Basics of routing & switching: basics

Basics of
Cisco Switching & Routing

Разработка: Владимир Литовка
doka.ua@gmail.com
http://doka-ua.blogspot.com/

Этот документ доступен по лицензии Creative Commons
«Attribution-NonCommercial-ShareAlike» 3.0 Непортированная
(http://creativecommons.org/licenses/by-nc-sa/3.0/deed.ru)

Switching & Routing – doka – T102 2010, Владимир Литовка (http://doka-ua.blogspot.com/)

Содержание
  Обзор технологий
o  Модель OSI
o  Link-Layer Protocols
  Ethernet   Routing
•  802.1q, 802.1ad o  Принципы
•  STP, RSTP, MSTP o  Static Routing
  PPP o  Policy-based Routing
•  Radius
o  Dynamic Routing
•  PPPoE / L2TP
  RIP
o  TCP/IP   OSPF
  IP   IS-IS
  QoS / Diffserv   BGP
  TCP
  UDP, ICMP
  Multicast Routing


Что такое «модель OSI»

Приложение Обеспечение взаимодействия между
пользовательскими приложениями и сетью

Приведение передаваемых данных к общему
Представление
формату

Сеанс Поддержание сеанса связи

Транспорт Доставка данных без ошибок, потерь, дублирования,
с сохранением последовательности

Сеть Определение пути передачи данных

Ethernet, Point-to-Point Protocol (PPP),
Канал
Frame-Relay (FR), …

Физика Проводные (оптические, медные) линии связи
Беспроводные линии связи


Что такое «модель OSI»
Надо на узел «Г» отослать
фотографию Узел «А»

Ок, преобразуем исходные данные в Приложение
универсальный формат

Представление
Эй, «Г», для тебя посылочка!
Приготовься получать!
И подтвердишь, что получил, ок? Сеанс

Эй, «Г», лови посылочку!
Транспорт

Сеть Узел «Г» находится где-то за узлом
«Е» …
Г Ё
Канал
Б Эй, «Е», передай посылочку для
«Г»!
Физика
В Е
Я помогу! Есть среда передачи -
медный кабель !


Ethernet
Протоколы
канального
уровня
PPP
L2TP

PPPoE


Что такое Ethernet
  Разрабатывается комитетом IEEE(*) 802
  Объединяет два нижних уровня OSI
o  управление средой передачи (частота, модуляция,
кодирование)
o  обеспечение передачи данных между парой непосредственно
доступных узлов (коммутация в сегменте)
  узел идентифицируется MAC-адресом
  структура Ethernet-фрейма:

Фрейм Ethernet
Destination MAC Source MAC Ether Type Пакет IP
CRC
Checksum
Ethernet Header Ethernet Payload

(*) Institute of Electrical and Electronic Engineers


Заголовок Ethernet

  Media Access Control (MAC)

Картинка: Википедиа (http://en.wikipedia.org/wiki/MAC_address)
Address – идентификатор
узла:
o  248 доступных адресов
o  прогноз исчерпания –
около 2100 года

  EtherType – идентификатор
структуры передаваемых данных
o  0x0800 – IPv4
o  0x8100 – IEEE 802.1q
o  0x9100 – Q-in-Q
o  …


Что такое Ethernet-сегмент
  Совокупность узлов, для обмена данными между которыми
достаточно информации из Ethernet-заголовка (Source / Destination
MAC, EtherType)
  Коммутатор – «прозрачное» устройство для создания и поддержки
сегмента:

Коммутатор Таблица MAC-адресов MAC #2

1 2 3 4 Порт #1 MAC #1
Порт #2 MAC #2
MAC #3
Порт #3 MAC #3 MAC #1

MAC #5
MAC #2

MAC #4
MAC #1

MAC #4
MAC #3
MAC #5

Порт #4 MAC #4

  За одним портом может быть более одного MAC-адреса


Что такое Ethernet VLAN
  Virtual Local Area Network
  Виртуальный изолированный Ethernet-сегмент,
существующий в рамках физического Ethernet-сегмента
Таблица MAC-адресов MAC #2

VLAN 7
Коммутатор Порт #1 MAC #1
VLAN 7
1 2 3 4 5 6 Порт #2 MAC #2 MAC #1 MAC #3
Порт #3 MAC #3 MAC #4
Порт #4 MAC #4
VLAN 15 VLAN 15
MAC #2

MAC #3

MAC #4

MAC #5
MAC #6
MAC #1

Порт #5 MAC #5
Порт #6 MAC #6 MAC #5 MAC #6

Порт #4 MAC #4


Что такое Ethernet Trunk
Коммутатор   Порты 1,2,3,5,6 – порты доступа (access),
1 2 3 4 5 6 транспорт фреймов только своего VLAN’а
  Порт 4 – транковый (trunk) порт,
транспорт фреймов многих VLAN’ов

  Транковый порт:
o  IEEE 802.1q
o  Модифицированный заголовок фрейма:

Фрейм Ethernet
802.1q
Destination MAC Source MAC Ether Type Пакет IP
заголовок CRC
Checksum
Ethernet Header Ethernet Payload


Заголовок IEEE 802.1q
| Source MAC |EType| Payload …_____________
| | | | | | | | |

| Source MAC | 802.1q |EType| Payload …
| | | | | | | | | | | | |

Поле в заголовке Описание
TPID (Tag Protocol Identifier, 16 бит) Аналог Ethertype, расположен в том
же месте заголовка
PCP (Priority Code Point, 3 бита) IEEE 802.1p Priority – класс
обслуживания (CoS)
Canonical Format Indicator (CFI, 1 бит) Для Ethernet – всегда “0” (ноль).
VLAN Identifier (VID, 12 бит) VIDs 0 – 4095
o  0 и 4095 зарезервированы


Native VLAN

  Native VLAN – частный параметр транкового порта
  Фреймы из Native VLAN не сопровождаются
заголовком 802.1q :
o  при отправке такого фрейма заголовок 802.1q снимается на
выходе из порта коммутатора
o  нетегированный фрейм тегируется номером native VID на
входе из порта коммутатора
  На разных концах Ethernet-соединения могут быть
разные значения параметра Native VLAN

Не используйте «стандартный» (VID 1) номер для
Native VLAN


IEEE 802.1ad
aka Provider Bridges, Q-in-Q, VLAN Stacking

| Source MAC | 802.1q | 802.1q |EType| Payload …
| | | | | | | | S-VLAN |
| | |C-VLAN |
| | | |

  Сохранение структуры VLAN’ов «внешнего» Ethernet-
сегмента на входе во «внутренний» сегмент
o  клиентская сеть
o  собственная площадка оператора

  Source и Destination MAC сохраняются
o  возможность предоставлять полносвязные Ethernet VPN
в рамках одного Ethernet-сегмента

  Копирование / трансляция C-PCP в S-PCP
o  если граничный коммутатор не поддерживает,
структура QoS разваливается


Целостность сетей Ethernet
Семейство протоколов, обеспечивающее разомкнутую
(loop-free) топологию в сетях Ethernet:
  Одно дерево на все VLAN’ы
o  Spanning Tree Protocol (STP, IEEE 802.1D)
o  Rapid Spanning Tree Protocol (RSTP, IEEE 802.1w)

  Дерево на каждый VLAN (Cisco proprietary)
o  Per-VLAN Spanning Tree (PVST, PVST)
o  Rapid Per-VLAN Spanning Tree (R-PVST)

  Дерево на группу VLAN’ов
o  Multiple Spanning Tree (MST, IEEE 802.1s)


Spanning Tree
  Bridge – коммутатор, связывающий сегменты сети

Источник: Википедиа (http://en.wikipedia.org/wiki/Spanning_tree_protocol)
1.  Определение Root Bridge
o  Smallest Bridge ID
o  Smallest MAC
2.  Определение кратчайших путей до Root Bridge
o  Path Cost
•  100 Mbps – 19
•  1 Gbps – 4
•  10 Gbps – 2
o  Назначение портов
•  RP – Root Port
•  DP – Designated Port
•  BP – Blocked Port (все прочие)


Spanning Tree Signaling
  Bridge Protocol Data Unit (BPDU) – фреймы управления
(сигнализации), рассылаемые коммутаторами
o  Configuration BPDU (C-BPDU) – построение Spanning Tree
o  Topology Change Notification (TCN)
o  TCN Acknowledgement (TCA)

  Сходимость Ethernet-сегмента в случае аварии
зависит от
o  размера сегмента
o  таймеров
o  управляется с root bridge
и составляет от 30 до 50 секунд(*)

(*) http://www.cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a0080094954.shtml


STP: состояния портов
Отсутствие 10x Hello
Blocking (20 сек)

Listening Посылка TCN в сторону Root
Disabled
Listening State
Learning (forwarding_delay, 15 сек) возможная задержка на
транзитных коммутаторах

Forwarding
Root рассылает TCN

Learning State
Root
(forwarding_delay, 15 сек) •  возможная задержка на
транзитных коммутаторах
•  «старение» MAC-table

“A” “B”
Forwarding State Топология сошлась

http://www.cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a0080094954.shtml


STP: состояния портов
Диагностика с коммутатора “A”
Oct 14 00:18:49.426: STP: VLAN0001 heard root 32769-ec44.76f7.2880 on Fa0/1
Oct 14 00:19:07.419: STP: VLAN0001 new root port Fa0/2, cost 119
Oct 14 00:19:07.419: STP: VLAN0001 Fa0/2 -> listening
Oct 14 00:19:08.468: STP: VLAN0001 Topology Change rcvd on Fa0/1
Oct 14 00:19:08.468: STP: VLAN0001 Fa0/2 tx BPDU: tcn: 0000 00 80
Oct 14 00:19:08.476: STP: VLAN0001 sent Topology Change Notice on Fa0/2
Oct 14 00:19:09.474: STP: VLAN0001 Fa0/1 tx BPDU: config protocol=ieee
Data : 0000 00 00 81 6001EC30915E0F00 00000077 800158BC274DFA80 8001 0300 1400 0200 0F00
Data : 0000 00 00 01 6001EC30915E0F00 00000077 800158BC274DFA80 8001 0300 1400 0200 0F00
Data : 0000 00 00 01 6001EC30915E0F00 00000077 800158BC274DFA80 8001 0300 1400 0200 0F00
Data : 0000 00 00 01 6001EC30915E0F00 00000077 800158BC274DFA80 8001 0200 1400 0200 0F00
Oct 14 00:19:22.426: STP: VLAN0001 Fa0/2 -> learning
Oct 14 00:19:37.433: STP: VLAN0001 Fa0/2 tx BPDU: tcn: 0000 00 80
Oct 14 00:19:37.433: STP: VLAN0001 sent Topology Change Notice on Fa0/2
Oct 14 00:19:37.433: STP: VLAN0001 Fa0/2 -> forwarding


Rapid Spanning Tree
  Расширение ролей портов:
Root
D D
•  Alternate – Blocked при Designated на другом
коммутаторе
R R
•  Backup – Blocked при Designated на том же
A D B коммутаторе

  уменьшено количество состояний порта
Discarding, Learning, Forwarding
  механизм обратной связи для разблокирования порта
Proposal, Agreement
  TCN распространяется по сети, а не через Root Bridge
реагирование на аварию начинается быстрее
  уменьшено время детектирования потери Root Bridge

http://www.cisco.com/en/US/tech/tk389/tk621/technologies_white_paper09186a0080094cfa.shtml


Синхронизация RSTP
“R” “A” “С”

1/0/3 1/0/1

“B”

Диагностика с коммутатора “A”
12:13:26.735: RSTP(1): initializing port Gi1/0/3
12:13:26.735: RSTP(1): Gi1/0/3 is now designated
12:13:26.744: RSTP(1): transmitting a proposal on Gi1/0/3
12:13:26.786: RSTP(1): updt roles, received superior bpdu on Gi1/0/3
12:13:26.786: RSTP(1): Gi1/0/3 is now root port
12:13:26.786: RSTP(1): Gi1/0/1 blocked by re-root
12:13:26.786: RSTP(1): synced Gi1/0/3
12:13:26.786: RSTP(1): Gi1/0/1 is now designated
12:13:26.794: RSTP(1): transmitting an agreement on Gi1/0/3 as a response to
a proposal
12:13:27.767: RSTP(1): transmitting a proposal on Gi1/0/1
12:13:28.740: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/3, changed state to up
12:13:29.747: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/3,
changed state to up


Multiple Spanning Tree
Spanning Tree
(IEEE)

VLANs
1-4094

Per-VLAN Spanning Tree
(Cisco proprietary)

VLANs VLANs
1,5,17 3,10,27

(IEEE)

Instance Instance
#1 #2

http://blog.ine.com/2010/02/22/understanding-mstp/



Топологи
я №2 (V
LANs 1-1
00)

Тополо
гия №1
( VLANs
1 0 0 -4 0
94)
Физиче
ская то
пология


  Сходимость на основе RSTP
  Регион – группа коммутаторов в рамках одной физической
топологии с одинаковым набором логических топологий
  Определяется набором идентификаторов:
o  Имя (name)
o  Версия (revision)
o  VLAN-to-Instance mapping

MST Region #1
CIST Root &
Regional Root   Internal Spanning Tree (IST, MST0)
o  внутри региона
IEEE 802.1D
o  M-records per every MSTI
Spanning Tree

  Common & Internal Spanning Tree
Tree (CST)
(CIST)
  объединяет регионы
  рассматривает регион как коммутатор
MST Region #3 CIST MST Region #2
Bridge ID is CIST Regional Root’s ID
Regional Root   связывает с STP/RSTP
http://blog.ine.com/2010/02/22/understanding-mstp/


Безопасность
 Не используйте VLAN 1 ни для чего
o  Native VLAN
o  Management VLAN
 Явно определяйте список разрешенных
VLAN’ов на транковом порту(*)
 Spanning-Tree Security(**)
o  Root Guard для защиты выбранного Root Bridge
o  BPDU Guard для защиты от «чужих» BPDU
 Port security(***)
(*) http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_55_se/configuration/guide/swvlan.html
(**) http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a008013159f.shtml
(***) http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_55_se/configuration/guide/swtrafc.html


Правила здравого смысла
 Не полагаться на автоматическую настройку
Spanning Tree Protocol
o  явным образом определять Root Bridge и резервный
o  стоимость линка определяет его используемость

 В качестве Root Bridge использовать
коммутатор:
o  ближайший к центру топологии
o  самый производительный в этих краях

 По возможности, ограничивать размер STP-
топологии
o  рекомендация IEEE – 7 коммутаторов
o  если больше – настраивать таймеры


Частая ошибка
Для того, чтобы VLAN стал действующим,
его надо добавить в базу данных VLAN
sw4#sh vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Gi1/0/2, Gi1/0/4, Gi1/0/5,
[ ... ]
60 data_vlan_1 active
[ ... ]

sw4#sh spanning-tree vlan 40
Spanning tree instance(s) for vlan 40 does not exist.

sw4#conf t
Enter configuration commands, one per line. End with CNTL/Z.
sw4(config)#vlan 40
sw4(config-vlan)#name something_meaningful
sw4(config-vlan)#^Z

sw4#sh vlan

VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Gi1/0/2, Gi1/0/4, Gi1/0/5
[ ... ]
40 something_meaningful active
60 data_vlan_1 active
[ ... ]

sw4#sh spanning-tree vlan 40
VLAN0040
Spanning tree enabled protocol rstp
[ ... ]


Ethernet – что «за кадром»
  VLAN Trunking Protocol (VTP)
o  Мина замедленного действия
o  Распространение информации о VLAN’ах по сети
o  Cisco Proprietary
o  http://en.wikipedia.org/wiki/VLAN_Trunking_Protocol

  Link Aggregation
o  Объединение двух и более физических линков в один
логический
o  Позволяет «отодвинуть» расширение пропускной полосы
канала (FE -> GE -> TGE)
o  http://en.wikipedia.org/wiki/Link_aggregation

  Link-Layer Discovery Protocol (LLDP)
o  Обмен информацией между устройствами
o  http://en.wikipedia.org/wiki/Link_Layer_Discovery_Protocol


Правила здравого смысла

 На опорных линках выключать Dynamic
Trunking Protocol (DTP)
http://en.wikipedia.org/wiki/Dynamic_Trunking_Protocol

 На опорных линках выключать Speed / Duplex
Negotiation, вместо этого определяя их явным
образом
 На опорных линках включать LLDP / CDP
значительно упрощает диагностирование сетевых
проблем
http://en.wikipedia.org/wiki/Cisco_Discovery_Protocol


Типы передачи данных

  Unicast – направленная передача данных между
двумя узлами

  Broadcast – рассылка сообщения всем узлам сети или
сегмента
o  В Ethernet-сегменте Broadcast Address = FFFF.FFFF.FFFF

  Multicast
o  Multicast – рассылка сообщений определенному подмножеству
получателей
o  Рассылка идентифицируется источником (Source) и группой (Group)
и означается (S, G)
o  Для получения копии трафика узел должен зарегистрироваться как
получатель группы


Подключение устройств - DHCP

 Dynamic Host Configuration Protocol
 Автоматическое получение IP-адресов
DHCP Dis
covery, b
roadcast

er
DHCP Off

DHCP Server
Абонент

DHCP Re
quest, bro
adcast

knowle dgement
DHCP Ac

DHCP Release, unicast


Подключение устройств - DHCP

 Dynamic Host Configuration Protocol
 Автоматическое получение IP-адресов
DHCP Dis
covery, b
roadcast

Способов просигнализировать клиенту DHCP Off
er

DHCP Server
о сбросе или смене адреса
Абонент

DHCP Re
quest, bro
adcast

нет! knowle dgement
DHCP Ac

DHCP Release, unicast


DHCP Relay
 Если DHCP-сервер обслуживает несколько
Ethernet-сегментов
interface GigabitEthernet 0/0
ip helper-address 1.1.1.3

DHCP-сервер
1.1.1.3

Discovery

Offer Обмен Unicast-сообщениями между
Request DHCP Relay и DHCP Server
Acknowledgement


Преимущества DHCP

  Централизованное хранилище информации о
распределении IP-адресов в сети
  Возможность управлять распределением IP-адресов
на основе дополнительной информации
Механизм DHCP Options – расширение DHCP-сообщений
дополнительной информацией, например
o  DHCP Opt.82 (Remote-ID, Circuit-ID)
o  DHCP Opt.60 (Vendor Class Identifier, VCI)

  Изменения в структуре сети (IP-адресация, DNS, пр.)
не требуют перенастройки клиентских устройств
  Безопасность


При распределении адресов по DHCP, на портах
граничного коммутатора включать:
  DHCP Option 82
o  выдавать адрес по паре «коммутатор, порт»
  DHCP Snooping
o  коммутатор запоминает пару IP+MAC, полученную
по DHCP и
  запрещает входящий трафик от адресов,
отличных от выданного
  запрещает ARP-ответы, если не от
зарегистрированной пары IP+MAC


Поиск устройств - ARP

 Механизм определения MAC-адреса по
известному IP-адресу
ping 192.168.1.81
а какой у него MAC-адрес?!
ARP requ
who is 19 est, broa
2.168.1.8 dcast
1? tell 19
2.168.1.1
81
Host #1

Host #2
, unicast
ARP reply 00f:3da0:060e
.81 is at 0
192.168.1


Proxy ARP

“A” “B”

10.1.0.1/8 10.1.0.2/16

10.1.0.10/16

10.2.0.10/16

10.2.0.1/16 10.2.0.2/16

“D” “С”

•  eсли запрашиваемый адрес •  eсли прямой обмен трафиком между
находится за пределами портами коммутатора доступа
сегмента запрещен
•  и маршрутизатор знает о •  и включен Local Proxy ARP
нахождении запрашиваемого •  то маршрутизатор ответит своим
адреса MAC-адресом
•  то он отвечает своим MAC-адресом
•  ip proxy-arp •  ip local-proxy-arp


Ethernet

Протоколы
канального
уровня
PPP
L2TP

PPPoE


Point to Point Protocol (PPP)
  Семейство протоколов канального уровня
  Обеспечивает соединение между двумя точками
  Состоит из:
o  Инкапсуляция фреймов (на основе HDLC)
o  Link Control Protocol (LCP) – согласование параметров
соединения
o  Network Control Protocol (NCP) – согласование параметров
протокола верхнего уровня
IPCP, IPXCP, NBFCP, …
o  Дополнений, напр. Compression / Encryption Control Protocol
(CCP / ECP), Multilink Protocol (MP), …
  Как правило, применяется совместно с AAA-сервером
(Authentication / Authorization / Accounting)

http://www.tcpipguide.com/free/t_PointtoPointProtocolPPP.htm


Стадии PPP
Соединение
отсутствует

Установка соединения
(LCP)

Access-Request
Разъединение Аутентификация
Access-Accept

(Radius, TACACS)
Access-Reject

AAA-server
Установка соединения
AV-пары в Access-Accept
(NCP)

Установленное Accounting-Start
соединение / -Interim / -Stop


Управление параметрами

  Клиент-серверная модель

Клиент Сервер доступа

(Radius, TACACS)
Access-Request
Conf-Req

AAA-server
Access-Accept
Access-Reject

Conf-Ack

Accounting-Start
/ -Interim / -Stop

  Любое действие происходит только при инициации
события клиентом


Управление параметрами

  Change of Authorization (CoA, RFC 3576)
Change of Authorization
Клиент Сервер доступа

(Radius, TACACS)
Access-Request

AAA-server
Access-Accept
Access-Reject

CoA ACK / NAK

Accounting-Start
/ -Interim / -Stop

  Позволяет инициировать изменения в обслуживании
клиента не только при инициации клиентом


Обмен с сервером Radius
Dec 16 13:43:36.520: RADIUS(00000364): Send Access-Request to 10.0.0.2:1812 id 1645/233, len 120
Dec 16 13:43:36.520: RADIUS: Framed-Protocol [7] 6 PPP [1]
Dec 16 13:43:36.520: RADIUS: User-Name [1] 8 "akabou“
Dec 16 13:43:36.520: RADIUS: CHAP-Password [3] 19 *
Dec 16 13:43:36.520: RADIUS: NAS-Port-Type [61] 6 Virtual [5]
Dec 16 13:43:36.520: RADIUS: NAS-Port [5] 6 0
Dec 16 13:43:36.520: RADIUS: NAS-Port-Id [87] 9 "0/0/1/2“
Dec 16 13:43:36.520: RADIUS: Service-Type [6] 6 Framed [2]
Dec 16 13:43:36.520: RADIUS: NAS-IP-Address [4] 6 172.16.0.1
Dec 16 13:43:36.520: RADIUS: Acct-Session-Id [44] 18 "0A000001000003A3“
Dec 16 13:43:36.524: RADIUS: Nas-Identifier [32] 16 "cisco.domain.com“

Dec 16 13:43:36.524: RADIUS: Received from id 1645/233 10.0.0.2:1812, Access-Accept, len 113
Dec 16 13:43:36.524: RADIUS: Service-Type [6] 6 Framed [2]
Dec 16 13:43:36.524: RADIUS: Framed-Protocol [7] 6 PPP [1]
Dec 16 13:43:36.524: RADIUS: Framed-IP-Address [8] 6 172.16.0.2
Dec 16 13:43:36.524: RADIUS: Framed-IP-Netmask [9] 6 255.255.255.255
Dec 16 13:43:36.524: RADIUS: Framed-Routing [10] 6 3
Dec 16 13:43:36.524: RADIUS: Framed-Route [22] 42 "172.16.0.1 255.255.255.255 172.16.0.2 10“
Dec 16 13:43:36.524: RADIUS: Filter-Id [11] 9
Dec 16 13:43:36.524: RADIUS: 73 74 64 2E 70 70 70 [std.ppp]
Dec 16 13:43:36.524: RADIUS: Framed-MTU [12] 6 1492
Dec 16 13:43:36.524: RADIUS: Framed-Compression [13] 6 VJ TCP/IP Header Compressi[1]

Dec 16 13:43:36.532: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to up


Обмен с сервером Radius
Wed May 8 10:51:12 1996
Acct-Session-Id = "2400020E"
User-Name = "akabou"
NAS-IP-Address = 172.16.5.17 Wed May 8 12:50:49 1996
NAS-Port = 6 Acct-Session-Id = "2400020E"
Acct-Status-Type = Start User-Name = “akabou"
Acct-Authentic = RADIUS NAS-IP-Address = 172.16.5.17
Called-Station-Id = “zzzzzzzzz" NAS-Port = 6
Calling-Station-Id = “zzzzzzzzz" Acct-Status-Type = Stop
Service-Type = Framed-User Acct-Session-Time = 7177
Framed-Protocol = PPP Acct-Authentic = RADIUS
Framed-Address = 172.16.0.2 Acct-Input-Octets = 14994
Acct-Delay-Time = 0 Acct-Output-Octets = 90862
Timestamp = 838763356 Called-Station-Id = “zzzzzzzzz"
Calling-Station-Id = “zzzzzzzz"
Service-Type = Framed-User
Framed-Protocol = PPP
Framed-Address = 172.16.0.2
Acct-Delay-Time = 0
Timestamp = 838763378


Применение PPP
  Классический Dialup – приближается к естественной
ненасильственной смерти
  Удобства PPP обеспечивают ему продолжение жизни:
o  Расширяемость
o  Независимость от среды передачи данных
o  Контроль за соединением
  Не всегда клиент и сервер доступа находятся в
непосредственной доступности друг для друга
  Различные механизмы туннелирования PPP:
o  PPP over Ethernet (PPPoE)
o  Layer2 Tunneling Protocol (L2TP)
o  Multiprotocol Encapsulation over ATM (AAL5, RFC 2684)
o  ...


PPP over Ethernet (PPPoE)
  Ethernet является Broadcast multi-access средой
  Механизм PPPoE Active Discovery
PAD Initia
tio n (PADI),
broadcas
t

r (PADO)
PAD Offe

Сервер доступа
Абонент

PAD Requ
e st (PADR)

DS)
onfirm ation (PA
PAD Session C

PAD Termination (PADT)


PPPoE: формат фрейма
Фрейм Ethernet
Ethernet Ethernet Payload
Header
PPPoE PPP
Header Header PPP Data

Важные поля в заголовке PPPoE:
o  Идентификатор сессии (SessionID, 2 байта)
o  Идентификатор фрейма
(Code, 1 байт): 0x00
0x09
PPP Session
PADI
0x07 PADO
0x19 PADR
0x65 PADS
0xa7 PADT



При подключении абонентов посредством
PPPoE, на портах граничного коммутатора
включать PPPoE Intermediate Agent (PPPoE IA)

PPPoE IA – добавление пары «коммутатор,
порт» (Remote-ID, Circuit-ID) в заголовок PPP,
который позволяет дополнительно
идентифицировать абонента по точке
физического включения


L2 Tunneling Protocol (L2TP)
  Наследник Cisco L2F и Microsoft PPTP
  Являясь протоколом канального уровня, работает на
сеансном уровне (UDP)
  Предназначен только для туннелирования PPP
Следующая версия (L2TPv3) расширена другими L2 протоколами
  Два образующих компонента:
o  L2TP Access Concentrator (LAC)
o  L2TP Network Server (LNS)
  Позволяет несколько сессий внутри одного туннеля
PPP
Операторская IP/MPLS сеть LNS

LAC

PPP внутри
L2TP туннеля


L2 Tunneling Protocol (L2TP)

Картинка: Википедиа (http://en.wikipedia.org/wiki/L2TP)
У каждого направления –
собственные TunnelID и
SessionID


Семейство протоколов

TCP/IP


Что такое TCP/IP

Приложение Формирование сеансов передачи данных, например:
  HTTP (WWW)
Представление   SMTP (доставка почты)
  DNS (www.svitonline.com 212.109.32.150)
Сеанс   …

Протоколы доставки данных и сигнализации:
  TCP (Transmission Control Protocol)
Транспорт   UDP (User Datagram Protocol)
  ICMP (Internet Control Messages Protocol)
  …

Протокол IP (Internet Protocol)
Обеспечивает маршрутизацию данных в сети на основе сетевого
Сеть идентификатора, т.н. IP-адреса:
  IPv4 (4 байта разряда, напр. 212.109.032.150)
  IPv6 (16 байтов, напр. 2001:db8:85a3::8a2e:370:7334)


Структура формирования данных

Фрейм Ethernet
Ethernet Ethernet Payload (IP-структура) Уровень 1-2
Header
IP Header IP Payload (пакет TCP) Уровень 3
TCP Header TCP Payload Уровень 4
Source MAC Source IP Уровни 5-7
Dest MAC Dest IP Port GET HTTP/1.1 http://doka-ua.blogspot.com/
VLAN Id Proto

  TCP – ориентированный на сессии протокол, гарантирующий доставку в правильном
порядке, без ошибок. Можно внешним образом влиять на скорость передачи данных.
  UDP – быстрая доставка, без каких-либо гарантий. Проверка целостности трафика
возлагается на приложение. Невозможно повлиять на скорость передачи внешним образом.
  ICMP – протокол контроля состояния и обратной связи с сетью.
  и т.д., полный список доступен:
http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xml


Формат заголовка IP


Что такое DiffServ (ToS)
  Маркирование трафика классом обслуживания и
обработка в соответствии с назначенным классом
  Эволюция байта ToS в заголовке IP:
0 1 2 3 4 5 6 7
IP Precedence Type of Service
RFC 791 0 0
(IPP) (ToS)
IP Precedence Type of Service
RFC 1349 0
(IPP) (ToS)

RFC 2474 DiffServ Code Poin (DSCP) 0 0

RFC 3168 DiffServ Code Point (DSCP) ECN

  Для совместимости со старыми приложениями,
первые три бита DSCP повторяют поведение IPP


Трансляция DiffServ

  Количество классов обслуживания
o  Ethernet (поле PCP, 3 бита) : 8 классов
o  MPLS (Traffic Class / MPLS Exp, 3 бита) : 8 классов
o  IP (DSCP, 6 битов) : 64 класса

  при переходе в сегменты MPLS или Ethernet
транслируются в восемь базовых классов:

0-7 8-15 16-23 24-31 32-39 40-47 48-55 56-63
0 1 2 3 4 5 6 7


Классы обслуживания
  Одна из моделей назначения классов:
Тип трафика Класс обслуживания
Служебный трафик оператора 7
Голосовой трафик 6
Видео-трафик 5
Управление голосовым и видео-трафиком 4
Виртуальные корпоративные сети (VPN) 3, 2
Интернет
  для бизнес-абонентов 1
  для частных абонентов 0

  Модель примерная, может меняться в зависимости
от структуры сервисов


Реализация QoS (слайд 57)


Реализация QoS (ч.2)
  Входящий (ingress) интерфейс
o  классификация
выделение классов трафика по различным критериям (напр.
VLAN или src/dst IP address)
o  полисинг (policing)
обрезание трафика, выходящего за границы выделенной
пропускной полосы
o  маркировка уцелевшего трафика классом обслуживания

  Исходящий (egress) интерфейс
o  шейпинг (shaping)
буферизация трафика в пиках, отправка с задержкой
o  полисинг
обрезание трафика, выходящего за границы выделенной
пропускной полосы


Механизмы реализации QoS

Типы полисеров:
  1R2C policer
Ingress BW <= CIR ? Conform : Drop
  2R3C policer
Ingress BW <= CIR ? Conform : (BW <= PIR ? Remark : Drop)

Типы очередей:
  First Input First Output (FIFO)
  Low Latency Queueing (LLQ)
  Weighted Fair Queueing (WFQ)
  Class-Based Weighted Fair Queueing (CBWFQ)


QoS Best Practices

Правила внедрения QoS на сети:

  Граница сети (customer facing interfaces):
o  classification
o  policing
o  marking

  Опорная сеть (core facing interfaces):
o  queuing
o  shaping / policing (необязательно)


IP-адрес и Маска сети
  … или «сетевая маска»
o  определяет размер и начало подсети с непосредственной
доступностью между узлами, а также broadcast-адрес в подсети
Broadcast Address = Network Address OR !NetMask
o  используется для маршрутизации данных в сетях IP
o  первый и последний адреса зарезервированы для
служебного пользования

Двоичный вид Десятично-точечный вид
IP-адрес 11000000.10101000.00000101.10000010 192.168.5.130

Маска сети 11111111.11111111.11111111.00000000 255.255.255.0 (или - /24)

Адрес сети 11000000.10101000.00000101.00000000 192.168.5.0

Размер сети 00000000.00000000.00000000.11111111 256 адресов

Broadcast 11000000.10101000.00000101.11111111 192.168.5.255


Формат заголовка TCP

http://en.wikipedia.org/wiki/Transmission_Control_Protocol


Жизнь TCP-соединения

Посылка пакета с установленным флагом RST – безусловный обрыв соединения со сбросом
неполученных данных сессии и передачей приложению ошибки
  Используется системами защиты для сброса подозрительных и опасных сессий


Управление скоростью передачи
Управление скоростью передачи базируется на трех
параметрах:
1.  Receiver Advertised Window (окно получателя)
Определяется получателем и посылается в каждом ACK-сегменте

2.  Congestion Window (окно перегрузки)
Локальный параметр, вычисляемый передающей стороной
Увеличивается при каждом ACK на количество подтвержденных
сегментов
Начальный размер сегмента определяется при TCP negotiation или
устанавливается равным MTU

3.  Slow start threshold size (порог)
Локальный параметр, вычисляемый передающей стороной
Стартовое значение – 64Kb (65535 bytes)

  Механизм подтверждений посылки (ACK) используется для
определения таймаутов и потерь


Управление скоростью передачи

Картинка: http://www.vanderboot.ru/tcp-ip/wtcp.php


Внешнее регулирование скорости

На транзитных машрутизаторах осуществляется
двумя алгоритмами:

1.  Random Early Detection (RED)
При достижении порога заполнения исходящей очереди
сбрасывает пакеты случайным образом.

2. Weighted Random Early Detection (WRED)
При достижении порога заполнения исходящей очереди
сбрасывает пакеты на основании поля DSCP

Применяется на ingress интерфейсах!


Формат заголовка UDP

  Протокол без установления сессий
o  Быстрый
o  Без обратной связи
  Негарантированная доставка
o  Не управляемый внешними средствами
o  Используется для приложений, не чувствительных к
потерям (например, VoIP)
http://en.wikipedia.org/wiki/User_Datagram_Protocol


Формат заголовка ICMP

  Используется для диагностики сети (напр., ping) и
для обратной связи о проблемах, напр.
o  destination unreachable
  network unreachable
  host administratively prohibited
o  time exceed
o  …

http://en.wikipedia.org/wiki/Internet_Control_Message_Protocol


WireShark.org


Implementing
Cisco
IP Routing


Маршрутизация в сетях IP

 Маршрутизация – «построение карт
и определение направлений»
 Маршрутизация бывает:
o  статическая
  присоединенный маршрут
  маршрутизация по адресу назначения
  маршрутизация по параметрам входного
трафика (policy-based routing, PBR)
o  динамическая
  по адресу назначения, с использованием
протоколов динамической маршрутизации


Принципы маршрутизации
 Каждый узел принимает собственное решение
о маршрутизации трафика
 Каждому узлу не требуется знать весь
маршрут до назначения
o  определяется только следующий узел в пути
(next-hop)
o  процесс повторяется на каждом узле до
достижения узла назначения
 Для определения следующего узла
используется таблица форвардинга


Принципы маршрутизации (ч.2)
 Запись о маршруте состоит из:
o  сетевого адреса / сетевой маски (префикс)
o  адреса следующего узла (next-hop)

 Маршруты с более длинной маской имеют
более высокий приоритет
при наличии записей 3.5.0.0/8 и 3.5.0.0/16 для доступа к 3.5.7.9
будет использована запись с маской /16
 Маршрут «по умолчанию»
o  используется, когда в таблице форвардинга нет записей,
соответствующих узлу назначения
o  описывается, как 0.0.0.0/0 (ever longest match)
o  next-hop для 0/0 – «шлюз по умолчанию» (default gateway)


Форвардинг – не маршрутизация
 Маршрутизация – построение карт
o  каждый протокол маршрутизации формирует собственную
таблицу маршрутизации
o  протоколы маршрутизации формируют таблицу
форвардинга

 Форвардинг – пересылка пакета следующему
узлу (next-hop device)
o  таблица форвардинга содержит лучший маршрут для
каждого префикса через определенный next-hop
o  таблица форвардинга – одна
  если используются MPLS VPN – то одна глобальная и по одной на
каждый VPN

 Тем не менее – Routing Table J


Статическая маршрутизация

  Присоединенные маршруты
o  Маршруты, которые определяются адресацией
на интерфейсах

  Статические маршруты по адресу
назначения
o  Ручная настройка
o  Применимо в случае небольшого количества
o  Не адаптируется к изменениям в сети
o  Часто используется для определения маршрута
по умолчанию


“show ip route”
RA1#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route

Gateway of last resort is 192.168.0.1 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 192.168.0.1 Next-Hop
10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
C 10.2.0.0/30 is directly connected, Serial3/0
(следующий
L 10.2.0.1/32 is directly connected, Serial3/0 транзитный узел)
C 10.10.1.1/32 is directly connected, Loopback0
172.16.0.0/24 is subnetted, 1 subnets
S 172.16.53.0 [150/0] via 10.2.0.2
192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.0.0/24 is directly connected, FastEthernet0/0
L 192.168.0.2/32 is directly connected, FastEthernet0/0

  Administrative Distance: [110/30]
o  первое значение – административное расстояние протокола
o  второе значение – метрика протокола


Administrative Distance
 Administrative Distance – нетранзитивный
параметр, определяющий приоритет одного из
нескольких маршрутов, полученных из разных
протоколов
Route Source Distance
Connected 0
Route Source Distance
Static 1
IS-IS 115
EIGRP Summary 5
RIP 120
eBGP 20
EGP 140
iEIGRP 90
On-Demand Routing 160
IGRP 100
eEIGRP 170
OSPF 110
iBGP 200
Unknown 255


Статическая маршрутизация

interface FastEthernet0/0
192.168.0.0/24 is directly connected,
ip address 192.168.0.2 255.255.255.0
FastEthernet0/0
end
!
interface Serial3/0
10.2.0.0/30 is directly connected,
ip address 10.2.0.1 255.255.255.252
Serial3/0
!
ip route 0.0.0.0 0.0.0.0 192.168.0.1 0.0.0.0/0 [1/0] via 192.168.0.1
ip route 172.16.53.0 255.255.255.0 10.2.0.2 150 172.16.53.0 [150/0] via 10.2.0.2

  Administrative Distance
  Может использоваться для приоритезации маршрутов, например:
o  более высокий приоритет имеет маршрут, полученный динамически
o  если он отсутствует, то включается статически сконфигурированный
маршрут


Policy-based Routing (PBR)

  «Статическая коммутация»
o  описываемый вручную алгоритм
o  перенаправления входящих пакетов
o  на основе параметров входящих пакетов
  Перенаправление
o  в исходящий интерфейс
o  по следующему транзитному узлу (next hop)
  Все недостатки статической
маршрутизации по адресу назначения


Пример PBR
interface FastEthernet0/0
ip address 192.168.0.2 255.255.255.0
!
interface GigabitEthernet1/0
ip address 1.1.1.1 255.255.255.0
ip policy route-map PBRex
!
interface Serial3/2
ip address 2.2.2.2 255.255.255.252
!
access-list 100 permit ip any any precedence critical
access-list 101 permit tcp any any eq smtp
!
route-map PBRex permit 10
match ip address 100
set ip next-hop 192.168.0.200
!
match ip address 101
set interface Serial3/2
!
set ip default next-hop 192.168.0.150


Динамическая маршрутизация
  Основана на протоколах маршрутизации
Distance-Vector Protocols Link-State Protocols
o  RIP / RIPv2 o  OSPF
o  IGRP / EIGRP o  IS-IS
o  BGP

 Обмен информацией о доступности сетей
Я знаю о сетях Я знаю о сетях
“A”, “B” и “C” “X”, “Y” и “Z”

A X

B X, Y, Z -> 1.1.1.2 Y
С A, B, C -> 1.1.1.1 Z
1.1.1.1 1.1.1.2


Basics of routing & switching: basics

Basics of routing & switching: basics

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Basics of routing & switching: basics

Similar a Basics of routing & switching: basics (13)

Basics of routing & switching: basics