AD+82
.pdf
21
11.Сегментирование сети на подсети с использованием маршрутизаторов.
Общая схема:
Первая подсеть соединяется со второй через маршрутизатор, который ставится как шлюз по умолчанию на всех компах. В таблице маршрутизации прописывается 2 строчки
– пишем, какой сетевой интерфейс смотрит в какую сеть.
Бесклассовая междоменная маршрутизации (Classless Inter-Domain Routing - CIDR). Поддержка маршрутизаторами технологии наибольшего совпадения сводится к выполнению следующего правила: маршрут в таблице маршрутизации с наибольшим расширенным сетевым префиксом описывает меньший набор получателей, чем тот же маршрут с коротким расширенным сетевым префиксом. В результате при передаче трафика маршрутизатор должен выбирать маршрут с наибольшим расширенным сетевым
префиксом.
Пример работы технологии наибольшего совпадения Получатель 11.1.2.5 00001011.00000001.00000010.00000101 Маршрут #1 11.1.2.0/24 00001011.00000001.00000010.00000000 Маршрут #2 11.1.0.0/16 00001011.00000001.00000000.00000000 Маршрут #3 11.0.0.0/8 00001011.00000000.00000000.00000000
При наличии нескольких маршрутов выбираем наиболее точный – нужно идти в третий.
Необходимо сделать одно важное замечание. Так как адрес получателя совпадает c тремя маршрутами, он должен быть присвоен хосту, который подключен к подсети 11.1.2.0/24. Если адрес 11.1.2.5 присвоен хосту, который связан с другими подсетями, маршрутизатор не будет передавать трафик этому хосту, так как технология наибольшего совпадения предполагает, что последний является частью подсети 11.1.2.0. Наивысшего внимания требует присвоение адресов хостам с учетом особенностей работы технологии наибольшего совпадения.
Иерархическая маршрутизация, предусмотренная протоколом ОБРР, требует, чтобы адреса, присвоенные хостам, отражали актуальную сетевую топологию. Это уменьшает количество маршрутной информации, так как набор адресов, назначенных подсетям региона, можно свести в одно сообщение об обновлении. Иерархическая маршрутизация позволяет выполнять это рекурсивно в различных точках внутри топологии маршрутизации. Если адреса не соответствуют топологии, то нельзя выполнить обобщение адресной информации, и размер таблиц маршрутизации не будет уменьшаться. Этот постулат является основополагающим при рассмотрении технологии бесклассовой маршрутизации (Classless Inter-Domain Routing - CIDR)
22
12.VLAN,ы на основе маркированных (тегированных) кадров IEEE 802.1q
Виртуальная ЛВС (VLAN, Virtual LAN) – логическая группа компьютеров одной реальной ЛВС, за пределы которой не выходит любой тип трафика (broadcast, multicast и unicast). Весь трафик (широковещательный, многоадресный и одноадресный) ограничен пределами своей виртуальной сети. Администратор сети может организовать пользователей в логические группы VLAN независимо от физического расположения их рабочих станций.
Основные цели введения виртуальных сетей в коммутируемую среду:
•повышение полезной пропускной способности сети за счет локализации широковещательного (broadcast) трафика в пределах виртуальной сети;
•повышения уровня безопасности сети за счет локализации одноадресного (unicast) трафика в пределах виртуальной сети;
•формирование виртуальных рабочих групп из хостов, расположенных в разных частях здания.
VLAN на основе маркированных кадров (IEEE 802.1q)
•IEEE 802.1Q – открытый стандарт, который описывает процедуру тегирования трафика. Коммутатор, на котором настроены виртуальные сети IEEE 802.1q, помещает внутрь кадра тег принадлежности трафика к VLAN.
•VLAN на основе маркированных кадров могут быть построены на двух и более коммутаторах.
Размер тега составляет 4 байта. Он состоит из следующих полей:
•TPID (Tag Protocol Identifier ) – идентификатор протокола тегирования. Размер поля – 16 бит. Указывает, какой протокол используется для тегирования. Для 802.1q используется значение 0x8100.
•Priority – приоритет. Размер поля – 3 бита. Используется стандартом IEEE 802.1p для задания приоритета передаваемого трафика.
•Canonical Format Indicator (CFI) – индикатор канонического формата. Размер поля – 1 бит. Указывает на формат MAC-адреса. 1 – канонический (кадр Ethernet), 0 – не канонический (кадр Token Ring, FDDI).
•VLAN ID (VID) – идентификатор VLAN. Размер поля – 12 бит. Указывает, какой виртуальной сети принадлежит кадр. Диапазон возможных значений VID от 0 до 4094.
Устройства tag-unaware (не поддерживающие стандарт IEEE 802.1q) не могут работать с кадрами, в которые вставлены метки, т.е. с устройствами tag-aware. Входящий и исходящий трафики, в зависимости от типа источника и получателя, могут быть образованы и кадрами типа tagged, и кадрами типа untagged. Коммутаторы стандарта IEEE 802.1q поддерживают как традиционные Ethernet-кадры без меток (untagged), так и кадры с метками (tagged). Трафик же внутри коммутатора всегда образуется пакетами типа tagged.
Поэтому для поддержки различных типов трафиков и для того, чтобы внутренний трафик коммутатора образовывался из тегированных пакетов, на принимаемом и передающем портах коммутатора кадры должны преобразовываться в соответствии с предопределенными правилами
23
13.Разбиение сети на подсети с использованием коммутаторов VLAN.
Плюсы:
соответствие сети L3 организационной структуре(если в этом есть необходимость) Уменьшение количества широковещательного трафика Упрощение задач по разделению доступа.
Минусы:
Общее усложнение сети. Пример:
Sw1(config)# interface Vlan2
ip address 10.0.2.1 255.255.255.0 ex
interface Vlan10
ip address 10.0.10.1 255.255.255.0 ex
interface Vlan15
ip address 10.0.15.1 255.255.255.0 ex
14.Диапазон идентификаторов VLAN. Native VLAN.
В стандарте 802.1Q существует понятие native VLAN. Трафик этого VLAN передается нетегированным. По умолчанию это VLAN1. Однако можно изменить это и указать другой VLAN как native.
Настройка VLAN 101 как native: sw1(config-if)# switchport trunk native vlan 101
Теперь весь трафик принадлежащий VLAN 101 будет передаваться через транковый интерфейс нетегированным, а весь пришедший на транковый интерфейс нетегированный трафик будет промаркирован как принадлежащий VLAN 101 (по умолчанию VLAN1).
По умолчанию все порты коммутатора включены в VLAN с vlan-id 1 и именем VLAN0001. Новым VLAN по умолчанию присваиваются имена вида VLANxxxx, где xxxx
— vlan-id, дополненный слева нулями до 4 знаков. VLAN ID — корректный диапазон 1 — 4094.
VLAN 0001 — (native, default) по умолчанию все порты коммутатора включены в этот VLAN1
VLAN 0002-1001—нормальный диапазон
VLAN 1002-1005 — зарезервированы для Token Ring и FDDI и не должны использоваться.
VLAN ID 1006-4094 — относятся к расширенному диапазону и могут использоваться только тогда, когда коммутатор находится в прозрачном режиме VTP (то есть VTP отключен). Рекомендуется использовать не более 256 VLAN.
24
15.Настройка VLAN коммутаторов уровня доступа SwL2
VLAN на всех уровнях создаются одинаково
Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#vlan 10
Switch(config-vlan)#ex
Switch(config)#vlan 20
Switch(config-vlan)#ex
Switch(config)#vlan 30
Switch(config-vlan)#ex
Switch(config)#ex
Switch#
Но на свичах 2го уровня можно создавать вланы, добавлять в них порты (access), делать порты транковыми.
Добавление порта в влан:
Switch(config)#int fa0/1
Switch(config-if)#sw mode acc (полностью – switchport mode access) Switch(config-if)#sw acc vlan 10 (полностью – switchport access vlan 10)
Switch(config-if)#ex Switch(config)#ex
После этого на порт FastEthernet0/1 пойдет только трафик 10го влана. Транки –
ниже.
На свитчах 3го уровня можно еще прописывать айпишники вланам и настраивать между ними маршрутизацию. 2й уровень может только пропускать или не пропускать тегированный трафик.
16.Конфигурирование транков.
Статический транк:
Switch(config)#int fa0/1
Switch(config-if)#sw mode trunk (полностью – switchport mode trunk) Switch(config-if)#sw trunk enc dot1q (полностью – switchport trunk encapsulation dot1q –
настройка инкапсуляции по стандарту 802.1Q) Switch(config-if)#ex
Switch(config)#ex
Можно настроить транк, пропускающий только некоторые вланы
Switch(config-if)#sw trunk allowed vlan 1,10,20
25
17-18. Настройка VLAN коммутаторов уровня распределения SwL3+Настройка маршрутизации между VLAN в сети с коммутатором swL3.
Конфигурация sw1: |
Конфигурация sw2: |
switchport mode trunk |
vlan 2 |
vlan 2 |
switchport trunk allowed |
ex |
ex |
vlan 1,2,10,15 |
vlan 10 |
vlan 15 |
ex |
ex |
ex |
interface FastEthernet0/2 |
vlan 15 |
interface FastEthernet0/1 |
switchport mode trunk |
ex |
switchport mode access |
switchport trunk allowed |
interface FastEthernet0/1 |
switchport access vlan 10 |
vlan 1,2,10 |
switchport mode access |
ex |
ex |
switchport access vlan 2 |
interface FastEthernet0/2 |
ex |
ex |
switchport mode access |
interface FastEthernet0/10 |
interface FastEthernet0/2 |
switchport access vlan 2 |
no switchport |
switchport mode access |
ex |
ip address 192.168.1.2 |
switchport access vlan 2 |
interface FastEthernet0/3 |
255.255.255.0 |
ex |
switchport mode access |
ex |
interface FastEthernet0/3 |
switchport access vlan 2 |
ex |
switchport mode access |
ex |
interface Vlan2 |
switchport access vlan 15 |
interface FastEthernet0/22 |
ip address 10.0.2.1 |
ex |
switchport trunk |
255.255.255.0 |
interface FastEthernet0/4 |
encapsulation dot1q |
ex |
switchport mode access |
switchport mode trunk |
interface Vlan10 |
switchport access vlan 10 |
switchport trunk allowed |
ip address 10.0.10.1 |
ex |
vlan 1,2,10 |
255.255.255.0 |
interface FastEthernet0/5 |
ex |
ex |
switchport mode access |
|
interface Vlan15 |
switchport access vlan 10 |
Конфигурация sw3: |
ip address 10.0.15.1 |
ex |
ip routing |
255.255.255.0 |
interface FastEthernet0/22 |
vlan 2 |
ex |
switchport trunk |
ex |
ex |
encapsulation dot1q |
vlan 10 |
ip route 0.0.0.0 0.0.0.0 |
switchport mode trunk |
ex |
192.168.1.1 |
switchport trunk allowed |
vlan 15 |
ex |
vlan 1,2,10,15 |
ex |
|
ex |
interface FastEthernet0/1 |
|
26
19. Настройка маршрутизации между VLAN в сети с роутером.
Конфигурация sw1: |
interface FastEthernet0/5 |
|
switchport mode access |
vlan 2 |
switchport access vlan 10 |
ex |
ex |
vlan 10 |
interface FastEthernet0/20 |
ex |
switchport trunk encapsulation dot1q |
vlan 15 |
switchport mode trunk |
ex |
switchport trunk allowed vlan 2,10,15 |
interface FastEthernet0/1 |
ex |
switchport mode access |
|
switchport access vlan 2 |
Конфигурация R1: |
ex |
|
interface FastEthernet0/2 |
interface fa0/0.2 |
switchport mode access |
encapsulation dot1q 2 |
switchport access vlan 2 |
ip address 10.0.2.1 255.255.255.0 |
ex |
ex |
interface FastEthernet0/3 |
interface fa0/0.10 |
switchport mode access |
encapsulation dot1q 10 |
switchport access vlan 15 |
ip address 10.0.10.1 255.255.255.0 |
ex |
ex |
interface FastEthernet0/4 |
interface fa0/0.15 |
switchport mode access |
encapsulation dot1q 15 |
switchport access vlan 10 |
ip address 10.0.15.1 255.255.255.0 |
ex |
ex |
27
20. Динамическое создание транков, протокол DTP
Dynamic Trunk Protocol (DTP) — проприетарный протокол Cisco, который позволяет коммутаторам динамически распознавать настроен ли соседний коммутатор для поднятия транка и какой протокол использовать (802.1Q или ISL). Включен по умолчанию.
Режимы DTP на интерфейсе:
auto — Порт находится в автоматическом режиме и будет переведѐн в состояние trunk, только если порт на другом конце находится в режиме on или desirable. Т.е. если порты на обоих концах находятся в режиме "auto", то trunk применяться не будет.
desirable — Порт находится в режиме "готов перейти в состояние trunk"; периодически передает DTP-кадры порту на другом конце, запрашивая удаленный порт перейти в состояние trunk (состояние trunk будет установлено, если порт на другом конце находится в режиме on, desirable, или auto).
nonegotiate — Порт готов перейти в режим trunk, но при этом не передает DTP-кадры порту на другом конце. Этот режим используется для предотвращения конфликтов с другим "не-cisco" оборудованием. В этом случае коммутатор на другом конце должен быть вручную настроен на использование trunk'а.
Перевести интерфейс в режим auto: |
Перевести интерфейс в режим nonegotiate: |
sw1(config-if)# switchport mode dynamic auto |
sw1(config-if)# switchport nonegotiate |
Перевести интерфейс в режим desirable: |
Проверить текущий режим DTP: |
sw1(config-if)# switchport mode dynamic |
sw# show dtp interface |
desirable |
|
21. Режимы работы протокола VTP
VLAN Trunking Protocol (VTP) — проприетарный протокол компании Cisco Systems, предназначенный для создания, удаления и переименования VLANов на сетевых устройствах. Передавать информацию о том, какой порт находится в каком VLANе, он не может. Аналогичный свободный протокол: GVRP
Режимы работы протокола
На коммутаторе VTP может работать в трёх режимах: 1. Server (режим по умолчанию):
Можно создавать, изменять и удалять VLAN из командной строки коммутатора,Генерирует объявления VTP и передает объявления от других коммутаторов,
Может обновлять свою базу данных VLAN при получении информации не только от других VTP серверов, но и от других VTP клиентов в одном домене, с более высоким номером ревизии.
Сохраняет информацию о настройках VLAN в файле vlan.dat во flash.
2. Client:
Нельзя создавать, изменять и удалять VLAN из командной строки коммутатора,
Передает объявления от других коммутаторов,
Синхронизирует свою базу данных VLAN при получении информации VTP,
Сохраняет информацию о настройках VLAN в файле vlan.dat во flash.
3.Transparent:
Можно создавать, изменять и удалять VLAN из командной строки коммутатора, но только для локального коммутатора,
Не генерирует объявления VTP,
Передает объявления от других коммутаторов,
Не обновляет свою базу данных VLAN при получении информации по VTP,
Сохраняет информацию о настройках VLAN в NVRAM,
Всегда использует configuration revision number 0.
В версии 3 VTP добавился новый режим работы и изменились некоторые режимы работы, по сравнению с предыдущими версиями:
Server:
Добавилась поддержка Private VLAN
Могут анонсироваться VLAN из расширенного диапазона
Client:
Настройки VLAN сохраняются в NVRAM и в режиме клиента
Добавилась поддержка Private VLAN
Могут анонсироваться VLAN из расширенного диапазона
Transparent без изменений
Off:
Новый режим работы VTP, который добавился в 3 версии.
Не передает объявления VTP.
В остальном аналогичен режиму Transparent
28
22. Отсечение по протоколу VTP (pruning)
Стандартно настроенные cisco коммутаторы передают широковещательные сообщения (и одноадресные сообщения с неизвестным адресом получателя) по принципу лавинной рассылки во все активные VLAN-сети, через все магистрали, при условии, что в текущей топологии STP магистраль остается не заблокированной. Но в большинстве территориальных сетей многочисленные VLAN-сети определены лишь на нескольких (не на всех) коммутаторах. Поэтому решение по перенаправлению широковещательных сообщений через все магистрали является слишком расточительным.
Коммутаторы поддерживают два метода: один из этих методов требует настройки вручную конфигурации списка допустимых VLAN-сетей для каждой магистрали, а второй метод, называемый отсечением по протоколу VTP, позволяет динамически определять с помощью протокола VTP cisco, для каких коммутаторов не требуются фреймы, поступающие из определенных сетей, после чего средствами протокола VTP происходит исключение соответствующих VLAN-сетей из магистралей, к которым они
относятся. Под отсечением VLAN-сети в vtp domain, просто подразумевается, что через соответствующие магистральные интерфейсы коммутатора не происходит лавинная рассылка фреймов в исключенную VLAN-сеть. На рисунке ниже, показаны магистрали, от которых была автоматически отсечена сеть VLAN 10.
Как показано на рисунке, коммутаторы 1 и 4 имеют порты в сети VLAN 10. но в связи с тем, что во всей сети разрешено отсечение по протоколу VTP, коммутаторы 2 и 4 автоматически определяют с помощью протокола VTP, что ни у одного из коммутаторов в нижней левой части рисунка нет портов в сети VLAN 10. В результате коммутаторы 2 и 4 отсекают сеть VLAN 10 от магистрали. Это приводит к тому, что коммутаторы 2 и
4 не передают фреймы для сети VLAN 10 через данные магистрали.
Отсечение по протоколу VTP в пределах vtp domain, способствует увеличению доступной пропускной способности за счет сокращения трафика, передаваемого по принципу лавинной рассылки.
23. Размещение и настройка компонентов службы DHCP в сети здания/сайта.
DHCP - это протокол TCP/IP, автоматизирующий присвоение IP-адресов. Для использования протокола TCP/IP в сети администратор должен задать для каждого из компьютеров три параметра - IPадрес, маску подсети и адрес используемого по умолчанию шлюза. При этом каждый компьютер должен иметь уникальный IP-адрес. Присвоенный адрес должен находиться в диапазоне подсети, к которой подключено устройство. DHCP "знает", из какой подсети приходит запрос на получение IP-адреса. Если в сети используются Windows Internet Naming Service (WINS) и Domain Name Service (DNS), то на каждом из клиентских компьютеров администратору необходимо также указать IP-адреса WINS и DNS-серверов.
Администратор может сконфигурировать каждую из систем вручную или попросить сделать это пользователей, предоставив им необходимые данные. Однако последний подход рискован. Самый простой и безопасный способ - сконфигурировать один или несколько DHCP-серверов так, чтобы они автоматически присваивали IP-адреса каждому компьютеру в сети. Для этого нужно сконфигурировать сервер, ввести диапазоны адресов, настроить несколько дополнительных параметров и периодически осуществлять мониторинг.
Как и другие сервисы NT, DHCP работает в фоновом режиме. DHCP надо устанавливать на сервер, но администрировать можно и с рабочей станции. Серверы DHCP должны иметь фиксированные (статические) IP-адреса, потому что они не могут присваивать адреса сами себе. На роль DHCP-сервера хорошо подойдет запасной контроллер доменов (Backup Domain Controller). Главный компонент настройки DHCP - диапазон IP-адресов (scope). Каждой подсети соответствует один диапазон. Допустим, вам доступны адреса с 10.0.0.2 по 10.0.0.100. Однако компоненты вашей сети (принтеры, маршрутизаторы, DHCP-сервер) разбросаны внутри этого диапазона; к примеру, адрес принтера - 10.0.0.57. Указывать в качестве одного из диапазонов 10.0.02-10.0.0.56, а в качестве второго - 10.0.0.58-10.0.0.100 не нужно. Вместо этого DHCP позволяет указать IP-адреса или диапазоны адресов, которые DHCP-сервер присваивать не должен.
DHCP присваивает IP-адреса на определенный срок. По истечении половины этого срока клиент отправляет DHCP-серверу прямое сообщение с запросом о возобновлении аренды. Если сервер доступен, он ее продлевает. В противном случае клиент снова посылает запрос по истечении половины остатка интервала, и так далее. Наконец, клиент отправляет широковещательный запрос ко всем DHCP-серверам.
29
24. Настройка агента ретрансляции DHCP Relay Agent.
Протокол DHCP является широковещательным и по умолчанию его пакеты не пересылаются маршрутизаторами из одной сети в другую (маршрутизатор разбивает на части широковещательный домен). Однако это не означает, что в каждой подсети должен находиться отдельный DHCP сервер.
Выходом из подобной ситуации является размещение в сети агента-ретранслятора DHCP (relay agent). Relay agent представляет собой некое промежуточное устройство, которое может пересылать широковещательные DHCP-запросы между клиентом и сервером DHCP, находящихся в различных широковещательных доменах. Т.е. DHCP relay agent получает от клиента (в этом же сегменте сети) широковещательный пакет на поиск и получение DHCP-адреса и пересылает этот запрос определенному DHCP серверу (указывается в настройках ретранслятора). Далее ответы от DHCP-сервера будут направлены ретранслятору, который передаст их конечному хосту. Технология DHCP Relay Agent определена в стандарте RFC 1542 («Clarifications and Extensions for the Bootstrap Protocol»). В качестве DHCP Relay Agent
обычно используют маршрутизаторы (большинство современных маршрутизаторов совместимы с RFC 1542 и могут работать в качестве Relay агента). В том случае, если настроить Relay на маршрутизаторе по какимлибо причинам невозможно, в качестве Relay агента можно настроить компьютер с серверной ОС Windows.
DCHP Relay Agent является одной из функций службы Routing and Remote Access (RRAS). Поэтому предварительно необходимо установите роль RRAS (с дефолтными настройками), после чего запустить MMC оснастку Routing and Remote Access. В оснастке RRAS разверните ветку IPv4, щелкните правой кнопкой мыши по элементу General и в контекстном меню выберите пункт New Routing Protocol, выберите DHCP Relay Agent и нажмите ОК. Щѐлкните ПКМ по элементу DHCP Relay Agent и выберите пункт New Interface, укажите сетевой интерфейс, на котором будет слушать Relay –агент. Затем откройте окно свойств DHCP Relay Agent и укажите ip адрес DHCP сервера, на который нужно перенаправлять все DHCP запросы от клиентов.
а маршрутизаторе R3 расположен DHCP-сервер, который централизованно выдает адреса в сети LAN_1 и LAN_2. Маршрутизаторы R1 и R2 в данной схеме являются DHCP-Relay агентами
30
Сконфигурируем на R3 два пула адресов для каждой локальной сети:
!в режиме глобальной конфигурации определим адреса, которые будут исключены из пула (это адреса интерфейсов R1 и R2
ip dhcp excluded-address 192.168.1.1 ip dhcp excluded-address 192.168.2.1
!создадим пул адресов с именем LAN_1 ip dhcp pool LAN1
network 192.168.1.0 255.255.255.0 ip default-router 192.168.1.1
!создадим пул адресов с именем LAN_2 ip dhcp pool LAN2
network 192.168.2.0 255.255.255.0 ip default-router 192.168.2.1
Следующий этап — конфигурация агентов DHCP-Relay на маршрутизаторах R1 и R2. Суть DHCPRelay заключается в пересылке широковещательного пакета от клиента одноадресатным пакетом DHCP-серверу.
Конфигурация агентов выполняется следующей командой:
!выбираем интерфейс, на который будет приходить широковещательный запрос от клиентов, в данном случае это интерфейс f0/0 маршрутизатора, который подключен к сегменту сети
interface fa0/0
ip helper-address 10.1.1.2
аналогично конфигурируется маршрутизатор R2
interface fa0/0
ip helper-address 10.1.2.2
Нужно отметить, что команда ip helper-address x.x.x.x заставляет пересылать широковещательные UDP сообщения не только протокола DHCP, по умолчанию будут пересылаться также следующие запросы:
Time (udp 37)
TACACS (udp 49)
DNS (udp 53)
TFTP (udp 69)
NetBIOS name service (udp 137)
NetBIOS datagram service (udp 138)
Если мы хотим исправить ситуацию, в режиме глобальной конфигурации определяем, какие запросы пересылать, а какие — нет:
no ip forward-protocol udp 37 no ip forward-protocol udp 53