馃寪 CCNAv7 sem3

I. Protok贸艂 OSPF

1. OSPF

OSPF to protok贸艂 routingu stanu 艂膮cza opracowany jako alternatywa dla RIP. Wykorzystuje on koncepcje obszar贸w.

Komunikaty OSPF s膮 wykorzystywane do tworzenia i utrzymywanie trzech nast臋puj膮cych baz danych OSPF:

Router u偶ywaj膮cy OSPF buduje tablic臋 topologii przy u偶yciu oblicze艅 opartych na algorytmie Dijkstry pierwszej najkr贸tszej 艣cie偶ki (shortest-path first - SPF).

W tym celu algorytm SPF tworzy tzw. drzewo SPF, ka偶dy router umieszczany jest w korzeniu drzewa, po czym obliczana jest najkr贸tsza 艣cie偶ka do ka偶dego w臋z艂a. Nast臋pnie na podstawie utworzonego drzewa SPF obliczana jest najlepsza 艣cie偶ka. Ostatecznie OSPF wstawia najlepsze 艣cie偶ki do tablicy przekazywania, na podstawie kt贸rej tworzona jest tablica routingu.

2. Proces routingu stanu 艂膮cza

  1. Ustanowienie przyleg艂o艣ci s膮siad贸w - wysy艂anie pakiet贸w Hello, aby ustali膰 czy na danym 艂膮czu znajduj膮 si臋 s膮siedzi.
  2. Wymiana komunikat贸w o stanie 艂膮cza (LSA) - pakiety LSA zawieraj膮ce informacje na temat stanu oraz kosztu ka偶dego bezpo艣rednio pod艂膮czonego 艂膮cza wysy艂ane s膮 zalewowo do wszystkich s膮siad贸w.
  3. Tworzenie bazy stan贸w 艂膮cza - Na podstawie pakiet贸w LSA Routery tworz膮 tablic臋 topologii (LSDB).
  4. Wykonanie algorytmu SPF - Routery wykonuj膮 algorytm SPF.
  5. Wyb贸r najlepszej trasy - najlepsze 艣cie偶ki oferowane s膮 do tablicy routingu IP.

3. Zalety wieloobszarowego OSPF

Zmiany stanu 艂膮cza dotycz膮 tylko bie偶膮cego obszaru

4. OSFPv3

To odpowiednik OSPFv2 s艂u偶acy do wymiany prefiks贸w IPv6.

5. Rodzaje pakiet贸w OSPF

Rodzaje pakiet贸w OSPF

DR - Designed Router; BDR - Backup Designed Router

6. Stany protoko艂u OSPF

Stany protoko艂u OSPF

II. Konfiguracja jednoobszarowego OSPFv2

1. Identyfikator routera

To warto艣膰 32-bitowa, kt贸ra s艂u偶y do jednoznacznej identyfikacji routera. Identyfikator ten s艂u偶y do wykonywania nast臋puj膮cych czynno艣ci:

Proces przypisywania identyfikatora

2. Maska blankietowa (wildcard mask)

To odwrotno艣膰 maski podsieci. (255.255.255.0 = 0.0.0.255).

3. Interfejsy pasywne

Domy艣lnie komunikaty OSPF wysy艂ane s膮 przez wszystkie interfejsy do艂膮czone do protoko艂u OSPF. Jednak w praktyce powinny one by膰 wysy艂ane tylko na tych interfejsach, na kt贸rych jest po艂膮czenie z innym routerami z uruchomionym OSPF.

Wysy艂anie niepotrzebnych komunikat贸w mo偶e wp艂ywa膰 na dzia艂anie sieci na trzy sposoby:

4. DROTHER

Routery, kt贸re nie s膮 ani DR ani BDR.

5. Potrzebne komendy

6. Koszt jako metryka w OSPF

Protoko艂y routingu u偶ywaj膮 metryki w celu wyznaczenia najlepszej trasy dla pakietu przez sie膰. Metryka jest miar膮 nak艂adu wymaganego do przes艂ania pakietu przez dany interfejs.

Protok贸艂 OSPF u偶ywa jako metryki kosztu 艣cie偶ki. Im ni偶szy koszt, tym lepsza trasa do celu.

Koszt = referencyjna szeroko艣膰 pasma / szeroko艣膰 pasma interfejsu

Warto艣膰 kosztu OSPF musi by膰 liczb膮 ca艂kowit膮.

Domy艣lne koszty OSPF na urz膮dzeniach Cisco
Koszt OSPF przy referencyjnej szeroko艣ci pasma dostosowanej do obs艂ugi 艂膮czy 10 Gigabit Ethernet

7. Interwa艂y pakiet贸w Hello

Pakiety OSPFv2 Hello s膮 wysy艂ane co 10 sekund.

Interwa艂 Dead to okres, przez jaki router b臋dzie czeka艂 na odbi贸r pakietu Hello, zanim zadeklaruje, 偶e s膮siad jest wy艂膮czony. (W Cisco domy艣lnie jest to 4-krotno艣膰 interwa艂u Hello, czyli 10 sek).

8. Propagowanie domy艣lnej trasy statycznej w OPSFv2

Router brzegowy (router bramy) - to router pod艂膮czony do Internetu, kt贸ry powinien propagowa膰 domy艣ln膮 tras臋 do innych router贸w w lokalnej sieci.

Router brzegowy systemu autonomicznego (Autonomous System Boundary Router, ASBR) - router, kt贸ry znajduj臋 si臋 pomi臋dzy domen膮 routingu OSPF a sieci膮 bez OSPF.

9. 殴r贸d艂a uzupe艂niaj膮ce

III. Koncepcje bezpiecze艅stwa sieci

Poj臋cia bezpiecze艅stwa

1. Wektory atak贸w sieciowych

Wekor ataku - to 艣cie偶ka, dzi臋ki kt贸rej podmiot zagro偶enia mo偶e uzyska膰 dost臋p do serwera, hosta lub sieci. Wektory mog膮 pochodzi膰 ze zewn膮trz lub wewn膮rz.

2. Typy haker贸w

Typy haker贸w

3. Terminy dotycz膮ce hackingu

Terminu dotycz膮ce hackingu

4. Narz臋dzia do testowania penetracji

Narz臋dzia do testowania penetracji

5. Typy atak贸w

Typy atak贸w

6. Rodzaje z艂o艣liwego oprogramowania

6.1. Wirus

Rozprzestrzeniania si臋 i infekuje inne komputery po wykonaniu przez u偶ytkownika okre艣lonego dzia艂ania.

Rodzaje wirus贸w

6.2. Ko艅 troja艅ski

Program, kt贸ry wygl膮da na przydatny, ale zawiera z艂o艣liwy kod.

Rodzaje koni troja艅skich

7. Rekonesans

To zbieranie informacji. Podmioty zagro偶enia wykorzystuj膮 ataki rozpoznawcze do nieautoryzowanego wykrywania i mapowania system贸w, us艂ug lub podatno艣ci. Ataki rozpoznawcze poprzedzaj膮 ataki dost臋pu lub ataki DoS.

Techniki rekonesansu

8. Ataki dost臋pu

Celem tego typu ataku jest uzyskanie dost臋pu do dkont internetowych, poufnych baz danych i innych poufnych informacji.

8.1. Ataki na has艂o

Pr贸ba odkrycia krytycznego has艂a systemowego przy u偶yciu r贸偶nych moetd.

8.2. Ataki fa艂szowania

Pr贸ba pozowania jako inne urz膮dzenie poprzez fa艂szowanie danych tj. adres IP, adres MAC czy fa艂szowanie DHCP.

8.3. Wykorzystanie zaufania

Polega na korzystaniu z nieautoryzowanych uprawnie艅 w celu uzyskania dost臋pu do systemu, co mo偶e zagrozi膰 celowi.

Wykorzystanie zaufania

8.4. Przekierowanie port贸w

Podmiot zagro偶enia u偶ywa zagro偶onego systemu jako bazy atak贸w na inne cele. Przekierowanie port贸w

8.5. Atak Man-in-the-middle

Podmiot zagro偶enia umieszczony jest pomi臋dzy dwoma uprawnionymi podmiotami w celu odczytania lub modyfikowania danych przekazywanych mi臋dzy dwoma stronami. Przekierowanie port贸w

8.6. Przepe艂nienie bufora

Aktor zagro偶enia wykorzystuje pami臋膰 bufora i przyt艂acza j膮 nieoczekiwanymi warto艣ciami. Zwykle powoduje to, 偶e system nie dzia艂a, tworz膮c atak DoS.

9. Ataki socjotechniczne

Socjotechnika jest atakiem polegaj膮cym na pr贸bie nak艂onienia ludzi do wykonania okre艣lonych dzia艂a艅 lub ujawnienia poufnych informacji.

Rodzaje atak贸w socjotechnicznych

10. Ataki DoS i DDoS

Atak odmowy us艂ug (Denial of Service) powoduje przerwanie 艣wiadczenia us艂ug sieciowych.

10.1. G艂贸wne typy atak贸w DoS

Rozproszony atak DoS (Distributed DoS, DDoS) - podobny do DoS, lecz pochodzi z wielu skoordynowanych ze sob膮 urz膮dze艅.

11. Ataki IP

Techniki ataku na IP

12. Ataki na ICMP

Aktorzy zagro偶e艅 wykorzystuj膮 ICMP do atak贸w rozpoznawczych i skanowania oraz atak贸w DoS.

Typowe komunikaty ICMP u偶ywane przez haker贸w

13. Ataki wzmacniania i obijania

Technika ta nazywana jest atakiem smurfowym i jest wykorzystywana do przyt艂aczania docelowego hosta.

Atak smurfowy

14. Ataki fa艂szowania

Podmiot zagro偶enie tworzy pakiety z fa艂szywymi 藕r贸d艂owymi informacjami adresowymi IP, aby ukry膰 to偶samo艣膰 nadawcy lub pozowa膰 innego uprawnionego u偶ytkownika.

Ataki fa艂szowania mog膮 by膰 nie艣lepe lub 艣lepe:

15. Us艂ugi TCP

Three-way handshake

16. Ataki na TCP

Zako艅czenie po艂膮czenia TCP

17. Ataki na UDP

18. Zatruwanie ARP

Mo偶e by膰 u偶ywane do uruchamiania r贸偶nych atak贸w man-in-the-middle. Wysy艂aj膮c fa艂szywe gratisowe odpowiedzi ARP zawieraj膮ce sw贸j adres MAC dla wskazanych adres贸w IP docelowych zmienia on pami臋膰 podr臋czn膮 ARP urz膮dze艅 i stawia si臋 mi臋dzy ofiar膮, a wszystkimi innymi systemami w sieci.

18.1. Rodzaje zatrucia ARP

19. Ataki na DNS

20. Tunelowanie DNS

Haker umieszcza ruch inny ni偶 DNS w ruchu DNS. Metoda ta cz臋sto omija rozwi膮zania zabezpieczaj膮ce, gdy podmiot zagro偶enia chce komunikowa膰 si臋 z botami wewn膮trz chronionej sieci lub wyeksportowa膰 dane z organizacji.

20.1. Proces tunelowania DNS

Tunelowanie DNS

21. Ataki na DHCP

22. Triada PID

23. Urz膮dzenia i us艂ugi zabezpieczaj膮ce

24. Zapory

Zapora jest systemem lub grup膮 system贸w, kt贸ra wymusza polityk臋 kontroli dost臋pu mi臋dzy sieciami.

25. IPS

IDS - Intrusion Detection System

IPS - Intrusion Prevension System

Wykrywaj膮 one wzorce ruchu sieciowego za pomoc膮 sygnatur. Sygnatura to zestaw regu艂 u偶ywanych do wykrywania z艂o艣liwej aktywno艣ci.

26. Urz膮dzenia bezpiecze艅stwa tre艣ci

Cisco Email Security Appliance (ESA) przeznaczone do monitorowania Simple Mail Transfer Protocol (SMTP).

Cisco Web Security Appliance (WSA) to technologia ograniczania zagro偶e艅 internetowych.

27. Elementy bezpiecznej komunikacji:

28. Integralno艣膰 danych

Funkcje skr贸tu s膮 wykorzystywane w celu zapewnienia integralno艣ci wiadomo艣ci. Gwarantuj膮 one, 偶e dane wiadomo艣ci nie uleg艂y zmianie przypadkowo lub celowo.

28.1. Trzy znane funkcje skr贸tu

  1. MD5 z 128-bitowym odciskiem - funkcja jednokierunkowa, kt贸ra generuje 128-bitowy skr贸cony komunikat. Lepszym rozwi膮zaniem jest SHA-2.
  2. Algorytm skr贸tu SHA - wersja SHA-1 i SHA-2.

Funkcje skr贸tu (mieszanie) s膮 podatne na MITM i niez apewnia bezpiecze艅stwa przesy艂anych danych.

29. Uwierzytelnianie pochodzenia

Aby doda膰 uwierzytelnianie do zapewnienia integralno艣ci mo偶na u偶y膰 kodu uwierzytelniania wiadomo艣ci z kluczem skr贸tu (HMAC). HMAC wykorzystuje dodatkowy klucz tajny jako wej艣cie dla funkcji skr贸tu.

30. Poufno艣膰 danych

Do zapewnienia poufno艣ci danych u偶ywane s膮 dwie klasy szyfrowania: symetryczne i asymetryczne.

Por贸wnanie klas szyfrowania

30.1. Szyfrowanie symetryczne

Znane symetryczne algorytmy szyfrowania

Szyfr strumieniowy szyfruje jeden bajt lub jeden bit na raz.

30.2. Szyfrowanie asymetryczne

Algorytmy asymetryczne u偶ywaj膮 klucza publicznego i klucza prywatnego.

Przyk艂ady protoko艂贸w wykorzystuj膮cych szyfrowanie asymtryczne:

Znane asymetryczne algorytmy szyfrowania

31. Diffie-Hellman (DH)

Asymetryczny algorytm matemyczny, w kt贸rym dwa PC generuj膮 identyczny klucz tajny bez komunikowania si臋 ze sob膮.

DH jest u偶ywany w:

IV. Koncepcje ACL

1. Lista ACL

Lista kontroli dost臋pu to seria polece艅 IOS u偶ywanych do filtrowania pakiet贸w na podstawie informacji w nag艂贸wku. Lista ACL u偶ywa sekwencyjnyej listy instrukcji zezwalania lub odmowy, zwanych wpisami kontroli dost臋pu (ACE; cz臋sto r贸wnie偶 nazywanych regu艂ami ACL).

1.1 Filtrowanie ramek

Proces, w kt贸rych router por贸wnuje informacje zawarte w pakiecie ze wpisami ACE.

1.2. Zadanie ACL

1.3. Filtrowanie pakiet贸w w modelu ISO/OSI

1.3.1 Typy list ACL

ACL w modelu OSI

1.4. Wej艣ciowa i wyj艣ciowa lista ACL

1.5. Spos贸b dzia艂ania standardowej listy ACL

  1. Router wyodr臋bnia 藕r贸d艂owy adres IPv4 z nag艂贸wka pakiet贸w.
  2. Router rozpoczyna od g贸ry listy ACL i por贸wnuje 藕r贸d艂owy adres IPv4 z ka偶dym wpisem ACE w kolejno艣ci sekwencyjnej.
  3. Po dokonaniu dopasowania router wykonuje instrukcj臋, zezwalaj膮c na pakiet lub odmawiaj膮c mu, a pozosta艂e wpisy ACE w ACL, je艣li takie istniej膮, nie s膮 analizowane.
  4. Je艣li 藕r贸d艂owy adres IPv4 nie pasuje do 偶adnego ACE w ACL, pakiet zostanie odrzucony, poniewa偶 istnieje ACE niejawnej odmowy automatycznie zastosowany we wszystkich ACL.

Je艣li ACL nie zaiwera instrukcji zezwolenia, domy艣lnie odmawia si臋 ca艂ego ruchu.

Niejawny wpis deny any odrzuca kazdy pakiet, kt贸ry nie pasuje do 偶adnego poprzedniego wpisu ACE.

2. Maski blankietowe

Wpis ACE dla IPv4 u偶ywa 32-bitowej maski blankietowej, aby okre艣li膰, kt贸re bity adresu maj膮 zosta膰 zbadane pod k膮tem dopasowania. Maski blankietowe s膮 r贸wnie偶 u偶ywane przez protok贸艂 Open Shortest Path First (OSPF).

2.1. Regu艂y dopasowania masek blankietowych

2.2. Typy masek blankietowych

2.3. Obliczanie maski blankietowej

Przyk艂ad 1
Przyk艂ad 2
Przyk艂ad 3
Przyk艂ad 4

2.4. S艂owa kluczowe w maskach blankietowych

Aby upro艣ci膰 korzystanie z masek blankietowych Cisco IOS udost臋pnia dwa s艂owa kluczowe:

3. Wytyczne tworzenia ACL

3.1. Ograniczona liczba ACL na interfejs

Konkretny interfejs routera mo偶e mie膰:

3.2. Najlepsze praktyki

Najlepsze praktyki ACL

3.3. Kolejno艣膰 instrukcji ACL

Najbardziej szczeg贸艂owe instrukcje ACL nale偶y wprowadzi膰 jako pierwsze.

4. Numerowane i nazwane ACL

4.1. Numerowane ACL

Listy ACL o numerach od 1 do 99 lub od 1300 do 1999 to standardowe listy ACL, podczas gdy listy ACL o numerach od 100 do 199 lub od 2000 do 2699 to rozszerzone listy ACL.

4.2. Nazwane ACL

Nazwane ACL s膮 preferowan膮 metod膮 u偶ycia podczas konfigurowania ACL.

Poni偶ej przedstawiono podsumowanie zasad, kt贸re nale偶y przestrzega膰 dla nazwanych ACL:

5. Umieszczanie listy ACL

Rozszerzone listy ACL powinny znajdowa膰 si臋 jak najbli偶ej 藕r贸d艂a ruchu, kt贸ry ma by膰 filtrowany.

Standardowe ACL powinny znajdowa膰 si臋 jak najbli偶ej miejsca docelowego.

5.1. Czynniki wp艂ywaj膮ce na umieszczenie ACL

Czynniki wp艂ywaj膮ce na umieszczenie ACL

6. 殴r贸d艂a uzupe艂niaj膮ce

V. Konfiguracja ACL

1. Konfiguracja standardowych list ACL IPv4

1.1. Standardowa numerowana ACL

Router(config)# access-list access-list-number {deny | permit | remark text} source [source-wildcard] [log]
Wyja艣nienie sk艂adni standardowej listy ACL

1.2. Standardowa nazywana ACL

Router(config)# ip access-list standard access-list-name

1.3. Stosowanie standardowych list ACL IPv4

Router(config-if) # ip access-group {access-list-number | access-list-name} {in | out}

Komenda wywo艂ana w trybie konfiguracji interfejsu.

2. Modyfikowanie list ACL IPv4

2.1. Dwie metody modyfikacji ACL

2.1.1. Metoda edytora tekstu

Metoda edytora tekstu

2.1.2. Metoda numer贸w sekwencyjnych

Metoda numer贸w sekwencyjnych

2.2. Statystyki ACL

Statystyki ACL

Polecenie show access-lists wy艣wietla liczb臋dopasowa艅 dla poszczeg贸lnych wpis贸w.

Polecenie clear access-list counters czy艣ci statystyki ACL.

3. Zabezpieczanie port贸w VTY przy pomocy standardowej ACL IPv4

3.1. Polecenie access-class

R1(config-line)# access-class {access-list-number | access-list-name} { in | out } 

Polecenie access-class stosujemy podczas konfigurowania linii vty.

S艂owo kluczowe in jest najcz臋艣ciej u偶ywan膮 opcj膮 filtrowania przychodz膮cego ruchu vty. Parametr out filtruje wychodz膮cy ruch vty i jest rzadko stosowany.

3.2. Przyk艂ad zabezpieczania dost臋pu VTY

Przyk艂ad zabezpieczania dost臋pu VTY

4. Konfiguracja rozszerzonych list ACL IPv4

4.1. Rozszerzona numerowana lista ACL IPv4

4.1.1. Sk艂adnia polecenia

Router(config)# access-list access-list-number {deny | permit | remark text} protocol source source-wildcard [operator {port}] destination destination-wildcard [operator {port}] [established] [log]

4.2. Rozszerzona ACL z opcj膮 Established TCP

S艂owo kluczowe establish umo偶liwia wychodzenie ruchowi z wewn臋trznej sieci prywatnej i pozwala powracaj膮cemu ruchowi odpowiedzi na wej艣cie do wewn臋trznej sieci prywatnej.

Stosowanie s艂owa kluczowego established

4.3. Rozszerzona nazywana lista ACL IPv4

4.3.1. Sk艂adnia polecenia

Router(config)# ip access-list extended access-list-name 

4.3.2. Przyk艂ad nazywanej rozszerzonej listy ACL IPv4

Stosowanie s艂owa kluczowego established

VI. NAT dla IPv4

1. Charakterystyka NAT

1.1. Prywatne adresy IP w dokumencie RFC 1918

Zakres adres贸w wewn臋trznych z RFC 1918

Wi臋cej informacji na ten temat znajdziesz tutaj

1.2. Czym jest NAT?

G艂贸wnym zastosowaniem NAT jest oszcz臋dzanie publicznych adres贸w IPv4 poprzez transalcj臋 adres贸w prywatnych na publiczne. Dodatkowo NAT zwi臋ksza prywatno艣膰 i bezpiecze艅stwo sieci, poniewa偶 ukrywa wewn臋trzne adresy IPv4 przez siecami zewn臋trznymi.

1.2.1. Pula NAT

Jeden lub wi臋cej publicznych adres贸w IPv4, kt贸rych router z NAT u偶ywa do t艂umaczenia.

1.2.2. Sie膰 szcz膮tkowa

Sie膰 lub sieci z pojedynczym po艂膮czeniem z sieci膮 s膮siedzk膮, jedn膮 drog膮 do i jedn膮 drog膮 z sieci. I to w艂a艣nie w tych sieciach najcz臋艣ciej dzia艂a router NAT.

Sie膰 szcz膮tkowa

1.3. Terminologia NAT

1.3.1 Sie膰 wewn臋trzna i zewn臋trzna

Sie膰 wewn臋trzna to zestaw sieci podlegaj膮cych translacji. Sie膰 zewn臋trzna obejmuje wszystkie pozosta艂e sieci.

1.3.2. Rodzaje adres贸w

1.3.2.1. Podsumowanie
Rodzaje adres贸w

2. Typy NAT

2.1. Statyczny NAT

Statyczna translacja NAT umo偶liwia utworzenie odwzorowania typu jeden-do-jednego pomi臋dzy lokalnymi i globalnymi adresami. Te odwzorowania s膮 konfigurowane przez administratora sieci i pozostaj膮 niezmienne. Szczeg贸lnie przydatny w serwerach WWW albo urz膮dzeniach, kt贸re musz膮 mie膰 niezmienny adres.

2.2. Dynamiczny NAT

Dynamiczny NAT przyznaje adresy publiczne obs艂uguj膮c 偶膮dania w kolejno艣ci zg艂oszenia. Kiedy urz膮dzenie wewn臋trzne za偶膮da dost臋pu do sieci zewn臋trznej, dynamiczny NAT przypisuje dost臋pny adres IPv4 z puli.

2.3. Translacja PAT

Translacja adres贸w port贸w (PAT), znana tak偶e jako przeci膮偶enie NAT, powoduje przekszta艂cenie wielu prywatnych adres贸w IPv4 na pojedynczy lub klika publicznych adres贸w IPv4. To w艂a艣nie robi wi臋kszo艣膰 router贸w domowych. Dostawca us艂ug internetowych przypisuje routerowi jeden adres, ale kilku domownik贸w mo偶e jednocze艣nie uzyska膰 dost臋p do Internetu. Jest to najcz臋stsza forma NAT zar贸wno dla domu, jak i przedsi臋biorstwa.

PAT identyfikuje adres prywatny za pomoc膮 numeru portu.

2.3.1. Nast臋pny dostepny port

Je偶eli numer porty wybrany przez hosta jest ju偶 skojarzony z innymi aktywnymi sesjami to PAT przypisuje pierwszy dost臋pny numer portu zaczynaj膮c od pocz膮tku odpowiedniej grupy port贸w 0-511, 512-1 023 lub 1024-65 535. Kiedy zabraknie dost臋pnych port贸w, ale jest dost臋pny wi臋cej ni偶 jeden adres zewn臋trzny w puli, mechanizm PAT przechodzi do nast臋pnego adresu IP.

Nast臋pny dostepny port

2.3.2. Pakiety bez segmentu warstwy 4

W przypadku pakietu, kt贸ry nie zawiera numeru portu warstwy 4. tj. jak (ICMPv4) PAT obs艂uguje je w inny spos贸b dla ka偶dego protoko艂u. W komunikatach ICMP wystepuje np. Query ID (identyfikator zapytania), kt贸ry powi膮zuje zapytanie z odpowiedzi膮 na nie.

2.4. Por贸wnanie NAT i PAT

Por贸wnanie PAT i NAT

3. Zalety i wady NAT

3.1. Zalety NAT

3.2. Wady NAT

4. Konfiguracja NAT

4.1. Konfiguracja statycznego NAT

4.1.1. Polecenie ip nat inside source static

R2(config)# ip nat inside source static wewn臋trzny_adres_lokalny wewn臋rzny_adres_globalny

Polecenie to tworzy odwzorowanie mi臋dzy wewn臋trznym adresem lokalnym (np. 192.168.10.254), a wewn臋trznym adresem globalnym (np. 209.165.201.0). Jest to polecenie trybu konfiguracji globalnej.

4.1.2. Polecenie ip nat

R2(config-if)# ip nat [inside | outside]

Polecenie to przypisuje dany interfejs do translacji NAT. Z tego polecenie korzystamy w trybie konfiguracji szczeg贸艂owej danego interfesju.

4.1.3. Polecenie show ip nat translations

R2# show ip nat translations
Pro  Inside global       Inside local        Outside local         Outside global
tcp  209.165.201.5       192.168.10.254      209.165.200.254       209.165.200.254
---  209.165.201.5       192.168.10.254        ---                   ---
Total number of translations: 2

Polecenie show ip nat translations pokazuje aktywne translacje NAT.

4.1.4. Polecenie show ip nat statistics

R2# show ip nat statistics
Total active translations: 1 (1 static, 0 dynamic; 0 extended)
Outside interfaces:
Serial0/1/1
Inside interfaces:
Serial0/1/0
Hits: 0  Misses: 0
(output omitted)

Polecenie show ip nat statistics wy艣wietla informacje o ca艂kowitej liczbie aktywnych t艂umacze艅, parametrach konfiguracyjnych NAT, liczbie adres贸w w puli oraz liczbie przydzielonych adres贸w.

4.1.5. Polecenie clear ip nat statistics

R2# clear ip nat statistics

Aby zweryfikowa膰 translacje najlepiej wyczy艣ci膰 statystyki poprzednich translacji za pomoc膮 polecenia clear ip nat statistics.

4.2. Konfiguracja dynamicznego NAT

4.2.1. Polecenie ip nat pool

R2(config)# ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240 netmask 255.255.255.224

Polecenie to tworzy pula adres贸w publicznych wykorzystaywantch do translacji.

4.2.2. Polecenie access-list

R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255

Konfiguruje standardow膮 liste ACL zawieraj膮c膮 tylko adresy, kt贸re maj膮 by膰 poddawane translacji.

4.2.3. Polecenie ip nat inside source list

R2(config-if)# ip nat inside source list 1 pool NAT-POOL1

Powi膮zuje liste ACL z pul膮.

4.2.4. Polecenie ip nat

R2(config-if)# ip nat inside

Okre艣la interfejsy wewn臋trzne, zewn臋trzne w odniesieniu do NAT.

4.2.5. Polecenie show ip nat translations

R2# show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
--- 209.165.200.228    192.168.10.10      ---                ---
--- 209.165.200.229    192.168.11.10      ---                ---
R2#

Wy艣wietla wszystkie skonfigurowane zamiany adres贸w.

R2# show ip nat translation verbose
Pro Inside global      Inside local       Outside local      Outside global
tcp 209.165.200.228    192.168.10.10      ---                ---
    create 00:02:11, use 00:02:11 timeout:86400000, left 23:57:48, Map-Id(In): 1, 
    flags: 
none, use_count: 0, entry-id: 10, lc_entries: 0
tcp 209.165.200.229    192.168.11.10      ---                ---
    create 00:02:10, use 00:02:10 timeout:86400000, left 23:57:49, Map-Id(In): 1, 
    flags: 
none, use_count: 0, entry-id: 12, lc_entries: 0
R2#

Dodanie do polecenia opcji verbose powoduje wy艣wietlenie dodatkowych informacji o ka偶dym wpisie w tablicy translacji.

4.2.6. Polecenie ip nat translation timeout

#R2(config)# ip nat translation timeout timeout-seconds

Domy艣lnie wpisy translacji wygasaj膮 po 24 godzinach, za pomoc膮 tego polecenia mo偶emy ustawi膰 ten czas na inny.

4.2.7. Polecenie clear ip nat translation

R2# clear ip nat translation *
R2# show ip nat translation

Czyszczenie wpis贸w dynamicznych przed up艂ywem limitu czasu.

Opcje polecenia clear ip nat translation

4.2.8. Polecenie show ip nat statistics

R2# show ip nat statistics 
Total active translations: 4 (0 static, 4 dynamic; 0 extended)
Peak translations: 4, occurred 00:31:43 ago
Outside interfaces:
Serial0/1/1
Inside interfaces: 
Serial0/1/0
Hits: 47  Misses: 0
CEF Translated packets: 47, CEF Punted packets: 0
Expired translations: 5
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 1 pool NAT-POOL1 refcount 4
pool NAT-POOL1: netmask 255.255.255.224
    start 209.165.200.226 end 209.165.200.240
    type generic, total addresses 15, allocated 2 (13%), misses 0
(output omitted)
R2#

Powoduje wy艣wietlenie informacji o: ca艂kowitej liczbie aktywnych translacji, parametrach konfiguracyjnych NAT, liczbie adres贸w w puli oraz liczbie przydzielonych adres贸w.

4.3. Konfiguracja PAT

4.3.1. Konfiguracja PAT do u偶ywania pojedynczego adresu IPv4

R2(config)# ip nat inside source list 1 interface serial 0/1/1 overload
R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255
R2(config)# interface serial0/1/0
R2(config-if)# ip nat inside
R2(config-if)# exit
R2(config)# interface Serial0/1/1
R2(config-if)# ip nat outside

Aby skonfigurowa膰 PAT wystarczy do polecenia ip nat inside source doda膰 s艂owo kluczowe overload. Reszta konfiguracji przebiega podobnie do statycznego lub dynamicznego NAT.

4.3.2. Konfigurowanie PAT do korzystania z puli adres贸w

R2(config)# ip nat pool NAT-POOL2 209.165.200.226 209.165.200.240 netmask 255.255.255.224
R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255
R2(config)# ip nat inside source list 1 pool NAT-POOL2 overload
R2(config)# 
R2(config)# interface serial0/1/0
R2(config-if)# ip nat inside
R2(config-if)# exit
R2(config)# interface serial0/1/1
R2(config-if)# ip nat outside
R2(config-if)# end
R2#

Aby skonfigurowa膰 PAT dla dynamicznej puli adres贸w NAT ponownie wystarczy doda膰 overload do polecenia ip nat inside source.

4.3.3. Weryfikowanie PAT

4.3.3.1. Polecenie show ip nat translations
R2# show ip nat translations
Pro Inside global          Inside local         Outside local      Outside global
tcp 209.165.200.225:1444  192.168.10.10:1444  209.165.201.1:80   209.165.201.1:80
tcp 209.165.200.225:1445  192.168.11.10:1444  209.165.202.129:80 209.165.202.129:80
R2#

Pokazuje translacje z r贸偶nych host贸w do r贸偶nych serwer贸w WWW.

4.3.3.2. Polecenie show ip nat statistics
R2# show ip nat statistics 
Total active translations: 4 (0 static, 2 dynamic; 2 extended)
Peak translations: 2, occurred 00:31:43 ago
Outside interfaces:
Serial0/1/1
Inside interfaces: 
Serial0/1/0
Hits: 4  Misses: 0
CEF Translated packets: 47, CEF Punted packets: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 3] access-list 1 pool NAT-POOL2 refcount 2
pool NAT-POOL2: netmask 255.255.255.224
    start 209.165.200.225 end 209.165.200.240
    type generic, total addresses 15, allocated 1 (6%), misses 0
(output omitted)
R2#

Potwierdza, 偶e NAT-POOL2 dokona艂a alokacji pojedynczego adresu dla obu translacji. W wyniku zawarta jest informacja o liczbie i typie aktywnych translacji, parametrach konfiguracyjnych NAT, liczbie adres贸w w puli oraz jak wiele z nich zosta艂o przydzielonych.

5. NAT dla IPv6

Poniewa偶 wiele sieci u偶ywa zar贸wno IPv4, jak i IPv6, musi istnie膰 spos贸b na korzystanie z protoko艂u IPv6 z NAT.

IPv6 zosta艂 opracowany, aby wyeliminowa膰 konieczno艣膰 translacji NAT adres贸w publicznych i prywatnych IPv4. Jednak IPv6 zawiera w艂asn膮 prywatn膮 przestrze艅 adresow膮 IPv6, unikalne adresy lokalne (ULA).

Adresy ULA IPv6 s膮 podobne do adres贸w prywatnych IPv4 RFC 1918, lecz istniej膮 tak偶e istotne r贸偶nice. Adresy ULA przeznaczone s膮 wy艂膮cznie do komunikacji lokalnej w obr臋bie lokalizacji. Adresy ULA nie maj膮 na celu zapewnienia dodatkowej przestrzeni adresowej IPv6 ani zapewnienia poziomu bezpiecze艅stwa.

IPv6 zapewnia translacja protoko艂贸w mi臋dzy IPv4 i IPv6 znan膮 jako NAT64.

NAT dla IPv6 jest wykorzystywany w ca艂kowicie odmiennym kontek艣cie ni偶 NAT dla IPv4 i nie jest wykorzystywany do translacji adres贸w prywatynch IPv6 na globalne IPv6.

6. 殴r贸d艂a uzupe艂niaj膮ce

VII. Koncepcje sieci WAN

1. Cele sieci WAN

1.1 R贸偶nice mi臋dzy LAN i WAN

Sieci LAN Sieci WAN
Sieci LAN zapewniaj膮 us艂ugi sieciowe na ma艂ym obszarze geograficznym (tj., sie膰 domowa, sie膰 biurowa, sie膰 budynku lub sie膰 kampusu). Sieci WAN 艣wiadcz膮 us艂ugi sieciowe na du偶ych obszarach geograficznych (tj. w i mi臋dzy miastami, krajami i kontynentami).
Sieci LAN s膮 u偶ywane do 艂膮czenia komputer贸w lokalnych, urz膮dze艅 peryferyjnych i innych urz膮dze艅. Sieci WAN s艂u偶膮 do 艂膮czenia u偶ytkownik贸w zdalnych, sieci i lokalizacji.
Sie膰 LAN jest w艂asno艣ci膮 i zarz膮dzana przez organizacj臋 lub u偶ytkownika domowego. Sieci WAN s膮 w艂asno艣ci膮 i zarz膮dzane przez dostawc贸w us艂ug internetowych, telefonicznych, kablowych i satelitarnych.
Poza kosztami infrastruktury sieciowej nie ma op艂aty za korzystanie z sieci LAN. Us艂ugi WAN oferowane s膮 za dodatkow膮 op艂at膮.
Sieci LAN zapewniaj膮 du偶膮 szeroko艣膰 pasma dzi臋ki przewodowej sieci Ethernet i Wi-Fi . Dostawcy sieci WAN oferuj膮 od niskich do du偶ych szeroko艣ci pasma na du偶e odleg艂o艣ci za pomoc膮 z艂o偶onych sieci fizycznych.

1.2. Prywatne i publiczne sieci WAN

1.2.1. Publiczna sie膰 WAN

Jest zazwyczaj dostarczana przez dostawc臋 us艂ug internetowych lub dostawc臋 us艂ug telekomunikacyjnych korzystaj膮cego z Internetu.

1.2.2. Prywatna sie膰 WAN

To po艂膮czenie dedykowane dla jednego klienta. Zapewnia to nast臋puj膮ce elementy:

1.3. Topologie WAN

1.3.1. Topologie fizyczne i logiczne

1.3.1.1. Topologie fizyczne

Opisuj膮 fizyczn膮 infrastruktur臋 sieciow膮 wykorzystywan膮 przez dane podczas przesy艂ania ze 藕r贸d艂a do miejsca docelowego. Fizyczna topologia WAN stosowana w sieci WAN jest z艂o偶ona i w przewa偶aj膮cej cz臋艣ci nieznana u偶ytkownikom.

1.3.1.2. Topologie logiczne

Topologie WAN s膮 opisane przy u偶yciu topologii logicznej. Topologie logiczne opisuj膮 wirtualne po艂膮czenie mi臋dzy 藕r贸d艂em a miejscem docelowym. Na przyk艂ad, po艂膮czenie wideokonferencyjne mi臋dzy u偶ytkownikiem w Nowym Jorku i Japonii by艂oby logicznym po艂膮czeniem punkt-punkt.

1.3.2. Rodzaje topologii logicznych

1.3.2.1. Punkt-punkt

艁膮cza typu punkt-punkt cz臋sto obejmuj膮 dedykowane po艂膮czenia dzier偶awione z korporacyjnego punktu granicznego do sieci dostawcy. Po艂膮czenie punkt-punkt obejmuje us艂ug臋 transportow膮 warstwy 2 za po艣rednictwem sieci dostawcy us艂ug. Pakiety wysy艂ane z jednej strony s膮 dostarczane do drugiej strony i odwrotnie. Po艂膮czenie punkt-punkt jest przezroczyste dla sieci klienta. Wydaje si臋, 偶e istnieje bezpo艣rednie fizyczne powi膮zanie mi臋dzy dwoma punktami ko艅cowymi.

Punkt-punkt
1.3.2.2. Hub-and-spoke

Umo偶liwia wsp贸艂u偶ytkowanie pojedynczego interfejsu na routerze centralnym (hub) przez wszystkie routery obwodowe (spoke).

Hub-and-spoke
1.3.2.3. Dual-homed

Zapewnia redundancj臋. Router centralny jest podwojony w lokalizacji a te nadmiarowo pod艂膮czone do router贸w obwodowych w chmurze WAN.

Dual-homed
1.3.2.4. Pe艂nej siatki

Wykorzystuje wiele obwod贸w wirtualnych do 艂膮czenia wszystkich lokalizacji.

Topologia pe艂nej siatki
1.3.2.5. Cz臋艣ciowej siatki

艁膮czy wiele, ale nie wszystkie lokalizacje.

Topologia cz臋艣ciowej siatki

1.4. 艁膮cza operator贸w

1.4.1. SLA

Umowa o poziomie us艂ug podpisywana mi臋dzy organizacj膮 a us艂ugodawc膮. Przedstawia ona oczekiwane us艂ugi zwi膮zane z niezawodno艣ci膮 i dost臋pno艣ci膮 po艂膮czenia. Us艂ugodawca mo偶e, ale nie musi, by膰 faktycznym operatorem. Operator posiada i utrzymuje fizyczne po艂膮czenie i sprz臋t mi臋dzy dostawc膮 a klientem. Zazwyczaj organizacja wybierze po艂膮czenie WAN z jednym operatorem lub dwoma operatorami.

1.4.2. Po艂膮czenie WAN z pojedynczym operatorem

Po艂膮czenie z jednym operatorem ma miejsce, gdy organizacja 艂膮czy si臋 tylko z jednym dostawc膮 us艂ug. Wad膮 tego podej艣cia jest po艂膮czenie operatora i dostawca us艂ug s膮 pojedynczymi punktami awarii.

1.4.3. Po艂膮czenie WAN z dwoma operatorami

Po艂膮czenie z dwoma operatorami zapewnia nadmiarowo艣膰 i zwi臋ksza dost臋pno艣膰 sieci, jak pokazano na rysunku. Organizacja negocjuje oddzielne umowy SLA z dwoma r贸偶nymi dostawcami us艂ug. Organizacja powinna zapewni膰, 偶e dwaj dostawcy korzystaj膮 z innego operatora. Chocia偶 dro偶sze w implementacji, drugie po艂膮czenie mo偶e by膰 u偶ywane do nadmiarowo艣ci jako 艂膮cze zapasowe. Mo偶e by膰 r贸wnie偶 stosowany do poprawy wydajno艣ci sieci i r贸wnowa偶enia obci膮偶enia ruchu internetowego.

Po艂膮czenie WAN z dwoma operatorami

1.5 Ewolucja sieci

Ma艂a sie膰 > Sie膰 kampusowa > Sie膰 z oddzia艂ami > Sie膰 rozproszona

2. Operacje WAN

2.1. Standardy sieci WAN

Nowoczesne standardy sieci WAN s膮 definiowane i zarz膮dzane przez wiele uznanych organ贸w, w tym:

2.2. Sieci WAN w modelu OSI

Sieci WAN w modelu OSI

2.3. Terminologia WAN

Terminologia WAN
Termin sieci WAN Opis
Urz膮dzenie ko艅cowe (Data Terminal Equipment - DTE) Jest to urz膮dzenie, kt贸re 艂膮czy sieci LAN abonenta z urz膮dzeniem komunikacyjnym WAN (tj. DCE). Hosty wewn臋trzne wysy艂aj膮 sw贸j ruch do urz膮dzenia DTE. DTE 艂膮czy si臋 z p臋tl膮 lokaln膮 przez DCE. Urz膮dzenie DTE jest zwykle routerem, ale mo偶e by膰 hostem lub serwerem.
Urz膮dzenie komunikacyjne (Data Communications Equipment - DCE) Zwany r贸wnie偶 sprz臋tem ko艅cz膮cym obw贸d danych, jest to urz膮dzenie wykorzystywane do komunikowania si臋 z dostawc膮. Urz膮dzenie DCE zapewniaj膮 mo偶liwo艣膰 pod艂膮czenia abonenta do 艂膮cza komunikacyjnego w chmury WAN.
Urz膮dzenia ko艅cowe u偶ytkownika (Customer Premises Equipment - CPE) S膮 to urz膮dzenia DTE i DCE (tj. router, modem, optyczny konwerter) znajduje si臋 na kraw臋dzi przedsi臋biorstwa. Abonent jest w艂a艣cicielem wyposa偶enia CPE lub dzier偶awi je od dostawcy us艂ug.
Punkt obecno艣ci (Point-of-Presence - POP) Jest to punkt, w kt贸rym abonent 艂膮czy si臋 z us艂ug膮 dostawcy us艂ug.
Punkt graniczny (punkt demarkacyjny) Jest to fizyczna lokalizacja w budynku lub kompleksu, kt贸ry oficjalnie oddziela CPE od sprz臋tu dostawcy us艂ug. Punktem rozgraniczenia jest zazwyczaj skrzynka przy艂膮czeniowa okablowania, znajduj膮ca si臋 na terenie abonenta, kt贸ry 艂膮czy okablowanie CPE do lokalnej p臋tli. Identyfikuje lokalizacj臋, w kt贸rej odpowiedzialno艣膰 za dzia艂anie sieci zmienia si臋 z abonenta na us艂ugodawc臋. Kiedy pojawiaj膮 si臋 problemy, konieczne jest ustalenie, czy u偶ytkownik lub dostawca us艂ug jest odpowiedzialny za rozwi膮zywanie problem贸w lub napraw臋.
P臋tla lokalna (lub ostatnia mila) To jest rzeczywisty kabel miedziany lub 艣wiat艂owodowy, z kt贸rym 艂膮czy si臋 CPE do CO us艂ugodawcy.
Biuro centralne (Central Office - CO) Jest to lokalny obiekt us艂ugodawcy lub budynek, kt贸ry 艂膮czy CPE z sieci膮 dostawcy.
Sie膰 p艂atna Obejmuje to dost臋powe, d艂ugodystansowe, w pe艂ni cyfrowe, 艣wiat艂owodowe linie komunikacyjne, prze艂膮czniki, routery i inne urz膮dzenia wewn膮trz sie膰 dostawcy WAN.
Sie膰 dost臋powa (Nie pokazano) Sieci dostepowe 艂膮cz膮 wiele w臋z艂贸w dost臋pu do sieci dostawcy us艂ug. Sieci dost臋powe mog膮 rozci膮ga膰 si臋 na gminy, wojew贸dztwa i regiony. Sieci dost臋powe s膮 r贸wnie偶 po艂膮czone z dostawcami us艂ug internetowych i do sieci szkieletowej.
Sie膰 szkieletowa (Nie pokazano) S膮 to du偶e sieci o du偶ej pojemno艣ci wykorzystywane do 艂膮czenia sieci dostawcy us艂ug i tworzenia nadmiarowych sieci. Inni us艂ugodawcy mog膮 艂膮czy膰 si臋 bezpo艣rednio z szkieletem lub przez innego us艂ugodawc臋. Dostawcy us艂ug sieci szkieletowych s膮 r贸wnie偶 nazywani dostawcami pierwszego poziomu.

2.4. Urz膮dzenia sieci WAN

Urz膮dzenia sieci WAN
Urz膮dzenie sieci WAN Opis
Modem analogowy Znany r贸wnie偶 jako modem dial-up. Przestarza艂e urz膮dzenie, kt贸re przekszta艂ca艂o (tj. modulowa艂o) sygna艂y cyfrowe produkowane przez komputer na analogowe cz臋stotliwo艣ci g艂osowe. U偶ywa linii telefonicznych do przesy艂ania danych.
Modem DSL i Modem kablowy Te szybkie modemy cyfrowe, znane pod wsp贸ln膮 nazw膮 modemy szerokopasmowe 艂膮cz膮 si臋 z routerem DTE za pomoc膮 sieci Ethernet. Modemy DSL 艂膮cz膮 si臋 z sieci膮 WAN za pomoc膮 linii telefonicznych. Modemy kablowe 艂膮cz膮 si臋 z sieci膮 WAN za pomoc膮 linii koncentrycznych. Oba dzia艂aj膮 w podobny spos贸b jak modem analogowy, ale u偶ywaj膮 wy偶szych cz臋stotliwo艣ci i pr臋dko艣ci transmisji.
CSU/DSU Cyfrowe 艂膮cza dzier偶awione potrzebuj膮 urz膮dze艅 CSU i DSU. 艁膮czy urz膮dzenie cyfrowe z lini膮 cyfrow膮. Urz膮dzenie CSU/DSU mo偶e by膰 zar贸wno modemem jak i specjalnym interfejsem montowanym w routerze. CSU zapewnia zako艅czenie sygna艂u cyfrowego i zapewnia integralno艣膰 po艂膮czenia poprzez korekt臋 b艂臋d贸w i monitorowanie linii. DSU za艣, konwertuje sygna艂y pochodz膮ce z sieci operatorskiej na ramki zrozumia艂e dla urz膮dze艅 sieci LAN i odwrotnie.
Konwerter optyczny Znany r贸wnie偶 jako konwerter 艣wiat艂owodowy. Urz膮dzenia te 艂膮cz膮 艣wiat艂owody do medi贸w miedzianych i konwertuj膮 sygna艂y optyczne do impuls贸w elektronicznych.
Router bezprzewodowy lub punkt dost臋pu Urz膮dzenia s艂u偶膮 do bezprzewodowego 艂膮czenia si臋 z dostawc膮 WAN. Routery mog膮 r贸wnie偶 korzysta膰 z bezprzewodowej 艂膮czno艣ci kom贸rkowej.
Urz膮dzenia szkieletowe sieci WAN Sie膰 WAN sk艂ada si臋 z wielu szybkich router贸w i prze艂膮cznik贸w warstwy 3. Router lub prze艂膮cznik wielowarstwowy musi by膰 w stanie obs艂ugiwa膰 wiele interfejs贸w telekomunikacyjnych o najwy偶szej pr臋dko艣ci stosowane w szkielecie sieci WAN. Musi tak偶e by膰 w stanie przekazywa膰 pakiety IP z pe艂n膮 pr臋dko艣ci膮 na wszystkich tych interfejsach. Router lub prze艂膮cznik wielowarstwowy r贸wnie偶 musi obs艂ugiwa膰 protoko艂y routingu u偶ywane w szkielecie.

2.5. Komunikacja szeregowa

Przesy艂a bity sekwencyjnie na jednym kanale. Prawie ca艂a komunikacja sieciowa odbywa si臋 za jej pomoc膮.

2.6. Komunikacja z komutacj膮 艂膮czy

Sie膰 z komutacj膮 艂膮czy ustanawia dedykowany obw贸d (lub kana艂) mi臋dzy punktami ko艅cowymi, zanim u偶ytkownicy b臋d膮 mogli si臋 komunikowa膰.

Podczas transmisji w sieci z komutacj膮 艂膮czy ca艂a komunikacja korzysta z tej samej 艣cie偶ki. Ca艂a sta艂a pojemno艣膰 przydzielona do obwodu jest dost臋pna na czas po艂膮czenia, niezale偶nie od tego, czy s膮 informacje do transmisji, czy nie. Mo偶e to prowadzi膰 do nieefektywno艣ci w u偶yciu obwodu. Z tego powodu komutacja 艂膮czy zasadniczo nie nadaje si臋 do przesy艂ania danych.

Dwa najpopularniejsze typy technologii WAN z komutacj膮 艂膮czy to publiczna komutowana sie膰 telefoniczna (PSTN) i sie膰 cyfrowa z integracj膮 us艂ug (ISDN).

2.7. Komunikacja z prze艂膮czaniem pakiet贸w

W przeciwie艅stwie do komutacji 艂膮czy, prze艂膮czanie pakiet贸w dzieli dane ruchu na pakiety, kt贸re s膮 kierowane w sieci wsp贸艂u偶ytkowanej. Prze艂膮czanie pakiet贸w, nie wymaga zestawienia specjalnego obwodu/po艂膮czenia, ponadto pozwalaj膮 kilku urz膮dzeniom komunikowa膰 si臋 za pomoc膮 tego samego kana艂u.

Typowe rodzaje technologii WAN z prze艂膮czaniem pakiet贸w to Ethernet WAN (Metro Ethernet), Multiprotocol Label Switching (MPLS), a tak偶e starszy Frame Relay i starszy Asynchronous Transfer Mode (ATM).

2.8. SDH, SONET i DWDM

Istniej膮 dwa optyczne standardy warstwy 1 OSI dost臋pne dla dostawc贸w us艂ug:

Dense Wavelength Division Multiplexing (DWDM) to nowsza technologia, kt贸ra zwi臋ksza no艣no艣膰 danych SDH i SONET poprzez jednoczesne wysy艂anie wielu strumieni danych (multipleksowanie) przy u偶yciu r贸偶nych d艂ugo艣ci fal 艣wiat艂a, jak pokazano na rysunku.

3. Tradycyjna 艂膮czno艣膰 WAN

3.1. Tradycyjne opcje 艂膮czno艣ci WAN

Tradycyjne opcje 艂膮czno艣ci WAN

3.2. Terminologia WAN

3.2.1. 艁膮cza dzier偶awione

艁膮cza typu punkt-punkt dzier偶awione od us艂ugodawcy. Ten termin odnosi si臋 do faktu, i偶 firma podnajmuj膮ca 艂膮cza p艂aci sta艂y abonament za jego u偶ytkowanie.

Inne nazwy 艂膮cz dzier偶awionych to 艂膮cza szeregowe, 艂膮cza punkt-punkt, linie T1/E1, T3/E3.

3.2.1.1. Systemy definiowania pojemno艣ci cyfrowej 艂膮cza szeregowego mi臋dzy no艣nikami miedzianymi:
3.2.1.2. Zalety i wady linii dzier偶awionych.
Zalety i wady linii dzier偶awionych

3.3. Opcje z komutacj膮 艂膮czy

Po艂膮czenia z komutacj膮 艂膮czy s膮 dostarczane przez operator贸w publicznych sieci telefonicznych (PSTN). P臋tla lokalna 艂膮cz膮ca CPE do CO to media miedziane. Istniej膮 dwie tradycyjne opcje komutacji 艂膮cza.

3.3.1. Us艂ugi PSTN (Public Switched Telephone Network)

Dost臋p Dialup WAN u偶ywa PSTN jako po艂膮czenia WAN. Tradycyjne sieci telefoniczne, mog膮 przesy艂a膰 dane binarne za pomoc膮 modem贸w analogowych. Modem moduluje dane cyfrowe na sygna艂 analogowy u 藕r贸d艂a i demoduluje sygna艂 analogowy na dane cyfrowe w miejscu docelowym. Szybko艣膰 przesy艂ania sygna艂贸w jest ograniczona przez parametry fizyczne p臋tli lokalnej oraz jej po艂膮czenie z sieci膮 PSTN. Pr臋dko艣膰 ta wynosi mniej ni偶 56kb/s.

Dost臋p dialup jest uwa偶any za przestarza艂膮 technologi臋 WAN. Jednak nadal mo偶e by膰 op艂acalne rozwi膮zanie, gdy 偶adna inna technologia WAN nie jest dost臋pna.

3.3.2. ISDN (Integrated Services Digital Network)

ISDN to technologia komutacji 艂膮czy, kt贸ra umo偶liwia p臋tli lokalnej PSTN przenoszenie sygna艂贸w cyfrowych. Zapewnia艂o to wi臋ksz膮 pojemno艣膰 po艂膮cze艅 prze艂膮czanych ni偶 dost臋p do dialup. ISDN zapewnia szybko艣膰 transmisji danych od 45 Kbps do 2,048 Mb/s.

3.4. Opcje z prze艂膮czaniem pakiet贸w

3.4.1. Frame Relay

Jest technologi膮 warstwy 2 (sieci膮 wielodost臋pow膮 bez obs艂ugi rozg艂aszania - NBMA), WAN u偶ywan膮 do 艂膮czenia zdalnych lokalizacji mi臋dzy sob膮. Pojedynczy interfejs routera mo偶e s艂u偶y膰 do po艂膮cze艅 z wieloma sieciami za pomoc膮 r贸偶nych PVC. PVC s膮 wykorzystywane do przenoszenia zar贸wno g艂osu jak i danych, pomi臋dzy adresem 藕r贸d艂owym i docelowym. Oferowana przez nie pr臋dko艣膰 si臋ga 4 Mb/s, cho膰 niekt贸rzy operatorzy s膮 w stanie zapewni膰 wi臋ksze przepustowo艣ci.

Frame Relay tworzy sta艂e po艂膮czenia wirtualne, a ka偶de z nich jest identyfikowane w spos贸b unikalny za pomoc膮 identyfikatora DLCI (data link connection identifier).

3.4.2. Asynchronous Transfer Mode (ATM)

Jest technologi膮, kt贸ra umo偶liwia przesy艂anie g艂osu, obraz贸w wideo i danych przez sieci prywatne i publiczne. Jest ona oparta na architekturze kom贸rek, a nie ramek. Kom贸rki ATM maj膮 sta艂膮 d艂ugo艣膰 53 bajt贸w. 53-bajtowa kom贸rka ATM zawiera 5-bajtowy nag艂贸wek ATM i 48 bajt贸w tre艣ci zasadniczej. Ma艂e kom贸rki o sta艂ej d艂ugo艣ci doskonale nadaj膮 si臋 do przesy艂ania g艂osu i obraz贸w wideo, poniewa偶 ruch ten nie toleruje op贸藕nie艅. Ruch zawieraj膮cy obrazy wideo i g艂os nie musi czeka膰 na przes艂anie wi臋kszego pakietu danych.

Sieci ATM zosta艂y w du偶ej mierze zast膮pione szybszymi Metro Ethernet i rozwi膮zaniami internetowymi.

4. Nowoczesne technologie WAN

4.1. Nowoczesne opcje 艂膮czno艣ci WAN

Nowoczesne opcje 艂膮czno艣ci WAN

4.1.1. Dedykowane szerokopasmowe

Ciemne w艂贸kno kabel 艣wiat艂owodowy, kt贸ry nie jest w u偶yciu, a zatem 鈥渘ieo艣wietlony鈥.

4.1.2. Prze艂膮czanie pakiet贸w

4.1.2.1. Metro Ethernet
4.1.2.2. Multi-ptocol Label Switching (MPLS)

4.1.3. Internetowe szerokopasmowe

4.2. Ethernet WAN

Operatorzy ISP oferuj膮 obecnie us艂ug臋 Ethernet WAN z wykorzystaniem w艂贸kien 艣wiat艂owodowych. Us艂uga Ethernet WAN mo偶e mie膰 wiele nazw, w tym nast臋puj膮ce:

4.2.1. Korzy艣ci Ethernet WAN

4.3. MPLS

Multiprotocol Label Switching (MPLS) to wysokowydajna technologia routingu WAN dla dostawcy us艂ug umo偶liwiaj膮ca 艂膮czenie klient贸w bez wzgl臋du na metod臋 dost臋pu lub typ obci膮偶enia. MPLS obs艂uguje r贸偶ne metody dost臋pu klienta (np. Ethernet, DSL, Cable, Frame Relay). MPLS mo偶e enkapsulowa膰 ruch wszystkich typy protoko艂贸w, w tym IPv4 i IPv6.

Topologia prostej sieci z obs艂ug膮 MPLS

Router MPLS mo偶e by膰 routerem kraw臋dzi klienta (CE), routerem kraw臋dzi dostawcy (PE) lub routerem wewn臋trznym dostawcy (P). Zauwa偶, 偶e MPLS obs艂uguje r贸偶ne po艂膮czenia dost臋pu klienta.

Routery MPLS s膮 routerami z prze艂膮czaniem etykiet (LSR). Oznacza to, 偶e do艂膮czaj膮 etykiety do pakiet贸w, kt贸re s膮 nast臋pnie u偶ywane przez inne routery MPLS do przesy艂ania ruchu. Gdy ruch opuszcza CE, router MPLS PE dodaje kr贸tk膮 etykiet臋 o sta艂ej d艂ugo艣ci pomi臋dzy nag艂贸wkiem ramki a nag艂贸wkiem pakietu. Routery MPLS P u偶ywaj膮 etykiety, aby okre艣li膰 nast臋pny przeskok pakietu. Etykieta jest usuwana przez router PE, gdy pakiet opuszcza sie膰 MPLS.

5. 艁膮czno艣膰 internetowa

5.1. Technologia DSL

Cyfrowa linia abonencka (DSL) to szybka, o sta艂ym po艂膮czeniu technologia, kt贸ra wykorzystuje istniej膮ce skr臋tki telefoniczne do 艣wiadczenia us艂ug IP u偶ytkownikom. DSL jest popularnym wyborem dla u偶ytkownik贸w domowych i dla dzia艂贸w IT przedsi臋biorstwa do wspierania telepracownik贸w.

5.2. Po艂膮czenia DSL

Po艂膮czenie jest ustanawiane mi臋dzy modemem DSL a multiplekserem dost臋pu DSL (DSLAM).

Po艂臋czenie DSL

Modem DSL konwertuje sygna艂y Ethernet z urz膮dzenia telepracownika na sygna艂 DSL, kt贸ry jest przesy艂any do multipleksera dost臋pu DSL (DSLAM) w lokalizacji dostawcy.

DSLAM jest urz膮dzeniem, znajduj膮cym si臋 w Biurze Centralnym (CO) dostawcy, a jego zadaniem jest po艂膮czenie wielu abonent贸w DSL. DSLAM jest zazwyczaj cz臋艣ci膮 routera, odpowiadaj膮cego za agregacj臋.

5.3. DSL i PPP

Protok贸艂 Point-to-Point (PPP) to protok贸艂 warstwy 2, kt贸ry by艂 powszechnie u偶ywany przez dostawc贸w us艂ug telefonicznych do nawi膮zywania po艂膮cze艅 router do routera i host do sieci za po艣rednictwem dost臋powej sieci telefonicznej i ISDN.

ISP nadal u偶ywaj膮 protoko艂u PPP jako protoko艂u Layer 2 dla szerokopasmowych po艂膮cze艅 DSL ze wzgl臋du na nast臋puj膮ce czynniki:

5.3.1. Sposoby wdra偶ania PPP over Ethernet (PPPoE).

5.4. Technologia kablowa

Technologia kablowa to szybka, stale po艂膮czona technologia, kt贸ra wykorzystuje kabel koncentryczny firmy kablowej do 艣wiadczenia us艂ug IP u偶ytkownikom.

DOCSIS (Data over Cable Service Interface Specification) to mi臋dzynarodowy standard dodawania danych o du偶ej przepustowo艣ci do istniej膮cego systemu kablowego.

Operatorzy kablowi wdra偶aj膮 hybrydowe sieci 艣wiat艂owodowe (HFC), aby umo偶liwi膰 szybk膮 transmisj臋 danych do modem贸w kablowych. System ten u偶ywa kabli koncentrycznych, przenosz膮cych sygna艂 radiowy w ca艂ej sieci. HFC wykorzystuje kabel 艣wiat艂owodowy i koncentryczny w r贸偶nych cz臋艣ciach sieci.

Hybrydowe sieci 艣wiat艂owodowe

5.5. 艁膮cza 艣wiat艂owodowe

Fiber do x (FTTX) - instalacja kabla 艣wiat艂owodowego do lokalizacji u偶ytkownika. Obejmuje:

5.6. Bezprzewodowy internet szerokopasmowy

Rozwi膮zania umo偶liwiaj膮ce szerokopasmow膮 technologi臋 bezprzewodow膮:

5.6.1. Miejska sie膰 W-Fi

5.6.2. Sie膰 kom贸rkowa

Terminy przemys艂u kom贸rkowego: - Sieci 3G/4G/5G - Long-Term-Evolution (LTE)

5.6.3. Internet satelitarny

Zwykle u偶ywany przez u偶ytkownik贸w wiejskich lub w odleg艂ych lokalizacjach, gdzie po艂膮czenia kablowe i DSL nie s膮 dost臋pne. Aby abonent m贸g艂 skorzysta膰 z dost臋pu satelitarnego, potrzebuje on talerza satelitarnego, dw贸ch modem贸w (wysy艂anie i pobieranie) oraz kabla koncentrycznego 艂膮cz膮cego modem z talerzem.

Pr臋dko艣膰 pobierania wynosi od 5 Mb/s do 25 Mb/s. Natomiast pr臋dko艣膰 wysy艂ania to oko艂o jednej dziesi膮tej pr臋dko艣ci pobierania.

5.6.4. WiMAX

Jest now膮 technologi膮 opisan膮 w standardzie IEEE 802.16. Dzia艂a na podobnej zasadzie jak stacje bazowe telefonii kom贸rkowej.

5.7. Technologia VPN

Pozwala na przekazywanie ruchu w spos贸b zaszyfrowany pomi臋dzy komputerami w sieci prywatnej lub publicznej, takiej jak Internet. Zamiast u偶ywa膰 dedykowanego po艂膮czenia warstwy 2 (tj. linia dzier偶awiona) VPN u偶ywa po艂膮cze艅 wirtualnych zwanych tunelami sieci VPN. Tunele VPN s膮 kierowane przez Internet z prywatnej sieci firmy do zdalnej witryny lub hosta pracownika.

5.7.1. Korzy艣ci sieci VPN

5.7.2. Sposoby realizowania VPN

5.8. Opcje 艂膮czenia do dostawcy us艂ug

5.8.1. Po艂膮czenie pojedyncze (single-homed)

Po艂膮czenie pojedyncze

5.8.2. Po艂膮czenie podw贸jne (dual-homed)

Po艂膮czenie podw贸jne

5.8.3. Po艂膮czenie wielokrotne (multihomed)

Po艂膮czenie wielokrotne

5.8.4. Po艂膮czenie wielokrotne podw贸jne (dual-mulithomed)

Po艂膮czenie wielokrotne podw贸jne

6. 殴r贸d艂a uzupe艂niaj膮ce

https://www.youtube.com/watch?v=xPi4uZu4uF0

VIII. Koncepcje VPN i IPSec

1. Technologia VPN

1.1. Wirtualne sieci prywatne

VPN s艂u偶y do tworzenia prywatnych po艂膮cze艅 sieciowych w celu zabezpieczenia ruchu sieciowego mi臋dzy lokacjami a u偶ytkownikami.

1.2. Korzy艣ci z VPN

Korzy艣膰 Opis
Oszcz臋dno艣ci Wraz z pojawieniem si臋 op艂acalnych technologii o du偶ej przepustowo艣ci, organizacje mog艂y u偶ywa膰 VPN, aby obni偶y膰 koszty po艂膮cze艅 jednocze艣nie zwi臋kszaj膮c przepustowo艣膰 po艂膮czenia zdalnego.
Ochrona VPN zapewniaj膮 najwy偶szy poziom bezpiecze艅stwa, korzystaj膮c z zaawansowanych protoko艂贸w szyfrowania i uwierzytelniania, kt贸re chroni膮 dane przed nieautoryzowanym dost臋pem.
Skalowalno艣膰 VPN umo偶liwiaj膮 organizacjom korzystanie z Internetu, co u艂atwia dodawanie nowych u偶ytkownik贸w bez dodawania znacz膮cej infrastruktury.
Kompatybilno艣膰 VPN mo偶na zaimplementowa膰 w wielu r贸偶nych opcjach 艂膮cza WAN w tym wszystkich popularnych technologiach szerokopasmowych. Pracownicy zdalni mog膮 korzysta膰 z tych szybkich po艂膮cze艅, aby uzyska膰 bezpieczny dost臋p do ich sieci korporacyjnych.

1.3. Sieci VPN typu site-to-site i zdalnego dostepu

1.3.1. Sie膰 VPN typu Site-to-Site

Sie膰 VPN typu lokacja-lokacja jest tworzona, gdy urz膮dzenia ko艅cz膮ce VPN, zwane tak偶e bramami VPN, s膮 wst臋pnie skonfigurowane z informacjami potrzebnymi do ustanowienia bezpiecznego tunelu. Ruch VPN jest szyfrowany tylko mi臋dzy tymi urz膮dzeniami. Hosty wewn臋trzne nie wiedz膮, 偶e u偶ywana jest sie膰 VPN.

VPN Site-to-Site

1.3.2. Sie膰 VPN zdalnego dost臋pu

Sie膰 VPN dost臋pu zdalnego jest tworzona dynamicznie w celu ustanowienia bezpiecznego po艂膮czenia mi臋dzy klientem a urz膮dzeniem ko艅cowym VPN.

VPN zdalnego dost臋pu

1.4. VPN dla przedsi臋biorstw i dostawc贸w us艂ug

W zale偶no艣ci od tego kto zarz膮dza VPN rozwi膮zania mo偶emy wdra偶a膰 jako:

1.4.1. VPN dla przedsi臋biorstw

Jest to powszechne rozwi膮zanie dla ruchu w przedsi臋biorstwie.

Typy wdro偶e艅 VPN:

Typy wdro偶e艅 VPN
VPN typu lokacja-lokacja IPsec VPN
GRE przez IPsec
Cisco Dynamic Multipoint Virtual Private Network (DMVPN)
Interfejs wirtualnego tunelu IPsec (VTI)
Po艂膮czenie VPN IPsec oparte na kliencie
VPN dost臋pu zdalnego Po艂膮czenie VPN IPsec oparte na kliencie
Bezklientowe po艂膮czenie SSL

1.4.2. Sieci dostawc贸w us艂ug

S膮 tworzone i zarz膮dzane przez sie膰 dostawcy. U偶ywa Mutliprotocol Label Switching (MPLS) w warstwie 2 lub warstwie 3. MPLS to technologia routingu u偶ywana przez dostawc臋 do tworzenia wirtualnych 艣cie偶ek mi臋dzy lokacjami. To skutecznie oddziela ruch od innych klient贸w.

Sie膰 dostawc贸w us艂ug

2. Rodzaje sieci VPN

2.1. Sieci VPN zdalnego dost臋pu

2.2. SSL VPN, a IPsec

Por贸wnanie IPsec i SSL

Funkcja IPsec SSL
Obs艂ugiwane aplikacje Rozleg艂e - Wszystkie aplikacje oparte na protokole IP s膮 obs艂ugiwane. Orgraniczone - Tylko aplikacje internetowe i udost臋pnianie plik贸w jest obs艂ugiwane.
Si艂a uwierzytelnienia Silna - U偶ywa uwierzytelniania dwukierunkowego za pomoc膮 kluczy wsp贸艂dzielonych lub certyfikat贸w cyfrowych. Umiarkowana - Korzystanie z uwierzytelniania jednokierunkowego lub dwukierunkowego.
Si艂a szyfrowania Silna - U偶ywa kluczy o d艂ugo艣ci od 56 do 256 bit贸w. Od umiarkowanej do silnej - z kluczami o d艂ugo艣ci od 40 bit贸w do 256 bit贸w.
Z艂o偶ono艣膰 po艂膮czenia 艢rednia - Poniewa偶 wymaga klienta VPN wst臋pnie zainstalowanego na ho艣cie. Niska - Wymaga tylko przegl膮darki internetowej na ho艣cie.
Opcja po艂膮czenia Ograniczona 鈥 Tylko okre艣lone urz膮dzenia z okre艣lonymi konfiguracjami mog膮 si臋 艂膮czy膰. Rozleg艂e - Ka偶de urz膮dzenie z przegl膮dark膮 internetow膮 mo偶e si臋 po艂膮czy膰.

Warto pami臋ta膰, 偶e SSL i IPsec nie wykluczaj膮 si臋 i mo偶na ich u偶ywac jednocze艣nie w zale偶no艣ci od potrzeb.

2.3. VPN site-to-site IPSec

VPN Site-to-Site

Brama VPN enkapsuluje i szyfruje ruch wychodz膮cy dla ca艂ego ruchu z okre艣lonej witryny. Nast臋pnie przesy艂a ruch przez tunel VPN przez Internet do bramy VPN w miejscu docelowym. Po odebraniu, odbieraj膮ca brama VPN usuwa nag艂贸wki, odszyfrowuje zawarto艣膰 i przekazuje pakiet do hosta docelowego w swojej sieci prywatnej.

Sieci VPN typu lokacja-lokacja s膮 zwykle tworzone i zabezpieczane przy u偶yciu zabezpiecze艅 IP (IPsec).

2.4. GRE przez IPsec

Generic Routing Encapsulation (GRE) - niezabezpieczony protok贸艂 tunelowania VPN typu lokacja-lokacja.

Hermetyzacja GRE - to proces enkaspulaji ruchu protoko艂u routingu przy u偶yciu pakietu GRE, a nast臋pnie enkapsulacji pakietu GRE w pakiet IPsec, aby bezpieczecznie przes艂a膰 go docelowej bramy. Rozwi膮zuje to problem nie mo偶no艣ci tworzenia bezpiecznych tuneli dla ruchu innego typu ni偶 unicast w standardowej sieci VPN IPSec, co sprawia 偶e protoko艂u routingu nie mog臋 wymienia膰 informacji o routingu.

Hermetyzacja GRE

Terminy do opsiu hermetyzacji GRE:

2.5. Dynamiczne wielopunktowe sieci VPN

Dynamic Multipoint VPN (DMVPN) - oprogramowanie Cisco tworzo膮ce wiele sici VPN w 艂atwy, dynamiczny i skalowalny spos贸b. DMVPN polega na IPSec.

2.6. Interfejs wirtualnego tunelu IPsec

IPsec Virtual Tunnel Interface (VTI) upraszcza proces konfiguracji wymagany do obs艂ugi wielu lokalizacji i zdalnego dost臋pu. Konfiguracje IPsec VTI s膮 stosowane do interfejsu wirtualnego zamiast statycznego mapowania sesji IPsec na interfejs fizyczny. Obs艂uguje ruch unicast i multicast, wi臋c konfigurowanie tuneli GRE nie jest konieczne.

2.7. Dostawca us艂ug MPLS VPN

Typy rozwi膮za艅 MPLS VPN obs艂ugiwanych przez dostawc贸w us艂ug:

3. IPSec

3.1. Technologie IPSec

IPsec to standard IETF (RFC 2401-2412), kt贸ry definiuje spos贸b zabezpieczenia VPN w sieciach IP. IPsec chroni i uwierzytelnia pakiety IP mi臋dzy 藕r贸d艂em a miejscem docelowym. IPsec mo偶e chroni膰 ruch z warstw od 4 do 7.

IPSec zapewnia funkcje bezpiecze艅stwa tj.:

3.2. Wybory dotycz膮ce IPSec

3.2.1. Enkapsuacja protoko艂u IPsec

IPSec enkapsuluje pakiety przy u偶yciu nag艂贸wka uwierzytelniania (AH) lub protoko艂u Encapsulation Security Protocol (ESP).

3.2.1.1. Nag艂贸wek uwierzytelniania (AH)

Jest odpowiednie tylko wtedy, gdy poufno艣膰 nie jest wymagana lub dozwolona. Zapewnia uwierzytelnianie i integralno艣膰 danych, ale nie zapewnia poufno艣ci danych (szyfrowania). Ca艂y tekst jest przesy艂any w postaci niezaszyfrowanej.

3.2.1.2. Encapsulation Security Protocol (ESP)

Zapewnia poufno艣膰 i uwierzytelnianie. Szyfruje pakiety IP i zapewnia uwierzytelnianie wewn臋trznego pakiet IP I nag艂贸wka ESP. Szyfrowanie i uwierzytelnianie s膮 opcjonalne, ale przynajmniej jedno musi by膰 wybrane.

3.2.2. Poufno艣膰

Wi臋cej informacji znajdziesz tutaj

3.2.3. Integralno艣膰

Wi臋cej informacji znajdziesz tutaj

3.2.4. Uwierzytelnianie

Wi臋cej informacji znajdziesz tutaj

3.2.5. Diffie-Hellman

Istniej膮 r贸偶ne sposoby wymiany klucza DH. Wariacje te okre艣lane s膮 jako grupy:

Wi臋cej informacji znajdziesz tutaj

4. 殴r贸d艂a uzupe艂niaj膮ce

IX. Koncepcje QoS

1. Sta艂e op贸藕nienie

To okre艣lony czas, jaki trwa okre艣lony proces, na przyk艂ad czas potrzebny na umieszczenie go na no艣niku transmisji.

2. Zmienne op贸藕nienie

Zajmuje nieokre艣lony czas i ma wp艂yw na takie czynniki, jak ilo艣膰 ruchu kt贸ra jest przetwarzana.

3. 殴r贸d艂a opo藕nienia

Op贸藕nienie Opis
Op贸藕nienie kodu Sta艂a ilo艣膰 czasu potrzebnego do skompresowania danych u 藕r贸d艂a przed przesy艂aniem do pierwszego urz膮dzenia sieciowego, zwykle prze艂膮cznika.
Op贸藕nienie pakietowania Sta艂a ilo艣膰 czasu potrzebna do enkapsulacji pakietu.
Op贸藕nienie kolejkowania Zmienna ilo艣膰 czasu, w kt贸rym ramka lub pakiet czeka na przesy艂anie na 艂aczu.
Op贸藕nienie serializacji Sta艂a ilo艣膰 czasu potrzebnego do przes艂ania ramki przez okablowanie.
Op贸藕nienie propagacji Zmienna ilo艣膰 czasu potrzebna na przej艣cie ramki mi臋dzy nadawc膮 a odbiorc膮.
Op贸藕nienie eliminacji jittera Sta艂a ilo艣膰 czasu potrzebna na zbuforowanie przep艂ywu pakiet贸w, a nast臋pnie wys艂anie ich w r贸wnych odst臋pach czasu.

4. Jitter

Zmienno艣膰 warto艣ci op贸藕nienia odebranych pakiet贸w. Z powodu przeci膮偶enia sieci, niew艂a艣ciwego kolejkowania lub b艂臋d贸w konfiguracji, op贸藕nienie mi臋dzy poszczeg贸lnymi pakietami mo偶e si臋 zmienia膰, a nie pozostawa膰 sta艂e.

5. Utracone pakiety - Przeci膮偶enie

Bez 偶adnych mechanizm贸w QoS pakiety s膮 przetwarzane w kolejno艣ci, w jakiej zosta艂y odebrane. W przypadku przeci膮偶enia urz膮dzenia sieciowe mog臋 odrzuca膰 pakiety. Oznacza to, 偶e pakiety wideo czy g艂osowe b臋d膮 odrzucane z tak膮 sam膮 cz臋stotliwo艣ci膮 jak inne (np. e-mail, http).

6. Bufor op贸藕nienia

Mechanizm kompensuj膮cy napotkany przez router jitter. Musi on burforowa膰 pakiety, a nast臋pnie odtwarza膰 je w sta艂y strumieniu. Pakiety cyfrowe s膮 p贸藕nie艅 konwertowane na analogowy strumie艅 audio.

Bufor op贸藕nienia odtwarzania kompensuje jitter

W przypadku ma艂ym strat (jak pakiet) cyfrowy procesor sygna艂owy (DSP) interpoluje d藕wi臋k i sprawia 偶e problem nie jest s艂yszalny.

7. Charakterystyka ruchu g艂osowego

Charakterystyka ruchu g艂osowego Wymagania jednokierunkowe
  • P艂ynny
  • 艁agodny
  • Wra偶liwy na przerwania
  • Wra偶liwy na op贸藕nienia
  • Priorytet UDP
  • Op贸藕nienie 鈮 150 ms
  • Jitter 鈮 30 ms
  • Strata 鈮 1% przepustowo艣ci (30 - 128 Kb/s)

8. Charakterystyka ruchu wideo

Charakterystyka ruchu wideo Wymagania jednokierunkowe
  • Gwa艂towny
  • Zach艂anny
  • Wra偶liwy na przerwania
  • Wra偶liwy na op贸藕nienia
  • Priorytet UDP
  • Op贸藕nienie 鈮 200 - 400 ms
  • Jitter 鈮 30 - 50 ms
  • Strata 鈮 0,1 - 1%
  • Przepustowo艣膰 384 Kb/s -> 20 Mb/s

9. Charakterystyka ruchu danych

Charakterystyka ruchu danych
  • P艂ynny / Gwa艂towny
  • 艁agodny / Zach艂anny
  • Wra偶liwy na przerwania
  • Wra偶liwy na op贸藕nienia
  • Retransmisje TCP

10. Czynniki, kt贸re nale偶y wzi膮膰 pod uwag臋 w przypadku op贸藕nienia danych

Parametr Krytyczne Nie krytyczne
Interaktywne Ustala priorytety dla najmniejszego op贸藕nienia w ca艂ym ruchu danych i stara si臋 uzyska膰 1 do 2 sekund czasu reakcji. Aplikacje mog艂yby skorzysta膰 na mniejszym op贸藕nieniu.
Nie interaktywne Op贸藕nienie mo偶e si臋 znacznie r贸偶ni膰, o ile zapewniona jest niezb臋dna minimalna przepustowo艣膰. Pobiera pozosta艂膮 przepustowo艣膰 po spe艂nieniu wszystkich potrzeb zwi膮zanych z obs艂ug膮 g艂osu, wideo i innych danych

11. Algorytmy QoS

Algorytmy QoS przedstawione w kursie:

12. First In First Out (FIFO)

Znana r贸wnie偶 jako 鈥瀔to pierwszy, ten lepszy鈥, bufory i pakiety przesy艂ek dalej w kolejno艣ci ich przybycia.

13. Wa偶one uczciwe kolejkowanie (Weighted Fair Queuing - WFQ)

Jest zautomatyzowan膮 metod膮 planowania, kt贸ra zapewnia uczciw膮 alokacj臋 przepustowo艣ci dla ca艂ego ruchu sieciowego. WFQ nie zezwala na konfiguracj臋 opcji klasyfikacji. WFQ stosuje priorytet lub wagi do zidentyfikowanego ruchu i klasyfikuje go do rozm贸w lub przep艂yw贸w.

WFQ nast臋pnie okre艣la, ile przepustowo艣ci ka偶dy przep艂yw jest dozwolony w stosunku do innych przep艂yw贸w. Algorytm przep艂ywowy u偶ywany przez WFQ jednocze艣nie planuje interaktywny ruch z przodu kolejki w celu skr贸cenia czasu reakcji. Nast臋pnie do艣膰 dzieli pozosta艂膮 przepustowo艣膰 w艣r贸d przep艂yw贸w o wysokiej przepustowo艣ci. Funkcja WFQ umo偶liwia nadanie niewielkiemu, interaktywnemu ruchowi, na przyk艂ad sesjom Telnet i g艂osu, pierwsze艅stwa w stosunku do du偶ego ruchu, takiego jak sesje FTP.

WFQ klasyfikuje ruch na r贸偶ne przep艂ywy w oparciu o adresowanie nag艂贸wk贸w pakiet贸w.

Ograniczenia WFQ:

14. Uczciwe kolejkowanie oparte na klasach (Class-Based Weighted Fair Queuing - CBWFQ)

Class-Based Weighted Fair Queuing (CBWFQ) rozszerza standardow膮 funkcjonalno艣膰 WFQ, aby zapewni膰 obs艂ug臋 klas ruchu zdefiniowanych przez u偶ytkownika. Za pomoc膮 CBWFQ definiujesz klasy ruchu na podstawie kryteri贸w dopasowania, w tym protoko艂贸w, list kontroli dost臋pu (ACL) i interfejs贸w wej艣ciowych.

15. Tail drop (porzucenie ogona)

Algorytm zarz膮dzania kolejk膮 polegaj膮cym na tym, 偶e router odrzuca ka偶dy pakiet docieraj膮cy na koniec kolejki kiedy ca艂kowicie wykorzysta艂 swoje zasoby przechowywania pakiet贸w. Tail drop to domy艣lna odpowied藕 kolejkowania na przeci膮偶enie, traktuje jednakowo ca艂y ruch i nie rozr贸偶nia klas us艂ug.

15. Kolejkowanie o niskim op贸藕nieniu (Low Latency Queuing - LLQ)

Funkcja kolejki o niskim op贸藕nieniu (LLQ) zapewnia 艣cis艂e kolejkowanie priorytetowe (PQ) do CBWFQ. 艢cis艂e PQ umo偶liwia wysy艂anie pakiet贸w wra偶liwych na op贸藕nienia, takich jak g艂os przed pakietami w innych kolejkach. LLQ zapewnia 艣cis艂膮 kolejk臋 priorytetow膮 dla CBWFQ, zmniejszaj膮c drgania w rozmowach g艂osowych.

Przyk艂ad LLQ

16. Modele do wdra偶ania QoS

Model Opis
Model najlepszych wysi艂k贸w (best-effort)
  • To nie jest tak naprawd臋 implementacja, poniewa偶 QoS nie jest jawnie skonfigurowana.
  • U偶yj tego, gdy jako艣膰 us艂ug nie jest wymagana.
Us艂ugi zintegrowane (IntServ)
  • IntServ zapewnia bardzo wysok膮 jako艣膰 us艂ug do pakiet贸w IP z gwarantowan膮 dostaw膮.
  • Definiuje proces sygnalizacji dla aplikacji w celu zasygnalizowania sieci, 偶e wymagaj膮 specjalnego QoS przez pewien okres i 偶e przepustowo艣膰 powinna by膰 zarezerwowana.
  • IntServ mo偶e powa偶nie ograniczy膰 skalowalno艣膰 sieci.
Us艂ugi zr贸偶nicowane (DiffServ)
  • DiffServ zapewnia wysok膮 skalowalno艣膰 i elastyczno艣膰 we wdra偶aniu QoS.
  • Urz膮dzenia sieciowe rozpoznaj膮 klasy ruchu i zapewniaj膮 r贸偶ne poziomy jako艣ci us艂ug do r贸偶nych klas ruchu.

17. Best Effort

Podstawowym za艂o偶eniem Internetu jest dostarczanie pakiet贸w z najwi臋ksz膮 staranno艣ci膮 i nie daje 偶adnych gwarancji. Podej艣cie to jest nadal dominuj膮ce w Internecie i pozostaje w艂a艣ciwe dla wi臋kszo艣ci cel贸w.

Korzy艣ci i wady modelu best-effort

Korzy艣ci i wady modelu best-effort

18. Kategorie narz臋dzi do wdra偶ania QoS

Narz臋dzia QoS Opis
Narz臋dzia do klasyfikacji i znakowania Sesje lub przep艂ywy s膮 analizowane w celu okre艣lenia, kt贸ra klasa ruchu jest do nich przydatna.
Po okre艣leniu klasy ruchu pakiety s膮 oznaczone.
Narz臋dzia do unikania zator贸w Na klasy ruchu przydzielane s膮 porcje zasob贸w sieciowych, zgodnie z zaleceniami przez badanie QoS.
Zasady QoS okre艣laj膮 r贸wnie偶, w jaki spos贸b cz臋艣膰 ruchu mo偶e by膰 selektywna upuszczona, op贸藕niona lub ponownie oznaczona, aby unikn膮膰 zator贸w.
G艂贸wnym narz臋dziem do unikania przeci膮偶enia jest WRED i s艂u偶y do regulacji ruchu danych TCP w spos贸b efektywny pod wzgl臋dem przepustowo艣ci, zanim wyst膮pi膮 spadki ogona spowodowane przepe艂nieniem kolejki.
Narz臋dzia do zarz膮dzania zatorami Gdy ruch przekracza dost臋pne zasoby sieciowe, jest umieszczany w kolejce w oczekiwaniu na dost臋pno艣膰 zasob贸w.
Wsp贸lne narz臋dzia zarz膮dzania ograniczeniami oparte na systemie Cisco IOS obejmuj膮 CBWFQ i algorytmy LLQ.

19. Sekwencja QoS

Sekwencja QoS

20. Klasyfikacja i oznaczenie

Klasyfikacja - okre艣la klas臋 ruchu, do kt贸rej nale偶膮 pakiety lub ramki.

Oznakowanie - dodawanie warto艣ci do nag艂贸wka pakiet贸w. Urz膮dzenia odbieraj膮ce pakiet sprawdzaj膮 to pole, aby zweryfikowa膰, czy jest zgodne ze zdefiniowan膮 polityk膮. Oznaczanie powinny odbywa膰 si臋 jak nabli偶ej 藕r贸d艂a. Ustanawia to granic臋 zaufania.

X. Zarz膮dzanie sieci膮

1. Wykrywanie urzadze艅 za pomoc膮 protoko艂u CDP

1.1. Wprowadzenie do CDP

CDP to zastrze偶ony protok贸艂 warstwy 2 firmy Cisco, kt贸ry zbiera informacje o urz膮dzeniach Cisco na tych samych 艂膮czach danych.

Urz膮dzenie wysy艂a okresowe og艂oszenia CDP do pod艂膮czonych urz膮dze艅, jak pokazano na rysunku.

CDP

1.2. Konfiguracja i weryfikacja CDP

1.2.1. Polecenie show cdp

Router# show cdp
Global CDP information:
      Sending CDP packets every 60 seconds
      Sending a holdtime value of 180 seconds
      Sending CDPv2 advertisements is enabled

Wy艣wietla informacje na temat CDP.

1.2.2. Polecenie cdp run

Router(config)# cdp run

W艂膮cza CDP dla wszystkich obs艂ugiwanych interfejs贸w urz膮dzenia. Jest to polecenie trybu konfiguracji globalnej. Po dodaniu s艂owa no mo偶emy wy艂膮czy膰 CDP - no cdp run.

1.2.3. Polecenie cdp enable

Switch(config)# interface gigabitethernet 0/0/1
Switch(config-if)# cdp enable

W艂膮cza CDP na konkretnym interfejsie.

1.2.4. Polecenie show cdp neighbors

Router# show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,
                  D - Remote, C - CVTA, M - Two-port Mac Relay

Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID

Total cdp entries displayed : 0

Wy艣wietla stan CDP i list臋 s膮siad贸w.

1.2.5. Polecenie show cdp interface

Router# show cdp interface
GigabitEthernet0/0/0 is administratively down, line protocol is down
  Encapsulation ARPA
  Sending CDP packets every 60 seconds
  Holdtime is 180 seconds
GigabitEthernet0/0/1 is up, line protocol is up
  Encapsulation ARPA
  Sending CDP packets every 60 seconds
  Holdtime is 180 seconds
GigabitEthernet0/0/2 is down, line protocol is down
  Encapsulation ARPA
  Sending CDP packets every 60 seconds
  Holdtime is 180 seconds
Serial0/1/0 is administratively down, line protocol is down
  Encapsulation HDLC
  Sending CDP packets every 60 seconds
  Holdtime is 180 seconds
Serial0/1/1 is administratively down, line protocol is down
  Encapsulation HDLC
  Sending CDP packets every 60 seconds
  Holdtime is 180 seconds
GigabitEthernet0 is down, line protocol is down
  Encapsulation ARPA
  Sending CDP packets every 60 seconds
  Holdtime is 180 seconds
cdp enabled interfaces : 6
interfaces up          : 1
interfaces down        : 5

Wy艣wietal interfejsy z w艂膮czonym CDP.

2. LLDP

2.1. Wprowadzenie do LLDP

Link Layer Discovery Protocol (LLDP) robi to samo co CDP, ale nie jest specyficzny dla urz膮dze艅 Cisco.

2.2. Konfigurowanie i weryfikacja LLDP

2.2.1. Polecenie lldp run

Switch(config)# lldp run

W艂膮cza LLDP globalnie na urzadzeniu.

2.2.2. Polecenie lldp transmit

Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# lldp transmit

W艂膮cza przesy艂anie pakiet贸w LLDP na interfejsie.

2.2.3. Polecenie lldp receive

Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# lldp receive

W艂膮cza odbieranie pakiet贸w LLDP na interfejsie.

2.2.4. Polecenie show lldp

Switch# show lldp
Global LLDP Information:
    Status: ACTIVE
    LLDP advertisements are sent every 30 seconds
    LLDP hold time advertised is 120 seconds
    LLDP interface reinitialisation delay is 2 seconds

Pozwala na sprawdzenie czy LLDP zosta艂 w艂aczony.

2.2.5. Polecenie show lldp neighbors

S1# show lldp neighbors detail
------------------------------------------------
Chassis id: 848a.8d44.49b0
Port id: Gi0/0/1
Port Description: GigabitEthernet0/0/1
System Name: R1
  
System Description:
Cisco IOS Software [Fuji], ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 16.9.4, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2019 by Cisco Systems, Inc.
Compiled Thu 22-Aug-19 18:09 by mcpre
  
Time remaining: 111 seconds
System Capabilities: B,R
Enabled Capabilities: R
Management Addresses - not advertised
Auto Negotiation - not supported
Physical media capabilities - not advertised
Media Attachment Unit type - not advertised
Vlan ID: - not advertised
  
------------------------------------------------
Chassis id: 0025.83e6.4b00
Port id: Fa0/1
Port Description: FastEthernet0/1
System Name: S2
  
System Description:
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 15.0(2)SE4, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2013 by Cisco Systems, Inc.
Compiled Wed 26-Jun-13 02:49 by prod_rel_team
  
Time remaining: 107 seconds
System Capabilities: B
Enabled Capabilities: B
Management Addresses - not advertised
Auto Negotiation - supported, enabled
Physical media capabilities:
    100base-TX(FD)
    100base-TX(HD)
    10base-T(FD)
    10base-T(HD)
Media Attachment Unit type: 16
Vlan ID: 1
  
Total entries displayed: 2

Wy艣wietla wykrytych s膮siad贸w.

3. NTP

3.1. Wprowadzenie do NTP

Protok贸艂 czasu sieciowego (NTP) - umo偶liwia routerom w sieci synchronizacj臋 ustawie艅 czasu z serwerem NTP. NTP korzysta z portu UDP 123 i jest udokumentowany w dokumencie RFC 1305.

3.2. Operacja NTP

Sieci NTP u偶ywaj膮 hierarchicznego systemu 藕r贸de艂 czasu. Ka偶dy poziom nazywa si臋 warstw膮 (tzw. stratum). Poziom warstwy definiuje si臋 jako liczb臋 przeskok贸w z autorytatywnego 藕r贸d艂a.

Operacja NTP

Autorytatywne 藕r贸d艂a czasu, nazywane r贸wnie偶 urz膮dzeniami warstwy 0, s膮 urz膮dzeniami do pomiaru czasu o wysokiej precyzji, kt贸re s膮 uwa偶ane zaza dok艂adne i wi膮偶膮 si臋 z niewielkim lub 偶adnym op贸藕nieniem.

3.3. Konfiguracja i weryfikacja NTP

3.3.1. Polecenie show clock detail

R1# show clock detail 
20:55:10.207 UTC Fri Nov 15 2019
Time source is user configuration

Wy艣wietla bie偶膮cy czas na urz膮dzeniu.

3.3.2. Polecenie ntp server

R1(config)# ntp server 209.165.200.225 
R1(config)# end 
R1# show clock detail 
21:01:34.563 UTC Fri Nov 15 2019
Time source is NTP

Jest to polecenie trybu konfiguracji globalnej. Konfiguruje ono urz膮dzenie o konkretnym adresie IP (np. 209.165.200.225) jako serwer NTP.

3.3.3. Polecenie show ntp associations

R1# show ntp associations   
  address         ref clock       st   when   poll reach  delay  offset   disp
*~209.165.200.225 .GPS.           1     61     64   377  0.481   7.480  4.261
* sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured

Wy艣wietla informacje z kt贸rym urz膮dzeniem jest zsynchronizowany zegar.

3.3.4. Polecenie show ntp status

S1# show ntp status
Clock is synchronized, stratum 3, reference is 192.168.1.1
nominal freq is 119.2092 Hz, actual freq is 119.2088 Hz, precision is 2**17
reference time is DA08904B.3269C655 (13:31:55.196 PST Tue Nov 15 2019)
clock offset is 18.7764 msec, root delay is 102.42 msec
root dispersion is 38.03 msec, peer dispersion is 3.74 msec
loopfilter state is 'CTRL' (Normal Controlled Loop), drift is 0.000003925 s/s
system poll interval is 128, last update was 178 sec ago.

Wy艣wietla informacje na temat NTP na urz膮dzeniu.

4. SNMP

4.1. Wprowadzenie do SNMP

SNMP - Simple Network Management Protocol - umo偶lwia administratorom zarz膮dzanie w臋z艂ami (tj. serwery, PC, router, switch鈥檈 itp.). Umo偶liwia r贸wnie偶 monitorowanie wydajno艣ci sieci, rozwi膮zywanie problem贸w i planowanie rozwoju sieci.

SNMP jest protoko艂em warstwy aplikacji (warstwy 7).

4.1.1. Elementy sk艂adowe systemu SNMP

4.2. Dzia艂anie SNMP

4.2.1. Typy 偶膮da艅

Akcje get i set s膮 wykorzystywane do wykonywania okre艣lonych operacji:

Spos贸b dzia艂ania Opis
get-request Pobiera warto艣膰 z okre艣lonej zmiennej.
get-next-request Pobiera warto艣膰 ze zmiennej w tabeli; zarz膮dca SNMP nie musi zna膰 dok艂adnej nazwy zmiennej. Wykonywane jest sekwencyjne wyszukiwanie w celu znalezienia potrzebnej zmiennej z tabeli.
get-bulk-request Pobiera du偶y blok danych, takich jak wiele wierszy w tabeli, kt贸re w innym wypadku wymaga艂y by transmisji wielu ma艂ych blok贸w danych. (Dzia艂a tylko z wersj膮 SNMPv2 lub p贸藕niejsz膮)
get-response Odpowiada na get-request, get-next-request, oraz set-request wys艂any przez NMS.
set-request Przechowuje warto艣膰 w okre艣lonej zmiennej.

Agent SNMP mo偶e odpowiada膰 na 偶膮dania mened偶era SNMP w spos贸b nast臋puj膮cy:

4.3. Pu艂apki agent贸w SNMP

Pu艂apki (traps) - komunikaty alarmowe generowane bez 偶膮dania, informuj膮ce menad偶era SNMP o stanie sieci i ewentualnych zdarzeniach.

4.4. Wersje protoko艂u SNMP

4.4.1. SNMPv1

Jest to prosty protok贸艂 zarz膮dzania sieci膮 zdefiniowany w RFC 1157. Jest to starsze rozwi膮zanie i nie jest cz臋sto spotykane w sieciach. Wykorzystuje ci膮gi spo艂eczno艣ci do uwierzytelniania.

4.4.2. SNMPv2c

Jest zdefiniowany w RFC 1901 do 1908. Wykorzystuje ci膮gi spo艂eczno艣ci do uwierzytelniania.

4.4.3. SNMPv3

Pierwotnie zdefiniowany w RFC 2273 do 2275. Zapewnia uwierzytelnianie i szyfrowanie pakiet贸w w sieci oraz obejmuj臋 nast臋puj膮ce funkcje bezpiecze艅stwa: uwierzytelnianie pochodzenia , integralno艣膰, poufno艣膰.

4.5. Ci膮gi spo艂eczno艣ci

S膮 to has艂a zapisane jawnym tekstem, kt贸re uwierzytelniaj膮 dost臋p do obiekt贸w MIB.

4.5.1. Typy ci膮g贸w spo艂eczno艣ci

4.6. ID obiektu MIB

Baza MIB identyfikuje ka偶d膮 zmienn膮 za pomoc膮 unikalnego identfykatora obiektu (OID). Baza MIB organizuje obiekty OID w spos贸b hierarchiczny, zazwyczaj w postaci drzewa, bazuj膮c na standardach RFC.

5. Syslog

5.1. Wprowadzenie do syslog

Protok贸艂 Syslog jest najpopularniejsz膮 metod膮 uzyskiwania dost臋pu do komunikat贸w systemowych. U偶ywa portu UDP 514 do wysy艂ania powiadomie艅 o zdarzeniach przez sieci IP do modu艂贸w zbieraj膮cych komunikaty o zdarzeniach.

Us艂uga rejestrowania syslog zapewnia trzy podstawowe funkcje, jak nast臋puje:

5.2. Dzia艂anie us艂ugi syslog

Na urz膮dzeniach Cisco syslog rozpoczyna si臋 od wys艂ania komunikat贸w systemowych i danych wyj艣ciowych debug od lokalnego procesu rejestrowania, kt贸ry jest wewn臋trzny dla urz膮dzenia. O tym w jaki spos贸b proces logowania zarz膮dza tymi komunikatami i wynikami, decyduje konfiguracja urz膮dzenia. Dane mog膮 by膰 wysy艂ane do np.: - Bufora rejestrowania (pami臋膰 RAM routera lub prze艂膮cznika) - Konsoli - Terminala - Serwera syslog

5.3. Format komunikatu syslog

Ka偶dy komunikat syslog posiada obiekt, kt贸rego dotyczy oraz poziom wa偶no艣ci. Im mniejszy numer poziomu wa偶no艣ci, tym wi臋ksze znaczenie krytyczne ma dany komunikat alarmowy.

5.3.1. Pe艂na lista poziom贸w syslog

Nazwa wa偶no艣ci Poziom wa偶no艣ci Wyja艣nienie
Nag艂a sytuacja Poziom 0 System nie nadaje si臋 do u偶ytku
Alarm Poziom 1 Potrzebne natychmiastowe dzia艂anie
Krytyczne Poziom 2 Stan krytyczny
B艂膮d Poziom 3 Stan b艂臋du
Ostrze偶enie Poziom 4 Stan ostrzegawczy
Powiadomienie Poziom 5 Stan normalny, ale istotny
Informacyjny Poziom 6 Komunikat informacyjny
Debugowanie Poziom 7 Komunikat debug

5.4. Obiekty syslog

Opr贸cz poziomu wa偶no艣ci komunikaty syslog posiadaj膮 r贸wnie偶 obiekt, kt贸rego dotycz膮. Obiekt syslog to identyfikator us艂ugi, pozwalaj膮cy zidentyfikowa膰 i skateryzowa膰 dane na temat stanu systemu na potrzeby raportowania b艂臋d贸w i zdarze艅.

Typowe obiekty syslog na urz膮dzeniach z Cisco IOS: - IP - protok贸艂 OPSF - system operacyjny (SYS) - zabezpieczenia na poziomie IP (IPSec) - interfejs IP (IF)

5.5. Konfiguracja znacznika czasu syslog

R1# configure terminal
R1(config)# interface g0/0/0
R1(config-if)# shutdown
%LINK-5-CHANGED: Interface GigabitEthernet0/0/0, changed state to administratively down
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/0, changed state to down

Domy艣lnie wiadomo艣膰 wiadomo艣ci dziennika nie s膮 oznaczone znacznikiem czasu. Aby to zmieni膰 u偶ywamy polecenia service timestamps log datetime.

6. Konserwacja plik贸w routera i prze艂膮cznika

6.1. Polecenia zarz膮dzania systemem plik贸w w CiscoIOS

6.1.1. Polecenie show files systems

Router# show file systems
File Systems:
      Size(b)       Free(b)      Type  Flags  Prefixes
            -             -    opaque     rw   system:
            -             -    opaque     rw   tmpsys:
*   7194652672    6294822912      disk     rw   bootflash: flash:#
    256589824     256573440      disk     rw   usb0:
    1804468224    1723789312      disk     ro   webui:
            -             -    opaque     rw   null:
            -             -    opaque     ro   tar:
            -             -   network     rw   tftp:
            -             -    opaque     wo   syslog:
      33554432      33539983     nvram     rw   nvram:
            -             -   network     rw   rcp:
            -             -   network     rw   ftp:
            -             -   network     rw   http:
            -             -   network     rw   scp:
            -             -   network     rw   sftp:
            -             -   network     rw   https:
            -             -    opaque     ro   cns:
Router#

Wy艣wietla list臋 wszystkich dost臋pnych system贸w plik贸w.

6.1.2. Polecenie dir

Router# dir
Directory of bootflash:/
  11  drwx            16384   Aug 2 2019 04:15:13 +00:00  lost+found
370945  drwx             4096   Oct 3 2019 15:12:10 +00:00  .installer
338689  drwx             4096   Aug 2 2019 04:15:55 +00:00  .ssh
217729  drwx             4096   Aug 2 2019 04:17:59 +00:00  core
379009  drwx             4096  Sep 26 2019 15:54:10 +00:00  .prst_sync
80641  drwx             4096   Aug 2 2019 04:16:09 +00:00  .rollback_timer
161281  drwx             4096   Aug 2 2019 04:16:11 +00:00  gs_script
112897  drwx           102400   Oct 3 2019 15:23:07 +00:00  tracelogs
362881  drwx             4096  Aug 23 2019 17:19:54 +00:00  .dbpersist
298369  drwx             4096   Aug 2 2019 04:16:41 +00:00  virtual-instance
  12  -rw-               30   Oct 3 2019 15:14:11 +00:00  throughput_monitor_params
8065  drwx             4096   Aug 2 2019 04:17:55 +00:00  onep
  13  -rw-               34   Oct 3 2019 15:19:30 +00:00  pnp-tech-time
249985  drwx             4096  Aug 20 2019 17:40:11 +00:00  Archives
  14  -rw-            65037   Oct 3 2019 15:19:42 +00:00  pnp-tech-discovery-summary
  17  -rw-          5032908  Sep 19 2019 14:16:23 +00:00  isr4200_4300_rommon_1612_1r_SPA.pkg
  18  -rw-        517153193  Sep 21 2019 04:24:04 +00:00  isr4200-universalk9_ias.16.09.04.SPA.bin
7194652672 bytes total (6294822912 bytes free)
Router#

Wy艣wietla zawarto艣膰 katalogu.

6.1.3. Polecenie cd

Zmienia aktualny katalog

6.1.4. Polecenie pwd

Wy艣wietla obecn膮 艣cie偶k臋.

7. Zarz膮dzanie obrazami IOS

7.1. Kopiowanie obrazu IOS na serwer TFTP

    R1# copy flash: tftp: 
    Source filename []? isr4200-universalk9_ias.16.09.04.SPA.bin
    Address or name of remote host []? 172.16.1.100
    Destination filename [isr4200-universalk9_ias.16.09.04.SPA.bin]? 
    Writing isr4200-universalk9_ias.16.09.04.SPA.bin...
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
    (output omitted)
    517153193 bytes copied in 863.468 secs (269058 bytes/sec)

7.2. Polecenie rozruchu systemu

    R1# configure terminal
    R1(config)# boot system flash0:isr4200-universalk9_ias.16.09.04.SPA.bin
    R1(config)# exit
    R1#
    R1# copy running-config startup-config
    R1#
    R1# reload
    Proceed with reload? [confirm] 

    *Mar  1 12:46:23.808: %SYS-5-RELOAD: Reload requested by console. Reload Reason: Reload Command.

Aby za艂adowa膰 nowy obraz podczas uruchamiania nale偶y u偶y膰 polecenia konfiguracji globalnej boot system.

XI. Projektowanie sieci

1. Sieci hierarchiczne

1.1. Funkcje warstwy dost臋pu, dystrubucji i szkieletowej

Przyk艂adow sieci tr贸jwarstwowych

1.1.1. Warstwa dost臋pu

Reprezentuje brzeg sieci, w kt贸rym ruch wychodzi lub wchodzi do sieci. Prze艂膮czniki warstwy dostepu zapewniaj膮 u偶ytkownikowi dost臋p do sieci, 艂膮cza si臋 z prze艂膮cznikami warstwy dystrybucji.

1.1.2. Warstwa dystrubcji

艁膮czy warstw臋 dost臋pu i warstw臋 rdzeniow膮. Integruje si臋 ze szkieletem i u偶ytkownikami, zapewniaj膮c inteligentne prze艂膮czanie, routing i bezpiecze艅stwo.

1.1.3. Warstwa szkieletowa

Warstwa ta stanowi szkiele sieci. S艂u偶y jako agregatora dla wszystkich urz膮dze艅 warstwy dystrybucji i 艂膮czy kampus z reszt膮 sieci. Zapewnia izolacj臋 b艂臋d贸w i szybk膮 艂膮czno艣膰 w sieci szkieletowej.

1.2. Nieograniczone sieci prze艂膮czane

Cisco Borderless Network to architektura sieciowa, kt贸ra zapewnia organizacjom obs艂ug臋 sieci bez granic, zapewnia struktur臋 do ujednolicenia dost臋pu przewodowego i bezprzewodowego.

1.3. Hierarchia w nieograniczonych sieciach prze艂膮czanych

Budowa nieograniczonych sieci prze艂膮cznych jest oparta na nast臋puj膮cych zasadach:

2. Sieci skalowalne

2.1. Zalecenie zawarte w strategii projektowania sieci, kt贸ra koncentruje si臋 na skalowalno艣ci:

2.2. Cechy przy wdro偶eniu skalowalnej sieci

3. Komponenty sprz臋towe prze艂膮cznika

Kwestia Opis
Koszt Koszt prze艂膮cznika zale偶y od liczby i pr臋dko艣ci interfejs贸w, obs艂ugiwanych funkcji i mo偶liwo艣ci rozbudowy.
G臋sto艣膰 port贸w Prze艂膮czniki sieciowe musz膮 obs艂u偶y膰 odpowiedni膮 liczb臋 urz膮dze艅 w sieci.
Zasilanie Jest teraz powszechne w przypadku punkt贸w dost臋pu, telefon贸w IP i kompaktowych prze艂膮cznik贸w Power over Ethernet (PoE). Opr贸cz rozwa偶a艅 PoE, niekt贸re prze艂膮czniki montowane w obudowie obs艂uguj膮 nadmiarowe zasilacze.
Niezawodno艣膰 Prze艂膮cznik powinien zapewnia膰 ci膮g艂y dost臋p do sieci.
Szybko艣膰 port贸w Szybko艣膰 po艂膮czenia sieciowego ma podstawowe znaczenie dla u偶ytkownik贸w ko艅cowych.
Bufory ramek Zdolno艣膰 prze艂膮cznika do przechowywania ramek jest wa偶na w sieci gdzie mog膮 wyst臋powa膰 zat艂oczone porty do serwer贸w lub innych obszar贸w sieci.
Skalowalno艣膰 Liczba u偶ytkownik贸w w sieci zazwyczaj ro艣nie w czasie; w zwi膮zku z tym prze艂膮cznik powinien zapewni膰 mo偶liwo艣膰 wzrostu.

4. Komponenty sprz臋towe routingu

4.1. Routery Cisco

XII. Rozwi膮zywanie problem贸w z sieciami

1. Dokumentacja sieci

1.1. Przegl膮d dokumentacji

Dokumentacja sieciowa obejmuje nast臋puj膮ce elmementy:

1.2. Schematy topologii sieci

1.2.1. Topologia fizyczna

Przedstawia fizyczny uk艂ad urz膮dze艅 pod艂膮czonych do sieci. Aby rozwi膮za膰 problem z warstw膮 fizyczn膮 musisz wiedzie膰 jak urz膮dzenia s膮 fizycznie po艂膮czone.

Informacje zapisane w topologii fizycznej zazwyczaj obejmuj膮:

Przyk艂adowy diagram topologii fizycznej

1.2.2. Topologia logiczna IPv4

Ilustruje w jaki spos贸b urz膮dzenia s膮 logicznie po艂膮czone z sieci膮.

Informacje zapisane w logicznej topologii sieci mog膮 obejmowa膰:

Przyk艂adowy diagram topologii logicznej

1.2.3. Topologia logiczna IPv6

Adresy IPv6 mog膮 by膰 w tej samej logicznej topologii IPv4.

Przyk艂adowy diagram topologii logicznej IPv6

1.3. Dokumentacja urz膮dze艅 sieciowych

Dokumentacja urz膮dze艅 sieciowych powinna zawiera膰 dok艂adne i aktualne zapisy sprz臋tu sieciowego i oprogramowania. Dokumentacja powinna zawiera膰 wszystkie istotne informacje o urz膮dzeniach sieciowych.

Przyk艂膮dowa dokumentacja routera

1.4. Wyznaczanie stanu odniesienia sieci

Stan odniesienia s艂u偶y do ustalenia normalnej wydajno艣ci sieci lub systemu w celu okre艣lenia 鈥渙sobowo艣ci鈥 sieci w normalnych warunkach.

Stan odniesienia sieci powinien odpowiada膰 na nast臋puj膮ce pytania:

1.4.1. Krok 1 - Okre艣l, jakie typy danych nale偶y gromadzi膰

Wybierz klika zmiennych, kt贸re reprezentuj膮 wybrane zasady. Zacznij od mniejszej ilo艣ci i dok艂aadaj w trakcie. Jedne z dobrych zmiennych to wykorzystanie interfejsu, procesora.

1.4.2. Krok 2 - Zidentyfikuj interesuj膮ce urz膮dzenia i porty

Interesuj膮ce urz膮dzenia i porty obejmuj膮:

Do tego zadania przydatna mo偶e by膰 topologia logiczna.

1.4.3. Krok 3 - Okre艣l podstawowy czas stanu

Przedzia艂 czasu, w kt贸rych przechwytujemy dane do analizy powinien wynosi膰 co namniej 7 dni.

1.5. Pomiar danych

Cz臋sto warto konieczne jest zbieranie informacji bezpo艣rednio od router贸w i prze艂膮cznik贸w. Oczywiste polecenia to ping, traceroute i telnet oraz polecenia show w Cisco IOS.

Lista polece艅 w Cisco IOS u偶ywanych do gromadzenia danych:

Polecenie Opis
show version Wy艣wietla czas pracy, informacje o wersji oprogramowania urz膮dzenia i sprz臋tu.
show ip interface [brief] show ipv6 interface [brief] Wy艣wietla wszystkie opcje konfiguracyjne ustawione w interfejsie. U偶yj s艂owa kluczowego brief, aby wy艣wietli膰 tylko stan up/down stan interfejs贸w IP i adres IP ka偶dego interfejsu.
show interfaces Wy艣wietla szczeg贸艂owe dane wyj艣ciowe dla ka偶dego interfejsu. Aby wy艣wietli膰 szczeg贸艂owe dane wyj艣ciowe tylko dla jednego interfejsu, nale偶y uwzgl臋dni膰 typ i numer interfejsu w poleceniu (np. Gigabit Ethernet 0/0/0).
show ip route show ipv6 route Wy艣wietla list臋 zawarto艣ci tabeli routingu bezpo艣rednio po艂膮czon膮 sieci i wyuczone sieci zdalne. Do艂膮cz static, eigrp lub ospf , aby wy艣wietli膰 tylko te trasy.
show cdp neighbors detail Wy艣wietla szczeg贸艂owe informacje o bezpo艣rednio pod艂膮czonym urz膮dzeniu s膮siaduj膮cym Cisco.
show arp show ipv6 neighbors Wy艣wietla zawarto艣膰 tabeli ARP (IPv4) i tabeli s膮siad贸w (IPv6).
show running-config Wy艣wietla aktualn膮 konfiguracj臋.
show vlan Wy艣wietla stan sieci VLAN na prze艂膮czniku.
show port Wy艣wietla stan port贸w na prze艂膮czniku.
show tech-support To polecenie jest przydatne do zbierania du偶ej ilo艣ci informacji o urz膮dzeniu w celu rozwi膮zywania problem贸w. Wykonuje wiele polece艅 show, kt贸re mog膮 by膰 dostarczone do przedstawicieli wsparcia technicznego przy zg艂aszaniu problemu

2. Rozwi膮zywanie problem贸w z sieciami

2.1. Siedmiostopniowy proces rozwi膮zywania problem贸w

Diagram przedstawiaj膮cy proces rozwi膮zywania problem贸w

Opis krok贸w procesu:

2.2. Przepytywanie u偶ytkownik贸w ko艅cowych

Wskaz贸wki Przyk艂adowe pytania otwarte dla u偶ytkownik贸w ko艅cowych
Zadaj istotne pytania. Co nie dzia艂a? W czym dok艂adnie jest problem? Co pr贸bujesz osi膮gn膮膰?
Ustalanie zakresu problemu. Na kogo ten problem wp艂ywa? Czy to tylko ty czy inni? Na jakim urz膮dzeniu to si臋 dzieje?
Okre艣l, kiedy wyst膮pi艂 problem/wyst臋puje. Kiedy dok艂adnie problem wyst膮pi艂? Kiedy problem by艂 zaobserwowany pierwszy raz? Czy by艂y wy艣wietlane jakie艣 komunikaty o b艂臋dzie?
Ustal, czy problem jest sta艂y lub przerywany. Czy m贸g艂by艣 odtworzy膰 problem? Mo偶esz wys艂a膰 mi zrzut ekranu lub wideo problemu?
Ustal, czy co艣 si臋 zmieni艂o. Co si臋 zmieni艂o od ostatniego razu gdy urz膮dzenie pracowa艂o poprawnie?
U偶yj pyta艅, aby wyeliminowa膰 lub odkry膰 mo偶liwe problemy. Co dzia艂a? Co nie dzia艂a?
show running-config Wy艣wietla aktualn膮 konfiguracj臋.
show vlan Wy艣wietla stan sieci VLAN na prze艂膮czniku.
show port Wy艣wietla stan port贸w na prze艂膮czniku.
show tech-support To polecenie jest przydatne do zbierania du偶ej ilo艣ci informacji o urz膮dzeniu w celu rozwi膮zywania problem贸w. Wykonuje wiele polece艅 show, kt贸re mog膮 by膰 dostarczone do przedstawicieli wsparcia technicznego przy zg艂aszaniu problemu

2.3. Zbieranie informacji

U偶yj polece艅 CiscoIOS i innych narz臋dzi tj. przechywytywanie pakiet贸w i dzienniki urz膮dze艅.

2.4. Rozwi膮zywanie problem贸w za pomoc膮 modeli warstwowych

Modele OSI i TCP / IP mo偶na zastosowa膰 do izolowania problem贸w z sieci膮 podczas rozwi膮zywania problem贸w.

Niekt贸re typowe urz膮dzenia i warstwy OSI

Zauwa偶, 偶e routery oraz prze艂膮czniki wielowarstwowe przydzielone zosta艂y do warstwy 4 - transportowej. Mimo, 偶e zazwyczaj urz膮dzenia te podejmuj膮 decyzje w warstwie 3, mo偶na na nich u偶ywa膰 list kontroli dost臋pu ACL, kt贸re podejmuj膮 decyzje bazuj膮c na informacjach z warstwy 4.

2.5. Strukturalne metody rozwi膮zywania problem贸w

2.5.1. Od do艂u

Od warstwy fizycznej do warstwy aplikacji modelu OSI. Jest dobry podej艣ciem kiedy problem prawdopodobnie znajduje si臋 w warstwie fizycznej.

2.5.2. Od g贸ry

Od warstwy aplikacji do warstwy fizycznej modelu OSI. Podej艣cia tego u偶ywamy w przypadku prostszych problem贸w lub kiedy problem prawdopodobnie le偶y po stronie oprogramowania.

2.5.3. Dziel i rz膮d藕

Administrator wybiera najpierw jedn膮 z warstw po艣rednich i przeprowadza testy w obu kierunkach poczynaj膮c od tej warstwy. Wyb贸r warstwy opieramy na informacji zebranych od u偶ytkownik贸w. Gdy wybrana warstwa dzia艂a prawid艂owo mo偶na za艂o偶y膰, 偶e wszystkie warstwy pod r贸wnie偶 funkcjonuj膮.

2.5.4. Pod膮偶anie 艣cie偶k膮

Jest to jedna z najbardziej podstawowych technik rozwi膮zywania problem贸w. Technik odkrywa 艣cie偶k臋 ruchu od 藕r贸d艂a do miejsca docelowego.

2.5.5. Podmiana

Zamiana problematycznych urz膮dze艅 na dzia艂aj膮ce. Je艣li problem zosta艂 rozwi膮zany, oznacza to, 偶e problem dotyczy usuni臋tego urz膮dzenia. W przeciwnym razie przyczyna mo偶e le偶e膰 gdzie艣 indziej.

2.5.6. Por贸wnanie (wykrywaj r贸偶nice)

Technik pr贸buje rozwi膮za膰 problem poprzez zmian臋 element贸w nieoperacyjnych tak, aby by艂y zgodne z dzia艂aj膮cymi. Por贸wnujesz konfiguracje, wersje oprogramowania, sprz臋t lub inne w艂a艣ciwo艣ci urz膮dze艅, 艂膮cza lub procesy mi臋dzy sytuacjami dzia艂aj膮cymi i niedzia艂aj膮cymi i dostrzegasz znacz膮ce r贸偶nice mi臋dzy nimi. Wad膮 tej metody jest to, 偶e mo偶e ona prowadzi膰 do dzia艂aj膮cego rozwi膮zania bez wyra藕nego ujawnienia pierwotnej przyczyny problemu.

2.5.7. Zgadywanie na podstawie do艣wiadczenia (strzelanie z biodra)

Wykorzystuje oparte na wiedzy przypuszczenia na postawie objaw贸w problemu.

3. Narz臋dzia rozwi膮zywania problem贸w

3.1. Programowe narz臋dzie do rozwi膮zywania problem贸w

3.2. Analizator protoko艂u

Bada zawarto艣膰 pakietu podczas przep艂ywu przez sie膰. Przyk艂adem takiego programu jest Wireshark.

3.3. Sprz臋towe narz臋dzia do rozwi膮zywania problem贸w

3.4. Serwer Syslog jako narz臋dzie do rozwi膮zywania problem贸w

Syslog pozwala na wysy艂anie tekstowych komunikat贸w do syslog server.

Urz膮dzenia Cisco mog臋 rejestrowa膰 m.in. dane dotycz膮ce:

Komunikaty zdarze艅 mog臋 by膰 wysy艂ane na urz膮dzenia tj.:

Komunikaty dziennika Cisco IOS dziela si臋 na jeden z o艣miu poziom贸w:

Poziom S艂owa kluczowe Opis Definicja
0 Awarie System jest bezu偶yteczny LOG_EMERG
1 Alarmy Potrzebne jest natychmiastowe dzia艂anie LOG_ALERT
2 Krytyczne Wyst膮pi艂 stan krytyczny LOG_CRIT
3 B艂臋dy Wyst膮pi艂 stan b艂臋du LOG_ERR
4 Ostrze偶enia Wyst膮pi艂 stan ostrzegawczy LOG_WARNING
5 Powiadomienia Stan normalny (ale znacz膮cy) LOG_NOTICE
6 Informacje Tylko komunikaty informacyjne LOG_INFO
7 Debugowanie Komunikaty debugera LOG_DEBUG

4. Objawy i przyczyny problem贸w z sieci膮

4.1. Warstwa fizyczna

4.1.1. Objawy

Objaw Opis
Wydajno艣膰 poni偶ej poziomu odniesienia Do por贸wnania wymagane s膮 poprzednie poziomy odniesienia. Najcz臋stsze przyczyny powolnej lub s艂abej wydajno艣ci to przeci膮偶one lub niedostatecznie zasilane serwery, nieodpowiedni prze艂膮cznik lub router konfiguracje, przeci膮偶enie ruchu na 艂膮czu o niskiej przepustowo艣ci, oraz chroniczna utrata klatek.
Utrata 艂膮czno艣ci Utrata 艂膮czno艣ci mo偶e by膰 spowodowana niepowodzeniem lub od艂膮czonym kablem. Mo偶na zweryfikowa膰 za pomoc膮 prostego testu ping. Okresowa utrata 艂膮czno艣ci mo偶e wskazywa膰 na lu藕ne lub utlenione po艂膮czenie.
Zatory lub przeci膮偶enia w sieci Je艣li router, interfejs lub kabel nie powiedzie si臋, protoko艂y routingu mog膮 przekierowa膰 ruch na inne trasy, kt贸re nie s膮 przeznaczone do przewozu dodatkowej pojemno艣ci. Mo偶e to spowodowa膰 zatory lub w膮skie gard艂a w niekt贸rych cz臋艣ciach sieci.
Wysokie wykorzystanie procesora Wysokie wska藕niki wykorzystania procesora s膮 objawem, 偶e urz膮dzenie, takie jak router, prze艂膮cznik lub serwer, dzia艂a na lub przekracza jego konstrukcyjne limity. Je艣li nie zostanie szybko rozwi膮zany, przeci膮偶enie procesora mo偶e spowodowa膰 wy艂膮czenie urz膮dzenia lub zawieszenie.
Komunikat o b艂臋dzie konsoli Komunikaty o b艂臋dach zg艂aszane na konsoli urz膮dzenia mog膮 wskazywa膰 na problem z warstw膮 fizyczn膮. Komunikaty konsoli powinny by膰 rejestrowane na centralnym serwerze syslog.

4.1.2. Przyczyny

Przyczyna problemu Opis
Problemy z zasilaniem To jest najbardziej podstawowa przyczyna awarii sieci. Sprawd藕 dzia艂anie wentylator贸w i upewnij si臋, 偶e otwory wlotowe i wylotowe s膮 czyste. Je艣li inne pobliskie jednostki r贸wnie偶 wy艂膮czy艂y si臋, podejrzewaj awari臋 g艂贸wnego 藕r贸d艂a zasilania.
Usterki sprz臋towe Uszkodzone karty interfejsu sieciowego (NIC) mog膮 by膰 przyczyn膮 sieci b艂臋dy transmisji wynikaj膮ce z p贸藕nych kolizji, kr贸tkich klatek, oraz jabber. Jabber jest cz臋sto definiowany jako stan, w kt贸rym urz膮dzenie sieciowe nieustannie przesy艂a do sieci losowe, pozbawione znaczenia dane. Inne prawdopodobne przyczyny jabber to wadliwy lub uszkodzony sterownik karty sieciowej pliki, z艂e okablowanie lub problemy z uziemieniem.
B艂臋dy okablowania Wiele problem贸w mo偶na rozwi膮za膰, po prostu ponownie pod艂膮czaj膮c posiadane kable zostan膮 cz臋艣ciowo od艂膮czone. Podczas kontroli fizycznej szukaj uszkodzonych kabli, niew艂a艣ciwe typy kabli i s艂abo zaci艣ni臋te z艂膮cza RJ-45. Podejrzane kable nale偶y przetestowa膰 lub wymieni膰 na znany dzia艂aj膮cy kabel.
T艂umienie T艂umienie mo偶e by膰 spowodowane, je艣li d艂ugo艣膰 kabla przekracza limit projektowy dla medi贸w lub gdy istnieje s艂abe po艂膮czenie wynikaj膮ce z lu藕nego kabla lub brudnych lub utlenionych kontakt贸w. Je艣li t艂umienie jest powa偶ne, urz膮dzenie odbiorcze nie zawsze pomy艣lnie odr贸偶nijeden bit w strumieniu danych od drugiego bitu.
Ha艂as Lokalne zak艂贸cenia elektromagnetyczne (EMI) s膮 powszechnie znane jako szum. Ha艂as mo偶e by膰 generowany przez wiele 藕r贸de艂, takich jak stacje radiowe FM, radio policyjne, ochrona budynku i awionika dla zautomatyzowanego l膮dowania, przes艂uch (szum wywo艂ywany przez inne kable na tej samej 艣cie偶ce lub przyleg艂ych kabli), w pobli偶u kabli elektrycznych, urz膮dze艅 z du偶ymi silnikami elektrycznymi, lub cokolwiek, co zawiera nadajnik bardziej pot臋偶ny ni偶 telefon kom贸rkowy.
B艂臋dy konfiguracji interfejsu Wiele rzeczy mo偶e by膰 b艂臋dnie skonfigurowanych na interfejsie, aby spowodowa膰 jego przej艣cie w d贸艂, takie jak nieprawid艂owa cz臋stotliwo艣膰 zegara, nieprawid艂owe 藕r贸d艂o zegara, oraz interfejs nie jest w艂膮czony. Czynniki te sprawiaj膮, 偶e 艂膮czno艣膰 z pod艂膮czonymi segmentami sieci zostaje utracona.
Przekroczenie limit贸w projektowych Komponent mo偶e dzia艂a膰 sub-optymalnie na warstwie fizycznej poniewa偶 jest u偶ywany poza specyfikacjami lub skonfigurowan膮 wydajno艣ci膮. Podczas rozwi膮zywania tego typu problem贸w staje si臋 oczywiste, 偶e zasoby dla urz膮dzenia dzia艂aj膮 na poziomie lub w pobli偶u maksimum wydajno艣ci i tworzy si臋 wzrost liczby b艂臋d贸w interfejsu.
Przeci膮偶enie CPU Objawy obejmuj膮 procesy o wysokich procentach wykorzystania procesora, spadki kolejki wej艣ciowej, niska wydajno艣膰, limity czasu SNMP, brak zdalnego dost臋pu lub us艂ugi takie jak DHCP, Telnet i ping s膮 powolne lub nie powodz膮 si臋 . Na prze艂膮czniku mog膮 wyst膮pi膰 nast臋puj膮ce: rekonwergencja spanning-tree. Linki EtherChannel odbijaj膮 si臋, migaj膮 UDLD, awarie IP SLA. W przypadku router贸w mo偶e nie by膰 偶adnych aktualizacji routingu, problemy z trasami lub problemy z HSRP . Jedn膮 z przyczyn przeci膮偶enia procesora w routerze lub prze艂膮czniku jest wysoki ruch sieciowy. Je艣li jeden lub wi臋cej interfejs贸w jest regularnie przeci膮偶ony ruchem ruchowym, rozwa偶y膰 przeprojektowanie przep艂ywu ruchu w sieci lub modernizacj臋 sprz臋tu.

4.2. Warstwa 艂膮cza danych

4.2.1. Objawy

Objaw Opis
Nieprawid艂owe funkcjonowanie lub brak 艂膮czno艣ci w warstwie sieci lub wy偶szej Niekt贸re problemy warstwy 2 mog膮 zatrzyma膰 wymian臋 klatek przez link, podczas gdy inne powoduj膮 pogorszenie wydajno艣ci sieci.
Wydajno艣膰 sieci poni偶ej poziom贸w odniesienia Istniej膮 dwa r贸偶ne typy nieoptymalnych operacji w warstwie 2 mog膮ce wyst膮pi膰 w sieci. Po pierwsze, ramki pod膮偶aj膮 nieoptymaln膮 艣cie偶k膮 do miejsca docelowego, ale jednak docieraj膮, powoduj膮c, 偶e sie膰 do艣wiadcza nieoczekiwanej wysokiej przepustowo艣ci na po艂膮czeniach. Po drugie, niekt贸re ramki s膮 upuszczane jako identyfikowane przez licznik b艂臋d贸w statystyki i komunikaty o b艂臋dach konsoli, kt贸re pojawiaj膮 si臋 na prze艂膮czniku lub routerze. Rozszerzony lub ci膮g艂y ping mo偶e pom贸c ujawni膰, czy ramki s膮 porzucone.
Nadmierne rozg艂oszenia Systemy operacyjne intensywnie u偶ywaj膮 emisji i multiemisji do odkrycia us艂ug sieciowych i innych host贸w. Og贸lnie rzecz bior膮c, nadmierne audycje s膮 wynikiem s艂abo zaprogramowanych lub skonfigurowanych aplikacji, du偶a transmisja domeny rozg艂oszeniowej warstwy 2 lub problem z sieci膮 (np. p臋tle STP lub problemy z trasami).
Komunikaty konsoli Router rozpoznaje, 偶e wyst膮pi艂 problem warstwy 2 i wysy艂a komunikaty ostrzegawcze do konsoli. Zazwyczaj router robi to, gdy wykryje problem z interpretacjn膮 przychodz膮cych ramek (problemy z enkapsulowaniem lub nag艂owkami) lub kiedy oczekiwane s膮 wiadomo艣ci keepalive, ale 偶adne nie przybywaj膮. Najcz臋stszym komunikatem konsoli wskazuj膮cym na problem w warstwie 2 jest komunikat o awarii protoko艂u linii

4.2.2. Przyczyny

Przyczyna problemu Opis
B艂臋dy enkapsulacji Bity umieszczone w polu przez nadawc臋 nie jest tym, co odbiorca spodziewa si臋 zobaczy膰. Warunek ten wyst臋puje, gdy enkapsulacja na jednym ko艅cu sieci WAN jest konfigurowana inaczej ni偶 enkapsulacja u偶ywana na drugim ko艅cu.
B艂臋dy mapowania adresu W 艣rodowisku dynamicznym mapowanie informacji warstwy 2 i warstwy 3 mo偶e si臋 nie powie艣膰, poniewa偶 urz膮dzenia mog艂y by膰 specjalnie skonfigurowane do nieodpowiadania na 偶膮dania ARP, warstwy 2 lub warstwy 3 informacje, kt贸re s膮 buforowane, mog艂y zosta膰 fizycznie zmienione lub nieprawid艂owe odpowiedzi ARP s膮 odbierane z powodu niepoprawnej konfiguracji lub atak贸w na zabezpieczenia.
B艂臋dy ramek B艂膮d ramki wyst臋puje, gdy ramka nie ko艅czy si臋 na granicy 8-bitowego bajtu. W takim przypadku odbiornik mo偶e mie膰 problemy z okre艣leniem, gdzie ko艅czy si臋 jedna ramka, a inna ramka zaczyna. Zbyt wiele nieprawid艂owych ramek mo偶e uniemo偶liwi膰 prawid艂ow膮 wymian臋 wiadomo艣ci typu keepalive. B艂臋dy w ramkowaniu mog膮 by膰 spowodowane szumami linii szeregowej, nieprawid艂owo zaprojektowanym kablem.
B艂臋dy i p臋tle STP Trzepoczenie portu (oscyluje mi臋dzy stanem w g贸r臋 i w d贸艂 ), powoduje powtarzaj膮ce si臋 zmiany topologiczne i zalewanie, lub powoln膮 konwergencj臋 STP lub ponowna konwergencj臋. Mo偶e to by膰 spowodowane niedopasowaniem mi臋dzy rzeczywistymi a udokumentowanymi topologiami, b艂edem konfiguracji, takim jak niesp贸jna konfiguracja STP, przeci膮偶ony prze艂膮cznik CPU podczas konwergencji lub defekt oprogramowania.

4.3. Warstwa sieci

4.3.1. Objawy

Objaw Opis
Awaria sieci Awaria sieci wyst臋puje, gdy sie膰 jest prawie lub ca艂kowicie niefunkcjonalna, wp艂ywaj膮cy na wszystkich u偶ytkownik贸w i aplikacje w sieci. Te awarie s膮 zwykle zauwa偶ane szybko przez u偶ytkownik贸w i sie膰 administrator贸w i s膮 oczywi艣cie krytyczne dla produktywno艣ci firmy.
Nieoptymalna wydajno艣膰 Problemy z optymalizacj膮 sieci zwykle obejmuj膮 podzbi贸r u偶ytkownik贸w, aplikacji, miejsc docelowych lub typu ruchu. Problemy z optymalizacj膮 mog膮 by膰 trudne do wykrycia, a nawet trudniejsze do izolowania i diagnozy. Dzieje si臋 tak, poniewa偶 zwykle obejmuj膮 wiele warstw, lub nawet pojedynczy komputer hosta. Ustalenie, 偶e problem dotyczy warstwy sieciowej, mo偶e zaj膮膰 du偶o czasu.

4.3.2. Przyczyny

Przyczyna problemu Opis
Og贸lne problemy z sieci膮 Cz臋sto zmiana topologii, taka jak link w d贸艂, mo偶e mie膰 wp艂yw na inne obszary sieci, kt贸re mog膮 nie by膰 oczywiste w w danym czasie. Mo偶e to obejmowa膰 instalacj臋 nowych tras statycznych lub dynamicznych, lub usuni臋cie innych tras. Okre艣l, czy cokolwiek w sieci ostatnio si臋 zmieni艂o, i je艣li kto艣 pracuje obecnie nad infrastruktur膮 sieciow膮.
Problemy z 艂膮czno艣ci膮 Sprawd藕, czy wyst臋puj膮 problemy zwi膮zane z urz膮dzeniami i 艂膮czno艣ci膮, w tym z zasilaniem problemy, takie jak przestoje i problemy 艣rodowiskowe (na przyk艂ad, przegrzanie). Sprawd藕 r贸wnie偶 problemy z warstw膮 1, takie jak problemy z okablowaniem, z艂e porty i problemy z dostaw膮 us艂ug internetowych.
Tabela routingu Sprawd藕 tabel臋 routingu pod k膮tem nieoczekiwanych element贸w, na przyk艂ad brak贸w trasy lub nieoczekiwane trasy. U偶yj polece艅 debugowania, aby wy艣wietli膰 aktualizacje routingu i konserwacj臋 tablicy routingu.
Problemy z ustanowieniem s膮siedztwa Je艣li protok贸艂 routingu ustanawia s膮siedztwo z przylegaj膮cym urz膮dzeniem, sprawd藕 czy s膮 jakie艣 problemy z routerami tworz膮cymi s膮siedztwo.
Baza danych topologii Je艣li protok贸艂 routingu u偶ywa tabeli topologii lub bazy danych, sprawd藕, czy w tabeli nie ma nieoczekiwanych element贸w, takich jak brakuj膮ce wpisy lub nieoczekiwane wpisy.

4.4. Warstwa transportowa - Listy ACL

B艂臋dne konfiguracje Opis
Wyb贸r strumienia ruchu Ruch jest definiowany zar贸wno przez interfejs routera, przez kt贸ry przechodzi ruch, jak i przez kierunek, w kt贸rym ten ruch si臋 przemieszcza. Lista ACL musi by膰 zastosowana do w艂a艣ciwego interfejsu, a do prawid艂owego dzia艂ania nale偶y wybra膰 w艂a艣ciwy kierunek ruchu.
Kolejno艣膰 wpis贸w kontroli dost臋pu Wpisy na li艣cie ACL powinny mie膰 charakter od specyficznych do og贸lnych. Chocia偶 lista ACL mo偶e mie膰 wpis, kt贸ry wyra藕nie zezwala na typ przep艂ywu ruchu, pakiety nigdy nie pasuj膮 do tego wpisu, je艣li s膮 one odrzucone przez inny wpis wcze艣niej na li艣cie. Je艣li router obs艂uguje zar贸wno listy ACL, jak i NAT, kolejno艣膰, w jakiej ka偶da z tych technologii jest stosowana do przep艂ywu ruchu, jest wa偶na. Ruch przychodz膮cy jest przetwarzany przez przychodz膮c膮 list臋 ACL przed przetworzeniem przez NAT z zewn膮trz do wewn膮trz. Ruch wychodz膮cy jest przetwarzany przez wychodz膮c膮 list臋 ACL po przetworzeniu przez NAT wewn膮trz-na-zewn膮trz.
Domy艣lny deny any Gdy wysoki poziom bezpiecze艅stwa nie jest wymagany na li艣cie ACL, ten niejawny element kontroli dost臋pu mo偶e by膰 przyczyn膮 nieprawid艂owej konfiguracji listy ACL.
Adresy i maski blankietowe IPv4 Z艂o偶one maski blankietowe IPv4 zapewniaj膮 znaczn膮 popraw臋 wydajno艣ci, ale s膮 bardziej podatne na b艂臋dy konfiguracji. Przyk艂adem z艂o偶onej maski blankietowej jest u偶ycie adresu IPv4 10.0.32.0 i maska 0.0.32.15, aby wybra膰 pierwsze 15 host贸w w sieci 10.0.0.0 lub w sieci 10.0.32.0.
Wyb贸r protoko艂u warstwy transportowej Podczas konfigurowania list ACL wa偶ne jest, aby okre艣li膰 tylko prawid艂owe protoko艂y warstwy transportowej. Wielu administrator贸w sieci, gdy nie ma pewno艣ci, czy przep艂yw ruchu korzysta z portu TCP czy UDP, konfiguruje oba. Podanie obu otwiera luk臋 w zaporze, prawdopodobnie daj膮c intruzom drog臋 do sieci. Wprowadza tak偶e dodatkowy element do listy ACL, dzi臋ki czemu przetwarzanie listy ACL trwa d艂u偶ej, co wprowadza wi臋ksze op贸藕nienia w komunikacji sieciowej.
Porty 藕r贸d艂owe i docelowe Prawid艂owe sterowanie ruchem mi臋dzy dwoma hostami wymaga symetrycznych element贸w kontroli dost臋pu dla przychodz膮cych i wychodz膮cych list ACL. Informacje o adresie i porcie dla ruchu generowanego przez hosta odpowiadaj膮cego s膮 lustrzanym odbiciem adresu i informacji o porcie dla ruchu generowanego przez hosta inicjuj膮cego.
U偶ycie ustalonego s艂owa kluczowego Ustalone s艂owo kluczowe zwi臋ksza bezpiecze艅stwo dostarczone przez ACL. Je艣li jednak s艂owo kluczowe zostanie zastosowane nieprawid艂owo, mog膮 wyst膮pi膰 nieoczekiwane wyniki.
Rzadko u偶ywane protoko艂y B艂臋dnie skonfigurowane listy ACL cz臋sto powoduj膮 problemy z protoko艂ami innymi ni偶 TCP i UDP. Niezwyk艂e protoko艂y, kt贸re zyskuj膮 na popularno艣ci to VPN i protoko艂y szyfrowania.

4.5. Warstwa transportowa - NAT dla IPv4

Objaw Opis
BOOTP i DHCP Oba protoko艂y zarz膮dzaj膮 automatycznym przypisywaniem adres贸w IPv4 do klient贸w. Przypomnij sobie, 偶e pierwszy pakiet wys艂any przez nowego klienta to Pakiet transmisji IPv4 偶膮dania DHCP. Pakiet DHCP-Request ma 藕r贸d艂owy adres IPv4 0.0.0.0. Poniewa偶 NAT wymaga zar贸wno prawid艂owego docelowego, jak i 藕r贸d艂owego adresu IPv4, BOOTP i DHCP mog膮 mie膰 problemy z dzia艂aniem na routerze, na kt贸rym dzia艂a statyczny lub dynamiczny NAT. Problem mo偶e rozwi膮za膰 skonfigurowanie funkcji przekierowania IPv4.
DNS Poniewa偶 router z dynamicznym NAT zmienia relacj臋 mi臋dzy adresami wewn臋trznymi i zewn臋trznymi regularnie gdy wpisy tabeli wygasaj膮 i s膮 odtworzone, serwer DNS poza routerem NAT nie maj膮 dok艂adnej reprezentacji sieci wewn膮trz routera. Problem mo偶e rozwi膮za膰 skonfigurowanie funkcji przekierowania IPv4.
SNMP Podobnie jak pakiety DNS, NAT nie jest w stanie zmieni膰 informacji adresowych przechowywanych w 艂adunku danych pakietu. Z tego powodu stacja zarz膮dzaj膮ca SNMP po jednej stronie NAT routera mo偶e nie by膰 w stanie skontaktowa膰 si臋 z agentami SNMP po drugiej stronie routera NAT. Problem mo偶e rozwi膮za膰 skonfigurowanie funkcji przekierowania IPv4.
Protoko艂y tunelowania i szyfrowania Protoko艂y szyfrowania i tunelowania cz臋sto wymagaj膮, aby ruch pochodzi艂 z okre艣lonego portu UDP lub TCP albo u偶ywa艂 protoko艂u w warstwie transportowej, kt贸ry nie mo偶e by膰 przetwarzany przez NAT. Na przyk艂ad protoko艂y tunelowania IPsec i og贸lne protoko艂y enkapsulacji routingu u偶ywane w implementacjach VPN nie mog膮 by膰 przetwarzane przez NAT.

XIII. Wirtualizacja sieci

1. Przetwarzanie w chmurze

1.1. Rodzaje us艂ug w chmurze

1.1.1. Oprogramowanie jako us艂uga (SaaS)

Zapewnia dost臋p do aplikacji i us艂ug tj. Office 365, poczta-email.

1.1.2. Platforma jako us艂uga (PaaS)

Zapewnia dost臋p do narz臋dzi programistycznych i us艂ug u偶ywanych do dostarczenia aplikacji. U偶ytkownik ma kontrol臋 nad ustawieniami 艣rodowiska hostingu aplikacji us艂ug w chmurze.

1.1.3. Infrastruktura jako us艂uga (IaaS)

Zapewnia dost臋p do sprz臋tu sieciowego, zwirtualizowanych us艂ug sieciowcyh, infrastruktury pomocniczej.

1.1.4. IT jako us艂uga (ITaaS)

Zapewnia wsparcie IT dla ka偶dej z us艂ug przetwarzania w chmurze.

1.2. Modele chmury

1.2.1. Chmury publiczne

Us艂ugi i aplikacje udost臋pnianie s膮 og贸艂owi populacji. Przyk艂ady to: Amazon Web Services, Microsoft Azure, Google Cloud Platform.

1.2.2. Chmury prywatne

Us艂ugi i aplikacje przeznaczone dla okre艣lonej grupy. Mo偶e by膰 zbudowana w oparciu o prywatn膮 infrastruktur臋 sieciow膮 (kosztowne rozwi膮zanie). Chmura prywatna mo偶e by膰 zarz膮dzana przez firm臋 zewn臋trzn膮.

1.2.3. Hybrid Clouds

Sk艂ada si臋 z wi臋cej ni偶 jednej chmury (np. prywatna, publiczna), gdzie ka偶da cz臋艣膰 jest oddzielnym obiektem, ale s膮 po艂膮czone za pomoc膮 tej samej architektury.

1.2.4. Chmury spo艂eczno艣ciowe

Tworzona do u偶ytku przez okre艣lon膮 spo艂eczno艣膰. Od chmury publicznej r贸偶ni si臋 dostosowaniem funkcjonalno艣ci np. sposobu uwierzytelniania i poufno艣ci.

1.3. Chmura obliczeniowa a centrum danych

Centrum danych- fizyczny obiekt do przechowywania i przetwarzania danych prowardzony przez wewn臋trzny dzia艂 IT lub wynajmowany poza siedzib膮 firmy. Jest drogi w utrzymaniu dlatego tylko du偶e organizacje mog膮 sobie na to pozwoli膰, te mniejsze dzier偶awi膮 us艂ugi i pami臋膰 od centrum danych w chmurze.

Obliczanie w chmurze - us艂uga zewn臋trzna, kt贸ra oferuje dost臋p do zasob贸w obliczeniowych. Us艂ugi w chmurze s膮 hostowane przez dostawc贸w u偶ywaj膮c w艂asnych centrum danych.

2. Wirtualizaja

2.1. Chmura obliczeniowa a wirtualizacja

Wirtualizacja jest podstaw膮 chmurzy obliczeniowej i polega na oddzieleniu systemu operacyjnego od sprz臋tu.

2.2. Problem z serwerami dedykowanymi

Serwery dedykowane s膮 pojedynczym punktem awarii, bowiem w razie ich awarii us艂uga przestaje by膰 艣wiadczone. Opr贸cz tego cz臋sto pozostaj膮 bezczynne co doprowadza do marnowania zasob贸w (rozrost serwera).

2.3. Hiperwizor

To program, oprogramowanie uk艂adowe lub sprz臋t, kt贸ry dodaje warstw臋 abstrakcji na fizycznym sprz臋cie. Warstwa abstrakcji s艂u偶y do tworzenia maszyn wirtualnych, kt贸re maj膮 dost臋p do ca艂ego sprz臋tu maszyny fizyczej.

2.4. Zalety wirtualizacji

2.5. Warstwy abstrakcji

Warstwy abstakcji pomagaj膮 wyja艣ni膰, jak dzia艂a wirtualizacja.

Warstwy abstakcji:

Hiperwizor jest instalowany mi臋dzy oprogramowaniem uk艂adowym a systemem operacyjnym.

2.6. Hiperwizor typu 2

Tzw. hiperwizor hostowany jest instalowany na systemie operacyjnym tj. Windows lub Linux. Tworzy on i uruchamia wyst膮pienia maszyn wirtualnych.

Nie wymaga on oprogramowania konsoli zarz膮dzania.

Przyk艂adami hiperwizor贸w typu 2 s膮:

3. Infrastruktura sieci wirtualnej

3.1. Hiperwizory typu 1

Podej艣cie nazywane r贸wnie偶 鈥渂are metal鈥, poniewa偶 hiperwizor jest instalowany bezpo艣rednio na sprz臋cie.

3.2. Konsola zarz膮dzania

Oprogramowanie zarz膮dzaj膮ce wieloma serwerami przy u偶yciu tego same hiperwizora. Zapewniaj膮 one funkcje tj.:

3.3. Z艂o偶ono艣膰 wirtualizacji sieci

Wirtualizacja serwer贸w mo偶e powodowa膰 problemy, je艣li centrum danych korzysta z tradycyjnej architektury sieciowej (przypisywanie VM port贸w prze艂膮cznika w sieci korzystaj膮cej z VLAN鈥櫭硍, a przenoszenie VM mi臋dzy serwerami).

Ruch w siedzibie

Ruch p贸艂noc - po艂udnie zachodzi mi臋dzy warstw膮 dystrybucyjn膮 a warstw膮 podstawow膮 (przeznaczony zwykle do zewn臋trznych lokalizacji).

Ruch wsch贸d - zach贸d ruch mi臋dzy serwerami wirtualnymi.

4. Sie膰 definiowana programowo

4.1. P艂aszczyzny urz膮dze艅 sieciowych

4.1.1. P艂aszczyzna sterowania

Uwa偶ana za m贸zg urz膮dzenia. S艂u偶y do podejmowania decyzji dotycz膮cych przekazywania. Zawiera mechanizmy przekazywania tras w warstwie 2 i 3 (tj. tablice routingu, tablice ARP itp.).

4.1.2. P艂aszczyzna danych

Nazywana r贸wnie偶 p艂aszczyzn膮 przesy艂ania jest zwykle struktur膮 przel膮cznika 艂膮cz膮c膮 r贸偶ne porty sieciowe w urz膮dzeniu. S艂u偶y ona do przesy艂ania strumieni ruchu.

4.1.3. P艂aszczyzna zarz膮dzania

Odpowiada za zarz膮dzanie urz膮dzeniem poprzez jego po艂膮czenie z sieci膮. Administratorzy sieci u偶ywaj膮 aplikacji tj. SSH, TFTP, HTTPS, aby uzyska膰 dost臋p do p艂aszczyzny zarz膮dzania i skonfigurowa膰 urz膮dzenie.

4.2. Architektury sieciowe opracowane do obs艂ugi wirtualizacji sieci

4.2.1. Software-Defined Networking (SDN)

Architektura sieci, kt贸ra wirtualizuje sie膰, oferuj膮c nowe podej艣cie do administrowania sieci膮 i zarz膮dzania ni膮, kt贸re ma na celu uproszczenie i usprawnienie procesu administracyjnego.

4.2.1.1. Sk艂adniki SDN

4.2.2. Cisco Application Centric Infrastructure (ACI)

Rozwi膮zanie sprz臋towe do integracji przetwarzanai w chmurze i zarz膮dzania centrum danych.

4.3. Architektury tradycyjne, a SDN

W tradycyjnej architekturze p艂aszczyzny sterowania i danych znajduj膮 si臋 w tym samym urz膮zeniu. Natomiast w SDN scentralizowany kontroler SDN zajmuje si臋 p艂aszczyzn膮 sterowania.

SDN u偶ywa interfejs贸w programowania aplikacji (API). API to zestaw 偶膮da艅, kt贸re definiuj膮 w艂a艣ciwy spos贸b 偶膮dania us艂ug z innej aplikacji przez applikacj臋.

API p贸艂nocne s艂u偶y do komunikacji z aplikacjami nadrz臋dnymi. API po艂udniowe s艂u偶y do definiowania zachowania p艂aszczyzny danych na dalszych prze艂膮cznikach i routerach.

5. Kontrolery SDN

5.1. Kontroler i operacje SDn

Kontroler SDN definiuje przep艂yw danych mi臋dzy scentralizowan膮 p艂aszczyzn膮 sterowania a p艂asczyznami danych na posczeg贸lnych routerach i prze艂膮cznikach. Ka偶dy przep艂y przechodz膮cy przez sie膰 musi uzyska膰 pozwolenie od kontrolera SDN.

Prze艂膮czniki do zarz膮dzania przep艂ywem pakiet贸w wykorzystuj膮 szereg tabel zaimplementowanych w sprz臋cie lub oprogramowaniu. Dla prze艂膮cznika przep艂yw to sekwencja pakiet贸 pasuj膮ca do okre艣lonego wpisu w tablicy przep艂ywu.

Typy tabel:

5.2. Podstawowe sk艂adniki ACI

5.2.1. Profil sieci aplikacji (ANP)

Zbi贸r grup punkt贸w ko艅cowych (EPG), ich po艂膮cze艅 i zasad definiuj膮cych te po艂膮czenia.

5.2.2. Kontroler infrastruktury zasad aplikacji (APIC)

Jest uwa偶any za m贸zg architektury ACI. APIC to scentralizowany kontroler oprogramowania, kt贸ry zarz膮dza skalowaln膮 struktur膮 klastorw膮 ACI i obs艂uguje j膮.

5.2.3. Prze艂膮czniki Cisco Nexus z serii 9000

Prze艂膮czniki te zapewniaj膮 struktur臋 prze艂膮czaj膮c膮 obs艂uguj膮c膮 aplikacje i wsp贸艂pracuj膮c膮 z APIC w celu zarz膮dzania wirtualn膮 i fizyczn膮 infrastruktur膮 sieiow膮.

5.3. Topologia Spine-Leaf

Topologia wykorzystwana do 艂膮czenia prze艂膮cznik贸w w sieci szkieletowej ACI.

Prze艂膮czniki szkieletowe 鈥淟eaf鈥 zawsze przyczepiaj膮 si臋 do prze艂膮cznik贸w dost臋powych 鈥淪pine鈥, ale nigdy nie 艂膮cz膮 si臋 ze sob膮. Podobnie pod艂膮czone sa prze艂膮czniki dost臋powe.

Topologia Spine-Leaf

5.4. Typy SDN

5.4.1. SDN w opraciu na urz膮dzeniu

Urz膮dzenia tego typu s膮 programowalne przez aplikacje dzia艂膮j膮ce na samym urz膮dzeniu lub na serwerze w sieci.

5.4.2. SDN w opraciu na kontrolerze

Wykorzystuje scentralizowany kontroler, kt贸ry ma wiedz臋 o wszystkich urz膮dzeniach w sieci.

5.4.3. SDN w opraciu na zasadach

Wykorzystuje scentralizowany kontroler i zawiera dodatkow膮 warstw臋 zasad, kt贸ra dzia艂膮 na wy偶szym poziomie abstrakcji.

5.5. Funkcja APIC-EM

System SND oparty na zasadach jest najbardziej niezawodny, zapewniaj膮c prosty mechanizm kontroli i zarz膮dzania politykami w ca艂ej sieci.

Cisco APIC-EM jest przyk艂adem opartym na zasadach SDN. Zapewnia jeden interfejs do zarz膮dzania sieci膮.

5.7. 艢ledzenie scie偶ki APIC-EM

Narz臋dzie APIC-EM Path Trace umo偶liwia administratorowi 艂atw膮 wizualizacj臋 przep艂ywu ruchu i wykrywanie wszelkich sprzecznych, zduplikowanych lub ukrytych wpis贸w ACL.