Cisco ip forward protocol

Включен ip helper-address на L3 интерфейсе. По умолчанию, судя по словам циски, форвардится ряд протоколов, в том числе и dhcp. Всё работает, но ведь форвардятся еще и лишние протоколоы и пакеты 🙂 Задался я задачей заставить форвардить циску только udp пакетики c dst port 67. В результате долгих экспериментов с dynamips, wireshark, tcpdump, DHCP Explorer и Network Traffic Generator and Monitor было выяснено что форвардит циска всё очень странно и совсем не так как ей говорят в конфиге. Но в результате что-то похожее на рабочий конфиг было найдено:
no ip forward-protocol udp
no ip forward-protocol udp tftp
no ip forward-protocol udp nameserver
no ip forward-protocol udp domain
no ip forward-protocol udp time
no ip forward-protocol udp netbios-ns
no ip forward-protocol udp netbios-dgm
no ip forward-protocol udp tacacs
При такой конфигурации экспериментально кошка 7200 не форвардит ничего лишнего, а dhcp запросы обрабатываются нормально. Из интересного, я так же заметил, что если вместо правильного dhcp запроса отправить какой-нить мусор, то маршрутизатор его дальше не форвардит. Наверное, это и к лучшему 🙂

Введение в управление трафиком и доступом

Вопросы, рассматриваемые в этой главе, важны для понимания того, как именно возможности маршрутизаторов Cisco применяются в реа­льном мире. На экзамене ACRC вы должны продемонстрировать хороший уровень знания данного материала.

Знание синтаксиса, правил и применения стандартных списков доступа, расширенных списков доступа и адресов поддержки IP позволяет сэконо­мить драгоценное время при настройке маршрутизатора – вам не при­дется копаться в справочниках, что, как правило, оставляет у заказчика крайне неприятное мнение о вашем профессионализме. Но более важно то, что, освоив предлагаемый материал, вы сможете быстро и грамотно настроить маршрутизатор. Если списки доступа правильно сконфигури­рованы с самого начала, это, без сомнения, сократит время отладки.

Многие вопросы экзамена требуют, чтобы вы написали ответ, а не вы­брали верный вариант из нескольких предлагаемых. Обратите внимание на то, что ответ будет считаться неверным, если вы допустите описку.

По мере подключения к сети все новых и новых пользователей ее про­изводительность начинает падать, так как на определенном этапе пользова­телям уже не хватает имеющейся полосы пропускания. Происходит то же самое, что и на автостраде в час пик, когда число машин превышает пропу­скную способность дороги. В современных условиях, когда к сети подклю­чаются мощные рабочие станции, по ее линиям передаются аудио – и видеофайлы, а приложения настольных компьютеров активно взаимодей­ствуют с сетью, для нужд крупной фирмы явно недостаточно ресурсов лока­льной сети Ethernet с полосой пропускания 10 Мбит/с.

Знание причин перегруженности сети необходимо для отладки, разработки и администрирования сетей. Перегруженность сети может превра­титься в серьезную проблему по многим причинам. Большинство фирм сильно зависит от работы своей сети, существуют также фирмы (например. провайдерские), которые представляют собой сеть. Для них перегруженность сети – болезнь, которая при отсутствии лечения быстро приведет к летальному исходу. Если же долгое время не обращать внимания на симптомы этой болезни, то лечение – отладка, ремонтные работы и обновление сети – может вылиться в астрономическую сумму. Прямых вопросов экзамена, посвященных этой теме, немного, но она ле-жит в основе других тем — например, сегментирования LAN .

Сетевой комплекс – это коммуникационная структура, служащая для объединения локальных и глобальных сетей. Основное назначение сетевого комплекса заключается в том, чтобы быстро и эффективно передавать информацию в любое место в пределах корпорации по первому требованию и с соблюдением целостности данных. Современные пользователи все больше и больше зависят от возможностей своей сети. Стоит серверу рабочей группы или концентратору выйти из строя, и в офисе воцаряется хаос. Следовательно, для сетевых компаний важно, насколько эффективно и регулярно администратор управляет такими действиями в сети:

• Передача графики и изображений

• Передача файлов объемом в несколько гигабайтов

• Клиент – серверные вычисления

• Высокая интенсивность сетевого трафика

Для удовлетворения этим требованиям компьютерный отдел фирмы должен обеспечить:

• Увеличение полосы пропускания

• Предоставление полосы пропускания по требованию

• Возможность передачи данных, аудио – и видеоинформации по одному и тому же каналу

Кроме того, современные сети должны быть гибкими, готовыми к появлению приложений завтрашнего дня. В самом ближайшем будущем компьютерные сети будут использоваться для передачи таких видов информации, как:

• Графика высокого разрешения

Другими словами, для того чтобы сетевой комплекс соответствовал свое­му назначению, он должен эффективно связывать между собой большое количество различных сетей, обслуживающих разные организации. Сое­динение не должно зависеть от типа используемого физического носите­ля. Компании, расширяющие свои сетевые комплексы, обязаны успешно преодолевать физические и географические ограничения по примеру всемирной сети Интернет.

Как правило, при перегрузке сети пользователи начинают требовать увеличения полосы пропускания. Но дело в том, что простое увеличение полосы не всегда дает нужный результат. Одним из способов решения проблемы перегруженности и повышения производительности локальной сети является разбиение одного сегмента Ethernet на несколько сегментов. При этом доступная ширина полосы пропускания достигает максимума.

Читайте также:  Как включить камеру на ноуте леново

Сегментация сети – один из наиболее важных и эффективных инстру­ментов проектирования, отладки, модернизации и оптимизации сетей Et ­ hernet . Большинство консультантов и опытных администраторов, услышав о тех или иных признаках перегруженности сети, сразу же на­чинают искать ошибки в сегментации. Этот вопрос следовало бы отнес­ти к программе " Basic Networking 101", поскольку он является ключевым в проектировании и отладке сетей.

В этом разделе подробно рассматриваются дуплексные режимы, сегмен­тация, Ethernet / Fast Ethernet , FDDI / Token Ring и маршрутизация/перемыкания.

К методам борьбы с перегруженностью сети относятся:

• Технология коммутации сетей

• Применение дуплексных устройств Ethernet

• Использование Fast Ethernet

Физическая сегментация позволяет разбить коллизионные и широковещательные домены на более мелкие части. Три основных метода борьбы с перегруженностью сетей основаны на использовании для сегментации маршрутизаторов, мостов и коммутаторов LAN .

Используя мосты, можно разбить сеть на мелкие, легко управляемые компоненты. Это позволит снизить уровень загруженности сети. Однако следует учитывать, что неправильно размещенный мост может принести больше вреда, чем пользы.

Мосты относятся к подуровню MAC канального уровня модели OSI . Они создают отдельные физические и логические сегменты сети для уменьше­ния общего объема передачи данных. При разбиении логической сети на мелкие компоненты повышаются ее надежность, доступность, управляе­мость и способность к расширению.

Мосты анализируют адреса MAC или аппаратные адреса всех кадров и затем пересылают кадры в соответствующие физические сегменты (толь­ко если это действительно нужно). Мосты динамически формируют таб­лицу пересылки путем сопоставления адресов MAC и сегментов, в которых находятся эти адреса.

Мост может пересылать любые пакеты во все другие сегменты, к которым он подключен. По умолчанию исходные адреса широковещательных паке­тов не анализируются мостом, т. е. фильтрация не выполняется, при этом возможен так называемый широковещательный шторм, когда поток широ­ковещательных пакетов превращается в потоп. Та же проблема может воз­никнуть и при использовании коммутаторов, так как с теоретической точки зрения порты коммутаторов являются портами мостов. Коммутатор фирмы Cisco на самом деле представляет собой мост с несколькими пор­тами, работающий под управлением Cisco IOS и выполняющий те же фун­кции, что и мост.

Важно помнить, что мосты создают маленькие коллизионные домены, в то время как вся сеть по-прежнему остается одним большим широкове­щательным доменом.

Маршрутизаторы относятся к сетевому уровню модели OSI и применяют­ся для перенаправления пакетов в целевые сети. Маршрутизаторы, как и мосты, выбирают маршруты на основе таблиц. Однако маршрутизаторы хранят в таблицах информацию о том, как можно добраться до удален­ных сетей, но не до отдельных хостов, и на ее основе выбирают маршру­ты следования пакетов в сетевом комплексе. При выборе маршрутов маршрутизаторы оперируют IP -адресами, а не аппаратными адресами.

Маршрутизаторы хранят и обновляют отдельные таблицы маршрутиза­ции для всех протоколов, используемых в сети, так что маршрутизатор Cisco может хранить отдельную таблицу маршрутизации для AppleTalk , отдельную таблицу для IPX и еще одну для IP .

Применение маршрутизаторов дает следующие преимущества:

Управляемость Возможность работы с несколькими протоколами маршрутизации предоставляет проектировщику большую гибкость при разработке сети.

Расширенный объем функций Маршрутизаторы Cisco могут выпол­нять такие функции, как адресация выхода потока, контроль ошибок и загруженности, фрагментация, повторная сборка пакетов и управле­ние временем существования пакета.

Несколько активных маршрутов С помощью соответствующих про­токолов, DSAP , SSAP и метрик путей маршрутизаторы могут выбирать маршруты на основе большого объема информации и интерпретиро­вать протоколы следующего уровня. Это позволяет маршрутизаторам поддерживать несколько активных маршрутов к одной сети.

Сегментация с помощью коммутаторов LAN

Применение коммутаторов — один из наиболее эффективных методов сегментации LAN . Коммутаторы повышают производительность локаль­ной сети благодаря использованию коммутации кадров, значительно уве­личивающей скорость обмена данными.

Как и мосты, коммутаторы перенаправляют пакеты в выходные порты на основе адресов MAC . При сквозной коммутации LAN пересылка паке­та начинается еще до окончания его приема, в результате величина за­держки сводится к минимуму. При коммутации с промежуточным хранением коммутатор принимает весь кадр, записывает его во встроен­ные буферы, выполняет контроль CRC и затем пересылает кадр через целевой порт.

Различают три метода коммутации:

Коммутация с конфигурацией портов ( port configuration switching )

Позволяет сопоставлять порты физическим сегментам сети под про­граммным управлением. Простейшая форма коммутации.

Коммутация кадров ( frame switching ) Применяется для оптимиза­ции полосы пропускания в сети. Допускает параллельную передачу нескольких пакетов. Этот метод коммутации реализован во всех ком­мутаторах Catalyst .

Коммутация ячеек ( cell switching ) Аналогична коммутации кадров. В ATM используются малые ячейки фиксированной длины, которые коммутируются при передаче по сети. Этот метод коммутации реали­зован во всех коммутаторах Cisco Lightstream .

Коммутаторы LAN предоставляют большую плотность портов с меньшей стоимостью по сравнению со стандартными мостами. Поскольку коммутаторы LAN позволяют работать с сегментами, состоящими из небольшого числа пользователей, увеличивается средняя ширина полосы пропускания, приходящаяся на каждого пользователя. Тенденция к сокращению числа пользователей на сегмент получила название микросегментации; при таком подходе можно создавать выделенные сегменты.

Если на сегмент приходится по одному пользователю, каждому из них предоставляется полная полоса пропускания, которую не нужно ни с кем делить. Поэтому конфликты, столь частые в общих сетях среднего размера, где применяются концентраторы, при такой сегментации исключены.

Технология коммутации сетей

По мере роста популярности сетей увеличивается объем продаж комму­таторов для локальных сетей Token Ring и FDDI . Однако наиболее испо­льзуемыми остаются коммутаторы для локальных сетей Ethernet . Современные коммутаторы LAN обеспечивают ряд новых перспектив­ных возможностей, среди них:

Читайте также:  Acer v3 771g драйвера windows 10

• Выполнение нескольких передач одновременно

• Высокоскоростной обмен данными

• Выделенная связь между устройствами

• Низкая величина задержки и высокая скорость пересылки кадров

• Адаптация к характеристикам носителей (в одной и той же сети мо­гут работать одновременно хосты на 10 Мбит/с и на 100 Мбит/с)

• Поддержка существующих сетевых карт и кабелей, совместимых со стандартом 802.3

Благодаря выделенной сегментации, исключающей возникновение конф­ликтов между сетевыми устройствами, повышается скорость передачи файлов. Одновременно могут осуществляться несколько процессов обме­на данными, т. е. одновременно могут пересылаться или коммутироваться несколько пакетов, следовательно, пропускная способность сети увеличи­вается в соответствующее число раз.

Переход к дуплексной связи повышает пропускную способность сети ров­но вдвое, а адаптация к характеристикам носителей позволяет коммута­торам LAN выполнять обмен данными между устройствами, рассчитанными на 10 и 100 Мбит/с, и перераспределять полосу пропус­кания по мере необходимости. Еще одно преимущество данного метода заключается в том, что переход на коммутаторы LAN не требует замены уже установленных концентраторов, сетевых карт и кабелей.

Дуплексные устройства Ethernet

Применение дуплексных устройств вместо полудуплексных теоретически увеличивает полосу пропускания вдвое. Подключение к дуплексным пор­там концентраторов позволяет устройствам вести прием и передачу од­новременно. Передаваемые и принимаемые сигналы идут по разным проводам, поэтому не должно быть конфликтов и фрагментации.

Fast Ethernet

Fast Ethernet рассчитана на 100 Мбит/с, что в 10 раз выше, чем в lOBaseT Ethernet (10 Мбит/с). Самая приятная особенность Fast Ethernet заключа­ется в том, что она использует те же способы передачи сигналов, что и lOBaseT , следовательно, в одной сети могут одновременно работать устройства обоих типов. Это означает, что можно модернизировать сеть постепенно, участок за участком,— единовременная модернизация всей сети не требуется.

FDDI — это один из типов сети с передачей маркера. Обычно ее про­пускная способность составляет 100 Мбит/с. Спецификация FDDI от­личается хорошей продуманностью и надежностью. До появления Fast Ethernet и Gigabit Ethernet сети FDDI были самыми быстрыми. Такие преимущества FDDI , как хорошая работа при высокой загрузке и от­сутствие конфликтов (следствие принципа передачи маркера), по-прежнему заслуживают внимания.

Управление трафиком и доступом

Фирма Cisco разработала собственную трехуровневую иерархическую модель, которой можно руководствоваться при проектировании и созда­нии масштабируемых сетевых комплексов. Использование этой модели упрощает адресацию и управление устройствами, поскольку преобразова­ние сетевых адресов в иерархическую структуру сокращает объем работ по перенастройке сети при ее расширении. Кроме того, если вы точно знаете, где именно в иерархии расположены устройства, выполняющие сходные задачи, проще избежать ошибок и конфликтов при настройке маршрутиза­торов на том или ином уровне. Для эффективного управления трафиком и доступом администратор должен быть знаком с иерархической моделью Cisco.

Понимание трехуровневой иерархической модели Cisco позволит вам проектировать и внедрять более протяженные сети, ориентированные на постоянное расширение; видеть достоинства и недостатки готовых се­тевых разработок; приобретать именно те устройства, которые в точно­сти соответствуют поставленной задаче, и не тратить на них ни копейки сверх необходимого.

Теоретический курс

Иерархическая модель Cisco (см. рис. 2.1) включает в себя следующие уровни:

• Уровень ядра ( Core layer )

• Уровень распространения ( Distribution layer )

• Уровень доступа ( Access layer )

Рис. 2.1. Трехуровневая иерархическая модель Cisco

Основной функцией уровня ядра является реализация оптимизированной и надежной транспортной структуры. Эта структура имеет большое значе­ние для всего сетевого комплекса и может включать в себя магистрали LAN и WAN . На уровне ядра находятся службы, которые обеспечивают связь между маршрутами в разных логических группах. Маршрутизаторы уровня ядра предоставляют максимум надежности и доступности. Если в локаль­ной или глобальной сети возникает сбой, маршрутизаторы уровня ядра, как правило, поддерживают соединение.

Уровень распространения обеспечивает доступ к различным службам и частям сетевого комплекса. Этот уровень соответствует магистрали университетской сети. Маршрутизаторы уровня распространения управляют доступом к ресур­сам уровня ядра и обязаны оптимальным образом использовать полосу пропу­скания. Кроме того, они должны удовлетворять требованиям качества и класса услуг ( Quality Of Service , QOS ) различных протоколов, реализуя страте­гии управления трафиком, основанные на разделении локальных сред и сре­ды магистрали.

Уровень доступа

Уровень доступа обеспечивает рабочей группе или отдельным пользова­телям доступ к общим ресурсам локального сегмента. Маршрутизаторы уровня доступа управляют трафиком, ограничивая область действия за­просов к службам и широковещательных рассылок средствами доступа. Маршрутизаторы данного уровня должны обеспечивать связь, а также поддерживать целостность сети. Маршрутизатор, к которому поступил запрос, обязан проверить его правомочность, запросив у пользователя идентификационную информацию так, чтобы от него требовался мини­мум действий.

Настройка стандартных списков доступа IP

Используются два типа списков доступа: стандартные и расширенные. (Расширенные списки доступа рассматриваются ниже.) Возможности стандартных списков доступа довольно ограничены. Они способны выполнять отбор только по исходному адресу входящего или исходящего пакета. Стан­дартные списки доступа должны иметь номера в диапазоне от 1 до 99. Стандартные списки широко распространены и легко настраиваются. Хорошее знание списков доступа позволит сэкономить массу времени при настройке фильтрации на маршрутизаторе Cisco.

Как стандартные, так и расширенные списки доступа могут быть весьма сложными. Для полного понимания того, что именно делает тот или иной список доступа, необходимо тщательно изучить теорию и как мож­но больше попрактиковаться в работе с маршрутизаторами.

Читайте также:  Что нельзя делать с ноутбуком

Стандартный список доступа представляет собой последовательность операторов permit и deny , в которых указываются исходные IP -адреса паке­тов. Пакет, поступающий в маршрутизатор, проверяется на соответствие спискам доступа, причем процедура проверки зависит от того, является пакет входящим или исходящим для данного интерфейса. Если с интер­фейсом сопоставлен список доступа, просматривается каждая строка спи­ска по порядку, пока не будет обнаружено соответствие тому или иному критерию. Если соответствие не найдено, пакет отклоняется. Для того чтобы пакеты, не удовлетворяющие списку доступа., пересылались по на­значению, необходимо в самом конце списка поставить оператор permit для пропуска всех неотобранных пакетов; в противном случае такие паке­ты будут отбрасываться.

В Cisco IOS в конце каждого списка доступа стоит неявный оператор deny , так что в случае, если список доступа применяется для того, чтобы отклонять пакеты, удовлетворяющие определенным критериям, и пропу­скать все остальные, в последней строке списка необходимо поставить оператор permit . Если же список доступа используется для того, чтобы принимать пакеты, удовлетворяющие определенным критериям, и откло­нять все остальные, явно указывать оператор deny в конце списка не нужно — он уже там есть.

Списки доступа могут сильно перегрузить маршрутизатор. Более того, они замедляют скорость передачи, так как каждый пакет проверяется на соответствие каждой строке списка доступа до тех пор, пока не будет найдена нужная строка или пока список не закончится. Поэтому при со­ставлении списков доступа важно тщательно продумать их содержимое и добиться максимальной эффективности работы. Чем больше пакетов со­ответствует строке, тем ближе к началу списка должна находиться эта строка. Добавляя в список строки, старайтесь располагать их по мере убывания частоты применения. Учтите, что чаще всего используемая строка может оказаться вовсе не там, где вы ее поставили, в зависимости от того, является ли она оператором permit или deny . Иногда IOS переупорядочивает операторы. И, наконец, чем короче список доступа, тем меньше нагрузка на маршрутизатор и тем меньше задержка.

Последняя часть оператора — маска шаблона. Она должна быть записана в формате IP -адреса, т. е. в виде четырех октетов. Десятичное значение каждого октета преобразуется в поток двоичных нулей и единиц. Нули обозначают биты, значения которых должны в точности совпадать с со­ответствующими битами адреса, а единицы — биты, значения которых могут быть любыми. Примеры масок шаблонов и соответствующих сете­вых адресов приведены в таблице 2.1.

Таблица 2.1. Сетевые адреса и маски шаблонов

1. Конфигурация

В качестве примера возьмем следующую схему:

На маршрутизаторе R3 расположен DHCP-сервер, который централизованно выдает адреса в сети LAN_1 и LAN_2. Маршрутизаторы R1 и R2 в данной схеме являются DHCP-Relay агентами

Сконфигурируем на R3 два пула адресов для каждой локальной сети:

!в режиме глобальной конфигурации определим адреса, которые будут исключены из пула (это адреса интерфейсов R1 и R2
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.2.1
!создадим пул адресов с именем LAN_1
ip dhcp pool LAN1
network 192.168.1.0 255.255.255.0
ip default-router 192.168.1.1
!создадим пул адресов с именем LAN_2
ip dhcp pool LAN2
network 192.168.2.0 255.255.255.0
ip default-router 192.168.2.1

Естественно, при необходимости можно добавить в пул дополнительные опции.

Следующий этап — конфигурация агентов DHCP-Relay на маршрутизаторах R1 и R2. Суть DHCP-Relay заключается в пересылке широковещательного пакета от клиента одноадресатным пакетом DHCP-серверу.

Конфигурация агентов выполняется следующей командой:

!выбираем интерфейс, на который будет приходить широковещательный запрос от клиентов, в данном случае это интерфейс f0/0 маршрутизатора, который подключен к сегменту сети
interface fa0/0
ip helper-address 10.1.1.2

no ip forward-protocol udp 37
no ip forward-protocol udp 53

2. Как это работает?

Клиент шлет стандартный DISCOVERY:

который пересылается Relay-агентом в направлении DHCP-сервера (измененные поля отмечены красным):

Как видно из картинки, сообщение теперь пересылается одноадресным пакетом с источником 192.168.1.1 (интерфейс маршрутизатора, на который был получен широковещательный пакет) и получателем 10.1.1.2 (адрес, который указан командой ip helper-address. Кроме того, адрес 192.168.1.1 указан в поле Relay agent IP address

На основании адреса источника сообщения DHCP-сервер определяет, из какого пула выдавать адреса. Для маршрутизатора R2 запрос пойдет с адресом источника 192.168.2.1 и сервер выдаст адрес из пула LAN_2.

Предложение OFFER от R3 к R1 выглядит следующим образом:

R1 пересылает его клиенту меняя только адреса источника на 192.168.1.1 и получателя на 192.168.1.2 (ссылка на скриншот)

Вот таким образом выглядит обмен сообщениями между клиентом, агентом и сервером:

3. Заключение

Для правильной работы данного примера важно учесть следующий момент: маршрутизатор R3 получает пакеты от R1 с адресом источника 192.168.1.1, поэтому на R3 сеть 192.168.1.0 должна быть в таблице маршрутизации, я настроил EIGRP между маршрутизаторами для решения этой проблемы. Смотрим таблицу:

Gateway of last resort is not set

10.0.0.0/24 is subnetted, 2 subnets
C 10.1.2.0 is directly connected, FastEthernet0/0
C 10.1.1.0 is directly connected, FastEthernet0/1
D 192.168.1.0/24 [90/307200] via 10.1.1.1, 00:00:16, FastEthernet0/1
D 192.168.2.0/24 [90/307200] via 10.1.2.1, 00:02:17, FastEthernet0/0

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock detector