Федеральное агентство железнодорожного транспорта
Уральский государственный университет путей сообщения
Кафедра «Информационные технологии и защита информации»
К. А. Паршин
МАРШРУТИЗАЦИЯ И КОММУТАЦИЯ
В СЕТЯХ ПЕРЕДАЧИ ДАННЫХ НА ТРАНСПОРТЕ
Екатеринбург
УрГУПС
2016
Федеральное агентство железнодорожного транспорта
Уральский государственный университет путей сообщения
Кафедра «Информационные технологии и защиты информации»
К. А. Паршин
МАРШРУТИЗАЦИЯ И КОММУТАЦИЯ
В СЕТЯХ ПЕРЕДАЧИ ДАННЫХ НА ТРАНСПОРТЕ
Конспект лекций
для магистрантов очной формы обучения
направления подготовки
10.04.01 «Информационная безопасность»
Екатеринбург
УрГУПС
2016
УДК 621.395(075.8)
П18
Паршин, К. А.
П18
Маршрутизация и коммутация в сетях передачи данных на
транспорте : конспект лекций / К. А. Паршин. – Екатеринбург : УрГУПС,
2016. –52 с.
Конспект лекций
содержит теоретический материал по всем темам
дисциплины и список рекомендуемых источников. Конспект лекций предназначен для
студентов направления подготовки 10.04.01 «Информационная безопасность».
УДК 621.395(075.8)
Опубликовано по решению
редакционно-издательского совета университета
Автор:
К. А. Паршин, доцент кафедры «Информационные технологии и защита
информации», канд. техн. наук, УрГУПС
Рецензент:
Т. Ю. Зырянова, доцент кафедры «Информационные технологии и защита
информации», канд. техн. наук, ФБГОУ ВО УрГУПС
Учебное издание
Паршин Константин Анатольевич
МАРШРУТИЗАЦИЯ И КОММУТАЦИЯ
В СЕТЯХ ПЕРЕДАЧИ ДАННЫХ НА ТРАНСПОРТЕ
Редактор Н. А. Попова
Подписано в печать 06.12.2016. Формат 60х84/16. Усл. печ. л. 3,02.
Электронная версия. Заказ 2067.
УрГУПС
620034, Екатеринбург, ул. Колмогорова, 66
©Уральский государственный университет
путей сообщения (УрГУПС), 2016
Оглавление
Введение ............................................................................................................................................. 4
1
Коммутация как общая концепция сетевых и телекоммуникационных технологий .......... 5
1.1
Методы пересылки на коммутаторе .................................................................................. 5
1.1.1
Коммутация с промежуточным хранением ............................................................... 6
1.1.2
Сквозная коммутация .................................................................................................. 7
1.1.3
Динамическое заполнение таблицы МАС-адресов коммутатора ........................... 8
1.2
Характеристики коммутаторов объединенных сетей .................................................... 10
1.2.1
Методы управления пропускной способностью коммутируемой сети ................ 12
1.2.2
Виртуальные локальные сети(VLAN)...................................................................... 13
1.2.3
Типы виртуальных сетей ........................................................................................... 16
1.2.4
Диапазоны VLAN на коммутаторах Catalyst .......................................................... 18
1.2.5
Рекомендации по проектированию виртуальной локальной сети ........................ 19
1.3
Настройка портов коммутатора на физическом уровне ................................................ 20
1.3.1
Проверка настроек порта коммутатора.................................................................... 21
1.4
Инструменты и тестирование сетевой безопасности .................................................... 21
1.4.1
Принцип работы функции безопасности портов .................................................... 23
1.4.2
Функция безопасности портов. Режимы реагирования на нарушение
безопасности ..................................................................................................................................... 25
Контрольные вопросы к разделу 1 ................................................................................................. 27
2
Маршрутизация в инфокоммуникационных сетях ............................................................... 27
2.1
Формирование таблицы маршрутизации ........................................................................ 29
2.2
Протокол динамической маршрутизации ....................................................................... 33
2.3
Протокол динамической маршрутизации OSPF ............................................................ 36
2.3.1
Принцип работы OSPF в одной области.................................................................. 40
2.3.2
Протокол OSPF для нескольких областей ............................................................... 42
2.3.3
Безопасность обновлений маршрутов...................................................................... 47
Контрольные вопросы по разделу 2 ............................................................................................... 50
Заключение ....................................................................................................................................... 51
Список литературы .......................................................................................................................... 52
3
Введение
Данное методическое пособие содержит системное изложение вопросов
разработки и проектирования современной информационной инфраструктуры
предприятий – инфокоммуникационных систем, ядром которых являются
надежные, высокоскоростные и безопасные сети передачи данных. За основу
автор выбрал материалы Сетевой академии Cisco предназначенные для
подготовки высококвалифицированных специалистов в области сетевых
технологий. Основной упор сделан на использование материалов курса CCNA
1-ой и 2-ой частей. Сам автор, сертифицированный инструктор по данной
квалификации. Под его руководством открыта Сетевая академия Cisco в
ФБГОУ ВО УрГУПС – USURT ID 20035797.
В качестве основного посыла использован термин «Сети без границ
Cisco», которые предоставляет сервисы для обеспечения безопасного,
надежного и прозрачного доступа к любому ресурсу при помощи любого
устройства для любых пользователей в любой точке мира и в любое время. На
базе таких архитектур возможно решение новых и перспективных задач в
области цифровой трансформации, электронного обучения, удаленных рабочих
мест.
Цель методического пособия не только системно изложить теорию
вопроса, но и дать серьезный набор практических навыков в конфигурации и
отладки современного сетевого оборудования. Итогом пособия является
формирование профессиональных навыков, выражающихся в выполнении
курсового проекта, трудоемкость которого близка к итоговой лабораторной
работе по курсу ICND 1, являющейся первой ступенью квалификации CCNA.
4
1
Коммутация как общая концепция сетевых
и телекоммуникационных технологий
Концепция коммутации и пересылки кадров универсальна для сетевых и
телекоммуникационных технологий. В локальной, глобальной и телефонной
сетях используются различные типы коммутаторов. Основная концепция
коммутации заключается в принятии устройством решения на основе двух
критериев:
– входной порт;
– адрес назначения.
Решение о том, как коммутатор пересылает трафик, принимается в
зависимости от потока трафика. Термин «входной» используется для описания
порта, через который кадр входит в устройство. Термин «выходной»
используется для описания кадров, которые покидают устройство из
определенного порта.
Коммутатор LAN ведет таблицу, с помощью которой определяет, как
пересылать трафик через коммутатор.
Интеллектуальные способности коммутатора LAN заключаются в его
способности использовать свою таблицу для пересылки трафика на основе
входного порта и адреса назначения сообщения. В случае с коммутатором LAN
есть только одна таблица коммутации, которая описывает строгую связь между
адресами и портами; поэтому сообщение с данным адресом назначения всегда
покидает коммутатор из одного и того же выходного порта, независимо от
порта, через который оно входит. Коммутаторы Ethernet 2-го уровня
пересылают кадры Ethernet, основываясь на MAC-адресе назначения кадра.
1.1 Методы пересылки на коммутаторе
В то время как сети предприятия расширяются, их производительность
заметно снижается. В связи с этим в сети были добавлены мосты Ethernet
(предыдущая версия коммутатора) для ограничения размеров коллизионных
доменов. В 90-х гг. развитие технологий интегральных микросхем позволило
заменить мосты Ethernet на коммутаторы для локальных сетей. Эти
коммутаторы LAN могли передать принятие решения о пересылке уровня 2 от
программного обеспечения в специализированные интегральные микросхемы
(ASIC). ASIC сокращают время обработки пакетов в устройстве и позволяют
устройствам обрабатывать больше портов без снижения производительности.
5
Этот метод пересылки кадров данных на уровне 2 назвали коммутацией с
промежуточным хранением (режим «store-and-forward»). Наряду с описанным
методом применяют метод сквозной коммутации».
1.1.1 Коммутация с промежуточным хранением
Коммутация с промежуточным хранением характеризуется двумя
основными признаками, которые отличают её от сквозной коммутации:
– выявление ошибок;
– автоматическая буферизация.
Выявление ошибок во входящем кадре осуществляется после получения
всего кадра на входном порте, как показано на рисунке 1.1, коммутатор
сравнивает значение FCS (frame-check-sequence) в последнем поле датаграммы
с собственными вычислениями FCS. FCS — это процесс выявления ошибок,
который позволяет убедиться в том, что кадр свободен от физических и
канальных ошибок. Коммутатор пересылает кадр, если не выявил в нём
ошибок. В противном случае кадр отбрасывается.
Рис. 1.1 Метод пересылки с промежуточным хранением
Процесс буферизации на входном порте, используемый коммутаторами с
промежуточным хранением, обеспечивает гибкость для поддержки любых
скоростей Ethernet. Например, обработка входящего кадра, передаваемого в
порт Ethernet 100 Мбит/с и предназначенного для отправки в интерфейс 1
Гбит/с, потребует использования коммутации с промежуточным хранением. С
любым несоответствием в скорости между входным и выходным портами
коммутатор сохраняет весь кадр в буфере, проверяет FCS, пересылает его в
6
буфер выходного порта и затем отправляет его. Коммутация с промежуточным
хранением или, используя иной термин, коммутация в режиме «store-andforward», является основным методом коммутации локальной сети Cisco.
Коммутатор с промежуточным хранением отбрасывает кадры, которые не
прошли проверку FCS и таким образом не пересылает недопустимые кадры. И
наоборот, в режиме сквозной коммутации возможна пересылка недопустимых
кадров, поскольку проверка FCS не выполняется.
1.1.2 Сквозная коммутация
Преимущество сквозной коммутации заключается в способности
коммутатора начать пересылку кадра раньше, чем при коммутации с
промежуточным хранением. Сквозная коммутация характеризуется двумя
основными признаками:
– быстрая пересылка кадра;
– обработка недопустимых кадров.
Как показано на рисунке 1.2, коммутатор со сквозной коммутацией может
принимать решение о пересылке сразу после нахождения МАС-адреса
назначения кадра в своей таблице МАС-адресов. Коммутатору не нужно ждать
остальной части кадра, поступающей через входной порт, прежде чем принять
решение о пересылке. С учётом современных контроллеров и ASIC MAC,
коммутатор со сквозной коммутацией способен быстро принимать решение о
том, нужно ли ему проверять большую часть заголовков кадра в целях
дополнительной фильтрации. Например, коммутатор может проанализировать
первые 14 байт (поля MAC-адреса источника, МАС-адреса назначения и
EtherType) и изучить дополнительные 40 байт, чтобы выполнить усложнённые
функции по отношению к уровням 3 и 4 протокола IPv4.
Рис. 1.2 Метод сквозной коммутации
7
Сквозная коммутация не отбрасывает большинство недопустимых
кадров. Кадры с ошибками пересылаются другим сегментам сети. В случае
высокого коэффициента ошибок (недопустимых кадров) в сети сквозная
коммутация может негативно сказаться на полосе пропускания, наполняя её
повреждёнными и недопустимыми кадрами.
Модифицированной
формой
сквозной
коммутации,
является
бесфрагментный режим коммутации, при которой коммутатор задерживает
пересылку пакета на время коллизионного интервала (64 байт). Это означает,
что каждый кадр будет ограничен полем данных для предотвращения
фрагментации. В бесфрагментном режиме коммутации ошибки выявляются
лучше, чем в режиме сквозной коммутации, при этом задержка при передаче
минимальна.
Благодаря наименьшей величине задержки сквозная коммутация больше
подходит для сложных приложений, выполняющих высокопроизводительные
вычисления (HPC), для которых задержка между процессами должна
составлять 10 микросекунд или меньше.
1.1.3 Динамическое заполнение таблицы МАС-адресов коммутатора
Коммутаторы используют MAC-адреса для направления сетевого трафика
через коммутатор на соответствующий порт до места назначения. Коммутатор
состоит из объединенных микросхем и соответствующего программного
обеспечения, с помощью которого данные проходят через коммутатор. Чтобы
коммутатор верно выполнил коммутацию ему необходимо иметь информацию
о прикрепленных хостах или оконечных устройствах к портам коммутатора. По
мере того, как коммутатор фиксирует отношения портов к устройствам, он
создает таблицу МАС-адресов или таблицу ассоциативной памяти CAM
(Content Addressable Memory). САМ это особый тип памяти, используемый в
приложениях быстрого поиска.
Коммутаторы LAN определяют способ обработки входящих кадров путем
ведения таблицы МАС-адресов. Коммутатор создает свою таблицу МАСадресов, записывая МАС-адрес каждого устройства, подключенного к каждому
из своих портов. Коммутатор использует данные из таблицы МАС-адресов для
отправления кадров, предназначенных для конкретного устройства из порта,
который был назначен этому устройству.
При поступлении каждого кадра Ethernet на коммутатор выполняется
следующий двухэтапный процесс:
8
–
–
Шаг 1. Получение информации: проверка MAC-адреса источника;
Шаг 2. Пересылка: проверка MAC-адреса назначения.
При каждом поступлении кадра в коммутатор выполняется проверка на
наличие новой информации. Проверяются MAC-адрес источника, указанный в
кадре, и номер порта, по которому кадр поступает в коммутатор:
Если MAC-адрес источника отсутствует, он добавляется в таблицу вместе
с номером входящего порта Рис. 1.3
Если MAC-адрес источника уже существует, коммутатор обновляет
таймер обновления для этой записи. По умолчанию на большинстве
коммутаторов Ethernet данные в таблице хранятся в течение 5 минут.
Рис.1.3 Заполнение пустой таблицы коммутации.
Если MAC-адрес назначения является адресом одноадресной рассылки,
коммутатор ищет совпадение между MAC-адресом назначения кадра и записью
в таблице MAC-адресов:
Если MAC-адрес назначения есть в таблице, коммутатор пересылает кадр
через указанный порт.
Если MAC-адреса назначения нет в таблице, коммутатор пересылает кадр
через все порты, кроме входящего порта. Это называется одноадресной
рассылкой неизвестному получателю Рис. 1.4
9
Рис. 1.4 одноадресной рассылкой неизвестному получателю
1.2
Характеристики коммутаторов объединенных сетей
В корпоративных сетях используются различные типы коммутаторов.
Правильный выбор типов коммутаторов, соответствующих требованиям сети,
играет большую роль. При проектировании сети следует делать выбор из
следующих форм-факторов:
– коммутаторы с фиксированной конфигурацией
– модульные коммутаторы
– стекируемые коммутаторы с фиксированной конфигурацией
Кроме вышеперечисленных факторов, следует учитывать при выборе
устройства — это высота коммутатора, которая измеряется количеством
монтажных единиц. Последний критерий касается коммутаторов, которые
монтируются в стойку (наращиваемые). Обычно используют понятие юнита –
одна стандартная единица высоты оборудования (1U).
Коммутаторы с фиксированной конфигурацией поддерживают только
предустановленные функции и параметры. Для каждой модели предусмотрен
ряд определенных функций и параметров. Например, гигабитный коммутатор с
двадцатью четырьмя портами не поддерживает дополнительные порты.
Количество и типы поддерживаемых портов в коммутаторах с фиксированной
конфигурацией зависят от модели коммутатора.
Коммутаторы с модульной конфигурацией поддерживают больше
функций. Обычно модульные коммутаторы поставляются с шасси разного
размера, что позволяет устанавливать разное количество модульных линейных
плат – лезвий. На линейных платах находятся порты. Линейную плату
вставляют в шасси коммутатора подобно тому, как платы расширения
вставляют в ПК. Чем больше шасси, тем больше модулей оно поддерживает.
Существуют шасси разного размера. В модульный коммутатор с одной
10
линейной картой на 24 порта может быть установлена дополнительная
линейная карта на 24 порта, в результате чего общее количество портов
увеличится до 48.
Стекируемые коммутаторы могут быть соединены с помощью
специального кабеля, обеспечивающего высокую пропускную способность
между коммутаторами. Технология Cisco StackWise позволяет соединять до
девяти коммутаторов. Коммутаторы можно разместить один над другим и
соединить их кабелями по шлейфовому типу. Помещенные в стек коммутаторы
работают с эффективностью одиночного коммутатора больших размеров.
Стекируемые коммутаторы рекомендуется использовать при выполнении задач,
когда важны отказоустойчивость и доступность пропускной способности, а
применение модульного коммутатора оказывается слишком дорогим.
Перекрестное соединение этих стекируемых коммутаторов обеспечивает
быстрое восстановление сети в случае отказа одного коммутатора. Для
соединений в стекируемых коммутаторах предусмотрен специальный порт.
Многие стекируемые коммутаторы Cisco также поддерживают технологию
StackPower, что позволяет элементам стека обмениваться питанием и
уменьшить количество используемых розеток электропитания.
При выборе коммутатора обязательно следует учитывать ряд технических
характеристик, влияющих на проектируемую сеть:
– Высокая плотность портов. Коммутаторы обладают высокой
плотностью портов: часто высота коммутаторов с 24 и 48 портами равна
одному стоечному модулю, а скорость их может достигать 100 Мбит/с, 1 Гбит/с
и 10 Гбит/с. Коммутаторы крупных предприятий могут поддерживать
несколько сотен портов.
– Большие буферы кадров. Возможность хранить больше полученных
кадров перед их отбрасыванием весьма полезна, особенно при наличии
перегруженных портов, к которым подключены серверы или другие части сети.
– Скорость порта. В зависимости от стоимости коммутатора возможна
поддержка совокупности скоростей. Наиболее распространены порты со
скоростями 100 Мбит/с, 1 или 10 Гбит/с (скорость 100 Гбит/с также
представляется возможной).
– Быстрая внутренняя коммутация. Возможность быстрой внутренней
пересылки обеспечивает высокую производительность. В качестве метода
можно использовать быструю внутреннюю шину или общую память, которая
влияет на общую производительность коммутатора.
11
– Низкая стоимость каждого порта. Коммутаторы обеспечивают
высокую плотность портов при минимуме затрат.
1.2.1 Методы управления пропускной способностью коммутируемой
сети
Для управления пропускной способностью локальной сети построенной
на базе коммутаторов Ethernet используют следующие методы:
– полнодуплексная связь;
– микросегментация сети;
– сокращение размера широковещательного домена.
Полнодуплексная связь повышает производительность коммутируемой
LAN. Полнодуплексная связь повышает эффективность полосы пропускания,
позволяя передавать и получать данные одновременно в обоих направлениях.
Данный вид связи также называют двунаправленной связью. Использование
этого
метода
оптимизации
производительности
сети
требует
микросегментации.
Микросегментированная локальная сеть создаётся, когда к порту
коммутатора подключено только одно устройство, а порт работает в
полнодуплексном режиме. В результате возникает маленький коллизионный
домен, состоящий из одного устройства. Но, поскольку подключено только
одно устройство, микросегментированная локальная сеть свободна от коллизий
Рис. 1.5.
Рис 1.5 Микросегментация локальной сети на базе коммутатора
12
В отличие от полнодуплексной связи, полудуплексная связь является
однонаправленной, то есть отправка и приём данных не происходят
одновременно.
Полудуплексная
связь
плохо
сказывается
на
производительности, т.к. единовременно данные могут передаваться только в
одном направлении, часто вызывая коллизии. Полудуплексные соединения
чаще встречаются в устаревшем оборудовании, например в концентраторах. На
данный момент полнодуплексная связь заменила полудуплексную связь в
большинстве устройств.
Большинство современных сетевых адаптеров Ethernet и Fast Ethernet
обеспечивают полнодуплексную связь. Для работы сетевых адаптеров Gigabit
Ethernet и 10Gb требуется полнодуплексное соединение. В полнодуплексном
режиме на сетевом адаптере отключено обнаружение коллизий. Кадры,
отправленные двумя соединёнными устройствами, не могут столкнуться,
потому что устройства используют два отдельных канала в сетевом кабеле. Для
функционирования полнодуплексных соединений требуется коммутатор,
поддерживающий полнодуплексную конфигурацию, или прямое подключение
с использованием кабеля Ethernet между двумя устройствами.
Эффективность конфигурации стандартной общей сети Ethernet обычно
составляет 50–60 % от указанной полосы пропускания. Полнодуплексная связь
обеспечивает 100%-ю эффективность в обоих направлениях (передача и
получение), что повышает потенциальное использование полосы пропускания
до 200 %.
Альтернативный метод позволяющий повысить эффективность
стандартной сети Ethernet до 75-80% без использования коммутаторов
называется методом побитного сравнения(МПБС). Суть метода заключается в
совершенствовании алгоритма повторных передач, возникающих при
коллизиях.
Сокращение размера широковещательного домена осуществляется
применением виртуальных локальных сетей (VLAN). Данный механизм
обеспечивает разделение ЛВС на изолированные сегменты, внутри которых
локализуется трафик. Данная технология используется для разграничения
доступа к ресурсам сети на канальном уровне и обеспечивается средствами
коммутатора. Рассмотрим эту технологию подробнее.
1.2.2 Виртуальные локальные сети(VLAN)
В коммутируемых объединённых сетях сети VLAN обеспечивают
гибкость сегментации и организации. Сети VLAN позволяют сгруппировать
13
устройства внутри локальной сети. Группа устройств в пределах сети VLAN
взаимодействует так, будто устройства подключены с помощью одного
провода. Сети VLAN основываются не на физических, а на логических
подключениях.
Сети VLAN позволяют администратору производить сегментацию по
функциям, проектным группам или областям применения, вне зависимости от
физического расположения пользователя или устройства. Устройства в
пределах сети VLAN работают таким образом, будто находятся в собственной
независимой сети, даже если делят одну общую инфраструктуру с другими
VLAN. Любой порт коммутатора может принадлежать сети VLAN.
Одноадресные, широковещательные и многоадресные пакеты пересылаются и
рассылаются только к конечным станциям в пределах той сети VLAN, которая
является источником этих пакетов. Каждая сеть VLAN считается отдельной
логической сетью, и пакеты, адресованные станциям, не принадлежащим
данной сети VLAN, должны пересылаться через устройство, поддерживающее
маршрутизацию.
Сеть VLAN создаёт логический широковещательный домен, который
может охватывать несколько физических сегментов LAN. Разделяя крупные
широковещательные домены на более мелкие сети, VLAN повышают
производительность сети. Если устройство в одной сети VLAN передаёт
широковещательный кадр Ethernet, то этот кадр получают все устройства в
рамках этой VLAN, устройства же в других сетях VLAN этот кадр не получают.
Сети VLAN позволяют реализовывать политику обеспечения доступа и
безопасности, учитывая интересы различных групп пользователей. Каждый
порт коммутатора может быть назначен только одной сети VLAN (за
исключением порта, подключённого к IP-телефону или к другому
коммутатору).
Производительность пользователей и адаптивность сети играют важную
роль в процветании и успехе компании. Сети VLAN облегчают процесс
проектирования сети, обеспечивающей помощь в выполнении целей
организации. К основным преимуществам использования VLAN относятся:
Безопасность: группы, обладающие уязвимыми данными, отделены от
остальной части сети, благодаря чему снижается вероятность утечки
конфиденциальной информации. Как показано на рисунке, компьютеры
преподавателей находятся в сети VLAN 10 и полностью отделены от трафика
данных учащихся и гостей.
14
Снижение расходов: благодаря экономии на дорогих обновлениях
сетевой инфраструктуры и более эффективному использованию имеющейся
полосы пропускания и восходящих каналов происходит снижение расходов.
Повышение производительности: разделение однородных сетей 2-го
уровня на несколько логических рабочих групп (широковещательных доменов)
уменьшает
количество
лишнего
сетевого
трафика
и
повышает
производительность.
Уменьшенные широковещательные домены: разделение сети на сети
VLAN уменьшает количество устройств в широковещательном домене. Сеть,
показанная на рисунке, состоит из шести компьютеров и трёх
широковещательных доменов: для преподавателей, для учащихся и гостевого
домена.
Повышение производительности ИТ-отдела: сети VLAN упрощают
управление сетью, поскольку пользователи с аналогичными требованиями к
сети используют одну и ту же сеть VLAN.
При введении в эксплуатацию нового коммутатора на назначенных
портах реализуются все правила и процедуры, уже применённые в этой
конкретной VLAN. Также ИТ-специалистам легче определять функцию сети
VLAN, назначая ей соответствующее имя. На рисунке 1.6 для простой
идентификации сеть VLAN 10 была названа «Для преподавателей», VLAN 20
— «Для учащихся» и VLAN 30 — «Гостевая».
Упрощённое управление проектами и приложениями: сети VLAN
объединяют пользователей и сетевые устройства для соответствия деловым или
географическим требованиям сети. Управление проектом и работа на
прикладном уровне упрощены благодаря использованию разделения функций.
Пример такой прикладной задачи — платформа разработки приложений для
электронного обучения преподавателей.
Рис. 1.6 Разделение ЛВС на виланы.
15
Каждая VLAN в коммутируемой сети относится к какой-либо IP-сети;
таким образом, в проекте VLAN нужно учитывать реализацию иерархической
системы сетевой адресации. Иерархическая адресация подразумевает
упорядоченное назначение номеров IP-сети сегментам или сетям VLAN с
учетом работы сети в целом. Как показано на рисунке, блоки смежных сетевых
адресов резервируются и настраиваются на устройствах в определённой
области сети.
1.2.3 Типы виртуальных сетей
В современных сетях используются различные типы сетей VLAN.
Некоторые типы VLAN определяются классами трафика. Другие типы VLAN
обусловлены функциями, которые они выполняют. Рассмотрим их подробнее.
Виртуальная локальная сеть для данных — это сеть VLAN, которая
настроена специально для передачи трафика, генерируемого пользователем.
Сеть VLAN, передающая голосовой трафик или трафик управления, не
является сетью VLAN для передачи данных. Рекомендуется отделять голосовой
и управляющий трафик от трафика данных. VLAN для передачи данных иногда
называют пользовательской сетью VLAN. Сети VLAN для данных
используются для разделения сети на группы пользователей или устройств.
Виртуальная локальная сеть по умолчанию – это сеть VLAN, которая
настроена изначально на коммутаторе. Все порты коммутатора становятся
частью VLAN по умолчанию после первоначальной загрузки коммутатора.
Порты коммутатора, находящиеся в сети VLAN по умолчанию, являются
частью одного широковещательного домена. Благодаря этому любое
устройство, подключённое к любому порту коммутатора, может обмениваться
данными с другими устройствами на других портах коммутатора. Сетью VLAN
по умолчанию для коммутаторов Cisco установлена VLAN 1. Данная сеть
поддерживает все функции любой сети VLAN, однако её нельзя переименовать
или удалить. По умолчанию весь управляющий трафик 2-го уровня связан с
сетью VLAN 1.
Сеть native VLAN назначена транковому порту 802.1Q. Транковые
порты — это каналы между коммутаторами, которые поддерживают передачу
трафика, связанного с более чем одной сетью VLAN. Транковый порт 802.1Q
поддерживает трафик, поступающий от нескольких VLAN (тегированный
трафик), а также трафик, который поступает не от VLAN (нетегированный
трафик). Тегированным называется трафик, для которого в исходный заголовок
16
кадра Ethernet вставлен 4-байтовый тег, определяющий сеть VLAN, к которой
относится этот кадр. Транковый порт 802.1Q размещает нетегированный
трафик в сети native VLAN, которой по умолчанию является VLAN 1.
Сети native VLAN определены в спецификации IEEE 802.1Q для
обеспечения обратной совместимости с нетегированным трафиком, характерным
для устаревших сценариев локальных сетей. Сеть native VLAN служит общим
идентификатором на противоположных концах транкового канала.
Рекомендуется настроить native VLAN как неиспользуемую VLAN,
отличающуюся от сети VLAN 1 и других VLAN. Фактически принято выделять
фиксированную VLAN для выполнения роли сети native VLAN для всех
транковых портов в коммутируемом домене.
Управляющая VLAN — это любая сеть VLAN, настроенная для доступа
к функциям управления коммутатора. Сеть VLAN 1 по умолчанию является
управляющей VLAN. Для создания управляющей VLAN интерфейсу SVI
коммутатора данной VLAN назначаются IP-адрес и маска подсети, благодаря
чему коммутатором можно управлять через протоколы HTTP, Telnet, SSH или
SNMP. Поскольку в исходной настройке коммутатора Cisco VLAN 1 является
сетью VLAN по умолчанию, VLAN 1 не следует использовать в качестве
управляющей VLAN.
Голосовая VLAN – это любая сеть VLAN настроенная для поддержки
передачи голоса по IP (VoIP). Поскольку инфокоммуникационный трафик
требует гарантированного качества обслуживания то голосовые сети имеют
специфические настройки для обеспечения:
гарантированная полоса пропускания для обеспечения высокого
качества голосовой передачи;
приоритет передачи перед другими типами сетевого трафика;
возможность маршрутизации в обход перегруженных участков;
задержка менее 150 мс по всей сети.
Для того чтобы соответствовать этим требованиям, вся сеть должна быть
специально спроектирована для поддержки VoIP. На рисунке 1.7 VLAN 150
предназначена для передачи голосового трафика. Компьютер учащегося PC5
подключён к IP-телефону Cisco, а телефон подключён к коммутатору S3. PC5
находится в сети VLAN 20, которая используется для передачи данных
учащихся. В отличие от выше приведенных сетей VLAN для реализации даной
требуется настройка транкового канала между IP –телефоном и портом
коммутатора.
17
Рис. 1.7 Конфигурация голосовой виллан
1.2.4 Диапазоны VLAN на коммутаторах Catalyst
Различные коммутаторы Cisco Catalyst поддерживают разное количество
сетей VLAN. Количество поддерживаемых сетей VLAN достаточно велико для
удовлетворения потребностей большинства организаций. Например,
коммутаторы Catalyst 2960 и 3560 под управлением Cisco IOS версии 15.x
способны поддерживать более 4 тысяч сетей VLAN. Виртуальные локальные
сети стандартного диапазона на этих коммутаторах имеют идентификатор от 1
до 1 005, а сети VLAN расширенного диапазона — от 1 006 до 4 094.
Идентификаторы от 1002 до 1005 зарезервированы для сетей VLAN Token Ring
и FDDI создаются автоматически и не могут быть удалены. Количество VLAN,
доступных на коммутаторах Catalyst, определяется длиной заголовка тега IEEE
802.1Q, который составляет 12 бит. Конфигурации хранятся в файле базы
данных VLAN под именем vlan.dat. Файл vlan.dat расположен во флеш-памяти
коммутатора. Протокол VTP (транковый протокол VLAN), обеспечивающий
управление конфигурациями VLAN между коммутаторами, может
распознавать и хранить только сети VLAN стандартного диапазона.
Сети VLAN расширенного диапазона позволяют операторам связи
расширять свою инфраструктуру для большого числа клиентов. Конфигурации
сетей не записываются в файл vlan.dat. По умолчанию сохраняются в файл
текущей конфигурации. Протокол VTP не распознаёт сети VLAN
расширенного диапазона.
18
1.2.5 Рекомендации по проектированию виртуальной локальной
сети
В заводских настройках коммутаторов Cisco заданы различные сети
VLAN для поддержки различных сред и типов протоколов. VLAN 1 является
сетью Ethernet VLAN по умолчанию. Наилучший метод обеспечения
безопасности — настроить все порты на всех коммутаторах так, чтобы они
были связаны с сетями VLAN, исключая сеть VLAN 1. Для этого, как правило,
нужно настроить все неиспользуемые порты в сеть VLAN «чёрной дыры»,
которая никогда не используется в сети. Все используемые порты связаны с
сетями VLAN, кроме VLAN 1 и VLAN «чёрной дыры». Для предотвращения
несанкционированного доступа рекомендуется отключать неиспользуемые
порты коммутатора.
Также для обеспечения безопасности рекомендуется отделять
административный трафик от пользовательского. Управляющая VLAN,
установленная по умолчанию сетью VLAN 1, следует заменить на другую
VLAN. Для удалённого управления коммутатором Cisco коммутатору
необходим IP-адрес, настроенный на управляющую VLAN. Пользователи в
других сетях VLAN не смогут устанавливать сеансы удалённого доступа с
коммутатором, если они не были маршрутизированы в управляющую VLAN с
обеспечением дополнительного уровня безопасности. Кроме того, коммутатор
следует настроить для приёма только зашифрованных сеансов SSH удалённого
управления.
Весь управляющий трафик отправляется на VLAN 1. Поэтому, когда сеть
native VLAN изменена на сеть, отличную от VLAN 1, весь управляющий
трафик тегируется на транковых каналах IEEE 802.1Q VLAN (тегируется
идентификатором VLAN 1). Для обеспечения безопасности рекомендуется
изменить сеть native VLAN на сеть, отличную от VLAN 1. Сеть native VLAN
также должна отличаться от всех пользовательских сетей VLAN. Убедитесь,
что native VLAN для транкового подключения 802.1Q одинакова на обеих
сторонах канала.
Протокол DTP предлагает четыре режима порта коммутатора: режим
доступа, транковый, динамический автоматический и динамический
рекомендуемый. Согласно общей рекомендации, автосогласование следует
отключить. Следуя практической рекомендации для обеспечения безопасности,
не используйте динамический автоматический или динамический
рекомендуемый режимы портов коммутатора.
19
Наконец, голосовой трафик ограничивается жёсткими требованиями QoS.
Если пользовательские компьютеры и IP-телефоны находятся в одной сети VLAN,
каждый пытается использовать доступную полосу пропускания, не принимая во
внимание другие устройства. Чтобы избежать таких конфликтов, рекомендуется
использовать отдельные VLAN для IP-телефонии и трафика данных.
1.3 Настройка портов коммутатора на физическом уровне
На физическом уровне настройка портов заключаются в выборе режима
передачи и скорости. По умолчанию на коммутаторах Cisco Catalyst 2960 и
3560 настройки дуплексного режима и скорости выставлены в режим Auto.
Порты 10/100/1000 функционируют в полудуплексном либо в полнодуплексном
режиме, если установлена скорость 10 или 100 Мбит/с, и только в
полнодуплексном, если задана скорость 1000 Мбит/с. Автосогласование
полезно, когда настройки скорости и дуплекса для устройства, подключенного
к порту, неизвестны или могут меняться. При подключении к известным
устройствам, таким как серверы, выделенные рабочие станции или сетевые
устройства, рекомендуется вручную задавать параметры скорости и дуплекса.
При более тонкой настройки используйте команду режима конфигурации
интерфейса duplex, чтобы вручную установить дуплексный режим для порта
коммутатора. Используйте команду режима конфигурации интерфейса speed,
чтобы вручную задать скорость для порта коммутатора. На рис. 1.8 порт F0/1
на коммутаторах S1 и S2 настраивается вручную с помощью ключевого
слова full для команды duplex и ключевого слова 100 для команды speed.
Рис. 1.8 Конфигурация портов коммутатора в режиме конфигурации
интерфейса.
20
При поиске и устранении проблем с портом коммутатора необходимо
проверить настройки дуплексной связи и скорости. Несовпадения в настройках
дуплексного режима и скорости портов коммутаторов могут вызвать проблемы
с подключением. Ошибка при автосогласовании приводит к несовпадениям в
настройках.
Все порты оптоволоконных кабелей, например порты 100BASE-FX,
работают только на предустановленной скорости и всегда в полнодуплексном
режиме.
1.3.1 Проверка настроек порта коммутатора
Операционная система Cisco IOS, под управлением которой находится
сетевой коммутатор Cisco Catalyst 2960 в привилегированном режиме
поддерживает определенный набор команд длят проверки и диагностики
состояния интерфейсов коммутатора Рис. 1.9
Рис. 1.9. Команды Cisco IOS для просмотра и отладки параметров коммутатора
1.4 Инструменты и тестирование сетевой безопасности
Средства сетевой безопасности позволяют сетевому администратору
проверять сеть на наличие слабых сторон. Некоторые инструменты позволяют
администратору выступать в роли злоумышленника. С помощью одного из
21
таких инструментов администратор может выполнить атаку сети и проверить
результаты, чтобы наилучшим образом урегулировать политику безопасности
для снижения риска этих типов атак. Аудит средств защиты и тестирование на
проникновение — это две основные функции, выполняемые инструментами
сетевой безопасности.
Администратор может вручную запустить методы тестирования
безопасности
сети.
Другие
способы
тестирования
являются
автоматизированными. Вне зависимости от типа тестирования сотрудники,
настраивающие и контролирующие тестирование безопасности, должны
обладать глубокими познаниями в сферах безопасности и сетевых технологий.
Прежде всего, они должны разбираться в следующих областях:
сетевая безопасность;
межсетевые экраны;
системы предотвращения вторжений;
операционные системы;
программирование;
сетевые протоколы (например, TCP/IP).
Средства сетевой безопасности позволяют администратору выполнять
аудит безопасности сети. Аудит безопасности указывает на тип информации,
который может собрать злоумышленник, получив контроль над сетевым
трафиком.
Например, средства аудита сетевой безопасности позволяют
администратору перегружать таблицу МАС-адресов ложными МАС-адресами.
После того как коммутатор начинает лавинную рассылку трафика из всех
портов, выполняется проверка портов коммутатора. Во время аудита
санкционированные сопоставления МАС-адресов устаревают, из-за чего их
заменяют ложные сопоставления МАС-адресов. Таким образом можно
определить, какие порты подвержены риску и не настроены должным образом
для предотвращения атак данного типа.
Учёт времени является важным фактором успешного проведения аудита.
Различные коммутаторы поддерживают разное количество адресов в своей
таблице МАС-адресов. Определение подходящего количества «отравленных»
МАС-адресов для отправки на коммутатор может оказаться непростой задачей.
Сетевой администратор также должен учитывать период устаревания таблицы
МАС-адресов. Если «отравленные» МАС-адреса начинают устаревать во время
22
проведения аудита сети, допустимые МАС-адреса начинают заполнять таблицу
МАС-адресов и ограничивать данные, которые можно проверить с помощью
средства аудита сети.
Средства сетевой безопасности можно использовать для тестирования на
проникновение в сеть. Тестирование на проникновение — это моделируемая
атака на сеть, цель которой состоит в определении степени уязвимости сети к
реальной атаке. Подобное тестирование позволяет сетевому администратору
выявить слабые стороны в конфигурации сетевых устройств и внести
изменения, чтобы сделать устройства более стойкими к атакам. Администратор
может выполнить множество атак, и большинство инструментов поставляются
вместе с подробной документацией о синтаксисе команд, необходимом для
выполнения желаемого типа атаки.
Поскольку тестирования на проникновение могут отрицательно сказаться
на сети, они выполняются в строгом соответствии с политикой обеспечения
безопасности сети. Офлайновый испытательный стенд сети, имитирующий
реально действующую сеть, является идеальным инструментом для проведения
тестирования на проникновения сетевыми специалистами.
1.4.1 Принцип работы функции безопасности портов
Перед введением коммутатора в эксплуатацию необходимо обеспечить
безопасность всех портов (интерфейсов) коммутатора. Один из способов
защиты портов — использование функции безопасности портов (функция Port
Security). Данная функция ограничивает количество допустимых МАС-адресов
на один порт, а также разрешает доступ для МАС-адресов санкционированных
устройств и запрещает доступ для остальных МАС-адресов.
Для того чтобы разрешить доступ одному или нескольким МАС-адресам,
необходимо настроить функцию безопасности портов. В случае если
количество разрешённых МАС-адресов на порте ограничено до одного, к этому
порту может подключиться только устройство с этим конкретным МАСадресом.
Если порт настроен как защищённый и достигнуто максимальное
количество МАС-адресов, любые дополнительные попытки подключения с
неизвестных адресов приведут к нарушению безопасности.
Существует 3 способа настроить функцию безопасности порта. В
зависимости от конфигурации различают следующие типы защищённых
адресов:
23
Статическая защита МАС-адреса — МАС-адреса, которые
настроены на порте вручную с помощью команды режима конфигурации
интерфейса switchport port-security mac-address МАС-адрес. МАС-адреса,
настроенные таким образом, хранятся в таблице адресов и добавляются в
текущую конфигурацию коммутатора.
Динамическая защита МАС-адреса — МАС-адреса, которые
получены динамически и хранятся в таблице адресов. MAC-адреса,
настроенные таким образом, удаляются при перезагрузке коммутатора.
Защита МАС-адреса на основе привязки — МАС-адреса, которые
могут быть получены динамически или настроены вручную. Они хранятся в
таблице адресов и добавляются в текущую конфигурацию.
Для того чтобы настроить интерфейс для преобразования динамически
полученных МАС-адресов в прикреплённые защищённые МАС-адреса и
добавить их в текущую конфигурацию, необходимо включить функцию sticky
learning (распознавание прикреплённых адресов). Функция sticky learning
включается на интерфейсе с помощью команды режима конфигурации
интерфейса switchport port-security mac-address sticky.
После ввода этой команды коммутатор преобразует все динамически
полученные МАС-адреса, включая адреса, которые были получены
динамически до включения этой функции, в прикреплённые защищённые
МАС-адреса. Все прикреплённые защищённые МАС-адреса добавляются в
таблицу адресов и в текущую конфигурацию.
Также прикреплённые защищённые МАС-адреса можно задать вручную.
Когда прикреплённые защищённые МАС-адреса настроены с помощью
команды режима конфигурации интерфейса switchport port-security mac-address
sticky МАС-адрес, все указанные адреса добавляются в таблицу адресов и
текущую конфигурацию.
Если прикреплённые защищённые МАС-адреса сохраняются в файле
загрузочной конфигурации, то после перезагрузки коммутатора или
отключения интерфейса не требуется повторное получение адресов. Если же
прикреплённые защищённые адреса не сохраняются, они будут потеряны.
При отключении режима sticky learning с помощью команды режима
конфигурации
интерфейса no
switchport
port-security
mac-address
sticky прикреплённые защищённые МАС-адреса остаются в таблице адресов, но
удаляются из текущей конфигурации.
24
Обратите внимание, что функция защиты портов не работает, пока
защита портов не будет включена для интерфейса командой switchport portsecurity.
1.4.2 Функция безопасности портов. Режимы реагирования
на нарушение безопасности
Нарушение безопасности происходит в любой из указанных ниже
ситуаций:
Добавлено максимальное количество защищённых МАС-адресов в
таблицу адресов на интерфейсе, и станция, МАС-адрес которой не
зафиксирован в таблице адресов, пытается получить доступ к интерфейсу.
Адрес, полученный или настроенный на одном защищённом
интерфейсе, замечен на другом защищённом интерфейсе в той же VLAN.
Интерфейс можно настроить на один из трёх режимов реагирования на
нарушение безопасности, который определяет действия, предпринимаемые в
случае нарушения Рис 1.10. На рисунке представлено, какие типы трафика
пересылаются, когда на порте настроен один из следующих режимов
реагирования на нарушение безопасности.
Защита. Когда количество защищённых МАС-адресов достигает
предела разрешённых адресов для порта, пакеты с неизвестными адресами
источника отбрасываются, пока не будет удалено достаточное количество
защищённых МАС-адресов или не будет увеличено максимальное количество
разрешённых адресов. Для этого режима не предусмотрено уведомление о
нарушении безопасности.
Ограничение. Когда количество защищённых МАС-адресов
достигает предела разрешённых адресов для порта, пакеты с неизвестными
адресами источника отбрасываются, пока не будет удалено достаточное
количество защищённых МАС-адресов или не будет увеличено максимальное
количество разрешённых адресов. Для этого режима предусмотрено
уведомление о нарушении безопасности.
Выключение. В этом режиме (установленном по умолчанию)
нарушение безопасности порта вызывает немедленное отключение интерфейса
по причине ошибки и отключает индикатор порта. Для этого режима
предусмотрено увеличение значения счётчика нарушений. При выключении
защищённого порта в результате сбоя его можно снова включить, используя
команды режима конфигурации интерфейса shutdown иno shutdown.
25
Чтобы изменить режим реагирования на нарушение безопасности на
порте
коммутатора,
используйте
команду
режима
конфигурации
интерфейса switchport port-security violation {protect | restrict| shutdown}.
Рис. 1.10 Режимы реагирования на нарушения безопасности пора коммутатора
Функция безопасности портов — это не единственное средство защиты от
несанкционированного доступа. Для эффективной работы системы защиты
сетевой инфраструктуры следует регулярно выполнять приведенные ниже
рекомендации:
Разработайте политику обеспечения безопасности для компании.
Отключите неиспользуемые сервисы и порты.
Используйте надёжные пароли и регулярно меняйте их.
Ограничьте физический доступ к устройствам.
Избегайте использования стандартных ненадёжных веб-сайтов HTTP,
особенно для экранов входа в систему. Вместо них используйте более
безопасные HTTPS.
Регулярно выполняйте резервное копирование данных и проверяйте
резервные файлы.
Расскажите сотрудникам о технологии социальной инженерии и
разработайте политику проверки идентификации людей по телефону, через
электронную почту и лично.
Зашифровывайте и защищайте паролем уязвимые данные.
Обеспечьте безопасность на программном и аппаратном уровнях,
например установите брандмауэры.
Регулярно обновляйте ПО, ежедневно или еженедельно устанавливая
исправления безопасности.
Если предполагается обработка информации с ограниченным доступом,
то следует четко выполнять требования действующего законодательства
Российской Федерации в области защиты информации и информационной
безопасности.
26
Контрольные вопросы к разделу 1
1. Какой метод пересылки кадров обеспечивает минимальную задержку
времени?
2. Что означает термин форм-фактор?
3. Какой тип памяти используется для хранения таблицы коммутации?
4. Перечислите методы повышения производительности сети.
5. Что значит понятие VLAN по умолчанию?
6. Перечислите режимы реагирования на нарушения безопасности.
2
Маршрутизация в инфокоммуникационных сетях
Сети позволяют людям общаться, сотрудничать и по-разному
взаимодействовать. Сети используются для открытия веб-страниц, общения
через IP-телефоны, участия в видеоконференциях, онлайн-игр, совершения
покупок через Интернет, дистанционного обучения и многого другого.
Коммутаторы Ethernet функционируют на канальном уровне модели OSI
и используются для пересылки кадров Ethernet между устройствами в пределах
одной сети. Как известно, уникальным идентификатором устройства в ЛВС на
канальном уровне является МАС-адрес. Пока кадры относятся к одной сети
решение о их пересылки принимает коммутатор используя таблицу
коммутации.
Что происходит когда пользователь отправляет данные в другие сети?
Как в этом случаи организовать передачу данных? На эти вопросы может
ответить более «разумный» элемент современной инфокоммуникационной сети
– маршрутизатор. Для его правильной работы недостаточно знаний МАСадресов, требуется еще один идентификатор – IP –адрес. Уникальная 4 байтная
комбинация записываемая в десятичной системем счисления присваиваемая
любому устройству сети. Маршрутизатор используется для подключения
одной сети к другой. Маршрутизатор отвечает за доставку пакетов в разные
сети. Пунктом назначения для IP-пакета может быть веб-сервер,
расположенный в другой стране, или сервер электронной почты в локальной
сети
Решение о передачи пакета маршрутизатору изначально принимает
операционная система хоста (узла сети), путем конъюнкции своего IP-адреса –
IP-адреса источника и IP-адреса назначения, который известен протоколам
27
верхнего уровня. Если сетевая часть адреса совпадает, то кадр Ethernet
необходимо отправить на коммутатор, если нет, то на маршрутизатор Рис. 2.1
Маршрутизатор использует свою таблицу маршрутизации, чтобы найти
оптимальный путь для пересылки пакетов. Именно маршрутизаторы
обеспечивают своевременную доставку этих пакетов. Эффективность передачи
данных между сетями в значительной степени зависит от возможности
маршрутизаторов пересылать пакеты по наиболее оптимальному пути.
Когда узел отправляет пакет устройству в другой IP-сети, этот пакет
пересылается на шлюз по умолчанию – уникальный IP-адреса сети источника,
который прописывается на интерфейсе маршрутизатора обращенного в свою
сеть. Далее маршрутизатор анализируя таблицу маршрутизации определяет
интерфейс через который следует отправить пакет. Для выполнения описанных
процедур маршрутизатор выполняет:
деинкапсуляцию кадра Ethernet;
определяет IP-адрес получателя;
определяет исходящий интерфейс, путем анализ таблицы
маршрутизации;
заменяет IP-адрес источника на IP-адрес присвоенный исходящему
интерфейсу;
определяет МАС-адрес интерфейса маршрутизатора следующего
перехода;
заменяет МАС-адрес шлюза по умолчанию(в данном случаи МАСадрес получателя) МАС-адресом интерфейса маршрутизатора следующего
перехода;
инкапсулирует IP-пакет в кадр Ethernet если этот протокол определен
в сети соединяющей исходящий интерфейс «нашего» маршрутизатора с
маршрутизатором следующего перехода;
выбирает метод кодирования соответствующий выбранному
протоколу канального уровня;
побитно отправляет с исходящего интерфейса данные по среде
передачи, обеспечивая заданную скорость и параметры электрических сигналов
– Рис 2.2.
28
Рис. 2.1 Состояние полей адресов пакета IP и кадра Ethernet при пересылки
данных от РС-1 к РС-2 находящемуся в удаленной сети
Рис. 2.2 Реализация модели OSI при передачи данных в удаленную сеть
Следует заметить, что протокол канального уровня как видно из Рис. 4.2
может изменяться от перехода к переходу, что требует от маршрутизатора
набора различных интерфейсов. Например, Fast Ethernet для взаимодействия с
сетями 192.168.1.0 и 192.168.2.0 – маршрутизатор R1; Fast Ethernet для
взаимодействия с сетью 192.168.2.0 и РРР для взаимодействия с сетью
192.168.3.0 – маршрутизатор R3.
2.1
Формирование таблицы маршрутизации
Таблица
маршрутизации
маршрутизатора
хранит
следующую
информацию:
Маршруты с прямым подключением — это маршруты, поступающие из
активных интерфейсов маршрутизатора. Маршрутизаторы добавляют маршрут
29
с прямым подключением, когда интерфейс настроен с IP-адресом и
активирован.
Удалённые маршруты — это удалённые сети, подключённые к другим
маршрутизаторам. Маршруты к этим сетям могут быть настроены статически
либо
динамически
с
использованием
протоколов
динамической
маршрутизации.
На рисунке 2.3 представлены сети с прямым подключением и удалённые
сети маршрутизатора R1, а Рис. 2.4 демонстрирует таблицу маршрутизации
IPv4 R1 полученную при помощи команды Cisco IOS show ip route.
Рис. 2.3 Расположение сетей относительно интерфейсов маршрутизатора R1
Рис. 2.4 Таблица маршрутизации R1
30
Изучая таблицу маршрутизации можно видеть что маршрутизатор
предоставляет дополнительную информацию о маршруте, включая способ
получения маршрута, длительность пребывания маршрута в таблице, а также
сведения о конкретном интерфейсе, который следует использовать для
достижения необходимого назначения.
В таблицу маршрутизации могут быть добавлены следующие виды
записей:
Интерфейсы локального маршрута — добавляются, когда интерфейс
настроен и активен. Эта запись отображается только в IOS 15 или более
поздних версиях для IPv4-маршрутов и во всех версиях IOS для IPv6маршрутов.
Интерфейсы с прямым подключением — добавляются в таблицу
маршрутизации, когда интерфейс настроен и активен.
Статические маршруты — добавляются, когда маршрут настроен
вручную и активен выходной интерфейс.
Протокол динамической маршрутизации — добавляется, когда
определены сети и реализуются протоколы маршрутизации, которые получают
информацию о сети динамически, например EIGRP или OSPF.
Источники записей таблицы маршрутизации идентифицируются с
помощью кода. Код определяет, каким образом был получен маршрут. К
примерам распространённых кодов относятся:
L — указывает адрес, назначенный интерфейсу маршрутизатора. Данный
код позволяет маршрутизатору быстро определить, что полученный пакет
предназначен для интерфейса, а не для пересылки.
C — определяет сеть с прямым подключением.
S — определяет статический маршрут, созданный для достижения
конкретной сети.
D — определяет сеть, динамически полученную от другого
маршрутизатора с помощью протокола EIGRP.
O — определяет сеть, динамически полученную от другого
маршрутизатора с помощью протокола маршрутизатора OSPF.
Если еще раз проанализировать таблицу маршрутизации R1, то видно что
в ней 3 маршрута сетей, которые к нему подключены непосредственно. Это
сети 192.168.10.0/24, 192.168.11.0/24 и 209.165.200.0/30. А также видны IPадреса присвоенные интерфейсам маршрутизатора:
192.168.10.1/32 – шлюз по умолчанию для сети 192.168.10.0/24;
192.168.11.1/32 – шлюз по умолчанию для сети 192.168.11.0/24;
31
209.165.200.225/32 – первый IP-адрес сети 209.165.200.224/30.
Дальнейший анализ таблицы показывает, что на маршрутизаторе не
настроен ни один маршрут в удаленные сети, а это значит что пакеты данных
предназначенные для удаленных сетей не будут доставлены. Для дальнейшей
настройки маршрутов, либо следует настроить статические маршруты вручную,
либо настроить динамический протокол маршрутизации.
В примере на Рис. 2.5 показана расшифровка записи таблицы
маршрутизации.
Рис. 2.5 Запись об удаленной сети в таблице маршрутизации.
Запись содержит следующие сведения:
Источник маршрута — определение способа получения маршрута –
идентификатор D означает, что маршрут получен от протокола динамической
маршрутизации EIGRP.
Сеть назначения — определение адреса удалённой сети – 10.1.1.0/24;
Административное расстояние — определение надёжности источника
маршрута – 90 соответствует
EIGRP. Низкие значения указывают на
предпочтительный источник маршрута.
Метрика — определение значения, присвоенного для достижения
удалённой сети. Низкие значения указывают на предпочтительные маршруты
значение зависит от протокола маршрутизации.
Следующий переход — определение IPv4-адреса следующего
маршрутизатора, на который следует переслать пакет – 209.165.200.226/30.
32
Временная метка маршрута — определение количества времени,
прошедшего с тех пор, как был получен маршрут – 5 секунд назад.
Исходящий интерфейс — определение выходного интерфейса для
отправки пакета к конечному пункту назначения – Serial 0/0/0.
Статические маршруты конфигурируются вручную. Для этого
используется команда Cisco IOS ip route. В примере на Рис 2.6 настроено два
статических маршрута до удаленных сетей. На этот раз конфигурация и вид
таблицы маршрутизации взяты с маршрутизатора R2.
Рис. 2.6 Таблица маршрутизации R2
Признаком статического маршрута является буква S указывающая на
источник маршрута.
2.2 Протокол динамической маршрутизации
Протоколы динамической маршрутизации используются в сетях с конца
80-х гг. XX в. Одним из первых протоколов маршрутизации был протокол
маршрутной информации (RIP). Первая версия протокола RIP (RIPv1) была
выпущена в 1988 г., однако отдельные базовые алгоритмы протокола
использовались ещё в сети ARPANET, созданной Агентством Министерства
обороны США по перспективным исследованиям в 1969 г.
Наряду с развитием и усложнением сетей, возникла необходимость в
новых протоколах маршрутизации — таким образом появилась обновлённая
33
версия протокола маршрутизации RIP, названная RIPv2. Однако даже
обновлённая версия RIP не предоставляет возможностей масштабирования при
реализации современных сетей большего размера. В соответствии с
требованиями
сетей
большего
размера
были
разработаны
два
усовершенствованных протокола маршрутизации: протокол маршрутизации
«алгоритм кратчайшего пути» (OSPF) и протокол маршрутизации IS-IS.
Компания Cisco разработала внутренний протокол маршрутизации шлюзов
(IGRP) и усовершенствованный протокол IGRP (EIGRP), которые также
обеспечивают хорошую масштабируемость при реализации сетей большего
размера.
Помимо перечисленных требований, возникла необходимость в
соединении разных сетей и осуществлении маршрутизации между ними. В
настоящее время для связи между сетями интернет-провайдеров используется
протокол BGP. Протокол BGP также обеспечивает обмен данными
маршрутизации между интернет-провайдерами и их крупными частными
клиентами. С появлением многочисленных устройств, использующих IPадреса, адресное пространство IPv4 оказалось практически исчерпанным, что
привело к появлению протокола IPv6. Для обмена данными на основе
протокола IPv6 были разработаны новые версии протоколов IP-маршрутизации.
На рис. 2.7 представлена классификация протоколов.
Рис. 2.7 Классификация протоколов динамической маршрутизации.
Протоколы динамической маршрутизации упрощают обмен информацией
о маршрутах между маршрутизаторами. Протокол маршрутизации
представляет собой набор процессов, алгоритмов и сообщений, используемых
для обмена данными маршрутизации и наполнения таблицы маршрутизации
оптимальными
путями.
Протоколы
динамической
маршрутизации
используются для решения следующих задач:
обнаружение удаленных сетей;
обновление данных маршрутизации;
34
выбор оптимального пути к сетям назначения;
поиск нового оптимального пути в случае, если текущий путь
недоступен.
Протоколы динамической маршрутизации включают в себя следующие
компоненты:
Структуры данных — как правило, для работы протоколов
маршрутизации используются таблицы или базы данных. Данная информация
хранится в ОЗУ.
Сообщения протокола маршрутизации —протоколы маршрутизации
используют различные типы сообщений для обнаружения соседних
маршрутизаторов, обмена информацией о маршрутах и выполнения других
задач, связанных с получением актуальной информации о сети.
Алгоритм — определённый список действий, используемых для
выполнения задачи. Протоколы маршрутизации используют алгоритмы,
упрощающие обмен данных маршрутизации и определение оптимального пути.
В целом, работу протокола динамической маршрутизации можно описать
следующим образом:
1. Маршрутизатор отправляет и принимает сообщения маршрутизации на
свои интерфейсы.
2. Маршрутизатор предоставляет общий доступ к сообщениям
маршрутизации и данным о маршрутах для других маршрутизаторов,
использующих тот же протокол маршрутизации.
3. Маршрутизаторы осуществляют обмен данными маршрутизации для
получения информации об удалённых сетях.
4. При обнаружении маршрутизатором изменений в топологии, протокол
маршрутизации может объявить это изменение для других маршрутизаторов.
Все действующие протоколы динамической маршрутизации можно
классифицировать следующим образом – Рис. 2.8.
35
Рис. 2.8 Классификация протоколов динамической маршрутизации.
Из представленных на рисунке 2.8 протоколов наиболее популярными в
инфокоммуникационных сетях являются EIGRP и OSPF. Поскольку EIGRP
является проприетарным протоколом корпорации Cisco его рассмотрение в
рамках пособия ограничено. Напротив протокол OSPF является открытым для
использования поэтому рассмотрим его подробнее.
2.3
Протокол динамической маршрутизации OSPF
OSPF — это распространённый протокол маршрутизации с учетом
состояния каналов. Он был разработан в качестве замены для протокола на базе
векторов расстояния, RIP. Однако протокол OSPF имеет ряд значительных
преимуществ в сравнении с протоколом RIP, обеспечивая более быструю
сходимость и возможность масштабирования в сетях большего размера.
Протокол OSPF имеет следующие свойства:
Бесклассовость — протокол разработан как бесклассовый,
следовательно, он поддерживает использование VLSM и маршрутизации CIDR.
Эффективность — изменения маршрутизации запускают обновления
маршрутизации (без периодических обновлений). Протокол использует
алгоритм поиска кратчайшего пути SPF для выбора оптимального пути.
Быстрая сходимость — быстрота распространения изменений сети.
36
Масштабируемость — подходит для использования как в
небольших, так и в больших сетях. Для поддержки иерархической структуры
маршрутизаторы группируются в области.
Безопасность — поддерживает аутентификацию Message Digest 5
(MD5). Если эта функция включена, маршрутизаторы OSPF принимают только
зашифрованные пароли.
Для реализации функций маршрутизации протокол содержит три
основных компонента:
Структуры данных. Для структурирования информации о топологии
сети протокол формирует в оперативной памяти три базы данных(Рис 2.9):
База данных смежности — создаёт таблицу соседних устройств.
База данных о состоянии каналов (LSDB) — создаёт таблицу
топологии.
База данных пересылки — создаёт таблицу маршрутизации.
Сообщения протокола маршрутизации Протокол OSPF осуществляет
обмен сообщениями для передачи данных маршрутизации, используя для этого
пять типов пакетов:
пакет приветствия (hello);
пакет описания базы данных;
пакет состояния канала;
пакет обновления состояния канала;
пакет подтверждения состояния канала.
Алгоритм. Для формирования дерева кратчайших путей SPF
используется алгоритм поиска кратчайшего пути Дейкстры (Рис 2.10).
37
Рис 2.9 Описание баз данных протокола OSPF
Рис 2.10 Последовательность пересылки пакетов протокола OSPF
38
Рис 2.11 Дерево кратчайших путей маршрутизатора R1 построенное
протоколом OSPF
Ключевым параметром – метрикой алгоритма является совокупная
стоимость доступа к точке назначения выраженная в единицах пропускной
способности каналов. Данная величина обратно пропорциональна стоимость
интерфейса, к которому подключен канал выраженной в бит/с. Заданная
пропускная способность равна по умолчанию 10^8 (100000000)бит/с. Тогда
стоимость вычисляют по формуле 1.1:
Стоимость = 100 000 000 бит/с /пропускная способность интерфейса (бит/с), (1.1)
где пропускная способность интерфейса представлена в таблице на Рис 2.12.
Рис. 2.12 Определение стоимости интерфейса для протокола OSPF
39
2.3.1 Принцип работы OSPF в одной области
Для предоставления данных маршрутизации
маршрутизаторы,
использующие протокол OSPF, выполняют следующие общие шаги процесса
маршрутизации по состоянию канала для достижения состояния сходимости:
1. Установление отношений смежности с соседними устройствами.
Маршрутизатор отправляет пакеты приветствия из всех интерфейсов с
включенным OSPF для определения всех соседних устройств в пределах этих
каналов. При наличии соседнего устройства маршрутизатор, использующий
OSPF, пытается установить с ним отношения смежности.
2. Обмен объявлениями о состоянии канала. После установления
отношений смежности маршрутизаторы выполняют обмен объявлениями о
состоянии канала (LSA). LSA содержат состояние и стоимость каждого
напрямую подключенного канала. Маршрутизаторы отправляют свои LSA
смежным устройствам. При получении LSA смежные устройства мгновенно
отправляют свои LSA напрямую подключенным соседям; данный процесс
продолжается до тех пор, пока все маршрутизаторы области не получат все
LSA.
3. Создание таблицы топологии. После получения объявлений о
состоянии канала (LSA) маршрутизаторы создают базу данных топологии на
базе полученных пакетов. В этой базе данных в конечном итоге собирается вся
информация о топологии сети.
4. Выполнение алгоритма поиска кратчайшего пути и формирование
дерева кратчайших путей SPF. Следует заметить что каждый маршрутизатор
создает дерево корнем которого является он сам. Оптимальные маршруты
вносятся в таблицу маршрутизации и используются для принятия решения по
пересылки пакета.
При реализации алгоритма маршрутизатор OSPF проходит определенные
состояния,
которые
отражаются
в
консольных
сообщениях.
Последовательность состояний показана на Рис. 2.13.
При настройки протокола следует следить за состояниями
маршрутизатор. Состояние Two-Way и Full считаются стабильными. В
состоянии Full базы данных всех маршрутизаторов сети синхронизированы, что
означает возможность выполнять маршрутизацию по оптимальным маршрутам.
Состояние Tow-Way показывает, что происходит выбор выделенного
маршрутизатора DR в сетях со множественным доступом (Рис. 2.14). Рисунок
демонстрирует, что происходит, если в качестве протокола канального уровня
выбран Ethernet. Нетрудно подсчитать, что при количестве маршрутизаторов 10
40
количество отношений смежности будет 45, а при 20 соответственно 190. Такое
количество операций приведет к существенной потере полезной пропускной
способности сети для передачи данных пользователя. Для решения данной
проблемы предусмотрен механизм выбора выделенного маршрутизатора,
который существенно сокращает количество рассылаемых пакетов. После
выбора DR только он отправляет ответы на приветствия, а не каждый каждому.
Рис 2.13 Состояния маршрутизатора OSPF
Это не единственная сложность, с которой сталкивается протокол. Когда
маршрутизаторов становится много неизбежно растет объем служебного
трафика особенно это касается случаев изменения топологи сети(отказ канала,
узла, добавление канала, узла). Для решения этой проблемы протоколом
предусмотрен механизм иерархического представления сети, выполняющий
деление большой сети на автономные области.
Рис. 2.14 Лавинная рассылка пакетов LSA
41
Протокол OSPF кроме сетей с множественным доступом может быть
развернут в следующих типах сетей:
«Точка-точка» — это сеть, которая содержит два маршрутизатора,
подключенных друг к другу по одному общему каналу. К этому каналу не
подключены другие маршрутизаторы. Как правило, эта конфигурация
используется в сетях WAN. (Рис. 2.15)
Нешироковещательная сеть множественного доступа (NBMA) —
содержит несколько маршрутизаторов, подключенных друг к другу в сети,
которая запрещает широковещательную адресацию, например, Frame Relay.
«Многоточечная сеть» — содержит несколько маршрутизаторов,
подключенных в звездообразной топологии через сеть NBMA. Часто
используется для подключения филиалов (концы звезд) к центральному узлу
(концентратор).
Виртуальные каналы — особая сеть OSPF, используемая для
соединения отдалённых областей OSPF с областью магистрали. (Рис. 2.16)
Рис. 2.15 Сеть типа «точка-точка»
Рис. 2.16 Сеть типа «виртуальный канал».
2.3.2 Протокол OSPF для нескольких областей
Использование OSPF для одной области является целесообразным в
небольших сетях с несложной системой каналов маршрутизаторов и легко
определяемыми маршрутами к отдельным узлам назначения.
42
Но если область становится слишком большой, необходимо уделить
внимание следующим проблемам:
Большая таблица маршрутизации — OSPF не выполняет объединения
маршрутов по умолчанию. Если объединение маршрутов не осуществляется,
таблица маршрутизации может стать очень большой в зависимости от размера
сети.
Большая база данных состояний каналов (LSDB) — поскольку LSDB
охватывает топологию всей сети, каждый маршрутизатор должен поддерживать
запись для каждой сети в области, даже если не все маршруты выбраны для
таблицы маршрутизации.
Частые расчёты алгоритма SPF — в крупной сети неизбежны
изменения, поэтому маршрутизаторы тратят много циклов ЦП на перерасчёт
алгоритма SPF и обновление таблицы маршрутизации.
Чтобы повысить эффективность и масштабируемость OSPF, протокол
OSPF поддерживает иерархическую маршрутизацию с помощью областей.
Область OSPF — это группа маршрутизаторов, совместно использующих в
своих базах данных состояний каналов одинаковые данные о состоянии
каналов.
Разделение большой области OSPF на области меньшего размера
называется OSPF для нескольких областей. Использование OSPF для
нескольких областей является целесообразным в инфокоммуникационных
сетях большего размера, поскольку это позволяет сократить потребление
ресурсов ЦП и памяти маршрутизатора.
Например, каждый раз, когда маршрутизатор получает новые данные о
топологии, такие как добавление, удаление или изменение канала,
маршрутизатор должен повторно выполнить алгоритм SPF, создать новое
дерево SPF и обновить таблицу маршрутизации. Алгоритм SPF требует
значительных ресурсов ЦП, и время, необходимое для выполнения
соответствующих расчётов, зависит от размера области. Слишком большое
количество маршрутизаторов в одной области увеличивают размер базы
данных LSDB и нагрузку на ЦП. Следовательно, разделение маршрутизаторов
на области позволяет эффективно разделить одну базу данных потенциально
большого размера на несколько баз данных меньшего размера, которыми
впоследствии легче управлять.
В случае OSPF для нескольких областей требуется иерархическая
структура сети. Главная область называется магистральной областью (областью
43
0), а все другие области должны подключаться к магистральной области. При
иерархической организации маршрутизация продолжает осуществляться между
областями (это называется межобластной маршрутизацией), при этом многие
рутинные операции маршрутизации, например повторный расчёт базы данных,
выполняются внутри области.
Таким образом иерархическая топология OSPF для нескольких областей
обеспечивает следующие преимущества:
Таблицы маршрутизации меньшего размера. Число записей в таблице
маршрутизации уменьшается, так как адреса сетей в области могут быть
объединены. Например, маршрутизатор R1 может объединить маршруты из
области 1 в область 0, а маршрутизатор R2 — маршруты из области 51 в
область 0. Маршрутизаторы R1 и R2 также распространяют статический
маршрут по умолчанию в область 1 и область 51.
Снижение накладных расходов на обновление состояний каналов. Изза уменьшения количества маршрутизаторов, обменивающихся пакетами LSA,
снижаются требования к обработке данных и памяти.
Снижение частоты расчётов кратчайшего пути SPF. Влияние
изменений топологии локализуется в пределах области. Например, это
минимизирует влияние обновлений маршрутизации, так как лавинная рассылка
пакетов LSA прекращается на границе области.
Допустим, отказал канал между двумя внутренними маршрутизаторами в
области 51 (рис. 2.17). В этом случае только маршрутизаторы в области 51
выполнят обмен пакетами LSA и заново вычислят кратчайший путь по
алгоритму SPF. Маршрутизатор R1 не получает пакеты LSA из области 51 и не
выполняет перерасчёт по алгоритму SPF.
Рис. 2.17 Преимущества разделения на области протокола OSPF
44
OSPF для нескольких областей реализован в виде двухуровневой
иерархии областей (Рис.2.17):
Магистральная (транзитная) область — область OSPF, основной
функцией которой является быстрое и эффективное перемещение IP-пакетов.
Магистральные области соединяют другие типы областей OSPF. Обычно в
магистральной области конечные пользователи отсутствуют. Магистральная
область также называется нулевой областью OSPF. В иерархической сети
нулевая область определяется в качестве ядра, к которому напрямую
подключены все остальные области.
Обычная (немагистральная) область — область, обеспечивающая
связь для пользователей и ресурсов. Обычные области, как правило, создаются
на основе функционального или географического группирования. По
умолчанию обычная область запрещает передачу трафика от одной области до
другой по свои каналам. Весь трафик из других областей должен проходить
через транзитную область. На Рис. 2.17 это области 1 и 51.
OSPF реализует надежную двухуровневую иерархию областей.
Используемая физическая структура сети должна устанавливать соответствие с
двухуровневой структурой областей, причем все немагистральные области
должны быть напрямую подключены к области 0. Весь трафик, передаваемый
из одной области в другую, должен проходить через магистральную область.
Подобный трафик называется межобластным.
Оптимальное число маршрутизаторов в области зависит от многих
факторов, таких как устойчивость сети, однако Cisco рекомендует соблюдать
следующие условия:
Область не должна содержать более 50 маршрутизаторов.
Маршрутизатор не должен находиться более чем в 3 областях.
Число соседних маршрутизаторов для любого отдельного
маршрутизатора не должно превышать 60.
Маршрутизаторы OSPF разных типов позволяют управлять трафиком,
который передается в область и из нее. Маршрутизаторы OSPF классифицируются
на основе функции, выполняемой ими в домене маршрутизации.
Существует четыре различных типа маршрутизаторов OSPF:
Внутренний маршрутизатор — это маршрутизатор, все интерфейсы
которого находятся в одной и той же области. Все внутренние маршрутизаторы
в области используют одинаковые базы LSDB. На Рис. 2.17 это
маршрутизаторы находящиеся в областях 1 и 51.
45
Магистральный маршрутизатор — это маршрутизатор, находящийся в
магистральной области. Обычно магистральная область настраивается как
область 0. На Рис. 4.18 это маршрутизаторы R1 и R2.
Пограничный маршрутизатор области(ABR) — это маршрутизатор,
интерфейсы которого находятся в нескольких областях. Он должен вести базы
LSDB отдельно для каждой области, к которой он подключен, и может
выполнять маршрутизацию между областями. Маршрутизаторы ABR являются
точками входа/выхода для области; это означает, что информация о маршрутах,
адресованная другой области, может попасть только через маршрутизатор ABR
локальной области. Маршрутизаторы ABR могут быть сконфигурированы для
суммаризации данных о маршрутах из баз LSDB соответствующих
подключенных областей. Маршрутизаторы ABR распространяют данные о
маршрутах в магистраль. Затем магистральные маршрутизаторы передают эту
информацию другим маршрутизаторам ABR. В сети, состоящей из нескольких
областей, область может содержать один или несколько маршрутизаторов ABR.
На Рис. 2.17 это маршрутизаторы R1 и R2.
Граничный маршрутизатор автономной системы (ASBR) — это
маршрутизатор, у которого как минимум один интерфейс подключен к
внешней объединяющей сети (к другой автономной системе), например к сети,
не поддерживающей протокол OSPF. Маршрутизатор ASBR может
импортировать информацию из сети, не поддерживающей OSPF, и обратно,
используя процесс перераспределения маршрутов. На Рис. 2.17. такого
маршрутизатора нет.
Перераспределение в OSPF для нескольких областей выполняется, когда
маршрутизатор ASBR подключен к разным доменам маршрутизации
(например, EIGRP и OSPF) и сконфигурирован для обмена и объявления
данных о маршрутах между этими доменами маршрутизации.
Маршрутизатор может относиться к нескольким типам маршрутизаторов.
Например, если маршрутизатор соединяет область 0 с областью 1 и, кроме того,
ведет таблицу маршрутизации для другой сети, не поддерживающей протокол
OSPF, он может быть отнесен сразу к трем разным типам: магистральный
маршрутизатор, граничный маршрутизатор области (ABR) и граничный
маршрутизатор автономной системы (ASBR).
Таким подводя итог следует отметить что возможности протокола OSPF
крайне высоки. Протокол используют для построения отказоустойчивых
масштабируемых инфокоммуникационных сетей. За счет встроенных
механизмов приоритезации и управления интервалами ответов можно
46
выполнить любую конфигурацию сети и оптимизировать загрузку каналов
передачи данных. Отдельным вопросам является обеспечение безопасности
обновлений таблиц маршрутизации. Для реализации данной процедуры
применяется хеширование паролей алгоритмом MD5.
2.3.3 Безопасность обновлений маршрутов
Когда на маршрутизаторе настроена аутентификация соседних устройств,
маршрутизатор проверяет источник каждого получаемого пакета обновлений
маршрутов. Эта аутентификация реализуется путем обмена секретного ключа
аутентификации
(который
также
называют
паролем),
известного
маршрутизатору-отправителю и маршрутизатору-получателю.
OSPF поддерживает три типа аутентификации:
Нулевая (Null) — это способ по умолчанию, который означает, что
аутентификация для OSPF не используется.
Простая аутентификация по паролю — также ее называют
аутентификацией на базе открытого ключа, поскольку пароль в обновлении
отправляется по сети в виде обычного текста. Этот способ аутентификации
OSPF считается устаревшим.
Аутентификация MD5 — наиболее безопасный и рекомендуемый
способ аутентификации. Аутентификация MD5 гарантирует более высокий
уровень безопасности, равноправные узлы не обмениваются паролями. Вместо
этого он вычисляется по алгоритму MD5. Отправителя аутентифицируют
совпадающие результаты (Рис. 2.18).
Рис. 2.18 Реализация аутентификация MD5
47
В примере на рис. 2.19 видно, как аутентификация MD5 используется для
проверки подлинности двух смежных OSPF маршрутизаторов. Предварительно
маршрутизатор R1 для вычисления подписи с помощью алгоритма MD5
хеширует сообщение маршрутизации с предварительно согласованным
секретным ключом. Далее добавляет подпись к сообщению маршрутизации и
отправляет его маршрутизатору R2. MD5 не шифрует сообщение, поэтому его
содержимое легко прочитать. Маршрутизатор R2 объединяет сообщение
маршрутизации с предварительно согласованным секретным ключом и
рассчитывает подпись с помощью алгоритма MD5. Если подписи совпадают, то
R2 принимает обновление маршрутизации в противном случаи обновление не
принимается. Для обмена секретными ключами используют алгоритм ДиффиХелмана.
OSPFv3 (OSPF для IPv6) не обладает собственными возможностями
аутентификации. Вместо этого для защиты передачи данных между соседними
устройствами он использует протокол IPsec Это способствует упрощению
протокола OSPFv3 и стандартизации его механизмов аутентификации.
Рис. 2.19 Процесс проверки подлинности цифровой подписи
маршрутизатором R2
48
Таким образом, рассмотрены основные функции протокола динамической
маршрутизации OSPF. Следует заметить, что версия протокола OSPF v2
использует для маршрутизации IPv4 адреса и базируется на 4 версии протокола
IP. При настройки маршрутизатора для реализации протокола OSPF v2
используется команда Cisco IOS router ospf и в дальнейшем командой Cisco IOS
network выполняется объявление сетей, о которых маршрутизатор «расскажет»
соседям.
При конфигурации OSPF v3 для работы с протоколом IPv6 следует в
первую очередь активировать режим работы маршрутизатора с IPv6, путем
введения команды Cisco IOS ipv6 multicast routing в режиме глобальной
конфигурации. Далее командой Cisco IOS ipv6 router ospf объявляется
реализация этого протокола. Серьезным отличием от OSPF v2 является то, что в
данной случаи сети объявляются на интерфейсах, а не в целом на
маршрутизаторе. При этом на интерфейсе обязательно должен быть объявлен
IPv6 Link-Local адрес. Независимо от версии протокола при указания IP-адреса
в объявляемых сетях используют инверсные маски для сокращения времени на
вычисление адреса сети. На рис. 2.20 показан пример таблицы маршрутизации
OSPF v3 и команда Cisco IOS show ipv6 route.
Рис 2.20 Таблица маршрутизации OSPF v3.
Из таблицы видно, что через интерфейсе Serial 0/0/0 достижимы сети
2001:В88:CAFE:2::/64, 2001:В88:CAFE:3::/64, 2001:В88:CAFE:А002::/64 и
определен IPv6 Link-Local адрес FE80::2. Также видно, что маршруты получены
по протоколу OSPF идентификатор – О.
49
Контрольные вопросы по разделу 2
1. Какая метрика используется протоколом OSPF для оценки
оптимальности маршрута?
2. Какая область имеет номер 0?
3. Зачем используется команда Cisco IOS network&
4. Какой командой Cisco IOS можно посмотреть таблицу
маршрутизации IPv6?
5. Зачем
используется
аутентификация
серверов
OSPF?
50
Заключение
Инфокоммуникации стали неотъемлемой частью жизни современного
человека. Разнообразные сети передачи данных окружают нас повсеместно.
Количество протоколов и стандартов сетевых взаимодействий исчисляется
сотнями, а разнообразие сетевых приложений не поддается измерению.
Нам довелось жить в эру новой цифровой революции – цифровой
трансформации бизнеса, мира «Интернета вещей» и «Сетей без границ». Такое
разнообразие требует от специалиста серьезного кругозора и фундаментальных
знаний в области сетей передачи данных. Какие бы сетевые технологии не
развивались и не внедрялись, эталонная модель ISO/OSI остается незыблемой, а
заложенный в ней потенциал позволяет реализовать любы коммуникации.
В заключение хотелось от автора поблагодарить студентов гр. ИТ-414
Бабайлова Вячеслава Сергеевича и Поспелову Елену Александровну в помощи
при подготовки пособия к изданию.
51
Список литературы
1. Основы построения инфокоммуникационных систем и сетей : учеб.метод. пособие по проведению практических занятий / Н. А. Борисова
; СПбГУТ. – СПб., 2014. – 84 с.
2. Транспортные сети IP/MPLS. Технология и протоколы : учеб. пособие
/ А. Б. Гольдштейн, А. В. Никитин, А. А. Шкрыль ; СПбГУТ. – СПб.,
2016. – 80 с.
3. Паршин К. А. Исследование высокоэффективных методов доступа к
моноканалу : автореферат дис. ... канд. техн. наук : 05.13.13 / Паршин
Константин Анатольевич. – Москва, 2002. – 18 с. – Библиогр.: с. 18 (4
назв.).
4. ГОСТ Р 21.1101-2013 Основные требования к проектной и рабочей
документации. – М. : Стандарт Информ, 2013. – 54 с.
52