ГЛАВА 1.

ВВЕДЕНИЕ В СЕТИ TCP/IP

Сетевая модель TCP/IP
Сетевая модель – исчерпывающий набор документов. По отдельности каждый документ описывает
одну небольшую функцию сети; совместно эти документы определяют все, что необходимо для работы
компьютерной сети. Некоторые документы описывают протокол, представляющий собой набор
логических правил, которые должны соблюдать устройства. Другие документы определяют
физические требования к сети (например, уровни напряжения тока в кабеле при передачи данных).
Модель TCP/IP описывает множество протоколов, позволяющих компьютерам взаимодействовать. Что
бы упростить изучение сетевых моделей, каждая из них разделена на несколько функциональных
разделов, называемыми уровнями(layer). Каждый уровень включает протоколы и стандарты,
относящиеся к данному функциональному разделу.

Таблица 1 – 1 Структурная модель TCP/IP и примеры протоколов

Уровень модели TCP/IP Примеры протоколов

Приложений HTTP, POP3, SMTP и др
Транспортный TCP, UDP
Интернета(сетевой) IP
Доступа к сети(канальный) Ethernet, PPP, T1

1. Уровень приложений. Вкратце уровень приложений представляет собой интерфейс между

программным обеспечением компьютера и сетью. (например, работа в браузере)

2. Транспортный уровень. Двумя наиболее популярными протоколами являются протокол

управления передачей (TCP) и протокол пользовательских дейтограмм (UDP). Протоколы
транспортного уровня представляют службы протоколам уровня приложений, которые в
модели TCP/IP располагаются на один уровень выше. Так протокол TCP представляет службу
восстановления при ошибках. Для восстановления после ошибок протокол TCP использует
концепцию подтверждений.

a. Предоставление служб на уровень выше называется функцией взаимодействия на

смежных уровнях (adjacent-layer interaction), которая описывает концепцию
взаимодействия смежных уровней сетевой модели на том же компьютере. Например,
протокол более высокого уровня HTTP ожидая восстановление после ошибки, просит
об этом протокол следующего, нижнего уровня (TCP) и протокол нижнего уровня
предоставляет службу уровню выше него.

b. Существует так же функция взаимодействия на равноправных уровнях (same-layer

interaction). Это процесс, в ходе которого два общающихся по сети компьютера
передают и интерпретируют информацию, используемом тем же уровнем.

TCP HTTP Данные

SEQ = 1 ОК Web
1
 3. Сетевой уровень. Основным протоколом сетевого уровня является протокол интернета
(Internet Protocol - IP). Протокол IP предоставляет несколько средств, наиболее важным из
которых являются адресация и маршрутизация. Протокол IP определяет адреса для каждого
компьютера или хоста сети. На сетевом уровне происходит выбор наилучшего маршрута и
пересылка пакета.

Получатель,
отправитель
TCP HTTP Данные
IP Данные

4. Канальный уровень. Стандартизирует аппаратное обеспечение и протоколы, используемые

для передачи данных по разным физическим сетям. Термином канала связи(link) называют
физические соединения (или каналы) между двумя устройствами и протоколы, используемые
для управления этими каналами. Уровень канала связи TCP/IP включает две разные функции:
физическая передача данных, а также протоколы и правила, контролирующие использование
физической сети. Уровень канала связи включает все варианты протоколов Ethernet и так же
популярные стандарты распределенной сети (WAN) для различных физических сред, которые
отличаются от стандартов LAN в связи с большей длинной дистанций. Например, добавление
заголовков и концевиков, а также протоколы, как протокол двухточечного соединения (PPP) и
Frame Relay.

IP TCP HTTP Данные

Заголовок Данные Концевик

Терминология инкапсуляции данных

Из приведенного описания (см. выше), что каждый протокол на своем уровне добавляет собственный
заголовок, а для протокола канала связи еще и концевик, к каждому блоку данных от вышестоящих
уровней. Этот процесс называется Инкапсуляция.

Рисунок 1 – 1 Пять этапов инкапсуляции данных на передающем хосте.

Данные Приложений

TCP Данные Сегмент Транспортный

IP Данные Пакет Сетевой

Канал Данные Канал Фрейм Канальный

Передача битов Физический

2
Каждый из перечисленных терминов (сегмент, пакет, фрейм) описывает инкапсуляцию данных на
соответствующем уровне, т.е. добавление заголовка нужного уровня и, возможно концевика.

Сравнение моделей OSI и TCP/IP

С точки зрения фундаментальных концепций эталонная модель OSI очень похожу на эталонную модель
TCP/IP. На сегодняшний день модель OSI используется в качестве эталона для сравнения с другими
моделями.

Рисунок 1 – 2 Модель OSI по сравнению с двумя другими моделями TCP/IP.

OSI TCP/IP TCP/IP

7 Приложений
6 Представления Приложений 5-7 Приложений
5 Сеансовый
4 Транспортный Транспортный 4 Транспортный
3 Сетевой Сетевой 3 Сетевой
2 Канальный 2 Канальный
Канала связи
1 Физический 1 Физический

Таблица 1 – 3 Функции уровней эталонной модели OSI, а также примеры устройств и протоколов

Уровень Описание функций Протоколы и Устройства

спецификации
7 Уровень приложений. Обеспечивает взаимодействие Telnet, HTTP, Хосты,
приложений и сети. FTP,SMTP,POP3, брандмауэры
6 Уровень представления – уровень соглашений о VoIP, SNMP
форматах данных, таких как текст или изображений.
5 Сеансовый уровень предоставляет методы для
группировки разнообразных двунаправленных
сообщений в рабочий цикл, что бы упростить
управление и возобновление работы в случае отказа
4 Транспортный уровень сосредоточен на передачи TCP,UDP Хосты,
данных между двумя конечными хостами брандмауэры
3 Сетевой уровень, определяет логическую адресацию, IP Маршрутизатор
маршрутизацию и протоколы маршрутизации для
изучения маршрутов а так же определяет сквозную
маршрутизацию данных
2 Канальный уровень определяет протоколы передачи Ethernet(IEEE Коммутатор
данных по одному конкретному типу физической сети 802.3), HDLC локальной сети,
точка доступа,
кабельный и DSL
модем
1 Физический уровень определяет физические RJ-45, Концентратор
характеристики среди передачи данных, включая Ethernet(IEEE LAN, повторитель
разъёмы, контакты, электрических токов, кодирования, 802.3) LAN, кабель
модуляции

3
В модели OSI при инкапсуляции блока данных(PDU) используется обозначения PDU уровня х (LхPDU),
где х - обозначается уровень, обсуждаемый в данный момент.

Рисунок 1 – 3 Терминология инкапсуляции модели OSI

4
ГЛАВА 2. ОСНОВЫ ЛОКАЛЬНЫХ СЕТЕЙ
Практически любую корпоративную и локальную компьютерную сеть можно разделить по типу
технологии на две части: локальную сеть (Local-Area-Network) и распределённую сеть (Wide-Area
Network). На сегодняшний день используются два типа локальных сетей: Локальные сети Ethernet и
беспроводные локальные сети. Локальные сети Ethernet используют для каналов связи между узлами
кабели, в которых, как правило, используется медные провод, поэтому локальные сети Ethernet
зачастую называют проводными локальными сетями (wired LAN). Беспроводные локальные сети
используют радиоволны.

Термин Ethernet относится к всему семейству стандартов LAN, совместно определяющих физические и
канальные уровни наиболее популярной в мире проводной технологии LAN. Стандарт Ethernet
определяет только проводную технологию LAN.

Таблица 2 – 1 Некоторые из типов локальных сетей

Скорость Общеизвестное Неофициальное Официальное Тип кабеля,

название название название максимальная
стандарта IEEE стандарта IEEE длинна(м)
10 Мбит/с Ethernet 10BASE-T 802.3 Медный, 100
100 Мбит/с Fast Ethernet 100BASE-T 802.3u Медный, 100
1000 Мбит/с Gigabit Ethernet 1000BASE-LX 802.3z Оптический, 5000
1000 Мбит/с Gigabit Ethernet 1000BASE-T 802.3ab Медный, 100
10 Гбит/с 10 Gig Ethernet 10GBASE-T 802.3an Медный, 100

Хотя технология Ethernet имеет много стандартов физического уровня, она действует как единая
технология LAN, поскольку использует единый стандарт канального уровня для всех типов физических
каналов связи Ethernet. Этот стандарт определяет единый для всех заголовок и концевик Ethernet.
Заголовок и концевик канала связи имеют одинаковый формат. Стандарты физического уровня
сосредоточены на передачи битов по кабелю, протоколы канала связи Ethernet – на передачи фреймов
Ethernet. С точки зрения канала связи узлы создают и пересылают фреймы. Сам фрейм относится к
заголовку и концевику протокола канала связи, заключающим между собой данные.

Построение физических сетей Ethernet на базе UTP

Термин канал связи Ethernet относится к любому физическому кабелю между двумя узлами Ethernet.
Физический канал связи завершается портом Ethernet узла или портом RJ-45 на конце кабеля. Для
правильной передачи по каналу связи провода в кабеле UTP должны быть подключены к правильным
контактным площадкам разъемов RJ-45. Как правило, передатчики сетевой платы используют пару,
подключенную к контактам 1 и 2; получатель сетевой платы использует пару проводов на контактных
площадках 3 и 6. Прямой кабель Ethernet соединяет провод на контакте 1 одного конца кабеля с
контактом 1 на другом конце кабеля; контакт 2 на одном конце – с контактом 2 на другом и т.д.
(Компьютер – коммутатор).
5
Стандарты 10BASE-T и 100BASE-T подразумевают использование двух пар проводов кабеля UTP; по
одной для каждого направления.

Рисунок 2 – 1 Принцип передачи по электрическим каналам между двумя узлами

Чтобы сетевая плата компьютера могла общаться с коммутатором, кабель UTP должен использовать
схему расположения выводов прямого кабеля (straight-through cable pin out).

Рисунок 2 – 2 Схема расположения выводов прямого кабеля

Когда два устройства соединены каналом связи Ethernet, оба они передают по одним и тем же
контактам. В таком случае необходим перекрещенный кабель (crossover cable). Кабель должен
соединить пару контактов 3 и 6 ка каждой стороне с контактами 1 и 2 на противоположной, чтобы
соединить передатчики с приемниками.

6
Рисунок 2 – 3 Схема перекрещенного кабеля

Итак:

 Перекрещенный кабель – если конечные точки передают на той же паре контактов.

 Прямой кабель – если конечные точки передают на разных парах контактов.

Таблица 2 – 2 Устройства, передающие на проводной паре 1,2 и паре 3,6

Передача на контактов 1,2 Передача на контактах 3,6

Сетевые адаптеры персонального компьютера Концентраторы
Маршрутизаторы Коммутаторы
Беспроводные точки доступа -------

Схема расположения выводов кабеля 1000BASE-T отличается от таковой у кабелей 10BASE-T и 100BASE-
T. Прямой кабель соединяет между собой все восемь контактов с одинаковыми номерами.
Перекрещенный кабель перекрещивает те же двухпроводные пары, что и перекрещенный кабель
других типов Ethernet (пары 1,2 с парой 3,6), а также две новые пары 4,5 с парой 7,8.

Протоколы канала связи Ethernet.

Одним из преимуществ семейства протоколов Ethernet является то, что они используют единый
стандарт канала связи. Протокол канала связи Ethernet определяет формат фрейма Ethernet: сначала
заголовок (Ethernet header), в середине – передаваемые данные и в конце – концевик (Ethernet trailer).

7
Рисунок 2 – 4 Наиболее популярный формат фрейма Ethernet

Таблица 2 – 3 Поля в заголовке и концевике фрейма стандарта IEEE 802.3

Поле Длина поля в байтах Описание или функция

Преамбула(preamble) 7 Синхронизация
Разделитель начала фрейма 1 Сигнализирует о начале фрейма.
SFD(Star Frame Delimiter) Следующий байт – первый байт в адресе
получателя
MAC – адрес получателя 6 Задает получателя фрейма
MAC – адрес отправителя 6 Задает отправителя фрейма
Тип 2 Определяет тип протокола, помещенного во
фрейм(IPv4, IPv6)
Данные и заполнение 46-1500 Содержит данные верхних уровней, обычно
блок L3PDU
Контрольная сумма фрейма 4 Используется для проверки фрейма на
FSC(Frame Check Sequence) целостность и отсутствие ошибок

Адреса Ethernet, называемые так же адресами контроля доступа к среде передачи (Media Access
Control –MAC), или MAC адресами, являются двоичными числами длинной 6 байтов (48 битов).
Большинство MAC адресов идентифицирует одну сетевую плату или даже один порт Ethernet.
Изготовитель присваивает всем своим сетевым платам MAC – адреса, начинающиеся с 3-х байтового
OUI. OUI – Organizationally Unique Identifier (уникальный идентификатор организации).

Рисунок 2 – 5 Формат MAC –адресов Ethernet

8
Кроме одноадресатных адресов, технология Ethernet использует так же адреса групп. Адрес группы
(Group address) идентифицирует несколько интерфейсных плат LAN. Посланный на адрес группы
фрейм может быть доставлен некоему набору устройств в локальной сети или даже всем
устройствам.

 Широковещательный адрес – фреймы, посланные по этому адресу, должны быть доставлены

всем устройствам сети Ethernet.

 Много адресный адрес(multicast) – фреймы, посланные по этому адресу, должны быть

скопированы и перенаправлены на то подмножество устройств, которые добровольно
соглашаются получать фреймы, отправленные на определенный многоадресный адрес.

Хост отправителя имеет возможность вставить в заголовок (поле Тип) значение (шестнадцатеричное
число), идентифицирующее тип пакета, инкапсулируемого во фрейме Ethernet.

 Type = 0800 (IPv4)

 Type = 86DD (IPv6)

Контрольная сумма фрейма FCS (Frame Check Sequence) – единственное поле в концевике Ethernet –
позволяет получающему узлу сравнить полученный результат с отправленным и выяснить, не
произошло ли ошибки. При обнаружении ошибок, фрейм с ошибкой просто отбрасывается без попыток
его восстановления.

Режимы передачи в современных локальных сетях

 Полудуплексный режим. Логика передачи, при которой порт отправляет данные, только когда
он не получает данные. Другими словами, нельзя одновременно передавать и получать
данные.

 Дуплексный режим. Отсутствие полудуплексного ограничения.

Узлы, использующие полудуплексную логику, фактически используют известный алгоритм CSMA/CD –

множественный доступ с контролем несущей и обнаружением конфликтов. Алгоритм заботится не
только об очевидных случаях, но также о проблемах вызванной неудачной синхронизацией.

9
ГЛАВА 3. ОСНОВЫ WAN И IP - МАРШРУТИЗАЦИИ
Большинство сетевых технологий уровня 1 и 2 относятся к одной из двух основных категорий:
распределённые сети WAN и локальные сети LAN. Поскольку и локальные и глобальные сети
соответствуют уровням 1 и 2 модели OSI, у них много сходств.

 Для подключения локальной сети нового здания к остальной части существующей

корпоративной сети необходима сеть WAN

 Служба выделенной линии передает биты в обоих направлениях на заранее определенной

скорости в дуплексном режиме. Концептуально она действует как дуплексный перекрёстный
кабель между двумя маршрутизаторами

Кабельная проводка выделенной линии

На каждой площадке установлено клиентское оборудование (Customer Premises Equipment – CPE),
включающее маршрутизатор, плату последовательного интерфейса и модуль CSU/DSU.
Маршрутизатор использует плату последовательного интерфейса, действующую подобно сетевой
плате Ethernet, посылающей и получающей данные по физическому каналу связи. Физическому каналу
связи требуется модуль обслуживания канала и данных (Channel Service Unit/Data Service Unit –
CSU/DSU). Он может быть интегрирован в плату последовательного интерфейса маршрутизатора или
представлять собой внешнее устройство.

Рисунок 3 – 1 Типичная схема кабельной проводки CPE для выделенной линии

Последовательные кабели, соединяющие маршрутизатор с внешним модулем CSU/DSU, называется

кабелями терминального оборудования (Data Terminal Equipment – DTE). Для создания физического
канала связи WAN в лабораторных условиях необходимы два последовательных кабеля: DTE кабель и
кабель аппаратуры передачи данных (Data Communications Equipment – DCE). И наконец, что бы канал
связи заработал, маршрутизатор с установленным кабелем DCE должен выполнять функцию CSU/DSU
блока. Этот блок обычно обеспечивает синхронизацию, указывая маршрутизатору, когда именно
передавать по последовательному кабелю каждый бит (настроить синхронизацию можно командой
clock rate).

10
Выделенная линия представляет службы уровня 1. Наиболее популярным протоколом используемый
для выделенных линий между двумя маршрутизаторами, являются высокоуровневый протокол
управления каналом (High Level Data Link Protocol – HDLC) и протокол двухточечного соединения (Point
–to – Point Protocol – PPP).

Основы протокола HDLC

Протокол HDLC обладает палями и функциями подобными Ethernet.

Таблица 3 – 1 Сравнение полей заголовка Ethernet и HDLC

Поле заголовка и концевика HDLC Эквивалент Ethernet Описание

Flag (флаг) Preamble (преамбула) Содержит распознаваемую
битовую схему, уведомляющую
получающий узел о поступлении
нового фрейма
Address (адрес) Destination Идентифицирует устройство
address(адрес получателя
получателя)
Control (контроль) Нет Обычно предназначен для более не
используемой связи между
маршрутизаторами
Type (тип) Type (тип) Идентифицирует пакет уровня 3,
инкапсулируемого во фрейме
FCS (контрольная сумма фрейма) FCS (контрольная сумма Используется для проверки фрейма
фрейма) на целостность и отсутствие ошибок

Ethernet как технология WAN

В настоящее время, большинство провайдеров предлагают службы WAN на базе Ethernet. Клиент
подключается к каналу связи Ethernet через интерфейс маршрутизатора. Оптоволоконный кабель
канала связи Ethernet соединяет здание клиента с ближайшим представительством провайдера служб.
Используемая служба WAN Ethernet известна под двумя названиями: эмуляция Ethernet (Ethernet
emulation) и Ethernet поверх MPLS (Ethernet over MPLS – EoMPLS). Служба EoMPLS относится к мульти
протокольной коммутации по меткам (Multiprotocol Label Switching –MPLS) и обеспечивает следующее:

 Двухточечное соединение между двумя устройствами клиента;

 Поведение, как будто между этими двумя устройствами существует оптоволоконный канал связи
Ethernet.

11
Рисунок 3 – 2 Служба EoMPLS как простой канал связи Ethernet между двумя маршрутизаторами

Маршрутизация по каналу связи EoMPLS все еще подразумевает использование сети WAN как способ
перенаправления пакетов IP с одной площадки на другую. Канал связи EoMPLS использует Ethernet и
для функций уровня 1, и уровня 2. Это означает, что канал связи использует те же, уже знакомые
заголовок и концевик Ethernet. Обратите внимание что заголовок и концевик канала связи между
хостом и маршрутизатором и двумя маршрутизаторами внутри WAN будут разными. Каждый
маршрутизатор отказывается от прежнего заголовка/концевика канала связи и добавляет новые.

Каналы связи для доступа к Интернету

Интернет использует множество каналов связи WAN. Исторически компании предпочитают
использовать в качестве каналов связи интернета набор технологий WAN, а домашние пользователи –
другие технологии.

Рисунок 3 – 3 Три примера каналов связи Интернета

Цифровой абонентский канал (Digital Subscriber Line – DSL) позволяет создать относительно короткий
(несколько км) высокоскоростной канал связи WAN между клиентом телефонной компании и ISP
(Internet Service Providers). Для установки службы DSL в доме следует установить устройства DSL и дома
и на телефонной станции. Совместно оборудование DSL на каждой стороне способно одновременно
отправлять данные и поддерживать голосовой трафик. Домашний маршрутизатор должен быть в
состоянии обмениваться данными с интернетом. Для этого на телефонной станции используется
12
мультиплексор доступа DSL (DSL Access Multiplexer – DSLAM). Технология DSL поддерживает
асимметричные скорости, т.е. скорость передачи от ISP к клиенту намного выше, чем обратно.

Рисунок 3 – 4 Кабельная проводка и устройства DSL в доме

Кабельный Интернет
Служба доступа к Интернету по кабелю в общих чертах похожа на DSL. Подобно DSL, кабельный
интернет использует уже существующую кабельную проводку (телевизионный кабель). Как и DSL,
кабельный интернет использует ассиметричные скорости. Кабельный интернет использует те же
базовые концепции кабельной проводки в доме, что и DSL. Только устройства DSL заменены
устройствами кабельного интернета, телефонная линия – коаксиальным кабелем, а модем DSL –
кабельным модемом.

IPv4-адресация и маршрутизация
Сетевой уровень модели TCP/IP (уровень 3) определяет правила доставки (следования пакетов)
пакетов IP от первоначального устройства, создавшего пакет, на устройство его получателя. Протокол
IP отвечает за маршрутизацию данных в форме пакетов IP от хоста отправителя к хосту получателя.
Протокол IP определяет логические детали передачи данных, а не физические.

Логика хоста: что бы послать пакет IP на стандартный маршрутизатор, отправитель посылает фрейм
канала связи через передающую среду на соседний маршрутизатор; этот фрейм содержит пакет части
данных. Для гарантии получения фрейма соседним маршрутизатором используется адрес канального
уровня (МАС адрес, уровень 2), находящийся в заголовке канала связи. Когда маршрутизатор получает
пакет, он сравнивает IP адрес получателя пакета с записями в таблице маршрутизации (каждый
маршрутизатор хранит таблицу маршрутизации) и находит соответствие. Найденная запись содержит

13
список направлений, указывающий маршрутизатору, куда перенаправить пакет далее. Процесс
маршрутизации перенаправляет пакет сетевого уровня из конца в конец сети, а каждый фрейм канала
связи – только на своем участке, так как каждый маршрутизатор создает новые заголовки и концевики
на своем участке сети. Короче говоря, сетевой уровень решает общую задачу: как переслать пакет на
следующее заданное устройство, а канальный уровень заботится о специфических особенностях: как
инкапсулировать этот пакет во фрейме канала связи и передать его. Маршрутизация, в своей основе
имеет две главные идеи.

 Процесс маршрутизации перенаправляет пакеты третьего уровня, которые так же называются

блоками данных протокола уровня 3 (Layer 3 Protocol Data Units – L3PDU), на основе
содержащегося в пакете адреса получателя.

 Процесс маршрутизации использует канальный уровень для инкапсуляции пакетов третьего

уровня во фреймы второго уровня для передачи через каждый последующий канал.

Протокол IP определяет адреса сетевого уровня, идентифицирующие любой хост или интерфейс
маршрутизатора, подключенный к сети TCP/IP. Идея подобна почтовому адресу: любой интерфейс
должен иметь IP адрес, как любой адресат должен иметь свой почтовый индекс. Протокол TCP/IP
группирует IP – адреса так, чтобы, адреса, используемые в той же физической сети, принадлежали той
же групп. Такие группы адресов известны как сеть IP или подсеть IP. Аналогия: каждая сеть или
подсеть IP работают как почтовый индекс. Все соседние почтовые адреса имеют одинаковый индекс,
а все соседние IP – адреса одинаковый номер сети или подсети IP. Протокол IP определяет правила,
согласно которым IP – адрес может относиться к той же сети или подсети IP. Числовое представление
адресов в той же группе имеет одинаковое значение в первой части адресов. Протоколы сетевого
уровня группируют адреса по их положению в начале адреса. Так маршрутизатор сможет хранить в
таблице маршрутизации только одну запись для каждой сети или подсети IP, а не отдельной записи
для каждого конкретного адреса. Процесс маршрутизации использует так же заголовок IPv4, который
включает 32- разрядный IP адрес отправителя и 32 – разрядный IP адрес получателя.

Рисунок 3 – 5 Заголовок IPv4

Правила IP – адресов
IP адреса состоят из 32- разрядного числа, обычно записанного в десятичном представлении с
разделительными точками (Dotted – Decimal Notation – DDN)

14
Правила группировки IP – адресов
Правила группировки IP – адресов в сети или подсети.

 IP – адреса в одной группе не должны отделяться друг от друга маршрутизатором;

 IP – адреса, разделенные маршрутизатором, должны находиться в разных группах.

Маршрутизация IP полагается на то, что все адреса в одной сети или подсети IP расположены в той же
области, а именно на том же канале связи WAN или LAN. В противном случае маршрутизаторы могли
бы доставить пакеты не тем областям. Для любой объединённой сети TCP/IP каждый канал связи LAN
и WAN будет использовать сеть или подсеть IP.

Сети IP класса A, B и C
Пространство IPv4 адресов включает в себя все возможные комбинации 32 разрядного числа. Класс А
включает в себя примерно половину пространства IPv4 адресов с номерами, начинающимися на 1-126.
Класс B включает четверть всего пространства адресов с номерами, начинающимися на 128-191, а класс
С включает в себя одну восьмую пространства адресов с номерами, начинающимися с 199-223. Классы
А, В и С определяют одноадресатные IP адреса, т.е. адреса, идентифицирующие один интерфейс хоста.
Класс D определяет многоадресатные адреса, используемые для передачи одного пакета нескольким
хостам. Их номера начинаются с 224-239. Класс E определяет экспериментальные адреса,
начинающимися с 224-239. Стандарты IPv4 разделяют также одноадресатные классы А, В и С на
предопределенные сети IP. Каждая сеть IP представляет собой множество значений адресов в классе.

Рисунок 3 – 6 Распределение пространства IPv4 – адресов по классам

15
Что бы создать рабочую объединённую сеть TCP/IP, фактически необходимо выбрать и использовать
некую из этих сетей IP.Для этого необходимо идентифицировать конкретную сеть IP. Для этого
используется идентификатор сети (Network ID). Идентификатор сети – это только одно из
зарезервированных значений адреса в сети, которое идентифицирует саму сеть IP.

Таблица 3 – 2 Идентификаторы сети

Концепция Класс Идентификатор сети

Все адреса начинаются с 8 A 8.0.0.0
Все адреса начинаются с 130.4 В 130.4.0.0
Все адреса начинаются с 199.1.1 С 199.1.1.0

Сети класс А состоят из всех адресов, начинающихся с 1, всех адресов, начинающихся с 2 и т.д. до 126
включительно. У сетей класса В значение первого октета находится в диапазоне от 128 до 191, но у
адресов сетей этого класса одинаковое значение уже у двух первых октетов. У адресов сетей класса С
одинаковые первые три октета – они определяют группу адресов единой сети класса С.

Таблица 3 – 3 Все возможные корректные адреса сетей

Класс Диапазон первого октета Допустимые адреса сетей

А От 1 до 126 От 1.0.0.0 до 126.0.0.0
В От 128 до 191 От 128.0.0.0 до 191.255.0.0
С От 192 до 223 От 192.0.0.0 до 223.255.255.0

Создание подсетей – это дальнейшее разделение пространства IPv4 адресов на группы размером
меньше одной сети IP. Подсети IP позволяют взять одну сеть IP класса А, В или С и разделить ее на
множество меньших групп последовательных IP – адресов. Создание подсетей позволяет сетевому
инженеру выбирать для объединённой сети TCP/IP ту часть адреса, которая будет совпадать у всех ее
адресов. Например, вместо сетей 150.1.0.0/150.4.0.0/150.5.0.0/150.2.0.0/150.3.0.0 использовать
150.9.1.0/150.9.4.0/150.9.5.0/150.9.2.0/150.9.3.0

Рисунок 3 – 7 Концептуальное представление подсетей

16
Маршрутизация на хостах IPv4
При выборе направления передачи пакета хосты используют упрощенную логику маршрутизации. Если
в проекте используются подсети, то эта логика маршрута такова.

 Если IP – адрес получателя находится в тоже подсети IP, что и адрес отправителя, пакет
отправляется непосредственно хосту – получателю

 В противном случае пакет отправляется на стандартный шлюз (default gateway)

Логика маршрутизатора
Когда маршрутизатор получает фрейм канала связи со своим адресом, он должен обработать его
содержимое. Применяется следующая логика.

 Для проверки ошибок фрейма используется поле контрольной суммы фрейма (FCS) канала
связи. Если есть ошибки, фрейм отбрасывается

 Если пакет не был отброшен на предыдущем этапе, отбрасывается старый канальный заголовок
и концевик и остается только пакет IP

 IP – адрес отправителя пакета IP сопоставляется с таблицей маршрутизации и определяется

маршрут, который лучше всего соответствует этому адресу; маршрут идентифицирует
исходящий интерфейс маршрутизатора и, возможно, IP – адрес маршрутизатора следующего
перехода

 Пакет IP инкапсулируется в новый канальный заголовок и концевик, подходящий для

исходящего интерфейса, и фрейм отправляется

Согласно этим этапам, каждый маршрутизатор перенаправляет пакет следующей области, заключив
его во фрейм канала связи. Каждый маршрутизатор повторяет этот процесс, пока пакет не достигнет
своего конечного получателя.

Номера сети и подсети представляют группу адресов, начинающихся с того же префикса.

Считайте эти номера группами адресов. Все маршрутизаторы используют открытый протокол
поиска первого кратчайшего маршрута (Open Shortest Path First). И все маршрутизаторы знают
маршруты для всех подсетей. Например, все маршрутизаторы знают, что подсеть 150.150.4.0
означает “все адреса, которые начинаются с 150.150.4”.

Другие средства сетевого уровня

Сетевой уровень модели TCP/IP определяет много других функций, кроме определенных в
соответствии с протоколом IPv4. Вот, три других раздела сетевого уровня:
17
  Система доменных имен (Domain Name System – DNS)

 Протокол преобразования адресов (Address Resolution Protocol – ARP)

 Утилита ping

Модель TCP/IP определяет способ использования имен хоста (host name) для идентификации
компьютеров. Способ, позволяющий компьютеру находить IP адрес по имени хоста, подразумевает
использование системы доменных имен.

 На первом этапе компьютер посылает с запросом DNS на сервер DNS

 На этапе два, сервер DNS отсылает назад ответ DNS, содержащий IP адрес сервера

 На этапе три компьютер может послать пакет IO на адрес, который прислал ему DNS сервер.

Рисунок 3 – 8 Задача и процесс преобразования имен DNS

Протокол преобразования адресов

Логика маршрутизатора IP требует, чтобы хосты и маршрутизаторы помещали пакеты IP во фреймы

канального уровня. Всякий раз, когда в локальных сетях Ethernet хост или маршрутизатор должен
инкапсулировать пакет IP в новый фрейм Ethernet, им известны все данные его заголовка за
исключением MAC адреса получателя. Маршрутизатор знает маршрут, используемый для
перенаправления пакета IP, в котором значится IP адрес следующего маршрутизатора. Однако хостам
и маршрутизаторам не известны заранее MAC адреса соседних устройств. Что бы любой хост или
маршрутизатор в локальной сети мог динамически изучать MAC адреса других хостов и
маршрутизаторов IP в той же локальной сети, модель TCP/IP определяет протокол преобразования
адресов (ARP). Протокол ARP определяет, что включает запрос ARP (ARP Request), т.е. сообщение,
задающее простой вопрос: “Если это ваш IP адрес, подскажите свой MAC адрес”. Протокол так же
определяет ответное сообщение ARP (ARP Reply), включающее первоначальный IP адрес и
соответствующий ему MAC адрес. Хосты запоминают результат запроса ARP, сохраняя информацию в
кэше ARP (ARP cache) или таблице ARP (ARP table). Хосты и маршрутизаторы используют протокол лишь
иногда, в основном для первоначального создания кэша ARP. Каждый раз, когда хост или
18
маршрутизатор посылает пакет, инкапсулируемый во фрейм Ethernet, он сначала проверяет свой кэш
ARP в поисках соответствия IP адреса MAC адресу. Через некоторое время хосты и маршрутизаторы
удаляют записи из кэша, чтобы очистить таблицу, поэтому отдельные запросы ARP впоследствии тоже
возможны.

Рисунок 3 – 9 Пример ARP запроса

19
ГЛАВА 4. ИСПОЛЬЗОВАНИЕ ИНТЕРФЕЙСА КОМАНДНОЙ СТРОКИ
Кабельная проводка консольного соединения.
Физическое консольное соединение, и прежнее, и новое, использует три основных компонента:
физический консольный порт на коммутаторе, физический последовательный порт на компьютере и
кабель, соединяющий консольный и последовательные порты. Вы можете изготовить собственный
кабель из стандартного последовательного кабеля (с разъёмом, подходящим компьютеру),
стандартного переходника для разъемов RJ-45 – DB-9 и кабеля UTP. Однако кабель UTP обратную
схему расположения выходов. Она использует восемь проводов, контакт 1 перекрещён с контактом 8,
контакт 2 с контактом 7, контакт 3 с контактом 6 и т.д.

Стандартные настройки консольного порта коммутатора Cisco

 Скорость 9600 бит\с

 Без аппаратного управления потоком данных (hardware flow control)

 8 бит данных

 Без контроля четности (no parity)

 1 стоповый бит

Последние три настройки по первым трем буквам параметров для простого запоминания записывают
как 8N1.

Интерактивная подсказка
Таблица 4 – 1 Интерактивная подсказка операционной системы Cisco IOS

Вводимая команда Подсказка

? Список всех команд, доступных для текущего
режима
команда ? Коммутатор выводит список описания всех
опций первого параметра команды
ком? Выдает список команд, начинающихся с символа
ком
команда начальные_буквы_параметра? Список параметров, начинающихся с указанной
последовательности символов
команда начальные_буквы_параметра<TAB> Нажатие <TAB> в середине любого параметра
заставить ОС обстоятельно объяснять остальную
часть слова.
команда параметр1? Выводит список следующего параметра
командной строки и короткое текстовое
описание
20
Настройка програмного обеспечения Cisco IOS
Рисунок 4 – 1 Взаимосвязь режимов конфигурации: пользовательского и привилегированного

Таблица 4 – 2 Режимы конфигурации коммутатора

Хранение файлов конфигурации

В коммутаторах компании Cisco используется несколько разновидностей постоянных запоминающих
устройств, в которых нет никаких механических частей.

 Оперативная память(RAM) – используется для хранения текущей рабочей конфигурации

 Флэш-память (Flash Memory) – съемный модуль памяти, в котором храниться

полнофункциональный образ операционной системы

 Постоянно запоминающее устройство(ROM) – хранит в себе программу самозагрузки,

которая срабатывает при включении устройства

 Энергонезависимая память(NVRAM) – используется для хранения стартовой конфигурации

устройства

Таблица 4 – 3 Типы памяти коммутатора Cisco

RAM Flash ROM NVRAM

Рабочая память, Система Cisco IOS Программа Стартовая
текущая конфигурация. самозагрузки конфигурация. Хранит
Хранит running-config startup-config

21
ГЛАВА 5. АНАЛИЗ КОММУТАЦИИ В ЛОКАЛЬНЫХ СЕТЯХ
Логика коммутации
Главная задача коммутатора в сети – перенаправлять фреймы по правильным MAC адресам
получателей. Коммутаторы LAN получают фреймы Ethernet, а затем принимают решение о
коммутации: перенаправить фрейм на некий порт или проигнорировать его. Для этого они выполняют
три действия.

1. На основании MAC адреса устройства получателя принимается решение, переслать фрейм или
нет.

2. При подготовке к перенаправлению фреймов создается таблица коммутации на основании

MAC адресов устройства отправителей фреймов

3. При подготовке к перенаправлению фреймов, что бы получателю передавалась только одна

копия фрейма, создается топология второго уровня без петель с другими коммутаторами за
счет использования протокола распределенного связующего дерева (Spanning Tree)

Рисунок 5 – 1 Фрейм Ethernet согласно IEEE 802.3

Перенаправление одноадресатных фреймов с известным получателем

Рисунок 5 – 2 Пример коммутации и фильтрации фреймов

22
Чтобы решить, следует ли перенаправлять кадр, коммутатор использует динамически построенную
таблицу, в которой перечислены MAC адреса и исходящие интерфейсы. Коммутаторы сравнивают
конечный MAC-адрес кадра с таблицей. Эта таблица позволяет решить, должен ли коммутатор
передавать кадр или просто игнорировать его. В этом примере найденная запись таблицы указывает
коммутатору отправить фрейм только на порт F0/2.

В локальных сетях с несколькими коммутаторами каждый из них независимо принимает решение о

перенаправлении на основании собственной таблицы MAC – адресов.

Рисунок 5 – 3 Решение о перенаправлении при двух коммутаторах: второй коммутатор

Фрейм достигает коммутатора SW2, поступает на его интерфейс G0/2. Как показано на рисунке 7 – 3,
коммутатор SW2 использует то же логические этапы, но собственную таблицу. Таблица MAC-адресов
содержит инструкции перенаправления только для своего коммутатора. В данном случае на основании
таблицы MAC-адресов коммутатор SW2 передает фрейм на порт F0/3.

Изучение MAC адресов

На рисунке 5 - 4, показана сеть, коммутатор в которой не построил себе таблицу коммутации- она
пустая. Коммутатор начинает с пустой таблицы MAC-адресов. Затем компьютер Fred посылает свой
первый фрейм (цифра 1) компьютеру Barney, в результате коммутатор добавляет в таблицу MAC-
адресов запись для MAC-адреса 0200.1111.1111(компьютер Fred)? Связанного с интерфейсом
23
F0/1(потому что посланный компьютером Fred фрейм поступил на порт коммутатора F0/1. Коммутатор
следует такой логике: “MAC-адрес отправителя – 0200.1111.1111, фрейм поступил на порт F0/1, значит
с моей точки зрения, адрес 0200.1111.1111 доступен через мой порт F0/1.

Когда компьютер Barney отвечает на этапе 2, коммутатор добавляет вторую запись, на этот раз MAC-
адрес 0200.2222.2222(компьютер Barney) и интерфейса F/02 по той же самой логике, что и в шаге 1.

Рисунок 5 - 4 Самообучение коммутатора

Если на коммутатор поступит первый фрейм от Фреда, когда в таблице MAC-адресов никаких записей
нет, то в этом случае коммутатор передает фрейм на все интерфейсы (кроме входящего) использую
процесс лавинной рассылки(flooding). И фрейм, и адрес получателя, неизвестные коммутатору,
являются одноадресатными фреймами с неизвестным получателе, или просто неизвестными
одноадресатными фреймами (unknown unicast).

Защита от петлевых маршрутов с помощью протокола STP

Третья главная функция коммутаторов локальных сетей – предотвращение петлевых маршрутов с
помощью протокола распределенного связующего дерева. Без этого протокола фреймы могут
бесконечно долго курсировать по петлевому маршруту, если в сети Ethernet есть резервные каналы,
протокол блокирует некоторые порты, и они не могут пересылать эти данные. При этом в сети между
сегментами остается только один активный маршрут для передачи данный.

Что бы избежать петлевых маршрутов на втором уровне, на всех коммутаторах должен быть включен
протокол STP, который переводит каждый из портов каждого устройства в режим блокировки, или в
режим перенаправления. Под блокировкой интерфейс не может передавать и принимать фреймы
пользовательских данных, но может обмениваться только служебными сообщениями протокола STP.
В режиме перенаправления интерфейс может принимать и передавать пользовательские данные. Если
протокол заблокировал правильный набор интерфейсов, в сети останется только один активный
логический маршрут.

24
Резюме по коммутации в локальных сетях
Коммутаторы принимают решения об отправке или фильтрации фрейма, строят таблицу MAC-адресов
и использую протокол STP, чтобы разомкнуть петлевые маршруты согласно приведенный ниже
последовательности.

Этап 1. Коммутаторы пересылают фреймы на основании MAC-адреса получателя в заголовке фрейма.

А. Если MAC-адрес получателя является широковещательным, много- или одноадресатным и

отсутствует в таблице коммутации, то устройство лавинно рассылает фрейм

Б. Когда MAC-адрес получается известен:

1. если в таблице MAC-адресов выходной интерфейс не совпадает со входным для

фрейма, коммутатор пересылает фрейм через найденный в таблице интерфейс;

2. если выходной интерфейс совпадает с входным интерфейсом, коммутатор

отфильтровывает фрейм

Этап 2. Коммутаторы используют следующий алгоритм для заполнения таблицы MAC-адресов.

А. Для каждого принятого фрейма считывается MAC-адрес отправителя и запоминается

интерфейс, откуда он был получен.

Б. Если пары “адрес-интерфейс” нет в таблице устройства, они добавляются в таблицу

коммутации, таймер бездействия устанавливается в нулевое значение.

Этап 3. Коммутаторы используют протокол STP для предотвращения образование петлевых

маршрутов, блокирую некоторые из интерфейсов.

Обработка таблицы MAC-адресов (старение, очистка)

Коммутатор удаляет записи по мере их устаревания в связи с переполнением таблицы, но вы можете
сами удалить записи, используя специальную команду. Коммутаторы удаляют только те записи
таблицы MAC-адресов, которые не использовались в течении определенного времени (стандартно это
300 секунд). Для этого коммутаторы отслеживают каждый поступающий фрейм каждый MAC-адрес
отправителя и все связанное с самообучением. Если это новый MAC-адрес, коммутатор добавляет
соответствующую запись в таблицу. Но если эта запись уже существует, то коммутатор поступает иначе:
он обнуляет таймер бездействия данной записи. Со временем таймер каждой записи растет,
отсчитывая как долго запись находится в таблице. По достижению определённого значения
коммутатор удаляет все устаревшие записи. Если таблица заполнена, коммутатор также удаляет самые
старые записи, даже если они моложе установленного параметра устаревания. В завершении пример
с несколькими коммутаторами. Если в сети более одного коммутатора, то в таблице MAC-адресов в
графе Ports первого коммутатора будет указан входящий порт подключенного к нему другого
коммутатора даже если удаленный хост подключен к коммутатору номер два.
25
ГЛАВА 6. НАСТРОЙКА БАЗОВЫХ СТРЕДСТВ УПРАВЛЕНИЯ
КОММУТАТОРОМ
Защита пользовательского и привилегированного режимов простыми
паролями
Стандартные настройки запрещают доступ пользователям Telnet и SSH к пользовательскому режиму.
Первая возможность защиты доступа к пользовательскому режиму – это простой совместно
используемый пароль. Этот метод использует только пароль (без имени пользователя), причем один
пароль для консольных пользователей и другой для пользователей Telnet.

 Консольные пользователи должны вводить пароль консоли (console password), задаваемый в

режиме конфигурации канала консоли (line con 0)

 Пользователи Telnet должны вводить пароль Telnet (Telnet Password), называемый так же
паролем vty (vty password) (line vty 0 15)

Коммутаторы дополнительно защищают привилегированный режим еще одним совместно

используемым паролем, известным как привилегированный пароль (enable password). Применяется ко
всем пользователям, независимо от того, вошли ли они в пользовательский режим через консоль,
Telnet или иначе. Для его настройки применяется глобальная команда конфигурации enable secret
значение_пароля.

Рисунок 6 – 1 Настройка защиты простым паролем

26
Рисунок 6 – 2 Настройка простых паролей

Защита доступа к пользовательскому режиму с использованием локальных

имен пользователей и паролей
Коммутаторы поддерживают методы аутентификации, подразумевающие использование
собственного имени и пароля для каждого пользователя. Для перехода от доступа только по паролю к
локально заданным именам, достаточно одной или нескольких глобальных команд конфигурации
username имя password пароль. Затем нужно уведомить каналы консоли и vty об использовании
заданных имен пользователя и пароля (подкоманда линии login local)

Пример 6 – 1 Настройка аутентификации по локальному имени и паролю

Часть 1

username wendell secret odom - добавляем пару имен пользователя и пароля

username chris secret youdda - добавляем пару имен пользователя и пароля

27
Часть 2. Настраиваем консоль на использование локально заданных пар имен и паролей

line console 0 - переходим в режим конфигурации консоли

login local - даем разрешение консоли запрашивать имена и пароли

password hope - удаляем все имеющиеся простые пароли из файла конфигурации

Часть 3. Настраиваем Telnet (vty) на использование локально заданных пар имен и паролей

line vty 0 15 - переходим в режим конфигурации vty всех 16 линий -

login local - даем разрешение консоли запрашивать имена и пароли

password hope - удаляем все имеющиеся простые пароли из файла конфигурации

Можно так же использоваться команду no password (введя пароль), чтобы сбросить все остальные
подкоманды паролей режима консоли или vty. У команды username secret есть менее защищенная
“кузина” – команда username password.

Защита доступа к пользовательскому режиму с использованием внешнего

сервера аутентификации
Коммутаторы Cisco могут предоставить централизованное, надежно защищенное хранилище для всех
пар имен и пользователей и паролей, а также инструменты, заставляющие пользователей регулярно
изменять свои пароли, отменять права пользователей, оставивших службу, и т.д. Это достигается при
использовании внешнего сервера аутентификации, авторизации и учета (ААА – сервер). Потоки
информации от коммутаторов к этим серверам передаются по нескольким протоколам, RADIUS или
TACACS +, когда как передача запроса на авторизацию от хоста к коммутатору по Telnet или SSH. Оба
протокола (RADIUS/TATACS+) используют шифрование.

Защита дистанционного доступа с использованием протокола SSH

Все данные сеанса Telnet передаются как открытый текст, включая пароли. Протокол SSH же шифрует
все данные, передаваемые между клиентом SSH и сервером. Протокол SSH не может полагаться только
на пароль, но может использовать тот же локальный метод аутентификации при входе, что и Telnet,
при локально заданных именах пользователя и паролях (как было показано в примере 6 – 1).

На рисунке 6 – 3 приведен пример конфигурации необходимой для поддержки SSH. На рисунке

повторяется конфигурация локального имени пользователя, показанную ранее на примере 6 – 1, для
протокола Telnet. На рисунке 6 – 3 приведены три дополнительные команды, необходимые для
завершения настройки SSH на коммутаторе
28
Рисунок 6 – 3 Добавление конфигурации SSH к конфигурации локального имени пользователя

Пример 6 – 2 Процесс настройки протокола SSH в соответствии с рисунком 8 – 3

Далее задается линия vty для поддержки локального имени пользователя, как с протоколом Telnet
(пример 6 – 1 часть 3). И задаем локальные имена пользователя (пример 6 – 1 часть 1)
29
Коммутатор изначально поддерживает протоколы SSH и Telnet на линии vty. Однако в связи с
незащищённостью протокола Telnet, его можно отключить. Для этого используем команду vty
transport input {all | none |telnet | ssh} в режиме vty с параметрами:

 Transport input all. Поддерживать оба протокола

 Transport input none. Не поддерживать ничего

 Transport input telnet / ssh. Поддерживать только telnet или только ssh

Дополнение. Две ключевые команды дают некоторою информацию о состоянии протокола SSH.
Команда show ip ssh отображает информацию о состоянии самого сервера SSH, а команда show ssh
отображает информацию о каждом клиенте SSH, подключенном в настоящее время.

Параметры IP хоста и коммутатора

Коммутатор нуждается в тех же параметрах IP, что и компьютер с одним интерфейсом Ethernet. Как и
у компьютера, у коммутатора есть реальный процессор, есть несколько портов Ethernet, но вместо
присвоения его IP-адреса всем этим портам он использует концепцию подобия сетевой плате –
коммутируемый виртуальный интерфейс (SVI) или, более привычно, - интерфейс VLAN,
действующий как собственная сетевая плата коммутатора. Поэтому параметры на коммутаторе
подразумевают установки таких параметров IP, как IP-адрес для интерфейса VLAN. При использовании
интерфейса VLAN для конфигурации IP коммутатор может посылать и получать фреймы на любой из
портов в сети VLAN (#1).

Рисунок 6 – 4 Концепция виртуального интерфейса коммутатора

У коммутаторов Cisco уровня 2 может быть настроено несколько интрейейсов VLAN, но для управления
коммутатор нуждается только в одном IP-адресе. В больштнстве случаев администратор должен
решить, какую сеть VLAN использовать при управлении группой коммутаторов, и создать интрейфес
VLAN только для этой сети.

Настройка IP адреса (и маска) на одной интерфейсе VLAN позволяют коммутатору обмениваться

пакетами IP с другмими хотсами в подсети, существующей в этой сети VLAN, но коммутатор общаться

30
в не локальной сети без настройки задающей стандартный шлюз. Коммутатору нужно знать, куда
послыать пакеты IP. А именно:

 Пакеты IP передаются хостам в той же подсети непосредственно;

 Пакеты IP передаются хостам в другой подсети на их локальный маршрутизатор, т.е. на

стандартный шлюз

Ниже приведена последовательность действий по настройке Ipv4-адреса на интерфейсе VLAN1

коммутатора.

Пример 6 – 3 Настройка статического IP-адреса коммутатора

Коммутатор может так же использовать DHCP сервер для динамического получения параметров
протокола IPv4. Для этого командой ip address dhcp в конфигурации интерфейса VLAN 1 указываем
коммутатору использовать протокол DHCP. Примечание: сервер DHCP должен работать в этой же сети.

31
ГЛАВА 7. НАСТРОЙКА ИНТЕРФЕЙСОВ КОММУТАТОРА
Автопереговоры
Практически использовать автопереговоры очень просто: достаточно оставить параметры скорости и
дуплекса в стандартном состоянии и позволить порта коммутатора вести переговоры об используемых
параметрах на каждом порту, так как коммутаторы Cisco для всех интерфейсов 10/100 и 10/100/1000
устанавливают стандартные параметры duplex auto и speed auto. В результате интерфейсы пытаются
автоматически определить параметры скорости и дуплекса.

Важно знать, что происходит при попытке узла использовать автопереговоры, когда противоположный
узел не дает ответа (автопереговоры выключены). Когда на одном из устройств скорость и дуплекс
предопределены, а устройство на другом конце пытается провести автопереговоры, могут происходить
ошибки. В этом случае канал связи либо не будет работать вообще, либо будет работать, но плохо.

В этом случае институт IEEE определил некоторые правила.

 Скорость. Используется наименьшая возможная скорость (обычно 10Мбит/с).

 Дуплекс. При скорости 10 или 100 Мбит/с используется полудуплекс, в противном случае –
полный дуплекс.

Стандартные действия коммутаторов Cisco при автопереговорах

 Скорость. Вычисляет скорость без автопереговорах. При неудаче использует стандартные
значение IEEE (10Мбит/с)

 Дуплекс. Использует стандартное значение IEEE. Полудуплекс при скорости 10 или 100 Мбит/c
и дуплекс в противном случае

При рассогласовании дуплекса, когда на хосте имеется сетевая карта 100Мбит/c с режимом дуплекс
(но выключены автопереговоры) а у коммутатора на интерфейсе включены автопереговоры – порт
коммутатора будет коллизии на канале связи, хотя физически они и не происходят. Пот коммутатора
будет регулярно прекращать передачу, ожидать и возобновлять передачу фреймов. Канал связи будет
работать, но плохо.

Концентраторы в основном не реагируют на сообщения автопереговоров и не перенаправляют их. В

результате соединённые через концентратор должны использовать правила IEEE, скорость в 10Мбит/c
и полудуплексный режим.

Защита портов
Инженер может использовать защиту порта (port security), что бы его смогли использовать только
указанные устройства. Когда недозволенное устройство пытается посылать фреймы на интерфейс

32
коммутатора, он может предпринять заранее настроенные действия: от вывода информационных
сообщений до отключения интерфейса. Защита порта идентифицирует устройства по МАС адресу
отправителя во фрейме Ethernet. Защита порта не делает различий между фреймами, поступившими
от локального устройства и перенаправленными через другие коммутаторы. Например, фрейм
запущенный от удаленного хоста и прошедший через несколько коммутаторов, может
заблокироваться на интерфейсе определенного коммутатора.

Коммутаторы устанавливают защиту на каждый порт индивидуально, для каждого порта допустимы
свои параметры.

Основные варианты защиты порта

 Определите максимальное разрешенное количество МАС адресов отправителя для всех

входящих фреймов на интерфейс.

 Определите все входящие фреймы и сохраните список всех МАС адресов отправителей,
добавьте счётчик количества отличных МАС адресов отправителя.

 Если при добавлении нового МАС адреса отправителя в список количество хранимых МАС
адресов превысит заданный максимум, срабатывает защита порта.

Защита порта предоставляет простой способ обнаружения всех МАС адресов, используемых с каждым
портом, - это автоматическое обнаружение МАС адресов (sticky secure MAC address). Защита порта
сама изучает МАС адреса на каждом порту и сохраняет их в конфигурации. Это позволяет сократить
усилия по обнаружению МАС адресов каждого устройства.

Последовательность настройки порта

1. Объявить интерфейс коммутатора статическим портом доступа или магистральным портом

соответственно.

2. Включить защиту порта подкомандой интерфейса Switchport port-security

3. (необязательно) переопределите стандартное максимальное кол-во позволенных МАС

адресов интерфейса подкомандой Switchport port-security maximum число

4. (необязательно) переопределите стандартное действие (отключение), предпринимаемое при

нарушении защиты. Используйте команду Switchport port-security violation {protect | restrict |
shutdown}

5. (необязательно) задайте все допустимые МАС адреса отправителей для данного интерфейса
используя команду Switchport port-security MAC адрес.

6. (необязательно) можно так же включить автоматическое обнаружение МАС адресов, что ы

коммутатор сам изучил МАС адреса командой Switchport port-security mac-address sticky

33
Рисунок 7 - 1 Пример настройки порта

Рассмотрим конфигурацию всех 4 интерфейсов на примере. Все четыре интерфейса используют первые
две команды одинаково. Команда switchport mode access выполняет требование, согласно которому
настраиваемый порт должен быть либо портом доступа, либо портом магистрального канала. А
команда switchport port-security включает защиту порта со стандартными значениями.

Интерфейс Fa0/1, использует одну дополнительную команду защиты порта Switchport port-security
mac address 0200.1111.1111, которая определяет конкретный МАС адрес отправителя. При
стандартном максимальном количестве адресов отправителя 1 на этом порту будут позволены только
фреймы с МАС адресом отправителя 0200.1111.1111. Интерфейс Fa0/2 использует туже логику, что и
Fa0/1, за исключением того, что он применяет автоматическое обнаружение МАС адресов. Для этого
порта настроена команда switchport port-security mac-address sticky, указывающая коммутатору
динамически изучать МАС адреса отправителей фреймов и добавлять команды port – security в файл
running-config.

Два других интерфейса не используют ни предопределение, ни автоматическое обнаружение МАС

адресов. Интерфейс Fa0/3 использует стандартное значение – максимум один МАС адрес, а интерфейс
Fa0/4 допускает восемь МАС адресов, так как должен получить фреймы с МАС адресами нескольких
отправителей.

34
Пример разновидности настройки порта для рисунка 7 - 1

Действия при нарушении защиты порта

Коммутатор может быть настроен так, чтобы использовать при нарушении безопасности одно из трех
действий. В таблице 7 – 1 перечислены некоторые из возможностей команды Switchport port-security
violation {protect | restrict | shutdown}.

Таблица 7 - 1 Действия при нарушении защиты порта

Параметр/Действие при нарушении безопасности Защита Ограничение Выключение

(protect) (restrict) (shutdown)
Отбрасывание подозрительного трафика Да Да Да
Отправка сообщения в системный журнал и через Нет Да Да
протокол SNMP
Приращение счетчика нарушений для каждого входящего Нет Да Да
подозрительного фрейма
Отключает интерфейс, переведя его в состояние Нет Нет Да
блокировки из за ошибки и отбрасывает весь трафик

35
Заметим, что возможность отключения не добавляет фактически подкоманду shutdown в
конфигурацию интерфейса. Вместо этого ОС переводит интерфейс в состояние error disabled
(отключение из-за ошибки).

МАС адреса защиты порта как статические и защищенные, но не динамические

Как только на порте коммутатора была настроена защита, коммутатор больше не считает МАС адреса,
связанные с этим портом, динамическими.

 Show mac address-table secure. Выводит МАС адреса, ассоциируемые с защищенными портами

 Show mac address-table static. Выводит МАС адреса, ассоциируемые с защищенными портами,
а также любые другие статически заданные МАС адреса.

В рисунке и примере 7 - 1 видно, что команда show mac-address-table dynamic не выводит МАС адреса,
поскольку ОС полагает, что эти записи таблицы МАС адресов статические.

Рисунок 7 – 2 Вывод команды show mac-address-table dynamic

36
ГЛАВА 8. РЕАЛИЗАЦИЯ ВИРТУАЛНЫХ ЛОКАЛЬНЫХ СЕТЕЙ ETHERNET
Коммутаторы Ethernet получают фреймы Ethernet, принимают решение, а затем перенаправляют
полученные фреймы. Эта базовая логика основана на МАС адресах интерфейсов, на которые поступают
фреймы и на которые коммутатор направляет их. Наибольшее влияние на решение коммутатора
оказывают виртуальные локальные сети (VLAN).

Локальная сеть (LAN) объединяет все устройства в том же широковещательной домене.

Широковещательный домен объединяет все устройства, подключенные к сети LAN, таким образом,
что, когда любое из устройств посылает широковещательный фрейм, все остальные устройства
получают его копию. Таким образом, с другой стороны, локальная сеть и широковещательный домен
– одно и тоже.

Рисунок 8 – 1 Пример двух широковещательных доменов с использованием одного коммутатора.

Проект территориальной локальной сети, в котором больше сетей VLAN с меньшим количеством
устройств в каждом, зачастую имеет больше преимуществ. А именно:

 Сокращение дополнительных затрат процессоров всех устройств за свет сокращения

количества устройств, получающих каждый широковещательный фрейм.

 Улучшение защиты за свет сокращения количества хостов, получающий копии фреймов при их
лавинной рассылке коммутатором.

 Улучшение защиты хостов, пересылающих важные данные, за свет помещения в отдельную

сеть VLAN.

 Возможность более гибкого объединения пользователей в группы (например, по отделам)

вместо физического разделения по местоположению.

 Упрощение поиска проблемы в сети, поскольку большинство проблем локализуется в области

набора устройств, формирующих широковещательный домен.

 Сокращение дополнительных затрат на работу протокола распределенного связующего дерева

(STP) за счет ограничения VLAN одним коммутатором доступа.

37
Создание сети VLAN при нескольких коммутаторах и магистральном
соединении.
Когда сети VLAN используются в сетях с несколькими соединёнными между собой коммутаторами, на
канал связи между ними применяется магистральное соединение VLAN (VLAN trunking).
Магистральное соединение VLAN подразумевает использование коммутаторами процесса назначения
тегов VLAN (VLAN tagging), когда передающий коммутатор добавляет к фрейму другой заголовок пред
его передачей по магистральному каналу. Этот дополнительный заголовок включает поле
идентификатор VLAN (VLAN ID), позволяющего передающему коммутатору ассоциировать фрейм с
конкретной сетью VLAN, а получающему коммутатору узнать, к какой именно VLAN принадлежит
фрейм.

Магистральное соединение VLAN создаёт между коммутаторами один канал связи, способный
поддерживать столько сетей VAN, сколько необходимо.

Рисунок 8 – 2 Сети VLAN с несколькими коммутаторами и магистральным соединением

Протоколы магистралей VLAN 802.1Q и ISL

В последние годы компания CISCO использует два протокола магистральных соединений: протокол
межкоммутаторных соединений (Inter-Switch Link – ISL) и протокол 802.1Q стандарта IEEE. Хотя оба
протокола отмечают каждый фрейм идентификатором VLAN, детали процесса у них разные. Протокол
802.1Q использует дополнительное 4-байтовое поле – заголовок 802.1Q в заголовке Ethernet
первоначального фрейма, как показано на рисунке 11.3, сверху. Поле идентификатора VLAN занимает
только 12 битов. Это поле способно идентифицировать максимум 4096 сетей VLAN, но на практике
доступно только 4094. Согласен стандартам 802.1Q и ISL, поле идентификатора VLAN имеет два
зарезервированных значения – 0 и 4096)
38
Рисунок 8 – 3 Заголовок магистрального соединения по стандарту 802.1Q

Коммутаторы Cisco разделяют диапазон идентификаторов VLAN на два диапазона: нормальный и

расширенный. Все коммутаторы могут использовать нормальный диапазон со значениями 1 – 1005, и
только некоторые могут использовать расширенный диапазон от 1005 до 4094. Правила использования
коммутаторами расширенного диапазона идентификаторов VLAN зависят от конфигурации протокола
создания магистралей VLAN (VLAN Trunking Protocol – VTP).

Для каждого магистрального канала стандарт 802.1Q определяет так же один специальный
идентификатор VLAN, обозначающий собственную сеть VLAN (Native VLAN) (стандартно это VLAN 1).
По определению протокол 802.1Q не добавляет заголовок 802.1Q к фрейму собственной сети VLAN.
Когда коммутатор с другой стороны магистрального канала получает фрейм без заголовка 802.1Q, он
понимает, что фрейм принадлежит собственной сети VLAN. Из-за этого оба коммутатора должны
“договориться”, какую сеть VLAN считать собственной.

Перенаправление данных между сетями VLAN

При создании территориальной локальной сети, содержащей много сетей VLAN, требуется обеспечить
всем устройствам возможность передавать данные на все остальные устройства. Все функции и логика
коммутаторов Ethernet, описанные до сих пор, соответствовали протоколам уровня 2 модели OSI.
Коммутаторы LAN получают фреймы Ethernet (концепция уровня 2), распознают МАС адрес получателя
(адрес уровня 2) и перенаправляют фрейм Ethernet на другой интерфейс.

Коммутаторы LAN, передающие данные на основании логики уровня 2, зачастую называют

коммутаторами уровня 2 (Layer 2 switch). Но есть коммутатор, способные выполнять некоторые
функции маршрутизатора, - они используют дополнительную логику, определенную протоколами
уровня 3. Эти коммутаторы называют многоуровневыми коммутаторами (multilayer switch), или
коммутаторами уровня 3 (layer 3 switch).

Маршрутизация пакетов между сетями VLAN с использованием

маршрутизатора
39
При выключении виртуальной локальной сети (VLAN) в проект территориальной локальной сети все
устройства сети VLAN должны быть в той же подсети. Согласно той же логике, устройства в разных сетях
VLAN должны принадлежать разным подсетям. Фактически одна из задач сетей VLAN заключается в
том, чтобы отделить трафик одной виртуальной сети от другой и предотвратить попадание фреймов
одной сети VLAN в другую.

Сеть в целом должна обеспечить передачу трафика, входящего и исходящего из каждой сети VLAN,
даже при том, что коммутатор уровня 2 не перенаправляет фреймы за пределы виртуальной сети.
Логика уровня 2 не позволяет коммутатору перенаправлять фреймы Ethernet уровня 2(L2PDU) между
сетями VLAN. Однако маршрутизаторы могут перенаправить пакеты уровня 3 (L3PDU) между
подсетями, как и положено.

Рисунок 8 – 4 Маршрутизация между двумя сетями VLAN c использованием магистрального канала

на маршрутизаторе.

Создание сетей VLAN и назначение интерфейсов доступа

Что бы настрочить конфигурацию новой сети VLAN, выполните следующие действия:

a. В режиме настройки конфигурации введите глобальную команду конфигурации vlan
идентификатор_vlan для создания сети VLAN и перейдите в режим настройки конфигурации
сети VLAN

b. Что бы присвоить сети VLAN имя, введите подкоманду VLAN name имя. Если этого не сделать,
именем VLAN будет VLANZZZZ, где ZZZZ – десятичный идентификатор, состоящий из четырех
цифр.

Для каждого интерфейса доступа (интерфейса принадлежащему не магистральному каналу, а

отдельной сети VLAN) выполните следующие действия

40
 a) Используйте команду interface тип номер в глобальном режиме конфигурации, что бы
прейти в режим конфигурации каждого настраиваемого интерфейса VLAN

b) Используйте команда switchport access vlan идентификатор_vlan в режиме конфигурации

интерфейса, чтобы задать номер сети VLAN, связанный с данным интерфейсом

c) Чтобы перевести этот порт в режим доступа (т.е. не магистрального канала), используйте
команду switchport mode access в режиме конфигурации интерфейса

Протокол создания магистралей VLAN

Прежде чем перейти к следующим примерам конфигурации, следует узнать о прежнем протоколе
Cisco – протоколе создания магистралей VLAN (VLAN Trunking Protocol – VTP). Это собственный
протокол компании Cisco, выполняющийся на ее коммутаторах. Он анонсирует каждую сеть VLAN,
настроенную на одном коммутаторе командой vlan номер, что бы о ней узнали все остальные
коммутаторы локальной сети. Для всех приведенных примерах коммутаторы используются в
прозрачном режиме протокола VTP (глобальная команда vtp mode transparent) или при его
отключении (глобальная команда vtp mode off) Обе позволяют администратору задать как
стандартный, так и расширенный диапазон сетей VLAN. Проверить состояние протокола VTP можно
командой show vtp status. Если коммутатор будет использовать северный или клиентский режим VTP,
то обнаружиться следующее:

 Серверные коммутаторы могут настраивать сети VLAN только в стандартном диапазоне 1-

1005

 Клиентские коммутаторы не могут настраивать сети VLAN

 Благодаря протолку VTP серверы и клиенты могут узнавать о новых сетях VLAN от других
коммутаторов, а также видеть свои сети VLAN удаленными другими коммутаторами

 Команда show running-config не отображает команды vlan.

Конфигурация магистрального соединения VLAN

Настройка магистрального соединения между двумя коммутаторами Cisco может быть очень простой,
если она осуществляется только статически. Однако конфигурация магистрали на коммутаторах Cisco
имеет еще много возможностей, включая несколько вариантов динамических переговоров о разных
параметрах магистрали. Они могут быть либо заданы предварительно, либо коммутаторы могут сами
договориться о них следующим образом:

 Тип магистрального соединения. Протокол IEEE, протокол 802.1Q или переговоры о

применяемом режиме.

41
  Административный режим. Всегда магистральный канал, никогда магистральный канал или
переговоры.

Коммутаторы Cisco, поддерживающие протоколы ISL и 802.1Q, способны вести переговоры об

используемом типе при помощи протокола динамического согласования магистральных каналов
(Dynamic Trunk Protocol – DTP). Если оба коммутатора поддерживают оба протокола, они используют
протокол ISL, в противном случае они используют общий протокол. Современные коммутаторы Cisco
не поддерживают устаревший протокол ISL. Коммутаторы, поддерживающие оба типа магистрального
соединения, используют подкоманду интерфейса switchport trunk encapsulation {dot1q | isl |
negotiate} для того, чтобы задать или позволять протоколу DTP договариваться о типе.

Протокол DTP позволяет так же согласовать административный режим локальных портов

коммутаторов. Под административным режимом (administrative mode) подразумевается настройка
конфигурации, определяющая, должно ли использоваться магистральное соединение на интерфейсе.
У каждого интерфейса также есть рабочий режим (operational mode), когда интерфейс выполняет
присущие ему действия, возможно, выбранные протоколом DTP в ходе переговоров с другим
устройством. Для определения административного режима магистрали коммутаторы используют
подкоманду интерфейса switchport mode с параметрами, перечисленными ниже.

Таблица 8 - 1 Параметры команды switchport mode, определяющие административный режим

магистрали

Параметр Описание
Access Всегда быть портом доступа ( а не магистрального канала)
Trunk Всегда быть портом магистрального канала
Dynamic desirable Передавать и отвечать на сообщения переговоров, что бы динамически
решить, использовать ли магистральное соединение
Dynamic auto Пассивно ожидать получения сообщений переговоров. При получении
таковых вести переговоры об использовании магистрального соединения

В таблице 8 - 2 перечислены сочетания административных режимов магистрального соединения и

ожидаемые режимы работы (магистральных или доступа), устанавливаемые в результате применения
заданных параметров. В левой части таблицы указаны административные режимы, используемые
коммутатором на одном конце канала, а в верхней части – режимы, заданные для коммутатора на
другом конце канала.

Административный dynamic
access dynamic auto trunk
режим desirable
access access access Не используется access
dynamic auto access access trunk trunk
trunk Не используется trunk trunk trunk
dynamic desirable Access trunk trunk trunk

42
Реализация интерфейсов, подключенных к телефонам
Уже в самых первых IP телефонах, в их нижней части, находился маленький коммутатор LAN. Компания
Cisco по проектированию IP телефонии рекомендует помещать телефоны в одну сеть VLAN, а
компьютеры – в другую. При этом порт коммутатора действует и как канал доступа (для трафика
компьютера), и как магистральный канал (для трафика телефона). Конфигурация определяет две сети
VLAN на том же порте следующим образом.

Определение сети данных VLAN и голосовой сети VLAN

 Сеть данных VLAN (data VLAN). Идея и конфигурация так же, что и у сети доступа VLAN на порту
коммутатора, но определенная как VLAN на канале связи для перенаправления трафика для
устройства, соединенного с телефоном на столе.

 Голосовая сеть VLAN (voice VLAN). VLAN на канале связи для перенаправления трафика
телефона. Трафик этой VLAN обычно отмечается заголовком 802.1Q

Рисунок 8 – 5 Проект локальной сети с данными в сети VLAN 10 и телефонами в сети VLAN 11

Настройка сетей VLAN для данных и голоса

Если сеть VLAN для данных и голоса еще не существует на коммутаторе, используйте команду vlan
идентификатор_vlan в глобальном режиме конфигурации, что бы создать их
43
Настройте сеть данных VLAN в качестве сети доступа VLAN, как обычно:

a. Используйте команду interface тип номер в глобальном режиме конфигурации, чтобы перейти
в режим конфигурации интерфейса.

b. Используйте команду switchport access vlan идентификатор_vlan в режиме конфигурации

интерфейса, что бы определить сеть данных VLAN

c. Используйте команду switchport mode access в режиме конфигурации интерфейса, чтобы

заставить этот порт всегда работать в режиме доступа (не магистрального канала)

Используйте команду switchport voice vlan идентификатор_vlan в режиме конфигурации

интерфейса, чтобы установить идентификатор голосовой сети VLAN.

Концепции сетей VLAN для данных и голоса, конфигурации и проверка

 Сначала настраивайте эти порты как обычные порты доступа: сделайте их статическим портом
доступа и присвойте им сеть доступа VLAN.

 Добавьте еще одну команду (switchport voice vlan идентификатор_vlan), чтобы определить
голосовую сеть VLAN.

 Ищите упоминание об идентификаторе голосовой сети VLAN, но команда show interfaces тип
номер switchport не даст в выводе никаких других новых фактов.

 Ищите в выводе команды show interfaces тип номер trunk идентификаторы сетей VLAN для
голоса и данных.

 Не ожидайте в выводе команда show interfaces trunk увидеть порт в списке рабочих
магистральных каналов.

44
ГЛАВА 9. КОНЦЕПЦИИ РАСПРЕДЕЛЕННОГО СВЯЗУЮЩЕГО ДЕРЕВА
(IEEE 802.1D)
Без протокола распределенного связующего дерева (Spanning Tree Protocol - STP) локальная сеть с
избыточными каналами связи могла бы передавать фреймы Ethernet по кругу неопределенного долгое
врем. Протокол STP позволяет блокировать некоторые порты коммутатора так что бы они не
передавали фреймы. Протокол STP разумно выбирает блокирует порты с учётом двух задач.

 Все устройства в сет LAN способны передавать фреймы на все другие устройства, т.е.
блокировать следует ее слишком много портов, чтобы не отрезать одни части сети LAN от
других.

 Фреймы имеют короткую продолжительность существования, что не позволяет передавать их

по кругу неопределенно долго.

Для предотвращена круговой передачи фреймов протокол STP добавляет дополнительную проверку
на каждом интерфейсе: если порт находится в состоянии перенаправления для данной сети VLAN, то
использовать его как обычно; если он находится в состоянии блокировки, блокировать весь
пользовательский трафик, не посылать и не передавать пользовательский трафик на этом интерфейсе
для данной сети VLAN.

Отметим, что эти состояния STP не изменяют другую информацию, уже известную об интерфейсах
коммутатора. Протокол STP добавляет свое дополнительное состояние, состояние блокировки
(blocking state), просто отключая интерфейс.

Потребность в связующем дереве

Протокол STP предотвращает три общие проблемы локальных сетей Ethernet. Даже один фрейм,
передаваемый в сети по кругу, может вызвать широковещательный шторм (broadcast storm).
Широковещательные штормы способны заполнить все каналы связи копиями этого одного фрейма,
вытесняя полезные фреймы, а также значительно снижая производительность устройств конечного
пользователя.

Чтобы помочь понять, как это происходит, на рисунке 9 – 1 приведен пример сети, в которой компьютер
Bob посылает широковещательный фрейм, пунктирные линии показывают, как коммутаторы
перенаправляют фрейм без протокола STP.

Логика сети VLAN требует от коммутатора передать широковещательный фрейм на все интерфейсы в
той же сети VLAN, кроме того интерфейса, на который прибыл фрейм. Согласно рисунку, коммутатор
SW3 перенаправит фрейм, полученный с компьютера Bob, на коммутатор SW2, а он перенаправит
фрейм на коммутатор SW1, который, в свою очередь, перенаправит его назад, на коммутатор SW3, а
тот снова перенаправит его на коммутатор SW2.

45
Рисунок 9 – 1 Широковещательный шторм

Широковещательный шторм приводит также к другой, намного более серьезной проблеме –

неустойчивости таблицы МАС адресов (MAC table instability). Неустойчивость таблицы МАС адресов,
означает, что информация таблицы МАС адресов коммутатора постоянно изменяется, поскольку
фреймы с тем же МАС адресом отправителя поступают в разные порты.

Циклические фреймы широковещательного фрейма создают и третью проблему: к месту назначения

прибывает несколько копий фрейма.

Три основных класса проблем, вызванных отсутствием протокола STP в избыточных сетях LAN,
представлены в таблице 9 – 1.

Таблица 9 – 1 Три класса проблем, вызванных отсутствием протокола STP в избыточных локальных
сетях

Проблема
Широковещательный шторм
Неустойчивость таблицы МАС адресов Реагируя на циклические фреймы, коммутатор
Передача нескольких фреймов
Описание
Перенаправление фрейма повторяется на тех же
каналах связи, растрачивая существенную часть их
пропускной способности
непрерывно заносит в таблицу МАС адресов
неправильные записи, приводящие к передаче фреймов
в неправильном направлении
Побочный эффект циклической передачи фреймов,
когда хосту доставляется несколько копий одного
фрейма, нарушая его работу
46
Что делает связующее дерево IEEE 802.1D
Протокол STP предотвращает циклы, переводя каждый порт коммутатора либо в состояние
перенаправления, либо в состояние блокировки.

На рисунке 9 – 2 приведено простое дерево STP, решающее представленную на рисунке 2 – 1 проблему

за чет перевода одного порта коммутатора SW3 в состояние блокировки.

Рисунок 9 – 2 Протокол STP блокирует порт, что бы разорвать круг

Отметим только этап 5, при котором физический коммутатор SW 3 получает широковещательный

фрейм от коммутатора SW2, но игнорирует его поскольку его интерфейс Gi0/2 находится в
заблокированном состоянии.

В представленном на рисунке 9 – 2 сети коммутаторы просто не используют канал связи между

коммутатором SW2 – SW3 для трафика этой сети VLAN, что является незначительным отрицательным
побочным эффектом протокола STP. Но при отказе любого из двух других каналов связи конвергенция
протокола STP сработает так, что коммутатор SW3 переведет свой интерфейс из состояния блокировки
в состояние перенаправления.

ПРИМЕЧАНИЕ. Термин конвергенция STP (STP convergence) описывает процесс, когда все коммутаторы
понимают, что в топологии LAN что-то изменилось и, возможно, следует изменить состояние
заблокированных и перенаправляющих портов.

47
Как работает связующие дерево
Алгоритм STP создает связующее дерево интерфейсов, передающих фреймы. Древовидная структура
перенаправляющих интерфейсов формирует только один путь к каждому каналу связи Ethernet и от
него (точно так же, как и у живого дерева можно проследить только один путь от коря к каждому листу)

Принимая решение о переводе интерфейса в состояние перенаправления, протокол STP

руководствуется тремя критериями.

 Протокол STP выбирает корневой коммутатор. Все рабочие интерфейсы корневого

коммутатора переводятся в состояние перенаправления.

 Каждый некорневой коммутатор считает, что у одного из его портов есть наименьшая
административная стоимость между ним и корневым коммутатором. Это корневая стоимость
(root cost) данного коммутатора. Протокол STP переводит в состояние перенаправления
корневой порт коммутатора (Root Port -RP), т.е. порт, являющийся частью пути с наименьшей
корневой стоимостью.

 К тому же сегменту Ethernet может быть подключено много коммутаторов, но в современных

сетях с каждым каналом связи связано обычно лишь два коммутатора. Коммутатор с самой
низкой корневой стоимостью, по сравнению с другими коммутаторами, подключенными к
тому же каналу связи, переводится в состояние перенаправления. Это выделенный
коммутатор (designated switch), а присоединенный к этому сегменту интерфейс коммутатора
– выделенный порт (Designated Port - DP).

Все другие интерфейсы переводятся в состояние блокировки. В таблице 9 – 2 приведены причины, по

которым протокол STP переводит порт в состояние перенаправления или блокировки.

Таблица 9 – 2 STP: причины перевода порта в состояние перенаправления или блокировки

Характеристики порта Состояние STP Описание

Все порты корневого Перенаправление Корневой коммутатор всегда является
коммутатора выделенным для всех подключенных
сегментов
Корневой порт каждого Перенаправление Порт с наименьшей стоимостью для доступа к
некорневого коммутатора коревому коммутатору
Выделенный порт каждой сети Перенаправление Коммутатор, перенаправляющий сообщения
LAN “Hello” в сегмент с самой низкой корневой
стоимостью, является выделенным
коммутатором для этого сегмента
Все другие рабочие порты Блокировка Порт не используется ни для
перенаправления пользовательских
фреймов, ни для получения любых фреймов,
предназначенных для перенаправления

48
Идентификатор моста STP и пакет BPDU Hello
Сначала протокол STP выбирает один коммутатор как корневой. Чтобы лучше понять процесс выбора,
следует уяснить, какие сообщения STP передаются между коммутаторами, а также концепции и
формат идентификатора, позволяющего однозначно определить каждый коммутатор.

Идентификатор моста STP (Bridge ID – BID) представляет собой 8-байтовое значение, уникальное для
каждого коммутатора. Идентификатор моста состоит из 2-байтового поля приоритета (priority) и 6-
байтового системного идентификатора (system ID), в основе которого лежит универсальный
(прошитый) МАС адрес каждого коммутатора. Использование прошитого МАС адреса гарантирует, что
идентификатор моста каждого коммутатора будет уникален.

Протокол STP определяет сообщения модуля данных протокола моста (Bridge Protocol Data Unit -
BPDU), используемые коммутаторами для обмена информацией между собой. Наиболее
распространённым сообщением BPDU является пакет Hello, содержащий много подробностей,
включая идентификатор BID коммутатора. Передавая свои уникальные идентификаторы BID,
коммутаторы способны распознавать, кто какой пакет Hello передал. Часть ключевой информации
пакета Hello приведена в таблице 9 – 3.

Таблица 9 – 3 Поля пакета Hello протокола STP

Поле
Идентификатор корневого моста
(Root bridge ID)
Идентификатор моста отправителя
(Sender’s bridge ID)
Корневая стоимость отправителя
(Sender’s root cost)
Значение таймера на корневом
коммутаторе (Timer values on the
root switch)
Описание
Отправивший это сообщение “Hello” коммутатор в
настоящее время считает себя корневым
Идентификатор моста коммутатора, отправившего это
сообщение “Hello”
Стоимость STP пути между этим коммутатором и текущем
корневым
Значение таймеров Hello, MaxAge и таймера задержки
перенаправления

Выбор корневого коммутатора

Коммутаторы выбирают корневой коммутатор на основании идентификаторов BID в сообщениях BPDU.
Корневой коммутатор – это коммутатор с самым низким числовым значением идентификатора BID.
Поскольку идентификатор BID состоит из двух частей, начиная со значения приоритета, корневым, по
существу, становится коммутатор с самым низким приоритетом. Поскольку выбор происходит на
основании части приоритета идентификатора BID, при равных приоритетах корневым станет
коммутатор с самой низкой частью МАС адреса.

Выборы корневого коммутатора протоколом STP проходят примерно так, как политические выборы.
Процесс начинается с передачи сообщений BPDU Hello всеми коммутаторами, которые собираются
стать корневыми. Собственный идентификатор BID коммутатора в этих сообщениях заявлен ка
корневой BID. Если коммутатор получает сообщение Hello с лучшим (более низким) идентификатором
BID, он прекращает анонсировать себя как корневой коммутатор и начинает перенаправлять
49
сообщение Hello, лучшее, чем у него. Сообщение Hello, посланное лучшим коммутатором, содержит
идентификатор BID лучшего коммутатора в качестве корневого. Это как в предвыборной компании,
когда менее популярный кандидат сдается и, прекращая собственную компанию, оказывает
поддержку более популярному кандидату. В конечном счете все соглашаются, что у некого
коммутатора наилучший (самый низкий) идентификатор BID, и поддерживают избранный коммутатор.
Пример показана на рисунке 9 – 3.

Рисунок 9 – 3 Коммутатор SW1 побеждает на выборах

Выбор корневого порта каждого коммутатора

Вторая часть процесса STP – это выбор каждым некорневым коммутатором одного и только одного
корневого порта (Root Port - RP). Корневой порт коммутатора – это интерфейс с наименьшей
стоимостью STP для доступа к корневому коммутатору.

На рисунке 9 – 4 представлена схема с теми же тремя коммутаторами что и на предыдущих рисунках.

Коммутатор SW1 уже выиграл выборы как корневой, и на рисунке рассматривается стоимость с точки
зрения коммутатора SW3.

У коммутатора SW3 есть два возможных физических пути для передачи фреймов на корневой
коммутатор: прямой путь (слева) и обходной (справа, через коммутатор SW2). Стоимость (cost) – это
сумма стоимость всех портов, покидаемых фреймом, если бы он следовал по этому пути. (Входящие
порты вычисление игнорирует). Как можно заметить, общая стоимость прямого пути через порт G0/1
коммутатора SW3 составляет 5, а общая стоимость другого пути – 8. Коммутатор SW3 выбирает свой
порт G0/1 как корневой, поскольку он является частью пути с наименьшей стоимостью для передачи
фреймов на корневой коммутатор.

50
Рисунок 9 – 4 Как человек мог бы вычислить стоимость STP от коммутатора SW3 до корневого
коммутатора (SW1)

Коммутаторы приходят к тому же выводу, но входе другого процесса. Вместо этого они добавляют
стоимость STP своего локального интерфейса к корневой стоимости, указанной в каждом полученном
пакете BPDU Hello. Стоимость STP маршрута через порт – это, целочисленное значение, присвоенное
каждому интерфейсу каждой сети VLAN для обеспечения объективного измерения, позволяющее
протоколу STP выбрать, какие интерфейсы добавить в топологию STP. Коммутаторы учитывают также
корневую стоимость своего соседа, анонсируя в каждом полученном от каждого соседа пакете BPDU
Hello.

На рисунке 9 – 5 приведен пример вычисления коммутаторами своей лучшей корневой стоимости и

последующего выбора корневого порта с использованием той же топологии, и стоимости STP, то и на
рисунке 9 – 4. Протокол STP на коммутаторе SW3 вычисляет свою стоимость доступа к корневому
коммутатору по двум возможным путям с добавлением анонсируемой (в сообщениях Hello) стоимости
к стоимости интерфейса, приведенного на рисунке.

51
Рисунок 9 – 5 Как протокол STP фактически вычисляет стоимость от коммутатора SW3 до корневого
коммутатора SW1

В ходе изображенного на рисунке 9 – 4 процесса коммутатор SW3 выбирает свой порт Gi0/1 как
корневой (Root Port RP), поскольку стоимость доступа к корневому коммутатору через него составляет
5, что ниже, чем у альтернативы (стоимость через порт Gi0/2 равна 8). Точно так же коммутатор SW2
выбирает свой порт Gi0/2 как порт RP со стоимостью 4 (коммутатор SW1 анонсировал стоимость 0 плюс
стоимость 4 интерфейса Gi0/2 коммутатора SW2). Каждый коммутатор переводит свой коневой порт в
состояние перенаправления.

Выбор выделенного порта на каждом сегменте LAN

Заключительный этап процесса STP по выбору топологии подразумевает выбор выделенного порта на
каждом сегменте LAN. Выделенный порт (Designated Port - DP) сегмента LAN – это порт коммутатора,
анонсирующий в сегмент LAN сообщения Hello с самой низкой стоимостью. Некорневой коммутатор,
перенаправляя сообщения Hello, записывает в поле корневой стоимости сообщения стоимость доступа
к корневому коммутатору. В результате коммутатор с самой низкой стоимостью доступа к корневому
коммутатору из всех коммутаторов сегмента становится портом DP на этом сегменте.

На рисунке 9 – 3 полужирным шрифтом выделены части сообщений Hello от коммутаторов SW2 и SW3,
определяющих выбор порта DP на данном сегменте. Обратите внимание, что оба коммутатора, SW2 и
SW3, имеют свою стоимость доступа к корневому коммутатору (4 у SW2 и 5 у SW3 соответственно). У
коммутатора SW2 стоимость ниже, поэтому его порт Gi0/1 становится выделенным портом на этом
сегменте LAN.

52
Все порты DP переводятся перенаправления; таким образом, интерфейс Gi0/1 коммутатора SW2 в
данном случае будет в состоянии перенаправления.

Если анонсируемые стоимости совпадают, выбирается коммутатор с более низким идентификатором

BID. В данном случае снова победил бы коммутатор с более низким идентификатором.

Итак, процесс STP завершен. В таблице 9 – 4 приведены состояния каждого порта и причины его
нахождения в этом состоянии.

Таблица 9 – 4 Состояние каждого интерфейса

Интерфейс Состояние Причина нахождения в состоянии перенаправления

коммутатора
SW1, Gi0/1 Перенаправление Интерфейс находится на корневом коммутаторе, поэтом
он становится портом DP на этом канале связи
SW1, Gi0/2 Перенаправление Интерфейс находится на корневом коммутаторе,
поэтому он становится портом DP на этом канале связи
SW2, Gi0/2 Перенаправление Корневой порт коммутатора SW2
SW2, Gi0/1 Перенаправление Выделенный порт сегмента LAN на коммутаторе SW3
SW3, Gi0/1 Перенаправление Корневой порт коммутатора SW3
SW3, Gi0/2 Блокировка Не корневой и не выделенный порт

Внесение изменений в конфигурацию влияет на топологию STP

Сетевые инженеры вполне могут изменить параметры STP, что повлияет результаты выборов в данной
сети LAN. Инженеру доступны два основных варианта. Инженеры обычно сами выбирают, какой
коммутатор стане корневым. В главе 3 описаны настройка коммутатора Cisco и переопределение его
стандартного идентификатора BID так, чтобы он стал корневым.

Стоимости маршрута через порт также имеют стандартные значения по каждому порту и сети VLAN.
Эти стоимости маршрута через порт также можно настроить или можно использовать стандартные
значения. В таблице 9 – 5 приведены стоимости маршрута через порт согласно стандарту IEEE.

Таблица 9 – 5 Первоначальные и текущие стандартные стоимости маршрута через порт согласно IEEE

Скорость Ethernet Стоимость IEEE: 1998 (и ранее) Стоимость IEEE: 2004 (и

позднее)
10 Мбит/с 100 2 000 000
100 Мбит/с 19 200 000
1 Гбит/с 4 20 000
10 Гбит/с 2 2000
100 Гбит/с Нет 200
1 Тбит/с Нет 20

При включенном протоколе STP все рабочие интерфейсы коммутатора находятся либо в состоянии STP
перенаправления, либо блокировки, даже порты доступа. Если интерфейсы коммутатора подключены
53
к хостам или маршрутизаторам, не использующим протокол STP, коммутатор продолжает
перенаправлять пакеты Hello на эти интерфейсы. Чтобы стать единственным устройством,
посылающим пакеты Hello в этом сегменте LAN, коммутатор посылает пакеты Hello в этом сегменте
LAN, позволяя коммутатору стать выделенным портом на этом сегменте.

Реакция на изменение состояния влияет на топологию STP

Как только инженер закончит настройку протокола STP, топология STP должна перейти в стабильное
состояние и не изменяется, по крайней мере до изменения топологии сети.

Стандартно корневой коммутатор посылает новые сообщения BPDU Hello каждые 2 секунды. Каждый
некорневой коммутатор перенаправляет сообщения Hello на все выделенные порты (DP), но только
после изменяющихся элементов, выведенных в сообщениях Hello. Когда коммутатор прекращает
получать сообщения Hello или получает сообщение с другими подробностями, он понимает, что что-то
отказало, и реагирует, запуская процесс изменения топологии распределенного связующего дерева.

Как коммутаторы реагируют на изменения топологии STP

По некоторым причинам процесс конвергенции требует использования трех таймеров. Все
коммутаторы используют таймеры, как диктует корневой коммутатор, периодически предающий
сообщения BPDU Hello. Таймеры описаны в таблице 9 – 6.

Таблица 9 – 6 Таймеры STP

Таймер Описание Стандартное значение

Hello Период времени между передачей сообщений 2 секунды
Hello корневым коммутатором
MaxAge Как долго коммутатор должен ожидать после 10 периодов Hello
прекращения поступления сообщений Hello
прежде чем пытаться изменить топологию STP
Задержка Задержка, влияющая на процесс, приходящий 15 секунд
перенаправления при изменении интерфейсом состояния с
блокировки на перенаправление. На
протяжении секунд, заданных таймером,
задержки перенаправления порт остается в
промежуточном состоянии прослушивания, а
затем переходит в промежуточное состояние
самообучения.

Если коммутатор не получает ожидаемых сообщений BPDU Hello за период Hello, то продолжает
работать как обычно. Но если сообщения Hello не поступают на протяжении периода MaxAge, то
коммутатор реагирует действиями, изменяющими топологию STP.

54
По истечении периода MaxAge коммутатора начинает новые выборы STP на основании любых пакетов
Hello, поступающих от других коммутаторов. В результате корневой коммутатор выбирается заново.
Если локальный коммутатор не становится корневым, он выбирает свой корневой порт (RP). И это
определяет, будут ли это выделенные порты (DP) на каждом из его других каналов связи.

Изменение состояния интерфейса

Протокол STP использует концепции ролей и состояний. Роли корневого и выделенного портов
относятся к тому, как протокол STP анализирует топологию сети LAN. Состояния перенаправления и
блокировки указывают коммутатору, нужно ли передавать и получать фреймы. При конвергенции STP
коммутатор выбирает новые роли для порта, а роли порта определяют состояние (перенаправления
или блокировки).

При переводе порта из состояния блокировки в состояние перенаправления коммутатор сначала

помещает порт в два промежуточных состояния. Эти временные состояния позволяют предотвратить
временные циклы.

Определение происходящего в состояниях прослушивания и самообучения

 Прослушивание (listening). Как и в состоянии блокировки, интерфейс не перенаправляет

фреймы. Коммутатор удаляет устаревшие (неиспользуемые) записи таблицы MAC адресов, для
которых (или от которых) за данный перо не было получено фреймов. Устаревшие записи
таблицы МАС адресов могут стать причиной временных циклов.

 Самообучение (learning). Интерфейсы в этом состоянии все еще не перенаправляют фреймы,

но коммутатор начинает изучать МАС адреса фреймов, полученных на интерфейсе.

Протокол STP оставляет интерфейс в каждом из промежуточных состояний на время, равное периоду
задержки перенаправления (стандартно – 15 секунд). В результате событие конвергенции,
переводящее интерфейс из состояния блокировки в состояние перенаправления, требует 30 секунд.
Кроме того, коммутатору, возможно, придется ждать период MaxAge, прежде чем перейти к выборам.

Состояние интерфейса распределенного связующего дерева приведены в таблице 9 – 7.

Таблица 9 – 7 Состояния распределённого связующего дерева по стандарту IEEE 802.1D

Состояние Перенаправляет ли Изучает ли МАС Стабильное или

фреймы адреса на основании промежуточное
полученных фреймов
Блокирования Нет Нет Стабильное
Прослушивания Нет Нет Промежуточное
Обучения Нет Да Промежуточное
Перенаправления Да Да Стабильное
Отключения Нет Нет Стабильное

55
Концепции протокола Rapid STP (IEEE 802.1w)
Для протокола STP одним из наиболее существенных улучшений стало введение ускоренного
протокола распределенного связующего дерева (Rapid Spanning Tree Protocol - RSTP) согласно
стандарту, IEEE 802.1w.

Сходства и различия между протоколами STP и RSTP

Протокол RSTP (802.1w) работает точно так же, как протокол STP (802.1D), в следующем.

 Выбирает корневой коммутатор, используя те же параметры и схемы разрешения конфликтов.

 Выбирает корневой порт на некорневых коммутаторах по тем же правилам.

 Выбирает выделенные порты на каждом сегменте LAN по тем же правилам.

 Переводит все порты в состояние перенаправления или блокировки, хотя в протоколе RSTP
состояние блокировки называется состоянием игнорирования (discarding state)

Причина создания протокола RSTP в конвергенции. Протокол RSTP ускоряет конвергенцию при
изменении топологии сети; обычно она занимает несколько секунд, а в самых плохих случаях – порядка
10 секунд.

 Добавлен новый механизм замены корневого порта, позволяющий без задержки достичь
состояния перенаправления (при некоторых обстоятельствах)

 Добавлен новый механизм замены выделенного порта, позволяющий без задержки достичь
состояния перенаправления (при некоторых обстоятельствах)

 Снижено время ожидания для случав, когда протокол RSTP вынужден ждать.

Протокол RSTP сокращает значения таймера MaxAge до трех значений таймера Hello. Наилучший
способ рассмотрения этих механизмов – это обсуждение работы альтернативного и резервного портов
RSTP. Термин альтернативный порт (alternating port) в контексте RSTP означает другие порты
коммутатора, которые могут стать корневым портом, если окажет текущий корневой порт. Концепция
резервного порта (backup port) подразумевает наличие на локальном коммутаторе резерва для
выделенного порта, но применима только для некоторых топологий. Роли портов RSTP приведены в
таблице 9 – 8.

Таблица 9 – 8 Роли портов RSTP 802.1w

Функция Роль порта

Наилучший путь о некорневого коммутатора к Корневой порт (root port)
корневому
Замена для корневого порта при его отказе Альтернативный порт (alternate port)

56
 Порт коммутатора, выделенный для Выделенный порт ( designated port)
перенаправления на домен коллизий
Замена для выделенного порта при его отказе Резервный порт (backup port)
Административно отключённый порт Отключенный порт (disabled port) или
заблокированный

Протокол RSTP и роль альтернативного (корневого) порта

При использовании протокола STP каждый некорневой коммутатор назначает один из портов на роль
корневого порта (RP) STP. Протокол RTSP следует тому же соглашению и тем же правилам при выборе
порта RP. Затем протокол RSTP переходит к следующему этапу - выбору других возможных портов RP,
становящихся альтернативными портами.

Что бы стать альтернативным, порт должен, как и корневой порт, получать сообщения Hello,
идентифицирующие тот же корневой коммутатор. Например, коммутатор SW1 на рисунке 9 – 6
является корневым. Коммутатор SW3 получает сообщения BDPU Hello на двух портах: G0/1 и G0/2. В
обоих случаях сообщения Hello содержат идентификатор моста (Bridge ID – BID) коммутатора SW1 в
качестве корневого коммутатора; таким образом, какой бы порт ни был корневым, оба соответствуют
критерию альтернативного порта. В данном случае коммутатор SW3 выбирает корневым порт G0/1, а
порт G0/2 делает альтернативным.

Новый корневой порт не тратит время на пребывание в других состояниях, таких как состояние
самообучения, а сразу переходит в состояние перенаправления.

Рисунок 9 – 6 Пример коммутатора SW3, на котором порт G0/2 становится альтернативным

57
На рисунке 9 – 7 приведен пример конвергенции RSTP. До отказа канала связи коревым является порт
G0/1 коммутатора SW3, он непосредственно соединен с корневым коммутатором SW1. Затем, на этапе
1 канал связи отказывает.

Рисунок 9 – 7 События конвергенции при отказе порта G0/1 коммутатора SW3

Этап 1. Нарушен канал связи между коммутаторами SW1 и SW3 что привело к отказу текущего
корневого порта G0/1 на коммутаторе SW3

Этап 2. Коммутаторы SW3 и SW2 обмениваются сообщениями RSTP, подтверждая, что теперь корневым
портом коммутатора SW3 станет его прежний альтернативный порт G0/2. Это приведет к сбросу
соответствующих записей таблицы MAC адресов коммутатора SW2

Этап 3. Порт G0/1 коммутатора SW3 переходит к роли отключенного, а порт G0/2 – к роли корневого
порта.

Этап 4. Порт G0/2 коммутатора SW3 немедленно переходит в состояние перенаправления, миную
состояние самообучения, поскольку это именно тот случай, когда протоколу RSTP известно, что переход
не приведет к созданию петли.

58
Состояние и процессы RSTP

Протоколы STP и RSTP используют состояние порта (port state), но несколько по-разному. В протоколе
RSTP остались состояние STP самообучения и перенаправления, используются они в тех же целях. Но
протокол RSTP даже не определяет состояние прослушивания, находя его не нужным. И наконец в
протоколе RSTP состояние блокировки переименовано в состояние игнорирования, а его
использование немного переопределено. Список состояний STP и RSTP для сравнения приведен в
таблице 9 – 9.

Таблица 9 – 9 Сравнение состояний порта STP 802.1D и RSTP 802.1w

Функция Состояние 802.1D Состояние 802.1w

Порт административно отключен Отключения (disabling) Игнорирования
(discarding)
Стабильное состояние, при котором входящие Блокировки (blocking) Игнорирования
фреймы данных игнорируются и не (discarding)
перенаправляются
Промежуточное состояние без изучения МАС Прослушивания Нет
адресов и без перенаправления (listening)
Промежуточное состояние с изучением МАС Самообучения Самообучения
адресов, но без перенаправления (learning) (learning)
Стабильное состояние, при котором Перенаправления Перенаправления
разрешены изучения МАС адресов и (forwarding) (forwarding)
перенаправление фреймов

Для ускорения конвергенции протокол RSTP избегает использование таймеров. Коммутаторы RSTP
оповещают друг друга об изменении топологии, используя сообщения. Эти сообщения также
указывают соседним коммутаторам сбросить содержимое их таблиц МАС адресов, чтобы без
ожидания удалить все записи, способные привести к петлевым маршрутам. В результате протокол RSTP
создает больше сценариев, при которых отказавший ранее порт может немедленно перейти к
состоянию перенаправления, не ожидая и не используя состояние самообучения, как показано на
рисунке 9 – 7.

Протокол RSTP и рол резервного (выделенного) порта

Роль резервного порта RSTP немного отличается от таковой в протоколе STP. Напомним, что
альтернативный порт RSTP позволяет быстрее заменить корневой порт коммутатора. Аналогично
резервный порт RSTP позволяет быстрее заменить выделенный порт коммутатора в некой локальной
сети.

Пример приведен на рисунке 9 – 8. Коммутаторы SW3 и SW4 подключены к тому же концентратору.

Порт F0/1 коммутатора SW4 побеждает выборы на роль выделенного порта (Designed Port - DP).
Другой порт коммутатора SW4, F0/2, соединенный с тем же доменном коллизий, действует как
резервной порт.
59
Рисунок 9 – 8 Пример резервного порта RSTP

Типы портов RSTP

Последняя рассматриваемая здесь концепция протокола RSTP связана с некоторыми терминами,

используемыми для описания различных типов портов и соединяющих их каналов связи.

Для начала рассмотрим простой рисунок 9 – 9. Здесь представлено несколько каналов связи между
двумя коммутаторами. Протокол RSTP полагает, что эти каналы связи, и соединяемые ими порты
являются двухточечными (point – to – point), поскольку каналы связи соединяют только два устройства.

Протокол RSTP относит двухточечные порты к двум категориям. Двухточечные порты, соединяющие
два коммутатора, не находящиеся на краю сети, относятся к двухточечным портам (point – to – point
port). Порты, подключенные к отдельному устройству конечной точки на краю сети, такому как
компьютер или сервер, относятся к двухточечным граничным портам (point – to – point edge port) ил
просто к граничным портам (edge port). На рисунке 9 – 9 граничным портом является порт
коммутатора SW3, соединенный с компьютером.

60
Рисунок 9 – 9 Типы каналов связи RSTP

И наконец протокол RSTP определяет термин совместно используемый (shared) описывающий порты,
подключенные к концентраторам. Этот термин связан с тем фактом, что концентраторы создают
совместно используемый Ethernet; концентраторы вынуждают также задействованный порт
коммутатора использовать полудуплексную логику.

Опциональные средства протокола STP

В заключительном разделе данной главы кратко рассматриваются несколько связанных тем,

посвященных улучшению работы и повышению безопасности протокола STP, включая канал
EtherChannel, режим PortFast и службу BPDU Guard.

61
Канал EtherChannel

Один из наилучших способов снижение времен конвергенции STP заключается в том, чтобы вообще
избежать конвергенции. Канал EtherChannel позволяет избежать необходимости в конвергенции STP
при отказе только одно порта или кабеля.

Канал EtherChannel объединяет несколько (до восьми) параллельных сегментов с равной скоростью
между той же парой коммутаторов, связанных каналом EtherChannel. Коммутаторы рассматривают
канал EtherChannel как единый интерфейс с точки зрения протокола STP. На рисунке 9 – 10 приведен
пример знакомой сети с тремя коммутаторами, но теперь с двумя гигабитовыми соединениями
Ethernet между каждой парой коммутаторов.

Что бы вызвать конвергенцию STP оказать должны оба канала с тем же коммутатором. Без канала
EtherChannel, если между двумя коммутаторами есть несколько параллельных каналов связи,
протокол STP блокирует все каналы связи, кроме одного. При наличии канала EtherChannel все
параллельные каналы связи могут работать одновременно, врем конвергенции STP сокращается, что,
в свою очередь, повышает доступность сети.

Рисунок 9 – 10 Каналы EtherChannel с двумя сегментами между коммутаторами

Также у коммутатора есть логика балансировки нагрузки, позволяющая ему выбирать интерфейс для
каждого фрейма так, чтобы распределить нагрузку по всем активным каналам связи в канале
EtherChannel. В результате сеть LAN, использующая каналы EtherChannel, намного лучше использует
доступную ширину полосы пропускания между коммутаторами при сокращении времени
конвергенции STP.

62
Режим PortFast

Режим PortFast позволяет коммутатору немедленно переходить из состояния блокирования в

состояние перенаправления в обход состояний прослушивания и самообучения. Однако единственные
порты, на которых можно безопасно включить режим PortFast – это порты, к которым гарантированно
не подключены никакие мосты, коммутаторы или другие устройства STP. Режим PortFast лучше всего
подходит для соединений с устройствами конечного пользователя.

Режим PortFast – это популярное средство граничных портов; фактически концепции режима PortFast
включает сам протокол RSTP. Протокол RSTP по своей природе обеспечивает быструю конвергенцию
на двухточечных граничных портах, избегая состояния самообучения, что является той же идеей,
первоначально заложенной компанией Cisco в режим PortFast.

Служба BPDU Guard

Протокол STP открывает в сети LAN несколько брешей для нарушения ее безопасности.

 Злоумышленник может подключиться к коммутатору через один из портов с низким значением

приоритета STP и сделать его корневым коммутатором. У новой топологии STP может оказаться
худшая производительность, чем у желательной топологии.

 Злоумышленник может включить несколько портов на нескольких коммутаторах, чтобы

сделать свой коммутатор корневым и фактически перенаправлять через него большую часть
трафика сети LAN. Если сотрудники не воспрепятствуют, злоумышленник сможет использовать
анализатор LAN для копирования фреймов данных, передаваемых по локальной сети.

Служба Cisco BPDU Guard позволяет предотвратить эти проблемы, отключая порт, если на него
поступает какое – ни будь сообщение BPDU. Это средство особенно полезно на тех портах,
которые должны использоваться только как порты доступа и никогда не соединяться с другим
коммутатором.

Кроме тогда, служба BPDU Guard позволяет предотвратить проблемы с режимом

PortFast. Использование службы BPDU Guard на тех же портах (портах доступа конечных
устройств) имеет смысл, поскольку при подключении к такому порту другого коммутатора
локальный коммутатор может отключить порт прежде, чем образуется петля.

63
ГЛАВА 10. РЕАЛИЗАЦИЯ ПРОТОКОЛА STP
Хотя протокол STP работает без настройки, большинство сетей среднего и крупного размеров извлекут
выгоду из некоторой настройки конфигурации STP. При всех стандартных значениях коммутаторы
выбирают корневой коммутатор на основании самого низкого прошитого МАС адреса, поскольку
изначально все они используют одинаковый приоритет STP. Однако лучше настроить коммутаторы так,
чтобы корневой коммутатор был предсказуем.

В данном разделе рассматривается множество тем, так или иначе касающихся конфигурации STP.
Сначала рассмотрим параметры настройки STP как способ связи концепций из главы 9 с выбором
конфигураций в этой главе. В следующем разделе рассматриваются некоторые из команд show,
позволяющих подтвердить наличие стандартных параметров STP перед любыми изменениями
конфигурации.

Установка режима STP

Сегодня коммутаторы LAN на базе операционной системы Cisco позволяют использовать один из трех
режимов настройки протокола STP, отражающих его историю. В первых двух разделах это главы
обсуждается режим Per-VLANS Spanning Tree Plus (PVST+ или PVSTP) – собственное усовершенствование
Cisco стандарта 802.1D для протокола STP. Честь per – VLAN (по каждой сети VLAN) в названии
описывает основную задачу: протокол PVST+ создает разные топологии STP для каждой сети VLAN,
тогда как стандарт 802.1D этого не предусматривает. Коммутаторы Cisco зачастую используют PVST+
как стандартный режим STP, применяя стандартную глобальную команду spanning – tree mode pvst.

Со временем компания Cisco добавила поддержку протокола RSTP, а также два режима STP,
позволяющие использовать протокол RSTP. Один режим просто берет PVST+ и модернизирует его,
используя логику RSTP, в режим Rapid PVST+, разрешаемый глобальной командой spanning – tee mode
mst.

Параметры конфигурации по каждой сети VLAN

Кроме BID и стоимости маршрута через порт STP, коммутаторы Cisco позволяют настраивать оба эти
параметра по каждой сети VLAN. Обычно коммутаторы Cisco используют стандарт IEEE 802.1D, а не RSTP
(802.1w) с собственным средством Cisco Per – VLAN Spanning Tree Plus (PVST+). Стандарт PVST+ (или
просто PVST) позволяет создать индивидуальный экземпляр STP для каждой сети VLAN.

Основная идея представлена на рисунке 10 – 1, на котором коммутатор SW3 перенаправляет трафик

VLAN с нечетными номера по левому магистральному каналу (Gi0/1), а VLAN – с четными номерами по
правому магистральному каналу (Gi0/2)

64
Рисунок 10 – 1 Балансировка нагрузки с помощью протокола PVST+

Идентификатор моста и системный идентификатор расширения

Первоначально BID коммутатора формировался в результате объединения 2 - байтового приоритета и
его 6 – байтового MAC адреса. Позже IEEE изменил правила, разделив первоначальное поле
приоритета на два отдельных поля (рисунок 10 – 2): 4 – битовое поле приоритета и 12 – битовое
подполе идентификатора расширения (system ID extension), представляющего идентификатор VLAN.
Единственная перестраиваемая сетевым инженером часть конфигурации – это 4 – битовое поле
приоритета.

Рисунок 10 – 2 Системный идентификатор расширения STP

Как показано на рисунке 10 – 2, вверху, первоначальное поле приоритета было 16 – битовым числом,
представляющим десятичное значение от 0 до 65535. Команде конфигурации (spanning – tree vlan

65
идентификатор_vlan priority x) требуется десятичное число от 0 до 65535, кратное 4096 т.е. 0, 4096,
8192, 12288 и так далее до 61440.

Наличие дополнительного 12 – битового поля в идентификаторе BID на практике работает очень

хорошо, поскольку это поле применимо для идентификации VLAN. Идентификаторы VLAN находятся в
диапазоне от 1 до 4094 и требует 12 битов. Например, коммутатор с настроенными сетями VLAN 1 – 4
со стандартным базовым приоритетом 32768 имеет стандартный приоритет STP 32769 для VLAN 1,
32770 – для VLAN 2, 32771 – для VLAN 3.

Стоимость маршрута через порт по каждой VLAN

На интерфейсах, поддерживающих несколько скоростей, коммутаторы Cisco базируют стоимость на
текущей фактической скорости. Таким образом, если интерфейс договорился об использовании более
низкой скорости, стандартная стоимость STP отразит эту более низкую скорость. Если интерфейс
договорился об использовании другой скорости, коммутатор динамически изменяет стоимость
маршрута через порт STP.

В качестве альтернативы стоимость маршрута через порт STP коммутатора можно настроить
подкомандой интерфейса spanning – tree [vlan идентификатор_vlan] cost стоимость. Чаще всего
эта команда встречается на магитсралных каналах, поскольку параметр стоимости на магитсральных
оказывает влияние на корневую стоимость коммутатора.

Для установки стоимости каждой VLAN команда нуждается толкько в параметре vlan на портах
магитсрального канала. Если в команде остутствует параметр vlan, она устанавливает стоимость STP
для всех VLAN, стоимость которых не установлена командой spaning – tree vlan x cost для данной VLAN.

Параметры настройки STP

В таблице 10 – 1 приведены стандартные настройки BID, стоимости маршута через порт и
необязательные команды конфигурации, рассматриваемые в этой главе.

Таблица 10 – 1 Стандартные значеня STP и возможности настройки

Параметр Стандартное значение Команда, изменяющая стандартное значение

Приоритет BID Базовое: 32768 spanning – tree vlan идентификатор_vlan root {primary |
secondary}
spanning – tree vlan идентификатор_vlan priority
приоритет
Стоимость От 100 до 10 Мбит/с spanning – tree vlan идентификатор_vlan cost
интерфейса От 19 до 100 Мбит/с стоимость
От 4 до 1 Гбит/с
От 2 до 10 Гбит/с
PortFast Не разрешено spanning – tree portfast
BPDU Guard Не разрешено spanning – tree bpduguard enable
66
Проверка работы протокола STP
В примерах из данного раздела используется сеть, представленная на рисунке 10 – 1

Рисунок 10 – 1 Дизайн сети, используемый в примерах этой главы

Пример 10 – 1 начинается с весьма полезной команды show spanning – tree vlan 10, которая
идентифицирует корневой коммутатор и выводит параметры локального коммутатора.

Пример 10 – 1 Состояние STP со стандартными параметрами на коммутаторах SW1 и SW2

67
Каждый коммутатор выводит приоритетную часть BID как отдельное число: 32778. Это значение
получается из стандартного приоритета 32768 плюс VLAN 10. Вывод демонстрирует также стоимости
19 и 4 для интерфейсов Fast Ethernet и Gigabit Ethernet соответственно.

И наконец внизу вывода команды show spanning - tree указаны все интерфейсы в VLAN, включая
магистральные каналы, их роли STP и состояния. Например, коммутатор SW2 представляет три
интерфейса: два DP и один корневой порт (все три – в состоянии FWD)

Две другие команды представленные в примере 10 – 2, выводят информацию о BID в более короткой
форме. Show spanning – tree, выводит BID корневого коммутатора для каждой сети VLAN. Другая
команда, show spanning – tree vlan 10 bridge, разделяет BID на составные части.

68
Пример 10 – 2 Вывод коммутатора и BID локального коммутатора на коммутаторе SW2

Настройка стоимости маршрута через порт STP

Для изменения стоимости маршрута через порт STP достаточно простой подкоманды интерфейса
spanning – tree [vlan x] cost x. Ранее на рисунке 10 – 3 при стандартных настройках коммутатор SW1
был корневым, а коммутатор SW3 блокировал интерфейс G0/2.

Рисунок 10 – 4 Анализ текущей корневой стоимости коммутатора SW3 со стандартным значением 4

69
Для того чтобы показать результат изменения стоимости маршрута через порт, в следующем примере
стоимость маршрута через порт G0/1 коммутатора SW3 устанавливается выше, что бы лучший путь к
корневому коммутатору проходил через порт G0/2. В примере 10 – 3 приведено также несколько
других интересных следствий.

Пример 10 – 3 Изменение стоимости маршрута через порт STP и переход в состояние

перенаправления

В результате изменения лучшей стоимостью от коммутатора SW3 до корневого коммутатора будет 8, а

его порт G0/2 станет корневым.

Отладочные сообщения извещают о том, что внутренне делает протокол STP на коммутаторе SW3,
пример с временными метками.

Влияние изменения приоритета на выбор корневого коммутатора

Еще один настраиваемый параметр STP – приоритет коммутатора – позволяет влиять на выбор
корневого коммутатора. Приоритет может быть установлен явно с помощью глобальной команды
конфигурации spanning – tree vlan идентификатор_vlan priority значение, устанавливающей базовый
приоритет коммутатора. Значение этого параметра должно быть кратным 4096.

В большинстве сетей инженеры выбирают на роль корневого два коммутатора: один основной и
второй, который станет корневым, если откажет первый. Операционная система коммутатора
предоставляет для этого команды spanning – tree vlan идентификатор_vlan root primary и spanning –
tree vlan идентификатор_vlan root secondary.

70
При команде spanning – tree vlan идентификатор_vlan root primary коммутатор выявляет текущей
корневой коммутатор в этой VLAN и его приоритет. Затем локальный коммутатор выбирает такое
значение приоритета, которые сделает его корневым.

С учетом того, что коммутаторы Cisco используют стандартный базовый приоритет 32768, эта команда
выбирает базовый приоритет следующим образом.

 Если базовый приоритет нынешнего корневого коммутатора выше 24576, локальный

коммутатор использует базовый приоритет 24576.

 Если базовый приоритет нынешнего корневого коммутатора составляет 24576 или ниже,
локальный коммутатор устанавливает свой базовый приоритет в самое высокое кратное 4096
значение, все еще позволяющее локальному коммутаторы стать корневым.

Для коммутатора, предназначенного на роль корневого, если первый корневой коммутатор откажет,
используется команда spanning – tree vlan идентификатор_vlan root secondary. Эта команда
устанавливает базовый приоритет коммутатора равным 28672 независимо от текущего значения
приоритета текущего корневого коммутатора.

Заметим, что в качестве альтернативы можно задать конкретное значение приоритета. На коммутаторе
SW1 можно использовать команду spanning – tree vlan 10 priority 28762, а на коммутаторе SW2 –
команду spanning – tree vlan 10 priority 24576.

Настройка режима PortFast и службы BPDU Guard

Режим PortFast и службу BPDU Guard можно легко разрешить на любом интерфейсе, причем двумя
способами. Один лучше подходит для разрешения этих средств на некоторых портах, а другой – для
разрешения этих средств почти на каждом порте доступа.

Что бы разрешить средство только на одном порте за раз, используйте подкоманды интерфейса
spanning – tree portfast и spanning – tree bpduguard enable.

Средства PortFast и BPDU Guard изначально отключен на всех интерфейсах, а чтобы задействовать их,
га каждом интерфейсе нужна подкоманда. В качестве альтернативы оба средства можно включить
глобально, а затем отключить их на тех интерфейсах, на которых это нужно, используя другую
подкоманду интерфейса для отключения.

В таблице 10 – 2 приведены команды, позволяющие включить и отключить средства PortFast и BPDU

Guard глобально и по каждому интерфейсу.

71
Таблица 10 – 2 Включение и отключение средств PortFast и BPDU Guard глобально и по каждому
интерфейсу

В примере 10 – 4 показана еще одна новая команда – show spanning – tree summary. Она
демонстрирует текущие глобальные настройки для нескольких параметров STP, включая средство
BPDU Guard и PortFast.

Пример 10 – 4 Отображение состояния глобальных параметров PortFast и BPDU Guard

Настройка EtherChannel
Протокол STP работает с каналом EtherChannel в целом, а не с отдельными физическими каналами
связи, поэтому он блокирует или разблокирует весь логический канал EtherChannel к определенной
сети VLAN. Без канала EtherChannel только одному из параллельных каналов между двумя
коммутаторами было бы позволено перенаправлять трафик, а остальные каналы протокол STP
блокировал бы. Канал EtherChannel может быть одним из наиболее сложных средств коммутатора. Во-
первых, есть несколько параметров настройки, поэтому следует помнить об их совместимости. Во-
вторых, коммутаторам требуется также множество других параметров всех интерфейсов канала связи,
поэтому следует знать и эти параметры.
72
Настройка канала EtherChannel вручную
Самый простой способ настройки канала EtherChannel заключается в добавлении правильной команды
конфигурации channel – group с ключевым словом on на каждый физический интерфейс каждого
коммутатора.

Этапы настройки канала EtherChannel вручную

Этап 1. Добавьте подкоманду интерфейса channel – group значение mode on на каждый физический
интерфейс, который должен быть частью канала

Этап 2. Используйте то же значение для всех команд на том же коммутаторе, но значение команды
channel – group на соседнем коммутаторе может отличаться

В примере 10 – 5 показана сеть с двумя каналами связи между коммутаторами SW1 и SW2 (рисунок 10
- 5). Две команды show отображают для коммутатора SW1 два интерфейса, помещенных в группу
канала 1.

Рисунок 10 – 5 Пример сети LAN, использующей канал EtherChannel

Пример 10 – 5 Настройка и мониторинг канала EtherChannel

73
Протокол STP больше не используется на физических интерфейсах F0/14 и F0/15, вместо этого он
работает на интерфейсе PortChannel1, поэтому в выводе отображается только этот интерфейс.

Настройка канала EtherChannel динамически

Коммутаторы Cisco поддерживают два протокола, позволяющих коммутаторам вести переговоры о
том, станет ли конкретный канал связи частью канала EtherChannel.

Коммутаторы Cisco поддерживают собственный протокол объединения портов (Port Aggregation

Protocol - PAgP) и стандартизированный IEEE протокол управления объединением каналов (Link
Aggregation Control Protocol - LACP), созданный на основании стандарта IEEE 802.3ad. Хотя между ними

74
и есть различие, оба они выполняют одну задачу: проведение переговоров, гарантирующих
фактическое использование в канале EtherChannel только каналов связи, прошедших проверку
конфигурации.

Для настройки любого протокола коммутатор использует команды конфигурации channel – group на
каждом коммутаторе, но с ключевым словом, означающим либо “использовать этот протокол и начать
переговоры”, “использовать этот протокол и ожидать начала переговоров от другого коммутатора”.
Как показано на рисунке 10 – 6 ключевые слова desirable и auto разрешают протокол PAgP, а ключевые
слова active и passive – протокол LACP. При использовании протокола PAgP по крайней мере одной из
сторон должен быть использован параметр desirable, а при протоколе LACP – параметр active.

Рисунок 10 – 6 Правильные комбинации параметров в конфигурации канала EtherChannel

Предположим, например, что оба физических интерфейса на обоих коммутаторах в проекте на рисунке
10 – 6 были снабжены подкомандами интерфейса channel – group 2 mode desirable. В результате оба
коммутатора договорились бы и создали канал EtherChannel. Пример 10 – 6 демонстрирует проверку
этой конфигурации командой channel – group 2 mode desirable. Эта команда отображает используемый
протокол (в данном случае протокол PAgP, поскольку задействовано ключевое слово desirable) и
список интерфейсов в канале.

Пример 10 – 6 Проверка канала EtherChannel: режим Desirable протокола PAgP

75
Реализация протокола RSTP
Для перехода с протокола STP на RSTP достаточно настроить на всех коммутаторах глобально команду
spanning – tree mode rapid – pvst.

Идентификация режима STP на коммутаторе Catalyst

Коммутатор Cisco Catalyst работает в режиме STP, определенной глобальной командой конфигурации
spanning – tree mode. В соответствии с параметрами этой команды коммутатор использует либо
протокол STP 802.1D, либо RSTP 802.1w, как упоминается в таблице 10 – 3.

Таблица 10 – 3 Режимы конфигурации STP коммутаторов Cisco Catalyst

Выяснить, использует ли коммутатор Cisco Catalyst протокол RSTP, можно в двух местах. В первую
очередь, можно посмотреть конфигурацию, как упоминается в левом столбце таблицы 10 – 3. Кроме
того, в выводе некоторых команд show протокол STP указывается в ссылке на глобальную команду
конфигурации spanning – tree mode. Часть rstp или mst указывает на один из режимов протокола RSTP,
а ieee – на режим протокола STP.

76
Роли портов RSTP
Протокол RSTP добавляет две новые команды роли портов: альтернативный и резервный порты. В
примере 10 – 7 повторяется фрагмент вывода команды show spanning – tree vlan 10 на коммутаторе
SW3, чтобы продемонстрировать пример роли альтернативного порта. Коммутатор SW3 не является
корневым коммутатором с корневым портом G0/1 и альтернативным портом G0/2.

Пример 10 – 7 Вывод, подтверждающий роли корневого и альтернативного портов коммутатора

SW3

Хорошая новость – вывод явно указывает, какой порт корневой (Gi0/1), а какой альтернативный
корневой (Gi0/2). Главное – помнить, что Altn – это сокращение от альтернативный.

Указание в выводе альтернативного порта RSTP вовсе не гарантирует, что коммутатор использует
протокол RSTP. Поэтому не делайте такого предположения на экзамене. Чтобы удостовериться в
использовании коммутатором именно протокола RSTP, следует заглянуть в конфигурации и найти
команду spanning – tree mode или искать протокол так, как было описано в таблице 10 – 3.

Состояние портов RSTP

Протокол RSTP по сравнению с STP имеет одно новое состояние порта, игнорирования (discarding),
используемое для замены состояния отключения (disabled) и блокирования (blocking) порта STP. Как
можно догадаться, после перенастройки коммутатора с протокола STP на RSTP вместо портов в
состоянии блокирования они будут отображаться в состоянии игнорирования. Но вывод коммутатора
Cisco Catalyst как правило не использует новый термин игнорирование, продолжая использовать
вместо него старый термин блокирование.

Типы портов RSTP

Коммутаторы Cisco Catalyst определяют тип порта RSTP на основании двух параметров порта: текущий
дуплекс (полный или полудуплекс) и разрешен ли режим PortFast. Дуплексная передача указывает
коммутатору использовать двухточечный тип порта, а полудуплексная – совместно используемый тип.
Разрешение режима PortFast указывает коммутатору рассматривать порт как граничный. Комбинации
приведены в таблице 10 – 4.

77
Таблица 10 – 4 Типы портов RSTP

Типы протоколов RSTP можно легко найти в выводе некоторых команд, включая команду show
spanning – tree в примере 10 – 8. Пример 10 – 8 демонстрирует ее вывод на коммутаторе SW2 с
концентратором, подключенным к его порту F0/18.

Пример 10 – 8 Типы портов RSTP

78
ГЛАВА 11. ПЕРСПЕКТИВЫ ПОДСЕТЕЙ IPv4.
Создание подсети на простом примере
Сеть IP – другими словами, сеть класса А, В или С – это просто набор последовательно
пронумерованных IP адресов, подчиняющихся неким предварительно установленным правилам.
Правила классов А, В и С, приведенные в главе 4, свидетельствуют о том, что у всех адресов
определенной сети совпадают значения некоторых октетов адресов. Например, сет класса В 172.16.0.0
состоит из IP адресов, которые начинаются с части 172.16: 172.16.0.0, 172.16.0.1 и так далее до
172.16.255.255.

Подсеть IP – это подмножество сетей класса А, В или С. Например, одна подсеть сети класса В
172.16.0.0 могла быть набором всех IP адресов, которые начинаются с 172.16.1 и включает адреса
172.16.1.0, 172.16.1.1 и так далее до 172.16.1.255

Анализ потребности в подсетях и адресации

Четыре простых вопроса, применяемые при анализе потребности в адресации и создании подсетей
для любой новой или изменяющейся корпоративной сети.

1. Какие хосты должны группироваться в подсеть?

2. Сколько подсетей требует данная сеть?

3. Сколько IP адресов хоста требует каждая подсеть?

4. Будет ли использован для простоты одинаковый размер подсети или нет?

Правила расположения хостов в определенной подсети

Основные факты о подсетях

 Адреса в той же подсети не отделяются маршрутизатором

 Адреса в различных подсетях разделены по крайней мере одним маршрутизатором.

Рисунок 11 – 1 Компьютеры А и В – в одной подсети, компьютер С – в другой.

79
Определение количества подсетей

Что бы определить требуемое количество подсетей, инженер должен обдумать документацию

объединённой сети и посчитать места, нуждающиеся в подсетях. Для этого ему нужен доступ к схемам
сете, подробностям конфигурации VLAN и каналов связи WAN.

Какие места в сетевой топологии нуждаются в подсети

 Сеть VLAN.

 Двухточечный последовательный канал связи.

 Эмуляция Ethernet канала связи WAN (EoMPLS).

Определение количества хостов в каждой подсети

Определение количества хостов в подсети требует знания нескольких простых концепций, небольшого
последующего исследования и опроса. Для планирования зачастую используют лишь несколько
типичных площадок из всех. Предположим, например, что имеется несколько больших коммерческих
офисов и несколько меньших. В этом случае можно досконально изучить только один большой офис и
один малый.

Например, на рисунке показано, что инженер разработал схему, демонстрирующую количество хостов
подсети LAN в наибольшей ветви, В1. Для остальных он оставил все как есть, так как, требования по
количеству хостов к ним ниже, чем к В1.

Рисунок 11 – 2 Большая ветвь В1 с 50 хостами.

80
Определение размера подсети

Инженер назначает каждой подсети, маску подсети, и эта маска, между прочим, как раз и определяет
размер подсети. Маска резервирует количество битов хоста, задача которых – различать IP адреса
хостов этой подсети. Поскольку с помощью х битов можно нумеровать 2H сущностей, если маска
определяет H битов хоста, подсеть может содержать 2H индивидуальных числовых значений.

Однако размер подсети не 2H, а 2H-2, поскольку два числа в каждой подсети зарезервированы для
других целей. Каждая подсеть резервирует наименьшее значение для адреса подсети и самое
большое – для широковещательного адреса подсети.

Рисунок 11 – 3 Концепция размера подсети.

Все подсети одного размера

При выборе единой маски следует учитывать одно требование: она должна обеспечить достаточное
количество IP адресов хостов для поддержки наибольшей подсети. Для этого количество битов хоста
(H), определенные маской, должно быть достаточно большим, что бы значение 2H – 2 было большим
или равным количеству IP адресов хоста, необходимому в наибольшей подсети.

Наибольшим недостатком единого размера подсетей является растрата впустую IP адресов.

Выбор проекта
Выбор классовой сети - Открытые сети IP

Первоначальный проект Интернета обязывал, что бы любая подключившаяся к нему компания

использовала зарегистрированную открытую сеть IP. Открытые сети IP и сопровождающие их
административные процессы гарантируют, что все компании, которые подключаются к Интернету,
будут использовать уникальные IP адреса. Гарантия уникальности означает, что маршрутизация
Интернета будет работать хорошо, поскольку нет никаких совпадающих открытых IP адресов. Со
временем при таком подходе адресов оказалось недостаточно. Сообщество придумало несколько
решений, включая перечисленные ниже.

Средства продления существования протокола IPv4

81
  Новая версия протокола IP (IPv6) с намного большими адресами (128 битов)

 Назначение каждой компании части открытой сети IP вместо всей открытой сети IP

 Трансляция сетевых адресов (Network Address Translation – NAT), позволяющая использовать

частные сети IP

Технология NAT, позволяет нескольким компаниям использовать те же частные сети IP с теми же

адресам, что и у других компаний, при наличии подключения к Интернету.

Рисунок 11 – 4 Многократное использование той же закрытой сети 10.0.0.0 с помощью NAT

Частные сети IP

По определению частные сети IP

 Никогда не будут присваиваться организациям как открытая сеть IP;

 Могут быть использованы организациями, применяющими технологию NAT при передаче

пакетов в Интернет

 Могут использоваться организациями, которыми никогда не придется посылать пакеты в

Интернет

Выбор маски
Если разработчик следовал темам этой главы, то он бы знал следующее:

 Необходимое количество подсетей;

 Необходимое количество хостов на подсеть;

 Что решено использовать только одну маску для всех подсетей, что бы все подсети были
одинакового размера (одинаковое количество хостов на подсеть);

 Номер классовой сети IP, которая в результате будет разделена.

Классовые сети IP до создания подсетей

Настоящие величины частей сети и хоста адресов могут быть легко предсказаны, как показано на
рисунке ниже
82
Рисунок 11 – 5 Формат адреса не разделенной на подсети сети класса А, В и С

На рисунке значения N и H представляют количество битов сети и хоста соответственно. Правила

классов определяют количество октетов сети (1,2 или 3) для классов А, В или С соответственно; на
рисунке эти значения представлены количеством битов. Количество октетов хоста составляет 3, 2 или
1 соответственно.

Продолжая анализ классовой сети перед созданием подсетей, можно вычислить количество классовых
IP адресов в сети по той же формуле 2H – 2 что и ранее. В частности, размер не разделенных на подсети
сетей класса А, В или С приведены ниже.

 Класс А. А24 – 2 = 16 777 214

 Класс В. 216 – 2 = 65 534

 Класс С. 28 – 2 = 254

Заимствование битов хоста для создания битов подсети

Что бы разделить сеть, инженеру следует обдумать части сети и хоста, чтобы создать подсети в
структуре адреса, необходимые биты заимствуются из части хоста.

Рисунок 11 – 6 Общая концепция заимствования битов хоста

83
Выбор достаточного количества битов подсети и хоста

Процесс проектирования требует выбрать, где поместить пунктирную линию, представленную на

рисунке 11 – 7. Правильный ответ зависит от требований, собранных на прежних этапах процесса
планирования.

 Необходимое количество подсетей

 Количество хостов на подсеть

Количество битов подсети должно быть достаточно большим для уникальной нумерации всех
подсетей, как определено на этапе планирования. В тоже время количество оставшихся битов должно
быть достаточно большим для нумерации IP адресов хостов в наибольшей подсети

Рисунок 11 – 7 Заимствование достаточного количества битов подсети и хоста

На рисунке представлена концепция выбора количества битов подсети (S) и хоста (H) с последующей
математической проверкой. Значение 2S должно быть больше количества необходимых подсетей,
иначе маска не обеспечит достаточно много подсетей в этой сети IP. Кроме того, значение 2H – 2 должно
быть больше количества необходимых хостов на подсеть.

Краткий пример проекта: 172.16.0., 200 подсетей, 200 хостов

В данном случае план и выбранный проект диктую следующие условия.

 Использовать одну маску всех подсетей

 Наличие 200 подсетей

 Наличие 200 IP адресов хостов на подсеть

 Использование частной сети класса В 172.168.0.0

84
Рисунок 11 – 8 Пример выбора маски для проекта

Маски и их форматы

Маска подсети – это 32 разрядное двоичное число с несколькими двоичными единицами слева и
двоичными нулями справа. Фактически маска именно так выражает идею размера части хоста в адресе
при наличии подсети.

После выбора классовой сети и количества битов подсетей и хоста в подсети несложно создать
двоичную маску подсети. Достаточно написать N единиц, S единиц, а затем H нулей (под N, S, и H
подразумевается количество битов сети, подсети и хоста)

Рисунок 11 – 9 Создание двоичной маски подсетей для сети класса В

Создание списка всех подсетей

Последняя задача этапа проектирования подсети – определение фактических подсетей, создаваемых
на основании всех сделанных ранее выборов. Подсеть состоит из группы последовательных чисел,
большинство из которых (номеров) применяется как IP адреса хостов. Однако каждая подсеть
резервирует первые и последние номера в группе, и эти два номера не могут использоваться ка IP
адреса. В частности, подсеть содержит следующее.
85
  Адрес подсети, называемый так же идентификатором подсети (subnet ID) или номером
подсети, - число, идентифицирующее подсеть. Это наименьший номер в подсети. Он не может
использоваться как IP адрес хоста.

 Широковещательный адрес подсети, называемый так же направленным

широковещательным адресом, - последний, самый большой номер в подсети. Он так же не
может использоваться.

 IP адреса – все номера между идентификатором подсети и широковещательным адресом

подсети, применяемые как IP адреса хостов

Рассмотрим, например, приведенный ранее случай, в котором результаты проектирования были

следующими:

 Сеть 172.16.0.0. (класс В)

 Маска 255.255.255.0

Таблица 11 – 1 Подсети для сети 172.168.0.0 255.255.255.0

Адрес подсети Ip адреса Широковещательный адрес

172.16.0.0 172.16.0.1 – 172.16.0.254 192.168.0.255
172.16.1.0 172.16.1.1 – 172.16.1.254 192.168.1.255
172.16.2.0 172.16.2.1 – 172.16.2.254 192.168.2.255
…. …. ….
172.16.254.0 172.16.254.1 – 172.16.254.254 192.168.254.255
172.16.255.0 172.16.255.1 – 172.16.255.254 192.168.255.255

86
ГЛАВА 12. АНАЛИЗ КЛАССОВЫХ СЕТЕЙ IPv4
При работе с сетью выявление проблем зачастую начинается с выяснения IP адреса и маски. Нужно
уметь определить только по IP адресу несколько фактов о сети класса А, В или С, в которой он
располагается.

Концепции классовых сетей

В текущей главе объясняется, как, начиная только с одного IP адреса, выявить факты, приведенные
ниже.

 Класс (А, В или С)

 Стандартная маска

 Количество октетов (битов) сети

 Количество октетов (битов) хоста

 Количество адресов хостов в сети

 Идентификатор сети

 Широковещательный адрес сети

 Первый и последний адреса, допустимые для использования в сети

Классовая сеть IPv4 и факты, связанные с ней

Протокол IP версии 4 определяет пять классов адресов. Три класса используют одноадресатные IP
адреса для однозначного идентифицирования устройства. Один многоадресатный и один диапазон
зарезервирован.

Таблица 12 – 1 Классы IPv4 адресов на основании значения первого октета.

87
Таблица 12 – 2 Основные факты о классах А, В и С

Количество и размер сетей класса А, В и С

Рисунок 12 – 1 Количество и размеры сетей класса А, В и С

Форматы адресов
У адресов классовой сети есть структура, состоящая из двух частей: часть сети (network part) , иногда
называемая префиксом, и часть хоста (host part). Сравнив два любых IP адреса в одной сети, моно
заметить следующее.

 У адресов в той же сети одинаковые значения части сети

 У адресов в той же сети разные значения хоста

88
На рисунке ниже приведены формат и размеры (в битах) частей сети и хоста IP адресов в сети класса А,
В и С до того, как они будут разделены на подсети.

Рисунок 12 – 2 Размеры (в битах) частей сетей и хоста не разделенных на подсети классовых сетей.

Стандартные маски
Что бы выразить концепции, представленные выше для компьютера, с каждым классом сети связана
стандартная маска (default mask), которая определяет размеры частей сети и хоста не разделенной
на подсети сети класса А, В или С. Для этого маска содержит набор двоичных единиц для битов,
которые принадлежат части сети, и двоичных нулей, которые принадлежат части хоста. Например,
стандартная маска сети класса А 10.0.0.0 в двоичном виде выглядит так:

11111111 00000000 00000000 00000000

Ниже представлены стандартные маски каждого класса сети в двоичном и десятичном форматах.

Рисунок 12 – 3 Стандартные маски для классов А, В и С

89
Количество хостов на сеть
Количество хостов на сеть вычисляются по формуле 2H – 2, где H – количество битов хоста.

Определение идентификатора сети и сопутствующих значений

У каждой классовой сети есть четыре ключевых числа, которые описывают сеть. Эти четыре числа
можно получить, исходя только из одного IP адреса в сети. Это следующие значения:

 Номер сети;

 Первый (в цифровой форме самый низкий) пригодный для использования адрес;

 Последний (в цифровой форме самый высокий) пригодный для использования адрес;

 Широковещательный адрес сети.

Этапы определения информации о классовой сети

1. На основании первого октета определите класс сети (А, В или с)

2. На основании класса мысленно разделите октеты на части сети и хоста

3. Для выяснения номера сети замените октеты хоста IP адреса на 0

4. Для выяснения первого адреса добавьте 1 к четвертому октету идентификатора сети

5. Для выяснения широковещательного адреса замените октеты хоста идентификатора сети на

255

6. Для выяснения последнего адреса вычтите 1 из четвертого октета широковещательного адреса

сети.

Рисунок 12 – 4 Пример определения идентификатора сети и других значений для адреса 10.17.18.21

90
Рисунок 12 – 5 Пример определения идентификатора сети и других значений для адреса 172.16.8.9.

91
ГЛАВА 13. АНАЛИЗ МАСОК ПОДСЕТИ
Маска подсети, используемая в одной или нескольких подсетях объединённой сети IP, может много
сказать о намерении разработчика подсети. В первую очередь, маска подсети, делит адреса на две
части: префикса и хоста. Кроме того, класс сети далее делит структуру адресов на подсети, разделяя
префиксную часть на части подсети и сети. Часть подсети определяет количество подсетей, способных
существовать в одной классовой сети IP.

Преобразование масок подсети

Три формата масок

Маски подсети могут быть записаны как 32 разрядные двоичные числа, но не любые. В частности,
двоичная маска подсети должна следовать таким правилам.

 Значение не должно чередовать единицы и нули.

 Если есть единицы, они располагаются слева.

 Если есть нули, они располагаются справа.

Например, 11111111 11111111 11111110 00000000.

Существует еще два дополнительных формата маски подсети, что бы не приходилось работать
непосредственно с 32 битовыми двоичными числами. Один формат, десятичное представление с
разделительными точками (DDN), преобразует каждый набор битов в десятичный эквивалент.
Например, 255.255.255.0

Третий формат, префиксный. Этот формат использует правило, согласно которому маска подсети
начинается с некоторого количества единиц, а остальные цифры остаются нулями. Префиксный формат
включает наклонную черту (/), сопровождаемую количеством двоичных единиц в двоичной маске.
Например, /24.

Преобразования между двоичными и префиксными формами

Правила преобразования двоичных и префиксных форм маски

 Из двоичной в префиксную. Подсчитайте количество единиц в двоичной маске и запишите его

в десятичной форме после наклонной черты

 Из префиксной в двоичную. Напишите количество единиц, соответствующее префиксному

значению, и дополните их нулями до размера 32 разрядного двоичного числа.

92
Таблица 13 – 1 Пример преобразования: двоичная – в префиксную

Таблица 13 – 2 Пример преобразования: префиксная – в двоичную

Преобразование между двоичным и форматом DDN

Запомните девять десятичных значений, которые могут быть в десятичной маске, и попрактикуйтесь в
использовании справочной таблице с этими значениями

Таблица 13 – 3 Девять значений, возможных в одном октете маски подсети

Правила преобразования между двоичной и DDN формами маски

 Из двоичной в десятичную. Для каждого октета найдите в таблице двоичное значение и

запишите в соответствующее десятичное значение.

 Из десятичной в двоичную. Организуйте биты в четыре набора, по восемь в каждом. Для

каждого октета найдите в таблице десятичное значение и запишите в соответствующее 8-
битовое значение.

93
Таблица 13 – 4 Пример преобразования: двоичная – в десятичную.

Таблица 13 – 5 Пример преобразования: десятичная двоичная

Выбор проекта подсети с использованием маски

У масок подсети много задач. Фактически маска подсети используется для следующих целей.

Некоторые функции масок подсети

 Определяет размер префиксной части (сети и подсети) адресов подсети

 Определяет размер части хоста адресов подсети

 Применяется при вычислении количества хостов в подсети

 Позволяет сетевому инженеру выяснить подробности о проекте подсети (количество битов

подсети и хоста)

 Согласно определению, используется при вычислении количества подсетей всей классовой

сети.

 Применяется в двоичных вычислениях идентификатора и широковещательного адреса сети.

94
Маски подсети делят адреса на две части
Маска подсети разделяет IP адреса подсети на две части: префикса (или подсети) и хоста. Часть
префикса идентифицирует адреса, которые располагаются в той же подсети, поскольку у всех IP
адресов в той же подсети одинаковые значения в префиксной части.

Часть хоста в адресе уникально идентифицирует хост в подсети. Если сравнить какие-нибудь два IP
адреса в той же подсети, то их части хоста будут отличаться, даже при том, что в префиксных частях их
адресов тоже значение.

Например, 10.1.1.1, 10.1.1.2, 10.1.1.3.

В этом списке части префикса или подсети (первые три октета 10.1.1) одинаковы, а в части хоста разные.
Таким образом, часть префикса или подсети адреса идентифицирует группу, а часть хоста –
определенный элемент группы.

Маска подсети определяет разделительную линию между частями префикса и хоста. Короче говоря,
если маска имеет Р двоичных единиц, то префиксная часть имеет длину в Р бит, а остальная часть битов
является битами хоста. Общая концепция представлена ниже на рисунке.

Рисунок 13 – 1 Части префикса (подсети) и хоста, разделенные единицами и нулями маски.

Рисунок 13 - 2 Конкретный пример – использование маски 255.255.255.0

Маски и класс делят адреса на три части

Кроме представления двумя частями IPv4 адресов, возможно наличие трех частей. Для этого
достаточно применить к формату адреса правила класса А, В или С, чтобы выявить часть сети в начале
адреса. Это дополнительная логика делит префикс на две части: часть сети и часть подсети. Класс
определяет длину части сети, а часть подсети является остальной частью префикса.

95
Рисунок 13 – 3 Применение концепции класса для создания трех частей адреса.

Совместно части сети и подсети составляют префикс, поскольку у всех адресов в той же подсети
должны быть идентичные значения в частях подсети и сети.

Рисунок 13 – 4 Подсеть 10.1.1.0, маска 255.255.255.0: N=8, S=16, H=8

Бесклассовая и классовая адресация

 Бесклассовая адресация. Концепция наличия у IPv4 адреса двух частей (префиксной и хоста),
определенных только маской, без учета класса (А, В или с)

 Классовая адресация. Концепция наличия у IPv4 адреса трех частей (сети, подсети и хоста),
определённых маской и классом А, В или С.

Выводы на основании формата IPv4 адреса

Зная, как разделить адрес, используя бесклассовые и классовые правила адресации, с помощью
нескольких простых математических формул можно легко установить некоторые важные факты.

Сначала, зная количество битов хоста, для любой подсети можно вычислить количество IP адресов
хоста в подсети. Затем если известно количество битов подсети (используется концепция классовой
адресации) и то, что все подсети используют только одну маску, можно так же вычислить количество
подсетей в сети. Формулы требуют знания значений степеней числа 2.

 Хостов в подсети. 2H – 2, где H – количество битов хоста.

96
  Подсетей в сети. 2S, где S – количество битов подсети, используйте эту формулу, только если во
всей сети применяется маска.

Размеры частей IPv4 адресов тоже могут быть вычислены. Математика проста, но важны концепции.
Имея ввиду, что IPv4 адреса имеют длину 32 бита, обе части в бесклассовой адресации должны
составлять в целом 32 (Р + Р = 32), и в классовой адресации эти три части должны составлять в целом
32 (N + S + H = 32). Эти отношения представлены ниже на рисунке.

Рисунок 13 – 5 Отношения между /P, N, S и H

Формальные этапы анализа и вычисления значений, обсуждаемых в данной главе.

Этап 1. Преобразуйте маску в префиксный формат (/P), если нужно (см. выше)

Этап 2. На основании класса определите N

Этап 3. Вычислите подсеть S = P – N

Этап 4. Вычислите хост H = 32 – P

Этап 5. Вычислите количество хостов на подсеть 2H – 2

Этап 6. Вычислите количество подсетей 2S.

Рассмотрим ниже случай IP адреса 8.1.4.5 с маской подсети 255.255.0.0.

Этап 1. 255.255.0.0 = /16, таким образом P =16

Этап 2. 8.1.4.5 находится в диапазоне 1 -126 первого октета, таким образом это класс А, значит N=8

Этап 3. Вычисляем S= P – N = 16 – 8 = 8

Этап 4. Вычисляем H = 32 – P = 32 – 16 = 16

Этап 5. Вычисляем количество хостов 216 – 2 = 65 534 хоста на подсеть

Этап 6. Вычислите количество подсетей 28 = 256 подсетей

97
Рисунок 13 – 6 Визуальное представление задачи 8.1.4.5, 255.255.0.0

Рассмотрим еще один пример. Адрес 200.1.1.1 и маску 255.255.255.252.

Этап 1. 255.255.255.252 = /30, таким образом P =30

Этап 2. 8.1.4.5 находится в диапазоне 191 -223 первого октета, таким образом это класс С, значит N=24

Этап 3. Вычисляем S= P – N = 30 – 24 = 6

Этап 4. Вычисляем H = 32 – P = 32 – 24 = 8

Этап 5. Вычисляем количество хостов 28 – 2 = 256 хоста на подсеть

Этап 6. Вычислите количество подсетей 26 = 64 подсети

98
ГЛАВА 14. АНАЛИЗ СУЩЕСТВУЮЩИЙ ПОДСЕТЕЙ
Нередка задача начинается с поиска IP адреса и маски, используемой неким хостом. Затем, чтобы
понять, как объединённая сеть направляет пакеты на этот хост, следует найти основные элементы
информации о подсети, а именно:

 Идентификатор подсети

 Широковещательный адрес подсети

 Диапазон пригодных для исполнения одноадресатных IP адресов сети

Определение подсети
Определение ключевых номеров подсети

 Подсеть содержит набор последовательных номеров

 Подсеть содержит 2H номер, где H – количество битов хоста, определенных маской подсети

 Два специальных номера в диапазоне не могут использоваться как IP адреса

 Первый номер (наименьший) – это идентификатор подсети (subnet ID)

 Последний номер (наибольший) – это широковещательный адрес подсети (subnet broadcast

address)

 Остальные адреса, значения которых находятся между идентификатором и

широковещательным адресом подсети, используется как одноадресатные IP адреса (unicast IP
address)

Пример с сетью 172.16.0.0 и четырьмя подсетями

Дано: IP адрес и маска (172.16.150.41 255.255.192.0)

Одна из первых и наиболее распространенных задач, которые приходится решать на основании

данной информации, - это поиск идентификатора подсети, в которой располагается указанный адрес
(иногда его называют резидентской подсетью).

Исследуем маску (255.255.192.0) и классовую сеть (172.16.0.0). Из маски, на основании изложенного в

главе 15, можно вывести структуру адресов в подсети, включая количество битов подсети и хоста.

99
Рисунок 14 – 1 Структура адреса: сеть класса В, маска /18

Поскольку каждая подсеть использует единую маску, все подсети данной сети IP имеют осиновый
размер, так как у всех подсетей одинаковая структура. В этом примере все четыре подсети имеют такую
же структуру, как на рисунке, поэтому все они будут иметь 214 – 2 адреса хоста

Рассмотрим общую картину подсети примера: у одной сети класса В теперь есть четыре подсети
равного размера. Концептуально, если представить всю сеть класса В как числовую ось с четырьмя
подсетями равного размера, каждая подсеть содержит, по существу, четверть сети, и каждая подсеть
использует четверть номеров. У каждой подсети есть идентификатор (самый маленький номер),
поэтому на рисунке он находится слева, а также широковещательный адрес (самый большой номер),
на рисунке он справа.

Рисунок 14 – 2 Сеть 172.16.0.0, разделенная на четыре равных подсети

Дальше мы выясним подробности той подсети, в которой располагается IP адрес.

100
Рисунок 14 – 3 Резидентная подсеть для 172.16.150.41, 255.255.192.0

Идентификатор подсети – это число, используемое для ее краткого представления. Будучи указанным
вместе с маской подсети, идентификатор подсети идентифицирует подсеть и применяется при
получении широковещательного адреса, а также диапазона адресов подсети.

Идентификатор подсети присутствует во многих местах, но чаще всего он используется в таблицах

маршрутизации. Когда инженер задает маршрутизатору IP адрес и маску, он вычисляет идентификатор
подсети и помещает маршрут в свою таблицу маршрутизации.

Широковещательный адрес подсети

У широковещательного адреса подсети две основные роли: он используется как IP адрес получателя
при передаче пакетов всем хостам в подсети, а также при поиске старшего адреса в диапазоне
допустимых адресов подсети.

Диапазон адресов, пригодных для использования.

Инженер, реализующий объединённую сеть IP, должен знать диапазон одноадресатных IP адресов в
каждой подсети. При поиске диапазона пригодных для использования IP адресов в подсети найдите
сначала идентификатор и широковещательный адрес подсети. Затем добавьте единицу к четвертому
октету идентификатора подсети, чтобы получить первый (наименьший) пригодный для использования
адрес, и вычтите единицу из четвертого октета широковещательного адреса подсети, чтобы получить
последний (наибольший) пригодный для использования адрес подсети.

Анализ существующих подсетей: двоичный

“Проанализировать сеть” означает, что, исходя из IP адреса и маски, нужно определить ключевые
факты о подсети., в которой располагается этот адрес, а именно: выяснить идентификатор и
широковещательный адрес подсети.

Поиск идентификатора подсети: двоичный метод

Для поиска идентификатора подсети в двоичном формате возьмите IP адрес в двоичном виде и
замените все биты хоста на двоичные нули. Необходимо также выявить биты префикса и хоста,
которые можно легко получить, преобразовав маску (по мере необходимости) в префиксный формат.
101
Рисунок 14 – 4 Двоичная концепция: преобразование IP адреса в идентификатор подсети

Сверху: формат IP адреса представлен в виде 18 битов префикса (P) и 14 битов хоста (Н) маски (этап 1).
Вторая строка (этап 2) демонстрирует двоичную версию IP адреса, преобразованного из десятичного
представления с разделительными точками (DDN) 172.16.150.41. Следующие два этапа демонстрируют
копирование битов префикса IP адреса (этап 3) и присвоение битам хоста двоичных значений 0 (этап
4). В результате получается значение идентификатора подсети ( в двоичном формате).

Последний этап подразумевает преобразование идентификатора подсети из двоичной системы

счисления в десятичную.

Рисунок 14 – 5 Преобразование идентификатора подсети из двоичного формата в DDN

Поиск широковещательного адреса подсети: двоичный метод

При поиске широковещательного адреса подсети используется подобный процесс, но вместо записи
всех битов части хоста наименьшем значением (бинарными нулями) они заполняются наибольшим
значением (двоичными единицами)

102
Рисунок 14 – 6 Поиск широковещательного адреса подсети: двоичный метод

Этапы применения двоичной математики для поиска идентификатора подсети

Этап 1. Для нахождения длины префикса (/P) и длинны хоста (32 –Р) преобразуйте маску в префиксный
формат

Этап 2. Преобразуйте IP адрес в его 32 разрядный двоичный эквивалент

Этап 3. Скопируйте префиксные биты IP адреса

Этап 4. Запишите нули для битов хоста

Этап 5. Преобразуйте полученное 32 разрядное число, по 8 битов за раз, в десятичное число

Сокращенный двоичный процесс

Общие этапы использования двоичной и десятичной математики для поиска идентификатора
подсети

Этап 1. Если октет маски равен 255, копируйте десятичный октет IP адреса

Этап 2. Если октет маски равен 0, запишите для него десятичный 0

Этап 3. Если октет маски не равен 0 и 255, используйте в нем ту же двоичную логику, что и в разделе”
Поиск идентификатора подсети: двоичный метод”.

103
Рисунок 14 – 7 Пример сокращения двоичного процесса

Этапы использования двоичной и десятичной математики для поиска широковещательного адреса

подсети

Этап 1. Если октет маски равен 255, копируйте десятичный октет IP адреса

Этап 2. Если октет маски равен 0, запишите для него десятичное 255

Этап 3. Если октет маски не равен 0 и 255, используйте в этом октете ту же двоичную логику, что и в
разделе “Поиск широковещательного адреса подсети: двоичный метод”

Анализ существующих подсетей: десятичный

Анализ простыми масками

При трех простых масках поиск идентификатора подсети и широковещательного адреса подсети
требует лишь элементарной логики и не требует почти никакой математики.

Существуют три простых маски: 255.0.0.0 255.255.0.0 и 255.255.255.0. Когда в задаче используется
простая маска, можно достаточно быстро найти идентификатор подсети на основании IP адреса и
маски в формате DDN. Просто используйте при поиске идентификатора подсети следующий процесс
для каждого из этих четырех октетов.

104
Этап 1. Если октет маски равен 255, скопируйте его десятичное значение из IP адреса.

Этап 2. Если октет маски равен 0, запишите десятичный 0.

Для поиска широковещательного адреса подсети используйте подобный простой процесс следующим
образом.

Этап 1. Если октет маски равен 255, скопируйте его десятичное значение из IP адреса.

Этап 2. Если октет маски равен 0, запишите десятичный 255.

Предсказуемость в интересующем октете

Для демонстрации предсказуемости рассмотрим рисунок 14 – 8, на котором приведены некоторые
идеи, учитываемые разработчиком при разделении сети на подсети. Здесь представлены четыре
разные маски, рассматриваемые инженером для сети IPv4 класса В 172.16.0.0. На рисунке показаны
значения третьего октета идентификаторов подсетей, которые были бы созданы при использовании
масок 255.25.128.0, 255.255.192.0, 255.255.224.0 и 255.255.240.0

Рисунок 14 – 8 Числовые шаблоны в интересующем октете.

Маска: 255.255.128.0 – подсети кратны 128;

Маска: 255.255.192.0 – подсети кратны 64;

Маска: 255.255.224.0 – подсети кратны 32;

Маска: 255.255.1240.0 – подсети кратны 16.

105
Поиск идентификатора подсети: трудные маски
Ниже описаны все этапы процесса нахождения идентификатора подсети с использованием только
десятичной математики. Этот процесс дополняет прежний процесс с использованием простых масок.

Этап 1. Если октет равен 255, скопируйте его десятичное значение из IP адреса.

Этап 2. Если октет маски равен 0, запишите двоичный ноль.

Этап 3. Если значение другое, считайте октет “интересующим”:

А. Вычислите магическое число как 256 – маска;

Б. Установите значение идентификатора подсети как кратное магическому числу, ближайшее

к IP адресу без перекрытия.

Резидентская подсеть (пример 1)

Рассмотрим, например, такое задание: найти резидентскою подсеть для IP адреса 130.4.102.1 и маски
255.255.240.0. Для каждого из четырех октетов выберите действие на основании значения маски.

Рисунок 14 – 9 Поиск идентификатора подсети с трудной маской.

Сложная логика находится в интересующем нас октете со значением маски 240. Для этого октета этап
3А подразумевает вычисление магического числа как 256 – маска. Это означает, что следует взять
значение маски в интересующем нас октете (в данном случае 240) и вычесть его из 256: 256 – 240 = 16.

Далее, этап 3Б) подразумевает поиск значений, кратных магическом числу (в данном случае 16), и
выбор самого близкого из них к IP адресу без перекрытия. В частности, это означает что необходимо
мысленно вычислить значения, кратные магическому числу, начиная с 0. Получаем набор чисел: 0, 16,
32, 48, 64, 80, 96, 112 и т.д. Как видно на рисунке, это значение 96.

106
Резидентская подсеть (пример 2)
Другой пример: 192.168.5.77 с маской 255.255.255.224.

Рисунок 14 – 10 Резидентская подсеть 192.168.5.77, 255.255.255.224.

Поиск широковещательного адреса подсети: трудные маски.

Этапы использования только десятичной математики для поиска широковещательного адреса
подсети.

Этап 1. Если октет маски равен 255, скопируйте значение идентификатора подсети.

Этап 2. Если октет маски равен 0, напишите 255

Этап 3. Если значение другое, считайте октет интересующим:

А. Вычислите магическое число как 256 – маска;

Б. Добавьте к значению идентификатора подсети магическое число и вычтите 1.

107
Широковещательный адрес подсети (пример 1)
Рисунок 14 – 11 Поиск широковещательного адреса подсети 130.4.96.0, 255.255.240.0

Широковещательный адрес подсети (пример 2)

Рисунок 14 - 12 Поиск широковещательного адреса подсети 192.168.5.64, 255.255.255.224

108
Глава 15. РАБОТА С МАРШРУТИЗАТОРАМИ CISCO
Создание сети IPv4 и работа с ней подразумевают несколько простых этапов: установка
маршрутизаторов, настройка IPv4 адресов, опциональная настройка некоторых статических IPv4
маршрутов и последующая настройка протокола маршрутизации для динамического изучения
маршрутов.

Установка маршрутизатора Cisco

Маршрутизаторы обеспечивают работу основной службы сетевого уровня (эталонной модели) –
пересылку пакетов через сеть в сквозном режиме. Маршрутизаторы пересылают пакеты через разные
физические сетевые соединения, например, каналы Ethernet, а также используют алгоритмы уровня 3
для принятия решения о том, куда именно следует отправить каждый пакет.

Физическая установка устройства

Этапы установки маршрутизатора

Этап 1. Подключите кабели локальной сети к портам LAN устройства

Этап 2. Если используется внешний модуль CSU/DSU, подключите последовательный интерфейс

маршрутизатора к модулю, а сам модуль к линии от телекоммуникационной компании.

Этап 3. Если используется встроенный модуль, подключите последовательный интерфейс

маршрутизатора к линии от телекоммуникационной компании.

Этап 4. Подключите консольный порт маршрутизатора к персональному компьютеру (с помощью

обратного rollover) кабеля, т.е. консольного

Этап 5. Подключите кабель питания к разъёму питания устройства и настенной розетке

Этап 6. Включите питание маршрутизатора

Доступ к интерфейсу командной строки маршрутизатора

Доступ к интерфейсу командной строки маршрутизатора осуществляется так же, как и у коммутатора
(Глава 6)

Команды и настройки, отличающиеся на маршрутизаторах и коммутаторах

 Несколько отличается настройка IP адресов. У коммутаторов используется интерфейс VLAN, а

маршрутизаторы используют IP адрес, настроенный на каждом рабочем интерфейсе.

109
  У многих моделей маршрутизатора Cisco есть специальный дополнительный порт (Auxiliary –
AUX), предназначенный для подключения внешнего модема и телефонной линии, что бы была
возможность получить дистанционный доступ к командной строке устройства через
телефонную сеть. У коммутаторов Cisco нет вспомогательных портов.

 Стандартно в IOS маршрутизатора отключены Telnet и SSH благодаря наличию команды

transport input none в режиме конфигурации vty. Различные параметры этой команды,
позволяющие разрешить Telnet (transport input telnet), SSH (transport input ssh) или оба
варианта (transport input all или transport input telnet ssh)

Интерфейсы маршрутизатора
Между коммутаторами и маршрутизаторами Cisco есть одно незначительное различие –
маршрутизаторы поддерживают более широкое разнообразие интерфейсов. Коммутаторы LAN
поддерживают интерфейсы Ethernet LAN различных скоростей. Маршрутизаторы поддерживают
множество интерфейсов других типов, включая последовательные интерфейсы, интерфейсы
кабельного телевидения, DSL, беспроводные 3G/4G и другие. Также для совместимости операционная
система маршрутизатора именует интерфейсы на основании их максимальной скорости. Например,
интерфейсы Ethernet на 10 Мбит/с настраиваются только командой конфигурации interfaces Ethernet
номер, интерфейсы 10/100 – командой interfaces fastEthernet номер, а интерфейсы 10/100/1000 –
командой interfaces gigabitethernet номер.

У некоторых маршрутизаторов есть последовательные интерфейсы. Они используются для

подключения к последовательному каналу связи. Каждый последовательный двухточечный канал
связи может использовать высокоуровневый протокол управления каналом (HDLC) или протокол
двухточечного соединения (PPP).

Номера интерфейсов могут быть одним числом, двумя или тремя числами, разделенными чертой.
Например, interfaces Ethernet 0, interfaces fastethernet 0/1, interfaces gigabitethernet 0/0, interfaces serial
1/0/1.

Двумя наиболее распространёнными командами отображения состояния интерфейсов являются show

ip interfaces brief и show interfaces. Первая из них отображает список интерфейсов (по строке каждый)
с дополнительной информацией включая его IP адрес и состояние. Вторая перечисляет интерфейсы,
но уже с большим объёмом информации.

Пример 15 – 1 Получение информации об интерфейсе маршрутизатора

110
111
Коды состояния интерфейсов
Таблица 15 – 1 Коды состояния интерфейсов и их значение.

Название Местоположение Значение

Состояние линии Первый код состояния Описывает состояние 1, например, подключен ли
кабель, правильный ли этот кабель, включено ли
питание устройства на другом конце канала.
Состояние Второй код состояния Описывает состояние уровня 2. В этом поле всегда
протокола отображается слово “down”, если не работает
первый уровень (его состояние – “down). Если
линия находится в состоянии “up”, состояние
протокола “down” обычно означает ошибки в
настройке протокола канального уровня

Таблица 15 – 2 Типичные комбинации кодов состояния интерфейсов

Состояние линии Состояние протокола Типичные причины

Administratively Down В конфигурации интерфейса введена команда
down shutdown
Down, down Down Интерфейс не отключен, но есть проблемы на
физическом уровне. Например, в интерфейс не
включен кабель; если используется канал Ethernet,
то интерфейс коммутатора на другом конце канала
выключен или выключено питание самого
коммутатора
Up, down Down Практически всегда коды этих состояний указывают
на проблемы канального уровня, зачастую – на
проблемы в конфигурации. Например, для
последовательных интерфейсов на одной конце
канала может быть указана инкапсуляция PPP,а на
другом HDLC
Up, up Up Работают уровни 1 и 2 данного интерфейса

IP адрес интерфейса маршрутизатора

Прежде чем маршрутизаторы Cisco корпоративного уровня смогут выполнять свою основную задачу –
маршрутизацию пакетов IP, - необходимо изменить их стандартную конфигурацию. Для подготовки
маршрутизатора к перенаправлению пакетов IPv4 на интерфейсе необходимо включить интерфейс и
присвоить ему IPv4 адрес в связи со следующими фактами.

 Большинство интерфейсов маршрутизатора изначально отключено (shutdown), и их

необходимо включить подкомандой интерфейса no shutdown.

112
  Маршрутизаторы не направляют пакеты IP ни на интерфейс, ни через него, пока для него не
заданы IP адрес и маска (изначально они не заданы)

 Маршрутизаторы пытаются перенаправить пакеты IP на любых интерфейсах, которые

находятся в состоянии up/up, имеют IP адреса и маски подсети.

Пример 15 – 2 Настройка IP адресов на маршрутизаторах Cisco

При проверке работоспособности маршрутизатора в первую очередь выясняют состояние интерфейса,

а также правильность IP адреса и маски.

Таблица 15 – 3 Ключевые команды, отображающие состояние интерфейсов маршрутизаторов

Команда Строка вывода на Отображаема Отображается ли

интерфейс конфигурация IP состояние интерфейса?
Show ip interfaces brief 1 Адрес Да
Show protocols [тип номер] 1 или 2 Адрес/маска Да
Show interfaces [Тип номер] много Адрес/маска Да

Установка параметров bandwidth и clock rate для интерфейсов

Как упоминалось в главе 3, разнообразие технологий и скоростей последовательных каналов WAN
очень велико. Что бы использовать разные скорости передачи данных, маршрутизаторы работают в
качестве ведомого устройства и получают настройки скорости от модуля CSU/DSU в ходе
синхронизации (clocking). В результате последовательные каналы маршрутизатора работают без
дополнительной настройки, автоматического определения скорости канала и т.п. Устройство CSU/DSU
всегда “знает” скорость работы телекоммуникационного канала, пересылает синхроимпульсы по
кабелю маршрутизатор, а последний подстраивает свой интерфейс согласно таким импульсам.
Фактически модуль CSU/DSU указывает маршрутизатору, когда следует отправить следующий бит по
кабелю и принять бит, а маршрутизатор просто следует таким инструкциям.

После установки кабелей для правильной работы соединения добавьте подкоманду интерфейса clock
rate, которая задает маршрутизатору скорость передачи битов на последовательном канале связи.
113
Команда clock rate необязательна в реальных последовательных каналах связи, поскольку модуль
CSU/DSU сам обеспечивает синхронизацию. Но без реального блока CSU/DSU на канале связи
маршрутизатор с кабелем DCE должен использовать функцию синхронизации, а команда clock rate
включает ее на маршрутизаторе.

Пример 15 – 3 Настройка маршрутизатора R1 с использованием команды clock rate

Некоторые путают команду маршрутизатора bandwidth с командой clock rate. Команда clock rate
устанавливает фактически используемую скорость уровня 1 на канале связи, если не используется
никакой блок CSU/DSU.

В примере 15 – 4 выделено значение параметра ширины полосы пропускания на интерфейс S0/0/1.

Команда clock rate 128000 установила скорость 128 Кбит/с, но команда bandwidth введена не была. В
результате операционная система использует стандартный параметр ширины полосы пропускания
1544 Кбит/с – скорость последовательного канала T1.

Пример 15 – 4 Параметры ширины полосы пропускания маршрутизации

114
Многие зачастую ошибочно полагают, что параметр ширины полосы пропускания – это только другой
термин для “clock rate”. Но это не так. Для выяснения значений этих двух параметров интерфейса
следуйте таким правилам.

Что бы выяснить скорость, ищите в конфигурации подкоманду clock rate или используйте команду
show controllers serial номер. Что бы выяснить установленную на интерфейсе ширину полосы
пропускания, ищите в конфигурации подкоманду интерфейса bandwidth или используйте команду
show interfaces [тип номер]

Большинство инженеров устанавливают ширину полосы пропуская соответствующей фактической

скорости, например, используют подкоманду интерфейса bandwidth 128 на канале связи со скоростью
128 Кбит/с. На интерфейсах Ethernet 10/100 или 10/100/1000 маршрутизатор знает используемую
скорость и динамически устанавливает соответствующую ширину полосы пропускания интерфейса
Ethernet.

115
ГЛАВА 16. НАСТРОЙКА IPv4 АДРЕСОВ И СТАТИЧЕСКИХ МАРШРУТОВ
Маршрутизаторы перенаправляют пакеты IPv4. Это простое утверждение имеет большой скрытый
смысл. Для перенаправления пакетов маршрутизаторы осуществляют процесс маршрутизации,
который полагается на информацию о маршрутах IP. Каждый маршрут IP задает значение: сеть IP,
подсеть IP или некую другую группу IP адресов.

Для добавления маршрутов IPv4 в таблицы маршрутизации маршрутизаторы используют три метода.
Сначала они изучают подключенные маршруты, т.е. маршруты для подсетей, подключенных к
интерфейсу маршрутизатора. Маршрутизаторы могут также использовать статические маршруты,
создаваемые при помощи команды конфигурации ip route, непосредственно помещающий маршрут в
таблицу маршрутизации IPv4. Кроме того, маршрутизаторы могут использовать протокол
маршрутизации, по которому они оповещают друг друга обо всех известных маршрутах, что бы все
маршрутизаторы могли изучить все маршруты ко всем сетям и подсетям.

Маршрутизация IP
Полный процесс сквозной маршрутизации использует логику сетевого уровня на хостах и
маршрутизаторах. Для создания и перенаправления пакета IP на стандартный шлюз хоста передающий
хост использует концепции уровня 3. Когда принимая решение о перенаправлении пакета IP,
маршрутизатор сравнивает адрес получателя в пакете с таковым в таблице маршрутизации, также
используется логика уровня 3.

Процесс маршрутизации IPv4

Процесс маршрутизации начинается с хоста, создающего пакет IP. Сначала хост решает вопрос: не
принадлежит ли IP адрес получателя этого нового пакета локальной подсети? Для определения
диапазона адресов в локальной подсети хост использует собственный IP адрес и маску. На основании
собственных выводов о диапазоне адресов локальной подсети хост действует следующим образом.

Этапы перенаправления пакетов IP

Этап 1. Если получатель локальный, передача осуществляется непосредственно:

А. МАС адрес хоста получателя определяется при помощи уже существующей записи таблицы
протокола преобразования адресов (ARP) или сообщения ARP, позволяющего изучить эту
информацию.

Б. Пакет IP инкапсулируется во фрейм канала связи с адресом канала связи хоста получателя.

Этап 2. Если получатель не является локальным, то передача осуществляется на локальный шлюз:

А. МАС адрес стандартного шлюза определяется при помощи уже существующей записи
таблице ARP или сообщения ARP позволяющего получить эту информацию

Б. Пакет инкапсулируется во фрейм канала связи с адресом канала связи стандартного шлюза.

116
Рисунок 16 – 1 Логика маршрутизации хоста

У маршрутизаторов немного больше работы при маршрутизации по сравнению с хостами. В то время

как логика хоста начинается с пакета IP, находящегося в памяти, маршрутизатору, прежде чем дойти
до того положения, необходимо проделать некоторую работу.

Этапы перенаправления пакетов IP маршрутизатором

Этап 1. Для каждого получаемого фрейма канала связи принимается решение, обрабатывать его или
нет. Обрабатывается фрейм так:

А. Проверка фрейма на ошибки (по FCS) в концевике канала связи.

Б. Адрес канала связи получателя фрейма – это адрес маршрутизатора (или соответствующий
многоадресатный или широковещательный адрес)

Этап 2. Перед решением об обработке фрейм на этапе 1 он извлекается из фрейма канала связи.

Этап 3. Принимается решение о маршрутизации. Для этого по IP адресу получателя пакета

осуществляется поиск соответствующего элемента таблицы маршрутизации, содержащего маршрут к
получателю. Этот маршрут идентифицирует исходящий интерфейс маршрутизатора, а возможно и
следующий транзитный маршрутизатор.

Этап 4. Помещает пакет во фрейм канала связи, соответствующего исходящему интерфейсу. По мере
необходимости для поиска МАС адреса следующего устройства используется протокол ARP.

Этап 5. Фрейм передается на исходящий интерфейс, указанный в соответствующем маршруте

Процесс маршрутизации иногда можно рассматривать упрощенно. А именно:

117
Маршрутизатор получает фрейм, извлекает из него пакет, решает, куда его перенаправить, помещает
пакет в другой фрейм и посылает его.

Рисунок 16 – 2 Пять этапов маршрутизации, осуществляемых маршрутизатором

1. Маршрутизатор R1 отмечает, что полученный фрейм Ethernet прошел проверку FCS и что
получатель Ethernet имеет MAC адрес маршрутизатора R1, поэтому маршрутизатору R1
предстоит обрабатывать фрейм.

2. Маршрутизатор R1 извлекает пакет IP из заголовка и концевика фрейма Ethernet.

3. Маршрутизатор R1 ищет IP адрес получателя пакета IP в таблице маршрутизации IP.

4. Маршрутизатор R1 инкапсулирует пакет IP в новый фрейм канала связи (в данном случае

заголовок и концевик протокола HDLC).

5. Маршрутизатор R1 передает пакет IP в новом фрейме через последовательный канал связи

справа.

Пример маршрутизации
Далее рассматриваются этапы маршрутизации через несколько устройств. В данном случае хост А
(172.16.1.9) посылает пакет хосту В (172.16.2.9), используя логику маршрутизации хоста. Затем
маршрутизатор R1 перенаправляет пакет согласно логике, из пяти этапов.

118
Рисунок 16 – 3 Сеть IPv4, используемая в примере с пятью этапами маршрутизации

Хост перенаправляет пакет IP на стандартный маршрутизатор (шлюз)

В этом примере Хост А использует некое приложение, передающее данные хосту В (172.16.2.9). После
формирования хостом А пакет IP в памяти логика хоста А сводится к следующему:

 Мой IP адрес/маска – 172.16.1.9/24, следовательно, моя локальная подсеть содержит номера

172.16.1.0 – 172.16.1.255 (включая идентификаторы и широковещательные адреса подсети)

 Адрес получателя, 172.16.2.9, явно находится не в моей локальной подсети

 Пошлю пакет на мой стандартный шлюз по адресу 172.16.1.1

 Что бы послать пакет, инкапсулирую его во фрейме Ethernet. МАС адрес получателя будет
принадлежать интерфейсу G0/0 маршрутизатора R1 (стандартный шлюз хоста А)

Рисунок 16 – 4 Хост А посылает пакет хосту В

119
1-й этап маршрутизации: решение об обработке входящих фреймов

Первый этап процесса маршрутизации начинается с решения о том, должен ли маршрутизатор

обработать фрейм или отбросить его. Сначала маршрутизатор осуществляет простую, но очень важную
проверку (этап 1А процесса): он должен игнорировать все фреймы, переданные с ошибками. Далее
маршрутизатор проверяет также адрес канала связи получателя (этап 1В), чтобы выяснить,
предназначен ли фрейм для маршрутизатора. В этом примере хост А посылает фрейм на МАС адрес
маршрутизатора. Таким образом, после получения этого фрейма и проверки его FCS, подтверждающий
отсутствие ошибки, маршрутизатор R1 устанавливает, что фрейм предназначен для МАС адреса
маршрутизатора R1 (в данном случае 0200.0101.0101). Маршрутизатор решает обработать фрейм, как
показано на рисунке.

Рисунок 16 – 5 1-й этап маршрутизации: проверка FCS и МАС адреса получателя

2-ой этап маршрутизации: извлечение пакета IP

Выяснив, что полученный фрейм следует обработать (этап 1), маршрутизатор принимает следующий
шаг – извлекает его. В памяти маршрутизатора не нужен ни заголовок, ни концевик канала связи
первоначального фрейма, поэтому маршрутизатор удаляет их, оставляя только пакет IP.

Рисунок 16 – 6 2-й этап маршрутизации: извлечение пакета.

120
3-й этап маршрутизации: выбор направления перенаправления пакета

Теперь маршрутизатор должен выбрать направление перенаправления пакетов. Для этого

используется таблица маршрутизации IP маршрутизатора и логика соответствия при поиске адреса
получателя пакета в таблице.

Таблица маршрутизации IP содержит несколько записей маршрутов. Каждая запись маршрута

содержит несколько фактов, которые в свою очередь могут быть сгруппированы, как на рисунке 18 – 7.
Часть записи используется для поиска соответствия адресу получателя пакета, в то время как остальная
часть содержит инструкцию по перенаправлению, т.е. куда послать пакет.

Рисунок 16 – 7 3-й этап маршрутизации: таблица маршрутизации IP имеет части соответствия и

перенаправления

Маршрутизатор ищет соответствие IP адреса получателя пакета (172.16.2.9) в таблице маршрутизации,

сравнивая его с диапазоном адресов, определенных каждой подсетью. Точнее маршрутизатор
просматривает информацию о подсети и маске, для которой достаточно применить несколько
математических действий, чтобы выяснить, в какой из этих подсетей располагается адрес 172.16.2.9.

После того как маршрутизатор найдет соответствующий маршрут, он использует информацию о

перенаправлении, чтобы узнать, куда послать пакет далее. В данном случае это маршрут для подсети
172.16.2.0/24, поэтому маршрутизатор R1 перенаправляет пакет на свой интерфейс S0/0/0,
маршрутизатору R2, указав его IP адрес (172.16.4.2) как адрес следующего транзитного маршрута.

4-й этап маршрутизации: инкапсуляция пакета в новый фрейм

Теперь маршрутизатор знает, куда перенаправить пакет. В данном примере маршрутизатор R1

перенаправляет пакет через интерфейс S0/0/0, по поместив его во фрейм HDLC, как показано на
рисунке 18 – 8.

121
Рисунок 16 – 8 4-й этап маршрутизации: инкапсуляция пакета

5-й этап маршрутизации: передача фрейма

После завершения подготовки фрейма маршрутизатору остается только передать его.

Настройка IP адресов и подключенных маршрутов

Изначально протокол IPv4 включен на маршрутизаторах CISCO глобально. Что бы маршрутизатор был
готов перенаправлять пакеты на конкретном интерфейсе, следует настроить на нем IP адрес и добиться
для него состояния up/up. После того как маршрутизатор сможет перенаправлять пакеты IP через один
или несколько интерфейсов, ему понадобятся маршруты. Маршрутизаторы могут добавлять маршруты
в свои таблицы маршрутизации тремя способами.

Три источника маршрутов IP для маршрутизаторов

 Подключаемые маршруты. Добавляются подкомандой интерфейса ip address на локальном

маршрутизаторе.

 Статические маршруты. Добавляются глобальной командой конфигурации ip route на

локальном маршрутизаторе.

 Протоколы маршрутизации. Дополнительная функция настройки на всех маршрутизаторах,

обеспечивающая динамический обмен данными о сети между маршрутизаторами,
позволяющая им изучить все маршруты.

Подключенные маршруты и команда ip address

Маршрутизатор CISCO автоматически добавляет в свою таблицу маршрутизации маршруты для
подсетей, подключенных к каждому его интерфейсу, с учетом истинности следующих двух фактов.

Правила создания маршрутизатором подключенного маршрута

 Интерфейс находится в рабочем состоянии, т.е. в выводе команды show interfaces состояние
интерфейса для линии up и протокола up.

 Интерфейсу присвоен IP адрес подкомандой интерфейса ip address

122
Такой маршрут нужен маршрутизатору только тогда, когда интерфейс включен и работает, поэтому
маршрутизатор включает подключенный маршрут в таблицу маршрутизации, только когда интерфейс
работает.

В примере 16 – 1 на рисунке 16 – 9 показаны подключенные маршруты на маршрутизаторе R1.

Рисунок 16 – 9 Пример сети, демонстрирующий подключенные маршруты

Пример 16 – 1 Подключенные и локальные маршруты на маршрутизаторе R1.

123
Обратите внимание на то, что маршрутизатор автоматически создает маршруты другого вида –
локальные маршруты. Они определяют маршрут для одного конкретного IP адрес, заданного на
интерфейсе маршрутизатора. Маршрутизаторы используют локальные маршруты, обладающие
собственными локальными IP адресами, чтобы эффективнее перенаправлять пакет, посланные на сам
маршрутизатор.

Таблица ARP на маршрутизаторе CISCO

После того как маршрутизатор добавит подключенные маршруты, он сможет перенаправлять пакеты
IPv4 между этими подсетями. Для этого маршрутизатор использует свою таблицу ARP IP.

Таблица ARP IPv4 содержит IPv4 адреса и соответствующие им МАС адреса хостов, подключенных к той
же подсети, что и маршрутизатор.

В примере 16 – 2 приведена таблица ARP маршрутизатора R1 на основании предыдущего примера.

Пример 16 – 2 Отображение таблицы ARP маршрутизатора

Рассмотрим, как маршрутизатор R1 перенаправляет пакет хосту А (172.16.1.9) в той же подсети.

1. Маршрутизатор R1 ищет в своей таблице ARP запись адреса 172.16.1.9.

2. Маршрутизатор R1 инкапсулирует пакет IP во фрейм Ethernet, добавив к заголовку Ethernet

адрес получателя 0200.3333.3333 (взятый из таблицы ARP).

3. Маршрутизатор R1 передает фрейм через интерфейс G0/0.

Маршрутизация между подсетями VLAN

Почти все корпоративные сети используют виртуальные локальные сети (VLAN). Для перенаправления
пакетов IP в и из сетей VLAN маршрутизатор должен иметь IP адрес каждой подсети и подключенный
маршрут к каждой из этих подсетей.

124
Для соединения маршрутизатора с каждой подсетью в сети VLAN есть три возможности.

Три возможности соединения маршрутизаторов с каждой сетью VLAN.

 С коммутатором каждой сети VLAN соединен один кабель и интерфейс LAN маршрутизатора
(обычно не используется)

 Маршрутизатор соединен с коммутатором LAN магистральным каналом VLAN.

 Используется коммутатор уровня 3.

На рисунке 16 – 10 приведен пример использующий вторую и третью возможности.

Рисунок 16 – 10 Субинтерфейсы на маршрутизаторе R1

Настройка маршрутов к VLAN на маршрутизаторах 802.1Q

В этом разделе обсуждается перенаправление пакетов в подсети, ассоциируемые с сетями VLAN,

подключенных к маршрутизатору 802.1Q магистральным каналом (роутер на палочке).

Схема “роутер на палочке” подразумевает использование конфигурации магистрального соединения

VLAN маршрутизатора для предоставления маршрутизатору логического интерфейса, соединенного с
каждой сетью VLAN, а потому каждая подсеть находится в отдельной VLAN. В основе такой
магистральной конфигурации лежит концепция субинтерфейсов. Для каждой сети на магистральном
канале у маршрутизатора должен быть IP адрес и маска. Но маршрутизатор использует только один
физический интерфейс, настроенный командой ip address. CISCO решает эту проблему за счет создания
нескольких виртуальных интерфейсов маршрутизатора, ассоциируемых с каждой сетью VLAN на
данном магистральном канале. Компания CISCO называет эти виртуальные интерфейсы
субинтерфейсами.

125
Конфигурация “маршрутизатор на палочке” создает субинтерфейс для каждой сети VLAN на
магистральном канале, а маршрутизатор затем обрабатывает все фреймы, отмеченные
соответствующим идентификатором VLAN, как будто они были отправлены или приняты этим
субинтерфейсом. На рисунке 16 – 11 представлена концепция на примере маршрутизатора B1.

Рисунок 16 – 11 Субинтерфейсы на маршрутизаторе B1

В примере 16 – 3 приведена полная конфигурация магистрали 802.1Q маршрутизатора B1 в

соответствии с рисунком 18.11. Этапы настройки конфигурации магистрального соединения 802.1Q на
маршрутизаторе таковы.

Этап 1. Используя команду interface тип номер_субинтерфейса в глобальном режиме конфигурации,

создайте индивидуальный субинтерфейс для каждой маршрутизируемой VLAN

Этап 2. Используя команду encapsulation dot1q идентификатор_vlan в режиме конфигурации

субинтерфейса, включите протокол 802.1Q и ассоциируйте конкретную сеть VLAN с субинтерфейсом.

Этап 3. Используя команду ip address адрес маска в режиме конфигурации субинтерфейса, настройте
параметры IP.

Пример 18 – 3 Конфигурация маршрутизатора для магистрали 802.1Q согласно рисунку 18 – 11

126
Каждая конфигурация субинтерфейса насчитывает две подкоманды. Одна (encapsulation) разрешает
магистральное соединение и определяет сеть VLAN, фреймы которой будут пересекать субинтерфейс.
Команда ip address работает точно также, как и на любом другом интерфейсе.

Теперь, когда у маршрутизатора есть рабочий интерфейс с настроенными IPv4 адресами, он может
перенаправлять пакеты IPv4 на этих субинтерфейсах. Таким образом, маршрутизатор рассматривает
эти субинтерфейсы как любой другой физический интерфейс с точки зрения добавления
подключенных маршрутов, распознавания этих маршрутов и перенаправления пакетов на связанные с
ними подсети и из них.

Последовательность настройки собственной сети VLAN 802.1

 Введите команду ip address на физическом интерфейсе, но без команды encapsulation

(маршрутизатор полагает, что этот физический интерфейс использует собственную сеть VLAN)

 Ведите команду ip address на субинтерфейсе и подкоманду encapsulation…native.

Пример 16 – 4 Настройка использования собственной сети VLAN 10 на маршрутизаторе B1

Кроме демонстрации конфигурации, команда show vlans на маршрутизаторе подробно объясняет

использование магистральных интерфейсов маршрутизатора, какая из VLAN является собственной, а
также, немного статистики пакетов. Вывод свидетельствует о том, что сеть VLAN1 ассоциированная с
физическим интерфейсом, VLAN10 – собственная сеть VLAN, ассоциируемая с субинтерфейсом G0/0.10,
а VLAN20 ассоциирована с субинтерфейсом G0/0.20.

127
Пример 16 – 5 Пример команды show vlans для типичной конфигурации магистрального соединения
маршрутизатора.

Настройка маршрутов к VLAN с использованием коммутаторов уровня 3

Еще одна возможность перенаправления трафика VLAN подразумевает использование такого
устройства, как коммутатор уровня 3, или многоуровневого коммутатора. Коммутатор уровня 3 – это
единое устройство, выполняющее две основные функции: коммутацию LAN уровня 2 и маршрутизацию
128
IP уровня 3. Логика перенаправления уровня 3 (маршрутизация) обеспечивает передачу пакетов IP
между сетями VLAN.

Настройка коммутатора уровня 3 очень похожа на настройку коммутатора уровня 2, лишь с небольшим
добавлением для функций уровня 3. Функция коммутатора уровня 3 нуждается в виртуальном
интерфейсе, подключенном к каждой сети VLAN внутренне на коммутаторе. Эти интерфейсы VLAN
действуют как интерфейсы маршрутизатора, обладая IP адресом и маской. У коммутатора уровня три
есть таблица маршрутизации IP с подключенными маршрутами от каждого из интерфейсов VLAN. Эти
интерфейсы так же называют коммутируемыми виртуальными интерфейсами (SVI).

На рисунке 16 – 12 показана функция коммутатора 3 с пиктограммой маршрутизатора в коммутаторе.

Рисунок 16 – 12 Маршрутизация на интерфейсах VLAN коммутатора уровня 3

Ниже приведена последовательность настройки коммутации третьего уровня.

Настройка коммутации третьего уровня

Этап 1. На некоторых устаревших моделях коммутаторов необходимо разрешить поддержку

аппаратными средствами маршрутизации IPv4. Например, на коммутаторах серии 2960 используйте
команду sdm prefer lanbase-routing в глобальном режиме конфигурации и перезагрузите коммутатор.

Этап 2. Используйте команду ip routing в глобальном режиме конфигурации, чтобы разрешить

маршрутизацию IPv4 на коммутаторе.

Этап 3. Используйте команду interface vlan идентификатор_vlan в глобальном режиме

конфигурации, чтобы создать интерфейсы VLAN для каждой сети VLAN, для которой коммутатор уровня
3 перенаправляет пакеты.

Этап 4. Используйте команду ip address адрес маска в режиме конфигурации интерфейса, чтобы
настроить IP адрес и маску на интерфейсе VLAN, разрешив протокол IPv4 на этом интерфейсе VLAN.

Этап 5. Если настоящее время интерфейс VLAN коммутатора отключен, включите его командной no
shutdown в режиме конфигурации интерфейса.

129
Пример 16 – 6 Настройка интерфейса VLAN для коммутации третьего уровня

При этой конфигурации VLAN коммутатор готов перенаправлять пакеты между сетями VLAN,
показанных на рисунке 16 – 12.

Пример 16 – 7 Подключенные маршруты на коммутаторе уровня 3

Настройка статических маршрутов

Конфигурация статического маршрута

Операционная система IOS позволяет задавать отдельные статические маршруты при помощи
глобальной команды конфигурации ip route. Каждая команда ip route определяет получателя,
задаваемого, как обычно, идентификатором подсети и маской. Команда включает также инструкции
перенаправления, как правило, исходящий интерфейс или IP адрес следующего транзитного
маршрутизатора.

В качестве примера на рисунке 18 – 13 приведена небольшая сеть IP. Здесь представлены подробности
статического маршрута к подсети 172.16.2.0/24 на маршрутизаторе R1. Для создания этого статического
маршрута на маршрутизаторе R1 необходимо задать идентификатор подсети и маску, а также

130
исходящий интерфейс (S0/0/0) маршрутизатора R1, или IP адрес следующего транзитного
маршрутизатора R2.

Рисунок 16 – 13 Концепция настройки статического маршрута

Пример 16 – 8 Статические маршруты, добавленные на маршрутизатор R1

Команда show ip route static выводит в примере 16 – 9 оба этих маршрута. Данная команда выводит
подробности только статических маршрутов.

Пример 16 – 9 Статические маршруты, добавленные маршрутизатором R1

В зависимости от того работает ли исходящий интерфейс, операционная система IOS добавляет и

удаляет эти статические маршруты динамически.

Статические маршруты хоста

Раннее в этой главе маршрут был определен как маршрут для одного адреса хоста, обладающего IP
адресом и маской /32. Предыдущие примеры сосредотачивались на локальных маршрутах,
добавленных в результате команды ip address; все они маршруты к хосту с маской /32.

131
Команда ip route способна создавать статические маршруты для дистанционных хостов при
использовании маски 255.255.255.255. Это могло бы иметь смысл для случаев, когда существуют
избыточные пути, а трафик большинства хостов в подсети проходил по одному пути, а трафик для
некого конкретного хоста – по-другому. Например, вы могли бы определить эти два статических
маршрута для подсети 10.1.1.0/24 и хоста 10.1.1.9 двумя разными адресами следующей транзитной
точки перехода:

Обратите внимание на то, что эти два маршрута, накладываются: достигший маршрутизатора пакет,
посланный на адрес 10.1.1.9, соответствует обоим маршрутам. Когда это происходит, маршрутизаторы
используют самый специфичный маршрут (т.е. маршрут с наибольшей длинной префикса). Таким
образом, пакет, посланный на адрес 10.1.1.9, был бы перенаправлен следующему транзитному
маршрутизатору 10.9.9.9, а пакеты, посланные другим получателям в подсети10.1.1.0/24, - на
следующий транзитный маршрутизатор 10.2.2.2.

Статические маршруты без конкурирующих маршрутов

Даже если у настроенного маршрута нет конкурирующих маршрутов, маршрутизатор все равно
проверяет его на соответствие некоторым правилам, прежде чем добавить его в таблицу
маршрутизации. Сначала маршрутизатор проверяет все конкурирующие маршруты (т.е. наличие
любых других маршрутов к той же подсети)

Даже если никаких конкурирующих маршрутов не существует, операционная система IOS учтет
следующее, прежде чем добавить маршрут к таблице маршрутизации.

 Для команд ip route, выводящих исходящий интерфейс, данный интерфейс должен быть в
состоянии up/up.

 Для команд ip route, выводящих IP адрес следующей транзитной токи перехода, у локального
маршрутизатора должен быть маршрут для доступа к этому адресу следующей транзитной точки
перехода

Например, в примере 16 – 8 команда ip route 172.16.2.0 255.255.255.0 172.16.4.2 на маршрутизаторе

R1 определит статический маршрут. На основании этого маршрута маршрутизатор R1 просматривает
свою таблицу маршрутизации IP и находит маршрут, соответствующий следующему транзитному
адресу 172.16.4.2. В результате маршрутизатор R1 добавляет статический маршрут к подсети
172.16.2.0/24.

Мы можем настроить статический маршрут так, что операционная система будет игнорировать
базовые проверки, всегда помещая маршрут IP в таблицу маршрутизации. Для этого используйте
команду ip route ключевое слово permanent. Маршрутизатор R1 добавил бы это маршруты независимо
от того, находятся ли оба канала связи WAN в рабочем состоянии.
132
Пример 16 – 10 Безусловное добавление статических маршрутов к таблице маршрутизации IP
(маршрутизатор R1)

Статические маршруты с конкурирующими маршрутами

Теперь рассмотрим случай, когда статический маршрут конкурирует с другими статическими
маршрутами или маршрутами, изученными протоколом маршрутизации. В подобных случаях
маршрутизатор должен сначала решить, у кого из маршрутов лучше административное расстояние
(чем меньше, тем лучше), а затем использовать лучший из маршрутов.

Что бы увидеть, как это работает, рассмотрим пример на рисунке 16 – 14. В этом проекте сети
используется открытый протокол поиска первого кратчайшего маршрута версии 2 (OSPFv2).
Маршрутизатор R1 должен выбрать статический маршрут или маршрут изученный по протоколу OSFP.

Рисунок 16 – 14 Использование плавающего статического маршрута к подсети 172.16.2.0/24

Операционная система IOS предпочитает статические маршруты изученным по протоколу OSFP.

Стандартно операционная система присваивает статическим маршрутам административное состояние
10, а изученным по протоколу OSFP – 110.

Что бы маршрут, изученный по протоколу, стал предпочтительным, в конфигурации следует изменить

параметра административного расстояния и использовать плавающий статический маршрут.
Плавающий статический маршрут плавает и перемещается в таблице маршрутизации IP в
зависимости от того, появится ли лучший маршрут изученным протоколом маршрутизации. В основном
пока по протоколу маршрутизации известен лучший маршрут, маршрутизатор игнорирует статический.

Для реализации плавающего статического маршрута достаточно переопределить стандартное

административное расстояние статического маршрута значением большим, чем стандартное
административное расстояние протокола маршрутизации. Например, команда ip route 172.16.2.0
255.255.255.0 172.16.5.3 130 на маршрутизаторе R1 сделала бы именно это: она установила бы для
статического маршрута административное расстояние 130. Теперь, пока первичный канал связи не
133
откажет и на маршрутизаторе R1 будет изученный по протоколу OSFP маршрут к сети 172.16.2.0/24 с
административным расстоянием 110, он будет игнорировать статический маршрут.

Обратите внимание на то, что, хотя команда show ip route выдает административное расстояние
большинства маршрутов как первое из двух чисел в скобках, команда show ip route подсеть выводит
административное расстояние явно.

Пример 16 – 11 Отображение административного расстояния статического маршрута

Статические стандартные маршруты

При попытке перенаправить пакет маршрутизатор может не найти маршрут к IP адресу получателя
пакета. Обычно в таком случае маршрутизатор просто отбрасывает пакет.

Маршрутизаторы могут быть настроены так, чтобы пользовались либо статически заданные маршруты,
либо динамически изученный стандартный маршрут. Стандартный маршрут соответствует всем
пакетам, поэтому, если пакет не соответствует никакому другому более специфическому маршруту в
таблице маршрутизации, маршрутизатор перенаправляет его на стандартный маршрут.

Классический пример использования статически стандартных маршрутов в корпоративной сети TCP/IP:

у компании много дистанционных площадок с индивидуальным относительно медленным
соединением WAN. У каждой дистанционной площадки есть только один возможный физический
маршрут передачи пакетов в остальную часть семьи. Поэтому вместо протокола маршрутизации,
рассылающего сообщения каналам WAN и рассрочивающего их полосу пропускания, каждый
дистанционный маршрут мог бы использовать стандартный маршрут, посылающий весь трафик на
центральную площадку.

134
Рисунок 16 – 15 Пример применения статических маршрутов: 1000 медленных дистанционных
площадок

Операционная система IOS позволяет настроить статический стандартный маршрут за счет

специальных значений (0.0.0.0 0.0.0.0) полей подсети и маски в команде ip route. Например, команда
ip route 0.0.0.0 0.0.0.0 S0/0/1 создает на маршрутизаторе B1 статический стандартный маршрут,
(соответствующий всем пакетам IP) и посылает эти пакеты на интерфейс S0/0/1. В примере 16 – 12
показан статический стандартный маршрут для маршрутизатора R2.

Пример 16 – 12 Добавления статического стандартного маршрута для маршрутизатора R2

135
Вывод команды show ip route отображает несколько новыхинтересных фактов. В первую очередь он
выводит маршрут с котодом “S”, означающим статический, а так же со звездочкой (*), означающей,
что это кандидат в стандартные маршруты. Выбранный стандартный маршрут указан выше, в
разделе “Geteway of last resort”, которым в данном случае является статически натсроенный маршрут
с исходящим интерфейсом S0/0/1.

Поиск и устранение неисправностей статических маршрутов

Статический маршрут находится в таблице маршрутизации IP, но не является правильным

Например, в экзаменационном вопросе могли бы быть представлены адреса 192.168.1.101 и 102 с

маской /26. Вы проверяете маршрутизатор командой ip route 192.168.1.64 255.255.255.0 192.168.1.65.
Появится ли проблема немедленно? Диапазон адресов подсети 192.168.1.64 с маской 255.255.255.224
не включает адреса 101 и 102. Поэтому синтаксис команды ip route хорош, но инженер допустил
математический просчет при создании посетей.

Контрольный список поиска и устранения неисправностей статических маршрутов, имеющихся в

таблице маршрутизации IP

 Нет ли математической ошибки в идентификаторе подсети и маске

 Правильный ли IP адрес следующей транзитной точки перехода и является ли она соседним

маршрутизатором

 Правильный ли исходящий интерфейс и указан ли он в локальном маршруте (т.е. это тот же

маршрутизатор, что указан в статическом маршруте)

Статический маршрут отсутствует в таблице маршрутизации IP

Для обзора и простоты изучения ниже изложены причины, по которым команда ip route была бы
принята в интерфейсе CLI, но маршрут в таблице маршрутизации IP отсутствовал бы.

Контрольный список поиска и устранения неисправностей статических маршрутов, отсутствующих в

таблице маршрутизации IP

 Исходящий интерфейс в выводе команды ip route не находится в состоянии up/up

 IP адрес следующего транзитного маршрутизатора, указанный в команде ip route, недоступен

(т.е. нет никакого маршрута, соответствующего адресу следующей транзитной точки перехода)

 Существует конкурирующий маршрут (другой маршрут к тому же идентификатору подсети и

маске) и он лучше данного (меньше административное расстояние)

136
Статический маршрут правильный и имеется в таблице маршрутизации, но
работает плохо
К тривиальным можно отнести ключевое слово permanent в команде ip route. В основном это
ключевое слово указывает операционной системе не проверять текущее состояние исходящего
интерфейса и IP адрес следующего транзитного маршрутизатор. Поэтому каждый раз, встречая это
слово, надо осуществлять проверки самому. Операционная система поместит маршрут в таблицу
маршрутизации, но если интерфейс отключен или адрес следующей транзитной точки перехода
недостижим, то маршрутизатор не сможет перенаправить пакеты по этому маршруту.

137
ГЛАВА 17. МАРШРУТИЗАЦИЯ IPv4 В ЛОКАЛЬНЫХ СЕТЯХ
Эта глава посвящена маршрутизации и одному из ее специфических частей: маршрутизации между
подсетями LAN. Эта глава сосредотачивается на параметрах настройки маршрутизаторов и
коммутаторах уровня 3, которым разрешено перенаправлять пакеты между подсетями,
существующими в сетях VLAN.

Маршрутизация VLAN по магистральным каналам 802.1Q

Чтобы перенаправить пакеты IP в сети VLAN и из них, устройства (маршрутизаторы или коммутаторы
уровня 3) должны иметь IP адрес в каждой подсети, а также подключенные маршруты к каждой из этих
подсетей. Эти IP адреса на таких маршрутизаторах или коммутаторах уровня 3 могут служить адресами
стандартных шлюзов в данных подсетях.

В четырех разделах данной главы рассматриваются следующие возможности маршрутизации LAN.

 Использование маршрутизатора с одним интерфейсом LAN и кабелем, подключённым к

коммутаторам для каждой сети VLAN (обычно не применяется).

 Использование маршрутизатора с магистральным каналом VLAN, соединяющим с

коммутатором LAN (маршрутизатор на палочке или ROAS).

 Использование коммутатора уровня 3 с коммутируемыми виртуальными интерфейсами (SVI).

 Использование коммутатора уровня 3 с маршрутизируемыми интерфейсами (которые могут

быть, а могут и не быть каналами EtherChannel уровня 3).

На рисунке 17 – 1 приведены случаи, в которых применимы эти возможности.

Рисунок 17 – 1 Коммутация третьего уровня на центральной площадке

138
Настройка ROAS
В данном разделе обсуждается, как маршрутизаторы перенаправляют пакеты в ассоциированные VLAN
подсети, подключенные к маршрутизатору магистральным каналом 802.1Q. Со временем сетевой мир
принял для такого дизайна короткое и запоминающееся название: маршрутизатор на палочке
(Router – On – A – Stick – ROAS)

Маршрутизатор ROAS использует конфигурацию магистрального соединения VLAN, чтобы

предоставить маршрутизатору логический интерфейс, подключённой к каждой VLAN, следовательно,
и к каждой подсети, в этих VLAN. Эта магистральная конфигурация вращается во круг субинтерфейса.

Конфигурация ROAS создает субинтерфейс для каждой VLAN на магистральном канале, а

маршрутизатор затем рассматривает все фреймы, помеченные соответствующим идентификатором
VLAN, как будто они поступают с этого субинтерфейса или направляются на него. На рисунке 17 – 2
приведена концепция, по которой маршрутизатор B1 – это один из маршрутизаторов ветви,
представленной на рисунке 17 – 1. Рисунок демонстрирует также два субинтерфейса, G0/0.10 и
G0/0.20, являющихся еще одним местом в конфигурации, где могут быть установлены параметры
конфигурации для каждой VLAN. Маршрутизатор обрабатывает фреймы, отмеченные для VLAN 10, как
будто они поступили с интерфейса G0/0.10 (или направляются на него), а фреймы, отмеченные для
VLAN 20, как будто они относятся к интерфейсу G0/0.20.

Рисунок 17 – 2 Субинтерфейсы на маршрутизаторе B1

Обратите внимание на то, что соответствующий интерфейс коммутатора должен быть настроен
командой switchport mode trunk.

Настройка магистрального соединения 802.1Q на маршрутизаторе

Этап 1. Используйте команду interface тип номер. субинтерфейс в глобальном режиме

конфигурации, чтобы создать уникальный субинтерфейс для каждой маршрутизируемой сети VLAN.

139
Этап 2. Используйте команду encapsulation dot1q идентификатор_vlan в режиме конфигурации
субинтерфейса, чтобы разрешить инкапсуляцию 802.1Q и ассоциировать одну конкретную сеть VLAN с
субинтерфейсом.

Этап 3. Используйте команду ip address адрес маска в режиме конфигурации субинтерфейса, чтобы
настроить параметры IP (адрес и маску)

Пример 17 – 1 Настройка на маршрутизаторе инкапсуляции 802.1Q согласно рисунку 17 – 2

ПРИМЕЧАНИЕ. Хотя это не обязательно, большинство площадок действительно предпочитают, чтобы

номер субинтерфейса соответствовал идентификатору VLAN, как показано в примере 17 – 1 только
чтобы избежать порядка.

Настройка и использование собственной сети VLAN на магистральном канале требует еще некоторых
действий. Для настройки собственной сети VLAN на интерфейсе маршрутизатора есть две следующие
возможности.

Два альтернативных метода настройки собственной сети VLAN в конфигурации ROAS

 Настройте команду ip address на физическом интерфейсе, но без команды encapsulation;

маршрутизатор полагает, что этот физический интерфейс использует собственную сеть VLAN.

 Настройте команду ip address на субинтерфейсе и используйте подкоманду encapsulation dot1q

идентификатор_vlan native, чтобы и указать маршрутизатору идентификатор VLAN, и
подтвердить тот факт, что это собственная сеть VLAN.

Пример 17 – 2 демонстрирует обе возможности настройки собственной сети VLAN при небольших
изменениях в той же конфигурации, что и в примере 17 – 1. В данном случае сеть VLAN 10 становится
собственной сетью VLAN.

140
Пример 17 – 2 Конфигурация маршрутизатора с использованием собственной сети VLAN 10 на
маршрутизаторе B1

_______________________________________________________________________________

Проверка ROAS
Кроме команды show running – config, конфигурацию ROAS на маршрутизаторе позволяют проверить
команды show ip route [connected] и show vlans. В примере 17 – 3 демонстрируется подключенные
маршруты в конфигурации, представленной в примере 17 – 1.

Пример 17 – 3 Подключенные маршруты согласно конфигурации, в примере 17 – 1

Другая полезная команда проверка ROAS, show vlans, обязательно объясняет, какие магистральные
интерфейсы маршрутизатора какие VLAN используют и какие из VLAN являются собственными сетями
VLAN, плюс немного статистики по пакетам. Пример 17 – 4 демонстрирует фрагмент на основании
конфигурации маршрутизатора в примере 17 – 2 (вторая часть), в которой собственная сеть VLAN 10
настраивается на субинтерфейс G0/0.10.

141
Пример 17 – 4 Фрагмент вывода команды show_vlans о типичной конфигурации магистрального
соединения маршрутизатора

Поиск и устранение неисправностей ROAS

Самая большая сложность при поиске и устранении неисправностей ROAS связана с тем фактом, что,
если неправильно настроен только маршрутизатор или только коммутатор, у другого устройства на
магистральном канале нет никакой возможности узнать, что другая сторона настроен неправильно.

Проверку ROAS необходимо начать с конфигурации и задать следующие вопросы.

142
Рекомендации для поиска и устранения неисправностей конфигурации ROAS

1. Настроена ли каждая не собственная сеть VLAN на маршрутизаторе командой encapsulation

dot1q идентификатор_vlan на субинтерфейсе.

2. Существуют ли те же VLAN на соседнем коммутаторе, по магистральному каналу (show

interfaces trunk), разрешены ли они, не сокращен ли VTP и не блокирован ли STP.

3. Имеет ли каждый субинтерфейс маршрутизатора ROAS IP адрес и маску согласно

запланированной конфигурации.

4. Если используется собственная сеть VLAN, правильно ли она настроена на маршрутизаторе и на

субинтерфейсе (команда encapsulation dot1q идентификатор_vlan native), или
подразумевается физический интерфейс?

5. Настроена ли та же собственная сеть VLAN на магистральном канале соседнего коммутатора?

6. Настроены ли физические интерфейсы или субинтерфейсы ROAS командной shutdown?

Маршрутизация VLAN с использованием SVI коммутатора уровня 3

На площадках с большими LAN разработчики сетей предпочитают использовать коммутаторы уровня 3
для большинства маршрутов между VLAN. В данном разделе рассматривается одна из возможностей
– коммутируемые виртуальные интерфейсы. Заключительный раздел этой главы посвящен другой
возможности настройки IPv4 адресов на коммутаторах уровня 3: маршрутизируемым интерфейсам.

Настройка маршрутизации с использованием SVI коммутатора

Конфигурация коммутатора уровня 3 главным образом выглядит, как конфигурация коммутатора

уровня 2, представленная ранее, с небольшим добавлением для функций уровня 3. Функция
коммутации уровня 3 нуждается в виртуальном интерфейсе, соединенном с каждой сетью VLAN,
внутренней для коммутаторов. Эти интерфейсы VLAN действуют как интерфейсы маршрутизатора, с IP
адресом и маской. У коммутатора уровня 3 есть таблица маршрутизации IP с подключёнными
маршрутами от каждой из этих интерфейсов VLAN. (Эти интерфейсы известны также как
коммутируемые виртуальные интерфейсы (Switched Virtual Interfaces - SVI).

Для демонстрации концепции коммутации 3 уровня с использованием SVI на рисунке 17 – 3 приведены

измененный проект и конфигурация для того же филиала, что и на рисунке 19 – 1 и 19 – 2. На рисунке
показана функция коммутатора уровня 3 с пиктограммой маршрутизатора в коммутаторе, чтобы
подчеркнуть, что коммутатор перенаправляет пакеты.

143
Рисунок 17 – 3 Маршрутизация на интерфейсах VLAN коммутатора уровня 3

Последовательность действий по настройке коммутации уровня 3 с использованием SVI приведена

ниже.

Настройка коммутации уровня 3 с использованием SVI

Этап 1. При необходимости разрешить на коммутаторе маршрутизацию IP сделаете следующее.

A. Используйте команду sdm prefer lanbase – routing (или подобную) в глобальном режиме
конфигурации, чтобы изменить параметры ASIC коммутатора и выделить пространство для
маршрутов IPv4 после следующей перезагрузки коммутатора.

B. Используйте пользовательскую команду reload в привилегированном режиме, чтобы

перезагрузить коммутатор и применить новый параметр команды sdm prefer.

C. После перезагрузки используйте команду ip routing в глобальном режиме конфигурации,

чтобы разрешить функцию маршрутизации IPv4 в программном обеспечении IOS, а также
такие команды, как show ip route.

Этап 2. Настройте каждый интерфейс SVI, по одному на VLAN, для которого коммутатор уровня 3
должен осуществлять маршрутизацию.

A. Используйте команду interface vlan идентификатор_vlan в глобальном режиме

конфигурации, чтобы создать интерфейс VLAN, а также передать логике маршрутизации
коммутатора уровня 3 интерфейс, соединенный с VLAN того же номера.

B. Используйте команду ip address адрес маска в режиме конфигурации интерфейса VLAN, чтобы
настроить IP адрес и маску на интерфейсе VLAN, обеспечив маршрутизацию IPv4 на этом
интерфейсе VLAN.

C. (При необходимости). Используйте команду no shutdown в режиме конфигурации интерфейса,

чтобы включить интерфейс VLAN (если он в настоящее время отключен)

В примере приводится конфигурация в соответствии с рисунком 17 – 3. В данном случае коммутатор

SW1, уже использовал глобальную команду sdm prefer lanbase – routing и был перезагружен.

144
Пример 17 – 5 Конфигурация интерфейса VLAN для коммутации уровня 3

Проверка маршрутизации с SVI

Для обеспечения маршрутизации пакетов коммутатор добавляет подключенные маршруты IP, как
показано в примере 17 – 6; обратите внимание, что каждый маршрут выводится как подключенный, с
другим интерфейсом VLAN.

Пример 17 – 6 Подключенные маршруты на коммутаторе уровня 3

Поиск и устранение неисправностей маршрутизации с использованием SVI

Есть два главных направления поиска и устранения неисправностей маршрутизации по локальным
сетям, использующим SVI. Во – первых, следует удостовериться, что поддержка маршрутизации IP на
компьютере была разрешена. Во – вторых, сеть VLAN, ассоциированная с каждым интерфейсом VLAN,
должна быть активна и известна на локальном коммутаторе, в противном случае интерфейсы VLAN не
перейдут в состояние up. Что бы удостовериться что ваш коммутатор поддерживает маршрутизацию
уровня 3, просмотрите несколько первых команд конфигурации. Это команды sdm prefer (с
последующей командой reload) и ip routing (после reload).

Команда sdm prefer меняет способ распределения памяти коммутатора для разных таблиц
маршрутизации, и это изменение требует перезагрузки коммутатора. У многих коммутаторов доступа,
поддерживающих коммутацию уровня 3, стандартное значение параметра SDM не разрешает
выделение пространства для таблицы маршрутизации IP. После его изменения и перезагрузки
последующая команда ip routing разрешает маршрутизацию IPv4 в программном обеспечении IOS. Обе
команды необходимы, прежде чем некоторые коммутаторы Cisco будут действовать как коммутатор

145
уровня 3. Вторая основная область поиска и устранения неисправностей SVI имеет отношение к
состоянию SVI, связанному с состоянием ассоциированных VLAN. У каждого интерфейса VLAN есть
соответствующая сеть VLAN с тем же номером, и состояние интерфейса VLAN взаимосвязано с
состоянием сети VLAN определённым способом. В частности, что бы интерфейс VLAN был в состоянии
up/up, необходимо следующее.

Рекомендации по проверке правильности работы коммутатора уровня 3, использующего SVI

Этап 1. Сеть VLAN должна быть определена на локальном коммутаторе (явно или изучена по VTP)

Этап 2. У коммутатора должен быть по крайней мере один рабочий интерфейс, используемый VLAN, а
также

A. Связанный с этой VLAN интерфейс доступа должен находиться в состоянии up/up;

B. Магистральный интерфейс для VLAN разрешен, разрешено перенаправление STP и нет

отсечения трафик в протоколе VTP

Этап 3. Сеть VLAN (не интерфейс) должна быть административно разрешена (т.е. не shutdown)

Этап 4. Интерфейс VLAN (не сеть VLAN) должен быть административно разрешен (т.е. не shutdown)

Имейте ввиду, что сеть VLAN и интерфейс VLAN – хотя и взаимосвязанные, но разные вещи, и эти
элементы конфигурации являются отдельными в CLI. Интерфейс VLAN – это интерфейс коммутатора
уровня 3, соединенный с сетью VLAN. Если необходимо перенаправить пакеты для подсетей VLAN 11,
12 и 13, соответствующие интерфейсы VLAN должны быть пронумерованы как 11, 12 и 13. И сети VLAN,
и интерфейсы VLAN могут быть отключены и включены командами shutdown и no shutdown (как
упоминается на этапах 3 и 4 в списке выше), поэтому проверять следует оба.

Маршрутизация VLAN с использованием маршрутизирующих портов

коммутатора уровня 3
При настройке коммутации уровня 3 с использованием SVI физические интерфейсы на коммутаторах
действуют как обычно, т.е. как интерфейсы уровня 2. Таким образом, физические интерфейсы
получают фреймы Ethernet. В качестве альтернативы конфигурации коммутатора уровня 3 может
заставить физический порт действовать как интерфейс маршрутизатора, а не как интерфейс
коммутатора. Для этого конфигурация коммутатора. Для этого конфигурация коммутатора делает
данный порт маршрутизируемым. Когда фрейм поступает на маршрутизирующий порт (routed port),
коммутатор на физическом интерфейсе не выполняет для этого фрейма логику коммутации уровня 2.
Вместо этого коммутатор осуществляет следующие действия по маршрутизации.

1. Удаляет заголовок и концевик канала связи Ethernet входящего фрейма.

2. Решение о перенаправлении уровня 3 принимается на основании сравнения IP адреса

получателя с таблицей маршрутизации IP.

3. К пакету добавляется новый заголовок и концевик канала связи Ethernet.

4. Происходит перенаправление инкапсулируемого в новом фрейме пакета.

146
Реализация маршрутизируемых интерфейсов на коммутаторах
Когда коммутатор уровня 3 нуждается в интерфейсе уровня 3, подключенном к подсети, и с этой
подсетью соединен только один физический интерфейс, сетевой инженер может решить использовать
маршрутизирующий порт вместо интерфейса SVI. И наоборот, когда коммутатор уровня 3 нуждается в
интерфейсе уровня 3, соединенном подсетью, и на коммутаторе есть несколько физических
интерфейсов, соединенных с этой подсетью, то имеет смысл использовать интерфейс SVI. (Интерфейс
SVI способен перенаправить трафик, а логика ровня 2 затем отправить его через любой из портов к
VLAN; маршрутизирующие порты на это не способны)

Сделать интерфейс коммутатора маршрутизируемым, а не коммутируемым, довольно просто:

достаточно использовать подкоманду no switchport на физическом интерфейсе. Это ключевое слово
указывает коммутатору Cisco рассматривать порт так, как будто это не порт коммутатора, т.е. порт
уровня 2 на коммутаторе.

Как только порт начинает действовать как маршрутизирующий, его можно считать интерфейсом
маршрутизатора. В примере 17 – 7 демонстрируется законченная конфигурация для интерфейсов,
настроенных на коммутаторе согласно рисунку 17 – 4. Порт, соединенный с подсетью 10.1.30.0,
преобразован в маршрутизирующий порт. Все, что нужно сделать, - это добавить команду no switchport
к физическому интерфейсу и настроить IP адрес на физическом интерфейсе.

Рисунок 17 – 4 Маршрутизация на маршрутизируемом интерфейсе коммутатора

Пример 17 – 7 Настройка интерфейса G0/1 коммутатора SW1 как маршрутизирующего порта

147
Команды show, указывающие маршрутизирующие порты уровня 3 в выводе

 Show interfaces. Подобна той же команде на маршрутизаторе; вывод отобразит IP адрес

интерфейса. (для портов коммутатора это команда IP адрес не выводит).

 Show interfaces status. В столбце “VLAN” вместо сети доступа VLAN или слова “trunk” выводит
слово “routed”, означающее, что это маршрутизирующий порт.

 Show ip route. Выводит маршрутизирующий порт как исходящий интерфейс маршрутов.

 Show interfaces тип номер switchport. Если это маршрутизирующий порт, выводит короток и
подтверждает, что это не порт коммутатора. (если это порт уровня 2, то команда перечисляет
множество подробностей конфигурации и состояния)

В примере 17 – 8 показан вывод всех этих четырех команд, также полученных на коммутаторе,
настроенном в примере 17 – 7.

Пример 17 – 8 Команды проверки для маршрутизирующих портов на коммутаторах

148
Таким образом, где следует использовать каждую из двух имеющихся возможностей (SVI и
маршрутизирующие порты)? В любой топологии с двухточечным каналом связи между двумя
устройствами, осуществляющими маршрутизацию, лучше использовать маршрутизируемый
интерфейс. На рисунке 17 – 5 демонстрируется типичный проект ядра/распределения/доступа с
уровнями ядра и распределения, действующими как коммутаторы уровня 3. Все порты, являющимися
каналами связи непосредственно между коммутаторами уровня 3, могут быть маршрутизируемыми
интерфейсами. Для сетей VLAN, где с ними соединено много интерфейсов (доступа и магистрального
канала), имеет смысл использовать интерфейсы SVI, поскольку SVI могут передавать и получать трафик
через несколько портов на том же коммутаторе.

Рисунок 17 – 5 Использование маршрутизируемых интерфейсов для каналов связи ядра и уровня

распределения 3

Реализация каналов EtherChannel уровня 3

В большинстве проектов сетевые инженеры используют по крайней мере два канала связи между
каждой парой коммутаторов распределения и ядра, ка показано на рисунке 17 – 6.

Рисунок 17 – 6 По два канала связи между каждым коммутатором распределения и ядра

149
Даже не используя канал EtherChannel, вполне возможно заставить каждый порт на каждом
коммутаторе в центре рисунка стать маршрутизирующим портом. Это сработает, но как только будет
разрешен протокол маршрутизации, каждый коммутатор уровня 3 получит два маршрута IP с тем же
соседним коммутатором в качестве следующего транзитного узла. В целом подход канала EtherChannel
уровня 3 сработает лучше, чем, когда каждый из каналов связи останется как отдельный
маршрутизирующий порт с использованием балансировки уровня 3.

Чтобы настроить канала EtherChannel уровня 3, создайте конфигурацию канала EtherChannel, и

маршрутизирующего порта. Следующий контрольный список демонстрирует эти этапы, подразумевая
статическое определение канала EtherChannel.

Настройка интерфейсов

Этап 1. Настройте физические интерфейсы в режиме конфигурации интерфейса следующим образом.

A. Настройке команду channel – group номер mode on, чтобы добавить интерфейс к каналу.
Используйте один номер всех физических интерфейсов на том же коммутаторе, но на двух
соседних коммутаторах используемый номер канальной группы может различаться.

B. Добавьте команду no switchport, чтобы сделать каждый физический порт маршрутизирующим

портом.

Этап 2. Настройте интерфейс PortChannel так.

A. Используйте команду interfaces port – channel номер, чтобы перейти в режим конфигурации
канала портов для одного и того же номера канала, настроенного в физических интерфейсах.

B. Добавьте команду no switchportи, чтобы удостовериться, что интерфейс канала портов

действует, как маршрутизирующий порт. (Возможно, операционная система IOS уже добавила
эту команду)

C. Используйте команду ip address адрес маска, чтобы задать адрес и маску.

В примерах 17 – 9 демонстрируется конфигурация канала EtherChannel уровня 3 для коммутатора SW1

на рисунке 17 – 7. Канал EtherChannel определяет интерфейс канала портов 12 и использует подсеть
10.1.12.0/24.

Рисунок 17 – 7 Проект, используемый в примерах конфигурации канала EtherChannel

150
Пример 17 – 9 Конфигурация канала EtherChannel уровня 3 на коммутаторе SW1

Обратите особое внимание на то, что IP адрес должен быть присвоен только интерфейсу PortChannel.
Фактически, когда на интерфейсе настраивается команда no switchport, операционная система IOS
добавляет к интерфейсам команду no ip address. Затем остается настроить IP адрес только на
интерфейсе PortChannel.

Пример 17 – 10 показывает, что команды, выводящие IP адреса и маршруты, упоминают и интерфейсы

PortChannel. Кроме того, обратите внимание, что вывод команд show interfaces status подтверждает
тот факт, что физические порты и интерфейс Port – Channel 12 являются маршрутизирующими портами.

Пример 17 – 10 Команды проверки, отображающие интерфейс Port – Channel 12 на коммутаторе SW1

151
Поиск и устранение неисправностей каналов EtherChannel уровня 3
Во – первых, необходимо рассмотреть конфигурацию команды channel – group, разрешающей
интерфейс для канала EtherChannel. Во – вторых, следует проверить список параметров, которые
должны совпадать на интерфейсах для правильной работы канала EtherChannel уровня 3.

Что касается подкоманды интерфейса channel – group, она может разрешить канал EtherChannel
статически или динамически. При динамическом разрешении ключевые слова этой команды
подразумевают либо протокол объединения портов (Port Aggregation Protocol – PaGP), либо протокол
управления объединением каналов (Link Aggregation Control Protocol - LACP) в качестве протокола
проведения переговоров между соседними коммутаторами по поводу помещения канала связи в
канал EtherChannel.

Однако недостаточно лишь правильно выбрать конфигурацию команды channel – group для всех
физических портов, которые будут объединены в канал EtherChannel. У каналов EtherChannel уровня 2
есть более длинный список требований, но каналы EtherChannel уровня 3 действительно требуют лишь
нескольких проверок на непротиворечивость между портами, прежде чем они смогут быть добавлены
в канал EtherChannel. Вот список требований для каналов EtherChannel уровня 3.

Список параметров конфигурации, которые должны быть единообразны, прежде чем

операционная система IOS свяжет канал связи с существующим каналом EtherChannel уровня 3.

 no switchport. Интерфейс PortChannel должен быть настроен с помощью команды no switchport

и должен быть физическим интерфейсом. Если на физическом интерфейсе не будет настроена
команда no switchport, то он не станет работать на канале EtherChannel.

 speed. Физические порты на канале должны использовать одинаковую скорость.

 duplex. Физические порты на канале должны использовать одинаковый дуплекс.

152
ГЛАВА 18. ПОИСК И УСТРАНЕНИЕ НЕИСПРАВНОСТЕЙ
МАРШРУТИЗАЦИИ IPv4
Проблемы между хостом и стандартным маршрутизатором
Рисунок 18 – 1 Схема сети обсуждаемая в этом разделе.

Первопричины в параметрах хоста IPv4

Типичный хост IPv4 получает свои четыре ключевых параметра IPv4 одним из двух способов: либо в
ходе статической конфигурации, либо при помощи протокола DHCP. Но в обоих случаях параметры
могут оказаться неправильными.

Гарантия правильности параметров IPv4

Этот процесс начинается с запроса у пользователя ввода таких команда, как ipconfig и ifconfig, в
зависимости от операционной системы хоста. Этот процесс позволяет выяснить наиболее очевидные
проблемы, такие как отсутствие параметров или, при использовании протокола DHCP, полный отказ
протокола DHCP, не позволяющего получить никаких параметров IPv4. На рисунке 18 – 2 приведены
проверяемые элементы с объяснениями.

Рисунок 18 – 2 Сравнение параметров IPv4 хоста с используемыми в сети

153
На рисунке пронумерованы следующие этапы проверки параметров хоста IPv4.

Контрольный список поиска проблемы в параметрах IPv4 на хосте и его стандартном

маршрутизаторе.

Этап 1. Проверьте правильность списка адресов серверов DNS на хосте

Этап 2. Используя команду ip address, сверьте параметр стандартного маршрутизатора на хосте с

конфигурацией интерфейса LAN маршрутизатора

Этап 3. Сверьте маски подсети, используемые маршрутизатором и хостом; если они не совпадают, то и
подсети не совпадают, что вызовет проблемы с некоторыми адресами хостов.

Этап 4. Хост и маршрутизатор должны быть подключены к той же подсети – тот же идентификатор
подсети и тот же диапазон IP адресов. Поэтому, используя IP адреса и маски маршрутизатора и хоста,
вычислите идентификаторы подсети и диапазоны адресов. Убедитесь, что они принадлежат той же
подсети, что и маршрутизатор (команда ip address).

Если параметр конфигурации IPv4 на хосте отсутствует или явно неправильный его исправление может
быстро устранить проблему.

Несовпадение масок влияет на маршрут доступа к подсети

Диапазоны адресов подсети на хосте и его стандартном маршрутизаторе должны быть согласованны.
Если у хоста и маршрутизатора значения маски подсети отличаются, то каждый из них вычислит разный
диапазон адресов в подсети, что создаст проблемы.

Рисунок 18 – 3 Разные результаты вычисления подсети на хосте и в сети.

В данном случае маршрутизация пакетов с хоста получателя вне подсети работает хорошо. Но в
обратном направлении из остальной части сети назад на хост – нет. Быстрая проверка конфигурации
маршрутизатора R1 показывает, что IP адрес и маска, показанные на рисунке 18 – 3, создают
подключенный маршрут для подсети 10.1.1.128/25, как демонстрирует пример 18 -1.

154
Пример 18 – 1 IP адрес и маска на маршрутизаторе R1, а также подключенная подсеть, в которой
отсутствуют адрес хоста А

Из-за данного конкретного несоответствия маршрутизатор R1 считает хост (10.1.1.9) не входящим в

подсеть (10.1.1.128/25 дает диапазон от 10.1.1.129 до 10.1.1.254). Маршрутизатор R1 добавляет в
таблицу маршрутизации подключенный маршрут к подсети 10.1.1.128/25 и даже анонсирует его
другим маршрутизаторам в сети. Все маршрутизаторы знают, как перенаправить пакеты к подсети
10.1.1.128/25, но, к сожалению, этот маршрут не включает IP адрес 10.1.1.9 хоста А.

Типичные проблемы DNS

Когда на хосте задан неправильный список IP адресов серверов DNS, симптомы вполне очевидны:
неудачей заканчиваются любые действия пользователя, требующие преобразования имен. Если
неправильный параметр DNS – это единственная проблема, то любая проверка сети при помощи
команды ping и traceroute с использованием имен закончится отказом, но с IP адресами вместо имен
все работает исправно.

Две первопричины проблем DNS

 На пользовательском хосте (клиенте DNS) может задан неправильный параметр IP адреса

(адресов) сервера.

 Проблема соединения IP между хостом пользователя и сервером DNS

155
Если на хосте задан неправильный IP адрес сервера DNS, причем задан статически, достаточно
изменить этот параметр. Если неправильный адрес сервера получен по протоколу DHCP, необходимо
исследовать конфигурацию сервера DHCP.

Вторая проблема поднимает важный вопрос поиска и устранения любой реальной проблемы в сети.
Практически все реальные пользовательские приложения используют имена, а не адреса, и
большинство хостов использует сервер DNS для преобразования имен. Таки образом, каждое
соединение с новым приложением задействует два набора пакетов: пакеты, передаваемые между
хостом и сервером DNS, и пакеты, передаваемые между хостом и реальной сервером.

Рисунок 18 – 4 Сначала передаются пакеты преобразования имен DNS, а затем пакеты реального
сервера

Обратим внимание на то, что на маршрутизаторе могут быть заданы IP адреса серверов DNS, поэтому
команды маршрутизатора могут преобразовывать имена. Что бы настроить маршрутизатор на
использование службы DNS, маршрутизатор нуждается в глобальной команде ip name-server адрес-
dns1 адрес-dns2. Он нуждается также в глобальной команде ip-domain-lookup, используемой
изначально.

Для поиска и устранения неисправностей имеет смысл задать на маршрутизаторе или коммутаторе
параметры DNS, соответствующие таковым у локальных хостов.

Неправильный параметр IP адреса стандартного маршрутизатора

Понятно, что при указании на хосте неправильного IP адреса стандартного маршрутизатора возникнут
проблемы. Такой пример приставлен на рисунке 18 – 5. В данном случае на хостах А и В неправильно
указан адрес 10.1.3.4 как адрес стандартного маршрутизатора. Маршрутизатор R3 использует адрес
10.1.3.3.

156
Рисунок 18 – 5 Неправильный параметр стандартного маршрутизатора на хостах А и В

В данном случае некоторые функции действительно работают. Например, хосты А и B могут посылать
пакеты другим хостам в той же сети LAN, при попытке хостов посылать пакеты во внешние подсети они
потерпят неудачу.

Причины проблем в конфигурации стандартного маршрутизатора

Проблемы DHCP

Если объединённая сеть применяет централизованный сервер DHCP, используемый многими

дистанционными подсетями LAN, на маршрутизаторах должно быть разрешено такое средство, как
ретранслятор DHCP, обеспечивающие работы протокола DHCP. Чтобы перенаправить сообщение
DHCP Discover, маршрутизатор R1 разрешает ретрансляцию DHCP при помощи команды ip helper-
address 172.16.2.11 на его интерфейсе G0/0

Рисунок 18 – 6 Действие команды ip helper-address

Условия для передачи сообщений DHCPс клиента на сервер DHCP

Этап 1. При использовании централизованного сервера DHCP по крайней мере один маршрутизатор в
каждой дистанционной подсети, имеющий клиенты DHCP, должен действовать как агент пересылки
DHCP и иметь правильно настроенную подкоманду ip helper-address адреса на интерфейсе,
подключенном к этой подсети.

157
Этап 2. Найдите и устраните все проблемы соединения IP между агентом пересылки и сервером DHCP,
используя как адреса отправителя и получателя пакетов IP адреса интерфейсов агента пересылки и
сервера.

Этап 3. Вне зависимости от использования локального или централизованного сервера DHCP, найдите
и устраните все проблемы LAN между клиентом и агентом пересылки DHCP.

Этап 4. Найдите и устраните ошибки конфигурации сервера.

Интерфейс маршрутизатора и проблемы LAN

В процессе локализации проблемы может оказаться, что команде ping с хоста недоступен его
стандартный маршрутизатор, и наоборот. Эта простая проверка укажет инженеру, что маршрутизатор,
хост и локальная сеть между ними по неизвестным причинам не могут передавать пакеты,
инкапсулируемые во фрейме Ethernet. Первопричины основных проблем подключения LAN относятся
к двум категориям.

 Проблемы, вызвавшие отказ интерфейса LAN маршрутизатора

 Проблема локальной сети.

Интерфейс LAN маршрутизатора должен в рабочем состоянии up/up. При отказе команды ping с
маршрутизатора на хост LAN (или наоборот) проверьте состояние интерфейса, и если они не в рабочем
состоянии, то ищите причину неработоспособности интерфейса маршрутизатора. Но проблема может
крыться в самой сети LAN. В данном случае это может быть любая проблема, связанная с локальными
сетями Ethernet. В частности, первопричиной проблем LAN может быть все, включая схемы
расположения выводов кабелей Ethernet, защита портов и даже протокол распределённого
связующего дерева.

Интерфейсы LAN маршрутизатора могут находиться в нерабочем состоянии по нескольким причинам.

Наиболее распространённые причины, обсуждаемые в рамках экзамена CCNA, приведены в таблице
28 – 1.

Таблица 18 – 1 Наиболее распространённые причины нерабочего состояния интерфейсов LAN

Причина Описание Состояние интерфейса

маршрутизатора
Рассогласование скорости И маршрутизатор, и Down/down
коммутатор могу использовать
подкоманды интерфейса для
установки скорости, но
скорости могут не совпадать
Отключение На интерфейсе маршрутизатора Admin Down/down
введена подкоманда
интерфейса shutdown
Отключение на коммутаторе Соседний интерфейс Down/down
коммутатора был настроен
подкомандой интерфейса
158
 shutdown, а интерфейс
маршрутизатора – no shutdown
Отключение из-за ошибки Порт соседнего коммутатора Down/down
использует защиту порта,
переведшую порт в состояние
отключения из-за ошибки
Отсутствие (повреждение) К маршрутизатору не Down/down
кабеля подключен кабель или
подключен кабель с
неправильным расположением
выводов

Проблемы перенаправления пакетов между маршрутизаторами

Перенаправление IP при соответствии наиболее специфическому маршруту

Процесс маршрутизации IP любого маршрутизатора требует, чтобы маршрутизатор сравнил IP адрес

получателя каждого пакета с текущим содержимым таблицы маршрутизации IP данного
маршрутизатора. Зачастую конкретному адресу получателя соответствует только один маршрут, но в
некоторых случаях ему соответствует несколько маршрутов.

Перекрывающиеся подсети могут создавать следующие факторы.

 Автоматическое суммирование

 Суммирование маршрутов вручную

 Статические маршруты

 Неправильный план подсетей, вызывающий наложение адресных интервалов подсетей

Сначала рассмотрим, как маршрутизатор находит соответствие в таблице маршрутизации даже при
наличии в ней накладывающийся маршрутов. Когда адресу получателя пакета соответствует несколько
маршрутов, маршрутизатор использует лучший маршрут, определяемый следующим образом. Когда
некоему IP адресу получателя соответствует несколько маршрутов в таблице маршрутизации,
маршрутизатор IPv4 использует самый специфический маршрут, иными словами, маршрут с самым
длинным префиксом (маской).

Использование команды show ip route и вычисление подсети для поиска лучшего маршрута

Есть несколько способов выяснить, какой из маршрутов выберет маршрутизатор как самый лучший.
Один из способов – использовать команду show ip route и математический механизм создания
подсетей. В примере 18 – 2 представлен набор, накладывающийся маршрутов.

159
Пример 18 – 2 Команда show ip route при накладывающийся маршрутах

Что бы предсказать, какой из маршрутов будет выбран маршрутизатором, необходимы две части
информации: IP адрес получателя пакета и содержимые таблицы маршрутизации маршрутизатора.
Идентификатор подсети и маска, выведенные для маршрута, определяют диапазон адресов,
соответствующий этому маршруту. Применив математический механизм создания подсетей, сетевой
инженер может выяснить диапазон адресов, соответствующий каждому маршруту. Например, в
таблице 18 – 2 представлены пять подсетей, указанных в примере 18 – 2, и их диапазоны адресов.

Таблица 18 – 2 Анализ диапазона адресов для подсетей в примере 18 – 2

Подсеть/префикс Диапазон адресов

172.16.1.1/32 172.16.1.1 (только этот адрес)
172.16.1.0/24 172.16.1.0 – 172.16.1.255
172.16.0.0/22 172.16.0.0 - 172.16.3.255
172.16.0.0/16 172.16.0.0 – 172.16.255.255
0.0.0.0/0 0.0.0.0 – 255.255.255.255 (все адреса)
При соответствии нескольким маршрутам выбирается маршрут с наибольшим префиксом. Таким
образом, маршрут с префиксом /16 лучше, чем маршрут с префиксом 10; маршрут с префиксом 25
лучше, чем с префиксом 20 и так далее. Ниже представлены несколько примеров IP адресов
получателя. Для каждого адреса список указывает маршруты из таблицы 18 – 2, выбираемые
маршрутизатором в каждом случае.

 172.16.1.1. Подходят все пять маршрутов; самый длинный префикс - /32, используется маршрут
к подсети 172.16.1.1/32

 172.16.1.2. Подходят четыре маршрута; самый длинный префикс - /24, используется маршрут к
подсети 172.16.0.0/24.
160
  172.16.2.3. Подходят три маршрута; самый длинный префикс - /22, используется маршрут к
подсети 172.16.0.22/22

 172.16.4.3. Подходят последние два маршрута; самый префикс - /16, используется маршрут к
подсети 172.16.0.0/16

Использование команды show ip route адрес для поиска лучшего маршрута

Второй способ выявления используемого маршрутизатором маршрута – это команда show ip route
адрес. Маршрутизатор укажет в выводе маршрут, который он использовал бы для перенаправления
пакета, посланного на этот адрес.

В примере 18 – 5 показан вывод команды show ip route 172.16.4.3. Первая (выделенная) строка
отображает соответствующий маршрут: маршрут к подсети 172.16.0.0/16. Остальная часть вывода
отображает подробности данного конкретного маршрута, включая исходящий интерфейс S0/1/0 и
следующий транзитный маршрутизатор 172.16.25.129.

Пример 18 – 5 Команда show ip route при накладывающийся маршрутах

Справка по команде show ip route

Команда show ip route играет главную роль в поиске и устранения неисправностей маршрутизации IP
и проблем протокола маршрутизации IP.

На рисунке 18 – 7 приведен типичный пример вывода команды show ip route. Номера на рисунке
обозначают элементы вывода команды, а их описание приведено в таблице 18 – 3.

Рисунок 18 – 7 Справка по выводу команды show ip route

161
Таблица 18 – 3 Описание вывода команды show ip route

Элемент Идея Значение Описание

на рисунке
1 Классовая сеть 10.0.0.0/8 Таблица маршрутизации организованна по
классовым сетям. Эта строка является заголовком для
классовой сети 10.0.0.0; здесь указана стандартная
маска для сетей класса А (/8)
2 Количество 13 subnet Количество маршрутов к подсетям классовой сети,
подсетей известных данному маршрутизатору, от всех
отправителей, включая локальные маршруты,
соответствующие каждому IP адресу интерфейса
маршрутизатора
3 Количество масок 5 masks Количества разных масок, используемых на всех
маршрутах, известных данному маршрутизатору в
этой классовой сети
4 Коды легенды C, L, O Краткий код, идентифицирующий источник
информации о маршрутизации. О – протокол OSPF, D
– протокол EIGRP, С – подключенный маршрут, S –
статический и L – локальный.
5 Идентификатор 10.2.2.0 Номер подсети данного маршрута
подсети
6 Длина префикса /30 Префиксная маска, используемая данной подсетью
7 Административное 110 Если маршрутизатор получил маршруты для данной
расстояние подсети из нескольких источников информации о
маршрутизации, то он использует источник с самым
низким административным расстоянием
8 Метрика 128 Метрика данного маршрута
9 Следующий 10.2.2.5 IP адрес следующего маршрутизатора, на которой
транзитный должен быть перенаправлен пакет, соответствующий
маршрутизатор этому маршруту
10 Таймер 14:31:52 Для маршрутов OSPF и EIGRP это время с момента
получения маршрута
11 Исходящий Serial0/0/1 Интерфейс, на которой должен быть послан пакет,
интерфейс соответствующий этому маршруту

162
ГЛАВА 19. КОНЦЕПЦИИ ПРОТОКОЛА OSPF
Сравнение средств протокола динамической маршрутизации
Маршрутизаторы добавляют маршруты IP в свои таблицы маршрутизации тремя способами: как
подключенные, как статические или как изученные с помощью протоколов динамической
маршрутизации. Имеет смысл определить несколько связанных с ними терминов и устранить
заблуждения по поводу терминов протокол маршрутизации (routing protocol) и маршрутизируемый
протокол (routed protocol и routable protocol).

 Протокол маршрутизации. Набор сообщений, правил и алгоритмов, используемых

маршрутизаторами для общей задачи изучения маршрутов. Этот процесс подразумевает обмен
и анализ информации о маршрутизации. Каждый маршрутизатор выбирает наилучший
маршрут к каждой подсети (выбор пути), а выбранные оптимальные маршруты помещает в
свою таблицу маршрутизации IP. К таким протоколам относятся RIP, EIGRP, OSPF и BGP.

 Маршрутизируемый протокол. Протокол, определяющий структуру пакета и логику

адресации, позволяющие маршрутизаторам перенаправлять (или маршрутизировать) пакеты.
Маршрутизаторы перенаправляют пакеты в соответствии с маршрутизируемыми протоколами.
К таким протоколам относится IP версии 4 и версии 6.

Функции протокола маршрутизации

Функции протокола маршрутизации

1. Изучать информацию о маршрутах к подсетям IP от других соседних маршрутизаторов.

2. Анонсировать информацию о маршрутах к подсетям IP другим соседним маршрутизаторам.

3. Если к подсети есть несколько маршрутов, то наилучший выбирается на основании метрик.

4. Если топология сети изменится, то некоторые маршруты окажутся неверными, и придется

выбирать новый оптимальный маршрут (этот процесс носит название конвергенция
(convergence)

На рисунке 19 – 1 приведен пример трех из четырех приведенных выше функций. Маршрутизаторы R1

и R3 узнают о маршруте к подсети 172.16.3.0/24 от маршрутизатора R2 (функция 1). После того как
маршрутизатор R3 о маршруте к подсети 172.16.3.0/24 от маршрутизатора R2, он анонсирует этот
маршрут маршрутизатору R1 (функция 2). Затем маршрутизатор R1 принимает решение о двух
изученных им маршрутах к подсети 172.16.3.0/24: один с метрикой 1 от маршрутизатора R2 и один с
метрикой 2 от маршрутизатора R3. Маршрутизатор R1 выбирает маршрут с меньшей метрикой, т.е.
через маршрутизатор R2 (функция 3)

Конвергенция (сходимость) – четвертая упомянутая здесь функция протокола маршрутизации.

Конвергенция – это процесс, в ходе которого все маршрутизаторы осознают, что произошло некое

163
изменение, анонсируют информацию об изменениях всем остальным маршрутизаторам, а они
выбирают для каждой подсети оптимальные маршруты.

Рисунок 19 – 1 Три из четырех функций протоколов маршрутизации

Внутренние и внешние протоколы маршрутизации

Протоколы маршрутизации IP относятся к одной из двух главных категорий: протоколы
маршрутизации внутреннего шлюза (Interior Gateway Protocol - IGP) и протоколы маршрутизации
внешнего шлюза (Exterior Gateway Protocol - EGP). Как они определяются, описано ниже.

Определения протоколов IGP и EGP

 IGP. Протокол маршрутизации, предназначенный для использования в одиночной

автономной системе (Autonomous System – AS)

 EGP. Протокол маршрутизации, предназначенный для совместного использования разными

автономными системами.

Сегодня протокол граничного шлюза (Border Gateway Protocol - BGP) является единственным
используемым протоколом EGP.

На рисунке 19 – 2 приведено некое уменьшенное представление Всемирного Интернета. На рисунке

представлены два предприятия и три провайдера служб Интернета, использующих протоколы IGP
(OSPF и EIGRP) в собственных сетях и протоколы BGP между системами, обозначенными как ASN.
164
Рисунок 19 – 2 Сравнение областей применения протоколов IGP и EGP

Алгоритмы протокола маршрутизации IGP

Базовые алгоритмы протокола маршрутизации определяют то, как они решают свою задачу. Термин
алгоритм протокола маршрутизации (routing protocol algorithm) относится к логике, используемой
различными протоколами маршрутизации для изучения всех возможных маршрутов и выбора
наилучшего для каждой подсети, а также реакции на изменения в объединённой сети (конвергенции).
Протоколы маршрутизации IGP используют три типа алгоритмов протокола маршрутизации.

Три типа алгоритмов протокола маршрутизации IGP

 Дистанционно – векторный (или алгоритм Беллмана – Форда, по имени его создателей)

 Улучшенный дистанционно – векторный (или “сбалансированный гибридный”)

 Состояния канала

Метрики
Протоколы маршрутизации выбирают наилучший маршрут к подсети на основании самой низкой
метрики маршрута. Протокол OSPF подсчитывает цену каждого интерфейса в сквозном маршруте, а
также цену на основании ширины полосы пропускания канала связи. Список важнейших протоколов
маршрутизации IP для экзаменов CCNA и некоторые подробности о них приведены в таблице 19 – 1.

165
Таблица 19 – 1 Сравнение метрик EIGRP

IGP Метрика Описание

RIPv2 Счетчики транзитных Количество маршрутизаторов (транзитных участков)
переходов между маршрутизатором и подсетью назначения
OSPF Цена Сумма стоимостей всех интерфейсов для всех
каналов связи на маршруте со стоимостью,
полученной на основании ширины полосы
пропускания интерфейса.
EIGRP Соотношение ширины Вычисляется на основании самого медленного
полосы пропускания и канала связи маршрута, а кумулятивная задержка
задержки связана с каждым интерфейсом на маршруте

Другие сравнения протокола IGP

Данный раздел знакомит еще с несколькими пунктами сравнения, а детали мы рассмотрим позже.

Протоколы маршрутизации могут быть классовыми или бесклассовыми. Бесклассовые протоколы

маршрутизации поддерживают маски подсети переменой длинны (VLSM), а также суммирование
маршрутов вручную. Бесклассовые протоколы маршрутизации (classless routing protocol)
поддерживают маски VLSM и суммирование маршрутов вручную за счет передачи сообщений
протокола маршрутизации.

Административное расстояние
Если две компании соединяют свои сети, чтобы обмениваться информацией, они должны
обмениваться некой информацией о маршрутизации. Если одна компания использует протокол OSPF,
а другая – протокол EIGRP по крайней мере на одной маршрутизаторе, то поддерживать придется оба
протокола – OSPF и EIGRP. Впоследствии этот маршрутизатор может получать маршруты по протоколу
OSPF, а анонсировать их по протоколу EIGRP и наоборот, осуществляя перераспределение маршрута
(route redistribution)

Когда операционная система IOS должна выбирать между маршрутами, изученными разными
протоколами маршрутизации, она использует концепцию административного расстояния
(administrative distance). Административное расстояние – это числовое представление достоверности
протокола маршрутизации на одном маршрутизаторе. Чем ниже это значение, тем лучше, тем
достовернее протокол маршрутизации. Например, стандартное административное расстояние для
протокола RIP составляет 120, для протокола OSPF – 110, а для протокола EIGRP – 90. Значения
административного расстояния настраиваются на маршрутизаторе индивидуально, и они не
обмениваются ими между собой. В таблице 19 – 2 приведены различные источники информации и
маршрутизации, а также стандартные административные расстояния.

166
Таблица 19 – 2 Стандартные административные расстояния

Концепции и работа протокола OSPF – Информация о топологии и анонсы LSA

Протоколы состояния канала создают маршруты IP в ходе нескольких этапов. Сначала маршрутизаторы
совместно выясняют достаточно много информации о сети: ее маршрутизаторы, канал связи, IP адреса,
информацию о состоянии и т.д. Затем они рассылают эту информацию, чтобы все маршрутизаторы ее
знали. На данный момент любой маршрутизатор может вычислять маршруты ко всем подсетям со
своей точки зрения.

Используя протоколы маршрутизации по состоянию канала, маршрутизаторы должны анонсировать

практически все подробности объединенной сети для всех остальных маршрутизаторов. Наконец
процесс лавинной рассылки (flooding) доставляет информацию всем маршрутизатором в
объединённой сети, что бы у каждого из них была та же информация об объединённой сети.

Протокол OSPF организует информацию о топологии, используя анонсы состояния канала (Link – State
Advertisement - LSA) и базу данных состояний каналов (Link – State Database LSDB). Концепция
представлена на рисунке 19 – 3. Каждый анонс LSA – это структура данных содержащая немного
специфической информации о топологии сети; база LSDB – это просто коллекция всех анонсов LSA,
известных маршрутизатору. Команда show ip ospf database, отданная в интерфейсе командной строки
маршрутизатора, использующего протокол OSPF, отобразит базу LSDB на данном маршрутизаторе, а
также часть информации в каждом анонсе LSA в базе LSDB.

167
Рисунок 19 – 3 Взаимоотношение анонсов LSA и базы LSDB

Рисунок 19 – 4 дает общее представление о процессе лавинной рассылки, осуществляемой

маршрутизатором R8 для передачи анонса LSA.

Рисунок 19 – 4 Лавинная рассылка LSA с использованием протокола маршрутизации по состоянию

канала

На рисунке 19 – 4 приведен довольно простой пример процесса лавинной рассылки, когда

маршрутизатор R8 публикует анонс о себе LSA о себе, а другие маршрутизаторы перенаправляют его
до тех пор, пока у каждого маршрутизатора не будет по экземпляру.

Иногда маршрутизаторы повторяют лавинную рfссылку дельных анонсов LSA. Это происходит при
изменении маршрутной информации, например, при отказе или восстановлении канала связи. Анонсы
LSA повторно рассылаются также по истечении таймера устаревания (стандартно – 30 минут).
168
Поиск наилучших маршрутов с помощью алгоритма Дейкстры
Для получения маршрутов маршрутизаторы осуществляют математические вычисления. К счастью, вам
не нужно знать математику столь глубоко. Тем не менее для обработки базы LSDB все протоколы
состояния канала используют математический алгоритм поиска первого кротчайшего пути
Дейкстры (Dijkstra Shortest Path First - SPF). Этот алгоритм анализирует (математически) базу LSDB и
создает маршруты, добавляемы локальными маршрутизаторами в таблицы маршрутизации IP.
Маршруты включают номер подсети и маску, исходящий интерфейс и IP адрес следующего транзитного
маршрутизатора.

Теперь, когда у вас уже есть понимание идеи, в нескольких следующих разделах рассматриваются три
следующие главные фазы процесса работы маршрутизаторов OSPF по обмену анонсами LSA и
вычислению маршрутов.

 Установление соседских отношений (becoming neighbors). Отношения между двумя

маршрутизаторами, соединенными одним каналом связи. Соседние маршрутизаторы
способны обмениваться LSDB.

 Обмен базами данных (database exchange). Процесс пересылки анонсов LSA соседям, что бы
все маршрутизаторы изучили этот анонс.

 Добавление наилучших маршрутов (adding the best route). Процесс вычисления по локальной
копии базы LSDB наилучших маршрутов и добавления их в таблицу маршрутизации IPv4 на
каждом поддерживающем алгоритм SPF маршрутизаторе.

Установление соседских отношений OSPF

Концепция соседей OSPF имеет наибольшее значение для последующей настройки, поиска и
устранения неисправностей протокола OSPF на маршрутизаторах Cisco. Вы настраиваете протокол OSPF
так, чтобы маршрутизаторы становились соседями, а большая часть процесса обмена сообщениями
LSA и вычисления наилучших маршрутов остается на заднем плане.

Оcновы соседских отношений

Соседи OSPF – это маршрутизаторы, находящиеся на том же канале связи и использующие протокол
OSPF. Чтобы стать соседями OSPF, двум маршрутизаторам недостаточно на одном канале связи, они
должны обмениваться сообщениями OSPF и согласиться стать соседями. Для этого маршрутизаторы
посылают сообщение Hello OSPF, представляясь соседу. С учетом совместимости параметров OSPF у
двух соседей их отношения будут отображены в выводе команды show ip ospf neighbors.

Модель соседей OSPF обеспечивает новым маршрутизаторам динамическое обнаружение. Это

означает, что новые маршрутизаторы могут быть добавлены в сеть без обязательной перенастройки
каждого маршрутизатора. Вместо этого конфигурация вкачает протокол OSPF на интерфейсах
маршрутизатора, а затем он начинает реагировать на все сообщения Hello от новых соседей, когда они
появляются.

169
Общение соседей и изучение их идентификаторов маршрутизатора
Процесс OSPF начинается с сообщений Hello OSPF. Эти сообщения содержат идентификаторы
маршрутизатора (Router ID – RID) – уникальные имена или идентификаторы каждого маршрутизатора
для протокола OSPF. И наконец протокол OSPF проверяет информацию в сообщениях Hello и
удостоверяется, что эти два маршрутизатора могут стать соседями.

Идентификатор RID протокола OSPF – 32 разрядное число. Стандартно операционная система IOS
назначает идентификаторы RID OSPF на основании IPv4 адреса интерфейса, поскольку это тоже вполне
подходящее 32 разрядное число. Однако идентификатор RID OSPF может быть задан непосредственно,
как описано далее.

Как только маршрутизатор выбрал идентификаторы RID OSPF и включил интерфейсы, он готов
знакомиться с соседями. Для обнаружения других поддерживающих протокол OSPF маршрутизаторов
со всех интерфейсов рассылаются многоадресатные пакеты Hello протокола OSPF и ожидаются ответы
на них от других маршрутизаторов, подключенных к этим интерфейсам. Сообщение Hello имеет
следующие свойства.

 Сообщение Hello предваряется заголовком пакета IP с типом протокола 89.

 Пакеты Hello посылают на многоадресатный IP адрес 224.0.05, предназначенный для всех

маршрутизаторов, поддерживающих протокол OSPF.

 Маршрутизаторы OSPF получают пакеты Hello, посылаемые на многоадресатный IP адрес

224.0.0.2, и узнают из них о новых соседях.
На рисунке 19 – 5 показано несколько предварительных состояний соседей, используемых на ранних
этапах формирования соседских отношений OSPF.

Рисунок 19 – 5 Предварительные состояния соседей

170
На рисунке процесс начинается при отключенном канале связи, когда маршрутизаторы ничего не знают
ни один о другом, ни о том, что они соседи OSPF. На этапе 2 маршрутизатор R1 посылает первый пакет
Hello – так маршрутизатор R2 узнает о существовании маршрутизатора R1 как маршрутизатора OSPF.
Теперь маршрутизатор R2 укажет маршрутизатор R1 как соседа с промежуточным состоянием Init
(инициализация).

Процесс продолжается на этапе 3, на котором маршрутизатор R2 возвращает сообщение Hello. Это

сообщение оповещает маршрутизатор R1 о существовании маршрутизатора R2 и позволяет
маршрутизатору R1 перейти в состояние двухстороннего соответствия (2 – way state). На этапе 4
маршрутизатор R2 получает следующее сообщение Hello от маршрутизатора R1 и маршрутизатор R2
также может перейти в состояние двухстороннего соответствия.

Завершив эти предварительные этапы, каждый маршрутизатор достигает состояния 2 – way со своим
соседом. На настоящий момент истинны два следующих факта.

Ключевые факты о состоянии 2 – way протокола OSPF

 Маршрутизатор получил от соседа сообщение Hello с идентификатором RID этого

маршрутизатора, казанного как его сосед.

 Маршрутизатор проверил все параметры в полученном от соседа сообщении Hello и не нашел

проблем. Маршрутизатор стал соседом.

 Если оба маршрутизатора достигают состояния двухстороннего соответствия один с другим, это
означает, кто конфигурации обоих маршрутизаторов отвечают всем требованиям OSPF на роль
соседей. Фактически с этого моменты они соседи и готовы обменяться своими базами LSDB
один с другим.

Обмен базами LSDB между соседями – обмен полными анонсами LSA с

соседями
Одна из задач формирования соседских отношений OSPF – это позволить двум соседям обмениваться
своими базами данных. В процессе обмена базами данных может быть задействовано несколько
сообщений OSPF и несколько промежуточных состояний соседей. В этой главе упоминается несколько
сообщений и состояний, включая состояние полной синхронизации (full state), когда обмен базами
данных завершен.

После того как два маршрутизатора решают обменяться базами данных, они не просто посылают все
содержимое своей базы данных. Сначала они обмениваются списками анонсов LSA из своих баз
данных, но не всеми подробностями анонсов LSA, а только их списками. Каждый маршрутизатор
проверяет, какие из анонсов LSA у него уже есть, а затем спрашивает у другого маршрутизатора только
те анонсы LSA, которых у него еще нет.

Сообщения OSPF, фактически передающие анонсы LSA между соседями, называют пакетами
обновления состояния канала (Link – State Update – LSU). Таким образом, пакет LSU содержит

171
структуры данных анонсов состояния канала (Link – State Advertisement - LSA). Анонсы LSA являются не
пакетами, а скорее описывающими топологию структурами данных, хранящихся в базе LSDB.

Некоторые из этих терминов и процессов приведены в примере на рисунке 19 – 6. Это продолжение

примера процесса обмена базами данных между маршрутизаторами R1 и R2 на рисунке 19 – 5 и 19 –
6. В центре представлены сообщения протокола, а слева и справа – состояния соседей на разных этапах
процесса. В частности, рассмотрим два этапа.

 Маршрутизаторы обмениваются анонсами LSA внутри пакетов LSU.

 По завершении процесса маршрутизаторы достигают состояния полной синхронизации, когда

они полностью обменялись содержимым своих баз LSDB.

Поддержка соседей и баз LSDB

Как только соседи достигают состояния полной синхронизации, они завершают все начальные работы
по обмену информацией OSP между двумя соседями. Но для продолжения соседских отношений
соседи все еще должны выполнять некоторые небольшие задачи.

В первую очередь, маршрутизаторы контролируют соседские отношения, используя сообщения Hello

и два взаимосвязанных таймера: Hello и Dead. Каждый маршрутизатор ожидает сообщения Hello от
каждого соседа на протяжении периода Hello, но если сосед не получил сообщения на протяжении
периода Dead (обычно равным четырем периодам Hello), то отсутствие сообщений Hello означает отказ
соседнего маршрутизатора.

Рисунок 19 – 6 Пример обмена базами данных, завершающийся состоянием полной синхронизации

172
Маршрутизаторы должны реагировать на изменения топологии, и соседские отношения играют
ключевую роль в этом процессе. Когда что – то изменяется, один или несколько маршрутизаторов
рассылают один или несколько анонсов LSA. Затем маршрутизаторы должны разослать изменения
анонсов LSA каждому соседу, что бы соседи могли изменить свои базы LSDB. Поддержка соседских
отношений сводится к трем следующим задачам.

 Контролировать состояние соседа за свет рассылки сообщений Hello на основании таймера

Hello, а также прослушивать сообщения Hello в период, определенный таймером Dead.

 Сообщать об анонсах LSA о любых изменениях всем соседям.

 Регулярно рассылать анонсы LSA, даже без изменений, до истечения периода их существования
(стандартно каждые 30 минут)

Использование выделенных маршрутизаторов на каналах связи Ethernet

Поведение протокола OSPF различается на интерфейсах некоторых типов, особенно если сравнивать
двухточечные каналы и каналы Ethernet. На каналах связи Ethernet протокол OSPF выбирает в подсети
один из маршрутизаторов на роль выделенного маршрутизатора (Designated Router – DR).
Маршрутизатор DR играет ключевую роль в процессе обмена базами данных по правилам, отличным
от таковых для двух точечных каналов связи. Рассмотрим детали на примере (рисунок 19 – 7), в котором
пять маршрутизаторов OSPFv2 находятся в той же сети VLAN Ethernet. Эти пять маршрутизаторов OSPF
выбирают один маршрутизатор на роль DR, маршрутизатор А, и один на роль резервного DR (Backup
DR – BDR), маршрутизатор B.

Рисунок 19 – 7 Маршрутизаторы А и В выбраны маршрутизаторами DR и BDR соответственно

Обмен базами данных на канале связи Ethernet осуществляется не между каждой парой
маршрутизаторов в той же сети VLAN или подсети, а между маршрутизатором DR и каждым другим
маршрутизатором. Выделенный маршрутизатор гарантирует получение копии всех анонсов LSA
другими маршрутизаторами. Другими словами, обмен базами данных осуществляется по путям,
представленным на рисунке 19 – 8.
173
Рисунок 19 – 8 Обмен базами данных с выделенным маршрутизатором в сети Ethernet

Маршрутизатор BDR отслеживает состояние маршрутизатора DR, а при его отказе принимает на себя
его роль. А на роль BDR выбирается новый маршрутизатор. Поскольку оба маршрутизатора, DR и BDR,
осуществляю полный обмен базами данных со всеми другими маршрутизаторами OSPF в локальной
сети, они обеспечивают полную синхронизацию со всеми соседями. Однако маршрутизаторы, не
являющиеся ни DR, ни BDR и называемыми невыделенными маршрутизаторами (DROther), никогда
не достигают между собой состояния полной синхронизации OPSF, поскольку не обмениваются базами
данных. В результате команда show ip ospf neighbor на этих маршрутизаторах одних соседей выводит
регулярно, а других – только в состоянии двухстороннего соответствия, но не в состоянии полной
синхронизации.

Например, при нормальной работе протокола OSPF в локальной сети Ethernet (рисунок 19 – 8) команда
show ip ospf neighbor на маршрутизаторе С показала бы следующее:

 Два соседа (маршрутизаторы А и В, DR и BDR соответственно) находятся в состоянии полной

синхронизации;

 Два соседа (D и E) находятся в состоянии двухстороннего соответствия (2 – way state)

Это различие в поведении соседей OSPF в локальной сети (когда одни достигли полной синхронизации,
а другие нет) обуславливает наличие еще двух терминов OSPF: согласованный (adjacent) и полностью
согласованный (fully adjacent). Полностью согласованные соседи достигают полной синхронизации,
обменявшись базами LSDB непосредственно. Согласованные устройства – это невыделенные
маршрутизаторы, вполне резонно оставшиеся в состоянии 2 – way, но которые никогда не смогут
достичь состояния полной синхронизации. Эти ключевые концепции и связанные с ними состояния
OSPF представлены в таблице 19 – 3.

Таблица 19 – 3 Стабильные состояния соседей OSPF и их значения

Состояния Термин Смысл

соседей согласованности
2 – way Согласованный Сосед послал сообщение Hello, содержащие RID локального
(adjacent) маршрутизатора в списке замеченных маршрутизаторов,
причем проверка параметров соседа прошла успешно. Если оба

174
 соседа являются невыделенными маршрутизаторами, то оба
должны оставаться в этом состоянии
Full Полностью Оба маршрутизатора обменялись базами LSDB и полностью
согласованный согласованны, а значит закончили обмен содержимым баз LSDB
(fully adjacent)

Вычисление алгоритмом SPF наилучших маршрутов

Как можно заметить, анонсы LSA содержат очень полезную, но не конкретную информацию, которую
маршрутизатор должен добавить в свою таблицу маршрутизации IPv4. Маршрутизатор запускает
математический механизм SPF, чтобы выбрать наилучший маршрут и добавить его в таблицу. Маршрут
включает номер подсети и маску, исходящий интерфейс и IP адрес следующего транзитного
маршрутизатора. Алгоритм SPF вычисляет все маршруты для подсети, т.е. все возможные маршруты
от маршрутизатора до подсети получателя. Если существует несколько маршрутов, то маршрутизатор
сравнивает их метрики, выбирая маршрут с наилучшей (самой низкой) метрикой, и добавляет его к
таблице маршрутизации.

Как протокол OSPF вычисляет стоимость маршрута

Идентифицировав маршрут, алгоритм SPF осуществляет вычисление следующим образом:

суммируются стоимости всех исходящих интерфейсов JSPF на маршруте. На рисунке 19 – 9 приведен
пример с тремя возможными маршрутами от маршрутизатора R1 до подсети Х (172.16.3.0/24) внизу
рисунка.

Рисунок 19 – 9 Дерево SPF для выбора маршрута от маршрутизатора R1 к сети 172.16.3.0/24

175
В таблице 19 – 4 приведены три маршрута, представленные на рисунке 19 – 9, а также их суммарная
стоимость. Здесь оптимальный маршрут от маршрутизатора R1 к сети 172.16.3.0/24 проходит через
маршрутизатор R5.

Таблица 19 – 4 Сравнение трех альтернативных маршрутов ль маршрутизатора R1 к сети

172.16.3.0/24

В результате анализа алгоритма SPF базы LSDB маршрутизатор R1 добавляет в таблицу маршрутизации
маршрут к подсети 172.16.3.0/24 через следующий транзитный маршрутизатор R5.

Проект областей OSPF

В некоторых сетях протокол OSPF можно применять, особо не задумываясь о проблемах проекта.
Достаточно разрешить протокол OSPF на всех маршрутизаторах, поместить все интерфейсы в одну и ту
же область (обычно область 0) и все заработает. На рисунке 19 – 10 приведен пример такой сети с 11
маршрутизаторами и всеми интерфейсами в области 0.

Рисунок 19 – 10 одиночная область OSPF

Для больших сетей OSPFv2 проекты с одиночной областью не подходят. Возможны следующие
дополнительные проблемы.

176
  Большие топологические базы занимают больше оперативной памяти маршрутизаторов.

 Обработка больших топологических баз с помощью алгоритма SPF требует большей мощности
процессора. Загрузка процессора устройств растет экспоненциально при увеличении размера
базы.

 Одно изменение состояния интерфейса (включение или выключение) приводит к запуску на

маршрутизаторе алгоритма SPF.

Решение заключается в разделении одной большой базы LSDB на несколько меньших с

использованием области OSPF. При использовании областей каждый канал связи помещается в свою
область. Алгоритм SPF осуществляет свои сложные математические действия с топологическими
данными только области.

Области OSPF
Проект областей OSPF следует нескольким простым правилам.

Правила проекта областей OSPF

 Помещайте в одну область все интерфейсы, подключенные к той же подсети.

 Область должна быть непрерывной

 Некоторые маршрутизаторы могут быть граничными маршрутизаторами области (Area

Border Router – ABR), поскольку одни их интерфейсы подключены к магистральной области, а
другие к не магистральной.

 Все немагистральные области должны соединиться с магистральной областью (область 0) хотя

бы через один маршрутизатор ABR, соединенный и с магистральной, и не с магистральными
областями.

Рассмотрим пример приведённый на рисунке 19 – 11. Слева инженер поместил четыре

последовательных канала и локальные сети, подключенные к маршрутизаторам ветвей B1 – B4. Точно
так же в область 2 он поместил каналы связи с ветвями через маршрутизаторы В11 – В14 и их локальные
сети. Обе области должны быть соединены с магистральной областью 0, поэтому он поместил
интерфейсы LAN маршрутизаторов D1 и D2 в область 0наряду с маршрутизатором D3, создав
магистральную область.

177
Рисунок 19 – 11 Проект с тремя областями OSPF и маршрутизаторами D1 и D2 в качестве ABR

Таблица 19 – 5 Терминология проекта OSPF

Термин Определение
Граничный маршрутизатор Маршрутизатор OSPF, интерфейсы которого подключены к
области (Area Border Router – ABR)
магистральной области и как минимум к одной обычной
Магистральный маршрутизатор Маршрутизатор, соединенный с магистральной областью
(backbone router) (включая маршрутизатор ABR)
Внутренний маршрутизатор Маршрутизатор, все интерфейсы которого находятся в
(internal router) одной (не магистральной) области
Область (area) Набор маршрутизаторов и каналов связи, совместно
использующих одну и туже информацию баз LSDB, но в
целях эффективности не делящихся ею с
маршрутизаторами из других областей
Магистральная область Специальная область OSPF (область 0), с которой должны
(backbone area) быть соединены все остальные области
Внутриобластной маршрут (intra – Маршрут к подсети в той же области, что и маршрутизатор
area route)
Межобластной маршрут (interarea Маршрут к подсети в области, отличной от области
route) маршрутизатора

Как области сокращают время вычисления SPF

Чтобы понять, как области сокращают работу алгоритма SPF, необходимо разобраться в том, как
происходят изменения в базах LSDB области.

178
Области сокращают объём работ алгоритма SPF, поскольку в списке LSDB каждой области указаны
маршрутизаторы и каналы связи только этой области. В проекте областей OSPFv2 используется очень
краткая обобщённая информация о подсетях в других областях. Анонсы LSA не включают
топологическую информацию о других областях, поэтому они не требуют от алгоритма SPF большого
количества работы вообще. Все эти подсети выглядят как подсети, соединенные с маршрутизатором
ABR (в данном случае – с маршрутизатором D1).

Рисунок 19 – 12 Концепция баз LSDB меньшей области 1

Преимущества областей OSPF

 Меньший размер базы LSDB в каждой области требует меньше памяти.

 Процессорам маршрутизаторов требуется меньше циклов на обработку меньших баз LSDB

областей по алгоритму SPF, сокращаются дополнительные затраты процессора и улучшается
время конвергенции.

 Изменения в сети требуют вычислений SPF только на тех соединенных с областью

маршрутизаторах, на которых канал связи изменил состояние, что сокращает количество
маршрутизаторов, на которых повторно запускается алгоритм SPF.

 Между областями можно передавать меньше информации в анонсах, сокращая ширину

полосы пропускания, необходимую для передачи анонсов LSA.

179
ГЛАВА 20. РЕАЛИЗАЦИЯ ПРОТОКОЛА OSPF
Реализация протокола OSPFv2 для одиночной области
Ниже описаны этапы настройки протокола OSPF, а также краткий перечень необходимых команд.

Этапы настройки протокола OSPF

Этап 1. Используя глобальную команду router ospf идентификатор_процесса, перейдите в режим

конфигурации OPSF для указанного процесса OSPF.

Этап 2. (Необязательно) Задайте идентификатор маршрутизатора OSPF.

A. Используя подкоманду маршрутизатора router – id значение_идентификатора, задайте

идентификатор маршрутизатора.

B. Используя глобальную команду interface loopback номер наряду с командой ip address адрес
маска, задайте IP адрес на петлевом интерфейсе (выберите самый большой IP адрес из всех
рабочих петлевых).

C. Сошлитесь на IP адрес интерфейса (выберите самый большой IP адрес из всех рабочих не

петлевых)

Этап 3. Используя одну или несколько подкоманд маршрутизатора network ip-адрес шаблон_маски
area идентификатор_области, разрешите протоколу OSPFv2 на всех интерфейсах, соответствующих
заданным адресу и маске, запустив протокол OSPF на интерфейсе заданной области.

Этап 4. (Необязательно) Используя подкоманду маршрутизатора passive – interface тип номер,

настройте все интерфейсы OSPF как пассивные, если на них не могут или не должны формироваться
соседские отношения.

Для большей наглядности на рисунке 20 – 1 представлены процесс настройки протокола OSPFv2, а

также отношения между командами конфигурации OSPF.

Рисунок 20 – 1 Организация настройки OSPFv2

180
Настройка одиночной области OSPF
На рисунке 20 – 2 приведен пример сети используемой для конфигурации OSPF. Все каналы связи
находятся в области 0. Обратите внимание, что маршрутизаторы R3 и R4 (см. рисунок 20 – 2, вверху)
подключены к тем же двум VLAN (подсетям), следовательно, имеют соседские отношения между собой
по каждой из этих VLAN.

Рисунок 20 – 2 Пример сети для конфигурации OSPF с одной областью

В конфигурации маршрутизатора r3 каждому интерфейсу присвоен IP адрес, а на интерфейсе G0/0

разрешено магистральное соединение 802.1Q. Настройки IPv4 адресации на маршрутизаторе R3
можно увидеть в примере 20 – 1

Пример 20 – 1 Настройка IPv4 адресов на маршрутизаторе R3 (включающем магистральное

соединение VLAN)

181
Изначально конфигурация одиночной области на маршрутизаторе R3, как показано в примере 20 – 2,
включает протокол OSPF на всех интерфейсах, представленных на рисунке 20 – 2. Глобальная команда
router ospf 1 переводит пользователя в режим конфигурации OSPF и устанавливает идентификатор
процесса (process ID). (Команда router использует идентификатора процесса для различения
процессов).

Пример 20 – 2 настройка одиночной области OSPF на маршрутизаторе R3 с использованием одной

команды network

В общем случае, команда network указывает маршрутизатору найти свои локальные интерфейсы,
соответствующие первым двум параметрам команды network. Затем для каждого существующего
интерфейса маршрутизатор включает протокол OSPF на этих интерфейсах, обнаруживает соседей,
устанавливает соседские отношения и присваивает интерфейс области, указанной командой network.

Конкретная команда в примере 20 – 2 назначает все существующие интерфейсы области 0. Однако

первые два параметра, ip – адрес и шаблон_маски, имеющие значения 10.0.0.0 и 0.255.255.255,
требуют некоторых пояснений. В данном случае команде соответствуют все три интерфейса,
представленные для маршрутизатора R3 и вот почему.

Соответствие команде OSPF network

Ключом к пониманию традиционной конфигурации OSPFv2, представленной в первом примере,
является понимание команд OSPF network. Команда OSPF network сравнивает свой первый параметр
с каждым IP адресом интерфейса на локальном маршрутизаторе, пытаясь найти соответствие.
Маршрутизатор сравнивает лишь подмножество октетов на основании шаблона маски следующим
образом.

Примеры шаблонов маски OSPF и их смысл

 wildcard 0.0.0.0. Сравнивает все 4 октета (т.е. числа должны совпадать).

 wildcard 0.0.0.255. Сравнивает только первые 3 октета. Последний октет при сравнении
игнорируется.

 wildcard 0.0.255.255. Сравнивает только первые 2 октета. Последние 2 октета при сравнении
игнорируются.

 wildcard 0.255.255.255. Сравнивает первый октет. Последние 3 октета при сравнении

игнорируются.

 wildcard 255.255.255.255. не сравнивает ничего. Этот шаблон маски означает соответствие

команде network любых адресов

В таблице 20 – 1 приведено несколько примеров с примечаниями для маршрутизатора R3.

Таблица 20 – 1 Примеры команды network на маршрутизаторе R3 с ожидаемыми результатами

182
 Команда Логика команды Соответствующие интерфейсы
Network 10.1.0.0 Соответствие IP адреса интерфейсов, G0/0.341 G0/0.342 S0/0/0
0.0.255.255 начинающихся с 10.1
Network 10.0.0.0 Соответствие IP адреса интерфейсов, G0/0.341 G0/0.342 S0/0/0
0.255.255.255 начинающихся с 10
Network 0.0.0.0 Соответствуют IP адреса всех G0/0.341 G0/0.342 S0/0/0
255.255.255.255 интерфейсов
Network 10.1.13.0 Соответствие IP адреса интерфейсов, S0/0/0
0.0.0.255 начинающихся с 10.1.13
Network 10.1.3.1 Соответствует один IP адрес: 10.1.3.1 G0/0.341
0.0.0.0

Шаблон маски допускает несколько разных корректных конфигураций OSPF. Например,

маршрутизаторы R1 и R2 в той ж объединённой сети использовали бы конфигурацию, представленную
в примере 20 – 3, с двумя другими шаблонами маски.

Пример 20 – 3 Конфигурация OSPF на маршрутизаторах R1 и R2

Проверка протокола OSPFv2 для одиночной области

Маршрутизаторы OSPF используют процесс из трех этапов. Сначала они устанавливают соседские
отношении, затем создают и рассылают анонсы LSA, и наконец, каждый маршрутизатор независимо
вычисляет по алгоритму SPF собственные маршруты IP и добавляет их в таблицу маршрутизации.
Команды show ip ospf neighbor, show ip ospf database и show ip route отображают информацию о
каждом из трех этапов соответственно.

Рассмотрим список соседей, известных на маршрутизаторе R3, согласно конфигурации, в примерах 20

– 1, 20 – 2, 20 – 3. У маршрутизатора R3 должны быть соседские отношения с маршрутизатором R1 по
последовательному каналу связи. У него так же есть соседские отношения с маршрутизатором R4 по
двум разным VLAN, к которым подключены оба маршрутизатора. Все три соседа представлены в
примере 20 – 4.

183
Пример 20 – 4 Соседи OSPF на маршрутизаторе R3 согласно рисунку 20 – 2

Вывод отражает несколько важных фактов. Заголовки вывода удобнее просматривать слев на право.

 Interface (интерфейс). Интерфейс локального маршрутизатора, подключенный к соседу.

Например, первый соседа в списке доступен через интерфейс S0/0/0 маршрутизатора R3

 Address (адрес). IP адрес соседа на данном канале связи. Для первого соседа, маршрутизатора
R1, это IP адрес 10.1.13.1.

 State (состояние). Хотя в этой главе обсуждалось много возможных состояний, в данном случае
FULL означает правильное и полностью рабочее состояние.

 Neighbor ID (идентификатор соседа). Идентификатор соседнего маршрутизатора.

Команда show ip ospf database в пример 20 – 5 должна отобразить точно такую же информацию,
независимо от любого из этих четырех маршрутизаторов.

Пример 20 – 5 База данных OSPF на маршрутизаторе R3 согласно рисунку 20 – 2

184
Отметьте, что база LDSP должна насчитывать по одному разделу “Router Link State” для каждого из
этих четырех маршрутизаторов, как выделено в примере.

Далее в примере 20 – 6 приведена таблица IPv4 маршрутизации маршрутизатора R3, выведенная

командой show ip route.

Пример 20 – 6 Маршруты IPv4, добавленные протоколом OSPF на маршрутизатор R3, согласно

рисунку 20 – 2

Код “O” слева означает маршрут, изученный по протоколу OSPF. В выводе перечислено пять таких
маршрутов IP. На рисунке 20 – 2 приведено пять подсетей, не подключенных к маршрутизатору R3.
Бегло взглянув на маршруты OSPF (по сравнению с маршрутами, отличными от подключенных), можно
удостовериться, что протокол OSPF изучил все маршруты.

Затем обратите внимание на первый маршрут (к подсети 10.1.1.0/25). В нем перечислены

идентификатор подсети и маска, идентифицирующие подсеть. Он выводит также два числа в скобках.
Первое, 110 – это административное расстояние маршрута. Все маршруты OSPF в этом примере
используют стандартное значение 110. Второе число, 65 – это метрика OSPF для данного маршрута.

185
Для быстрой проверки работы любого протокола маршрутизации весьма популярна команда show ip
protocols. Пример 20 – 7 демонстрирует это для маршрутизатора R3.

Пример 20 – 7 Команда show ip protocols на маршрутизаторе R3

Первая выделенная строка повторяет параметры глобальной команды конфигурации router ospf 1 на
маршрутизаторе. Второй выделенный элемент – это идентификатор маршрутизатора R3, обсуждаемый
в следующем разделе. Третья выделенная строка также повторяет конфигурацию, заданную
подкомандой OSPF network 10.0.0.0 0.255.255.255 area 0. И наконец последний выделенный элемент
в примере – это заголовок перед списком известных маршрутизаторов OSPF.

Настройка идентификатора маршрутизатора OSPF

Для правильной работы у всех маршрутизаторов OSPF должен быть идентификатор
маршрутизатора (Router ID - RID). Изначально в качестве RID маршрутизаторы используют IP адрес
интерфейса. Но большинство сетевых инженеров предпочитают назначать идентификаторы для
каждого маршрутизатора, чтобы вывод команды show ip ospf neighbor отображал более осмысленные
идентификаторы маршрутизатора.

Для поиска своего идентификатора RID маршрутизатор Cisco использует при перезагрузке и запуске
протокола OSPF следующий процесс. При нахождении идентификатора RID на любом из этапов
процесс останавливается.

Правила установки идентификатора маршрутизатора

1. Если подкоманда OSPF router – id rid введена, то используется ее значение RID.

2. Если на каком – либо петлевом интерфейсе задан IP адрес и этот интерфейс находится в
состоянии up, то маршрутизатор выбирает из петлевых интерфейсов самый большой IP адрес.

186
 3. Маршрутизатор выбирает самый большой IP адрес из всех остальных интерфейсов с первым
кодом состояния up. (Другими словами, интерфейс в состоянии up/down будет включен
протоколом OSPF в состав кандидатов при выборе идентификатора маршрутизатора).

Первый и третий критерии должны быть понятны сразу: идентификатор RID либо настраивается, либо
выбирается из IP адресов работающих интерфейсов. Однако концепция петлевого интерфейса
(loopback interface), упомянутого во втором критерии еще не рассматривалась.

Петлевой интерфейс – это виртуальный интерфейс, допускающий настройку командой interface

loopback номер_интерфейса, где номер_интерфейса – целое число. Петлевые интерфейсы всегда
находятся в состоянии up/up, если не отключены административно. Поскольку петлевые интерфейсы
не полагаются ни на какие аппаратные средства, они переходят в состояние up/up сразу после запуска
IOS, что делает их хорошей основой для выбора идентификаторов RID OSPF.

Пример 20 – 8 демонстрирует конфигурацию на маршрутизаторах R1 и R2. Маршрутизатор R1

устанавливает идентификатор маршрутизатора, используя прямой метод, а маршрутизатор R2 –
петлевой IP адрес.

Пример 20 – 8 Примеры установки идентификатора маршрутизатора OSPF

Если процесс OSPF выполняется, но в последствии, но впоследствии конфигурация измеряется так, что
это повлияет на RID OSPF, протокол OSPF изменит идентификатор RID не сразу, а только после
следующего перезапуска процесса OSPF.

Пример 20 – 1 демонстрирует вывод команды show ip ospf на маршрутизаторе R1 уже после

применения конфигурации из примера 20 – 8 и перезагрузки маршрутизатора.

Пассивные интерфейсы OSPF

Когда маршрутизатору не нужно обнаруживать соседей на каком – либо интерфейсе, у сетевого
инженера есть несколько возможностей настройки. Инженер может настроить интерфейс как
пассивный интерфейс OSPF, указав маршрутизатору сделать следующее.

Действие IOS при пассивном интерфейсе OSPF

 Перестать посылать сообщения Hello OSPF на интерфейсе.

 Игнорировать полученные сообщения Hello на интерфейсе.

187
  Не создавать соседских отношений на интерфейсе.

Существуют две возможности настроить интерфейс как пассивный. Можно добавить в режиме
настройки маршрутизатора следующую команду в конфигурацию процесса OSPF:

Passive – interface тип номер

Либо изменить стандартно конфигурацию так, чтобы все интерфейсы стали пассивными, а затем
добавить для всех интерфейсов, которые не должны быть пассивными, команду no passive – interface:

Passive – interface default

No passive interface тип номер

В типичном примере объединённой сети на рис 20 – 2 интерфейс LAN маршрутизатора R1 настроен как
магистральное соединение VLAN. Маршрутизатор R1 никогда не будет обнаруживать соседей OSPF в
этих подсетях. Пример 20 – 10 демонстрирует две альтернативные конфигурации, которые делают два
субинтерфейса LAN пассивными к OSPF.

Пример 20 – 10 Настройка пассивных интерфейсов на маршрутизаторах R1 и R2 согласно рисунку 20

–2

Интересно то, что протокол OPSF испытывает нечто вроде проблем при использовании команд show
для выяснения, пассивен ли интерфейс. Команда show running – config выводит конфигурацию
непосредственно, но если нет возможности перейти в привилегированный режим, чтобы использовать
эту команду, то обратите внимание на два следующих факта.

 Команда show ip ospf interface brief выводит все интерфейсы, на которых задействован
протокол OSPF, включая пассивные интерфейсы.

 Команда show ip ospf interface выводит одну строку, указывающую, что интерфейс пассивен.

Реализация протокола OSPFv2 для многих областей

Настройка маршрутизатора в многообластном проекте OSPFv2 почти точно совпадает с таковой в
проекте с одной областью. Единственное отличие в том, что конфигурация помещает некоторые
188
интерфейсы каждого маршрутизатора ABR в разные области. Это отличие влияет на работу и проверку
протокола OSPFv2.

Данный раздел демонстрирует второй случай настройки, сравнивая многообластную конфигурацию с

конфигурацией одиночной области. Рисунок 20 – 3 демонстрирует топологию объединённой сети и
идентификаторы подсетей, а рисунок 20 – 4 – проект областей.

Рисунок 20 – 3 Подсети примера конфигурации OSPF со многими областями

Рисунок 20 – 4 Проект областей примера конфигурации OSPF со многими областями

189
Конфигурация одиночной области
Пример 20 – 11 начинает серию примеров конфигурации с демонстрацией настройки конфигурации
OSPF и IP адреса на маршрутизаторе R2. Поскольку маршрутизатор R2 действует как внутренний
маршрутизатор области 23, эта конфигурация относится к одной области (23). Команда router – id
непосредственно устанавливает RID маршрутизатора R2 как 2.2.2.2.

Пример 20 – 11 Конфигурация OSPF на маршрутизаторе R2 помещает два интерфейса в область 23

Маршрутизатор R3 помещает оба своих интерфейса в область 23, а его команда network устанавливает
его RID как 3.3.3.3, используя петлевой интерфейс, в то время как маршрутизатор R2 не может сделать
пассивным ни один из интерфейсов. Конфигурация маршрутизатора R4 немного отличается, оба его
интерфейса помещены в область 4, его RID установлен на основании не петлевого интерфейса
(интерфейс G0/0 для RID OSPF 10.1.14.4), а интерфейс G0/1 маршрутизатора R4 сделан пассивным,
поскольку никаких других маршрутизаторов OSPF на этом канале нет.

Пример 20 – 12 Конфигурация одиночной области OSPF на маршрутизаторах R3 и R4

190
Конфигурация множества областей
Единственный маршрутизатор, у которого есть многообластная конфигурация – это маршрутизатор
ABR, находящийся в основании конфигурации и относящийся к нескольким областям. Это
маршрутизатор R1 с интерфейсами в трех разных областях. В примере 20 – 13 показана конфигурация
OSPF маршрутизатора R1. В конфигурации нигде не указано, что маршрутизатор R1 является
маршрутизатором ABR; вместо этого здесь используются разные команды network, помещающие одни
интерфейсы в область 0, другие – в область 23, а третьи – в область 4.

Пример 20 – 13 Многообластная конфигурация OSPF на маршрутизаторе R1

Так в чем основное различие между одиночной и многообластной конфигурациями OSPF? Фактически
ни в чем. Единственное отличие в том, что команды network многообластного маршрутизатора ABR
использует разные области.

Проверка многообластной конфигурации

Для более полной проверки протокола OSPF используйте все команды, предложенные на рис OSPF на
рисунке 20 – 1 в начале главы. Важнейшие команды проверки OSPF приведены для справки на рисунке
20 – 5.

191
Рисунок 20 – 5 Команды проверки OSPF

Проверка расположения интерфейсов маршрутизатора ABR

Команда show ip protocols в основном повторяет команду конфигурации OSPF network, косвенно
идентифицирующую интерфейсы и области. Кроме того, команды show ip ospf interface и show ip ospf
interface brief непосредственно представляют область, заданную для интерфейса. Более краткая
версия этих команд приведена в примере 20 – 14.

Пример 20 – 14 Вывод интерфейсов с поддержкой протокола OSPF и соответствующих областей OSPF

Выявление маршрутизаторов DR и BDR

Вывод команды show ip ospf interface brief, приведенный в примере 20 – 14 отображает состояние
локального маршрутизатора в столбце State, свидетельствуя о том, что маршрутизатор R1 является
маршрутизатором DR на двух субинтерфейсах и маршрутизатором BDR на его интерфейсе G0/1.

В примере 20 – 15 приведены два других способа выявления маршрутизаторов DR и BDR. Команда show
ip ospf interface выводит подробные параметры OSPF по каждому интерфейсу, включая RID и адрес
интерфейса маршрутизаторов DR и BDR. Команда show ip ospf neighbor выводит краткую информацию
о роли DR или BDR соседа. В примере 20 – 15 показаны обе команды.
192
Пример 20 – 15 Обнаружение маршрутизаторов DR и BDR

В конце примера представлена команда show ip ospf neighbor на маршрутизаторе R4. Команда
демонстрирует на маршрутизаторе R4 концепцию состояния соседа на примере маршрутизатора R1
(1.1.1.1) с текущим состоянием FULL/BDR. Состояние FULL означает то, что маршрутизатор R4 полностью
обменялся базами LSDB с маршрутизатором R1. Часть BDR означает, что сосед (R1) действует как
маршрутизатор BDR. Пример 20 – 15 демонстрирует также результаты выборов DR/BDR, выигрываемые
маршрутизатором с наибольшим RID. Правила работают так.

 Когда канал связи отключается, если два (иди более) маршрутизатора в подсети посылают или
получают сообщения Hello один от другого, они выясняют, кто из них станет маршрутизатором
DR, а кто BDR. Маршрутизатор с наивысшим RID OSPF становится DR, а второй, со следующим
RID, становится BDR.

 Как только выборы закончены, новые маршрутизаторы, подключившиеся к подсети, больше не

претендуют на роль маршрутизатора DR или BDR, даже если у них есть лучший (больший) RID.

Проверка межобластных маршрутов OSPF

Что бы проверить все маршруты, в примере 20 – 16 приведена таблица маршрутизации Ipv4
маршрутизатора R4

Пример 20 – 16 Проверка маршрутов OSPF на маршрутизаторе R4

193
Операционная система IOS отмечает все межоблстные маршруты кодом IA. (В примере нет
внутриобластных маршрутов OSPF, но перед ними просто отстутсвовал бы код IA)

Дополнительные средства OSPF

Этот заключитеьный раздел рассматривает некотрые весьма популярные, но необязательные средства
конфигурации OSPFv2.

 Стандартные маршруты.

 Метрики.

 Балансировка нагрузки.

 Настройка интерфейсов OSPF.

Стандартные маршруты OSPF

Классический пример использования протокола маршрутизации – это анонс стандартного маршрута

корпоративного подключения к Интернету. В качестве стратегии сетевой инженер предприятия может
использовать следующие подходы.

 Все маршрутизаторы изучают маршруты к конкретным подсетям в компании; у стандартного

маршрута нет необходимости в перенаправлении пакетов этим получателям.

 Один маршрутизатор подключается к Интернету, и у него есть станадртный маршрут,

указывающий на Интернет.

194
  Все маршрутизаторы должны динамически изучить стандартный маршрут, исползуемый для
всего рафика Интеренета, чтобы все пакеты, предназначенные для областей в Интернете,
передавались на один подключенных к Интернете.

Концепция анонсирования протоколом OSPF стандартного маршрута с конкретной конфигурацией

OSPF представлена на срунке 20 – 6. В данном случае компании подключена к провайдеру ISP через
маршрутзатор R1. У этого маршрутзатора есть статический стандартный маршрут (получатель 0.0.0.0,
маска 0.0.0.0) с адрсом следующей транзитной точки перехода, как маршрутизатора ISP. Затем,
используя команду OSPF default – information originate (этап 2), заставим маршрутизтор анонсировать
стандартный маршрут по протоколу OSPF дистанционным маршруизаторам (B1 и B2).

Рисунок 20 – 6 Использование протокола OSPF для созданияи рассылки стандартного маршрута

На рисунок 20 – 7 представлены стандартные маршруты, созданные из анонсов OSPF на рисунке 20 – 6.

Все три маршрутизатора слева изучили стандартный маршрут OSPF, указывающий на маршрутизатор
R1. Сам маршрутизатор R1 также нуждаеся в станадртном маршруте, указывающем на маршрутизатор
провайдера ISP, что бы он мог перенаправить ему весь трафик, предназанченный для Интеренета.

Рисунок 20 – 7 Стандартные маршруты, полученные в результате конманды degault – information

originate

195
Пример 20 – 17 демонстрирует детали стандартного маршрута и на маршрутизаторе R1, и на
маршрутизаторе B01. R1 в данном случае использовал протокол DHCP для изучения IP адреса
провайдера ISP на его интерфейсе G0/3. Затем маршрутизатор R1 создает статический стандартный
маршрут с IP адресом маршрутизатора ISP 192.0.2.1 как следующей транзитной точки перехода, что
демонстрирует вывод команды show ip route static.

Пример 20 – 17 Стандартные маршруты на маршрутизаторах R1 и B01

_____________________________________________________________________________

Надпись “gateway of last resort” (шлюз послденей инстанции) означает, что маршрутизатор в настоящее
время использует стандартный маршрут и указывает IP адрес следующей транзитной точки перехода
192.0.2.1, который является IP адресом маршрутизатора провайдера ISP. (Подробности – на рисунк 20
– 7)

Теперь обратимся к нижней части приера. Код слева, O*E2, означает, что это стандартный, полученный
по протоколу OSPF, и что он является именно внешним маршрутом, полученным по протоколу OSPF, и
что он является именно внешним маршрутом OSPF. И наконец шлюз BO1, укзанный в строке шлюза
последней интсранции, использует тот же полученный по протоколу OSPF стандартный маршрут, что и
следующий транзитный маршрузатор 10.1.12.1.

196
Метрики OSPF (стоимость)
Маршрутизаторы Cisco позволяют изенять стоимость интерфейса OSPF двумя способами. Стоимость
можно установить непосредственно с помощью подкоманды интерфейса ip ospf cost x,а можно
позволить операционной системе самой выбрать стандартную соимосьт на основании формулы,
изменив ее входные данные.

Установка стоимости на основании ширины полосы пропускания интерфейса

Для вычисления стоимости интерфейса OSPF операционная система использует формулу,

приведенную ниже.

Исходная_полоса_пропускания / полоса_пропускания_интерфейса

Из этой формулы истекает следующая логическая последовательность.

1. Чем больше полоса пропускания интерфейса, тем меньше резултат вычисления.

2. Чем меньше результат вычисления, тем ниже стоимость для интерфейса.

3. Чем ниже стоимость, те мвероятнее исползование интерфейса в резултате вычисления

наилучших маршрутов.

Примеры. Результаты вычисления стоимости OSPF операционной системы IOS для некоторых
интерфейсов приведены в таблице 20 – 2.

Пример 20 – 2 Вычисление стоимости для стандартных полос пропускания

В примере 20 – 18 прведены параметры стоимости интрефрейсов OSPF на маршрутизаторе R1,

вычсленые на основании стандартной исходной полосы пропускания и параметров полосы
пропускания интерфейсов.

Пример 20 – 18 Проверк стоимости интерфейсов OSPF

197
Потребность в более высокой исходной полосе пропускания
Стандартные значения прекрасно работали, пока самый быстрый канал связи в сети не достигал 100
Мбит/с. Стандартная исходная полоса пропускания устанавливается равной 100, что означает 100
Мбит/с или 100 000Кбит/с. В результате со стандартными нстройками более быстрые интерфейсы
маршрутизатора имеют одинаковую стоимость OSPF, как показано в таблице 20 – 3, поскольку самое
низкое допустимое значение стоимости OSPF составляет 1.

Таблица 20 – 3 Более быстрые интерфейсы с равной стоимостью OSPF

Чтобы избежать этой проблемы можно изменить исходную полосу пропускани подкомандой
cost reference – bandwidth скорость, которая устанавливает значение скорости в мегабитах в секунду.
Для устранения представленной в таблице 20 – 3 проблемы установите знчение исходной полосы
пропускания равным скорости самого быстрого канала в сети. Например, команда auto –cost reference
– bandwidth 10000 приспосабливает сеть к скорости канала в 10 Гбит/с.

Правила определения стоимости интерфейса OSPF

1. Стоимость может быть установлена явно с помощью подкоманды интерфейса ip ospf cost x со
значением от 1 до 65 535 включительно.

2. Полосу проускания интрефейса можно изенить с помощью команды bandwidth скорость, где
скорость задется числом в килобйтах в секунду.

3. Исходную полосу пропускания можо изменить с помощью подкоманды OSPF маршрутизатора

auto – cost reference – bandwidth исходная_полоса_прпускания, где значение задается числом
в мегабитах в секунду.

Балансировка нагрузки в протоколе OSPF

Если обнаружено несколько маршрутов с одинаковой метрикой, все они могут быть омещены в
таблицу маршрутизации. Всего может быть устанловлено до 16 маршрутов в зависимост от того, какое
значение указано в команде maximum – path число.

Если в таблице маршрутизации есть несколько одинаковых маршрутов, устройство выполняет

балансировку нагрузки по ним. Один из методов балансировки – пакетный. Например, если у
маршрутизатора есть три одинкоавых маршрута OSPF к одной подсети, то первый пакет будет
отправлен по одному маршруту, второй – по следующему, третий – по следующему, а четвертый опять
по первому и т.д. Второй метод, который обычно включен в современных маршрутизаторах, -
198
потоковый. В нем передачи пакетов балансируют между разными каналами, например потом пакетов
к опредленному IP адресу получателя идет по одному каналу, к другому – по следующему и т.д.

Настройка интерфейса OSPFv2

Конфигурация разрешает протокол OSPF на интерфейсе непосредственно, с помощью подкоманды
интерфейса ip ospf, в то время как традиционная настройка разрешает протокол OSPFv2 на интерфейсе
косвенно, с помощью команды network в режиме конфигурации OSPF.

В основном вместо логики косвенного спосотавления интерфейсов с командами network вы

непсредственно разрешаете протокол OSPFv2 на интерфейсах, задавая подкоманды интерфейса по
каждому интерфесу.

Пример настройки интерфейса OSPFv2

Чтобы, рссмаривая следующие примеры настройки интерфеса, не литсать книгу назад, рисунок 20 – 8
повторяет рисунок 20 – 4. Для перехода со старого стиля настройки в примерах 20.11 – 20.13 достаточно
сделать следующее.

Переход на новый стиль настройки

Этап 1. Используйте подкоманды no network идентификтор_сети area идентификтор_области в

режиме конфигурации OSPF, что бы удалить канды network.

Этап 2. Добавьте для каждого интерфейса, на котором должен работать протокол OSPF, по одной
команде ip ospf идентификтаор_процесса area идентификтаор_области в режиме конфигурации
интерфейса, причем правильным идентификтором процесса OSPF и правильым номером области
OSPF. Пример 20 – 19 демонстрирует е замену при боолее новом стиле настройки.

Рисунок 20 – 8 Проект областей, использованный в предыдущем примере конфигурации OSPF

199
Пример 8 – 19 Конфигурация в новом стиле на маршруттизаторе R2

Проверка конфигурации интерфейса OSPFv2

Протокол OSPF будет работать так же несмотря на исползование нового или старого силя настройки.
Но при внимательном рассморении можно заметить несколько небольших различий в выводе
команды show, если использован новый стиль конфигурации.

Команда show ip protocols выводит большуб асть конфигурации протокола маршрутзации лишь с
некоторым отличием в формате, как демонстрирует пример 20 – 20. При конфигурации в более новом
стиле выводится фраза “Interafaces Configured Explicity” (Интерфесы нстроенф явно) со списком
интерфесов, настроеных новой командой ip ospf идентфиктаор_процесса area
идентификтор_области, как показано в примере. В следующих двух примерах маршрутизатор R3
все ще исползет команды network старого стиля.

Пример 8 – 20 Различия в выоде команды show ip protocols: старый и новый стили нстройки OSPFv2

200
Затем команды show ip ospf interface [интерфейс] выводи детали параметров OSPF на интерфейсе,
где протокол OSPF разрешен. Настройка маршрутизатора R2 в новом стиле приводит к выводу текста
“Attached via Interface Enable”, тогда как настройка маршрутизатора в старом стиле приводи к выводу
текста “Attached via Network Statement”

Пример 20 -21 Различия в выоде команды show ip ospf interface при настройке интерфейсов OSPFv2

201
ГЛАВА 21. ТИПЫ СЕТЕЙ OSPF И СОСЕДИ
Типы сетей OSPF
Параметр типа сети OSPF указывает маршрутизатору, следует ли динамически обнаруживать соседей
OSPF (в отличие от необходимости статической настройки IP-адреса соседнего маршрутизатора) и
следует ли маршрутизатору пытаться использовать назначенный маршрутизатор (DR) и резервный DR
(BDR) в подсети. Из двух типов сетей OSPF, включенных в темы экзамена CCNA, оба заставляют
маршрутизаторы динамически обнаруживать соседей, но один требует использования DR, а другой –
нет. В таблице 21 – 1 обобщены особенности двух типов сетей OSPF, упомянутых в темах экзамена.

Таблица 21 – 1 Два типа сетей OSPF и ключевые модели поведения

Тип широковещательной сети OSPF

OSPF по умолчанию использует тип широковещательной сети на всех типах интерфейсов Ethernet.
Чтобы увидеть все подробности того, как работает тип широковещательной сети OSPF, эта глава
начинается с дизайна, где используется конструкция с одной зоной, которая подключает четыре
маршрутизатора к одной подсети, как показано на рисунке 21 – 1. Все соединения находятся в области
0, что делает дизайн единой областью.

Рисунок 21 – 1 Дизайн с одной зоной, используемый в этой главе

Все четыре маршрутизатора на рисунке используют простую конфигурацию интерфейса OSPF, такую
как конфигурация маршрутизатора R1, показанная в примере 21 – 1. Оба интерфейса GigabitEthernet на

202
всех четырех маршрутизаторах по умолчанию используют широковещательную рассылку сетевого
типа.

Пример 21 – 1 Конфигурация R1 OSPF, соответствующая рисунку 21 – 1

Оба интерфейса (G0/0 и G0/1) на каждом маршрутизаторе используют тип широковещательной сети и
выполняют следующие действия:

 Попытка обнаружить соседей, отправив OSPF Hello на многоадресный адрес 224.0.0.5 (адрес,
зарезервированный для отправки пакетов всем маршрутизаторам OSPF в подсети)

 Попытка выбрать DR и BDR в каждой подсети

 На интерфейсе без других маршрутизаторов в подсети (G0/1) стать DR

 На интерфейсе с тремя другими маршрутизаторами в подсети (G0/0) должен быть выбран

маршрутизатор DR, BDR или DROther.

 При отправке сообщений OSPF на DR или BDR отправляет сообщения на многоадресный адрес
224.0.0.6, поддерживающий все OSPF-DR.

В примере 21 – 2 показаны некоторые результаты использования команды show ip ospf neighbor.

Обратите внимание, что R1 перечисляет R2, R3 и R4 в качестве соседей (на основе их идентификаторов
маршрутизаторов 2.2.2.2, 3.3.3.3 и 4.4.4.4), подтверждая, что R1 динамически обнаружил другие
маршрутизаторы.

Пример 21 – 2 Список соседей R1

Проверка операций с широковещательным типом сети

Как обсуждалось ранее в главе 19 – “Понимание концепций OSPF", все обнаруженные маршрутизаторы
на канале должны стать соседями и, по крайней мере, достичь состояния 2-way. Для всех отношений
соседства, которые включают DR и/или BDR, отношения соседства должны в дальнейшем достичь
203
полного состояния. Этот раздел определил термин полностью смежный как специальный термин,
который относится к соседям, достигшим этого полного состояния.

На рисунке 21 – 2 показаны текущие условия, когда были собраны команды show, описанные в этой
главе, с R4 в качестве DR, R3 в качестве BDR и с R1 и R2 в качестве маршрутизаторов DROther.

Теперь рассмотрим соседей маршрутизатора R1, перечисленных в примере 21 – 2. R1 имеет трех

соседей, все достижимые через его интерфейс G0/0. Однако команда R1 show ip ospf neighbor
относится к состоянию отношений R1 с соседом: двусторонняя связь (2 – way) с маршрутизатором
2.2.2.2. Поскольку и R1, и R2 в настоящее время служат в качестве маршрутизаторов DROther, то есть
ожидают готовности стать BDR в случае отказа DR или BDR, их отношения между соседями остаются в
двустороннем состоянии.

Рисунок 21 – 2 OSPF DR/BDR/DROther роли в Сети

Рассматривая пример 21 – 2 в последний раз, R1, как сам маршрутизатор DROther, имеет два соседних
отношения, которые достигают полного состояния: соседство R1 с DR R4 и соседство R1 с BDR R3. Но у
R1 есть в общей сложности три соседа, все они доступны через интерфейс G0/0 R1.

Идея о том, что R1 имеет трех соседей за пределами своего интерфейса G0/0, причем два являются
полностью смежных, отражена в выходных данных команды show ip ospf interface brief в примере 21
– 3. Он показывает «2/3», что означает два соседа в полном состоянии от порта G0/0, с тремя общими
соседями на этом интерфейсе. Также обратите внимание, что столбец «State» этой команды отличается
от команд show ip ospf neighbor тем, что в команде show ip ospf interface brief указывается роль
локального маршрутизатора на интерфейсе (как показано на рисунке 21 – 2) с G0/1 маршрутизатора
R1, действующий как DR, и G0/0 маршрутизатора R1, действующий как маршрутизатор DROther.

204
Пример 21 – 3 Интерфейсы OSPF маршрутизатора R1: локальная роль и число соседей

До сих пор в этом разделе описывалось влияние типа широковещательной сети OSPF за счет
использования настроек по умолчанию на интерфейсах Ethernet. Чтобы увидеть настройку,
используйте команду show ip ospf interface, как показано в примере 21 – 4. Выходные данные этой
команды повторяют многие факты, наблюдаемые в командах show ip ospf neighbor и show ip ospf
interface brief в примерах 21 – 2 и 21 – 3, поэтому найдите время, чтобы просмотреть весь пример 21 –
4 и сфокусироваться на дополнительных выделениях, чтобы увидеть знакомые предметы.

Пример 21 – 4 Отображение широковещательной рассылки типа сети OSPF

Настройка влияния на выборы DR / BDR

В некоторых случаях вы можете захотеть повлиять на выбор OSPF DR. Однако, обратите внимание, что
правила выбора OSPF DR/BDR не приведут к тому, что конкретный маршрутизатор всегда будет DR, а
205
другой всегда будет BDR, при условии, что каждый из них работает и работает. Короче говоря, вот
правила после избрания DR и BDR:

 Если DR терпит неудачу, BDR становится DR, и избирается новый BDR.

 Когда лучший маршрутизатор входит в подсеть, никакого вытеснения, существующего DR или

BDR, не происходит.
В некоторых случаях вы можете захотеть повлиять на выбор DR/BDR с помощью двух настраиваемых
параметров, перечисленных здесь в порядке приоритета:

 Наивысший приоритет интерфейса OSPF: во время выборов побеждает наивысшее значение со

значениями от 0 до 255.

 Наивысший идентификатор маршрутизатора OSPF: если приоритет совпадает, выбирается

маршрутизатор с наивысшим идентификатором OSPF RID.

Чтобы повлиять на выборы, лучше использовать настройку приоритета OSPF. Например, если инженер
предпочитает, чтобы R1 был DR, он может добавить конфигурацию в примере 21 – 5, чтобы установить
приоритет интерфейса R1 на 99.

Пример 21 – 5 Влияние на выборы DR/BDR с помощью приоритета OSPF

Команда show ip ospf interface G0/0 подтверждает настройку изменения приоритета. Однако
последние две команды в примере, показывают, что DR и BDR вообще не изменились - и этот вывод
действительно правильный. В этом примере обратите внимание, что команда show ip ospf neighbor по-
прежнему указывает состояние R4 как DR, что означает, что R4 по-прежнему действует как DR, в то
время как команда show ip ospf interface brief указывает состояние (роль) R1 как DROTH.
206
Чтобы завершить процесс, в примере 21 – 6 показаны результаты после принудительного свободного
выбора (при выходе из строя коммутатора LAN, который находится между четырьмя
маршрутизаторами). Как и ожидалось, R1 выигрывает и становится DR из-за своего более высокого
приоритета, а остальные три маршрутизатора связываются на основе приоритета. R4 выигрывает
между R2, R3 и R4 из-за его более высокого RID, чтобы стать BDR.

Пример 21 – 6 Результаты полностью новых выборов DR / BDR

Тип сети OSPF точка-точка

Другой тип сети OSPF, упомянутый в темах экзамена CCNA 200-301, точка-точка, хорошо работает для
каналов передачи данных, которые по своей природе имеют только два маршрутизатора. Например,
рассмотрим топологию на рисунки 21 – 3, на котором показан маршрутизатор R1 с тремя каналами
WAN - двумя каналами WAN Ethernet и одним последовательным каналом.

Рисунок 21 – 3 Пример проекта OSPF с последовательным и Ethernet WAN

207
ПРИМЕЧАНИЕ. Зубчатая линия последовательного соединения представляет собой физическое
соединение, которое может использовать максимум два устройства, в данном случае R1 и R4. Ссылка
не поддерживает возможность добавления в ссылку третьего маршрутизатора. Как вы могли
догадаться, протоколы передачи данных для управления каналом максимум с двумя устройствами
могут работать иначе, чем Ethernet.

Например, протоколы передачи данных, наиболее часто используемые в канале (HDLC и PPP), не
поддерживают широковещательные передачи каналов данных.

Тип сети «точка-точка» OSPF: этот тип существует для последовательных каналов и других каналов,
использующих топологию «точка-точка». Эти соединения часто не поддерживают широковещательные
передачи данных. Кроме того, использование сетевого типа точка-точка указывает маршрутизатору не
использовать DR/BDR на канале.

В примере 21 – 7 показана конфигурация интерфейса G0 0/0 маршрутизатора R1 на рисунке 21 – 3 для

использования двухточечной сети типа OSPF. R2, находящийся на другом конце канала WAN, потребует
ту же команду настройки на соответствующем интерфейсе.

Пример 27 – 7 OSPF Тип сети точка-точка на интерфейсе Ethernet WAN маршрутизатора R1

208
Пример 21 – 8 показывает, что команда show ip ospf neighbor на R1 перечисляет маршрутизатор R2 (RID
2.2.2.2) с полным состоянием, но без обозначения DR или BDR, вместо этого перечисляя -. “-“ действует
как напоминание о том, что ссылка не использует DR/BDR. Вторая команда, show ip ospf interface brief,
показывает состояние (роль локального маршрутизатора) как P2P, что является сокращением от точка-
точка, со счетчиком 1 для числа полностью смежных соседей и общего количества соседей.

Пример 21 – 8 OSPF Тип сети точка-точка на интерфейсе Ethernet WAN маршрутизатора R1

При использовании каналов Ethernet WAN, которые работают как канал «точка-точка», рассмотрите
возможность использования типа сети OSPF «точка-точка» вместо использования типа
широковещательной передачи по умолчанию.

OSPF соседские отношения

Конфигурация OSPF маршрутизатора включает OSPF при настройке интерфейсов. Затем IOS пытается
обнаружить других соседей на этих интерфейсах, отправляя и прослушивая сообщения приветствия
OSPF. Однако после обнаружения два маршрутизатора могут не стать соседями. Они должны иметь
совместимые значения для нескольких настроек, перечисленных в сообщениях Hello, которыми
обмениваются два маршрутизатора.

Требования к соседу OSPF

После того, как маршрутизатор OSPF слышит Hello от нового соседа, протокол маршрутизации
проверяет информацию в Hello и сравнивает эту информацию с собственными настройками
локального маршрутизатора. Если настройки совпадают - отлично. В противном случае

209
маршрутизаторы не становятся соседями. В Таблице 21 – 3 перечислены “требования к соседям” для
OSPF с некоторыми комментариями по различным вопросам после таблицы.

Таблица 21 – 3 Требования к OSPF соседу

Требование Требуется Сосед

для OSPF отсутствует,
если неверно
Интерфейс должен быть в состоянии up/up Да Да
Списки управления доступом (ACL) не должны фильтровать Да Да
сообщения протокола маршрутизации.
Интерфейсы должны находиться в одной подсети. Да Да
Они должны пройти аутентификацию соседа по протоколу Да Да
маршрутизации (если настроена).
Таймеры Hello и Hold/Dead должны совпадать. Да Да
Идентификаторы маршрутизатора (RID) должны быть уникальными. Да Да
Они должны быть в одной зоне. Да Да
Процесс OSPF нельзя останавливать. Да Да
Соседние интерфейсы должны использовать одинаковую настройку Да Да
MTU.
Соседние интерфейсы должны использовать тот же тип сети OSPF. Да Да

Столбец с пометкой «Требуется для OSPF» означает, что элемент должен работать правильно, чтобы
отношения соседства работали правильно. Обратите внимание, что в заголовке последнего столбца
указано «Сосед отсутствует, если неверно». Для элементов, для которых в этом столбце указано «да»,
если этот элемент настроен неправильно, сосед не будет отображаться в списках соседей OSPF -
например, с командой show ip ospf neighbor.

Затем посмотрим на затененные элементы в верхней части таблицы. Симптом, который возникает,
если любой из них является проблемой, заключается в том, что команда show ip ospf neighbor не
выведет в список другой маршрутизатор. Например, если интерфейс маршрутизатора не работает,
маршрутизатор не может отправлять сообщения OSPF и обнаруживать соседей OSPF на этом
интерфейсе.

Средняя часть таблицы (незатененные строки) посвящена некоторым настройкам OSPF. Эти элементы
должны быть правильными, но в противном случае они также приведут к тому, что сосед не будет
указан в выходных данных команды show ip ospf neighbor.

Наконец, в последнем разделе (заштрихованном) перечислены настройки OSPF, которые дают другой
симптом при неправильном использовании. Эти два пункта тоже должны быть правильными для
работы соседей OSPF. Однако для этих двух элементов, если они неверны, маршрутизатор может
указать другой маршрутизатор в качестве соседа, но отношения соседства не будут полноценно
работать, поскольку маршрутизаторы не обмениваются LSA должным образом. Для справки в таблице
21 – 4 перечислены некоторые требования из таблицы 21 – 3, а также наиболее полезные команды, с
помощью которых можно найти ответы.

210
Таблица 21 – 4 Требования к соседу OSPF и лучшие команды show/debug

Требование Лучшая show команда

Таймеры Hello и Dead должны совпадать. show ip ospf interface
Они должны быть в одной зоне. show ip ospf interface brief
RID должны быть уникальными. show ip ospf
Они должны пройти аутентификацию любого соседа. show ip ospf interface
Процесс OSPF нельзя останавливать. show ip ospf, show ip ospf interface

Проблемы, предотвращающие соседство

На следующих нескольких страницах рассматриваются три темы из таблицы 21 – 3, для которых, если
проблема существует, маршрутизатор не становится соседом (то есть незатененные части таблицы).
Чтобы показать проблемы, в этом разделе используется та же конфигурация что и в примере 21 – 1, с
которого начинается эта глава, но со следующими ошибками:

 R2 был настроен с обоими интерфейсами LAN в области 1, тогда как интерфейсы G0/0 других
трех маршрутизаторов назначены на область 0.

 R3 использует тот же RID (1.1.1.1), что и R1.

 R4 был настроен с таймером Hello/Dead на его интерфейсе G0/0, равным 5/20, вместо 10/40,
используемого (по умолчанию) на R1, R2 и R3.

Рисунок 21 – 4 Сводка проблем, которые предотвращают соседство OSPF

211
Поиск несоответствия областей

Чтобы создать несоответствие областей, конфигурация на некоторых маршрутизаторах должна

размещать интерфейс в неправильной области в соответствии с дизайном. В примере 21 – 9 показана
конфигурация R2, в которой устанавливается неправильный номер области (1 вместо 0).

Пример 21 – 9 Настройка области 1 на R2, когда они должны находиться в области 0

При ошибке несоответствия области команда show ip ospf neighbor не выводит список соседей.
Поскольку вы ничего не видите в таблице соседей OSPF, для устранения этой проблемы вам
необходимо найти конфигурацию области на каждом интерфейсе на потенциально соседних
маршрутизаторах. Для этого:

 Проверьте вывод show running-config, чтобы найти

- Подкоманды интерфейса ip ospf process-id area number

- network команды в режиме конфигурации OSPF

 Используйте команду show ip ospf interface [brief], чтобы указать номер области.

Поиск повторяющихся идентификаторов маршрутизаторов OSPF

В примере 21 – 10 показаны R1 и R3, которые пытаются использовать RID 1.1.1.1. Оба маршрутизатора
автоматически создают сообщение журнала для дублирования проблемы RID OSPF; в конце примера
21 – 10 показано одно такое сообщение. Для экзаменов используйте команды show ip ospf на R3 и R1,
чтобы легко перечислить RID на каждом маршрутизаторе, отметив, что они оба используют одно и то
же значение.

Пример 21 – 10 Сравнение идентификаторов маршрутизаторов OSPF на R1 и R3

212
Команды show ip ospf на двух маршрутизаторах быстро показывает дублированное использование
1.1.1.1. Чтобы решить проблему, измените RID на R3 и перезапустите процесс OSPF. Для этого
используйте подкоманду OSPF router-id 3.3.3.3 и команду режима EXEC clear ip ospf process.

Поиск несоответствий OSPF Hello и таймера Dead

Во-первых, как напоминание из прошлых глав:

 Интервал/таймер приветствия: таймер для каждого интерфейса, который сообщает

маршрутизатору, как часто отправлять сообщения приветствия OSPF на интерфейс.

 Интервал бездействия/таймер: таймер для каждого интерфейса, который сообщает

маршрутизатору, как долго ждать, не получив приветствия от соседа, прежде чем он поверит,
что этот сосед отказал (по умолчанию в четыре раза больше таймера приветствия).

Затем рассмотрим проблему, созданную на R4, несоответствие интервалов Hello или Dead не позволяет
R4 стать соседом с любым из трех других маршрутизаторов OSPF. Маршрутизаторы перечисляют свои
настройки интервалов Hello и Dead в своих сообщениях Hello и предпочитают не становиться соседями,
если значения не совпадают. В результате ни один из маршрутизаторов в этом случае не станет
соседом с маршрутизатором R4. В примере 21 – 11 показан простой способ найти несоответствие с
помощью команды show ip ospf interface на обоих R1 и R4. Эта команда перечисляет таймеры Hello и
dead для каждого интерфейса.

Пример 21 – 11 Поиск несовпадающих таймеров Hello/Dead

213
Завершение процесса OSPF

Подобно административному отключению и включению интерфейса, IOS также позволяет отключать и

включать процесс протокола маршрутизации OSPFv2 с помощью подкоманд режима маршрутизатора
shutdown и no shutdown соответственно. Когда процесс протокола маршрутизации завершается, IOS
выполняет следующие действия:

 Сбрасывает все отношения соседей и очищает таблицу соседей OSPF

 Очищает LSDB

 Очищает таблицу IP-маршрутизации от всех маршрутов, изученных OSPF

В то же время при завершении работы OSPF сохраняются некоторые важные детали OSPF, в частности:

 IOS сохраняет всю конфигурацию OSPF.

 IOS по-прежнему перечисляет все интерфейсы с поддержкой OSPF в списке интерфейсов OSPF
(show ip ospf interface), но в состоянии DOWN.

По сути, завершение процесса протокола маршрутизации OSPF дает сетевому инженеру способ
прекратить использование протокола маршрутизации на этом маршрутизаторе без необходимости
удаления всей конфигурации. После завершения работы команда show ip ospf interface [brief] по-
прежнему должна выводить некоторые выходные данные, как и команда show ip ospf, но остальные
команды ничего не отображают.

В примере 21 – 12 показан пример на маршрутизаторе R5, как показано на рисунке 21 – 5. R5 - это

другой маршрутизатор, чем тот, который использовался в предыдущих примерах, но он начинает
пример с двух соседей OSPF, R2 и R3, с идентификаторами маршрутизатора 2.2.2.2 и 3.3.3.3. В примере
показано завершение процесса OSPF, отказ соседних узлов и эти две ключевые команды отображения
OSPF: show ip ospf neighbor и show ip ospf interface brief.

214
Рисунок 21 – 5 Пример сети для демонстрации завершения процесса OSPF

Пример 21 – 12 Завершение процесса OSPF и результирующие соседние состояния

215
Сначала перед завершением работы команда show ip ospf neighbor выводит список двух соседей.
После shutdown та же команда не выводит никаких соседей. Во-вторых, команда show ip ospf interface
brief действительно перечисляет интерфейсы, на которых включен OSPF, на собственных IP-адресах
локального маршрутизатора. Однако в нем указано состояние DOWN, которое является ссылкой на
состояние локального маршрутизатора. Также обратите внимание, что команда show ip ospf
положительно указывает, что процесс OSPF находится в состоянии завершения, в то время как
выходные данные команды show ip ospf database перечисляют только строку заголовка без LSA.

Проблемы, которые допускают смежность, но препятствуют IP-маршрутам

Обратите внимание, что может существовать другие проблемы, которые предотвращают возможное
добавление маршрутов OSPF в таблицу маршрутизации. Это несоответствие настройки MTU и
несоответствие типа сети OSPF.

Несоответствующие настройки MTU

Размер MTU определяет набольший пакет сетевого уровня, который маршрутизатор будет пересылать
на каждый интерфейс. Подкоманда интерфейса ip mtu size определяет настройку IPv4 MTU, а команда
ipv6 mtu size устанавливает эквивалент для пакетов IPv6.

Как ни странно, два маршрутизатора OSPFv2 могут фактически стать соседями OSPF, быть
перечисленными в выходных данных команды show ip ospf neighbor и достичь двухстороннего
состояния, даже если они используют разные настройки MTU IPv4 на своих интерфейсах. Однако они
не могут обменять свои LSDB. После неудачной попытки обмена своими LSDB, отношения между
соседями также терпят неудачу. Следите за несоответствиями MTU, просматривая рабочую
конфигурацию и используя команду show interfaces (которая отображает IP MTU).

Несоответствующие типы сетей OSPF

Интересно, что если вы неправильно сконфигурируете настройки типа сети, так что один
маршрутизатор использует широковещательную рассылку, а другой - двухточечную, произойдет
следующее:

 Два маршрутизатора становятся полностью смежными соседями (то есть они достигают
полного состояния).

 Они обмениваются своими LSDBs.

 Они не добавляют IP-маршруты в таблицу IP-маршрутизации.

Причина отказа от добавления маршрутов связана с деталями LSA и тем, как использование DR (или
нет) изменяет эти LSA. По сути, два маршрутизатора ожидают разных деталей в LSA, и алгоритм SPF
замечает эти различия и не может доверять LSA из-за этих различий.

Например, ранее в примере 21 – 7 конфигурация показывала, что маршрутизатор R1 использует тип

сети «точка-точка» на своем интерфейсе G0/0/0, с ожиданием, что маршрутизатор R2 также будет
216
использовать двухточечную связь на соответствующем ему G0/1/0 интерфейсе. В примере 21 – 13
показаны некоторые результаты, если инженер не сконфигурировал R2, оставив для него настройку
широковещательной передачи по умолчанию.

Пример 21 – 13 Завершение процесса OSPF и результирующие соседние состояния

Как видите, оба маршрутизатора перечисляют друг друга как соседа OSPF в полном состоянии. Однако
R1 с двухточечным типом сети не указывает роль DR или BDR в выходных данных, в то время как R2
делает это, что является одним из ключей к решению этого типа проблемы. Другой заключается в том,
что ожидаемых маршрутов нет в таблице IP-маршрутизации.

217
ГЛАВА 22. ОСНОВЫ ПРОТОКОЛА IP ВЕРСИИ 6
Протоколы IPv6
Главная цель базового протокола IPv6 та же, что и у протокола IPv4. Базовый протокол IPv6 определен
в документе RFC 2460 как концепция пакета, адреса этих пакетов, а также роли хостов и
маршрутизаторов. Ниже приведены примеры IPv6 адресов, каждый из которых состоит не более чем
32 шестнадцатеричных цифр.

2345:1111:2222: 3333:4444:5555:6666: AAAA

2000:1:2:3:4:5:6: A

FE80::1

Рисунок 22 – 1 Заголовок IPv6

Маршрутизация IPv6
Подобно многим другим функциям, маршрутизация IPv6 выглядит точно так же, как и маршрутизация
IPv4, но с различиями в специфических подробностях. Сначала обсудим концепции, общие для
протоколов IPv6 и IPv4.

Подобия протоколов IPv4 и IPv6

 Чтобы интерфейс устройства конечного пользователя мог создавать и передавать пакеты IPv6,
он нуждается в IPv6 адресе.

 Хостам конечного пользователя должен быть известен IPv6 адрес стандартного

маршрутизатора, на который хост посылает пакеты IPv6, если хост получателя находится в
другой подсети.

218
  При передаче пакета маршрутизаторы IPv6 извлекают и повторно инкапсулируют каждый пакет
IPv6.

 маршрутизаторы IPv6 принимают решение о маршрутизации, сравнивая адреса получателя

пакета IPv6 с таблицей маршрутизации IPv6 маршрутизатора; соответствующий маршрут
указывает направление дальнейшей передачи пакета IPv6.

Чтобы перенаправить пакет IPv6, маршрутизатор должен использовать свою таблицу маршрутизации
IPv6, а не таблицу маршрутизации IPv4. Маршрутизатор должен посмотреть IPv6 адрес получателя
пакета и сравнить его с текущей таблицей маршрутизации IPv6 для перенаправления пакета IPv6.
Общий процесс представлен на рисунке 22 – 2.

Рисунок 22 – 2 Стандартные задачи инкапсуляции маршрутизатора при передаче пакета IPv6

В большинстве корпоративных сетей маршрутизаторы перенаправляют одновременно и пакеты IPv4,

и пакеты IPv6. Протокол IPv6 допускает переходный период, на протяжении которого некоторые или
все маршрутизаторы перенаправляют и пакеты IPv6, и IPv4. Такая стратегия называется двойным
стеком. Все, что для этого необходимо, - это настроить маршрутизатор на перенаправление пакетов
IPv6 в дополнение к существующей конфигурации для перенаправления пакетов IPv4.

Протоколы маршрутизаторы IPv6

Маршрутизаторы IPv6 должны изучить маршруты для всех возможных префиксов IPv6 (подсетей). Как
и маршрутизаторы IPv4, маршрутизаторы IPv6 используют протоколы маршрутизации со знакомыми
именами и, со знакомыми функциями. Все эти протоколы маршрутизации потребовали обновления
для поддержки сообщений, протоколов и правил протокола IPv6. Список имен этих протоколов
маршрутизации с примечаниями приведен в таблице 22 – 1.

Таблица 22 – 1 Протоколы маршрутизации IPv6

Протокол маршрутизации Определен

RIPng RFC
OSPFv3 RFC
EIGRP for IPv6 RFC
MP BGP-4 RFC
219
Представление полных (несокращенных) IPv6 адресов
Протокол IPv6 использует удобный шестнадцатеричный (hex) формат адресов. Чтобы сделать его более
читаемым, протокол IPv6 использует формат с восемью наборами из четырех шестнадцатеричных
цифр, разделенных двоеточиями. Например:

2340:1111:AAAA:0001:1234:5678:9ABC:1234

У IPv6 адресов есть также двоичный формат. Преобразование из шестнадцатеричного формата в

двоичный осуществляется относительно просто: достаточно заменить каждую шестнадцатеричную
цифру на эквивалентное 4-битовое значение, представленное в таблице 28.2.

Таблица 28.2. Шестнадцатерично – двоичные преобразования

Шестнадцатеричное Двоичное Шестнадцатеричное Двоичное

0 0000
1 0001
2 0010
3 0011
4 0100
5 0101
6 0110
7 0111
8 1000
9 1001
A 1010
B 1011
C 1100
D 1101
E 1110
F 1111

Сокращение и расширение IPv6 адресов

Протокол IPv6 определяет также способы сокращения IPv6 адресов при написании и вводе.
Компьютеры и маршрутизаторы обычно используют самое короткое сокращение, даже если ввести все
32 цифры шестнадцатеричного адреса.

Сокращение IPv6 адресов

Ниже приведены два простых правила, позволяющих любому человеку или компьютеру сокращать
IPv6 адреса.

Правила сокращения IPv6 адресов

1. В каждом квартете из четырех шестнадцатеричных цифр удалите предваряющие нули в трех

позициях слева (нули с левой стороны квартета). (Примечание: на этом этапе от квартета 0000
останется один гуль).

2. Найдите все строки по два и более последовательных квартета из всех нулей и замените этот
набор квартетов двойным двоеточием (::). Оно означает “два и более квартета из всех нулей”.
Однако двойное двоеточие можно использовать в адресе только однажды, поскольку в
противном случае IPv6 адрес мог быть неоднозначен.
220
Рассмотрим, например, следующий IPv6 адрес.

FE00:0000:0000:0001:000:000:000:056

Первое правило применимо ко всем восьми квартетам независимо. В каждом удалите все
предваряющие нули. Получится следующее значение:

FE00:0:0:1:0:0:0:56

Несмотря на то что это сокращение вполне допустимо, адрес может быть сокращен еще больше при
помощи второго правила. В данном случае есть два фрагмента, где у нескольких квартетов подряд есть
только нули. Выберите самую длинную последовательность и замените ее на ::, получив самое
короткое допустимое значение:

FE00:0:0:1::56

Этот пример позволяет увидеть две наиболее распространенные ошибки сокращения IPv6 адресов. Во-
первых, никогда не удаляйте замыкающие нули в квартете (0 с правой стороны квартета). В данном
случае первый квартет FE00, не может быть сокращен вообще, поскольку два нуля находятся в конце.

Вторая распространенная ошибка – замена всех последовательностей нулевых квартетов двойными

двоеточиями, поскольку невозможно установить точное количество квартетов с нулями, замененных
каждым знаком :: в первоначальном несокращенном адресе.

Расширение сокращенных IPv6 адресов

Чтобы развернуть IPv6 адрес в его полное несокращенное значение из 32 цифр, используйте
два подобных правила.

Правила развертывания сокращенных IPv6 адресов

1. В каждом квартете добавьте предваряющие нули, если необходимо, пока у квартета не будет
четырех шестнадцатеричных цифр.

2. Если есть двойное двоеточие (::), подсчитывайте представленные в настоящее время квартеты.
Поскольку общее количество квартетов должно быть, равно 8, замените :: недостающим
количеством квартетов 0000.

Представление длины префикса адреса

Протокол IPv6 использует концепцию маски под названием длинна префикса, подобную маскам
подсети IPv4. Как и маска префиксного стиля протокола IPv4, длинна префикса протокола IPv6
записывается как символ /, сопровождаемый десятичным числом. Длина префикса определяет
количество битов префикса IPv6 адресов. Например:

2222:1111:0:A:B:C:D /64

221
И наконец, обратите внимание на то, что длинна префикса составляет несколько битов, поэтому
допустимым будет диапазон значений IPv6 адресов от 0 до 128 включительно.

Вычисление префикса IPv6

Значение каждого префикса IPv6 представляет группу. Если префикс имеет длину /P, то
придерживайтесь следующих правил.

Процесс вычисления префикса IPv6 на основании IPv6 адреса и длины префикса

1. Скопируйте первые биты P.

2. Остальную часть битов замените нулями.

При использовании длины префикса, которая случайно оказывается кратной 4, можно думать не
терминах битов, а в терминах шестнадцатеричных цифр. Длинна префикса, кратная 4, означает, что
каждая шестнадцатеричная цифра или копируется, или заменяется нулями. Только для справки: если
длинна префикса действительно кратна 4, процесс становится таким.

1. Определите количество шестнадцатеричных цифр в префиксе, разделив длину префикса

(который представлен в битах) на 4.

2. Скопируйте шестнадцатеричные цифры, определенные в префиксе на первом этапе.

3. Остальная часть шестнадцатеричных цифр заменяется нулями.

На рисунке 22 – 3 приведен пример с длинной префикса равным 64. В данном случае на этапе 1
рассматривается длина префикса /64 и вычисляется наличие у префикса 16-ти шестнадцатеричных
цифр. На этапе 2 копируются первые 16 цифр IPv6 адреса, а на этапе 3 записываются
шестнадцатеричные нули для остальной части цифр.

Рисунок 22 – 3 Получение префикса IPv6 из адреса и длины

После нахождения префикса IPv6 следует быть готовым к сокращению префикса IPv6 по тем же
правилам, что и для сокращения IPv6 адреса. Но дополнительное внимание следует обратить на конец
222
префикса, поскольку там зачастую есть несколько октетов, заполненных всеми нулями. В результате
сокращение обычно завершается двумя двоеточиями (::).

Рассмотрим, например, следующий IPv6 адрес, присвоенный хосту в сети LAN:

2000:1234:5678:9ABC:1234:5678:9ABC:1111 /64

После вычисления префикса для подсети, в которой располагается адрес, после обнуления последних
64 битов (16 цифр) адреса получается следующие префиксное значение:

2000:1234:5678:9ABC:0000:0000:0000:0000 /64

Это значение может быть сокращено на четыре нулевых квартета в конце следующим образом:

2000:1234:5678:9ABC:: /64

Работа с более трудными длинами префикса IPv6

Если длина префикса кратна 16, процесс копирования части адреса задействует квартеты целиком.
Если длинна префикса кратна не 16, а 4, то граница, по крайней мере, находится на краю
шестнадцатеричной цифры и можно избежать применения двоичных вычислений. Следует быть
готовым к вычислению префикса, длина которого не кратна 4. Рассмотрим, например, следующий IPv6
адрес и длину префикса:

2000:1234:5678:9ABC:1234:5678:9ABC:1111 /56

Поскольку в этом примере используется длина префикса /56, префикс включает первые 56 битов или
14 первых полных шестнадцатеричных цифр адреса. Остальная часть шестнадцатеричных цифр будет
нулями, что даст следующий префикс:

2000:1234:5678:9A00:0000:0000:0000:0000 /56

Это значение может быть сокращено на четыре нулевых квартета в конце следующим образом:

2000:1234:5678:9A00:: /56

223
ГЛАВА 23. IPv6 АДРЕСАЦИЯ И СОЗДАНИЕ ПОДСЕТЕЙ
Протокол IPv6 не использует концепцию классовой сети, как протокол IPv4. Хотя агентство IANA все еще
резервирует некоторый диапазон IPv6 адресов в специфических целях и даже некоторые интервалы
адресов. В этой главе два главных раздела. В первом рассматриваются глобальные одноадресатные
адреса, являющиеся открытыми IPv6 адресами. Второй раздел посвящен уникальным локальным
адресам, служащим частными IPv6 адресами.

Концепции глобальной одноадресатной адресации

Сетевые каналы связи, нуждавшиеся в подсетях IPv6

 Сети VLAN

 Двухточечный последовательный канал связи

 Эмуляция Ethernet канала связи WAN (EoMPLS)

Например, в корпоративной объединенной сети, представленной на рисунке 23 – 1, планируется

создать пять подсетей. В этом примере каждый интерфейс LAN маршрутизатора подключен к сети LAN
с использованием одной сети VLAN (в общей сложности для трех подсетей и трех сетей VLAN). Каждый
последовательный канал связи и канал связи Ethernet WAN также испытывает потребность в подсети.
Для интернета подсети назначаются различными провайдерами служб Интернета.

Рисунок 23 – 1 Пример объединений сети с пятью подсетями IPv4 и открытыми адресами

Открытые и частные IPv6 адреса

Для одноадресатной адресации протокол IPv6 представляет две подобных возможности. Начнем с
глобальных одноадресатных адресов (global unicast address), которые являются аналогом
первоначальных открытых адресов протокола IPv4. Подобно открытым IPv4 адресам, глобальные
одноадресатные IPv6 адреса полагаются на административный процесс присвоения каждой компании
блока уникальных IPv6 адресов.

224
Вторая возможность – это уникальные локальные адреса (unique local address), подобные частным
адресам протокола IPv4. Ниже приведены различия между глобальными одноадресатными адресами
и уникальными локальными адресами.

Два типа одноадресатных адресов IPv6

 Глобальный одноадресатный адрес. Аналог открытых IPv4 адресов. Организация,

нуждающаяся в IPv6 адресах, запрашивает зарегистрированный блок IPv6 адресов,
присеваемых как глобальный префикс маршрутизации. После этого только данная организация
использует адреса из этого блока, т.е. адреса, начинающиеся с присвоенного префикса.

 Уникальный локальный адрес. Аналог частных IPv4 адресов. Несколько организаций вполне
могут использовать эти же адреса без необходимости регистрировать их в соответствующих
инстанциях.

Глобальный префикс маршрутизации IPv6

Глобальные одноадресатные IPv6 адреса позволяют протоколу IPv6 работать подобно
первоначальному проекту протокола IPv4. Зарезервированный блок IPv6 адресов может использовать
только одна компания, поэтому он называется глобальным префиксом маршрутизации (global routing
prefix). Каждая организация, которая собирается подключатся к интернету и использовать глобальные
одноадресатные IPv6 адреса, должна запросить и получить глобальный префикс маршрутизации. В
самом общем случае глобальный префикс маршрутизации можно считать номером сети класса А, В
или С из диапазона открытых IPv4 адресов.

Глобальный префикс маршрутизации – термин, который относится к идее, что у маршрутизаторов в

Интернете может быть один маршрут для всех адресов в блоке, позволяющий избежать
необходимости иметь маршруты для всех меньших частей этого блока. Например, на рисунке 23 – 2
представлены три компании с тремя разными глобальными префиксами маршрутизации IPv6; у
маршрутизатора справа (R4) есть один маршрут IPv6 для каждого глобального префикса
маршрутизации.

Рисунок 23 – 2 Три глобальных префикса маршрутизации с одним маршрутом на префикс

225
Глобальный префикс маршрутизации выделяет IPv6 адреса для использования одной отдельной
компанией, точно так же, как открытая сеть IPv4 или блок адресов CIDR в протоколе IPv4.
Предположим, например, что компания Company1 получила глобальный префикс маршрутизации
Префикс 2001:0DB8:1111::/48 означает “все адреса с первыми 12 шестнадцатеричными цифрами
2001:0DB8:1111”. Чтобы получить его, осуществляется процесс, представленный на рисунке 23 – 3.

Рисунок 23 – 3 Присвоение префикса организации IANA, RIR и провайдерами служб Интернета

Адресные интервалы для глобальных одноадресатных адресов

Первоначально агентство IANA резервировало все IPv6 адреса, начинающиеся с шестнадцатеричных 2
или 3, как глобальные одноадресатные. Как префикс этот адресный интервал может быть записан
кратко так: 2000::/3.

Все обсуждаемые далее в этой главе уникальные локальные одноадресатные адреса начинаются с
шестнадцатеричных цифр FD. Хотя глобальные одноадресатные адреса не включают начинающиеся с
FD, любые незарезервированные специально адресные интервалы считаются глобальными
одноадресатными. Список обсуждаемых в этой главе префиксов адресов и их задач представлен в
таблице 23 – 1.

Таблица 23 – 1 Некоторые из типов IPv6 адресов и их первые шестнадцатеричные цифры

Тип адреса Первые шестнадцатеричные цифры

Глобальные одноадресатный 2 или 3 (первоначально); все не
зарезервированные на настоящий момент
Уникальный локальный FD
Многоадресатный FF
Локальный канала связи FE80

226
Создание подсетей IPv6 с использованием глобальных одноадресатных
адресов
После получения предприятием блока глобальных одноадресатных адресов, другими словами,
глобального префикса маршрутизации, компания должна разделить этот большой блок адресов на
подсети. Подсети IPv6 создаются главным образом, как и подсети IPv4, но математический механизм у
них проще. Благодаря такому большому количеству доступных адресов обычно используют самую
простую длину префикса IPv6: /64. Использование длинны префикса /64 для всех подсетей делает
математический механизм создания подсетей IPv6 столь же простым, как использование маски /24 для
всех подсетей IPv4. Кроме того, процесс динамического присвоения IPv6 адресов лучше работает с
длинной префикса /64.

Решение о необходимости подсетей IPv6

В первую очередь, протоколы IPv6 и IPv4 используют те же концепции о необходимости подсетей: по
одной для каждой сети VLAN и по одной для каждого двухточечного соединения WAN. На рисунке 23
– 4 приведен пример концепции использования объединенной сети малого предприятия Company1.

Рисунок 23 – 4 Области подсетей IPv6

Механика создания подсетей IPv6 и глобальные одноадресатные адреса

Что бы помочь изучить эти детали, можно сравнить некоторые концепции протокола IPv6 с подобными
понятиями протокола IPv4. Для создания подсетей у IPv4 адреса есть две части: сети и хоста.

Рисунок 23 – 5 Представление не разделенных на подсети классовых IPv4 адресов

227
Разделяя на подсети сеть IPv4 класса А, В или С, сетевой инженер предприятия принимает некие
решения. Концептуально он создает трехчастотное представление адресов, добавляя в центр поле
подсети за счет сокращения поля хоста. Размер части сети неизменный, он обусловлен правилами
класса А, В или С, а линия между частями подсети и хоста перемещается на основании выбранной
маски подсети. На рисунке 23 – 6 представлена концепция разделения адреса сети класса В.

Рисунок 23 – 6 Представление IPv4 адреса разделенной на подсети классовой сети

Протокол IPv6 использует концепцию, подобную представленной на рисунке 23 – 7 структура

демонстрирует три главных части, начиная с глобального префикса маршрутизации, являющегося
исходным значением, совпадающим у всех IPv6 адресов предприятия. Адрес заканчивается
идентификатором интерфейса, аналогичным полу хоста IPv6. Поле подсети находится между этими
двумя полями, используемыми как числовой путь и идентификатор подсети, очень похожий на поле
подсети в IPv4 адресах.

Рисунок 23 – 7 Структура глобального одноадресатного IPv6 адреса после разделения на подсети

Рассмотрим глобальный префикс маршрутизации IPv6 и его длину. В отличии от протокола IPv4, у
протокола IPv6 нет концепции классовых адресов, поэтому длину глобального префикса
маршрутизации никакие предварительно установленные правила не определяют. Затем обратимся к
полю идентификаторов интерфейса (рисунок 23 – 7, справа). По некоторым причинам, которые станут
более очевидными впоследствии, это поле зачастую имеет длину 64 бита. И наконец, обратимся к полу
подсети. Как и в протоколе IPv4, это поле является местом для номера подсети IPv6. Длину поля
подсети определяют два аспекта: для глобального префикса маршрутизации и длинна идентификатора

228
интерфейса. При общепринятом 64 битовом поле идентификатора интерфейса после подсети обычно
составляет 64 – Р битов, где Р – длина глобального префикса маршрутизации.

Теперь рассмотрим структуру конкретного глобального одноадресатного IPv6 адреса

2001:0DB8:1111:0001:0000:0000:0000:0001, представленного на рисунке 23 – 8 в данном случае:

 Компании был присвоен префикс 2001:0DB8:1111 с длиной префикса /48;

 Компания использует обычный 64 битовый идентификатор интерфейса;

 В компании принято 16 битов поля подсети, что допускает 216 подсетей IPv6.

Рисунок 23 – 8 Пример структуры адреса для компании Company1

Все идентификаторы подсети IPv6

Как протокол IPv4, протокол IPv6 должен идентифицировать каждую подсеть IPv6 некоторым
идентификатором – идентификатором подсети.

Все подсети IPv6

Решение использовать во всех подсетях IPv4 единую маску позволяют находить и записывать все
подсети сети класса А, В или С, используя единую маску подсети. В протоколе IPv6 применены те же
идеи. Для поиска всех идентификаторов подсети достаточно придерживаться следующих правил.

Правила поиска всех идентификаторов подсети IPv6 по заданному глобальному префиксу

маршрутизации и одинаковой длине префикса всех подсетей.

 Все идентификаторы подсети начинаются с глобального префикса маршрутизации.

 Для идентификации каждой отдельной подсети используйте отличное значение в поле подсети

 В части идентификатора интерфейса все идентификаторы подсети содержат нули.

Для примера возьмем проект IPv6, представленный на рис. 23 - 9, и подумаем обо всех
идентификаторах подсети. В первую очередь, все подсети будут использовать общепринятую длину
префикса /64. Данная компания использует глобальный префикс маршрутизации 2001:0DB8:1111::/48,
определяющий первые 12 шестнадцатеричных цифр всех идентификаторов подсети. Для поиска всех
возможных идентификаторов подсети IPv6 запишите все комбинации уникальных значений в
229
четвертом квартете, а затем представьте все четыре последних квартета, заполненных нулями,
символом ::. На рисунке 29.9 приведено только начало такого списка.

Рисунок 29 – 3 22 первые возможные подсети с 16 – разрядным полем подсети

Применение подсетей в топологии объединенной сети

Как и в случае IP46, в подсетях IPv6 нуждаются все сети VLAN, все последовательные каналы связи, все
каналы связи EoMPLS и многие другие каналы связи.

В примере на рисунке 23 – 10 снова показана компания Company1. Здесь использованы четыре

подсети, приведенные на рисунке 29 – 9.

Рисунок 23 – 10 Подсети компании с глобальным префиксом маршрутизации 2001:0DB8:1111::/48

Присвоение адресов хостам в подсети

Теперь, когда инженер распланировал, какая подсеть IPv6 будет использоваться в каждой области,
можно планировать и реализовывать индивидуальные IPv6 адреса. Процесс назначение IPv6 адресов
интерфейсам протекает таким же образом, как и в протоколе IPv4. Адреса могут быть заданы
статически наряду с длинной префикса с параметрами стандартного маршрутизатора и сервера DNS.
Те же параметры могут быть изучены хостами динамически с использованием протокола DHCP или
другого встроенного механизма IPv6 – автоматической настройкой адреса (Stateless Address
230
Autoconfiguration - SLAAC). На рисунке 23 – 11 приведен пример нескольких статических IP адресов,
которые могли быть присвоены интерфейсам маршрутизатора на основании выбора подсетей,
представленных на рисунке 23 – 10.

Рисунок 23 – 11 Пример статических IPv6 адресов, назначенных на основании проекта подсетей на

рисунке 29 – 10

Уникальные локальные одноадресатные адреса

Уникальные одноадресатные адреса действуют как частные IPv6 адреса. У этих адресов много сходства
с глобальными одноадресатными адресами, особенно в отношении подсетей. Хотя сетевой инженер
создает уникальные локальные адреса без всякой регистрации, процесс присвоения адресов все еще
должен подчинятся некоторым правилам.

Привила создания уникальных локальных одноадресатных адресов

 Используйте две первые шестнадцатеричные цифры FD.

 Выберите уникальный 40 битовый глобальный идентификатор.

 Добавьте к “FD” глобальный идентификатор, чтобы получить 48 битовый префикс,

используемый для всех адресов.

 Используйте следующие 16 битов как поле подсети.

 Обратите внимание: структура оставляет для поля идентификатора интерфейса как раз 64 бита.

Формат этих уникальных локальных одноадресатных адресов приведен на рис 29 – 12.

Рисунок 29 – 12 Формат уникального локального одноадресатного IPv6 адреса

231
Создание подсетей с уникальными локальными IPv6 адресами
Создание подсетей с использованием локальных адресов осуществляется точно так же, как и создание
подсетей с глобальными одноадресатными адресами и 48 битовым глобальным префиксом
маршрутизации. Процесс может быть таким же простым, как выбор 40 битового значения глобального
идентификатора. 40 битов требуют 10 шестнадцатеричных цифр, поэтому можно даже избежать
двоичной математики и просто составить значение из десяти уникальных шестнадцатеричных цифр.
Предположим, например, что выбран 40 битовый глобальный идентификатор 00 0001 0001. Адреса
должны начинаться с двух шестнадцатеричных цифр FD, поэтому весь префикс будет
FD00:0001:0001::/48 или FD00:1:1::/48.

На рисунке 23 – 13 приведен план подсетей из примера, использующего уникальные локальные

адреса. В примере повторяется та же топология, что и ранее на рисунке 23 – 10; на этом рисунке
представлены подсети с глобальным одноадресатным префиксом.

Рисунок 23 – 13 Создание подсетей с использованием уникальных локальных адресов

Потребность в глобально уникальных локальных адресах

В реальных корпоративных сетях выбрать глобальный идентификатор по своему усмотрению не
получится – придется следовать правилам уникальных локальных адресов, призванным помочь
сделать уникальными в своей области, даже если префикс не регистрирует ISP или RIR.

Если действительно планируется использовать уникальные локальные адреса в реальной сети,

используйте для создания префикса логику генератора случайных чисел, описанную в документе RFC
4193. Одна из главных причин попытки использования уникального префикса, состоит в том, что если
потребуется слияние двух крупных сетей, то выбор уникального префикса намного упростит этот
процесс.

232
ГЛАВА 24. РЕАЛИЗАЦИЯ IPv6 АДРЕСАЦИИ НА МАРШРУТИЗАТОРАХ
Статическая настройка одноадресатного адреса
Маршрутизаторы Cisco представляют две возможности для статической настройки IPv6 адресов. В
одном случае задается полный 128 битовый адрес, в другом – лишь 64 битовый префикс, а вторую
половину адреса (идентификатор интерфейса) маршрутизатор получает сам.

Настройка полного 128 битного адреса

Для статического задания полного 128 битного одноадресатного адреса (или глобального
одноадресатного, или уникального локального адреса) маршрутизатор нуждается в подкоманде ipv6
address адрес/длина_префикса на каждом интерфейсе. На рисунке 24 – 1, а также примерах 24 – 1 и
24 – 2 приведен простой случай. Здесь представлен глобальный одноадресатный IPv6 адрес,
используемый двумя разными маршрутизаторами на двух интерфейсах каждый. Как обычно, все
подсети используют длину префикса /64.

Рисунок 24 – 1 128 битовые IPv6 адреса, заданные на интерфейсах маршрутизатора Cisco

Пример 24 – 1 Настройка статических IPv6 адресов на маршрутизаторе R1

233
Пример 24 – 2 Настройка статических IPv6 адресов на маршрутизаторе R2

Разрешение маршрутизации Ipv6

Представленная в примерах 30.1 и 30.2 конфигурация демонстрирует также важный этап настройки
IPv6 адресов на маршрутизаторах Cisco – необходимость разрешить маршрутизацию IPv6. На
маршрутизаторах Cisco маршрутизация IPv4 разрешена изначально, а маршрутизация IPv6 – нет.
Решением является единственная команда – ipv6 unicast-routing, разрешающая маршрутизацию Ipv6
на маршрутизаторе.

Маршрутизация IPv6 должна быть разрешена на маршрутизаторе как глобально (ipv6 unicast-routing),
так и на интерфейсе (ipv6 address).

Проверка настроенных IPv6 адресов

Протокол IPv6 использует множество команд show, подражающих синтаксису команд show протокола
Ipv4.

 Команда show ipv6 interface brief предоставляет информацию об IPv6 адресе интерфейса, но
не о длине префикса, как подобная команда show ip interface brief протокола IPv4.

 Команда show ipv6 interface предоставляет подробности о параметрах IPv6 интерфейса, что
очень похоже на команду show ip interface brief протокола IPv4.

Одно из наиболее существенных отличий в общих командах заключается в том, что команда show
interface все еще перечисляет IPv4 адреса и маски. В примере 30.3 приведено несколько команд для
маршрутизатора R1 с объяснениями.

Пример 24 – 3 Проверка статических IPv6 адресов на маршрутизаторе R1

234
235
Рассмотрим вывод двух команд show ipv6 interface, составляющий большую часть вывода в примере.
Первая команда относится только к интерфейсу G0/0. Обратите внимание, что вывод перечисляет
заданный IPv6 адрес, длину префикса и подсеть IPv6 (2001:DB8:1111:1::/64), вычисляемую
маршрутизатором на основании IPv6 адреса. Вторая команда show ipv6 interface демонстрирует
подобные подробности для интерфейса S0/0/0, часть которых пропущена.

В конце примера представлен вывод команды show ipv6 interface brief. Подобно команде IPv4 show ip
interface brief, эта команда выводит IPv6 адреса, но не префиксы и их длины. Она перечисляет все
интерфейсы на маршрутизаторе, а также разрешен ли на них протокол IPv6. Кроме IPv6 адресов на
интерфейсах маршрутизатор добавляет также в таблицу маршрутизации IPv6 подключенные
маршруты IPv6 от каждого интерфейса. В примере 30.4 показан подключенный маршрут IPv6 на
маршрутизаторе R1 согласно рисунку 24 – 1.

Пример 24 – 4 Отображение подключенных маршрутов IPv6 на маршрутизаторе R1

Создание уникального идентификатора интерфейса с использованием

модифицированного EUI-64
Протокол IPv6 следует той же общей модели, что и протокол IPv4, согласно которой одни устройства
обычно используют статические, предопределённые адреса, а другие – изученные динамически.
Например, маршрутизаторы на предприятии, как правило, используют статические адреса, а
устройства конечного пользователя обычно изучают свои адреса используя протокол DHCP. При
протоколе IPv6 маршрутизаторы также обычно используют статические IPv6 адреса, а
пользовательские устройства используют протокол DHCP или SLAAC (Stateless Address Auto
Configuration – автоматическая настройка адреса без фиксации состояния) для динамического
изучения IPv6 адресов.
236
У маршрутизатора есть две возможности для настройки стабильного, предсказуемого и неизмененного
IPv6 адреса интерфейса. Первый, уже упоминавшийся в этой главе метод подразумевает
использование команды ipv6 address для определения всего 128 битного адреса, как показано в
примерах 24 – 1 и 24 – 2. Второй метод использует ту же команду ipv6 address, но только для настройки
64 битного префикса интерфейса и позволяет маршрутизатору автоматически создать уникальный
идентификатор интерфейса.

Второй метод подразумевает использование идентификатора, модифицированного EUI-64 (Extended –

Unique Identifier – расширенный уникальный идентификатор).

Правило создания IPv6 адреса с использованием правил EUI – 64

1. Разделите 6-ти байтовый (12 шестнадцатеричных цифр) MAC адрес на две половины (по 6
шестнадцатеричных цифр каждая).

2. Между этими двумя половинами вставьте часть FFFE, что бы идентификатор интерфейса имел
теперь в общей сложности 16 шестнадцатеричных цифр (64 бита).

3. Инвертируйте седьмой бит идентификатора интерфейса.

Главные элементы формирования такого адреса приведены на рисунке 30.2.

Рисунок 24 – 2 Формат IPv6 адреса с идентификатором интерфейса и частью EUI – 64

На рисунке 24 – 3 представлены два примера этого процесса без инвертирования 7 бита.

Рисунок 24 – 3 Два примера основной части процесса создания идентификатора интерфейса EUI – 64

237
Инверсия бита означает, что если бит содержит значение 0, то оно изменяется на 1, а 1 – на 0. Как
правило, первоначально IPv6 адреса содержат в этом бите значение 0, инвертируемое в 1

Пример на рисунке 24 – 4 завершает два примера на рисунке 24 – 3, которые были сосредоточены

только на первых двух шестнадцатеричных цифрах.

Рисунок 24 – 4 Инверсия седьмого бита поля идентификатора интерфейса EUI – 64

Настройка интерфейса маршрутизатора на использование формата EUI – 64подразумевает

использование подкоманды интерфейса ipv6 address адрес/длинна_префикса eui-64. Ключевое слово
eui-64 указывает маршрутизатору искать MAC адрес интерфейса и осуществлять преобразования EUI-
64 для вычисления идентификатора интерфейса.

Пересмотренная по сравнению с прежним примером 24 – 1 конфигурация на маршрутизаторе R1

представлена в примере 24 – 5. В данном случае маршрутизатор R1 использует для своих Ipv6 адресов
формат EUI – 64.

Пример 24 – 5 Настройка IPv6 адресов на интерфейсе маршрутизатора R1 с использованием формата

EUI – 64

238
В этом примере для формирования идентификатора EUI – 64 всех последовательных интерфейсов
маршрутизатор R1 использует MAC адрес своего интерфейса G0/0.

Динамическая настройка одноадресатного адреса

Маршрутизаторы Cisco предоставляют два способа динамического изучения IPv6 адресов для
использования интерфейсами маршрутизатора.

 Протокол DHCP с фиксацией состояния

 Автоматическая настройка адреса без фиксации состояния (Stateless Address Auto Configuration
– SLAAC)

Оба способа используют знакомую команду ipv6 address. В примере 24 – 6 приведена конфигурация с
одним интерфейсом, использующим протокол DHCP с фиксацией состояния, и другим, использующим
протокол SLAAC.

Пример 24 – 6 Настройка маршрутизатора на изучение IPv6 адресов при помощи интерфейсов DHCP
и SLAAC.

Специальные адреса, используемые маршрутизаторами

Настройка протокола IPv6 на маршрутизаторе начинается с простых этапов, обсуждаемых в первой
части этой главы. После задания глобальной команды конфигурации ipv6 unicast-routing,
разрешающий маршрутизацию IPv6, добавление одноадресатного IPv6 адреса на интерфейсе
заставляет маршрутизатор осуществлять следующее.

Функции IOS, разрешаемые при настройке протокола IPv6 на рабочем интерфейсе

 Предоставляет интерфейсу одноадресатный IPv6 адрес

239
  Разрешает маршрутизацию пакетов IPv6 на этом интерфейсе

 Определяет префикс IPv6 (подсеть) для этого интерфейса

 Указывает маршрутизатору добавить связанный с этим префиксом маршрут IPv6 в таблицу

маршрутизации IPv6, когда он находится в состоянии up/up

Адреса, локальные в пределах канала связи

Протокол IPv6 использует адреса, локальные в пределах канала связи (link-local address), как
специальный вид одноадресатного IPv6 адреса. Эти адреса используются не для обычных пакетов IPv6,
содержащих прикладные данные, а для вспомогательных протоколов и маршрутизации.

Концепция адресов, локальных в пределах канала связи

Каждый хост IPv6 (включенные маршрутизаторы) используют дополнительный одноадресатный адрес,
называемый локальным в пределах канала связи. Посланные на этот адрес пакеты не оставляют
подсеть IPv6, поскольку маршрутизаторы не перенаправляют их.

Протокол IPv6 использует локальные в пределах канала связи адреса для множества других
протоколов. Многие протоколы IPv6, требующие передачи сообщений в одной подсети, как правило,
используют, локальные в пределах канала связи, а не глобальные одноадресатные или уникальные
локальные адреса хоста. Например, протокол обнаружения соседних устройств (NDP), взявший на себя
функции протокола ARP из стека IPv4, использует адреса, локальные в пределах канала связи.

Маршрутизаторы IPv6 также используют адреса, локальные в пределах канала связи, как IP адреса
следующих транзитных точек перехода (рисунок 24 – 6). Команда show ipv6 route выводит локальный
в пределах канала связи адрес соседнего маршрутизатора, а не глобальный одноадресатный или
уникальный локальный одноадресатный адрес.

Рисунок 24 – 6 Протокол IPv6 использует адреса, локальные в пределах канала связи IPv6

240
Ключевые факты об адресах, локальный в пределах канала связи IPv6

 Одноадресатный (не многоадресатный). Адрес, локальный в пределах канала связи,

представляет один хост, и посланные на него пакеты должны быть обработаны только одним
хостом IPv6.

 Область перенаправления локальна только для канала связи. Пакеты, посланные на

локальный в пределах канала связи, адрес, не покидают локальный канал связи, поскольку
маршрутизаторы не перенаправляют пакеты с локальными в пределах канала связи адресами
получателя.

 Автоматическое создание. Решая некоторые проблемы инициализации для хостов, прежде

чем они динамически изучат глобальный одноадресатный адрес, каждый интерфейс хоста IPv6
(и интерфейс маршрутизатора) может автоматически создать собственный адрес, локальный в
пределах канала связи

 Общее использование. Локальные в пределах канала связи адреса используются некоторыми

вспомогательными протоколами, выполняющимися локально в одной подсети, и как адрес
следующей транзитной точки перехода маршрутов IPv6.

Создание адресов, локальный в пределах канала связи, на маршрутизаторах

Используя набор простых правил, хосты IPv6 и маршрутизаторы могут вычислить собственный адрес,
локальный в пределах канала связи, для каждого интерфейса. Во-первых, все адреса, локальные в
пределах канала связи, начинаются с того же префикса, как показано на рисунке 24 – 7 слева. По
определению первые 10 битов должны соответствовать префиксу FE80::/10. Однако, согласно
документу RFC, следующие 54 бита должны двоичными нулями, поэтому локальный в пределах канала
связи адрес должен всегда начинаться с первых четырех несокращенных квартетов
FE80:0000:0000:0000.

Рисунок 24 – 7 Формат, адреса, локального в пределах канала связи

Вторая половина локального в пределах канала связи адреса фактически может быть сформирована
по другим правилам. Для создания идентификатора интерфейса маршрутизаторы Cisco используют
формат EUI – 64(см. выше). В результате полный локальный в пределах канала связи адрес
маршрутизатора окажется уникальным, поскольку участвующий в процессе EUI - - 64 MAC адрес
является уникальным.

241
Операционная система IOS создает локальный в пределах канала связи адрес для любого интерфейса,
на котором командой ipv6 address настроен по крайней мере один другой одноадресатный адрес
(глобальный одноадресатный или уникальный локальный). Чтобы посмотреть локальный в пределах
канала связи адрес, достаточно использовать обычные команды, выводящие одноадресатный IPv6
адрес: show ipv6 interface или show ipv6 interface briefи. Адреса для R1 показаны в примере 24 – 7.

Пример 24 – 7 Сравнение адресов, локальных в пределах канала связи, с созданными

одноадресатными адресами EUI

Рассмотрим две пары элементов, выделенных в пример. Для каждого из двух интерфейсов,
обладающих глобальным одноадресатным адресом (G0/0 и S0/0/0), вывод указывает глобальный
одноадресатный адрес, в данном случае начинающийся на 2001.В то же время вывод указывает также
для каждого интерфейса адрес, локальный в пределах канала связи (начинающийся на FE80)

Теперь сосредоточимся на двух адресах, выведенных для интерфейса G0/0. Если внимательно
посмотреть на вторую половину двух представленных для интерфейса G0/0 адресов, то можно
заметить, что у обоих адресов одинаковое значение идентификатора интерфейса. Глобальный
одноадресатный адрес был задан в данном случае командой ipv6 address 2001:DB8:1111:1::/64,
поэтому для формирования глобального одноадресатного и локального в пределах канала связи
адреса маршрутизатор использовал логику EUI - 64, а данном случае МАС адрес интерфейса обоих
адресов как 0000:01FF:FE01:0101 (несокращенный). После сокращения локальный в пределах канала
связи адрес маршрутизатора R1 на интерфейсе G0/0 становится FE80::1FF:FE01:101.

Операционная система IOS может создать локальный в пределах канала связи адрес автоматически,
но он может бить и задан. Операционная система IOS выбирает для интерфейса локальный в пределах
канала связи адрес на основании следующих правил.

 Если адрес задан, маршрутизатор использует значение из подкоманды интерфейса ipv6 address
адрес link-local. Обратите внимание: заданный Локальный в пределах канала связи адрес
должен относиться к корректному диапазону локальных в пределах канала связи адресов, т.е.
адресов префикса FE80::/10. Другими словами, адрес должен начинаться с FE8, FE9, FEA или
FEB.
242
  Если адрес не задан, операционная система система IOS вычислит локальный в пределах
канала связи адрес, используя правила EUI – 64 (см. пример 24 – 7). вычисление использует
правила EUI – 64, даже если одноадресатный адрес интерфейса не использует формат EUI – 64.

Маршрутизация IPv6 только с адресами, локальными в пределах канала связи

на интерфейсе.
Кроме того, используя команды ipv6 enable можно разрешить протокол IPv6 на интерфейсе
маршрутизатора Cisco без использования глобального одноадресатного адреса вообще. Подкоманда
интерфейса ipv6 enable всегда заставляет маршрутизатор создавать адрес, локальный в пределах
канала связи, чтобы быть готовым обрабатывать пакеты IPv6 на этом интерфейсе. В некоторых случаях
это все, что нужно маршрутизатору для IPv6 адресации на интерфейсе.

Каналы связи WAN маршрутизатора зачастую не должны использовать подсети глобальных

одноадресатных адресов. Рассмотрим, например, простую сеть IPv6 на рисунке 24 – 8. Эти два
маршрутизатора соединены каналом WAN и не нуждаются в глобальных одноадресатных адресах.
Следующий транзитный маршрутизатор на маршруте IPv6 – это локальный в пределах канала связи
адрес соседа. Таким образом, локальная для канала связи адресация в средней части сети
предоставляет себе IPv6, которые нужны маршрутизаторам R1 и R2 для перенаправления пакетов
между собой.

Рисунок 24 – 8 Типичный случай использования команды ipv6 enable

Много адресатные IPv6 адреса

Протокол IPv6 использует многоадресатные IPv6 адреса в нескольких целях. Как и протокол IPv4, IPv6
включает диапазон многоадресатных адресов, которые применяются приложениями, с большинством
тех же фундаментальных концепций, что и при групповой передачи IPv4.

Локальные для области видимости многоадресатные адреса

Остановимся на некоторых протоколах уровня управления, обсуждаемых в этой книге. Одни из этих
протоколов уровня управления IPv4 использует широковещание IPv4, подобное передаче
широковещательных фреймов Ethernet, направляемых на широковещательный адрес Ethernet

243
FFFF.FFFF.FFFF.FFFF. Будучи полезным, такое широковещание обязывало каждый хост в локальной сети
обрабатывать широковещательные фреймы, даже если это нужно только одному устройству.

В IPv6 широко используется многоадресатные IPv6 адреса, которые позволяют любому узлу IPv6
использовать протоколы уровня управления без такого негативного фактора, как необходимость
заботиться об этом конкретном протоколе уровня управления всем хостам в локальной сети.
Например, у каждого протокола маршрутизации IPv6 есть уникальный многоадресатный адрес, чтобы
посланные на него пакеты могли быть проигнорированы всеми хостами IPv6 и даже
маршрутизаторами, которые не поддерживают этот протокол маршрутизации.

Протокол IPv6 определяет также область видимости для многоадресатных пакетов, т.е. как далеко по
сети должен быть перенаправлен многоадресатный пакет. У многоадресатных адресов, начинающихся
на FF02(FF02::/16), есть область видимости, локальная для канала связи, а значит, маршрутизаторы не
будут перенаправлять эти пакеты во вне локальной подсети, что очень хорошо. По сравнению с ними
адреса, начинающиеся на FF08 (FF08::/16), обычно используемые для многоадресатных приложений с
пользователями по всему предприятию, имеют локальную область видимости организации, а значит,
посланные на эти адреса пакеты перенаправляются по всей организации, но не в Интернет.

Наилучший способ понять назначение локальных – это изучить наиболее популярные адреса и их
использование. Например, протокол IPv6 резервирует адреса, используемые для общения со всеми
устройствами IPv6 в подсети, или со всеми маршрутизаторами в подсети, или всеми маршрутизаторами
OSPF в подсети и т.д.

В таблице 24 – 1 приведены наиболее распространенные многоадресатные IPv6 адреса с локальной

областью видимости.

Таблица 24 – 1 Ключевые многоадресатные IPv6 адреса с локальной областью видимости

Короткое название Многоадресатный Значение Эквивалент IPv4

адрес
Все узлы (all-nodes) FF02::1 Все интерфейсы на Широковещательный
канале связи, адрес подсети
использующие
протокол IPv6
Все маршрутизаторы FF02::2 Все интерфейсы Отсутствует
маршрутизатора IPv6
на канале связи
Все OSPF FF02::5 Все маршрутизаторы 224.0.0.5 224.0.0.6
OSPF
Все OSPF-DR FF02::6 И все выделенные
маршрутизаторы OSPF
соответственно
Маршрутизаторы FF02::02 Все маршрутизаторы, 224.0.0.10
EIGRP for IPv6 использующие
протокол EIGRP для
протокола IPv6

244
В примере 24 – 8 повторяется вывод команды show ipv6 interface, чтобы показать многоадресатные
адреса, используемые маршрутизаторами R1 на его интерфейсе G0/0. В данном случае выделенные
строки представляют адреса всех узлов (FF02::1), всех маршрутизаторов (FF02::2) и EIGRP для IPv6
(FF02::A).

Пример 24 – 8 Проверка статических IPv6 адресов на маршрутизаторе R1

Многоадресатные адреса опрашиваемого узла

В дополнение к обычному одноадресатному адресу у каждого интерфейса есть многоадресатный
адрес опрашиваемого узла, но его цель трудно объяснить в двух словах. Начнем со списка,
содержащего концепции, фактически определяющие многоадресатный адрес опрашиваемого узла
для определенного хоста.

 Многоадресатный. Это многоадресатный адрес, а не одноадресатный.

 Локальный канала связи. Его область видимости локальна для канала связи, а значит,
маршрутизаторы не перенаправляют сообщения, посланные на этот адрес.

 Вычисляемый. Адрес вычисляется на основании одноадресатного IPv6 адреса хост, а именно:

только на шести последних шестнадцатеричных цифрах одноадресатного хоста.

 Рабочий. Каждый интерфейс хоста должен прослушивать пакеты, посланные на его

многоадресатный адрес опрашиваемого узла.

 Перекрытие. Из-за вычислений у некоторых хостов может оказаться тот же многоадресатных

адрес узла.

Все хосты IPv6 должны прослушивать сообщения, посланные на их многоадресатный адрес (адреса)
опрашиваемого узла. Таким образом, для каждого интерфейса и каждого одноадресатного адреса на
каждом интерфейсе устройство должно установить его многоадресатный адрес (адреса)
опрашиваемого узла и прослушивать пакеты, посланные на эти адреса.

245
Рисунок 24 – 9 Формат многоадресатного адреса опрашиваемого узла

Другие IPv6 адреса

В этом коротком разделе рассматриваются некоторые из оставшихся IPv6 адресов и их концепции.

Все хосты IPv6 могут использовать два дополнительных специальных адреса.

Другие специальные IPv6 адреса

 Неизвестный (неопределенный) IPv6 адрес :: или все нули.

 Петлевой IPv6 адрес :: 1 или 127 двоичных нулей с одной единицей

Неизвестный адрес (::) может быть использован хостом, когда его собственный IPv6 адрес еще не
известен или когда хост подозревает о наличии проблем с его собственным IPv6 адресом. Например,
на ранних рабочих этапах динамического обнаружения IPv6 адреса хост использует неизвестный адрес.
Когда хост еще не знает, какой IPv6 адрес использовать, он может использовать :: как свой
первоначальный адрес.

Локальный диагностический IPv6 адрес предоставляет каждому хостуIPv6 способ проверки его
собственного стека протоколов. Точно так же как и локальный диагностический адрес IPv4 127.0.0.1,
пакеты, посланные на адрес ::1, не покидают хост, а доставляются вниз и вверх по стеку IPv6
приложения на локальном хосте.

Обзор настройки IPv6 адресации

Обзор различных команд и автоматически созданных IPv6 адресов приведен в таблице 24 – 2.

Таблица 24 – 2 Типы IPv6 адресов и команд, которые их создают

Тип Префикс Создается подкомандой интерфейса

Глобальный Многие префиксы Ipv6 address/длинна_префикса
одноадресатный Ipv6 address prefix/длинна_префикса eui-64
Другой тип FDD00::/8 Ipv6 address prefix/длинна_префикса eui-64

Локальный для канала FE80::/10 Ipv6 address адрес link-local автоматически

связи создается всеми командами ipv6 address
Автоматически создается командой ipv6 enable

246
Многоадресатный для FF02::1 Автоматически создается всеми командами
всех хостов ipv6 address
Многоадресатный для FF02::2 Автоматически создается всеми командами
всех маршрутизаторов ipv6 address
Групповой передачи Разные Добавляется к интерфейсу, когда на
протокола интерфейсе разрешается соответствующий
маршрутизации протокол маршрутизации
Многоадресатный FF02::1:FF /104 Автоматически создается всеми командами
опрашиваемого узла ipv6 address
Альтернативный Любой одноадресатный Ipv6 address адрес/длинна_префикса anycast
адрес

247
ГЛАВА 25. РЕАЛИЗАЦИЯ МАРШРУТИЗАЦИИ ПО ПРОТОКОЛУ IPv6
В этой главерассматриваются самые простые и наиболее понятные способы создания
маршрутизаторами маршрутов IPv6: подключенные, локальные и статические маршруты.

В первом разделе речь пойдет о том, как протокол IPv6, подобно протоколу IPv4, добавляет
подключенные и локальные маршруты на основании IPv6 адреса каждого интерфейса. Во втором,
рассматривается настройка статических маршрутов IPv6 при помощи ввода команд, в данном случае
команды ipv6 route вместо команды ip route протокола IPv4.

Подключенные и локальные маршруты IPv6

Маршрутизаторы добавляют маршруты IPv6 на основании следующего.

Методы создания маршрутизатрами маршрутов IPv6

 Настройка IPv6 адресов на рабочих интерфейсах (подключенные и локальные маршруты)

 Прямая настройка статического маршрута (статические маршруты)

 Настройка протокола маршрутизации, такого как OSPFv3, на маршрутизаторах, совместно

использующих тот же канал свящи (динамические маршруты).

Правила подключенных и локальных маршрутов

Маршрутизаторы дабавляют и удаляют подключенные и локальные маршруты на основании
конфигурации и состояния интерфейса. Если интерфейс работает (т.е. команда show ip interfaces
отображает для интерфейса “состояние линни up и состояние протокола up”), маршрутизатор
добавялет подключенный и локальный маршруты.

В качестве примера рассмотрим маршрутизатор с рабочим интерфейсом, настроенным

командой ipv6 address 2000:1:1:1::1/64 поместит в таблицу маршрутизации с длинной префикса (для
этого адреса) / 128. Все правила создания маршрутизатороми маршрутов и изучения приведены ниже.

Правила для подключенных и локальных маршрутов IPv6

1. Маршрутизаторы создают маршруты IPv6 на основании всех одноадресатных IPv6 адресов

интерфейсов, как указано командой ipv6 address, следующим образом:

A. Маршрутизатор создает маршрут для подсети (подключенный маршрут);

B. Маршрутизатор сосздает маршрут хоста (с длинной префикса /128 ) для IPv6 адреса
маршрутизтора (локальный маршрут).

2. Маршрутизаторы не создают маршруты на основании адресов, локальных в пределах канала

связи, связанных с интерфейсом.
248
 3. Маршрутизаторы удаляют подключеннеы и локальные маршруты для отказавших интерфейсов
и повторно добавляют их, когда интерфейс снова переходит в рабочее состояние (up/up).

Пример подключенных маршрутов IPv6

Для примеров некоторых маршрутов на риcунке 25 – 1 представлена типичная обьединенная
сеть, используемая в данной главе.

Рисунок 25 – 1 Пример сети, используемый для демонстрации подключенных и локальных

маршрутов

На рисунке 25 – 1 представлены префиксы IPv6 (подсети) с сокращенной записью IPv6 адресов

интерфейса. Например, адрес интерфейса G0/0 маршрутизатора R1 начинается со значения
2001:DB8:1111:1 идентификатора подсети, добавленной части ::1, что бы получилось
2001:DB8:1111:1::1.

Рассмотрим конфигурацию маршрутизатора R1 на рисунке 25 – 1, приведенную в примере 32.1.

Выдержка из команды show running-config на маршрутизаторе R1, демонстрирующая три интерфейса,
каждый из которых работает.

Пример 25 – 1 Настройка адресации IPv6 на маршрутизаторе R1

249
На основании рисунка 25 – 1 и примера 25 – 1 маршутизатор R1 должен иметь три подключенных
маршрута IPv6, как подчеркивается в примере 25 – 2.

Пример 25 – 2 Маршруты на маршрутизатре R1 перед добавлением статического маршрута или

маршрута протокола маршрутизации

Остановимся на первой паре выделеных строк, представляющей полученный маршрут для подсети
2001:DB8:1111:1::/64. Первая выделеная пара строк состояния свидетельствует, что маршрут “directly
connected” (подключен непосредственно); идентификатор интерфейса – GigabitEthernet0/0; а
префикс/длинна – 2001:DB8:1111:1::/64. Слева расположен кодовый знак “C”, указывающий, что это
подключенный маршрут. Числа в скобках отражают ту же информацию, что и команда IPv4 show ip
route: первое число – это административное расстояние, второе – метрика.

Примеры локальных маршрутов IPv6

Продолжая тот же пример, заметим, что на маршруизаторе R1 должны существовать три локальных
маршрута для тех же трех интерфейсов, что и подключенные маршруты. В примере 25 – 3 приведены
только локальные маршруты, как указано командой show ipv6 route local, с одним выдленным
локальным маршрутом для обсуждения.

250
Пример 25 – 3 Локальные маршруты IPv6 на маршрутизаторе R1

Вернемся к конфигураци маршрутизатора R1 в примере 25 – 1 и обратим внимание на IPv6 адрес

интерфейса G0/0 маршрутизатора R1. Этот локальный маршрут демонстрирует точно такой же адрес.
Обратите внимание на длинну префикса, /128, означающую, что этот маршрут соотвествует пакету,
посланному только на этот адрес (2001:DB8:1111:1::1)

Статические маршруты IPv6

В то время как маршрутизаторы автоматически добавляют подключенные и локальные маршруты на
основании конфигурации интерфейса, статические маршруты требуют непосредтсвенной настройки
при помощи команды ipv6 route. Команда ipv6 route следует той же общей логике, что и команды IPv4
ip route. Для команды ip route протокола IPv4 указывают идентификатор подсети и маску, а для
команды ipv6 route протокола IPv6 указывают сначала префикс и его длину. Затем соотвествующие
команды задают направления, указав исходящий интрефейс или адресс следующего транзитного
маршрутизатора.

На рисунке 25 – 2 представлены концепции (понятия) одиночной команды ipv6 route, а также

концепция статического маршрута на маршрутизаторе R1 для подсети справа (подсеть 2, или
2001:DB8:1111:2::/64). Статический маршрут на маршрутизаторе R1 для этой подсети начинается с
команды IPv6 route 2001:DB8:1111:2::/64, сопровождаемой или исходящим интерфейсом (S0/0/0)? Bkb
IPv6 адресом следующей транзитной точки перехода, или обоими.

Рисунок 25 – 2 Логика команд статического маршрута IPv6 (маршрут IPv6)

251
Статические маршурты с использованием исходящего интерфейса
Первый пример статического маршрута IPv6 использует параметр исходящего интерфейса. В данном
случае, как показано на рисунке 25 – 2, команда IPv6 route на маршрутизаторе R1 использовала бы
интерфейс S0/0/0, как показано вверху примера 25 – 4. Пример 25 – 4 демонстрирует правильный
синтаксис маршрута.

Пример 25 – 4 Статические маршруты IPv6 на маршрутизаторе R1

Существует много возможностей для проверки существования статического маршурта и того, могут ли
хосты использовать маршрут. Проверить подключение могут команды ping и traceroute. Команда
bshow ipv6 route 2001:DB8:1111:2::22 просит, чтобы маршрутизатор указал маршрут, который
маршрутизатор использовал бы при перенаправлении пакетов на данный конкретный адрес, как
показано в примере 25 – 5.

Пример 25 – 5 Отображение маршрута, используемого маршрутизатором R1 для перенаправления

пакетов хосту B

Статические маршруты с использованием IPv6 адреса следующей транзитной

точки перехода
У статических маршрутов IPv6, ссылающихся на адрес следующей транзитной точки перехода, есть две
возможности: одноадресатный адрес соседнего маршрутизатора (глобальный одноадресатный или
уникальный локальный) и адрес, локальный в пределах канала связи, для того де соседнего
маршрутизатора. На рисунке 25 – 3, модифицированной версии рисунка 25 – 2, обстоятельно
поясняются эти две возможности.

252
Рисунок 25 – 3 Использование для статических маршрутов одноадресатного адреса или адреса,
локального для канала связи, как следующей транзитной точки перехода.

Пример статического маршрута с глобальным одноадресатным адресом

следующей транзитной точки перехода
В данном примере используется обьединенная сеть, показанная на рисунке 25 – 3. В примере 25 – 6
маршрутизаторы R1 и R2 добавляют статические маршруты, ссылающихся на глобальный
одноадресатный адрес соседа. Обратите внимание, что в примере показаны маршруты в ооих
направлениях, что бы эти два хоста могли посылать пакеты друг другу.

Пример 25 – 6 Статические маршруты IPv6, использующие глобальные одноадресатные адреса

В команде указана подсеть 2 (2001:DB8:1111:2::/64), а затем глобальный одноадресатный адрес

маршрутизатора R2 (заканчивающийся на 4::2). Команды проверки маршрутизатора R1 показаны в
примере 25 – 7: первая выводит только статический маршрут R1 (заданный в примере 25 - 6). команда
show ipv6 route 2001:DB8:1111:2::2 в конце примера отображает маршрут R1, используемый при
перенаправлении пакетов к хосту B, и свидетельствует, что маршрутизатор R1 использует этот новый
статический маршрут при перенаправлении пакетов в данному хосту.

253
Пример 25 – 7 Проверка статических маршрутов к следующей транзитной точке перехода по
глобальному одноадреатному адресу

Пример стратического маршрута с локальным для канала связи адресом

следующей транзитной точки перехода
Статические маршруты, ссылающиеся на локальный в пределах канала связи адрес соседа, тчасти
похожи на два предыдущих типа статических маршрутов. Команда ipv6 route использует адрес
следующей транзитной точки перехода, т.е. адрес, локальный в пределах канала связи. Однако
команда должна также относиться и к локальному исходящему интерфейсу маршрутизатора. Но
почему оба адреса? Команда ipv6 route не может просто обратиться к локальному для канала связи
адресу следующей транзитной точки перехода отдельно, поскольку адрес, локальный в пределах
канала связи отдельно сам по себе , не укажет локальному маршрутизатору, какой исходящий
интерфейс использовать. Пример 25 – 8 демонстриурет конфигурацию статических маршрутов на
маршрутизаторах R1 и R2, упомянутых для этих двух маршрутов.

Пример 25 – 8 Статические маршруты IPv6 для канала связи адреса соседей

Пример 25 – 9 демонстрирует проверку конфигурации в примере 25 – 8, повторая команды show ipv6

route static и show ipv6 route 2001:DB8:1111:2::22, используемые в примере 25 – 7. Обратите внимание,
что вывод обеих команд немного отличается в деталях перенаправления. Команды show указывают
также и следующую транзитную точку перехода (адрес, локальный для канала связи) и исходящий
интерфейс. Если вернутьсяк примеру 25 – 7, то можно увидеть только адрес следующей транзитной
точки перехода.

254
Пример 25 – 9 Проверка статических маршрутов к следующей транзитной точки перехода по адресу,
локальному в пределах канала связи

Статиеские стандартные маршруты

Протокол IPv6 поддерживает концепцию стандартного маршрута, подобную таковой у протокола IPv4.
Стандартный маршрут указыает маршрутизатору, что делать с пакетом IPv6, когда он не соответсвует
никакому другому маршруту IPv6. Логика довольно проста:

 Без стандартного маршурта маршрутизатор отбросил бы пакет IPv6;

 Со стандартным маршрутом маршрутизатор переанпарвляет пакет IPv6 по стандартному

маршурту.

Рисунок 25 – 4 Использование статических станадртных маршуртов в ветвях для перенаправления

пакетов назад к ядру

Чтобы задать стандартный маршут статически, используйте теже правила, которые уже обсуждались в
данном раздел, но используйте специфическое значение, чтобы обратить внимание на то, что маршрут
стандартный - ::/0. Выражаясь буквально, двойное двоеточие (::) – это сокращение IPv6 для всех нулей,

255
а /0 – длина префикса0. Эта идея отражает соглашение IPv4 о стандартном маршруте 0.0.0.0/0. В
противном случае введите команду ipv6 route ка кобычно.

В примере 25 – 10 приведен один такой статический стандартный маршрут на маршрутизаторе B1

согласно рисунку 25 – 4. В этом примере используется параметр исходящего интерфейса.

Пример 25 – 10 Статичский стандартный маршрут для маршрутзатора B1

При протоколе IPv6 маршрутизатор отображает стандартный маршрут боле четко, чем при протоколе
IPv4. Команда show ipv6 route включает маршрут в вывод команды наряду с другими маршрутами. В
пример 25 – 11 показан стандартный маршурт, отмеченный как “::/0”.

Пример 25 – 11 Статический стандартный маршрут маршрутизатора B1 (использующий глобальной

одноадресатный адрес следующей транзитной точки перехода)

Статические маршруты хоста IPv6

Протоколы IPv4 и IPv6 позволяют определять статические маршруты хостов, т.е. маршурт к
единственнуому IPv6 адресу хоста. В протоколе IPv4 для этих маршрутов используют в команде ip route
маску /32, которая идентифицирует единичиный IPv4 адрес; в протоколе IPv6 используют маску /128 в
команде ipv6 route.

В примере 25 – 12 приведены два типичных маршрута хоста, которые определяют маршрут к IPv6
адресу хоста B на маршрутизаторе R1 (рисунок 25 – 3). Один использует локальный в пределах канала
связи адрес маршрутизатора R2 как адрес следующей транзитной точки перехода, а второй использует
как адрес следующей транзитной точки перехода глобальный одноадресатный адрес маршрутизатора
R2.

256
Пример 25 – 12 Статический маршрут IPv6 к хосту B на маршрутизаторе R1

Плавающие статические маршруты IPv6

Теперь рассмотрим случай, когда статический маршрут конкурирует с другими статическими
маршрутами или маршрутами, изучеными по протоколу маршрутизации. Рассмотрим, например,
тополгию на рисунке 25 – 5, где преставлен филиал с двумя каналами связи WAN: один очень быстрый
гигабитовый канал Ethernet, а второй более медленный (но дешевый) T1. В данном проекте сети
протокол OSPFv3 изучил по первичному каналу связи маршурт IPv6 к подсети 2001:DB8:1111:7::/64. На
маршрутизаторе R1 определен также статический маршрут по резервному каналу связи к той же
подсети, поэтому маршрутизатор R1 должен выбрать, использовать статический аршрут или маршурт,
изученный по протоколу OSPF.

Стандартно благодаря административному растоянию, операционная система IOS считает статические

маршруты предпочтительнее маршрутов, изученных по протоколу OSPF. Статическому маршруту IPv6
будет присвоено административное растояние 1, а маршруту, изученому по протоколу OSPFv3 – 110.
Маршуртизатор R1 использовал бы кратчайший путь.

Рисунок 25 – 5 Использование плавающего статического маршрута к посдети 2001:DB8:1111:7::/64

Чтобы предпочтительным стал маршрут OSPF, в конфигурации следует изменить параметры

административного расстояния и использовать плавающий статический маршрут.

Чтобы реализовать плавающий статический маршрут IPv6, достаточно переопределить стандартное

административное расстояние статического маршрута, сделав его значение большим, чем станадртное
административное расстояние протокола марщрутизации. Например команда ipv6 route

257
3444:4:4:4::/64 3444:2:2:2::2 130 на маршрутизаторе R1 сделала бы именно это, установив для
статического маршрута административное расстоние 130. Обратите вниание на то, что команды show
ipv6 route и show ipv6 route 3444:4:4:4::/64 выводят административное расстояние, как показано в
примере 25 – 13.

Пример 25 – 13 Отображение административного расстояния статического маршрута

В таблице 25 – 1 приведены некоторые стандартные значения административного расстояния,

используемые протоколом IPv6.

Таблица 25 – 1 Стандартные значения IOS для администартивного расстояния

Источник маршрута Административное расстоние

Подключенные маршруты 0
Статические маршруты 1
NDP 2
EIGRP 90
OSPF 110
RIP 120
Неизвестный или невероятный 255

Стандартные маршруты с SLAAC на интерфейсах маршрутизатора

В данном разделе пойдет о том, как использующий SLAAC корпоративный маршрутизатор может
изучить свой адрес и информацию, необходимую для создания стандартного маршрута.

В первую очередь, соединенный с ISP корпоративный маршрутизатор, как маршрутизатор R1 на

рисунке 25 – 6, требует наличия в конфигурации подкоманды интерфейса ipv6 address autoconfig
default. Эта команда указывает маршрутизатор, что на данном интерфейсе для создания собственного
IPv6 адреса используется SLAAC. Маршрутизатор R1 действовал бы как любой использующий SLAAC
хост (этап 2 на рисунке) – он посылает по каналу связи сообщение NDP RS. Как уже упоминалось, на
этапе 3 маршрутизатор ISP отослал быназад сообщение RA, анонсируя IPv6 адрес маршрутизатора ISP1
и префикс IPv6, используемый на канале связи. Получив собщение NDP RA, маршрутизатор R1 делает
следующее.
258
  Адрес интерфейса. Создает собственный IPV6 адрес интерфейса, используя процесс SLAAC на
основании префикса из сообщения RA.

 Локальный маршрут /128. Добавляет локальный (/128) маршрут IPv6 для адреса, как и для
любого IPv6 адреса интерфейса.

 Подключенный маршрут для префикса. Добавляет подключенный (/64) маршурт для

префикса, полученного в сообщении NDP RA.

 Стандартный маршрут. Маршрутизатор R1 добавляет стандартный маршрут к получателю ::/0

с адресом следующей транзитной точки перехода, соответствующей локальному адресу канала
связи, ведущему к ISP1, согласно сообщению NDP RA, полученному от маршрутизатора ISP1.

Рисунок 25 – 6 Корпоративный маршрутизатор использует SLAAC для создания IPv6 адреса и

стандартрного маршрута IPv6

В примере 25 – 14 приведены три только что упомянутых маршрута IPv6 на маршрутизаторе R1. В
частности, обратите внимание на коды подключенных и стандартных маршрутов: оба они начинаются
с ND, означая, что маршрут был получен в сообщении NDP.

Пример 25 – 14 Получение адреса и стандартного статического маршрута с использованием

протокола DHCP

259
ГЛАВА 26. WI-FI
Сравнение проводных и беспроводных сетей
В проводных сетях, два устройства которые должны общаться друг с другом должны быть соединены
проводом. Данные которые проходят по проводам ограничены физическими свойствами провода.
Проводные соединения были спроектированы с жесткими ограничениями и имеют мало переменных,
которые могли бы помешать успешной коммуникации. Поэтому, проводная сеть является по существу
ограниченной средой; данные должны передаваться какой бы не был путь кабеля, проходящий между
двумя устройствами.

Проводные сети также имеют некоторые недостатки. Когда устройство соединено по проводу, оно не
может перемещаться очень легко или очень далеко. Перед тем, как устройство сможет подключиться
к сети, оно должно иметь коннектор, который совместим с тем, что на другом конце провода. По мере
того как устройство становятся меньше и более мобильны, это просто не практично(нецелесообразно)
подключать их к проводу.

Топология беспроводных сетей

Беспроводная связь осуществляется по свободному пространству с использованием радиочастотных
сигналов. На рисунке 26 - 1 показано, передатчик может связываться с приемником, в любое время и
всегда, пока эти оба устройства настроены на одинаковый канал и используют одинаковую схему для
передачи данных между ними.

Рисунок 26 - 1 однонаправленная связь

Что бы полностью использовать беспроводную связь данные должны путешествовать в оба

направления, как показано на рисунке 26 - 2. Иногда устройство А хочет отправить данные устройству
В, в то время как устройство B хочет сделать это в другое время.

Рисунок 26 - 2 двунаправленная связь

В беспроводной связи, если несколько сигналов отправляются в одинаковое время, они могут мешать
друг другу. Вероятность помех увеличивается с ростом беспроводных устройств. Для примера рисунок
260
26 - 3 показывает 4 устройства которые настроены на одинаковый канал и что может случиться если
некоторые или все они передают одновременно.

Рисунок 26 - 3 помехи от одновременных передач

Все эти разговоры об очередях ожидания и избежание вмешательств может напомнить вам о
традиционной (хаб) сети. Беспроводные сети похожи. Несколько хостов могут делить один и тот же
канал, они так же делят “эфирное время” или доступ к этому каналу в любой момент времени.
Поэтому, чтобы сохранить все это в чистоте, только одно устройство должно передавать данные в
любой момент времени. Что бы претендовать на использование канала, устройства, основанные на
стандарте 802.11 обязаны определять является ли канал свободным и доступным перед передачей или
приемом данный.

IEEE 802.11 WLAN всегда полудуплексные, потому что передача между станциями использует
одинаковую частоту или канал. Только одна станция может передавать в любое время, иначе
произойдут коллизии. Для достижения дуплексного режима, передача одной станции должна
происходить на одной частоте, тогда как прием на другой частоте – очень похоже на работу Ethernet
связи. Хотя это и безусловно возможно, стандарт 802.11 не позволяет дуплексные действия.

На самом базовом уровне, любое устройство, которое имеет беспроводной адаптер может включиться
в любое время и пробовать установить связь. Как минимум, беспроводная сеть должна иметь способ
убедиться, что каждое устройство, использующее канал, может поддерживать общий набор
параметров. Помимо этого, должен быть способ контролировать какие устройства (и пользователи)
могут использовать беспроводную среду и методы, которые являются используется для защиты
беспроводных передач.

Базовый набор услуг (Basic Service Set)

Решение состоит в том, чтобы сделать каждую зону беспроводного обслуживания закрытой группой
мобильных устройств, которые формируются вокруг фиксированного устройства: прежде чем
устройство сможет участвовать, оно должно объявить о своих возможностях, а затем получить
разрешение на присоединение. Стандарт 802.11 называет это базовым набором услуг (BSS). В центре
каждой BBS беспроводная точка доступа (AP), как показано на рисунке 26 – 4. Точка доступа работает в
режиме инфраструктуры, а это значит, что она предлагает те услуги, которые необходимы для
формирования инфраструктуры беспроводной сети. Точка доступа также устанавливает свой базовый
набор услуг поверх беспроводного канала. Точка доступа и все клиенты этой BSS должны использовать
одинаковый канал для правильной связи.

261
Поскольку работа BSS зависит от AP, BBS ограничена областью, где используется сигнал точки доступа.
Это известно, как зона основных(базовых) услуг BSA. На рисунке 26 - 4 ячейка (BSA) показана в виде
простой заштрихованной круглой области.

Точка доступа служит единственной точкой контакта для каждого устройства, которое хочет
использовать BSS. Она объявляет о существовании BSS, чтобы устройства могли найти его и попытаться
присоединиться.

Рисунок 26 - 4 Основной(базовый) набор услуг 802.11

Кроме того, AP рекламирует беспроводную сеть с идентификатором набора услуг (SSID), которая
представляет собой текстовую строку, содержащую логическое имя. BBSID (базовый идентификатор
набора услуг) как машиночитаемый именной тег, который однозначно идентифицирует посла BSS (AP),
а SSID - как не уникальный, читаемый человеком именной тег, идентифицирующий беспроводную
службу. Беспроводное устройство должно отправить ассоциациативный запрос к AP и AP должен либо
удовлетворить, либо отклонить запрос. Однажды будучи связанным, устройство становится клиентом
или станцией 802.11 (STA) BSS. Пока беспроводной клиент остается связанным с BSS, большинство
сообщений к клиенту и от клиента должен проходить через AP, как показано на рис.26 - 5. Используя

262
BSSID в качестве источника или адрес назначения, фреймы данных могут быть ретранслированы на
точку доступа или с нее.

Даже если фреймы данных предназначены для прохождения через точку доступа, имейте в виду, что
другие устройства в той же общей области, которые слушают один и тот же канал, могут подслушивать
передачи. Если кадры не зашифрованы, то любой желающий может проверить их содержимое.

Рисунок 26 – 5 Транспортный поток BSS

Система распределения (Distribution System)

Обратите внимание, что BSS включает в себя один AP и не имеет явного соединения с обычной
сетью Ethernet. К счастью, точка доступа может подключаться к сети Ethernet, поскольку она имеет и
беспроводную связь, и проводные возможности. Стандарт 802.11 относится к подключаемому
проводному Ethernet как система распределения (distribution system - DS) для беспроводной BBS, как
показано на рис. 26 - 6.

Вы можете думать о AP как о трансляционном мосте, где кадры из двух разнородных сред
(беспроводные и проводные) преобразовываются и затем соединяются мостом на уровне 2. Проще
говоря, AP отвечает за сопоставление виртуальной локальной сети (VLAN) с SSID. На рис. 26 - 6 AP

263
сопоставляет VLAN 10 с беспроводной локальной сетью с помощью SSID " MyNetwork". Клиенты,
связанные с SSID “MyNetwork", будет казаться, что он подключен к VLAN 10.

Рисунок 26 – 6 Распределительная система, поддерживающая BSS

Эта концепция может быть расширена таким образом, чтобы несколько VLAN были сопоставлены с
несколькими SSID. Делать таким образом, точка доступа должна быть соединена с коммутатором
магистральным каналом, который несет VLAN. На рис. 26 - 7 VLAN 10, 20 и 30 соединены с AP через DS.
Точка доступа использует тег 802.1 Q для сопоставления номера VLAN с соответствующими SSIDs.
Например, VLAN 10 сопоставляется с SSID “MyNetwork,” виртуальные локальные сети VLAN 20
сопоставляется с идентификатором SSID “YourNetwork” и VLAN 30 к SSID “Guest”. Клиенты должны
использовать соответствующий SSID, который был сопоставленный с соответствующей VLAN при
настройке точки доступа. Затем AP отображается как несколько логических точек доступа -по одному
на BSS, с уникальным BSSID для каждого. Несмотря на то, что точка доступа может рекламировать и
264
поддерживать несколько логических беспроводных сетей, каждый из SSID охватывает одну и ту же
географическую область.

Рисунок 26 - 7 Поддержка множества SSID на одной AP

Расширенный набор услуг (Extended Service Set)

Обычно один AP не может охватить всю область, где могут находиться клиенты. Чтобы охватить
большую площадь, чем может охватить ячейка одного AP, вам просто нужно добавить больше AP и
распределить их географически.

Когда точки доступа размещаются в разных географических точках, все они могут быть соединены
между собой коммутируемой инфраструктурой. Стандарт 802.11 называет это расширенным набором
услуг (Extended Service Set - ESS), как показано на рис. 26 - 8.

Идея состоит в том, чтобы заставить несколько точек доступа сотрудничать так, чтобы беспроводная
служба была последовательной и бесшовной с точки зрения клиента.

Обратите внимание, что каждая ячейка на рисунке 26 - 8 имеет уникальный BSSID, но обе ячейки имеют
один общий SSID. Независимо от местоположения клиента в ESS, SSID останется тем же самым, но
клиент всегда может отличить один AP от другого.

В ESS беспроводной клиент может связываться с одной точкой доступа, пока он физически находится
рядом с этой AP. Переход от одной точки доступа к другой называется роумингом.

265
Рисунок 26 – 8 Масштабирование беспроводного покрытия с помощью расширенного набора услуг
802.11

Независимый Базовый Набор Услуг (Independent Basic Service Set)

Например, два человека, которые хотят обмениваться электронными документами на собрании, могут
не найти доступную BSS или могут захотеть избежать необходимости аутентификации в
производственной сети. Стандарт 802.11 позволяет двум или более беспроводным клиентам
напрямую общаться друг с другом, не используя никаких других средств сетевого подключения. Это
называется ad hoc или независимым базовым набором услуг (IBSS), как показано на рис. 26 - 9. Чтобы
это сработало, одно из устройств должно взять на себя инициативу и начать рекламировать сетевое
имя и необходимые параметры радиоканала, как это сделала бы AP. Любое другое устройство может
затем присоединиться по мере необходимости.

266
Рисунок 26 – 9 Независимый базовый набор услуг

Другие топологии беспроводной сети

Беспроводные точки доступа могут быть сконфигурированы для работы в не инфраструктурных
режимах, когда обычный BSS не может обеспечить необходимую функциональность. Следующие
разделы охватывают наиболее распространенные из них режимы.

Ретранслятор(Repeater)
Обычно каждая точка доступа в беспроводной сети имеет проводное подключение обратно к DS или
коммутируемой инфраструктуре. Чтобы расширить зону беспроводного покрытия за пределы зоны
покрытия обычной точки доступа, можно добавить дополнительные точки доступа к их проводным
соединениям, настроенные в режиме ретранслятора. Беспроводной ретранслятор принимает сигнал,
который он получает, и повторяет или ретранслирует его в новой области вокруг себя, как показано на
рисунке 26 – 10.

Рисунок 26 – 10 Расширенный диапазон точки доступа с беспроводным репитером

267
Мост Рабочей Группы (Workgroup bridge)
Предположим, у вас есть устройство, которое поддерживает проводную линию Ethernet, но не может
иметь беспроводное соединение. Например, некоторые мобильные медицинские устройства могут
быть сконструированы только с проводным подключением. Хотя при необходимости можно
подключить устройство к Ethernet-соединению, беспроводное соединение было бы гораздо
практичнее. Вы можете использовать мост рабочей группы (work group bridge - WGB) для подключения
проводного сетевого адаптера устройства к беспроводной сети.

На рисунке 26 – 11, точка доступа обеспечивает BBS; клиент А является постоянным беспроводным
клиентом, а клиент Б связан с точкой доступа через мост рабочей группы.

Рисунок 26 – 11 Беспроводной устройство, подключающееся через мост рабочей группы.

Вы можете столкнуться с двумя типами мостов рабочей группы

 Универсальный мост рабочей группы (uWGB): одно проводное устройство может быть
соединено с беспроводной сетью.
 Мост рабочей группы (WGB): проприетарная реализация Cisco, которая позволяет соединять
несколько проводных устройств с беспроводной сетью.

268
Открытый мост (Outdoor Bridge)
Точка доступа может быть сконфигурирована так, чтобы действовать как мост для формирования
единой беспроводной линии связи от одной локальной сети к другой на большом расстоянии.
Наружные мостовые соединения обычно используются для подключения между зданиями или между,
как показано на рисунке 26 – 12.

Рисунок 26 – 12 Внешний мост “точка - точка”

Иногда локальные сети на нескольких узлах должны быть соединены вместе. Мостовая связь типа
"Точка-многоточка" позволяет соединять Центральный офис с несколькими другими филиалами.
Центральный мост участка соединен с всенаправленной антенной, так что его сигнал передается
одинаково во всех направлениях. Мосты на каждом из других участков могут быть соединены при
помощи антенны, направленной на центральный участок. На рис. 26-13 показан сценарий "точка-
многоточка".

Рисунок 26 – 13 Внешний мост “точка-многоточка”

269
Меш(ячеистая) сеть (Mesh Network)
Чтобы обеспечить беспроводное покрытие на очень большой площади, не всегда практично запускать
кабели Ethernet к каждой точке доступа, которая будет необходима. Вместо этого вы можете
использовать несколько точек доступа, настроенных в меш (ячеистом) режиме. В ячеистой топологии
беспроводной трафик соединяется от точки доступа к точке доступа в виде ромашки, используя другой
беспроводной канал.

Меш AP могут использовать двойные радиостанции—одна использует канал в одном диапазоне

частот, а другая-в другом диапазоне. Каждая меш точка доступа обычно поддерживает BSS на одном
канале, с которым могут связываться беспроводные клиенты. Клиентский трафик обычно соединяется
мостом от точки доступа к точке доступа по другим каналам в качестве транзитной сети. На границе
меш сети транзитный трафик соединяется с инфраструктурой проводной локальной сети. На рис. 26-14
показана типичная меш сеть. Меш сеть использует свой собственный протокол динамической
маршрутизации для определения наилучшего пути меш трафика между AP.

Рисунок 26 – 14 Типичная беспроводная меш сеть

Обзор радиочастот
Для передачи данных по проводному каналу связи электрический сигнал подается с одного конца на
другой. Сам провод является непрерывным, поэтому сигнал может распространяться довольно легко.
Беспроводная линия связи не имеет никаких физических нитей чего-либо, чтобы передавать сигнал
вперед.

Как же тогда электрический сигнал может быть послан по воздуху или в свободном пространстве?
Рассмотрим простую аналогию двух людей, стоящих далеко друг от друга. Один человек хочет что-то
сообщить другому. Они соединены длинной и несколько свободной веревкой; веревка представляет
собой свободное пространство. Отправитель на одном конце решает поднять свой конец веревки
высоко и удерживать его там, чтобы другой конец веревки также поднялся и уведомил партнера. На

270
рисунке 26 – 15 показан конечный результат: веревка падает обратно после небольшого расстояния, и
приемник никогда не замечает изменения.

Рисунок 26 – 15 Неудачная попытка передать сообщение вниз по веревке

Отправитель пробует другую стратегию. Он не может толкать веревку, но, когда он начинает махать ею
вверх и вниз в устойчивом, регулярном движении, происходит любопытная вещь. По всей длине каната
появляется непрерывная волновая картина, как показано на рисунке 26 - 16. На самом деле, волны
(каждая из которых представляет собой один цикл вверх и вниз руки отправителя) на самом деле
перемещаются от отправителя к получателю.

Рисунок 26 – 16 Посылая непрерывную волну вниз по веревке

В свободном пространстве действует аналогичный принцип. Отправитель (передатчик) может

посылать переменный ток в участок провода (антенну), который создает движущиеся электрические и
магнитные поля, распространяющиеся как бегущие волны. Электрическое и магнитное поля движутся
вместе и всегда находятся под прямым углом друг к другу, как показано на рисунке 26 - 17. Сигнал
должен постоянно изменяться или чередоваться, циклически поднимаясь и опускаясь, чтобы
электрические и магнитные поля постоянно вращались и толкали наружу.

Рисунок 26 – 17 Перемещение электрических и магнитных волн

271
Электромагнитные волны не распространяются по прямой линии. Вместо этого они перемещаются,
расширяясь во всех направлениях от антенны. В свободном пространстве электромагнитные волны
распространяются наружу во всех трех измерениях. Когда электромагнитные волны достигают антенны
приемника, они вызывают электрический сигнал. Если все работает правильно, то полученный сигнал
будет разумной копией исходного переданного сигнала.

Электромагнитные волны, участвующие в беспроводной связи, могут быть измерены и описаны

несколькими способами. Одним из фундаментальных свойств является частота волны, или количество
раз, когда сигнал делает один полный цикл вверх и вниз за 1 секунду. На рисунке 26 – 19 показано, как
можно идентифицировать цикл волны. Независимо от того, где вы начинаете измерять цикл, сигнал
должен сделать полную последовательность назад к своему исходному положению где он готов
повторить такую же циклическую картину.

Рисунок 26 – 19 Цикл внутри волны

На рисунке 26 – 19 предположим, что прошла 1 секунда, как показано на рисунке. В течение этой 1
секунды сигнал проходил через четыре полных цикла. Поэтому его частота составляет 4 цикла в секунду
или 4 герца. Герц (Гц) является наиболее часто используемой единицей частоты и представляет собой
не что иное, как один цикл в секунду.

На рисунке 26 – 20 показано простое представление непрерывного частотного спектра в диапазоне от

0 Гц до 1022 (или 1 с последующим 22 нулями) Гц. На нижнем конце спектра находятся частоты,
которые слишком низки, чтобы быть услышанными человеческим ухом, за которыми следуют
слышимые звуки. Самый высокий диапазон частот содержит свет, за которым следуют рентгеновские,
гамма-и космические лучи.

272
Рисунок 26 – 20 Непрерывный частотный спектр

Частотный диапазон от примерно 3 кГц до 300 ГГц обычно называют радиочастотным (RF). Она
включает в себя множество различных видов радиосвязи, включая низкочастотное радио, AM-радио,
коротковолновое радио, телевидение, FM-радио, волны от микроволновой печи и радар. Категория
МИКРОВОЛН также содержит два основных диапазона частот, используемых для беспроводной
локальной связи: 2,4 и 5 ГГц.

Беспроводные диапазоны и каналы

Один из двух основных частотных диапазонов, используемых для беспроводной локальной связи,
лежит между 2.400 и 2.4835 ГГц. Этот диапазон обычно называют диапазоном 2,4 ГГц, хотя он не
охватывает весь диапазон между 2,4 и 2,5 ГГц. Гораздо удобнее ссылаться на название диапазона, а не
на конкретный диапазон включенных частот.

273
Другой диапазон беспроводной локальной сети обычно называют полосой 5 ГГц, потому что он лежит
между 5.150 и 5.825 ГГц. Диапазон 5 ГГц фактически содержит следующие четыре отдельных и
отчетливых диапазона: 5.150 до 5.250 ГГц ;5.250 до 5.350 ГГц; 5.470 до 5.725 ГГц; 5.725 до 5.825 ГГц

Полоса частот содержит непрерывный диапазон частот. Если двум устройствам требуется одна частота
для беспроводной связи между ними, какую частоту они могут использовать? Кроме того, сколько
уникальных частот может быть использовано в пределах диапазона? Чтобы все было упорядочено и
совместимо, полосы обычно делятся на несколько отдельных каналов. Каждый канал известен по
номеру канала и присваивается определенной частоте. До тех пор, пока каналы определяются
национальным или международным органом по стандартизации, они могут использоваться
последовательно во всех местах. На рисунках 26 – 21 и 26 – 22 показано расположение каналов для
диапазонов 2,4 и 5 ГГц соответственно.

Рисунок 26 – 21 Компоновка каналов в диапазоне 2.4 ГГц

Рисунок 26 – 22 Компоновка каналов в диапазоне 5 ГГц

Можно предположить, что AP может использовать любой номер канала, не затрагивая никаких AP,
которые используют другие номера каналов. В полосе 5 ГГц это происходит потому, что каждому
каналу выделяется частотный диапазон, который не вторгается и не перекрывает частоты, выделенные
для любого другого канала. Другими словами, полоса частот 5 ГГц состоит из неперекрывающихся
каналов.

То же самое не относится к полосе 2,4 ГГц. Каждый из его каналов слишком широк, чтобы избежать
перекрытия следующего нижнего или верхнего номера канала. На самом деле, каждый канал

274
охватывает частотный диапазон, который выделяется более чем четырем последовательным каналам!
Обратите внимание на ширину интервала между каналами на рисунке 26 - 21 по сравнению с шириной
одного из затененных сигналов, центрированных на каналах 1, 6 и 11. Единственный способ избежать
любого перекрытия между соседними каналами-настроить точки доступа на использование только
каналов 1, 6 и 11. Несмотря на то, что существует 14 каналов, доступных для использования, вы всегда
должны стремиться к неперекрывающимся каналам в вашей сети.

Точки доступа и беспроводные стандарты

Может быть очевидно, что беспроводные устройства и Точки доступа должны быть способны работать
в одном диапазоне. Например, беспроводной телефон с частотой 5 ГГц может взаимодействовать
только с точкой доступа, которая предлагает услугу Wi-Fi на каналах с частотой 5 ГГц. Кроме того,
устройства и точки доступа также должны иметь общую совместимость с теми частями стандарта
802.11, которые они поддерживают.

По мере развития стандарта Wi-Fi IEEE 802.11 предлагаются новые поправки с новыми
функциональными возможностями. Эти поправки известны как "802.11", за которым следует одно -
или двухбуквенный суффикс.

Вы должны знать о нескольких поправках, которые определяют важные характеристики, такие как
скорость передачи данных, методы, используемые для передачи и приема данных, и так далее. Для
экзамена CCNA 200-301 вы должны знать, какой диапазон использует каждая из поправок,
перечисленных в таблице 26 – 3.

Таблица 26 – 3 Основные характеристики некоторых поправок стандарта 802.11

Спецификация 2.4ГГц 5ГГц Максимальная скорость Примечание

802.11 – 1997 Да Нет 2 Мбит/с Исходный стандарт
разработанный в 1997
802.11b Да Нет 11 Мбит/с Представлен в 1999
802.11g Да Нет 54 Мбит/с Представлен в 2003
802.11a Нет Да 54 Мбит/с Представлен в 1999
802.11n Да Да 600 Мбит/с Представлен в 2009
802.11ac Нет Да 6.93 Гбит/с Представлен в 2013
802.11ax Да Да 4х 802.ac Wi-Fi 6

Устройства поддерживающее 802.11 b/g, будет поддерживать как 802.11 b, так и 802.11 g. устройство,
поддерживающее b/g/a/n/ac, будет поддерживать 802.11b, 802.11g, 802.11n и 802.11ac. Диапазон,
используемый для подключения к точке доступа, выбирается в соответствии с операционной системой,
драйвером беспроводного адаптера и другой внутренней конфигурацией. Беспроводной клиент может
инициировать ассоциацию с AP на одной полосе частот, а затем переключиться на другую руку, если
условия сигнала там лучше.

275
В открытом пространстве радиочастотные сигналы распространяются или достигают дальше в
диапазоне 2,4 ГГц, чем в диапазоне 5 ГГц. Они также имеют тенденцию проникать в внутренние стены
и объекты легче на частоте 2,4 ГГц, чем на частоте 5 ГГц. Однако диапазон 2,4 ГГц обычно более
переполнен беспроводными устройствами.

276
ГЛАВА 27. АНАЛИЗ БЕСПРОВОДНЫХ АРХИТЕКТУР CISCO
Архитектура автономной точки доступа
Основная функция точки доступа заключается в передаче беспроводных данных по воздуху в обычную
проводную сеть. Точка доступа может принимать " соединения” от нескольких беспроводных
клиентов, чтобы они стали членами локальной сети, как если бы те же клиенты использовали
проводное соединение.

Автономные точки доступа предлагают один или несколько полностью функциональных автономных
базовых сервисных наборов (BSS’s). Они также являются естественным продолжением коммутируемой
сети, соединяющей идентификаторы беспроводных наборов услуг (SSID) с проводными виртуальными
локальными сетями (VLAN) на уровне доступа. На рис. 27 - 1 показана базовая архитектура.

Рисунок 27 – 1 Архитектура беспроводной сети с автономными точками доступа

Что именно нужно автономной точке доступа, чтобы стать частью сети? Беспроводная сеть на рисунке
27 – 1 состоит из двух SSID: vlan100 и vlan200. Они соответствуют проводным vlan 100 и 200
соответственно. Как показано в затемненной зоне на рисунке, VLAN должны быть “транкированы” от
коммутатора уровня распределения (где обычно происходит маршрутизация) до уровня доступа, где
они расширяются далее по магистральному каналу к точке доступа. Автономная точка доступа
обеспечивает короткий и простой путь передачи данных между беспроводной и проводной сетями.
Два беспроводных пользователя, которые связаны с одним и тем же автономным AP, могут связаться
друг с другом через AP без необходимости проходить в проводную сеть.
277
Автономная точка доступа также должна быть настроена с IP-адресом управления (10.10.10.10 на
рисунке 27 – 1), чтобы вы могли удаленно управлять ею. В конце концов, вы захотите настроить SSIDs,
VLAN и многие радиочастотные параметры, такие как канал и мощность передачи, которые будут
использоваться. Адрес управления обычно не является частью какой-либо из VLAN данных, поэтому
выделенная VLAN управления (т. е. VLAN 10) должна быть добавлена к магистральным каналам связи
для достижения точки доступа. Каждая точка доступа должна быть настроена и поддерживаться
индивидуально, если только вы не используете платформу управления, такую как Cisco Prime
Infrastructure или Cisco DNA Center.

Поскольку SSID и их VLAN должны быть расширены на уровне 2, вы должны рассмотреть, как они
расширяются по всей коммутируемой сети. Затемненные зоны на рис. 27 - 2 показывают пример
экстента одной VLAN в плоскости данных. Работая сверху вниз, следуйте за VLAN 100, когда она
проходит через сеть. VLAN 100 маршрутизируется внутри уровня распределения и должна
передаваться по магистральным каналам к коммутаторам уровня доступа, а затем к каждой
автономной точке доступа. По сути, VLAN 100 должна распространяться из конца в конец по всей
инфраструктуре—то, что обычно считается плохой практикой

Рисунок 27 - 2 Протяженность VLAN данных в сети автономных точек доступа

Облачная архитектура точки доступа

Напомним, что автономная точка доступа требует довольно много настроек и управления. Чтобы
помочь управлять все более и более автономными точками доступа по мере роста беспроводной сети,
вы можете разместить платформу управления точками доступа, такую как Cisco Prime Infrastructure, в
центральном месте внутри предприятия.

278
Более простой подход-это облачная архитектура AP, в которой функция управления AP вытесняется из
предприятия в интернет-облако. Cisco Meraki основана на облаке и предлагает централизованное
управление беспроводными, коммутируемыми и охранными сетями, построенными на основе
продуктов Meraki. Точки доступа Cisco Meraki могут быть развернуты автоматически, как только вы
зарегистрируетесь в облаке Meraki. Каждый AP свяжется с облаком, когда он включится, и будет
самонастраиваться. С этого момента вы можете управлять AP через облачную панель мониторинга
Meraki. На рисунке 27 – 3 показана базовая облачная архитектура. Обратите внимание, что сеть
организована идентично сети автономной точки доступа. Наиболее заметное различие заключается в
том, что все точки доступа управляются, контролируются и контролируются централизованно из
облака.

Рисунок 27 – 3 Облачная Архитектура Беспроводной сети Cisco Meraki

Кроме того, обратите внимание, что сеть на рисунке 27 – 3 состоит из двух различных путей-один для
трафика данных, а другой для трафика управления, соответствующего следующим двум функциям:

 Плоскость управления: трафик, используемый для управления, настройки, управления и

мониторинга самой точки доступа
 Плоскость данных: трафик конечного пользователя, проходящий через приложение.

Это разделение станет важным в следующих разделах по мере обсуждения других типов архитектуры.

Сплит-мак архитектура
Поскольку автономные точки доступа являются ... ну, автономными, управлять работой их радиочастот
может быть довольно сложно. Как администратор сети, вы отвечаете за выбор и настройку канала,

279
используемого каждой точкой доступа, а также за обнаружение и устранение любых посторонних
точек доступа, которые могут вмешиваться.

Чтобы преодолеть ограничения распределенных автономных AP, многие функции, найденные в

автономных AP, должны быть смещены в сторону некоторого централизованного управления. На
рисунке 27 - 4 большая часть действий, выполняемых автономной точкой доступа слева, разбита на две
группы—функции управления сверху и процессы реального времени снизу.

Рисунок 27-4 Автономная Или Облегченная Точка Доступа

Процессы реального времени включают отправку и прием кадров 802.11, управляющих и поисковых
сообщений(фреймов). Шифрование данных стандарта 802.11 также осуществляется в режиме
реального времени, на основе каждого пакета. Точка доступа должна взаимодействовать с
беспроводными клиентами на некотором низком уровне, известном как уровень управления
доступом к мультимедиа (Media Access Control - MAC).

Когда функции автономной точки доступа разделены, точка доступа называется облегченной. Точка
доступа выполняет только работу 802.11 в реальном времени. Облегченная дочка доступа получает
свое название потому, что кодовый образ и локальный интеллект урезаны или облегчены по
сравнению с традиционной автономной точкой доступа.

Функции управления обычно выполняются на контроллере беспроводной локальной сети (WLC),

который управляет многими облегченными точками доступа. Это показано в нижней правой части
рисунка 27 - 4. Обратите внимание, что у точки доступа остаются с обязанностями в слоях 1 и 2, где
кадры перемещаются в радиочастотный домен и из него. Точка доступа становится полностью

280
зависимой от WLC для всех других функций WLAN, таких как аутентификация пользователей,
управление политиками безопасности и даже выбор радиочастотных каналов и выходной мощности.

Облегченное разделение труда AP-WLC известна, как архитектура split-MAC; каждая из точек доступа
должна загрузиться и привязать себя к WLC для поддержки беспроводных клиентов. WLC становится
центральным узлом, который поддерживает несколько точек доступа, разбросанных по сети.

Как легкая точка доступа связывается с WLC, чтобы сформировать полную рабочую точку доступа? Эти
два устройства должны использовать протокол туннелирования между ними для передачи связанных
с 802.11 сообщений, а также клиентских данных.

Управление и инициализация протокола туннелирования беспроводных точек доступа (CAPWAP)

делает все это возможным путем инкапсуляции данных между LAP и WLC. Затем туннелированные
данные можно маршрутизировать по сети кампуса. Как показано на рисунке 27 - 5, связь CAPWAP
фактически состоит из двух отдельных туннелей, а именно:

 Управляющие сообщения CAPWAP: осуществляет обмен пакетами, которые используются для

настройки точки доступа и управления ее работой. Управляющие пакеты аутентифицируются и
шифруются, поэтому точка доступа надежно контролируется только соответствующим WLC, а
затем транспортируется по управляющему туннелю.
 Данные CAPWAP: используются для пакетов, передаваемых на беспроводные клиенты и от них,
связанные с точкой доступа. Пакеты данных передаются по туннелю данных, но по умолчанию
не шифруются. Когда шифрование данных включено для точки доступа, пакеты защищены с
помощью Datagram Transport Layer Security (DTLS).

Рисунок 27 – 5 Связывание облегченной AP и WLC с CAPWAP

281
Каждая точка доступа и контроллер, нуждается также во взаимной аутентификации с использованием
цифровых сертификатов. Сертификат X. 509 предварительно устанавливается на каждое устройство при
его покупке. Используя сертификаты, каждое устройство проходит надлежащую аутентификацию,
прежде чем стать частью беспроводной сети. Этот процесс помогает гарантировать, что никто не
сможет добавить несанкционированную точку доступа в вашу сеть.

Туннелирование CAPWAP позволяет точке доступа и контроллеру быть разделенными географически

и логически. Это также разрушает зависимость от связности уровня 2 между ними. Например, на
рисунке 27 – 6 используются заштрихованные области для отображения VLAN 100. Обратите внимание,
как VLAN 100 существует в WLC и в воздухе как SSID 100, рядом с беспроводными клиентами—но не
между точкой доступа и контроллером. Вместо этого трафик к и от клиентов, связанных с SSID 100,
транспортируется через сетевую инфраструктуру, инкапсулированную внутри туннеля данных CAPWAP.
Туннель существует между IP-адресом WLC и IP-адресом точки доступа, что позволяет всем
туннелированным пакетам маршрутизироваться на уровне 3.

Кроме того, обратите внимание, что точка доступа известна только по одному IP-адресу: 10.10.10.10.
Поскольку AP находится на уровне доступа, где заканчиваются его туннели CAPWAP, она может
использовать один IP-адрес как для управления, так и для туннелирования. Магистральная связь не
требуется, поскольку все VLAN, которые она поддерживает, инкапсулируются и туннелируются как IP-
пакеты уровня 3, а не отдельные VLAN уровня 2.

По мере роста беспроводной сети WLC просто строит больше туннелей CAPWAP, чтобы достичь
большего количества точек доступа. На рисунке 27 – 7 показана сеть с четырьмя точками доступа.
Каждая точка доступа имеет контроль и туннель данных обратно к централизованному WLC. SSID 100
может существовать на каждом AP, а VLAN 100 может достигать каждую точку доступа через сеть
туннелей.

Рисунок 27 – 6 Протяженность VLAN 100 в беспроводной сети Cisco

282
Рисунок 27 – 7 Использование CAPWAP туннелирования для соединения точки доступа с одной из
центральных WLC

Как только туннели CAPWAP построены от WLC до одного или нескольких облегченных точек доступа,
контроллер может начать предлагать множество дополнительных функций:

 Динамическое назначение каналов: контроллер может автоматически выбирать и настраивать

радиочастотный канал, используемый каждой точкой доступа, на основе других активных точек
доступа в этой области.
 Оптимизация мощности передачи: контроллер может автоматически устанавливать мощность
передачи каждой точки доступа в зависимости от необходимой зоны покрытия.
 Самовосстанавливающееся беспроводное покрытие: если точка доступа “умирает”, зона
покрытия неисправной точки может быть “поглощено” путем автоматического увеличения
мощности передачи окружающих AP.
 Гибкий клиентский роуминг: клиенты могут перемещаться между точками доступа с очень
быстрым временем роуминга.
 Динамическая балансировка нагрузки клиента: если две или более точки доступа
расположены для покрытия одной и той же географической области, WLC может связать
клиентов с наименее используемым точками доступа. Это распределяет нагрузку хоста между
точками доступа.
 Мониторинг радио частот: контроллер управляет каждой точкой доступа так, чтобы он
сканировал каналы для мониторинга использования радиочастот. Прослушивая канал,
контроллер может удаленно собирать информацию о радиочастотных помехах, шуме, сигналах
от соседних точек доступа, а также сигналах от посторонних точек доступа.
 Управление безопасностью: контроллер может аутентифицировать клиентов из Центральной
службы и может потребовать, чтобы беспроводные клиенты получили IP-адрес от доверенного
DHCP-сервера, прежде чем позволить им связать и получить доступ к беспроводной сети.
 Беспроводная система защиты от вторжений: используя свое центральное расположение,
контроллер может отслеживать клиентские данные для обнаружения и предотвращения
вредоносной активности.

Сравнение способов развертывания контроллеров беспроводной локальной

сети
Предположим, вы хотите развернуть контроллер для поддержки нескольких облегченных точек
доступа в вашей сети. Где вы должны поместить WLC? Концепция split-MAC может быть применена к
нескольким различным сетевым архитектурам. Каждая архитектура размещает контроллер в разных
местах в сети. Один из подходов состоит в том, чтобы расположить контроллер в центральном месте
так, чтобы вы могли максимизировать количество точек доступа, присоединенных к нему. Это обычно
называют унифицированным или централизованным развертыванием контроллера. Трафик к и от
беспроводных пользователей будет перемещаться по туннелям CAPWAP, которые достигают центра
сети, вблизи ядра, как показано на рисунке 27 – 8. Централизованное расположение контроллера
также предоставляет удобное место для применения политик безопасности, которые влияют на всех
беспроводных пользователей.

283
Рисунок 27 – 8 Унифицированное расположение контроллера

На рисунке 27 – 8 показаны четыре точки доступа, соединенные с одним контроллером. Ваша сеть
может иметь больше точек доступа— много, много больше. Большая корпоративная сеть может иметь
тысячи точек доступа, подключенных к ее уровню доступа. Масштабируемость тогда становится
важным фактором в централизованном проектировании. Типовое унифицированное расположение
контроллеров может поддерживать до 6000 точек доступа. Если точек доступа больше, вам просто
нужно будет добавить больше контроллеров в сеть.

Контроллер также может быть расположен в центральной точке сети, внутри центра обработки данных
в частном облаке, как показано на рисунке 27 – 9. Это известно, как облачное развертывание
контроллеров, где контроллеры существует как виртуальная машина, а не физическое устройство.
Такой контроллер обычно может поддерживать до 3000 точек доступа. Если ваша беспроводная сеть
масштабируется сверх этого, то дополнительные контроллеры могут быть добавлены как
дополнительные виртуальные машины.

284
Рисунок 27 – 9 Расположение WLC в облачном развертывании

Для небольших кампусов или распределенных филиалов, где количество точек доступа относительно
невелико в каждом, контроллер может быть расположен совместно со стеком коммутаторов, как
показано на рисунке 27 – 10. Это известно, как встроенное развертывание контроллеров, поскольку
контроллер встроен в коммутационное оборудование. Типичные встроенные контроллеры Cisco могут
поддерживать до 200 точек доступа. Точки доступа не обязательно должны быть подключены к
коммутаторам, в которых размещают контроллеры; точки доступа, подключенные к другим
коммутаторам в других местах, также могут присоединиться к встроенному контроллеру. По мере
роста числа точек доступа дополнительные контроллеры могут быть добавлены путем встраивания их
в другие стеки коммутаторов.

285
Рисунок 27 – 10 Расположение WLC во встроенном развёртывании

Наконец, в небольших средах, таких как небольшие, средние или многосайтовые филиалы, вы,
возможно, вообще не захотите инвестировать в выделенные контроллеры беспроводного доступа. В
этом случае функция WLC может быть совместно расположена с точкой доступа, установленной в
филиале. Это известно, как экспресс развертывание контроллера беспроводного доступа, как
показано на рисунке 27 – 11. Точка доступа, которая размещает контроллера беспроводного доступа,
образует туннель CAPWAP с контроллером, наряду с любыми другими точками доступа в том же месте.
Такой метод может поддерживать до 100 точек доступа.

286
Рисунок 27 – 11 Расположение контроллера в экспресс развертывании

Смори таблицу 27 – 2 для сводки моделей развертывания контроллера WLC, их местоположения и

максимального числа точек доступа и клиентов, которые каждый из них поддерживает.

Таблица 27 – 2 Общие положения по развёртыванию контроллеров WLC

Модель Расположение Количество точек Количество Где обычно

развертывания контроллера WLC доступа клиентов используются
Центральное Центральное 6000 64000 Большая корп. сеть
Облачное ЦОД 3000 32000 Облако
Встроенное Стек коммутаторов 200 4000 Небольшой кампус
Экспресс Другое 100 2000 Филиал
Автономная Нет Нет Нет Нет

287
Режимы Cisco AP
Многие точки доступа Cisco могут работать как в автономном, так и в облегченном режиме, в
зависимости от того, какой образ кода загружен и запущен. С помощью контроллера WLC вы также
можете настроить облегченную точку доступа для работы в одном из следующих специальных
режимов:

 Локальная (Local): облегченный режим по умолчанию, которая предлагает один или несколько
функционирующих BSS на определенном канале. Во время работы точка будет сканировать
другие каналы, чтобы измерить уровень шума, измерить помехи, обнаружить мошеннические
устройства и сопоставить события системы обнаружения вторжений (IDS).
 Монитор (Monitor): точка доступа вообще не передает даные, но ее приемник может
действовать как выделенный датчик. Точка доступа проверяет наличие событий IDS,
обнаруживает несанкционированные точки доступа и определяет положение станций с
помощью служб определения местоположения.
 Гибкий режим (FlexConnect): точка доступа на удаленном узле может локально переключать
трафик между SSID и VLAN, если его туннель CAPWAP к контроллеру WLC не работает или если
он настроен для этого.
 Сниффер (Snifer): точка доступа выделяет свои радиостанции для приема трафика 802.11 из
других источников, так же как сниффер или устройство захвата пакетов. Захваченный трафик
затем пересылается на компьютер с программным обеспечением сетевого анализатора, таким
как Wildpackets OmniPeek или WireShark, где он может быть проанализирован.
 Детектор мошенников (Rogue Detection): AP посвящает себя обнаружению мошеннических
устройств путем корреляции MAC-адресов, слышимых в проводной сети, с теми, которые
слышны в эфире. Мошеннические устройства-это те, которые появляются в обеих сетях.
 Мост (Bridge): точка доступа становится выделенным мостом (точка-точка или точка-
многоточка) между двумя сетями. Две точки доступа в режиме моста могут использоваться для
связи двух местоположений, разделенных расстоянием. Несколько точек доступа в режиме
моста могут образовывать внутреннюю или наружную сеть.
 Гибкий + мост (Flex+Bridge): операция FlexConnect включена на яйчеистой точке доступа.
 SE-Connect: точка доступа выделяет свои радиостанции для анализа спектра на всех
беспроводных каналах. Вы можете удаленно подключить компьютер с программным
обеспечением, таким как MetaGeek Chanalyzer или Cisco Spectrum Expert, к точке доступа для
сбора и спектрального анализа данных для обнаружения источников помех.

288
ГЛАВА 28. БЕЗОПАСНОСТБ БЕСПРОВОДНОЙ СЕТИ
Анатомия защищенного соединения
В предыдущих главах этой книги вы узнали о беспроводных клиентах, формирующих связь с точками
беспроводного доступа и передающих данные туда и обратно по воздуху.

Пока все клиенты и Точки доступа соответствуют стандарту 802.11, все они могут сосуществовать даже
на одном канале.

Рассмотрим сценарий, представленный на рисунке 28 – 1. Беспроводной клиент открывает сеанс с

некоторой удаленным объектом и делится конфиденциальным паролем. Поскольку два не
доверенных пользователя также находятся в пределах диапазона сигнала клиента, они также могут
узнать пароль, захватив пакеты, которые были отправлены по каналу. Если данные передаются через
открытое пространство, как их можно защитить, чтобы они оставались конфиденциальными и
неповрежденными? Стандарт 802.11 предлагает структуру беспроводных механизмов безопасности,
которые могут быть использованы для обеспечения доверия, конфиденциальности и целостности
беспроводной сети. В следующих разделах представлен обзор системы беспроводной безопасности.

Рисунок 28 – 1 Беспроводная передача достигает нежелательных адресатов

289
Чтобы контролировать доступ, беспроводные сети могут аутентифицировать клиентские устройства,
прежде чем им будет разрешено соединяться. Потенциальные клиенты должны идентифицировать
себя, представив точке доступа некоторую форму учетных данных. На рисунке 28 – 2 показан основной
процесс аутентификации клиента.

Рисунок 28 – 2 Аутентификация беспроводного клиента

Некоторые распространённые атаки сосредоточенны на злоумышленнике, выдаивающем себя за точу

доступа. Поддельная точка доступа может посылать пакеты и подключать клиентов точно так же, как
настоящая точка доступа, которую он олицетворяет. Как только клиент связывается с поддельной
точкой доступа, злоумышленник может легко перехватить все данные. Поддельная точка доступа
также может отправлять поддельные кадры управления для разъединения или деаутентификации
законных и активных клиентов, просто чтобы нарушить нормальную работу сети.

Чтобы предотвратить этот тип атаки "человек посередине", клиент должен аутентифицировать точку
доступа до того, как будет аутентифицирован сам клиент. На рисунке 28 – 3 показан простой сценарий.
Кроме того, любые кадры управления, полученные клиентом, должны быть аутентифицированы в
качестве доказательства того, что они были отправлены законной точкой доступа.

Рисунок 28 – 3 Аутентификация беспроводной точки доступа

290
Конфиденциальность сообщений
Предположим, что клиент на рисунке 28 – 3 должен пройти аутентификацию перед подключением к
беспроводной сети. Он также может аутентифицировать точку доступа и его фреймы управления после
того, как он связался с ней, но до того, как он сам аутентифицируется.

Чтобы защитить конфиденциальность данных в беспроводной сети, данные должны быть

зашифрованы для их перемещения через свободное пространство. Это достигается путем шифрования
полезной нагрузки данных в каждом беспроводном кадре непосредственно перед передачей, а затем
расшифровки его по мере приема. В беспроводных сетях каждая WLAN может поддерживать только
одну схему аутентификации и шифрования, поэтому все клиенты должны использовать один и тот же
метод шифрования при подключении к этой беспроводной сети. В идеале точка доступа и клиент-это
единственные два устройства, которые имеют общие ключи шифрования, чтобы они могли понимать
данные друг друга. На рисунке 28 – 4 показано, что конфиденциальная информация о пароле клиента
была зашифрована перед передачей. Точка доступа может успешно расшифровать его перед
пересылкой в проводную сеть, но другие беспроводные устройства не могут этого сделать.

Рисунок 28 – 4 Шифрование беспроводных данных для защиты конфиденциальности

Точка доступа также поддерживает “групповой ключ”, который он использует, когда ему нужно
отправить зашифрованные данные всем клиентам в своей зоне покрытия одновременно.

291
Целостность сообщения
Шифрование данных скрывает данные из поля зрения, когда они перемещаются по общедоступной
или ненадежной сети. Предполагаемый получатель должен быть в состоянии расшифровать
сообщение и восстановить исходное содержимое, но что, если кто-то сумел изменить содержимое по
пути? Получателю будет очень трудно обнаружить, что исходные данные были изменены.

Проверка целостности сообщений (Message Integrity Check - MIC) - это инструмент безопасности,
который может защитить от подделки данных. Вы можете думать о MIC как о способе для отправителя
добавить секретный штамп внутри зашифрованного фрейма данных. Штамп основан на содержании
передаваемых битов данных. После того, как получатель расшифрует кадр, он может сравнить
секретный штамп со своим собственным представлением о том, каким должен быть штамп,
основываясь на битах данных, которые были получены. Если две марки идентичны, получатель может
с уверенностью предположить, что данные не были подделаны. На рисунке 28 – 5 показан процесс
проверки целостности сообщений.

Рисунок 28 – 5 Проверка целостности сообщений по беспроводной сети

Методы аутентификации беспроводных клиентов

Вы можете использовать множество различных методов для аутентификации беспроводных клиентов,
когда они пытаются связаться с сетью. В этом разделе рассматриваются наиболее распространенные
методы аутентификации, с которыми вы можете столкнуться.

Открытая аутентификация
Оригинальный стандарт 802.11 предлагал только два варианта аутентификации клиента: открытая
аутентификация и WEP.

292
Открытая аутентификация верна своему названию; она предлагает открытый доступ к WLAN.
Единственное требование состоит в том, что клиент должен использовать запрос Аутентификации
802.11, прежде чем он попытается связаться с AP. Никаких других учетных данных не требуется.

Цель открытой аутентификации—проверить, что клиент является допустимым устройством 802.11,

аутентифицируя беспроводное оборудование и протокол. Аутентификация личности пользователя
обрабатывается как процесс безопасности с помощью других средств.

WEP
Как и следовало ожидать, открытая аутентификация не предлагает ничего, что могло бы скрыть или
зашифровать данные, передаваемые между клиентом и точкой доступа. В качестве альтернативы
стандарт 802.11 традиционно определяет конфиденциальность, эквивалентную проводному
соединению (WEP), как метод, позволяющий сделать беспроводное соединение более похожим на
проводное или эквивалентным ему.

WEP использует алгоритм шифрования RC4, чтобы сделать каждый беспроводной кадр данных
частным и скрытым от подслушивающих устройств. Алгоритм использует строку битов в качестве
ключа, обычно называемого WEP—ключом. Пока отправитель и получатель имеют одинаковые ключи,
один может расшифровать то, что шифрует другой.

Ключ WEP также может быть использован в качестве дополнительного метода аутентификации, а также
инструмента шифрования. Если клиент не может использовать правильный ключ WEP, он не может
связываться с точкой доступа. Точка доступа проверяет знание клиентом ключа WEP, посылая ему
случайную фразу вызова. Клиент шифрует фразу вызова с помощью WEP и возвращает результат точке
доступа. Точка доступа может сравнить шифрование клиента со своим собственным, чтобы увидеть,
дают ли два ключа WEP идентичные результаты.

Ключи WEP могут быть длиной 40 или 104 бита, представленные строкой из 10 или 26
шестнадцатеричных цифр. К 2004 году был ратифицирован стандарт 802.11i и WEP официально
устарел. Как шифрование WEP, так и аутентификация с общим ключом WEP широко считаются слабыми
методами защиты беспроводной локальной сети.

802.1x/EAP
Вместо того чтобы встроить дополнительные методы аутентификации в стандарт 802.11, была выбрана
более гибкая и масштабируемая структура аутентификации - расширяемый протокол аутентификации
(Extensible Authentication Protocol - EAP). Как следует из названия, EAP является расширяемым и не
состоит из какого-либо одного метода аутентификации. Вместо этого EAP определяет набор общих
функций, методы аутентификации которых могут использоваться для аутентификации пользователей.
EAP обладает еще одним интересным качеством: он может интегрироваться со стандартом управления
доступом на основе портов IEEE 802.1 X. Когда 802.1 x включен, он ограничивает доступ к сетевому

293
носителю до тех пор, пока клиент не аутентифицируется. При открытой и WEP аутентификации
беспроводные клиенты аутентифицируются локально на точке доступа без дальнейшего
вмешательства. Сценарий изменяется с 802.1 x; клиент использует открытую аутентификацию для связи
с точкой доступа, а затем фактический процесс аутентификации клиента происходит на выделенном
сервере аутентификации. На рисунке 28 – 6 показана трехсторонняя схема 802.1 x, состоящая из
следующих объектов:

 Проситель: клиентское устройство, запрашивающее доступ.

 Аутентификатор: сетевое устройство, обеспечивающее доступ к сети (обычно это контроллер
беспроводной локальной сети).
 Сервер аутентификации (AS): устройство, которое принимает учетные данные пользователя
или клиента и разрешает или запрещает доступ к сети на основе базы данных пользователей и
политик (обычно это RADIUS-сервер)

Рисунок 28 – 6 Роли аутентификации клиента 802.1 x

Контроллер беспроводной локальной сети становится посредником в процессе аутентификации

клиента, контролируя доступ пользователей с помощью 802.1 x и взаимодействуя с сервером
аутентификации с помощью платформы EAP.

LEAP
В качестве ранней попытки устранить недостатки WEP Cisco разработала собственный метод
беспроводной аутентификации под названием Lightweight EAP (LEAP). Для аутентификации клиент
должен предоставить учетные данные имени пользователя и пароля. И сервер аутентификации, и
клиент обмениваются сообщениями вызова, которые затем шифруются и возвращаются. Это
обеспечивает взаимную аутентификацию; пока сообщения могут быть успешно расшифрованы, клиент
и AS по существу аутентифицируют друг друга.

EAP-FAST
Cisco разработала более безопасный метод под названием EAP Flexible Authentication by Secure
Tunneling (EAP-FAST). Учетные данные аутентификации защищаются путем передачи учетных данных
294
защищенного доступа (PAC) между сервером аутентификации и заявителем. PAC - это форма общего
“секрета”, который генерируется AS и используется для взаимной аутентификации. EAP-FAST-это
последовательность из трех фаз:

 Фаза 0: PAC генерируется или подготавливается и устанавливается на клиенте.

 Фаза 1: после того как проситель и сервер аутентификации аутентифицировали друг друга, они
согласовывают туннель безопасности транспортного уровня (TLS).
 Фаза 2: затем конечный пользователь может пройти аутентификацию через туннель TLS для
получения дополнительной информации.
Как и другие методы на основе EAP, требуется сервер RADIUS. Однако сервер RADIUS должен также
работать как сервер EAP-FAST, чтобы иметь возможность генерировать PAC's, по одному на
пользователя.

PEAP
Как и EAP-FAST, защищенный метод EAP (PEAP) использует внутреннюю и внешнюю аутентификацию;
однако AS представляет цифровой сертификат для аутентификации себя с просителем во внешней
аутентификации. Если проситель удовлетворен идентификацией сервера аутентификации, они
построят туннель TLS, который будет использоваться для внутренней аутентификации клиента и
обмена ключами шифрования.

Цифровой сертификат сервер аутентификации состоит из данных в стандартном формате,

идентифицирующих владельца и “подписанных” или подтвержденных третьей стороной. Третья
сторона известна как центр сертификации (CA) и известна и доверена как сервером аутентификации,
так и заявителям. Проситель также должен обладать сертификатом CA только для того, чтобы он мог
проверить тот, который он получает от сервера аутентификации. Сертификат также используется для
передачи открытого ключа, который может быть использован для расшифровки сообщений из сервера
аутентификации.

Обратите внимание, что только сервер аутентификации имеет сертификат для PEAP. Это означает, что
проситель может легко подтвердить подлинность сервера аутентификации. Клиент не имеет или не
использует собственный сертификат, поэтому он должен быть аутентифицирован в туннеле TLS с
помощью одного из следующих двух методов:

 MSCHAPv2: Microsoft Challenge Authentication Protocol version 2

 GTC: карта жетон - аппаратное устройство, генерирующее одноразовые пароли для
пользователя или вручную сгенерированный пароль

EAP-TLS
PEAP использует цифровой сертификат на сервере аутентификации в качестве надежного метода
аутентификации RADIUS-сервера. Легко получить и установить сертификат на одном сервере, но
клиентам остается идентифицировать себя с помощью других средств. Безопасность транспортного
уровня EAP (EAP TLS) идет еще дальше, требуя сертификатов на сервере аутентификации и на каждом
клиентском устройстве.

295
С помощью EAP-TLS AS и проситель обмениваются сертификатами и могут аутентифицировать друг
друга. После этого строится туннель TLS, чтобы можно было безопасно обмениваться материалами
ключа шифрования.

EAP-TLS считается наиболее безопасным доступным методом беспроводной аутентификации, однако

его реализация иногда может быть сложной.

Беспроводная конфиденциальность и целостность данных

Какие еще существуют варианты шифрования данных и защиты их целостности при перемещении в
свободном пространстве?

TKIP
В то время, когда WEP был встроен в беспроводное клиентское и оборудование точек доступа, но был
известен как уязвимый, был разработан протокол целостности временного ключа (TKIP).

TKIP добавляет следующие функции безопасности с использованием устаревшего оборудования и

базового WEP шифрования:

 MIC: этот эффективный алгоритм добавляет хэш-значение к каждому кадру в качестве проверки
целостности сообщения, чтобы предотвратить подделку; обычно его называют “Майкл” в
качестве неофициальной ссылки на MIC.
 Метка времени: метка времени добавляется в MIC, чтобы предотвратить атаки
воспроизведения, которые пытаются заменить кадры, которые уже были отправлены.
 MAC-адрес отправителя: MIC также включает MAC-адрес отправителя в качестве
доказательства источника кадра.
 Счетчик последовательностей TKIP: эта функция обеспечивает запись кадров, отправленных по
уникальному MAC-адресу, чтобы предотвратить воспроизведение кадров в качестве атаки.
 Алгоритм смешивания ключей: этот алгоритм вычисляет уникальный 128-битный WEP-ключ
для каждого кадра.
 Более длинный вектор инициализации (IV): размер IV удваивается с 24 до 48 бит, что делает
практически невозможным исчерпание всех ключей WEP путем вычисления грубым
перебором.

CCMP
Протокол Counter/CBC-MAC (CCMP) считается более безопасным, чем TKIP. CCMP состоит из двух
алгоритмов:

 Шифрование в режиме счетчика AES

 Код аутентификации сообщения Cipher Block Chaining (CBC-MAC), используемый в качестве
проверки целостности сообщения (MIC)

Advanced Encryption Standard (AES) - это современный алгоритм шифрования. AES является открытым,
общедоступным и представляет собой наиболее безопасный метод шифрования, доступный сегодня.

296
Прежде чем CCMP можно будет использовать для защиты беспроводной сети, клиентские устройства
и точки доступа должны поддерживать режим счетчика AES и CBC-MAC в аппаратном обеспечении.

GCMP
Протокол Galois/Counter Mode Protocol (GCMP) - это надежный аутентифицированный набор
шифрования, который является более безопасным и более эффективным, чем CCMP. GCMP состоит из
двух алгоритмов:

 Шифрование в режиме счетчика AES

 Код аутентификации сообщения Галуа (GMAC), используемый в качестве проверки целостности
сообщения (MIC)

GCMP используется в WPA 3, который описан в следующем разделе.

WPA, WPA2 и WPA3

В этой главе рассматриваются различные методы аутентификации, а также алгоритмы шифрования и
целостности сообщений. На сегодняшний день существует три различных версии: WPA, WPA2 и WPA 3.

Альянс Wi-Fi представил свою сертификацию WPA первого поколения (известную просто как WPA, а не
WPA1). WPA был основан на частях стандарта 802.11 i и включал аутентификацию 802.1 x, TKIP и метод
динамического управления ключами шифрования.

Как только 802.11i был ратифицирован и опубликован, Альянс Wi-Fi включил его в полном объеме в
свою сертификацию WPA версии 2 (WPA2). В 2018 году Wi-Fi Alliance представил WPA версии 3 (WPA 3)
в качестве будущей замены WPA2, добавив несколько важных и превосходных механизмов
безопасности. WPA3 использует более сильное шифрование AES с помощью протокола Galois/Counter
Mode Protocol (GCMP). Он также использует защищенные кадры управления (PMF) для защиты важных
пакетов управления 802.11 между точкой и клиентами. В таблица 28 – 2 обобщены основные различия
между WPA, WPA2 и WPA 3.

Таблица 28 -2 Сравнение WPA, WPA2 и WPA3

Поддержка функций аутентификации и шифрования WPA WPA2 WPA3

Аутентификация с Pre-Shared Keys Да Да Да
Аутентификация с 802.1x Да Да Да
Шифрование и проверка целостности сообщения (MIC) c TKIP Да Нет Нет
Шифрование и проверка целостности сообщения (MIC) c AES и CCMP Да Да Нет
Шифрование и проверка целостности сообщения (MIC) c AES и GCMP Нет Нет Да

Обратите внимание, что все три версии WPA поддерживают два режима аутентификации клиента:
предварительный общий ключ (PSK) или 802.1x, в зависимости от масштаба развертывания. Они также
известны как персональный режим и корпоративный режим, соответственно.

С помощью режимов WPA-Personal и WPA2-Personal злоумышленник может подслушать и перехватить

четырехстороннее “рукопожатие” между клиентом и точкой доступа. Затем этот пользователь может
297
использовать атаку по словарю для автоматизации угадывания предварительно разделенного ключа.
Если он добьется успеха, то сможет расшифровать беспроводные данные или даже присоединиться к
сети, выдавая себя за законного пользователя.

WPA 3-Personal избегает такой атаки, усиливая обмен ключами между клиентами и точками доступа с
помощью метода, известного как одновременная аутентификация равных (Simultaneous
Authentication of Equals - SAE). Вместо того чтобы клиент аутентифицировался на сервере или точке
доступа, клиент и точка доступа могут инициировать процесс аутентификации одинаково и даже
одновременно. Даже если пароль или ключ скомпрометированы, WPA3-Personal предлагает прямую
секретность, которая не позволяет злоумышленникам использовать ключ для незашифрованных
данных, которые уже были переданы по воздуху.

Обратите внимание из таблицы 28 - 2, что WPA, WPA2 и WPA 3 также поддерживают аутентификацию
802.1x или корпоративная аутентификация. Это подразумевает аутентификацию на основе EAP, но
версии WPA не требуют какого-либо конкретного метода EAP. Вместо этого Wi-Fi Alliance
сертифицирует совместимость с хорошо известными методами EAP, такими как EAP-TLS, PEAP, EAP-TTLS
и EAP-SIM.

ПРИМЕЧАНИЕ. Потратьте некоторое время на изучение таблицы 28 - 3, в которой перечислены все

темы, описанные в этой главе.

Таблица 28 - 3 Обзор механизмов и опций беспроводной безопасности

298
ГЛАВА 29. ПОСТРОЕНИЕ БЕСПРОВОДНОЙ ЛОКАЛЬНОЙ СЕТИ
Подключение точки доступа Cisco
Беспроводная сеть Cisco может состоять из автономных точек доступа или облегченных точек доступа,
которые соединены с одним или несколькими контроллерами беспроводной локальной сети. Вы
должны понимать, как подключить “проводную” сторону каждого типа точки доступа, чтобы она могла
передавать трафик между соответствующими VLAN и WLAN. Напомним, что автономная точка доступа
- это автономное устройство, которое больше ничего не требует для пересылки кадров Ethernet из
проводной VLAN в беспроводную локальную сеть и наоборот. Автономная точка доступа имеет один
проводной интерфейс Ethernet, как показано в левой части рисунка 29 – 1, что означает, что к ней по
магистральной линии связи может быть подключено несколько VLAN.

Облегченная точка доступа также имеет один проводной интерфейс Ethernet; однако он должен быть
сопряжен с контроллером WLC, чтобы быть полностью функциональным. Проводные VLAN, которые
заканчиваются на контроллере, могут быть сопоставлены с WLAN, которые появляются на точке
доступа. Несмотря на то, что несколько VLAN расширяются от контроллера WLC к точке доступа, все они
переносятся по туннелю CAPWAP между ними. Это означает, что точка доступа нуждается только в
канале доступа для подключения к инфраструктуре, как показано в правой части рисунка 29 – 1.

Рисунок 29 – 1 Сравнение соединения автономных и облегченных точками доступа

299
Для настройки и управления точек доступа Cisco можно подключить последовательный консольный
кабель от вашего ПК к консольному порту на точке. Как только точка доступа заработает и получит IP-
адрес, вы также можете использовать Telnet или SSH для подключения к его CLI по проводной сети.
Автономные точки доступа поддерживают сеансы управления на основе браузера через HTTP и HTTPS.
Вы можете управлять облегченными точками доступа в браузер конфигурации контроллера WLC.

Доступ к Cisco WLC

Чтобы подключить и настроить контроллер WLC, вам нужно будет открыть веб - браузер и ввести IP
адрес управления контроллера WLC. Это может быть сделано только после того, как контроллер WLC
будет иметь начальную конфигурацию и IP-адрес управления, назначенный его интерфейсу
управления. Веб - интерфейс предоставляет эффективный способ мониторинга, настройки и
устранения неполадок беспроводной сети. Вы также можете подключиться к контроллеру с помощью
сеанса SSH, где вы можете использовать его CLI для мониторинга, настройки и отладки активности.

Когда вы впервые откроете веб-браузер по адресу управления, вы увидите начальный экран входа в
систему. Нажмите на кнопку “Login”, как показано на рисунке 29 – 2; затем введите свои учетные
данные пользователя.

Рисунок 29 – 2 Доступ к контроллеру WLC через веб-браузер

300
Когда вы успешно войдете в систему, контроллер WLC отобразит панель мониторинга, аналогичную
показанной на рисунке 29 – 3. Там вы не сможете внести никаких изменений в конфигурацию, поэтому
вам необходимо нажать на ссылку дополнительно в правом верхнем углу. Это вызовет полный
графический интерфейс настройки контроллера WLC, как показано на рисунке 29 – 4.

Рисунок 29 – 3 Доступ к расширенному интерфейсу конфигурации

Рисунок 29 – 4 Расширенный вид настройки WLC

301
Подключение к Cisco WLC
Подключение контроллера беспроводной локальной сети Cisco к сети не так просто, поскольку он
имеет несколько различных типов соединений. Из вашей работы с маршрутизаторами и
коммутаторами Cisco вы, вероятно, знаете, что термины интерфейс и порт обычно взаимозаменяемы.
Например, коммутаторы могут поставляться в 48 - портовых моделях, и вы применяете изменения
конфигурации к соответствующим интерфейсам. Беспроводные контроллеры Cisco немного
отличаются от коммутаторов; порты и интерфейсы относятся к разным концепциям.

Порты контроллера - это физические соединения, выполняемые с внешней проводной или

коммутируемой сетью, тогда как интерфейсы - это логические соединения, выполняемые внутри
контроллера. В следующих разделах более подробно описывается каждый тип подключения. Вы
узнаете больше о настройке портов и интерфейсов в разделе “Настройка WLAN” далее в этой главе.

Использование портов WLC

Вы можете подключить к своей сети несколько различных типов портов контроллера, как показано на
рисунке 29 – 5 и обсуждается в следующем списке:

 Сервисный порт: используется для управления, восстановления системы и начальной загрузки;

всегда подключается к порту коммутатора в режиме доступа.
 Порт распределительной системы: используется для всего обычного трафика точек доступа и
управления; обычно подключается к коммутатору в режиме магистрали 802.1Q.
 Консольный порт: используется для внеполосного управления, восстановления системы и
начальной загрузки.
 Резервный порт: используется для подключения к одноранговому контроллеру для работы с
высокой доступностью (HA).

Рисунок 29 – 5 Порты контроллера Cisco WLC

Контроллеры могут иметь один сервисный порт, который должен быть подключен к коммутируемой
сети. Обычно сервисный порт назначается управляющей VLAN, так что вы можете получить доступ к
контроллеру с помощью SSH или веб-браузера для выполнения начальной настройки или
302
обслуживания. Обратите внимание, что сервисный порт поддерживает только одну VLAN, поэтому
соответствующий порт коммутатора должен быть настроен только для режима доступа.

Контроллеры также имеют несколько портов распределительной системы, которые необходимо

подключить к сети. Эти порты несут большую часть данных, поступающих и исходящих от контроллера.
Например, туннели CAPWAP (управление и данные), клиентские данные из беспроводных локальных
сетей, любой трафик управления с помощью веб-браузера, а также трафик SSH, SNMP, TFTP и т. д.
проходят через эти порты.

Обратите внимание, что вы можете подумать, что порты распределительной системы - это странное
название для того, что кажется обычными портами данных. Вспомните из раздела, озаглавленного
“Топологии беспроводной локальной сети” и “Основы беспроводных сетей”, что проводная сеть,
которая соединяет точки доступа вместе, называется распределительной системой (DS).

Поскольку порты распределительной системы должны нести данные, связанные со многими

различными VLAN, теги VLAN и номера становятся очень важными. По этой причине порты
распределительной системы всегда работают в режиме “транкинга” 802.1Q. При подключении портов
к коммутатору необходимо также настроить порты коммутатора для режима магистрали 802.1Q.

Порты распределительной системы могут работать независимо, каждый из которых транспортирует

несколько VLAN к уникальной группе внутренних интерфейсов контроллера. Для обеспечения
отказоустойчивости можно настроить порты распределительной системы в избыточных парах. В
основном используется один порт; если он выходит из строя, вместо него используется резервный
порт.

Чтобы получить максимальную отдачу от каждого порта распределительной системы, вы можете

настроить их работу как единую логическую группу, подобно EtherChannel или Port-channel на
коммутаторе. Порты распределительной системы контроллера могут быть сконфигурированы как
группа агрегации каналов (LAG) таким образом, они объединяются вместе, чтобы действовать как одно
более крупное звено. На рисунке 29 - 5 четыре порта распределительной системы настроены как LAG.
Кроме того, LAG обеспечивает отказоустойчивость; если один отдельный порт выходит из строя, трафик
будет перенаправлен на остальные рабочие порты.

Использование интерфейсов WLC

Через свои порты распределительной системы контроллер может подключаться к нескольким VLAN в
коммутируемой сети. Внутренне контроллер должен каким-то образом сопоставить эти проводные
VLAN с эквивалентными логическими беспроводными сетями. Например, предположим, что VLAN 10
выделена для беспроводных пользователей в инженерном подразделении компании. Эта VLAN
должна быть подключена к уникальной беспроводной локальной сети, существующей на контроллере
и связанных с ним точках доступа. Затем беспроводная локальная сеть должна быть расширена до
каждого клиента, который связывается с идентификатором набора услуг (SSID) “Engineering.”
Беспроводные контроллеры Cisco обеспечивают необходимое подключение через внутренние

303
логические интерфейсы, которые должны быть настроены с IP-адресом, маской подсети, шлюзом по
умолчанию и сервером протокола динамической конфигурации хоста (DHCP). Затем каждому
интерфейсу присваивается физический порт и идентификатор VLAN. Контроллеры Cisco поддерживают
следующие типы интерфейсов, также показанные на рисунке 29 – 6:

 Интерфейс управления: используется для обычного трафика управления, такого как

аутентификация пользователя RADIUS, связь контроллер – контроллер, веб-сеансы и сеансы
SSH, SNMP, протокол сетевого времени (NTP), системный журнал и так далее. Интерфейс
управления также используется для завершения туннелей CAPWAP между контроллером и его
точками доступа.
 Управление резервированием: IP-адрес управления резервным контроллером WLC, который
является частью пары контроллеров высокой доступности. Активный WLC использует адрес
интерфейса управления, в то время как резервный WLC использует адрес управления
резервированием.
 Виртуальный интерфейс: IP-адрес, обращенный к беспроводным клиентам, когда контроллер
ретранслирует клиентские DHCP - запросы, выполняет веб-аутентификацию клиента и
поддерживает мобильность клиента.
 Интерфейс сервисного порта: привязан к сервисному порту и используется для внеполосного
управления.
 Динамический интерфейс: используется для подключения VLAN к WLAN.

Рисунок 29 – 6 Интерфейсы контроллера беспроводной локальной сети Cisco

304
Интерфейс управления обращен к коммутируемой сети, где расположены пользователи управления и
точки доступа. Трафик управления обычно состоит из протоколов, таких как HTTPS, SSH, SNMP, NTP,
TFTP и т. д. Кроме того, трафик интерфейса управления состоит из пакетов CAPWAP, которые несут
туннели управления и передачи данных к и от точек доступа.

Виртуальный интерфейс используется только для определенных клиентских операций. Например,

когда беспроводной клиент выдает запрос на получение IP-адреса, контроллер может
ретранслировать этот запрос на фактический DHCP - сервер, который может предоставить
соответствующий IP-адрес. С точки зрения клиента DHCP - сервер представляется виртуальным
адресом интерфейса контроллера. Клиенты могут видеть адрес виртуального интерфейса, но этот
адрес никогда не используется, когда контроллер взаимодействует с другими устройствами в
коммутируемой сети.

Поскольку виртуальный интерфейс используется только для некоторых функций управления

клиентами, вы должны настроить его с уникальным, не маршрутизируемым адресом. Например, вы
можете использовать 10.1.1.1, поскольку он находится в частном адресном пространстве,
определенном в RFC 1918.

ПРИМЕЧАНИЕ. Традиционно многие люди назначают виртуальному интерфейсу IP-адрес 1.1.1.1. Хотя
это уникальный адрес, он маршрутизируется и уже используется в других местах интернета. Лучше
всего использовать IP-адрес из частного адресного пространства RFC1918, который не используется или
зарезервирован, например - 192.168.1.1. вы также можете использовать зарезервированный адрес из
RFC 5737 (192.0.2.0/24), который никогда не используется.

Адрес виртуального интерфейса также используется для поддержки мобильности клиентов. По этой
причине каждый контроллер, который существует в той же группе мобильности, должен быть настроен
с виртуальным адресом, идентичным другим. При использовании одного общего виртуального адреса
все контроллеры будут работать как кластер, поскольку клиенты перемещаются от контроллера к
контроллеру.

Динамические интерфейсы сопоставляют WLAN с VLAN, создавая логические соединения между

беспроводными и проводными сетями. Вы настроите один динамический интерфейс для каждой
беспроводной локальной сети, которая предлагается точке доступа контроллера, а затем сопоставите
интерфейс с WLAN. Каждый динамический интерфейс также должен быть настроен со своим
собственным IP-адресом и может действовать как ретранслятор DHCP для беспроводных клиентов. Для
фильтрации трафика, проходящего через динамический интерфейс, можно настроить дополнительный
список доступа.

Настройка беспроводной сети

Контроллер беспроводной локальной сети и точка доступа работают совместно, обеспечивая сетевое
подключение к беспроводным клиентам. С точки зрения беспроводной связи точка доступа объявляет
идентификатор набора услуг (SSID) для подключения клиента. С проводной точки зрения контроллер
подключается к виртуальной локальной сети (VLAN) через один из ее динамических интерфейсов.

305
Чтобы завершить путь между SSID и VLAN, как показано на рисунке 29 - 7, необходимо сначала
определить WLAN на контроллере.

Рисунок 29 – 7 Подключение проводной и беспроводной сети

Контроллер свяжет WLAN с одним из своих интерфейсов, а затем по умолчанию отправит

конфигурацию WLAN на все свои точки доступа. С этого момента беспроводные клиенты смогут
узнавать о новой WLAN, получая ее сигналы, и смогут присоединяться к новой BSS.

Как и VLAN, вы можете использовать WLAN для разделения беспроводных пользователей и их трафика
на логические сети. Пользователи, связанные с одной WLAN, не могут перейти в другую, если их трафик
не соединен мостом или не маршрутизирован от одной VLAN к другой через инфраструктуру
проводной сети. Прежде чем вы начнете создавать новые WLAN, обычно имеет смысл спланировать
вашу беспроводную сеть. На крупном предприятии может потребоваться поддержка широкого спектра
беспроводных устройств, сообществ пользователей, политик безопасности и т. д. У вас может
возникнуть соблазн создать новую беспроводную сеть для каждого случая, просто чтобы держать
группы пользователей изолированными друг от друга или поддерживать различные типы устройств.
Хотя это привлекательная стратегия, вы должны знать о двух ограничениях:

 Контроллеры Cisco поддерживают максимум 512 WLAN, но только 16 из них могут быть активно
настроены на точки доступа.
 Реклама каждой беспроводной сети потенциальным беспроводным клиентам использует
ценное эфирное время.

Каждая точка доступа должна транслировать специальные кадры “маяки” через регулярные
промежутки времени, чтобы объявить о существовании BSS. Ведь каждая беспроводная локальная сеть
привязана к BBS, каждая беспроводная локальная сеть должно быть объявлена со своими “маяками”.
Маяки обычно посылаются 10 раз в секунду или один раз в 100мс с минимальной обязательной
скоростью передачи данных. Чем больше WLAN вы создали, тем больше “маяков” вам нужно будет
отправить что бы объявить о них.

Более того, чем ниже обязательная скорость передачи данных, тем больше времени потребуется для
передачи каждого “маяка”. Конечный результат таков: если вы создадите слишком много WLAN, канал
может быть лишен любого полезного эфирного времени. Клиентам будет трудно передавать свои
собственные данные, потому что канал слишком занят передачей маяков, поступающих с точки
доступа. Как правило, всегда ограничивайте количество WLAN пятью или менее; лучше всего
использовать максимум три WLAN. По умолчанию контроллер имеет ограниченную начальную

306
конфигурацию, поэтому никакие WLAN не определены. Прежде чем создавать новую беспроводную
сеть, подумайте о следующих параметрах, которые она должна иметь:

 Строка SSID
 Интерфейс контроллера и номер VLAN
 Тип необходимой беспроводной безопасности

По мере работы с этим разделом вы создадите соответствующий динамический интерфейс

контроллера для поддержки новой WLAN; затем вы введете необходимые параметры WLAN. Каждый
шаг настройки выполняется с помощью сеанса веб - браузера, который подключен к IP-адресу
управления WLC.

Шаг 1. Настройка сервера RADIUS

Если ваша новая WLAN будет использовать схему безопасности, которая требует RADIUS-сервера,
такого как WPA2-Enterprise или WPA3-Enterprise, вам нужно будет сначала определить сервер.
Выберите “SECURITY> AAA> RADIUS> Authentication”, чтобы просмотреть список серверов, которые уже
были настроены, как показано на рисунке 29 – 8. Если определено несколько серверов, контроллер
будет пробовать их в последовательном порядке. Нажмите кнопку “New”, чтобы создать новый сервер.

Затем введите IP-адрес сервера, общий секретный ключ и номер порта, как показано на рисунке 29 –
9. Поскольку контроллер уже настроил два других сервера RADIUS, сервер в 192.168.200.30 будет иметь
индекс 3. Обязательно установите для статуса сервера значение “Enable”, чтобы контроллер мог начать
его использовать. В нижней части страницы вы можете выбрать тип пользователя, который будет
аутентифицироваться на сервере. Нажмите кнопку “Apply”, чтобы завершить настройку сервера.

Рисунок 29 – 8 Отображение списка серверов проверки подлинности RADIUS

307
Рисунок 29 – 9 Настройка нового сервера RADIUS

Шаг 2. Создание динамического интерфейса

В разделе “Использование интерфейсов WLC” этой главы вы узнали о различных типах интерфейсов
контроллера. Динамический интерфейс используется для подключения контроллера к локальной сети
по проводной сети. Когда вы создадите WLAN, вы свяжете динамический интерфейс (и VLAN) с
беспроводной сетью.

Чтобы создать новый динамический интерфейс, перейдите в раздел “CONTROLLER> Interfaces”. Вы

должны увидеть список всех интерфейсов контроллера, которые в данный момент настроены. На
рисунке 29 - 10 уже существуют два интерфейса, названные “management” и “virtual”. Нажмите кнопку
“New”, чтобы определить новый интерфейс. Введите имя интерфейса и номер VLAN, к которому он
будет привязан. На рисунке 29 – 11 интерфейс с именем “Engineering” сопоставлен с проводной VLAN
100. Нажмите кнопку “Apply”.

Рисунок 29 – 10 Отображение списка динамических интерфейсов

308
Рисунок 29 – 11 Определение имени динамического интерфейса и идентификатора VLAN

Затем введите IP-адрес, маску подсети и адрес шлюза для интерфейса. Вы также должны определить
первичные и вторичные адреса DHCP - серверов, которые контроллер будет использовать при
ретрансляции DHCP - запросов от клиентов, привязанных к интерфейсу. На рисунке 29 – 12 показано,
как интерфейс с именем “Engineering” был настроен с IP-адресом 192.168.100.10, маской подсети
255.255.255.0, шлюзом 192.168.100.1 и DHCP - серверами 192.168.1.17 и 192.168.1.18. Нажмите кнопку
“Apply”, чтобы завершить настройку интерфейса и вернуться к списку интерфейсов.

Рисунок 29 – 12 Редактирование параметров динамического интерфейса

Шаг 3. Создание новой беспроводной сети

Вы можете отобразить список определенных в данный момент WLAN, выбрав “WLAN’s” в верхней
строке меню. На рисунке 29 – 13 контроллер пока не имеет беспроводных сетей. Вы можете создать

309
новую беспроводную сеть, выбрав пункт “Create New” в раскрывающемся меню, а затем нажав кнопку
”Go”.

Рисунок 29 – 13 отображение списка WLAN

Затем введите имя в качестве имени профиля и текстовую строку SSID. На рисунке 29 – 14 имя профиля
и SSID идентичны, просто чтобы все было просто. Идентификационный номер используется в качестве
индекса в списке WLAN, определенных на контроллере. Идентификационный номер становится
полезным, когда вы используете шаблоны в Prime Infrastructure (PI) для настройки WLAN на нескольких
контроллерах одновременно.

Рисунок 29 – 14 Создание нового WLAN

Нажмите кнопку “Apply”, чтобы создать новую беспроводную сеть. Следующая страница позволит вам
редактировать четыре категории параметров, соответствующие вкладкам в верхней части, как
показано на рисунке 29 – 15. По умолчанию выбрана вкладка “General”.

Рисунок 29 – 15 Настройка общих параметров подключения

310
Вы можете контролировать, включена или отключена беспроводная сеть с помощью флажка
состояния. Несмотря на то, что на странице общие показана конкретная политика безопасности для
WLAN (WPA2 по умолчанию с 802.1x), вы можете внести изменения на более позднем этапе через
вкладку “Security”.

Затем выберите, какой из динамических интерфейсов контроллера будет привязан к WLAN. По

умолчанию выбран интерфейс управления. Раскрывающийся список содержит все доступные имена
интерфейсов. На рисунке 29 - 15 новая WLAN будет привязана к интерфейсу “Engineering”.

Наконец, используйте флажок “Broadcast SSID”, чтобы выбрать, должны ли точки доступа
транслировать имя SSID в передаваемых ими “маяках”. Широковещательные SSID обычно более
удобны для пользователей, поскольку их устройства могут автоматически узнавать и отображать имена
SSID. На самом деле большинству устройств действительно нужен SSID, чтобы понять, что точка доступа
все еще доступна. Сокрытие имени SSID, не передавая его в эфир, на самом деле не обеспечивает
никакой стоящей безопасности. Вместо этого он просто запрещает пользовательским устройствам
обнаруживать SSID и пытаться использовать его в качестве сети по умолчанию.

Настройка безопасности WLAN

Выберите вкладку “Security”, чтобы настроить параметры безопасности. По умолчанию выбрана
вкладка Безопасность уровня 2. В раскрывающемся меню Безопасность уровня 2 выберите
соответствующую тип безопасности для использования перечисленные в таблице 29 – 2.

Таблица 29 – 2 Тип безопасности WLAN уровня 2

Вариант Описание
Нет Открытая аутентификация
WPA + WPA2 Защищенный доступ Wi-Fi WPA или WPA2
802.1x EAP-аутентификация с динамическим WEP
Статический WEP WEP ключ
Статический WEP + 802.1x EAP-аутентификация или статический WEP
CKIP Протокол целостности ключей Cisco
EAP аутентификация Открытая аутентификация с удаленной EAP аутентификацией

На рисунке 29 – 16 в раскрывающемся меню был выбран WPA+WPA2; затем были выбраны только
шифрование WPA2 и AES. WPA и TKIP были исключены, потому что они являются устаревшими
методами. В разделе “Authentication Key management” можно выбрать методы аутентификации,
которые будет использовать WLAN. Только "PSK" не был установлен, поэтому беспроводная локальная
сеть позволит использовать только WPA2-Personal с предварительно заданный общим ключом
проверки подлинности.

311
Рисунок 29 – 16 Настройка безопасности WLAN уровня 2

Для использования WPA2-Enterprise будет выбран параметр 802.1X. В этом случае 802.1x и EAP будут
использоваться для аутентификации беспроводных клиентов на одном или нескольких серверах
RADIUS. Контроллер будет использовать серверы из глобального списка, определенного в разделе
“SECURITY> AAA> RADIUS> Authentication”, как описано в разделе “Шаг 1. Настройка сервера RADIUS” в
этой главе. Чтобы указать, какие серверы должна использовать WLAN, вы должны выбрать вкладку
“Security”, а затем вкладку “AAA-Servers” на экране редактирования WLAN. Вы можете указать до шести
отдельных Radius-серверов в настройках подключения. Рядом с каждым сервером выберите
определенный IP-адрес сервера из раскрывающегося меню. Серверы проверяются в
последовательном порядке, пока один из них не ответит. Хотя пример в этой главе использует WPA2-
Personal, на рисунке 29 – 17 показано, как может выглядеть WLAN, настроенный для WPA2-Enterprise,
с серверами с 1 по 3, установленными на 192.168.200.28, 192.168.200.29 и 192.168.200.30
соответственно.

По умолчанию контроллер будет связываться с сервером RADIUS из своего интерфейса управления. Вы

можете переопределить это поведение, установив флажок рядом с “Radius Server Overwrite Interface”,
чтобы контроллер получал запросы RADIUS от динамического интерфейса, связанного с WLAN.

312
Рисунок 29 – 17 Выбор сервера Radius для проверки подлинности подключения

Настройка WLAN QoS

Выберите вкладку “QoS”, чтобы настроить параметры качества обслуживания для WLAN, как показано
на рисунке 29 - 18. По умолчанию контроллер будет рассматривать все кадры в WLAN как обычные
данные, которые будут обрабатываться “наилучшим образом”. Вы можете настроить качество
обслуживания (QoS) для классификации всех кадров одним из следующих способов:

 Platinum(голос)
 Gold (видео)
 Silver (лучшее усилие)
 Bronze (фон)

Рисунок 29 – 18 Настройка Параметров QoS

313
Вы также можете установить политику Мультимедиа Wi-Fi (WMM), политику контроля допуска вызовов
(CAC) и параметры пропускной способности на странице QoS. Вы можете узнать больше о QoS в
официальном руководстве CCNA 200-301 CERT Guide, Том 2, в Главе 11 "Качество обслуживания.”

Настройка дополнительных параметров подключения

Наконец, вы можете выбрать вкладку “Advanced”, чтобы настроить различные дополнительные
параметры WLAN. На странице, показанной на рисунке 29 – 19, можно включить такие функции, как
обнаружение дыр в зонах покрытия, peer-to-peer блокировка, исключение клиентов, ограничения
загрузки клиентов и т. д.

Рисунок 29 – 19 Настройка дополнительных параметров подключения

Хотя большинство дополнительных настроек выходят за рамки задач CCNA, вы должны знать о
нескольких значениях по умолчанию, которые могут повлиять на ваши беспроводные клиенты.

По умолчанию клиентские сеансы с беспроводная локальная сеть ограничена до 1800 секунд (30
минут). По истечении этого времени сеанса клиент должен будет пройти повторную проверку
подлинности. Этот параметр управляется флажком “Enable” тайм-аут сеанса и полем тайм-аут.

Контроллер поддерживает набор политик безопасности, которые используются для обнаружения

потенциально вредоносных беспроводных клиентов. Если клиент демонстрирует определенное
поведение, контроллер может исключить его из WLAN на определенный период времени. По
умолчанию все клиенты подчиняются политикам, настроенным в разделе “SECURIY> Wireless Protection
Policies> Client Exclusion Policies”. Эти политики включают защиту от чрезмерных сбоев связи 802.11,
ошибок аутентификации 802.11, защиту от сбоев проверки подлинности 802.1 x, от неудачной
аутентификации веб, хищения IP адреса или повторного использования. “Плохие” клиенты будут
автоматически исключены или заблокированы на 60 секунд, как средство сдерживания атак на
беспроводную сеть.

314
Доработка конфигурации подключения
Когда вы будете удовлетворены настройками на каждой из вкладок конфигурации WLAN, нажмите
кнопку “Apply” в правом верхнем углу экрана редактирования WLAN. WLAN будет создан и добавлен в
конфигурацию контроллера. На рисунке 29 – 20, беспроводная локальная сеть была добавлена в
качестве идентификатора подключения 1 и разрешена для использования.

Рисунок 29 – 20 Отображение VLAN, настроенных на контроллере

Имейте в виду, что по умолчанию контроллер не будет разрешать трафик управления, инициируемый
из WLAN. Это означает, что вы (или кто-либо другой) не можете получить доступ к графическому
интерфейсу контроллера или CLI с беспроводного устройства, связанного с WLAN. Это считается
хорошей практикой безопасности, поскольку контроллер изолирован от сетей, которые могут быть
легко доступны или где кто-то может подслушивать трафик сеанса управления. Вместо этого вы можете
получить доступ к контроллеру через его проводные интерфейсы.

Вы можете изменить поведение по умолчанию на глобальной основе (все WLAN), выбрав вкладку
“MANGEMENT” и затем выбрав “Mgmt Via Wireless” через беспроводную связь, как показано на рисунке
29 – 21. Установите этот флажок, чтобы разрешить сеансы управления из любой беспроводной сети,
настроенной на контроллере.

Рисунок 29 – 21 Настройка доступа к управлению WLC из беспроводных сетей

315
 Белицкий С.В.

CCNA 200–301
ТОМ #1

316