10.1.24.4

о

1

8. Реализация протокола OSPF для 1Pv4

OSPF

на маршрутизаторе RЗ согласно рис.

Dead Time 00:00:33 00:00:35 00:00:36

Address 10 . 1 . 13 . 1 10.1.3.130 10.1.3.4

265

8.2

Interf ace Serial0/0/0 GigabitEthernet0/0.342 GigabitEthernet0/0.341

Вывод отражает несколько важных фактов. Заголовки вывода удобнее просматри­ вать слева направо.

•

Interface (интерфейс). Интерфейс локального маршрутизатора, подклю­ ченный к соседу. Например, первый сосед в списке доступен через интерфейс

S0/0/0 •

маршрутизатора RЗ.

Address (адрес). IР-адрес соседа на данном канале связи. Для первого соседа, маршрутизатора

•

State

RI,

это IР-адрес

10.1.13.1.

(состояние). Хотя в этой главе обсуждалось много возможных состояний,

в данном случае FULL означает правильное и полностью рабочее состояние.

•

Neighbor ID (идентификатор соседа). Идентификатор соседнего маршрути­ затора.

В примере8.5 приведено содержимое базы

LSDB на маршрутизаторе RЗ. Интересен OSPF в объединенной сети содержи­

тот факт, что при правильной работе протокола мое базы

LSDB у

команда

show ip ospf database

всех маршрутизаторов в одной области будет одинаковым. Поэтому в примере

8.5

должна отобразить точно такую же

информацию, независимо от любого из этих четырех маршрутизаторов. Пример

8.5.

База данных

R3# show ip ospf

OSPF

на маршрутизаторе RЗ согласно рис.

dataЬase

OSPf Router with ID (10.1.13.3)

(Process ID 1)

Router Link States (Area Link ID 1 . 1.1 . 1 2 . 2.2 . 2 10.1 . 13 . 3 10.1 . 24.4

ADV Router 1. 1. 1. 1 2.2.2.2 10.1.13.3 10.1.24.4

Age 498 497 450 451

О)

Seq#

Checksum

Ох80000006

Ох002294

Ох80000004

Ох00Е8Сб

Ох80000003

Ох001043

Ох80000003

Ox009D7E

Net Link States (Area 0) Link ID ADV Router 10.1.3.4 10.1.24.4 10.1.3.130 10.1.24.4

Age 451 451

Ох80000001

Checksum Ox0045F8

Ох80000001

Ох00546В

Seq#

Link count 6 5 4 4

8.2

266

Часть 11. Протоколы маршрутизации 1Pv4

Не обращайте пока внимания на конкретные данные в выводе этой команды. Однако отметьте , что база LSDB должна насчитывать по одному разделу "Router Link State" для каждого из этих четырех маршрутизаторов , как выделено в примере. Далее в примере 8.6 приведена таблица 1Pv4 маршрутизации маршрутизатора RЗ, выведенная командой show ip route. Здесь перечислены как маршруты OSPF, так и подключенные маршруты. Если вернуться к рис . 8.2, то можно найти подсети , ко­ торые не подключены локально к маршрутизатору RЗ . Маршруты к ним можно най­

ти в выводе примера Пример

8.6.

8.5.

Маршруты

1Pv4,

добавленные протоколом

на маршрутизатор RЗ, согласно рис.

OSPF

8.2

R3# show ip route Codes: L - loca l, С - connected , S - static , R - RIP , М - mobile , В - BG P D - EI GRP , Е Х - EIGRP external, О - OSPF , I A - OSPF inter area Nl - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 El - OSPF external type 1 , Е2 - OSPF external type 2 Предыдущие

О О О С

L С

L О

С

L о

с т роки

пропущены

для

краткости

10 .0. 0 . 0/8 i s va riaЫ y subnetted , 11 subnets , 2 masks 10 . 1 . 1 . 0/25 [110/65 ] v i a 10. 1.1 3 .1, 00 : 13 : 28 , Seria l 0/0/0 10 . 1 . 1 . 128/25 [11 0/65] via 10 .1.1 3. 1, 00 : 13:28 , Seria l 0/0/0 10 . 1 . 2 . 0/25 [ 110/66) via 10 .1. 3 .1 30, 00:12 : 41 , GigabitEthernet0/0 . 342 [11 0/66] via 10.1.3.4, 00:12 :4 1 , GigabitEthernet0/0 . 341 10 . 1 . 3.0/25 is directly connected , GigabitEt he rne t 0/0.341 10.1.3.1/32 is directly conne cted , Giga b it Ethe rnet 0/0.3 41 10.1 .3 .1 28/25 is directly connected , GigabitEther net 0/0 . 342 10.1.3.129/32 i s dire c tly connected , GigabitEthernet0/0 . 342 10.1.12.0/25 [110/128) via 10.1.13.1, 00 :1 3:28 , Serial0/0/0 10.1 .1 3 . 0/25 is direc tly connected, Serial0/0/0 10.1.13.3/32 is direc tly connected, Se r ial0/0/0 10.1. 24.0/25 [110/65) via 10.1.3 .1 30 , 00:12 :4 1 , GigabitEthernet0/0.342 [110/65) via 10. 1.3.4, 00: 12:41 , GigaЬitEthernet0/0.341

Сначала обратите внимание на общие идеи, подтвержденные данным выводом. Код "О" слева означает маршрут, изученный по протоколу OSPF. В выводе перечис­ лено пять таких маршрутов IP. На рис. 8.2 приведено пять подсетей, не подключен­ ных к маршрутизатору RЗ. Бегло взглянув на маршруты OSPF (по сравнению с марш­ рутами, отличными от подключенных), можно удостовериться, что протокол

OSPF

изучил все маршруты.

Затем обратите внимание на первый маршрут (к подсети JO. l . 1.0/25). В нем пере­ числены идентификатор подсети и маска, идентифицирующие подсеть. Он выводит также два числа в скобках. Первое, 110, - это административное расстояние марш­ рута. Все маршруты OSPF в этом примере используют стандартное значение 110. Второе число,

65, -

это метрика

OSPF для

данного маршрута.

Кроме того, для быстрой проверки работы любого протокола маршрутизации весьма популярна команда show ip protocols. Она выводит группы сообщений для каждого выполняющегося на маршрутизаторе протокола маршрутизации 1Pv4. Пример

8.7 демонстрирует

это для маршрутизатора RЗ.

Глава

Пример

8.7.

Команда

8. Реализация протокола OSPF для 1Pv4

267

show ip protocols на маршрутизаторе RЗ

R3# show ip protocols

*** IP Routing is NSF aware ***

Routing Protocol is "ospf 1 " Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Router ID 10.1.13.3 NumЬer of areas in this router is 1. 1 normal О stub О nssa Maximum path: 4 Routing for Networks: 10.0 . 0 . О 0 . 255.255.255 area О Routing Information Sources: Gateway Distance Last Update 06:26:17 1. 1.1. l 110 2.2.2.2 110 06:25:30 110 06:25:30 10.1.24.4 Distance: (default is 110) Вывод демонстрирует несколько интересных фактов. Первая выделенная строка повторяет параметры глобальной команды конфигурации

тизаторе. Второй выделенный элемент

-

router ospf 1 на

маршру­

это идентификатор маршрутизатора RЗ, об­

суждаемый в следующем разделе. Третья выделенная строка также повторяет конфи­ гурацию, заданную подкомандой ОSРF nеtwоrk 10.0.0.О И наконец последний выделенный элемент в примере ском известных маршрутизаторов

OSPF

OSPF RID).

OSPF для каждого маршрути­

OSPF,

настраивают идентификатор маршрутизатора. Для правильной работы

у всех маршрутизаторов

ID -

О.

обладает множеством дополнительных средств, в большин­

стве корпоративных сетей, использующих протокол затора

0.255.255.255 area

это заголовок перед спи­

OSPF.

Настройка идентификатора маршрутизатора Хотя протокол

-

OSPF должен быть идентификатор маршрутизатора (Router RID маршрутизаторы используют IР-адрес ин­

Изначально в качестве

терфейса. Но большинство сетевых инженеров предпочитают назначать идентифи­ каторы для каждого маршрутизатора, чтобы вывод команды

show ip ospf neighbor

отображал более осмысленные идентификаторы маршрутизатора.

Для поиска своего идентификатора резагрузке и запуске протокола фикатора

. . 1.

RI D на любом

RI D маршрутизатор Cisco использует при пе­ OSPF следующий процесс. При нахождении иденти­

из этапов процесс останавливается.

Правила установки идентификатора маршрутизатора Если подкоманда

OSPF router-id rid

введена, то используется ее значение

RID. 2.

Если на каком-либо петлевом интерфейсе задан IР-адрес и этот интерфейс на­ ходится в состоянии up, то маршрутизатор выбирает из петлевых интерфейсов самый большой

1Р-адрес.

Часть

268 3.

11.

Протоколы маршрутизации

1Pv4

Маршрутизатор выбирает самый большой фейсов с первым кодом состояния нии

up/down будет

up.

1Р-адрес

из всех остальных интер­

(Другими словами, интерфейс в состоя­

включен протоколом

OSPF в состав

кандидатов при выборе

идентификатора маршрутизатора.)

Первый и третий критерии должны быть понятны сразу: идентификатор

RI D либо 1Р-адресов работающих интерфейсов. Однако (loopback interface), упомянутого во втором крите­

настраивается, либо выбирается из концепция петлевого интерфейса

рии, в этой книге еше не рассматривалась.

Петлевой интерфейс

- это виртуальный интерфейс, допускающий настройку interface loopback номер интерфейса, где номер интерфейса - це­ лое число. Петлевые интерфейсы всегда находятся в состоянии- up/up, если не от­ ключены административно. Например, простая команда конфигурации interface loopback О, сопровождаемая командой ip address 2. 2. 2. 2 255. 255. 255. О, соз­ дала бы петлевой интерфейс и присвоила ему 1Р-адрес. Поскольку петлевые интер­ командой

фейсы не полагаются ни на какие аппаратные средства, они переходят в состояние

IOS, что делает их хорошей основой для выбора иденти­ RI D OSPF. Пример 8.8 демонстрирует конфигурацию на маршрутизаторах R 1 и R2 перед соз­ данием вывода команды show в примерах 8.4, 8.5 и 8.6. Маршрутизатор R 1 устанав­ up/up

сразу после запуска

фикаторов

ливает идентификатор маршрутизатора, используя прямой метод, а маршрутизатор

R2 -

петлевой

Пример

8.8.

1Р-адрес.

Примеры установки идентификатора маршрутизатора

! Сначала настройка Rl router ospf 1 router-id 1 . 1 . 1 . 1 network 10.1.0.0 0.0.255.255 area Затем настройка

OSPF

О

R2

interface Loopback2 ip address 2.2 . 2.2 255.255 . 255.255 Каждый маршрутизатор лизации протокола

OSPF,

OSPF

выбирает свой идентификатор

RID

при инициа­

осуществляемой при запуске маршрутизатора или когда

пользователь CLI останавливает и перезапускает процесс OSPF (командой clear ip ospf process). Поэтому, если процесс OSPF уже выполняется, но впоследствии кон­ фигурация изменяется так, что это повлияет на RID OSPF, протокол OSPF изменит идентификатор RID не сразу, а только после следующего перезапуска процесса OSPF. Пример 8.1 демонстрирует вывод команды show ip ospf на маршрутизаторе R 1 уже после применения конфигурации из примера 8.8 и перезагрузки маршрутизато­ ра, обеспечившей смену идентификатора маршрутизатора OSPF. Пример

8.9.

Подтверждение текущего идентификатора маршрутизатора

Rl# show ip ospf Routing Process "ospf 1" with ID 1 . 1 . 1.1 !

Строки

пропущены для

краткости

OSPF

Глава 8. Реализация протокола OSPF для 1Pv4 Дополнительные параметры настройки

269

OSPF

В последних разделах этой главы рассматривается несколько несвязанных допол­

нительных параметров настройки протокола OSPF, а именно: как сделать интерфейс маршрутизатора пассивным для протокола OSPF и как создать и разослать стандарт­ ный маршрут

OSPF.

Пассивные интерфейсы Как только протокол

OSPF OSPF будет

включен на интерфейсе, маршрутизатор по­

пытается обнаружить соседние маршрутизаторы

OSPF и сформировать соседские отношения. Для этого маршрутизатор посылает сообщения "Hello" OSPF через ре­ гулярные интервалы времени (интервалы входящие сообщения

"Hello"

Hello).

Маршрутизатор принимает также

от потенциальных соседей.

Иногда маршрутизатор не должен создавать соседских отношений на интерфейсе. Зачастую на конкретном канале связи нет другого маршрутизатора, поэтому у марш­ рутизатора нет никакой необходимости продолжать посылать регулярные сообще­

ния

"Hello" OSPF.

Когда маршрутизатору не нужно обнаруживать соседей на каком-либо интерфей­ се, у сетевого инженера есть несколько возможностей настройки. Можно не делать ничего, и маршрутизатор продолжит посылать сообщения, растрачивая впустую не­

много мощности процессора и пропускной способности. Либо инженер может на­ строить интерфейс как пассивный интерфейс

указав маршрутизатору сделать

OSPF,

следующее.

-

•

Действия

IOS при пассивном

интерфейсе

OSPF

•

Перестать посылать сообщения

•

Игнорировать полученные сообщения

•

Не создавать соседских отношений на интерфейсе.

"Hello" OSPF

на интерфейсе.

"Hello"

на интерфейсе.

Когда интерфейс становится пассивным, протокол

OSPF

не создает соседских

отношений, но все еще анонсирует подсети, подключенные к данному интерфейсу. Таким образом, конфигурация включает протокол дой маршрутизатора маршрутизатора

network), а затем passi ve-interface).

OSPF

на интерфейсе (подкоман­

делает интерфейс пассивным (подкомандой

Существуют две возможности настроить интерфейс как пассивный. Можно до­ бавить в режиме настройки маршрутизатора следующую команду в конфигурацию процесса

OSPF:

passive-interface

тип номер

Либо можно изменить стандартную конфигурацию так, чтобы все интерфейсы стали пассивными, а затем добавить для всех интерфейсов, которые не должны быть пассивными, команду

no passive-interface:

passive-interface default no passive interface тип номер В типичном примере объединенной сети на рис.

конфигурации одиночной области) интерфейс

LAN

8.2

(используемом в примерах

маршрутизатора

ней части рисунка настроен как магистральное соединение

VLAN.

RI

в левой ниж­

Единственный

Часть

270

11. Протоколы маршрутизации 1Pv4

маршрутизатор, подключенный к обеим

VLAN, OSPF

он никогда не будет обнаруживать соседей

это маршрутизатор

RI,

в этих подсетях. Пример

поэтому

8.1 О

де­

монстрирует две альтернативные конфигурации, которые делают два субинтерфейса

LAN

пассивными к

Пример

8.10.

OSPF.

Настройка пассивных интерфейсов на маршрутизаторах

!

Сначала

сделать

каждый

router ospf 1 passive-interface passive-interface 1

Или изменить сделать

R1

и

R2

согласно рис.

8.2

субинтерфейс пассивным непосредственно

GigaЬitEthernet0/0.11 GigaЬitEthernet0/0.12

значение

состояния

на

пассивное,

а

некоторые

интерфейсы

активными

router ospf 1 passive-interface default no passive-interface serial0/0/0 no passive-interface serial0/0/1 В реальных объединенных сетях выбор стиля конфигурации сокращает выбор

обязательных команд до наименьшего количества. Например, у маршрутизатора с интерфейсами,

20 18 из которых пассивны для OSPF, будет гораздо меньше команд кон­

фигурации при использовании команды

passi ve-interface defaul t,

изменяю­

щей стандартное состояние на пассивное. Если пассивными должны быть только два

из тех

20

интерфейсов, то для сокращения конфигурации используйте стандартную

настройку, по которой все интерфейсы не пассивны. Интересно то, что протокол

OSPF

испытывает нечто вроде проблем при ис­

пользовании команд show для выяснения, пассивен ли интерфейс. Команда show running-config выводит конфигурацию непосредственно, но если нет возможнос­ ти перейти в привилегированный режим, чтобы использовать эту команду, то обра­ тите внимание на два следующих факта.

• •

Команда show ip ospf interface brief выводит все интерфейсы, на кото­ рых задействован протокол OSPF, включая пассивные интерфейсы. Команда

show ip ospf interface

выводит одну строку, указывающую, что

интерфейс пассивен. Пример

8. 11

демонстрирует эти две команды на маршрутизаторе

рации из верхней части примера ставлены в выводе команды

Пример

8.11.

8.10.

Оба субинтерфейса,

G0/0.11

show ip ospf interface brief.

Отображение пассивных интерфейсов

Rl# show ip ospf interface Ьrief Interface PID Area IP Address/Mask 1 10.1.1.129/25 Gi0/0 . 12 о 1 10.1.1.1/25 Gi0/0 . 11 о Se0/0/0 1 10.1.12.1/25 о Se0/0/1 1 10.1.13.1/25 о

Cost 1 1

64 64

State DR DR Р2Р Р2Р

Rl# show ip ospf interface g0/0.11 GigabitEthernet0/0 . 11 is up , line protocol is up

NЬrs

0/0 0/0 0/0 0/0

Е'/С

RI при конфигу­ и G0/0.12, пред­

Глава 8. Реализация протокола OSPF для 1Pv4

271

Iпterпet Address 10.1.1.1/25, Area О, Attached via Network Statement Process ID 1, Router ID 10.1.1.129, Network Туре BROADCAST, Cost: 1 Topology-MTID Cost DisaЫed Shutdowп Topology Name О 1 no по Base Traпsmit Delay is 1 sec, State DR, Priority 1 Desigпated Router (ID) 10.1.1.129, Interface address 10.1.1.1 No backup desigпated router оп this network Timer intervals coпfigured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 No Hellos (Passive interface) 1

Строки

пропущены для

краткости

Реализация протокола

OSPFv2

для многих областей

Настройка маршрутизаторов в многообластном проекте

OSPFv2

почти точно со­

впадает с таковой в проекте с одной областью. Единственное отличие в том, что кон­ фигурация помещает некоторые интерфейсы каждого маршрутизатора

ABR

в разные

области. Это отличие влияет на работу и проверку протокола OSPFv2. Данный раздел демонстрирует второй случай настройки, сравнивая многообласт­ ную конфигурацию с конфигурацией одиночной области. Для этого рассматрива­

ется настройка конфигураций маршрутизаторов

OSPF на основании рис. 8.3 и 8.4. 8.3 демонстрирует топологию объединенной сети и идентификаторы подсетей, а рис. 8.4 - проект областей. Обратите внимание, что на рис. 8.3 около каждого ин­ терфейса приведен последний октет 1Рv4-адреса каждого маршрутизатора, а не весь Рис.

1Рv4-адрес, что СЛИШКОМ ДЛИННО.

Уделим минуту размышлениям о проекте областей, представленном на рис. и поиску маршрутизаторов ко маршрутизатор

R 1.

ABR.

8.4,

Вообще, с магистральной областью соединен толь­

Три других маршрутизатора

-

внутренние в одиночной обла­

сти. Таким образом, у этих трех маршрутизаторов из четырех конфигурация одиноч­ ной области со всеми интерфейсами в той же области.

10.1.23.0/ 24

G0/ 0

.2

10.1.1.0/ 24

--=-

.1 10.1.13.0/ 24 G0/ 0.11 :::""81f'::ill... 1- - - - - 7 .3 S0/ 0/ 0

G0/ 0

.3

10.1.2.0/ 24

G0/ 1

.4 10.1.4.0/ 24 Рис.

8.3.

Подсети примера ко11фи1урации

OSPP со м1югими

областями

Часть

272

11. Протоколы маршрутизации 1Pv4 Область

23

Область О

G0/0.11 ii:J~lii}-----...,..

"'-----'---'--'

G0/0 .12

G0/1

Область4 Рис.

8.4.

Проект областей примера конфи1урации

OSPF со многими областями

Обратите внимание, что примеры в этом разделе используют множество возмож­ ностей настройки специально для их демонстрации. К ним относятся разные спо­

собы установки

RID OSPF,

различные шаблоны маски в командах

OSPF network,

а также использование пассивных интерфейсов там, где не предусматривается под­ ключение других маршрутизаторов

OSPF.

Конфигурация одиночной области Пример

8.12 начинает серию примеров конфигурации с демонстрации настройки OSPF и IР-адреса на маршрутизаторе R2. Поскольку маршрутизатор R2 действует как внутренний маршрутизатор области 23, эта конфигурация относит­ ся только к одной области (23). Команда router-id непосредственно устанавливает RI D маршрутизатора R2 как 2.2.2.2. А поскольку маршрутизатор R2 должен найти конфигурации

соседей на обоих своих интерфейсах, ни один из них не может быть сделан пассив­

ным. Таким образом, в конфигурации маршрутизатора

R2

не указаны пассивные ин­

терфейсы. Пример

8.12.

Конфиrурация

OSPF

на маршрутизаторе

помещает два интерфейса в область

R2

23

interface GigabitEthernet0/0 ip address 10.1.23.2 255.255.255.0 interface serial 0/0/1 ip address 10.1.12.2 255.255.255.0 router ospf 1 network 10.0.0.О 0.255 . 255 . 255 area 23 router-id 2 . 2 . 2 . 2 Пример

8.13

продолжает обзор команд, уже знакомых по книге

стрируя конфигурацию для маршрутизаторов щает оба своих интерфейса в область

RI D

как

3.3.3.3,

23,

R3

и

R4.

а его команда

ICNDI, демон­ R3 поме­

Маршрутизатор

network

устанавливает его

используя петлевой интерфейс, в то время как маршрутизатор

R2

не

Глава

8. Реализация протокола OSPF для 1Pv4

273

может сделать пассивным ни один из своих интерфейсов. Конфигурация маршрути­

затора

R4

немного отличается, оба его интерфейса помещены в область

установлен на основании не петлевого интерфейса (интерфейс

10.1.14.4),

а интерфейс

GO/\

4, его RI D GO/O для RID OSPF

маршрутизатора

R4 сделан пассивным, поскольку ни­ OSPF на этом канале связи нет. (Обратите внимание, RID OSPF применяются просто для демонстрации та­

каких других маршрутизаторов что разные методы установки кой возможности.) Пример

8.13.

Конфигурация одиночной области

OSPF

на маршрутизаторах RЗ и

R4

Сначала на R3 interface gigabitEthernet0/0 ip address 10.1.23.3 255.255.255.0 1

interface serial 0/0/0 ip address 10.1.13.3 255.255.255.0 interface loopback О ip address 3.3.3.3 255.255.255.0 router ospf 1 network 10.0.0.0 0.255.255.255 area 23

'

------------------------------------------------------

на R4 interface GigabitEthernet0/0 description R4 will use this interface for its OSPF RID ip address 10.1.14.4 255.255.255.0 1

Далее

interface GigabitEthernetO/l ip address 10.1.4.4 255.255.255.0 router ospf 1 network 10.0.0.0 0.255.255.255 area 4 passive-interface gigabitethernetO/l

Конфиrурация множества областей До сих пор многообластная конфигурация фактически не бьu~а представлена R2, RЗ и R4 находятся в одной области как внутренние

в примерах. Маршрутизаторы маршрутизаторы

OSPF.

Таким образом, их конфигурация относится только к одной

области, и ни один из них не использует многообластную конфигурацию. Единственный маршрутизатор, у которого есть многообластная конфигурация, это маршрутизатор

ABR,

к нескольким областям. В этом проекте (см. рис. ствует как маршрутизатор

ре

-

находящийся в основании конфигурации и относящийся

ABR

только маршрутизатор

RI

дей­

RI. Обратите внимание, что RI является маршрутизатором ABR; вместо этого здесь используются разные команды network, помещающие одни интерфейсы в область О, другие - в область 23, а третьи - в область 4. 8.14

показана конфигурация

8.4)

с интерфейсами в трех разных областях. В приме­

OSPF

маршрутизатора

в конфигурации нигде не указано, что маршрутизатор

274

Часть 11. Протоколы маршрутизации 1Pv4

Пример

8.14.

Многообластная конфиrурация

OSPF

на маршрутизаторе

R1

interface GigabitEthernet0/0.11 encapsulation dotlq 11 ip address 10.1.1.1 255.255.255.0 interface GigabitEthernet0/0.12 encapsulation dotlq 12 ip address 10.1.2.1 255.255.255.О interface GigabitEthernetO/l ip address 10.1.14.1 255.255.255.0 interface serial 0/0/0 ip address 10.1.12.1 255.255.255.0 interface serial 0/0/1 ip address 10.1.13.1 255.255.255.0 router ospf 1 network 10.1.1.1 О.О.О.О area О network 10.1 . 2.1 О . О . О.О area О network 10.1.12.1 О.О.О.О area 23 network 10 . 1 . 13 . 1 О.О.О . О area 23 network 10.1 . 14 . 1 О . О . О.О area 4 router-id 1.1.1.1 passive-interface GigabitEthernet0/0.11 passive-interface GigabitEthernet0/0.12 Рассмотрим внимательно выделенные в примере команды network. Все пять команд используют шаблон маски О.О.О.О, поэтому каждая команда требует точного соответствия указанному IР-адресу. Если сравнить эти команды

network

с разны­

ми интерфейсами, то можно заметить, что конфигурация разрешает протокол

OSPF G0/0.11 и G0/0.12, для области 23 - на двух после­ области 4 - для интерфейса GO/ 1 маршрутизатора R 1.

для области О на субинтерфейсах довательных интерфейсах и ВНИМАНИЕ!

В командах

OSPF network

большинства сетей используется шаблон маски О.О.О.О, требу­ 1Р-адреса интерфейса, как показано в примере 8.14.

ющий точного соответствия каждого

Такой стиль конфигурации позволяет однозначно указать, какому интерфейсу какая команда

network соответствует. И наконец конфигурация маршрутизатора свой

RID

и делает два субинтерфейса

LAN

R1

непосредственно устанавливает

пассивными.

Так в чем основное различие между одиночной и многообластной конфигурация­

ми

OSPF? Фактически

ни в чем. Единственное различие в том, что команды

многообластного маршрутизатора

ABR

используют разные области.

network

Глава

Реализация протокола

8.

OSPF для 1Pv4

275

Проверка многообластной конфигурации Давайте рассмотрим, как проверить некоторые из новых средств протокола описанных в этой главе. Д!lя более полной проверки протокола

OSPF,

используйте

все команды, предложенные на рис. Важнейшие команды проверки

8.1 в начале главы. OSPF приведены для

OSPF

8.5.

show running-config

Конфигурация

, .- - - - - .

справки на рис.

Команды network и ip ospf

show ip ospf interface show ip ospf interface тип show ip ospf interface brief

·-----).. Разрешенные ,.-----· интерфейсы

номер

Обнаружение Hello

-----).. -... -".

show ip ospf neighbor show ip ospf neighbor

Соседи

,'"

тип номер

' Рассылка

LSA

·-----).. ,"' - --. ...

show ip ospf database

LSDB

...

'

ВычИсление SPF '

show ip show ip show ip show ip

Маршруты

'·----)..

Рис.

8.5.

Команды проверки

route route ospf route подсеть маска route 1 section подсеть

OSPF

В этом разделе рассматриваются следующие новые темы.

•

Проверка расположения интерфейсов маршрутизатора

ABR

в (нескольких)

правильных областях.

•

Выявление маршрутизаторов

DR

и

BDR

на каналах связи множественного до­

ступа.

•

Краткий обзор

•

Отображение маршрутов

LSDB. 1Pv4.

Проверка расположения интерфейсов маршрутизатора

ABR

Проще всего сделать ошибку в многообластной конфигурации

терфейс в неправильную область

OSPF.

- поместить ин­ OSPF упоминают несколько команд. повторяет команду конфигурации OSPF

Область

Команда show ip protocols в основном network, косвенно идентифицирующую интерфейсы и области. Кроме того, коман­ ды show ip ospf interface и show ip ospf interface brief непосредственно

представляют область, заданную для интерфейса. Более краткая версия этих команд при ведена в примере Пример

8.15.

8.15. Вывод интерфейсов с поддержкой

протокола

Rl# show ip ospf interface

Interface Gi0/0.12

PID 1

Area О

OSPF

и соответствующих областей

Ьrief

IP Address/Mask 10.1.2.1/24

Cost 1

State

NЬrs

DR

0/0

F/C

OSPF

276

Часть

Gi0/0.11 GiO/l Se0/0/1 Se0/0/0

11.

Протоколы маршрутизации

1 1 1 1

10.1.1.1/24 10.1.14.1/24 10.1.13.1/24 10.1.12.1/24

о

4 23 23

1 1 64 64

Интерфейс в выводе указан в столбце

ласть

в столбце

-

Area.

1Pv4

Р2Р

DR

и

BDR

8.15,

и

DR

8.3

и

8.4.

BDR

в некотором роде идентифицируют также команды

Фактически вывод команды

в примере

а соответствующая ему об­

Interface,

Кроме того, представленная в этом примере информация

Выявление маршрутизаторов Маршрутизаторы

1/1 1/1 1/1

Р2Р

подтверждает конфигурацию, приведенную на рис.

show.

О/О

DR BDR

show ip ospf interface brief,

приведенный

отображает состояние локального маршрутизатора в столбце

свидетельствуя о том, что маршрутизатор

RI

субинтерфейсах и маршрутизатором

на его интерфейсе

BDR

является маршрутизатором

DR

State, на двух

GO/I.

В примере

и

8.16 приведены два других способа выявления маршрутизаторов DR BDR. Команда show ip ospf interface выводит подробные параметры OSPF

по каждому интерфейсу, включая и

BDR.

В то же время команда

цию о роли

DR

или

BDR соседа;

говорит ничего. В примере Пример

8.16.

RI D

и адрес интерфейса маршрутизаторов

show ip ospf neighbor

8.16

DR

выводит краткую информа­

о роли локального маршрутизатора эта команда не

показаны обе команды.

Обнаружение маршрутизаторов

DR

и

BDR

R4# show ip ospf interface gigaЬitEthernet О/О GigabitEthernet0/0 is up, line protocol is up Internet Address 10.1.14.4/24, Area 4, Attached via Network Statement Process ID 1, Router ID 10.1.14.4, Network Туре BROADCAST, Cost: 1 Topology-MTID Cost DisaЫed Shutdown Topology Name О 1 no no Base Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) 10 . 1 . 14.4 , Interface address 10 . 1 . 14.4 Backup Designated router (ID) 1 . 1.1 . 1, Interface address 10 . 1.14.1 Строки

пропущены

R4# show ip ospf Neighbor ID 1.1.1.1

Pri 1

для

краткости

neighЬor

State FULL/BDR

Dead Time 00:00:33

Address 10.1.14.1

Interf ace GigabitEthernetO/O

В первую очередь, рассмотрите выделенные строки вывода команды

ospf interface.

Она указывает маршрутизатор

ветствует маршрутизатору ствует маршрутизатору

R4,

DR

show ip

по его

а также маршрутизатор

RID 10.1.14.4, что соот­ BDR как 1.1.1.1, что соответ­

RI.

В конце примера представлена команда

show ip ospf neighbor

на маршрути­

заторе R4, указывающая в столбце Neighbor маршрутизатор R4 с единственным соседом с RID 1.1.1.1 (Rl). Команда демонстрирует на маршрутизаторе R4 концеп­ цию состояния соседа на примере маршрутизатора

Rl (1.1.1.1)

с текущим состояни­

ем FULL/BDR. Состояние FULL означает, что маршрутизатор R4 полностью об­ менялся базами LSDB с маршрутизатором Rl. Часть BDR означает, что сосед (Rl)

Глава

действует как маршрутизатор

8. Реализация протокола OSPF для 1Pv4

BDR,

с учетом, что маршрутизатор

R4

(единственный

другой маршрутизатор на этом канале связи) действует как маршрутизатор

Пример

8.16

демонстрирует также результаты выборов

маршрутизатором с наибольшим

•

RI О.

DR/BDR,

277

DR.

выигрываемые

Правила работают так.

Когда канал связи включается, если два (или более) маршрутизатора в подсети "Hello" один от другого, они выясняют, кто

посылают и получают сообщения из них станет маршрутизатором

RID OSPF становится DR, •

DR,

а кто

BDR.

Маршрутизатор с наивысшим

а второй, со следующим

RID,

становится

BDR.

Как только выборы закончены, новые маршрутизаторы, подключившиеся к подсети, больше не претендуют на роль маршрутизатора

если у них есть лучший (больший)

DR

или

BDR,

даже

RI D.

В данном случае маршрутизаторы R 1 и R4 находятся в той же сети Etheгnet и слы­ "Hello" один другого. У маршрутизатора RI, с RID 1.1.1.1, более

шат сообщения

низкое значение RI D, чем у маршрутизатора на выборах DR побеждает маршрутизатор R4

R4 со значением 10.1.14.1. (10.1.14.1).

Проверка межобластных маршрутов

OSPF

И наконец вся эта теория

OSPF

и все команды show не имеют значения, если

маршрутизаторы не изучают маршруты ре

8.17

В результате

1Pv4. Чтобы проверить маршруты, 1Pv4 маршрутизатора R4.

в приме­

приведена таблица маршрутизации

Пример

8.17.

Проверка маршрутов

OSPF

на маршрутизаторе

R4

R4# show ip route Codes: L - local, С - connected, S - static, R - RIP, М - mobile, В - BGP D - EIGRP, ЕХ - EIGRP external, Nl - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 El - OSPF external type 1, Е2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, 11 - IS-IS level-1 12 - IS-IS level-2, ia - IS-IS inter area, * - candidate default U - per-user static route, о - ODR Р - periodic downloaded static route, Н - NHRP, 1 - LISP + - replicated route, % - next hop override subnetted, 9 subnets, 2 masks [110/2] via 10.1.14.1, 11:04:43, GigabitEthernet0/0 [110/2] via 10.1.14.1, 11:04:43, GigabitEthernet0/0 is directly connected, GigabitEthernetO/l 10.1.4.4/32 is directly connected, GigabitEthernet0/1 IA 10.1.12.0/24 [110/65] via 10.1.14.1, 11:04:43, GigaЬitEthernetO/O IA 10.1.13.0/24 [110/65] via 10.1.14.1, 11:04:43, GigaЬitEthernet0/0 10.1.14.0/24 is directly connected, GigaЬitEthernet0/0 10.1.14.4/32 is directly connected, GigaЬitEthernetO/O IA 10.1.23.0/24 [110/66] via 10.1.14.1, 11:04:43, GigaЬitEthernet0/0

10.0.0.0/8 is О С

1 О О С

L О

variaЫy

В этом примере приведено несколько новых kодов, особенно интересных с точки зрения OSPF. Как обычно, одиночный символ слева указывает источник маршрута ("О" означает "OSPF"). Кроме того, операционная система IOS отмечает все межоб­ ластные маршруты кодом IA. (В примере нет внутриобластных маршрутов OSPF, но

Часть 11. Протоколы маршрутизации 1Pv4

278

перед ними просто отсутствовал бы код

IA;

в приведенном ранее примере

водится несколько внутриобластных маршрутов

на то, что у маршрутизатора

R4

OSPF.)

8.6

вы­

Обратите также внимание

в этом примере есть маршруты ко всем семи подсе­

тям: два подключенных маршрута и пять межобластных маршрутов

Дополнительные средства

OSPF.

OSPF

До сих пор в этой главе рассматривались наиболее распространенные средства протокола OSPF, была задействована традиционная настройка с использованием ко­ манды OSPF network. Этот заключительный раздел рассматривает некоторые весь­ ма популярные, но необязательные средства конфигураuии

OSPFv2,

приведенные

здесь в порядке их обсуждения.

•

Стандартные маршруты.

•

Метрики.

•

Балансировка нагрузки.

•

Настройка интерфейсов

Стандартные маршруты

OSPF.

OSPF

Иногда маршрутизаторам полезно использовать стандартные маршруты. Боль­ шинство подробностей статических стандартных маршрутов приведено в книге по

ICNDI: в главе ве

19.

настройка

20

-

в главе

18,

стандартные маршруты с использованием

DHCP RIP - в гла­ OSPFv2, могут

и анонсирование стандартных маршрутов с использованием

По тем же самым причинам сети, поддерживающие протокол

использовать его для анонсирования стандартных маршрутов.

Классический пример использования протокола маршрутизации

-

это анонс

стандартного маршрута корпоративного подключения к Интернету. В качестве стра­ тегии сетевой инженер предприятия может использовать следующие подходы.

•

Все маршрутизаторы изучают маршруты к конкретным подсетям в компании; у стандартного маршрута нет необходимости в перенаправлении пакетов этим получателям.

•

Один маршрутизатор подключается к Интернету, и у него есть стандартный маршрут, указывающий на Интернет.

•

Все маршрутизаторы должны динамически изучить стандартный маршрут, ис­ пользуемый для всего трафика Интернета, чтобы все пакеты, предназначенные

для областей в Интернете, передавались на один подключенный к Интернету маршрутизатор.

Конuепция анонсирования протоколом

OSPF стандартного маршрута с кон­ OSPF представлена на рис. 8.6. В данном случае компания провайдеру ISP через маршрутизатор R 1. У этого маршрутизатора есть

кретной конфигурацией подключена к

статический стандартный маршрут (получатель О.О.О.О, маска О.О.О.О) с адресом сле­ дующей транзитной точки перехода, как у маршрутизатора

ISP.

манду

заставим маршрутизатор

OSPF default-information originate

анонсировать стандартный маршрут по протоколу заторам

(Bl

и В2).

(этап

2),

Затем, используя ко­

OSPF дистанционным

маршрути­

Глава

OSPFv2

8. Реализация протокола OSPF для 1Pv4

279

анонсирует стандартный маршрут

r---------------,

® : default-information originate

у

L~G0/1

г...-~

GO

З

1

1 1 1

+

ip route

О.О . О . О О . О . О . О

192.0.2.1

® : default-information originate

L---------------~

OSPFv2

l'uc. 8.6.

анонсирует стандартный маршрут

Использова11ие протокола ОSРf"для создания и рассылки стандартного маршрута

ВНИМАНИЕ! В примере на рис.

8.6

лучен от провайдера

BGP (eBGP), На рис.

на рис.

8.6.

используется статический стандартный маршрут, но он может быть по­

ISP

по протоколу

как обсуждается в главе

8.7

DHCP, 12.

а также с использованием протокола

External

представлены стандартные маршруты, созданные из анонсов

Все три маршрутизатора слева изучили стандартный маршрут

зывающий на маршрутизатор

RI.

Сам маршрутизатор

RI

OSPF OSPF, ука­

также нуждается в стан­

дартном маршруте, указывающем на маршрутизатор провайдера

ISP,

чтобы он мог

перенаправить ему весь трафик, предназначенный для Интернета.

GO

З

192.0 .2.1

Стандартный

Рис.

8. 7.

Стандартные маршруты, полученные

в резу11ьтате команды

defaul t-informa tion origina te

И наконец это средство предоставляет сетевому инженеру контроль над соз­ данием маршрутизатором этого стандартного маршрута. Первоначально маршру­ тизатор

Rl

нуждается в стандартном маршруте, определенном либо как статичес­

кий стандартный маршрут, полученный от провайдера

по протоколу DHCP, eBGP. Затем команда маршрутизатору RI анонсировать

ISP

либо полученный по такому протоколу маршрутизации как

default-information originate стандартный

маршрут,

и анонсировать его как отключенный маршрут нарушается.

указывает

когда его собственный

(down),

стандартный

маршрут работает,

когда его собственный стандартный

Часть

280

11. Протоколы маршрутизации 1Pv4

ВНИМАНИЕ! Интересно то, что nодкоманда маршрутизатора

default-information originate always

указывает маршрутизатору всегда анонсировать стандартный маршрут, независимо от того, работает ли маршрутизатор стандартного маршрута.

8. 18 демонстрирует детали стандартного маршрута и на маршрутизаторе BOI. Начнем с маршрутизатора RI . В данном случае он использовал протокол DHCP для изучения IР-адреса провайдера ISP на его ин­ терфейсе G0/3 . Затем маршрутизатор RI создает статический стандартный маршрут с 1Р-адресом маршрутизатора ISP 192.0.2.1 как следуюшей транзитной точки перехо­ да, что демонстрирует вывод команды show ip route static. Пример

R 1,

и на маршрутизаторе ветви

Пример

8.18.

Стандартные маршруты на маршрутизаторах

R1

и

801

! Следующая команда вводится на маршрутизаторе Rl . Обратите внимание на код static в строке стандартного маршрута Rl# show ip route static Codes: L - local, С - connected, S - static , R - RIP, М - mobile, В - BGP !

Оста льные

строки

пропущены для

краткости

Gateway of last resort is 192 . 0.2 . 1 to network

О. О. О.О

О . О . О . О/О [254/0] via 192.0.2 . 1 S* 1 ====================================================================== ! Следующая команда вводится на маршрутизаторе BOl; обратите внимание на код External в строке с тандартного маршрута BOl# show ip route ospf Codes: L - local , С - connected , S - static, R - RIP, М - mobile, В - BGP о - EIGRP, ЕХ - EIGRP external, о - OSPF, IA - OSPF inter area Nl - OSP F NSSA external type l, N2 - OSPF NSSA external type 2 El - OSPF external type 1, Е2 - OSPF external type 2 1

Остальные

строки

пр о пущены для

краткости

Gateway of last resort is 10 . 1 . 12 . 1 to network О*Е2 О

О

О.О. О .О

О.О . О.О/О [110/l] via 10 . 1 . 12 . 1, 00:20:51, GigabitEthernetO/l 10.0.0.0/8 is variaЫy subnetted, 6 subnets, 2 masks 10 .1. 3.0 /2 4 [110/3) via 10.1.12.1, 00:20:51, GigabitEthernetO/l 10 .1.13.0/24 [110/2) via 10.1.12.1, 00:20 :51, GigaЬitEthernet O/l

Рассматривая вывод команды на маршрутизаторе R 1, можно убедиться, что у него действительно есть стандартный маршрут, т.е. маршрут к О.О . О . О/О. Надпись "Gateway of last resort" (шлюз последней инстанuии) означает, что маршрутизатор в на­ стоя шее время использует стандартный маршрут и указывает IР-адрес следующей транзитной точки перехода провайдера

192.0.2.1,

ISP. (Подробности -

который является

на рис.

1Р-адресом

маршрутизатора

8.7.)

Теперь обратимся к нижней части примера, маршрутизатору ВО 1 и полученному OSPF стандартному маршруту. Маршрутизатор BOI также выво­

им по протоколу

дит маршрут к О.О.О.О/О . Следующий транзитный маршрутизатор, в данном случае 10.1.12.1, является 1Р-адресом маршрутизатора Rl на канале связи WAN. Код слева, О*Е2, означает, что это стандартный маршрут, полученный по протоколу OSPF, и что

Глава 8. Реализация протокола OSPF для 1Pv4

он является именно внешним маршрутом

OSPF.

И наконеu шлюз

BOl,

281

указанный

в строке шлюза последней инстанuии, использует тот же полученный по протоколу

OSPF стандартный Метрики

маршрут, что и следующий транзитный маршрутизатор

10.1.12.1.

OSPF (стоимость)

Ранее, в главе

7,

обсуждалось, как алгоритм

SPF

вычисляет наилучший маршрут

к каждой подсети на основании метрик. Маршрутизаторы

OSPF могут влиять на этот OSPF. стоимость интерфейса OSPF двумя

выбор, изменяя стоимости некоторых или всех интерфейсов

Маршрутизаторы

позволяют изменять

Cisco

способами. Стоимость можно установить непосредственно с помощью подкоманды

интерфейса ip ospf cost х, а можно позволить операuионной системе IOS самой выбрать стандартную стоимость на основании формулы, изменив ее входные дан­ ные. Второй случай требует немного больше внимания, поэтому именно он и являет­ ся основной темой следующего раздела.

Установка стоимости на основании ширины

полосы пропускания интерфейса Фактически стандартные значения стоимости

OSPF способны

немного запутать,

причем по нескольким причинам. Во избежание потенuиальных недоразумений этот раздел начинается с нескольких примеров.

Для вычисления стоимости интерфейса

OSPF операuионная

система

IOS исполь­

зует формулу, приведенную ниже. Ширина полосы пропускания интерфейса нахо­ дится в знаменателе, а ширина полосы пропускания в числителе:

исходная_ полоса_ пропускания

/ полоса_ пропускания_ интерфейса

Из этой формулы истекает следующая логическая последовательность.

1.

Чем больше полоса пропускания интерфейса (т.е. скорость передачи выше), тем меньше результат вычисления.

2.

Чем меньше результат вычисления, тем ниже стоимость для интерфейса.

3.

Чем ниже стоимость, тем вероятнее использование интерфейса в результате вычисления наилучших маршрутов.

Теперь - примеры. Предположим, что стандартная (reference bandwidth) составляет 100 Мбит/с (т.е. 100 ООО

исходная полоса пропускания

Кбит/с). Стандартные поло­

сы пропускания последовательного интерфейса. интерфейса

Ethernet и Fast Ethemet (10 Мбит/с) и 100 ООО Кбит/с ( 100 Мбит/с), как свидетельствует вывод команды show interfaces. Результаты вы­ числения стоимости OSPF операuионной системой IOS для некоторых интерфейсов приведены в табл. 8.2.

составляют соответственно

Таблица

8.2.

1544

Кбит/с,

Вычисление стоимости

Интерфейс

10 ООО

OSPF для

Стандартная полоса

Кбит/с

стандартных полос пропускания Формула (Кбит/с)

Стоимость

100 000/1544

64

100 000/10 ООО

1О

пропускания ннтерфейса

Кбит/с

Последовательный

1544

Ethernet

10 ООО

Fast Ethernet

100 ООО

Кбит/с Кбит/с

100 000/100 ООО

OSPF

Часть

282

В примере тизаторе

11.

Протоколы маршрутизации

8.19

1Pv4

приведены параметры стоимости интерфейсов

OSPF

на маршру­

вычисленные на основании стандартной исходной полосы пропускания

R 1,

и параметров полосы пропускания интерфейса. Пример

8.19. Проверка стоимости интерфейсов OSPF

Rl# show ip ospf interface brief Interface PID Area IP Address/Mask 10.1.2.1/24 Gi0/0.12 1 о 10.1.1.1/24 Gi0/0.11 1 о 10.1.14.1/24 GiO/l 1 4 10.1.13.1/24 Se0/0/1 1 23 10.1.12.1/24 1 23 Se0/0/0 Если

результат

вычисления

1 1

State DR DR BDR

64

Р2Р

NЬrs

Р2Р

метрики

оказывается

F/C

0/0 0/0 1/1 1/1 1/1 дробным,

он

округляется

в меньшую сторону до самого близкого целого числа. В примере стоимость интер­ фейса

64. Но при стандартной полосе пропускания после­ 1544 Мбит/с и исходной полосе пропускания 100 Мбит/с стоимость вычисляется как 100/ 1544, что дает 64 7668394. Результат округляется в меньшую сторону до 64. S0/0/0

представлена как

довательного интерфейса

Потребность в более высокой исходной полосе пропускания Стандартные значения прекрасно работали, пока самый быстрый канал связи в сети не достигал

ливается равной

100 Мбит/с. Стандартная исходная полоса пропускания устанав­ 100, что означает 100 Мбит/с, или 100 ООО Кбит/с. В результате со

стандартными настройками более быстрые интерфейсы маршрутизатора имеют оди­

наковую стоимость

OSPF, как показано в табл. 8.3, OSPF составляет 1.

поскольку самое низкое допусти­

мое значение стоимости Таблица

8.3.

Более быстрые интерфейсы с равной стоимостью

Интерфейс

OSPF

Формула (Кбит/с)

Стандартная полоса

Стоимость

OSPF

пропускания интерфейса

Fast Ethernet

100 ООО

GigaЬit

1 ООО ООО

Ethernet

10 GigaЬit Ethernet

10 ООО

100 000/100 ООО

Кбит/с

100ООО/1 ООО ООО

Кбит/с

100 000/10 ООО

ООО Кбит/с

100 GigaЬit Ethernet 100 ООО ООО

ООО

100 000/100 ООО

Кбит/с

ООО

Чтобы избежать этой проблемы и повлиять на результат вычисления стоимости,

можно изменить исходную полосу пропускания подкомандой режима

cost reference-bandwidth

OSPF auto-

скорость, которая устанавливает значение скорости

в мегабитах в секунду (Мбит/с). Для устранения представленной в табл.

8.3

пробле­

мы установите значение исходной полосы пропускания равным скорости самого бы­ строго канала в сети. Например, команда

приспосабливает сеть к скорости канала в

auto-cost reference-bandwidth 10000

1О

Гбит/с.

ВНИМАНИЕI

Cisco рекомендует OSPF в сети.

Компания

торах

указывать исходную полосу пропускания на всех маршрутиза­

Глава

8. Реализация протокола OSPF для 1Pv4

283

Для удобства изучения ниже приведены правила установки на маршрутизаторе

..

стоимости интерфейса

..

. ·;

OSPF.

Правила определения стоимости интерфейса OSPF

1. Стоимость может быть установлена явно с помощью подкоманды интерфейса ip ospf cost х со значением от 1 до 65 535 включительно. Полосу

2.

пропускания

bandwidth

интерфейса

можно

изменить

с

помощью

команды

скорость, где скорость задается числом в килобитах в секунду.

Исходную полосу пропускания можно изменить с помощью подкоманды

3.

маршрутизатора а uto-cost

re f erence-bandw i dth

OSPF

исходная_ полоса_ про­

пускания, где значение задается числом в мегабитах в секунду.

Балансировка нагрузки в протоколе Когда в протоколе маршрутизации

OSPF

OSPF с

помощью алгоритма

SPF рассчитыва­

ются маршруты к какой-либо подсети и найден маршрут с наименьшей метрикой,

такой маршрут помещается в таблицу маршрутизации. Тем не менее, если обнаруже­ но несколько маршрутов с одинаковой метрикой, все они могут быть помешены в та­ блицу маршрутизации. При стандартных настройках четыре маршрута с одной ме­ трикой устанавливаются в таблицу маршрутизации, а всего может быть установлено

до

16

маршрутов в зависимости от того. какое значение указано в команде

paths

число. Например, если в сети есть

6 одинаковых

maximum-

маршрутов и инженер хочет,

чтобы все они использовались для передачи данных одновременно, он может ввести команду

maximum-paths 6

после команды

router ospf.

Если в таблице маршрутизации есть несколько одинаковых маршрутов, устрой­

ство выполняет балансировку нагрузки по ним. Один из методов балансировки

OSPF второй -

пакетный. Например, если у маршрутизатора есть три одинаковых маршрута к одной подсети, то первый пакет будет отправлен по одному маршруту, по следующему, третий

-

по следующему, а четвертый

-

опять по первому и т.д.

Второй метод, который обычно включен в современных маршрутизаторах,

-

пото­

ковый. В нем потоки пакетов балансируют между разными каналами, например по­

ток пакетов к определенному му

-

1Р-адресу

получателя идет по одному каналу, к друго­

по следующему и т.д.

Обратите внимание, что стандартное значение

maximum-paths

зависит от плат­

формы маршрутизатора.

Настройка интерфейса

OSPFv2

Более новый стиль настройки интерфейса OSPF осуществляется главным обра­ зом, как и прежде, за одним важным исключением. Конфигурация разрешает про­ токол

OSPF

на интерфейсе непосредственно, с помощью подкоманды интерфейса

OSPFv2 на ин­ терфейсе косвенно, с помощью команды network в режиме конфигурации OSPF. Остальная обсуждаемая в этой главе часть средств протокола OSPF не изменяется. В основном вместо логики косвенного сопоставления интерфейсов с командами network вы непосредственно разрешаете протокол OSPFv2 на интерфейсах, задавая ip ospf,

в то время как традиционная настройка разрешает протокол

подкоманды интерфейса по каждому интерфейсу.

Часть 11. Протоколы маршрутизации

284

Пример настройки интерфейса

1Pv4

OSPFv2

Для демонстрации настройки интерфейса

OSPF

данный пример в основном по­

вторяет приведенный ранее в книге пример использования традиционной настройки

конфигурации

OSPFv2

с использованием команд

network.

Итак, перед переходом

к обсуждению настройки интерфейса OSPFv2 вернемся на минуту к рис. 8.3 и 8.4, а также к примерам 8.12-8.14. Чтобы, рассматривая следующие примеры настройки интерфейса, не листать книгу назад, рис.

8.8

повторяет рис.

Для перехода со старого стиля настройки в примерах лать следующее

8.4. 8.12-8.14,

достаточно сде­

.

Переход на новый стиль настройки

• Этап

Используйте подкоманды

1

no network

идентификатор сети

area

идентификатор_ области в режиме конфигурации OSPF, чтобы удалить команды

Этап

2

network

Добавьте для каждого интерфейса, на котором должен работать протокол

OSPF,

по одной команде

ip ospf

идентификатор процесса

area

идентификатор области в режиме конфигурации Интерфейса, причем с правильным идентификатором процесса OSPF и правильным номером области В примере

OSPF

8.12 была одна

команда net wor k, разрешавшая протокол OS PF на двух R2, помещая их оба в область 23. Пример 8.20 демон­

интерфейсах маршрутизатора

стрирует ее замену при более новом стиле настройки.

Область23

Область О

GO/O

..,-------1 ~ G0/1

Область4 Рис.

Пример

8.8. 8.20.

Проект областей, использованный в предыдущем примере конфи1урации

Конфигурация в новом стиле на маршрутизаторе

interface GigabitEthernet0/0 ip address 10.1.23.2 255.255.255.0 ip ospf 1 area 23 interface serial 0/0/1 ip address 10.1.12.2 255.255.255.0

R2

OSPF

Глава 8. Реализация протокола OSPF для 1Pv4

285

ip ospf 1 area 23 router ospf 1 router-id 2.2.2.2 ! Обратите внимание

на

отсутствие

команд

network !

Проверка конфигурации интерфейса

OSPFv2 OSPF будет работать так же несмотря на использование нового или ста­ настройки. Проект областей OSPF тоже работает так же, соседские отно­

Протокол рого стиля

шения формируются тем же образом, маршрутизаторы ведут переговоры о выборе

на роль

DR и BDR тем же способом

и т.д. Но при внимательном рассмотрении можно

заметить несколько небольших различий в выводе команд

если использован

show,

более новой стиль конфигурации OSPFv2. Команда show ip protocols выводит большую часть конфигурации протоко­ ла маршрутизации лишь с некоторым отличием в формате, как демонстрирует при­ мер

8.21.

При конфигурации в более новом стиле выводится фраза

Configured Explicitly"

"Interfaces

(Интерфейсы настроены явно) со списком интерфейсов,

настроенных новой командой

ip ospf

идентификатор_ процесса

area

идентифи­

катор области, как показано в примере. При старой конфигурации выводится со­

держимое всех команд network, только пропущено само слово "network". Обратите внимание, что в следующих двух примерах маршрутизатор на использование конфигурации интерфейса

(8.20),

OSPF,

R2

был перенастроен

как в предыдущем примере

в то время как маршрутизатор RЗ все еще использует команды

го стиля, как в более раннем примере конфигурации Пример

8.21.

Различия в выводе команды

(8.13).

show ip protocols:

старый и новый стили настройки

OSPFv2

R2# show ip protocols IP Routing is NSF aware *** Routing Protocol is "ospf 1" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Router ID 2.2.2.2 Number of areas in this router is 1. 1 normal О stub О nssa Maximum path: 4 Routing for Networks: Routing оп Interfaces Configured Explicitly (Area 23): Serial0/0/1 GigabitEthernet0/0 Routing Information Sources: Gateway Distance Last Update 3.3.3.3 110 00:04:59 1.1.1.1 110 00:04:43

Distance:

(default is 110)

Ниже представлена только часть

вывода ,

отличающаяся на RЗ :

R3# show ip protocols 1

•••

начальные

строки

пропущены

для

краткости

network старо­

286

Часть 11. Протоколы маршрутизации 1Pv4

Routing for Networks : 10.0 . 0 . О 0 . 255 . 255 . 255 area 23 ... конечные строки пропущены для

краткости

В основном различия в выводе команды

show ip protocols

при разных стилях

настройки сводятся к перечислению либо интерфейсов при использовании настрой­

ки интерфейсов, либо содержимого команд

network

при использовании команд

network. Затем команда show ip ospf interface [интерфейс] выводит детали парамет­ ров OSPF на интерфейсе (интерфейсах), где протокол OSPF разрешен. Вывод также отмечает, был ли этот интерфейс разрешен для протокола

OSPF

в старом или но­

вом стиле. Как отмечалось в примере 8.22, настройка маршрутизатора R2 в новом стиле приводит к выводу текста "Attached via Interface ЕnаЫе", тогда как на­ стройка маршрутизатора RЗ в старом стиле приводит к выводу текста

"At tached via

Network Statement". Пример

8.22. Различия в выводе команды show ip ospf interface при настройке интерфейсов OSPFv2

R2# show ip ospf interface gO/O GigabitEthernet0/0 is up, line protocol is up Internet Address 10.1.23.2/24, Area 23, Attached via Interface ЕnаЫе Process ID 1, Router ID 22.2.2.2, Network Туре BROADCAST, Cost: 1 Cost DisaЫed Shutdown Topology Name Topology-MTID О 1 no no Base EnaЫed Ьу interface config, including secondary ip addresses Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) 2.2.2.2, Interface address 10.1.23.2 Backup Designated router (ID) 3.3.3.3, Interface address 10.1.23.3 1 Представлена только часть вывода, отличающаяся на R3: R3# show ip ospf interface gO/O GigabitEthernet0/0 is up, line protocol is up Internet Address 10.1.23.3/24, Area 23, Attached via Network Staternent ... конечные строки пропущены для краткости

Обратите внимание, что вывод более краткой версии этой команды,

ospf interface brief,

настройки (с помощью команды

манды интерфейса

show

ip

не различается при использовании традиционного стиля

ip ospf).

network)

или альтернативного (с помощью подко­

Глава

8. Реализация протокола OSPF для 1Pv4

287

Обзор Резюме

•

Команда OSPF network используется для соответствия 1Р-адресам, настроен­ ным на интерфейсах. Это соответствие встроено в процесс OSPF.

•

Для контроля соответствующих битов в октете команда

OSPF network

ис­

пользует шаблоны маски.

•

Команда

show ip ospf neighbor применяется для поиска информации о лю­

бых соседях

OSPF,

включая интерфейс, состояние, адрес соседа и идентифика­

тор маршрутизатора соседа.

•

При выборе идентификатора маршрутизатора соответствующий

процесс.

процесс останавливается. Процесс

мандой

router-id;

OSPF

маршрутизатор проходит

Когда идентификатор маршрутизатора найден, это любое значение, настраиваемое ко­

-

самый большой 1Рv4-адрес из настроенных на любом раз­

решенном петлевом интерфейсе, и самый большой 1Рv4-адрес из настроенных

на любом фактически работающем (состояния

up/up или up/down) физиче­

ском интерфейсе.

•

Интерфейс OSPF, настроенный как пассивный, не будет посылать сообщения OSPF "Hello" и проигнорирует любые полученные сообщения "Не\\о", а так­ же не будет формировать соседские отношения.

•

Единственным маршрутизатором

OSPF,

настраиваемым в многообластной кон­

фигурации, является граничный маршрутизатор зоны (маршрутизатор

•

Команда

show ip ospf interface [тип номер 1 brief) позволяет отобра­

зить интерфейсы, разрешенные процессом

•

Команда

соседей

ABR).

show ip ospf neighbor

OSPF.

[тип номер] позволяет отобразить всех

OSPF.

•

Команда

show ip ospf database позволяет отобразить базы LSDB OSPF.

•

Команда

show ip route

маршруты

•

Команды

OSPF

подсеть

[ ospf 1

маска) позволяет отобразить

в текущей таблице маршрутизации.

show ip protocols и show ip ospf interface [brief) позволя­

ют отобразить, какие области настроены на устройстве.

•

Команда

OSPF default-information originate

используется наряду с на­

стройкой статических стандартных маршрутов для анонсирования стандарт­

ного маршрута

•

Протокол

OSPF.

OSPF

использует три правила установления стоимости интерфейса:

параметр стоимости явно задается с помощью команды

изменение полосы пропускания интерфейса

-

ip ospf cost цена, bandwidth

с помощью команды

ширина _полосы__ пропускания и изменение исходной полосы пропускания с помощью команды

auto-cost reference-bandwidth

-

исходная полоса

пропускания.

•

Вывод команд

show ip protocols

и

show ip ospf interface будет разли­ OSPF в старом (network) или

чаться в зависимости от настройки протокола новом (команды интерфейса) стиле.

288

Часть

11. Протоколы маршрутизации 1Pv4

Контрольные вопросы

1.

Какая из следующих команд

после команды

network,

router ospf 1,

вает данному маршрутизатору запустить и использовать протокол

терфейсах с IР-адресами

2.

10.1.100.1и10.1.120.1?

10.1.l.I,

А)

network 10.0.0.0 255.0.0.0 area

Б)

network 10.0.0.0 0.255.255.255 area

В)

network 10.0.0.1 0.0.0.255 area

Г)

network 10.0.0.1 0.0.255.255 area

Какая из следующих команд

О.

О.

О. О.

network, после команды router ospf 1, указы­

вает данному маршрутизатору запустить и использовать протокол

терфейсах с \Р-адресами

3.

указы­

OSPF на ин­

OSPF на

ин­

10.1.100.1и10.1.120.1?

10.\.1.1,

А)

network 10.1.0.0 0.0.255.255 area

О.

Б)

network 10.0.0.0 0.255.255.0 area

О.

В)

network 10.1.1.0 O.x.lx.O area

Г)

network 10.1.1.0 255.0.0.0 area

О.

Д)

network 10.0.0.0 255.0.0.0 area

О.

О.

Какие из следующих команд выводят соседей

OSPF

для последовательного

интерфейса О/О? (Выберите два ответа.)

4.

А)

show ip ospf neighbor.

Б)

show ip ospf interface brief.

В)

show ip neighbor.

Г)

show ip interface.

Д)

show ip ospf neighbor serial

О/О.

Маршрутизаторы R 1, R2 и RЗ являются внутренними маршрутизаторами об­ ластей 1, 2 и 3 соответственно. Маршрутизатор R4 является маршрутизатором

ABR,

соединенным с магистральной областью (О) и с областями

1, 2 и 3. Какой R4, отли­

из следующих ответов описывает конфигурацию на маршрутизаторе чающемся от других трех маршрутизаторов?

А) Подкоманда маршрутизатора

abr

Б) Подкоманда маршрутизатора

еnаЫе.

network относится к одиночной не маги­

стральной области.

В) Подкоманда маршрутизатора

network

относится к нескольким областям,

включая магистральную.

Г) Все интерфейсы

ABR маршрутизатора присвоены

области

OSPF О,

в то вре­

мя как у других маршрутизаторов есть свои интерфейсы, присвоенные, со­ ответственно, иным областям.

5.

Инженер подключился к маршрутизатору RI и ввел команду show ip ospf neighbor. Состоянием соседа 2.2.2.2 оказалось Full/BDR. Что означает часть

BDR?

Глава

А) Маршрутизатор

8. Реализация протокола OSPF для 1Pv4

R 1 является

289

граничным маршрутизатором области (Агеа

Border Router). Rl является резервным выделенным маршрутизатором (Backup Designated Router). В) Маршрутизатор 2.2.2.2 является граничным маршрутизатором области. Г) Маршрутизатор 2.2.2.2 является резервным выделенным маршрутизатором. 6. Инженер осуществляет переход с традиционной конфигурации OSPFv2 (ис­ nользующей команды network в режиме конфигурации OSPF) на конфигу­ рацию с исnользованием интерфейса OSPFv2. Какая из следующих команд Б) Маршрутизатор

задаст номер области, лрисвоенный интерфейсу в этой новой конфигурации?

7.

А) Команда

area в режиме конфигурации интерфейса.

Б) Команда

ip ospf

В) Команда

router ospf в режиме конфигурации интерфейса.

Г) Команда

network в режиме конфигурации интерфейса.

в режиме конфигурации интерфейса.

Какой из следующих nараметров конфигурации на маршрутизаторе не влия­ ет на маршрут, выбираемый маршрутизатором

маршрутизации

1Pv4 лри

1Pv4 для добавления OSPFv2'?

в таблицу

исnользовании nротокола

А)

auto-cost reference-bandwidth.

Б)

Delay.

В)

Bandwidth.

Г)

ip ospf cost.

Обзор главы Обзор этой главы осуществляется с исnользованием инструментов книги, образа

DVD

или интерактивных инструментов для того же материала на веб-сайте книги.

Ключевые элементы и их местоnоложение nриведены в табл.

8.4.

Чтобы лучше nро­

следить свой nрогресс в обучении, заnишите во втором столбце дату завершения этих действий.

Таблица

8.4.

Процесс изучения главы

Элемент обзора

Дата

Используемый ресурс

Ключевые темы

Книга, образ DVD/веб-сайт

Ключевые термины

Книга, образ DVD/веб-сайт

Контрольные вопросы

Книга, РСРТ

Лабораторные работы

Блог

Списки конфигурации

Книга, образ DVD/веб-сайт

Таблицы команд

Книга

Часть

290

11. Протоколы маршрутизации 1Pv4

Ключевые темы Повторите все ключевые темы данной главы, отмеченные пиктограммой" Ключевая

тема". Ключевые темы и соответствующие им страницы приведены в табл.

Элемент

Описание

Список

Примеры шаблонов маски

Пример

Соседи

8.4

8.5.

Страница

OSPF

OSPF

на маршрутизаторе

и их смысл

R3

263

согласно рис.

8.2

265

Список

Правила установки идентификатора маршрутизатора

267

Список

Действия

269

Пример Рис.

при пассивном интерфейсе

Мноrообластная конфигурация

8.14

Команды проверки

8.5

Пример

IOS

на маршрутизаторе

Использование протокола

8.6

Rl

274

OSPF

275

Вывод интерфейсов с поддержкой протокола

8.15

и соответствующих областей Рис.

OSPF

OSPF

OSPF

275

OSPF

OSPF для

создания и рассылки

279

стандартного маршрута

Список Пример

Правила определения стоимости интерфейса Различия в выводе команды

8.22

интерфейсов

OSPF

show ip ospf interface

283

при настройке

286

OSPFv2

Ключевые термины Исходная полоса пропускания (reference bandwidth), полоса пропускания интер­ (interface bandwidth), максимальное количество путей (maximum paths).

фейса

Таблицы команд В табл.

8.6

и

8.7

приведены команды конфигурации и проверки, используемые

в этой главе. Рассматривайте их как простое упражнение: закройте левый столбец, прочитайте правый столбец и попытайтесь вспомнить команду. Затем повторите это упражнение, закрыв правый столбец и попытавшись вспомнить, что делает команда.

Таблица

8.6.

Команды конфигурации

Команда

Описание

router ospf

Переводит в режим конфигурации

идентификатор_процесса

процесса

network

iр-адрес

шаблон маски

area

идентификатор_ области

ip ospf процесса

области

идентификатор_

area

номер_

OSPF для

указанного

Подкоманда маршрутизатора, разрешающая протокол

OSPF на

интерфейсах, соответствующих комбинации адреса

и шаблона, а также устанавливающая область

OSPF

Подкоманда интерфейса, разрешающая протокол

OSPF

на интерфейсе и присваивающая интерфейсу указанную

область

OSPF

Глава 8. Реализация протокола OSPF для 1Pv4

291

Око11ча11ие табл.

Описание

Команда

ip ospf

8. 6

цена

цена_

Подкоманда интерфейса, задающая связанную с интерфейсом

интерфейса

Bandwidth

стоимость

ширина_ полосы_

OSPF

Подкоманда интерфейса, непосредственно устанавливающая

пропускания

ширину полосы пропускания интерфейса (Кбит/с)

auto-cost referencebandwidth номер

Подкоманда маршрутизатора, задающая делимое в формуле

Ref-BW/ Int-BW

вычисления цены на основании ширины

полосы пропускания интерфейса

router-id

идентификатор

Подкоманда

OSPF, статически

устанавливающая

идентификатор маршрутизатора

номер

interface loopback

Глобальная команда, создающая петлевой интерфейс и пере1юдящая в режим конфиl)'рации интерфейса для данного интерфейса

maximum-paths

Подкоманда маршрутизатора, определяющая максимальное

количество_путей

количество маршрутов с равной стоимостью, которые могут

быть добавлены в таблицу маршрутизации

passive-interface

тип

Подкоманда маршрутизатора, делающая интерфейс пассивным интерфейсом

номер

OSPF,

а значит, процесс

OSPF

не будет формировать соседские отношения с соседними маршрутизаторами, доступными на данном интерфейсе

passive-interface default

Подкоманда протокола

OSPF, изменяющая стандартное состояние OSPF для интерфейсов на пассивное вместо

активного

no passi ve-interface

тип

Подкоманда

OSPF,

переводящая интерфейс или субинтерфейс

номер

в активное состояние

default-information originate [always]

стандартный маршрут

Подкоманда

OSPF

OSPF, требующая создать и анонсировать OSPF, пока у маршрутизатора есть

некий стандартный маршрут (или всегда анонсировать

стандартный маршрут, если задействован параметр

Таблица

8.7.

always)

Пользовательские команды

Кома~ща

show ip ospf

Описание Выводит информацию о выполняющемся на маршрутизаторе процессе маршрутизатора

OSPF,

OSPF,

включая идентификатор

области, к которым подключен

маршрутизатор, и количество интерфейсов в каждой области

show ip ospf interf ace brief

Выводит интерфейсы, на которых разрешен протокол (на основании команды

network),

OSPF

включая пассивные

интерфейсы

show ip ospf interface

Выводит длинный список параметров, состояние и счетчики

тип

протокола

номер

OSPF

на всех интерфейсах или на заданном

интерфейсе, включая таймеры

show ip protocols

Hello

и

Dead

Отображает параметры протокола маршрутизации и текущие значения таймеров

292

Часть 11. Протоколы маршрутизации 1Pv4

Окончание табл.

8. 7

Описание

Команда

show ip ospf neighbor

Выводит краткий список соседей (по одной строке

[тип номер]

на каждого), идентифицированных по идентификатору соседнего маршрутизатора, включая их текущее состояние;

вывод можно ограничить соседями на выбранном

интерфейсе

show ip ospf neighbor

Вывод, как у команды

идентификатор_ соседа

но только для заданного соседнего маршрутизатора (по

show ip ospf neighbor detail,

идентификатору соседа)

show ip ospf database

Выводит отчет об анонсах строке на анонс (сначала

-

тип

LSA в базе данных (по одной LSA). Вывод организован по типам LSA l, затем - тип 2 и т.д.)

show ip route

Выводит все маршруты

show ip route ospf

Выводит маршруты в таблице маршрутизации, изученные по протоколу

show ip route

iр-адрес

1Pv4

OSPF

Выводит подробное описание маршрута для выбранной

подсети/маски

маска

clear ip ospf process

Возвращает процесс

OSPF

в исходное состояние, удаляя все

соседские отношения, а также вынуждая процесс выбирать

RID OSPF Ответы на контрольные вопросы

1-

Б.

2-

А.

3-

А, Д.

4-

В.

5-

Г.

6-

Б.

7-

Б.

ГЛАВА

Концепции протокола

9

EIGRP

В этой главе подробно рассматривается второй протокол маршрутизации

1Pv4 -

расширенный протокол маршрутизации внутреннего шлюза (EIGRP). Этот собствен­ ный протокол маршрутизации Cisco использует команды конфигурации, как и откры­ тый протокол поиска первого кратчайшего маршрута

личием

-

конфигурация

EIG RP

(OSPF),

но с существенным от­

не должна ссылаться на области. Но протокол

не использует и логику состояния канала шенная дистанционно-векторная логика

EIG RP (LS), вместо нее применяется немного улуч­ (DV). Таким образом, эта глава содержит до­

вольно мало подробностей о работе протоколов маршрутизации вообще и работе про­

токола

EIGRP

в частности перед переходом к теме его настройки.

Темы этой главы разделены на два главных раздела. Первый рассматривает неко­ торые дистанционно-векторные концепции, сравнивая некоторые из основных ха­

рактеристик протокола

RIPv2

с таковыми у протокола

дел посвящен специфике работы протокола

EIGRP,

EIGRP.

Второй главный раз­

включая соседские отношения,

обмен информацией о маршрутизации и вычисление маршрутов доступа к каждой возможной подсети, оптимальных в настоящий момент.

В этой главе рассматриваются следующие экзаменационные темы

2.0.

Технологии маршрутизации

2.2.

Сходства и различия дистанционно-векторных протоколов и протоколов маршрутизации с учетом состояния каналов

2.3. 2.6.

Сходства и различия внутренних и внешних протоколов маршрутизации Настройка, проверка, поиск и устранение неисправностей протокола

EIGRP для 1Pv4

(исключая аутентификацию, фильтрацию, ручное

суммирование, перераспределение и тупики)

Часть

294

11. Протоколы маршрутизации 1Pv4

Основные темы EIGRP

и дистанционно-векторные

протоколы маршрутизации За долгую историю протокола

1Pv4 было разработано множество разных протоко­ (lnterior Gateway Protocol - IGP). Каждый из

лов маршрутизации внутреннего шлюза

них чем-то отличался, в основном базовым алгоритмом протокола маршрутизации: по состоянию канала или вектору расстояния. В данном разделе показано, что про­

токол

EIGRP до некоторой степени работает как дистанционно-векторный

протокол

маршрутизации, хотя и не соответствует полностью ни одной из категорий.

В частности, сначала в этом разделе протокол

EIGRP сравнивается с другими \Pv4. Затем рассматриваются базовые концепции дис­ логики (DV) на примере протокола RIP. Использование про­

протоколами маршрутизации танционно-векторной стого протокола

RI Р

для изучения основ позволит сосредоточиться исключительно

на концепциях дистанционно-векторной логики. И в завершение будет показано, что протокол

использует средства дистанционно-векторной логики эффек­

EIGRP

тивнее, чем протокол

RI Р.

Введение в протокол

EIGRP

Исторически первые протоколы маршрутизации

но-векторную логику

(DV).

Протокол

RJP

версии

/Pv4 использовали дистанцион­ 1 (RIPvl) был первым популярным

протоколом маршрутизации \Р, а собственный протокол маршрутизации внутренне­ го шлюза (рис.

(Interior Gateway Routing Protocol - IGRP) Cisco 9.1). EIGRP RIPv1

OSPFv2

IGRP

RIPv2

1980 Первое поколение

EIGRPvб

OSPFvЗ

RIPng

1990

1Pv4:

вектор расстояния

Рис.

появился немного позже

2010

2000

Второе

Третье

поколение

поколение:

1Pv4

IPvб

9.1.

Эволюция протоколов

IP IGP

В 1990-х годах коммерческие и технические факторы породили второе поколение лучших протоколов маршрутизации. Первые протоколы,

RIPv\

и

IGRP,

имели ряд

технических ограничений, хотя и обладали великолепными возможностями для тех­

нологии уровня 1980-х годов. Серьезная мотивация для создания лучших протоко­ лов маршрутизации стала огромным движением протокола ТСР // Р в 1990-х годах. Многие предприятия перешли с устаревших сетей частных производителей на сети с использованием маршрутизаторов, локальных сетей и протокола ТСР

/1 Р. Эти ком­

пании нуждались в протоколах маршрутизации лучшей производительности, вклю­

чая лучшие метрики и лучшую конвергенцию. Все эти факторы привели к появлению

Глава 9. Концепции протокола EIGRP

295

следующего поколения внутренних протоколов маршрутизаuии

1Pv4: протокола RI Р 2 (0SPFv2) и протокола EIGRP. В настоящее время протоколы EIGRP и OSPF остаются двумя главными кон­ курирующими протоколами маршрутизаuии 1Pv4, используемыми в современной корпоративной объединенной сети 1Pv4. Протокол RI Pv2 как серьезный конкурент версии

2 (RIPv2),

протокола

OSPF

версии

отпал, частично из-за его менее надежной метрики счетчика количества транзитных переходов, а частично из-за более медленной конвергенuии. Даже сегодня во мно­ гих корпоративных сетях можно найти использующийся протокол маршрутизаuии

EIGRP

или

OSPF.

Таким образом, как сетевому инженеру при столь широком многообразии про­ токолов маршрутизаuии

1Pv4 выбрать используемый протокол маршрутизаuии? Он EIGRP.

должен учесть два ключевых момента о протоколе

• ·: · ·

Сравнение ключевых моментов протокола

EIGRP с друrими

протоколами

маршрутизации

Протокол

•

EIGRP использует надежную метрику на основании ширины поло­

сы пропускания канала связи и задержки канала связи, поэтому маршрутиза­

торы способны правильно выбрать наилучший маршрут для использования (рис.

•

9.2).

Конвергенuия протокола единенной сети протокол

EIGRP очень быстра, а значит, при изменении в объ­ EIG RРбыстро найдет наилучший в настоящее время

маршрут.

Например, протокол

RIP использует простую метрику - счетчик переходов, оз­

начающий количество маршрутизаторов между подсетью получателя и локальным

маршрутизатором. Метрика счетчика переходов позволяет протоколу маршрут с

наименьшим

RIP выбрать

количеством транзитных участков, даже если его каналы

связи медленные. Таким образом, протокол

RI Р

может выбрать как наилучший от­

нюдь не самый быстрый маршрут. Вычисление метрики

EIGRP

использует матема­

тическую формулу, позволяющую избегать маршрутов с медленными каналами свя­ зи, создавая для них более высокие (худшие) метрики. Пример приведен на рис. 9.2.

RIP Подсеть

EIGRP

10.1.1.0

т

Подсеть

10.1.1.0

т

- show ip ospf interface brief Interface PID Area IP Address / Mask GiO/l 2 1 10.1. 22 . 2/2 4 Gi0/0 2 1 10.1.1. 2/ 24

Cost 1 1

State WAI T WAIT

NЬ rs

Е' / С

0/0 0/ 0

С общей точки зрения вывод команды

show ip ospf interface b r ie f похож show ip eigrp interface, с одной строкой для каждого раз­ решенного интерфейса. Команда show ip osp f interface не представлена в при­ мере, она выводит подробную информацию OSPF для каждого интерфейса . При данной конкретной проблеме вывод в примере 11 .5 демонстрирует, что на обо­ их маршрутизаторах , R 1 и R2, протокол OSPF разрешен на обоих интерфейсах LAN. Но на таковой у команды

эта команда выводит также номер области для каждого интерфейса, у маршрутизатора

R2

оба интерфейса

LAN

находятся в области

1.

Кроме того, эти команды повторяют

1Р-адреса и маски интерфейсов, по ним можно заметить, что адрес 10.1 .1.1/24 марш­ рутизатора RI находится в той же подсети, что и адрес 10. 1. 1.2/24 маршрутизатора R2, что помещает эти два маршрутизатора в одну подсеть, но в различные области OSPF.

Часть

362

11. Протоколы маршрутизации 1Pv4

В примере 11.6 показан другой способ поиска проблемы: с помощью команд show ip protocols на маршрутизаторах Rl и R2. Поскольку эти команды выводят коман­ ды network протокола OSPF в сокращенной форме, это может указать на возможные ошибки конфигурации, даже если конфигурация недоступна. Пример

11.6.

Поиск ошибок конфигурации с помощью команды

OSPF на маршрутизаторах R1 show ip protocols

и

R2

Rl> show ip protocols *** IP Routing is NSF aware *** Routing Protocol is "ospf 1 " Outgoing update filter list for all interfaces is not set Incorning update filter list for all interfaces is not set Router ID 1.1.1.1 NurnЬer of areas in this router is 1. 1 norrnal О stub О nssa Maxirnurn path: 4 Routing for Networks : 10 . 0 . 0 . О 0 . 255 . 255 . 255 area О Routing Inforrnation Sources: Gateway Distance Last Update 2.2.2.2 110 00:14:32 3.3.3.3 110 00:14:32 00:14:42 10.1.44.4 110 Distance: (default is 110) Rl> show ip route ospf Легенда

О

О

1

пропущена

для

краткости

10.0.0.0/8 is variaЫy subnetted, 6 subnets, 2 masks 10.1.33.0/24 [110/2] via 10.1.1.3, 00:15:32, GigabitEthernet0/0 10.1.44.0/24 [110/2] via 10.1.1.4, 00:15:42, GigabitEthernet0/0 Теперь

переходим к маршрутизатору

R2

R2> show ip protocols *** IP Routing is NSF aware *** Routing Protocol is "ospf 2" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Router ID 2.2.2.2 NurnЬer of areas in this router is 1. 1 norrnal О stub О nssa Maximurn path: 4 Routing for Networks: 10.0.0.О 0.255.255.255 area 1 Routing Protocol is "ospf 2" Outgoing update filter list for all interfaces is not set Incorn1ng update filter list for all interfaces is not set Router ID 2.2.2.2 NurnЬer of areas in this router is 1. 1 normal О stub О nssa Maxirnum path: 4

Глава 11. Поиск и устранение неисправностей протоколов...

363

Routing for Networks : 10 . О . О . О 0.255 . 255 . 255 area 1 Routing Information Sources: Gateway Distance Last Update Distance: (default is 110) R2> Nov 15 12:16:39.377: ~OSPf-4-ERRRCV: Received invalid packet: mismatched area ID, from backbone area must Ье virtual-link but not found from 10.1.1.1, GigabitEthernet0/0 При более внимательном рассмотрении вывода команды

маршрутизатора

R2,

show ip protocols

особенно выделенной части, можно заметить ошибку конфигу­

рации. Как обычно, раздел

"Routing for Networks:" указывает сокращенную вер­ "10. О. О. О О. 255. 255. 255 area 1" фактически является точным синтаксисом одной из команд network на маршрутизаторе R2, только без слова network (команда network 10. О. О. О О. 255. 255. 255 area 1). Поскольку в проекте на рис. 11.4 все интерфейсы должны

сию конфигурации. В данном случае выделенная фраза

находиться в области О, данную конкретную проблему можно решить с помощью ко­ манды

network 10. О.

255. 255. 255 area

О. О О.

О.

В конце примера также показано сообщение системного журнала, которое соз­

дается в маршрутизаторе

R2,

чтобы уведомить пользователя, подключенного к кон­

соли, о том, что устройство получило сообщение "Не\\о", содержащее номер зоны, несовпадающий с локальным.

Кроме интерфейсов, можно проверить некоторые другие настройки. Обычно имеет

смысл пойти дальше и проверить настройки с помощью команд

show interfaces

и

1Р-адресов на интерфейсах и

их состояние

show ip interface brief.

В частности,

следует обратить внимание на коды состояний интерфейсов и убедиться в том, что они работают

(up/up),

поскольку маршрутизатор не будет посылать пакеты (включая

пакеты протоколов маршрутизации) через интерфейсы, не находящиеся в состоянии

up/up. Проверка интерфейсов относитси к теме поиска и устранении неисправностей

1Pv4,

общей дли экзаменов

ICNDI

и

ICND2;

она обсуждается в главе

21

и здесь не

повториетси.

Соседские отношения В этом разделе рассматриваетси множество фактов, свидетельствующих о том, 'ПО, прежде чем два маршрутизатора станут соседями, они должны сверитьси с каж­ дым потенциальным соседом.

На самом простом уровне протоколы маршрутизации могут легко создать сосед­ ские отношения, используя сообщении

Hello.

Сначала протокол маршрутизации

следует разрешить на интерфейсе. Кроме того, интерфейс не может быть настроен как пассивный, поскольку это запрещает протоколу маршрутизации передавать со­

общении

"Hello".

Кроме простого процесса, протоколы маршрутизации фактически проверяют и несколько других параметров, чтобы выяснить, должны ли маршрутизаторы стать

соседями. И протокол

OSPF, и протокол EIGRP используют сообщения "Не\\о", ко­

торые содержат информацию, используемую дли выполнения некоторых базовых проверок. Например, как было показано в примере

11.5,

маршрутюатор

OSPF

не

должен становиться соседом другого маршрутизатора в другой области, поскольку

364

Часть

11. Протоколы маршрутизации 1Pv4

все маршрутизаторы в общей подсети должны быть в одной области

OSPF

в соответ­

ствии с проектом.

Как только маршрутизатор

EIGRP или OSPF получит сообщение "Hello" от но­

вого соседа, протокол маршрутизаuии исследует информаuию в этом сообщении и сравнивает ее с собственными параметрами локального маршрутизатора. Если со­

- прекрасно. В противном случае маршрутизаторы соседями не ста­ нут. Поскольку нет формального термина мя описания всех элементов, рассматри­

ответствие есть

ваемых протоколом маршрутизаuии, в данной книге они называются требованиями

к соседям (пeighbor В табл.

11.2

requirements).

перечислены требования к настройкам соседних устройств, которые

должны быть выполнены, чтобы два устройства установили между собой канал связи

в протоколах EIGRP и OSPF. Ниже также более подробно описаны настройки, пере­ численные в таблиuе , мя обоих протоколов маршрутизаuии, EIG RP и OSPF, на при­ мере сети, показанной на рис . 11.3.

Таблица 11.2. Требования к соседям в протоколах Требование

EIGRP и OSPF

EIGRP

OSPF

Да

Да

Интерфейсы должны относиться к одной подсети

Да

Да

не должны фильтровать сообщения

Да

Да

Да

Да

Да

Нет

Нет

Да

Нет 1

Да

Да

Не определено

Не определено

Да

Интерфейсы должны быть

Списки

(ACL)

u рабочем состоянии (up/up)

протокола маршрутизации

Аутентификация, если она настроена , должна пройти успешно

В командах конфигурации маршрутизатора должны совпадать номер автономной системы или идентификатор

процесса

(ASN/PI D)

Таймеры

He\lo, Ho\d

и

Dead должны

Идентификаторы маршрутизаторов

совпадать

(Router ID)

должны

быть уникальными

Коэффициенты К

(K-value) должны

совпадать

Интерфейсы устройств должны быть в одной области 1

Дублирующиеся идентификаторы маршрутизаторов в протоколе

EIGRP

не помешают сосед­

ним устройствам установить канал связи, но могут привести к тому, что внешние маршруты

EIGRP

не будут добавляться в таблицы маршрутизации.

ВНИМАНИЕ\ Хотя информацию данной таблицы важно изучить и запомнить , при первом чтении данной главы ее достаточно просто прочитать. Впоследствии, делая обзор главы или части, удосто­ верьтесь, что помните подробности таблицы.

В отличие от большинства требований к соседям. перечисленным в табл.

11.2,

первые три требования имеют весьма косвенное отношение к самим протоколам маршрутизаuии. Два маршрутизатора должны быть способны передавать пакеты

Глава

11. Поиск и устранение неисправностей протоколов...

365

один другому по соединяющей их физической сети. Для этого интерфейсы маршру­

тизатора должны быть в состоянии

up/up

и находиться в одной подсети. Кроме того,

маршрутизаторы не должны использовать списки

ACL,

отфильтровывающие трафик

протокола маршрутизации.

Например, протокол

гоадресатные

OSPF

посылает множество сообщений на известные мно­

1Р-адреса 224.0.0.5

и 224.0.0.6, тогда как протокол EIG RP использу­ 224.0.0.10. Такая команда ACL, как access-list 101 deny ip any host 224. О. О .10, n списке ACL на входящем интерфейсе маршрутизатора отфильтровала бы входящие пакеты EIGRP. Либо такая команда ACL, как access-list 102 deny ospf any any, может отфильтронать весь трафик OSPF. В списках ACL с множеством ет адрес

команд

permi t

тов ТСР и

довольно трудно заметить, какие из них соответствуют номерам пор­

UDP,

но не соответствуют протоколу маршрутизации явно, в результа­

те пакетам протокола маршрутизации будет соответствовать неявный запрет всего

в конце списка

Поэтому уделяйте особое внимание спискам

ACL.

ACL,

особенно

когда похоже на то, что все настройки протокола маршрутизации выглядят хорошо.

На практике, прежде чем приступать к изучению вывода различных команд и ис­ пользовать сложные методы поиска и устранения неисправностей, следует убедить­

ся, что два маршрутизатора могут обмениваться пакетами piпg в своем сегменте сети. Если устройства не могут обмениваться такими пакетами, следует проверить работо­ способность уровней

1, 2

и

3

маршрутизаторов. Подробности поиска и устранения

неисправностей маршрутизации

1Pv4

в нескольких местах, включая главу

(т.е. перенаправления пакетов) обсуждаются

21.

Кроме того, в книге по

ICN D 1 рассматрива­

ются другие взаимосвязанные темы, включая главу о поиске и устранении неисправ­

ностей

1Pv4,

а также темы по таким инструментальным средствам поиска и устране­

ния неисправностей, как ping и она содержится в приложении К

traceroute; эта глава доступна и в книге ICNDI, (J) на образе DVD.

Детали процесса поиска ошибок для двух протоколов почти не различаются.

Ниже сначала будет рассмотрен протокол маршрутизации

EIGRP,

а затем

- OSPF.

ВНИМАНИЕ!

В данном разделе nредnолагаетси, что протокол маршрутизации был включен на всех интер­ фейсах маршрутизатора.

Последовательность проверки соседей Любые два маршрутизатора

EIGRP,

EIGRP

подключенные к одному каналу передачи

данных, интерфейсы которых включены в протокол маршрутизации

EIGRP

и не ра­

ботают в пассивном режиме, постараются установить между собой канал для переда­

чи маршрутной информации. Чтобы быстро и точно определить, какие устройства

прошли проверку параметров конфигурации протокола между собой канал связи, следует использовать команду

EIGRP

и могут установить

show ip eigrp neighbors.

В ее выводе присутствуют только соседние устройства, которые прошли все проверки своих настроек.

В примере

11. 7 снова демонстрируется вывод команды show ip eigrp neighbors 11.3. В данном случае все маршрутизаторы

с четырьмя маршрутизаторами на рис.

были настроены правильно, поэтому у каждого есть соседские отношения с другими

тремя маршрутизаторами в одной и той же подсети

LAN.

Часть

366 Пример

11.7.

11. Протоколы маршрутизации 1Pv4

Вывод команды

neighЬors для маршрутизатора

show ip eigrp

R1

(все ошибки в конфиrурации исправлены)

Rl# show ip eigrp neighЬors EIGRP-IPv4 Neighbors for AS(99) н Interface Hold Uptime SRTT Address (sec) (ms) 1 10.l.l.3 Gi0/0 13 00:00:20 1 2 10.1.1.4 Gi0/0 13 00:00:43 80 Gi0/0 о 10.1.1.2 13 00:13:52 1 Если команда

show ip eigrp neighbors

RTO

Q

Cnt 100 480 100

о о о

Seq Num 31 10 20

не вы1юдит одного или нескольких ожи­

даемых соседей, то первый этап локализации проблемы подразумевает проверку ко­ мандой

ping с

1Р-адресов других маршрутизаторов 11 .3 списку проверьте их. В табл. 11.3 предложены не только тре­ наилучшие команды для их проверки .

каждого из двух маршрутизаторов

в одной подсети. Если все работает, обратитесь к представленному в табл. требований к соседям EIG RP и бования к соседям EIGRP, но и

.. .. :

• •

Таблица

11.3. Требования к соседям EIGRP и наилучшие команды show/deЬug

Требование

Наилучшие команды для изоляции

проблемы Должны находиться в одной подсети

show interfaces,show ip interface

В командах конфигурации

show ip eigrp interfaces, show ip protocols

router должен

использоваться одинаковый номер Аутентификация соседей

ASN

EIGRP должна быть

debug eigrp packets

пройдена

show ip protocols

Коэффициенты К должны совпадать

Из четырех требований, перечисленных в табл. Для аутентификации протокол

соседям

EIGRP,

EIGRP

11.3,

первые два уже обсуждались.

позволяет доверять маршрутизаторам как

только если они используют одинаковый ключ безопасности (па­

роль); если эта проверка терпит неудачу, соседские отношения не формируются. Стандартно маршрутизаторы не предпринимают попыток аутентификации что позволяет маршрутизаторам формировать соседские отношения один маршрутизатор использует аутентификацию, а другой

-

EIGRP, EIGRP. Если

нет, то они не станут

соседями. Если аутентификацию используют оба, они должны применять одинако­ вый ключ аутентификации, чтобы стать соседями.

Последняя запись в таблице, о коэффициентах К, относится к компонентам мет­ EIGRP и их вычислениям. Коэффициенты К (K-value) - это переменные, в ос­

рик

новном

позволяющие

включать

нентов в составной метрике

или

EIGRP.

отключать использование

Компания

Cisco

различных

компо­

не рекомендует изменять эти

зна best, i internal, r RIB-failure, S Stale, m multipath, Ь backup-path, f RTFil ter, х best-external, а additional-path, с RIB-compressed, Origin codes: i - IGP, е - EGP, ? - incomplete RPKI validation codes: V valid, I invalid, N Not found Network

Next

Metric LocPrf Weight Path о 32768 i 2 32768 i

Нор

*> 192 . 0 . 2 . 0/29 о. о.о. о *> 192 . 0 . 2 . 128/26 10 . 2.2.2

Анонсирование одиночного префикса со статическим маршрутом аннулирования

В конце предыдущего примера демонстрируются две подсети, введенные в табли­

цу

BG Р

маршрутизатора

к маршрутизатору

ISPl.

R 1.

Затем маршрутизатор

R 1 анонсировал бы обе подсети ISP не хочет ничего

Но в большинстве случаев провайдер

знать о подсетях открытого блока адресов предприятия: он хочет изучить один марш­

рут для всего открытого блока адресов (в этих примерах в последнем

192.0.2.0/24,

примере в том, что у маршрутизатора

поэтому команда

network

Rl

192.0.2.0/24).

Проблема

нет маршрута для сети

не может начать процесс добавления записи

таблицы BG Р для 192.0.2.0/24. Один из способов решения этой проблемы (и единственный рассматриваемый в этой главе) подразумевает использование статического маршрута та аннулирования

1Pv4 -

маршру­

(discard route). В примере 12.6 команда network 192. О. 2. О mask

255.255.255.О не добавила бы запись в таблицу скольку у него нет соответствующего маршрута

BGP на маршрутизаторе Rl, по­ 1Pv4. Решение? Настроить статичес­

кий маршрут именно для этого префикса, заставив добавить в таблицу маршрутиза­ ции

1Pv4

статический маршрут. Присвойте маршруту исходящий интерфейс

nullO.

Это маршрут аннулирования, он заставит маршрутизатор отбрасывать любые паке­

ты, соответствующие данному маршруту. (Если пока не все понятно, наберитесь тер­ пения и рассмотрите следующий пример. Использование маршрута аннулирования

объединяет несколько концепций, кроме протокола

BG Р,

поэтому его рассмотрение

требует некоторого времени.) Итак, вернемся к рис. 12.15. У маршрутизатора R 1 есть маршруты для подсетей 192.0.2.0/29 и 192.0.2.128/26. Теперь вместо конфигурации BGP, показанной в при­ мере 12.6, используем конфигурацию в примере 12.7, который включает добавление маршрута аннулирования.

Пример

12.7.

Конфиrурация

BGP

на маршрутизаторе

с маршрутом аннулирования для

ip route 192.0 . 2 . 0

255 . 255 . 255 . О

nullO

router bgp 1001 network 192.0.2.О mask 255.255.255.0

R1 192.0.2.0/24

Глава

12. Реализация протокола External BGP

401

Рассмотрим маршруты

1Pv4 только в диапазоне 192.0.2.0/24, как показано в при­ 12.8. Он демонстрирует подсеть 192.0.2.0/29, используемую NAT (и маршрут 192.0.2.1/32 для IР-адреса данного интерфейса). Он также демонстрирует маршрут для префикса 192.0.2.128/26, используемого для зоны DMZ, и накладывающийся маршрут аннулирования для 192.0.2.0/24. мере

Пример

12.8.

Доказательство наличия маршрута аннулирования

Rl# show ip route 192.0.2.0 255.255.255.0 longer-prefixes

'

Легенда

пропущена

192.0.2.0/24 is С

для

краткости

variaЫy

subnetted, 4 subnets, 4 masks

192.0.2.0/29 is directly connected, Loopbackl 192.0.2.1/32 is directly connected, Loopbackl 192.0.2.128/26 [110/2] via 10.2.2.2, 00:06:02, GigabitEthernet0/2

L О

Помните: при наложении маршрутов

1Pv4

операционная система

IOS

выбира­

ет самый специфический маршрут, т.е. маршрут с наиболее длинным префиксом. Результат наложения маршрутов таков.

1.

Пакеты, посланные в подсеть руту к

192.0.2.0/29,

NAT ( 192.0.2.0/29), соответствовали бы и марш­ 192.0.2.0/24, но операционная система IOS

и маршруту к

использует более специфический (с более длинным префиксом) маршрут, в данном случае

2.

-

с длиной префикса

/29.

Пакеты, посланные в подсеть DMZ (\ 92.0.2.128/26), соответспювали бы и маршруту к 192.0.2.128/26, и маршруту к 192.0.2.0/24, но операционная си­ стема

IOS

использует более специфический (с более длинным префиксом)

маршрут, в данном случае

-

с длиной префикса

/26,

и перенаправляет пакеты

брандмауэру.

3.

Другим

пакетам в диапазоне сети 192.0.2.0/24, не соответствующим ни 192.0.2.0/29, ни 192.0.2.128/26, соответствовал бы только маршрут аннулиро­ вания ( 192.0.2.0/24), и они отбрасывались бы.

Добавление статического маршрута аннулирования не вредит маршрутизации

1Pv4

пакетов использующих IР-адреса в диапазоне адресов

192.0.2.0/24,

имеющем

более специфический рабочий маршрут. Таким образом, добавление статического

маршрута аннулирования решает проблему протокола

BG Р:

теперь команда

BG Р

network видит маршрут к сети 192.0.2.0/24 в таблице маршрутизации 1Р. Таким обра­ зом, протокол

BG Р добавляет запись к таблице BG Р для этого маршрута. Пример 12.9 BG Р на маршрутизаторе R 1.

демонстрирует полученную запись таблицы Пример

12.9.

Созданный благодаря маршруту аннулирования маршрут к префиксу

/24

в таблице

BGP

Rl# show ip Ьgр BGP tаЫе version is В, local router ID is 198.51.100.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath, Ь backup-path, f RT-Filter, х best-external, а additional-path, с RIB-compressed,

Часть 11. Протоколы маршрутизации 1Pv4

402

Origin c ode s : i - IGP, е - EGP, ? - incomplete R PКI val i dation c odes: v valid, I i nvalid, N No t fo und

*>

Network

Next

192 . 0 . 2.О

о. о. о .о

Metric LocPrf

Нор

о

Wei ght Path 32768 i

Получение стандартного маршрута от провайдера

ISP

Большая часть этапов настройки и проверки в этой главе относится к настройке маршрутизатора предприятия на анонсирование его открытого префикса

вайдеру

ISP.

eBGP ца BG Р

и таблица маршрутизации

Провайдер

1Pv4

про­

может также анонсировать предприятию по протоколу стандартный маршрут к маршрутизатору. В примере 12.10 приведены табли­

ISP

1Pv4

на маршрутизаторе

R 1 того же

предприятия,

что и в других примерах этой главы, но уже после получения стандартного маршрута

от маршрутизатора

ISPI.

ВНИМАНИЕ!

Данная глава сосредоточена на конфигурации протокола BG Р маршрутизатора предприятия. Но если есть желание опробовать это в лабораторной работе, кроме настройки , представлен­ ной в примере 12. 1, добавьте на маршрутизаторе ISP 1 команды ip r oute null O, ro uter bgp l иne t w or k О . О . О . О .

Пример

12.1 О.

О.О. О. О О . О.О.О

Получение стандартного маршрута от маршрутизатора

ISP1

Rl# show ip bgp BGP tаЫе version i s 3, l ocal route r ID i s 192 . 0 . 2. 1 Sta t us codes : s supp r e ssed, d damped, h hi s t ory , * va l i d, > best , i - inte rna l, r RI B- failure , S Stale , m mul t ipath , Ь bac kup - path , f RT- Fi l t er , х best-external, а a dditi onal-path, с RIБ- comp r ess e d , Origin codes: i - I GP, е - EGP, ? - incomplete RPKI validat i on codes: V va lid , I i nvalid, N Not fou nd Net wor k Next Н ор Me t r i c LocPr f We ight Path *> о.о . о . о о 198 . 51.100 . 2 о 1 i *> 192.0. 2 . 0 о. о .о.о 32768 i о Rl# show ip route 1

Л е генда

nро nущена

дл я

крат ко сти

Gateway of last resort is 198 . 51 . 100 . 2 to network В*

О . О . О.О/О Строки

О.О.О.О

(20/0) via 198 . 51 . 100 . 2, 00:00:18

n роn уще ны дл я

краткос ти

Сначала рассмотрим выделенные части вывода команды show i p bgp. Маршрут к префиксу О.О.О.О указывает следующую транзитную точку перехода 198.51. 100.2 IР-адрес маршрутизатора ISP2 на канале связи между маршрутизаторами RI и ISP2.

Это другой маршрут, изученный по протоколу он выводит адрес соседа

eBGP

eBGP; таким образом, обычно как следующую транзитную точку перехода . Справа

Глава

12.

Реализация протокола

атрибут

выводит один короткий номер

затора

факта подтверждают, что маршрутизатор

AS_Path ISP\. Оба

BG Р от

ASN

External BGP

(\),это номер

Rl

ASN

403

маршрути­

получил этот префикс

маршрутизатора 1SР1.

Вывод команды тизатора

show ip route

R 1 есть стандартный ISPI (198.51.100.2).

(фрагмент) подтверждает, что теперь у маршру­

маршрут со следующим транзитным маршрутизатором

Чтобы использовать этот маршрут, маршрутизатор RI должен анонсировать стан­ IGP, как описано в главах 8 (для OSPF) и 10 (для

дартный маршрут по протоколу

EIGRP). Например, на данном предприятии настроен протокол OSPF, на маршрути­ Rl достаточно ввести команду defaul t-information originate в режиме конфигураuии OSPF.

заторе

404

Часть 11. Протоколы маршрутизации 1Pv4

Обзор Резюме

• •

Протокол

BGP предпочитает маршруты

с кратчайшим атрибутом

зи между предприятием и одним провайдером

•

AS_Path.

Термин одиночный описывает проект стороны Интернета с одним каналом свя­

ISP.

Для предприятий характерно использовать частную IР-адресацию во внутрен­ них сетях и использовать NAT для преобразования трафика, которому требу­ ется доступ к Интернету, при нескольких дополнительных адресах, используе­

BG Р

мых для серверов, доступных извне. Протокол

•

используется для анонси­

ISP.

рования открытого адреса предприятия его

Провайдеры служб Интернета могут анонсировать стандартный маршрут, ис­ eBG Р, а предприятие анонсирует его в своей сети, используя

пользуя протокол

IG Р. Протокол BGP

протокол

•

neighbor

позволяет

предопределить

соседей,

используя

команду

iр-адрес

сы, используя

remote-as asn, а также анонсирует и получает префик­ команду network, перераспределение и получение префиксов

от своего соседа.

•

Команда

router

Каждая команда

bgp asn задает номер ASN локального маршрутизатора. neighbor iр-адрес партнера remote-as asn задает IР-

адрес соседа и номер

•

ASN.

-

Команды show tcp brief и show ip bgp summary применяются для про­ верки состояния соседей eBGP и ТСР. Последняя может также вывести коли­ чество полученных префиксов.

•

Когда используется команда

network префикс mask маска, протокол BG Р

будет искать точное соответствие в таблице маршрутизации. Соответствующая

запись таблицы

BG Р создается только при

нахождении полного совпадения.

Контрольные вопросы 1.

Какой из следующих проектов сторон Интернета подразумевает соединение с двумя провайдерами служб Интернета? (Выберите два ответа.)

А) Одиночный. Б) Одиночный многоадресный. В) Двойной.

Г) Двойной многоадресный.

2.

Что из следующего верно для протокола

eBG Р,

но не для протокола

А) Объединяет маршрутизаторы с тем же номером

ASN.

Б) Использует ТСР. В) Обеспечивает обмен маршрутами между Г) Ни один из ответов неправильный.

ISP

и предприятием.

iBG Р?

Глава

3.

12.

Реализация протокола

External BGP

405

Рассмотрим маршруты, анонсируемые по типичному одноканальному соеди­ нению стороны Интернета, использующему протокол

eBGP.

Какие из следу­

ющих ответов описывают маршрут, обычно анонсируемый протоколом

n данном

eBGP

случае? (Выберите два ответа.)

А) Стандартный маршрут, анонсируемый предприятием для

ISP.

Б) Маршрут для открытого JР~4-адреса предприятия, блокируемый В) Маршрут для частного

1Рv4-адреса

предприятия, блокируемый

Г) Стандартный маршрут, анонсируемый

4.

Маршрутизаторы

RI

и

R2

ISP для

ISP. JSP.

предприятия.

в той же подсети но с разными номерами ASN сое­ WAN. Если для опре­

диняются непосредствен но друг с другом по каналу связи

eBG Р

деления соседей

1Р-адреса, BGP neighbor потребуется на маршрутизаторе партнера eBG Р на маршрутизаторе R2?

на том же общем канале связи использовать

то сколько отдельных команд

RI

для обеспечения работы

А)

1.

Б)

2. 3. 4.

В) Г)

5.

(R 1)

У маршрутизатора предприятия

eBGP

с маршрутизатором

ную настройку

RI.

тизаторе

Оба маршрутизатора используют стандарт­

no auto-summary.

Рассмотрите следующий вывод на маршру­

Какие из следующих ответов (на основании этого вывода), будучи

добавленными в конфигурацию затор

RI

есть рабочие партнерские отношения

ISP R2.

анонсировать маршрут

BG Р маршрутизатора R 1, заставят маршрути­ BGP маршрутизатору R2?

Rl# show ip route 200.1.1.0 255.255.255.0 longer-prefixes 200.1.1.0/24 is variaЫy subnetted, 3 subnets, 3 masks С 200.1.1.0/27 is directly connected, Loopbackl L 200.1.1.1/32 is directly connected, Loopbackl О 200.1.1.32/28 [110/2] via 10.1.1.1, 03:11:00, GigaЬitEthernet0/2 А)

network 200.1.1.0 mask 255.255.255.0.

Б)

network 200. 1. 1. О.

В)

network 200.1.1.0 mask 255.255.255.240.

Г) Ни один из ответов не заставит маршрутизатор маршрутизатору

6.

RI

анонсировать маршрут

R2.

Рассмотрите вывод команды

show

на маршрутизаторе

R 1.

Какие из следующих

утверждений истинны на основании этого вывода? (Выберите два ответа.)

Rl# show ip bgp summary BGP router identifier 2.2.2.2, local AS number 101 BGP tаЫе version is 1, main routing tаЫе version 1 Neighbor V AS MsgRcvd MsgSent TЫVer InQ OutQ Up/Down State/PfxRcd 1.1.1.1 4 201 2 2 1 о о 00:00:37 1 А) Сосед

1.1.1.1

является партнером

Б) Необходимое

BGP соединение ТСР на настоящий момент не работает. R 1 послал один префикс соседу 1.1.1.1. маршрутизаторе RI настроена команда neighbor 1.1.1. 1 remote-

В) Маршрутизатор Г) На

eBG Р.

as 201.

Часть

406

11. Протоколы маршрутизации 1Pv4

Обзор главы Обзор материала этой главы осуществлнется с использованием инструментов кни­ ги, образа

DVD

или интерактивных инструментовмя того же материала на веб-сайте

книги. Ключевые элементы и их местоположение приведены в табл.

12.2.

Чтобы луч­

ше проследить свой прогресс в обу,1ении, запишите во втором столбuе дату заверше­ ния этих действий.

Таблица

12.2.

Процесс изучения главы

Элемент обзора

Дата

Используемый ресурс

Ключевые темы

Книга, образ DVD/веб-сайт

Ключевые термины

Книга, образ DVD/веб-сайт

Контрольные вопросы

Кн11га, РСРТ

Лабораторные работы

Блог

Таблиuы команд

Кн11га

Ключевые темы Повторите все ключевые темы данной главы, отмеченные пиктограммой" Ключевая

..

тема". Ключевые темы и соответствующие им страниuы приведены в табл.

..

• ·;

Таблица

Р11с.

12.3. Ключевые темы Страница

Описание

Элемент

12.3

12.3.

Номера

ASN 11 самый короткий атрибут AS_Path ISP3 пути к префиксу 192.0.2.0/24

3Н5

при выборе

провайдером

Рис.

12.4

Одноканальный проект: од11н канал связи, од11н провайдер

Рис.

12.7

Открытые

11

провайдеру

Рис.

Провайдер

12.9

частные преф11ксы

1Рv4-адресов,

/SP

анонсируемые

3Н6 3НН

ISP ISP анонсирует стандартный

маршрут, а протокол

IG Р

3Н9

распространяет его

eBGP

Сп11сок

Основы конфигураuии протокола

Р11с.

Проект пр11мера настройк11 соседей

12.12

Пример Р11с.

12.2

12.14

Состояния соседей

eBG Р

eBGP

и соед11ненин ТСР

Конuепuия конфигураuии: команда

BGP network

390 392 393 396

Ключевые термины Протокол граничного шлюза

(Border Gateway Protocol - BGP), автономная си­ (Autonomous System - AS), номер автономной системы (Autonomous System Number - ASN), внутренний BGP (internal BGP - iBGP), внешний BGP (external BGP- eBGP), одиночный (single homed), сторона Интернета (lпternet edge), таблиuа BGP (BGP tаЬ\е), партнер BGP (BGP peer), маршрут аннулирования (discard route)

стема

Глава

12.

Реализация протокола

External BGP

407

Таблицы команд В табл. 12.4 и 12.5 приведены команды конфигурации и проверки, используемые в этой главе. Рассматривайте их как простое упражнение. Закройте левый столбец та­

блицы, прочитайте правый столбец и попытайтесь вспомнить команду. Затем повто­ рите это упражнение, закрыв правый столбец и попытавшись вспомнить, что делает команда.

Таблица

12.4.

Команды конфигурации

Команда

Описание

neighbor iр-адрес remote-as asn

Определяет соседа

[no] neighbor shutdown

Административно отключает или включает партнера

BG Р

и его номер автономной системы

BGP

iр-адрес

network префикс [mask маска]

Указывает процессу

BGP добавить запись таблицы BGP

для префикса/маски, если префикс/маска существует в таблице маршрутизации IP

ip route префикс nullO

Определяет маршрут аннулирования, чтобы передаваемые

маска

маршрутизатором пакеты с использованием этого маршрута были отброшены

Таблица

12.5.

Пользовательские команды

Команда

Описание

show ip bgp

Отображает таблицу

show ip bgp summary

Отображает базовую конфигурацию локального маршрутизатора и по одной строке информации о конфигурации и состоянии каждого партнера BGP

show tcp summary

BG Р

Выводит строку информации о каждом соединении ТСР, завершающемся на маршрутизаторе

show ip route префикс longer-prefixes

маска

Выводит набор маршрутов

1Р

по одной строке для каждого

маршрута, существующего в пределах диапазона адресов,

определенного префиксом и маской

Ответы на контрольные вопросы

1-

Б, Г.

2-

В.

3-

Б, Г.

4-

А.

5-

Г.

6-

А, Г.

408

Часть

11. Протоколы маршрутизации 1Pv4

Обзор части

11

Проследите свой прогресс в изучении материала части по контрольному списку в следующей таблице. Подробно задачи описаны ниже.

Контрольный список обзора части

11

Задача

Первая дата

Вторая дата

завершения

завершения

Повторите вопросы из обзоров глав

Ответьте на вопросы обзора части Повторите ключевые темы

Создайте диаграммы связей Выполните лабораторные работы

Повторите вопросы из обзоров глав Ответьте снова на вопросы обзоров глав этой части книги, используя программ­ ное обеспечение РСРТ.

Ответьте на вопросы обзора части Ответьте на вопросы обзора этой части, используя программное обеспечение РСРТ. Инструкция по запуску программного обеспечения РСРТ с вопросами обзо­ ров только этой части приведена в разделе "Как просмотреть вопросы обзоров час­ тей" введения к книге.

Повторите ключевые темы Снова просмотрите темы прочитанных глав, отмеченные пиктограммой" Ключевая тема". Если понятны не все их подробности, уделите время повторному изучению.

Создайте диаграмму связей первопричин Глава

11

OSPF

и

EIGRP

посвящена проблемам работоспособности открытого протокола поиска

первого кратчайшего маршрута внутреннего шлюза

(EIGRP)

(OSPF)

и расширенного протокола маршрутизации

в контексте интерфейсов и соседских отношений. Дття

данной диаграммы связей постарайтесь вспомнить все обсуждаемые в этой части

книги элементы, способные отказать и вызвать проблемы, препятствующие работе протокола маршрутизации в объединенных сетях

1Pv4. Другими

словами, подумайте

о первопричинах, а затем организуйте их в диаграмму связей.

Организуя диаграммы связей, начинайте с того, что приходит на ум. Затем, заме­ тив несколько взаимосвязанных первопричин, сгруппируйте их по любым категори­

ям, которые приходят на ум. Нет никакого правильного или неправильного способа организации по первопричинам.

Глава

12. Реализация протокола External BGP

Создайте диаграмму связей команд В части и

BG Р.

11

OSPF, EIGRP

также обсуждаются настройка и проверка протоколов

и

409

BGP

OSPF, EIG RP

Создайте диаграмму связей команд, как и во многих других обзорах частей.

Первый уровень организации должен быть посвящен протоколам OSPF, EIGRP BG Р, а также их настройке и проверке. В части проверки организуйте команды, по­

и

добно организации в главе

10,

в которой команды сгруппированы по интерфейсам,

соседским отношениям, топологии и маршрутам.

Ответы приведены в приложении Д

(Appendix

Е) на

DVD,

но ваши диаграммы

связей могут выглядеть иначе. Создайте диаграммы связей из приведенной ниже та­

блицы на бумаге или используя любое графическое программное обеспечение. Если

используется программное обеспечение, имеет смысл сохранить результат в файл для последующего анализа. Ниже приведен список диаграмм связей для этой части и место сохранения их файлов. Диаграммы связей обзора части

11 Где сохранен результат

Диаrрамма

Описание

1

Диаграмма связей первопричин

2

Диаграмма связей команд

OSPF

и

OSPF, EIGRP

E/GRP и

BGP

Выполните лабораторные работы Это первая часть книги с командами коммутатора. Если вы еше не выбрали ин­ струментальные средства для проведения лабораторных работ и экспериментов с ко­

мандами в этих главах, самое время сделать это. Воспроизведите примеры в главах и опробуйте все команды

show;

команды

show

очень важны при поиске ответов

на вопросы.

•

Эмулятор

Pearson CCNA содержит - по протоко­ лам маршрутизации. Обратите внимание, что для лабораторных работ по eBG Р потребуется эмулятор для экзаменов CCNA 200-125, а у прежнего эмулято­ ра CCNA 200-120 есть множество лабораторных работ по протоколам OSPF и EIGRP. Pearson Network.

Полная версия эмулятора

множество лабораторных работ по разным темам, в частности

•

Config Labs. На досуге просмотрите и повторите лабораторные работы Config Labs для этой части книги на блоге автора; начините с http: / /Ыоg. certskills. com/ ccna и перейдите на Hands-On > Config Lab.

Мир сетей предлагает большое разнообразие опuий глобальных сетей В части 111 этой книги (в главе 13) рассматривается одна из тради­ uионно доступных опuий с разделением идеи последовательного канала

(WAN).

и протоколов, контролирующих эти каналы связи. Далее глава к более общим технологиям современных частных сетей

к

Metro Ethernet

и М

PLS.

Часть

111

завершается главой

15,

WAN,

14

переходит

а именно

можность использования компанией Интернета для создания частных а также использование технологий виртуальной частной сети ве

15

-

исследующей воз­

(VPN).

WAN, В гла­

несколько глубже рассматриваются реализаuии с двумя протоколами,

обеспечивающими

YPN

через Интернет, а именно

- GRE

и РРРоЕ.

Часть

111.

Глобальные сети

Глава

13. Реализация двухточечных сетей WAN

Глава

14. Частные глобальные сети с Ethernet и MPLS

Глава

15.

Частные глобальные сети с

Обзор части

111

VPN

через Интернет

ГЛАВА

13

Реализация двухточечных

сетейWАN Выделенные линии

WAN

требуют намного меньшего умственного напряжения,

чем многие другие темы, по крайней мере на глубину, требуемую мя экзаменов

CCENT

и

CCNA R&S.

Эта простота позволяет вынести на экзамен

Cisco ICNDI

лишь краткое обсуждение выделенных линий, причем лишь в контексте обсуждения

большей темы маршрутизаuии

1Р.

И наконеu, в данной главе выделенные линии

WAN

рассматриваются значитель­

но глубже, чем до сих пор. Здесь кратко повторяются конuепuии выделенной линии из книги по

ICNDI,

чтобы заложить фундамент для изучения других конuепuий.

Однако важнее всего то, что эта глава рассматривает этапы настройки, проверки по­ иска и устранения неисправностей выделенных линий, использующих уже знакомый

читателю протокол канала передачи данных HDLC (высокоуровневый протокол управления каналом) и протокол двухточечного соединения (РРР). Материал главы разделен на три главных раздела. Первый посвящен выделенным линиям WAN, использующим протокол HDLC, дополнительным подробностям о са­ мих физических каналах связи, а также настройке протокола тексте). Второй главный раздел обсуждает протокол РРР

-

HDLC

(в данном кон­

дополнительный протокол

канала передачи данных, который вы можете использовать вместо

HDLC.

Основное

внимание уделяется конuепuиим и настройке. Заключительный главный раздел обсу­ ждает типичные первопричины проблем последовательного канала и их поиск.

В этой главе рассматриваются следующие экзаменационные темы

3.0.

Технологии

3.1.

WAN

Настройка и проверка протоколов РРР и

MLPPP

с использованием локальной аутентификации

на интерфейсах

WAN

Глава 13. Реализация двухточечных сетей WAN

413

Основные темы Протокол

HDLC в сети WAN на базе выделенных линий

Физическая

выделенная линия

WAN

работает,

как

перекрещенный

кабель

Ethernet, соединяющий два маршрутизатора, но без ограничений по дистанции. Как показано на рис. 13.1, каждый маршрутизатор способен осущестnлять передачу n лю­ бое время (дуплексная передача). Скорость также симметрична, т.е. оба маршрутиза­ тора передают биты с одной и той же скоростью. Х битов в секунду

·------····-)>-

0 ". --Я#$%#$@ ------- -- -- ---- -

Fred (Аутентифицирующий)

Вагпеу (Аутентифицируемый)

®--------------------> Принято Рис.

И рис.

13.13,

13.14.

//роцесс обмена сообщениями при аутентификации С//ЛР

и рис.

13.14

демонстрируют последовательности успешной аутен­

тификации. При неудаче (например, при неподходящем пароле) передается другое заключительное сообщение. Кроме того, при неудаче аутентификации протокол РРР оставляет интерфейс в состоянии

up/down,

и маршрутизатор больше не может пере­

давать и получать фреймы через него. Протокол РАР менее защищен, чем протокол СНАР, поскольку передает имя хоста и пароль в открытом текстовом сообщении. Их можно легко прочитать, если некто подключит к каналу связи инструмент трассировки. Вместо этого протокол

СНАР использует односторонний алгоритм хеширования

MD5 (Message Digest 5),

получающий пароль, никогда не лередающийсн по каналу связи, а также совместно исnолЬJуемое случайное число.

Кроме того, протокол СНАР использует хешированное значение только один раз, чтобы злоумышленник не мог просто скопировать его и послать позднее. Для этого вызов СНАР (первое сообщение) сообщает случайное число. Вызываемый маршру­ тизатор запускает алгоритм хеширования, используя полученное случайное число и секретный пароль, а результат отсылает назад, на пославший вызов маршрутиза­

тор. Последний запускает тот же алгоритм, ислоль3уя случайное число (посланное им

no

каналу связи) и пароль (хранящийся локально); если результаты совладают, то

пароль принимается. Впоследствии, при следующей аутентификации, аутентифиuи­ рующий маршрутизатор создаст и ислолЬJует другое случайное число.

Протоколы РАР и СНАР

-

это лишь некоторые из протоколов управления ка­

налом РРР. В следующем разделе рассматриваютсн настройка и проверка протокола РРР.

Реализация протокола РРР По сравнению с протоколом Н DLC, настройка протокола РРР требует только од­ ного изменения: применения команды

encapsulation

ррр на обоих концах канала

связи. Как и у протокола Н DLC, здесь можно дополнительно задать и другие элемен­ ты, такие как ширина полосы пропускания интерфейса

(bandwidth) и описание ин­ (description). Кроме того, интерфейс, безусловно, следует включить (no shutdown). Перевод конфигурации с протокола HDLC на РРР требует лишь коман­ ды encapstllation ррр на последовательных интерфейсах обоих маршрутизаторов. терфейса

428

Часть

В примере

111. Глобальные сети приведена базовая конфигурация, использующая два маршрути­

13.4

затора, представленных на рис. протокола Н

DLC.

13.11,

и ту же объединенную сеть, что и для примера

Пример включает настройку

1Р-адресов,

но для работы протокола

РРР это необязательно. Пример

!

13.4.

Базовая настройка протокола РРР

Пример начинается

на маршрутизаторе

Rl

iпterface

Serial0/0/0 ip address 192.168.2.1 255.255.255.0

eпcapsulatioп ррр

clockrate 2000000 !----------------------------------------------------------------------! Далее следует настройка на маршрутизаторе R2

Serial0/0/1 ip address 192.168.2.2 255.255.255.0

iпterface

eпcapsulatioп ррр

Команда

show interfaces в примере 13.5 выводит подробности протокола РРР RI. Вывод выглядит точно так, как и для протокола Н D LC, вплоть

на маршрутизаторе

до первой выделенной строки. Две выделенные строки подтверждают конфигурацию

LCP закончил свою работу успеш­ "LCP Open". И наконец вывод демонстрирует тот факт, протокола управления (СР), CDPCP и 1РСР, также были успешно разрешены.

("Encapsulation

РРР"), а также то, что протокол

но, как свидетельствует фраза что оба

Все это подтверждает правильную работу протокола РРР. Пример

13.5.

Выяснение состояния протоколов РРР, с помощью команды

LCP

и

NCP

show interfaces

Rl# show interfaces serial 0/0/0 Serial0/0/0 is up, liпe protocol is up Hardware is WIC MBRD Serial Descriptioп: liпk to R2 Iпterпet address is 192.168.2.1/24 MTU 1500 bytes, BW 1544 Kbit/sec, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulatioп РРР , LCP Ореп Ореп : IPCP , CDPCP , loopback поt set Строки

пропущены для

краткости

Реализация протокола РРР с аутентификацией СНАР В простейшем варианте использования аутентификации СНАР нужно ввести все­ го несколько команд. В конфигурации аутентификации используется пароль, ука­ занный локально на каждом из устройств. Как альтернатива может быть использова­ на служба аутентификации, авторизации и учета

Accounting -

(Authentication, Authorization, and

ААА), в которой все учетные записи задаются на специализированном

сервере, а не маршрутизаторе.

Для настройки протокола РРР с аутентификацией СНАР на интерфейсе при всех стандартных настройках на последовательных интерфейсах обоих маршрутизаторов необходимо пройти следующие этапы.

Глава

13. Реализация двухточечных сетей WAN

429

Список команд для настройки аутентификации СНАР

• Этап

1

Используйте на последовательных интерфейсах обоих маршрутизаторов команду

ррр в режиме конфигурации интерфейса, чтобы

encapsulation

разрешить протокол РРР на интерфейсах

Этап

2

Определите имена пользователей и пароли, используемые этими двумя маршрутизаторами.

А. Используйте команду

hostname

имя в режиме глобальной конфигурации

на каждом маршрутизаторе, чтобы определить имя локального

маршрутизатора, используемого при аутентификации.

В. Используйте команду

username

имя

password

пароль в глобальном

режиме конфигурации на каждом маршрутизаторе, чтобы определить имя (с учетом регистра), используемое соседним маршрутизатором, и соответствующий пароль (с учетом регистра). (Имя в команде

username должно соответствовать

имени в команде

hostname

соседнего

маршрутизатора)

Этап

3

Используйте команду ррр

authentication chap

в режиме конфигурации

интерфейса на каждом маршрутизаторе, чтобы разрешить аутентификацию

СНАР на каждом интерфейсе На рис.

13.15

показана конфигурация на маршрутизаторах

R1

и

R2,

разрешаю­

щая протоколы РРР и СНАР на канале связи. Рисунок демонстрирует, что имя в ко­ манде

hostname на одном маршрутизаторе должно соответствовать имени в команде username на другом маршрутизаторе. Кроме того, здесь показано, что пароли (в дан­ ном случае - mypass}, определенные в каждой команде username, также должны совладать.

hostname R1

ho,toame R2)

username R2 password mypass

username R1 password mypass

interface serial 0/ 0/ 0 ip address 192.168.2.1 255.255 .255.0 encapsulation ррр ррр authentication chap

interface serial 0/ 0/ 1 ip address 192.168.2.2 255 .255.255 .0 encapsulation ррр ррр authentication chap

Маршрутизатор

R1

Маршрутизатор Рис.

13.15.

R2

Конфuсурацuя С//АР

Вы можете подтвердить успешность аутентификации СНАР несколькими спо­ собами. Если аутентификация СНАР разрешена но безуспешна, состоянием прото­ кола на интерфейсе должно быть down. Для проверки этого состояния используют­ ся обычно команды show interfaces [тип номер] и show interfaces status. Кроме того, если аутентификация СНАР разрешена, но безуспешна, команда slюw interf aces не выводит "LCP Open", как показано в этом примере. Пример 13.6 де­ монстрирует вывод команды show interfaces serial0/0/0 на маршрутизаторе Rl

430

Часть

111. Глобальные сети

при разрешенной и рабочей аутентификации СНАР согласно рис.

13.15.

Но обратите

внимание, что эта команда не указывает нам, была ли аутентификация настроена. Пример

13.6.

Подтверждение аутентификации СНАР с помощью команды

show interfaces

Rl# show interfaces serial 0/0/0 Serial0/0/0 is up, Hardware is WIC MBRD Serial Description: link to R2 Internet address is 192.168.2.1/24 MTU 1500 bytes, BW 1544 Kbit/sec, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation РРР, Open: IPCP, CDPCP, loopback not set Keepalive set (10 sec) Строки

пропущены

для

краткости

Rl# show ррр all Interf ace/ID

Stage

LCP+

IPCP+ CDP> LocalT

Peer Address

Peer Name

192.168.2.2

R2

Более очевидный способ подтверждения работоспособности аутентификации СНАР подразумевает использование команды show ррр all, как показано в конце примера 13.6. Эта команда выводит по одной строке для каждого соединения РРР на маршрутизаторе. Выделенный заголовок в примере

-

это столбец, в котором эта

команда выводит различные протоколы РРР и их состояния, где знак "плюс"

( +)

оз­

начает, что данный протокол находится в состоянии OPEN, а знак "минус"(-) сви­ детельствует об отказе протокола. Выделенные части вывода этой команды в приме­

ре подтверждают, что порт Serial 0/0/0 использует протокол РРР с аутентификацией СНАР и что аутентификация СНАР работоспособна (как доказано состоянием OPEN протокола СНАР).

Реализация протокола РРР с аутентификацией РАР Настройка аутентификации РАР отличается от настройки аутентификации СНАР несколькими моментами. В первую очередь, вместо команды ррр

chap аутентификация

РАР использует подобную команду ррр

authentication authentication рар.

Кроме того, настройка передачи пары "имя пользователя/пароль" в РАР осущест­ вляется не так, как в СНАР. Маршрутизатор определяет пару "имя пользователя/па­ роль", которую он передает, используя команду ррр рар sent-username, отдавае­ мую как подкоманда интерфейса. После передачи другой маршрутизатор принимает эту пару и сравнивает полученные значения с таковыми заданными его глобальны­

ми командами

username password.

гурация для двух маршрутизаторов ррр рар

sent-username

На рис.

(RI

и

R2)

13.16

приведена законченная конфи­

с акцентом на соответствие команды

на одном маршрутизаторе командам

на другом маршрутизаторе.

username password

Глава 13. Реализация двухточечных сетей WAN

Команды интерфейса

Глобальные команды

маршрутизатора

маршрутизатора

R1

interface serial 0/0/0 ip address 192.168.2.1 255 . 255.255.О encapsulation ррр ррр authentication рар ррр рар sent-username R1 password pass1

username

А1

Глобальные команды

Команды интерфейса

маршрутизатора

маршрутизатора

В примере

13. 7 теперь

R2

t

password pass1

interface serial 0/ 0/ 1 ip address 192.168.2.2 255.255.255.О encapsulation ррр ррр authentication рар ррр рар sent-username R2 password pass2

username R2 password pass2

R1 Рис.

431

13.16.

R2

Кrтфи1урация РАР

показаны две команды, используемые для проверки рабо­

тоспособности аутентификации РАР. В частности, обратите внимание, что команда

show interfaces

говорит нам не больше и не меньше, чем в случае аутентифика­

ции СНАР. Строка о состоянии протокола вверху подтверждает, что аутентифика­ ция, если настроена, работает. (Однако ничто в выводе команды s!юw

interfaces

не говорит нам, была ли настроена конфигурация СНАР или РАР. Как и в случае СНАР, состояние LCP OPEN также подтверждает, что аутентификация работает, снова с учетом, что она настроена.) Однако, как и в случае использования СНАР или при не использовании аутентификации вообще, эта команда действительно подтверждает, была ли аутентификация настроена, или, если она настроена, какой протокол аутен­ тификации используется. Лучшее подтверждение дает команда

show

ррр

all

внизу

примера, который идентифицирует протокол РАР как настроенный на интерфейсе

Serial 0/0/0,

и в данном случае протокол находится в состоянии OPEN, а это означает,

что аутентификация работает. Пример

13.7.

Настройка и проверка аутентификации РАР

Rl# show interfaces serial 0/0/0 Serial0/0/0 is up, line protocol is up Hardware is WIC MBRD Serial Description: link to R2 Internet address is 192.168.2.1/24 MTU 1500 bytes, BW 1544 Kbit/sec, DLY 20000 usec, reliabili ty 255/255, txload 1/255, rxload 1/255 Encapsulation РРР, LCP Open Open: IPCP, CDPCP, loopback not set Keepalive set (10 sec) ' Строки пропущены для краткости Rl# show ррр all Interface/ID OPEN+ Nego* FailStage Peer Address

Peer Name

Se0/0/0

ciscouser2

LCP+

РАР+

IPCP+ CDPC> LocalT

192.168.2.2

Часть

432

111.

Глобальные сети

И наконец обратите внимание, что интерфейс можно настроить так, чтобы сна­ чала он пытался использовать процесс РАР, но если другая сторона не поддерживает протокол РАР, то он пытается использовать протокол СНАР. Его можно настроить и так, чтобы сначала предпринималась попытка использовать протокол СНАР, а за­ тем

РАР. Достаточно настроить команды поддержки для обоих, а затем добавить

-

команду ррр

authentication рар chap, чтобы первым был протокол authentication chap рар, чтобы первым был протокол СНАР.

РАР, или ррр

Реализация многоканального протокола РРР Сетевые дизайнеры иногда используют между двумя маршрутизаторами мно­ жественные параллельные последовательные каналы, а не одиночный последова­ тельный канал. Это может и должно улучшить доступность, поскольку, если один канал связи откажет, другие будут работать. Возможна и чисто экономическая при­ чина; может быть дешевле установить две или три параллельные линии TI (при­

мерно по

1.5

Мбит/с), а не переходить на следующий более быстрый тип линии ТЗ.

Безотносительно причин получается проект выглядящий, как на рис.

13.17,

со мно­

жеством последовательных каналов между двумя маршрутизаторами.

192.168.1 .0/ 24

192.168.2.1

192.168.9 .0/ 24

192.168.2.2

~1-S0/-0/-0---...._-i___

S-0/-0 / •1

S0/ 1/ 1 192.168.3.1 Рис.

13.17.

S0/ 1/ 0 192.168.3.2

Несколько параллельных последовательных каналов между маршрутизаторами

Если сетевой инженер настраивает параллельные последовательные каналы, как обсуждалось до сих пор, то каждому каналу связи будет присвоен направления пакетов

IP. Для

1Р-адрес для

пере­

этого внутренний протокол маршрутизации должен вы­

полняться на каждом из параллельных каналов связи, а также сформировать сосед­ ские отношениями для каждого канала связи. В результате каждый маршрутизатор изучил бы множественные маршруты к каждой дистанционной подсети назначения, по одному такому маршруту для каждого параллельного канала связи.

Концепция ному

для

наличия

каждого

из

множества

маршрутов с

параллельных

равными

последовательных

метриками,

каналов,

по

од­

представлена

на рис. 13.18. Здесь представлен тот же проект, что и на рис. 13.17, с двумя каналами связи. У маршрутизатора RI есть один маршрут для сети 192.168.9.0/24 по верхнему каналу связи и один по нижнему каналу связи. При использовании расширенного протокола маршрутизации внутреннего шлюза

бы два соседских отношения

EIGRP

(EIGRP)

у маршрутизатора

с маршрутизатором

R2,

RI

было

по одному для каждо­

го канала связи.

Впоследствии логика маршрутизации уровня

3 операционной

системы

Cisco IOS

сбалансирует трафик пакетов, передаваемых через множественные каналы связи, ис­

пользуя маршруты, как показано на рисунке. Стандартно

IOS

осуществляет балан­

сировку на основании адреса получателя. Например, все пакеты к адресу на рис.

13.18

192.168.9.1

могли бы передаваться по верхнему каналу связи, а все пакеты, следую­

щие по адресу

192.168.9.2, -

по нижнему каналу. Операционная система

IOS

может

быть настроена и так, чтобы балансировка осуществлялась для каждого пакета.

Глава 13. Реализация двухточечных сетей WAN

433

192.168.9.0/ 24

Рис.

13.18. Два маршрута 1Рдля

одной сети,

по одному для каждого параллельного последовательного канала

Используя средства уровня

3,

обсуждаемые на последней странице, это работает,

и работает хорошо во многих случаях. Однако протокол РРР предоставляет средство, которое упрощает работу уровня

3

в топологии, использующей множественные па­

раллельные каналы связи РРР; это многоканальный протокол РРР

(MLPPP).

Концепции многоканального протокола РРР Многоканальный протокол РРР

(Multilink

РРР

-

MLPPP)

является средством

протокола РРР, полезным при использовании множественных параллельных по­

следовательных каналов между двумя устройствами. Он обеспечивает две важные возможности. В первую очередь, он снижает сложность уровня

3,

позволяя множе­

ственным последовательным интерфейсам на каждом маршрутизаторе выглядеть, как единый интерфейс, с точки зрения уровня

3.

Вместо множественных подсетей

между маршрутизаторами со множественными соседскими отношениями протокола маршрутизации

и

множественными

маршрутами равного показателя,

изученными

для каждой дистанционной подсети, у маршрутизаторов была бы одна подсеть между маршрутизаторами, соседские отношения протокола маршрутизации и один марш­

рут к подсети получателя. Эти основные идеи для той же физической топологии, что

и на рис. на рис.

13.18, 13.19.

со множественными физическими каналами связи представлены

Многоканальной

Сос еди

Рис.

Протокол

13.19.

MLPPP

Концепции уровня

1

EIGRP

3 для многоканального интерфейса

заставляет множество физических каналов связи работать

как один, используя такой виртуальный интерфейс, как многоканальный интерфейс

(multilink interface). На многоканальный интерфейс устанавливается конфигурация 3 (1 Pv4- и 1Рvб-адреса, а также подкоманды интерфейса протокола маршру­

уровня

тизации). Затем конфигурация ассоциирует физические последовательные интер­ фейсы с многоканальным интерфейсом, соединяя логику уровня множественными каналами связи и с логикой уровня многоканальной интерфейс.

3,

2,

работающую со

воздействующей на единый

Часть

434

111. Глобальные сети

В дополнение к упрощению подробностей уровня ко что, протокол

MLPPP балансирует фреймы,

3,

ственным каналам связи. При использовании протокола ления уровня

3

которые обсуждались толь­

передаваемые на уровне

MLPPP логика

2 по

множе­

перенаправ­

маршрутизатора перенаправляет каждый пакет на многоканальной

интерфейс. Когда операционная система

IOS

внутренне направляет пакет на мно­

гоканальный интерфейс, в дело вступает логика балансировки нагрузки протокола

М LPPP, инкапсулируя пакет в новый фрейм канала связи и осуществляя балансиров­ ку нагрузки по фреймам. Интересно, что протокол

MLPPP

балансирует нагрузку по фреймам канала пе­

редачи данных, фрагментируя фрейм на множество меньших фреймов, по одному на каждый активный канал связи, как показано на рис.

13.20. Этапы 1 и 2 соответ­ IP на этапе 1 и приняти­ о перенаправлении на этапе 2. Однако при интерфейс протокол М LPPP фрагментиру­

ствуют обычной маршрутизации с инкапсуляцией пакета ем маршрутизатором обычного решения поступлении пакета на многоканальный

ет его на части (фрагменты) с заголовком и концевиком РРР вокруг каждого из них с несколькими дополнительными байтами заголовка, чтобы управлять процессом

фрагментации. Получающий маршрутизатор собирает фрагменты в первоначальный пакет (этап

4)

и осуществляет обычную маршрутизацию /Р на этапе

@

CD

~

®

г

IP

::3

13.20.

::3

%

@ Рис.

::3PPPI IP

Фрагме11тация 11а уров11е

::3PPPI IP

5.

IP

~

~

2 при бала11сировке трафика

Процесс балансировки нагрузки протокола М

по 11ескольким ка11алам связи

LPPP допускает

некоторые неболь­

шие вариации в размерах фрагментов, но по большей части маршрутизаторы

Cisco

будут равномерно балансировать биты, посылаемые через активные каналы связи

в многоканальной связке. Например, если три канала связи активны, маршрутизатор передаст по каждому из них примерно по одной трети объема трафика.

Настройка протокола

MLPPP

Реализация протокола

MLPPP

требует более продолжительной настройки, чем

большинство средств, обсуждавшихся в этой книге. Поэтому сначала, чтобы задать контекст, давайте немного подумаем о трех основных требованиях для конфигура­

..

ции протокола

..

• '.'

Этап

MLPPP.

Последовательность настройки протокола MLPPP

1 Настройте соответствующие многоканальные интерфейсы на двух маршрутизаторах, настраивая все подкоманды интерфейса средств уровня 3 IPvб и протокол маршрутизации) при многоканальных интерфейсах

(/Pv4,

(а не последовательных интерфейсах)

Этап

2

Настройте последовательные интерфейсы, используя все команды уровней 1и2, такие как

clock rate

(уровень

1)

и ррр

authentication

(уровень

2)

Глава 13. Реализация двухточечных сетей WAN

Этап

3

435

Настройте некоторые команды РРР и на многоканальных, и на последовательных интерфейсах, а также разрешите протокол

MLPPP

и ассоциируйте многоканальный интерфейс с последовательными интерфейсами На рис.

13.21

MLPPP

все специфические команды

примере. Пример основан на проекте рис. для экономии места на рис.

13.19

и

приведены в практическом

13.20.

Обратите внимание, что

представлена конфигурация только одного из этих

13.21

двух последовательных интерфейсов, но у всех последовательных интерфейсов долж­ ны быть те же подкоманды, когда они используются для протокола Многоканальной (уровня

MLPPP.

Многоканальной (уровня

3)

интерфейс маршрутизатора

3)

интерфейс маршрутизатора

R1

R2

interface multilink 1 - - - - - - - - - - - - interface multilink 1 encapsulation ррр encapsulation ррр ррр multilink ррр multilink ip address 192.168.5.1 255.255.255.0 ip address 192.168.5.2 255.255.255.0 ррр multilink group 1 ррр multilink group 1

interface Serial0/0/0

interface Serial0/0/1

eпcapsulatioп ррр

eпcapsulatioп ррр

ррр multiliпk

ррр multiliпk

по

ip address по ip address ррр multiliпk group 1 4--------1---11~ ррр multilink group 1 ! Здесь будет аутентификация ! Здесь будет аутентификация Интерфейсы уровня маршрутизатора

Интерфейсы уровня

2

маршрутизатора

R1

2

R2

Числа должны быть те же

Рис.

13.21.

Сначала сосредоточьтесь на шести рис.

13.21

Конфи1урация

MLPPP

командах конфигурации, выделенных на

белыми прямоугольниками. Команда

interface mul tilink l

на каж­

дом маршрутизаторе создает многоканальный интерфейс. Сетевой инженер выби­

рает номер интерфейса, это число должно совпадать на обоих маршрутизаторах; в противном случае канал связи не будет работать. Кроме того, у многоканальных интерфейсов и физических последовательных интерфейсов должна быть команда ррр

mul tilink group 1, и все они также должны использовать одинаковое число - 1). Допустимо любое число из диапазона, но оно должно соот­

(в данном примере

ветствовать командам, выделенным на рисунке.

Теперь рассмотрим команды

ip address.

Обратите внимание, что конфигурация

демонстрирует 1Рv4-адреса, настроенные на многоканальных интерфейсах, но на по­ следовательном интерфейсе нет

1Рv4-адреса

ного интерфейса есть конфигурация уровня

вообще. Короче говоря, у многоканаль­

3,

а у последовательных интерфейсов

-

нет. В результате маршрутизация и логика протокола маршрутизации будут работать с многоканальным интерфейсом. И наконец обратите внимание, что у многоканальных и последовательных интер­

фейсов есть две дополнительные команды: протокол РРР) и ррр

multilink

encapsulation

ррр (которая разрешает

(которая добавляет многоканальную поддержку).

436

Часть

111.

Глобальные сети

ВНИМАНИЕ!

На рис. 13.2 1 представлен только один последовательный интерфейс, но в многоканальной группе каждый последовательный интерфейс нуждается в одинаковой конфигурации.

Проверка протокола

MLPPP

Проверка работы интерфейса MLPPP подразумевает рассмотрение средств уров­ 3 отдельно от подробностей уровней 1 и 2. Для уровня 3 все обычные команды 1Pv4, 1Рvб и протокола маршрутизации выведут теперь многоканальный интерфейс,

ня

а не физические последовательные интерфейсы . Для проверки канала связи можно ping с 1Р-адресом на другом конце многоканального соединения. Пример 13.8 демонстрирует несколько команд, позволяющих подтвер­

также использовать команду

дить текущее рабочее состояние канала связи М рации на рис . Пример

LPPP,

взятого из рабочей конфигу­

13.21.

13.8. Проверка

работы уровня

3с

многоканальным интерфейсом

MLPPP

Rl# show ip route 1

С

L С

L С

D

На чало

пропущено

для

краткости

192 .1 68 . 1.0/24 is variaЫy subnetted , 2 subпets, 2 masks 192 .168.1 .0/24 is directly connected, GigabitEthernetO/O 192.168.1.1/32 is directly connected, GigabitEthernet0/0 192 .1 68.5.0/24 is variaЫy subnetted , 3 subnets , 2 masks 192.168.5 . 0/24 is directly connected, Multilinkl 192.168.5 . 1/32 is directly connected , Multilinkl 192.168.5 . 2/32 is directly connected , Multilinkl 192.168.9.0/24 [90/1343488) via 192 .168. 5 . 2, 16 : 02 : 07 , Multilinkl

Rl# show ip eiqrp interfaces EIGRP-IPv4 I nte rfaces f or AS( l ) Xmit Queue PeerQ Interface Peers Un/ReliaЫe Un/ReliaЫe 1 0/0 0/0 Mul 1 0/0 Gi0/0 0/0 Rl# show ip interface brief IP-Address Interface Protocol EmЬedded - Service - Engine0/0 unassigned down 192.168. 1 . 1 GigabitEthernet0/0 unassigned GigabitEthernet0/1 unassigned Serial0/0/0 unassigned Serial0/0/1 down unassigned Serial0/1/0 down unassigned Serial0/1/1 192 . 168 . 5 . 1 Multilinkl

Mean Pacing Time SRTT Un/ReliaЫe 0/8 1 0/0 1

Multicast Pending Flow Timer Routes о 50 о 50

ОК?

Method Status

YES

N VRAМ

administratively down

YES YES YES YES

manual manual manual manual

up up up up up 11р administratively down

YES

NVRAМ

administratively down

YES NVRAМ up up YES manual up up

Глава 13. Реализация двухточечных сетей WAN

437

Просматривая пример сверху вниз, обратите внимание, что в таблице маршрути­

зации

1Pv4 многоканальный интерфейс 1 указан как исходящий интерфейс во мно­

жестве маршрутов. Однако два последовательных интерфейса не выводятся вообще, поскольку у них нет

1Р-адресов

и логика маршрутизации маршрутизатора работает

вместо них с многоканальным интерфейсом. Точно так же команда выводит интерфейсы, на которых разрешен протокол

interfaces

show ip eigrp

EIGRP,

выводя

Mul ( Multilink 1) и не выводя ни один из двух последовательных интерфейсов в связке

MLPPP.

И наконец обратите внимание, что команда

show ip interface brief

вы­

водит и последовательные интерфейсы, и многоканальный интерфейс, однако вывод

подтверждает, что на последовательных интерфейсах не задано никакого о чем свидетельствует пометка

"unassigned"

1Р-адреса,

в столбце IР-адреса.

У каждого многоканального интерфейса есть свое состояние канала и протокола, up/up, то IOS полагает, что

как и у любого другого интерфейса, и если это состояние

многоканальный интерфейс работает. Стандартно это рабочее состояние подразуме­ вает, что по крайней мере один из физических каналов связи в группе М

LPPP

рабо­

тает, т.е. некоторые из физических каналов связи могут отказать, но многоканальный

останется в состоянии

up.

Вы всегда можете непосредственно проверять последова­

тельные интерфейсы в многоканальной группе, используя команды, обсуждавшиеся ранее

мере

(show controllers, show interfaces).

13. 9 дают

Пример

13.9.

Кроме того, эти две команды в при­

некое понятие о специфических особенностях работы М LPPP.

Проверка подробностей группы

MLPPP

Rl# show interfaces multilink 1 Multilinkl is up , line protocol is up Hardware is multilink group interface Internet address is 192.168.5.1/24 MTU 1500 bytes, BW 3088 Kbit/sec, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation РРР, LCP Open, multilink Open Open: IPCP, CDPCP, loopback not set Keepalive set (10 sec) 1

Строки

Rl# show

пропущены для

ррр

краткости

multilink

Multilinkl Bundle name: R2 Remote Username: R2 Remote Endpoint Discriminator: [1] R2 Local Username: Rl Local Endpoint Discriminator: [ 1] Rl Bundle up for 16:50:33, total bandwidth 3088, load 1/255 Receive buffer limit 24000 bytes, frag timeout 1000 ms 0/0 fragments/bytes in reassemЫy list О lost fragments, 96 reordered 0/0 discarded fragments/bytes, О lost received Ох65407 received sequence, Ох65405 sent sequence MemЬer links : 2 active , О inactive (max 255 , min not set) Se0/1/1, since 16 : 50 : 33 Se0/0/0 , since 16 : 23 : 16 No inactive multilink interfaces

Часть

438

111.

Глобальные сети

В первую очередь, обратите внимание: команда

show interfaces multilink 1

выводит множество знакомых подробностей и некоторые из них относятся к много­

канальности. В частности, вывод демонстрирует уже традиционные состояния кана­ ла и протокола, оба в состоянии

up,

а значит, интерфейс работает. В шестой строке

вывода упоминается рабочее состояние

"Open"

в разделе о протоколе РРР, подтверж­

дая работоспособность протокола М LPPP. И наконец вывод команды

show

ррр

multilink

идентифицирует каналы связи,

настроенные на каждой многоканальной связке, а также те, которые из них активны.

В данном случае они активны на интерфейсах

S0/0/0

и

S0/1/1

маршрутизатора

Rl,

как выделено внизу примера. Показания таймера сбоку демонстрируют, что оба были

активны немногим более

16 часов.

Наблюдение этих двух интерфейсов в списке под­

тверждает не только то, что физические интерфейсы работают, но и то, что конфигу­ рация протокола

MLPPP

включает оба этих канала связи в многоканальную группу

1.

Поиск и устранение неисправностей в последовательных каналах Этот заключительный раздел посвящен локализации и поиску первопричин про­

блем, связанных с темами, рассмотренными ранее в этой главе. Кроме того, в данном разделе не повторяются темы, связанные с поиском и устранением неисправностей

1Р, описанные

в части

11

этой книги, но здесь есть описание некоторых из возможных

симптомов на последовательном канале, когда на противоположных концах после­

довательного канала происходит несоответствие подсетей уровня

3,

что препятствует

перенаправлению маршрутизатором пакетов по последовательному каналу.

С помощью простой команды

через

последовательный

192. 168. 2. 2

канал

ping

пакеты

можно установить, можно ли пересылать

IP.

Например,

в схеме сети, представленной на рис.

меров конфигурации Н ла на маршрутизаторе Если команда

13.11

DLC, так и РРР, можно убедиться Rl или подтвердить его отказ.

ping возвращает отрицательный

используя

команду

ping

и применяемой как для при­ в работоспособности кана­

результат, то проблема может быть

связана с уровнями 1 и 2, а также с уровнем 3. Проще все го локализовать наиболее ве­ роятную причину отказа - просмотреть коды состояния интерфейса, которые при­ ведены в табл.

13.4.

Таблица

13.4.

Коды состояния интерфейсов и их значения, если команда

ping возвращает отрицательный

результат

Код состояния канала

Код состояния протокола

Вероятная причина/уровень

Administratively down

Down

Интерфейс выключен

Down

Down

Уровень

1

Up

Down

Уровень

2

Up

Up

Уровень

3

Процесс поиска неисправностей в последовательном канале состоит из трех про­ стых этапов.

Этап

1

С локального маршрутизатора необходимо проверить с помощью команды

ping 1Р-адрес дистанционного устройства

на последовательном канале

Глава 13. Реализация двухточечных сетей WAN

Этап

2

Если команда

ping

439

возвращает отрицательный результат для обоих

маршрутизаторов, скорее всего, проблема связана с нижними уровнями.

Обратитесь к приведенной далее табл.

Этап

Если команда

3

ping

13.4

возвращает положительный результат, проверьте,

обменивается ли протокол маршрутизации маршрутной информацией через данный канал ВНИМАНИЕ!

Коды состояния интерфейсов можно просмотреть с помощью команд

show ip interface brief

и

show interfaces,

show interfaces description.

Ниже подробно рассмотрены ситуации, в которых команда

ping

рицательный результат, и комбинации кодов, представленные в табл.

Поиск и устранение неисправностей уровня

возвращает от­

13.4.

1

Коды состояния интерфейсов, обычно коротко называемые состояниями интер­ фейсов, играют ключевую роль в процессе локализации проблем в последовательных каналах распределенных сетей. На практике коды состояний на разных концах кана­ ла могут различаться, поэтому следует проверять оборудование и интерфейсы с двух сторон, чтобы точнее диагностировать проблему.

Например, последовательный канал отключается при административном отклю­ чении последовательного интерфейса на любом из двух маршрутизаторов с помо­ щью подкоманды интерфейса

shutdown.

Когда один маршрутизатор отключает свой

последовательный интерфейс, другой маршрутизатор переходит в состояние

down

(состояние линии

down,

состояние протокола линии

down),

down/

даже если второй

маршрутизатор тоже не отключен. Для устранения проблемы достаточно настроить

на интерфейсе команду конфигурации Состояние линии

down

no shutdown.

последовательных интерфейсов на обоих концах последо­

вательного канала (т.е. оба конца в состоянии

кую проблему уровня

на рис.

13.22.

1.

down/ down)

обычно указывает на не­

Наиболее известные причины этого состояния приведены

У последовательного интерфейса маршрутизатора

нет вообще, а на рис.

13.22,

R2

никаких проблем

в центре и слева, показаны наиболее распространенные

первопричины, по которым последовательный интерфейс маршрутизатора ходит в состояние

R2

down/ down.

Интерфейс отключен

Линия: Протокол :

Рис.

13.22.

Down Down

//роблемы, приводящие к состоянию down/down на маршрутизаторе

R2

пере­

Часть

440

111.

Глобальные сети

Поиск и устранение неисправностей уровня

2

Проблемы канального уровня на последовательных каналах обычно приводят к состоянию

up/down

последовательного интерфейса по крайней мере одного из

маршрутюаторов. Другими словами, состояние линии (первый код состояния) а второе состояние (состояние протокола линии)

- down.

- up,

Типы этих проблем приве­

13.5.

дены в табл.

~~r.t':'/:'1:1 Таблица

Наиболее вероятные причины неработоспособности

13.5.

канального уровня (уровня Код состояния протокола

Код состояния

2) в последовательных каналах

Наиболее вероятная причина неработоспособности

линии

Up

Down

Up

(стабильно)

На концах канала указаны разные протоколы

на двух концах канала*

с помощью команды

Down

Тестовые пакеты

на одном конце

канала,

Up -

на другом

encapsulation

(keepalive) отключены

на том

конце канала, который находится в рабочем состоянии

Dowп на обоих концах

Up

Аутентификация РАР/СНАР была неудачной

канала

*

В данно\1 случае состояние может изменяться с

up

up/up

на

up/down,

-

затем

снова на

up/

и так далее, в то время как маршрутизатор продолжает предпринимать попытки наладить

работу инкапсуляции.

Первая И3 указанных в табл. ного уровня

13.5

проблем

show interfaces

на разных концах канала

С помощью команды ци11 укюан (в строке

7 вывода

-

несоответствие протоколов каналь­

выявляется и исправляется очень просто.

можно посмотреть, какой тип инкапсуля­

команды) для интерфейса. Апьтернативный вариант

-

просмотреть конфигурацию устройства и выяснить, какая инкапсуляция указана

для интерфейсов. При этом следует помнить, что стандартно в маршрутизаторах

Cisco

исполь3уется инкапсуляция Н

DLC.

Решить проблему просто: следует изменить

в одном из маршрутизаторов инкапсуляцию для интерфейса с помощью команды

encapsulation,

чтобы она совпадала на разных концах канала.

Вторая проблема в интерфейсах последовательных каналов требует более деталь­ ного обсуждения, чтобы понять, каковы ее симптомы и последствия. В следующем разделе эта проблема рассматривается достаточно подробно.

Отказ тестового пакета Тестовые пакеты

(keepalive) позволяют маршрутизатору выяснить, что канал свя­

зи больше не работает. Как только маршрутизатор обнаруживает, что канал связи больше не работает, он может перевести интерфейс в состояние токолу маршрутизации использовать конвергенцию для

down,

позволяя про­

поиска другого маршрута,

если он есть.

Функция тестового пакета на интерфейсе заставляет маршрутизаторы посылать сообщения

keepalive

ставляющий торами

10

один другому через каждый интервал

keepalive,

стандартно со­

секунд. Например, на последовательном канале между маршрутиза­

RI и R2, RI сообщения keepalive передаются каждые 10 секунд, и маршрути­ R2 ожидает получения этих сообщений каждые 10 секунд. Если маршрутизатор R2 не получает сообщение keepalive на протяжении заданного количества интервалов

затор

Глава

keepalive R2

затор

(обычно

3

или

13. Реализация двухточечных сетей WAN

он полагает, что маршрутизатор

5),

изменяет состояние канала связи на

up/ down.

осуществляется в обоих направлениях, маршрутизатор маршрутизатору

R2,

RI

отказал и маршрути­

Передача тестовых пакетов

RI

посылает тестовые пакеты

ожидающему их получения, и маршрутизатор

ет тестовые пакеты маршрутизатору

R 1,

441

R2 также

посыла­

ожидающему их получения.

Рассогласование тестовых пакетов происходит тогда, когда на одном маршрути­ заторе они разрешены, а на другом нет. Это ошибочная комбинация, и она не должна

использоваться. Обратите внимание, что это рассогласование нарушает только кана­ лы связи HDLC; протокол РРР эту проблему предотвращает. На рис. 13.23 приведен пример, когда при протоколе Н

DLC

на маршрутизаторе

по ошибке были отклю­

RI

чены тестовые пакеты.

interface serial 0/ 0/ 0 encapsulation hdlc nokeepalive •

interface serial 0/ 0/ 1 encapsulation hdlc

192.168.2.1 •

S0/ 0/ 0

Линия:

Up Up

Прото кол :

Рис.

13.23.

2

192. 168.2.2~ S0/ 0/ 1. . . Линия :

Протокол :

Причины состояния

Up Down

down/ down на маршрутизаторе R2

Обратите внимание, что интерфейс маршрутизатора, на котором отключены те­ стовые пакеты, может оставаться в состоянии

В случае, приведенном на рис.

13.23,

up/up.

интерфейс маршрутизатора

R2

отключился,

потому что:

•

маршрутизатор

R 1 не

•

маршрутизатор

R2

посылает сообщений

keepalive,

так как они отключены;

все еще ожидает получения сообщений

keepa\ive,

поскольку

они еще включены.

Вы можете проверить параметр

keepalive,

посмотрев конфигурацию или исполь­

зовав команду

show interfaces. Приведенные здесь примеры демонстрируют не­ сколько команд show interfaces, которые выводят текст "Keepali ve set ( 10 second) " (Keepa\ive установлен на 1О секунд), означающий, что тестовые пакеты раз­ решены с 10-секундным интервалом. В данном случае маршрутизатор текст

"Keepali ve not set" (Keepalive

RI

вывел бы

не задан).

Ошибки в аутентификации СНАР и РАР Как упоминалось, неудача аутентификация РАР/СНАР приведет к тому, что коды состояний интерфейсов маршрутизатора в канале будут

13.6 и

и

show

13.7 демонстрируют, ррр

"up" и что вы можете использовать команды

al 1 для дальнейшего

"down". Примеры show interfaces

изучения состояния процесса аутентификации РРР.

Сделав так, вы можете локализовать и выявить первопричину нахождения интерфей­ са в состоянии

up/down,

исключая или ликвидируя первопричины в аутентифика­

ции РРР. Другой, более подробный метод поиска первопричины проблемы аутентифика­ ции РРР подразумевает использование команды

debug

ррр

authentication.

Аутентификация СНАР использует обмен тремя сообщениями, как было пока­ зано на рис.

13.14,

наряду с сообщениями аутентификации, стандартно передающи­

мися в каждом направлении. Если вы разрешаете отладку, отключите канал связи и снова включите, и увидите отладочные сообщения, которые соответствуют этому

Часть

442

111.

Глобальные сети

обмену тремя сообщениями. Если аутентификация терпит неудачу, вы видите сооб­ щение об отказе в точке, в которой процесс потерпел неудачу, что может помочь вам выяснить, что именно следует исправлять.

Пример

13.10 демонстрирует три связанных отладочных сообщения, когда канал up. Интерфейс S0/0/0 маршрутизатора RI подключает­ к маршрутизатору R2. Пример демонстрирует лишь три связанных отла­

связи переходит в состояние ся по сети

дочных сообщения из примерно нескольких дюжин отладочных сообщений; таким

образом, вам придется их искать. Однако наиболее важные части процесса, показан­ ные ранее, на рис.

1.

13.14,

выделены в выводе и означают следующее.

"О" в выводе означает, что этот локальный маршрутизатор, R 1, передал сооб­ щение Challenge. Обратите внимание, что часть "from Rl" в конце отладочно­ го сообщения указывает, от кого оно.

2. "1"

в выводе означает, что этот локальный маршрутизатор, RI, получил сооб­ Response. Обратите внимание на часть "from R2" в конце строки.

щение

3.

"О

FAILURE"

означает, что маршрутизатор

зывая маршрутизатору Пример

Rl# РРР 1

13.10.

R2,

Rl

послал сообщение

Fai\ure,

ука­

что процесс аутентификации потерпел неудачу.

Отладочные сообщения, подтверждающие отказ протокола СНАР

authentication authentication debugging is on

deЬug ррр

Строки

пропущены для

краткости

*Nov 18 23:45:48.820: Se0/0/0 *Nov 18 23:45:48.820: Se0/0/0 *Nov 18 23:45:48.820: Se0/0/0 "Authentication failed" Используя команду

debug,

id 1 len 23 from "Rl" I RESPONSE id 1 len 23 from "R2" О FAILURE id 1 len 25 msg is

СНАР:

О CНALLENGE

СНАР : СНАР:

можно выяснить нечто о проблеме, но она не всегда

указывает на конкретную команду, являющуюся причиной ошибки. В данном слу­

чае тот факт, что оба маршрутизатора посылают по крайней мере одно сообщение

СНАР, свидетельствует, что оба интерфейса маршрутизатора могут посылать фреймы и что они разрешили аутентификацию СНАР. Все выглядит так, как будто маршру­ тизатор

Rl

R2. username,

отклонил хешированный пароль, предоставленный маршрутизатором

Обратите внимание, что этот пример был построен на изменении команды

чтобы получить неправильный пароль, в результате чего процесс аутентификации

СНАР сработает, но окончится неудачей.

Поиск и устранение неисправностей уровня

3

В самом начале главы было сказано, что процесс поиска и устранения неисправ­ ностей в последовательном канале лучше всего начинать с проверки пакетами

1Р-адреса

ping

интерфейса маршрутизатора на другом конце канала. Следует отметить.

что, даже если интерфейс находится в состоянии токол включен), проверка

ping

"up"

и

"up"

(канал включен, про­

все равно может давать отрицательный результат

из-за ошибок в конфигурации уровня

3.

В некоторых случаях проверка

ping может

быть успешной, но протоколы маршрутизации могут не работать. В этом достаточно коротком разделе описаны признаки, которые несколько различаются в протоколах

Н

DLC

и РРР, а также перечислены соответствующие им ошибки. DLC, предполагая, что физический и канальный

Сначала рассмотрим протокол Н

уровни соединения работают корректно. В таком случае у обоих маршрутизаторов

Глава 13. Реализация двухточечных сетей WAN

интерфейсы будут находиться в состоянии

"up"

чен, протокол включен). Тем не менее, если

и

"up"

443

(физический уровень вклю­

1Р-адреса последовательных интерфей­

сов двух маршрутизаторов принадлежат разным подсетям, проверка

ping даст отри­

uательный результат, поскольку у маршрутизаторов нет соответствующих маршрутов.

Например, если в схеме сети на рис. маршрутизатора рутизатора

R2

13.17 1Р-адресом последовательного интерфейса 192.168.2. 1, а для последовательного интерфейса марш­ адрес 192.168.3.2 (вместо 192. 168.2.2) с маской подсети /24,

будет

R1

указать

напрямую подключенные к устройствам подсети будут разными и, соответственно,

разными будут и маршруты. В такой ситуаuии у устройств не будет маршрутов, со­

впадающих с подсетью противоположного конuа канала, и

1Р-адреса

интерфейса.

Найти и исправить ошибку, свнзанную с несовпадающими подсетями в протоко­

ле Н

D LC, относительно просто. Обнаружить проблему можно с помощью провер­ ping 1Р-адреса противоположного конuа канала - она даст отриuательный ре­

ки

зультат. Если оба кода состояния интерфейсов на разных конuах канала показывают рабочее состояние линии и протокола, то проблема, скорее всего, как раз и состоит

в несоответствии

1Р-адресов.

Для каналов связи РРР с рассогласованием в конфигураuии проверка

впадение и

OSPF,

1Р-адреса и маски ping 1Р-адреса другого маршрутизатора фактически проходит. Но несо­ подсетей 1Р предотвращает формирование соседских отношений EIG RP

поэтому имеет смысл следовать правилам и поместить IР-адреса обоих по­

следовательных интерфейсов в одну подсеть. Протокол РРР позволяет сработать команде

ping при несоответствии подсетей за /32 для IР-адреса другого марш­

счет добавления к маршруту хоста длины префикса рутизатора. Пример

13. 11

демонстрирует рабочий канал связи РРР с адресами в раз­

ных подсетях.

ВНИМАНИЕ!

Маршрут с префиксом

Пример

13.11.

/32

называют маршрутом хоста.

Успешная проверка

ping

в соединении РРР,

когда подсети интерфейсов не совпадают

Rl# show ip route 1

Легенда

пропущена

для

краткости

192.168.1.0/24 is variaЫy subnetted, 2 subnets, 2 masks 192.168.1.0/24 is directly connected, GigabitEthernet0/0 192.168.1.1/32 is directly connected, GigabitEthernet0/0 192.168.2.0/24 is variaЫy subnetted, 2 subnets, 2 masks

С

L

L

192.168.2.1/32 is directly connected, Serial0/0/0 192.168.3.0/32 is subnetted, 1 subnets

Rl# ping 192.168.3.2 escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.3.2, timeout is 2 seconds:

Туре

!

!!

! !

Success rate is 100 percent (5/5), round-trip min/avg/max

1/2/4 ms

444

Часть

111. Глобальные сети

По первой выделенной строке в примере можно определить, что в таблице марш­ рутизации устройства есть нормальный маршрут к напрямую подключенной подсети

192.168.2.0/24. С точки зрения маршрутизатора R 1 эта подсеть подключена к интер­ S0/0/0, поскольку в нее попадает его 1Р-адрес 192.168.2.1/24. Во второй выде­

фейсу

ленной строке виден маршрут хоста, созданный протоколом РРР и соответствующий новому IР-адресу последовательного интерфейса маршрутизатора

У маршрутизатора

R2

будет похожий маршрут,

192.168.2.1/32,

R2 (192.168.3.2).

к противоположному

концу канала. Следовательно, у обоих устройств будут маршруты, которые они могут использовать для пересылки пакетов

IP

на другой конец канала, даже при том что

адрес другого маршрутизатора находится в другой подсети. Поэтому команда

ping

будет возвращать положительный результат, несмотря на то что маршрутизаторы на­ строены неправильно.

В табл.

13.6

приведено сравнение протоколов Н DLC и РРР в последовательных

каналах, когда IР-адреса интерфейсов относятся к разным подсетям (предполагает­ ся, что других ошибок нет).

Таблица

13.6.

Признаки, связанные с несовпадаюш.ими подсетями на разных концах последовательного канала

Признак Проверка

ping

противоположного конца канала дает положительный

HDLC

РРР

Нет

Да

Нет

Нет

результат

Протоколы маршрутизации могут обмениваться маршрутной

информацией через канал

Глава

13. Реализация двухточечных сетей WAN

445

Обзор Резюме

DSO подразумевает скорость передачи 64 Кбит/с. Усеченный Т\ обеспе­ 64 Кбит/с (до 24Х). DSI (Т\) обеспечивает скорость пе­ редачи 1,544 Мбит/с (24 DSO +служебный канал). Е\ обеспечивает скорость передачи 2,048 Мбит/с (З2 DSO). Усеченный ТЗ обеспечивает кратность по 1,5З6 Мбит/с (плюс служебный канал TI ). DSЗ (ТЗ) обеспечивает скорость пе­ редачи 44,7З6 Мбит/с (28 DS 1 плюс служебный канал). ЕЗ обеспечивает при­ мерно З4 Мбит/с ( 16 Е 1 плюс служебный канал). • Модуль CSU располагается между выделенной линией телефонной компании •

Канал

чивает кратность по

и маршрутизатором. С одной стороны, он подключен к линии телефонной компании и понимает все детали канальной системы Т. С другой стороны, он подключен к маршрутизатору, выполняя роль устройства правило, модуль

CSU/DSU

DTE

или

DCE.

Как

действует, как устройство ОСЕ, и контролирует

скорость последовательного интерфейса маршрутизатора.

•

Протокол РРР поддерживает несколько важных функций для выделенной ли­ нии, включая определение заголовка и концевика, что обеспечивает передачу

фрейма данных по каналу связи, поддержку синхронных и асинхронных кана­

лов связи, поле типа протокола, встроенные средства аутентификации и про­ токолы управления для каждого протокола более высокого уровня.

•

Протокол РРР разделяет протоколы управления на две основные категории: (LCP) и протокол управления сетью (NCP).

протокол управления каналом

• • •

Протокол РРР определяет два протокола аутентификации: РАР и СНАР. Протокол РАР передает пароль в виде открытого текста.

Протокол СНАР защищен намного лучше, чем протокол РАР; он использует другие сообщения и скрывает пароль.

•

Протокол СНАР использует заранее заданные команды для определения

имени

пользователя

и

пароля,

hostname

и

username

которыми обмениваются

маршрутизаторы между собой.

•

Для разрешения аутентификации СНАР используется командаррр

authenti-

cation chap.

•

Для определения передаваемой пары "'имя пользователя/пароль" конфигура­ ция РАР использует команду ррр

рар

sent-username.

Эта пара будет срав­

ниваться с парой, настроенной на дистанционном устройстве с помощью ко­

username.

манды

8

Для разрешения аутентификации РАР используется командаррр

tion

•

authentica-

рар.

Есть три

MLPPP.

основных требования

для

настройки

конфигурации

протокола

Номера интерфейсов на обоих маршрутизаторах должны совпадать.

На обоих маршрутизаторах должны быть настроены все средства уровня З, а на последовательных интерфейсах должны быть настроены все команды уров­ ней

1 и 2.

Наконец и на многоканальных интерфейсах, и на последовательных

446

Часть

111. Глобальные сети

интерфейсах должны быть настроены команды, разрешающие протокол РРР и ассоциирующие интерфейсы с протоколом MLPPP.

•

У маршрутизаторов

multilink

должны совпадать три серии команд: interface multilink group число на многоканальном интер­ multilink group число на последовательных интерфейсах.

MLPPP

число, ррр

фейсе и ррр

Число должно совпадать во всех командах и на всех устройствах.

•

На всех интерфейсах

MLPPP

настроить команды ррр

(многоканальных и последовательных) следует

multilink

и

encapsulation

ррр.

Контрольные вопросы

1.

Что из следующего обычно подключается к четырехжильному кабелю выде­

ленной линии, предоставляемой телефонной компанией? А) Последовательный

интерфейс маршрутизатора без

внутреннего модуля

CSU/DSU. Б) Модуль

CSU/DSU.

В) Последовательный интерфейс маршрутизатора с внутренним трансивером (traпsceiver).

Г) Последовательный интерфейс коммутатора.

2.

Два маршрутизатора соединены последовательным каналом, каждый исполь­

зует свой интерфейс

S0/0/0.

В настоящее время канал связи работает, исполь­

зуя протокол РРР. Сетевой инженер хочет перейти на использование собствен­

ного протокола

HDLC

компании

Cisco,

включающего поле типа протокола.

Какие из следующих команд применяются для успешного перехода на прото­

кол НО LC? (Выберите два ответа.)

3.

А)

encapsulation hdlc.

Б)

encapsulation cisco-hdlc.

В)

no encapsulation

Г)

encapsulation-type auto.

ррр.

В каком из методов аутентификации протокола РРР пароль не передается в виде открытого текста? А)

MD5.

Б) РАР. В) СНАР. Г)

4.

DES.

Есть два маршрутизатора без какой-либо конфигурации. Они соединены меж­ ду собой в лабораторной сети, при этом кабель

DTE

подключен к маршрути­

затору Rl, а кабель ОСЕ - к маршрутизатору R2. Сетевой инженер хочет уста­ новить соединение РРР между устройствами. Какие из команд нужно ввести в маршрутизаторе

R 1,

чтобы устройства могли обмениваться пакетами piпg,

если на физическом уровне лабораторное подключение работает правильно? (Выберите два ответа.)

Глава

А)

5.

encapsulation

13.

Реализация двухточечных сетей

WAN

447

ррр.

Б)

no encapsulation hdlc.

В)

clock rate.

Г)

ip address.

В результате выполнения некоторой команды группы

show была получена сле­

дующая информация.

SerialO/O/l is up, line protocol is up Hardware is GT96K Serial Internet address is 192.168.2.1/24 MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation РРР, LCP Open Open: CDPCP, IPCP, loopback not set Что из перечисленного ниже справедливо для интерфейса

S0/0/1?

(Выберите

два ответа.) А) На интерфейсе используется инкапсуляция

HDLC.

Б) На интерфейсе используется инкапсуляция РРР. В) В настоящий момент через интерфейс не может быть передан трафик про­ токола

\Pv4.

Г) Через данный канал в настоящий момент могут передаваться фреймы про­ токола РРР.

6.

Два маршрутизатора,

R 1 и R2,

соединяются между собой тремя последователь­

ными каналами. Сетевой инженер настраивает эти каналы связи так, чтобы

они были частью одной многоканальной группы РРР, а также настраивает конфигурации СНАР, \Pv4 и OSPFv2, исполь.зуя конфигурацию интерфейса. Какие из следующих ответов содержат команду конфигурации наряду с пра­ вильным режимом конфигурации для этой команды? (Выберите два ответа). А) Команда

ррр в режиме конфигурации многоканального

encapsulation

интерфейса. Б) Команда

ip address

адрес

маска в режиме конфигурации последова­

тельного интерфейса. В) Команда ррр

authentication chap

в режиме конфигурации многока­

нального интерфейса. Г) Команда

ip ospf 1 area

О в режиме конфигурации последовательного

интерфейса. Д) Команда ррр

mul tilink

в режиме конфигурации последовательного ин­

терфейса.

7.

В результате выполнения команды

show interfaces

была получена следую­

щая информация для интерфейса, в котором настроен протокол РРР.

Serial0/0/1 is up, line protocol is down Hardware is GT96K Serial Internet address is 192.168.2.1/24

448

Часть

111. Глобальные сети

Поверка противоположного конца канала с помощью команды

ping

дает от­

рицательный результат. Каковы причины неработоспособности соединения, если предположить, что проблемы могут быть связаны только непосредствен­

но с каналом? (Выберите два ответа.) А) Модуль

CSU/DSU,

подключенный к маршрутизатору на другом конце ка­

нала, выключен.

Б)

1Р-адрес,

заданный на интерфейсе маршрутизатора на другом конце кана­

ла, не принадлежит подсети

192.168.2.0/24.

В) Аутентификация СНАР была неудачной. Г) На интерфейсе маршрутизатора, расположенного на другом конце канала, настроена инкапсуляция

HDLC.

Д) Все ответы не верны.

Обзор главы Обзор этой главы осуществляется с использованием инструментов книги, образа

DVD

или интерактивных инструментов для того же материала на веб-сайте книги.

Ключевые элементы и их местоположение приведены в табл.

13.7.

Чтобы лучше про­

следить свой прогресс в обучении, запишите во втором столбце дату завершения этих действий.

Таблица

13. 7.

Процесс изучения главы

Элемент обзора

Дата

Используемый ресурс

Ключевые темы

Книга, образ DVD/веб-сайт

Ключевые термины

Книга, образ DVD/веб-сайт

Контрольные вопросы

Книга, РСРТ

Лабораторные работы

Блог

Таблицы дпя запоминания

Книга, образ DVD/веб-сайт

Списки конфигурации

Книга, образ DVD/веб-сайт

Таблицы команд

Книга

Ключевые темы Повторите все ключевые темы данной главы, отмеченные пиктограммой "Ключевая тема". Ключевые темы и соответствующие им страницы приведены в табл.

Элемент

Описание

Табл.

Скорости каналов связи сетей

Рис.

13.2 13.7

Роли устройств

13.8.

Страница

DCE

и

417

WAN

DTE дпя

модуля

CSU/DSU,

последовательного интерфейса маршрутизатора

а также

418

Глава

13.

Реализация двухточечных сетей

WAN

449

Окончание табл.

13.8

Элемент

Описание

Страница

Список

Задачи протокола РРР

424

Список

Сравнение протоколов

Рис.

13.13

Процесс обмена сообщениями при аутентификации РАР

426

Рис.

13.14

Процесс обмена сообщениями при аутентификации СНАР

427

Рис.

13.16

Конфигурация РАР

LCP

и

NCP

протокола РРР

431

Список

Последовательность настройки протокола

Рис.

Конфигурация М LPPP

13.21

425

MLPPP

434 435

Ключевые термины Выделенная линия

(leased line), телефонная компания (telco), последователь­ (serial link), канал связи WAN (WAN link), линия Т1 (Т\), спецификация DSO (OSO), спецификация OSI (OSI), линия ТЗ (ТЗ), клиентское оборудование (customer premises equipment), модуль CSU/OSU (CSU/OSU), последовательный ка­ бель (seria\ саЫе), оборудование ОСЕ (ОСЕ), оборудование ОТЕ (ОТЕ), протокол HOLC (HOLC), протокол РРР (РРР), протокол СНАР (СНАР), протокол РАР (РАР), протокол управления \Р (IP Control Protocol), тестовый пакет (keep alive, keepa\ive), протокол управления каналом (Link Control Protoco\ - LCP), метод Multilink РРР (Multilink РРР). ный канал

Таблицы команд В табл. IЗ.9 и IЗ.10 приведены команды конфигурации и проверки, используемые в этой главе. Рассматривайте их как простое упражнение: закройте левый столбец,

прочитайте правый столбец и попытайтесь вспомнить команду. Затем повторите это упражнение, закрыв правый столбец и попытавшись вспомнить, что делает команда.

Таблица

13.9.

Команды конфигурации

Команда

Описание

encapsulation {hdlc 1 ррр}

Подкоманда интерфейса, задающая протокол последовательного

[no] shutdown

каналапередачиданных

Интерфейс административно отключен (команда включен (команда

shutdown)

или

no shutdown)

clock rate

Подкоманда последовательного интерфейса, задающая тактовую

скорость_ кбит/ с

частоту в битах в секунду на интерфейсе, использующем кабель ОСЕ

bandwidth

Подкоманда интерфейса, задающая на маршрутизаторе предпочтительную скорость канала в килобитах в секунду, но ни как

скорость_ кбит/ с

не влияющая на фактическую скорость

description

текст

Подкоманда интерфейса, позволяющая установить текстовое описание интерфейса

Часть

450

111. Глобальные сети Око11ча11ие табл.

Описание

Команда ррр {рар

13. 9

authentication 1 chap}

username password

Подкоманда интерфейса, разрешающая только аутентификацию РАР или только аутентификацию СНАР

имя

Глобальная команда, задающая имя пользователя и пароль,

пароль

ожидаемые от дистанционного устройства (имя пользователя

должно совпадать с названием дистанционного устройства) ррр

sent-

рар

username password interface multilink ррр

Подкоманда интерфейса, определяющая пару имя пользователя/

имя

пароль, передаваемую по данному каналу связи при использовании

пароль

аутентификации РАР Создает многоканальной интерфейс и переводит пользователя

номер

в режим конфигурации интерфейса на этом интерфейсе

multilink

Подкоманда интерфейса, разрешающая средства

multilink group номер

ррр

Таблица

13.1 О.

MLPPP

Подкоманда интерфейса, ассоциирующая интерфейс с конкретным многоканальным интерфейсом и многоканальной группой

Пользовательские команды Описание

Команда

show interfaces

[тип

Выводит статистику и подробности конфигурации интерфейса,

номер]

включая тип инкапсуляции

show interfaces [тип description

его описание и состояние (или только одну строку об общем

номер]

Выводит для каждого интерфейса по одной строке, содержащей количестве, если интерфейс включен)

show ip interface brief

его состояние и

show controllers serial номер

Сообщает, подключен ли к интерфейсу кабель, и если подключен, то какой это кабель: DTE или ОСЕ

show

ррр

multilink

Выводит детальную информацию о состоянии каждой многоканальной группы РРР, настроенной на маршрутизаторе

show

ррр

all

Выводит по одной строке информации о состоянии каждого канала связи РРР на маршрутизаторе, включая состояние

Выводит для каждого интерфейса по одной строке, содержащей

1Р-адрес

каждого протокола управления

debug ррр authentication

Создает сообщения д.пя каждого этапа процесса аутентификации РАР или СНАР

debug ррр negotiation

Создает отладочные сообщения д.пя переговоров между устройствами

Ответы на контрольные вопросы

1-

Б.

2-

А, В.

3-

В.

4-

А, Г.

5-

Б, Г.

6-

А, Д.

7-

В, Г.

LCP

и

NCP

ГЛАВА

14

Частные глобальные сети с Ethernet и MPLS В этой главе детально рассматриваются концепции, лежащие в основе двух типов

службы частной по меткам

образом с

WAN.

WAN: Metro Ethernet (MetroE) и мультипротокольной коммутации (MPLS). Как обычно для этой книги, служба WAN обсуждается главным точки зрения предприятия как клиента некого провайдера служб (SP)

Это означает, что обсуждение сосредоточено на том, что предприятие получает

от службы, а не на том, как провайдер служб реализует службу в своей сети. (Обратите внимание, что тема реализации провайдером своей сети относится к сертификации

Cisco Service Provider.) Эта глава отражает, вероятно, наибольшее отдельное изменение, внесенное ком­ панией

WAN сертификации CCNA R&S за всю исто­ Cisco ввела сертификацию CCNA в 1998 году (теперь это CCNA Routing апd Switching). Тогда технология Frame Relay был доминирующей техноло­ гией WAN, а выделенные линии - устаревшей технологией, все еще использовав­ шейся. Компания Cisco включала обе технологии (выделенные линии и Frame Relay) в сертификацию CCNA R&S до выпуска в 2016 году нового экзамена CCNA 200-125 (иногда упоминаемого как Cisco CCNA vЗ.О). В текущих экзаменационных темах технология Frame Relay не упоминается вообще, хотя последовательные каналы дей­ Cisco

в экзаменационную тему

рию. Компания

ствительно все еще кратко упоминаются из-за некоторых связанных с ними прото­ колов канала связи.

Компания

заменяет технологию

Cisco

Frame Relay в экзаменационных темах дву­ WAN: Metro Ethemet и MPLS. Для

мя наиболее популярными сегодня технологиями наглядности на рис.

14.1

приведена приблизительная эволюция некоторых из наибо­

лее популярных служб частных

WAN

на рынке.

Цифровые

Коммутация

выделенные линии

пакетов Х . 25

1960

1970 Рис.

14.1.

1980

Frame Relay

VPN MPLS

1990

2000

Metro Ethernet

2010

Общая эволюция выхода 1ш ры11ок некоторых служб частных WЛN

Глава начинается с технологии Metro Ethernet в первом главном разделе, затем VPN М PLS во втором, хотя исторически эта технология появилась раньше. Технология Metro Ethemet рассматривается сначала потому, что ее проще изучить, поскольку у нее много сходств с использованием Ethemet в локальных и глобальных сетях. ВНИМАНИЕ! Для тех, кому интересна предыдущая тема по технологии Fгаше

Relay,

предназначены две

главы предыдущего издания этой книги, включенные в приложения З и И (Ни

1).

452

Часть 111. Глобальные сети

В этой главе рассматриваются следующие экзаменационные темы

3.0.

Технологии

3.4.

WAN

Описание параметров топологии

WAN

3.4.а. Двухточечной

3.4.Ь. Звездообразной 3.4.с. Полносвязной

3.5.

Описание параметров подключения к сети 3.5.с. Broadbaпd РРРоЕ 3.5.Ь.

Metro Ethernet

WAN

Глава 14. Частные глобальные сети с Ethernet и MPLS

453

Основные темы Metro Ethernet Технология

Metro Ethernet (MetroE)

включает множество служб

щих некоторыми общими чертами. Каждая служба каналы связи

Ethernet

MetroE

WAN,

обладаю­

использует физические

для подключения устройства клиента к устройству провайде­

ра служб. Последний предоставляет службу уровня

2,

когда провайдер

WAN

перена­

правляет фреймы Ethernet от одного устройства клиента к другому. Чтобы дать общее представление в начале обсуждения, следует заметить, что служба

Metro Ethemet действует подобно службе WAN на коммутаторе Ethernet, как 14.2. На рисунке представлено четыре площадки в той же компании, с маршрутизатором. Каждый маршрутизатор соединяется со службой WAN

показано на рис.

каждая

каналом связи Etherпet некоторого вида; обычно для этих каналов связи используют оптоволоконный кабель стандарта Ethemet, из-за расстояний. С точки зрения кли­ ента (т.е. с точки зрения предприятия, являющегося клиентом WAN провайдера SP), служба

WAN

действует как коммутатор

LAN,

перенаправляя фреймы Etherпet.

ВНИМАНИЕ! В этой главе термин клиент

SP), т.е.

(customer)

означает клиента провайдера служб

предприятие, которое платит за службу

Служба WAN

Рис.

14.2.

Ко11цепцuя службы

(Service Provider -

WAN.

Metro Ethernet

Metro Ethernet как

большого коммутатора

Ethernet

Хотя согласно базовой концепции служба Metro Ethernet действует как большой LAN, у него есть множество других возможностей, и основы каждой из

коммутатор

них имеет смысл рассмотреть. Кроме того, многие клиенты подключаются к служ­

бе

Metro

Etherпet, используя маршрутизаторы или коммутаторы уровня

к некоторым проблемам уровня

3

с

1Р-адресацией

Данный раздел завершается обсуждением проблем уровня

Физический проект и топология

3,

что ведет

и протоколами маршрутизации.

3.

Metro Ethernet

С точки зрения предприятия, чтобы использовать службу

Metro

Etherпet, ка­

ждая площадка нуждается для подключения к службе по крайней мере в одном ка­

нале связи

Ethernet.

Нет никакой необходимости соединять каждый маршрутизатор

предприятия один с другим непосредственно физическим каналом связи. Например, на рис.

14.2

в предыдущем разделе каждый из четырех маршрутизаторов предприя­ MetroE провайдера SP одним физическим каналом связи

тия подключен к службе

Ethernet,

а не соединен непосредственно с другим маршрутизатором предприятия.

Часть

454

111.

Глобальные сети

SP, он должен построить сеть так, чтобы создать Metro Ethernet. В целях экономии провайдер SP располагает свое устрой­ ство (обычно - коммутатор Ethernet) физически по возможности ближе к большин­ ству площадок клиентов; в терминах провайдера SP это точка присутствия (Point of Presence - РоР). Коммутаторы провайдера SP должны быть расположены достаточ­ но близко к большей части клиентов, чтобы использовать некий стандарт Etl1ernet, поддерживающий дистанцию от точки РоР провайдера SP к площадке каждого кли­ ента. Некоторые из этих терминов и концепций показаны на рис. 14.3. С точки зрения провайдера

службу

Рассмотрим детали на рисунке. Физический канал связи между клиентом и провайде­ ром

SP- это канал доступа (access link) или, при использовании именно Ethernet, канала Ethemet (Ethernet access link). Все, что происходит на этом канале связи, подпа­ дает под определение пользовательского сетевого интерфейса (User Network lnterface UNI). Термин "UNI" включает два термина, сеть (network), относящийся к сети провай­ дера SP, и пользователь (user), означающий клиента провайдера SP (предприятие). Сосредоточимся на центральной части рис. 14.3, хотя подробности сети провай­ дера SP остаются в значительной степени скрытыми. SP обещает доставлять фреймы Ethernet через WAN. Чтобы сделать это, каналы доступа соединяются с коммутатором Ethernet. Как можно заметить, коммутатор будет просматривать поля МАС-адресов заголовков Ethernet и магистральных заголовков 802.IQ в поисках тегов VLAN, но доступа

подробности сети останутся для него скрыты. Сеть

Пользователь

Канал доступа

Etherпet

UNI UNI Канал доступа

Канал доступа •

Etherпet

Etherпet

ВНИМАНИЕ!

Термин канал

Ethernel (carrier

Etherпet) означает "канал к провайдеру служб Etherпet

(т.е. к провайдеру служб); он также используется вместо термина

"Metro Ethemet"

Metro

WAN"

Etherпet. Технология

начиналась с технологий, обычно используемых для создания сетей в ме­

трополитенах городов (обычно упоминаемых как общегородская сеть (metropolitaп-area

- MAN)), поэтому термин "Metro Etheгпet" имеет определенный смысл. Термин ка­ Ethernel является на настоящий момент наиболее точным, поскольку не подразумевает

пetwork нал

ограниченность только одним городом.

Интерфейс

UNI

опирается на множество стандартов, используя тот факт, что

для канала доступа применим любой стандарт

IEEE для Ethernet.

В табл.

14.1

приве­

дены некоторые из стандартов, которые могли бы исполь"Jоваться для каналов досту­ па

Ethernet,

поскольку они поддерживают более длинные дистанции, чем стандарты

для соединений

UTP.

Глава

Таблица

14.1.

14.

Стандарты

Частные глобальные сети с

Ethernet и MPLS

455

IEEE для Ethernet, используемые Metro Ethernet

для каналов доступа Название

Скорость

1OOBase-LX1 О

100

IOOOBase-LX

1 Гбит/с

5

IOOOBase-LX 1О

1 Гбит/с

10

1OOOBase-ZX

1 Гбит/с

100

IOGBase-LR

10

Гбит/с

10

IOGBase-ER

10

Гбит/с

40

Дистанция, км

Мбит/с

Службы и топология Ethernet

10

WAN

Кроме прокладывания физического соединения к службе

WAN Metro Ethernet

провайдера

нескольких возможных вариант службы

Ethernet от каждой площадки SP, предприятие должно выбрать один из MetroE. Разные варианты подразумевают

разные топологии, отвечающие потребностям разных клиентов.

Сообщество

М

EF (ht tp: / /www. mef. net)

определяет

стандарты

для

Metro

включая спеuификаuии для различных видов служб MetroE. В табл. 14.2 перечислены три типа служб, описываемых в этой главе, и их топологии. Подробно

Ethernet,

..

каждая из них рассматривается далее.

..

• ·:

Таблица 14.2. Три типа служб MEF и их топология

Название

Краткое

службы

MEF

название

Ethernet Service

Liпe

E-Liпe

Топология

Описание

Двухточечная

Два устройства абонентского оконечного

оборудовшшя

(Customer Premise Equipment Ethernet,

СРЕ) могут обмениваться фреймами как в выделенной линии

Etherпet

LAN

E-LAN

Полносвязная

Работает подобно локальной сети, в которой все устройства могут передавать фреймы на все

Service

другие устройства

Ethernet Tree Service

Е- Тгее

Звездообразная;

Центральная площадка может общаться

неполносвязная;

с определенным набором дистанционных

многоточечная

площадок, но дистанционные площадки не

могут общаться между собой непосредственно

ВНИМАНИЕ!

Вполне можно встретить термин виртуальная закрытая проводная служба (Virtual Private Wire описывающий то, что сообщество MEF определяет как службу E-Line,

Service - YPWS),

и термин виртуальная закрытая служба

IAN (Virtual Private LAN Service - VPLS),

емый для описания того, что сообщество М

использу­

EF определяет как службу E-LAN. Также можно встретить термин Ethernel по MP/,S (Ethernet over MPLS - EoMPLS). Все эти термины отно­ сятся к случаям, когда провайдер SP внутренне использует коммутацию MPLS для создания того, что клиент видит как службу Ethernet WAN.

456

Часть

111. Глобальные сети

Служба

Ethernet Line Service (двухточечная) Ethernet Line Ser>'ice, или служба E-Line, является самой простой из служб Metro Ethernet. Клиент соединяет две площадки каналами доступа. Затем служба MetroE позволяет двум устройствам клиента передавать фреймы Ethernet между со­ бой. Пример с маршрутизаторами в качестве устройств СРЕ приведен на рис. 14.4. Служба

Metro Ethernet

Рис.

14.4. Двухточеч11ая топология службы E-Une Metro Ethernel между маршрутизаторами

Подобно всем службам

MetroE,

задача данной заключается в доставке фреймов

Etheгnet сквозь службу, как будто два маршрутизатора клиента соединены доволь­

но длинным перекрещенным кабелем. Фактически служба ба по

Ethernet WAN, ICN D 1 и в этой • • •

E-Line -

это та же служ­

которая не раз встречалась в многочисленных примерах книги книге тоже, например в данном случае.

Маршрутизаторы использовали бы физические интерфейсы Etherпet. На маршрутизаторах были бы настроены IР-адреса из той же подсети. Их протоколы маршрутизации установили бы соседские отношения и марш­ руты обмена.

Спецификации

MetroE

Virtual Connection -

имеют концепцию виртуш1ьного соединения

Ethernet (Etheгnet

ЕУС), определяющую, устройства каких пользователей (клиентов)

могут общаться между собой. По определению служба

E-Line (как показано на рис. 14.4)

создает двухточечный канал ЕУС, позволяя общаться двум конечным точкам.

Предприятие может реализовать свою сеть точно как, как показано на рис. с двумя площадками и двумя маршрутизаторами, соединенными службой

14.4, E-Line. Но

существуют и другие варианты, включая использующие службу Е- Line. Рассмотрим, например, обычную топологию

WAN

предприятия с центральной

площадкой и lООдистанционными площадками. Согласно приведенному выше опи­ санию, при использовании службы

понадобилось бы

100

интерфейсов

E-Line маршрутизатору центральный площадки Ethernet для подключения всех 100 дистанцион­

ных площадок. Это может быть дорого. В качестве альтернативы предприятие могло бы использовать проект, частично показанный на рис.

14.5

(представлены только три

дистанционные площадки).

•

Центральный маршрутизатор площадки использует один канал доступа на

•

Центральная площадка соединяется со

10

Гбит/с.

100 службами E-Line

(показано толь­

ко три).

•

Все службы

E-Line обмениваются

фреймами по тому же каналу доступа.

Обратите внимание, что эта глава не рассматривает детали настройки служб WAN. Однако проекты, подобные приведенному на рис. 14.5, со множеством служб E-Line на одном канале доступа, используют магистральное соединение альными идентификаторами

VLAN для

каждой службы

E-Line.

802.1 Q с

индивиду­

В результате маршру­

тизатор может использовать типичную конфигурацию с магистральным соединени­ ем и субинтерфейсами.

Глава

14. Частные глобальные сети с Ethernet и MPLS

457

--· доступа на

Три разных канала

10 Гбит/с Рис.

14.5.

E-Line

Использование нескольких служб E-Liпe,

по одной для каждой дистанционной площадки

Перед переходом к следующей службе

MetroE имеет смысл заметить, что клиент WAN коммутаторы вместо маршрутизато­ ров. Исторически инженеры предприятия располагают на стороне WAN маршру­ тизаторы, частично из-за того, что устройства, подключенные и к WAN, и к LAN, а также к LAN и к WAN, использовали разные типы физических интерфейсов и раз­ может использовать для подключения к

ные протоколы канала связи. В результате маршрутизаторы являются наиболее подходящими устройствами для расположения на границе между стороне

WAN).

При использовании службы

живают стандарт

Ethernet,

MetroE

обе сети,

LAN

LAN и WAN (на и WAN, поддер­

поэтому вполне возможно использовать и коммутатор

Ethernet. Служба

Ethernet LAN Service

(nолносвязная)

Предположим, что предприятию нужно соединить несколько площадок с сетью

WAN

и позволить каждой площадке передавать фреймы непосредственно на любую

площадку. Это можно сделать с помощью службы E-Liпe, но для этого может пона­ добиться слишком много служб E-Line. Например, чтобы подключить три площадки службами E-Line, чтобы каждая площадка могла передавать фреймы непосредствен­ но одна другой, понадобятся только три службы

E-Line.

Но для четырех, пяти и ше­

сти площадок понадобится уже 6, 10 и 15 служб E-Line соответственно. Представьте 20 площадок, нуждающихся в непосредственной передаче фреймов один другому, и понадобится уже 190 служб E-Line (формула N(N - 1) / 2). Люди, создававшие технологию

MetroE,

ожидали необходимости в проектах, до­

пускающих полносвязную топологию сети, где каждая пара узлов службы способ­

на передавать фреймы друг другу непосредственно. Фактически разрешение всем устройствам непосредственно общаться с любым другим устройством весьма похоже

Ethernet, поэтому службу MetroE называют службой Ethemet LAN E-LAN. Одна служба E-LAN позволяет всем подключенным к ней устройствам передавать фреймы Ethernet непосредственно на любое устройство, как если бы служба Ethernet WAN была одним большим коммутатором Ethernet. На рис. 14.6 демонстрируется единый канал E-LAN EVC. В данном случае один канал EVC соединяется с четырьмя площадками клиентов, создавая единую службу E-LAN. Маршрутизаторы R 1, R2, RЗ и R4 могут передавать фреймы один другому непосредственно. Все они находились бы в той же подсети уровня 3 сети WAN. Служба E-LAN соединяет площадки в полносвязную топологию. Термин полно­ связная топология (fu\\ mesh) описывает проект, в котором каждое устройство имеет на локальную сеть

Service

или

Часть

458

111. Глобальные сети

прямой путь к любому другому устройству. Термин неполносвязная топология

mesh)

с другой непосредственно. Обсуждаемая в следующем разделе служба

Service

(partial

описывает проект, в котором лишь некоторые из пар могут общаться одна

Ethernet Tree

(служба Е-Тгее) позволяет создать проект именно неполносвязной топологии.

- -rc- - - - - - - ; 11 '' 1 ' 1 ' 1 1

1

Рис.

14.6.

Слу.жба

,

MetroE Etl1ernet

Служба

Ethernet Tree Service Служба Ethernet Тгее Service

,

,'

>,,

, '

,

1

'

1

,

'

- -----~'-

/,ЛN

Service: перенаправление от любо10 к любому

(звездообразная) (служба Е-Тгее) создает топологию

WAN,

в которой

устройство центральной площадки (корень) может непосредственно передавать фрей­ мы

Ethernet

на любую дистанционную площадку (лист), но дистанционные площад­

ки могут передавать фреймы только на центральную площадку. На рис. топология также с одиночным каналом

EVC.

14.7

показана

В данном случае маршрутизатор

RI -

это корневая площадка, способная передавать на все три дистанционные площадки.

Маршрутизаторы

R2,

RЗ и

R4

могут передавать только на маршрутизатор

Rl.

Листья E-Tre:sa;n Корень

_.-..,,,~

E-Tree

Рис.

14. 7.

Слу.жба

E-Tree создает

-... ...

~

звездообразную тополо1ию

У службы Е-Тгее центральная площадка служит корнем дерева, а каждая дистан­

ционная площадка

- его листом. Топология имеет много названий: неполносвязная (partial mesh), звездообразная топология (hub-and-spoke) и многоточеч­ топология (point-to-multipoint). Независимо от используемого термина, служба

топология ная

Е-Тгее позволяет создавать проекты с центральной площадкой и множеством дис­ танционных площадок.

Проект уровня

3

с использованием

Теперь, зная основы служб

Metro Ethernet

E-Line (двухточечной), E-LAN

(полносвязной) и

E-Tree

(многоточечной), рассмотрим некоторые из деталей проекта уровня 3, использую­ щего каждую из этих трех служб. Таким образом, если предприятие использует как

Глава

граничные устройства

14. Частные глобальные сети с Ethernet и MPLS маршрутизаторы или коммутаторы уровня

WAN

женер должен спланировать

1Р-адреса и

3,

459

то как ин­

подсети? Каково влияние протоколов марш­

рутизации? Данный раздел отвечает на эти вопросы. Обратите внимание, что в этом разделе предприятия используют маршрутизато­

ры, но те же концепции относятся и к коммутаторам уровня

Проект уровня

со службой

3

Каждая служба

E-Line

3.

E-Line

использует двухточечную топологию. В результате два

маршрутизатора на концах службы

E-Line

должны находиться в одной подсети.

Точно так же, когда предприятие использует множество служб E-Liпe, каждая долж­

на находиться в отдельной подсети. В качестве примера рассмотрим рис. тором к маршрутизатору

R 1 слева

14.8,

на ко­

подключены две службы Е- Line.

_......... Щ3е службы

Рис.

14.8.

E-Une (двухточечные)

Соседские отношения протокола маршрутизации по службе E-Liпe

Сосредоточимся на службах

E-Line,

Metro Ethernet

рассматривая каждую из них как подсеть,

а каналы доступа по большей части будем игнорировать. Каждый маршрутизатор ну­ ждается в

1Р-адресе для

каждой подсети, и подсети должны быть индивидуальны. Все

адреса принадлежат пространству полученных по протоколу тора

R3

OSPF на рис. 14.9.

приведены

1Р-адресов

предприятия. Адреса, подсети и три

маршрута из таблицы маршрутизации маршрутиза­

10.1.2.0/ 24

"__ . . ______________ Подсеть10 . 1.12 . 0 /24

~-1

---1~

1 10.1.1.0/ 24

.2

1

L __1 - - - - - - ~~~ь~О~ .~3~~4_ - .1

~

.1

-

~/~1~-~ GO 2

Следующая транзитная точка маршрутов

.3 10.1.3.Q/24

Таблица маршрутизации маршрутизатора Код

Подсеть

о

10.1. 1.0/ 24

о

о с с

Рис.

14. 9.

Интерфейс

G0/ 1.1 3 10.1.2.0/ 24 G0/ 1.13 10.1 .12.0/ 24 G0/ 1.13 10.1.3.0/ 24 G0/ 2 10.1.13.0/ 24 G0/ 1.13

Перенаправление уровня

R3

След:tющая транзитная точка

10.1.13.1 10.1.13.1 10.1.13.1

N/A N/A

3 между дистанционпыми

площадками через цептраль11ую площадку

460

Часть 111. Глобальные сети

1Р в правом нижнем углу рисунка. Сначала со­ 10.1.1.0/24, являющейся подсетью LAN от марш­ рутизатора RI. Маршрут маршрутизатора R3 указывает на \Р-адрес следующего тран­ зитного маршрутизатора, являющийся \Р-адресом маршрутизатора RI на канале Ethernet WAN, а именно - адрес другой стороны службы E-Line, соединяющей марш­ рутизаторы Rl и R3. В этом маршруте не должно быть ничего неожиданного: отсылая пакеты в подсеть, соединенную с маршрутизатором R 1, маршрутизатор R3 отсылает их на маршрутизатор R 1. Кроме того, использование субинтерфейса (G0/1.13) означает, что проект использует на канале связи магистральное соединение 802.1 Q. Теперь обратим внимание на маршрут маршрутизатора R3 к подсети 10.1.2.0/24, отражающий тот факт, что маршрутизатор R3 не может отсылать пакеты непосред­ ственно на маршрутизатор R2 в текущем проекте WAN. У маршрутизатора R3 нет службы E-Line позволяющей ему передавать фреймы непосредственно на маршру­ тизатор R2. Маршрутизатор R3 не станет также соседом маршрутизатора R2 no про­ токолу маршрутизации. Таким образом, маршрутизатор R3 получает свой маршрут к подсети 10.1.2.0/24 от маршрутизатора RI, с адресом 10.1.13.1 маршрутизатора RI Рассмотрим таблицу маршрутизации

средоточимся на маршруте к подсети

в качестве следующей транзитной точки перехода. В результате при перенаправлен и и пакетов маршрутизатор R3 перенаправит пакеты маршрутизатору Rl, который затем перенаправит их по другой службе

Проект уровня

3

со службой

E-Line

к маршрутизатору

R2.

E-LAN

Если подключить четыре маршрутизатора из одной сети VLAN к одному коммута­ LAN, то какие 1Р-адреса ожидались бы на этих маршрутизаторах? А если бы все

тору

четыре маршрутизатора использовали один и тот же протокол маршрутизации, какие

из них стали бы соседями? Как правило, при четырех маршрутизаторах соединенных с одним и тем же коммутатором, в одной и той же сети VLAN с использованием од­ ного и того же протокола маршрутизации, у всех четырех маршрутизаторов обычно

были бы

1Р-адреса из одной и той же подсети, и E-LAN используется один и тот

У службы

все они стали бы соседями. же проект \Р-адресации, с одними

и теми же видами соседских отношений протокола маршрутизации. Рис.

14.10

де­

монстрирует пример, включающий подсети и адреса, а также один маршрут в каче­

стве примера. Обратите внимание на то, что четыре подключенных к службе

маршрутизатора, в центре, имеют адреса в подсети 10.1.99.0/24. Обратите внимание на маршрут от маршрутизатора R3 к подсети тизатора

R2 (10.1.2.0/24)

в таблице маршрутизации маршрутизатора

LAN R3 на

E-LAN

маршру­ рисунке.

R3 R2 ( 10.1.99.2), и маршрутизатор R3 отошлет паке­ Ethernet) непосредственно на маршрутизатор R2.

В данном случае адрес следующей транзитной точки перехода маршрутизатора

это адрес WAN на маршрутизаторе ты (инкапсулируемые во фреймах

Обратите также внимание, что два других маршрута в таблице маршрутизации со­ держат адреса следующей транзитной точки перехода маршрутизаторов

и

R 1 ( 10.1.99.1)

R4(10.1.99.4).

Проект уровня

3

со службой

E-Tree E-Tree проект уровня 3 снова

весьма напоминает ка­ При использовании службы нал ЕУС. Таким образом, у всех устройств, использующих один и тот же канал ЕУС, будет адрес в одной и той же подсети. Но служба E-Tree способна создать немало проблем протоколам маршрутизации в связи с обсуждаемыми в этой главе особен­ ностями, включая невозможность непосредственной передачи фреймов одна другой

некоторыми из площадок на одном и том же канале ЕУС.

Глава 14. Частные глобальные сети с Ethernet и MPLS

.1

10.1.1.0/ 24

10.1.99.0 /24

Подсеть

.2

461

10.1.2.Q/24

~-------r,:----:-:---[----8-1 1 1 1

'

1

,'

'

,'

1 1 1

',

1

;

>,

~-- -----_:с:~ ----~ ~:- ---:°/~9.:•-1 10.1 .4,0/24

.4

Служба

.3

MetroE E-LAN

Таблица маршрутизации маршрутизатора Подсеть

Рис.

14. 10.

Пере11аправле11ие уров11я

Интерфейс

R3

(только маршруты

OSPF)

Следующая тр а нзитная т очка

10.1.2.0/ 24 10.1.1.0/ 24

G0/ 1.99 G0/ 1.99

10.1.99.2 10.1.99.1

10.1.4.0/ 24

G0/ 1.99

10.1.99.4

3 между площадками,

10.1.3,0/24

осуществляемое службой

E-LAN

На рис. 14.11 приведен пример одной из служб E-Tree с корневым маршрутизато­ RI. Являющиеся листьями маршрутизаторы R2 и RЗ не могут передавать фрей­

ром

мы один другому непосредственно, а потому не формируют соседских отношений протокола маршрутизации. Тем не менее все три маршрутизатора соединены одной

службой

• •

E-Tree.

В результате имеем следующее.

1Р-адреса всех (10.1.123.0/24).

трех маршрутизаторов принадлежат одной и той же подсети

Маршрутизатор

RI

формирует соседские отношения протокола маршрутиза­

ции и с маршрутизатором

R2,

и с RЗ, но маршрутизатор

R2

не устанавливает

соседских отношений протокола маршрутизации с маршрутизатором RЗ.

•

В итоге пакеты между периферийными площадками передаются только через корневую площадку.

10.1 .123.0/24 ""--~2 _j "-1 . , . . . , . . , . . , . . , . G0/1.13 ~-1 ----.::_ -- ... - --- - ----

1о . 1 . 2 . 0/24

Подсеть

.•

10 .1.1.0/ 24

"""

~

~--

.1

"

-~

"

.3

10.1.3,0/24 Таблица маршрутизации маршрутизатора Подсет ь

Интерфейс

10.1.1,0/24 G0/ 1.13 10 .1.2.0/ 24 G0/ 1.13 Рис.

14.11.

Пере11аправление уровня

3 между листьями,

R3

(только маршруты

OSPF)

Следующая транзитная точка

10.1.123.1 10.1.123.1

осуществляемое службой

E-Tree

462

Часть 111. Глобальные сети

Процесс маршрутизации (перенаправления) происходит по пути

EVC,

как сле­

дует из таблицы маршрутизации маршрутизатора RЗ на рисунке. Есть два маршру­

та к дистанционным подсетям маршрутизатора

10.1.1.0/24

(от маршрутизатора

RI)

и

10.1.2.0/24

(от

В обоих маршрутах от маршрутизатора RЗ указан как следую­

R2).

щий транзитный маршрутизатор

RI (10.1.123.1),

поскольку это единственный воз­

можный следующий транзитный маршрутизатор, доступный для периферийной

площадки с маршрутизатором RЗ на канале

WAN. Когда маршрутизатор RЗ должен 10.1.2.0/24, он направит их на маршрутизатор R 1, который затем переправит их маршрутизатору R2. Данный пример похож на пример со службами E-Line, приведенный на рис. 14.9, но есть несколько существенных отличий. В первую очередь, служба E-Tree использует одну подсеть для всех устройств службы, в то время как службы Е- Line на рис. 14. 9 использу­ ют по одной подсети для каждой службы E-Line (двухточечной). Кроме того, некоторые будет отсылать пакеты в подсеть

протоколы маршрутизации требуют дополнительных усилий по настройке при исполь­

зовании службы Е-Тrее, но эти подробности не рассматриваются в данной книге.

Профили управления скоростью виртуального канала Прежде чем перейти от технологии

MetroE

к

MPLS,

Ethernet

имеет смысл рассмотреть

некоторые соображения об использовании данных, передаваемых по каналам связи

WAN, и целый набор Profiles - BWP) EVC.

тем, связанных с профилями управления скоростью

Оставим на мгновение технологию

MetroE

(Bandwidth

в покое. Думал ли кто-либо, покупая

мобильный телефон в 2010-х годах об использовании данных, передаваемых по сете­

вому каналу? У мобильных телефонов много каналов связи, но действующих по тому же принципу: чем больше данных передаешь и получаешь, тем больше денег платишь

в месяц. Почему цена растет в зависимости от объема данных'? Провайдер

SP

несет

затраты на поддержку и использование своей сети. Кажется вполне справедливым

снизить расценки тем, кто использует ее меньше, а тем, кто использует больше,

-

поднять. Все просто. Большинство частных служб

WAN

используют один вид расценок на основании

используемых объемов, поэтому данный заключительный раздел посвящен термино­

логии и концепциям

MetroE

в этом контексте.

Основная идея в том, что каналы доступа передают биты со скоростями согласно стандартам

Ethernet.

Каждый канал доступа

определенный стандарт

Ethemet,

Ethernet

на базе

WAN MetroE

использует

подразумевающий работу на некой скорости. Эти

скорости составляют 10 Мбит/с, 100 Мбит/с, 1000 Мбит/с (т.е. 1 Гбит/с), 10 Гбит/с и т.д. В последнее время Институт IEEE начал добавлять для стандартов Ethernet но­ вые скорости, не кратные

MetroE

10 относительно других, но если канал доступа площадки Ethernet на 100 Мбит/с, то биты будут передаваться со

использует стандарт

скоростью именно 100 Мбит/с. В то же время провайдеры SP

MetroE

желают быть в состоянии предложить кли­

ентам плату на основании использованного объема, что куда гибче расценок на осно­

вании скоростей канала доступа. Заключительные страницы раздела по технологии

MetroE

этой главы посвящены тому, как провайдер службы

MetroE

может взимать

плату иначе, чем просто за скорость канала доступа.

Плата за данные (использованную ширину полосы пропускания) Рассмотрим такой случай. Потенциальный клиент изучает расценки провай­ дера службы

MetroE.

Ему нужна только служба

E-Line

между двумя площадками.

Глава 14. Частные глобальные сети с Etherпet и MPLS

463

Ему нужна также пропускная способность (т.е. ширина полосы пропускания) не меньше 100 Мбит/с между площадками. Но поскольку в названии службы есть слово "Ethernet", потенuиальный клиент полагает, что она поддерживает скорости 10 Мбит/с, 100 Мбит/с, 1 Гбит/с и т.д. Поэтому он ищет подходЯщую службу E-Line по разумной uене и думает так.

•

100

Мбит/с. Вполне хорошая uена, но пропускную способность хотелось бы

побольше.

•

1000

Мбит/с . Дороже , чем хотелось бы заплатить, пропускная способность от­

личная, но все же дороговато .

То, что клиенту действительно нужно, - это 200 Мбит/с между двумя площадка­ ми. Однако стандарта Ethernet для скорости 200 Мбит/с нет, поэтому нет никакого способа использовать каналы доступа со скоростями 200 Мбит/с . Но есть другое ре­ шение - служба E-Line с профилем управления скоростью, определяющим согласо­ ванную скорость передачи

точечному каналу

EVC

(Committed lnformation Rate - CIR) 200

и термины приведены на рис.

14.12.

t

t -'---Рис.

15.1.

Три примера каналов доступа к Интернету для компаний

Цифровой абонентский канал В потребительском секторе доступа к Интернету случился один большой прорыв

по скоростям с введением цифрового абонентского канала

DSL).

(Digital Subscriber Line -

Это был большой технологический прорыв с точки зрения скорости передачи

по сравнению с небольшим набором существовавших технологий, таких как анало­

говые модемы. Более высокие скорости, ставшие доступными благодаря технологии

DSL,

изменили также способ использования людьми Интернета, поскольку боль­

шинство общепринятых ныне приложений неприменимо с прежними технологиями

доступа к Интернету (аналоговые модемы и цифровая сеть с комплексным обслужива­ нием

(lntegrated Services Digital Network - ISDN)).

ВНИМАНИЕ!

Если вам интересно, несколько страниц о прежних технологиях доступа к Интернету, вклю­ чая аналоговые модемы и

ISDN,

находятся в приложении К на образе

DVD.

Телефонные компании существенно повлияли на создание технологии

DSL.

Эта

технология предоставила телефонным компаниям способ предложить намного бо­ лее высокие скорости доступа к Интернету, а с деловой точки зрения она позволила телефонным компаниям предоставлять за плату высокоскоростную службу доступа к Интернету большинству своих уже существующих клиентов. Причем по той же уже

проложенной физической телефонной линии, что является прекрасным способом для телефонных компаний делать деньги. Некоторые детали работы технологии ведены на рис.

15.2. Телефон

DSL

по домашней телефонной линии при­

может делать то, что он делал всегда: подключаться в те­

лефонной розетке и передавать аналоговый сигнал. Для передачи данных модем

DSL

подключается к другой телефонной розетке. Он передает и получает данные как циф­ ровые сигналы, на более высоких частотах по тому же абонентскому каналу, причем даже одновременно с телефонным звонком. (Обратите внимание, что в реальности зачастую устанавливаются еще и фильтры частот, не показанные на рисунке и не об­ суждаемые в книге.)

480

Часть

111. Глобальные сети

Телеф

ный

коммутатор

Кабель

Ethernet Телефонная линия

Дом

Телефонная станция

Рис.

15.2.

Поскольку модем

Кабели и устройства домаш11ею ка11ала связи ПSL

DSL

отсылает аналоговый (голос) и цифровой (данные) сиг­

налы по одной линии, телефонная компания должна так или иначе разделить эти сигналы на своей стороне соединения. Для этого абонентский канал должен быть

подключен к мультиплексору доступа цифровой абонентской линии

DSL (DSL Access DSLAM), расположенному на ближайшей АТС телефонной компа­ нии. Устройство DSLAM выделяет цифровые данные и передает их маршрутизатору (внизу справа на рис. 15.2), осуществляющему соединение с Интернетом. Устройство DSLAM выделяет также аналоговые голосовые сигналы и передает их на телефон­

Multiplexer -

ный коммутатор.

Конечно, у технологии из вариантов технологии

DSL есть преимущества и недостатки. Например, один DSL, асимметричный DSL (Asymmetric DSL - ADSL), пре­

доставляет клиенту более высокую скорость (скорость приема), что лучше подходит для схемы трафика большинства потребителей. Большинство потребительских ли­

ний

ADSL

обеспечивают скорости в диапазоне от

виях. (Технология технология

DSL

DSL

5 до 24

Мбит/с в идеальных усло­

вполне способна обеспечить и симметричные скорости.) Но

работает хорошо только до определенной дистанции от АТС до пло­

щадки клиента, а на более длинных дистанциях кабельной проводки скорость ухуд­

шается. Таким образом, на качество службы

DSL

(и ее применимость вообще) может

повлиять просто дистанция от дома (офиса) до АТС.

Кабельный Интернет Технология

DSL

использует локальный канал связи (телефонную линию) к мест­

ной телефонной компании. Кабельный Интернет использует вместо этого кабель

к тому, что стало главным конкурентом телефонных компаний на большинстве рын­ ков: к кабельной компании.

Кабельный Интернет формирует службу доступа к Интернету, у которой по боль­

шей части, но не в частностях, есть много подобий с технологией

DSL.

Подобно

DSL,

кабельный Интернет использует для передачи данных преимущество уже существу­

ющей кабельной проводки (кабель кабельного телевидения). Подобно

DSL,

кабель­

ный Интернет предоставляет асимметричные скорости (скорость получения выше,

Глава

отправки

-

15. Частные глобальные сети с VPN через Интернет

481

ниже), что хорошо подходит мя большинства потребителей. Кабельный

Интернет не мешает работе обычной кабельной службы (кабельному телевидению) во время использования службы доступа к Интернету.

Кабельный Интернет использует ту же общую схему кабельной проводки в доме,

что и

DSL,

только используется кабель абонентского телевидения, а не телефонный

кабель. На рис.

15.3 слева

приведена типичная кабельная проводка абонентского те­

левидения. Кабельный модем подключается к параллельной кабельной розетке тем

же кабелем. Служба Интернета работает только на одной частоте, как еще один теле­ визионный канал, зарезервированный мя службы Интернета. Кабельная компания

модем

Дом

Рис. 15.З. Кабели и устройства домашнего кабельного канала связи для Интернета

Подобно технологии

DSL,

на своей стороне соединения (справа на рисунке) ком­

пания абонентского телевидения должна разделять трафик данных и видео. Данные передаются вниз, на маршрутизатор Интернета. Видео поступает от антенны вверху и передается на телевизоры в домах абонентов.

Беспроводные

WAN

(ЗG,

4G, LTE)

У большинства читателей этой книги есть мобильный телефон с доступом к Интернету. Таким образом, вы можете проверять свою электронную почту, просма­ тривать неб-страницы, загружать приложения и смотреть видеофильмы. Для доступа к Интернету большинство из нас сегодня пользуется мобильными телефонами, в ко­ торые он уже встроен. В данном разделе рассматриваются общие концепции, лежащие в основе технологий доступа к Интернету, используемых мобильными телефонами.

Для контакта с ближайшей вышкой мобильной связи мобильные телефоны ис­ пользуют радиоволны. У телефона есть маленькая радиоантенна, а у провайдера есть антенна намного большая, расположенная на вершине вышки где-нибудь в пределах

нескольких миль

( 1 американская

миля =

1609,34

метра) от вас и вашего телефона.

Телефоны, планшеты, портативные компьютеры и даже маршрутизаторы (с соответ­ ствующими интерфейсными платами) могут обращаться к Интернету, используя тех­ нологию, представленную на рис.

15.4.

Вышки мобильной связи укомплектованы также соединительными кабелями и оборудованием, включая маршрутизаторы. Провайдер мобильной связи создает собственную сеть

IP,

точно так же, как и провайдер

ISP.

Пакеты

IP

клиента поступа­

ют через маршрутизатор \Р на вышке в сеть \Р провайдера мобильной связи, а затем в Интернет.

482

Часть

Рис.

111. Глобальные сети

15.4.

Беспроводной доступ к Интер11ету с использованием тех11оло1ии 3П/4(i

Рынок мобильных телефонов и беспроводного доступа к Интернету с других устройств обширен и полон конкурентов. В результате провайдеры мобильной связи тратят много денег на рекламу своих служб, хотя по большей части под разными на­

званиями скрываются одни и те же технологии. Откровенно говоря, зачастую трудно понять, что означает весь этот маркетинговый жаргон, но некоторые из терминов используются в отрасли повсеместно.

•

Беспроводной Интернет

(wireless lnternet).

Общепринятый термин для служб

Интернета на мобильных телефонах или любых устройствах, использующих эту же технологию.

•

Беспроводной ЗG/4G

(3G/4G wireless).

Сокращение для третьего и четвертого

поколений; эти термины относятся к главным этапам эволюции беспроводных

сетей провайдеров мобильной связи.

•

долгосрочное развитие). Более новая и более бы­

LTE (long-Term Evolution -

страя технология, являющаяся частью четвертого поколения технологий

(4G).

Вне зависимости от всего этого жаргона, когда вы слышите о службах беспро­

водного Интернета через вышки мобильных связи, будь то устройство телефоном, планшетом или компьютером, речь, вероятнее всего, идет о технологиях беспрово­

дного Интернета, ЗG,

4G

или

LTE.

Оптоволоконный доступ к Интернету Ориентированные на потребителей технологии доступа к Интернету, обсужда­ емые в этом разделе, используют несколько разных физических сред. Технология

DSL

использует медные провода, проложенные между АТС телефонной компании

и домом потребителя. Кабельная компания тоже использует медный кабель або­ нентского телевидения, проложенный от кабельной компании до дома потребителя.

Беспроводные технологии Технологии

DSL и

WAN,

конечно, кабели не используют.

кабельного Интернета используют медные провода, но по срав­

нению с ними оптоволоконные кабели обеспечивают более высокие скорости и более дальние дистанции. Таким образом, только для сравнения технологий физического уровня можно сказать, что оптоволоконная кабельная проводка обеспечивает более длинные каналы связи, и эти каналы связи зачастую работают на эквивалентных или более высоких скоростях.

Сегодня

некоторые

провайдеры

служб

Интернета

предоставляют

доступ

к Интернету как к оптоволоконному Интернету (fiber lnternet) или просто как к опто­ волоконному кабелю (fiber). Для этого некая местная компания, которой принадлежат права на прокладывание подземных кабелей (зачастую это телефонная компания),

Глава

15. Частные глобальные сети с VPN через Интернет

483

прокладывает новый оптоволоконный кабель. Как только оптоволоконный сетевой кабель проложен (на это зачастую требуются годы и немалый бюджет), провайдер ISP использует его для подключения клиентов к Интернету. Зачастую оптоволокон­

ный кабель использует протоколы Ethernet для оптоволоконного кабеля. В результате высокоскоростной домашний Интернет часто использует технологию Ethernet.

Основные принципы

VPN

по Интернету

У частных глобальных сетей есть некоторая замечательная возможность защиты.

В частности, у клиентов, передающих данные через сеть

WAN,

есть серьезное осно­

вание не допускать, чтобы злоумышленники просматривали и изменяли их данные, поскольку это причиняет им немалый вред. Провайдер частных служб WAN обязует­ ся доставлять данные одного клиента на другие площадки, принадлежавшие этому

клиенту, но не на площадки, принадлежащие другим клиентам, и наоборот. Сети VPN предоставляют те же средства безопасности, что и частные WAN, отправ­ ляя данные по сети, которая является открытой для всех (такой, как Интернет). По сравнению с частными

WAN

Интернет не предусматривает средств защиты, обеспечи­

вающих приватность данных предприятия. Сеть

VPN

по Интернету может обеспечить

следующие средства защиты.

•

Конфиденциальность (приватность). Предотвращение чтения данных любыми посторонними пользователями Интернета.

•

Аутентификация. Проверка подлинности отправителя пакета

VPN

(законное

устройство или устройство злоумышленника).

• •

Целостность данных. Проверка неизменности пакета во время передачи через Интернет. Защита от повторного использования. Предотвращение копирования злоумыш­ ленником и последующей повторной передачи пакетов, отосланных законным

пользователем, с целью выдать себя за законного пользователя. Для решения этих задач два устройства на краю стороны Интернета создают сеть иногда упоминаемую как туннель VPN (VPN tunnel). Эти устройства добавляют

VPN,

к исходному пакету заголовки, обладающие полями, которые позволяют устройствам

VPN

защитить трафик. Устройства

VPN

также шифруют исходный пакет 1Р, а значит,

содержимое исходного пакета не может быть прочитано кем-то, кто скопирует и про­

смотрит пакет при его передаче через Интернет. Общее представление о происходящем обычно в туннеле

VPN дано на рис. 15.5. созданный между маршрутизатором филиала и адаптивным устройством безопасности (Adaptive Security Appliance - ASA) Cisco Рисунок демонстрирует туннель

одним из брандмауэров

(site-to-site VPN),

Cisco.

VPN,

В данном случае используется двухточечная сеть

VPN

соединяющая только две площадки компании.

На рисунке демонстрируется такая последовательность действий.

1.

Хает РС 1 ( 10.2.2.2), справа, передает пакет веб-серверу как без

2.

( 10.1.1.1) точно так же,

VPN.

Маршрутизатор шифрует пакет, добавляет некий заголовок VPN, добавляет IP (с открытыми IР-адресами) и перенаправляет пакет.

другой заголовок

3.

Злоумышленник в Интернете копирует пакет (атака посредника), но не может незаметно изменить пакет и прочитать его содержимое.

Часть 111. Глобальные сети

484

51 10. 1.1. 1

.""@

ASA·1

РС1

Интернет

10.2.2.2

Центральная

Площадка

площадка предприятия

филиала

15.5.

Рис.

4.

Устройство

Концепции тую1еля

ASA-1

VPN на примере двухточечно?о VPN

получает пакет, подтверждает подлинность отправителя,

подтверждает неизменность пакета, а затем расшифровывает первоначальный пакет.

5.

Сервер

Канал

S1 получает расшифрованный

VPN

пакет.

по Интернету, показанный на рис.

15.5, обладает многими

преимуще­

ствами. Стоимость высокоскоростного подключения к Интернету, как обсуждалось

раннее, обычно намного ниже, чем у большинства частных

WAN.

Интернет есть по­

всюду, что делает решение данного вида связи доступным во всем мире. Кроме того, технологии

VPN

и используемые ими протоколы связи вполне безопасны.

ВНИМАНИЕ! Термин туннель (tuппel) относится к пакету любого протокола, инкапсулируемого при пе­ редаче в другом пакете. Термин туннель

VPN (VPN

tuппel) может использовать этот подход,

а может и не использовать, ведь он применяет шифрование. Большинство туннелей

VPN,

обсуждаемых в этой главе, на практике обычно использует шифрование.

Двухточечные сети

VPN

с использованием

IPsec

Двухточечная сеть VPN, обсуждавшаяся в предыдущем примере на рис. 15.5, со­ единяет две площадки предприятия, формируя туннель VPN, шифрующий при от­ правке данные, передаваемые между двумя устройствами. Набор правил для созда­

ния двухточечной сети VPN определяется протоколом 1Psec. 1Psec - это архитектура или среда для выполнения функций защиты сетей название

-

1Р.

Ее

это не аббревиатура, а скорее слово, взятое из названия определяющего

ее документа RFC ( RFC 4301, Security Architecture for the lnternet Protocol (Архитектура защиты для протокола Интернета), но обычно она упоминается как защищенный про­ токол

1Р (1 Р Security) или 1Psec. 1Psec определяет,

Протокол

как два устройства, оба из которых подключены

к Интернету, могут достичь основных целей

VPN, определенных в начале этой

главы:

конфиденциальность, аутентификация, целостность данных и защита от повторного использования. Протокол

VPN; вместо средств VPN. Одно из

лизации

1Psec

не определяет единственно возможный способ реа­

этого он допускает несколько разных возможностей для всех преимуществ

1Psec

в том, что его роль в качестве архитектуры

допускает внесение изменений со временем, по мере усовершенствования индивиду­

альных функций защиты.

Глава

15.

Частные глобальные сети с

VPN

через Интернет

Данная глава не рассматривает все детали каждой части протокола

лишь общее представление о работе протокола как две коне show ip interface s0/0/1 Serial0/0/1 is up, line protocol is up Internet address is 10.1.2.1/24 Broadcast address is 255.255.255.255 Address determined Ьу setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disaЫed Multicast reserved groups joined: 224.0.0.9 Outgoing access list is not set Inbound access list is 102 СвьШJе 26 строк пропущено для краткости Обратите внимание, что вывод команды указывает, разрешены ли списки

ACL, ACL. Пример демонстрирует сокра­ show ip interface S0/0/1, которая выводит данные

в обоих направлениях и какие именно списки щенную версию команды

только для этого интерфейса. Команда

show ip interface

вывела бы те же данные

для каждого интерфейса маршрутизатора.

Второй этап контрольного списка поиска и устранения неисправностей списков требует найти конфигурацию каждого списка ACL. И снова, самый быстрый

ACL

Часть IV. Службы 1Pv4: ACL и QoS

580

просмотра списков ACL подразумевает использование команды show running-config. Если она недоступна, команды show access-lists и show ip access-lists выводят те же подробности конфигурации. Эти команды выводят

способ

также весьма полезный счетчик, указываюший количество пакетов, соответствую­

ших каждой строке списка Пример

17.9.

ACL.

Пример команды

Это демонстрируется в примере

17.9.

show ip access-lists

Rl# show ip access-lists Extended IP access list 102 10 permit ip 10.1.2.0 0.0.0.255 10.1.4.0 0.0.1.255 Счетчик может быть очень полезен для поиска и устранения неисправностей. Если вы можете создать трафик, который, по вашему мнению, должен соответство­ вать конкретной строке списка ACL, в результате вы должны увидеть прирашение значения этого счетчика. Если значение счетчика строки не увеличивается, то эти пакеты не соответствуют данной строке в списке ACL. Эти пакеты могут соответство­ вать предыдушей строке того же списка ACL или даже не достигать рассматриваемо­ го маршрутизатора (по любой причине).

После выявления расположения, направления и подробностей конфигурации ACL, как указано на этапах 1 и 2, начинается сложная часть собственно анализ действия списков ACL. Например, одной из наиболее часто вы­

различных списков

полняемых задач является просмотр поля адреса и принятие решения о диапазоне

адресов, соответствующих этому полю. Помните, что для списка

ACL,

находящегося

в конфигурации маршрутизатора, вы можете легко найти диапазон адресов. Начало диапазона

-

это адрес (первый номер), а конец диапазона

маски. Например, у списка

ACL 102

из примера

17.9,

-

сумма адреса и шаблона

который очевидно настроен

на неком маршрутизаторе, есть следующие диапазоны.

Отправитель ДО

Получатель до

10.1.2.0,

шаблон

0.0.0.255.

Соответствует диапазону от

10.1.2.0

от

10.1.4.0

10.1.2.255. 10.1.4.0,

шаблон

О. 0.1.255.

Соответствует диапазону

10.1.5.255.

Далее рассматривается анализ некоторых из элементов этапа

3 контрольного спи­

ска поиска и устранения неисправностей.

Пример проблемы: обратный порядок адресов отправителя и получателя Операционная система IOS не может распознать случай, когда вы указываете не­ правильные адреса в полях адресов получателя или отправителя. Поэтому будьте го­ товы проанализировать задействованный список ACL и сравнить его направление с расположением соответствующих подсетей в сети. Затем задайтесь вопросом о па­ кетах, контролируемых данным списком ACL: какими могли бы быть адреса отпра­

вителя и получателя этих пакетов? А также соответствуют ли списки

ACL

правиль­

ным диапазонам адресов'?

Давайте рассмотрим рис. 17.11, который будет использоваться в нескольких при­ мерах поиска и устранения неисправностей в этой главе. Требования к ACL приведе­ ны после рисунка.

Глава

17. Расширенные списки управления доступом

581

10.2.2.0/ 30 G0/2 .1

G0/1 .2

10.4.4.0/ 23 Рис.

17.11.

Сеть, используемая в примерах поиска и устранения неисправностей АС/,

1Pv4

Данный список АСL требует разрешить и предотвратить следующее.

•

Позволить общаться хостам подсетей

•

Запретить общаться хостам подсетей

•

Позволить все коммуникации между хостами в сети \О.О.О.О.

•

Запретить все остальные коммуникации.

10.3.3.0/25 10.4.4.0/23

и и

Используемый (в данном случае на маршрутизаторе рует пример

17.1 О.

10.1.1.0/24. 10.1.1.0/24.

R2)

список

ACL демонстри­

На первый взгляд, он соответствует всем требованиям, приведен­

ным выше.

Пример

17.10.

Поиск и устранение неисправностей. Пример этап

38:

2,

несоответствие отправителя и получателя

R2# show ip access-lists Standard IP access list Step3B 10 permit 10.3.3.0 0.0.0.127 20 deny 10.4.4.0 0.0.1.255 30 permit 10.0.0.0 0.255.255.255 (12 matches) R2# R2# show ip interface G0/1 1 include InЬound Inbound access list is StepЗB Проблема в данном случае в том, что входящий список

ACL был разрешен на ин­ R2. Согласно рисунку пакеты поступающие с адреса отправителя в подсетях 10.3.3.0/25 и 10.4.4.0/23 должны быть перенаправлены через интерфейс G0/1 маршрутизатора R2, а не поступить на него. Поэтому не позвольте логике списка ACL, зеркально соответствующей требованиям, ввести вас в заблужде­ ние; проверьте и удостоверьтесь в расположении списка ACL, его направлении и по­ терфейсе

GO/\

маршрутизатора

ложении

1Р-адресов.

Обратите внимание, что этап 3С предлагает подобную проблему порядка зарезер­ вированных портов с ТСР и

В предыдушем разделе данной главы, "Проверка

номеров портов ТСР и

идеи уже обсуждались подробно. Просто выясни­

UDP. UDP", эти

те, где находится сервер относительно расположения и направления

ACL.

Этапы ЗD и ЗЕ: распространенные синтаксические ошибки Этапы 3D и 3Е описывают несколько распространенных синтаксических оши­ бок. Для соответствия порту ТСР в операторе ACL следует использовать ключевое слово протокола

tcp вместо ip или любого другого значения. В противном случае операционная система IOS отклонит команду из-за неправильного синтаксиса. Та же

IV. Службы 1Pv4: ACL и QoS

Часть

582

проблема возникает при попытке соответствовать портам вое слово протокола

U DP: обязательно

ключе­

udp.

Для соответствия протоколу ICMP операционная система IOS включает ключе­ вое слово протокола icmp, используемое вместо tcp или udp. Фактически основная концептуальная ошибка в мнении, что ICM Р - это протокол прикладных программ, использующий протокол UDP или ТСР; но он не использует ни один из них . Для соответствия всем сообщениям

any any

ICM Р,

например, используют команду

в расширенном именованном списке

Пример проблемы: входящий список

permi t icmp

ACL.

ACL

фильтрует пакеты протокола маршрутизации Маршрутизатор обходит логику исходящего списка ACL мя пакетов, которые он создает сам. Это, казалось бы , имеет смысл, но давайте остановимся и обдумаем этот факт в контексте. У маршрутизатора может быть исходящий список ACL и этот спи­ сок может и будет отбрасывать пакеты, которые маршрутизатор получает на одном

интерфейсе, а затем пытается перенаправить через некий другой интерфейс. Но если маршрутизатор создает пакет, например, мя сообщения протокола маршрутизации,

маршрутизатор обходит логику исходящего списка ACL мя этого пакета. Однако логику входящего списка ACL маршрутизатор не обходит. Если входящий список ACL разрешен и пакет поступает на этот интерфейс, маршрутизатор прове­

ряет список

ACL.

Список

ACL

рассматривает любые пакеты

1Pv4,

включая важные

вспомогательные пакеты, такие как обновления протокола маршрутизации.

Рассмотрим в примере 17.11 по-видимому исправный список ACL маршрутиза­ тора на этапе ЗG. В этом списке несколько команд permi t и неявный запрет всего в конце. На первый взгляд, он выглядит, как любой другой исправный список ACL. Пример

17.11.

Поиск и устранение неисправностей. Пример этап ЗG: случайная фильтрация

2,

RIP

Rl# show ip access-lists Standard IP access list Step3G 10 permit host 10.4 .4.1 20 permi t 10 . 3 . 3 . 0 0 . 0 . 0 .1 27 (12 matches) !

Применение

н еявного

запрета ,

соответствующе г о

всему остальному

Rl# 1 Н а мар шр ут и за т оре Rl: Rl# show ip interface G0/2 1 include Inbound access list is Step3G

InЬound

Теперь посмотрите на расположение и направление (входящий на интерфейсе маршрутизатора R 1) и сравните это расположение с топологией на рис. 17 .11. Ни один из этих операторов permi t не соответствует анонсам RI Р, посланным через

G0/2

интерфейс

GO/I

'3уют протокол

маршрутизатора

R2

RIP исполь­ GO/I маршрутюато­ сообщениям RIP на маршрути­

на маршрутизатор

UDP ('Зарезервированный

порт

520)

RI.

Сообщения

и интерфейс

Входящим неявный запрет всего в конце списка. Признаком неисправ­ ности в данном случае (с учетом существования только одного списка ACL) было бы то, что маршрутизатор R 1 не будет получать маршруты от маршрутизатора R2, а маршрутизатор R2 все еще будет получать маршруты RI Рот маршрутизатора R 1. ра

R2

с адресом

'3аторе

10.2.2.2 согласно рисунку.

R 1 соответствует

Глава

17. Расширенные списки управления доступом

583

Из трех протоколов маршрутизации, обсуждаемых в книгах

ICNDI и ICND2, R/Pv2 использует как транспорт протокол UDP, в то время как протоколы OSPF и EIGRP даже не используют транспортный протокол. В результате для соот­ ветствия пакетам R/Pv2 в списке ACL необходимы ключевое слово udp и зарезерви­ рованный порт 520. Для соответствия проколам OSPF и EIGRP необходимы специ­ альные ключевые слова, как упоминается в табл. 17.6. В таблице также указаны адре­ протокол

са, используемые с каждым протоколом.

Таблица

Ключевые слова для полей протокола маршрутизации

17 .6.

Протокол

IР-адрес отправителя

IР-адреса получателя

Ключевое слово протокола

RIPv2

Исходящий интерфейс

224.0.0.9

udp

OSPF

Исходящий интерфейс

224.0.0.5, 224.0.0.6

Ospf

EIG RP

Исходящий интерфейс

224.0.0.1 О

Eigrp

В примере

17. 12 демонстрируется

(порт

520)

типичный список ACL с тремя строками, по од­

ной для соответствия каждому протоколу маршрутизации (показан только синтак­ сис). Обратите внимание, что в данном случае списку с ключевым словом список

ACL,

Пример

ACL соответствуют поля

адреса

Вы можете включить подобные строки в любой входящий

any.

чтобы разрешить передачу пакетов протокола маршрутизации.

17.12.

Пример списка

ACL с разрешением RIPv2, OSPF и EIGRP

всем протоколам

Rl# show ip access-lists ip access-list extended RoutingProtocolExample 10 permit udp any any eq 520 20 permit ospf any any 30 permit eigrp any any remark а complete ACL would also need more statements here Rl#

Взаимодействие

ACL

с пакетами, созданными маршрутизатором

Маршрутизаторы обходят логику исходящих списков

ACL для

пакетов, созданных

тем же маршрутизатором. Эта логика позволяет избежать случаев, когда маршрутиза­

тор отбрасывает собственный вспомогательный трафик. Эта логика относится к паке­ там, создаваемым маршрутизатором для таких вспомогательных процессов, как про­

токолы маршрутизации, а также для таких команд, как

ping

и

traceroute. В данном ACL на процесс

разделе рассматривается несколько моментов о влиянии списков

поиска и устранения неисправностей, а также о применении этого исключения к ло­

гике исходящего списка

Локальные списки

ACL

ACL

и о командах, используемых в

и команда

CLI

маршрутизатора.

ping на маршрутизаторе

В первом сценарии рассмотрим команду

ping,

введенную на маршрутизато­

ре. Команда создает пакеты, а маршрутизатор посылает их (используя сообщения эхо-запросов

ICMP)

на один из интерфейсов маршрутизатора и получает, как прави­

ло, некие ответные сообщения эхо-ответов /СМР. Кроме того, когда они возвраща­

ются, не все списки

ACL

пытаются фильтровать эти пакеты.

584

Часть

IV.

Службы 1Pv4: ACL и QoS

В качестве основы для обсуждения рассмотрим происходящее в простой тополо­ гии сети с двумя маршрутизаторами, соединенными последовательным каналом, как

представлено на рис. 17 .12. Обратите внимание, что здесь есть четыре списка ACL IP, А, В, С и О, показанные на рисунке толстыми стрелками. Таким образом, список

ACL А является исходящим на интерфейсе S0/0/0 маршрутизатора Rl, В - входящим на интерфейсе S0/0/1 маршрутизатора R2 и т.д.

---·...:·~···~ 50/0/0

- Init *Mar 9 17:54:06.348: %HSRP-5-STATECHANGE: GigabitEthernet0/0 Grp 1 state StandЬy -> Active *Mar 9 17:54:06.377: %IP-4-DUPADDR: Duplicate address 10 . 1 . 1 . 1 on GigabitEthernet0/0 , sourced Ьу 0000 . 0c9f . f001 *Mar 9 17:54:36.425: %IP-4-DUPADDR: Duplicate address 10.1.1.1 on GigabitEthernet0/0, sourced Ьу OOOO.Oc9f.f001

Rl# show

standЬy

brief Р

indicates configured to preempt.

1

Interface Gi0/0

Grp 1

Pri 100

! Следующие строки ! R2 также активен

Р

State Active Active local

на маршрутизаторе

Virtual IP 10.1.1.1

StandЬy

unknown R2 ;

на

R2

остается

HSRP

версии

2;

*Mar 9 17: 53: 38. 618: 'ШSRP-5-STATECHANGE: GigaЬi tEthernet0/0 Grp 1 state -> Active *Mar 9 17:54:01.724: %IP-4-DUPADDR: Duplicate address 10 . 1 . 1 . 1 on GigabitEthernetO/O , sourced Ьу ОООО.Ос07.ас01 StandЬy

678

Часть

R2# show

V. Маршрутизация 1Pv4, поиск и устранение неисправностей

standЬy

brief Р

indicates configured to preempt.

1

Interface GiO/O

тор

Grp 1

Р

Pri 100

State Active Active local

StandЬy

unknown

Virtual IP 10.1.1.1

Рассмотрим пример 20.7. Как только версия меняется на первую, маршрутиза­ RI начинает передавать сообщения HSRPvl, прекращает передавать сообще­

ния

HSRPv2

и игнорирует поступающие от маршрутизатора

Маршрутизаторы

RI

и

R2

R2

сообщения

HSRPv2.

начинают действовать независимо. Как можно заметить из

регистрационных сообщений и вывода команд

show standby brief

на обоих марш­

рутизаторах, оба становятся активными и ни один не знает о другом маршрутизаторе,

действующем как резервный. Проще говоря, они игнорируют один другого. Поскольку оба маршрутизатора являются активными, оба пытаются использовать один и тот же виртуальный IР-адрес

10.1.1.1.

Но поскольку оба используют разные

версии протокола HSRP, они используют разные МАС-адреса. Каждый маршрути­ затор замечает повторное использование одного и того же виртуального 1Р-адреса и на•1инает выдавать регистрационные сообщения, выделенные в примере.

Рассмотрим второй пункт таблицы

20.3 -

несовпадение номеров группы

приводящее к результатам, аналогичным представленным в примере

20.7.

HSRP,

Эти два

маршрутизатора даже не пытаются сотрудничать. Оба становятся активными в соот­

ветствующей группе

1Р-адрес

HSRP,

оба попытаются использовать одинаковый виртуальный

и оба замечают повторное использование виртуального

1Р-адреса,

выдавая

регистрационные сообщения об этом факте. Теперь третий случай, когда список

тровывает трафик протокола

ACL

на любом из маршрутизаторов отфиль­

1Р­ 224.0.0.2 (для версии 1), либо 224.0.0.102 (для версии 2). Кроме того, протокол HSRP использует порт U DP 1985. Поэтому любой список ACL, запрещающий трафик протокола HSRP, HSRP.

Сообщения

HSRP

используют локальный

адрес интерфейса как IР-адрес отправителя. Адрес получателя

-

либо

заставил бы эти два маршрутизатора действовать независимо. Зачастую это также оз­ начает, что маршрутизаторы даже не обратят внимания на дублирование

1Р-адресов.

И наконец в четвертом случае, при разных виртуальных IР-адресах на маршру­ тизаторах, результат будет совсем другим. Таким образом, если это единственная ошибка конфигурации, оба маршрутизатора передают и получают сообщения

HSRP,

а также правильно выбирают активные и резервные маршрутизаторы. Активный

маршрутизатор использует виртуальный IР-адрес, определенный на активном марш­ рутизаторе. Но если этот маршрутизатор отказывает, активным становится другой маршрутизатор, использующий иной виртуальный IР-адрес. В результате значение виртуального

1Р-адреса

меняется в зависимости от того, какой маршрутизатор яв­

ляется активным, и устройства, ориентирующиеся на конкретный VIP-aдpec, будут работать, только когда активен соответствующий маршрутизатор.

Глава

20. Реализация протокола HSRP для маршрутизации".

679

Обзор Резюме

•

Протокол

FH RP обеспечивает следующее.

Все хосты используют единый пара­

метр стандартного маршрутизатора. Стандартные маршрутизаторы совместно используют виртуальный IР-адрес в подсети. Хосты используют виртуальный

1Р-адрес FH RP

как адрес стандартного маршрутизатора. Маршрутизаторы об­

мениваются сообщениями протокола

FHRP.

Когда маршрутизатор отказывает,

другие маршрутизаторы используют протокол

FH RP

для выбора принимаю­

щего на себя его обязанности.

•

В качестве адреса стандартного маршрутизатора на хостах используется вирту­ альный

•

1Р-адрес,

а не

1Р-адрес

интерфейса конкретного маршрутизатора.

Когда откажет активный маршрутизатор

HSRP,

прежний резервный маршру­

тизатор станет новым активным и начнет использовать виртуальный IР-адрес и МАС-адрес. Хостам никаких изменений в конфигурации не требуется.

•

Команда

show

stand.Ьy

brief

идентифицирует следующее: интерфейс ло­

кального маршрутизатора, на котором настроена группа

HSRP,

пы

текущее состояние

HSRP,

приоритет локального маршрутизатора

номер груп­

локального маршрутизатора

интерфейса текущего активного

маршрутизатора

текущего резервного маршрути­

затора

HSRP

HSRP, 1Р-адрес HSRP, 1Р-адрес интерфейса

HSRP,

и виртуальный IР-адрес, определенный этим маршрутизатором

для данной группы.

•

Если у маршрутизатора есть подходящий интерфейс с поддержкой протокола

HSRP, заторы

он станет активным маршрутизатором, если никакие другие маршрути­

HSRP

не будут обнаружены. Он проведет переговоры с любыми теку­

щими маршрутизаторами

HSRP,

которые также проводят переговоры, чтобы

определить, какой маршрутизатор

HSRP должен

быть активным. Выбирается

маршрутизатор с самым высоким приоритетом. Если настроено вытеснение, он проведет переговоры с текущим активным маршрутизатором, чтобы опре­

делить, кто станет новым активным маршрутизатором

HSRP.

Победит марш­

рутизатор с самым высоким приоритетом. Если вытеснение не настроено, он станет резервным маршрутизатором

•

Протокол

Hello

HSRP

версии

1 не

HSRP.

поддерживает протокол

1Pv6,

использует таймеры

продолжительностью в секунды, использует диапазон групп от О до

255,

для виртуального МАС-адреса использует формат ОООО.ОСО7.АСхх и мно­ гоадресатный адрес 224.0.0.2. Он не использует уникальный идентификатор для каждого маршрутизатора.

•

Протокол HSRP версии 2 поддерживает протокол IPv6, использует таймеры продолжительностью в миллисекунды для его таймера Hello, использует

Hello

диапазон групп от О до

OOOO.OC9F. Fxxxx

4095,

для виртуального МАС-адреса использует формат

и многоадресатный адрес

224.0.0. \ 02,

а также использует уни­

кальный идентификатор для каждого маршрутизатора.

•

Для

правильной работы протокола

HSRP

необходимо проверить следую­

щее: на маршрутизаторах должны быть заданы одинаковые версии протокола

HSRP,

номера групп и виртуальные IР-адреса. Виртуальный IР-адрес должен

680

Часть

V. Маршрутизация 1Pv4, поиск и устранение неисправностей

быть в той же подсети, что и

1Р-адрес

интерфейса, и не должен использоваться

никакими другими устройствами. Подключенная сеть уровня в той же сети

VLAN

и списки

ACL

2

должна быть

не должны фильтровать сообщения

HSRP,

передаваемые между маршрутизаторами.

•

Если два маршрутизатора

HSRP должны

взаимодействовать и настроены пра­

вильно, кроме совпадения версий протокола

HSRP,

оба маршрутизатора ста­

нут активными и будет обнаружено дублирование адресов.

•

Если два маршрутизатора

HSRP должны

взаимодействовать и настроены пра­

вильно, кроме совпадения номеров групп

HSRP,

оба маршрутизатора станут

активными и будет обнаружено дублирование адресов.

•

Если два маршрутизатора вильно, но списки

HSRP должны взаимодействовать и настроены пра­ ACL фильтруют сообщения HSRP, оба маршрутизатора ста­

нут активными, но дублирование адресов не будет обнаружено.

•

Если два маршрутизатора

HSRP должны

взаимодействовать и настроены пра­

вильно, кроме совпадения виртуальных IР-адресов, они не станут активными оба, но виртуальный

1Р-адрес

будет меняться в зависимости от того, какой из

маршрутизаторов активен в настоящий момент.

Контрольные вопросы 1.

Маршрутизаторы

R1

и

R2

подключены к одной сети

VLAN Ethernet

с под­

сетью 10.1.19.0/25 и адресами 10.1.19.1 и 10.1.19.2 соответственно, заданны­ ми подкомандой интерфейса ip address. Хост А использует стандартный маршрутизатор 10.1.19.1, а хост В - стандартный маршрутизатор 10.1.19.2. Маршрутизаторы не используют протокол блем присуща этой сети

FH RP.

Какая из следующих про­

LAN?

А) Проект нарушает правила 1Рv4-адресации, поскольку два маршрутизатора не могут быть подключены к одной подсети

LAN.

Б) Если откажет один маршрутизатор, ни один из хостов не сможет передавать пакеты вне подсети.

В) Если откажет один маршрутизатор, то оба хоста будут использовать остав­ шийся маршрутизатор как стандартный.

Г) Если откажет один маршрутизатор, использовавший его хост не сможет по­ сылать пакеты вне подсети.

2.

Маршрутизаторы R 1 и R2 подключены к одной сети VLAN Etherпet с подсетью 10.1.19.0/25 и адресами 10.1.19.1 и 10.1.19.2 соответственно, заданными под­ командой интерфейса ip address. Маршрутизаторы используют протокол

FH RP.

Хосты А и В подключены к одной сети

LAN

и имеют правильные пара­

метры стандартного маршрутизатора в конфигурации щих утверждений истинно для этой сети

FH RP.

Какое из следую­

LAN?

А) Проект нарушает правила 1Рv4-адресации, поскольку два маршрутизатора не могут быть подключены к одной подсети

LAN.

Б) Если откажет один маршрутизатор, ни один из хостов не сможет передавать пакеты вне подсети.

Глава

20.

Реализация протокола

HSRP для

маршрутизации...

681

В) Если откажет один маршрутизатор, то оба хоста будут использовать остав­ шийся маршрутизатор как стандартный.

Г) Если откажет один маршрутизатор, то только один из двух хостов все еще будет в состоянии посылать пакеты вне подсети.

3.

Маршрутизаторы

Rl

и

R2

подключены к одной сети

VLAN Ethernet

с подсе­

тью 10.1.19.0/25 и адресами 10.1.19.1 и 10.1.19.2 соответственно, заданными подкомандой интерфейса ip address. Маршрутизаторы используют прото­ кол HSRP. Сетевой инженер предпочитает иметь стандартным маршрутизатор

R 1,

когда оба маршрутизатора находятся в работоспособном состоянии. Что

из следующего является параметром стандартного маршрутизатора для хостов

в этой подсети?

А)

10.1.19.1.

Б)

10.1.19.2.

В) Другой IР-адресвподсети 10.1.19.Q/25,отличныйот 10.1.19.1и10.1.19.2. Г) Имя хоста, преобразуемое мини-DNS

4.

FHRP

в адрес

10.1.19.1.

Ниже приведен вывод на маршрутизаторе RЗ, использующем протокол HSRP. Подсеть 10.1.12.0 использует маску 255.255.255.0. На основании вывода этой команды укажите, что из следующего истинно?

show standЬy brief Interface Grp Pri Р State Active Standby Virtual IP Gi0/0 1 105 Active local 10.1.12.1 10.1.12.2 RЗ#

А) Хосты с параметром стандартного маршрутизатора пакеты на маршрутизатор RЗ.

10.1.12.1

посылают свои

Б) Хосты с параметром стандартного маршрутизатора

10.1.12.2 посылают свои

пакеты на маршрутизатор RЗ.

В) На интерфейсе

GO/O маршрутизатора 10.1.12.2 255.255.255.0.

RЗ введена команда

ip

address

Г) На интерфейсе

RЗ введена команда

ip

address

GO/O маршрутизатора 10.1.12.1 255.255.255.0.

5.

Два маршрутизатора, маршрутизатора

R1

ция маршрутизатора

R 1 включен.

Rl и R2, настроены как часть группы HSRP. Конфигурация

включает команду

R2 -

команду

standby 1 priority 1, а конфигура­ standby 1 priori ty 2. Маршрутизатор

Через час включается маршрутизатор

R2.

Какой из следующих от­

ветов истинен о маршрутизаторе, которой теперь находится в состоянии

HSRP

active? А) Активным является маршрутизатор конфигурации.

R2,

независимо от других параметров

Б) Активным является маршрутизатор

Rl,

независимо от других параметров

конфигурации.

В) Активным является маршрутизатор также настроена команда

Г) Активным является маршрутизатор также настроена команда

R2,

только если на маршрутизаторе

R2

standby 1 preempt.

R1,

только если на маршрутизаторе

no standby 1 preempt.

R1

Часть

682

V. Маршрутизация 1Pv4, поиск и устранение неисправностей

Сетевой инженер настроил протокол

6.

на двух маршрутизаторах, соеди­

HSRP

ненных одной локальной сетью. Вы подключились к консоли одного из марш­ рутизаторов и видите такое сообщение:

*Mar 12 17:18:19.123: %IP-4-DUPADDR: Duplicate address 10.2.2.2 on GigabitEthernet0/0, sourced Ьу 0000.0c9f.f002 В каком из ответов указана ошибка конфигураuии

HSRP,

приведшая к выводу

маршрутизатором этого сообщения? (Выберите два ответа.) А) Два маршрутизатора

HSRP

настроены с разными номерами групп

Б) Данный маршрутизатор фильтрует все входящие сообщения В) Два маршрутизатора кола

HSRP

HSRP.

HSRP.

настроены с разными номерами версии прото­

HSRP.

Г) Два маршрутизатора

HSRP настроены с разными

виртуальными 1Р-адресами.

Обзор главы Обзор этой главы осуществляется с использованием инструментов книги, образа

DVD

или интерактивных инструментов для того же материала на веб-сайте книги. Ключевые

элементы и их местоположение приведены в табл.

20.4.

Чтобы лучше проследить свой

прогресс в обучении, запишите во втором столбuе дату завершения этих действий.

Таблица

20.4.

Процесс изучения главы Используемый ресурс

Дата

Элемент обзора Ключевые темы

Книга, образ DУD/веб-сайт

Ключевые термины

Книга, образ DУD/веб-сайт

Контрольные вопросы

Книга, РСРТ

Лабораторные работы

Блог

Таблицы для запоминания

Книга, образ DУD/неб-сайт

Таблицы команд

Книга

Ключевые темы Повторите все ключевые темы данной главы, отмеченные пиктограммой" Ключевая

..

тема". Ключевые темы и соответствующие им страницы приведены в табл.

..

• ·:

Таблица 20.5. Ключевые темы Страница

Элемент

Описание

Список

Общие характеристики всех протоколов

Рис.

20.5

Весь трафик поступает на адрес активный,

Рис.

20.6

20.5.

R2 -

.1

663

FHRP

(маршрутизатор

R1 -

665

резервный)

Как только откажет маршрутизатор

пройдут через маршрутизатор

R2

R 1,

посланные пакеты

(новый активный)

666

Глава

20.

Реализация протокола

HSRP для

маршрутизации...

683

Окончание табл.

Страница

Элемент

Описание

Список

Интерпретация вывода команды

Список

Правила вытеснения

Табл.

Различия версий протокола

20.2

Список

show standby brief

Параметры конфигурации

Ошибки в конфигурации

20.3

670 671

HSRP

674

HSRP

HSRP,

совпадающие

на маршрутизаторах в одной группе Табл.

20.6

HSRP

676

HSRP

676

и ожидаемые результаты

Ключевые термины Единая точка отказа

(single point of failure), протокол резервирования первого (First Нор Redundancy Protocol - FHRP), протокол резервно­ го маршрутизатора (Hot Standby Router Protocol - HSRP), протокол резервирования виртуального маршрутизатора (Yirtual Router Redundancy Protocol - VRRP), прото­ кол балансировки нагрузки шлюза (Gateway Load Balancing Protocol - GLBP), вир­ туальный IР-адрес (virtual IP address), виртуальный МАС-адрес (virtual МАС address), состояние HSRP active (HSRP active), состояние HSRP standby (HSRP standby).

транзитного участка

Таблицы команд В табл.

20.6

и

приведены команды конфигурации и проверки, используемые

20.7

в этой главе. Рассматривайте их как простое упражнение: закройте левый столбец,

прочитайте правый столбец и попытайтесь вспомнить команду. Затем повторите это упражнение, закрыв правый столбец и попытавшись вспомнить, что делает команда.

Таблица

20.6.

Команды конфигурации Описание

Команда

standby

номер_группы

ip

виртуальный- ip

Подкоманда интерфейса, разрешающая протокол определяющая виртуальный его с конкретной группой

standby номер_группы priority О .. . 255

1Р-адрес HSRP

HSRP,

и ассоциирующая

Подкоманда интерфейса, задающая приоритет, влияющий на то, какой маршрутизатор станет активным

маршрутизатором

HSRP.

Побеждает более высокое

значение, причем стандартным является значение

100.

Команда ассоциирует параметр с конкретной группой

HSRP [no] standby preempt standЬy

номер_группы

номер_группы

описательное

Подкоманда интерфейса, разрешающая приоритетность (или запрещающая при использовании версии

1

2

no)

Подкоманда интерфейса, определяющая имя и ассоциирующая его с конкретной группой

имя

standby version 1

name

HSRP

Подкоманда интерфейса, устанавливающая версию используемую для всех групп на интерфейсе

HSRP,

684

Часть

Таблица

20. 7.

V. Маршрутизация 1Pv4, поиск и устранение неисправностей

Пользовательские команды

Команда

Описание

show standby

Выводит подробности о состоянии HSRP, включая виртуальный IР-адрес, активные и резервные в настоящее время маршрутизаторы, виртуальные МАС-адреса и счетчики

show

stanc!Ьy

brief

Выводит по одной строке информации о состоянии для каждой группы

HSRP,

активные и резервные в настоящее время

маршрутизаторы и виртуальные IР-адреса

Ответы на контрольные вопросы

1-

Г.

2-

В.

3-

В.

4-

Б.

5-

В.

6-

А, В.

ГЛАВА

21

Поиск и устранение неисправностей маршрутизации 1Pv4 Эта глава посвящена поиску и устранению неисправностей уровня данных В ней затрагиваются основы работы 1Р: логика хоста, ее влияние на параметры

1Pv4. 1Pv4,

необходимость соответствия этих параметров таковым у стандартного маршрутиза­

тора, перенаправление маршрутизатором пакетов и как план IР-адресации способен создать проблемы.

Обратите внимание, что в книге по

ICNDI

эти темы обсуждаются весьма подроб­

но. Фактически данная глава существует и в книге по ICNDI как глава 24. Данная глава в книге ICND2 практически идентична - текст, рисунки, примеры и таблицы те же, но на страницах могут располагаться немного в иных местах.

Темы из данной главы присутствуют в книгах и по ICNDI, и по ICND2 по не­ скольким причинам. В первую очередь, потому, что экзаменационные темы ICND2 содержат одну специфическую тему, посвященную поиску и устранению неисправ­ ностей на уровне данных

1Pv4,

затрагивающую большинство этих проблем (другие

проблемы, такие как поиск и устранение неисправностей списков ACL, обсуждают­ ся в других главах). Кроме того, все темы поиска и устранения неисправностей 1Pv4 в книгах по ICNDI и ICND2 полагаются на фундаментальные навыки уровня данных 1Pv4, представленные в этой главе. Таким образом, если у вас есть обе книги, нет никакой необходимости читать и изучать обе главы

-

и главу

24

книги по

ICND 1,

и эту главу; они действительно

одинаковы. Но даже если вы читали эту главу некоторое время назад, когда изуча­ ли книгу по

ICNDI,

уделите, пожалуйста, время по крайней мере обзору ключевых

тем данной главы или используйте приложение обзора ключевых тем на образе книги или веб-сайте.

В этой главе рассматриваются следующие экзаменационные темы

5.0.

Управление инфраструктурой

5.6.

Поиск и устранение неисправностей простых сквозных соединений на уровне

3

DVD

Часть V. Маршрутизация 1Pv4, поиск и устранение неисправностей

686

Основные темы Проблемы между хостом и стандартным маршрутизатором

Предположим, вы сотрудник службы

CSR,

отвечающий за заявления пользовате­

лей о проблемах. Пользователь оставил сообщение о невозможности подключиться к серверу. Вы перезвонили пользователю, но не застали его, поэтому ввели серию команд

ping

со стандартного маршрутизатора для этого хоста. По завершении вы

приходите к выводу, что проблема кроется где-то между устройством пользовате­ ля и стандартным маршрутизатором, т.е. между маршрутизатором

на рис.

и хостом А

RI

21.1.

G0/0.

Проблемный домен

Сервер

IР-адрес Маска

IP

Стандартный маршрутизатор

Сервер

DNS Рис.

21.1.

Схема сети, обсуждаемой в этом разделе

В данном разделе рассмотрены проблемы, причина которых может крыться в хо­ стах, их стандартных маршрутизаторах и между ними. Сначала рассматриваются сам хост и его четыре параметра

1Pv4,

представленные на рис.

стандартный маршрутизатор, его интерфейсы

LAN

21.1.

Далее обсуждаются

и параметры, которые должны

быть установлены на маршрутизаторе, чтобы он служил стандартным маршрутиза­ тором хоста.

Первопричины в параметрах хоста

1Pv4

Типичный хост 1Рv4получаетсвои четыре ключевых параметра 1Рv4одним из двух

способов: либо в ходе статической конфигурации, либо с помощью протокола

DHCP.

В обоих случаях параметры могут оказаться неправильными. Понятно, что при лю­ бой статической установке параметров человек может допустить ошибку при вводе значений. Куда удивительнее тот факт, что протокол DHCP также может установить неправильные значения: процесс чениях на сервере

DHCP хост

DHCP

может работать, но при неправильных зна­

может получить неправильные параметры

1Pv4.

Сначала рассмотрим параметры на хосте, а затем перейдем к обсуждению типич­ ных проблем.

Гарантия правильности параметров

1Pv4

Если инженер подозревает, что проблема кроется где-то между хостом и его стан­ дартным маршрутизатором, ему следует проверить параметры

1Pv4

хоста, сравнив

их с правильными. Этот процесс начинается с запроса у пользователя ввода таких команд, как

ipconfig

и

ifconfig,

в зависимости от операционной системы хоста,

с помощью графического интерфейса пользователя (GUI) или командной строки. Этот процесс позволяет выяснить наиболее очевидные проблемы, такие как полное

Глава

21. Поиск и устранение неисправностей маршрутизации 1Pv4

отсутствие параметров или, при использовании протокола токола

DHCP,

DHCP, полный 1Pv4.

687

отказ про­

не позволяющий получить никаких параметров

Если параметры у хоста есть, то следующим шагом должна быть проверка соот­ ветствия их значений остальной части объединенной сети. IР-адрес сервера

DNS

(обычно это список как минимум из двух адресов) должен соответствовать адресу сервера

DNS,

фактически используемого в объединенной сети. В остальной части

параметров должен быть указан правильный интерфейс

LAN

маршрутизатора, ис­

пользуемого как стандартный маршрутизатор этого хоста. На рис.

21 .2

приведены все

проверяемые элементы с объяснениями.

® Стандартный

-----------

маршрутизатор

@ маска

@ Адрес + Маска Идентификатор подсети

1

и адресный интервал Соответствует

Рис.

21.2.

Соответствует

Сравнение параметров

1Pv4 хоста с используемыми в сети

На рисунке пронумерованы следующие этапы проверки параметров хоста Р-!!~~ Поиск проблемы в параметрах

1Pv4.

1Pv4 на хосте и его стандартном

маршрутизаторе

Этап 1 Проверьте правильность списка адресов серверов Этап

DNS на хосте

2 Используя команду ip address, сверьте параметр стандартного маршрутизатора на хосте с конфигурацией интерфейса LAN маршрутизатора

Этап

3 Сверьте маски подсети, используемые маршрутизатором и хостом; если они не совпадают, то и подсети не совпадают, что вызовет проблемы с некоторыми адресами хостов

Этап

4 Хост и маршрутизатор должны быть подключены к одной подсети с одинаковым идентификатором подсети и одинаковым диапазоном 1Р­ адресов. Поэтому, используя 1Р-адреса и маски на маршрутизаторе и хосте, вычислите идентификаторы подсети и диапазоны адресов. Убедитесь, что они принадлежат той же подсети, что и маршрутизатор (команда

ip

address) Если параметр конфигурации

1Pv4

на хосте отсутствует или явно неправильный,

учтите, что его исправление может быстро устранить проблему. Например, если можно войти на маршрутизатор и ввести команду

show interfaces G0/0,

а затем

688

Часть

V.

Маршрутизация

поиск и устранение неисправностей

1Pv4,

попросить пользователя ввести команду

ipconfig /all

(или подобную) и прочитать

вам вывод, то можно сравнить все параметры, как на рис.

21.2.

Несмотря на то что проверка параметров хоста действительно очень полезна, не

все связанные с хостами проблемы так просто определить. В следующих разделах рассматривается несколько примеров проблем, чтобы продемонстрировать призна­

ки некоторых менее очевидных проблем. Несовпадение масок влияет на маршрут доступа к подсети Диапазоны адресов подсети на хосте и его стандартном маршрутизаторе должны быть согласованы. Иногда возникает желание пропустить эту проверку, игнорируя маску на хосте или на маршрутизаторе, считая, что на обоих устройствах использу­

ется одинаковая маска. Но если у хоста и маршрутизатора значения маски подсети различаются, то каждый из них вычислит свой диапазон адресов в подсети, что соз­ даст проблемы.

Рассмотрим пример такой сети, как на рис.

21.3.

На хосте А заданы

1Р-адрес

и ма­

ска 10.1.1.9/24, а также стандартный маршрутизатор 10.1.1.150. Быстро рассчитыва­ ем, принадлежит ли адрес 10.1.1.150 (адрес стандартного маршрутизатора) подсети хоста А. Да, принадлежит, как должно. Расчеты хоста А для этой подсети дают иден­

тификатор подсети

10.1.1.0 с диапазоном 10.1.1.255.

адресов от

10.1.1.1

до

10.1.1.254 и

широко­

вещательный адрес подсети

Если получатель не из диапазона

10.1 .1.0- 10.1.1.255, послать

~----~~~~--! 10.1.1.9/ 24

·-.

... ""

на

10.1.1.150/ 25 .

-- ... - --- -"

R1

__.-"1(

""

Стандартный маршрутизатор

Рис. 21.З. Разные результаты вычисления подсети на хосте и в сети

В данном случае маршрутизация пакетов с хоста получателя вне подсети рабо­ тает хорошо, но в обратном направлении из остальной части сети назад на хост

нет. Быстрая проверка конфигурации маршрутизатора и маска, показанные на рис.

10.1.1.128/25, Пример

21.1.

21.3,

Rl

-

показывает, что \Р-адрес

создают подключенный маршрут для подсети

как демонстрируется в примере

21.1.

IР-адрес и маска на маршрутизаторе

R1,

а также

подключенная подсеть, в которой отсутствует адрес хоста А

Rl# show running-config interface gO/O Building configuration ... Current configuration: 185 bytes interface GigabitEthernet0/0 description LAN at Site 1 mac-address 0200.0101.0101 ip address 10 . 1 . 1 . 150 255.255 . 255 . 128

Глава 21. Поиск и устранение неисправностей маршрутизации

1Pv4

689

ip helper-address 10.1.2.130 duplex auto speed auto end

Rl# show ip route connected Легенда

для

краткости

10.0.0.0/8 is variaЫy subnetted, 9 subnets, 4 masks 10.1.1.128/25 is directly connected , GigabitEthernet0/0 10.1.1.150/32 is directly connected, GigabitEthernet0/0

С

L 1

пропущена

Другие маршруты пропущены для

краткости

Из-за данного конкретного несоответствия маршрутизатор R 1 считает хост ( 10.1.1.9) не входящим в подсеть ( 10.1.1.128/25 дает диапазон от 10.1.1.129 до 10.1.1.254 ). Маршрутизатор Rl добавляет в таблицу маршрутизации подключенный маршрут к подсети 10.1.1.128/25 и даже анонсирует его (в данном случае по протоколу OSPF) другим маршрутизаторам в сети, как показано на рис. 21.4. Все маршрутизаторы знают, как перенаправить пакеты к подсети 10.1.1.128/25, но, к сожалению, этот маршрут не включает 1Р-адрес 10.1.1.9 хоста А.

Хосты должны использовать ту же маску подсети, что и стандартный маршрути­ затор. Эти два устройства должны согласовать, какая подсеть существует в их общей

LAN.

В противном случае могут возникнуть проблемы, как в данном примере, или

они могут возникнуть позже, если будут добавлены другие хосты. Маршрут

OSPF к

0.1 .1.128/ 25 НЕ соответствует 1О. 1 . 1 .9

v

•

Подключенный маршрут

к10.1.1.128/25НЕ соответствует

10.1.1.9

10.1.1.128/25

а------

10.1.1 .150/25 .

10. 1. 1. 9/24

Рис.

21.4.

У маршрутизаторов нет маршрута, соответствующего адресу

Типичные причины проблем

10. /.1.9хоста А

DNS

Когда на хосте задан неправильный список IР-адресов серверов

DNS,

симптомы

вполне очевидны: неудачей заканчиваются любые действия пользователя, требую­

щие преобразования имен. Если неправильный параметр проблема, то любая проверка сети с помощью команд зованием имен закончится отказом, но с

1Р-адресами

DNS - это единственная ping и traceroute с исполь­ вместо имен все работает ис­

правно.

Если командарingотказалас именемдругогохоста, но сработала с 1Р-адресомтого же хоста, то есть проблема с

DNS.

Предположим, например, что пользователь обра­

тился в службу технической поддержки с жалобой на невозможность подключиться

Часть

690

к серверу

V. Маршрутизация 1Pv4, поиск и устранение неисправностей

Serverl.

Сотрудник

CSR

вводит команду

ре. Команда срабатывает и демонстрирует Затем сотрудник ды:

CSR

ping Serverl

ping serverl

1Р-адрес 1.1.1.1

на своем компьюте­

как адрес сервера

Serverl.

просит пользователя ввести на своем компьютере две коман­

(которая терпит неудачу) и

ping 1. 1. 1. 1

(завершается успешно).

Теперь понятно, что проблема кроется в процессе преобразования имен

на ком­

DNS

пьютере пользователя.

В настоящей книге не рассматривается подробно внутренняя работа службы

но две следующие первопричины проблем службы

Две первопричины проблем

•

DNS

DNS,

вполне очевидны.

DNS

На пользовательском хосте (клиенте

DNS)

может быть задан неправильный

параметр /Р-адреса (адресов) сервера.

•

Проблема соединения

IP

между хостом пользователя и сервером

DNS.

Хотя первая проблема вполне очевидна, имейте в виду, что это может случиться

и при статических параметрах, и при использовании протокола задан неправильный

1Р-адрес сервера DNS,

Если на хосте

DHCP.

причем задан статически, достаточно из­

менить этот параметр. Если неправильный адрес сервера

DHCP,

необходимо исследовать конфигурацию сервера

сервера ме пула

DHCP для DHCP.)

этого применяется команда

DNS получен по протоколу DHCP. (При использовании

dns-server

Вторая проблема поднимает важный вопрос

-

адрес-сервера в режи­

поиск и устранение любой реаль­

ной проблемы сети. Практически все реальные пользовательские приложения ис­

пользуют имена, а не адреса, и большинство хостов использует сервер

DNS для

пре­

образования имен. Таким образом, каждое соединение с новым приложением за­

действует два набора пакетов: пакеты, передаваемые между хостом и сервером и пакеты, передаваемые между хостом и реальным сервером (рис. 21.5). Сервер

DNS,

DNS

2.2.2.2

Сервер

1

1.1.1 .1 Рис.

21.5.

Сначала передаются пакеты преобразования имен ЛNS, а затем

-

пакеты реального сервера

И наконец, прежде чем завершить тему преобразования имен, обратим внимание

на то, что на маршрутизаторе могут быть заданы

1Р-адреса

серверов

DNS,

поэтому

команды маршрутизатора могут преобразовывать имена. Например, пользователь интерфейса командной строки

serverl

(CLI) маршрутизатора может ввести команду ping DNS для преобразования имени serverl в его /Р­ маршрутизатор на использование службы DNS для преоб­

и рассчитывать на запрос

адрес. Чтобы настроить

разования имен, маршрутизатор нуждается в глобальной команде

ip narne-server ip dornain-

aдpec-dnsl aдpec-dns2" .. Он нуждается также в глобальной команде

lookup,

используемой изначально.

Глава

21. Поиск и устранение неисправностей маршрутизации 1Pv4

691

Для поиска и устранения неисправностей имеет смысл задать на маршрутизаторе или коммутаторе параметры

DNS, соответствующие таковым у локальных хостов.

Но

обратите внимание, что эти параметры никак не влияют на пользовательские запро­

сы

DNS.

ВНИМАНИЕ!

На практике команда

ip domain- lookup стандартно задействована, но без 1Р-адреса серве­ DNS. Большинство сетевых инженеров либо указывают в конфигурации адреса серверов DNS, либо отключают службу DNS командой по ip domain-lookup.

ра

Неправильный параметр IР-адреса стандартного маршрутизатора Понятно, что при указании на хосте неправильного IР-адреса стандартного маршрутизатора возникнут проблемы. При передаче пакетов в другие подсети хосты полагаются на стандартный маршрутизатор, и если на хосте задан неправильный па­ раметр стандартного маршрутизатора, то хост не сможет посылать пакеты в другую

подсеть. Такой пример представлен на рис. 21.6. В данном случае на хостах А и В не­ правильно указан адрес 10.1.3.4 как адрес стандартного маршрутизатора, вероятно, в связи с ошибкой в документаuии. Маршрутизатор

R3

использует

1Р-адрес 10.1.3.3.

(Будем считать, что никакой другой хост или маршрутизатор в этой подсети не ис­ пользует адрес

10.1.3.4.) VLAN 1

'11111'

10.1.3.9

~ Интерфейс G0/1

~ Стандартный

ip address 10.1.3.3

~ маршрутизатор

----~.......- 10.1 .3.4 10.1.3.8 Рис.

21. 6.

Неправильный параметр ста11дартноtо маршрутизатора на хостах Л и В

В данном случае некоторые функuии действительно работают. Например, хосты А и В могут посылать пакеты другим хостам в той же сети

LAN. Сотрудник CSR в CLI ping 10. 1. 3. 9 и ping 10. 1. 3. 8, причем обе сработают. В результате этих двух запросов маршрутизатор R3 указал бы МАС­ адреса этих двух компьютеров в выводе команды show arp. Аналогично хосты со­ держали бы IР-адрес 10.1.3.3 маршрутизатора R3 (и соответствующий МАС-адрес) в своих кешах ARP (обычно они отображаются командой arp -а). Поскольку про­ маршрутизатора может ввести команды

блема в данном случае проявляется при попытке хостов посылать пакеты во внешние

подсети, попытка послать пакеты на

1Р-адрес 10.1.3.4 потерпит

неудачу.

Причины проблем в конфигурации стандартного маршрутизатора Хотя для правильной работы на хостах должны быть заданы правильные парамет­

ры

1Pv4,

это вовсе не гарантирует, что хост в локальной сети сможет успешно пере­

дать пакет на стандартный маршрутизатор. Сеть

LAN

между хостом и маршрутиза­

тором должна работать. Кроме того, сам маршрутизатор должен работать правильно, согласно проекту объединенной сети.

Здесь рассматриваются проблемы между хостами и их стандартным маршрутиза­ тором. В частности

-

типичные проблемы

фейсов маршрутизатора.

DHCP,

а также причины отказа интер­

692

Часть V. Маршрутизация 1Pv4, поиск и устранение неисправностей

Проблемы

DHCP

Хосты, использующие протокол

DHCP

для динамического резервирования IР­

адреса (и изучения других параметров), вынуждены полагаться на работоспособ­

ность сети для передачи сообщений применяет централизованный сервер ными подсетями

LAN,

на маршрутизаторах должно быть разрешено такое средство,

DHCP (DHCP Relay), обеспечивающее работу протокола DHCP.

как ретранслятор Без ретранслятора подсеть

DHCP. В частности, если объединенная сеть DHCP, используемый многими дистанцион­

DHCP

запросы

DHCP

от хостов никогда не покинут локальную

LAN.

Общие концепции работы ретранслятора DHCP представлены на рис. 21.7. В дан­ ном примере клиент DHCP (хост А) находится слева, а сервер DHCP (172.16.2. 11) справа. Клиент начинает процесс резервирования DHCP, передавая сообщение

DHCP Discover.

DHCP

Без настройки ретранслятора

на маршрутизаторе

передавались бы только в локальный сети. Чтобы перенаправить сообщение

Discover,

маршрутизатор

Rl

разрешает ретрансляцию

DHCP с

RI они DHCP

помощью команды

ip

helper-address 172. 16. 2. 11 на его интерфейсе GO/O. ip helper-address 172.16.2.11

t 172.1~di~-----

,eJ-t

в

......,.._ _ _ _

G) .:j

Discover

~

t L На

@ .:j

Discover

~

t Lна172.16.2.11

255.255.255.255

ОгО . 0 . 0 . 0

Сервер

Ог172.16.1.1

Рис.

DNS

172.16.2.11

21. 7. Действие команды ip helper-address

Этапы на рисунке демонстрируют необходимость в ретрансляции DHCP. На этапе 1 хает А посылает сообщение на широковещательные 1Р и L2 адреса 255.255.255.255 и ff:ff:ff:ff:ff.ff соответственно. Посланные на этот широковещательный IР-адрес локальной подсети пакеты никогда не перенаправляются маршрутизатором вовне.

Все устройства в подсети получат и обработают такой фрейм. Кроме того, посколь­ ку на маршрутизаторе

RI

введена команда

ip helper-address,

он извлечет пакет

DHCP, и примет меры. Этап 2 демонстрирует результаты применения ретранслятора DHCP, когда маршрутизатор R 1 изменяет 1Р­ адреса отправителя и получателя, а затем перенаправляет пакет по адресу 172.16.2. 11, из фрейма, убедится, что это запрос

указанному в команде.

Следующий контрольный список

-

хорошее начало при поиске и устранении не­

исправностей, связанных с проблемами

Условия для передачи сообщений

DHCP. DHCP с

клиента на сервер

Этап 1 При использовании централизованного сервера

DHCP по

DHCP крайней мере

один маршрутизатор в каждой дистанционной подсети, обладающей

клиентами

DHCP, должен действовать как агент пересылки DHCP и

правильно настроенную подкоманду

ip helper-address

на интерфейсе, подключенном к этой подсети

адреса

иметь

Глава

Этап

21.

Поиск и устранение неисправностей маршрутизации

Найдите и устраните все проблемы соединения

2

и сервером

DHCP,

IP между агентом

1Pv4

693

пересылки

используя как адреса отправителя и получателя пакетов

1Р-адреса интерфейсов агента пересылки и сервера 3 Вне зависимости от использования локального или централизованного сервера DHCP, найдите и устраните все проблемы LAN между клиентом и агентом пересылки DHCP Этап 4 Найдите и устраните ошибки конфигурации сервера Этап

Кроме того, если конфигурация включает команду

ip helper-address, но со­ 1Р-адрес сервера DHCP, служба DHCP тоже будет недоступна. Пример 21.2 демонстрирует измененную конфигурацию ROAS на маршрутизато­ ре R3 согласно тому же сценарию, что и на рис. 21. 7. Конфигурация маршрутизатора работает прекрасно, поддерживая протокол 1Pv4 и обеспечивая его доступность. Но команда ip helper-address введена только на одном субинтерфейсе.

держит неправильный

Пример

21.2.

Отсутствие поддержки ретрансляции

DHCP

на субинтерфейсе

ROAS

interface GigabitEthernetO/l ip address 10.1.3.3 255.255.255.192 ip helper-address 10.1.2 . 130 interface GigabitEthernet0/1.2 encapsulation dotlq 2 ip address 10.1.3.65 255.255.255.192 На этом субинтерфейсе нет команды ip helper-address! В данном случае хосты в подсети

10.1.3.0/26 (на интерфейсе GO/I ), которые со­ DHCP, вполне могут это сделать, подразумевая, что хост по адресу 10.1.2.130 действительно является сервером DHCP. Однако хос­ ты в подсети 10.1.3.64/26 (на субинтерфейсе G0/1.2) не смогут изучать параметры по протоколу DHCP из-за отсутствия команды ip helper-address. бираются использовать протокол

Второй этап в контрольном списке требует использования расширенной коман­ ды ping или traceroute. Помните, что агент пересылки DHCP изменяет 1Р-адреса отправителя и полу 200l:DB8:1111:2:F816:3EF F: FEEl: 5CF5 ( ) , 1 packet *Mar 6 22:13:07.326: %IPV6 ACL-6-ACCESSLOGDP: list Vб_APPS_ACL/40 permitted icmpvб 200l:DB8:1lll:l:F816:3EFF:FEF6:7296 -> 2001:DB8:1111:2:F816:3EFF:FEE 1:5CF5 (128/0), 1 packet R2# show ipvб access-list IPv6 access list V6 APPS ACL 2001:DB8:1111:1::/64 2001:DB8:1111:2::/64 eq 51234 log sequence 10 permit tcp 200l:DB8:1111:1::/64 2001:DB8:1111:2::/64 eq 22 log ) sequence 20 (34 ma permit icmp 2001:DB8:1111:1::/64 2001:DB8:1111:2: :/64 echo-request log ) sequence 30 (3 mat R2#

ACL 1Pv6 используют ключевое сло­ R2 демонстрирует через регистрацию уровня консоли, что со­ единения были созданы через порты ТСР 51234 и 22, а также успешное выполнение команды ping. Когда списокАСL 1Pv6 проверяется на маршрутизаторе R2, регистра­ Поскольку обе записи расширенного списка

во

log,

маршрутизатор

ционные сообщения и счетчики команды

всем трем записям списка

ACL.

show

показывают, что были соответствия

Таким образом, этот расширенный список

ACL 1Pv6

ведет себя так, как ожидалось и как нужно.

Практика создания команды

ipv6 access-list

Данный раздел посвящен практическим заданиям на создание записей мандами

ipv6 access-list permit

и

deny,

ACL с

ко­

в частности выбору правильной логики

распознавания. Вначале приведено несколько важных советов, которые имеет смысл учитывать при выборе параметров распознавания записей ACL ipv6 access-list

permi t

и

deny.

Часть VI. Протокол

812

.... : ". • •

1Pv6

Советы по распознаванию 1Рv6-адреса в списках

ACL 1Pv6

•

Для распознавания только конкретного адреса выведите адрес после ключево­

•

Для распознавания любого и всех адресов используйте ключевое слово

•

Для распознавания только на основании префикса 1Pv6 используйте символ "/"для отделения количества битов в длине префикса. Например, длина пре­ фикса /64 соответствует первым 64 битам из 128 битов 1Рv6-адреса и любой идентификатор интерфейса (lnterface ldentifier - 11 D) в пределах младших 64 битов этого адреса находится в данном префиксном диапазоне .

го слова

host. any.

В табл. 25.1 содержится несколько практических задач . Ваша задача - создать ко­ роткий стандартный списокАСL, распознающий заданные пакеты. Ответы приведе­ ны в заключительном разделе этой главы .

Таблица

25.1.

Практика создания разрешающих и запрещающих записей расширенного списка

Задача

ACLs 1Pv6

Условие

Разрешить пакеты

1Рvб

с любого адреса для префикса

Разрешить и зарегистрировать пакеты

2

1Рvб

от хоста

200 l :db8:45::/48

2001:db8:1 : l: :234

к сети

1Рvб

200l:db8:1l1l:lll1 ::/64 Разрешить любые пакеты НТТР отовсюду к неб-серверу с

3

1Рvб-адресом

2001:db8:12:34:: l 00 Разрешить и зарегистрировать пакеты

4

HTTPS

от хоста

2001 :db8: l l :22 :: l

к хосту

200l :db8:33:44: : 1 Разрешить защищенное соединение

5

(SSH)

с маршрутизатором по

1Рvб-адресу

200l:db8: 12:34:: 1 Разрешить пакеты

6

ICM Рvб Echo Request

отовсюду к сетевому префиксу IPvб

200l :db8:1l1 l::/48 Разрешить многоадресатные пакеты

7

Другие темы списков

1Pv6 от любого

адреса

ACL 1Pv6

В этом заключительном главном разделе главы обсуждаются две темы, относящи­

еся и к стандартным, и к расширенным спискам ACL 1Pv6. В конце каждого списка ACL 1Pv6 есть несколько неявных правил. Вначале обсуждаются протоколы, распоз­ наваемые по этим правилам, а затем рассматриваются сами неявные правила. Второй

раздел посвящен использованию списков ACL тизатору с использованием Telnet 1Pv6 и SSH.

1Pv6 для

контроля доступа к маршру­

Неявные правила

ACL 1Pv6 У каждого списка ACL есть стандартный

"защитный экран", отбрасывающий лю­ бой не разрешенный явно пакет. В конце каждого списка ACL 1Pv6 есть неявный опе­ ратор

deny

ipvб

any any, перехватывающий любой нераспознанный deny ip any any в конце списка ACL 1Pv4.

как неявный оператор

пакет, совсем

Глава

25.

Списки управления доступом

1Pv6

813

Для правильной работы протоколу IPvб требуется протокол ICMPvб, а в каждой локальной сети с поддержкой IPvб необходим метод многоадресатной передачи . К сожалению, неявный запрет всего в конце списка ACL 1Рvб способен отфильтро­ вать пакеты ICM Рvб и многоадресатные пакеты. Протокол обнаружения соседних устройств (Neighbor Discovery Protocol - NDP) является частью протокола ICMPvб. Как упоминалось в главе 31 книги по ICNDI, протокол NDP осуществляет поиск соседних устройств, используя сообщения NDP NS (Neighbor Solicitation - запрос соседа) и NA (Neighbor Advertisement - анонс соседа), а также RS (Router Solicitation - запрос маршрутизатора) и RA (Router Advertisement - анонс маршрутизатора). Поэтому сетевым инженерам не стоит быть чрезмерно агрессивными в отношении фильтрации сообщений ICMPvб и многоа­ дресатных сообщений. Но в предыдущих примерах списков ACL 1Рvб этой главы пе­ редача сообщений

NDP не IOS

операционная система

была разрешена явно. Данный раздел рассматривает, как гарантирует правильную передачу этих сообщений

Пример фильтрации пакетов

NDP ICMPv6

ICMP.

и негативных последствий

Чтобы лучше все понять, давайте проведем небольшой эксперимент. Давайте , не полагаясь на неявные операторы в конце списка ACL IPvб, явно запретим весь тра­ фик протокола ICMPvб и все многоадресатные сообщения IPvб, а затем посмотрим, что будет. Примеры 25.8 и 25.9 демонстрируют исходное состояние, вообще без спи­

ACL; они представляют информацию, изученную в соответствии с протоколом NDP протокола ICMPvб. Затем пример 25. 10 демонстрирует случай, когда список ACL блокирует весь трафик ICM Рvб и все многоадресатные пакеты 1Рvб, чтобы про­

сков

демонстрировать воздействие фильтрации на сеть.

Эта серия примеров использует топологию сети, представленную на рис. 25.4, это та же топология, что и ранее в этой главе , на рис. 25.1 и 25.3 . Пример 25.8 подтвержда­ ет, что маршрутизатор RI правильно обнаружил кеш соседей NDP IPvб. Это также демонстрирует, что интерфейс GigabltEthernet 0/1 маршрутизатора RI функциони­ рует правильно, получая многоадресатные сообщения и сообщения тизатора

RA

от маршру­

R2 . G0/ 2 ~

~ G0/ 1

/2 FE80:: F816:3EFF:FEED :95B8 ~~О 2001 :DB8:1111 :12:: 2 1111if8'

Хает В

Хост А

Рис.

25.4.

Сеть, исполыуе.ман для демонстрации фильтрации списками

Пример

ACL сообщений NDP /СМР

25.8. Проверка NDP 1Pv6 на маршрутизаторе R1

Rl# show ipvб interface GigaЬitEthernet 0/1 Gigabit Ethernet O/l is up, line protocol is up IPvб is enaЫed, link-local address is FE8 0 ::F81 6:3 EFF:FE 25:563A No Virtual link-local address(es ) : Global uni cast addre ss(es) : 200l:DB8:1111:12::1, subnet is 200l:DB8:1111:1 2: : /6 4 Joined group add ress (es): FF 02:: 1

Часть

814

VI.

Протокол

1Pv6

ff 02 : : 2 ff 02 : : 1: ff OO : 1 ff 02 : :l:ff25 : 563A С т ро ки

про п у щ е ны

дл я

кра тк ос ти

Rl # show ipvб neiqhЬors GigaЬitEthernet0/1 Age Lin k- layer Add r State I nterf ace IPv6 Address 11 f a l 6 . 3eed.9 5b8 STALE GiO/l 2001 : 088 : 1111 : 12 :: 2 11 f a l 6 . 3eed . 95b8 STALE GiO /l FE80 :: F816 : 3EfF : FEED : 95B8 Rl # show ipvб routers Router FE80 :: f816 : 3EFF : FEED : 95B8 on GigabitEt he r netO/l , last update 2 min Hops 64, Li f et ime 1800 sec , Add r fl a g=O , Othe r Fl ag=O , MTU=l 500 HomeAge ntfl ag=O , Prefe r e nce=Medi um Reac h a Ы e time О (uns pec ifi e d ) , Re tra ns mi t t i me О (unspecified) Prefix 200 l: DB8 :111 1 : 12::/6 4 onl i nk a utocon fi g Val i d li f etime 2592000 , prefe r red l i f etime 604800

25.8 свидетельствует, что маршрутизатору RI известны два адреса соседей хранимых в его кеше соседей, оба принадлежат маршрутизатору R2. Первый адрес - это глобальный одноадресатный адрес интерфейса GigabltEthernet 0/1 марш­ рутизатора R2 и второй - локальный канальный адрес того же самого интерфейса Пример

1Pv6,

маршрутизатора R2 . Вывод команды sh ow ipvб routers подтверждает, что марш­ рутизатор RI уз нал об одном другом маршрутизаторе IPvб (также R2) . Эта команда

NDP, подтверждая в данном случае, R 1 получает сообщения RA, которые маршрутизатор R2 передает через свой интерфейс GigaЬitEthernet 0/1 . Следовательно, маршрутизатор RI отлич­ но доступен маршрутизатору R2. В примере 25 .9 те же проверки осуществляются на маршрутизаторе R2. выводит информацию, изученную по протоколу

что маршрутизатор

Пример

25.9.

Проверка

NDP 1Pv6

на маршрутизаторе

R2

R2 # show ipvб interface GiqaЬitEthernet 0/1 Gigabi tE the rnetO/ l i s up, l ine pro t ocol is up IPv6 is e n aЫe d, li nk- local addr ess i s fE80 : :F816 : 3EFF : FEED : 95B8 No Vi r t ual l i nk-l ocal add r es s (es): Gl obal un icas t address(es) : 20 0l:DB8 :1111: 12 : : 2 , s ubnet is 200 l:DB8:1 111: 12 : :/64 Joine d gr oup addre s s (es) : ff 02 : : 1 ff 02 :: 2 fF0 2 : : 1: F'F'OO : 2 FF02 ::l: FFED:9 5B8 С т ро ки

п р о п уще ны дл я

крат к ос ти

R2 # show ipvб neiqhЬors GigaЬitEthernet0/1 State I nterface Lin k- layer Addr IPv6 Address Age 11 f а 1 6 . Зе25 . 563а STALE GiO/l 2001 : DB8:1111 : 12: : 1 11 f a l 6.3e25.563a STALE GiO/ l FEBO : : F816 : 3EFF : FE25 : 563A R2# show ipvб routers Router FE80 :: F816 : 3EFF : FE25 : 563A on Gigabi t Et he rn etO/l , las t upda t e 1 min Hops 64, Lifetime 1800 sec , AddrFlag=O , Ot her f lag=O, MTU=l500

Глава

25.

Списки управления доступом

1Pv6

815

HomeAge ntFlag=O , Prefe re nce=Medium t i me О (uns pecified) , Re t ra ns mit t ime О (unspe c ified ) Pr e fi x 2001 :DB8 :11 11 :1 2 : :/6 4 on lin k autoconfig Va lid lifetime 2592000 , preferred lifet ime 60 4800

Reac h aЫe

Пример 25.9 подтверждает, что маршрутизатор R2 юучил два адреса маршрутиза­ тора Rl (глобальный одноадресатный и локальный канал связи), а также узнал, что Rl - это маршрутизатор. Команда show i pvб nei ghbors выводит глобальный одно­ адресатный адрес маршрутизатора Rl и его адрес , локальный в пределах канала свя­ зи , оба из них маршрутизатор R2 узнал из полученных сообщений N DP NA протоко­ ла ICMPvб . Вывод команды show ipvб routers подтверждает, что маршрутизатор R2 узнал о маршрутизаторе Rl, причем изучил он эту информацию из полученных сообщений

NDP RA протокола ICMPvб. 25. 1О добавлены списки ACL 1Рvб,

В примере

препятствующие изучению этими

двумя маршрутизаторами информации друг о друге с использованием сообщений

NDP ICMPv6. Пример демонстрирует конфигурацию списка ACL 1Pv6, блокирую­ щего пакеты ICMPvб и весь многоадресатный трафик , но пропускающего все другие пакеты 1Рvб . Этот расширенный список ACL 1Рvб будет применен во входящем на­ правлении к интерфейсу GigabitEthernet правлении к интерфейсу GigaЬitEthernet

0/1 0/1

маршрутизатора маршрутизатора

RI и во входящем на­ R2. После настройки

ACL будут проверены его наличие в рабочей конфигурации, а также его рабо­ та . Ниже приведена конфигурация на м аршрути заторе Rl , конфигурация на марш­

списка

рутизаторе Пример

R2

25.10.

идентична . Настройка блокирующего списка

ACL 1Pv6

на маршрутизаторе

R1

Rl # configure terminal Enter configuration commands , one per line. End with CNT L/Z. Rl (confi g)# ipvб access-list ВLОСКVб R l (con f ig-ipvб - ac l ) # deny icmp any any Rl(conf i g - ipvб - ac l ) # deny ipvб ff00::/8 any Rl(config - ipvб - acl) # deny ipvб any ff00::/8 Rl ( con f ig - ipvб - acl ) # permit ipvб any any Rl(config - ipvб - acl) # interface GigaЬitEthernetO/l Rl(config-i f)# ipvб traffic-filter ВLОСКVб in Rl(co nfig - i f ) # end Rl# Rl# show ipvб access-list IPvб access list BLOCKV6 deny icmp any any sequence 10 deny ipvб FF00: : /8 any sequence 20 deny ipvб any FFOO : : /8 sequence 30 permit ipvб a ny any seque nce 40 Rl# show ipvб interface 1 include linellist Gigabit EthernetO/l is up , line protocol is up I nbo und access l ist BLOCKV6 Приведенный в примере 25 . 10 список ACL 1Рvб отфильтровывает сообщения RA (анонсы маршрутизатора) протокола ICMPvб по нескольким причинам . Сообщения NDP RA и RS - это часть протокола ICMPv6; таким образом, эти сообщения

Часть

816

VI.

Протокол

1Pv6

распознает первая запись списка

ACL.

Но даже без этого сообщения

редаются на адрес многоадресатной группы всех узлов периодически передают сообщения

RA

(как правило,

NDP RA пе­ (FF02::1). Маршрутизаторы каждые 200 секунд), чтобы

сообщать узлам в сети о характеристиках локальной сети и о методе распределения

\Рvб-адресов. Сообщения ICMPvб

RS

(запрос на получение информации о наличии

маршрутизатора) передаются на адрес многоадресатной группы всех маршрутизато­

ров

(FF02::2).

Когда узел включается или подключается к сети, он немедленно посы­

лает сообщение

RS

на локальный маршрутизатор, чтобы узнать о сети и определить

метод, который нужно использовать для получения своего IРvб-адреса. Команды

в которых указан адрес FF00::/8, распознали бы все многоадресатные адреса. Обратите внимание, что блокирование всех многоадресатных пакетов \Рvб, как

deny,

в примере

25.1 О,

может иметь серьезные негативные последствия для работы марш­

рутизатора. Если список

ACL

ВLОСКУб блокирует многоадресатные пакеты, то

в результате он блокирует и другие групповые передачи, локальные для каналов свя­

зи, такие как OSPFvЗ

(FF02::5, FF02::6), RIPng (FF02::9), EIGRP для IPvб (FF02::A) (FF02::1:2, FF05::1:3). Для дальнейшего изучения друтих общеизвестных многоадресатных IРvб-адресов можно обратиться к документам IANA \Рvб Multicast Address Space Registry по URI приведенному ниже адресу или к главе 30. и DHCPvб

http://www.iana.org/assignments/ipv6-multicast-addresses/ipv6-multicastaddresses.xhtml Простой списокАСL ВLОСКУб не позволит также этим двум маршрутизаторам уз­ 1Рvб-адреса друт друга, что фактически не позволит этим двум маршрутизаторам

нать

успешно перенаправлять пакеты друг друту. Первая строка списка

ACL предотвратит NDP NS и NA. Даже без команды deny icmp any аnусписокАСLотфильтровалбы сообщения NS и NАнаос­ новании используемых адресов. Сообщения NS ICMPvб передаются намногоадресат­ ный адрес опрашиваемого узла (solicited node multicast address) FF02:0:0:0:0:1:FF00::/104 в локальной сети. (Сообщения NA ICMPvб, как правило, отсылаются назад на одноа­ дресатный адрес узла, отославшего первоначальный пакет NS.) Теперь, когда этот список ACL применяется, он блокирует все пакеты протокола ICM Рvб и все многоадресатные пакеты на этом интерфейсе. Проверка кешей соседей и маршрутизаторов на этих двух маршрутизаторах более чем через 5 минут ожидания приведена в примере 25.11. Как можно заметить, записи в кеше соседей на интер­ фейсе уже устарели и кеш RA очень стар. Фактически хосты А и В теперь не могут проверить друг друга с помощью команды ping, поскольку соединение между марш­ рутизаторами RI и R2 было разорвано этими двумя записями списка ACL 1Рvб. передачу всех сообщений JCMPvб, включая все сообщения

Пример

25.11.

Проверка блокирующего списка

ACL 1Pv6

на маршрутизаторе

Rl# show ipvб neighЬors GigaЬitEthernet 0/1 Rl# show ipvб routers Router FE80::F816:3EFF:FEED:95B8 on GigabitEthernet0/1, last update Hops 64, Lifetime 1800 sec, AddrFlag=O, OtherFlag=O, MTU=l500 HomeAgentFlag=O, Preference=Medium ReachaЫe time О (unspecified), Retransmit time О (unspecified) Prefix 200l:DB8:1111:12::/64 onlink autoconfig Valid lifetime 2592000, preferred lifetime 604800

R1

Глава

В примере

25.12

25.

Списки управления доступом

приведен вывод на маршрутизаторе

R2,

1Pv6

817

проверяющий содержи­

мое кеша соседей и кеша маршрутизаторов. Пример

25.12.

Проверка блокирующего списка

ACL 1Pv6

на маршрутизаторе

R2

R2# show ipvб neighЬors GigaЬitEthernet 0/1 R2# show ipvб routers Router FE80: :F816:3EFF:FE25:563A on GigabitEthernet0/1, last update 15 min Hops 64, Lifetime 1800 sec, AddrFlag=O, OtherFlag=O, MTU=l500 HomeAgentFlag=O, Preference=Medium ReachaЫe time О (unspecified), Retransmit time О (unspecified) Prefix 200 l:DB8:1111:1 2 ::/64 onl ink autoconfig Valid lifetime 2592000, preferred lifetime 604800 Как избежать фильтрации сообщений

NDP ICMPv6

Сетевым администраторам следует соблюдать осторожность при создании спис­ ACL 1Pv6, фильтрующих сообщения ICMPv6 и многоадресатные пакеты, чтобы

ков

это непреднамеренно не помешало правильной работе протокола

NDP.

Вот поче­

му так важно, чтобы протокол NDP был разрешен на любом интерфейсе и работал. Другими словами, не нужно отфильтровывать абсолютно все многоадресатные сооб­ щения и сообщения

ICMPv6.

По этой причине в конце каждого списка ACL 1Pv6 Cisco IOS есть три неявных правила . Записи, неявно разрешающие сообщения NS и NA, невидимы , но они есть в конце каждого списка ACL 1Pv6. Последний неявный оператор ACL 1Pv6 - это стандартный оператор deny, как и ожидалось. Три неявных правила, содержащихся в конце каждого списка ACL 1Pv6, представлены в примере 25.13. Пример

25.13. Неявные записи списка ACL 1Pv6

permit icmp any any nd-na permit icmp any any nd-ns deny ipv6 any any Обратите внимание, что эти стандартные операторы действительно разрешают NDP NS и NA, но не сообщения NDP RA и RS. Если в список ACL нуж­ но добавить явные операторы, соответствующие сообщениям RS и RA, то можно

сообщения

permit icmp any any router-advertisement permit icmp any any router-solicitation.

использовать такие команды как

и

ВНИМАНИЕ!

CCNA R&S не рассматривают различия между оnерационными системами NX-OS, на nрактике эти оnерационные системы исnользуют несколько раз­ ные стандарты. Оnерационная система IOS-XE не имеет стандартного разрешения для nа­ кетов NS/NA, nоэтому в конец каждого сnиска ACL IPvб следует добавить явные команды permi t, чтобы не нарушить неnреднамеренно работу nротокола NDP. У оnерационной си­ стемы NX-OS nять неявных оnераторов ACL IPvб: no одному для сообщений NA, NS , RA, RS

Хотя экзамены

Cisco IOS

ХЕ и

и заключительное неявное стандартное заnрещающее nравило.

Благодаря этим неявным правилам список ACL NA/NS, и важно не забыть изменить список

щений

1Pv6 разрешает передачу сооб­ ACL, если нужно использовать

818

Часть

VI.

Протокол

1Pv6

запрет регистрации в конце правил. Таким образом, если необходимо создать спи­ сок ACL, регистрирующий все запрещенные пакеты 1Рvб, его нужно настроить, как в примере Пример

25.14.

25.14.

Явное разрешение

NDP в списке ACL 1Pv6

Rl(config)# ipvб access-list МY_IPVб_ACL Rl(config-1pv6-acl)# permit ipvб any 2001:dЬ8:1111:1: :/64 Rl(config-ipvб-acl)# permit ipvб any 2001:dЬ8:1111:2::/64 Rl(config-ipvб-acl)# permit icmp any any nd-na Rl(config-ipvб-acl)# permit icmp any any nd-ns Rl(config-ipvб-acl)# deny ipvб any any log В списке ACL 1Pv6 из примера 25.14 есть явные записи, разрешающие сообщения NS и NA. Даже при том что они не разрешают явно сообщения RA, данный список ACL, будучи примененным в исходящем направлении, не будет блокировать пере­ дачу сообщений RA, поскольку они создаются маршрутизатором. Подобно спискам ACL 1Pv4, списки ACL 1Pv6 на исходящем интерфейсе не затронут пакеты, создан­ ные самим маршрутизатором. Но если этот список ACL будет применен во входящем направлении, он будет блокировать сообщения RA при получении на интерфейсе этого маршрутизатора.

Заключение о неявной фильтрации

ACL 1Pv6

Существует несколько способов применения пакетов 1Pv6. Простые списки ACL 1Pv6 применяются просто для фильтрации трафика между определенными хостами 1Рvб или префиксами 1Рvб-адресов. Расширенный список ACL 1Рvб имеет больше возможностей для распознавания полей заголовков ICMPv6, ТСР, UDP и других по­

1Рvб, а также в дополнительных заголовках. Следует помнить, что работа протокола 1Pv6 отличаются от работы протокола 1Pv4 в сетях WAN или Интернет и что списки ACL не должны быть чрезмерно агрес­ сивным при фильтрации сообщений протокола ICMPv6. Также не следует забывать,

лей заголовков

что протокол

ICMPv6

критически важен для соединения

должен блокировать сообщения

NDP

LAN

и что список

ACL

не

для связи между узлами или между непосред­

ственно подключенными маршрутизаторами. В списках ACL 1Рvб есть неявные пра­ вила, избавляющие от необходимости явно разрешать эти важные типы пакетов 1Рvб.

Списки

ACL

административного управления

1Pv6

Списки ACL IPvб применяются и для защиты, а не только для фильтрации трафи­ ка на уровне данных, проходящих через маршрутизатор. Список ACL может также использоваться для улучшения защиты маршрутизатора и контроля связи на уровне

обслуживания маршрутизатора. У маршрутизаторов редко есть полный доступ к сети управления по дополнитель­ ному каналу, обычно они настраиваются внутренне. Для повышения защищенности маршрутизатора, а также снижения возможностей по его управлению и настройке списки

ACL

применяются для фильтрации таких соединений.

Списки ACL IPvб могут быть применены ко многим другим функциям управле­ ния маршрутизатора. Они могут ограничить связи протокола SNMP, доступ по про­ токолам RADIUS, TACACS+, HTTP/HTTPS, NTP, а также доступ к консоли по про­ токолам Telnet/SSH. Примером применения списка ACL 1Pv6 для ограничения

Глава

25.

Списки управления доступом

1Рvб. Вот SSH.

когда

IPvб, ограничивающий разрешенные

1Рvб­

управляющего доступа является его использование с классом доступа

список

ACL

используется для фильтрации соединения

В примере

25.15 создается

список

ACL

Telnet 1Рvб

и/или

адреса уnравлнющих рабочих станций в локальной сети маршрутизатора

список

ACL,

использующий команду ipvб

там УГУ на маршрутизаторах

R 1 и R2.

819

1Pv6

access-class,

RI.

Этот

будет применен к пор­

Это подобно уже знакомой команде

1Pv4 i р

Пример 25.15 демонстрирует конфигурацию на маршрутизаторе но конфигурация на маршрутизаторе RI идентична.

accessclass. Пример

25.15.

Конфиrурация списка

R2,

ACL 1Pv6

управления доступом на маршрутизаторе

R2

R2# configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)# ipvб access-list V6ACCESS R2(config-ipv6-acl)# permit tcp 2001:dЬ8:1111:1::/64 any eq 23 R2(config-ipv6-acl)# permit tcp 2001:dЬ8:1111:1::/64 any eq 22 R2(conf1g-ipv6-acl)# deny ipvб any any log R2(config-ipv6-acl)# line vty О 4 R2(config-line)# login R2(config-line)# password cisco R2(coпfig-line)# transport input telnet ssh R2(config-l1ne)# ipvб access-class V6ACCESS in R2(coпfig-line)# end Список

ACL

IPvб в примере

25.15

настраивается и применяется к портам УГУ.

Теперь пришло время проверить этот список

ACL. Хост А теперь может установить Telnet и с маршрутизатором R 1, и с R2, а хост В - нет. Пример 25.16 демонстрирует неудачную попытку хоста В установить соединение Telnet с маршрутизатором R 1, о чем свидетельствует регистрационное сообщение. Пример демонстрирует также то, что список ACL 1Рvб распознает соединения от хоста А. соединение

Пример

25.16.

Проверка списка

ACL 1Pv6

управления

доступом на маршрутизаторе

R2

*Mar 6 23:31:19.926: IPV6 ACL-6-ACCESSLOGP: list V6ACCESS/30 denied 2001: DBB: 1111: 2: F816: 3EFF: FEEl: SCFS (34474) -> 2001:DBB:1111: 1:: 1 ( ) , 1 packet Rl# show ipvб access-list IPv6 access list VбACCESS permit tcp 2001:DBB:llll:l::/64 any eq telnet (2 matches) sequence 10 permit tcp 2001:DB8:1111:1::/64 any eq 22 sequence 20 deny ipv6 any any log (1 match) sequence 30

820

Часть VI. Протокол 1Pv6

Обзор Резюме

•

У списков ACL 1Pv4 и 1Рvб есть несколько сходств. Оба распознают адреса от­ правителя или получателя в заголовке протокола. Оба распознают адреса ин­ дивидуальных хостов или подсети/префиксы. Оба применяются направленно. Оба могут распознать информацию протокола транспортного уровня. Оба мо­

гут распознавать определенные типы сообщений

ICM Р. Оба имеют в конце

не­

явный оператор запрета и оба поддерживают временные диапазоны.

•

У списков ACL 1Pv4 и 1Рvб есть несколько различий. Списки ACL 1Pv4 могут распознавать только пакеты 1Pv4, а списки ACL 1Рvб - только пакеты 1Рvб. Списки ACL 1Pv4 могут быть идентифицированы по номеру или имени, а спи­ ски ACL 1Рvб могут использовать только имена. Списки ACL 1Pv4 разделяются на стандартные и расширенные на основании номера, а списки ACL 1Pv6, ис­ пользуя ту же концепцию стандартных и расширенных списков, не используют

для их дифференциации ключевые слова в конфигурации. Списки ACL 1Pv4 распознают значения, специфичные для заголовка 1Pv4, в то время как спи­

ски ACL 1Рvб распознают значения, специфичные для заголовка 1Рvб. В конце списка ACL 1Рvб есть некоторые дополнительные неявные операторы permi t.

•

Протокол 1Рvб поддерживает и стандартные, и расширенные списки доступа. Стандартные списки доступа 1Pv6 могут распознавать поля 1Рv6-адреса отправи­ теля и получателя, но не другие части пакета 1Pv6. Расширенный списокАСL 1Pv6 может распознавать и другие поля, такие как поля номеров портов ТСР и U DP.

•

ACL 1Pv6 используются ключевые слова, отличные от ipv6, ко­ permi t и deny распознают подмножество пакетов 1Рvб. Например, клю­ чевое слово tcp позволяет распознавать на основании номера порта ТСР. ключе­ вое слово udp - на основании номера порта UDP, а ключевое слово icmp Когда в списке

манды

ICMP. ACL 1Pv6, распознающего

на основании типа сообщения

•

При создании списка

только определенный адрес,

этот адрес указывают после ключевого слова host. Для соответствия всем и любым адресам используют ключевое слово any. Для распознавания только определенного префикса используется символ наклонной черты для определе­ ния количества битов в длине префикса.

•

В конце каждого списка

icmp any any nd-na

и

ACL 1Рvб есть три

неявных правила, включая

permi t

deny ipv6 any any.

Контрольные вопросы

1.

Каким из следующих способов настраиваются списки упрамения доступом

1Pv6'? ACL 2300-2499. Используя номера ACL 3000-3999. Используя имена ACL для уникальной

А) Используя номера Б) В)

идентификации каждого списка

ACL.

Г) Используя субинтерфейсы из блока дескрипторов интерфейса физического маршрутизатора.

Глава

2.

25.

Списки управления доступом

Какое из следующих утверждений истинно о списках

1Pv6

821

ACL 1Рvб?

А) У интерфейсов маршрутизатора Cisco может быть только один список 1Pv4 или IPvб, примененный только в одном направлении. Б) У интерфейсов маршрутизатора

Cisco

может быть список либо

ACL,

ACL 1Pv4,

либо IPvб, но примененный в обоих направлениях.

В) У интерфейсов маршрутизатора

Cisco могут быть списки ACL и 1Pv4,

и IPvб,

примененные и во входящем, и в исходящем направлениях на одном интер­

фейсе. Г) У интерфейсов маршрутизатора

1Рvб,

3.

Cisco

может быть список

ACL 1Pv4

или

но примененный только в одном направлении.

Какая из следующих записей списка ACL 1Рvб распознала и разрешила бы пе­ 1Рvб, следующих из Интернета к префиксу 2001:Odb8:1111:ООО1

редачу пакетов

:0000:0000:0000:0000 с 64-битовой миной префикса? А) permi t ipv6 any 200l:db8:1111:1::1 Б) permi t ipv6 2001:dЬ8:1111:1: :/64 any В) permi t ipv6 any 200l:db8:1111:1: :1/128 Г) permi t ipv6 any 200l:db8:1111:1: :/64 4.

По какому из следующих полей заголовка пакета может быть осуществлена фильтрация расширенным списком управления доступом 1Рvб? А) Номера портов отправителя и получателя ТСР.

Б) Значения кода и типа

ICM Рvб.

В) Номера дополнительного заголовка Г) Значения метки потока

1Рvб.

1Рvб.

Д) Все ответы правильны.

5.

Какие из следующих типов пакетов должны разрешать неявные правила в кон­

це списка

ACL

IPvб?

А) Сообщения запроса маршрутизатора Б) Сообщения запроса соседа

(NS)

(RS)

и анонса маршрутизатора

и анонса соседа

В) Все сообщения ICMPvб на интерфейсе

(RA).

(NA).

LAN.

Г) Все многоадресатные пакеты IPvб на интерфейсе

LAN.

Обзор главы Обзор материала этой главы осуществляется с использованием инструментов кни­ ги, образа

DVD или

интерактивных инструментов мятого же материала на веб-сайте

книги. Ключевые элементы и их местоположение приведены в табл.

25.2.

Чтобы луч­

ше проследить свой прогресс в обучении, запишите во втором столбце дату заверше­ ния этих действий.

Часть

822

Таблица

25.2.

VI.

Протокол 1Pv6

Процесс изучения

Элемент обзора

Используемый ресурс

Дата

Ключевые темы

Книга, образ DVD/веб-сайт

Ключевые термины

Книга, образ DVD/веб-сайт

Контрольные вопросы

Книга, РСРТ

Таблицы команд

Книга

Ключевые темы Повторите все ключевые темы данной главы, отмеченные пиктограммой" Ключевая

.. .

тема". Ключевые темы и соответствующие им страниuы приведены в табл.

.

25.3.

Таблица 25.3. Ключевые темы

• ·•

Элемент

Описание

Список

Сходства списков

ACL 1Pv4

и

1Рvб

798

Список

Ра111ичия списков

ACL 1Pv4

и !Рvб

799

Текст

Формат команд

Рис.

pennit

Распознавание полей

25.2

ACL

и dепу стандартного списка

ICMP,

25.13

ТСР и

UDP

ACL 1Рvб

в расширенном списке

804 809

IPvб

Советы по распознаванию

Список Пример

Страница

Неявные записи списка

1Рvб-адреса

ACL

в списках

ACL 1Рvб

IPvб

812 817

Ключевые термины Стандартный список управления доступом (standard access list), расширенный список управления доступом (extended access list), длина префикса IPvб (IPvб prefix length), протокол ICMPv6 (ICMPvб), протокол обнаружения соседних устройств

(Neighbor Discovery Protocol - NDP).

Таблицы команд В табл.

25.4

и

25.5

приведены команды конфигураuии и проверки, используемые

в этой главе. Рассматривайте их как простое упражнение: закройте левый столбеu та­

блиuы, прочитайте правый столбеu и попытайтесь вспомнить команду. Затем повторите это упражнение, закрыв правый столбеu и попытавшись вспомнить, что делает команда.

Таблица

25.4.

Команды конфигурации

Команда ipvб

access-list имя_списка_управления_ [log-update]

доступом

Описание Глобальная команда, создающая стандартный или расширенный

именованный список

ACL 1Рvб

Глава

25.

Списки управления доступом

823

1Pv6

Окончание табл.

Описание

Команда ipvб

permit

{

длина_префикса отправителя

порта]

25.4

1

префикс_iрvб_отправителя/

any 1 host iрvб_адрес_ auth ) [ operator [номер_ 1

Синтаксис элемента стандартного именованного списка ACL 1Рvб

{ префикс_iрvб_получателя/

]

host iрvб_адрес_ any auth ) [log] [log-input]

длина_префикса получателя

1

1

1

ipv6 traffic-filter

имя_списка

управления_доступом

{in

1

Подкоманда интерфейса, разрешающая

out}

списки управления доступом в определенном направлении

Таблица

25.5.

Пользовательские команды

Команда

Описание

show ipv6 interface

Ссылка на списки управления доступом IPvб,

[тип номер]

разрешенные на интерфейсе

show access-lists show

ipvб

Выводит подробности настроенных списков управления доступом для ucex протоколов (1Pv4 и

access-list

Выuодит списки управления доступом

[имя_

1Pv6)

1Рvб

управления доступом]

списка

Ответы к практическим заданиям В табл. Таблица

25.6 содержатся

25.6.

ответы к задачам, приведенным в табл.

Создание разрешающих и запрещающих расширенных списков

Задача

25.1.

ACL 1Pv6

(ответы)

Ответ

permit ipv6 any

2001:dЬ8:45::/48

2

permit ipv6 host 200l:db8:1:1: :234 200l:db8:llll:llll::/64 log

3

permit tcp any host

4

permit tcp host 200l:db8:11:22::1 host 200l:db8:33:44: :1 eq 443 log

5

permit tcp any host 2001:db8:12:34::1 eq 22

6

permit icmp any 200l:db8:1111::/48 echo-request

7

permit ipv6 any ffOO: :/8

2001:dЬ8:12:34::100

Ответы на контрольные вопросы

1-

В.

2-

В.

3-

Г.

4-

Д.

5-

Б.

eq 80

Часть VI. Протокол 1Pv6

824

Обзор части

VI

Проконтролируй свой прогресс в изучении этой части по контрольному списку в следующей таблице. Подробно задачи описаны ниже.

Контрольный список обзора части

VI

Задача

Первая дата

Вторая дата

завершения

завершения

Повторите вопросы из обзоров глав

Ответьте на вопросы из обзора части Повторите ключевые темы

Создайте диаграммы связей Выполните лабораторные работы

Повторите вопросы из обзоров глав Ответьте снова на вопросы из обзоров глав этой части книги, используя программ­ ное обеспечение РСРТ.

Ответьте на вопросы из обзора части Ответьте на вопросы из обзора этой части, используя программное обеспечение РСРТ. Инструкция по запуску программного обеспечения РСРТ с вопросами обзо­ ров только этой части приведена в разделе "Как просмотреть вопросы из обзоров

частей" введения к книге.

Повторите ключевые темы Снова просмотрите темы прочитанных глав, отмеченные пиктограммой" Ключевая тема". Если понятны не все их подробности, уделите время повторному изучению.

Создайте диаграмму связей первопричин неисправностей В этой части книги затрагиваются первопричины проблем различных видов.

Глава

22

посвящена поиску и устранению неисправностей маршрутизации

ренаправления), а главы

23

и

24 -

1Pv6

(пе­

первопричинам, препятствующим обмену инфор­

мацией о маршрутизации протоколов OSPFvЗ и

EIGRP

соответственно. В главе

25

также обсуждаются поиск и устранение неисправностей, но скорее с точки зрения

первопричин проблем маршрутизации

1Рvб,

создаваемых списками

ACL 1Рvб,

а так­

же проблем протокола маршрутизации.

По первой диаграмме связей попытайтесь вспомнить и организовать все перво­ причины проблем в сети 1Pv6. Как обычно, используйте лишь краткие заметки, а не длинные описания; достаточно такого количества информации, которое позволит вспомнить смысл лично вам. Кроме того, организуйте концепции в структуру, кото­ рая понятна лично вам. Не обращайтесь к главам при первом создании диаграммы; как обычно, она должна помочь вам организовать концепции в памяти, а не заста­ вить прочитать книгу заново.

Глава

25.

Списки управления доступом

1Pv6

825

Создайте диаграммы связей команд В данной части также обсуждались настройка и проверка протоколов OSPF для 1Рvб, EIG RP для 1Рvб и списков ACL 1Рvб. Здесь также, в главе 22, рассматрива­ лось широкое разнообразие команд конфигураuии IPvб. Создайте диаграмму связей команды, как и во многих предыдущих обзорах частей. Первый уровень организа­

ции

-

протоколы

OSPF

для IPvб,

EIGRP

для IPvб и списки

ACL

IPvб. Остальную

часть команд 1Рvб (из главы 22) организуйте по своему усмотрению. По каждой кате­ гории сгруппируйте команды конфигураuии отдельно от пользовательских команд. Ответы приведены в приложении Д

(Appendix

Е) на

DVD,

но ваши диаграммы

связей могут выглядеть иначе. Создайте диаграммы связей из приведенной ниже таб­ лиuы на бумаге или используя любое графическое программное обеспечение. Если используется программное обеспечение, имеет смысл сохранить результат в файл для последующего анализа. В следующей таблиuе приведены список диаграмм свя­

зей для этой части и место сохранения их файлов. Диаграммы связей из обзора части

V1 Iде сохранен результат

Диаграмма

Описание

1

Диаграмма связей первопричин неисправностей

2

Диаграмма связей команд

Выполните лабораторные работы Вот некоторые рекомендаuии по выполнению лабораторных работ в зависимости от выбранного вами инструмента их выполнения.

•

Эмулятор

Pearson Network.

Полная версия эмулятора

Pearson CCNA

более

ориентирована на сuенарии конфигураuии и лабораторные работы на поиск

и устранение неисправностей, связанных с темами этой части книги. Для ла­ бораторных работ этого типа есть большой набор тем; они хорошо подходят для обзора дан ной части. (Подробности о том, как найти лабораторные работы по темам этой части книги, приведены во введении.)

• Config Labs.

На досуге просмотрите и повторите лабораторные работы

Config Labs

для этой части книги на блоге автора; начините с http://Ыog.certskills.

сот/ ccna и перейдите на

•

Hands-OnGConfig Lab.

Прочее. Вот несколько рекомендаuий на случай использования иных средств выполнения лабораторных работ: при создании лабораторных работ на списки

ACL и

можно проверять трафики

traceroute (UDP),

Telnet

(порт

23), SSH

(порт

22), ping (ICMP)

создаваемые дополнительным маршрутизатором. Таким

образом, необходимо не просто настроить список

ACL;

его следует настроить

так, чтобы он распознавал эти типы трафика, запрещая и разрешая некоторые из них, чтобы затем это проверить.

Часть

Vll,

заключительная в книге, знакомит с дополнительными тема­

ми, поэтому примите поздравления по поводу завершения изучения большей

части книги! В этой части собраны темы, не соответствующие точно ни одной из других

26 обсуждаются детали реализаuии трех разных тем, свя­ занных с рабочими сетями: протокол SNMP, соглашение IP SLA и анализатор SPAN. Здесь затронуты спеuифические особенности конuепций, настройка,

тем в книге. В главе

проверка и некоторые аспекты поиска и устранения неисправностей.

В то время как в главе

26

рассматриваются мельчайшие подробности ре­

ализации, в двух других главах внимание сосредоточено на больших идеях.

В главе 27 обсуждается множество конuепuий и подходов сетевой вычисли­ тельной среды по предоставлению информационных служб. Сетевая вычис­ лительная среда (cloud computing) распространяется куда дальше любого ин­ струмента или любого средства на устройстве. Эта глава требует остановиться и задуматься о прочитанном.

Глава

28,

как и глава

27,

требует скорее некоторых размышлений, а не 28 довольно подробно объясняются ос­

запоминания всех деталей. В главе

новные принципы сетевого программирования и программно-определяемой

сети

(SDN),

чтобы вам захотелось узнать больше об этой новой захватываю­

щей области работы с сетями.

Часть

Vll.

Разное

Глава

26.

Управление сетью

Глава

27.

Сетевая вычислительная среда

Глава

28. Программируемость сети и SDN

Обзор части

Vll

ГЛАВА

26

Управление сетью В этой главе обсуждаются три взаимосвязанные темы. Однако прямого влияния

одна на другую они не оказывают. С точки зрения обучения вы можете рассматри­

вать каждый из разделов как отдельную учебную задачу. Эта глава довольно длинная по сравнению с другими главами; я предлагал разделить ее по разделам на отдельные главы, но помешала новая терминология.

Эта глава начинается с подробного описания простого протокола управления

сетью

Сначала рассматриваются фундаментальные концепции, а затем

(SNMP).

настройка двух его версий:

SNMPv2c

и

SN МРvЗ.

-

Эти версии немного различаются

средствами безопасности, и обсуждение настройки по большей части сосредоточено на этих деталях.

Во втором разделе представлено средство, специфическое для маршрутизато­

ров,

-

соглашение об уровне услуг

IP (IP SLA).

Этот инструмент позволяет сетевым

инженерам настроить маршрутизаторы так, чтобы они создавали искусственный проверочный трафик для передачи в сеть. Передавая сообщения и получая ответы, маршрутизаторы могут измерять доступность и производительность.

В заключительном разделе рассматривается средство, специфическое для комму­

таторов: анализатор коммутируемого порта

(SPAN).

Этот инструмент позволяет сете­

вому инженеру копировать фреймы коммутатора на заданный порт. Данное средство полезно при передаче фреймов на различные сетевые инструменты, такие как про­ граммное обеспечение для анализа сети.

В этой главе рассматриваются следующие экзаменационные темы

5.0.

Управление инфраструктурой

5.1.

Настройка и проверка протоколов мониторинга устройств 5.1.а.

SNMPv2

5.1.Ь. SNMPvЗ

5.2.

Поиск и устранение неисправностей сетевых соединений с использованием

5.3.

ICMP

на основании эхо-запросов

Использование локального

SPAN

IP SLA

для поиска и устранения

неисправностей, а таюке решения проблем

Глава

26.

Управление сетью

829

Основные темы Простой протокол управления сетью В 1988 году был опубликован документ RFC 1065 Strиctиre апd /deпtificatioп о/ Мапаgетепt lпforтatioпfor TCP/f P-based lпternets. Прекрасная идея, лежащая в его ос­ нове, связана с тем фактом, что информация об устройствах в сети ТСР Р (парамет­ ры конфигурации, информация о состоянии, счетчики и т.д.) может быть разделена

/1

на переменные базы данных. Впоследствии эти переменные могли быть получены управляющим программным обеспечением для контроля и управления сетью на базе

протокола 1Р. В конце концов, у элементов любых устройств на базе протокола 1Р есть много общего. Например, у компьютера, сетевого принтера и маршрутизатора будут такие общие элементы, как интерфейсы, IР-адреса и буферы. Почему бы не создать стандартизированную базу данных для переменных, а также простую систему

для их мониторинга и управления ими? Эта блестящая идея завоевала популярность и воплотилась в простой протокол управления сетью

(SNMP).

Первый раздел этой главы начинается с рассмотрения концепций и терминов свя­ занных с протоколом SNMP, наряду с его настройкой и двумя наиболее используе­ мыми версиями:

Концепции

SNMPv2c

и SNMPvЗ.

SNMP

Простой протокол управления сетью (Simple Network Management Protocol является протоколом уровня приложений, предоставляющим формат со­

SNMP)

общений для связи

manager) -

между менеджерами

и агентами.

Менеджер

SNMP (SNMP

это приложение управления сетью, выполняющееся на компьютере или

сервере, хост которого обычно упоминается как станция управления сетью (Network Management Station - NMS). В сети существует множество агентов SNMP, по одному на каждое управляемое устройство. Агент SNMP (SNMP agent) - это программное обеспечение, выполняющееся на каждом устройстве (маршрутизаторе, коммутато­ ре и т.д.) и контролирующее знания всех его переменных, описывающих конфигу­ рацию, состояние и счетчики устройства. Менеджер SN М Р использует протоколы

общения с каждым агентом SNMP. Каждый агент хранит базу данных переменных, включая параметры, состо­ яние и счетчики устройства. У этой базы данных, базы управляющей информации (Management lnformation Base - MIB), есть несколько основных элементов, общих

SNMP для

для большинства сетевых устройств. У них есть также много переменных, уникаль­ ных для данного типа устройств, например база М 1В маршрутизатора будет включать переменные, отсутствующие в базе М 1В коммутатора, и наоборот. (Кстати, работая над этим разделом, автор проверил маршрутизатор, выполняющийся под управлени­

ем операционной системы

IOS

версии 15.4М, и обнаружил в его базе

MIB

немногим

более семи тысяч переменных.)

Некоторые из этих идей и терминов приведены на рис. 26.1. Управляющее про­ SNMP выпускают многие компании. Для управления се­ тью компания Cisco применяет серию управляющего программного обеспечения граммное обеспечение

Cisco Prime (http://www.cisco.com/go/prime), использующего протокол SNMP (и другие протоколы). Операционная система IOS на маршрутизаторах и коммутато­ рах включает агент SN М Р со встроен ной базой М 1В. Он может быть разрешен в кон­ фигурации так, как показано ниже в этой главе.

830

Часть

Vll. Разное

~

Программное обеспечение агента

Менеджер

SNMP (Cisco Prime) Рис.

26.1.

SNMP

Станция

NMS

Cisco

Элементы простою протокола управления сетыо

Чтение и запись переменных

NMS

на маршрутизаторе

SNMP:

сообщения

обычно опрашивает агенты

SNMP

SNMP Get

и

Set

на каждом устройстве. Станция

может уведомить пользователя данного компьютера или разослать сообще­

ния электронной почты, чтобы уведомить весь штат сетевых инженеров о любых

проблемах, выявленных по данным, полученным в ходе последовательного опроса

устройств. Используя эти переменные

SN М Р,

в базе М 1В можно даже перенастроить

устройство, если такой уровень управления разрешен.

Конкретно станция

NMS использует для запроса информации от агента сообще­ SNMP Get, GetNext и GetBulk (упоминаемые в общем как просто сообщения Get). Станция NMS передает сообщение SNMP Set, чтобы записать значения пе­ ременных на агенте SNMP и изменить конфигурацию устройства. Эти сообщения используются парами, например сообщение Get Request запрашивает у агента содер­ жимое переменной, а сообщение Get Response возвращает ответную информацию. На рис. 26.2 приводится типичный случай использования сообщения SN М Р Get ния

для запроса из базы МIВ переменной, описывающей состояние конкретного интер­ фейса маршрутизатора. Я хочу проверить переменную базы и удостовериться, что интерфейс находится в состоянии

MIB Gi0/ 0

up/ up

.. ___ ф _-~~ Рис.

26.12.

--- - - - - -@ - - -Response - - -Echo - - - -ICMP - - Ответ

Применение проверки /Р SLA /СМР /:с/10 к маршрутизаторам и обычным хостам

ВНИМАНИЕ!

Термин проверка (ргоЬе)

SLA

/Р является общепринятым в отличие от более формального

термина тест работоспособности

(operation) IP SLA.

Базовая настройка проверки

IP SLA ICMP-Echo

В данном разделе демонстрируется несколько тестов работоспособности 1Р SLA на маршрутизаторе, только чтобы дать об этом общее представление . В

ICMP-Echo

этом сценарии главный инженер решил настроить маршрутизатор

RI

центральной

площадки сети как источник SLA IP. Он настроил проверку ICMP Echo с маршрути­ затором филиала (1 Р-адрес LAN 10. 1.3.2) в качестве получателя. Он также использо­ вал маршрутизатор центральной площадки ( 1Р-адрес LAN 10.1.1.1) в качестве отпра­ вителя. Используя эти адреса, проверка не только подтверждает соединение WAN, но и проверяет таблицы маршрутизации 1Р этих двух маршрутюаторов для подсетей

получателей. На рис. 26.13 демонстрируется небольшой фрагмент сети с центральной площад­ кой (RI) слева и одним из филиалов (R2) справа.

LAN

G0/0 ~ S0/1/1 10. 1.1.1 " 1 0.1.4. 1 Рис.

26. 13.

S0/0/1 •

7

G0/ 1

10. 1 .4.2~ 10.1.3.2

Пример сети для проверки /Р

SLA

/СМР ЕсJю

В примере 26.12 демонстрируется тест работоспособности SLA IP, используемый главным инженером. В нем рассматриваются адрес 10.1.3.2 маршрутизатора R2 под­ сети

LAN

как получателя сообщений

ICMP Echo

и IР-адрес

10.1 . 1.1

маршрутизатора

850

Часть

Vll.

Разное

RI как отnра в ителя . Фактически из всех представленных в nримере команд тол ько выделенные команды обя зательны для теста работосnособности ; остальная часть ко­ манд устан а вливает соnутст вующие nараметры.

Пример

26.12.

Конфигурация

SLA IP,

используемая в этом разделе

ip sla 1 icmp-echo 10.1.3.2 source-ip 10 . 1 . 1 . 1 ! Echo от 10 . 1 . 1 .1 к 10 . 1 . 3 . 2 1 От сылать каждые 60 с; стан д ар т но freque ncy 60 Время двухсторонней задержки - 300 мс threshold 300 Хра н ить ВСЕ дан ные в истории history filter all Ограничить данные истории 6 группами history buckets -kept 6 history l ives-kept 1 ip sla schedule 1 life forever start-time now

ip sla schedule в конце nримера 26.12. SLA 1Р используют концепцию настройки с номером и мно­

Обратите также внимание на команду Тесты работосnособности

гими подкома ндами, определяющими условия проверки , как можно заметить в боль­

шинстве nримеров. В частности , как показано в конце примера , глобальная ком а нда i p s l a sch edule указывает оnерационной системе IOS , когда начать

конфигура ции

тест работоспособности и когда остановить . Тест работоспособности может быть на­ чат в определ енный день и час или через указанное время после ввод а команды , и л и

прямо сейчас (с параметром может также ограничить

star t- time now ,

как в данном примере) . Эта команда

продолжительность про в ерки ;

в данном

выnолняется nостоянно, т. е. nока инженер не введет команду по

случае

проверка

i p sla sch edu le 1,

чтобы удалить эту команду из конфигурации.

Поиск и устранение неисправностей с использованием счетчиков

SLA IP IP SLA ICMP-Echo

эквивалентен регулярному вводу ко­ Тест работоспособности p i ng для некого адреса . Так как это nоможет решать проблемы неработоспособ­ ности, особенно по сравнению с использованием nросто команды ping из CLI? В этом

манд

разделе nодробно рассматриваются данные, которые

SLA IP делают доступными.

Для начала рассмотрим самую простую команду,

s how i p sla summary,

пред­

ставленную в nримере 26.13. Команда выводит по одной строке на каждую nроверку SLA. Она выводит немного информации конфигурации , а именно - адрес, н а кото­ рый передаются сообщения

ICMP Echo. Он а

выводит также два основных эл емента

информации, уже неоднократно встречавшихся в выводе коман д

ping:

индикация

получения ответов на запросы Echo Request и время двухсторонней задержки (Round Trip Time - RТТ), т.е. период времени от nередачи заnроса ICMP Echo Requestдo по­ лучения на него ответа ICM Р Echo Reply. Успех или неудача этой команды отобража­ ется в столбце Пример

26.13.

Retum Code, где

ОК означает получение ответа

Вывод кода возврата и

RTT

Echo Reply.

простыми командами

Rl# show ip sla summary IPSLAs Latest Operat i on Summa r y Codes: * act i ve , л inactive , - pending Destination Stats Туре ID (ms)

Return Code

SLA IP

Last Run

Глава

icmp-echo icmp-echo

*1 *2

10 . 1 . 3 . 2 10 . 1.3.2

RTT=124 RTT=184

26.

Управление сетью

ОК

15 seconds ago 11 seconds ago

ОК

851

Rl# ping 10 . 1.3.2

escape sequence to abort . Sending 5 , 100 - byt e I CMP Echos to 10 . 1 . 3 . 2, timeo ut i s 2 seco nds:

Туре

1 1 1 1 r

Success rate is 100 percent (5/5) , round-trip min/avg/max = 1/1/4 ms Ю#

Обратите внимание, что в примере 26. 13 демонстрируется для сравнения вывод команды ping. Эта команда выводит ту же основную информацию : успех (или не­ удача) для пяти запросов Echo Requests (стандартно), а также некоторую статистику о RТТ для этих пар запросов и ответов.

Тест работоспособности

1Р S LA 1СМ P-Echo может засвидетельствовать два факта: Echo и время RTT. Чтобы использовать эту

успех или неудачу обмена сообщениями

информацию для поиска и устранения неисправностей, иногда недостаточно только ping или последнего те ста работоспособности SLA 1Р; необходимо просле­

команды

дить статистику по истории предыдущих тестов работоспособности SLA IP. Команда show ip sla statistics 1 предоставляет историю в виде счетчика успехов и неудач всех проверок, как показано в примере 26.14, а также код возврата и время RТТ последней проверки. Так можно получить представления о наличии мо­ Echo был невозможен.

ментов, когда обмен сообщениями Пример

26.14.

Счетчики истории успехов и неудач

SLA IP

Rl# show ip sla statistics 1

IPSLAs Latest Ope r ation Statistics I PSLA operation id : 1 Latest RTT : 16 milliseconds Latest operation start time : 12 :4 0:39 EST Tue Jan 5 2016 Latest operation return code : ОК NumЬer of successes: 7 NumЬer of failures : О Operation time to l ive: foreve r Давайте подумаем о нескольких сценариях поиска и устранения неисправностей с использованием этой статистики . Предположим, что есть 22 случая успеха, но 15 неудач. Команда ping для того же адреса (или расширенная команда p ing для тех же адресов отправители и получателя) срабатывает успешно. Но статистика показывает, что почти половина последних проверок потерпела неудачу. Без истории результат команды

ping

пока зал бы, что все работает и никаких проблем здесь нет вообще .

И наоборот, если счетчик регистрирует лишь несколько неудач, то случайный от­ каз единственной команды

ping

может указать на существование некой проблемы

именно здесь , что также задаст неправильное направление поиска неисправности .

Наблюдение счетчиков количеств успехов и неудач поднимает важный вопрос : как часто выполнять тесты работоспособности 1Р SLA? Как можно догадаться, этот параметр конфигурации настраиваетс я . В примере 26.12 задан период ( frequency )

60 с, что является стандартным з начением для тестов работоспособности 1СМ Р- Echo.

852

Часть

Vll.

Разное

При поиске и устранении неисправностей может возникнуть необходимость сбросить эти статистические данные. Предположим, например, что осуществляется поиск и устранение неисправностей на маршрутизаторе, действующем как источник

SLA 1Р.

Если счетчики показывают

80 успехов

и

5 неудаI

.Ьcd.Ьcd81Jcda0cd Mc.•Мicdllllcdaьce1

HCd•bcd.ЬalMcd Ииl••cd&Ь

CPU

Рис.

27.11.

883

RAM

os, аппаратные

П1П /

средства скрыты

Ор Config Lab в меню сайта.

CCNA (JCND2) Config

Оттуда переходите к категории

Оцените, готовы ли вы к сдаче экзамена

(и подсчету экзаменационных баллов) Сдав пробный экзамен на РСРТ, вы получаете от Компания

Cisco также дает 300-1000 баллов.

300

до \ООО баллов. Почему'?

Однако на этом сходства заканчиваются.

Глава

Балл РСРТ ответ на

80

29.

Подготовка к экзамену

это простой процент, выраженный как число от О до

процентов правилен, и балл будет

800; 90

процентов

-

1ООО.

943

Например,

также правильный

ответ, и балл составит 900. Если вы запускаете пробный экзамен и щелкаете, не отве­ чая ни на один вопрос, вы получаете О баллов. Однако

Cisco

Cisco

подсчитывает экзаменационные баллы не так. Об оценке экзамена

необходимо знать следующее.

• Cisco использует диапазон баллов от 300 до 1ООО. • Это говорит нам, что дается частичный кредит, но Так что же означает балл

без дальнейших деталей.

800 или 900 на фактических экзаменах Cisco?

М нагие по­

лагают, что эти баллы означают 80 или 90 процентов, но мы этого не знаем. Компания Cisco не раскрывает детали начисления баллов. Она не раскрывает и детали частич­ ного кредита. Кажется разумным ожидать, что симлет будет стоить больше пунктов, чем вопрос с выбором ответа, но мы не знаем.

Причины, по которым я упоминаю все эти факты, таковы.

Не слишком полагайтесь на свои баллы пробного экзамена РСРТ при оценке своей го­ - лишь общий индикатор; если один раз вы получили оценку

товности. Эти баллы

700, а неделю спустя - 900, то вы, вероятно, теперь подготовлены лучше. Но балл 900 на пробном экзамене РСРТ вовсе не означает, что вы, вероятно, получите 900 на фактическом экзамене, поскольку мы не знаем, как начисляются баллы на экза­ мене

Cisco.

Так как же оценить готовность к сдаче? К сожалению, ответ требует небольших дополнительных усилий и не даст некого удобного числа, выглядящего как экзамена­

ционный балл. Но вы можете сами оценить свои навыки следующим образом.

1.

Сдавая экзамен РСРТ, вы должны понимать термины, использованные в во­ просах и ответах.

2.

Вы должны быть способны просмотреть список ключевых тем из каждой главы и объяснить каждую из них другу в одном или двух предложениях.

3.

Вы должны быть способны осуществить математические вычисления по созда­

нию подсетей в пределах предложенных скоростей, приведенных в табл.

4.

Вы должны быть способны выполнить все лабораторные работы

29.1. Config Labs

или лабораторные работы подобного уровня сложности.

5.

Для глав с командами

show

вы должны понимать выделенные серым области

примеров, встречающихся во всей книге, а просматривая эти примеры, вы

должны знать, какие значения представляют параметры конфигурации, а ка­

кие

6.

-

информацию о состоянии.

Для ключевых тем, демонстрирующих различные первопричины при поиске и устранении неисправностей, вы должны помнить и понимать концепции,

лежащие в основе каждого элемента списка, без необходимости заглядывать в главу.

Рекомендации по изучению после неудачной сдачи Никто из нас не хочет провалить экзамен, но это случается. И даже если вы сдади­ те экзамен

JCN D2 200-105

или

CCNA R&S 200-125

с первой попытки и продолжите

944

Часть

Vlll.

Финальный обзор

свой путь в сертификации

Cisco,

то вполне можете потерпеть неудачу на следую­

щем экзамене. Я упоминаю неудачу на экзамене не для того, чтобы сосредоточиться на негативе, а чтобы помочь подготовить вас к следующей попытке после неудачной.

В этом разделе собрана часть советов, которые я давал читателям, которые связыва­ лись со мной после провала экзамена.

Первый и самый важный совет

-

измените свой взгляд на экзамен

Cisco.

Он не

похож на экзамен в средней школе или институте, где ваша неудовлетворительная

оценка имеет значение. Экзамен

Cisco

скорее напоминает некое серьезные событие

на каком-то пути, для достижения которого большинству людей требуется несколько попыток.

Например, достижение в сертификации

рафонской дистанции менее чем за

4

Cisco больше

похоже на преодоление ма­

часа. После первых тренировок вы, возможно,

даже не сможете закончить дистанцию или закончите ее за

окончание марафона за

4: 15

4: 15

часа, а не за

4:00.

Но

часа означает, что вы подготовились и стали достаточно

близки к своей цели. Или, возможно, это больше походит на обучение преодолению полосы препятствий (есть здесь сторонники

Ninja Warrior?).

Возможно, сегодня вы

преодолели три первых препятствия, но не смогли подняться по 14-футовой стене.

Это означает только то, что необходимо немного больше практиковаться именно на этой стене.

Поэтому измените свое мышление. Вы

-

марафонец, стремящийся улучшить

свое время, или воин-ниндзя, стремящийся преодолеть полосу препятствий. И ваши навыки улучшаются по мере обучения, что помогает вам достичь цели.

С учетом этого отношения и аналогий в оставшейся части данного раздела пере­ числены конкретные этапы, которые могут помочь вам в обучении.

Во-первых, изучите заметки, которые вы сделали после неудавшейся попытки

(см. раздел "Зарезервируйте час после экзамена на случай неудачи"). Не делитесь этой информацией с другими, а используйте ее для изучения. Прежде чем вы будете сдавать экзамен снова, вы должны быть в состоянии ответить на каждый фактиче­ ский экзаменационный вопрос, который можете вспомнить из прежней попытки.

Даже если вы не встретите тот же вопрос снова, вы все равно получите хорошую пре­ мию за свои усилия.

Во-вторых, уделите больше времени действиям, которые раскрывают ваши сла­ бые стороны. При их выполнении вам стоит притормозить и углубить самоанализ. Например, отвечайте на практические вопросы в режиме изучения и без догадок. Не переходите к следующему вопросу, а делайте паузу и спрашивайте себя, действитель­

но ли вы уверены в правильных и обоих неправильных ответах. Если не уверены,

прекрасно! Вы только что обнаружили слабоизученную тему, вернитесь и изучите ее глубже. Или, выполняя лабораторную работу, вы, без сомнения, можете обращаться к своим записям. Теперь вам стоит вернуться к этим записям, поскольку они ука­ зывают на то, в чем вы не уверены. Это может быть признаком того, что вы еще не полностью овладели этими командами.

В-третьих, подумайте о времени, потраченном на экзамене. Оно у вас заканчи­ валось? Все произошло слишком быстро? Слишком медленно? Если вы промедли­ ли, то это было при расчете подсетей или при выполнении симлетов, или в другом

случае? Затем выработайте и запишите план, который позволит вам приблизиться к необходимому времени при следующей попытке, а также займитесь отслеживани­

ем использования времени. И если вам действительно не хватает времени, попракти­ куйтесь в действиях, которые вас затормозили.

В-четвертых, если вы провалили экзамен

CCNA R&S 200-125, пересмотрите свой CCNA думайте о темах

выбор пути к сдаче не одного экзамена, а двух. На экзамене

Глава

ICN О 1. Хорошо ICNOI. Так вы замене 1CN02. к

29.

Подготовка к экзамену

945

ли они вам известны'? Если да, то вы может быть готовы сейчас

будете уже на шаг ближе, а затем можете сосредоточиться и на эк­

(Обратите внимание, что в nервоначальном издании этой книги насчитывалось

500 страниц. После 1 600 страниц глав содержимого

объединения книг

no ICN О 1 и ICN 02 оно выросло до более чем no технологии. Это в три раза больше nервоначального экзамена CCNA, настолько все усложнилось.) только

Другие учебные задачи Если, дойдя до этого места, вы все еще чувствуете nотребность в некой nодго­ товке, то nримите к сведению, что в этом nоследнем разделе nредоставлены еще две рекомендации.

Во-nервых, некоторые nолезные задачи nредоставляют обзоры глав и частей. Во-вторых, исnользуйте больше экзаменационных воnросов из других источни­

ков. Вы всегда можете nолучить больше воnросов из

and Practice Test,

Cisco Press Premium Edition eBook

где содержатся электронная версия этой книги и доnолнительные

воnросы в доnолнительных экзаменационных базах РСРТ. Но вы также можете най­ ти в Интернете воnросы из многих других источников и исnользовать их. ВНИМАНИЕ! Некоторые производители утверждают, что готовы продать пробные экзамены, содержащие

реальные экзаменационные вопросы. Их использование противоречит экзаменационной политике компании

Cisco,

и она настоятельно не рекомендует использовать любые подобные

средства для обучения.

И наконец, nримите участие в обсуждениях учебной сети

Cisco Leaming Network.

Поnробуйте отвечать на воnросы, задаваемые другими участниками; nроцесс ответа заставляет обдумать тему намного глубже. Когда некто nубликует ответ, с которым

вы не согласны, обдумайте nричину и выскажите свое мнение. Это отличный сnособ узнать больше и ощутить атмосферу доверия.

Заключительные соображения Вы много учились, уnорно трудились и nотратили время и деньги на nодготовку к экзамену. Надеюсь, экзамен nройдет усnешно, nоскольку вы действительно знаете материал и nреусnеваете в карьере сетевого сnециалиста.

Празднуйте ycnex и не Learning Network является

расстраивайтесь в nротивном случае. Учебная сеть

Cisco

nрекрасным местом для nубликации сообщений и nолу­

чения советов на будущее. Автор лично хотел бы узнать о вашем

ycnexe

через

Twitter

(@wendellodorn) или на его странице в Facebook (https://www.facebook.com/ wendel lodorn). Желаю вам ycnexa и nоздравляю с завершением работы над книгой!

ЧастьlХ.Приложения

Приложение А. Справочные числовые таблицы Приложение Б. Обновление экзамена

Список терминов

CCNA ICND2 200-105

ПРИЛОЖЕНИЕ А

Справочные числовые таблицы В этом приложении содержится несколько полезных справочных таблиц, в кото­ рых приведены числа, используемые по всей этой книге. Например, табл. А.\ полезна для преобразования десятичных чисел в двоичные и обратно.

Таблица А.1. Десятичные и двоичные числа в диапазоне от О до

255

Десятичное

Двоичное

Десятичное

Двоичное

Десятичное

Двоичное

Десяrичное

Двоичное

число

число

число

число

число

число

ЧИСЛО

число

о

00000000 00000001 00000010 00000011 00000100 00000101 00000110 00000111 00001000 00001001 00001010 00001011 00001100 00001101 00001110 00001111 00010000 00010001 00010010 00010011 00010100 00010101 00010110 00010111 00011000 00011001 00011010 00011011

32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

00100000 00100001 00100010 00100011 00100100 00100101 00100110 00100111 00101000 00101001 00101010 00101011 00101100 00101101 00101110 00101111 00110000 00110001 00110010 00110011 00110100 00110101 00110110 00110111 00111000 00111001 00111010 00111011

64 65 66

01000000 01000001 01000010 01000011 01000100 01000101 01000110 01000111 01001000 01001001 01001010 01001011 01001100 01001101 01001110 01001111 01010000 01010001 01010010 01010011 01010100 01010101 01010110 01010111 01011000 01011001 01011010 01011011

96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

01100000 01100001 01100010 01100011 01100100 01100101 01100110 01100111 01101000 01101001 01101010 01101011 01101100 01101101 01101110 01101111 01110000 01110001 01110010 01110011 01110100 01110101 01110110 01110111 01111000 01111001 01111010 01111011

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27

67

68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91

Приложение А. Справочные числовые таблицы

949

Окопчапие табл. А.

1

Десятичное

Двоичное Десятичное

Двоичное

Десятичное

Двоичное

Десятичное

Двоичное

число

число

число

число

число

число

число

число

60 61 62 63 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191

00111100 00111101 00111110 00111111 10100000 10100001 10100010 10100011 10100100 10100101 10100110 10100111 10101000 10101001 10101010 10101011 10101100 10101101 10101110 10101111 10110000 10110001 10110010 10110011 10110100 10110101 10110110 10110111 10111000 10111001 10111010 10111011 10111100 10111101 10111110 10111111

92 93 94 95 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223

01011100 01011101 01011110 01011111 11000000 11000001 11000010 11000011 11000100 11000101 11000110 11000111 11001000 11001001 11001010 11001011 11001100 11001101 11001110 11001111 11010000 11010001 11010010 11010011 11010100 11010101 11010110 11010111 11011000 11011001 11011010 11011011 11011100 11011101 11011110 11011111

124 125 126 127 224 225 226 227

01111100 01111101 01111110 01111111 11100000 11100001 11100010 11100011 11100100 11100101 11100110 11100111 11101000 11101001 11101010 11101011 11101100 11101101 11101110 11101111 11110000 11110001 11110010 11110011 11110100 11110101 11110110 11110111 11111000 11111001 11111010 11111011 11111100 11111101 11111110 11111111

28 29 30 31 128 129 130 131

132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159

00011100 00011101 00011110 00011111 10000000 10000001 10000010 10000011 10000100 10000101 10000110 10000111 10001000 10001001 10001010 10001011 10001100 10001101 10001110 10001111 10010000 10010001 10010010 10010011 10010100 10010101 10010110 10010111 10011000 10011001 10011010 10011011 10011100 10011101 10011110 10011111

228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255

В табл. А.2 приведены шестнадцатеричные и двоичные числа. Она полезна для преобразования шестнадцатеричных чисел в двоичные и обратно.

950

Часть

IX.

Приложения

Таблица А.2. Шестнадцатеричные и двоичные числа Шестнадцатеричное число

Четырехзначное двоичное число

о

0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111

1

2 3

4 5 6 7

8 9 А

в с

D Е

F

В табл. А.3 содержатся степени числа Таблица А.3. Степени числа

2

zx

х

zx

2

17

131 072

2

4

18

262 144

3

8

19

524 288

4

16

20

1048576

х

5

32

21

2 097 152

6

64

22

4 194 304

7

128

23

8 388 608

8

256

24

16 777 216

9

512

25

33 554 432

10

1024

26

67 108 864

11

2048

27

134 217 728

12

4096

28

268 435 456

13

8192

29

536 870 912

14

16 384

30

1073741 824

15

32 768

31

2 147 483 648

16

65 536

32

4 294 967 296

2,

от

2 1 до 2' 2•

Приложение А. Справочные числовые таблицы

В табл. А.4 приведены все

33 возможные маски подсетей во всех трех форматах.

Таблица А.4. Все маски подсетей Десятичная

Префикс

Двоичная

О.О.О.О

/О

128.0.0.0 192.0.0.0 224.0.0.0 240.0.0.0 248.0.0.0 252.0.0.0 254.0.0.0 255.0.0.0 255. 128.0.0 255. 192.0.0 255.224.0.0 255.240.0.0 255.248.0.0 255.252.0.0 255.254.0.0 255.255.0.0 255.255. 128.0 255.255.192.0 255.255.224.0 255.255.240.0 255.255.248.0 255.255.252.0 255.255.254.0 255.255.255.0 255.255.255.128 255.255.255.192 255.255.255.224 255.255.255.240 255.255.255.248 255.255.255.252 255.255.255.254 255.255.255.255

/1 /2 /3 /4 /5 /6 /7 /8 /9 /10 /11 /12 /13 /14 /15 /16 /17 /18 /19 /20 /21

00000000 00000000 00000000 00000000 10000000 00000000 00000000 00000000 11000000 00000000 00000000 00000000 11 100000 00000000 00000000 00000000 11 110000 00000000 00000000 00000000 11 111ООО 00000000 00000000 00000000 11111100 00000000 00000000 00000000 1111111о 00000000 00000000 00000000 11111111 00000000 00000000 00000000 11111111 10000000 00000000 00000000 11 111111 11000000 00000000 00000000 11 111 111 11100000 00000000 00000000 11 11 1111 11110000 00000000 00000000 11111111 11111000 00000000 00000000 11111111 11111100 00000000 00000000 11111111 1111111о 00000000 00000000 11111111 11111111 00000000 00000000 11111111 1111111 1 10000000 00000000 11111111 1111111 1 11000000 00000000 11 11 11 11 1111111 1 11100000 00000000 111111 11 11111111 11110000 00000000 11111111 11 111111 11111ООО 00000000 11111 111 11 11111 1 11 111100 00000000 11 1111 11 11 11111 1 11111 11о 00000000 11 111111 11111111 11111111 00000000 11 111111 1111 11 11 11111111 10000000 11111111 11111111 11 111111 11000000 11111111 11 111111 11111111 11100000 11111111 11111111 11111111 11110000 11111111 11111111 11111111 11111000 11111111 11111111 11111111 11111100 11111111 11111111 11111111 11111110 1111111111111111 11111111 11111111

/22 /23 /24 /25 /26

/27 /28 /29 /30 /31 /32

951

ПРИЛОЖЕНИЕ Б

Обновление экзамена

CCNA ICND2 200-105 Отзывы читателей помогают издательству

Pearson определить,

какие именно темы

вызывают наибольшие сложности на сертификационном экзамене. Чтобы помочь читателю в работе над изменившимися темами, автор книги публикует дополнитель­ ные материалы, в которых объясняются трудные моменты каких-либо технологий

и новых тем экзамена. Как было указано во введении к книге, дополнительные ма­ териалы для сдачи сертификационного экзамена размещены на веб-сайте по адресу

http://www. ciscopress. com/ti tle/9781587205798

в формате

PDF.

Там же раз­

мещена обновленная версия приложения, которое вы сейчас читаете.

Это приложение предоставит вам обновленную информацию, если компания

Cisco

внесет незначительные изменения в экзамен, на основе которого написана

эта книга. Когда компания

Cisco

выпускает совершенно новый экзамен, изменения

обычно столь велики, что простым приложением об обновлении не обойдешься.

В этих случаях вам, возможно, придется обратиться к новому изданию книги. Данное приложение призвано заполнить некоторые пробелы, которые возникают в процессе издания практически любой книги. В частности, в нем представлена сле­

дующая информация.

•

Несколько технических терминов, которые нигде в книге не описаны и не упо­ мянуты.

•

Новые темы, которые компания

•

Самые свежие данные по сертификационному экзамену.

Cisco

внесла в экзамены.

Получите самые свежие материалы на веб-сайте Сейчас вы читаете версию приложения, которая была доступной и актуальной на момент издания книги. Тем не менее всегда лучше владеть самой новой и актуаль­

ной информацией, поэтому следует получить обновленную версию с веб-сайта изда­ тельства. Чтобы загрузить новую версию, выполните следующие действия.

Этап 1 В поле адреса браузера введите http://www. ciscopress. сот/

title/9781587205798 Этап Этап

2 Перейдите на вкладку Updates (Обновления) 3 Если на странице есть новый документ Appendix В (Приложение Б), загрузите его

ВНИМАНИЕ!

Загруженный документ имеет собственный но~ер версии. Сравнив версию данного печатно­ го приложения (версия

1.0) с

последней его версией из сети, вы можете сделать следующее.

Приложение Б. Обновление экзамена

CCNA ICND2 200-105

953

•

Версия та же. Игнорируйте документ

•

Версия на веб-сайте более поздняя. Игнорируйте печатное приложение Б в кни­

PDF,

загруженный с веб-сайта.

ге и читайте его последнюю версию, загруженную с веб-сайта.

Техническая информация Данное приложение имеет версию Версия

1.0.

2.0.

История версий такова.

Технического содержимого нет; приложение было местом для указа­

ния читателям проверять веб-сайт на предмет будущих обновлений.

Версия 2.0. Добавлен краткий плановый раздел об инструменте APIC-EM Path Trace ACL Analysis, который еще не вышел на момент первой публикации книги. В табл. Б.1 приведены главные темы данного приложения и глава, к которой имеет отношение содержимое данного приложения.

Таблица Б.1. Темы и относящиеся к ним главы Тема

Глава

Инструменты

APIC-EM Path Trace

Инструменты В главе

28 этой

и

28

ACL Analysis

APIC-EM Path Trace

и

ACL Analysis

книги упоминается одна из специфических экзаменационных тем,

затрагивающих такой инструмент, как контроллер

APIC-EM.

Это средство не было

доступно на момент выхода книги в печать. Данный раздел приложения Б завершает материал по этой экзаменационной теме описанием данных средств. Сначала в раз­

деле описывается инструмент APIC-EM Path Trace, а затем струмент ACL Analysis, интегрированный в состав приложения

Функции и применение

специфический ин­

Path Trace.

APIC-EM

Как упоминалось в главе 28, модуль Application Policy lnfrastructure Controller Enterprise Module (APIC-EM) централизует контроль и программируемость сети WAN предприятия. Модуль APIC-EM обеспечивает централизованное управление корпоративными сетевыми устройствами за счет северных интерфейсов и приложе­ ний, выполняющихся непосредственно как часть модуля момент модуль

APIC-EM

APIC-EM.

Хотя на данный

не снимает традиционные функции уровня управления

с сетевых устройств (такие, как протоколы маршрутизации и связующее дерево), он обеспечивает более централизованный контроль работы и программируемость сети.

Когда в июне

2016

года создавалось это приложение, компания

четыре доступных приложения

EM.

APIC-EM

Cisco

упоминала

в дополнение к базовым средствам

APIC-

Для конечного пользователя и базовые средства, и приложения выглядят как

еще одна опция пользовательского интерфейса. Однако приложения таковы.

•

Enterprise Service Automation (ESA)

•

lntelligent WAN (IWAN)

•

Plug and

•

Path Trace

Р\ау

(PnP)

Часть

954

Приложения

IX.

На рис. Б.1

приведен пользовательский интерфейс

APIC-EM. Discovery, Device

ва представлены встроенные функuии, такие как lпveпtory и

Topology, а также список приложений средство Discovery, а правая часть экрана заполнена указать APIC-EM обнаружить устройства в сети.

В списке сле­ lпveпtory,

Host

ниже. В данном случае выбрано подробностями о том, как можно

ВНИМАНИЕ! Компания

Cisco утверждает,

APIC-EM

что модуль

использует регулярные циклы обновления

и новые выпуски ожидаются каждые три месяца. Данный материал основан на версии

APIC-EM,

вышедшей

1 июня 2016

года. Со временем средства и функции

APIC-EM,

1.2

конеч­

но, будут развиваться.

·~1/~~~·

др1( · l::nterpr1se r.~ odule

/

"

Dis.covery D1::.co1Jery Name

l'IACТIV(

C11mpvs

Оtко К'Гf

Copy ofCt1mpus OtSCO'lfNY

IP Rangt\

.•: Topcloev

р

•:; l~JAN

Subnet F1lter

СОР

leo.1el

SNMP

Рис. Ь'.

/.

/Jользовательский интерфейс АР/С-ЕМ с четырьмя приложения.ми

Приложение Приложение

Path Trace APIC-EM

Path Trace APIC-EM

предоставляет замечательную функuию для по­

иска и устранения неисправностей сети. Приложение

Path Trace

получает от пользо­

вателя IР-адрес отправителя и получателя, анализирует текущие таблиuы маршру­ тизаuии сетевых устройств, определяет, куда передаются пакеты, следующие между этими двумя адресами, а затем демонстрирует их путь на топологической схеме сети.

На рис. Б.2 приведен пример пользовательского интерфейса приложения

Trace,

позволяющий ввести

1Р-адреса отправителя

8

СЛЕВА перечислены предыдущие попытки;

•

окно вверху позволяет ввести

Path

и получателя. В частности:

1Р-адреса отправителя

и получателя (в раскрыва­

ющемся списке содержатся известные адреса, не представленные на рисунке);

Приложение Б. Обновление экзамена

•

CCNA ICND2 200-105

обратите внимание на небольшое окно, в котором флажок

955

ACL Trace не уста­

новлен .

~ ' "''"

.... fa:

[k

гс

111

1

""11:t)r)'

~ Н-; ~[ГIW•Y

6511.86

9.9 9.9

65.11.86

2 2.2.2

P1!riod1t ~frcsh ()0 SCCJ

t:;

lncl~Stacs

ll'IAN

АСLТше

651.1.86

22L2

651.1.86

212.1.10.20

А

6511.86

10 . 2!И

61.2

А rгst

Рис. Б.2. Пользовател ьский интерфейс

Path

Тгасе с 1ювым открытым окном

Работа с пользовательским интерфейсом вполне очевидна . Адреса отправителя и получателя вводятся в соответствующие поля или выбираются из списка. Можно та кже выбрать несколько других опций, например включить или отключить периоди­

ческие обновления результатов трассировки. Можно задать протокол транспортного

уровня и порты (щелкнув на кнопке

Path Trace

More Options (Параметры)), что предоставляет

информацию, необходимую мя поиска пути при использовании логики

балансировки нагрузки .

После щелчка на кнопке

Start Trace (Начать трассировку) приложение Path Trace

просматривает таблицы маршрутизации, а затем выводит окно со следующей инфор­ мацией.

•

Устройства на пути .

•

Записи о логике перенаправления, используемой при передаче по каждому ка­ налу связи (например, при передаче коммутаторами уровня 2 и направлении на уровне

•

3) .

Ниже в окне

-

список устройств по пути.

На рис. Б.3 приведен типичный результат работы

Path Trace.

ВНИМАНИЕ!

На рис. Б.3 и остальных рисунках данного раздела меню слева свернуто ; обратите внимание Path Тгасе на светлом фоне: она означает, что пользователь выбрал

на темную пиктограмму приложение

Path Тгасе.

Часть

956

IX.

Приложения

.~.

()

(

е

\,;/

;