Использование сетевого

оборудования Cisco,
Часть 1
Том 2
Версия 3.0

Учебное руководство
Артикул_______ __!_

1
Модуль 2: Подключение к сети Интернет

2
Занятие 9
Установка подключения к
сети Интернет
Обзор
Небольшие офисы часто используют Интернет для подключения к другим офисам.
Интернет-сервис обеспечивается Интернет сервис-провайдером (Internet Service Provider,
ISP). В некоторых случаях ISP предоставляет статический IP-адрес для интерфейса,
которым устройство подлючается к Интернету. В других случаях этот IP-адрес получается
при помощи DHCP.
Существуют две проблемы масштабируемости для Интернета - истощение
зарегистрированного адресного пространства IPv4 и масштабирование в маршрутизации.
Cisco IOS NAT и PAT являются механизмами для сохранения зарегистрированных IP-
адресов в больших сетях, а также они упрощают задачи IP-адресации. NAT и PAT
транслируют IP-адреса приватных внутренних сетей в IP-адреса, которые можно
использовать для передачи по общедоступным внешним сетям, таким как Интернет, не
требуя зарегистрированного адреса подсети. Входящий трафик транслируется для
передачи по внутренней сети. Эта трансляция IP-адресов избавляет от необходимости
изменения адресации хоста и позволяет использовать один и тот же диапазон IP-адресов
в множестве сетей.

Точка демаркации
Хотя функции в сети сервис провайдера обычно не должны заботить клиентов,
существуют некоторые термины и понятия, с которыми вам нужно быть знакомыми.

3
Сервис провайдеры устанавливают точку подключения (обычно в форме разъема RJ-45),
который физически подключает схему к их ближайшему офису коммутации. Это
подключение известно как точка демаркации и представляет точку, в которой зона
ответственности сервис-провайдера, как говорят, заканчивается. Другими словами,
сервис-провайдер гарантирует, что функции подключения корректно работают до этой
точки. Другой конец этого подключения соединяется с сетью сервис-провайдера. Эти
подключения являются частью того, что известно как абонентская линия или последняя
миля. Абонентская линия может состоять из множества технологий, включая DSL, кабель,
оптоволокно, традиционный кабель витая пара и другие.
Клиентская сторона точки демаркации - местоположение клиентского оборудования
(Сustomer Premises Equipment, CPE). Термин CPE часто используется довольно широко,
но традиционно он относится к оборудованию, которое принадлежит клиенту и
управляется клиентом, предназначение которого в подключении к сети сервис-
провайдера. Однако много компаний арендуют CPE у своих сервис-провайдеров, и это
оборудование все еще считается CPE. Перед физическим подключением к сети сервис-
провайдера, компания должна определить тип WAN-сервиса или подключения, которое
для него требуется.
Примечание Точная точка демаркации отличается в зависимости от страны. В примере описана точка
демаркации для соединенных штатов.

4
 Подключение к Интернет
Существует три основных способа подключения небольших офиса к Интернет: с помощью проводов, с помощью оптоволоконного
кабеля, или беспроводное подключение. Подключение с помощью проводов или оптоволокна весьма просто, поскольку не влияют
помехи. Беспроводное подключение сложнее, поскольку на распространение радиосигнала оказывают помехи различного рода.

При проводном подключении используются следующие типы проводов: телефонный провод, коаксиальный кабель, и наиболее часто
UTP кабель категории 6.
При проводном подключении используются технологии DSL, DOCSIS , и методы сериальных подключений. DSL посылает сигналы через
существующие телефонные кабели, тогда как кабельные Интернет сервисы используют CATV инфраструктуру.
Оптические кабели содержат волокна из стекла, или пластика, по которым передаются цифровые сигналы модулированные светом.
Такие решения хорошо защищены от электромагнитных помех. Кроме того использование оптоволокна позволяет передавать сигналы
на большие расстояния по сравнению с проводными решениями.
Беспроводные решения для подключения к Интернет используют разные способы применения беспроводных каналов. Один из
способов, - беспроводное подключение конечных устройств (персональных компьютеров) к маршрутизаторам Другой способ, -
использование беспроводного канала для объединения двух земных станций. Подключение к Интернету может также обеспечиваться
с помощью беспроводных каналов между земной станцией и спутником, находящимся на геостационарной орбите.
WiMAX - семейство беспроводных стандартов, обеспечивающих скорость передачи данных до 1 гигабита в секунду.
Проводные каналы имеют следующие преимущества и недостатки:
• лучшее управление
• лучшая безопасность
• большую надежность
• высокую скорость
• относительную доходность
• дороги в эксплуатации
Беспроводные каналы имеют следующие преимущества и недостатки:
• свободно используются внутри офисов
• могут быстрее разворачиваться по сравнению с кабельными каналами
• хорошая производительность
• проблемы с безопасностью.

Варианты для настройки адреса, присвоенного

провайдером
Сервис DHCP позволяет устройствам в сети получить IP-адреса и другую информацию с
сервера DHCP. Этот сервис автоматизирует присвоение IP-адресов, масок подсети,
шлюзов и других параметров сети IP.

5
Сервис-провайдер иногда предоставляет статический адрес для интерфейса,
подключенного к Интернету. В остальных случаях адрес получается при помощи DHCP. В
больших локальных сетях или в сетях, где количество пользователей часто изменяется,
предпочтительно использовать DHCP.
Новые пользователи могут прийти с ноутбуками и нуждаться в подключении. У других
есть новые рабочие станции, которые нужно подключить. Вместо того, чтобы заставлять
администратора сети присваивать IP-адрес каждой рабочей станции, более эффективно
присвоить IP-адреса автоматически с использованием DHCP.
Если сервис-провайдер использует DHCP для присвоения адреса интерфейсу, адреса не
могут быть настроены вручную. Вместо этого интерфейс настраивается для работы в
качестве клиента DHCP. Эта конфигурация означает, что, например, когда
маршрутизатор подключен к кабельному модему, он является DHCP-клиентом и
запрашивает IP-адрес у сервис-провайдера.

Статическая конфигурация присвоенного

провайдером IP-адрес
Статические присвоенные провайдером IP-адреса в некоторых случаях могут быть более
полезны, чем динамические адреса. Статические IP-адреса могут быть привязаны к
доменному имени (такому как www.cisco.com), и к общедоступным или частным серверам
можно настроить доступ для внешних пользователей.

6
Например, ваш сервис-провайдер предоставляет вам статический IP-адрес
209.165.200.225/27. Затем вам нужно выполнить два действия. Первое действие –
присвоить этот статический IP-адрес внешнему интерфейсу маршрутизатора. Второе
действие - настроить маршрут по умолчанию, который пересылает весь направленный в
Интернет трафик на внешний интерфейс.

Протокол динамической настройки хоста

(DHCP)
Первоначально администраторы сети должны были вручную настраивать IP-адреса и
другие сетевые параметры на оборудовании, которое подключается к сети Интернет.
DHCP был введен для автоматизации присвоения сетевых параметров.

7
Управление сетью может быть трудозатратным. Сетевые клиенты повреждаются или
перемещаются, появляются новые клиенты, которым нужно подключение к сети – все это
часть работы администратора.
Настройка IP-адресов вручную на всех устройствах в сети в некоторых случаях
невозможна. DHCP может значительно уменьшить рабочую нагрузку администратора
сети. DHCP автоматически присваивает IP-адрес из пула IP-адресов, заданного
администратором. Однако DHCP - это значительно больше, чем просто механизм
распределения IP-адресов. DHCP-сервер может раздать другие начальные параметры
конфигурации клиентским устройствам, такие как время или адрес сервера логирования.
DHCP основывается на клиент-серверной модели. Хосты, которые являются DHCP-
серверами, выделяют сетевые адреса и раздают параметры конфигурации динамически
настраиваемым хостам.
Термин «клиент» относится к хосту, который запрашивает параметры инициализации с
DHCP-сервера.

8
DHCP поддерживает три механизма для распределения IP-адресов. При автоматическом
выделении DHCP присваивает постоянный IP-адрес клиенту. При динамическом
выделении DHCP присваивает IP-адрес клиенту на ограниченный срок (или пока клиент
явно не освобождает адрес). При ручном выделении клиенту присваивается IP-адрес
администратором сети, и DHCP используется просто для того, чтобы передать
присвоенный адрес клиенту.
Динамическое выделение является единственным из трех механизмов, позволяющим
автоматически повторно использовать адрес, который больше не нужен клиенту,
которому он был присвоен.
Динамическое выделение особенно полезно для присвоения адреса клиенту, который
будет подключен к сети только на время или для совместного использования
ограниченного пула IP-адресов среди группы клиентов, которым не нужны постоянные IP-
адреса. Динамическое выделение может также быть хорошим решением для присвоения
IP-адреса новому клиенту, который подключается к сети, в которой IP-адресов так мало,
что важно отзывать их, когда клиенты отключаются.

Настройка DHCP-клиента
Сервис-провайдер иногда предоставляет статический адрес для интерфейса,
подключенного к Интернету. В других случаях адрес присваивается с помощью DHCP.
Если сервис-провайдер использует DHCP для настройки адреса на интерфейсе, вручную
адрес не настраивается. Вместо этого интерфейс настраивается на работу в качестве
DHCP-клиента.

9
Если маршрутизатор получит дополнительный параметр DHCP, который называется
шлюзом по умолчанию, вместе с присвоенным IP-адресом, то в таблицу маршрутизации
будет вставляется маршрут по умолчанию, который указывает на IP-адрес шлюза по
умолчанию.

Публичные и приватные адреса IPv4

Некоторые сети подключаются к другим сетям через Интернет, в то время как другие являются
приватными сетями. Например, адреса в примерах этого курса приватные, это означает, что они не
присваиваются для публичного использования. Приватные и публичные IP-адреса требуются для
обоих таких типов сетей.

10
Приватные IP-адреса
Хостам в Интернете необходимы глобально уникальные IP-адреса, но приватные хосты,
не подключенные к Интернету, могут использовать любой действующий адрес, пока он
уникален в пределах частной сети. Однако, так как много частных сетей существуют
рядом с публичными сетями, выбрать «просто любой адрес» строго нерекомендуется.
Три блока IP-адресов (одна сеть класса A, 16 сетей класса В и 256 сетей класса С)
предназначены для частного, внутреннего пользования. На рисунке показаны диапазоны
адресов для каждого класса. Адреса в этих диапазонах не маршрутизируются в
Интернете. Маршрутизаторы интернета настроены на отбрасывание приватных адресов.
В частной сети эти приватные адреса могут использоваться вместо глобально
уникальных адресов.
Когда сеть, использующая приватные адреса, должна быть подключена к Интернету,
необходимо транслировать приватные адреса в публичные адреса. Этот процесс
трансляции называют сетевой трансляцией адресов (Network Address Translation, NAT).
Маршрутизатор часто является сетевым устройством, выполняющим NAT
Публичные IP-адреса
Публичные IP-адреса используются для хостов, которые публично доступны из
Интернета.
Стабильность Интернета зависит непосредственно от уникальности публично
используемых сетевых адресов. Поэтому необходим механизм, который будет
гарантировать, что адреса уникальны. Этим механизмом первоначально управлял
InterNIC. Затем его место заняла организация IANA. IANA тщательно управляет

11
оставшимся запасом IP-адресов, гарантируя, что не происходит дублирование публично
используемых адресов. Дублирование вызвало бы нестабильность в Интернете и
поставило бы под угрозу его способность доставлять дейтаграммы сетям с
использованием дублированных адресов.
Для получения зависимого от провайдера IP-адреса или блока адресов необходимо
связаться с сервис-провайдером. Для получения независимых от провайдера IP-адресов
необходимо связаться с локальным интернет-регистратором (LIR). LIR получают пулы IP-
адресов от своих региональных интернет-регистраторов (RIR):
AfriNIC
APNIC
ARIN
LAPNIC
RIPE NCC
С быстрым ростом Интернета публичные IP-адреса начали заканчиваться. Новые
механизмы, такие как NAT, CIDR, VLSM и IPv6 были разработаны, чтобы помочь решить
проблему.

Лабораторная работа 12: Конфигурирование IP адресов,

присваиваемых провайдером
Введение
В этой лабораторной работе вы будете изучать аспекты подключения маленьких сетей к Интернет.
В данной лабораторной работе маршрутизатор R1 будет получать IP адрес по DHCP.

Топология

12
Поддержка лабораторной работы
Информация об устройствах

13
 Задача 1: Конфигурирование IP адресов, приписываемых
провайдером
Шаги конфигурации
Шаг 1. Для того, чтобы представить некоторые аспекты работы DHCP сервера, на маршрутизаторе
R2 настроим сервер DHCP. Для этого на этом маршрутизаторе выполним следующие
конфигурации:

Шаг 2 Определите DHCP пул адресов для подсети 198.100.51.0/24 адрес 198.100.51.1 в качестве
default-gateway, время выделения адресов - 7 дней. Пул адресов идентифицируется именем.

Шаг 3. Исключим из пула, используемого для динамического выделения адресов, адреса начиная
с 198.100.51.101 до 198.100.51.254

Шаг 4. В текущей конфигурации адрес интерфейсу маршрутизатора R1 присвоен статически.

Проверим это

14
Шаг 5. На маршрутизаторе R1 маршрутизация не настроена. Проверим, что в его таблице
маршрутизации имеются только локальные и connected маршруты. Маршрут по умолчанию
отсутствует.

Шаг 6. На маршрутизаторе R1 измените конфигурацию интерфейса таким образом, чтобы он

получал адрес по протоколу DHCP.

Шаг 7. Через 15 секунд вы должны получить служебное сообщение

Шаг 8. Проверьте, что интерфейс маршрутизатора получил адрес динамически

15
Шаг 9. Проверьте, что в таблице маршрутизации появился маршрут по умолчанию

Шаг 10. Проверьте. что у вас появилась связь между лабораторными устройствами

На этом лабораторная работа заканчивается.

Общие сведения о NAT
Небольшие сети обычно внедряются с использованием приватной IP-адресации, как
указано в RFC 1918. Приватная адресация дает предприятиям значительную гибкость в
дизайне сети. Эта адресация включает удобные в работе и управлении схемы адресации,
кроме того, увеличение размера сети становится более простым. Однако приватные
адреса не могут маршрутизироваться в Интернете, а публичных адресов не так много,
чтобы настроить их на всех хостах во всех организациях. Поэтому администраторам сети
нужен механизм для трансляции приватных адресов в публичные адреса (и обратно) на
границе сети.

16
NAT обеспечивает этот механизм. До появления NAT хост с приватным адресом не мог
получить доступ к Интернету. Используя NAT, компании могут назначить некоторым или
всем их хостам приватные адреса и использовать NAT для обеспечения трансляции
адресов для обеспечения доступа к Интернету.

NAT напоминает сотрудника ресепшн в большом офисе. Представьте, что вы оставили

инструкции сотруднику ресепшн не перенаправлять вам звонки, разве что вы сами
попросите. Затем вы звоните потенциальному клиенту и оставляете сообщение, чтобы
клиент перезвонил вам. Вы говорите сотруднику ресепшн об ожидании звонка от этого
клиента, и просите, чтобы он направил вам звонок. Клиент набирает основной номер
вашего офиса, это единственный номер, который знает клиент. Когда клиент называет
сотруднику ресепшн ваше имя, тот проверяет таблицу поиска, в которой напротив вашего
имени пишется добавочный номер. Сотрудник ресепшн знает, что вы просили перевести
на вас этот вызов и он переводит клиента на ваш добавочный номер.
Обычно NAT соединяет две сети и транслирует приватные (inside local) адреса во
внутренней сети в публичные (inside global) адреса, перед передачей пакетов в другую
сеть. Можно настроить NAT на трансляцию всей сети в один публичный адрес при
передаче пакетов во внешний мир. Трансляция в один адрес эффективно скрывает
внутреннюю сеть, обеспечивая дополнительную безопасность.
Процесс преобразования сетевых адресов c подменой одного адреса на другой не
зависит от общепринятых правил определения приватных и публичных адресов, и на
устройствах необходимо настроить, какие IP-сети нужно транслировать. Эта
необходимость является одной из причин,

17
почему NAT может также быть внедрен внутри сети, когда существует пересечение
приватных IP-адресов, например, когда объединяются две компании.
Преимущества NAT
NAT имеет следующие преимущества:
Избавляет от необходимости менять адресацию на всех хостах, которым необходим
внешний доступ, экономя время и деньги.
Сохраняет адреса посредством мультиплексирования приложения на уровне порта. С
PAT множество внутренних хостов могут использовать один публичный адрес IPv4 для
всех внешних сеансов связи. В этом типе конфигурации требуются относительно немного
внешних адресов, чтобы поддерживать множество внутренних узлов, что позволяет
экономить адреса IPv4.
Обеспечивает безопасность сети. Поскольку адресация и топология внутренних сетей не
распространяется, сети становятся довольно безопасными, когда они получают
контролируемый внешний доступ вместе с NAT.
Недостатки NAT
У NAT есть следующие недостатки:
Много IP-адресов и приложений зависят от функциональности непрерывной связи с
отсутствием изменений IP-пакетов, которые передаются от источника до места
назначения. С изменением адресации на пути следования данных, NAT блокирует
некоторые приложения, которые используют IP-адресацию. Например, некоторые
приложения безопасности, такие как цифровые подписи, не работают, когда изменяется
исходный IP-адрес. Приложения, использующие физические адреса вместо полного
доменного имени, не доходят до мест назначения, которые транслируются с помощью
NAT на маршрутизаторе. Иногда этой проблемы можно избежать путем внедрения
статических сопоставлений NAT.
Непрерывная трассировка IP также недоступна. Становится намного труднее проследить
пакеты, с которыми происходят многочисленные изменения адресов при прохождении
через несколько устройств с NAT, что усложняет процесс решения проблем. С другой
стороны, хакеры, которые хотят определить источник пакета, считают трудным
проследить или получить исходный адрес источника или адрес получателя.
Использование NAT также усложняет работу протоколов туннелирования, таких как IPsec,
потому что NAT изменяет значения в заголовках, которые участвуют в проверках
целостности, выполняющимися IPsec и другими протоколами туннелирования.
Сервисы, которые требуют инициации TCP-подключений из внешней сети или протоколы
без сохранения информации о состоянии, например, которые используют UDP, могут не
работать.
Если маршрутизатор с NAT не будет прилагать определенные усилия для поддержки
таких протоколов, входящие пакеты не смогут достигнуть своего места назначения.

18
Некоторые протоколы могут приспособиться к одной инстанции NAT между двумя
взаимодействующими
хостами (пассивный режим FTP, например), но они не будут работать, если обе системы
отделены от сети Интернет с помощью NAT.
Последний недостаток включает производительность. NAT увеличивает задержки
коммутации, так как трансляция каждого IP-адреса в заголовке пакета занимает время.
Первый пакет коммутируется с помощью процессной коммутации, что означает, что он
всегда идет медленным путем. Маршрутизатор должен заглядывать в каждый пакет,
чтобы решить, нужна ли ему трансляция. Маршрутизатор должен изменить заголовок IP-
заголовок и возможно изменить заголовок UDP или TCP. Остальные пакеты идут путем
быстрой коммутации, если в кэше существует запись, иначе они также будут
задерживаться.

Типы адресов в NAT

19
В терминологии NAT внутренняя сеть - это набор сетей, которые нужно транслировать.
Внешняя сеть относится ко всем остальным адресам. Обычно это действующие адреса,
расположенные в Интернете.
Cisco определяет следующие термины NAT7
Внутренний локальный (inside local) адрес. Адрес IPv4, назначенный хосту во внутренней
сети. Как правило, внутренний локальный адрес не является адресом IPv4, назначенным
сетевым информационным центром(NIC) или сервис-провайдером.
Внутренний глобальный (inside global) адрес. Зарегистрированный адрес IPv4,
назначенный центром NIC или сервис-провайдером. Представляет один или несколько
внутренних локальных адресов IPv4 во внешних сетях
Внешний глобальный (outside global) адрес. IPv4-адрес, который присваивается хосту во
внешней сети владельцем хоста. Внешний глобальный адрес выделяется из глобального
маршрутизируемого адресного или сетевого пространства.
Внешний локальный(outside local) адрес. IPv4-адрес внешнего хоста, под которым он
отображается во внутренней сети. Внешний локальный адрес не обязательно должен
быть зарегистрированным, он назначается из маршрутизируемого внутреннего адресного
пространства.
Хороший способ запомнить, какие адреса локальные, а какие - глобальные, - это
добавить слово «видимый». Под адресом, который виден локально (local), обычно
является приватный IP-адрес, а под адресом, который виден глобально(global), обычно
подразумевают публичный IP-адрес.

20
Остальное просто. Слово «inside» означает внутренний для вашей сети, и «outside»
означает внешний для вашей сети. Так, например, «inside global» глобальный адрес
означает, что устройство физически в вашей сети и имеет адрес, который виден из
Интернета. Например, это может веб-сервер.

Типы NAT

NAT может работать следующим образом:

Статический тип NAT. Привязывает незарегистрированный адрес IPv4 к
зарегистрированному адресу IPv4 (один к одному). Статический NAT особенно полезен,
если устройство должно быть доступно из внешней сети. Этот тип NAT используется,
когда у компании есть сервер, которому нужен статический IP-адрес.
Динамический NAT. Привязывает незарегистрированный адрес IPv4 к адресу из группы
зарегистрированных адресов IPv4. Этот тип NAT используется, например, когда
происходит слияние двух компаний, которые используют одинаковое адресное
пространство.
Использование подмены адресов с помощью динамического NAT позволяет избежать или
по крайней мере отложить изменение адресации на большом блоке сети.
PAT. Привязывает несколько незарегистрированных адресов IPv4 к одному
зарегистрированному адресу IPv4 (несколько к одному) с использованием нескольких
портов. PAT также известен как перегрузка NAT. Это форма динамического NAT и
является наиболее используемым типом NAT. Он используется каждый день на вашем
рабочем месте или дома.

21
Несколько пользователей ПК, планшетов и телефонов могут получить доступ в Интернет
даже через один публичный IP-адрес, выделенный для этой сети.

Общие сведения о статической трансляции

NAT

Вы можете транслировать ваши собственные IPv4-адреса в глобально уникальные

IPv4-адреса, когда вы взаимодействуете с хостами за пределами вашей сети.
На рисунке показан маршрутизатор, который транслирует адрес источника из внутренней
сети в адрес источника во внешней сети. Трансляция внутреннего адреса источника
проходит следующие этапы:
1. Пользователь хоста 10.1.1.101_хочет открыть подключение на хост В (IP-адрес
209.165.202.131)
2. Первый пакет, который маршрутизатор получает на интерфейс с включенным
внутренним NAT, с хоста 10.1.1.101 заставляет маршрутизатор проверить свою NAT-
таблицу.
3. Маршрутизатор заменяет внутренний локальный адрес источника хоста 10.1.1.101 на
транслируемый внутренним глобальный адрес (209.165.201.5) и пересылает пакет.
4. Хост В получает пакет и отвечает хосту 10.1.1.101, используя внутренний глобальный
IPv4-адрес назначения 209.165.201.5.
5. Когда маршрутизатор получает пакет на внешний NAT-интерфейс с внутренним
глобальным адресом 209.165.201.5, маршрутизатор выполняет поиск в таблице NAT с
использованием внутреннего глобального адреса в качестве ключа. Затем

22
маршрутизатор транслирует адрес обратно во внутренний локальный адрес хоста
10.1.1.101 и пересылает пакет на хост 10.1.1.101.
6. Хост 10.1.1.101 получает пакет и продолжает общение с хостом В. Маршрутизатор
выполняет шаги со 2 по 5 для каждого пакета.

Настройка статического типа NAT

Помните, что статический NAT - это сопоставление один к одному между внутренним
адресом и внешним адресом. Статический NAT позволяет внешним устройствам
инициировать подключения к внутренним устройствам. Например, вы можете захотеть
привязать внутренний глобальный адрес к определенному внутреннему локальному
адресу, который вы присвоили веб-серверу.

Настройка статических трансляций NAT является простой задачей. Необходимо

определить адреса, которые нужно транслировать, затем настроить NAT на
соответствующих интерфейсах. Пакеты, которые приходят на внутренний интерфейс с
определенного IP-адреса, транслируются. Пакеты, приходящие на внешний интерфейс,
которые направлены на внешний локальный IP-адрес, для которого настроена
трансляция, также транслирутся.
На рисунке показан список команд для настройки статического типа NAT. В отличие от
динамических трансляций, эти трансляции всегда присутствуют в NAT-таблице

23
Проверка конфигурации статического типа NAT

Лабораторная работа 13: Конфигурация статического NAT

Введение
В данной лабораторной работе вы будете изучать различные аспекты подключения небольшой
сети к Интернет. NAT представляет из себя важную концепцию такого подключения. Частные IP
адреса, которые используются в большинстве корпоративных сетей, не маршрутизируются в
Интернет. Поэтому они должны транслироваться в публичные адреса.
Лабораторная работа выполняется на устройствах, представленных на слайде. На всех устройствах
выполнены базовые конфигурации, которые включают имена устройств, и IP адреса интерфейсов.
Маршрутизатор R1 получает маршрут по умолчанию от маршрутизатора R2 по протоколуDHCP, но
трансляция адресов не представлена.

24
Ее вы будете конфигурировать в ходе лабораторной работы. Вашей задачей будет выполнить
статическую трансляцию для Srv1.

Топология

Поддержка лабораторной работы

Информация об устройствах

25
26
 Задача 1: Конфигурирование статической трансляции
Шаги конфигурации
Шаг 1: Маршрутизатор R1 имеет доступ к публичному адресному пространству. Но другие
устройства в корпоративной сети такого доступа не имеют. Для того, чтобы убедиться в этом
подключитесь к PC1, и попытайтесь послать ping на Srv2. Попытка должна быть неудачной.

Причина неудачи состоит в том, что Srv2 не знает адреса PC1 (поскольку он лежит в частном
диапазоне адресов), и не может ответить на echo-request.
Шаг 2. На маршрутизаторе R1 распределим интерфейсы для работы трансляции адресов.
Интерфейсы E0/0 E0/1 - inside, E0/3 - outside.

27
Шаг 3. На маршрутизаторе R1 сконфигурируйте список доступа, в котором маркируются IP адреса,
подлежащие трансляции (в данном случае, речь идет о динамической трансляции).

Шаг 4. На маршрутизаторе R1 сконфигурируйте процедуру РАТ трансляции

Шаг 5. Подключитесь к PC1, и попытайтесь послать ping на Srv2.

Шаг 6. В этом и нескольких следующих шагах, вы будете проверять статус трансляции. установите
соединение по протоколу Telnet от PC1 к Srv2

Шаг 7. Теперь, поскольку вы подключились к линии виртуального терминала Srv2, можно

посмотреть статус IP sockets, чтобы просмотреть удаленный адрес, который видит это устройство.

Srv2 видит адрес 198.51.100.101 как адрес источника, который использует PC1 для подключения к
Srv2. Этот адрес получен по протоколу DHCP интерфейсом Е0/3. То есть РАТ работает.
Шаг 8. Подключитесь теперь к Srv2 с Srv1

Шаг 9. Еще раз проверьте статус IP sockets на Srv2

28
Теперь видно две сессии с одинакового адреса источника (типичный случай РАТ трансляции).
Шаг 10. Проверьте таблицу трансляции на маршрутизаторе R1.

По моему никаких дополнительных комментариев таблица трансляции не требует.

Шаг 11. Просмотрите статистику для трансляции на маршрутизаторе R1.

Никакой особой дополнительной информации из данной таблицы с моей точки зрения получить
нельзя за исключением того, что это динамическая расширенная трансляция.
Шаг 12. Закройте сессии на Srv2

Шаг 13. На этом шаге мы будем конфигурировать статический адрес на маршрутизаторе R1 и

реализовывать на нем процедуру статической трансляции.

Шаг 14. На маршрутизаторе R1 проверьте статус интерфейсов

29
Шаг 15. На маршрутизаторе R1 статически сконфигурируйте маршрут по умолчанию.

Шаг 16. На маршрутизаторе еще раз проверьте таблицу маршрутизации

Шаг 17. На маршрутизаторе R1 удалите РАТ трансляцию

Шаг 18. Добавьте статическую трансляцию адреса 10.10.2.20 (Srv1) в адрес 198.51.100.20

Шаг 19. Снова просмотрите таблицу трансляции на маршрутизаторе R1

Шаг 20. Снова установите сессию по протоколу Telnet с Srv1 на Srv2

30
Шаг 21. Еще раз просмотрите таблицу трансляции на маршрутизаторе R1

Шаг 22. Процедура статической трансляции используется для того, чтобы обеспечить доступ из
Интернет к ресурсам в корпоративной сети. Проверим это.

Шаг 23. Еще раз проверим таблицу трансляции на маршрутизаторе R1

Шаг 24. Закроем сессию

Шаг 25 закроем сессию

На этом лабораторная работа считается завершенной.

Общие сведения о динамическом типе NAT
В то время как статический NAT обеспечивает постоянную привязку внутреннего адреса к
определенному публичному адресу, динамический NAT привязывает приватные IP-
адреса к публичным адресам. Эти публичные IP-адреса берутся из пула NAT.
Конфигурация динамического типа NAT отличается от статического типа NAT, но она
также имеет кое-что общее. Также как требуется в статическом типе NAT, в конфигурации
каждый интерфейс должен быть определен как внутренний или внешний интерфейс.

31
Однако вместо того, чтобы создать статическую привязку к одному IP-адресу,
используется пул внутренних глобальных адресов.

На рисунке изображен маршрутизатор, который транслирует адрес источника внутри сети

в адрес источника за пределами сети. Для трансляции внутреннего адреса источника
выполняются следующие действия:
1. Пользователи хостов 10.10.1.100 и 10.10.1.101 хотят создать подключение к хосту В (IP-
адрес 209.165.202.131).
2. Первый пакет, который маршрутизатор получает от хоста 10.1.1.101 заставляет
маршрутизатор проверить свою таблицу NAT. Если никакой статическая записи для
трансляции не существует, маршрутизатор решает, что адрес источника 10.1.1.101
должен транслироваться динамически. Маршрутизатор затем выбирает
зарегистрированный глобальный адрес из динамического пула адресов и создает запись
трансляции (в этом примере, 209.165.201.5). Этот тип записи называют простой записью.
Для второго хоста, 10.1.1.100, маршрутизатор выбирает зарегистрированный глобальный
адрес из динамического пула адресов и создает вторую запись трансляции (в этом
примере, 209.165.201.6).
3. Маршрутизатор заменяет внутренний локальный адрес хоста-источника 10.1.1.101 на
транслируемый внутренний глобальный адрес и передает пакет.
4. Хост В получает пакет и отвечает хосту 209.165.201.5, используя внутренний
глобальный адрес назначения 209.165.201.5. Когда хост В получает второй пакет, он

32
отвечает на хост 209.165.201.6, используя внутренний глобальный IPv4-адрес назначения
209.165.201.6.
5. Когда маршрутизатор получет пакет с внутренним глобальным IPv4-адресом
209.165.201.5, маршрутизатор выполняет поиск по таблице NAT, используя внутренний
глобальный адрес в качестве ключа. Затем маршрутизатор транслирует адрес обратно во
внутренний локальный адрес хоста 10.1.1.101 и пересылает пакеты на 10.1.1.101. Когда
маршрутизатор получет пакет с внутренним глобальным IPv4-адресом 209.165.201.6,
маршрутизатор выполняет поиск по таблице NAT, используя внутренний глобальный
адрес в качестве ключа. Затем маршрутизатор транслирует адрес обратно во внутренний
локальный адрес хоста 10.1.1.100 и пересылает пакеты на 10.1.1.100.
6. Хосты 10.1.1.100 и 10.1.1.101 получают пакеты и продолжают общение. Маршрутизатор
выполняет действия 2 - 5 для каждого пакета.

Настройка динамического типа NAT

33
Примечание ACL должен разрешать только те адреса, которые нужно транслировать. Помните, что в конце
каждого ACL есть неявная запись deny any. ACL, в котором слишком много разрешений, может
привести к непредсказуемым результатам. Использование записи permit any может привести к
использованию слишком большого количества ресурсов маршрутизатора под задачи NAT, что, в
свою очередь, может привести к проблемам в сети.

Проверка конфигурации динамического типа NAT

34
Общие сведения о РАТ
Одна из главных форм NAT – это трансляция PAT, которая также называется
«перегрузкой» в конфигурации Cisco IOS. При использовании PAT можно транслировать
несколько внутренних локальных адресов в один или несколько внешних локальных
адресов. Большинство маршрутизаторов работают по этой схеме. Ваш сервис-провайдер
присваивает один адрес вашему маршрутизатору, при этом несколько членов вашей
семьи могут одновременно пользоваться Интернетом

35
С использованием перегрузки NAT несколько адресов можно привязать к одному или
нескольким адресов, так как по портам источника TCP и UDP можно отследить каждый
приватный адрес. Когда клиент открывает сессию TCP/IP, маршрутизатор NAT
присваивает номер порта адресу источника клиента. Перегрузка NAT гарантирует, что
клиенты будут использовать разные номера портов TCP или UDP для каждой клиентской
сессии с сервером в Интернете. Когда приходит ответ от сервера, номер порта источника
(который становится номером порта назначения на обратном пути) определяет клиента,
которому маршрутизатор направляет пакеты. Маршрутизатор также проверяет, что
входящие пакеты были запрошены, увеличивая степень безопасности для сессии.
PAT использует уникальные номера портов источника, принадлежащих внутреннему
глобальному адресу IPv4, чтобы различать записи трансляции. Поскольку порт
маршрутизатора кодируется 16 битами, общее число внутренних адресов, которое могут
транслироваться во внешний адрес, равно 65536.
PAT пытается сохранить исходный порт источника. Если порт источника уже выделен,
трансляция PAT ищет первый доступный порт. Поиск выполняется сначала в
соответствующей группе портов - 0–511, 512 – 1023 или 1024 – 65535. Если трансляция
PAT не обнаруживает доступный порт в соответствующей группе портов, и если
настроено несколько внешних адресов IPv4, трансляция PAT переходит к следующему
адресу IPv4 и пытается выделить исходный порт источника. Трансляция PAT будет
продолжать попытки выделить исходный порт источника, пока не закончатся доступные
порты и внешние адреса IPv4.

36
NAT обычно транслирует IP-адреса только с соответствиями 1 к 1 между публичными IP-
адресами и приватными IP-адресами. Перегрузка NAT изменяет приватный IP-адрес и
возможно номер порта отправителя. Перегрузка NAT выбирает номера портов, которые
хосты видят во внешней сети. NAT направляет входящие пакеты на внутренний адрес
путем анализа входящего IP-адреса источника, данного хосту в публичной сети. С
перегрузкой NAT обычно используется только один публичный IP-адрес (или очень мало
адресов). Входящие пакеты из внешней сети направляются к их пункту назначения во
внутренней сети согласно записям в таблице NAT, по которой устройство с перегрузкой
NAT отслеживает пары публичных и приватных портов. Этот механизм называют
отслеживанием соединения.
На рисунке изображена работа PAT, когда один внутренний глобальный адрес
представляет несколько ̀внутренних локальных адресов. Номера портов TCP действуют как
дифференциаторы. Оба хоста В и C думают, что общаются с одним хостом с адресом
209.165.201.5. По факту же они общаются с разными хостами, и номер порта является
диференциатором. Много внутренних хостов могут совместно использовать внутренний
глобальный адрес IPv4 с использованием большого количества номеров портов.
Маршрутизатор выполняет следующий процесс, когда перегружает внутренний глобальный адрес:
1. Пользователь с хоста 10.1.1.100 открывает соединение на хост В. Второй пользователь с хоста
открывает соединение на хосты B и С.
2. Первый пакет, который маршрутизатор получает от хоста 10.1.1.100 заставляет
маршрутизатор проверить свою таблицу NAT. Если никакой записи трансляции нет,
маршрутизатор решает, что адрес 10.1.1.100 нужно транслировать и устанавливает
трансляцию внутреннего локального адреса 10.1.1.100 в зарегистрированный внутренний
глобальный адрес. Если включена перегрузка, и есть другая активная трансляция,
маршрутизатор повторно использует внутренний глобальный адрес из той трансляции и
сохраняет достаточно информации, чтобы быть в состоянии выполнить обратную
трансляцию. Этот тип записи вызывают расширенной записью.
3. Маршрутизатор заменяет внутренний локальный адрес источнка 10.1.1.100 выбранным
внутренним глобальным адресом 209.165.201.5 и передает пакет.
4. Хост В получает пакет и отвечает на хост 10.1.1.100, используя внутренний глобальный
IPv4-209.165.201.5. Хост C получает пакет с тем же самым внутренним глобальным
адресом, несмотря на то, что пакет произошел от хоста 10.1.1.101.
5. Когда маршрутизатор получает пакет с внутренним глобальным адресом IPv4,
маршрутизатор выполняет поиск по таблице NAT. Используя внутренний глобальный
адрес и порт и внешний глобальный адрес и порт в качестве ключа, маршрутизатор
транслирует адрес назад в корректный внутренний локальный адрес 10.1.1.100, и
пересылает пакет хосту 10.1.1.100.
6. Хост 10.1.1.100 получает пакет и продолжает общение. Маршрутизатор выполняет
дейтсвия 2 - 5 для каждого пакета

37
Настройка и верификация РАТ

Проверка конфигурации PAT

38
 Лабораторная работа 14: Конфигурирование динамической
трансляции и РАТ
Введение
В данной лабораторной работе вы будете создавать динамический пул адресов, которым могут
пользоваться другие системы в вашей корпоративной сети для доступа в Интернет.

Топология

39
Поддержка лабораторной работы
Информация об устройствах

40
 Задача 1: Конфигурирование динамического NAT и PAT
Шаги конфигурации
Шаг 1. Сконфигурируем динамическую трансляцию, используя для этой цели пул IP адресов.
Вначале убедимся, что с PC1 не доступен сервер Srv2

41
Причина по которой он не доступен объяснялась в предыдущей лабораторной работе.
Шаг 2. На маршрутизаторе R1 создадим пул IP адресов в диапазоне 198.51.100.100 198.51.100.149.

Шаг 3. Проверим, что существует список доступа, определяющий какие адреса надо
транслировать

Проверим, что интерфейсы настроены для работы трансляции

Шаг 4. Зададим команду динамической трансляции на маршрутизаторе R1

Шаг 5. Проверим доступ в Интернет с корпоративного устройства

Шаг 6. Проверим таблицу трансляции

Шаг 7. С PC1 установите сессию по протоколу Telnet на Srv2. С коммутаторов Sw1 Sw2 пошлите ping
на Srv2.

42
Шаг 8. Проверьте таблицу трансляции на маршрутизаторе R1

Никаких дополнительных пояснений здесь на мой взгляд не требуется.

Шаг 9. Посмотрите статистику трансляции (зачем, непонятно)

разве что для того. чтобы просмотреть созданный пул, и его использование.
Шаг 10. Закройте сессию протокола Telnet

43
Шаг 11. Очистите таблицу трансляции на маршрутизаторе R1

Шаг 12. Еще раз посмотрите на таблицу трансляции

Естественно, в ней остались только статические записи

На этом лабораторная работа завершена.
Решение проблем в работе NAT
Когда у Вас есть проблемы c подключениями IPv4 в среде NAT, обычно трудно
определить причину проблемы. Часто обвиняют NAТ, когда в действительности
существует другая проблема. Когда Вы пытаетесь определить причину проблем с
подключениями IPv4, важно исключить проблемы с NAT.

Выполните следующие действия шаги, чтобы проверить, что NAT работает как нужно:
1. Проверьте, что трансляции происходят:
• Используйте команду show ip nat translation, чтобы определить, присутствует ли
трансляция в таблице.
• Убедитесь в том, что трансляция действительно происходит с помощью команд

44
 • sh ip nat statistics _и debug ip nat
• Используйте командуshow access list чтобы проверить, что ACL, связанный с
командой NAT разрешает все необходимые сети.
• Используйте команду show ip nat statistics, чтобы проверить, что интерфейсы
маршрутизатора корректно указаны в качестве внутренних и внешних
интерфейсов NAT.
• Если некоторые устройства могут подключиться, а другие нет, - проверьте, не
закончились ли адреса в пуле NAT.
2. Если трансляции происходят, но подключения нет, используйте команду show ip route
на удаленном маршрутизаторе, чтобы проверить, что у него есть обратный маршрут к
транслируемому адресу.

В простой сетевой среде полезно просматривать статистику NAT с помощью команды show ip nat
statistics. Команда show ip nat statistics отображает информацию об общем количестве
активных трансляций, параметрах конфигурации NAT, количестве адресов в пуле и тех
адресов, которые были выделены. Однако в более сложной среде NAT с несколькими
трансляциями, эта команда show не всегда в состоянии четко определить проблему, может
понадобиться запустить команды debug (отладки) на маршрутизаторе.
Примечание Вы можете использовать команду clear ip nat translation *, чтобы очистить все динамические записи в
таблице трансляций. По умолчанию, трансляции удаляются по таймауту после 24 часов неактивности. При проверке
конфигурации NAT может быть полезно почистить трансляции.

45
Примечание Команду debug, особенно команду debug all, нужно использовать осторожно. Эти команды могут
нарушить работу маршрутизатора. Команды debug полезны при настройке или решении проблем
с сетью. Однако они могут интенсивно использовать ресурсы ЦПУ или памяти. Рекомендуется
запускать как можно меньше процессов отладки по необходимости, и отключать их сразу после
того, как они больше не нужны. Команды debug должны использоваться с осторожностью в
производственных сетях, так как они могут повлиять на производительность устройства.
Команда debug ip nat отображает информацию о каждом пакете, который транслируется
маршрутизатором, что помогает вам проверить работу NAT. Команда debug ip nat detailed
генерирует описание каждого пакета, который транслируется. Эта команда также
предоставляет информацию об определенных ошибках или условиях исключения,
например о невозможности выделить глобальный адрес. Команда debug ip nat detailed
добавляет больше издержек на отладку, чем команда debug ip nat, но она может
обеспечить детали, которые вам могут понадобиться при решении проблем с NAT.
Не забывайте отключать отладку после решения проблемы.
На рисунке показан пример вывода debug ip nat. В выводе вы можете увидеть, что
внутренний хост 10.1.1.100 инициировал передачу трафика внешнему хосту
209.165.202.131 и был транслирован в адрес 209.165.201.5.
Для расшифровки вывода debug запомните, что означают следующие символы и
значения :
*: вездочка после NAT говорит о том, что трансляция происходит с помощью быстрой
коммутации. Первый пакет в сеансе всегда коммутируется процессно, то есть более
медленным способом. Остальные пакеты идут по пути быстрой коммутации, если в кэше уже
есть путь.
__: Указывает IP-адрес источника
a.b.c.d->w.x.y.z: Указывает, что адрес источника a.b.c.d транслируется в w.x.y.z.
46
d=: Указывает на IP-адрес назначения.
[x.x.x.x]: Значения в квадратных скобках - номер для идентификации IP. Эта информация
может быть полезна для отладки, так как она позволяет выполнять корреляцию с другими
трассировками пакетов из анализаторов протоколов.
Наконец, вам нужно убедиться в том, что ACL, на который ссылается команда NAT, разрешает
все необходимые сети. Обратите внимание, что ACL используют шаблонные маски вместо масок
подсети.

Если трансляции происходят, но пинг к удаленной сети все еще не проходит, проблема
может быть в отсутствии на удаленном маршрутизаторе обратного маршрута к адресу, в
который выполнена трансляция. Эта проблема может возникнуть в NAT между главным
офисом и филиалом. Обычно это не проблема при подключении к сервис-провайдеру, так как
сервис-провайдер обеспечивает маршрутизацию всего необходимого трафика назад к
клиенту.

Лабораторная работа 15 Выявление и устранение проблем с

трансляцией адресов
Введение
В данной лабораторной работе вы будете использовать команды show для выявления проблем, связанных с
трансляцией адресов.

47
Топология

Поддержка лабораторной работы

Информация об устройствах

48
 Задача 1: Выявление и устранение проблем с трансляцией адресов
Шаги решения задачи
Шаг 1. На PC1 и Srv не работает команда ping после того как была установлена процедура трансляции адресов

На рисунке показано, что PC1 (10.10.1.10) не имеет связи с SRV (209.0.113.30). На маршрутизаторе R1 используется
маршрут по умолчанию на адрес 198.51.100.1.

49
Проверяем конфигурацию маршрутизатора R1

(Из этой конфигурации уже все становится понятно)

Шаг 2. Проверяем таблицу трансляции

ежу понятно. что никакой трансляции нет.

Шаг 3. далее вам следует определить между какими интерфейсами должна осуществляться процедура трансляции

Видно, что перепутаны интерфейсы inside и outside

Шаг 4. Изменяем конфигурацию интерфейсов на маршрутизаторе R1

50
Пакеты все равно не идут
Шаг 5. Проверяем работу списка доступа

В списке доступа отсутствуют совпадения. следовательно, он написан не правильно.

Шаг 6. Меняем конфигурации списка доступа

Шаг 7. После этого соединение между устройствами должно восстановиться.

На этом лабораторная работа считается завершенной.

51
52
 Введение
Это модуль суммарной проверки. Он содержит два урока для проверки знаний по установлению соединений с
Интернет, и выявления и устранения проблем с таким соединением. Эти уроки проверят ваши знания по изученным
темам курса. каждый урок содержит вопросы и лабораторные работы.

Урок 1: Подключение к Интернет

53
54
Урок 2: Выявление и устранение проблем подключения к Интернет.

55
56
Модуль 4
Построение сети среднего
размера
Зная принципы работы коммутатора и маршрутизатора, как они обмениваются данными,
базовые настройки безопасности, вы можете улучшить понимание расширенной
сети._Данный модуль объясняет каким образом "виртуализировать" вашу локальную сеть,
используя VLAN, и как настраивать связность третьего уровня между VLAN. Затем
описывается, как уменьшить нагрузку на администраторов при назначении IP-адресов с
использованием DHCP. Введение в WAN-сети продолжается объяснением RIP v2 протокола,
и как его настраивать, чтобы маршрутизатор в филиале мог обмениваться информацией с
маршрутизатором центрального офиса компании.

57
Занятие 1
Внедрение VLAN и trunks
Введение
Ваш руководитель послал к вам заказчика для того, чтобы добавить VLAN в его сеть для
департамента информационных технологий. Вам необходимо понимать общие проблемы,
связанные с так называемым "плоским" дизайном локальной сети, такие как возникновение
"широковещательных штормов", доменом отказов, ограничениями в политике безопасности, и так
далее. Вам необходимо понимать как работает VLAN, и как он взаимодействует с транковым
портом коммутатора.
Для того, чтобы удовлетворить требования заказчика, вам необходимо спроектировать VLANs, IP
адреса, VLANs для специальных типов трафика, и практику безопасного использования VLANs.
Вы также разработаете шаги конфигурации оборудования заказчика, и проинформируете его о
роли протоколов DTP, и STP.

Дизайн расширенной сети

Каждый из уровней, - access, distribution and core обеспечивают в сети разные функции и
возможности.

В зависимости от размеров сайта вы можете иметь в нем один, два, или все три иерархических
уровня. Например, компания, которая размещается в одном здании, может использовать сеть,
которая работает на уровнях access и distribution, в то время как сеть размещающаяся в нескольких
зданиях в большинстве случаев потребует использования всех трех уровней иерархии.

Уровень доступа (access)

На уровне доступа работают коммутаторы, предназначенные для подключения конечных сетевых
устройств пользователей. Устройства могут подключаться как по проводным, так и по
беспроводным каналам, и поддерживать механизмы и сервисы, обеспечивающие безопасность
сети, и гибкое ее использование.

58
Подключение конечных устройств к сети. Коммутаторы уровня доступа предназначены для
подключения конечных сетевых устройств пользователей. Для того, чтобы помочь сети работать
прозрачно для каждодневной рутинной работы конечных сетевых устройств, коммутаторы уровня
доступа должны обеспечивать поддержку взрывного увеличения полосы пропускания,
возникающего при такой работе. Общие рутинные задачи включают посылку электронной почты,
открытия файлов с внутренних веб страниц. Поскольку к сети подключается множество разных
конечных устройств, персональные компьютеры, IP телефоны, видеокамеры, беспроводные точки
доступа, на коммутаторах уровня доступа должно поддерживаться множество логических сетей,
большое число портов, функции безопасности и управления.
Сервисы, обеспечивающие гибкость и безопасность. Уровень доступа должен обеспечивать
конечным пользователям доступ к сети в любое время и в любом месте. Кроме того, уровень
доступа должен обеспечивать безопасность для доступа в сеть конечных устройств, защитить сеть
от ошибок пользователя, и от атак на сеть. Эта защита включает проверку того, что пользователь
подключается только к авторизованным сервисам, запрещает конечным устройствам выдавать
себя за другие конечные устройства. По возможности, защитные механизмы должны проверять
конечные устройства на предмет разрешено ли ему присутствовать в сети.
Расширенные технологические возможности. На уровне доступа должны поддерживаться такие
технологии как передача голоса и видео. Коммутаторы уровня доступа должны обеспечивать
преимущества при передаче такого трафика, по сравнению с трафиком данных.

Уровень распределения (Distribution)

На уровне распределения обеспечивается много разных сервисов. В сетях, когда необходимо
обеспечить передачу информации через локальную сеть из конца в конец, или между разными
устройствами уровня доступа, или конечного устройства на уровне доступа в глобальную сеть, эти
задачи решаются на уровне распределения.

59
Маршрутизация и манипуляция пакетами. Уровень распределения предназначен для
обеспечения управления сетевым трафиком по заданным правилам. В терминах IP маршрутизации
уровень распределения представляет из себя точку обмена маршрутами между доменами
маршрутизации, или границу между статической маршрутизацией и динамическими маршрутами,
созданными протоколами маршрутизации. На этом же уровне осуществляется манипуляции с
пакетами, такие как управление и фильтрация маршрутов.
Расширяемость. В компании (на сайте) в котором имеется два и более коммутаторов,
работающих на уровне доступа отсутствует практика соединения этих коммутаторов
непосредственно друг с другом. Эти устройства объединяются друг с другом через коммутаторы
уровня распределения. Такое решение имеет меньшую операционную стоимость, за счет
упрощения процедуры расширения сети. Это решение также уменьшает размер домена
возможного отказа при выполнении процедуры поиска и устранения сетевых проблем.

Магистральный уровень (Core)

В больших сетях масштаба кампус может присутствовать несколько коммутаторов уровня
распределения (например, по два в каждом здании в сети, состоящей из нескольких
близкорасположенных зданий). Для того, чтобы связать эти коммутаторы в единую сеть,
необходимо использовать коммутаторы магистрального уровня, то есть включить в сеть верхний
иерархический уровень.

60
Еще одна причина использования в сети масштаба кампус коммутаторов магистрального уровня, -
обеспечить достаточную полосу пропускания для постоянного доступа к сетевым ресурсам
пользователям в расширяемой сети.
Пример такой сети приведен на слайде. такое решение имеет наиболее простой дизайн, и
уменьшает размер возможного домена отказов.
Проблемы в плохо спроектированной ("плоской")
сети
Плохо спроектированная сеть увеличивает затраты на поддержку, снижает доступность
сервисов, ограничивает поддержку новых приложений и решений. Если производительность
меньше оптимального значения - это напрямую влияет на конечных пользователей и на их
доступ к ресурсам.

61
Некоторые из возникающих при плохом дизайне сети проблем включают:
Большие широковещательные домены. Широковещательные рассылки существуют в каждой
сети. Многие приложения и сетевые операции используют их для коорректной работы.
Поэтому нет возможности убрать их полностью. Также, как исключение доменов отказа
включает четкое определение границ этих доменов, широковещательные домены тоже
должны иметь границы. Они должны включать оптимальное количество устройств, чтобы
снизить влияние широковещательных рассылок.
Сложности в управлении и поддержке: Плохо спроектированная сеть можеть быть
неорганизована, плохо задокументирована, с отсутствием простой идентификации потоков
данных - все это делает трудозатратным и сложным техническую поддержку и
обслуживание такой сети.
Возможные уязвимости в безопасности: Коммутируемая сеть, в которой уделяется мало
внимания безопасности на уровне доступа при проектировании, может нарушить
целостность всей сети.
Точки отказа: Одной из причин внедрения эффективного дизайна сети является
минимизация распространения проблем при их возникновении. Когда границы второго и
третьего уровней заданы нечетко, отказ в одном сегменте сети может иметь далеко
идущие последствия.
Плохо спроектированная сеть всегда имеет негативное влияние и делает сложной
поддержку и увеличивает затраты для любой организации.

62
Введение в VLAN
Для того, чтобы лучше понять, что представляет из себя виртуальная локальная сеть (VLAN), надо
четко представлять, что представляет из себя локальная сеть (LAN). LAN, - группа устройств,
которые входят в один домен широковещания. Когда одно устройство посылает сообщение по
широковещательному адресу, все устройства, находящиеся в одном домене широковещания
получают это сообщение. Таким образом, можно считать. что LAN и домен широковещания, - это
одно и то же. если на коммутаторе не использовать VLAN, то все его порты находятся в одном
домене широковещания. Таким образом, все устройства, подключенные к портам этого
коммутатора находятся в одном домене широковещания. Если на коммутаторе использовать
VLAN, то есть возможность помещать его порты в разные домены широковещания, уменьшая,
таким образом, размеры таких доменов. Конкретные домены, создаваемые на коммутаторе, и
называются VLAN.

VLAN повышают производительность сети путём разделения широковещательных доменов на

меньшие сегменты. VLAN позволяет сетевому администратору создавать логические группы
сетевых устройств. Эти устройства функционируют так, как если бы все они находились в
отдельной сети, хотя они совместно используют общую сетевую инфраструктуру с другими VLAN.
VLAN - это логический широковещательный домен, который может связывать несколько
физических сегментов локальной сети. В коммутируемой сети VLAN обеспечивает сегментирование
и организационную гибкость. Вы можете спроектировать структуру VLAN, которая позволит
сгруппировать рабочие станции, сегментированные локально по функциям, проектным командам,
приложениям, без учёта физического расположения пользователей. VLAN позволяют организовать
доступ и политики безопасности для соответствующих групп пользователей. Порт можно назначить
только в один VLAN, что добавляет уровень безопасности (если порт работает как порт доступа).
Порты в одном VLAN связаны общим широковещательным доменом. Порты в разных VLAN не
связаны общим широковещательным доменом. Широковещательные кадры из одного VLAN не проходят

63
в другой. Ограничение широковещательной рассылки в пределах VLAN повышает общую
производительность сети.
VLAN может существовать только на одном коммутаторе, а может связывать несколько
коммутаторов. VLAN могут включать в себя рабочие станции в одном или нескольких зданиях.
VLAN также связываются через WAN соединения. Процесс передачи данных от одного VLAN к
другому с использованием маршрутизатора называется маршрутизацией между VLAN. VLAN
привязываются к уникальным IP-подсетям. Такая конфигурация подсетей обеспечивает
маршрутизацию в среде с несколькими VLAN. Когда вы используюте маршрутизатор для
обеспечения марщрутизации между VLAN, его интерфейсы могут подключаться к разным VLAN.
Устройства в этих VLAN отправляют данные через маршрутизатор, чтобы попасть в другие VLAN.
Обычно подсети выбираются в соответствие с VLAN, которым они назначаются. Запись "VLAN2"
соответствует подсети 10.0.2.0/24, "VLAN3" - 10.0.3.0/24, "VLAN4" - 10.0.4.0/24. В данном примере
третий октет определяет VLAN, которому принадлежит устройство.
Каждый VLAN в коммутируемой сети соответствует IP сети. Поэтому дизайн VLAN должен
учитывать внедрение иерархической сетевой адресации.

Создание VLAN
Во многих коммутаторах Cisco Catalyst вы можете использовать команду режима
глобальной конфигурации vlan для создания и входа в режим конфигурации VLAN. Команда
no vlan удаляет VLAN. Данный пример показывает, как создать VLAN 2 в базе данных
VLAN и присвоить ему имя "Sales".

Таблица показывает список команд, используемых при добавлении VLAN.

64
Чтобы добавить VLAN в базу данных VLAN, присвойте ему идентификатор и имя. VLAN 1
является VLAN по умолчанию. Обычный диапазон VLAN идентификаторов - от 1 до 1001.
Идентификаторы VLAN c 1002 по 1005 зарезервированы для VLAN Token Ring и FDDI.
VLAN ID 1, а также 1002-1005 создаются автоматически, и их нельзя удалить.
Конфигурации для VLAN ID c 1 по 1005 хранятся в файле vlan.dat (база данных VLAN). Вы
можете вывести список VLAN на экран с помощью команды show vlan в
привилегированном режиме. Файл vlan.dat хранится во флеш-памяти.
Чтобы добавить Ethernet VLAN, необходимо ввести хотя бы один идентификатор VLAN.
Если имя VLAN не задано, к команде vlan добавляется имя по умолчанию. К примеру,
VLAN0004 будет именем по умолчанию для VLAN 4, если имя не задано.

После настройки VLAN, проверьте его параметры.

Используйте команду show vlan id идентфикатор_vlan или show vlan name имя_vlan, чтобы
вывести на экран информацию о соответствующем VLAN. На рисунке показан пример
использования команды show vlan для вывода содержимого файла vlan.dat. VLAN "Sales"
под номером 2 выделен цветом.

65
Используйте команду show vlan для вывода информации о всех настроенных VLAN.
Команда show vlan выводит информацию о портах коммутатора, назначенных в каждый
VLAN.

Назначение порта в VLAN

Когда конечная рабочая станция подключена к порту коммутатора, она должен быть
назначена в VLAN в соответствие с дизайном сети. Чтобы привязать устройство к VLAN, порт
коммутатора назначается в один VLAN и становится портом доступа.

Список команд, используемых при назначении порта в VLAN.

После создания VLAN, вы можете вручную назначить порт или диапазон портов в этот
VLAN. Порт может принадлежать одновременно только одному VLAN.
Примечание По умолчанию, все порты назначены в VLAN 1.

66
Используйте команду show vlan в привилегированном режиме, чтобы вывести
информацию о назначении VLAN и принадлежности портов к VLAN. Команда show vlan
выводит построчно каждый VLAN. Информация включает имя VLAN, состояние, порты
коммутатора в этом VLAN.
Также, используйте команды show interfaces switchport в привилегированном режиме для
вывода информации о VLAN для определенного интерфейса. В данном примере показана
информация об интерфейсе Fa0/3, который назначен в VLAN 2 с именем "Sales".
67
Транкинг с использованием протокола 802.1Q

Если каждый порт находится в одном VLAN и у вас есть несколько VLAN, которые
настроены на коммутаторах, то при соединении этих VLAN потребуется по одному кабелю
на каждый VLAN.
Увеличение количества VLAN требует увеличения количества подключений. Порты в этом
случае используются для подключения коммутаторов вместо подключения сетевых
устройств.

68
Чтобы решить эту проблему, вы можете использовать транки, позволяющие передавать кадры из
разных VLAN по одному физическому кабелю.
Транк - это соединение точка-точка между одним или несколькими Ethernet-интерфейсами
коммутатора и другим сетевым устройством, таким как маршрутизатор или коммутатор. Ethernet-
транки передают данные нескольких VLAN по одному физическому кабелю и позволяют расширять
VLAN по всей сети. Транк не принадлежит к определённому VLAN. Это средство доставки VLAN
между маршрутизаторами и коммутаторами. Для передачи нескольких VLAN по одному кабелю
между двумя устройствами используется специальный протокол. Cisco поддерживает протокол
транкинга 802.1Q для Ethernet-интерфейсов. Транк может использоваться также и между сетевым
устройством и сервером, имеющим сетевую карту с поддержкой 802.1Q

Номер VLAN
Если сеть содержит несколько коммутаторов, то в сегментах, которые соединяют
коммутаторы между собой, необходимо использовать транковые порты. Через эти порты
должны передаваться кадры, относящиеся к разным VLAN. В связи с этим возникает
необходимость на портах, которые приписаны к конкретному VLAN, реализовать процесс
приписывания к кадру номера (или, если угодно, метки) VLAN. Этот процесс позволит
различать кадры, передаваемые через транковые порты с одного коммутатора на другой,
и соответственно, корректно передавать их на нужные порты другого коммутатора, к
которым приписаны соответствующие VLAN.

69
Транк - это соединение точка-точка между одним или несколькими Ethernet-интерфейсами
коммутатора и другим сетевым устройством, таким как маршрутизатор или коммутатор. Ethernet-
транки передают данные нескольких VLAN по одному физическому кабелю и позволяют расширять
VLAN по всей сети. Транк не принадлежит к определённому VLAN. Это средство доставки VLAN
между маршрутизаторами и коммутаторами.
Остальное, по моему понятно из слайда, и никаких дополнительных комментариев не требует.

IEEE 802.1Q
Стандарт 802.1Q вводит дополнительное поле размером байта в заголовок Ethernet, превращая
его, таким образом в 802.1Q кадр. Естественно, поскольку размер кадра изменился, в нем
заменяется поле, которое содержит контрольную сумму.

70
В метке используются следующие поля:
Type - или идентификатор протокола имеет постоянное значение 0х8100 и длину - 16 бит
Priority - используется для внедрения качества обслуживания в сетях, работающих на канальном
уровне. Длина поля - 3 бита
Flag - поле длиной 1 бит, демонстрирует в каком формате записывается МАС адрес: 0 - в
каноническом формате, 1- в неканоническом формате
VLAN ID - поле длиной 12 бит позволяет приписать кадру номер VLAN. Длина позволяет
использовать 4096 VLAN.
Настройка транкинга 802.1Q

71
В примере показана настройка порта FastEthernet0/11 на коммутаторе SwitchX в режим
транкинга. Используйте команду switchport mode, чтобы перевести порт Fast Ethernet в
режим транкинга. Многие коммутаторы Cisco Catalyst поддерживают протокол DTP,
который управляет автоматическим согласованием транкового режима. DTP является
запатентованным протоколом Cisco. Другие производители коммутаторов его не
поддерживают. DTP автоматически включается на порту при определенных настроенных
режимах транкинга. DTP управляет согласованием режима транкинга на порту только при
поддержке DTP и конфигурации транкинга на порту другого коммутатора, подключенного к
нему.
В примере показана настройка порта FastEthernet0/11. Команда switchport trunk mode
устанавливает режим транка на порту FastEthernet0/11. Также показывается перенастройка
native VLAN. VLAN 99 настроен как native. Поэтому трафик из VLAN 99 будет передаваться
нетегированным. Убедитесь, что на другом конце подключения (SwitchY) настроен режим
транкинга с указанием параметра native VLAN 99.

72
Для проверки конфигурации транкинга на коммутаторе используйте команды show
interfaces switchport и show interfaces trunk. Данные команды выводят информацию о
транкинге и VLAN для порта.

Лабораторная работа 16: Конфигурирование VLAN и транков

Введение
В ходе данной лабораторной работы вы будете изучать различные аспекты работы VLAN включая
и VLAN для управления (management VLAN), и использование транков для переноса кадров
принадлежащих разным VLAN через общий физический канал. Устройства собраны в сеть в
соответствие со схемой представленной на рисунке. На устройствах сконфигурированы IP адреса
из сети 10.10.1.0/24. База VLAN на коммутаторах пуста. Ваша задача поменять конфигурации,
использовав 2 VLAN.

Топология

Поддержка для выполнения лабораторной работы

Информация об устройствах

73
 Изменения в таблице информации об устройствах

Задача 1: Конфигурация VLAN и транков

Шаги решения задачи

Шаг 1. Вначале необходимо убедиться в том, что между всеми устройствами лабораторной сети
есть связь

74
Шаг 2. Теперь необходимо подключиться к PC2 и поменять на нам адрес на 10.10.2.20/24 из сети
10.10.2.0/24.

Поскольку PC2 пока остается в VLAN 1, то связь с сетью должна быть потеряна, поскольку сеть у
нас 10.10.1.0/24. Для того, чтобы в нее попасть, нашей рабочей станции нужен default-gateway,
который пока отсутствует.
Шаг 3. Подключимся к PC4 и изменим его адрес на 10.10.2.40 из сети 10.10.2.0/24.

Теперь и PC2 и PC4 находятся в одной сети 10.10.2.0/24. И несмотря на то, что они находятся в
общем широковещательном домене VLAN 1, на сетевом уровне, эти две рабочие станции
находятся в изолированной подсети.
Шаг 4. Проверим наше утверждение

Шаг 5. Подключимся к коммутатору Sw1 и проверим, что в базе VLAN имеется только VLAN 1, и
все порты коммутатора привязаны к нему.

75
Шаг 6. Создадим VLAN 2 с именем Engineering

Шаг 7. Проверим базу VLAN

Шаг 8. Используем другую команду для проверки наличия конкретного VLAN

Шаг 9. На коммутаторе просмотрим статус интерфейса Е0/0 с точки зрения его работы с VLAN

76
Много интересного можно увидеть из вывода этой команды. административный режим порта -
dynamic desirable. Если два соседних порта имеют такой статус, их рабочий режим - trunk (на
физических коммутаторах статус dynamic access. если два соседних порта имеют такой статус, то
их рабочий режим - access). Протокол, который используется для преобразования кадров
Ethernet, - ISL (proprietary protocol Cisco Systems). На аппаратных коммутаторах, - 802.1Q.
Шаг 10. Несмотря на то, что в нашем случае транк на канале между двумя коммутаторами
установился автоматически, общей практикой является конфигурирование портов вручную (по
соображениям безопасности, например). Кроме того, хорошей практикой считается
использование в качестве native VLAN (опция, доступная только при использовании протокола
802.1Q) VLAN, который не используется ни на каких портах доступа коммутаторов в сети. В нашем
случае для этой цели будем использовать VLAN 256. Присвоим ему имя noHost.

Несмотря на то, что никакой связи между номерами VLAN и номерами IP сетей не существует,
поскольку эти элементы работают на разных уровнях семиуровневой модели, рекомендуется в
номерах сетей ссылаться на номера VLAN. В нашем случае, номер VLAN используется в качестве
третьего октета номера сети: VLAN 1 - 10.10.1.0/24, VLAN 2 - 10.10.2.0/24.
Шаг 11. Теперь необходимо изменить протокол, использующийся для присвоения номера VLAN, и
номер native VLAN.

Поскольку теперь на двух коммутаторах, связанных между собой транковым используются

различные native VLAN, вы должны получить сообщение об этом

77
Шаг 12. Теперь необходимо выполнить аналогичные изменения в конфигурациях
соответствующего интерфейса на втором коммутаторе:

Шаг 13. Проверим, что получилось на втором коммутаторе

Шаг 14. Теперь на втором коммутаторе необходимо приписать порт, к которому подключен PC4, к
VLAN 2

Шаг 15. Проверим теперь статус этого порта

78
Шаг 16. Проверим статус портов на коммутаторе Sw2

Шаг 17. Легко видеть, что теперь PC2 и PC4 находятся в разных VLAN. И несмотря на то, что их
адреса находятся в одной подсети, связи между этими устройствами быть не должно.

Шаг 18. Поменяем номер VLAN на порту, к которому подключен PC2

Шаг 19. Проверим статус соответствующего порта

79
Шаг 20. Проверим статус портов на коммутаторе Sw1

Шаг 21. Проверяем связь между PC2 и PC4

Шаг 22. Поскольку PC1 и PC4 находятся в разных VLAN, связи между ними быть не должно.
Проверим

На этом лабораторная работа считается завершенной.

Принципы проектирования VLAN
Поскольку VLAN используется для разграничения конечных устройств, то при проектировании вы
должны ответить себе на следующий вопрос: какие из конечных устройств с какими другими
конечными устройствами должны общаться без ограничений в текущий момент и в будущем?
Некоторые общие соображения по этому повожу представлены ниже
80
Как правило, коммутаторы Cisco уровня доступа поддерживают до 64, 256 или 1024
VLAN. Максимальное количество зависит от модели коммутатора.
Коммутаторы Cisco имеют конфигурацию по умолчанию, в которой преднастроены
некоторые VLAN для поддержки разных сред передачи и протоколов. VLAN 1 является
Ethernet VLAN по умолчанию.
Обновления протокола обнаружения Cisco рассылаются в VLAN 1. Рекомендуемая практика
состоит в разделении трафика управления и пользовательского трафика, предотвращая
доступ пользователей через Telnet к коммутатору.
Если необходим удалённый доступ к коммутатору Cisco в целях управления, ему
необходим IP адрес для управления. Такой IP-адрес должен быть в служебном VLAN,
которым по умолчанию является VLAN 1.
Хорошей практикой с точки зрения безопасности является изменение native VLAN с номера 1
на любой другой доступный VLAN (к примеру, VLAN 98).

81
Убедитесь, что на обоих концах транкого подключения native VLAN для работы 802.1Q
транка настроен одинаковый. Если настройки с двух сторон разные, могут возникнуть петли
коммутации. Также операционная система Cisco IOS Software будет выдавать
уведомление об ошибке. Проверьте, что native VLAN кадры не тегируются.
Протокол DTP предлагает 4 режима работы для порта коммутатора: access, trunk, dynamic
auto, dynamic desirable. Общая рекомендация - отключить автосогласование. То есть не
используйте режимы dynamic auto и dynamic desirable.

Аппаратное резервирование в локальной сети

Увеличение количества коммутаторов может добавить преимущество резервирования.
Подключение двух коммутаторов к одинаковым сегментам сети позволяет гарантировать
непрерывную работу при возникновении проблем с одним из них. Резервирование повышает
доступность сети в любое время.

82
В то же время, при таком резервировании могут возникнуть петли коммутации. Когда хост
в одном сегменте передает данные хосту в другом сегменте и оба сегмента подключены к
двум или большему количеству коммутаторов, каждый коммутатор получет кадр,
определяет местроположение устройства назначения и пересылает кадр. Так как каждый
коммутатор пересылает кадр, каждый кадр дублируется. Как следствие, возникают петли
коммутации и кадр пересылается между сегментами без удаления из сети. Таблица MAC-
адресов также может обновляться неверными данными, что приводит к неточной
пересылке.
Представьте, что хост A отправляет кадр хосту B. Хост A находится в сегменте A, хост B - в
сегменте B. Резервные подключения обеспечивают работоспособность, если один из
сегментов перестанет работать. В данном примере предполагается, что ни один из
коммутаторов не знает адрес хоста B. Коммутатор 1 получает кадр, предназначенный
хосту B, и рассылает его коммутаторам 2 и 3.
Коммутаторы 2 и 3 получают кадр от хоста A (через коммутатор 1) и определяют, что хост
A находится в сегментах 1 и 2, соответственно. Каждый их них пересылает кадр
коммутатору 4. Коммутатор 4 получает две копии кадра от хоста A: одну копию через
коммутатор 2, другую через коммутатор 3. Предположим, первым приходит кадр от
коммутатора 2. Коммутатор 4 определяет, что хост A находится в сегменте 3. Учитывая,
что коммутатор 4 не знает, куда подключен хост B, он пересылает кадр из всех своих
портов (за исключением порта, на котором этот кадр был получен), в том числе хосту B и
комматутору 3. Когда кадр от коммутатора 3 прибывает на коммутатор 4, последний

83
обновляет свою таблицу, чтобы отметить перемещение хоста A в сегмент 4. Затем он
пересылает кадр хосту B и коммутатору 2. Коммутаторы 2 и 3 изменяют свои внутренние
таблицы, отмечая расположение хоста A в сегментах 3 и 4, соответственно. Если
исходный кадр от хоста A широковещательный, оба коммутатора будут пересылать кадры
бесконечно. Они займут всю доступную полосу пропускания и заблокируют передачу других
кадров в обоих сегментах. Это называется широковещательным штормом (broadcast storm).

Протокол STP решает проблемы петель коммутации, управляя физическими путями к

данным сегментам сети. Он обеспечивает физическое резервирование с предотвращением
нежелательных последствий от петель коммутации в сети. STP включен по умолчанию на
коммутаторах Cisco Catalyst.
STP работает следующим образом:
переводит определённые порты в режим ожидания, и они не прослушивают, не
пересылают, и не выполняют лавинную рассылку кадров. В целом результат в том, что
одновременно работает только один порт к каждому сегменту сети; при возникновении
проблемы с подключением к какому-либо сегменту сети, протокол STP автоматически
активирует один из портов, который находится в режиме ожидания.

84
85
Занятие 2
Маршрутизация между
VLAN
Маршрутизация представляет собой процесс определения, куда нужно пересылать
данные, предназначенные адресам за пределами данной локальной сети. Маршрутизаторы
собирают и поддерживают в актуальном состоянии маршрутную информацию, которая
используется для отправки и получения данных. Передача данных между VLAN происходит
на третьем уровне.
Данное занятие описывает основы маршрутизации между VLAN, включая подинтерфейсы и
маршрутизаторы с транковыми подключениями
Каждый VLAN является отдельным широковещательным доменом. Компьютеры в разных
VLAN по умолчанию не могут передавать данные друг другу. Чтобы обеспечить передачу
данных между ними, необходимо использовать маршрутизацию между VLAN. Такая
маршрутизация между широковещательными доменами осуществляетя с
использованием устройства третьего уровня.

86
VLAN выполняют разделение сети и трафика на втором уровне, и обычно привязываются к
уникальным IP-подсетям. Такая конфигурация подсетей упрощает процесс маршрутизации в
сетевой среде с несколькими VLAN. Маршрутизация не может работать без устройства
третьего уровня. При использовании маршрутизатора для передачи данных между VLAN,
его интерфейсы могут подключаться к разным VLAN.

Варианты маршрутизации между VLAN

Маршрутизация между VLAN - это процесс передачи сетевого трафика из одного VLAN
в другой с использованием устройства третьего уровня.

87
Традиционно, маршрутизация между VLAN требовала несколько физических интерфейсов
и на маршрутизаторе, и на коммутаторе. VLAN соответствует отдельной IP-подсети.
Настройка подсети упрощает процесс маршрутизации в сетевой среде с несколькими
VLAN. При использовании маршрутизатора для передачи данных между VLAN, его
интерфейсы могут подключаться к разным VLAN. Устройства в этих VLAN отправляют
данные через маршрутизатор, чтобы попасть в другие VLAN.

88
Некоторые коммутаторы могут выполнять роль устройства третьего уровня, избавляя от
необходимости в выделенном маршрутизаторе. Коммутаторы третьего уровня способны
осуществлять маршрутизацию между VLAN. Традиционно, коммутатор пересылает данные
исходя из данных заголовка второго уровня, в то время как маршрутизатор принимает
решение по пересылке, заглядывая в заголовок третьего уровня. Коммутатор третьего уровня
комбинирует возможности коммутатора и маршрутизатора. Он коммутирует трафик, если
адреса источника и назначения в одном VLAN, и маршрутизирует трафик, если адреса
источника и назначения находятся в разных VLAN (в разных IP-подсетях). Чтобы включить
функционал третьего уровня на коммутаторе, необходимо предварительно настроить на
нем соответсвующие интерфейсы VLAN. Нужно использовать IP адреса, соответствующие
подсети, к которой привязан VLAN, а также включить IP-маршрутизацию.
Маршрутизация с помощью коммутатора третьего уровня более масштабируемая по
сравнению с маршрутизатором с транковым подключением, так как количество трафика,
которое можно пересылать по одному транку, ограничено. В общем, коммутатор третьего
уровня - это устройство второго уровня, модернизированное некоторыми функциями
маршрутизации. В свою очередь, маршрутизатор - это устройство третьего уровня с
определенными функциями коммутации. Однако, отличия между коммутаторами и
маршрутизаторами становятся всё менее заметными с каждым днем. Некоторые
коммутаторы второго уровня, например серия Cisco Catalyst 2960, поддерживают
ограниченный функционал третьего уровня. Такой коммутатор поддерживают

89
статическую маршрутизацию на виртуальных интерфейсах коммутатора (SVI).
Статические маршруты можно настроить, но протоколы маршрутизации не
поддерживаются.

Не все конфигурации при настройке маршрутизации между VLAN требуют отдельных

физических интерфейсов. Некоторые версии ПО позволяют настраивать интерфейсы
маршрутизатора в роли транков. Транковые подключения открывает новые возможности
для маршрутизации между VLAN.
Маршрутизатор с транковым подключением - это тип конфигурации маршрутизатора, в котором
один физический интерфейс маршрутизирует трафик между несколькими VLAN.
На рисунке маршрутизатор подключен в коммутатор ядра. Конфигурацию между
маршрутизатором и коммутатором ядра в таком случае иногда называют маршрутизатором на
палочке. Интерфейс маршрутизатора настраивается на работу в транковом режиме и
подключается к порту коммутатора, также настроенному в режим транкинга.
Маршрутизатор выполняет маршрутизацию между VLAN, получая тегированный трафик на
транковом интерфейсе от подключенного порта коммутатора и затем маршрутизируя между
VLAN, используя подинтерфейсы (Подинтерфейсы - это несколько виртуальных
интерфейсов, связанных с одним физическим). Для выполнения этой задачи маршрутизатор
должен знать, как добраться ко всем подключенным VLAN. При этом на маршрутизаторе для
каждого VLAN требуется отдельное логическое подключение, а также режим транкинга
(такой как IEEE 802.1Q), на каждом подключении. Маршрутизатор знает знает о

90
непосредственно подключенных сетях, поэтому он отправляет смаршрутизированный
тегированный VLAN трафик с того же физического интерфейса в VLAN назначения.
Подинтерфейсы настраиваются программно. Каждому из них присваивается IP-адрес и
привязка к VLAN. Подинтерфесы настраиваются в разные подсети в соответствии с
назначенными VLAN, чтобы упростить логическую маршрутизацию, которая выполняется
перед тегированием данным VLAN-тегом и отправлением их с физического интерфейса.

Лабораторная работа 17: Конфигурирование маршрутизатора для

маршрутизации VLANs

Введение
Лабораторная работа посвящена маршрутизации между VLANs. Устройства в лабораторной сети
сконфигурированы так как показано на слайде ниже. В начальной конфигурации конечные к
устройствам приписаны IP адреса из сетей 10.10.1.0/24 и 10.10.2.0/24. Вначале вам следует
изменить эти конфигурации таким образом, чтобы приписать устройства к двум VLANs, и
использовать два физических интерфейса маршрутизатора для маршрутизации между ними.
Затем вы продолжите изменение конфигураций таким образом, чтобы в схеме использовалось
три VLANs и физический интерфейс маршрутизатор был приписан к транковому порту
коммутатора для маршрутизации между ними. И наконец, в конфигурациях оба коммутатора
должны быть приписаны к VLAN 1, РС2 и РС 4 к VLAN 2, и РС1 и РС 3 к VLAN 3. Для всех хостов
маршрутизатор R1 будет оставаться default-gateway, и обеспечивать маршрутизацию трафика
между перечисленными устройствами.

Топология

91
Поддержка лабораторной работы

Информация об устройствах

92
93
 Задача 1: Конфигурация маршрутизатора с транковым линком

Шаги конфигурации
Шаг 1. Один из способов обеспечить маршрутизацию между VLANs, - подключить физические
интерфейсы маршрутизатора к access портам коммутатора, которые приписаны к VLAN между
которыми и надо маршрутизировать трафик. В настоящее время оба физических интерфейса
маршрутизатора приписаны к VLAN 1. Далее вы будете конфигурировать соответствующий
интерфейс коммутатора таким образом, чтобы интерфейс Е0/1 маршрутизатора был приписан к
VLAN 2. Подключитесь к консольному порту коммутатора Sw1, проверьте текущий статус его
интерфейсов.

Интерфейс Е0/1 маршрутизатора подключен к интерфейсу коммутатора Sw1 Е0/2.

Шаг 2. Сконфигурируйте на этом интерфейсе VLAN 2.

Шаг 3. Подключитесь к консольному порту маршрутизатора R1, и настройте на его интерфейсе

Е0/1 IP адрес 10.10.2.1/24.

Шаг 4. На РС4 настройте адрес 10.10.2.1 в качестве default-gateway

Шаг 5. Проверьте, что РС1 теперь достижима с РС4

94
Шаг 6. Повторите операцию на РС2

Шаг 7. Проверьте, что теперь с РС 2 достижима РС3

Шаг 8. В этой точке маршрутизация между VLAN1 и VLAN2 осуществляется через два физических
интерфейса маршрутизатора. Далее нам необходимо создать на коммутаторе еще один VLAN с
номером 3 и именем Marketing, и поместить РС1 и РС3 в этот VLAN. Коммутаторы остаются в VLAN
1. На маршрутизаторе необходимо обеспечить маршрутизацию между этими тремя VLAN.

Шаг 9. Поместите РС3 в этот VLAN

Шаг 10. Проверьте статус этого интерфейса на коммутаторе

Шаг 11. Подключитесь к РС1 и введите там следующие команды

Шаг 12. Подключитесь к консоли коммутатора Sw2, и припишите РС1 к VLAN3.

95
Шаг 13. Проверьте статус порта Е1/0

Шаг 14. Проверьте статус VLAN3

Шаг 15. Подключитесь к РС3 и настройте на нем сетевую информацию соответствующую VLAN3

Шаг 16. Проверьте, что теперь с РС3 достижим РС1

96
 Настройка транкового подключения на маршрутизаторе

На рисунке интерфейс GigabitEthernet0/0 разделен на подинтерфейсы:

GigabitEthernet0/0.10 и GigabitEthernet0/0.20. Каждый подинтерфейс представляет
маршрутизатор в каждом из VLAN, для которых выполняется маршрутизация.
В данном примере, команда encapsulation dot1q 20 включает 802.1Q транкинг на
подинтерфейсе GigabitEthernet0/0.20. Значение 20 означает номер VLAN (идентификатор
VLAN), а также номер тега 802.1Q , который назначается трафику из этого VLAN на
подинтерфейсе.
Каждый VLAN, тегируемый 802.1Q на транковом подключении, требует подинтерфейс с
включенной инкапсуляцией 802.1Q. Номер подинтерфейса не обязательно должен
соответствовать номеру VLAN, указанному в параметре команды encapsulation dot1q
номер. Но такая нумерация упрощает поиск и устранение неисправностей.
В приведенном примере, устройства в разных VLAN используют подинтерфейсы
маршрутизатора в качестве шлюзов для связи с устройствами в других VLAN.
На коммутаторе назначьте порты в соответствующий VLAN и настройте интерфейсы в
сторону маршрутизатора в транковый режим. Транковое подключение будет передавать

97
трафик из разных VLAN и маршрутизатор будет маршрутизировать трафик между этими
VLAN.

Чтобы проверить конфигурацию маршрутизатора, информацию об IP-маршрутизации, IP-

протоколах для каждого VLAN, чтобы проверить, что в таблице маршрутизации есть подсети для
всех VLAN -используйте команды show.
Команда show vlans выводит информацию о подинтерфейсах VLAN в Cisco IOS . Вывод в
примере показывает два подинтерфейса VLAN, FastEthernet0/0.10 и FastEthernet0/0.20.

98
Шаг 17. Для того, чтобы конфигурировать подинтерефйсы на маршрутизаторе, вначале, надо
соответствующий интерфейс коммутатора перевести в статус транк.

Шаг 18. Теперь можно приступать к конфигурации подинтерфейсов маршрутизатора.

Шаг 19

Шаг 20

Шаг 21. Проверяем наличие связи между конечными устройствами лабораторной сети.

99
На этом лабораторная работа считается завершенной.

100
101
Занятие 3
Использование сетевого
устройства Cisco в
качестве DHCP-сервера
Традиционно системным администраторам приходилось на каждом компьютере вручную
настраивать сетевой адрес, шлюз по умолчанию и другие сетевые параметры. Однако
DHCP-сервер присваивает эти параметры автоматически. Данное занятие описывает
использование маршрутизатора Cisco в качестве DHCP-сервера.

Необходимость в DHCP сервере

Если назначение IP-адресов для сетевых устройств вручную приемлемо для сетей малого
размера, то для сетей среднего размера это дополнительная нагрузка для
администраторов.
Настройка всех сетевых параметров на конечных устройствах вручную, когда они
перемещаются с места на место, может быть трудозатратна для системных
администраторов. Для мобильных сотрудников, работающих из дома, изредка
появляющихся в офисе, настройка таких параметров вручную может вызывать сложности.
К тому же, такая настройка может быть сделана с ошибками, или принесенное устройство
уже может иметь свои настройки. В результате могут возникать проблемы в работе
сетевых подключений на этих устройствах или проблемы для других пользователей, чьи
устройства имеют такие же настройки в локальной сети.

102
Внедрение DHCP-сервера в локальной сети упрощает процесс назначения IP-адресов.
DHCP сервер используется в малых сетях для поддержки частых изменений и для
присвоения корректных IP-адресов гостевым устройствам, которые подключаются к
локальной сети. Еще большие преимущества для упрощения администрирования возникают,
если сеть сегментирована на VLAN. DHCP-сервер автоматически присваивает IP-адреса
конечным устройствам в соответствии с назначенным VLAN.
Использование централизованного DHCP-сервера позволяет управлять всеми
выданными IP адресами из одного места. Такая практика обеспечивает последовательность
присвоения адресов и управления адресацией во всей организации и её филиалах.

Общие сведения о DHCP

103
Динамическое присвоение IP адресов с помощью DHCP построено на модели клиент-
сервер. На рисунке показано, как конечный хост получает IP-адрес с сервера DHCP.
Процесс динамического присвоения IP-адресов можно разделить на следующие стадии:
1 DHCP discover (обнаружение): клиент посылает широковещательный DHCP-запрос со
своим MAC-адресом для поиска доступных DHCP серверов.
2 DHCP offer (предложение): когда DHCP-сервер получает сообщение DHCP discover от
клиента, он резервирует для него IP-адрес и отвечает клиенту сообщением DHCP offer. Это
сообщение включает MAC-адрес клиента, предложенный DHCP-сервером IP-адрес, маску
подсети, время аренды IP-адреса, а также IP-адрес самого DHCP-сервера.
3 DHCP request (запрос): когда клиент получает сообщение DHCP offer, он отвечает
сообщением DHCP request, означающий запрос настроек, предложенных в DHCP offer.
Сообщение DHCP request широковещательное, т.к. клиент не получил пока подтверждённого IP
адреса.
4 DHCP acknowledgment (подтверждение): после получения от клиента сообщения DHCP
request, DHCP-сервер подтверждает присланный запрос однонаправленным сообщеним DHCP
acknowledgment. Данное сообщение включает подтверждение для всех запрошенных параметров.
На этом процесс IP-конфигурации считается завершенным.

Настройка DHCP-сервера

104
В приведенном сценарии конфигурации, DHCP-сервер будет настроен на маршрутизаторе
Cisco. Гостевые пользователи локальной сети должны получить IP-адреса из
выделенного пула, вместе с адресом шлюза по умолчанию, именем домена, IP-адресом
DNS-сервера. Аренда IP адреса должна действовать в течение 12 часов.
Примечание DHCP-сервер может быть также реализован на коммутаторах Cisco Catalyst.

105
Чтобы включить функцию DHCP-сервера на устройстве Cisco IOS, войдите в режим
конфигурации DHCP, указав имя пула. Используйте приведенные в таблице команды для
задания параметров пула.

Лабораторная работа 18. Конфигурирование маршрутизатора IOS в

качестве DHCP сервера.
Введение
В данной лабораторной работе вы будете использовать сервисы протокола DHCP на
маршрутизаторе IOS. Схема лабораторной сети представлена на рисунке ниже. Маршрутизатор R1
сконфигурирован для выполнения маршрутизации между VLAN 1, 2, и 3. РС2 и Srv1 приписаны к
VLAN 2, а РС1 и РС3, - к VLAN 3. На Srv1 IP адрес назначен статически. РС1, РС2, и РС3 вначале
не имеют конфигураций IP адресов. В ходе выполнения данной лабораторной работы вы будете
конфигурировать Srv1 как DHCP сервер для присвоения адресов в локальном VLAN, - VLAN2.
После этого вы сконфигурируете РС2 как клиента DHCP сервера, и просмотрите процесс DHCP.
После этого вы сконфигурируете второй пул адресов DHCP на Srv1. Этот пул будет
использоваться для назначения адресов в VLAN 3. На маршрутизаторе вы сконфигурируете
DHCP relay, для того, чтобы запрос на получение адресов передавался из VLAN 3 на DHCP
сервер. После этого вы сконфигурируете РС1 и РС 3 как клиенты.

Топология

106
Поддержка лабораторной работы

Информация об устройствах

107
 Задача 1: Конфигурирование маршрутизатора в качестве сервера
DHCP
Шаг 1. Сконфигурируйте DHCP пул на Srv1. Присвойте ему имя Subnet_10.10.2 и задайте в нем
сеть 10.10.2.0/24 а также default router 10.10.2.1. Срок на который выделяются адреса установите
равным 7 дням. Исключите первые 40 адресов из этого пула.

Шаг 2. Включите на маршрутизаторе следующую команду

Шаг 3. Прежде чем начать просматривать процесс динамического присвоения сетевой

информации на РС2, просмотрите его начальные конфигурации, и информацию о маршрутизации.

Шаг 4. на РС2 введите следующие команды

Шаг 5 Выведете интерфейс из состояния administratively down

108
Шаг 6. Просмотрите, что получилось в результате

Шаг 7

Шаг 8. Проверьте. что с РС2 доступен адрес интерфейса loopback0 маршрутизатора R1 (10.10.99.1).

Шаг 9. Найдите МАС адрес РС2 с помощью следующей команды:

Шаг 10. Зайдите на консоль Srv1 и проверьте результаты выполнения команды debug

109
Протокол DHCP работает в четырех фазах: server discovery, IP lease offer, IP request, and IP lease
acknowledgement (DORA).
Прежде чем прислать ответ DHCP сервер должен получить три discovery.
Мониторинг функций DHCP-сервера
Вы можете проверить настроенные параметры DHCP помощью команды show ip dhcp
pool в привилегированном режиме. Команда выводит общее число доступных IP адресов,
настроенные диапазоны IP-адресов, количество выданных IP-адресов. Помните, общее число
адресов не учитывает исключенные из раздачи IP-адреса.

110
Чтобы проверить работу DHCP сервера, используйте команду show ip dhcp binding,
которая выводит список соответствий выданных IP-адресов и MAC-адресов, которые
получили адреса с DHCP-сервера. Дополнительно выводится время аренды и тип
присвоения.

Агент ретрансляции DHCP

DHCP-клиенты используют широковещательные UDP пакеты для отправки сообщения
DHCP discover, так как не знают о своей принадлежности к определённой сети. Если
клиент находится в сети без сервера DHCP, то сообщения DHCP discover не пересылаются
маршрутизатором.

111
Чтобы клиенты DHCP, находящиеся в разных подсетях с DHCP сервером, могли
связываться с ним, необходимы агенты ретрансляции DHCP для каждой подсети. Вы
можете настроить агента ретрансляции для сетевого сегмента с помощью команды ip
helper-address адрес, в которой указывается IP-адрес DHCP-сервера.
Когда агент ретрансляции DHCP получает широковещательное сообщение обнаружения
DHCP, он пересылает его одному или нескольким DHCP-серверам одноадресным
сообщением, сохраняя свой IP-адрес в поле giaddr пакета DHCP. DHCP-сервер по
данному полю определяет подсеть, в которой агент ретрансляции получил
широковещательное сообщение и выделяет IP-адрес, принадлежащий к этой подсети.
Когда DHCP-сервер отвечает клиенту, он посылает пакет на адрес из поля giaddr
одноадресным сообщением. Агент ретрансляции получает его и отправляет в
локальную сеть (клиенту).
Примечание Команда ip helper-address включает пересылку всех известных UDP портов, которые могут
быть включены в широковещательный пакет UDP.
Шаг 11. Просмотрите таблицу присвоенных адресов на DHCP-сервере.

Шаг 12. Сконфигурируйте второй пул DHCP на сервере. Из него будут присваиваться адреса для
устройств, находящихся в VLAN 3. адреса должны присваиваться из сети 10.10.3.0/24, default

112
router - 10.10.3.1. Адреса должны выделяться на 7 дней, и первые 40 адресов должны быть
исключены из пула.

Шаг 13. На маршрутизаторе R1 введите следующую команду

Шаг 14. На РС1 введите следующие команды

Шаг 15. На РС1 используйте следующие команды для проверки автоматического присвоения
сетевой информации

Шаг 16. Проверьте доступность устройств в вашей сети.

113
Шаг 17. На сервере проверьте сообщения, выводимые командой debug

Шаг 18. Проверьте таблицу адресов, выданных сервером

Шаг 19 Отключите все команды debug на маршрутизаторе

Шаг 20. В следующих шагах вы будете конфигурировать РС3, как DHCP клиента, и проверять
полученный результат.

114
Шаг 21

Шаг 22

Шаг 23. Проверьте доступность устройств в сети

Шаг 24. На сервере проверьте таблицу выданных адресов

На этом данная лабораторная работа считается оконченной.

115
 Понимание DNS
Протокол позволяет связывать имена устройств, удобные для запоминания пользователями, с IP
адресами, необходимыми устройствам для маршрутизации трафика.

Лабораторная работа 19. Выявление и устранение проблем в работе

протокола DHCP

Введение
В лабораторной работе изучаются различные проблемы, которые возникают при работе
сервисов DHCP, и использование различных инструментов IOS для их выявления. R1
сконфигурирован для маршрутизации трафика между VLAN 1, 2, и 3. Srv1 сконфигурирован как
DHCP сервер, имеющий два пула адресов, для динамического назначения адресов в VLAN 2 и
3. R1 сконфигурирован как DHCP relay agent для передачи запросов из VLAN 3 на Srv1. При
конфигурациях было сделано несколько ошибок, которые надо найти и устранить.

Топология

116
Поддержка лабораторной работы

Информация об устройствах

117
Задача 1. Поиск проблем в конфигурациях DHCP

Шаги решения задачи

Шаг 1. На РС2 проверяем доступность сервера

Из вывода команды понятно что РС2 не имеет адреса.

Шаг 2. Проверяем это

118
Так все и есть. Адрес по DHCP не приходит.
Шаг 3. Дополнительно убеждаемся в этом с помощью команды

Информация об адресе отсутствует.

Вывод команды может выглядеть и так

Шаг 4. Убеждаемся, что сервер не выделял РС2 адресов (зачем? Итак понятно, что не
выделял)

Шаг 5. Проверяем конфигурации сервера

Видно, что все адреса пула исключены из динамической выдачи. Кроме того, неверно
указан default router.
Шаг 6 Исправляем конфигурации на сервере
119
Шаг 7. На клиенте (РС2) вводим следующие команды

Шаг 8. Проверяем таблицу выданных адресов на сервере

Шаг 9. Проверяем адресную информацию на клиенте

теперь все корректно.

Шаг 10. Повторяем проверку на РС1 и РС3

120
Адреса не выдаются.
Шаг 11. Проверяем конфигурации DHCP relay на сервере

Констатируем, что адрес не корректен.

Шаг 12 Исправляем ситуацию

Шаг 13. Повторяем проверку выданной адресной информации на клиентах

Шаг 14 Проверяем конфигурации соответствующего пула на сервере

121
Видно, что в пуле сконфигурирована не корректная подсеть. Кроме того, в пуле остался
для динамической выдачи только один адрес.
Шаг 15. Исправляем ситуацию

Шаг 16 Проверяем работоспособность выполненных конфигураций

На этом лабораторная работа считается завершенной.

122
123
 Занятие 4

Использование RIP v2
Введение
Маршрутизация - это процесс определения, куда отправить пакеты данных, направленные на
адреса за пределами локальной сети. Маршрутизаторы собирают и поддерживают в
актуальном состоянии маршрутную информацию для передачи и получения пакетов данных.
Маршрутная информация принимает форму записей в таблице маршрутизации, каждая из
которых идентифицирует маршрут. Маршрутизатор может использовать протокол

124
маршрутизации для создания и динамической поддержки в актуальном состоянии таблицы
маршрутизации, чтобы сеть могла справиться с изменениями при их возникновении.
Чтобы эффективно управлять сетью, вы должны понимать принцип работы протоколов
динамической маршрутизации и их влияние на IP-сеть. В даном занятии рассматривается
необходимость в таких протоколах и описываются различия между внутренними и
внешними протоколами маршрутизации, а также между протоколами состояния канала и
дистанционно-векторными протоколами. Также объясняется принцип работы протоколов
состояния канала

Назначение протоколов динамической

маршрутизации
Динамическая маршрутизация полагается на протокол маршрутизации для
распространения информации. Протокол маршрутизации определяет правила, которые
используются маршрутизатором, когда он взаимодействует с соседними
маршрутизаторами в целях определения путей к удалённым сетям и поддержки
информации о них в актуальном состоянии в таблице маршрутизации.

Динамическая маршрутизация полагается на протокол маршрутизации для

распространения информации. Протокол маршрутизации определяет правила, которые
используются маршрутизатором, когда он взаимодействует с соседними

125
маршрутизаторами в целях определения путей к удалённым сетям и поддержки
информации о них в актуальном состоянии в таблице маршрутизации.

Протокол маршрутизации упрощает обмен маршрутной информацией между сетями,

позволяя маршрутизаторам строить таблицы маршрутизации динамически. Как только
маршрутизатор узнает об изменениях в сетях, для которых он является шлюзом, или
изменениях в каналах между маршрутизаторами, информация передается другим
маршрутизаторам. Когда маршрутизатор получает информацию о новых или измененных
маршрутах, он обновляет свою таблицу маршрутизации и рассылает информацию другим
маршрутизаторам. Таким образом, все маршрутизаторы имеют актульную, автоматически
обновляемую таблицу маршрутизации и могут узнавать об удалённых сетях, которые
находятся за большим количеством маршрутизаторов.
Протоколы маршрутизации описывают эту информацию:
• Как передаются обновления
• Какая информация передается
• Когда передается информация
• Как обнаруживаются получатели обновлений

126
Дистанционно-векторные протоколы
маршрутизации и протоколы состояния канала

В пределах автономной системы большинство протоколов IGP можно разделить на:

Дистанционно-векторные протоколы: дистанционно-векторная маршрутизация
определяет направление (вектор) и дистанцию (метрика, как например количество
переходов в случае RIP) к любому участку сети. Дистанционно-векторные протоколы
периодически отправляют свои таблицы маршрутизации всем соседям. В этом состоит
суть дистанционно-векторных протоколов маршрутизации. В больших сетях такие
обновления могут быть огромными и оказывать существенную нагрузку на сеть.
Информация об удаленной сети, которую знает маршрутизатор, состоит из дистанции
(метрики) для достижения сети назначения, а также направления (интерфейса), за котором
находится эта сеть. Различные дистанционно-векторные протоколы используют разные
типы метрики. У дистанционно-векторных протоколов нет схемы топологии сети.
Представление о сети с точки зрения маршрутизатора определяет информация, полученная от
его соседей.
Улучшенные дистанционно-векторные протоколы: улучшенные дистанционно-векторные
протоколы (Enhanced Interior Gateway Routing Protocol - EIGRP) комбинируют свойства
алгоритмов дистанционного-векторных протоколов и протоколов состояния канала. EIGRP
является запатентованным протоколом компании Cisco, который комбинирует сильные стороны
дистанционного-векторных протоколов и протоколов состояния канала. EIGRP может выступать
в роли протокола состояния канала, т.к. использует Hello-протокол для обнаружения соседей и
формирования смежностей, а также рассылает частичные обновления при возникновении
изменений в сети. Несмотря на это, EIGRP основывается на свойствах дистанционно-векторного

127
протокола, в котором информация об остальной сети получается от непосредственно
подключенных соседей.
Протоколы состояния канала: протоколы состояния канала, которые используют
алогоритм кратчайшего пути (Shortest Path First - SPF), создают представление точной
топологии всей сети или её части, в которой расположен маршрутизатор. Протокол
состояния канала использует информацию о состоянии канала для построения схемы
сетевой топологии и вычисления наилучшего пути ко всем сетям в ней. Все
маршрутизаторы, работающие с протоколом состояния канала, используют одинаковую
схему сети и вычисляют кратчайшие пути к сетям назначения в зависимости от того, где они
расположены на схеме. В отличие от дистанционно-векторных аналогов, таблицы
маршрутизации не пересылаются периодически целиком. Вместо этого, рассылаются
обновления при изменениях, содержащие только определённую информацию о состоянии
канала. Напрямую подключённые соседи обмениваются небольшими по размеру
периодическими сообщеними hello, чтобы обеспечить установку соседских отношений и
проверять достижимость соседа.

Понимание протокола RIP v2

RIP v2, - один из наиболее простых протоколов с точки зрения конфигурации, и является хорошим
решением для маленьких сетей. Однако RIP v2 имеет ограничения по использованию.
Максимальное значение метрики этого протокола равно 15. Следовательно, если цепочка
маршрутизаторов превышает 15, в такой цепочке данный протокол использоваться не может.

128
 Конфигурация RIP v2

В режиме глобальной конфигурации введите команду router rip для того, чтобы войти в режим
конфигурации этого протокола.
В этом режиме необходимо объявить сети, к которым принадлежат интерфейсы маршрутизатора,
так называемые connected сети. Сети объявляются с помощью команды network. Команда network
0.0.0.0 объявляет любые сети.
Команда network имеет следующие свойства:
Объявляет все интерфейсы, которые принадлежат данной сети в протокол RIP. После этого через
все эти интерфейсы каждые 30 секунд объявляется и принимается полная таблица
маршрутизации, известная данному маршрутизатору.
Команда version 2 включает версию 2 этого протокола. По умолчанию используется версия 1.
Версия 2 отличается от версии 1 тем, что первая относится к числу classless routing protocols.

129
 Проверка работы протокола RIP v2
Поле
Протокол маршрутизации rip
Посылка маршрутов каждые 30
секунд
Следующая посылка через 25
секунд
Не действительна через 180
секунд
Сброс через 240 секунд
Redistributing
Версия протокола,
используемая по умолчанию
Маршрутизация для данных
сетей
Источник маршрутной
информации
Описание
Определяет используемый протокол маршрутизации
Задает время между рассылкой маршрутов
Определяет когда должна быть реализована следующая
посылка
Определяет время через которое посылка станет не
действительной. Это время составляет по крайней мере три
интервала времени через которые посылаются маршруты.
Маршрут становится не действительным когда истекает
приведенный выше интервал времени. Маршрут череводится в
статус hold down. Однако, он продолжает использоваться для
передачи пакетов.
Время через которое invalid update будет удален из таблицы
маршрутизации.
Список протоколов, маршруты которых были статически
объявлены в протокол RIP
Определяет версию, которая используется по умолчанию
Определяет сети для которых процессы маршрутизации
инжектировали маршруты
Список источников маршрутов которые ПО IOS использует для
построения таблицы маршрутизации. Для каждого источника
можно увидеть следующую информацию: IP address,
административная дистанция, время когда устройство в
последний раз получило данный маршрут
130
Таблица маршрутизации содержит записи для всех известных сетей. или подсетей, и коды,
которые показывают как данная информация была изучена. Просмотреть эту информацию можно
по команде show ip route

Если устройства не обмениваются маршрутами, используйте команды show run show ip protocols
для того, чтобы увидеть ошибки в конфигурациях.

Лабораторная работа 20: Конфигурация и проверка работы

протокола RIP v2
Введение
В ходе данной лабораторной рабы вы будете конфигурировать и проверять работоспособность
протокола RIP v2 для протокола IP v4. Вы будете модифицировать таймеры этого протокола,

131
отключать автоматическое суммирование, использовать пассивные интерфейсы, и генерировать
маршрут по умолчанию в протоколе RIP.
Схема лабораторной сети представлена на рисунке ниже. Все устройства имеют конфигурации,
включающие имена и IP адреса на интерфейсах. На конечных устройствах определены default
gateway, но никакой другой маршрутной информации в сети не создано.

Топология

Поддержка лабораторной работы

Информация об устройствах

132
133
 Задача 1: Конфигурирование и проверка работоспособности
протокола RIP v2
Шаги конфигурации
Шаг 1. На маршрутизаторах R1, R2, и R3 введите следующие команды:

Шаг 2. На R1 введите следующую команду

134
Задача 2. Изменение значений таймеров
Шаги конфигурации
Шаг 1. На R1 проверьте параметры таймеров протокола RIP

Маршруты посылаются раз в 30 секунд. Через 180 секунд маршрут становится неверным. Через
240 секунд маршрут удаляется из таблицы маршрутизации.
Шаг 2. На маршрутизаторе R1 измените значение таймера обмена маршрутами на 60 секунд

Проверьте что получилось с помощью следующей команды

135
Шаг 3. На маршрутизаторе R1 еще раз введите команду

Можно видеть, что изменилось значение только времени обмена маршрутами. Остальные
таймеры остались без изменений.

Задача 3: Отключение механизма автоматического суммирования

Шаги конфигурации
Шаг 1. На R2 создайте интерфейс loopback0 IP address 192.168.1.5/30 и включите его в
протокол RIP

Шаг 2. На R1 проверьте таблицу маршрутизации

136
Маршрут появился в таблице маршрутизации. Однако его префикс равен 24 а не 30.
Шаг 3. На R2 отключите автоматическое суммирование маршрутов с помощью следующей
команды

Шаг 4. Повторите проверку таблицы маршрутизации на R1

Теперь маршрут объявляется с правильным префиксом.

137
Задача 4. Использование пассивных интерфейсов в протоколе RIP
Шаги конфигурации
Шаг 1. На маршрутизаторе R3 проверьте через какие интерфейсы посылаются маршруты

Ответ, - через все

Шаг 2. У маршрутизатора R3 на интерфейсе Ethernet 0/0 нет соседнего маршрутизатора,
можно этот интерфейс поставить в пассивный статус.

Шаг 3. Повторите проверку на маршрутизаторе R3

Шаг 4. Повторите проверку на маршрутизаторе R2.

138
На этом маршрутизаторе надо поставить в пассивный статус два интерфейса: loopback0,
Ethernet 0/0
Шаг 5. На маршрутизаторе R2 введите следующие команды:

Шаг 6. Повторите проверку на маршрутизаторе R2

139
Задача 5: Конфигурирование маршрута по умолчанию в протоколе
RIP
Шаги конфигурации
Шаг 1. На маршрутизаторе R3 сконфигурируйте задачу генерировать маршрут по
умолчанию для протокола RIP.

Шаг 2. На R1 проверьте таблицу маршрутизации

140
На этом лабораторная работа считается оконченной.

Лабораторная работа 21: Выявление и устранения проблем с

протоколом RIP
Введение
В данной лабораторной работе вы будете выявлять проблемы которые возникают при
конфигурации протокола RIP. Схема лабораторной сети для выполнения данной
лабораторной работы приведена на слайде ниже. Все устройства полностью
сконфигурированы. Необходимо найти ошибки в конфигурациях.

141
Топология

Поддержка лабораторной работы

Информация об устройствах

142
143
Задача 1: Выявление проблем в конфигурациях RIP
Шаги конфигурации
Шаг 1. Проверьте доступность адреса 10.10.3.1 с маршрутизатора R1

Шаг 2. На R1 проверьте таблицу маршрутизации

144
RIP маршруты отсутствуют
Шаг 3. Проверьте наличие конфигураций протокола RIP

Шаг 4. На R3 проверьте включен ли протокол RIP

Видно, что объявлена неверная сеть.

Шаг 5. На R3 измените конфигурации протокола RIP

Шаг 6 Повторите проверку на R3

145
Шаг 7. Проверьте на маршрутизаторе R2 протоколы маршрутизации

Интерфейсы, к которым подключены соседние маршрутизаторы поставлены в пассивный

статус
Шаг 8. На маршрутизаторе R2 удалите два интерфейса из пассивного статуса

Шаг 9. Повторите проверку базы данных RIP на маршрутизаторе R3

146
Шаг 10. Проверьте базу данных RIP на маршрутизаторе R1

Видно, что изменены значения таймеров.

Шаг 11. Проверьте то же самое на маршрутизаторе R2 и R3

147
Видно, что значения отличаются.

Здесь совпадают
Шаг 13. На всех маршрутизаторах установите одинаковое значение таймеров.

148
Шаг 14. На R1 повторите проверку таблицы маршрутизации

Шаг 15. Проверьте доступность адреса 10.10.3.1 с маршрутизатора R1

На этом лабораторная работа считается завершенной.

149
150
 Модуль 5: Управление сетевыми устройствами и безопасность
Этот модуль описывает действия, которые необходимы для обеспечения безопасности
локального и удаленного доступа к сетевым устройствам. В модуле даются общие
рекомендации для повышения безопасности устройств. В нем описывается как
конфигурировать syslog и как корректно работать с debug. в этом модуле также описываются
разные стадии процесса загрузки ОС маршрутизатора, работа на нем файловой системы, как
работать с IOS image, и файлом конфигурации. В нем же рассматривается работа с лицензиями.

151
Занятие 1
Обеспечение безопасности
административного доступа
Обзор
После того, как вы получили административный доступ к устройству, вы должны убедиться в том,
что доступ к коммутатору через консоль и линии vty защищен. Вы также должны фильтровать
доступ к сетевым устройствам при подключении из удаленных или внутренних сетей.
Обзор безопасности сетевых устройств

Типичные угрозы безопасности сетевых устройств и стратегии защиты от них можно описать
следующим
образом:
Угрозы удаленного доступа. Неавторизированый удаленный доступ – это угроза, которая
возникает при слабой конфигурация безопаности удаленного доступа. Методы защиты от таких
угроз включают настройку расширенной аутентификации и шифрования для политик и правил
удаленного доступа, настройка баннеров входа в систему, использование ACL и доступа через
VPN.
Локальный доступ и физические угрозы. Угрозы включают физическое повреждение
аппаратной
части сетевого устройства, восстановление пароля, что позволяют сделать слабые политики
физической безопасности и кража устройства. Методы защиты от таких угроз включают закрытие
коммутационной стойки и разрешение доступа только для авторизированного персонала и защиту
от физического доступа через потолок, фальшпол, окна, вентиляцию или другие возможные точки
проникновения. Используйте электронное управление доступом и регистрируйте все попытки
проникновения. Наблюдайте за объектами с помощью камеры видеонаблюдения.
Угрозы со стороны окружающей среды. Слишком высокая или слишком низкая температура и

152
влажность могут представлять угрозу. Методы защиты от таких угроз включают создание
надлежащей операционной среды с помощью управления температурой и влажностью,
положительного воздушного потока, отправку сообщений об аварийном состоянии среды,
наблюдение и ведение записей.
Электрические угрозы. Скачки напряжения, недостаточный уровень напряжения (снижение
напряжения), несогласованная нагрузка и суммарные потери мощности являются
потенциальными электрическими угрозами. Методы защиты от этого типа угроз включают
ограничение потенциальных проблем с электропитанием путем установки систем ИБП и
генераторов, профилактическое техническое обслуживание, установка блоков резервного
питания и использования удаленных систем оповещения и наблюдения.
Эксплуатационные угрозы. К эксплуатационным угрозам относится неправильное обращение
с основными электронными компонентами, отсутствие важных запасных частей, плохая
прокладка кабеля и небрежная маркировка. Методы защиты от этого типа угроз включают
использование каблепроводов и направляющих, маркировку важных кабелей и компонентов,
хранение запаса важных запчастей, и управление доступом к консольным портам.
Обеспечение безопасности доступа в
привилегированный режим EXEC
Можно защитить коммутатор с помощью паролей для ограничения доступа. С использованием
паролей и присвоения уровней привилегий можно обеспечить контроль терминального доступа в
сети и защиту плоскости управления. Пароли могут быть установлены на отдельные режимы,
например на консольный доступ, и на привилегированный режим EXEC. Пароли чувствительны к
регистру.

153
Примечание Пароли, показанные на рисунке, используются только в целях обучения. Пароли, которые
используются в реальной сети, должны соотствовать требованиям для сложных паролей.
Команда глобального режима enable password ограничивает доступ к привилегированному
режиму EXEC. Можно использовать зашифрованную форму команды, введя команду enable
secret пароль с паролем, которым вы хотели бы защитить режим глобальной конфигурации. Когда
настроен enable secret, он используется вместо enable password, даже если второй также
присутствует в конфигурации.
Можно также добавить дополнительный уровень безопасности, который особенно полезен для
паролей, передающихся по сети или сохраненных на сервере TFTP. Cisco обеспечивает функцию,
позволяющую использование зашифрованных паролей. Для установки шифрования пароля
введите команду service password-encryption в режиме глобальной конфигурации.
После ввода команды service password-encryption пароли при выводе на экран будут
зашифрованы. Этот сервис шифрования паролей использует шифрование типа 7, которое не очень
безопасно. Существует несколько инструментов и веб-страниц, которые преобразовывают
зашифрованный пароль в строку исходного текста.
С другой стороны, команда enable secret использует тип шифрования MD5, которое на данный
момент не было взломано. Рекомендуется всегда использовать пароль enable secret вместо
команды enable password.
Примечание Хотя команда enable password может быть зашифрована с помощью сервиса шифрования паролей, это
слабое шифрование, которое может быть взломано с помощью программ взлома, доступных онлайн. Но пароль enable
secret использует шифрование типа MD5, не взломанное на данный момент. Рекомендуется использовать команду
enable secret, и не использовать enable password.

Обеспечение безопасности доступа к консоли

Используйте команду line console 0 с подкомандами password и login, чтобы включить
аутентификацию при входе в систему и установить пароль на консольном терминальном порту
или порту VTY. По умолчанию аутентификация выключена на консольном и терминальных
портах.

154
Примечание Введите команду service password-encryption в режиме глобальной конфигурации для шифрования
пароля на консольной линии. Хотя это слабое шифрование, которое можно легко расшифровать, это все равно лучше,
чем отображать пароль в нешифрованном виде. По крайней мере вы защититесь от того, что кто-то случайно увидит
пароль.
Команда EXEC-timeout не дает пользователям оставаться подключеными к консольному порту в
то время, как они отходят от станции управления. В данном примере, если пользователь не вводит
никаких данных на протяжении 5 минут, подключенный к консоли пользователь автоматически
отключается.
Обеспечение безопасности удаленного доступа

155
156
Ввод команды line vty 0 15, а затем подкоманд login и password, включает аутентификацию и
устанавливает пароль для нее на входящие Telnet-сессии. Можно использовать команду login local
для включения проверки пользователя и пароля с использованием учетной записи, созданной с
помощью команды username в режиме глобальной конфигурации. Команда username
устанавливает аутентификацию по имени пользователя с зашифрованными паролями.
Команда EXEC-timeout не дает пользователям оставаться подключеными к консольному порту в
то время, как те отходят от станции управления. В данном примере, если пользователь не вводит
никаких данных на протяжении 5 минут, подключенный к консоли пользователь автоматически
отключается.
Для настройки SSH на маршрутизаторе или коммутаторе Cisco, выполните следующие действия:
Используйте команду hostname для настройки имени устройства так, чтобы оно не было Switch
(на коммутаторе Cisco) или Router (на маршрутизаторе Cisco).
Настройте домен DNS с помощью команды ip domain name. Доменное имя требуется для
генерации ключей для сертификата.
Сгенерируйте RSA ключи, которые будут использоваться для аутентификации, с помощью
команды crypto key generate rsa.
Настройте учетные данные пользователя, которые будут использоваться для аутентификации.
При вводе команды login local на линиях vty вы, собственно, говорите сетевому устройству
использовать локально заданные учетные данные для аутентификации. Настройте локально
заданные учетные данные с помощью команды username имя_пользователя secret пароль.
(Дополнительно) Можно также ограничить доступ к устройству пользователям, разрешая
использовать SSH и блокируя Telnet с помощью команды transport input ssh в режиме
конфигурации линий vty. Если вы хотите настроить баннеры входа в систему и алгоритмы
шифрования повышенной безопасности, включите использование второй версии SSH на
своем устройстве с помощью команды ssh version 2 в режиме глобальной конфигурации

157
Можно установить соединение SSH к устройству с включенным SSH (коммутатору в этом
примере) используя клиент SSH на ПК, например программу PuTTY. При первой установке
соединения с определенного компьютера вы увидите окно с предупреждением по безопасности,
которое говорит о том, что ключа сервера нет в кэше PuTTY. После добавления ключа в кэш вы не
будете видеть это окно с предупреждением по безопасности каждый раз, когда вы устанавливаете
соединение SSH с этого компьютера.
Для отображения версии и данных конфигурации SSH на устройстве, которое вы настроили в
качестве сервера SSH, используйте команду show ip ssh. В примере включена вторая версия SSH.
Для проверки подключений SSH к устройству используйте команду show ssh.

Лабораторная работа 22: Расширенная безопасность начальной

конфигурации
Введение
В ходе выполнения данной лабораторной работы вы будете изучать различные аспекты
безопасного доступа на сетевые устройства. Вы будете получать доступ к пятнадцатому уровню
привилегий, и видеть разницу между использованием команд enable password и enable secret.
Будете обеспечивать безопасный доступ на консольный порт. Будете обеспечивать доступ на
порты виртуального терминала с помощью протоколов Telnet и SSH. Будете ограничивать доступ
на порты виртуального терминала только протоколом SSH.
Схема лабораторной сети представлена на рисунке ниже. Конфигурировать в ходе лабораторной
работы будете в основном маршрутизатор R1. остальные устройства будут главным образом
использоваться как источники доступа.

158
Топология

Поддержка лабораторной работы

Информация об устройствах

159
Задача 1. Обеспечение безопасного доступа к пятнадцатому уровню
привилегий
Шаги решения задачи
Шаг 1. На R1 выполните следующие команды

Шаг 2 Для защиты полного уровня привилегий используйте следующую команду

Шаг 3. Вернитесь на первый уровень привилегий, и повторите процедуру входа на

пятнадцатый уровень привилегий

Шаг 4. Проверьте установленный пароль в файле конфигурации

Пароль можно прочесть

Шаг 5. Сконфигурируйте безопасный доступ с использованием оператора secret.

Шаг 6 Когда в файле конфигурации представлены обе команды, команда enable secret
имеет преимущество перед командой enable password. Проверьте это утверждение

160
Шаг 7 Повторите проверку установленных паролей в файле конфигурации

Пароль по прежнему увидеть можно, секрет, - нельзя, поскольку в фале хранится не сам
пароль, а его хэш.
Шаг 8. Обеспечьте невозможность просмотра паролей в файле конфигурации. для этого
используйте следующие команды:

Команда шифрует любые пароли в файле конфигурации. Алгоритм шифрования слабый. и

защищает только от просмотра.

Задача 2: Безопасный доступ к консольному порту и к портам

виртуального терминала
Шаги конфигурации
Шаг 1. Установите пароль на консольный порт, а также поставьте время нахождения в
режиме ожидания на консольном порту равным 5 минутам

Шаг 2. Проверьте наличие паролей на консольном порту в файле конфигурации

Пароль увидеть нельзя

Шаг 3. Отключитесь от консольного порта, и заново подключитесь к нему

161
Шаг 4. Установите пароль на пять линий виртуального терминала.

Шаг 5. С РС1 по протоколу Telnet подключитесь к R1

Шаг 6. Проверьте работу команды exec-timeout

Шаг 7. Вернитесь на консольный порт маршрутизатора и установите таймаут ожидания

равным бесконечности.
Шаг 8. Проверим теперь работу оператора login. Для этого используйте следующие
команды

Шаг 9 Введите локальный account пользователя на маршрутизатор

162
Шаг 10

\
Шаг 11

Шаг 12. Проверьте наличие команды в файле конфигурации

Шаг 13. Измените конфигурации на линиях виртуального терминала следующим образом

Шаг 14. Повторите попытку доступа с РС1 на R1 о протоколу Telnet

Шаг 15-16 Просмотрите изменения выполненные на линиях виртуального терминала

163
на линиях виртуального терминала больше не отображается значение таймаута ожидания.
Это означает, что его величина поставлена в значение по умолчанию (10 минут)
Шаг 17. Отключитесь от маршрутизатора

Задача 3. Включение протокола SSH

Шаги конфигурации
Шаг 1. создайте пару ключей для шифрования трафика протоколом SSH. Для их создания
надо настроить имя маршрутизатора, и имя домена.

Шаг 2. Используйте версию 2 этого протокола

Шаг 3. Зайдите еще раз по протоколу Telnet на маршрутизатор

Шаг 4. Повторите процедуру с помощью протокола SSH

164
 Шаг 5. Повторите проверку линий в файле конфигурации

Шаг 6. Отмените использование протокола Telnet для доступа на линии виртуального

терминала

Шаг 7. Отключитесь от маршрутизатора

Шаг 8. Повторите попытку зайти на маршрутизатор с помощью протокола Telnet

Шаг 9. Проверьте, что SSH по прежнему можно использовать

На этом лабораторная работа считается завершенной.

Ограничение удаленного доступа с помощью
ACL
Вы можете ограничить доступ к линиям vty, разрешив подключение только с определенных
адресов или подсетей, в целях контроля удаленного управления сетевыми устройствами.
Удаленное управление обычно происходит через подключения Telnet или SSH, при чем
соединение SSH - это шифрованный канал связи между рабочей станцией администратора и
устройством.
Чтобы ограничить удаленный доступ к устройству с помощью ACL, ножно выполнить два
действия:
Настроить ACL. В примере показан ACL, в котором настроено две строки. Первая строка
разрешает доступ через Telnet с сетевых адресов из подсети 10.1.1.0/24. Вторая строка не
обязательна, так как в конце каждого ACL есть неявная запись "запретить все". Однако создание

165
явной записи "запретить все" с ключевым словом log позволит вам видеть попытки получить
доступ к устройству с неавторизированных источников.

Применить ACL к линиям. Команда access-class применяет ACL к линиям vty.

Использование ключевого слова in после имени ACL говорит маршрутизатору ограничить
подключения vty, которые приходят на устройство.
Настройка баннера входа
Этот раздел описывает как настроить сообщение баннера, который появляется, когда пользователь
пытается зайти на сетевое устройство Cisco IOS.

166
Можно задать баннер входа в систему, который будет выводиться на экран перед запросом имени
пользователя и пароля. Для настройки баннера входа в систему используйте команду banner login
в режиме глобальной конфигурации. Возьмите текст баннера в кавычки или используйте
разделитель, который отличается от любого символа, встречающегося в тексте баннера.
Примечание Используйте предупреждения, когда вы создаете текст, использующийся в баннере входа в систему. Такие
слова как «добро пожаловать» могут подразумевать, что доступ не ограничен и может дать хакерам некоторую
юридическую защиту их действий.
Чтобы задать и включить баннер MOTD, используйте команду banner motd в режиме глобальной
конфигурации. Для удаления баннера MOTD используйте эту команду со словом no вначале.
Этот баннер MOTD выводится на экран на все подключенные терминалы и полезен для отправки
сообщений, касающихся всех пользователей (таких как угроза отключения системы).

Лабораторная работа 23: Ограничение удаленного доступа к

сетевому оборудованию.
Введение
В ходе данной лабораторной работы вы будете ограничивать удаленный доступ на сетевое
устройство с помощью списков доступа. Кроме того вы будете использовать баннер на
login и exec. Все устройства предварительно сконфигурированы.

167
Топология

Поддержка лабораторной работы

Информация об устройствах

168
Задача 1: Ограничение доступа с помощью списков доступа
Шаги конфигурации
Шаг 1. Для ограничения удаленного доступа можно использовать стандартные списки
доступа. Прежде чем их устанавливать необходимо убедиться, что они уже не
установлены.

169
На консольном порту списка доступа нет.
Шаг 2. Создадим стандартный список дотспа в котором разрешим адреса РС1 и РС2.

Шаг 3. Для того, чтобы список доступа начал фильтровать пакеты его необходимо
приписать к линиям виртуального терминала.

Шаг 4. Теперь проверим его работоспособность

Все работает как задумано.

Шаг 5. Возвратимся на консоль маршрутизатора.

Сообщение, что список доступа уничтожил пакет, и откуда он пришел.

Шаг 6 Проверим список доступа

В каждой строке есть совпадения. список доступа работает.

Задача 2. Конфигурирование баннеров

Шаги конфигурации
Шаг 1. Сконфигурируем баннер на login, который будет отображаться прежде чем
появится предложение ввести имя и пароль

170
Шаг 2. Теперь сконфигурируем баннер на EXEC, который должен появиться после
успешной аутентификации пользователя

Шаг 3. Проверим их работоспособность.

На этом лабораторная работа считается завершенной.

171
172
 Занятие 2
Повышение безопасности
на устройстве
Обзор
В начале этого занятия описывается необходимость в защите неиспользуемых портов. В занятии
представляется безопасность порта (port security) в качестве решения проблемы обеспечения
контроля над используемыми портами. Описывается необходимость отключить неиспользуемые
сервисы, приводится пример конфигурации для их отключения. Последняя часть этого занятия
объясняет, почему важно, чтобы системное время было корректным и что может произойти, если
системное время некорректно. Представлен протокол NTP с примером конфигурации.
Защита неиспользуемых портов
Неиспользуемые порты могут представлять риски для безопасности. Хакер может подключить
коммутатор в неиспользуемый порт и стать частью сети. Соответственно, неиспользуемые порты
могут создавать дыру в безопасности.

173
Простой способ, который используют администраторы для того, чтобы обезопасить свою сеть от
неавторизированного доступа, - это отключение всех неиспользуемых портов на коммутаторе.

174
Например, представьте, что коммутатор Cisco имеет 24 порта. Если используются три
подключения Fast Ethernet, хорошей практикой для безопасности будет отключить каждый из 21
неиспользуемых портов.
Отключить несколько портов на коммутаторе просто. Зайдите в каждый неиспользуемый порт и
введите команду shutdown Cisco IOS. Другой способ выключить несколько портов состоит в
использовании команды interface range. Если нужно активировать порт, введите команду no
shutdown на интерфейсе.
Процесс включения и отключения портов может стать утомительной задачей, но повышенная
безопасность в вашей сети стоит приложенных усилий.
Безопасность портов (port security)
Контроль над используемыми портами на коммутаторе так же важен, как защита неиспользуемых
портов. В то время как неиспользуемые порты на коммутаторе могут легко быть защищены путем
помещения их в состояние shutdown, защита используемых портов представляет собой другую
задачу. При защите используемых портов на коммутаторе вам нужно контролировать, какие
устройства подключаются в коммутатор и имеют доступ в сеть.

175
Безопасность порта – это функция, которая поддерживается на коммутаторах Cisco Catalyst и
ограничивает доступ к порту коммутатора по определенному набору или количеству MAC-
адресов. Коммутатор может изучить эти адреса динамически, или можно настроить их
статически. Порт, на котором настроена безопасность порта, принимает кадры только от адресов,
которые он изучил или которые вы настроили.
Есть несколько вариантов работы функции безопасности порта:
Динамический. Вы указываете, сколько MAC-адресов может использовать порт
одновременно. Используйте динамический подход, когда вы заботитесь только о том, сколько,
а не какие определенные MAC-адреса разрешены. В зависимости от того, как вы настроите
коммутатор, эти динамически изученные адреса удаляются после определенного периода, и
изучаются новые адреса до максимума, который вы задали.
Статический. Вы статически настраиваете определенные MAC-адреса, которым разрешено
использовать порт. Кадры с MAC-адресами источников, которые вы не разрешаете явно, не
передаются портом.
Комбинация статического и динамического изучения. Вы можете решить указать
некоторые разрешенные MAC-адреса и позволить коммутатору выучить остальную часть
разрешенных MAC-адресов. Например, если количество MAC-адресов ограничено до четырех,
можно статически настроить два MAC-адреса. Коммутатор динамически выучит следующие
два MAC-адреса, которые он получит на этом порту. Доступ к порту разрешен только для этих
четырех адресов, двух статических и двух выученных динамических. Два статически
настроенных адреса не удаляются по таймауту, но два динамически изученных адреса могут
иметь таймаут, в зависимости от конфигурации коммутатора.
Sticky Learning. Когда эта функция настроена на интерфейсе, интерфейс преобразовывает
динамично изученные адреса в “липкие безопасные”(sticky secure) адреса. Эта функция добавляет
динамично изученные адреса в текущую конфигурацию, как будто они были статически
настроены с помощью команды switchport port-security mac-address. У таких адресов нет
таймаута.
Представьте пять человек, ноутбукам которым разрешено подключаться к определенному порту
коммутатора, когда они посещают территорию здания. Вы хотите разрешить доступ к порту
коммутатора только для MAC-адресов тех пяти ноутбуков и не разрешать динамически изучать
адреса на этом порту.
Таблица описывает процесс, с помощью которого можно достигнуть желаемых результатов

176
Настройка безопасности порта

Безопасность порта ограничивает количество допустимых MAC-адресов, разрешенных на порту.

При присвоении безопасных MAC-адресов защищенному порту, порт не передает пакеты с
адресами истоника, которые не входят в группу заданных адресов.
Если вы ограничиваете количество безопасных MAC-адресов до одного и присваиваете один
MAC-адрес этому порту, только рабочая станция с этим безопасным MAC-адресом может
успешно подключиться к этому порту коммутатора.
Если порт настроен в качестве защищенного порта, и максимальное количество безопасных MAC-
адресов достигнуто, происходит нарушение безопасности порта, когда MAC-адрес рабочей
станции, которая пытается получить доступ к порту, отличается от всех заданных безопасных
MAC-адресов.
На рисунке показано, как включить «sticky» безопасность порта на порту Fast Ethernet 0/5
коммутатора SwitchX.
Примечение Перед активацией функции безопасности порта, порт нужно перевести в режим «access» или
«trunk» с помощью команды switchport mode access|trunk.
Используйте команду switchport port-security на интерфейсе без ключевых слов для включения
функции безопасности порта на интерфейсе. Используйте команду switchport port-security с
ключевыми словами на интерфейсе для настройки безопасного MAC-адреса, максимального
количества безопасных MAC-адресов или действия при нарушении безопасности порта.
Используйте эту команду со словом no, чтобы отключить безопасность порта или установить
параметры на их состояние по умолчанию.
Можно настроить максимальное количество безопасных MAC-адресов. На этом рисунке вы
видите синтаксис команды Cisco IOS, которая используется для ограничения максимального
количества MAC-адресов до 1 (switchport port-security maximum 1).
Можно добавить безопасные адреса в таблицу адресов после установки максимального количества
безопасных MAC-адресов, разрешенных на порту, с помощью следующих способов:
Настройте все адреса вручную (switchport port-security mac-address 0008.eeee.eeee).
Позвольте порту динамически настраивать все адреса (switchport port-security mac-address
sticky).
177
Настройте несколько MAC-адресов и позвольте коммутатору динамически настроить
остальную часть адресов.
Можно настроить интерфейс на преобразование динамических MAC-адресов в «secure sticky»
MAC-адреса и добавление их в текущую конфигурацию путем включения функции «sticky
learning». Для включения «sticky learning» введите команду switchport port-security mac-address
sticky на интерфейсе. При вводе этой команды интерфейс преобразовывает все динамические
безопасные MAC-адреса, включая MAC-адреса, динамически изученные до включения «sticky
learning», в MAC-адреса типа «secure sticky».
Режим нарушения установлен на отключение (switchport port-security violation shutdown). Этот
режим нарушения является также настройкой по умолчанию. Если какие-то кадры обнаружены с
неразрешенного адреса, интерфейс отключен по причине ошибки (переходит в состояние err-
disable), делается запись в журнале событий, отправляется уведомление по SNMP, и для
восстановления работоспособности интерфейса требуется выключение и включение интерфейса
вручную.
Примечание Два других режима нарушения – protect и restrict. Для обоих режимов нарушения кадры с
неразрешенного адреса отбрасываются, но интерфейс не переходит в состояние err-disable.
Ситуации с нарушением безопасности порта:
Максимальное количество безопасных MAC-адресов добавлено в таблицу MAC-адресов.
Станция, MAC-адреса которой нет в таблице, пытается получить доступ к интерфейсу.
Адрес, изученный или настроенный на одном безопасном интерфейсе, виден на другом
безопасном интерфейсе в том же самом VLAN.
Примечание Безопасность порта по умолчанию отключена.

Проверка безопасности порта

После того, как вы настроили безопасность порта для вашего коммутатора, проверьте, что она
была настроена корректно. Необходимо проверить каждый интерфейс, чтобы убедиться в том, что
безопасность порта настроена правильно. Необходимо также убедиться в правильной настройке
статических MAC-адресов. Используйте команду привилегированного режима EXEC show
portsecurity interface для отображения настроек безопасности порта, заданных на интерфейсе.
Вывод отображает следующую информацию (сверху вниз):
178
• Включена ли функция защиты портов;
• Режим нарушения;
• Максимальное позволенное количество безопасных MAC-адресов для каждого
интерфейса;
• Количество безопасных MAC-адресов на интерфейсе;
• Количество произошедших нарушений безопасности порта.

179
После присвоения MAC-адресов защищенному порту, порт не передает кадры с MAC-адресами
источника, которые не в входят в список заданных адресов. Когда порт, на котором настроена
безопасность порта, принимает кадр, MAC-адрес источника кадра сравнивается со списком
безопасных адресов источника, настроенных вручную или изученных автоматически на порту.
Если MAC-адрес устройства, которое подключено к порту, отличается от списка безопасных
адресов, порт или отключается, пока его административно не включат (режим по умолчанию) или
отбрасывает входящие кадры от небезопасного хоста (опция restrict). Поведение порта зависит от
того, какие ответные действия на нем настроены в случае нарушения безопасности порта.
Вывод на рисунке показывает, что произошло нарушение защиты, и порт отключен (находится в
состоянии secure-shutdown).

Чтобы проверить состоянии интерфейса, используйте команду show interface status.

Чтобы вернуть интерфейс в работоспособное состояние, вам нужно административно отключить
интерфейс, а затем снова включить его:

180
Используйте команду show port-security address для отображения безопасных МАС-адресов для
всех портов. Используйте команду show port-security без ключевых слов для отображения
параметров безопасности порта на коммутаторе.

Лабораторная работа 24: Конфигурирование и проверка

работоспособности механизма Port Security
Введение
Механизм Port Security ограничивает количество и содержание МАС адресов на портах
коммутатора. Вам необходимо установить этот механизм на все порты, к которым подключены
конечные устройства.
В этой лабораторной работе вы будут конфигурировать на портах механизм Port Security. Кроме
того, вы будете устанавливать автоматический вывод порта из состояния error-disable.

181
Топология

Поддержка лабораторной работы

Информация об устройствах

182
 Задача 1: Конфигурирование и проверка работоспособности
механизма Port Security
Шаги конфигурации
Шаг 1 На коммутаторе Sw1 сконфигурируйте Port Security совместно с sticky learning на
интерфейсе Ethernet 0/1

Шаг 2. Проверьте состояние сконфигурированного механизма

183
Шаг 3. На интерфейсе е0/1 проверьте состояние этого механизма

Шаг 4. На РС1 измените МАС адрес на интерфейсе е0/0

Шаг 5. На Sw1 проверьте статус Port Security на интерфейсе Ethernet 0/1

184
Шаг 6. На РС1 удалим введенный МАС адрес

Проверим, что на РС1 теперь используется МАС адрес по умолчанию

Шаг 7. Повторим проверку на коммутаторе

Порт остался отключенным в результате срабатывания механизма.

Шаг 8. Включим порт

Шаг 9. Проверим статус порта на коммутаторе

185
Порт работает

Автоматический вывод из состояния error-disable

По умолчанию интервал времени в этом статусе 300 сек, минимальный интервал - 30 секунд.
Шаг 10. На Sw1 сконфигурируйте автоматический вывод из состояния error-disable

Шаг 11. На РС 1 снова измените МАС адрес

После изменения МАС адреса на коммутаторе порт будет отключен.

Шаг 12. На РС1 удалите введенный МАС адрес

186
Через 30 секунд Е0/1 на коммутаторе должен вновь подняться.

Шаг 13. Проверьте, что интерфейс снова работает

На этом лабораторная работа считается завершенной.

Отключение неиспользуемых сервисов
Чтобы облегчить внедрение, маршрутизаторы и коммутаторы Cisco запускаются со списком
сервисов, которые включены и подходят для большей части сетей. Однако, так как не все сети
имеют одинаковые требования, некоторые из этих сервисов могут быть не нужны. Отключение
этих ненужных сервисов обладает двумя преимуществами: это помогает сохранить системные
ресурсы, и это устраняет возможность использования "дыр"в безопасности для отключенных
сервисов.

187
Чтобы облегчить внедрение, маршрутизаторы и коммутаторы Cisco запускаются со списком
сервисов, которые включены и подходят для большей части сетей. Однако, так как не все сети
имеют одинаковые требования, некоторые из этих сервисов могут быть не нужны. Отключение
этих ненужных сервисов обладает двумя преимуществами: это помогает сохранить системные
ресурсы, и это устраняет возможность использования эксплойтов безопасности для отключенных
сервисов.
Распространенная лучшая практика - определить открытые порты. Используйте команду show
control-plane host open-ports, чтобы посмотреть, какие порты UDP или TCP маршрутизатор
слушает и определить, какие сервисы нужно отключить.
Примечание В качестве альтернативы, программное обеспечение Cisco IOS обеспечивает функцию
AutoSecure, помогающую отключать ненужные сервисы, включая другие сервисы безопасности.
В этом примере сервисы, которые включены на маршрутизаторе - SSH, Telnet, TACACS и DHCP

Убедитесь, что сервисы идентификации(identd), finger, TCP и UDP small servers остаются
отключенными на всех маршрутизаторах и коммутаторах, если в них нет явной необходимости. В
версии программного обеспечения Cisco IOS 15.0 и позже, все эти сервисы отключены по
умолчанию.
Отключите протокол обнаружения Cisco на интерфейсах, где эта служба может представлять риск.
Примерами являются внешние интерфейсы, такие как те, что находятся на границе с интернетом и
порты, использующиеся только для передачи данных на коммутаторах уровня в доступа в
филиалах и кампусе. Протокол обнаружения Cisco включен по умолчанию в версии программного
обеспечения Cisco IOS 15.0 и выше.
К маршрутизаторам Cisco можно получить доступ через веб интерфейс, но строго рекомендуется
отключить сервис HTTP, работающий на маршрутизаторе. Сервис HTTP отключен по умолчанию
в версии программного обеспечения Cisco IOS 15.0 и выше.

188
Если вы предпочитаете не использовать функцию обнаружения устройств с помощью протокола
обнаружения Cisco, можно отключить ее с помощью команды no cdp run в режиме глобальной
конфигурации. Чтобы снова включить протокол обнаружения Cisco после его отключения,
используйте команду cdp run в режиме глобальной конфигурации.
Протокол обнаружения Cisco включен по умолчанию на всех поддерживаемых интерфейсах для
отправки и получения информации протокола обнаружения Cisco. Протокол обнаружения Cisco не
включен по умолчанию на интерфейсах Frame Relay. Можно отключить протокол обнаружения
Cisco на интерфейсе, поддерживающем его, с помощью команды no cdp enable в режиме
конфигурации интерфейса. Чтобы повторно включить протокол обнаружения Cisco на интерфейсе
после его отключения, используйте команду cdp enable в режиме конфигурации интерфейса.
Строго рекомендуется отключать сервис HTTP, работающий на маршрутизаторе. Для его
отключения используйте команду no ip http server в режиме глобальной конфигурации. Чтобы
снова включить сервис HTTP после его отключения, используйте команду ip http server в режиме
глобальной конфигурации

189
Сети используют NTP для синхронизации времени на различных устройствах в сети.
Синхронизация времени в сети критична для цифровых сертификатов и для корректной
интерпретации событий о которых посланы системные логи. Существует безопасный метод
обеспечения синхронизации времени для сети – внедрение администраторами своих собственных
серверов времени в приватной сети, синхронизированных с UTC. Если администраторы сети не
захотят внедрять свои собственные сервера из-за стоимости или каких-то других причин, в
Интернете доступны другие источники времени.

190
NTP - это протокол для синхронизации часов компьютерных систем через сети передачи данных с
коммутацией пакетов и переменной задержкой. NTP позволяет маршрутизаторам в вашей сети
синхронизировать свои настройки времени с сервером NTP. У NTP-клиентов, которые получают
информацию по дате и времени от одного источника, настройки времени будут наиболее
последовательны.
Можно настроить маршрутизатор в качестве NTP- сервера, с которым другие устройства (NTP-
клиенты) синхронизируют свои настройки времени.
Настройка NTP

191
На рисунке показан пример настройки NTP. Маршрутизатор Branch и коммутатор SW1 настроены
в качестве клиентов NTP с помощью команды ntp server ip-адрес в режиме глобальной
конфигурации. Настроен IP-адрес NTP-сервера. Устройство Cisco IOS, выступающее в качестве
клиента NTP, также ответит на полученные запросы времени. Это позволяет коммутатору SW1
синхронизировать время непосредственно с маршрутизатором Branch и оптимизировать потоки
трафика. Вы также можете настроить коммутатор SW1 на синхронизацию с внешним сервером
NTP.
Устройства Cisco IOS могут также выступать в качестве серверов NTP. Для настройки
программного обеспечения Cisco IOS в качестве NTP-сервера времени, с которым другие
устройства синхронизируют время, используйте команду ntp master в режиме глобальной
конфигурации.
ntp master /stratum
Примечение Используйте эту команду с осторожностью. Действующие источники времени могут быть легко
перезаданы c использованием этой команды, особенно если настроен низкий номер слоя.
Настройка на нескольких устройствах в одной сети команды ntp master может вызвать
нестабильность в хранении времени, если устройства не согласуют время.
Значение "stratum" - это число от 1 до 15. Самое низкое значение слоя указывает на более высокий
приоритет NTP.
Проверка NTP

192
Для отображения состояния ассоциаций NTP используйте комунду show ntp associations в
привилегированном режиме EXEC.
Значимые поля, показанные в выводе:
*: Узел(peer), который синхронизирован с этим узлом
~: Узел, который настроен статически
address: Адрес узла
st: параметр "слой" для узла
Примечение У NTP-клиента синхронизация с сервером может занять несколько минут.
Для отображения состояния NTP, используйте команду show ntp status в пользовательском
режиме EXEC. Значимые поля, которые показаны в выводе:
synchronized: Система синхронизирована с NTP-узлом
stratum: NTP-слой этой системы
reference: Адрес узла, с которым синхронизируется время

Лабораторная работа 25: Конфигурация и проверка

работоспособности протокола NTP
Введение
Сетевые устройства генерируют системные сообщения о важных событиях которые происходят в
сети. Эти сообщения имеют временную отметку, которая показывает, когда произошло событие.
Для того, чтобы отметка была корректной время на сетевых устройствах должно идти корректно.
А для этого устройства надо настроить как NTP клиенты какого-нибудь устройства, которое
настроено как NTP сервер.

193
Топология

Поддержка лабораторной работы

Информация об устройствах

194
 Задача 1: Конфигурирование и проверка работоспособности
протокола NTP
Шаги конфигурации
Шаг 1. Начните с того, что проверьте точное время на Sw1, Sw2, и, R1.

Шаг 2. На R1 настройте NTP сервер.

Шаг 3. На Sw2 настройте NTP клиент для сервера R1

Шаг 4. Проверьте состояние протокола NTP на Sw2

195
Шаг 5. Проверьте время на устройствах

Шаг 6. На маршрутизаторе измените временную зону

Шаг 7. Повторите проверку текущего времени на маршрутизаторе

На этом лабораторная работа считается завершенной.

196
197
 Занятие 3: Конфигурирование служебных системных
сообщений
Введение
Ваш начальник посылает вас к партнерам для того, чтобы вы объяснили им как создать систему
сбора служебных сообщений.

Обзор протокола Syslog

Syslog - протокол, который позволяет устройству посылать сообщения уведомляющие о событии
через сеть IP для того, чтобы создать базу (коллекцию) таких событий. По умолчанию, сетевое
устройство посылает системные сообщения в так называемый logging process. Logging process
управляет распределением этих сообщений получателям, таким как буфер, консоль, syslog server, в
зависимости от ваших конфигураций. Это дает возможность использовать собранную
информацию для мониторинга, и определения и устранения сетевых проблем, выбирать тип
захватываемой информации, и определять получателя этих сообщений.

198
Вы должны определить уровень важности (severity) для управления типом сообщений выдаваемых
каждому получателю. Вы должны установить временные отметки на каждое сообщение и указать
адрес источника сообщения для того, чтобы проводить мониторинг сети в реальном времени.
Сообщения можно просматривать в реальном времени на консоли в режиме работы командной
строки, или сохранять эти сообщения в файле на специальном (syslog) сервере. ПО сетевых
устройств, таких как коммутаторы и маршрутизаторы, сохраняет эти сообщения во внутреннем
буфере.
Эти сообщения можно просматривать удаленно на этом сервере, или локально, подключившись к
устройству с помощью протоколов Telnet или SSH, или локально, через консольный порт.

Формат системных сообщений

По умолчанию, системные сообщения генерируются в следующем формате:

199
На слайде показаны элементы, из которых состоят служебные сообщения.

Ниже показаны уровни важности (severity) используемые в системных сообщениях

200
Если вы задали уровень важности равный 0, то выводиться будут сообщения с уровнем важности
0. Если вы задали уровень важности 7, то выводиться будут сообщения с уровнями важности от 0
до 7.

Конфигурации Syslog
Для конфигурации системных сообщений вы должны указать адрес Syslog сервера, который будет
получать эти сообщения, и указать уровень важности для того, чтобы ограничить число
сообщений, посылаемых на этот сервер.

201
В таблице ниже приведены описания операторов используемых в приведенных на слайде
командах.

Команда Описание
Logging (hostname/ip address) Идентифицирует хост на который должны посылаться
служебные сообщения
Logging trap (severity) Ограничивает количество, посылаемых на сервер сообщений.
На слайде приведены конфигурации сервера Syslog с адресом 10.1.10.100, на который должны
посылаться служебные сообщения. использование команды более одного раза создаст список
серверов, которые будут получать сообщения logging. Количество собираемых сообщений можно
ограничить с помощью команды logging trap.

Лабораторная работа 26: Конфигурация Syslog

Введение
Цель данной лабораторной работы состоит в том, чтобы поработать с синтаксисом базовых
конфигураций протокола syslog собираемыми для управления сетевыми устройствами. В работе
используются маршрутизатор и сервер, которые представлены на слайде ниже. Устройства имеют
базовые конфигурации, включающие их имена и IP адреса.
В данной лабораторной работе вы будете конфигурировать адрес syslog сервера на
маршрутизаторе, и устанавливать порог важности для сообщений, передаваемых на сервер. также
вы будете использовать команды для того, чтобы просмотреть конфигурации syslog и проверить
сообщения, которые собираются в локальном буфере маршрутизатора.

202
 Топология

Поддержка лабораторной работы

Информация об устройствах

Задача 1: Конфигурация Syslog

Шаги конфигурации
Шаг 1. Подключитесь к маршрутизатору R1. Сконфигурируйте адрес сервера syslog 10.1.1.10.

Шаг 2. Используйте важность informational как порог, ограничивающий количество сообщений

посылаемых на сервер.

203
Шаг 3. используйте команду show logging для того, чтобы просмотреть информацию в локальном
буфере маршрутизатора.

Шаг 4. Инициируйте генерацию сообщений использовав следующие команды:

204
Шаг 5. Посмотрите, что получилось

На этом лабораторная работа считается завершенной.

205
206
 Занятие 4: Управление устройствами Cisco
Введение
Когда маршрутизатор Cisco загружается, он выполняет серию шагов в определенном порядке. В
определенные моменты во время процесса загрузки, маршрутизатор принимает решение о
переходе к следующему шагу. Знание последовательности загрузки может очень помочь при
решении проблем маршрутизатора Cisco, а также при наладке его конфигурации. Осторожное
управление образами Cisco IOS и конфигурационными файлами уменьшает время простоя
устройства. Файлы образов Cisco IOS содержат программное обеспечение Cisco IOS, необходимое
для работы устройства Cisco. Конфигурационные файлы устройства содержат ряд задаваемых
пользователем команд конфигурации, которые настраивают функциональность устройства Cisco.
Это занятие описывает шаги в последовательности загрузки маршрутизатора, а также процедуры и
команды, необходимые для управления образами Cisco IOS, конфигурационными файлами и
устройствами в сети.
Обзор внутренних компонентов маршрутизатора
Основные внутренние компоненты маршрутизатора Cisco – это интерфейсы, ОЗУ(RAM),
ПЗУ(ROM), флэш-память, энергонезависимая память (NVRAM). В этом разделе описываются эти
основные внутренние компоненты.

207
Маршрутизатор – это компьютер, похожий на ПК. Маршрутизаторы имеют много тех же самых
аппаратных и программных компонентов, которые можно найти в других компьютерах, включая
следующие:
ЦП (ЦПУ) - ЦП выполняет инструкции операционной системы, такие как инициализация
системы, функции маршрутизации и коммутации.
ОЗУ (RAM): В ОЗУ хранятся инструкции и данные, которые должен выполнить ЦП. В этой
памяти с поддержкой записи и чтения содержится программное обеспечение и структуры данных,
обеспечивающие работу маршрутизатора. ОЗУ - это энергозависимая память и она теряет свое
содержимое при отключении или перезагрузке маршрутизатора. Однако маршрутизатор также
содержит области постоянного хранения, такие как ПЗУ (ROM), флэш-память и
энергонезависимая память (NVRAM). ОЗУ используется для хранения следующих компонентов:
Операционная система: ПО Cisco IOS копируется в ОЗУ во время процесса загрузки.
Файл с текущей конфигурацией: Этот файл хранит команды конфигурации, которые
программное обеспечение Cisco IOS в настоящее время использует на маршрутизаторе. За редким
исключением все команды, настроенные на маршрутизаторе, сохраняются в файле с текущей
конфигурацией, который также известен как «running-config».
Таблица маршрутизации IP: Этот файл сохраняет информацию о непосредственно
подключенных и удаленных сетях. Он используется для определения лучшего пути для пересылки
пакетов.
ARP-кэш: ARP-кэш содержит сопоставления адресов IPv4 к MAC-адресам, также как ARP-кэш на
ПК. ARP-кэш используется на маршрутизаторах, имеющих интерфейсы локальной сети, такие как
интерфейсы Ethernet.
Пакетный буфер: Пакеты временно сохраняются в буфере, когда они получаются на интерфейсе
или перед выходом с интерфейса.
ПЗУ(ROM): В памяти этого типа содержится микрокод основных функций для запуска и
поддержки маршрутизатора. В ПЗУ содержится монитор ROM (ROMMON), обеспечивающий
функции аварийного восстановления маршрутизатора, такие как восстановление пароля. ПЗУ– это
энергонезависимая память, содержимое которой сохраняется и после отключения питания.
Флэш-память: Флэш-память является энергонезависимой памятью компьютера, которая может
быть электрически сохранена и стерта. Флэш-память используется в качестве постоянного
хранилища для операционной системы. В большинстве моделей маршрутизаторов Cisco
программное обеспечение Cisco IOS постоянно хранится во флэш-памяти и копируется в ОЗУ во
время процесса начальной загрузки, где ЦП тогда запускает его. Некоторые более старые модели
маршрутизаторов Cisco запускают программное обеспечение Cisco IOS непосредственно с флэш-
памяти. Флэш состоит из SIMM или PCMCIA карт, которые можно обновить для увеличения
количества флэш-памяти. Когда маршрутизатору отключают питание или его перезапускают,
флэш-память не теряет свое содержимое.
NVRAM: NVRAM не теряет свое содержимое при отключении питания. Программное
обеспечение Cisco
IOS использует NVRAM в качестве постоянного хранения для файла загрузочной конфигурации
(startup config).
Все изменения конфигурации сохраняются в файле текущей конфигурации в ОЗУ, и, за редким
исключением, программное обеспечение Cisco IOS сразу применяет их. Для сохранения этих
изменений в случае, если маршрутизатор перезапускается или теряет питание, текущая
конфигурация должна быть скопирована в NVRAM, где она сохраняется как файл загрузочной
конфигурации.
Конфигурационный регистр: Конфигурационный регистр используется, чтобы контролировать
загрузку маршрутизатора. Значение конфигурационного регистра сохраняется в NVRAM.
Интерфейсы: Интерфейсы - это физические подключения к внешнему миру для маршрутизатора
и они включают, но не ограничиваются, следующими типами:
Ethernet, Fast Ethernet, и Gigabit Ethernet Асинхронные и синхронные последовательные
интерфейсы USB-интерфейс, который можно использовать для добавления флэш-диска к
маршрутизатору Консольный и вспомогательный порты. Консоль может иметь RJ-45 или мини-
USB коннектор. Хотя существует несколько различных типов и моделей маршрутизаторов,
каждый маршрутизатор имеет те же самые общие аппаратные компоненты. В зависимости от
модели эти компоненты расположены в различных местах в маршрутизаторе.
208
Функции ROM
Этот раздел описывает основные функции ПЗУ (ROM) на маршрутизаторе

Ниже описываются три основные области микрокода, которые обычно содержатся в ПЗУ:
Код загрузки: Код загрузки используется для активации маршрутизатора во время
инициализации. Он считывает значение конфигурационного регистра, чтобы определить способ
загрузки, а затем, если есть соответствующие инструкции, загружает программное обеспечение
Cisco IOS.
POST: POST – это микрокод, используемый для тестирования основных функциональных
возможностей оборудования маршрутизатора и определения доступных компонентов.
ROMMON: Это низкоуровневая операционная система, обычно используемая для
производственного тестирования, устранения неполадок и восстановления пароля. В режиме
ROMMON маршрутизатор не поддерживает маршрутизацию и протокол IP.
Примечание В зависимости от конкретной платформы маршрутизатора Cisco перечисленные компоненты
могут храниться во флэш-памяти или в загрузочной памяти, чтобы обеспечить обновление до более поздних
версий.

Этапы последовательности загрузки

маршрутизатора
Когда маршрутизатор загружается, он выполняет серию шагов: выполнение тестов, поиск и
загрузку программного обеспечения Cisco IOS, поиск и загрузку конфигураций и запуск
программного обеспечения Cisco IOS. Эта тема описывает последовательность событий, которые
происходят во время загрузки маршрутизатора.

209
Последовательность событий, которые происходят при включении питания(загрузке)
маршрутизатора, очень важна. Знание этой последовательности помогает при выполнении
рабочих задач и устранении неполадок, связанных с маршрутизатором.
Когда включается питание на маршрутизаторе, происходит серия событий в следующем порядке:
1. Выполнение POST: Это серия аппаратных тестов, в ходе которых проверяется
работоспособность всех компонентов маршрутизатора Cisco. Кроме того, во время этой проверки
маршрутизатор определяет состав аппаратной части. Процедура POST выполняется на основе
микрокода из системного ПЗУ.
2. Загрузка и выполнение кода загрузки: Код загрузки используется для последовательности
действий, таких как обнаружение программного обеспечения Cisco IOS, его загрузка и запуск.
После загрузки и запуска программного обеспечения Cisco IOS код загрузки не используется до
следующей перезагрузки или выключения и включения питания.
3. Поиск программного обеспечения Cisco IOS: Код начальной загрузки определяет
местонахождение программного обеспечения Cisco IOS, которое нужно запустить. Обычно образ
программного обеспечения Cisco IOS находится во флэш-памяти, но он также может храниться на
TFTP-сервере. Конфигурационный регистр и файл конфигурации определяют, где находятся
образы программного обеспечения Cisco IOS и какой файл образа использовать. Если полный
образ Cisco IOS найти не удается, минимизированная версия ПО Cisco IOS копируется из ПЗУ в
ОЗУ. Эта версия ПО Cisco IOS используется, чтобы помочь диагностировать проблемы и может
использоваться для загрузки полной версии ПО Cisco IOS в ОЗУ.
4. Загрузка программного обеспечения Cisco IOS: После обнаружения необходимого образа,
код начальной загрузки распаковывает его в ОЗУ и запускает программное обеспечение Cisco IOS.
На некоторых маршрутизаторах образ ПО Cisco IOS не загружается в ОЗУ, а запускается сразу из
флэш-памяти.
5. Поиск конфигурации: После загрузки программного обеспечения Cisco IOS, программа
загрузки ищет файл загрузочной конфигурации (startup-config) в NVRAM.

210
6. Загрузка конфигурации: Если файл загрузочной конфигурации найден в NVRAM,
программное обеспечение Cisco IOS загружает его в ОЗУ в качестве текущей конфигурации и
выполняет команды в файле, по одной строке за раз. Файл текущей конфигурации содержит
адреса интерфейсов, запускает процессы маршрутизации, настраивает пароли на маршрутизаторе
и определяет другие характеристики маршрутизатора. Если нет существующей загрузочной
конфигурации, маршрутизатор запустит утилиту установки (setup) или выполнит попытку авто
установки для поиска конфигурационного файла на сервере TFTP.
7. Запуск настроенного ПО Cisco IOS: Когда приглашение выводится на экран, маршрутизатор
запускает программное обеспечение Cisco IOS с файлом текущей конфигурации. Администратор
сети может теперь начать использовать команды Cisco IOS на этом маршрутизаторе
Конфигурационный регистр

У маршрутизатора есть 16-битный конфигурационный регистр в NVRAM. Каждый бит имеет

значение 1 или значение 0 , и значение каждого бита влияет на поведение маршрутизатора после
следующего включения и выключения питания или перезагрузки.
Вы можете использовать 16-битный конфигурационный регистр для того, чтобы:
• Заставить маршрутизатор загружаться в ROM-монитор.
• Выбрать источник загрузки и имя загрузочного файла.
• Контролировать широковещательные адреса.
• Восстанавливать утерянный пароль.
• Изменять скорость на консольной линии.
4 младших бита (последнее шестнадцатиричное число справа) называют загрузочным полем. Оно
указывает, как маршрутизатор находит образ Cisco IOS.

211
Бит 8 управляет клавишей консоли Break. Установка бита 8 (устанавливается по умолчанию) заставляет
процессор игнорировать клавишу Break как команду заставляющую маршрутизатор выходить из режима
нормальной загрузки и переходить в режим bootstrap monitor (режим просмотра загрузки). Эта клавиша
срабатывает в течении 60 секунд после начала перезагрузки маршрутизатора независимо от
конфигурационных установок.
Бит 9 управляет загрузкой системы. Использование бита 9 (работает по умолчанию) заставляет систему
загружаться из флэш памяти. Очистка бита 9 заставляет систему использовать для загрузки другой источник
(сеть), который обычно не используется.
Бит 10 управляет в широковещательном адресе порцией информации, относящейся к хосту. Установка бита
10 заставляет процессор использовать все нули. Очистка бита 10 (используется по умолчанию) заставляет
процессор использовать все единицы. Бит 10 взаимодействует с битом 14, который управляет сетью, и
порцией информации, которая относится к подсети в широковещательном адресе. В таблице ниже показан
комплексный эффект использования битов 10 и 14.

Бит 13 определяет ответ маршрутизатора отказ при перезагрузке. Установка бита 13 заставляет
маршрутизатор загружаться из ROM после 6-и неудачных попыток загрузиться из загрузочного файла.
Очистка бита 13 заставляет маршрутизатор продолжать попытки загрузиться с помощью загрузочного файла.
По умолчанию бит 13 установлен в 0.

212
Поле загрузка (boot) определяет номер в двоичной форме. Если вы установили значение этого поля в 0, вы
должны иметь доступ к консольному порту для загрузки операционной системы вручную. Если вы установили
это поле в значения от 2 до F, и у вас есть валидная команда boot сохраненная в файле конфигурации,
программное обеспечение выполняет команды загрузки последовательно до тех пор, пока они не закончатся.
Если в файле конфигурации нет boot команд, то маршрутизатор пытается загрузить первый файл из флэш
памяти.
Биты 5, 11, и 12 конфигурационного регистра скорость работы терминала в бодах. На слайде ниже показаны
установки битов для восьми скоростей терминала. По умолчанию используется скорость 9600 бит в секунду.

213
Изменение конфигурационного регистра

Перед изменением конфигурационного регистра следует определить, как маршрутизатор

загружает образ программного обеспечения в данный момент. Команда show version отображает
текущее значение конфигурационного регистра. Значение конфигурационного регистра
содержится в последней строке на экране.
Значение конфигурационного регистра по умолчанию можно изменить с помощью команды
глобальной конфигурации config-register. Конфигурационный регистр – это 16-разрядный
регистр. 4 младших бита конфигурационного регистра (биты 3, 2, 1 и 0) формируют загрузочное
поле. При установке значения конфигурационного регистра в качестве параметра указывается
шестнадцатеричное число. Значение конфигурационного регистра по умолчанию – 0x2102.
Команда show version используется для проверки изменений значения конфигурационного
регистра.
Новое значение конфигурационного регистра вступает в силу при перезагрузке маршрутизатора.
В этом примере вывод команды show version указывает, что при следующей перезагрузке
маршрутизатора будет использоваться значение конфигурационного регистра 0x2101. Новое
значение конфигурационного регистра заставит маршрутизатор загружать первый попавшийся
образ Cisco IOS, найденный на флэш.
При использовании команды config-register задаются все 16 бит конфигурационного регистра.
Следует соблюдать осторожность и изменять только те биты, которые требуется изменить,
например, загрузочное поле, а остальные биты оставлять без изменения. Следует помнить, что
другие биты конфигурационного регистра выполняют функции, такие как выбор скорости обмена
данными с консолью в битах за секунду, и использовать файл конфигурации, сохраненный в
NVRAM
Поиск образа Cisco IOS
Во время загрузки маршрутизатор Cisco выполняет поиск образа Cisco IOS в определенном
порядке. Он проверяет местоположение, указанное в конфигурационном регистре, флэш-память,
TFTP-сервер и ПЗУ. В этом разделе описывается процесс обнаружения образа Cisco IOS.
214
За обнаружение программного обеспечения Cisco IOS отвечает код загрузки. Он выполняет поиск
образа Cisco IOS в следующей последовательности:
1. Код загрузки проверяет загрузочное поле в конфигурационном регистре. Конфигурационный
регистр имеет несколько назначений, например говорит маршрутизатору как загружаться или для
восстановления пароля. Например, заводское значение конфигурационного регистра по
умолчанию - 0х2102. Это значение указывает, что маршрутизатор пытается загрузить образ ПО
Cisco IOS с флэш-памяти и загружает файл загрузочной конфигурации из NVRAM. Поле загрузки
- это младшие 4 бита конфигурационного регистра, которые используются для указания способа
загрузки маршрутизатора. Эти биты могут указывать на флэш-память с образом Cisco IOS, на
команды в файле загрузочной конфигурации (если он есть), определяющими, как будет
загружаться маршрутизатор, или на удаленный TFTP-сервер. Кроме того, эти биты могут
указывать на то, что образа Cisco IOS для загрузки нет и требуется просто загрузить Cisco ROM-
монитор. Биты конфигурационного регистра также выполняют другие функции, такие как
указание скорости обмена данными с консолью в битах за секунду и указание, использовать ли
файл конфигурации (startup-config), сохраненный в NVRAM.
Конфигурационный регистр можно изменить, и, соответственно, изменить, где маршрутизатор
будет искать образ Cisco IOS и файл загрузочной конфигурации во время процесса загрузки.
Например, если значение конфигурационного регистра 0x2102 («0x» указывает на то, что
последующие цифры представлены в шестнадцатеричной системе), то значение поля загрузки –
0x2. Правая цифра значения регистра – 2, представляющая наименее значимые 4 бита регистра.
Таблица указывает, как различные значения загрузочного поля влияют на местоположение образа
Cisco IOS.

215
2. Если загрузочное поле конфигурационного регистра содержит значения в пределах от 0x2 до
0xF, код загрузки анализирует файл загрузочной конфигурации в NVRAM, чтобы найти команды
boot system, в которых указывается имя и местоположение загружаемого образа программного
обеспечения Cisco IOS. Может быть введена последовательность из нескольких команд boot
system для создания плана отказоустойчивой загрузки.
Команда boot system – это команда глобальной конфигурации, которая позволяет указывать
источник загружаемого образа программного обеспечения Cisco IOS. Доступно несколько
вариантов синтаксиса, в том числе:

3. Если нет команд boot system в конфигурации, маршрутизатор по умолчанию загружает первый
допустимый образ Cisco IOS в флэш-памяти и запускает его.
4. Если допустимого образа Cisco IOS нет в флэш-памяти, маршрутизатор пытается выполнить
загрузку с сетевого TFTP-сервера, используя значение загрузочного поля как часть имени файла
образа Cisco IOS.
5. После шести неудачных попыток найти TFTP-сервер, маршрутизатор будет загружать ROM-
монитор.
Примечание Процедура поиска образа Cisco IOS зависит от платформы маршрутизаторов Cisco и значения
конфигурационного регистра по умолчанию. Только что описанная процедура относится к
маршрутизаторам Cisco Integrated Services Routers серии 3900, 2900 и 1900.

Загрузка файла образа Cisco IOS

Когда маршрутизатор находит допустимый файл образа Cisco IOS во флэш-памяти, этот образ
загружается в ОЗУ для запуска. Перед загрузкой образа из флэш-памяти в ОЗУ его необходимо
распаковать. После распаковки файла в ОЗУ, он запускается. Когда ПО Cisco IOS начинает
загружаться, вы можете увидеть знаки "решетка" (#), как показано на рисунке, в процессе
распаковки образа.

216
217
Команду show version можно использовать, чтобы проверить некоторые основные аппаратные и
программые компоненты маршрутизатора, а также при решении проблем с ними. Команда show
version выводит на экран информацию о версии программного обеспечения Cisco IOS, которая
сейчас работает на маршрутизаторе, версии программы загрузки и информацию о конфигурации
аппаратного обеспечения, включая объем системной памяти.
Вывод команды show version включает следующее:

218
Этот раздел вывода отображает физические интерфейсы на маршрутизаторе. В этом примере
маршрутизатор Cisco 2901 имеет два интерфейса GigabitEthernet один последовательный
интерфейс.

Последняя строка вывода команды show version отображает текущее настроенное значение
конфигурационного регистра программного обеспечения в шестнадцатеричном формате. Это
значение указывает, что маршрутизатор попытается загрузить образ ПО Cisco IOS из флэш-памяти
и загрузить файл загрузочной конфигурации из NVRAM.
Загрузка конфигурационных файлов Cisco IOS
После того, как образ программного обеспечения Cisco IOS загружается и запускается,
маршрутизатор нужно настроить, чтобы он был полезным. Если есть существующий сохраненный
конфигурационный файл (startup-config) в NVRAM, он запускается. Если нет никакого
сохраненного конфигурационного файла в NVRAM, маршрутизатор или начинает авто установку,
или запускает утилиту установки (конфигурационный диалог).

Если файла загрузочной конфигурации нет в NVRAM, маршрутизатор может начать поиск TFTP-
сервера. Если маршрутизатор обнаруживает, что у него есть активный канал к другому
настроенному маршрутизатору, он отправляет широковещательный поиск конфигурационного

219
файла через активный канал. Это условие заставит маршрутизатор приостановиться, но в итоге вы
увидите такие сообщения в консоли:

Утилита установки предлагает пользователю в консоли создать основную начальную

конфигурацию на маршрутизаторе, как показано в этом примере:

Команды show running-config и show startup-config входят в число наиболее часто используемых
команд программного обеспечения Cisco IOS, так как они позволяют выводить текущую
конфигурацию маршрутизатора из ОЗУ и загрузочную конфигурацию из файла в NVRAM,
который маршрутизатор будет использовать при следующем перезапуске.
Если отображаются слова «Current configuration» (текущая конфигурация), то на экране
отображается активная текущая конфигурации из ОЗУ.
Если в верхней части экрана выведено сообщение об объеме используемой энергонезависимой
памяти (в этом примере "Using 1318 out of 262136"), то отображается загрузочный файл
конфигурации из NVRAM.

220
Встроенная файловая система и устройства
Cisco IOS
Доступность сети может быть под угрозой, если конфигурация маршрутизатора или операционная
система скомпрометирована. Атакующие, получившие доступ к инфраструктурным устройствам,
могут изменить или удалить конфигурационные файлы. Они могут также загрузить
несовместимые образы Cisco IOS или удалить образ Cisco IOS. Изменения применяются
автоматически или после перезагрузки устройства.
Для предотвращения этих проблем необходимо иметь возможность сохранить, скопировать и
восстановить образы Cisco IOS и конфигурационные файлы.
Устройства Cisco IOS обеспечивают функцию, которую называют Cisco IFS. Эта система
позволяет вам создавать и управлять каталогами на устройстве Cisco, а также перемещаться между
ними. Доступные каталоги зависят от платформы. Функция Cisco IFS обеспечивает единый
интерфейс всем файловым системам, которые использует маршрутизатор Cisco, включая
следующие:
Файловые системы флэш-памяти.
Сетевые файловые системы (NFS): TFTP, RCP, и FTP.
Любые другие конечные точки для чтения или записи данных(такие как энергонезависимая
память (NVRAM), текущая конфигурация в ОЗУ и т.д.)

Одна из ключевых возможностей Cisco IFS – использование стандарта URL для указания
файлов на сетевых устройствах и других ресурсах сети. URL-префикс указывает файловую
систему

221
На рисунке отображается вывод команды show file systems, которая перечисляет все доступные
файловые системы на маршрутизаторе Cisco 2901. Эта команда предоставляет детальную
информацию, такую как объем доступной и свободной памяти и тип файловой системы и ее
разрешений. Разрешения включают только для чтения (обозначено флагом «ro»), только для
записи (обозначено флагом «wo»), и для чтения и записи (обозначено флагом «rw»).
Перед файловой системой флэш указана звездочка, что указывает на текущую файловую систему
по умолчанию. Загрузочное программное обеспечение Cisco IOS расположено во флэш-памяти,
поэтому к строке флэш-памяти добавлен символ «решетка» (#), который указывает на
загрузочный диск.
В таблице указаны некоторые часто используемые URL-префиксы для сетевых устройств Cisco.

Одна из ключевых возможностей Cisco IFS – использование стандарта URL для указания файлов
на сетевых устройствах и других ресурсах сети. URL-префикс указывает файловую систему.
222
Управление образами Cisco IOS
В условиях роста сети хранение образов программного обеспечения Cisco IOS и файлов
конфигурации на центральном TFTP-сервере позволяет управлять количеством и версиями
образов Cisco IOS и файлами конфигурации, которые необходимо поддерживать. В этом разделе
описывается, почему важно создавать резервную копию образов Cisco IOS и файлов
конфигурации.

Производственные сети обычно занимают обширные области и содержат несколько

маршрутизаторов. В любой сети всегда разумно хранить резервную копию образа программного
обеспечения Cisco IOS на случай повреждения или случайного удаления системного образа на
маршрутизаторе.
Маршрутизаторам, находящимся на большом расстоянии друг от друга, необходим источник или
место для хранения резервных образов программного обеспечения Cisco IOS. Использование
сетевого TFTP-сервера позволяет загружать файлы образов и конфигураций по сети. Сетевой
TFTP-сервер может быть маршрутизатором, рабочей станцией или хостом.
Расшифровка имени файла образа Cisco IOS
Перед обновлением маршрутизатора Cisco IOS необходимо выбрать образ Cisco IOS с корректным
набором функций и версией. Файл образа Cisco IOS основан на специальном стандарте
присвоения имен. Имя файла образа Cisco IOS состоит из нескольких частей, у каждой части есть
определенное значение. Важно, чтобы вы понимали этот стандарт присвоения имен при
обновлении и выборе ПО Cisco IOS.

223
Например, имя файла на рисунке объясняется следующим образом:
Первая часть (с2900) идентифицирует платформу, на которой запускается образ. В данном
примере платформа - Cisco Integrated Services Router серии 2900.
Вторая часть (universal) определяет набор функций. В этом случае, «universal» указывает на
универсальный, единый образ, который включает основные функции IP, безопасность,
унифицированные коммуникации и наборы функций для передачи данных. На каждом
маршрутизаторе активирован набор основных функций IP. Однако для других наборов функций,
необходима активация программного обеспечения.
Третья часть имени указывает, где запускается образ, и выполнено ли сжатие для файла. В данном
примере «mz» означает, что файл сжат и запускается из ОЗУ.
В четвертой части (15.2(4)M1) указывается номер версии.
Последняя часть (bin) – это расширение файла. Это расширение означает, что этот файл является
бинарным исполняемым файлом.
Примечание Стандарты именования ПО Cisco IOS, значения полей, содержимое образов, и другие сведения
могут меняться.

Создание резервной копии образа Cisco IOS

224
Для поддержания работы сети и минимизации времени простоя, необходимо иметь в
распоряжении процедуры создания резервных копий образов Cisco IOS. Таким образом, вы
можете быстро скопировать образ назад на маршрутизатор в случае повреждения или удаления
образа на маршрутизаторе.
Выполните эти шаги для создания резервной копии образа Cisco IOS на TFTP-сервере:
• Убедитесь, что сетевой TFTP-сервер доступен. Это можно проверить с помощью пинг-
запросов на TFTP-сервер для проверки связи.
• Убедитесь в том, что на TFTP-сервере достаточно свободного дискового пространства для
размещения образа программного обеспечения Cisco IOS. Используйте команду show
flash0: на маршрутизаторе, чтобы определить размера файла образа Cisco IOS.
• Скопируйте образ на TFTP-сервер с помощью команды copy.

225
226
Перед созданием резервной копии образа, проверьте связь к TFTP-серверу. Это можно сделать,
запустив пинг с маршрутизатора на TFTP-сервер. В примере TFTP-сервер доступен с
маршрутизатора.
Затем необходимо убедиться в том, что у вас достаточно свободного дискового пространства на
TFTP-сервере для размещения образа программного обеспечения Cisco IOS. Можно использовать
команду show flash, чтобы посмотреть размера файла образа программного обеспечения Cisco
IOS. Размер файла в примере - 97794040 байт (93 Мбайта).
В этом примере вы создадите резервную копию файла текущего образа на маршрутизаторе
(c2900-universalk9-mz.SPA.152-4.M1.bin) на TFTP-сервере с адресом 172.16.1.100.
Наконец, скопируйте файл образа программного обеспечения Cisco IOS на сервер с помощью
команды copy. После запуска команды с указанным URL источника и назначения, у вас запросят
имя исходного файла, IP-адрес удаленного хоста и имя файла на устройстве назначения. После
ввода всей этой информации произойдет передача файла. Таблица описывает команду.

Управление файлами конфигурации устройства

Файлы конфигурации устройства содержат ряд заданных пользователем команд конфигурации,
настраивающих функциональность устройства Cisco. Эта тема описывает конфигурационные
файлы и их местоположение

Конфигурационные файлы маршрутизатора Cisco сохраняются в следующих местоположениях:

Текущая конфигурация сохраняется в ОЗУ.
Загрузочная конфигурация сохраняется в энергонезависимой памяти (NVRAM).
Вы можете скопировать конфигурационные файлы с маршрутизатора на файловый сервер с
помощью FTP или TFTP. Например, можно скопировать конфигурационные файлы для создания
227
резервной копии файла текущей конфигурации на сервер перед изменением его содержимого,
чтобы иметь возможность восстановить исходный конфигурационный файл с сервера. Протокол,
который используется, зависит от типа сервера, который используется.
Вы можете скопировать конфигурационные файлы с сервера в файл текущей конфигурации в ОЗУ
или в файл загрузочной конфигурации в NVRAM маршрутизатора по одной из следующих
причин:
• Чтобы восстановить конфигурационный файл из резервной копии.
• Чтобы использовать конфигурационный файл на другом маршрутизаторе. Например, вы
можете добавить другой маршрутизатор в сеть и захотеть, чтобы он имел конфигурацию,
похожую на конфигурацию исходного маршрутизатора. Скопировав файл на сетевой
сервер и изменив его таким образом, чтобы он соответствовал требованиям к
конфигурации для нового маршрутизатора, можно сэкономить время, не воссоздавая весь
файл.
• Загрузить одни и те же команды конфигурации на все маршрутизаторы в сети, чтобы у
всех маршрутизаторов была похожая конфигурация.
• Использовать конфигурационный файл для другого маршрутизатора. Например, можно
добавить другой маршрутизатор.
Например, при запуске команды copy running-config tftp, текущая конфигурация копируется из
ОЗУ на TFTP-сервер.
Используйте команду copy running-config startup-config после внесения изменений в
конфигурацию в ОЗУ для сохранения конфигурации в файл загрузочной конфигурации в NVRAM.
Вы можете скопировать файл загрузочной конфигурации из NVRAM обратно в ОЗУ с помощью
команды copy startup running. Заметьте, что можно сокращать команды.
Подобные команды существуют для копирования между TFTP-сервером и NVRAM или RAM.
Следующие примеры показывают распространенные варианты использования команды copy. В
примерах перечисляются два метода для выполнения тех же задач. В первом примере
используется простой синтаксис, а второй пример обеспечивает более детальный синтаксис.

Используйте команду configure terminal для интерактивного создания конфигураций в ОЗУ c

консоли или удаленного терминала.
Используйте команду erase startup-config для удаления сохраненного файла загрузочной
конфигурации в NVRAM

228
На рисунке показан пример, как использовать команду copy tftp running-config, чтобы
объединить текущую конфигурацию в ОЗУ c сохраненным конфигурационным файлом на TFTP-
сервере.
Примечание При копировании конфигурации в ОЗУ из любого источника она объединяется с существующей в
ОЗУ конфигурацией или накладывается на нее(без перезаписи). Новые параметры конфигурации
добавляются, а изменения существующих параметров перезаписываются вместо старых
значений. Команды конфигурации в ОЗУ, для которых нет соответствующих команд в NVRAM,
остаются без изменений. При копировании конфигурации из ОЗУ в NVRAM файл загрузочной
конфигурации перезаписывается.

229
TFTP-серверы можно использовать для хранения конфигураций на центральном узле для
централизованного управления и обновления. Независимо от размера сети следует хранить
резервную копию текущей конфигурации.
Команда copy running-config tftp позволяет сохранить текущую конфигурацию на TFTP-сервере.
В данном случае необходимо указать IP-адрес или имя TFTP-сервера и имя файла назначения. На
экране процесс загрузки отображается серией восклицательных знаков.
Команда copy tftp running-config используется для загрузки файла конфигурации с TFTP-сервера
в ОЗУ в качестве текущей конфигурации. В данном случае также необходимо указать IP-адрес
или имя TFTP-сервера и имена исходного файла и файла назначения. Так как файл копируется в
текущую конфигурацию, имя файла назначения должно быть running-config. Это процесс слияния,
а не перезаписи
Восстановление пароля
Пароль на привилегированный режим (enable password) контролирует доступ к
привилегированному режиму EXEC на маршрутизаторе. Если пароль ввести с опечаткой или
забыть, будет невозможно получить доступ к привилегированному режиму EXEC
маршрутизатора, и придется выполнить процедуру восстановления пароля. Этот раздел
описывает, как выполнить восстановление пароля на маршрутизаторе Cisco.

230
Вы можете использовать конфигурационный регистр для выполнения процедуры восстановления
пароля.
Необходимо установить в конфигурационный регистр значение, которое даст маршрутизатору
команду игнорировать загрузочную конфигурацию, включая забытый пароль. Поскольку
пользователь не может зайти в привилегированный режим EXEC для изменения
конфигурационного регистра, регистр должен быть изменен в ROM-мониторе. Чтобы войти в
ROM-монитор, перезагрузите маршрутизатор и нажмите Break для прерывания процесса загрузки,
чтобы попасть в ROM-монитор.
Выполните эти шаги для выполнения процедуры восстановления пароля:
• Выключите маршрутизатор.
• Включите маршрутизатор. Нажмите Break, чтобы прервать процесс загрузки и войти в
ROM-монитор.
• Когда маршрутизатор будет в режиме ROM-монитора, установите значение
конфигурационного регистра 0x2142. Шестнадцатеричное число 4 даст маршрутизатору
команду игнорировать загрузочную конфигурацию при следующей перезагрузке.
• Перезапустите маршрутизатор. Маршрутизатор перезагрузится, но проигнорирует
сохраненную конфигурацию. Не входите в интерактивный конфигурационный диалог.
• Войдите в привилегированный режим EXEC. Вы сможете зайти в него, так как
сохраненная конфигурация проигнорирована, и загружена пустая конфигурация без пароля
на привилегированный режим

231
232
• Скопируйте «startup-config» в «running-config», чтобы загрузить сохраненную
конфигурацию. После этого шага все интерфейсы могут быть отключены.
Необходимо включить нужные интерфейсы, используя команду no shutdown.
• Поскольку загрузочная конфигурация объединилась с текущей конфигурацией,
интерфейсы будут выключены. Включите соответствующие интерфейсы,
используя команду no shutdown.
• Зайдите в режим глобальной конфигурации и установите новый пароль на
привилегированный режим. Не забывайте пароль в этот раз, и вводите его без
опечаток.

233
Занятие 5: Лицензирование
234
Это занятие объясняет универсальность образов Cisco IOS и концепцию лицензирования.
Функция Cisco IOS Software Activation - это организованный набор процессов и
компонентов для активации наборов функций программного обеспечения Cisco IOS путем
получения и проверки лицензий для программного обеспечения Cisco. С помощью
функции Cisco IOS Software Activation можно активировать лицензируемые функции и
зарегистрировать лицензии.

При заказе нового маршрутизатора он поставляется с предварительно установленным

образом программного обеспечения и соответствующими постоянными лицензиями на
функциональные пакеты и функции, которые вы указывали.
Примечание Используйте команду Cisco IOS show license, чтобы определить лицензии, которые
активированы на вашей системе.
Ваш маршрутизатор приходит с оценочной лицензией, также известной как временная
лицензия, для большинства пакетов и функций, которые поддерживаются на вашем
маршрутизаторе. Если Вы хотите попробовать новый пакет программного обеспечения
или функцию, активируйте оценочную лицензию на этот пакет или функцию. Если Вы
хотите перманентно активировать пакет программного обеспечения или функцию на
вашем маршрутизаторе, необходимо получить новую лицензию на программное
обеспечение.

235
ПО Claim Certificates (требования сертификатов) используется для требования активации
ПО. Требование сертификата обеспечивает PAK для вашей лицензии и важную
информацию по Cisco EULA (лицензионному соглашению). В большинстве случаев Cisco
или ваш партнер Cisco сами активируют лицензии, заказанные вами во время покупки, и
никакое ПО Claim Certificates не предоставляется. Выполните следующие шаги для
перманентной активации пакета программного обеспечения или функции на
маршрутизаторе:
1. Купите пакет программного обеспечения или функцию, которую вы хотите установить.
Вы получите PAK вместе со своей покупкой.
2. Получите лицензионный файл с помощью одного из этих вариантов:
• Cisco License Manager Бесплатное приложение, доступное по ссылке
http://www.cisco.com/go/clm
• Cisco License Registration Manager Веб-портал для получения и регистрации
индивидуальных лицензии на программное обеспечение, доступных в разделе
http://www.cisco.com/go/license.
3. Используйте Cisco IOS CLI для установки и управления сертификатами.
Для получения лицензии вам возможно также понадобится UDI, который состоит из двух
главных компонентов: PID и серийного номера. Следующий пример показывает вывод
команды show license udi, которая показывает идентификатор продукта и серийный
номер маршрутизатора:

236
До релиза 15.0 Cisco IOS, образ программного обеспечения выбирался на основе
необходимого набора функций для заказчика. Есть восемь пакетов программного
обеспечения для маршрутизаторов Cisco IOS.
Пять пакетов разработаны для удовлетворения потребностей в четырех часто
используемых категориях сервисов:

Три дополнительных премиум - пакета предлагают новые комбинации функций ПО Cisco IOS,
удовлетворяющие потребности более сложной сети. Все функции объединяются в пакет Advanced
Enterprise Services, который объединяет поддержку всех протоколов маршрутизации с голосовыми
функциями, безопасностью и возможностями VPN:

237
Наследование функций является другим сильным аспектом пакетов программного обеспечения
Cisco IOS. После того, как функция введена, она включается в более всесторонние пакеты.
Наследование функций облегчает миграцию, разъясняя, какие функции содержатся в различных
пакетах и как они связаны друг с другом

Начиная с Cisco Integrated Services Router серии 1900, 2900 и 3900, Cisco пересмотрела модель
лицензирования программного обеспечения Cisco IOS. Маршрутизаторы идут с установленым
пакетом IP Base, и можно установить дополнительные функции в качестве дополнений для
расширения набора функций устройства.
Универсальный образ Cisco IOS содержит все пакеты и функции в одном образе. Универсальный
образ на маршрутизаторах Cisco 1900, 2900 и 3900 – это набор упрощенных пакетов технологий
Cisco IOS. Каждый пакет является группировкой функций для определенных технологий. Можно
установить и активировать несколько лицензий на пакеты технологий на платформах Cisco 1900,
2900 и 3900 ISR.
Примечание Используйте команду show license feature, чтобы увидеть лицензии на пакеты технологий,
которые поддерживаются вашим маршрутизатором.
Преимум-функции, которые включены в пакет по умолчанию IP Base, обычно группируются в три
основных лицензии на пакеты технологий: Data, Security и Unified Communications. Эти три пакета
представляют большинство функций, которые доступны в программном обеспечении Cisco IOS.
Таблица перечисляет лицензии на пакеты технологий, которые поддерживаются на платформах
Cisco ISR G2 (маршрутизаторы Cisco ISR серии 1900, 2900 и 3900).

238
Примечание Лицензия IP Base является предварительным требованием для установки лицензий Data,
Security и Unified Communications.

Проверка лицензирования

Используйте команду show license в привилегированном режиме EXEC, чтобы посмотреть

информацию о лицензиях программного обеспечения Cisco IOS.
Установка перманентной лицензии

239
На рисунке показана конфигурация для установки перманентной лицензии Unified
Communications на маршрутизатор. Предполагается, что вы получили лицензионный файл от Cisco
и сохранили его на флэш-памяти маршрутизатора.
Перманентные лицензии являются неограниченными по времени (то есть, с ними не связан
никакой период использования). После установки перманентных лицензий они предоставляют все
разрешения, которые необходимы для получения доступа к функциям в образе программного
обеспечения.
Примечание Cisco устанавливает соответствующую постоянную лицензию для приобретенного набора
функций на заказанное устройство. Никакого взаимодействия пользователя с процессами Cisco
IOS Software Activation для установки лицензии на новое устройство не требуется.
Используйте команду license install для установки перманентной лицензии:

Перезагрузите маршрутизатор после успешной установки лицензии с помощью команды reload.

Используйте команду show version после перезагрузки маршрутизатора, чтобы проверить, что
лицензия была установлена.

240
Примечание Перезагрузка не требуется, если активна оценочная лицензия. Для активации лицензии на пакет
технологий требуется перезагрузка, если оценочная лицензия не активна.

Установка оценочной лицензии

Примечание Начиная с релизов Cisco IOS 15.0(1)M6, 15.1(1)T4, 15.1(2)T4, 15.1(3)T2, и 15.1(4)М, оценочные
лицензии были заменены лицензией оценочного права на использование. Выполните шаги,
описанные в таблице для активации лицензии оценочного права на использование.
Активация оценочной лицензии основана на шагах, описанных в таблице.

241
На рисунке показана конфигурация для активации оценочной лицензии Unified Communications на
маршрутизаторе. Оценочные лицензии являются временными, и вы используете их для оценки
набора функций на новых устройствах. Временные лицензии ограничиваются определенным
периодом использования (например, 60 дней).

Перезагрузите маршрутизатор после успешной установки лицензии с помощью команды reload.

Используйте команду show version после перезагрузки маршрутизатора, чтобы проверить, что
лицензия была установлена.

242
Создание резервной копии лицензии
Сохранение или создание резервной копии лицензии основывается на шагах, описанных в
таблице.

243
На рисунке показана конфигурация для создания резервной копии лицензии на маршрутизаторе.
Сохраненные лицензии восстанавливаются с помощью команды license install.

Удаление лицензии
Чтобы очистить активную перманентную лицензию на маршрутизаторах Cisco ISR серии
1900, 2900 и 3900, выполните следующие задачи:
• Отключите пакет с технологиями
• Очистите лицензию

244
245
Примечание Некоторые лицензии, такие как встроенные лицензии, нельзя очистить. Только лицензии, которые были
добавлены с помощью команды license install, можно удалить. Оценочные
лицензии также удалить нельзя.
Очистка активной перманентной лицензии основывается на шагах, описанных в таблице:

На рисунке показана конфигурация для того, чтобы очистить активную перманентную лицензию
на маршрутизаторах Cisco 3900, 2900 и 1900. Сначала необходимо отключить пакет технологий, а
затем очистить лицензию. Каждый из этих двух шагов требует перезагрузки маршрутизатора.
Следующий пример показывает, как очистить активную лицензию на маршрутизаторе Cisco 3900:

Cisco Smart Software Manager

Cisco Smart Software Manager дает вам возможность централизованного управления лицензиями с
одного веб сайта. С его помощью ваша организация может объединять лицензии в группы,
которые называются virtual account.
Виртуальный экаунт, - это набор лицензий и конкретных продуктов. При необходимости вы
можете организовать обмен лицензиями между виртуальными экаунтами.

246
247
248
 Модуль 6 Summary Challenge
Введение
Это модуль для суммарной проверки знаний, которые вы получили в ходе курса. Он содержит два
раздела связанные с представлением и выявлением проблем в сетях среднего размера. Эти разделы
используются для проверки ваших знаний по различным темам. Каждый раздел содержит
теоретические вопросы и лабораторные работы. Вопросы задаются на английском, поскольку
тесты, которые вам придется сдавать также на английском.

249
250
251
252
253
254
Модуль 7
Знакомство с IPv6
Обзор
Рост сети Интернет за последние 20 лет привел к тому, что количество адресов IPv4
практически исчерпалось и необходимость в адресах постоянно растет. Для обеспечения
развития Интернет организация IETF разработала протокол следующего поколения -
IPv6. Данный модуль описывает особенности на пути развития IPv6, а также сравнивает
протоколы IPv4 и IPv6.

Занятие 1: Введение в IPv6

Обзор
Возможность масштабирования сетей для будущих нужд требует больших запазов IP-
адресов и повышенную мобильность. Для обеспечения этих нужд были разработаны
краткосрочные решения.
IPv6 удовлетворяет возросшие требования к иерархической адресации, которые не может
удовлетворить IPv4.
Имея длину адреса 128 бит, адресное пространство IPv6 существенно больше и
функциональнее, а следовательно, сложнее в управлении.
Данное занятие описывает основные возможности IPv6, адресацию и базовую
конфигурацию.

255
Обходные решения проблемы нехватки
адресации IPv4

Чтобы эффективнее распределять IPv4 адреса, разработали CIDR. Данное решение

позволяет разделять адресное пространство на более мелкие элементы.
VLSM позволяет более эффективно использовать IP-адреса, главным образом в малых
сегментах, таких как соединения точка-точка. Применение VLSM описано в документе
RFC 1817. Поддержка CIDR и VLSM необходима сервис-провайдерам для дополнительного
распределения адресов.
NAT представил модель, в котором устройство, подключенное к сети Интернет, имеет
маршрутизируемый IPv4-адрес, в то же время, во внутренней локальной сети устройство
использует приватный IP-адрес. Приватная адресация не выходит за пределы локальной
сети, поэтому может совпадать в сетях нескольких предприятий. В таких случаях даже
большие сети с тысячами устройств могут быть скрыты за небольшим количеством
публичных, маршрутизируемых сетей.
DHCP используется устройствами для запроса информации о сетевых настройках, таких
как IP-адрес, маршрут по умолчанию, адрес DNS-сервера.

256
Одним из аргументов против внедрения IPv6 является способность NAT решать проблему
дефицита адресов IPv4. Использование NAT всего лишь откладывает исчерпание
адресов IPv4 с помощью использования глобальных адресов для крупных внутренних сетей.
Существует несколько негативных последствий NAT, некоторые из которых определены в
документе RFC 2775 и RFC 2993. Их суть в следующем:
NAT нарушает целостную модель IP. IP был создан, чтобы базовые уровни не
обрабатывали соединение. Только конечные устройства обрабатывают соединение.
NAT нарушает работу функций сетевой безопасности между конечными системами. При защите
целостности IP-заголовка какими-либо криптографическими функциями, заголовок нельзя
менять на пути между источником и местом назначения, чтобы обеспечить целостность
принятого пакета. Любые манипуляции с заголовком IP-пакета нарушат его целостность.
Если приложения не рассчитаны на работу с NAT, например, программе необходимо,
помимо сопоставления адреса и порта, дополнительные параметры для передачи пакета
через устройство. В этом случае устройству с NAT потребуется знание всех приложений для
корректной работы NAT. Это особенно актуально для программ с динамическими портами,
встроенными IP-адресами в прикладных протоколах, ассоциациях безопасности и т.д.
Соответственоо, потребуется постояное обновление NAT при появлении нового
приложения, например пиринговых программ.

257
Когда различные сети используют одинаковые адресные пространства и их необходимо
объединить или соединить между собой, то возникает коллизия адресов. Узлы, имеющие
одинковые адреса, не могут взаимодействовать друг с другом. Эта проблема может быть
решена с помощью технологии двойного NAT (Это технология замены адресов источника
и назначения в пакете.). Однако, такие технологии затратны и в перспективе усложняют
NAT.

Характеристики IPv6

Технологии IPv6 включают в себя ряд характеристик, делающих протокол привлекательным

для построения глобальных, масштабируемых и высокоэффективных сетей. Большее
адресное пространство, агрегация, автоконфигурация обеспечивают важные возможности.
Усовершенствованная структура заголовка делает обработку пакетов IPv6 быстрее и
эффективнее на промежуточных маршрутизаторах в сети. Это особенно важно для
магистральных сетей с большим количеством маршрутизируемых пакетов IPv6.
Функции, которые отсутствуют в IPv4, такие как безопасность и мобильность, теперь
встроены в IPv6. IPv6 также включает набор инструментов для упрощенного перехода сети
на IPv6 без перерывов в сервисе.

258
Адресация IPv6

Адрес IPv6 представляет собой последовательность из восьми шестнадцатеричных полей

по 16 бит каждое, разделенных двоеточиями. Буквы A, B, C, D и F не чувствительны к
регистру.
Есть несколько способов сократь запись адресов IPv6:
Нули в начале полей можно опустить, поэтому запись 010F можно сократить до 10F, а 0000
до 0.
Последовательности из нулей можно сократить двойным знаком двоеточия (::), но только
один раз в адресе. Анализатор адреса определяет отсутствующие нули путем разделения
адреса на две части и последующего заполнения нулями до длины в 128 бит. Если
поставить двоеточие больше одного раза, будет невозможно правильно определить
размеры полей с нулями. Поэтому такое сокращение допускается только один раз в
адресе IPv6.
Использование сокращения в виде двойного двоеточия уменьшает размер адреса. К
примеру, адрес FF01:0:0:0:0:0:0:1 становится FF01::1. В данном случае
последовательность из нулей заменяется двойным двоеточием.

259
IPv6 поддерживает три типа адресов:
Одноадресный (Unicast): используется для передачи от одного отправителя к одному
получателю.
Групповой (Multicast): групповой адрес идентифицирует группу интерфейсов. Трафик,
отправленный по такому адресу, передается на несколько пунктов назначения
одновременно. Интерфейс может принадлежать к любому количеству групп.
Ближайший (Anycast): адрес назначется на интерфейсе более чем одного устройства.
Когда пакет отправляется на такой адрес, он маршрутизируетяс на ближайший интерфейс,
имеющий такой адрес. Ближайший интерфейс определяется в соответствии с ближайшей
дистанцией того или иного протокола маршрутизации. Все устройства, имеющие
одинаковый адрес, должны работать одинаковым образом, чтобы запрошенная услуга
оказывалась независимо от устройства.
Каждый тип адреса имеет свои правила относительно структуры и использования.
IPv6 не поддерживает широковещательные адреса, как IPv4. Вместо этого используются
специальные групповые адреса (такие как групповой адрес "все узлы IPv6").

260
Одноадресные IPv6-адреса

261
Существует несколько основных типов одноадресных IPv6 адресов: глобальные,
зарезервированные, приватные, обратной петли и неопределенные.
Документ RFC 4291 определяет адресное пространство 2000::/3 как глобальное, которое
IANA выдает региональным интернет-регистраторам (RIR). Глобальный одноадресный
адрес является адресом из глобального одноадресного префикса. Структура таких
адресов включает агрегацию маршрутных префиксов, которые ограничивают количество
записей в глобальной таблице маршрутизации. Эти адреса используются в каналах
связи, идущих от организаций к провайдерам.
Адреса локального канала являются новшеством в концепции IP-адресации сетевого
уровня. Такие адреса относятся только к определённому физическому подключению.
Адрес начинается с "FE80".
Следующие цифры можно настроить вручную. Если ручная настройка отсутствует, то
автоматически берётся MAС-адрес интерфейса в формате EUI-64.
Так же как и с IPv4, в IPv6 предусмотрен специальный адрес обратной петли для
тестирования. Данные, отправленные на этот адрес, возвращаются к отправителю. Для
этой цели выделен только один адрес, а не блок адресов. Адрес обратной петли
0:0:0:0:0:0:0:1, либо "::1".
В IPv4 адрес со всеми нулями имеет специальное назначение, адрес указывает на сам узел
и используется, когда устройство не знает свой собственный адрес. В IPv6 такой адрес

262
формализован и называется "неопределенным". Такой адрес используется в поле
источника дейтаграммы, отправляемой устройством для поиска и настройки своего IP-
адреса. Адрес состоит из всех нулей, поэтому его можно записать как "::".
IETF зарезервировала блок адресов IPv6 для различных целей, текущих и будущих. Они
составляют 1/256 часть от всего пространства адресов IPv6.
• Наименьший адрес в пределах каждого префикса подсети (идентификатор
интерфейса имеет все нули) разерервирован как anycast-адрес "маршрутизатора
подсети".
• 128 наибольших адресов с префиксом подсети /64 предназначены для anycast-
адресов.

Назначение идентификатора интерфейса в формате EUI-

64

Стандарт EUI-64 объясняет, как расширить IEEE 802 MAC-адрес с 48 до 64 бит, путём
вставки 16 бит 0xFFFE в середину (после 24 бита), чтобы создать 64-битный
идентификатор интерфейса. В первом байте в уникальном идентификаторе организации
(OUI) 7-й бит характеризует уникальность: 0 - глобально уникальный, 1 - локально
уникальный. Большинство установленных на производстве адресов уникальны глобально.
Поэтому 7-й бит будет равен 0. Стандарт EUI-64 также устанавливает правило

263
инвертированности для 7-ого бита. К примеру, MAC адрес 00-90-27-17-FC-0F будет 02-90-
27-17-FC-0F. В результате, EUI-64 адрес в сети 2001:0DB8:0:1::/64 будет
2001:0DB8:0:1:0290:27FF:FE17:FC0F.

Назначение IPv6 адресов

IPv6 адрес может быть указан полностью или же идентификатор узла (последние 64 бита
справа) может быть вычислен с помощью EUI-64 на интерфейсе.
Имея большее адресное пространство, чем необходимо на данный момент, инженеры
разработали функцию автонастройки адреса, сохранив глобальную уникальность.
Маршрутизатор с локального интерфейса отправляет информацию о сети, такую как
префикс и маршрут по умолчанию, всем узлам в сегменте. Хост может автоматически
настраивать адрес, добавляя свой адрес канального уровня (в формате EUI-64) к
префиксу локального канала (64 бита). Автонастройка формирует полный 128-битный
адрес IPv6, пригодный для использования в локальной сети и, возможно, уникальный
глобально. Чтобы исключить коллизию адресов, производится обнаружение дублирования
адресов. Автоконфигурация позволяет устройствам подключаться к сети самостоятельно
без ручной настройки и серверов сохранения состояния (DHCP-серверов). Это важная
функция для внедрения новых устройств в сети Интернет, таких как мобильные телефоны,
беспроводные устройства, бытовое оборудование, домашние сети и т.д.

264
Автоконфигурация может быть выполнена двумя способами: stateless - через обнаружение
соседей и обновляния маршрутизатора, а также statefull, используя DHCPv6-сервер. Отличие
состоит в том, что при способе statefull сохраняются записи о том, какие адреса каким узлам
присвоены. При автоконфигурации stateless такие записи не поддерживаются.
Обновления маршрутизатора могут указывать хостам, доступны ли дополнительные параметры
через statefull настройку (DHCPv6), такие как DNS, параметры IP и так далее. DNS - это
распределенный сервис доменных имен сети Интернет, предназначенный для перевода доменных
имен в IP адреса и обратно. DNS-протокол требует обновления для поддержки IPv6. Используя
технологию динамического DNS (DDNS), клиенты DHCPv6 могут автоматически обновлять свои
записи в DNS.

265
Занятие 2: Общие сведения об
IPv6
Обзор
Формат заголовка любого IP-пакета содержит важную информацию для маршрутизации и
обработки его содержимого. Конструкция заголовка играет важную роль для
эффективности и расширяемости сети. ICMP играет важную роль для решения проблем в
сети, обеспечивая такие инструменты как ping, или обнаружение невозможности для пакета
достигнуть места назначения. Данное занятие описывает работу IPv6 и ICMPv6.
Любое устройство, подключаемое к сети, проходит несколько процессов для
самоидентификации и получения сервисов от сети. Данное утверждение верно для сетей IPv4
и IPv6. Однако люди, проектирующие и управляющие сетями IPv6, обнаружат отличия в

266
процессах их работы, хотя они имеют и схожие черты. Понимание этих процессов
является главным условием для надлежащей поддержки среды IPv6.
Данное занятие описывает процесс обнаружения соседей по IPv6, в котором узлы ищут
друг друга и производят автоконфигурацию адресов. Также урок затрагивает
автоконфигурацию без сохранения состояния, позволяющую устройствам получить IPv6-адрес
в сети автоматически.

Изменения в заголовке IPv6 и его преимущества

Заголовок IPv4 содержит 12 полей. За ними идёт поле "Опции" переменной длины
(выделено коричневым цветом) и поле "Область данных", обычно это сегмент
транспортного уровня. Стандартный размер заголовка IPv4 имеет размер 20 Байт. Поле
"Опции" увеличивает размер заголовка IP.
Из приведённых 12 полей, 6 полей удалены в IPv6 протоколе (выделены зелёным на
рисунке). Основные причиные их удаления следующие:
Поле "Длина заголовка" (Hd Len) удалено по причине фиксированной длины заголовка
IPv6 (40 Байт), в отличие от заголовка IPv4, где длина переменная.
Фрагментация теперь работает иначе и не требует поля в основном IP-заголовке. В IPv6
маршрутизаторы не обрабатывает фрагментацию, что устраняет связанные с ней
проблемы, имеющиеся в IPv4. Соответсвтенно, поля, которые были удалены, содержатся в
фрагментационном заголовке расширения IPv6, который прилагается к пакету только в
случае его фрагментации.
Поле "Контрольная сумма" заголовка третьего уровня удалено из-за имеющихся на втором
уровне технологий расчета контрольной суммы данных и контроля за ошибками, и потому

267
что надёжность второго уровня весьма высока. Однако, удаление этого поля делает
обязательным параметр проверки суммы на верхних уровнях, например для UDP.
Поле "Опции" изменено в протоколе IPv6 и теперь обрабатывается цепочкой заголовков
расширения.
Большинство остальных полей не изменились, или изменились незначительно.

Заголовок IPv6 имеет размер 40 байт, в отличие от 20 байт в IPv4. IPv6 заголовок
включает меньшее количество полей и выравнивается по границе 64 бита для быстрой
обработки текущими процессорами и процессорами следующего поколения.
Заголовок IPv6 содержит 8 полей:
1. Версия (Version): данное 4-битовое поле имеет значение 6, вместо 4 в IPv4.
2. Класс трафика (Traffic Class): поле в 8 бит, такое же, как ToS в IPv4.
3. Метка потока (Flow Label): новое поле в 20 бит, служащее для маркировки отдельных
потоков данных уникальными значениями, по которым маршрутизатор может проводить
различную обработку для разных потоков.
4. Размер поля данных (Payload Length): поле похоже на Total Length в IPv4. Но, поскольку
в IPv6 заголовок фиксированной длины, здесь оно определяет только размер поля данных.
5. Следующий заголовок (Next Header): значение поля определяет тип информации,
который следует за базовым заголовком IPv6.

268
6. Ограничение переходов (Hop Limit): поле задаёт максимальное значение переходов для
IP пакета.
7. Адрес отправителя (Source Address): 128-битное поле, определяющее адрес источника IP
пакета.
8. Адрес получателя (Destination Address): 128-битное поле, определяющее адрес
назначения IP пакета.
После этих 8 полей следуют заголовки расширения, которые содержат дополнительные
параметры третьего уровня. Число заголовков расширения не ограничено, поэтому полный
размер их цепочки имеет переменную длину.

ICMP v6

ICMPv6 похож на ICMPv4. Он позволяет узлам проводить диагностику, тестирование и

сообщать о проблемах. Также как ICMPv4, ICMPv6 реализует два типа сообщений:
ошибки (Сеть назначения недоступна, пакет слишком велик, превышен интервал
ожидания для запроса), информационные сообщения (эхо запрос\ответ) ICMPv6 пакет
имеет код 58 в поле "Следующий заголовок". Внутри пакета, поле "Тип" определяет тип
сообщения ICMP. Поле "Код" также содержит информацию о типе сообщения. Поле
"Данные" содержит информацию для получателя в информационных целях или для
диагностики. ICMPv6 используется на канале маршрутизатора для сообщений, таких как
запросы к маршрутизатору и обновления маршрутизатора, запросы к соседу и соседские
269
обновления (получение адресов второго уровня для IPv6 соседей) и для перенаправления
узлов к наиболее подходящему шлюзу.

Обнаружение соседей

Функция обнаружения соседей используется для отправки запросов к маршрутизатору и

обновлений маршрутизатора, запросов к соседям, соседских обновлений и для
перенаправления узлов к наиболее подходящему шлюзу.
Обнаружение соседей - это процесс, выполняющий следующие функции:
• Определение адреса канального уровня соседа, который находится на том же канале, как
это делает ARP в IPv4.
• Поиск соседних маршрутизаторов.
• Отслеживание соседей.
Работа функции обнаружения соседей обеспечивается с помощью ICMPv6 и групповой
рассылки IPv6.

Автоконфигурация без сохранения состояния

270
Обновления маршрутизатора рассылаются периодически и по запросу со всех
настроенных интерфейсов. Рассылака происходит по групповому адресу всех узлов. В
сообщениях содержится информация:
Один или несколько префиксов могут быть использованы на канале. Эта информация
включает автоконфигурацию без сохранения состояния для хостов. Эти префиксы должны
быть /64 для автоконфигурации без сохранения состояния. Срок действия префиксов. По
умолчанию в программном обеспечении Cisco IOS допустимое время жизни префиксов
составляет 30 дней, а предпочитаемое время жизни - 7 дней. Флаги определяют тип
автоконфигурации, которую могут выполнять хосты.
Информация о маршрутизаторе по умолчанию, такая как его наличие и время жизни.
Другие параметры, такие как размер MTU и количество переходов.
Рассылая префиксы, обновления маршрутизатора активируют автоконфигурацию для
хостов. Задавая срок действия для префиксов, маршрутизатор заставляет хосты измененять
адресацию.
Время жизни старого префикса уменьшается до нуля, и новый префикс будет иметь нормальное
время жизни.
Интервалы обновления и другие параметры могут быть настроены на маршрутизаторе.

271
Обновления маршрутизатора рассылаются сразу, по факту получения запроса. Эти
запросы посылаются хостами во время их загрузки, чтобы запросить у маршрутизаторов
обновления на локальном канале и получить данные об автоконфигурации без
дополнительного ожидания следующих обновлений.
Пакет запроса к маршрутизатору выглядит следующим образом:
Тип ICMP 133
Адрес источника - неопределенный адрес (или это IP-адрес, назначенный на
отправляющий интерфейс, когда он известен, чего обычно не бывает)
Адрес назначения - групповой адрес всех узлов в пределах приватного диапазона.
Когда отправляются ответы на запросы, адресом назначения для обновлений
маршрутизатора является одноадресный (unicast) адрес хоста, запросившего эти обновления.
Во избежание массовой рассылки, запросы маршрутизатору должны рассылаться только
во время ̀загрузки и только три раза. Такая практика позволяет избежать рассылки большого
количества запросов при отсутствии маршрутизатора в сети.

272
Ниже представлена команда, которая включает автоконфигурацию без сохранения состояния
на интерфейсе
Команды настройки автоконфигурации без сохранения состояния

Лабораторная работа 27: Базовые конфигурации протокола IP v6

Введение
В данной лабораторной работе мы будем изучать конфигурации IP v6 в маленькой сети,
содержащий три маршрутизатора и три хоста. Топология и адреса сети приведены ниже. В сети
полностью работают протоколы IP v4 и RIP. Кроме того, IP v6 сконфигурирован на IP v6 R2 и PC2. В
ходе выполнения данной работы вы должны будете поднять IP v6 на оставшихся устройствах сети.
Вначале вы должны сконфигурировать статические адреса IP v6 на R1 и R3. Отметим, для
простоты, что статические IP v6 адреса в сегментах лабораторной сети (всего их 6), отличаются
друг от друга только двумя байтами. Все начинаются с 2001:DB8:0000:00. Восьмой байт закачивает
64-х битный префикс, описывающий сетевой номер сегмента сети, и имеет значения (01, 02, 03,
04, 05, или 06). Следующие 7 байт равны 00. Последний байт определяет адрес хоста в сети; в
данном примере этот байт равен либо 01, либо 02.
После конфигураций R1 и R3 в статическом ключе, необходимо обеспечить автоматическую
конфигурацию на РС1 и Srv1. И закончится все возможной проверкой доступности соседних
элементов в сети.

273
Топология

Поддержка лабораторной работы

Информация об устройствах

274
275
276
 Задача 1: Конфигурация IP v6 адресов
Шаги конфигурации
Шаг 1. На маршрутизаторе R1 включите поддержку протокола IP v6

Шаг 2. На R1 настройте адрес на интерфейсе, который подключает этот маршрутизатор к R2

Шаг 3. Проверьте наличие связи между R1 и R2

Шаг 4. Сконфигурируйте на R1 адреса на оставшихся интерфейсах.

Шаг 5. На R3 включите поддержку протокола IP v6

277
Шаг 6. На R3 настройте адрес на интерфейсе, который связывает его с R1, и проверьте связь между
этими устройствами

Шаг 7. На R3 настройте адрес на интерфейсе, который связывает его с R2, и проверьте связь между
этими устройствами

Шаг 8. На R3 настройте адрес на интерфейсе, который связывает его с РС3

Шаг 9. Просмотрите адреса на интерфейсе Е0/2 маршрутизатора R3

Шаг 10. Проверьте IP v6 адреса на R3

Видно, что на каждом из трех интерфейсов настроено по два IP v6 адреса. Тот, который мы не
конфигурировали - link-local address, который назначается автоматически. Этот адрес всегда
начинается с FE80::/10, и использует стандарт EUI-64 для конфигурирования хостовой части
адреса. Данный стандарт использует МАС адрес интерфейса, добавляя в него значения FFFE.

278
На сериальном интерфейсе МАС адрес естественно отсутствует. Для него используется МАС
Ethernet интерфейса. В результате на маршрутизаторе образуется несколько одинаковых link-local
address на разных интерфейсах. Это не приводит к проблемам, поскольку данный адрес должен
быть уникален только локально.
Ша 11. На R1 отобразите полную информацию, относящуюся к интерфейсу Е0/0

Задача 2. Сконфигурируйте механизм автоматического назначения

адресов IP v6
Шаги конфигурации
Шаг 1. На Srv1 просмотрите МАС адрес

Шаг 2. На Srv1 настройте автоматическое получение адреса

Шаг 3. Проверьте наличие адресов на этом устройстве

Шаг 4. Просмотрите таблицу маршрутизации для изучаемого протокола

279
Обратите внимание на маршрут по умолчанию, организованный через link-local address
Шаг 5. Его наличие подразумевает, что Srv1 получил доступ к адресам R3. Проверьте это

Шаг 6. Однако, на адреса других маршрутизаторов доступ по прежнему отсутствует.

Поверьте это (не понимаю, зачем проверять очевидное утверждение).

Шаг 7. На РС1 настройте автоматическое получение адреса

Шаг 8. Проверьте наличие адресов на этом устройстве

Шаг 9. Просмотрите таблицу маршрутизации для изучаемого протокола

280
Шаг 10. Проверьте наличие связи этого устройства с интерфейсами R1

На этом лабораторная работа считается завершенной.

281
Занятие 3: Конфигурирование статических маршрутов для
протокола IP v6

282
Введение
Необходимо научиться конфигурировать статические маршруты в сети, поддерживающий
протокол IP v6.

Маршрутизация для IP v6
Точно также как и для протокола IP v4, для IP v6 нужны способы заполнения таблиц
маршрутизации для того, чтобы маршрутизаторы могли обслуживать входящий трафик.

Точно также как и для протокола IP v4, большая часть протоколов маршрутизации для IP v6
относится к группе IGP. Только один протокол, - BGP относится к группе EGP.
Эти протоколы работают также как аналогичные протоколы для IP v4, но полностью
независимы от них.
Кроме их использования вы также может использовать статические маршруты для
заполнения таблицы маршрутизации вручную. Однако есть особенность присущая только
протоколу IP v6, и описанная в RFC 2461, в котором сказано, что маршрутизатор должен
быть способен определять link-local address интерфейса соседнего маршрутизатор. Это
означает, что использование глобально уникального адреса интерфейса соседнего
маршрутизатора в качестве next-hop address не рекомендуется.

Конфигурация статических маршрутов для IP v6

Конфигурирование статических маршрутов для протокола IP v6 осуществляется в той же
манере, что и для протокола IP v4, но имеет следующую особенность. В команде
конфигурации одновременно указывается адрес соседнего интерфейса, и тип и номер
своего интерфейса. При этом конфигурацию можно выполнять тремя разными способами,
приведенными ниже:

283
 Пример конфигурации статической маршрутизации

Ниже представлены команды для настройки статических маршрутов и маршрутов по

умолчанию для IPv6.
Команды настройки статической маршрутизации IPv6

284
285
Ниже представлены команды проверки статической маршрутизации IPv6.
Команды проверки статической маршрутизации IPv6

Лабораторная работа 28: Конфигурирование статических

маршрутов для протокола IP v6.
Введение.
В этой лабораторной работе вы должны сконфигурировать статические маршруты для
протокола IPv6 между R1 и R3, и проверить связь между РС1 и Srv1. Кроме того, вы будете
конфигурировать статический маршрут по умолчанию на РС1.

286
Топология

Поддержка лабораторной работы

Информация об устройствах

287
288
289
Задача 1: Конфигурирование маршрута по умолчанию на РС1
Шаги конфигурации
Шаг 1. На РС 1 удалите адрес, который был присвоен в автоматическом режиме, и
присвойте адрес статически

Шаг 2. Сконфигурируйте на этом устройстве маршрут по умолчанию.

Шаг 3. Проверьте теперь таблицу маршрутизации

Задача 2: Конфигурация статических маршрутов для протокола

IPv6

Шаги конфигурации
Шаг 1. На R3 сконфигурируйте статический маршрут в сеть 2001:db8:0:1::/64 c помощью
адреса интерфейса s0/0 маршрутизатора R1 (2001:db8:0:4::/64).

Шаг 2. Проверьте таблицу маршрутизации

290
Шаг 3. Теперь проверьте доступность РС1 с R3

Шаг 4. Для того, чтобы обеспечить связь между РС1 и Srv1, на R1 нужен также статический
маршрут в сеть 2001:db8:0:3::/64.

Шаг 5. Проверьте доступ между выше описанными устройствами

Шаг 6.

Шаг 7.

291
На этом лабораторная работа считается завершенной.

292
293