Классификация сетей, серверов, сетевых сервисов.

Архитектура «клиент-сервер»

«Клиент — сервер» (англ. client – server) — вычислительная или сетевая архитектура, в которой задания или сетевая нагрузка распределены между поставщиками услуг, называемыми серверами, и заказчиками услуг, называемыми клиентами. Фактически клиент и сервер — это программное обеспечение. Обычно эти программы расположены на разных вычислительных машинах и взаимодействуют между собой через вычислительную сеть посредством сетевых протоколов, но они могут быть расположены также и на одной машине.

Программы-сервера ожидают от клиентских программ запросы и предоставляют им свои ресурсы в виде данных (например, загрузка файлов посредством HTTP, FTP, BitTorrent, потоковое мультимедиа или работа с базами данных) или в виде сервисных функций (например, работа с электронной почтой, общение посредством систем мгновенного обмена сообщениями или просмотр web-страниц во всемирной паутине).

Поскольку одна программа-сервер может выполнять запросы от множества программ-клиентов, её размещают на специально выделенной вычислительной машине, настроенной особым образом, как правило, совместно с другими программами-серверами, поэтому производительность этой машины должна быть высокой.

Из-за особой роли такой машины в сети, специфики её оборудования и программного обеспечения, её также называют сервером, а машины, выполняющие клиентские программы, соответственно, клиентами.

Преимущества:

· Отсутствие дублирования кода программы-сервера программами-клиентами.

· Так как все вычисления выполняются на сервере, то требования к компьютерам, на которых установлен клиент, снижаются.

· Все данные хранятся на сервере, который, как правило, защищён гораздо лучше большинства клиентов. На сервере проще организовать контроль полномочий, чтобы разрешать доступ к данным только клиентам с соответствующими правами доступа.

Недостатки:

· Неработоспособность сервера может сделать неработоспособной всю вычислительную сеть. Неработоспособным сервером следует считать сервер, производительности которого не хватает на обслуживание всех клиентов, а также сервер, находящийся на ремонте, профилактике и т. п.

· Поддержка работы данной системы требует отдельного специалиста — системного администратора.

· Высокая стоимость оборудования.       

·

Пример двухуровневой архитектуры

 

 

Основные командные режимы

По соображениям безопасности Cisco IOS использует два отдельных командных режима для доступа к административным функциям.

· Пользовательский режим EXEC — это режим с ограниченными возможностями, но он удобен для базовых операций. В пользовательском режиме доступно только ограниченное число основных команд мониторинга, но невозможно выполнять какие-либо команды, которые могут изменить конфигурацию устройства. Пользовательский режим EXEC можно определить по командной строке CLI, оканчивающейся символом «>».

· Привилегированный режим EXEC — этот режим должен использовать сетевой администратор для выполнения команд настройки. Режимы конфигурации более высокого уровня, например, режим глобальной конфигурации, доступны только из привилегированного режима EXEC. Привилегированный режим EXEC можно определить по командной строке, оканчивающейся символом «#».

Компоненты справки IOS

В IOS доступно два вида справки.

· Контекстная справка

· Проверка синтаксиса команды

Контекстная справка позволяет быстро узнать, какие команды доступны в каждом командном режиме, какие команды начинаются с определенных символов или группы символов, и какие аргументы и ключевые слова можно использовать для конкретных команд. Для доступа к контекстной справке введите вопросительный знак (?) в командной строке CLI.

Проверка синтаксиса команды подтверждает, что пользователь ввел допустимую команду. Командный процессор анализирует введенную команду слева направо. Если процессор распознает команду, то выполняется требуемое действие и интерфейс CLI возвращается к соответствующей командной строке. Если процессор не распознает введенную команду, он отображает возможные ошибки.

Настройка паролей

Для защиты доступа к привилегированному режиму EXEC используйте команду глобальной конфигурации enable secret password.

Для защиты доступа к пользовательскому режиму EXEC необходимо настроить консольный порт.

login -Включите доступ к пользовательскому режиму EXEC с помощью команды

Линии виртуального терминала (VTY) обеспечивают удаленный доступ к устройству.

 

Шифрование паролей

Чтобы зашифровать пароли, используйте команду глобальной конфигурации service password-encryption. Команда применяет слабый алгоритм шифрования ко всем незашифрованным паролям. Шифрование применяется только к паролям в файле конфигурации, но не к паролям, которые отправлены по сети. Эта команда не позволяет неавторизованным пользователям прочитать пароли в файле конфигурации.

 

Баннерные сообщения

Необходимо использовать уведомления о том, что лишь авторизованным пользователям можно получить доступ к устройству. Для этого нужно добавить баннер в выходные данные устройства. Баннеры могут стать важной частью судебного процесса, если пользователь был обвинен в несанкционированном доступе. Отдельные законодательства не разрешают возбуждать судебные дела против пользователей или даже просто следить за их действиями без предупреждения.

Чтобы создать баннерное сообщение дня на сетевом устройстве, используйте команду глобальной конфигурации banner motd # the message of the day # . Символ «#» в синтаксисе команды называется разделителем. Он вводится до и после сообщения. Разделителем может быть любой символ, которого нет в самом сообщении. Поэтому часто используются такие символы, как «#». После выполнения команды баннер будет отображаться при всех последующих попытках доступа к устройству, пока не будет удален.

Сохранение файла текущей конфигурации

Конфигурация устройства хранится в двух системных файлах.

· startup-config — файл в энергонезависимом ОЗУ (NVRAM), содержащий все команды, которые будут использоваться устройством после запуска или перезагрузки. Содержимое NVRAM не теряется при выключении питания устройства.

· running-config — файл в ОЗУ, отражающий текущую конфигурацию. Изменения текущей конфигурации незамедлительно влияют на работу устройства Cisco. ОЗУ — энергозависимая память. После отключения питания или перезагрузки устройства ОЗУ теряет все свое содержимое.

Как показано на рисунке, можно использовать команду привилегированного режима EXEC show running-config для просмотра файла текущей конфигурации. Для просмотра файла загрузочной конфигурации используйте команду привилегированного режима EXEC show startup-config.

Однако при отключении питания или перезапуске устройства все несохраненные изменения конфигурации будут потеряны. Чтобы сохранить изменения текущей конфигурации в файле загрузочной конфигурации, используйте команду привилегированного режима EXEC copy running-config startup-config.

Изменение текущей конфигурации

Если изменения, внесенные в текущей конфигурации, не приносят желаемого результата, а файл текущей конфигурации еще не был сохранен, можно восстановить устройства в их предыдущей конфигурации путем индивидуального удаления измененных команд или путем перезагрузки устройства, используя команду привилегированного режима EXEC reload для восстановления стартовой конфигурации.

Недостатком использования команды reload для удаления несохраненной текущей конфигурации является кратковременный переход устройства в автономный режим и, как следствие, простой сети.

Загрузочную конфигурацию можно удалить с помощью команды привилегированного режима EXEC erase startup-config. После ввода команды появится запрос о подтверждении. Нажмите клавишу ввода для подтверждения.

Коммутируемые сети

Коммутируемая локальная сеть обеспечивает большую гибкость, оптимизированное управление трафиком и следующие дополнительные функции:

· Качество обслуживания

· Дополнительная безопасность

· Поддержка беспроводных сетей и подключения

· Поддержка таких новых технологий, как IP-телефония и мобильные сервисы

Выявление ошибок

Коммутатор с промежуточным хранением выявляет ошибки во входящем кадре. После получения всего кадра на входном порте, как показано на рисунке, коммутатор сравнивает значение FCS (frame-check-sequence) в последнем поле датаграммы с собственными вычислениями FCS. FCS — это процесс выявления ошибок, который позволяет убедиться в том, что кадр свободен от физических и канальных ошибок. Коммутатор пересылает кадр, если не выявил в нем ошибок. В противном случае кадр отбрасывается.

Автоматическая буферизация

Процесс буферизации на входном порте, используемый коммутаторами с промежуточным хранением, обеспечивает гибкость для поддержки любых скоростей Ethernet. Например, обработка входящего кадра, передаваемого в порт Ethernet 100 Мбит/с и предназначенного для отправки в интерфейс 1 Гбит/с, потребует использования коммутации с промежуточным хранением. С любым несоответствием в скорости между входным и выходным портами коммутатор сохраняет весь кадр в буфере, проверяет FCS, пересылает его в буфер выходного порта и затем отправляет его.

Коммутация с промежуточным хранением или, используя иной термин, коммутация в режиме «store-and-forward», является основным методом коммутации локальной сети Cisco.

Коммутатор с промежуточным хранением отбрасывает кадры, которые не прошли проверку FCS, и, таким образом, не пересылает недопустимые кадры. И наоборот, в режиме сквозной коммутации возможна пересылка недопустимых кадров, поскольку проверка FCS не выполняется.

Быстрая пересылка кадра

Как показано на рисунке, коммутатор со сквозной коммутацией может принимать решение о пересылке сразу после нахождения МАС-адреса назначения кадра в своей таблице МАС-адресов. Коммутатору не нужно ждать остальной части кадра, поступающей через входной порт, прежде чем принять решение о пересылке.

С учетом современных контроллеров и ASIC MAC, коммутатор со сквозной коммутацией способен быстро принимать решение о том, нужно ли ему проверять большую часть заголовков кадра в целях дополнительной фильтрации. Например, коммутатор может проанализировать первые 14 байт (поля MAC-адреса источника, МАС-адреса назначения и EtherType) и изучить дополнительные 40 байт, чтобы выполнить усложненные функции по отношению к уровням 3 и 4 протокола IPv4.

Сквозная коммутация не отбрасывает большинство недопустимых кадров. Кадры с ошибками пересылаются другим сегментам сети. В случае высокого коэффициента ошибок (недопустимых кадров) в сети сквозная коммутация может негативно сказаться на полосе пропускания, наполняя ее поврежденными и недопустимыми кадрами.

Архитектура Ethernet

Ethernet – это наиболее распространённая технология организации локальных сетей. Стандарты Ethernet описывают реализацию двух первых уровней модели OSI – (проводные соединения и электрические сигналы) физический уровень, (форматы блоков данных и протоколы управления доступом к сети) канальный уровень

Глобальная сеть Ethernet — глобальные сети Ethernet позволяют расширить сети LAN до WAN.

Локальная сеть (LAN) — сетевая инфраструктура, предоставляющая доступ пользователям и оконечным устройствам на небольшой территории; обычно является домашней сетью, сетью малого или крупного предприятия, управляется одним лицом или ИТ-отделом и принадлежит им.

Глобальная сеть (WAN) -— сетевая инфраструктура, предоставляющая доступ к другим сетям на большой территории; обычно принадлежит провайдерам телекоммуникационных услуг и находится под их управлением.

В рамках стандарта Ethernet принято различать несколько типов построения распределенной вычислительной системы, исходя из ее топологической структуры. Топология локальной сети — это конфигурация кабельных соединений между компьютерами, выполненных по некоему единому принципу. Какая-либо конкретная топология сети выбирается, во-первых, исходя из используемого оборудования, которое, как правило, поддерживает некий строго определенный вариант организации сетевых подключений; во-вторых, на основе имеющихся требований к мобильности, масштабируемости и вычислительной мощности всей системы в целом. В ряде ситуаций возможна организация нескольких подсетей, построенных с использованием различных топологий и связанных впоследствии в единую сеть. В частности, применительно к стандарту Ethernet возможна организация локальных сетей с топологией «шина» или «звезда».

Звезда (Star): в топологиях типа «звезда» оконечные устройства подключаются к центральному промежуточному устройству. В топологиях типа «звезда» используются коммутаторы Ethernet. Топологию типа «звезда» отличают простой монтаж, высокая масштабируемость (простое добавление и удаление оконечных устройств) и простое устранение неполадок.

Расширенная звезда (Extended Star): в расширенной звездообразной топологии дополнительные коммутаторы Ethernet обеспечивают соединение с другими звездообразными топологиями. Расширенная звезда — это пример гибридной топологии.

Шина (Bus): все оконечные системы связаны друг с другом общим кабелем, имеющим на концах специальные заглушки («терминаторы»). Для соединения оконечных устройств коммутаторы не требуются. Шинные топологии на основе коаксиальных кабелей использовались ранее в сетях Ethernet благодаря своей дешевизне и простому монтажу.

Сетевая архитектура

Сети должны поддерживать широкий набор приложений и сервисов, а также множество типов кабелей и устройств, из которых состоит физическая инфраструктура. Термин «сетевая архитектура» в этом контексте относится к технологиям, которые поддерживают инфраструктуру, а также к запрограммированным услугам и правилам или протоколам, которые служат для передачи данных в сети.

По мере развития сетей становится очевидным, что для удовлетворения потребностей пользователей архитектура должна соответствовать четырем основным требованиям.

· Отказоустойчивость

· Масштабируемость

· Качество обслуживания (QoS)

· Безопасность

Конвергентная сеть

Сегодня разрозненные сети данных, телефонные и видео сети объединяются. В отличие от выделенных сетей конвергентные сети позволяют передавать данные, голос и видео между различными типами устройств при использовании одной и той же сетевой инфраструктуры, как показано на рисунке. Сетевая инфраструктура использует одни и те же правила, соглашения и стандарты реализации.

Конвергентная сеть - это вычислительная сеть, сочетающая передачу голосовой информации (включая, но не ограничиваясь телефонными переговорами) и данных (включая мультимедиа, видеосвязь и т.д.) по общему каналу, что обеспечивает:

· упрощение корпоративных коммуникаций (замена нескольких независимых сетей единой сетью);

· возможность работы с разнородной информацией (голос, видео, электронная почта, файлы и т.д.) на едином пользовательском терминале (при этом, обычный ПК вполне может выступать в этой роли);

· дополнительную функциональность и упрощение работы при обмене разнородной информацией и ее обработке.

Преимущества конвергированных решений

· выход на новый уровень функциональности за счет возможности "прозрачного" транслирования информации из одного вида в другой (например, голосовые сообщения, поступающие на автоответчик пользователя, направляются ему в виде звуковых файлов по электронной почте); · повышение оперативности и надежности доставки информации получателю: вся разнородная информация доставляется потребителю по единому каналу вне зависимости от ее вида и вне зависимости от способа подключения потребителя к корпоративной сети (включая мобильный или удаленный доступ); · повышение эффективности обработки, хранения, учета информации и обмена ей между пользователями за счет централизации и унификации функций и средств обработки, хранения, учета и обмена информацией; · упрощение обслуживания и экономия использования корпоративной сети за счет объединения каналов доставки разнородной информации и более эффективного использования их пропускной способности.

 

 

 

Защита портов

Один из способов защиты портов — использование функции безопасности портов (функция Port Security). Данная функция ограничивает количество допустимых МАС-адресов на один порт, а также разрешает доступ для МАС-адресов санкционированных устройств и запрещает доступ для остальных МАС-адресов.

Для того чтобы разрешить доступ одному или нескольким МАС-адресам, необходимо настроить функцию безопасности портов. В случае если количество разрешенных МАС-адресов на порте ограничено до одного, к этому порту может подключиться только устройство с этим конкретным МАС-адресом.

Если порт настроен как защищенный и достигнуто максимальное количество МАС-адресов, любые дополнительные попытки подключения с неизвестных адресов приведут к нарушению безопасности.

 

Виды защиты МАС-адресов

Существует множество способов настроить функцию безопасности порта. В зависимости от конфигурации различают следующие типы защищенных адресов:

· Статическая защита МАС-адреса — МАС-адреса, которые настроены на порте вручную с помощью команды режима интерфейсной настройки switchport port-security mac-address mac-address. МАС-адреса, настроенные таким образом, хранятся в таблице адресов и добавляются в текущую конфигурацию коммутатора.

· Динамическая защита МАС-адреса — МАС-адреса, которые получены динамически и хранятся в таблице адресов. MAC-адреса, настроенные таким образом, удаляются при перезагрузке коммутатора.

· Защита МАС-адреса на основе привязки — МАС-адреса, которые могут быть получены динамически или настроены вручную. Они хранятся в таблице адресов и добавляются в текущую конфигурацию.

 

VLAN для данных

Виртуальная локальная сеть для данных — это сеть VLAN, которая настроена специально для передачи трафика, генерируемого пользователем. Сети VLAN для данных используются для разделения сети на группы пользователей или устройств.

Сеть VLAN по умолчанию

Все порты коммутатора становятся частью VLAN по умолчанию после первоначальной загрузки коммутатора. Порты коммутатора, находящиеся в сети VLAN по умолчанию, являются частью одного широковещательного домена. Сетью VLAN по умолчанию для коммутаторов Cisco установлена VLAN 1. На рисунке команда show vlan brief была выполнена на коммутаторе, настроенном по умолчанию.

Native VLAN

Сеть native VLAN назначена транковому порту 802.1Q (транковые порты — это каналы между коммутаторами, которые поддерживают передачу трафика, связанного с более чем одной сетью VLAN). Транковый порт 802.1Q размещает нетегированный трафик в сети native VLAN, которой по умолчанию является VLAN 1. Сети native VLAN определены в спецификации IEEE 802.1Q для обеспечения обратной совместимости с нетегированным трафиком, характерным для устаревших сценариев локальных сетей. Сеть native VLAN служит общим идентификатором на противоположных концах транкового канала.

Голосовые сети VLAN

Для поддержки передачи голоса по IP (VoIP) требуется отдельная сеть VLAN

Транки виртуальных сетей

Транк — это канал типа «точка-точка» между двумя сетевыми устройствами, который поддерживает более одной сети VLAN. Транки виртуальных сетей обеспечивают распространение всего трафика VLAN между коммутаторами так, чтобы устройства, находящиеся в одной сети VLAN, но подключенные к разным коммутаторам, могли обмениваться данными без вмешательства маршрутизатора.

Как создать VLAN

 

 

10. Маршрутизация между VLAN ( 6_3_3_7_Lab_-_Configuring_802_1Q_Trunk-Based_Inter-VLAN_Routing)

Сети VLAN используются для сегментации коммутируемых сетей. Коммутаторы 2-го уровня, например Catalyst 2960, можно настроить для работы с более чем 4 тысячами сетей VLAN. Сеть VLAN — это домен широковещательной рассылки, поэтому компьютеры в разных сетях VLAN не могут обмениваться данными без помощи устройства маршрутизации. Возможности протоколов IPv4 и IPv6 на коммутаторах 2-го уровня весьма ограничены, т. е. эти устройства не могут выполнять функцию динамической маршрутизации. Хотя коммутаторы 2-го уровня обладают расширенными функциями IP, например возможностью выполнять статическую маршрутизацию, этого недостаточно для обслуживания столь большого числа сетей VLAN.

Любое устройство, поддерживающее маршрутизацию 3-го уровня, например маршрутизатор или многоуровневый коммутатор, можно использовать для выполнения основных функций маршрутизации. Независимо от используемого устройства, процесс пересылки сетевого трафика из одной VLAN в другую с использованием маршрутизации называют маршрутизацией между VLAN.

 

Существуют три варианта маршрутизации между VLAN.

· Устаревший метод маршрутизации между VLAN.

· Конфигурация ROS (Router-on-a-stick)

· Коммутация 3-го уровня с использованием SVI.

 

Проверка эхо-запросов

Команда ping отправляет эхо-запрос ICMP по адресу назначения

Прикладной уровень

На прикладном уровне (Application layer) работает большинство сетевых приложений.

Эти программы имеют свои собственные протоколы обмена информацией, например, интернет браузер для протокола HTTP, ftp-клиент для протокола FTP (передача файлов), почтовая программа для протокола SMTP (электронная почта), SSH (безопасное соединение с удалённой машиной), DNS (преобразование символьных имён в IP-адреса) и многие другие.

Транспортный уровень

Протоколы транспортного уровня (Transport layer) могут решать проблему негарантированной доставки сообщений («дошло ли сообщение до адресата?»), а также гарантировать правильную последовательность прихода данных. В стеке TCP/IP транспортные протоколы определяют, для какого именно приложения предназначены эти данные.

Сетевой уровень

Сетевой уровень (Internet layer) изначально разработан для передачи данных из одной сети в другую. На этом уровне работают маршрутизаторы, которые перенаправляют пакеты в нужную сеть путем расчета адреса сети по маске сети. Примерами такого протокола является X.25 и IPC в сети ARPANET.

Канальный уровень

Канальный уровень (Link layer) описывает способ кодирования данных для передачи пакета данных на физическом уровне (то есть специальные последовательности бит, определяющих начало и конец пакета данных, а также обеспечивающие помехоустойчивость). Ethernet, например, в полях заголовка пакета содержит указание того, какой машине или машинам в сети предназначен этот пакет.

Примеры протоколов канального уровня — Ethernet, IEEE 802.11 Wireless Ethernet, SLIP, Token Ring, ATM и MPLS.

Протоколы этих уровней полностью реализуют функциональные возможности модели OSI. На стеке протоколов TCP/IP построено всё взаимодействие пользователей в IP-сетях. Стек является независимым от физической среды передачи данных, благодаря чему, в частности, обеспечивается полностью прозрачное взаимодействие между проводными и беспроводными сетями.

 

Кадры канального уровня

Канальный уровень- протоколы канального уровня описывают способы обмена кадрами данных при обмене данными между устройствами по общей среде передачи данных.

Канальный уровень подготавливает пакет для перемещения по среде передачи данных локальной сети, добавляя к нему заголовок и концевик с целью создать кадр. Описание кадра является ключевым элементом каждого протокола канального уровня. Хотя кадры канального уровня описываются множеством различных протоколов канального уровня, кадры любого типа состоят из трех основных компонентов.

· Заголовок

· Данные

· Концевик

Все протоколы канального уровня инкапсулируют единицу данных протокола (PDU) уровня 3 в пределах поля данных кадра. Однако структура кадра и полей, содержащихся в заголовке и концевике, отличается в зависимости от протокола.

Не существует такой структуры кадра, которая соответствовала бы требованиям всех видов передачи данных во всех типах средств подключения. Количество управляющей информации, которая должна присутствовать в кадре, зависит от окружения и изменяется в соответствии с требованиями управления доступом для конкретной среды и логической топологии.

Поля кадра

 

Кадрирование делит поток на дешифруемые группы. Управляющая информация помещается в заголовок и концевик в виде значений в разных полях. Этот формат придает физическим сигналам структуру, которую узлы способны принимать и декодировать в пакеты в точке назначения.

Как показано на рисунке, существуют следующие типы полей кадра.

· Флаги начала и конца кадра: используются для определения границ начала и конца кадра.

· Адресация: указывает узлы источника и назначения в среде передачи данных.

· Тип: указывает протокол уровня 3 в поле данных.

· Управление: указывает особые службы управления потоком, например качество обслуживания (QoS). Служба QoS используется для приоритетной пересылки определенных типов сообщений. Кадры каналов передачи данных, в которых пересылаются пакеты протокола VoIP, обычно пользуются приоритетом, поскольку они чувствительны к задержкам.

· Данные: содержит полезную нагрузку кадра (т. е. заголовок пакета, заголовок сегмента и данные).

· Обнаружение ошибок: эти поля кадра используются для обнаружения ошибок и помещаются после данных для формирования концевика.

Не каждый протокол включает в себя все эти поля. Фактический формат кадра определяется стандартами для конкретного канального протокола.

Протоколы канального уровня добавляют концевик в конец каждого кадра. Концевик используется, чтобы проверить наличие ошибок в принятом кадре. Этот процесс называется обнаружением ошибок. Для этого в концевике кадра размещается специальная информация, полученная путем математической или логической обработки содержимого кадра. Биты обнаружения ошибок добавляются на канальном уровне, т. к. сигналы в среде передачи данных могут быть подвержены помехам, искажениям или потерям, в результате чего значения представленных этими сигналами битов могут изменяться.

Передающий узел путем логической обработки содержимого кадра создает так называемый циклический избыточный код (cyclic redundancy check, CRC). Значение этого кода помещается в поле контрольной последовательности кадра (Frame Check Sequence, FCS) и предоставляет информацию о содержимом кадра. Поле FCS в концевике кадра Ethernet позволяет принимающему узлу проверять кадр на наличие ошибок передачи.

Адрес уровня 2

Канальный уровень обеспечивает адресацию, используемую при пересылке кадра по совместно используемой среде передачи данных в локальной сети. Адреса устройств на этом уровне называются физическими адресами. Адресация канального уровня содержится в заголовке кадра и указывает узел назначения кадра в локальной сети. Заголовок кадра может также содержать адрес источника кадра.

В отличие от логических адресов уровня 3, которые являются иерархическими, физические адреса не указывают, в какой сети находится устройство. Физический адрес — это адрес конкретного физического устройства. Если устройство перемещается в другую сеть или подсеть, оно продолжит функционировать с тем же физическим адресом уровня 2.

В ходе пересылки IP-пакетов от узла к маршрутизатору, между маршрутизаторами и, наконец, от маршрутизатора к узлу в каждой точке на пути своего следования IP-пакет инкапсулируется в новый кадр канала передачи данных. Каждый кадр канального уровня содержит адрес канала-источника (передавшего этот кадр сетевой платы) и адрес канала назначения (сетевой платы, принимающей этот кадр).

Адрес, соответствующий конкретному устройству и не являющийся иерархическим, нельзя использовать для поиска устройств в больших сетях или в Интернете. Однако физический адрес можно использовать для обнаружения устройства в ограниченной зоне. Поэтому адрес канального уровня используется только для локальной доставки пакетов. Адреса этого уровня не имеют смысла за пределами локальной сети. Сравните их с уровнем 3, где адреса в заголовке пакета передаются от узла источника на узел назначения, независимо от количества транзитных участков сети на протяжении маршрута.

Если данные должны перейти в другой сегмент сети, необходимо промежуточное устройство, например маршрутизатор. Маршрутизатор должен принять кадр согласно физическому адресу и деинкапсулировать его для анализа иерархического адреса или IP-адреса. С помощью IP-адреса маршрутизатор может определить местоположение устройства назначения в сети, а также наилучший путь к нему. Узнав, куда необходимо переслать пакет, маршрутизатор создает для него новый кадр, который отправляется в следующий сетевой сегмент к месту назначения.

Кадры LAN и WAN

В сети на основе стека протоколов TCP/IP все протоколы уровня 2 модели OSI работают с протоколом IP на уровне 3 модели OSI. Однако фактически используемый протокол уровня 2 зависит от логической топологии сети и физической среды передачи данных.

Каждый протокол управляет доступом к среде для указанных логических топологий уровня 2. Это означает, что при реализации этих протоколов в качестве узлов, действующих на канальном уровне, может использоваться целый ряд различных сетевых устройств. К таким устройствам относятся сетевые платы на компьютерах, а также интерфейсы на маршрутизаторах и коммутаторах уровня 2.

Протокол уровня 2, используемый для конкретной топологии сети, определяется технологией, используемой для реализации этой топологии. Эта технология, в свою очередь, определяется размером сети (с точки зрения количества узлов и территории) и сервисами, предоставляемыми в этой сети.

В локальных сетях обычно используются технологии, которые обеспечивают высокую пропускную способность и поддерживают большое количество узлов. Сравнительно небольшая протяженность локальных сетей (в пределах одного здания или комплекса зданий) и высокая плотность пользователей обеспечивают рентабельность этой технологии.

Однако использование технологии с высокой пропускной способностью обычно нерентабельно для глобальных сетей, охватывающих обширные территории (например, города или целые области). Ввиду высокой стоимости физических каналов большой протяженности и технологий, используемых для передачи сигналов на большие расстояния, пропускная способность таких сетей, как правило, определяется уровнем рентабельности.

Разница в пропускной способности требует использования различных протоколов для локальных и глобальных сетей.

К протоколам канального уровня относятся:

· Ethernet

· Беспроводная сеть 802.11

· Протокол точка-точка (протокол PPP)

· HDLC

· Протокол ретрансляции кадров (протокол Frame Relay)

 

 

Идентификатор подсети

Идентификатор подсети используется организациями для обозначения подсетей на своем сайте. Чем выше значение идентификатора подсети, тем больше существует подсетей.

Идентификатор интерфейса

Идентификатор IPv6-интерфейса эквивалентен узловой части IPv4-адреса. Термин «идентификатор интерфейса» используется в том случае, когда один узел может иметь несколько интерфейсов, каждый из которых имеет один или более IPv6-адресов. Настоятельно рекомендуется в большинстве случаев использовать подсети /64. Другими словами, 64-битный идентификатор интерфейса, как показано на рисунке 2.

Примечание. В отличие от IPv4, при использовании протокола IPv6 устройству можно назначить адрес узла, состоящий из одних 0 или из одних 1. Адрес из одних 1 можно использовать по той причине, что в протоколе IPv6 не используются широковещательные адреса. Можно также использовать адрес из одних 0, но он зарезервирован в качестве адреса произвольной рассылки маршрутизатора подсети, и его следует назначать только маршрутизаторам.

Самый простой способ прочитать большинство IPv6-адресов — подсчитать количество гекстетов. Как показано на рис. 3, в глобальном индивидуальном адресе с префиксом /64 первые четыре гекстета обозначают сетевую часть адреса, а четвертый гекстет — идентификатор подсети. Остальные четыре гекстета используются для идентификатора интерфейса.

Типы адресов в IPv6

Протокол IPv6 определяет следующие типы адресов:

Адрес одноадресной рассылки. Идентификатор в адресе определяет один интерфейс. Пакет, посланный на этот адрес, доставляется по указанному адресу. Адреса одноадресной рассылки отличаются от адресов групповой рассылки значением старшего октета. Старший октет адресов групповой рассылки имеет шестнадцатеричное значение FF. Все остальные значения этого октета определяют адрес одноадресной рассылки.

Различные типы адресов одноадресной рассылки:

Адреса локальной связи. Эти адреса используются для одной линии связи и имеют формат: FE80::InterfaceID. Адреса локальной связи используются между узлами для автоконфигурации адресов, обнаружения соседа или при отсутствии маршрутизаторов. Адреса локальной связи используются в основном во время запуска и в случае, если система ещё не получила адреса в большем адресном пространстве.

Адреса локальных веб-узлов. Эти адреса используются на одном веб-узле и имеют следующий формат: FEC0::SubnetID:InterfaceID. Адреса локальных веб-узлов используются для адресации внутри узла и не требуют глобального префикса.

Глобальные адреса одноадресной рассылки протокола IPv6. Эти адреса могут использоваться для связи через Интернет и имеют следующий формат: 010 (FP, 3 бита) TLA ID (13 битов) Резерв (8 битов) NLA ID (24 бита) SLA ID (16 битов) InterfaceID (64 бита).

Адрес групповой рассылки. Идентификатор в адресе определяет набор интерфейсов (обычно принадлежащих различным узлам). Пакет, посланный на такой адрес, доставляется всем интерфейсам, идентифицирующимся этим адресом. Типы групповых адресов замещают широковещательные адреса протокола IPv4.

Адрес для всех типов рассылок. Идентификатор в адресе определяет набор интерфейсов (обычно принадлежащих различным узлам). Пакет, посланный на такой адрес, доставляется только одному интерфейсу из идентифицирующихся данным адресом. Этот интерфейс является ближайшим из идентифицируемых метрикой маршрутизации. Адреса для всех типов рассылок получаются из пространства адресов одноадресной рассылки и синтаксически не отличаются друг от друга. Для адресуемого интерфейса разница между адресом для всех типов рассылок и адресом одноадресной рассылки определяется во время конфигурации.

 

 

16. Подсети IPv4 сетей. Маски переменной длины(Лаба 8.1.4.8-r2 Lab - Designing and Implementing a Subnetted IPv4 Addressing Scheme, Лаба 8.2.1.5-r2_Lab_-_Designing_and_Implementing_a_VLSM_Addressing_Scheme.docx)

По мере роста сети во многих организациях, когда к сети подключаются сотни и даже тысячи узлов, двухуровневая иерархия становится неэффективной.

При разделении сети на подсети в иерархию сети добавляется еще один уровень, и фактически создается иерархия из трех уровней: сеть, подсеть и узел. При добавлении нового уровня иерархии в IP-сети создаются дополнительные подгруппы. Это позволяет ускорить доставку пакетов и обеспечить дополнительную фильтрацию, способствуя сокращению объема «локального» трафика.

Разделение на подсети снижает общий объем сетевого трафика и повышает производительность сети. Кроме того, это дает возможность администраторам применять меры безопасности. Например, определить подсети, которым разрешено и которым не разрешено взаимодействовать друг с другом.

Маршрутизация в IP-сетях

IP-Маршрутизация – процесс выбора пути для передачи пакета в сети. Под путем (маршрутом) понимается последовательность маршрутизаторов, через которые проходит пакет по пути к узлу-назначению. IP-маршрутизатор – это специальное устройство, предназначенное для объединения сетей и обеспечивающее определение пути прохождения пакетов в составной сети. Маршрутизатор должен иметь несколько IP-адресов с номерами сетей, соответствующими номерам объединяемых сетей. В качестве IP-маршрутизатора может быть использован компьютер, системное программное обеспечение которого позволяет осуществлять IP-маршрутизацию. В частности, маршрутизатор можно организовать на базе компьютера под управлением любой из операционных систем семейства Microsoft Windows 2000 Server.

Объединение сетей с помощью IP-маршрутизатора

 

Маршрутизация осуществляется на узле-отправителе в момент отправки IP-пакета, а затем на IP-маршрутизаторах.

Принцип маршрутизации на узле отправителе выглядит достаточно просто. Когда требуется отправить пакет узлу с определенным IP-адресом, то узел-отправитель выделяет с помощью маски подсети из собственного IP-адреса и IP-адреса получателя номера сетей. Далее номера сетей сравниваются и если они совпадают, то пакет направляется непосредственно получателю, в противном случае – маршрутизатору, чей адрес указан в настройках протокола IP.

Если на узле не настроен адрес маршрутизатора, то доставка данных получателю, расположенному в другой сети, окажется невозможной.

Выбор пути на маршрутизаторе осуществляется на основе информации, представленной в таблице маршрутизации. Таблица маршрутизации – это специальная таблица, сопоставляющая IP-адресам сетей адреса следующих маршрутизаторов, на которые следует отправлять пакеты с целью их доставки в эти сети. Обязательной записью в таблице маршрутизации является так называемый маршрут по умолчанию, содержащий информацию о том, как направлять пакеты в сети, адреса которых не присутствуют в таблице, поэтому нет необходимости описывать в таблице маршруты для всех сетей. Таблицы маршрутизации могут строиться «вручную» администратором или динамически, на основе обмена информацией, который осуществляют маршрутизаторы с помощью специальных протоколов.

 

Статическая маршрутизация

Маршрутизация выполняется на уровне ядра сети путем передачи данных через объединенную сеть от источника к получателю. Маршрутизаторы представляют собой устройства, отвечающие за передачу пакетов из одной сети в другую.

Маршрутизатору можно сообщить об удаленных сетях одним из двух способов:

· Вручную — удаленные сети вручную вводятся в таблицу маршрутизации с помощью статических маршрутов.

Статические маршруты очень распространены, при этом они не требуют такого же количества вычислений и операций, как протоколы динамической маршрутизации.

 

· Динамически — удаленные маршруты автоматически добавляются с помощью протокола динамической маршрутизации.

Сетевой администратор может вручную настроить статический маршрут для доступа к конкретной сети. В отличие от протокола динамической маршрутизации, статические маршруты не обновляются автоматически, и при изменениях в сетевой топологии их необходимо повторно настраивать вручную.

 

Преимущества по сравнению с динамической маршрутизацией, а именно:

· статические маршруты не объявляются по сети, что делает их более безопасными.

· Статические маршруты используют более узкую полосу пропускания, чем протоколы динамической маршрутизации; для расчета и связи маршрутов циклы ЦП не используются.

· Путь, используемый статическим маршрутом для отправки данных, известен.

Недостатки:

· Исходная настройка и ее поддержка требуют временных затрат.

· При настройке часто допускаются ошибки, особенно в больших сетях.

· Для внесения изменений в данные маршрута требуется вмешательство администратора.

· Недостаточные возможности масштабирования для растущих сетей, обслуживание при этом становится довольно трудоемким.

· Для качественного внедрения требуется доскональное знание всей сети.

На рисунке представлено сравнение функций динамической и статической маршрутизации. Обратите внимание, что преимущества одного метода одновременно являются недостатками другого.

Статические маршруты рекомендуется использовать в небольших сетях, для которых задан только один путь к внешней сети. Они также обеспечивают безопасность в больших сетях с определенным типом трафика или в каналах к другим сетям, для которых требуются расширенные функции контроля.

Важно понимать, что статическая и динамическая маршрутизация не являются взаимоисключающими. В большинстве сетей используется комбинация протоколов динамической маршрутизации и статических маршрутов. Это может привести к тому, что для маршрутизатора задается несколько путей к сети назначения посредством статических маршрутов и динамически получаемых маршрутов.

Однако следует помнить, что значение административного расстояния (AD) является критерием выбора источников маршрута. Источники маршрутов с низкими значениями AD предпочтительнее источников маршрутов с более высокими значениями AD. Значение AD для статического маршрута равно 1. Таким образом, статический маршрут имеет приоритет над всеми динамически полученными маршрутами, которые будут иметь более высокие значения AD.

Для IPv6

 

Команда ip route

Статические маршруты настраиваются с помощью команды глобальной конфигурации ip route.

Статический маршрут IPv6 (Также как и для IPv4)

Статический маршрут IPv6 можно реализовать следующим образом:

· стандартный статический маршрут IPv6;

· статический маршрут IPv6 по умолчанию;

· объединенный статический маршрут IPv6;

· плавающий статический маршрут IPv6.

Как и в случае с IPv4, эти маршруты можно настроить как рекурсивные, подключенные напрямую или полностью заданные маршруты.

Доп инфа (Также как и для IPv4)
Следующий переход может быть идентифицирован IPv6-адресом, выходным интерфейсом или обоими параметрами сразу. В зависимости от того, как указано место назначения, создается один из трех возможных типов маршрута.

· Статический маршрут IPv6 следующего перехода –(также как IPv4)

· Статический маршрут IPv6 с прямым подключением — (также как IPv4)

· Полностью заданный статический маршрут IPv6 — указываются IP-адрес следующего перехода и выходной интерфейс.

В полностью заданном статическом маршруте указываются как выходной интерфейс, так и IPv6-адрес следующего перехода. Как и полностью заданные статические маршруты для IPv4, эти маршруты используются в том случае, когда на маршрутизаторе не включена функция CEF, и выходной интерфейс размещен в сети с множественным доступом. При использовании CEF статический маршрут, использующий только IPv6-адрес следующего перехода, будет предпочтительным методом даже в том случае, когда выходной интерфейс является сетью с множественным доступом.

           В отличие от IPv4, в IPv6 возможна ситуация, когда требуется использование полностью заданного статического маршрута. Если статический маршрут IPv6 использует IPv6-адрес типа link-local в качестве адреса следующего перехода, то необходимо использовать полностью заданный статический маршрут, включающий выходной интерфейс.

           Причина, по которой требуется использование полностью заданного статического маршрута, заключается в том, что IPv6-адрес типа link-local не добавлен в таблицу маршрутизации IPv6. Адреса типа link-local являются уникальными только в данном канале или сети. Адреса следующего перехода типа link-local могут быть допустимыми адресами в нескольких сетях, подключенных к маршрутизатору. По этой причине необходимо добавить выходной интерфейс.

               

Для того чтобы маршрутизатор мог осуществлять пересылку пакетов для IPv6, необходимо настроить команду глобальной конфигурации ipv6 unicast-routing.

Ip route для ipv6

 

Следующий переход может быть идентифицирован IP-адресом, выходным интерфейсом или обоими параметрами сразу. В зависимости от того, как указано место назначения, создается один из трех возможных типов маршрута:

· Маршрут следующего перехода — указывается только IP-адрес следующего перехода.

Перед пересылкой маршрутизатором любого пакета с помощью таблицы маршрутизации определяется выходной интерфейс, который будет использоваться для пересылки пакета. Такая операция называется разрешимостью маршрута.

Для пересылки пакетов в сеть требуется два процесса поиска по таблице маршрутизации. Процесс повторного поиска маршрутизатором в таблице маршрутизации перед пересылкой пакета известен как рекурсивный поиск. Поскольку рекурсивный поиск расходует ресурсы маршрутизатора, рекомендуется по возможности избегать его.

Рекурсивный статический маршрут является допустимым (т. е. может быть добавлен в таблицу маршрутизации), только если указанный следующий переход напрямую или косвенно связан с допустимым выходным интерфейсом. Если для выходного интерфейса установлен параметр down (отключен) или administratively down (отключен администратором), то статический маршрут не будет добавлен в таблицу маршрутизации.

· Статический маршрут с прямым подключением — указывается только выходной интерфейс маршрутизатора.

Настройка напрямую подключенного статического маршрута с выходным интерфейсом позволяет таблице маршрутизации преобразовать выходной интерфейс в ходе одного процесса поиска вместо двух. Хотя запись в таблице маршрутизации указывает на «прямое подключение», административное расстояние статического маршрута по-прежнему равно 1. Только напрямую подключенный интерфейс может иметь административное расстояние, равное 0.

Технология CEF (Cisco Express Forwarding) используется по умолчанию на большинстве устройств, работающих под управлением операционной системы IOS 12.0 (или более поздней версии). CEF обеспечивает возможность оптимизированного поиска для эффективной пересылки пакетов за счет двух основных структур данных, хранящихся в плоскости данных: базы сведений о пересылке (FIB), которая является копией таблицы маршрутизации, и таблицы смежности, которая содержит сведения об адресации второго уровня. Сведения, объединенные в этих таблицах, используются совместно, поэтому использование рекурсивного поиска при поиске IP-адреса следующего перехода не требуется. Иными словами, когда на маршрутизаторе включена функция CEF, статический маршрут, использующий IP-адрес следующего перехода, требует единичного поиска. Несмотря на то что статические маршруты, которые используют только выходной интерфейс в сетях типа «точка-точка», широко распространены, использование метода пересылки CEF по умолчанию устраняет необходимость в таком подходе. Технология CEF подробно описана далее в этом курсе.

· Полностью заданный статический маршрут — указываются IP-адрес следующего перехода и выходной интерфейс.

В полностью заданном статическом маршруте указываются как выходной интерфейс, так и IP-адрес следующего перехода. Это еще один тип статического маршрута, который используется в более ранних версиях IOS, не имеющих функции CEF.

Такой статический маршрут используется в случаях, когда выходной интерфейс представляет собой интерфейс множественного доступа и необходимо явно определить следующий переход. Следующий переход должен быть напрямую подключен к указанному выходному интерфейсу.

Различие между сетью Ethernet с множественным доступом и последовательной сетью типа «точка-точка» заключается в том, что сеть «точка-точка» содержит только одно устройство — маршрутизатор на другом конце канала. Сети Ethernet могут содержать множество различных устройств, использующих одну сеть с множественным доступом, включая узлы и даже несколько маршрутизаторов. Если выходной интерфейс Ethernet просто обозначен в статическом маршруте, у маршрутизатора недостаточно данных, чтобы определить, какое устройство является устройством следующего перехода.

Возможность функционирования статического маршрута определяется топологией и настройками на других маршрутизаторах. Если выходной интерфейс является сетью Ethernet, рекомендуется использовать полностью заданный статический маршрут, включая как выходной интерфейс, так и IP-адрес следующего перехода.

При использовании CEF настройка полностью заданного статического маршрута не требуется. В таком случае следует использовать статический маршрут, использующий адрес следующего перехода.

Объявление сетей

При переходе в режим конфигурации протокола RIP маршрутизатор получает указание активировать RIPv1. Маршрутизатору необходимо сообщить, какие локальные интерфейсы он должен использовать для обмена данными с другими маршрутизаторами, а также какие локально подключенные сети он должен объявить для этих маршрутизаторов.

Включение маршрутизации по протоколу RIP для той или иной сети производится при помощи команды network сетевой адрес режима конфигурации маршрутизатора. Укажите классовый сетевой адрес для каждой напрямую подключенной сети. Данная команда выполняет следующие действия:

Включает протокол RIP на всех интерфейсах, которые относятся к конкретной сети. Связанные интерфейсы теперь могут и отправлять, и получать пакеты обновлений протокола RIP.

Объявляет указанную сеть в обновлениях маршрутизации RIP, отправляемых другим маршрутизаторам каждые 30 секунд.

Примечание. Протокол RIPv1 является протоколом классовой маршрутизации для IPv4. Поэтому IOS автоматически преобразует введенный адрес подсети (при его наличии) в классовый сетевой адрес. Например, при вводе команды network 192.168.1.32 в текущем файле конфигурации выполняется автоматическое преобразование входных данных в network 192.168.1.0. IOS не создает сообщение об ошибке, однако вместо этого исправляет введенные данные и указывает классовый сетевой адрес.

 

На рис. 1 команда network используется для объявления напрямую подключенных сетей маршрутизатора R1.

Списки управления доступом

ACL-список — это ряд команд IOS, определяющих, пересылает ли маршрутизатор пакеты или сбрасывает их, исходя из информации в заголовке пакета.

В зависимости от конфигурации ACL-списки выполняют следующие задачи:

· Ограничение сетевого трафика для повышения производительности сети. Например, если корпоративная политика запрещает видеотрафик в сети, необходимо настроить и применить ACL-списки, блокирующие данный тип трафика. Подобные меры значительно снижают нагрузку на сеть и повышают ее производительность.

· Вторая задача ACL-списков — управление потоком трафика. При помощи списков контроля доступа (ACL) можно ограничить доставку маршрутных обновлений, чтобы гарантировать достоверность источников таких обновлений.

· Списки контроля доступа обеспечивают базовый уровень безопасности в отношении доступа к сети. ACL-списки могут открыть доступ к части сети одному узлу и закрыть его для других узлов. Например, доступ к сети отдела кадров может быть ограничен и разрешен только авторизованным пользователям.

· ACL-списки осуществляют фильтрацию трафика на основе типа трафика. Например, ACL-список может разрешать трафик электронной почты, но при этом блокировать весь трафик протокола Telnet.

· Списки контроля доступа осуществляют сортировку узлов в целях разрешения или запрета доступа к сетевым службам. С помощью ACL-списков можно разрешать или запрещать доступ к определенным типам файлов, например FTP или HTTP.

· При помощи ACL-списков можно классифицировать трафик для включения обработки данных в соответствии с приоритетом.

Фильтрация пакетов

Список контроля доступа ACL — это последовательный список разрешающих или запрещающих операторов, называемых записями контроля доступа (ACE). Записи контроля доступа также часто называют правилами ACL-списка. При прохождении сетевого трафика через интерфейс, где действует список контроля доступа (ACL), маршрутизатор последовательно сопоставляет информацию из пакета с каждой записью в списке контроля доступа на предмет соответствия. Этот процесс называется фильтрацией пакетов.

Фильтрация пакетов обеспечивает контроль доступа к сети на основе анализа входящих и исходящих пакетов с последующей переадресацией или отбрасыванием этих пакетов согласно заданным критериям. Как показано на рисунке, фильтрация пакетов может происходить на транспортном и сетевом уровнях 3 и 4.

Протокол DHCPv4

DHCPv4 присваивает IPv4-адреса и другие сетевые параметры динамически. Поскольку стационарные ПК обычно составляют основную часть сетевых узлов, протокол DHCPv4 является крайне полезным инструментом, позволяющим сетевым администраторам значительно экономить время.

Выделенный DHCPv4-сервер масштабируется и относительно легок в управлении. Однако в небольшом филиале или домашнем офисе (SOHO) маршрутизатор Cisco можно настроить для обеспечения DHCPv4-служб без необходимости в выделенном сервере. ПО Cisco IOS поддерживает дополнительный полнофункциональный сервер DHCPv4.

Сервер DHCPv4 динамически назначает или выдает в аренду IPv4-адрес из пула адресов на ограниченный период времени по выбору сервера или до тех пор, пока у клиента есть необходимость в адресе.

Клиенты арендуют данные у сервера на период, определенный администратором. Администраторы настраивают серверы DHCPv4 таким образом, чтобы срок аренды истекал в разное время. Срок аренды обычно составляет от 24 часов до недели или более. По истечении срока аренды клиент должен запросить другой адрес, хотя в большинстве случаев клиенту повторно назначается тот же адрес.

Операция DHCPv4

 DHCPv4 работает по модели «клиент-сервер». Когда клиент подключается к серверу DHCPv4, сервер присваивает или сдает ему в аренду IPv4-адрес. Клиент с арендованным IP-адресом подключается к сети до истечения срока аренды. Периодически клиент должен связываться с DHCP-сервером для продления срока аренды. Благодаря подобному механизму «переехавшие» или отключившиеся клиенты не занимают адреса, в которых они больше не нуждаются. По истечении срока аренды сервер DHCP возвращает адрес в пул, из которого адрес может быть повторно получен при необходимости.

Первоначальная аренда

При начальной загрузке клиента (или ином способе подключения к сети) начинается 4-шаговый процесс получения адреса в аренду. Как показано, клиент начинает процесс с сообщения DHCPDISCOVER широковещательной рассылки со своего MAC-адреса с целью обнаружения доступных DHCPv4-серверов.

Запрос DHCP (DHCPREQUEST)

Когда клиент получает от сервера сообщение DHCPOFFER, он отправляет в ответ сообщение DHCPREQUEST. Это сообщение используется как для первоначальной аренды адреса, так и для ее продления. Когда сообщение используется при первоначальной аренде, DHCPREQUEST служит уведомлением о принятии предложения привязки к предложенным сервером параметрам и косвенным отклонением для всех других серверов, которые могли предоставить клиенту предложение привязки.

В корпоративных сетях часто используется несколько DHCPv4-серверов. Сообщение DHCPREQUEST отправляется в форме широковещательной рассылки с целью информирования данного DHCPv4-сервера и других DHCPv4-серверов о том, что предложение было принято.

Продление аренды

Запрос DHCP (DHCPREQUEST)

Как показано на рис. 6, перед окончанием аренды клиент отправляет сообщение DHCPREQUEST непосредственно DHCPv4-серверу, который первоначально предложил IPv4-адрес. Если сообщение DHCPACK не получено за определенный период времени, клиент отправляет другое сообщение DHCPREQUEST широковещательной рассылкой, чтобы другой DHCPv4-сервер мог продлить срок аренды.

Формат сообщений DHCPv4

Для всех транзакций DHCPv4 используется одинаковый формат сообщений DHCPv4. Сообщения DHCPv4 инкапсулируются в рамках транспортного протокола UDP. Сообщения DHCPv4 отправляются от клиента через протокол UDP из порта источника 68 в порт назначения 67. Сообщения DHCPv4 отправляются с сервера через протокол UDP из порта источника 67 в порт назначения 68.

На рисунке показан формат сообщения DHCPv4. Сообщение содержит следующие поля:

· Код операции (OP) —указывает общий тип сообщения. Значение 1 означает сообщение-запрос; значение 2 — сообщение-ответ.

· Тип оборудования — определяет тип аппаратного оборудования, используемого в сети. Например, 1 — Ethernet, 15 — Frame Relay, 20 — последовательная линия. Эти же коды используются в сообщениях ARP.

· Длина физического адреса — задает длину адреса.

· Переходы — управление процессом пересылки сообщений. Устанавливается клиентом на 0 перед отправкой сообщения-запроса.

· Идентификатор транзакции — используется клиентом для согласования запроса с ответами от DHCPv4-серверов.

· Секунды — обозначают количество секунд, пройденных с момента, когда клиент начал пытаться получить или продлить аренду. Используется DHCPv4-серверами для расстановки приоритетности ответов, в случае нескольких клиентских запросов.

· Флаги — применяются клиентом, который не знает своего IPv4-адреса при отправлении запроса. Используется только один из 16 бит, являющийся флагом широковещательной рассылки. Значение 1 в этом поле сообщает DHCPv4-серверу или агенту-ретранслятору, принимающему запрос, что ответ должен быть послан в форме широковещательной рассылки.

· IP-адрес клиента — используется клиентом при продлении аренды, когда клиент имеет собственный действительный и используемый IP-адрес, но не в процессе первоначального его получения. Клиент подставляет собственный IPv4-адрес в это поле только в случае, если у него есть действующий IPv4-адрес, совпадающий с ранее назначенным; в противном случае значение поля устанавливается на 0.

· Ваш IP-адрес — используется сервером для присвоения нового IPv4-адреса клиенту.

· IP-адрес сервера — применяется сервером для распознавания адреса сервера, который клиент должен использовать для следующего шага в процессе самонастройки. Этот сервер может являться (или не являться) сервером, посылающим ответ. Сервер, посылающий ответ, всегда включает собственный IPv4-адрес в отдельное поле - опцию Идентификатор сервера DHCPv4.

· IP-адрес шлюза — направляет DHCPv4-сообщения при использовании агентов-ретрансляторов DHCPv4. Использование заданного адреса шлюза упрощает передачу DHCPv4- запросов и ответов между клиентом и сервером, которые находятся в разных подсетях или сетях.

· Физический адрес клиента — указывает физический уровень клиента.

· Имя сервера — используется сервером, отправляющим сообщения DHCPOFFER или DHCPACK. Данное поле является необязательным для заполнения. Именем сервера может быть простой текстовый псевдоним или доменное имя DNS-сервера, как например dhcpserver.netacad.net.

· Имя файла загрузки — опциональное поле, используемое клиентом для запроса файла загрузки определенного типа посредством сообщения DHCPDISCOVER. Применяется сервером в сообщении DHCPOFFER для точного задания директории файла загрузки и имени файла.

· Опции DHCP — поле включает в себя опции DHCP, а также некоторые параметры, необходимые для основных операций протокола DHCP. Длина этого поля меняется. Поле может использоваться как клиентом, так и сервером.

Отключение DHCPv4

Служба DHCPv4 включена по умолчанию. Для того чтобы отключить/ включить службу, введите команду в режиме глобальной конфигурации no/ service dhcp.

Проверка DHCP

show running-config | section dhcp выходные данные команды отображают текущую конфигурацию DHCPv4, выполненную на маршрутизаторе R1. Параметр | section отображает только те команды, которые связаны с настройкой DHCPv4.

show ip dhcp binding. Команда выводит список всех привязок адресов IPv4 к MAC-адресам, предоставленных службой DHCPv4.

show ip dhcp server statistics — используется, чтобы проверить принятые и отправленные маршрутизатором сообщения. Данная команда отображает информацию о количестве принятых и отправленных сообщений DHCPv4.

DHCPv4-ретрансляция

Настройка вспомогательного адреса Cisco IOS. Подобная настройка позволяет маршрутизатору пересылать широковещательные сообщения DHCPv4 серверу DHCPv4. При пересылке(В виде одноадресной) запросов присвоения адреса/параметров адреса маршрутизатор выступает в качестве агента DHCPv4-ретрансляции

Настройки интерфейса с помощью команды ip helper-address. Адрес DHCPv4-сервера сконфигурирован в качестве единственного параметра.

DHCPv4 — не единственная служба, на ретрансляцию которой может быть сконфигурирован маршрутизатор. По умолчанию команда ip helper-address переадресовывает следующие восемь служб UDP:

· Порт 37: Time

· Порт 49: TACACS

· Порт 53: DNS

· Порт 67: DHCP/BOOTP client

· Порт 68: DHCP/BOOTP server

· Порт 69: TFTP

· Порт 137: NetBIOS name service

· Порт 138: NetBIOS datagram service

Настройка маршрутизатора в качестве DHCPv4-клиента

В некоторых случаях маршрутизаторы Cisco в небольших или домашних офисах (SOHO) и филиалах должны быть настроены в качестве DHCPv4-клиентов аналогично настройке клиентских компьютеров.

Для настройки Ethernet-интерфейса в качестве DHCP-клиента используйте команду режима настройки интерфейса ip address dhcp.

Отладка DHCPv4

Если маршрутизатор, сконфигурированный в качестве DHCPv4-сервера, не получает запросы от клиента, процесс DHCPv4 не может быть выполнен. Необходимо выполнить одну из задач по поиску и устранению неполадок для подтверждения того, что маршрутизатор получает DHCPv4-запрос от клиента. Этот шаг поиска и устранения неполадок включает настройку списка контроля доступа (ACL) для отладочных выходных данных.

Примечание. Хотя можно скопировать расширенный список ACL, представленный на рисунке, и использовать его для фильтрации сообщений DHCP, в рамках данного курса настройка расширенных списков ACL не рассматривается.

На рисунке представлен расширенный ACL-список, допускающий пакеты только с портом назначения UDP 67 или 68. Данные порты стандартно используются DHCPv4-клиентами и серверами при отправке сообщений DHCPv4. Для отображения только сообщений протокола DHCPv4 расширенный ACL-список применяется с командой debug ip packet.

Выходные данные, отображенные на рисунке, указывают, что маршрутизатор получает DHCP-запросы от клиента. IP-адрес источника — 0.0.0.0, поскольку клиент еще не получил IP-адрес. Адрес назначения — 255.255.255.255, так как сообщение обнаружения DHCP от клиента отправлено широковещательной рассылкой. Выходные данные отображают только часть данных пакета, а не само сообщение DHCPv4. Тем не менее, маршрутизатор получил пакет широковещательной рассылки с IP-адресами источника и назначения и портом UDP, верным для DHCPv4. Полные отладочные выходные данные отображают все пакеты DHCPv4-обмена между DHCPv4-сервером и DHCPv4-клиентом.

Другой полезной командой для поиска и устранения неполадок в работе DHCPv4 является debug ip dhcp server events. Команда предоставляет отчет о событиях сервера, таких как назначение адреса или обновление базы данных.

 

 

Общие сведения о SLAAC

Автоматическая настройка адреса без отслеживания состояния (SLAAC) — это способ получения устройством глобального IPv6-адреса одноадресной рассылки без использования DHCPv6-сервера. В основе SLAAC лежит протокол ICMPv6. SLAAC использует ICMPv6-сообщения запроса маршрутизатора и объявления маршрутизатора, чтобы предоставить информацию об адресации и другую информацию о конфигурации, обычно предоставляемую DHCP-сервером.

Сообщение запроса маршрутизатора (RS) — если клиент настроен на получение информации об адресации автоматически с использованием SLAAC, он посылает на маршрутизатор сообщение RS. Сообщение RS отправляется на IPv6-адрес многоадресной рассылки FF02::2, который поддерживают все маршрутизаторы.

Сообщение объявления маршрутизатора (RA) — для предоставления информации об адресации маршрутизатор отправляет сообщения RA клиентам, настроенным на получение IPv6-адресов автоматически. Сообщение RA содержит префикс и длину префикса локального сегмента. Эта информация используется клиентом для создания собственного глобального индивидуального IPv6-адреса. Маршрутизатор передает сообщение RA периодически или в ответ на сообщение RS. По умолчанию маршрутизаторы Cisco отправляют подобные сообщения каждые 200 секунд. Сообщения RA всегда отправляются на общий для всех узлов IPv6-адрес многоадресной рассылки FF02::1.

Как видно из термина, SLAAC не отслеживает состояние адреса. Служба без отслеживания состояния говорит о том, что ни один из серверов не поддерживает информацию о сетевом адресе. В отличие от сервера DHCP, сервер SLAAC не знает, какие IPv6-адреса используются, а какие доступны.

Принцип работы SLAAC

Прежде чем роутер сможет отправлять сообщения RA, на нем должна быть включена маршрутизация IPv6, как показано ниже.

Процессы DHCPv 6

Как показано на рис. 1, работа DHCPv6 с отслеживанием или без отслеживания состояния начинается с сообщения RA, отправленного от маршрутизатора по протоколу ICMPv6. Сообщение RA может отправляться периодически или в ответ на запрос устройства, отправившего сообщение RS.

Если вариант работы DHCPv6 указан в сообщении RA, устройство начинает передачу информации по схеме клиент-сервер с использованием DHCPv6.

Обмен сообщениями по протоколу DHCPv6

В случае если в сообщении RA указан вариант работы DHCPv6 (с отслеживанием состояния или без), инициируется работа DHCPv6. Сообщения протокола DHCPv6 посылаются через протокол UDP. Сообщения DHCPv6 от сервера к клиенту используют UDP порт назначения 546. Клиент отправляет сообщения на сервер DHCPv6 через UDP порт назначения 547.

Клиенту — теперь DHCPv6-клиенту — необходимо определить местоположение сервера DHCPv6. На рис. 2 клиент передает сообщение DHCPv6 SOLICIT на зарезервированный IPv6-адрес многоадресной рассылки FF02::1:2, используемый всеми DHCPv6 серверами. Этот адрес многоадресной рассылки действует в рамках канала link-local. Это означает, что маршрутизаторы не направляют сообщения в другие сети.

Один или несколько серверов DHCPv6 отвечают одноадресным DHCPv6-сообщением ADVERTISE, как показано на рис. 3. Сообщение ADVERTISE сообщает DHCPv6-клиенту, что сервер доступен для предоставления службы DHCPv6.

На рис. 4 клиент отвечает серверу DHCPv6 одноадресным сообщением REQUEST или INFORMATION-REQUEST в зависимости от того, является ли DHCPv6-сервер сервером с отслеживанием состояния или без него.

· DHCPv6-клиент без отслеживания состояния — клиент отправляет DHCPv6 сообщение INFORMATION-REQUEST серверу DHCPv6, запрашивая только параметры конфигурации, например, адрес DNS-сервера. Клиент создает собственный IPv6-адрес при помощи префикса из сообщения RA и самогенерируемого идентификатора интерфейса.

· DHCPv6-клиент с отслеживанием состояния — клиент отправляет DHCPv6 сообщение REQUEST серверу для получения IPv6-адреса и всех остальных параметров конфигурации от сервера.

На рис. 5 показано, как сервер отправляет клиенту одноадресное сообщение DHCPv6 REPLY, содержащее информацию, запрошенную в сообщении REQUEST или INFORMATION-REQUEST.

 

 

Приватные адреса

IPv4 адреса бывают публичные и приватные. Приватные адреса может использовать кто угодно в своей сети, для этого нет необходимости арендовать адресное пространство, или выделять адреса у провайдера. Очевидный недостаток таких адресов – к устройству, имеющему приватный адрес нельзя подключиться из интернета – только из вашей собственной локальной сети. Это связанно с тем, что ни один провайдер мира не знает, что эти адреса используются в вашей сети и соответственно эти сети отсутствуют в таблице маршрутизации сторонних маршрутизаторов и трафик к ним не маршрутизируется. Понятно, что при всём желании маршруты нельзя прописать на сторонних маршрутизаторах, так как не только вы пользуетесь этими адресами. Основное преимущество приватных адресов в том, что за них не надо платить, ими можно пользоваться на своё усмотрение и главное – одни и те же адреса используются в разных локальных сетях разных организаций, что приводит к экономии адресного пространства IPv4.

Трансляция адресов

Для того чтобы организовать возможность выхода в интернет с устройств, имеющих приватные адреса применяется технология трансляции адресов, либо используется прокси-сервер. Если попытаться отправить, например, запрос к веб-серверу, находящемуся в интернете, с приватного адреса, то сам запрос теоретически дойдёт, так как веб сервер имеет публичный адрес, а вот ответ от сервера не вернётся, так как обратный адрес, на который этот ответ надо слать – приватный. Трансляция адресов заключается в том, что есть некоторое NAT-устройство, например, сервер или маршрутизатор, который имеет один или несколько публичных адресов. Клиенты с приватными адресами пытаются отправить запросы напрямую получателю в интернете, но ip пакеты по пути попадают на такое устройство. При этом в пакете подменяется адрес отправителя: вместо приватного адреса клиента, устройство ставит в это поле один из своих публичных адресов, после чего пакет отправляется в сеть. Теперь у него и адрес отправителя и адрес получателя – публичные. Получатель обрабатывает пакет и возвращает на него ответ (например, содержимое запрошенной из интернета странички). Этот ответ, как несложно догадаться, идёт на публичный адрес устройства, занимающегося NAT-ом. Устройство помнит, когда и какой адрес оно подменяло и в этом пакете адрес получателя снова меняется: публичный адрес устройства заменяется на приватный адрес клиента, после чего пакет идёт дальше во внутреннюю сеть. Клиент получает данные, как будто бы никакого преобразования адресов не было. Но это всё хорошо в теории. На практике, есть ряд протоколов, которые не могут работать с NAT-ом. На это есть свои причины. Какие-то протоколы в данных седьмого уровня могут содержать копию ip адреса, и эта копия, естественно не подменяется, так как NAT-устройство работает на 3-ем и 4-ом уровнях модели OSI. Другие протоколы подразумевают появление дополнительных соединений в процессе работы, которые могу исходить от внешней стороны. Про такие соединения NAT-устройство так же не знает и не будет передавать их клиенту. Но, если пользователям в вашей сети надо сидеть в интернете и читать почту, то проблем не будет.

 

Преимущества трансляции адресов:

· Минимизация использования публичных адресов

· Повышенная гибкость использования адресов

· Возможность изменения внешних адресов без необходимости изменять адресный план локальной сети

· Повышенная безопасность в связи с тем, что из интернета нельзя обратиться ко внутренним устройствам напрямую.

Недостатки трансляции адресов:

· Уменьшение производительности в связи с дополнительными действиями на маршрутизаторе.

· Проблемы с работой некоторых протоколов.

· Сложности при организации туннелей.

· Сложности с организацией входящих соединений извне.

Раз уж мы изучаем оборудование Cisco, то в качестве NAT-устройства у нас выступает маршрутизатор. Любой маршрутизатор Cisco умеет организовывать трансляцию адресов.

 

В NAT предусмотрено 4 типа адресов:

· Внутренний локальный адрес

· Внутренний глобальный адрес

· Внешний локальный адрес

· Внешний глобальный адрес

При определении используемого типа адреса важно помнить, что терминология NAT всегда применяется с точки зрения устройства, адрес которого будет транслироваться:

Внутренний адрес — это адрес устройства, преобразуемый механизмом NAT.

Внешний адрес — это адрес устройства назначения.

В рамках NAT по отношению к адресам также используется понятие локальности или глобальности:

Локальный адрес — это любой адрес, появляющийся во внутренней части сети.

Глобальный адрес — это любой адрес, появляющийся во внешней части сети.

 

Внутренний локальный адрес — это адрес источника, видимый из внутренней сети.

Внутренний глобальный адрес — это адрес источника, видимый из внешней сети.

Внешний глобальный адрес — это адрес назначения, видимый из внешней сети.

Внешний локальный адрес — это адрес назначения, видимый из внутренней сети.

 

Существуют три механизма преобразования:

Статическое преобразование (статический NAT) — это взаимно-однозначное соответствие между локальным и глобальным адресами.

Динамическое преобразование (динамический NAT) — это сопоставление адресов по схеме «многие ко многим» между локальными и глобальными адресами. Преобразования выполняются по наличию. Например, если имеется 100 внутренних локальных адресов и 10 внутренних глобальных адресов, в любой момент времени могут быть преобразованы только 10 из 100 внутренних локальных адресов. Из-за такого ограничения динамическое преобразование NAT подходит для производственных сетей гораздо меньше, чем преобразование адресов портов.

Преобразование адреса и номера порта (PAT) — это сопоставление адресов по схеме «многие к одному» между локальными и глобальным адресами. Данный метод также называется перегрузкой (NAT с перегрузкой). Например, если имеется 100 внутренних локальных адресов и 10 внутренних глобальных адресов, PAT использует порты в качестве дополнительного параметра для создания эффекта умножения сложности. Это позволяет повторно использовать любой из 10 внутренних глобальных адресов до 65 536 раз (в зависимости от процесса: UDP, TCP или ICMP).

 

Для проверки работы NAT используется команда show ip nat translations. Эта команда отображает активные преобразования NAT. В отличие от динамических преобразований, статические преобразования всегда присутствуют в таблице NAT.

Другой полезной командой является show ip nat statistics. Она выводит сведения о суммарном количестве активных преобразований, параметрах настройки NAT, числе адресов в пуле и числе выделенных адресов.

        

 

Show cdp-состояние cdp

no/ cdp run – отключить/ включить CDP сразу для всех поддерживаемых интерфейсов устройства

no/ cdp enable- отключить/ включить CDP для определенного интерфейса

show cdp neighbors- проверить состояние CDP и просмотреть список соседних устройств,

отображает полезную информацию о каждом соседнем устройстве CDP, в том числе следующие данные:

· Идентификатор устройства — имя хоста соседнего устройства (S1).

· Идентификатор порта — имя локального или удаленного порта (Gig 0/1 и Fas 0/5 соответственно).

· Список возможностей — сведения о том, является ли устройство маршрутизатором или коммутатором (S обозначает коммутатор; I обозначает IGMP и в данном курсе не рассматривается).

· Платформа — аппаратная платформа устройства (WS-C2960 обозначает коммутатор Cisco 2960).

 

show cdp interface- отображает интерфейсы устройства, на которых включен протокол CDP. Кроме того, выводится состояние каждого интерфейса.

Общие сведения о LLDP

Устройства Cisco также поддерживают протокол LLDP (Link Layer Discovery Protocol) — не зависящий от поставщика протокол для обнаружения соседей, подобный CDP. LLDP работает с сетевыми устройствами, такими как маршрутизаторы, коммутаторы и точки доступа к беспроводной сети LAN. Этот протокол объявляет себя и свои возможности другим устройствам и получает данные от физически подключенных устройств уровня 2.

Настройка и проверка LLDP

На некоторых устройствах протокол LLDP может быть включен по умолчанию.

No / lldp run Отключить/включить LLDP для всех интерфейсов сетевого устройства Cisco, в режиме глобальной конфигурации.

Как и протокол CDP, протокол LLDP можно включить и отключить на конкретных интерфейсах. Однако передачу и прием пакетов LLDP необходимо настраивать отдельно.

No / lldp transmit- отключить/ включить на конкретном интерфейсе, передачу пакетов LLDP

No / lldp receive - отключить / включить на конкретном интерфейсе, прием пакетов LLDP

 

show lldp -Статус lldp, введите команду в привилегированном режиме EXEC.

Поиск устройств

show lldp neighbors- Если включен протокол LLDP, можно найти соседей определенного устройства

По результатам выполнения команды show lldp neighbors можно построить топологию подключений коммутатора.
show lldp neighbors detail- более подробная информация о соседних устройствах

Настройка системных часов

Основным источником информации о времени в системе являются программные часы маршрутизатора или коммутатора, которые запускаются при загрузке системы. Важно, чтобы время на всех устройствах в сети было синхронизировано, поскольку все аспекты управления, безопасности, устранения неполадок и планирования сети требуют точных меток времени. Если время на устройствах не синхронизировано, определить порядок событий и их причину невозможно.

Обычно для настройки даты и времени на маршрутизаторе или коммутаторе используется один из двух способов:

· вручную настройте дату и время, как показано на рисунке;

· настройте протокол сетевого времени (NTP).

С помощью этого протокола маршрутизаторы могут синхронизировать свои настройки времени с NTP-сервером. Клиенты NTP, которые получают сведения о времени и дате из одного источника, используют более корректные настройки времени. Если в сети реализован протокол NTP, его можно настроить на синхронизацию с частным тактовым генератором или общедоступным сервером NTP в Интернете.

Протокол NTP использует порт UDP 123 и задокументирован в RFC 1305.

Работа протокола NTP

В сетях NTP используется иерархическая система источников времени. Каждый уровень этой иерархической системы называется часовым слоем (stratum). Уровень часового слоя определяется как количество переходов от доверенного источника. Для распределения синхронизированной информации о времени по сети используется протокол NTP. На рисунке показан пример сети NTP.

Серверы NTP расположены на трех уровнях, соответствующих трем часовым слоям. Часовой слой 1 подключен к часам часового слоя 0.

Часовой слой 0

Сеть NTP получает информацию о времени от доверенных источников времени. Эти доверенные источники времени, также называемые устройствами часового слоя 0, являются высокоточными устройствами хранения времени, которые считаются точными и работают практически без задержек. Устройства слоя 0 изображены на рисунке в виде часов.

Часовой слой 1

Устройства слоя 1 подключены напрямую к доверенным источникам времени. Они выступают в роли основного стандарта сетевого времени.

Syslog

При возникновении определенных событий в сети сетевые устройства, используя доверенные механизмы, уведомляют администратора с помощью подробных системных сообщений. Эти сообщения могут быть некритическими или существенно важными.

Самый распространенный способ получения системных сообщений — это использование протокола под названием syslog.

Термин syslog используется для описания стандарта. Он также используется для описания протокола, разработанного для этого стандарта.

Syslog использует порт UDP 514 для отправки сообщений с уведомлением о событиях по сетям IP на средства сбора сообщений о событиях, как показано на рисунке.

Syslog поддерживают многие сетевые устройства, включая маршрутизаторы, коммутаторы, серверы приложений, межсетевые экраны и др. Протокол syslog позволяет сетевым устройствам отправлять системные сообщения по сети на серверы syslog.

Существуют различные пакеты ПО сервера Syslog для Windows и UNIX. Многие из них бесплатны.

Служба журналирования syslog предоставляет три основные возможности:

· сбор информации в журнал для мониторинга и отладки;

· выбор типа информации, сбор которой будет осуществляться;

· определение получателей собранных сообщений syslog.

Принцип работы Syslog

На сетевых устройствах Cisco протокол syslog начинает с отправки системных сообщений и вывода процесса debug в локальный процесс ведения журналов соответствующего устройства. Каким образом процесс ведения журналов управляет этими сообщениями и выводом, зависит от настроек устройства. Например, сообщения syslog могут отправляться по сети на внешний сервер syslog. Эти сообщения можно прочитать без необходимости доступа к самому устройству. Сообщения журнала и выходные данные, хранящиеся на внешнем сервере, могут включаться в различные отчеты для упрощения их прочтения.

Кроме того, сообщения syslog могут отправляться во внутренний буфер. Сообщения, отправленные во внутренний буфер, можно просматривать только через интерфейс командной строки устройства.

Наконец, сетевой администратор может указать, какие типы системных сообщений будут отправляться в различные места назначения. Например, можно настроить устройство, чтобы все системные сообщения отправлялись на внешний сервер syslog. Однако сообщения уровня debug будут пересылаться во внутренний буфер и будут доступны только администратору через интерфейс командной строки.

Как показано на рисунке, в число популярных назначений для сообщений syslog входят следующие:

· буфер ведения журналов (ОЗУ в маршрутизаторе или коммутаторе);

· порт консоли;

· линия терминала;

· Сервер Syslog.

Можно удаленно наблюдать за системными сообщениями путем просмотра журналов на сервере Syslog или путем доступа к устройству по протоколам Telnet, SSH или через порт консоли.

Формат сообщений syslog

Устройства Cisco создают сообщения syslog при определенных сетевых событиях. Во всех сообщениях syslog указывается уровень важности (severity level) и объект (facility).

Чем меньше назначаемое число, тем более важным является оповещение syslog.

Каждый уровень syslog имеет собственный смысл:

· Уровень предупреждения 4 (warning) — уровень критического состояния 0 (emergency) — это сообщения о сбоях программного или аппаратного обеспечения. Эти типы сообщений свидетельствуют о том, что затронута работа устройства. Назначаемый уровень syslog зависит от серьезности проблемы.

· Уровень уведомлений 5 (notification) — уведомления об обычных, но важных событиях. На уровне уведомления, например, отображаются сообщения об изменении состояния интерфейса на активное или неактивное или о перезапуске системы.

· Информационный уровень 6 (informational) — обычные информационные сообщения, которые не влияют на работу устройства. Например, при загрузке устройства Cisco может появиться следующее информационное сообщение: %LICENSE-6-EULA_ACCEPT_ALL: The Right to Use End User License Agreement is accepted.

· Уровень отладки 7 (debugging) — сообщения этого уровня содержат выходные данные, полученные в результате выполнения различных команд debug.

Помимо указания уровня важности в сообщениях syslog также содержатся сведения об объекте.

Объекты syslog (syslog facilities) — это идентификаторы сервисов, которые определяют и классифицируют данные о состоянии системы для отчетов об ошибках и событиях. Доступные варианты объектов ведения журнала зависят от конкретного сетевого устройства.

Ниже приведены некоторые из общепринятых объектов сообщений syslog, которые регистрируются на маршрутизаторах Cisco IOS:

· IP

· Протокол OSPF

· Операционная система SYS

· Протокол IPSec

· IP интерфейса (IF)

По умолчанию формат сообщений syslog в ПО Cisco IOS выглядит следующим образом:

seq no: timestamp: %facility-severity-MNEMONIC: description

Поля, содержащиеся в сообщении syslog ПО Cisco IOS, поясняются на рисунке

Пример выходных данных об изменении состояния канала EtherChannel коммутатора Cisco на активное будет выглядеть следующим образом:

00:00:46: %LINK-3-UPDOWN: Interface Port-channel1, changed state to up

В этом примере объектом является LINK, назначен уровень серьезности 3, в качестве КРАТКОГО КОДА выступает UPDOWN.

Служба меток времени

Сообщение, зарегистрированное на консоли, не показывает, когда состояние интерфейса было изменено. Сообщения журнала должны иметь метку времени. Потому что, когда они отправляются следующему адресату, например на сервер системного журнала, появляется запись о создании сообщения.

service timestamps log datetime- позволяет принудительно отображать дату и время для зарегистрированных событий.

Сервер Syslog

Для просмотра сообщений syslog на рабочей станции в сети должен быть установлен сервер syslog. Существуют различные бесплатные и условно-бесплатные версии Syslog, а также платные корпоративные версии.

 

Введение журналов

logging console- включения отправления на консоль сообщения журнала для всех уровней важности.

logging buffered -включения сохранения сообщения журнала в буфер

show logging- отображает параметры по умолчанию службы ведения журнала

 

Команды маршрутизатора и коммутатора для клиентов syslog

Настройка маршрутизатора для отправки системных сообщений на сервер syslog, где они могут храниться, фильтроваться и анализироваться, выполняется в три шага:

Шаг 1. В режиме глобальной настройки используйте команду logging для настройки имени хоста адресата или IPv4-адреса системного журнала.

Шаг 2. Укажите, какие сообщения следует отправлять на сервер системного журнала с помощью команды режима глобальной настройки logging trap _уровень_. Например, чтобы отправлять только сообщения уровня 4 и ниже (0—4), используйте одну из следующих двух эквивалентных команд.

Шаг 3. При необходимости настройте интерфейс источника, используя команду режима глобальной настройки logging source-interface тип_интерфейса номер_интерфейса. Таким образом, можно настроить, чтобы пакеты syslog содержали адрес IPv4 или IPv6 конкретного интерфейса независимо от того, какой интерфейс используется для отправки пакета с маршрутизатора.

Проверка Syslog

Для просмотра любых зарегистрированных сообщений используйте команду show logging. Для буфера ведения журналов высокой емкости полезно использовать функцию конвейера (|) с командой show logging. Конвейер позволяет администратору более конкретно определить сообщения, которые следует отображать. Например, include changed state to up

begin June 12 22:35.

Облуживание устроиств

Файловая система NVRAM

Чтобы просмотреть содержимое NVRAM, необходимо изменить текущую файловую систему по умолчанию, используя команду cd (изменить каталог), как показано на рис. 3. Команда pwd (представление рабочего каталога) подтверждает, что просматривается именно каталог NVRAM. И наконец, команда dir создает список содержимого энергонезависимой памяти. Хотя в списке представлено несколько файлов конфигурации, в первую очередь нас интересует файл конфигурации начальной загрузки.

 

Резервное копирование и восстановление с помощью текстовых файлов

Классификация сетей, серверов, сетевых сервисов.

Все многообразие компьютерных сетей можно классифицировать по следующим четырём признакам:

1. по типу среды передачи, то есть физической среды, которая используется для соединения компьютеров;

2. по скорости передачи информации;

3. по ведомственной принадлежности;

4. по территориальной распространенности.

 

1) Среда передачи называется еще "линией связи". Информация передается по линиям связи в виде различных сигналов, которые, испытывая сопротивление среды, затухают с расстоянием.

В качестве линий связи могут использоваться:

 электрические провода (кабель "витая пара" обеспечивает связь между компьютерами на расстояние до 100м, коаксиальные кабели – до 500м);

 оптоволоконные кабели (обеспечивают связь на расстояние нескольких десятков километров);

 телефонные линии, радиосвязь, спутниковая связь (позволяют соединять компьютеры, находящиеся в любой точке планеты).

 

2) По скорости передачи информации компьютерные сети делятся на низкоскоростные (скорость передачи информации до 10 Мбит/с), среднескоростные (скорость передачи информации до 100 Мбит/с), высокоскоростные (скорость передачи информации свыше 100 Мбит/с).

3) По принадлежности различают ведомственные и государственные сети. Ведомственные сети принадлежат одной организации и располагаются на ее территории. Государственные сети – это сети, используемые в государственных структурах.

4) По территориальной распространенности сети могут быть локальными, глобальными и региональными. Локальными называются сети, расположенные в одном или нескольких зданиях. Региональными называются сети, расположенные на территории города или области. Глобальными называются сети, расположенные на территории государства или группы государств, например, всемирная сеть Интернет.

В классификации сетей существует два основных термина: локальная сеть (LAN) и территориально-распределенная сеть (WAN).

Локальная сеть (Local Area Network) связывает компьютеры и принтеры, обычно находящиеся в одном здании (или комплексе зданий). Каждый компьютер, подключенный к локальной сети, называется рабочей станцией или сетевым узлом. Как правило, в локальных сетях практикуется использование высокоскоростных каналов.

 

Локальные вычислительные сети подразделяются на два кардинально различающихся класса: одноранговые (одноуровневые или Peer to Peer) сети и иерархические (многоуровневые).

Городская сеть (Metropolitan Area Network, MAN) — сетевая инфраструктура, которая охватывает территорию больше, чем локальная сеть, но меньше глобальной сети (например, город). Как правило, управляет городскими сетями одна организация, например крупный сетевой оператор.

Беспроводные локальные сети (WLAN) — аналогичны локальным сетям, но соединяют пользователей и оконечные устройства на небольшой территории с помощью беспроводной связи.

 

Одноранговая сеть представляет собой сеть равноправных компьютеров, каждый из которых имеет уникальное имя (имя компьютера) и обычно пароль для входа в сеть во время загрузки операционной системы. Имя и пароль входа назначаются владельцем компьютера.

 В иерархических локальных сетях имеется один или несколько специальных компьютеров – серверов, на которых хранится информация, совместно используемая различными пользователями.

Сервер в иерархических сетях – это постоянное хранилище разделяемых ресурсов. Сам сервер может быть клиентом только сервера более высокого уровня иерархии. Поэтому иерархические сети иногда называются сетями с выделенным сервером. Серверы обычно представляют собой высокопроизводительные компьютеры, возможно, с несколькими параллельно работающими процессорами, с винчестерами большой емкости, с высокоскоростной сетевой картой (100 Мбит/с и более). Компьютеры, с которых осуществляется доступ к информации на сервере, называются клиентами.

2) Территориально-распределенная сеть (Wide Area Network) соединяет несколько локальных сетей, географически удаленных друг от друга. Территориально-распределенные сети обеспечивают те же преимущества, что и локальные, но при этом позволяют охватить большую территорию.

 

Сетевые технологии

Ethernet - самая популярная технология построения локальных сетей. Основанная на стандарте IEEE 802.3, Ethernet передает данные со скоростью 10 Мбит/с. В сети Ethernet устройства проверяют наличие сигнала в сетевом канале ("прослушивают" его). Если канал не использует никакое другое устройство, то устройство Ethernet передает данные. Каждая рабочая станция в этом сегменте локальной сети анализирует данные и определяет, предназначены ли они ей.

Технология Клиент-сервер. Характер взаимодействия компьютеров в локальной сети принято связывать с их функциональным назначением. Как и в случае прямого соединения, в рамках локальных сетей используется понятие клиент и сервер. Технология клиент-сервер — это особый способ взаимодействия компьютеров в локальной сети, при котором один из компьютеров (сервер) предоставляет свои ресурсы другому компьютеру (клиенту). В соответствии с этим различают одноранговые сети и серверные сети.

При одноранговой архитектуре в сети отсутствуют выделенные серверы, каждая рабочая станция может выполнять функции клиента и сервера. В этом случае рабочая станция выделяет часть своих ресурсов в общее пользование всем рабочим станциям сети. Как правило, одноранговые сети создаются на базе одинаковых по мощности компьютеров.

Наличие распределенных данных и возможность изменения своих серверных ресурсов каждой рабочей станцией усложняет защиту информации от несанкционированного доступа, что является одним из недостатков одноранговых сетей. Другим недостатком одноранговых сетей является их более низкая производительность. Это объясняется тем, что сетевые ресурсы сосредоточены на рабочих станциях, которым приходится одновременно выполнять функции клиентов и серверов.

В серверных сетях осуществляется четкое разделение функций между компьютерами: одни их них постоянно являются клиентами, а другие — серверами. Учитывая многообразие услуг, предоставляемых компьютерными сетями, существует несколько типов серверов, а именно: сетевой сервер, файловый сервер, сервер печати, почтовый сервер и др.

Сетевой сервер представляет собой специализированный компьютер, ориентированный на выполнение основного объема вычислительных работ и функций по управлению компьютерной сетью.

 

12345678910Следующая ⇒

Поделиться: