basics of routing & switching: basics

2010, Владимир Литовка (http://doka-ua.blogspot.com/) Switching & Routing – doka – T102

Basics of Cisco Switching & Routing

Разработка: Владимир Литовка [email protected] http://doka-ua.blogspot.com/

Этот документ доступен по лицензии Creative Commons «Attribution-NonCommercial-ShareAlike» 3.0 Непортированная

(http://creativecommons.org/licenses/by-nc-sa/3.0/deed.ru)


Содержание

  Обзор технологий o  Модель OSI o  Link-Layer Protocols

  Ethernet •  802.1q, 802.1ad •  STP, RSTP, MSTP

  PPP •  Radius •  PPPoE / L2TP

o  TCP/IP   IP   QoS / Diffserv   TCP   UDP, ICMP

  Routing o  Принципы o  Static Routing o  Policy-based Routing o  Dynamic Routing

  RIP   OSPF   IS-IS   BGP

  Multicast Routing


Что такое «модель OSI»

Приложение

Представление

Сеанс

Транспорт

Сеть

Канал

Физика Проводные (оптические, медные) линии связи Беспроводные линии связи

Ethernet, Point-to-Point Protocol (PPP), Frame-Relay (FR), …

Доставка данных без ошибок, потерь, дублирования, с сохранением последовательности

Определение пути передачи данных

Поддержание сеанса связи

Приведение передаваемых данных к общему формату

Обеспечение взаимодействия между пользовательскими приложениями и сетью


Что такое «модель OSI»

Приложение

Представление

Сеанс

Транспорт

Сеть

Канал Эй, «Е», передай посылочку для

«Г»!

Узел «Г» находится где-то за узлом «Е» …

Надо на узел «Г» отослать фотографию

Эй, «Г», для тебя посылочка! Приготовься получать!

И подтвердишь, что получил, ок?

Ок, преобразуем исходные данные в универсальный формат

Эй, «Г», лови посылочку!

Физика Е

Узел «А»

Г

Б

В

Ё

Я помогу! Есть среда передачи - медный кабель !


Протоколы канального уровня

Ethernet

PPP

L2TP

PPPoE


Что такое Ethernet   Разрабатывается комитетом IEEE(*) 802   Объединяет два нижних уровня OSI

o  управление средой передачи (частота, модуляция, кодирование) o  обеспечение передачи данных между парой непосредственно доступных узлов (коммутация в сегменте)

  узел идентифицируется MAC-адресом   структура Ethernet-фрейма:

(*) Institute of Electrical and Electronic Engineers

Фрейм Ethernet

Ethernet Payload

CRC Checksum

Destination MAC Source MAC Ether Type

Ethernet Header

Пакет IP


  Media Access Control (MAC) Address – идентификатор узла:

o  248 доступных адресов o  прогноз исчерпания – около 2100 года

  EtherType – идентификатор структуры передаваемых данных

o  0x0800 – IPv4 o  0x8100 – IEEE 802.1q o  0x9100 – Q-in-Q o  …

Заголовок Ethernet Карт

инка: Википедиа (http://en.w

ikipedia.org/wiki/M

AC

_address)


Что такое Ethernet-сегмент   Совокупность узлов, для обмена данными между которыми достаточно информации из Ethernet-заголовка (Source / Destination MAC, EtherType)   Коммутатор – «прозрачное» устройство для создания и поддержки сегмента:

1 2 3 4

MA

C #

1

MA

C #

2

MA

C #

3 M

AC

#5

MA

C #

4

Таблица MAC-адресов Порт #1 MAC #1 Порт #2 MAC #2 Порт #3 MAC #3

MAC #5 Порт #4 MAC #4

MAC #1

MAC #2

MAC #3

MAC #4

Коммутатор

  За одним портом может быть более одного MAC-адреса


Что такое Ethernet VLAN

  Virtual Local Area Network   Виртуальный изолированный Ethernet-сегмент, существующий в рамках физического Ethernet-сегмента

1 2 3 4

MA

C #

1

MA

C #

2

MA

C #

3

MA

C #

4

Таблица MAC-адресов

VLAN 7

Порт #1 MAC #1

Порт #2 MAC #2

Порт #3 MAC #3

Порт #4 MAC #4

VLAN 15

Порт #5 MAC #5

Порт #6 MAC #6

Порт #4 MAC #4

MAC #1

MAC #2

MAC #3

MAC #4


5 6

MA

C #

5

MA

C #

6

MAC #5 MAC #6

VLAN 7

VLAN 15


Что такое Ethernet Trunk

1 2 3 4


5 6

Фрейм Ethernet

Ethernet Payload

CRC Checksum

Destination MAC Source MAC Ether Type

Ethernet Header

Пакет IP 802.1q заголовок

  Порты 1,2,3,5,6 – порты доступа (access), транспорт фреймов только своего VLAN’а   Порт 4 – транковый (trunk) порт, транспорт фреймов многих VLAN’ов

  Транковый порт: o  IEEE 802.1q o  Модифицированный заголовок фрейма:


| Source MAC | 802.1q |EType| Payload … | | | | | | | | | | | | |

| Source MAC |EType| Payload …_____________ | | | | | | | | |

Заголовок IEEE 802.1q

Поле в заголовке Описание TPID (Tag Protocol Identifier, 16 бит) Аналог Ethertype, расположен в том

же месте заголовка PCP (Priority Code Point, 3 бита) IEEE 802.1p Priority – класс

обслуживания (CoS) Canonical Format Indicator (CFI, 1 бит) Для Ethernet – всегда “0” (ноль).

VLAN Identifier (VID, 12 бит) VIDs 0 – 4095 o  0 и 4095 зарезервированы


Native VLAN

  Native VLAN – частный параметр транкового порта   Фреймы из Native VLAN не сопровождаются заголовком 802.1q :

o  при отправке такого фрейма заголовок 802.1q снимается на выходе из порта коммутатора o  нетегированный фрейм тегируется номером native VID на входе из порта коммутатора

  На разных концах Ethernet-соединения могут быть разные значения параметра Native VLAN

Не используйте «стандартный» (VID 1) номер для Native VLAN


| Source MAC | 802.1q | 802.1q |EType| Payload … | | | | | | | | | | | | | | | | |

IEEE 802.1ad aka Provider Bridges, Q-in-Q, VLAN Stacking

S-VLAN C-VLAN

  Сохранение структуры VLAN’ов «внешнего» Ethernet-сегмента на входе во «внутренний» сегмент

o  клиентская сеть o  собственная площадка оператора

  Source и Destination MAC сохраняются o  возможность предоставлять полносвязные Ethernet VPN в рамках одного Ethernet-сегмента

  Копирование / трансляция C-PCP в S-PCP o  если граничный коммутатор не поддерживает, структура QoS разваливается


Целостность сетей Ethernet

Семейство протоколов, обеспечивающее разомкнутую (loop-free) топологию в сетях Ethernet:

  Одно дерево на все VLAN’ы

o  Spanning Tree Protocol (STP, IEEE 802.1D) o  Rapid Spanning Tree Protocol (RSTP, IEEE 802.1w)

  Дерево на каждый VLAN (Cisco proprietary)

o  Per-VLAN Spanning Tree (PVST, PVST) o  Rapid Per-VLAN Spanning Tree (R-PVST)

  Дерево на группу VLAN’ов

o  Multiple Spanning Tree (MST, IEEE 802.1s)


Spanning Tree Источник: В

икипедиа (http://en.wikipedia.org/w

iki/Spanning_tree_protocol)

  Bridge – коммутатор, связывающий сегменты сети

1.  Определение Root Bridge o  Smallest Bridge ID o  Smallest MAC

2.  Определение кратчайших путей до Root Bridge o  Path Cost

•  100 Mbps – 19 •  1 Gbps – 4 •  10 Gbps – 2

o  Назначение портов •  RP – Root Port •  DP – Designated Port •  BP – Blocked Port (все прочие)


Spanning Tree Signaling   Bridge Protocol Data Unit (BPDU) – фреймы управления

(сигнализации), рассылаемые коммутаторами o  Configuration BPDU (C-BPDU) – построение Spanning Tree o  Topology Change Notification (TCN) o  TCN Acknowledgement (TCA)

 Сходимость Ethernet-сегмента в случае аварии зависит от o  размера сегмента o  таймеров o  управляется с root bridge

и составляет от 30 до 50 секунд(*)

(*) http://www.cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a0080094954.shtml


STP: состояния портов

http://www.cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a0080094954.shtml

Root

Blocking

Listening

Learning

Forwarding

Disabled

“A” “B”

Отсутствие 10x Hello (20 сек)

Listening State (forwarding_delay, 15 сек)

Посылка TCN в сторону Root

Learning State (forwarding_delay, 15 сек)

Forwarding State

Root рассылает TCN

возможная задержка на транзитных коммутаторах

Топология сошлась

•  возможная задержка на транзитных коммутаторах •  «старение» MAC-table


STP: состояния портов

Oct 14 00:18:49.426: STP: VLAN0001 heard root 32769-ec44.76f7.2880 on Fa0/1 Oct 14 00:18:51.154: STP: VLAN0001 heard root 32769-ec44.76f7.2880 on Fa0/1 Oct 14 00:18:53.159: STP: VLAN0001 heard root 32769-ec44.76f7.2880 on Fa0/1 Oct 14 00:18:55.164: STP: VLAN0001 heard root 32769-ec44.76f7.2880 on Fa0/1 Oct 14 00:18:57.169: STP: VLAN0001 heard root 32769-ec44.76f7.2880 on Fa0/1 Oct 14 00:18:59.173: STP: VLAN0001 heard root 32769-ec44.76f7.2880 on Fa0/1 Oct 14 00:19:01.178: STP: VLAN0001 heard root 32769-ec44.76f7.2880 on Fa0/1 Oct 14 00:19:03.183: STP: VLAN0001 heard root 32769-ec44.76f7.2880 on Fa0/1 Oct 14 00:19:05.188: STP: VLAN0001 heard root 32769-ec44.76f7.2880 on Fa0/1 Oct 14 00:19:07.193: STP: VLAN0001 heard root 32769-ec44.76f7.2880 on Fa0/1 Oct 14 00:19:07.419: STP: VLAN0001 new root port Fa0/2, cost 119 Oct 14 00:19:07.419: STP: VLAN0001 Fa0/2 -> listening Oct 14 00:19:08.468: STP: VLAN0001 Topology Change rcvd on Fa0/1 Oct 14 00:19:08.468: STP: VLAN0001 Fa0/2 tx BPDU: tcn: 0000 00 80 Oct 14 00:19:08.476: STP: VLAN0001 sent Topology Change Notice on Fa0/2 Oct 14 00:19:09.474: STP: VLAN0001 Fa0/1 tx BPDU: config protocol=ieee Data : 0000 00 00 81 6001EC30915E0F00 00000077 800158BC274DFA80 8001 0300 1400 0200 0F00 Oct 14 00:19:10.481: STP: VLAN0001 Fa0/1 tx BPDU: config protocol=ieee Data : 0000 00 00 01 6001EC30915E0F00 00000077 800158BC274DFA80 8001 0300 1400 0200 0F00 Oct 14 00:19:11.488: STP: VLAN0001 Fa0/1 tx BPDU: config protocol=ieee Data : 0000 00 00 01 6001EC30915E0F00 00000077 800158BC274DFA80 8001 0300 1400 0200 0F00 Oct 14 00:19:12.494: STP: VLAN0001 Fa0/1 tx BPDU: config protocol=ieee Data : 0000 00 00 01 6001EC30915E0F00 00000077 800158BC274DFA80 8001 0200 1400 0200 0F00 Oct 14 00:19:22.426: STP: VLAN0001 Fa0/2 -> learning Oct 14 00:19:37.433: STP: VLAN0001 Fa0/2 tx BPDU: tcn: 0000 00 80 Oct 14 00:19:37.433: STP: VLAN0001 sent Topology Change Notice on Fa0/2 Oct 14 00:19:37.433: STP: VLAN0001 Fa0/2 -> forwarding

Диагностика с коммутатора “A”


  Расширение ролей портов:

  уменьшено количество состояний порта Discarding, Learning, Forwarding

 механизм обратной связи для разблокирования порта Proposal, Agreement

  TCN распространяется по сети, а не через Root Bridge реагирование на аварию начинается быстрее

  уменьшено время детектирования потери Root Bridge

Rapid Spanning Tree

D D

R R

D B A

•  Alternate – Blocked при Designated на другом коммутаторе •  Backup – Blocked при Designated на том же коммутаторе

Root

http://www.cisco.com/en/US/tech/tk389/tk621/technologies_white_paper09186a0080094cfa.shtml


Синхронизация RSTP “R” “A”

“B”

“С”

12:13:26.735: RSTP(1): initializing port Gi1/0/3 12:13:26.735: RSTP(1): Gi1/0/3 is now designated 12:13:26.744: RSTP(1): transmitting a proposal on Gi1/0/3 12:13:26.786: RSTP(1): updt roles, received superior bpdu on Gi1/0/3 12:13:26.786: RSTP(1): Gi1/0/3 is now root port 12:13:26.786: RSTP(1): Gi1/0/1 blocked by re-root 12:13:26.786: RSTP(1): synced Gi1/0/3 12:13:26.786: RSTP(1): Gi1/0/1 is now designated 12:13:26.794: RSTP(1): transmitting an agreement on Gi1/0/3 as a response to a proposal 12:13:27.767: RSTP(1): transmitting a proposal on Gi1/0/1 12:13:28.740: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/3, changed state to up 12:13:29.747: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/3, changed state to up

1/0/3 1/0/1

Диагностика с коммутатора “A”


Multiple Spanning Tree Spanning Tree

(IEEE)

VLANs 1-4094

Per-VLAN Spanning Tree (Cisco proprietary)

VLANs 1,5,17

VLANs 3,10,27

Multiple Spanning Tree (IEEE)

Instance #1

Instance #2

http://blog.ine.com/2010/02/22/understanding-mstp/


Multiple Spanning Tree

Физическая топология

Топология №1 (VLANs 100-4094)

Топология №2 (VLANs 1-100)


IEEE 802.1D Spanning Tree

Multiple Spanning Tree   Сходимость на основе RSTP   Регион – группа коммутаторов в рамках одной физической топологии с одинаковым набором логических топологий

  Определяется набором идентификаторов: o  Имя (name) o  Версия (revision) o  VLAN-to-Instance mapping

CIST Regional Root

CIST Root & Regional Root

MST Region #2 MST Region #3

MST Region #1

http://blog.ine.com/2010/02/22/understanding-mstp/

  Internal Spanning Tree (IST, MST0) o  внутри региона o  M-records per every MSTI

  Common & Internal Spanning Tree (CIST)

  объединяет регионы   рассматривает регион как коммутатор

Bridge ID is CIST Regional Root’s ID   связывает с STP/RSTP

Tree (CST)


Безопасность

 Не используйте VLAN 1 ни для чего o  Native VLAN o  Management VLAN

 Явно определяйте список разрешенных VLAN’ов на транковом порту(*)

 Spanning-Tree Security(**)

o  Root Guard для защиты выбранного Root Bridge o  BPDU Guard для защиты от «чужих» BPDU

 Port security(***) (*) http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_55_se/configuration/guide/swvlan.html (**) http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a008013159f.shtml (***) http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_55_se/configuration/guide/swtrafc.html


Правила здравого смысла

 Не полагаться на автоматическую настройку Spanning Tree Protocol

o  явным образом определять Root Bridge и резервный o  стоимость линка определяет его используемость

 В качестве Root Bridge использовать коммутатор:

o  ближайший к центру топологии o  самый производительный в этих краях

 По возможности, ограничивать размер STP-топологии

o  рекомендация IEEE – 7 коммутаторов o  если больше – настраивать таймеры


Частая ошибка Для того, чтобы VLAN стал действующим, его надо добавить в базу данных VLAN

sw4#sh vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Gi1/0/2, Gi1/0/4, Gi1/0/5,

[ ... ] 60 data_vlan_1 active [ ... ] sw4#sh spanning-tree vlan 40 Spanning tree instance(s) for vlan 40 does not exist. sw4#conf t Enter configuration commands, one per line. End with CNTL/Z. sw4(config)#vlan 40 sw4(config-vlan)#name something_meaningful sw4(config-vlan)#^Z sw4#sh vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Gi1/0/2, Gi1/0/4, Gi1/0/5

[ ... ] 40 something_meaningful active 60 data_vlan_1 active [ ... ] sw4#sh spanning-tree vlan 40 VLAN0040 Spanning tree enabled protocol rstp [ ... ]


Ethernet – что «за кадром»

  VLAN Trunking Protocol (VTP) o  Мина замедленного действия o  Распространение информации о VLAN’ах по сети o  Cisco Proprietary o  http://en.wikipedia.org/wiki/VLAN_Trunking_Protocol

  Link Aggregation o  Объединение двух и более физических линков в один логический

o  Позволяет «отодвинуть» расширение пропускной полосы канала (FE -> GE -> TGE)

o  http://en.wikipedia.org/wiki/Link_aggregation

  Link-Layer Discovery Protocol (LLDP) o  Обмен информацией между устройствами o  http://en.wikipedia.org/wiki/Link_Layer_Discovery_Protocol



 На опорных линках выключать Dynamic Trunking Protocol (DTP)

http://en.wikipedia.org/wiki/Dynamic_Trunking_Protocol

 На опорных линках выключать Speed / Duplex Negotiation, вместо этого определяя их явным образом

 На опорных линках включать LLDP / CDP значительно упрощает диагностирование сетевых проблем

http://en.wikipedia.org/wiki/Cisco_Discovery_Protocol


Типы передачи данных

 Unicast – направленная передача данных между двумя узлами

  Broadcast – рассылка сообщения всем узлам сети или сегмента o  В Ethernet-сегменте Broadcast Address = FFFF.FFFF.FFFF

 Multicast o  Multicast – рассылка сообщений определенному подмножеству получателей

o  Рассылка идентифицируется источником (Source) и группой (Group) и означается (S, G)

o  Для получения копии трафика узел должен зарегистрироваться как получатель группы


Подключение устройств - DHCP

 Dynamic Host Configuration Protocol  Автоматическое получение IP-адресов

DHCP Discovery, broadcast

DHCP Offer

DHCP Request, broadcast

DHCP Acknowledgement

Абонент

DH

CP S

erver

DHCP Release, unicast


Подключение устройств - DHCP

 Dynamic Host Configuration Protocol  Автоматическое получение IP-адресов

DHCP Discovery, broadcast

DHCP Offer

DHCP Request, broadcast

DHCP Acknowledgement

Абонент

DH

CP S

erver

DHCP Release, unicast

Способов просигнализировать клиенту о сбросе или смене адреса

нет!


DHCP Relay

 Если DHCP-сервер обслуживает несколько Ethernet-сегментов

Discovery

Offer

Request

Acknowledgement

DHCP-сервер 1.1.1.3

Обмен Unicast-сообщениями между DHCP Relay и DHCP Server

interface GigabitEthernet 0/0 ip helper-address 1.1.1.3


Преимущества DHCP

 Централизованное хранилище информации о распределении IP-адресов в сети

  Возможность управлять распределением IP-адресов на основе дополнительной информации Механизм DHCP Options – расширение DHCP-сообщений дополнительной информацией, например o  DHCP Opt.82 (Remote-ID, Circuit-ID) o  DHCP Opt.60 (Vendor Class Identifier, VCI)

 Изменения в структуре сети (IP-адресация, DNS, пр.) не требуют перенастройки клиентских устройств

  Безопасность



При распределении адресов по DHCP, на портах граничного коммутатора включать:

 DHCP Option 82 o  выдавать адрес по паре «коммутатор, порт»

 DHCP Snooping o  коммутатор запоминает пару IP+MAC, полученную по DHCP и   запрещает входящий трафик от адресов, отличных от выданного

  запрещает ARP-ответы, если не от зарегистрированной пары IP+MAC


Поиск устройств - ARP

 Механизм определения MAC-адреса по известному IP-адресу

ARP request, broadcast who is 192.168.1.81? tell 192.168.1.181

ARP reply, unicast

192.168.1.81 is at 000f:3da0:060e

Host #1

Host #2

ping 192.168.1.81 а какой у него MAC-адрес?!


Proxy ARP

10.1.0.1/8 10.1.0.2/16

10.2.0.2/16 10.2.0.1/16

10.1.0.10/16

10.2.0.10/16

“A” “B”

“С” “D”

•  eсли запрашиваемый адрес находится за пределами сегмента

•  и маршрутизатор знает о нахождении запрашиваемого адреса

•  то он отвечает своим MAC-адресом

•  ip proxy-arp

•  eсли прямой обмен трафиком между портами коммутатора доступа запрещен

•  и включен Local Proxy ARP •  то маршрутизатор ответит своим MAC-адресом

•  ip local-proxy-arp



Ethernet

PPP L2TP

PPPoE


Point to Point Protocol (PPP)

 Семейство протоколов канального уровня  Обеспечивает соединение между двумя точками  Состоит из:

o  Инкапсуляция фреймов (на основе HDLC) o  Link Control Protocol (LCP) – согласование параметров соединения

o  Network Control Protocol (NCP) – согласование параметров протокола верхнего уровня

IPCP, IPXCP, NBFCP, … o  Дополнений, напр. Compression / Encryption Control Protocol

(CCP / ECP), Multilink Protocol (MP), …   Как правило, применяется совместно с AAA-сервером

(Authentication / Authorization / Accounting)

http://www.tcpipguide.com/free/t_PointtoPointProtocolPPP.htm


Стадии PPP Соединение отсутствует

Установка соединения (LCP)

Аутентификация

Установка соединения (NCP)

Установленное соединение

Разъединение

AA

A-server

(Radius, TA

CA

CS

)

Access-Request

Access-Accept Access-Reject

AV-пары в Access-Accept

Accounting-Start / -Interim / -Stop


Управление параметрами

  Клиент-серверная модель

  Любое действие происходит только при инициации события клиентом

Сервер доступа A

AA

-server (R

adius, TAC

AC

S)

Access-Request




Клиент Conf-Req

Conf-Ack


Управление параметрами

 Change of Authorization (CoA, RFC 3576)

 Позволяет инициировать изменения в обслуживании клиента не только при инициации клиентом

Сервер доступа Change of Authorization

AA

A-server

(Radius, TA

CA

CS

) Access-Request




CoA ACK / NAK

Клиент


Обмен с сервером Radius

Dec 16 13:43:36.520: RADIUS(00000364): Send Access-Request to 10.0.0.2:1812 id 1645/233, len 120 Dec 16 13:43:36.520: RADIUS: Framed-Protocol [7] 6 PPP [1] Dec 16 13:43:36.520: RADIUS: User-Name [1] 8 "akabou“ Dec 16 13:43:36.520: RADIUS: CHAP-Password [3] 19 * Dec 16 13:43:36.520: RADIUS: NAS-Port-Type [61] 6 Virtual [5] Dec 16 13:43:36.520: RADIUS: NAS-Port [5] 6 0 Dec 16 13:43:36.520: RADIUS: NAS-Port-Id [87] 9 "0/0/1/2“ Dec 16 13:43:36.520: RADIUS: Service-Type [6] 6 Framed [2] Dec 16 13:43:36.520: RADIUS: NAS-IP-Address [4] 6 172.16.0.1 Dec 16 13:43:36.520: RADIUS: Acct-Session-Id [44] 18 "0A000001000003A3“ Dec 16 13:43:36.524: RADIUS: Nas-Identifier [32] 16 "cisco.domain.com“

Dec 16 13:43:36.524: RADIUS: Received from id 1645/233 10.0.0.2:1812, Access-Accept, len 113

Dec 16 13:43:36.524: RADIUS: Service-Type [6] 6 Framed [2] Dec 16 13:43:36.524: RADIUS: Framed-Protocol [7] 6 PPP [1] Dec 16 13:43:36.524: RADIUS: Framed-IP-Address [8] 6 172.16.0.2 Dec 16 13:43:36.524: RADIUS: Framed-IP-Netmask [9] 6 255.255.255.255 Dec 16 13:43:36.524: RADIUS: Framed-Routing [10] 6 3 Dec 16 13:43:36.524: RADIUS: Framed-Route [22] 42 "172.16.0.1 255.255.255.255 172.16.0.2 10“ Dec 16 13:43:36.524: RADIUS: Filter-Id [11] 9 Dec 16 13:43:36.524: RADIUS: 73 74 64 2E 70 70 70 [std.ppp] Dec 16 13:43:36.524: RADIUS: Framed-MTU [12] 6 1492 Dec 16 13:43:36.524: RADIUS: Framed-Compression [13] 6 VJ TCP/IP Header Compressi[1]

Dec 16 13:43:36.532: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to up


Обмен с сервером Radius Wed May 8 10:51:12 1996

Acct-Session-Id = "2400020E" User-Name = "akabou" NAS-IP-Address = 172.16.5.17 NAS-Port = 6 Acct-Status-Type = Start Acct-Authentic = RADIUS Called-Station-Id = “zzzzzzzzz" Calling-Station-Id = “zzzzzzzzz" Service-Type = Framed-User Framed-Protocol = PPP Framed-Address = 172.16.0.2 Acct-Delay-Time = 0 Timestamp = 838763356

Wed May 8 12:50:49 1996 Acct-Session-Id = "2400020E" User-Name = “akabou" NAS-IP-Address = 172.16.5.17 NAS-Port = 6 Acct-Status-Type = Stop Acct-Session-Time = 7177 Acct-Authentic = RADIUS Acct-Input-Octets = 14994 Acct-Output-Octets = 90862 Called-Station-Id = “zzzzzzzzz" Calling-Station-Id = “zzzzzzzz" Service-Type = Framed-User Framed-Protocol = PPP Framed-Address = 172.16.0.2 Acct-Delay-Time = 0 Timestamp = 838763378


Применение PPP   Классический Dialup – приближается к естественной ненасильственной смерти

  Удобства PPP обеспечивают ему продолжение жизни: o  Расширяемость o  Независимость от среды передачи данных o  Контроль за соединением

 Не всегда клиент и сервер доступа находятся в непосредственной доступности друг для друга

  Различные механизмы туннелирования PPP: o  PPP over Ethernet (PPPoE) o  Layer2 Tunneling Protocol (L2TP) o  Multiprotocol Encapsulation over ATM (AAL5, RFC 2684) o  ...



Ethernet

PPP L2TP

PPPoE


PPP over Ethernet (PPPoE)

  Ethernet является Broadcast multi-access средой  Механизм PPPoE Active Discovery

PAD Initiation (PADI), broadcast

PAD Offer (PADO)

PAD Request (PADR)

PAD Session Confirmation (PADS)

PAD Termination (PADT)

Абонент

Сервер доступа


PPPoE: формат фрейма

Фрейм Ethernet

Ethernet Header

Ethernet Payload

PPPoE Header

PPP Header PPP Data

Важные поля в заголовке PPPoE: o  Идентификатор сессии (SessionID, 2 байта) o  Идентификатор фрейма

(Code, 1 байт): 0x00 PPP Session

0x09 PADI

0x07 PADO

0x19 PADR

0x65 PADS

0xa7 PADT



При подключении абонентов посредством PPPoE, на портах граничного коммутатора включать PPPoE Intermediate Agent (PPPoE IA)

PPPoE IA – добавление пары «коммутатор, порт» (Remote-ID, Circuit-ID) в заголовок PPP, который позволяет дополнительно идентифицировать абонента по точке физического включения



Ethernet

PPP L2TP

PPPoE


L2 Tunneling Protocol (L2TP)

 Наследник Cisco L2F и Microsoft PPTP  Являясь протоколом канального уровня, работает на сеансном уровне (UDP)

 Предназначен только для туннелирования PPP Следующая версия (L2TPv3) расширена другими L2 протоколами

 Два образующих компонента: o  L2TP Access Concentrator (LAC) o  L2TP Network Server (LNS)

 Позволяет несколько сессий внутри одного туннеля

LAC

Операторская IP/MPLS сеть LNS

PPP внутри L2TP туннеля

PPP


L2 Tunneling Protocol (L2TP) Карт

инка: Википедиа (http://en.w

ikipedia.org/wiki/L2TP

)

У каждого направления – собственные TunnelID и SessionID


Семейство протоколов

TCP/IP


Что такое TCP/IP

Сеанс

Транспорт

Сеть Протокол IP (Internet Protocol) Обеспечивает маршрутизацию данных в сети на основе сетевого идентификатора, т.н. IP-адреса:   IPv4 (4 байта разряда, напр. 212.109.032.150)   IPv6 (16 байтов, напр. 2001:db8:85a3::8a2e:370:7334)

Протоколы доставки данных и сигнализации:   TCP (Transmission Control Protocol)   UDP (User Datagram Protocol)   ICMP (Internet Control Messages Protocol)   …

Формирование сеансов передачи данных, например:   HTTP (WWW)   SMTP (доставка почты)   DNS (www.svitonline.com 212.109.32.150)   …

Представление Приложение


Структура формирования данных

Фрейм Ethernet

Ethernet Header

Ethernet Payload (IP-структура)

IP Header IP Payload (пакет TCP)

TCP Header

Source MAC Dest MAC VLAN Id

Source IP Dest IP Proto

Port

TCP Payload

GET HTTP/1.1 http://doka-ua.blogspot.com/

Уровень 1-2

Уровень 3

Уровень 4

Уровни 5-7

  TCP – ориентированный на сессии протокол, гарантирующий доставку в правильном порядке, без ошибок. Можно внешним образом влиять на скорость передачи данных.   UDP – быстрая доставка, без каких-либо гарантий. Проверка целостности трафика возлагается на приложение. Невозможно повлиять на скорость передачи внешним образом.   ICMP – протокол контроля состояния и обратной связи с сетью.   и т.д., полный список доступен:

http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xml


Формат заголовка IP


Что такое DiffServ (ToS)   Маркирование трафика классом обслуживания и обработка в соответствии с назначенным классом   Эволюция байта ToS в заголовке IP:

  Для совместимости со старыми приложениями, первые три бита DSCP повторяют поведение IPP

0 1 2 3 4 5 6 7

RFC 791 IP Precedence

(IPP) Type of Service

(ToS) 0 0

RFC 1349 IP Precedence

(IPP) Type of Service

(ToS) 0

RFC 2474 DiffServ Code Poin (DSCP) 0 0

RFC 3168 DiffServ Code Point (DSCP) ECN


Трансляция DiffServ

  Количество классов обслуживания o  Ethernet (поле PCP, 3 бита) : 8 классов o  MPLS (Traffic Class / MPLS Exp, 3 бита) : 8 классов o  IP (DSCP, 6 битов) : 64 класса

  при переходе в сегменты MPLS или Ethernet транслируются в восемь базовых классов:

0-7 8-15 16-23 24-31 32-39 40-47 48-55 56-63

0 1 2 3 4 5 6 7


Классы обслуживания

Тип трафика Класс обслуживания

Служебный трафик оператора 7

Голосовой трафик 6

Видео-трафик 5

Управление голосовым и видео-трафиком 4

Виртуальные корпоративные сети (VPN) 3, 2

Интернет

  для бизнес-абонентов 1

  для частных абонентов 0

  Одна из моделей назначения классов:

  Модель примерная, может меняться в зависимости от структуры сервисов


Реализация QoS (слайд 57)


Реализация QoS (ч.2)

  Входящий (ingress) интерфейс o  классификация

выделение классов трафика по различным критериям (напр. VLAN или src/dst IP address)

o  полисинг (policing) обрезание трафика, выходящего за границы выделенной пропускной полосы

o  маркировка уцелевшего трафика классом обслуживания

  Исходящий (egress) интерфейс o  шейпинг (shaping)

буферизация трафика в пиках, отправка с задержкой o  полисинг

обрезание трафика, выходящего за границы выделенной пропускной полосы


Механизмы реализации QoS

Типы полисеров:

  1R2C policer Ingress BW <= CIR ? Conform : Drop

  2R3C policer Ingress BW <= CIR ? Conform : (BW <= PIR ? Remark : Drop)

Типы очередей:

  First Input First Output (FIFO)   Low Latency Queueing (LLQ)   Weighted Fair Queueing (WFQ)   Class-Based Weighted Fair Queueing (CBWFQ)


QoS Best Practices

Правила внедрения QoS на сети:   Граница сети (customer facing interfaces):

o  classification o  policing o  marking

  Опорная сеть (core facing interfaces): o  queuing o  shaping / policing (необязательно)


IP-адрес и Маска сети

  … или «сетевая маска» o  определяет размер и начало подсети с непосредственной доступностью между узлами, а также broadcast-адрес в подсети

Broadcast Address = Network Address OR !NetMask o  используется для маршрутизации данных в сетях IP o  первый и последний адреса зарезервированы для служебного пользования

Двоичный вид Десятично-точечный вид IP-адрес 11000000.10101000.00000101.10000010 192.168.5.130

Маска сети 11111111.11111111.11111111.00000000 255.255.255.0 (или - /24)

Адрес сети 11000000.10101000.00000101.00000000 192.168.5.0

Размер сети 00000000.00000000.00000000.11111111 256 адресов

Broadcast 11000000.10101000.00000101.11111111 192.168.5.255


Формат заголовка TCP

http://en.wikipedia.org/wiki/Transmission_Control_Protocol


Жизнь TCP-соединения

Посылка пакета с установленным флагом RST – безусловный обрыв соединения со сбросом неполученных данных сессии и передачей приложению ошибки   Используется системами защиты для сброса подозрительных и опасных сессий


Управление скоростью передачи Управление скоростью передачи базируется на трех параметрах:

1.  Receiver Advertised Window (окно получателя) Определяется получателем и посылается в каждом ACK-сегменте

2.  Congestion Window (окно перегрузки) Локальный параметр, вычисляемый передающей стороной Увеличивается при каждом ACK на количество подтвержденных

сегментов Начальный размер сегмента определяется при TCP negotiation или

устанавливается равным MTU

3.  Slow start threshold size (порог) Локальный параметр, вычисляемый передающей стороной Стартовое значение – 64Kb (65535 bytes)

  Механизм подтверждений посылки (ACK) используется для определения таймаутов и потерь


Управление скоростью передачи

Картинка: http://www.vanderboot.ru/tcp-ip/wtcp.php


Внешнее регулирование скорости

На транзитных машрутизаторах осуществляется двумя алгоритмами:

1.  Random Early Detection (RED)

При достижении порога заполнения исходящей очереди сбрасывает пакеты случайным образом.

2. Weighted Random Early Detection (WRED) При достижении порога заполнения исходящей очереди сбрасывает пакеты на основании поля DSCP

Применяется на ingress интерфейсах!


Формат заголовка UDP

http://en.wikipedia.org/wiki/User_Datagram_Protocol

 Протокол без установления сессий o  Быстрый o  Без обратной связи

  Негарантированная доставка o  Не управляемый внешними средствами o  Используется для приложений, не чувствительных к потерям (например, VoIP)


Формат заголовка ICMP

http://en.wikipedia.org/wiki/Internet_Control_Message_Protocol

 Используется для диагностики сети (напр., ping) и для обратной связи о проблемах, напр. o  destination unreachable

  network unreachable   host administratively prohibited

o  time exceed o  …


WireShark.org


Implementing

Cisco

IP Routing


Маршрутизация в сетях IP

 Маршрутизация – «построение карт и определение направлений»

 Маршрутизация бывает: o  статическая

  присоединенный маршрут   маршрутизация по адресу назначения   маршрутизация по параметрам входного трафика (policy-based routing, PBR)

o  динамическая   по адресу назначения, с использованием протоколов динамической маршрутизации


Принципы маршрутизации

 Каждый узел принимает собственное решение о маршрутизации трафика

 Каждому узлу не требуется знать весь маршрут до назначения o  определяется только следующий узел в пути

(next-hop) o  процесс повторяется на каждом узле до достижения узла назначения

 Для определения следующего узла используется таблица форвардинга


Принципы маршрутизации (ч.2)

 Запись о маршруте состоит из: o  сетевого адреса / сетевой маски (префикс) o  адреса следующего узла (next-hop)

 Маршруты с более длинной маской имеют более высокий приоритет при наличии записей 3.5.0.0/8 и 3.5.0.0/16 для доступа к 3.5.7.9 будет использована запись с маской /16

 Маршрут «по умолчанию» o  используется, когда в таблице форвардинга нет записей, соответствующих узлу назначения

o  описывается, как 0.0.0.0/0 (ever longest match) o  next-hop для 0/0 – «шлюз по умолчанию» (default gateway)


Форвардинг – не маршрутизация

 Маршрутизация – построение карт o  каждый протокол маршрутизации формирует собственную таблицу маршрутизации

o  протоколы маршрутизации формируют таблицу форвардинга

 Форвардинг – пересылка пакета следующему узлу (next-hop device) o  таблица форвардинга содержит лучший маршрут для каждого префикса через определенный next-hop

o  таблица форвардинга – одна   если используются MPLS VPN – то одна глобальная и по одной на

каждый VPN

 Тем не менее – Routing Table J


Статическая маршрутизация

  Присоединенные маршруты o  Маршруты, которые определяются адресацией на интерфейсах

  Статические маршруты по адресу назначения o  Ручная настройка o  Применимо в случае небольшого количества o  Не адаптируется к изменениям в сети o  Часто используется для определения маршрута по умолчанию


RA1#show ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route Gateway of last resort is 192.168.0.1 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] via 192.168.0.1 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks C 10.2.0.0/30 is directly connected, Serial3/0 L 10.2.0.1/32 is directly connected, Serial3/0 C 10.10.1.1/32 is directly connected, Loopback0 172.16.0.0/24 is subnetted, 1 subnets S 172.16.53.0 [150/0] via 10.2.0.2 192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.0.0/24 is directly connected, FastEthernet0/0 L 192.168.0.2/32 is directly connected, FastEthernet0/0

“show ip route”

Next-Hop (следующий

транзитный узел)

  Administrative Distance: [110/30] o  первое значение – административное расстояние протокола o  второе значение – метрика протокола


Administrative Distance

 Administrative Distance – нетранзитивный параметр, определяющий приоритет одного из нескольких маршрутов, полученных из разных протоколов

Route Source Distance Connected 0

Static 1

EIGRP Summary 5

eBGP 20

iEIGRP 90

IGRP 100

OSPF 110

Route Source Distance IS-IS 115

RIP 120

EGP 140

On-Demand Routing 160

eEIGRP 170

iBGP 200

Unknown 255


interface FastEthernet0/0 ip address 192.168.0.2 255.255.255.0 end ! interface Serial3/0 ip address 10.2.0.1 255.255.255.252 ! ip route 0.0.0.0 0.0.0.0 192.168.0.1 ip route 172.16.53.0 255.255.255.0 10.2.0.2 150

0.0.0.0/0 [1/0] via 192.168.0.1 172.16.53.0 [150/0] via 10.2.0.2

10.2.0.0/30 is directly connected, Serial3/0

192.168.0.0/24 is directly connected, FastEthernet0/0

  Administrative Distance   Может использоваться для приоритезации маршрутов, например:

o  более высокий приоритет имеет маршрут, полученный динамически o  если он отсутствует, то включается статически сконфигурированный маршрут

Статическая маршрутизация


Policy-based Routing (PBR)

  «Статическая коммутация» o  описываемый вручную алгоритм o  перенаправления входящих пакетов o  на основе параметров входящих пакетов

  Перенаправление o  в исходящий интерфейс o  по следующему транзитному узлу (next hop)

  Все недостатки статической маршрутизации по адресу назначения


interface FastEthernet0/0 ip address 192.168.0.2 255.255.255.0 ! interface GigabitEthernet1/0 ip address 1.1.1.1 255.255.255.0 ip policy route-map PBRex ! interface Serial3/2 ip address 2.2.2.2 255.255.255.252 ! access-list 100 permit ip any any precedence critical access-list 101 permit tcp any any eq smtp ! route-map PBRex permit 10 match ip address 100 set ip next-hop 192.168.0.200 ! route-map PBRex permit 20 match ip address 101 set interface Serial3/2 ! route-map PBRex permit 30 set ip default next-hop 192.168.0.150

Пример PBR


Динамическая маршрутизация

  Основана на протоколах маршрутизации

 Обмен информацией о доступности сетей

A

B

С

X

Y

Z

Я знаю о сетях “A”, “B” и “C”

Я знаю о сетях “X”, “Y” и “Z”

1.1.1.2 1.1.1.1

X, Y, Z -> 1.1.1.2

A, B, C -> 1.1.1.1

Distance-Vector Protocols Link-State Protocols o  RIP / RIPv2 o  IGRP / EIGRP o  BGP

o  OSPF o  IS-IS


Протоколы маршрутизации

Цели и задачи

 Формирование оптимального пути  Формирование разомкнутой (loop free) топологии  Обеспечение быстрой сходимости  Минимальный объем служебного трафика  Масштабируемость   Легкость конфигурирования  Минимальный объем администрирования   Адаптивность к изменениям и расширениям  Совместимость



Distance-Vector Protocols

  Distance – длина пути до точки назначения (метрика)   Длина пути – единственный критерий выбора пути   Управляется таймерами   Позволяет фильтровать базу маршрутов   Взаимодействие только между непосредственными соседями

o  Устройство знает, откуда оно получило информацию o  Устройство не знает, откуда она взялась o  «Маршрутизация в соответствии со слухами» J

1000 Mbps

1000 Mbps

1000 Mbps

2Mbps

1 hop

3 hops



Link-State Protocols

  На всех узлах – синхронизированная база связей между всеми узлами сети и их состояний (Link-State Database)

  Информация об изменениях рассылается по всем узлам (Link-State Advertisements)

  Каждый узел строит собственное дерево маршрутов: o  относительно себя o  рассматривая себя корнем дерева

  При расчете маршрута учитывается множество факторов

1000 Mbps

1000 Mbps

1000 Mbps

2Mbps

1 hop

3 hops


Использование Multicast  Multicast – широковещательная рассылка определенному подмножеству получателей

  Рассылка идентифицируется источником (Source) и группой (Group) и означается (S, G)

 Для получения копии трафика узел должен зарегистрироваться как получатель группы

  В протоколах маршрутизации используется для рассылки служебной информации другим узлам-участникам протокольного обмена

Участники OSPF (группа 224.0.0.5)

http://en.wikipedia.org/wiki/Multicast_address


Взаимодействие процессов

Процесс маршрутизации

Таблица маршрутов, сформированная протокольным

взаимодействием 1.1.1.0/24 -> x.x.x.x

157.15.32.0/19 -> z.z.z.z

Таблица маршрутов, сформированная заимствованием из

других процессов 212.109.32.0/19, 62.64.64.0/18

34.5.7.0/24, 207.41.0.0/16 Процесс маршрутизации

Таблица маршрутов, сформированная протокольным

взаимодействием 34.5.7.0/24 -> a.a.a.a

207.41.0.0/16 -> b.b.b.b

Таблица маршрутов, сформированная заимствованием из

других процессов 1.1.1.0/24, 157.15.32.0/19

212.109.32.0/19, 62.64.64.0/18

Статические маршруты

212.109.32.0/19

Присоединенные маршруты

62.64.64.0/18

Таблица форвардинга



 Опираться на Loopback-интерфейсы они всегда активны и не зависят от состояния физических линков

 Распределять адреса по сети таким образом, чтобы их можно было агрегировать

регион (/20) -> город (/21) -> район (/22) -> дом (/24)

 Для соединений «точка-точка» использовать сетевую маску /31 (RFC 3021)

•  если оборудование поддерживает •  вместо 4 адресов на линк – 2 адреса


End of 1st Day

Happy configuring!

basics of routing & switching: basics

Technology