Академический Документы
Профессиональный Документы
Культура Документы
▫ По аналогии, после того, как пакет через Интернет достигает локальную сеть,
в которой находится адрес назначения, шлюз или маршрутизатор локальной
сети декапсулирует и инкапсулирует пакет, а затем отправляет пакет на
следующий маршрутизатор в соответствии с адресом назначения. Наконец,
пакет достигает шлюза (маршрутизатора) сети, в которой находится
компьютер назначения.
• LAN
▫ Основные характеристики:
• MAN
▫ Основные характеристики:
▫ Основные характеристики:
• Шина
• Кольцо:
• Полносвязная топология
• Заголовок UDP:
2. Ответ:
▫ Тип сервиса: длина 8 бит, определяет тип сервиса. Это поле задействуется
только тогда, когда требуется дифференцирование услуг QoS (DiffServ).
▫ 00000000.00000000.00000000.00000000–
11111111.11111111.11111111.11111111, то есть, 0.0.0.0–255.255.255.255
• Адрес IPv4 разделен на две части:
• Адресация в сети:
• Шлюз:
• Широковещательный адрес
• Доступный адрес
• Ответ на задание:
• Бит подсети: значение может быть 0 или 1. Таким образом получены две новые
подсети.
▫ 192.168.1.0
▫ 192.168.1.16
▫ 192.168.1.32
▫ 192.168.1.48
▫ 192.168.1.64
▫ 192.168.1.80
▫ 192.168.1.96
▫ 192.168.1.112
▫ 192.168.1.128
▫ 192.168.1.144
▫ 192.168.1.160
▫ 192.168.1.176
▫ 192.168.1.192
▫ 192.168.1.208
▫ 192.168.1.224
▫ 192.168.1.240
• Для повышения эффективности передачи и успешного обмена IP пакетами на
сетевом уровне используется протокол ICMP. ICMP позволяет хостам и
устройствам сообщать об ошибках во время передачи пакетов.
• Сообщения ICMP:
▫ Сообщения ICMP инкапсулируются в IP-пакеты. Значение 1 в поле Протокол
заголовка IP-пакета указывает на ICMP.
▫ Содержимое полей:
▪ Формат сообщения ICMP зависит от полей Тип и Код. Поле Тип
указывает на тип сообщения, а поле Код содержит параметр,
сопоставленный с типом сообщения.
▪ Поле Контрольная сумма используется для проверки на ошибки.
▪ Поле Содержание сообщения ICMP. Если это поле не используется, то
32 бита обычно заполняются 0.
− В сообщении перенаправления ICMP в этом поле указывается IP-
адрес шлюза. Хост перенаправляет пакеты на указанный шлюз,
которому присваивается этот IP-адрес.
− В сообщении эхо-запроса это поле содержит идентификатор и
последовательный номер. Источник ассоциирует полученный эхо-
ответ с эхо-запросом, отправленным локальной стороной на основе
идентификаторов и последовательных номеров, передаваемых в
сообщениях. Когда источник отправляет несколько эхо-запросов на
адрес назначения, каждый эхо-ответ должен иметь такие же
идентификатор и последовательный номер, как в эхо-запросе.
• Процесс перенаправления ICMP:
2. AC
• Уникальное сетевое устройство можно найти на основе определенного IP-адреса.
Каждый IP-адрес принадлежит уникальной подсети. Подсети расположены по всему
миру и вместе образуют глобальную сеть.
▪ RIP
▫ Протокол маршрутизации состояния канала связи
▪ OSPF
▪ IS-IS
• Если канал между RTA и RTB становится неисправен, то следующий узел 10.1.1.2
недоступен, в результате чего маршрут становится недействительным. В этом
случае резервный маршрут к 20.0.0.0/30 помещается в таблицу IP-маршрутизации.
RTA теперь пересылает трафик, предназначенный для 20.0.0.1, на следующий узел
10.1.2.2.
• В крупных сетях маршрутизаторам или другим устройствам, способным выполнять
маршрутизацию, необходимо поддерживать большое количество записей
маршрутизации, что потребует большого количества ресурсов устройств. Кроме
того, размер таблицы IP-маршрутизации увеличивается, что приводит к низкой
эффективности поиска записей маршрутизации. Поэтому необходимо свести к
минимуму размер таблиц IP-маршрутизации на маршрутизаторах, при этом
обеспечивая связность между маршрутизаторами и различными сетевыми
сегментами. Если в сети используется корректная IP-адресация и она спланирована
надлежащим образом, достичь этой цели можно с помощью различных методов.
Популярный эффективный метод – суммирование маршрутов, также известный как
агрегирование маршрутов.
• Чтобы RTA смог пересылать пакеты к удаленным сегментам сети, необходимо
сконфигурировать специфический маршрут к каждому сегменту сети. В этом
примере маршруты к 10.1.1.0/24, 10.1.2.0/24 и 10.1.3.0/24 будут иметь одинаковый
адрес следующего узла назначения - 12.1.1.2. Поэтому эти маршруты можно
просуммировать в один.
• В ходе этого процесса R2 также отправляет запрос LSA в R1. Когда LSDB у обеих
сторон становятся одинаковыми, статус соседства меняется на Full, что указывает
на успешное установление отношений смежности.
• Ниже приводятся поля, отображаемые в выводе команды display ospf peer:
• ABR: интерфейсы ABR принадлежат двум или более областям, но по крайней мере
один интерфейс принадлежит магистральной области
2. ABD
• Первые версии Ethernet:
• Коммутация:
• Основные причины:
▫ IP-адреса присваиваются на основе сетевой топологии, а MAC-адреса
назначаются на производителем. Если выбор маршрута основывается на
производителе, это решение не подходит.
• Заключение:
• Ethernet-коммутатор уровня 3:
2. B
• Широковещательный домен:
• Характеристики VLAN:
• Кадры с 4-байтным тегом VLAN называются кадрами IEEE 802.1Q или кадрами
VLAN.
• Кадры Ethernet в VLAN в основном подразделяются на следующие типы:
• Характеристики:
▫ PVID по умолчанию – 1.
• Правила назначения:
• Характеристики:
• Интерфейс доступа
• Транковый интерфейс
• Гибридный интерфейс
▫ После получения кадра без тега интерфейс добавляет в кадр тег с VID,
который является PVID интерфейса, и затем выполняет лавинную передачу,
пересылает или отбрасывает тегированный кадр.
• Команды:
▫ vlan vlan-id
• Команда port trunk pvid vlan vlan-id конфигурирует VLAN по умолчанию для
транкового интерфейса.
• Вывод команды:
▫ Tagged/Untagged: интерфейсы добавляются в VLAN вручную в режиме с
тегами и без тегов.
▫ Type or VLAN Type: тип VLAN. Значение common указывает на типовую сеть
VLAN.
2. После выполнения команды port trunk allow-pass vlan 2 3 кадры VLAN 5 не могут
передаваться через интерфейс магистрального канала. По умолчанию через
интерфейс магистрального канала могут передаваться кадры VLAN 1. Таким
образом, все кадры VLAN от 1 по 3 могут передаваться через интерфейс.
• По мере увеличения размера LAN растет число коммутаторов, которые
используются для реализации взаимодействия между хостами. Как показано на
рисунке, коммутатор доступа подключается к вышестоящему устройству через один
канал. В случае отказа восходящего канала хост, подключенный к коммутатору
доступа, отключается от сети. Еще одна проблема — единая точка отказа (single
point of failure, SPOF). То есть, если коммутатор выходит из строя, хост,
подключенный к коммутатору доступа, также отключается.
• STP определяет три роли порта: назначенный (designated) порт, корневой (root)
порт и альтернативный (alternate) порт.
• Примечание:
• Затем выбирается корневой порт. Два порта на SW2 имеют одинаковые значения
RPC и BID. Сравниваются PID двух портов. PID G0/0/1 на коммутаторе SW2 имеет
значение 128.1, а PID G0/0/2 ан коммутаторе SW2 имеет значение 128.2. Чем
меньше PID, тем выше приоритет. Поэтому G0/0/1 на SW2 является корневым
портом.
• Состояние порта:
▫ Альтернативный порт SW3 переходит в состояние Listening из состояния
Blocking через 20 секунд, а затем переходит в состояние Learning. В итоге порт
переходит в состояние Forwarding для пересылки пользовательского трафика.
• Время конвергенции:
▫ Восстановление после сбоя корневого моста занимает около 50 секунд, что
равно значению таймера Max Age плюс удвоенное значение таймера Forward
Delay.
• Неисправность прямого канала:
• Состояние порта:
2. SW2 получает TCN BPDU от SW3 и устанавливает для бита TCA в поле Flags
BPDU значение 1 и отправляет BPDU в SW3, и дает команду SW3 прекратить
отправку TCN BPDU.
• RSTP был разработан на основе STP и имеет тот же механизм работы, что и STP.
При изменении топологии сети коммутации RSTP может использовать механизм
Proposal/Agreement (предложения/соглашения) для быстрого восстановления
сетевого подключения.
• В RSTP отсутствуют три состояния порта, определены две новые роли порта и дано
различие атрибутов порта на основе состояний и ролей. Кроме того, RSTP
предоставляет расширенные функции и меры защиты для обеспечения
стабильности сети и быстрой конвергенции.
▫ Устранение петель.
▫ Высокая эффективность использования линков за счет мультиплексирование
каналов и балансировка нагрузки.
▫ Низкая стоимость настройки и техобслуживания.
• Команда dot1q termination vid активирует терминирование тега Dot1q VLAN для
пакетов с одним тегом на субинтерфейсе. По умолчанию, терминирование тега
Dot1q VLAN для пакетов с одним тегом на субинтерфейсе не включено. Команда
arp broadcast enable активирует широковещание ARP на субинтерфейсе
терминирования тега VLAN. По умолчанию широковещание ARP не включено на
субинтерфейсе терминирования тега VLAN. Субинтерфейсы терминирования тега
VLAN не могут пересылать широковещательные пакеты и автоматически
отбрасывать полученные. Чтобы разрешить данному субинтерфейсу пересылать
широковещательные пакеты, выполните команду arp broadcast enable.
• Команда interface vlanif vlan-id создает интерфейс VLANIF и отображает вид
интерфейса VLANIF. vlan-id означает идентификатор VLAN, связанный с
интерфейсом VLANIF. IP-адрес интерфейса VLANIF используется в качестве IP-
адреса шлюза ПК и должен находиться в том же сегменте сети, что и IP-адрес ПК.
• NAPT: преобразует IP-адрес и номер порта в заголовке IP-пакета в другой IP-адрес
и номер порта. В основном NAPT используется для обеспечения доступа
устройствам во внутренней сети (частные IP-адреса) к внешней сети
(общедоступные IP-адреса). NAPT позволяет устанавливать соответствие между
несколькими частными IP-адресами с одним и тем же общедоступным IP-адресом.
Таким образом, несколько частных IP-адресов могут получить доступ к Интернету
одновременно с использованием одного и того же общедоступного IP-адреса.
• В этом примере предполагается, что требуемые записи ARP или MAC-адреса уже
существуют на всех устройствах.
• Трансляция сетевых адресов (NAT) преобразует IP-адреса в заголовках IP-пакетов
в другие IP-адреса.
1. Настроить интерфейс как транковый или гибридный, чтобы разрешить передавать
в пакетах теги VLAN, соответствующие терминалам.
▫ Скорость интерфейса
▫ Дуплексный режим
▫ Синхронизация
▫ Сбор
▫ Распределение
Стр. 2 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Цели
По окончании данного курса слушатели получат следующие знания и навыки:
▫ основные принципы и назначение ACL;
Стр. 3 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Содержание
1. Обзор ACL
Стр. 4 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Предпосылки: необходим инструмент для
фильтрации трафика
VLAN 10 Есть инструмент для
Сервер финансового
фильтрации IP-трафика?
отдела —
192.168.4.4/24
Отдел исследований и
разработок — 192.168.2.0/24
Интернет
VLAN 20
Запрещенный трафик
Офис руководителя —
192.168.3.0/24 Разрешенный трафик
Чтобы обеспечить безопасность данных финансового отдела, предприятие запрещает доступ отделу исследований и разработок
(R&D) к серверу финансового отдела, но разрешает доступ к серверу из офиса руководителя.
Стр. 5 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Обзор ACL
ACL представляет собой последовательный набор правил, состоящий из операторов permit или
deny.
Синтаксис ACL позволяет сопоставить операторам необходимые типы пакетов.
Применение ACL
Стр. 6 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Содержание
1. Обзор ACL
Стр. 7 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Состав ACL Классификация ACL Правила сопоставления ACL
Состав ACL
ACL состоит из нескольких правил. Оператор permit/deny в каждой строке является действием, соответствующим
правилу.
Стр. 8 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Состав ACL Классификация ACL Правила сопоставления ACL
Идентификатор правила
acl number 2000 Идентификатор правила и шаг
Идентификатор
правила • Идентификатор правила
rule 5 deny source 10.1.1.1 0 Каждое правило в ACL имеет идентификатор (ID).
rule 10 deny source 10.1.1.2 0 • Шаг
Шаг — это приращение идентификаторов соседних
rule 15 permit source 10.1.1.0 0.0.0.255 правил, автоматически назначаемых системой. Шаг по
умолчанию — 5. Установка значения шага упрощает
Шаг = 5
вставку правила между существующими правилами ACL.
• Назначение идентификатора правила
Как добавить правило? Если правило добавляется в пустой ACL, но для правила
вручную не указан идентификатор, система выделяет
rule 11 deny source 10.1.1.3 0 значение шага (например, 5) в качестве идентификатора
правила. Если ACL содержит правила с
идентификаторами, указанными вручную, и добавляется
acl number 2000 правило без указанного вручную идентификатора, система
rule 5 deny source 10.1.1.1 0 выделяет этому правилу идентификатор, который больше,
rule 10 deny source 10.1.1.2 0 чем самый большой идентификатор правила в ACL, и
является наименьшим целым числом, кратным значению
rule 11 deny source 10.1.1.3 0 шага.
rule 15 permit source 10.1.1.0 0.0.0.255
Стр. 9 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Состав ACL Классификация ACL Правила сопоставления ACL
• Правило сопоставления
0: строгое соответствие; 1: не требуется
192.168.1.1 1 1 0 0 0 0 0 0 1 0 1 0 1 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 1
Сегмент сети
192.168.1.0/24
0.0.0.255 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 1
Строгое Не требуется
соответствие
Стр. 10 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Состав ACL Классификация ACL Правила сопоставления ACL
192.168.1 5
Специальная подстановочная маска
192.168.1 0 0 0 0 0 1 0 1 • Точно соответствует IP-адресу 192.168.1.1.
Стр. 11 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Состав ACL Классификация ACL Правила сопоставления ACL
Определяет правила на основе адресов IPv4 источника и назначения, типов протокола IPv4, типов ICMP,
Расширенный От 3000 до 3999 номеров портов источника/назначения TCP, номеров портов источника/назначения UDP и эффективных
временных диапазонов.
Определяет правила на основе информации в заголовках пакетов Ethernet, такой как MAC-адреса
ACL 2-ого уровня От 4000 до 4999
источника и назначения и типы протоколов 2-ого уровня.
ACL,
Определяет правила на основе заголовков пакетов, сдвигов, масок строк символов и строк символов,
определяемый От 5000 до 5999
определяемых пользователем.
пользователем
Определяет правила на основе IPv4-адресов источника или групп списка управления пользователем
ACL пользователя От 6000 до 6999 (UCL), IPv4-адресов или UCL-групп назначения, типов протокола IPv4, типов ICMP, номеров портов
источника/назначения TCP и номеров портов источника/назначения UDP.
Стр. 12 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Состав ACL Классификация ACL Правила сопоставления ACL
Стр. 13 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Состав ACL Классификация ACL Правила сопоставления ACL
Да
ACL содержит
Нет
правила?
Да
Проанализируйте
Действием
первое правило
ACL является
permit
permit
или deny?
Сопоставьте
Да
правила deny
Нет
Не Результат сопоставления Результат сопоставления Результат сопоставления
Правила т ACL — deny. ACL — permit. ACL — negative match.
остались?
Да
Проанализируйте
следующее правило Конец
Стр. 14 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Состав ACL Классификация ACL Правила сопоставления ACL
Стр. 16 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Состав ACL Классификация ACL Правила сопоставления ACL
Пакет данных
Стр. 18 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Состав ACL Классификация ACL Правила сопоставления ACL
ACL
применен к
входящему Нет
Пакет Маршрутизация Нет
направлению пакета данных Соответствующая
данных интерфейса? запись маршрута
доступна?
Нет
Да
Да
Да
ACL разрешает Направьте пакет ACL применен к Да ACL Да
данных на исходящему разрешает
пакет данных? направлению
исходящий пакет
исходящего
интерфейс интерфейса? данных?
Нет
Нет
Пакет Пакет
данных данных
Стр. 19 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Содержание
1. Обзор ACL
Стр. 20 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Настройка базовых ACL
1. Создание базового ACL.
[Huawei-acl-basic-2000] rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | time-
range time-name ]
Стр. 21 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Пример: использование базового ACL для
фильтрации трафика
1. Настройте IP-адреса и маршруты на маршрутизаторе.
находятся в сегменте сети 192.168.1.0/24, и разрешит [Router-GigabitEthernet0/0/1] traffic-filter inbound acl 2000
Стр. 23 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Настройка расширенного ACL (1)
1. Создание расширенного ACL.
Стр. 24 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Формат правил расширенных ACL (2)
2. Настройка правила расширенного ACL.
Сконфигурировать правила расширенного ACL можно в соответствии с типами протоколов IP-пакетов.
Параметры меняются в зависимости от типов протоколов.
▫ Если типом протокола является IP, формат команды выглядит следующим образом:
rule [ rule-id ] { deny | permit } ip [ destination { destination-address destination-wildcard | any } | source { source-address
source-wildcard | any } | time-range time-name | [ dscp dscp | [ tos tos | precedence precedence ] ] ]
В представлении расширенного ACL можно выполнить эту команду, чтобы настроить правило для
расширенного ACL.
▫ Если типом протокола является TCP, формат команды выглядит следующим образом:
rule [ rule-id ] { deny | permit } { protocol-number | tcp } [ destination { destination-address destination-wildcard | any } |
destination-port { eq port | gt port | lt port | range port-start port-end } | source { source-address source-wildcard | any } | source-
port { eq port | gt port | lt port | range port-start port-end } | tcp-flag { ack | fin | syn } * | time-range time-name ] *
В представлении расширенного ACL можно выполнить эту команду, чтобы настроить правило для
расширенного ACL.
Стр. 25 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Пример: использование расширенных ACL для
предотвращения обмена данными между хостами
пользователей в разных сегментах сети (1)
1. Настройте IP-адреса и маршруты на маршрутизаторе.
GE 0/0/1
10.1.1.1/24
2. Создайте ACL 3001 и настройте правила для ACL, чтобы
Отдел исследований и
разработок (R&D) запретить трафик из отдела исследований и разработок в отдел
10.1.1.0/24
Интернет маркетинга.
Маршрутизатор
[Router] acl 3001
GE 0/0/2
10.1.2.1/24 [Router-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255
Отдел маркетинга
destination 10.1.2.0 0.0.0.255
10.1.2.0/24
[Router-acl-adv-3001] quit
Стр. 27 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Пример: использование расширенных ACL для
предотвращения обмена данными между хостами
пользователей в разных сегментах сети (2)
GE 0/0/1 4. Настройте фильтрацию трафика во входящем направлении
10.1.1.1/24
Отдел исследований и GE 0/0/1 и GE 0/0/2.
разработок (R&D)
10.1.1.0/24
Маршрутизатор Интернет
Стр. 28 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Вопросы
1. (Единичный выбор) Какое из следующих правил является действительным правилом
базового ACL? ( )
A. rule permit ip
B. rule deny ip
Стр. 29 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Заключение
ACL — популярная сетевая технология. Принцип заключается в следующем:
пакеты сопоставляются с настроенными правилами ACL. В случае совпадения с
правилом выполняются действие, указанное в этом правиле. Соответствующие
правила и действия настраиваются на основании требований сети.
Стр. 30 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
Спасибо за внимание!
www.huawei.com
Стр. 31 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
• Аутентификация: определяет, какие пользователи могут получить доступ к сети.
▫ Без учета: пользователи могут получить доступ к Интернету бесплатно, журнал действий не
создается.
▫ Удаленный учет: удаленный учет осуществляется через сервер RADIUS или сервер
HWTACACS.
• Среди протоколов, используемых для реализации AAA, наиболее часто используется RADIUS.
RADIUS — это протокол распределенного обмена информацией, основанный на структуре
клиент/сервер. Он реализует аутентификацию, учет и авторизацию пользователей.
• Обычно NAS функционирует как клиент RADIUS для передачи информации о пользователе на
указанный сервер RADIUS и выполняет операции (например, принятие или отклонение доступа
пользователя) на основе информации, возвращаемой сервером RADIUS.
▫ Беспроводная локальная сеть (WLAN): для развертывания обычно используется технология Wi-
Fi. Также могут использоваться технологии, связанные с WPAN.
• В 1999 году альянс производителей беспроводных устройств получил название Wireless Ethernet
Compatibility Alliance (WECA). В октябре 2002 года WECA был переименован в Wi-Fi Alliance.
• Первая версия IEEE 802.11 была выпущена в 1997 году. Далее на основе IEEE 802.11 постепенно
разрабатывались дополнительные стандарты. Наиболее известными стандартами, повлиявшими на
развитие Wi-Fi, стали 802.11b, 802.11a, 802.11g, 802.11n и 802.11ac.
• После выпуска стандарта IEEE 802.11ax организация Wi-Fi Alliance поменяла подход к именованию
стандартов Wi-Fi, таким образом новый стандарт получил официальное название Wi-Fi 6. Основной
стандарт IEEE 802.11ac стал именоваться Wi-Fi 5, а IEEE 802.11n соответственно Wi-Fi 4. Такое же
соглашение стало применяться и к другим поколениям стандартов.
• Этап 1: начало развития мобильных офисов — беспроводные сети как дополнение к проводным сетям
▫ В этот же период появилось название Wi-Fi. Wi-Fi Alliance зарегистрировал свою новую
технологию под маркой Wi-Fi. Первоначальная цель альянса заключалась в содействии
разработке стандарта 802.11b, а также сертификации совместимости продуктов Wi-Fi во всем
мире. С развитием стандартов и популяризацией продуктов, соответствующих стандартам,
люди стали приравнивать Wi-Fi к стандарту 802.11.
▫ Стандарт 802.11 представляет одну из многих технологий WLAN, но тем не менее он стал
основным отраслевым стандартом. При упоминании WLAN, как правило, имеется в виду WLAN,
использующая технологию Wi-Fi.
▫ На этом этапе WLAN, как часть сети, должна была обеспечивать гостевой доступ к сети.
▫ В настоящее время развитие WLAN перешло на третий этап. В офисах беспроводные сети
используются вместо проводных, и в каждом офисном помещении обеспечивается полное
покрытие Wi-Fi. Кроме того, в офисных помещениях уже не развертываются порты для
подключения к проводной сети, что делает офисную среду более открытой и интеллектуальной.
▫ В 2018 году был выпущен стандарт Wi-Fi следующего поколения, названный Wi-Fi 6 и 802.11ax
организациями Wi-Fi Alliance и IEEE соответственно. Это еще одна веха в развитии Wi-Fi.
Основной ценностью стандарта Wi-Fi 6 является возможность дальнейшего увеличения
пропускной способности, ведущая к эпохе 10-гигабитной беспроводной связи. Количество
пользователей, одновременно получающих доступ к сети, увеличилось в четыре раза, что
обеспечит отличные возможности обслуживания в сценариях с высокой плотностью и высокой
нагрузкой.
• Продукты WLAN компании Huawei обеспечивают высокоскоростные, безопасные и надежные
беспроводные сетевые соединения в различных сценариях, в том числе внутри и снаружи помещений,
в жилых домах и на предприятиях.
• Беспроводные роутеры в большинстве случаев представляют собой точки доступа Fat AP.
▫ Они преобразуют сигналы проводной сети в беспроводные сигналы, чтобы устройства, которые
их принимают, такие как домашние компьютеры и мобильные телефоны, могли получать доступ
к сети Интернет в беспроводном режиме.
• Корпоративные продукты WLAN:
▫ Точка доступа (Access Point, AP)
▪ Точка доступа поддерживает гибкое переключение между режимами Fat, Fit и Cloud в
зависимости от планирования сети.
▪ Fat AP: используется в домашних WLAN. Fat AP работает независимо и требует
индивидуальной настройки. Она выполняет только простые функции и является
экономически выгодным устройством. Fat AP реализует такие функции, как доступ
пользователей, аутентификация, безопасность данных, предоставление сервисов и QoS.
▪ Fit AP: используются на средних и крупных предприятиях. Управление и
конфигурирование Fit AP осуществляется централизованно посредством контроллера
доступа (AC). Fit AP обеспечивают различные функции. Для их обслуживания требуется
высококвалифицированный персонал. Совместно с AC точки доступа Fit AP реализуют
такие функции, как доступ пользователей, подключение точки доступа к сети,
аутентификацию, маршрутизацию, управление AP, безопасность и QoS.
▪ Cloud AP: используются на малых и средних предприятиях. Управление и
конфигурирование точек доступа Cloud AP осуществляется централизованно
посредством платформы облачного управления. Cloud AP реализуют различные функции
и поддерживают автоматическую настройку и запуск. Для их обслуживания не требуется
высококвалифицированный персонал.
▫ Контроллер доступа (Access Controller, AC)
▫ Коммутатор PoE
▪ В сети WLAN коммутатор PoE может использоваться для подачи питания на точки
доступа.
• Примечание: В этом разделе для примера используется архитектура «AC + Fit AP».
▪ Реализует управление и контроль работы всех точек доступа Fit AP в сети с архитектурой
«AC + Fit AP». Например, AC может подключаться к серверу аутентификации для
проверки подлинности пользователей WLAN.
▫ Радиосигнал (радиоволна)
• Но в реальной сети это сложно, потому что AC может подключаться к десяткам или даже сотням AP.
Например, в корпоративной сети точки доступа могут быть развернуты в офисах, конференц-залах и
помещениях для приема посетителей, а контроллер доступа может быть установлен в аппаратном
помещении. В этом случае сеть уровня 3 между AC и AP будет иметь сложную структуру. Поэтому,
сеть уровня 3 часто используется в крупномасштабных сетях.
• Режим подключения AC: в режиме «in-path» AC располагается на пути передачи трафика, и
пользовательский трафик проходит через AC. В этом случае расходуются ресурсы передачи AC. В
режиме «off-path» трафик не проходит через AC.
• Диапазон SLF или СНЧ (от 30 Гц до 300 Гц): непосредственное преобразование в звук или
использование в системе передачи AC (50–60 Гц)
• ULF или ИНЧ (от 300 Гц до 3 кГц): подземная связь или непосредственное преобразование в звук
• VLF или ОНЧ (от 3 кГц до 30 кГц): непосредственное преобразование в звук и ультразвук или
геофизические исследования
• IF или СЧ (от 300 кГц до 3 МГц): радиовещание с амплитудной модуляцией (AM), морская и
авиационная связь
• VHF или ОВЧ (от 30 МГц до 300 МГц): радиовещание с частотной модуляцией (FM), телевидение и
авиационная связь
• UHF или УВЧ (от 300 МГц до 3 ГГц): телевидение, радиотелефонная связь, беспроводные сети и
микроволновые печи.
• SHF или СВЧ (от 3 ГГц до 30 ГГц): беспроводные сети, радары и искусственные спутники
• EHF или КВЧ (от 30 ГГц до 300 ГГц): радиоастрономия, дистанционное зондирование и сканер в
диапазоне миллиметровых волн
• В этом случае можно развернуть функцию калибровки параметров радиосвязи, которая будет
осуществлять динамическую настройку каналов и регулировку мощности передачи точек доступа,
управляемых одним контроллером доступа, что позволит гарантировать оптимальную
производительность точек доступа.
• BSS:
▫ BSS — основной сервисный блок WLAN, состоящий из AP и нескольких STA. BSS — это
базовая структура сети 802.11. В беспроводной сети поддерживается совместное
использование среды передачи, поэтому пакеты, отправленные и полученные в BSS, должны
содержать BSSID (MAC-адрес AP).
• BSSID:
• SSID:
▫ Если в определенной области развернуто несколько BSS, STA может обнаружить несколько
BSSID. Вам необходимо только выбрать нужный BSSID. Для упрощения идентификации AP в
качестве имени AP используется строка символов. Эта символьная строка представляет собой
SSID.
• VAP:
• Использование VAP упрощает развертывание WLAN, но это не означает, что нужно конфигурировать
множество VAP. Количество VAP необходимо планировать на основе фактических требований.
Необдуманное увеличение количества VAP увеличит время поиска SSID устройствами и усложнит
настройку AP. Кроме того, VAP не является эквивалентом реальной AP. Все VAP, полученные в
процессе виртуализации физической AP, совместно используют программные и аппаратные ресурсы
этой AP, а все пользователи, подключенные к этим VAP, совместно используют ресурсы одного
канала. Емкость AP не изменится с увеличением количества VAP.
• ESS:
▫ При перемещении и роуминге в пределах ESS пользователь будет считать, что находится в
одной и той же WLAN, независимо от своего местоположения.
• Роуминг WLAN:
▫ Наиболее очевидным преимуществом сетей WLAN является то, что пользователи могут
перемещаться по сети WLAN без ограничений физической среды передачи. Кроме того, при
перемещении из одной зоны обслуживания в другую услуги не прерываются. В ESS может быть
размещено несколько точек доступа. При перемещении пользователя из зоны обслуживания
одной точки доступа в зону другой точки доступа роуминг WLAN обеспечивает беспроблемную
передачу его сервисов между точками доступа.
• В сетевой архитектуре «AC + Fit AP» контроллер доступа осуществляет унифицированное управление
точками доступа. Поэтому все настройки выполняются на AC.
• Туннели CAPWAP выполняют следующие функции:
▪ Пакет DHCP Offer может быть одноадресным или широковещательным. Когда точка
доступа получает пакеты DHCP Offer от нескольких DHCP-серверов, она выбирает
только один пакет DHCP Offer (обычно первый пакет DHCP Offer) и рассылает пакет
DHCP Request на все DHCP-серверы. Затем точка доступа отправляет пакет DHCP
Request определенному серверу, который выдает IP-адрес.
• Режим трансляции:
▫ После запуска AP, если ей не удается обнаружить AC на основе DHCP и DNS, она инициирует
широковещательную рассылку для обнаружения AC и транслирует запрос на обнаружение AC.
▫ AC, принимающий пакеты Discovery Request, проверяет, авторизована ли AP для доступа (или
есть ли у AP авторизованные MAC-адреса или серийные номера (Serial Number, SN)). Если это
так, AC передает AP сообщение Discovery Response. Если это не так, AC отбрасывает пакет
Discovery Request.
▫ Аутентификация MAC-адресов
▫ Без аутентификации
▪ Режим FTP: применяется для передачи файлов без высоких требований к сетевой
безопасности. В процессе обновления точки доступа загружают файл обновления с FTP-
сервера. В этом режиме данные передаются в виде открытого текста, что создает угрозу
безопасности.
▫ Обновление в рабочем режиме: в основном используется, когда точки доступа уже подключены
к AC и предоставляют услуги WLAN.
▫ Код страны определяет страну, в которой развернуты AP. Коды стран определяют различные
атрибуты радиосвязи AP, включая мощность передачи и поддерживаемые каналы. Правильная
конфигурация кода страны гарантирует, что атрибуты радиосвязи точек доступа будут
соответствовать местным законам и правилам.
▫ Только после настройки уникального интерфейса или адреса источника на AC точки доступа
смогут устанавливать туннели CAPWAP с AC.
▫ Настройки видимости SSID: данная функция позволяет точке доступа скрывать SSID WLAN.
Только пользователи, которые знают SSID, могут подключаться к WLAN, что повышает ее
безопасность.
▫ Максимальное количество STA на VAP: чем больше пользователей подключено к VAP, тем
меньше сетевых ресурсов доступно каждому пользователю. Чтобы обеспечить пользователям
нормальный доступ к сети Интернет, необходимо настроить максимальное количество
пользователей, подключаемых к VAP, с учетом фактических сетевых условий.
▫ Скрытие SSID при достижении максимального количества подключенных STA: эта функция
позволяет точке доступа скрывать SSID WLAN при подключении максимального количества
пользователей (при условии, что данный параметр настроен), для того чтобы новые
пользователи не могли найти и воспользоваться этим SSID.
▫ Поскольку сети WLAN обеспечивают гибкие возможности доступа, STA могут подключаться к
одной WLAN на входе в офис или на стадион, а затем перемещаться между разными точками
доступа.
▪ Если одна VLAN настроена как сервисная VLAN, то ресурсов IP-адресов может оказаться
недостаточно в зонах с большим количеством STA, подключаемых к WLAN, а IP-адреса в
других зонах будут оставаться невостребованными.
▪ После создания пула VLAN необходимо добавить несколько VLAN в пул VLAN и
настроить их как сервисные VLAN. Таким образом, SSID может использовать несколько
сервисных VLAN для предоставления услуг беспроводного доступа. Вновь
подключаемые STA будут динамически распределяться по VLAN из пула VLAN, что
уменьшит количество STA в каждой VLAN, а также сократит размер широковещательного
домена. Кроме того, это обеспечит эффективное использование ресурсов IP-адресов.
• Активное сканирование:
• Пассивное сканирование:
• WEP
▫ Политика WEP, определенная в стандарте IEEE 802.11, используется для защиты данных
авторизованных пользователей от перехвата во время передачи по сети WLAN. В основе WEP
лежит алгоритм RC4 для шифрования данных с помощью 64-битного, 128-битного или 152-
битного ключа. Каждый ключ шифрования содержит 24-битный вектор инициализации
(initialization vector, IV), генерируемый системой. Таким образом, длина ключа, настроенного на
сервере и клиенте WLAN, может составлять 40, 104 или 128 бит. WEP использует статический
ключ шифрования. Все STA, ассоциированные с одним и тем же SSID, используют одинаковый
ключ для подключения к WLAN.
• WPA/WPA2
▫ При аутентификации с помощью общего ключа WEP для шифрования данных используется
симметричный потоковый шифр Rivest Cipher 4 (RC4). Таким образом, необходимо
предварительно настроить одинаковый статический ключ на сервере и клиентах. Однако и
механизм, и алгоритм шифрования не обеспечивают надежной защиты от угроз безопасности.
Чтобы решить эту проблему, Wi-Fi Alliance разработал стандарт WPA с учетом уязвимостей
WEP. В дополнение к алгоритму RC4, WPA использует алгоритм шифрования по протоколу
целостности временных ключей TKIP (Temporal Key Integrity Protocol) на основе WEP и
структуру аутентификации подлинности 802.1X, а также поддерживает протоколы EAP-PEAP
(Extensible Authentication Protocol-Protected Extensible Authentication Protocol) и EAP-TLS (EAP-
Transport Layer Security). Позже стандарт 802.11i определил политику WPA2. WPA2 использует
более безопасный алгоритм шифрования CCMP (Counter Mode with CBC-MAC Protocol).
▫ Процесс аутентификации:
1. STA отправляет пакет запроса ассоциации (Association Request) в AP. Пакет запроса
ассоциации (Association Request) содержит параметры STA и параметры, выбранные STA в
соответствии с конфигурацией услуги, включая скорость передачи, канал и возможности QoS.
3. Контроллер доступа определяет, разрешить или нет доступ STA в соответствии с полученным
пакетом запроса ассоциации, и отвечает пакетом CAPWAP, содержащим ответ ассоциации
(Association Response).
4. Точка доступа декапсулирует пакет CAPWAP для получения ответа ассоциации (Association
Response) и отправляет его на STA.
• Шифрование данных:
• Таким образом, по мере того, как проблемы безопасности продолжают расти, традиционных мер
безопасности становится недостаточно. Необходимо переходить от пассивной модели обеспечения
безопасности к активным мерам. К решению проблем сетевой безопасности нужно подходить
обстоятельно, начиная с терминальных устройств. Только так можно повысить уровень
информационной безопасности всего предприятия.
• Режим туннельной передачи:
▫ Недостатки: передачу сервисных данных также осуществляет контроллер доступа, что является
неэффективным и увеличивает нагрузку контроллера.
▫ code: код определяемой пользователем опции. Значением может быть целое число в диапазоне
от 1 до 254, за исключением значений 1, 3, 6, 15, 44, 46, 50, 51, 52, 53, 54, 55, 57, 58, 59, 61, 82,
121 и 184.
▫ ascii | hex | cipher: формат кода определяемой пользователем опции: строка символов ASCII,
строка шестнадцатеричных символов или строка символов зашифрованного текста.
▫ name profile-name: имя профиля регулирующего домена. Значение представляет собой строку
длиной от 1 до 35 символов без учета регистра. Значение не может содержать вопросительные
знаки (?) и пробелы, а также не может начинаться или заканчиваться двойными кавычками (").
• Команда: country-code country-code
▪ AU: Австралия
▪ CA: Канада
▪ DE: Германия
▪ FR: Франция
▪ US: США
▪ ...
• Команда: ap-group name group-name
▫ name group-name: имя группы AP. В качестве значения используется строка длиной от 1 до 35
символов. Значение не может содержать вопросительные знаки (?), слеши (/) и пробелы, а
также не может начинаться или заканчиваться двойными кавычками (").
• Команда: ap-id ap-id [ [ type-id type-id | ap-type ap-type ] { ap-mac ap-mac | ap-sn ap-sn | ap-mac ap-mac
ap-sn ap-sn } ]
▫ ap-id: идентификатор точки доступа. Значением может быть целое число в диапазоне от 0 до
8191.
▫ type-id: идентификатор типа точки доступа. Значением может быть целое число в диапазоне от
0 до 255.
▫ ap-mac: MAC-адрес точки доступа. Значение имеет формат H-H-H, где H — четырехзначное
шестнадцатеричное число.
▫ ap-sn: серийный номер точки доступа. В качестве значения используется строка длиной от 1 до
31 символов, включающих только буквы и цифры.
• Команда: radio radio-id
• Команды:
▫ antenna-gain: усиление антенны. Значением может быть целое число в диапазоне от 0 до 30 дБ.
• Команда: eirp eirp
▫ eirp: мощность передачи. Значением может быть целое число в диапазоне от 1 до 127 дБм.
▫ name profile-name: имя профиля радиосвязи 2G. Значение представляет собой строку длиной от
1 до 35 символов без учета регистра. Значение не может содержать вопросительные знаки (?) и
пробелы, а также не может начинаться или заканчиваться двойными кавычками (").
▫ radio radio-id: идентификатор радиомодуля. Значением может быть целое число 0 или 2.
▫ ssid: значение SSID. Значение представляет собой строку длиной от 1 до 32 символов с учетом
регистра. Поддерживаются китайские символы или китайские и английские символы, кроме
символов табуляции.
▫ Чтобы начать SSID с пробела, необходимо заключить SSID в двойные кавычки ("), например "
hello". Двойные кавычки считаются двумя символами. Чтобы начать SSID с двойных кавычек,
нужно добавить обратный слеш (\) перед двойными кавычками, например, \"hello. Обратный
слеш считается одним символом.
• Команда: display vap { ap-group ap-group-name | { ap-name ap-name | ap-id ap-id } [ radio radio-id ] } [
ssid ssid ]
▫ ap-group-name: информация обо всех сервисных VAP в указанной группе AP. Группа AP должна
существовать.
• План конфигурирования
▪ Создайте группу точек доступа и добавьте точки доступа, которым требуется такая же
конфигурация, в группу для унифицированного конфигурирования.
▪ Настройте режим аутентификации для выхода точек доступа в сеть и импортируйте точки
доступа в автономном режиме.
▫ Настройте параметры сервисов WLAN для доступа STA к WLAN.
• 1. Создайте сети VLAN и интерфейсы на S1, S2 и AC.
▫ Конфигурация S1:
[S1-GigabitEthernet0/0/1] quit
[S1-GigabitEthernet0/0/2] quit
▫ Конфигурация S2:
[S2-GigabitEthernet0/0/1] quit
[S2-GigabitEthernet0/0/2] quit
[S2-GigabitEthernet0/0/3] quit
▫ Конфигурация AC:
[AC-GigabitEthernet0/0/1] quit
• Импортируйте AP в автономном режиме в AC.
▫ Добавьте AP в группу AP с именем ap-group1. Допустим, что точка доступа имеет MAC-адрес
60de-4476-e360. Сконфигурируйте имя для AP на основании места ее развертывания, чтобы по
имени можно было узнать, где AP развернута. Например, назовите AP area_1, если она
развернута в зоне 1.
• Описание результатов выполнения команды display ap, выведенных на экран:
▫ ID: идентификатор точки доступа.
▫ MAC: MAC-адрес точки доступа.
▫ Name: имя точки доступа.
▫ Group: имя группы, к которой относится точка доступа.
▫ IP: IP-адрес точки доступа. В сценариях NAT точки доступа находятся в частной сети, а
контроллер доступа — в сети общего пользования. Это значение является IP-адресом точки
доступа в частной сети. Чтобы проверить IP-адрес точки доступа в сети общего пользования,
выполните команду display ap run-info.
▫ Type: тип точки доступа.
▫ State: статус точки доступа.
▪ normal: точка доступа вышла в сеть на контроллере доступа и работает исправно.
▪ commit-failed: после выхода в сеть на контроллере доступа точка доступа не может
получить сервисные конфигурации WLAN.
▪ download: точка доступа находится в процессе обновления.
▪ fault: точка доступа не может подключиться к сети.
▪ idle: точка доступа находится в процессе инициализации перед установлением
соединения между ней и контроллером доступа в первый раз.
▫ STA: количество STA, подключенных к точке доступа.
▫ Uptime: продолжительность работы точки доступа в сети.
▫ ExtraInfo: дополнительная информация. Значение P указывает на недостаточное питание точки
доступа.
• Описание результатов выполнения команды display vap, выведенных на экран:
• С помощью решения интеллектуального ускорения работы приложений Huawei SmartRadio сеть Wi-Fi
6 обеспечивает задержку всего в 10 мс.
• В настоящее время теоретическая скорость всех продуктов Wi-Fi 5 (Wave 2) составляет 2,5 Гбит/с, а
продуктов Wi-Fi 6 — 9,6 Гбит/с. Таким образом, Wi-Fi 6 позволяет увеличить скорость в четыре раза по
сравнению с Wi-Fi 5.
• Средняя задержка, поддерживаемая Wi-Fi 5, составляет около 30 мс, а Wi-Fi 6 — около 20 мс.
Технология интеллектуального ускорения работы приложений Huawei SmartRadio позволяет еще
больше снизить задержку обслуживания — до 10 мс.
2. ABD
• Основные различия между WAN и LAN заключаются в следующем:
▫ Устройства LAN обычно являются коммутаторами, тогда как устройства WAN — это, в
основном, маршрутизаторы.
▫ LAN принадлежит учреждению или организации, тогда как большинство услуг WAN
предоставляется интернет-провайдерами.
▫ Интернет — это разновидность WAN. Малые предприятия используют Интернет как соединение
WAN.
• На начальном этапе общие стандарты физического уровня WAN включают стандарты интерфейса
EIA/TIA-232 (RS-232), сформулированные Альянсом электронной индустрии (EIA) и Ассоциацией
телекоммуникационной индустрии (TIA), стандарты последовательных интерфейсов V.24 и V.35,
сформулированные Международным союзом электросвязи (МСЭ), и стандарты G.703, относящиеся к
физическим и электрическим характеристикам различных цифровых интерфейсов.
• Общие стандарты уровня канала передачи данных WAN включают управление каналом передачи
данных высокого уровня (HDLC), PPP, FR и ATM.
▫ HDLC — это универсальный протокол, работающий на уровне канала передачи данных. Пакеты
данных инкапсулируются в кадры HDLC с добавлением заголовка и хвоста. Кадры HDLC могут
передаваться только по синхронным каналам P2P и не поддерживают согласование IP-адресов
и аутентификацию. HDLC стремится к высокой надежности за счет большого объема служебной
информации, что приводит к низкой эффективности передачи.
▫ PPP работает на уровне канала данных для передачи данных P2P по полнодуплексным
синхронным и асинхронным каналам. PPP является широко распространенным протоколом,
поскольку он обеспечивает аутентификацию пользователей, поддерживает синхронную и
асинхронную связь и легко расширяется.
▫ Сети ATM — это сети с трансляцией ячеек (cell-relay), сети с установлением соединения
(connection-oriented), а также коммутируемые сети.
• Соединение PPP может быть установлено после прохождения этапов установления соединения,
аутентификации и согласования параметров сетевого уровня. Подробная информация:
1. Два взаимодействующих устройства находятся на этапе Установления соединения (Establish).
2. На этапе Установления соединения выполняется согласование LCP для согласования MRU,
режима аутентификации, системного кода против зацикливания и других параметров. Если
согласование выполнено успешно, выполняется переход на этап Открыт (Opened), указывая на
то, что канал нижнего уровня установлен.
3. Если аутентификация настроена, устройства переходят на этап Аутентификации (Authenticate).
В противном случае устройства сразу переходят на этап Сеть (Network).
4. На этапе Аутентификации выполняется аутентификация в зависимости от того, какой режим
был согласован на этапе Установления соединения. Доступны два режима аутентификации:
PAP и CHAP. Если аутентификация прошла успешно, устройства переходят на этап Сеть. В
противном случае устройства перейдут в состояние Терминирования (Terminate), разорвут
соединение и установят для статуса LCP значение Отключен (Down).
5. На этапе Сеть согласование NCP выполняется на канале PPP для выбора и настройки
протокола сетевого уровня и согласования параметров сетевого уровня. Наиболее
распространенным протоколом является IPCP, который используется для согласования
параметров IP.
6. Если на этапе Терминирования высвобождаются все ресурсы, два взаимодействующих
устройства переходят в состояние Отключен (Dead).
• Во время работы PPP соединение PPP может быть прервано в любой момент. Отключение
физического канала, сбой аутентификации, истечение таймера таймаута и прерывание соединения
администратором в процессе настройки могут привести к переходу PPP-соединения в состояние
Терминирования.
• Формат кадра PPP:
▫ Поле Flag (Флаг) определяет начало и конец физического кадра и представляет собой
двоичную последовательность 01111110 (0X7E).
▫ Поле Control (Управление) кадра данных PPP по умолчанию имеет значение 00000011 (0X03),
что указывает на то, что кадр является неупорядоченным.
▫ Поле FCS — это 16-битная контрольная сумма, используемая для проверки целостности кадров
PPP.
▫ Если поле Protocol имеет значение 0XC021, структура поля Information выглядит следующим
образом:
▪ Поле Data (Данные) содержит различные параметры TLV для согласования вариантов
конфигурации, включая MRU, протокол аутентификации и т.п.
• Общие параметры конфигурации, передаваемые в пакетах LCP, включают MRU, протокол
аутентификации и системный код против зацикливания (magic number).
▫ Общими протоколами аутентификации PPP являются PAP и CHAP. На концах канала PPP могут
использоваться различные протоколы для аутентификации друг друга. Однако
аутентифицируемая сторона должна поддерживать протокол аутентификации, который требует
аутентифицирующая сторона, и ее аутентификационные данные, например имя пользователя и
пароль, должны быть правильно сконфигурированы.
▫ LCP использует системные коды против зацикливания для обнаружения петель каналов и
других исключений. Системный код против зацикливания — это случайное число. Механизм
случайного выбора должен гарантировать, что вероятность генерирования одного и того же
системного кода против зацикливания на обоих концах равна нулю.
• R1 и R2 подключены через последовательный канал и работают по протоколу PPP. После того, как
физический канал становится доступным, R1 и R2 используют LCP для согласования параметров
канала.
• После получения пакета Configure-Reject R1 повторно отправляет пакет Configure-Request на R2. Этот
пакет содержит только те параметры, которые могут быть идентифицированы R2.
• После завершения согласования LCP аутентификатор требует, чтобы одноранговый узел использовал
PAP для аутентификации.
▫ После получения пакета от однорангового узла локальный узел проверяет IP-адрес в пакете.
Если IP-адрес является допустимым индивидуальным IP-адресом и отличается от локально
настроенного IP-адреса (нет конфликта IP-адресов), локальный узел считает, что одноранговый
узел может использовать этот адрес, и отвечает пакетом Configure-Ack.
• Процесс согласования динамического IP-адреса заключается в следующем:
• DMAC указывает MAC-адрес устройства назначения, который обычно является индивидуальным или
широковещательным адресом Ethernet (0xFFFFFFFF).
• Eth-Type указывает тип протокола. Значение 0x8863 указывает, что передаются пакеты обнаружения
PPPoE. Значение 0x8864 указывает, что передаются пакеты сеанса PPPoE.
▫ Code: тип пакета PPPoE. Разные значения указывают разные типы пакетов PPPoE.
▫ Session ID: идентификатор сеанса PPPoE. Это поле определяет сеанс PPPoE вместе с полями
Ethernet SMAC и DMAC.
• Согласование PPP на этапе сеанса PPPoE аналогично обычному согласованию PPP, которое
включает этапы согласования LCP, аутентификации и NCP.
▫ На этапе LCP сервер PPPoE и клиент PPPoE устанавливают и настраивают канал передачи
данных, а также проверяют состояние канала передачи данных.
▫ После аутентификации PPP переходит на этап согласования NCP. NCP — это набор
протоколов, используемый для настройки различных протоколов сетевого уровня. Обычно
используется протокол сетевого уровня IPCP, который отвечает за настройку IP-адресов для
пользователей и серверов доменных имен (DNS).
• После успешного согласования PPP пакеты данных PPP могут пересылаться по установленному
каналу PPP. Пакеты данных, передаваемые на этом этапе, должны содержать идентификатор сеанса,
определенный на этапе обнаружения, а идентификатор сеанса должен оставаться неизменным.
• В пакете PADT MAC-адрес назначения является индивидуальным адресом, а идентификатор сеанса
— ID сеанса, который будет закрыт. После получения пакета PADT, сеанс закрывается.
• Настройка клиента PPPoE включает три этапа:
▫ Команда dialer user user-name конфигурирует имя пользователя для однорангового узла. Это
имя пользователя должно быть таким же, как имя пользователя PPP на одноранговом сервере.
• Этап 3: настройте статический маршрут по умолчанию. Этот маршрут позволяет трафику, который не
соответствует ни одной записи в таблице маршрутизации, инициировать сеанс PPPoE через
интерфейс номеронабирателя.
• Конфигурации сервера PPPoE
2. C
3. C
• Управление, эксплуатация и техобслуживание сети — это управление программным или аппаратным
обеспечением.
• Как правило, в корпоративной сети есть специальный отдел или персонал, отвечающий за
управление, эксплуатацию и техническое обслуживание сети.
• Примечание:
▫ Режим командной строки: войти в систему можно через консольный порт, Telnet или SSH для
управления устройством и его обслуживания. Этот режим обеспечивает усовершенствованное
управление устройством, но требует, чтобы пользователи умели пользоваться командной
строкой.
▫ В мае 1990 года RFC 1157 определил первую версию SNMP: SNMPv1. RFC 1157 обеспечивает
систематический метод мониторинга и управления сетями. SNMPv1 реализует аутентификацию
на основе имени сообщества, но не обеспечивает высокий уровень безопасности. Кроме того, в
пакетах SNMPv1 передается только несколько кодов ошибок.
▫ В 1996 году Инженерная группа Интернета (IETF) выпустила RFC 1901, в котором определен
протокол SNMPv2c. SNMPv2c обеспечивает усовершенствование стандартных кодов ошибок,
типов данных (Counter 64 и Counter 32) и операций, включая GetBulk и Inform.
• При создании ловушки устройство сообщает тип текущей ловушки вместе с некоторыми переменными.
Например, при отправке ловушки linkDown устройство также отправляет такие переменные, как индекс
интерфейса и текущее состояние конфигурации задействованного интерфейса.
▫ Get-Request: NMS извлекает одно или несколько значений параметров из MIB процесса агента
на управляемом устройстве.
▫ Set-Request: NMS устанавливает одно или несколько значений параметров в MIB процесса
агента.
▫ Response: процесс агента возвращает одно или несколько значений параметров. Это ответ на
три предыдущих операции.
▫ Trap: процесс агента отправляет сообщения в NMS, чтобы уведомить NMS о критических или
значительных событиях.
• SNMPv2c поддерживает следующие операции:
▫ Аутентификация личных данных: процесс, в котором процесс агента (или NMS) подтверждает
получение сообщения от авторизованного NMS (или процесса агента) и факт изменения
сообщения во время передачи.
• Клиент и сервер устанавливают соединение на основе протокола безопасной передачи, такого как
Secure Shell (SSH) или Transport Layer Security (TLS), и устанавливают сеанс NETCONF после обмена
данными между двумя сторонами с помощью пакетов Hello. Таким образом, клиент и сервер могут
обмениваться сообщениями. Сетевое устройство должно поддерживать хотя бы один сеанс
NETCONF. Данные, которые клиент NETCONF получает от сервера NETCONF, могут быть
конфигурационными данными или данными состояния.
• NETCONF использует SSH для безопасной передачи и использует удаленный вызов процедур (RPC)
для реализации связи между клиентом и сервером.
• YANG был разработан для NETCONF, но используется не только в NETCONF. Хотя язык
моделирования YANG является унифицированным, файлы YANG не унифицированы.
▫ OpenConfig YANG
2. C
3. A
4. A
• Интернет-протокол версии 4 (IPv4): текущая версия IP. IPv4 использует 32-битные (четырёхбайтные)
адреса состоящие из четырех октетов, и имеющие десятичное представление с разделительными
точками. Каждый IPv4-адрес состоит из номера сети, необязательного номера подсети и номера узла.
Номера сети и подсети вместе используются для маршрутизации, а номер узла используется для
адресации отдельного узла в сети или подсети.
• Иерархическая структура адресного пространства: адреса IPv6 делятся на разные сегменты адресов в
зависимости от сценариев применения благодаря почти бесконечному адресному пространству.
Кроме того, непрерывность сегментов индивидуального IPv6-адреса строго необходима для
предотвращения «дыр» в диапазонах IPv6-адресов, что упрощает агрегирование маршрутов IPv6 для
уменьшения размера таблиц IPv6-адресов.
• Автоматическая настройка: любой хост или терминал должен иметь определенный IP-адрес для
получения сетевых ресурсов и передачи данных. Традиционно IP-адреса назначаются вручную или
автоматически с помощью DHCP. Помимо двух предыдущих методов, IPv6 также поддерживает
SLAAC.
• Целостность сети E2E: NAT, используемый в сетях IPv4, нарушает целостность данных,
передаваемых по сквозной линии. Если используется IPv6 необходимость в использовании устройств
NAT отпадает. Процессы управления характеристиками и мониторинг сети становятся простыми.
Кроме того, приложениям не требуется сложный код адаптации NAT.
• Высокая безопасность: IPsec изначально был разработан для IPv6. Поэтому пакеты протоколов на
основе IPv6 (пакеты протокола маршрутизации и пакеты обнаружения соседей) могут быть
зашифрованы в сквозном (E2E) режиме, несмотря на то, что эта функция в настоящее время широко
не используется. Функции безопасности пакетов уровня данных IPv6 аналогичны функциям
безопасности IPv4 + IPsec.
• Высокая масштабируемость: расширенные заголовки IPv6 не являются частью основного пакета
данных. Однако при необходимости расширенные заголовки можно вставить между основным
заголовком IPv6 и действительной полезной нагрузкой, чтобы упростить в IPv6 процедуры
шифрования, мобильности, выбора оптимального пути и QoS, а также повысить эффективность
пересылки пакетов.
• Повышение качества обслуживания за счет механизмов QoS: IPv6 резервирует все атрибуты QoS IPv4
и дополнительно определяет 20-байтовое поле Flow Label (Метка потока) для приложений или
терминалов. Это поле можно использовать для выделения определенных ресурсов специальным
услугам и потокам данных. В настоящее время этот механизм еще не полностью разработан и не
применяется.
• Описание полей основного заголовка IPv6:
▫ Traffic Class (Класс трафика): длина 8 бит. Это поле указывает класс или приоритет пакета IPv6.
Похоже на поле TOS в пакете IPv4 и используется в основном в управлении QoS.
▫ Flow Label (Метка потока): длина 20 бит. Это поле было добавлено в IPv6, чтобы различать
трафик в реальном времени. Метка потока и IP-адрес источника вместе могут
идентифицировать уникальный поток данных. Промежуточные сетевые устройства могут
эффективно различать потоки данных на основе этого поля.
▫ Payload Length (Длина полезной нагрузки): длина 16 бит. Это поле указывает длину части (а
именно, расширенных заголовков и PDU верхнего уровня) в пакете IPv6, следующую за
основным заголовком IPv6.
▫ Next Header (Следующий заголовок): длина 8 бит. Это поле определяет тип первого
расширенного заголовка (если есть), следующего за основным заголовком IPv6, или тип
протокола в PDU верхнего уровня (аналогично полю Protocol в IPv4).
▫ Hop Limit (Лимит количества переходов): длина 8 бит. Это поле аналогично полю Time to Live в
пакете IPv4. Определяет максимальное количество переходов, через которые может пройти IP-
пакет. Значение уменьшается на 1 каждый раз, когда IP-пакет проходит через узел. Если
значение Hop Limit уменьшается до нуля, пакет отбрасывается.
▫ Source Address (Адрес источника): длина 128 бит. В этом поле указывается адрес отправителя
пакета.
▫ Destination Address (Адрес назначения): длина 128 бит. В этом поле указывается адрес
получателя пакета.
• Заголовок пакета IPv4 содержит необязательное поле Options, которое может представлять
параметры безопасности, отметки времени или записывать варианты маршрута. Поле Options
расширяет заголовок пакета IPv4 с 20 до 60 байтов. Поле Options должно обрабатываться всеми
промежуточными устройствами. В результате потребляется большое количество ресурсов. Поэтому
на практике это поле редко используется.
• IPv6 удаляет поле Options из основного заголовка и помещает его в расширенные заголовки, которые
помещаются между основным заголовком IPv6 и PDU верхнего уровня. Пакет IPv6 может передавать
ноль, один или несколько расширенных заголовков. Отправитель добавляет один или несколько
расширенных заголовков к пакету только тогда, когда отправитель запрашивает устройство
назначения или другие устройства для выполнения специальной обработки. Длина расширенных
заголовков IPv6 не ограничена 40 байтами, так что новые параметры могут быть добавлены позже.
Эта функция вместе с режимами обработки опций позволяет использовать опции IPv6. Однако для
повышения эффективности обработки расширенного заголовка и производительности транспортного
протокола длина расширенного заголовка всегда составляет целое число кратное 8 байт.
• При использовании нескольких расширенных заголовков поле Next Header предыдущего заголовка
указывает тип текущего расширенного заголовка. Таким образом, формируется цепной список
заголовков пакетов.
• Если в одном пакете IPv6 используется более одного расширенного заголовка, эти заголовки должны
появляться в следующем порядке:
3. Заголовок Routing: используется источником IPv6 для перечисления одного или нескольких
промежуточных узлов, которые необходимо «посетить» на пути к месту назначения пакета.
4. Заголовок Fragment: используется источником IPv6 для отправки пакета, длина которого
превышает MTU пути к пункту назначения.
• Многоадресные (или групповые) адреса IPv6, подобно одноименным адресам IPv4, идентифицируют
группу интерфейсов. Пакеты, посылаемые на этот адрес, доставляются всем интерфейсам –
участникам группы рассылки. Прослушивать пакеты для соответствующего многоадресного адреса
могут только интерфейсы, которые входят в группу рассылки.
▫ Флаги (Flags)
▫ Область (Scope)
▪ 0: зарезервировано
▪ F: зарезервировано
• Пример сценария использования многоадресной группы запрошенных узлов: в IPv6 ARP и
широковещательные адреса отменены. Если устройство запрашивает MAC-адрес, соответствующий
IPv6-адресу, устройству необходимо отправить пакет запроса, который является многоадресным
пакетом. IPv6-адрес назначения пакета — это многоадресный адрес запрошенного узла,
соответствующий целевому индивидуальному IPv6-адресу. Поскольку только целевой узел
прослушивает многоадресный адрес запрошенного узла, многоадресный пакет будет принят только
целевым узлом. И это не влияет на производительность сети других нецелевых узлов.
• В процессе задействован инициатор пакета и одно или несколько отвечающих устройств.
▫ Формат произвольного адреса такой же, как и у индивидуального адреса. Однако устройство
может отправлять пакеты нескольким устройствам с одним и тем же произвольным адресом.
• Процедура DAD использует сообщения ICMPv6 NS и NA, чтобы гарантировать, что в сети не
существует двух одинаковых индивидуальных адресов. Процедура DAD выполняется на всех
интерфейсах, прежде чем они начнут использовать индивидуальные адреса.
• IPv6 поддерживает автоматическую настройку адресов с отслеживанием и без отслеживания
состояния. Флаг управляемой конфигурации адресов (флаг M) и флаг другой конфигурации (флаг O) в
сообщениях ICMPv6 RA используются для управления режимом, в котором терминалы автоматически
получают адреса.
▫ Используется DHCPv6. Клиент IPv6 получает полный 128-битный адрес IPv6, а также другие
параметры адреса, такие как параметр адреса сервера DNS и SNTP, от сервера DHCPv6.
• Для SLAAC, M = 0, O = 0:
▫ Используется ICMPv6.
▫ В SLAAC информация о статусе хостов или о том, находятся ли хосты в сети, для
маршрутизаторов не имеет значения.
• Система доменных имен (DNS): механизм, который сопоставляет легко запоминающиеся доменные
имена с адресами IPv6, которые могут быть идентифицированы сетевыми устройствами.
• Простой протокол сетевого времени (SNTP): является упрощённой реализацией протокола NTP и
используется для синхронизации часов компьютеров в Интернете.
• Предположим, что R1 - это онлайн-устройство с IPv6-адресом 2001::FFFF/64. После того, как
компьютер перейдет в режим онлайн, он будет настроен с тем же IPv6-адресом. Перед
использованием адреса IPv6 ПК выполняет DAD для адреса IPv6. Процесс заключается в следующем:
2. Все узлы на канале получают многоадресное сообщение NS. Интерфейсы узлов, которые не
настроены с 2001::FFFF, не добавляются в многоадресную группу запрошенных узлов,
соответствующую 2001::FFFF. Следовательно, эти интерфейсы узла будут отбрасывать
полученное NS-сообщение. Интерфейс R1 настроен с 2001::FFFF и присоединяется к
многоадресной группе FF02::1:FF00:FFFF. После получения NS-сообщения с 2001::FFFF в
качестве IP-адреса назначения, R1 анализирует сообщение и обнаруживает, что адрес
назначения DAD совпадает с адресом его локального интерфейса. После этого R1 сразу же
передает сообщение NA. Адрес назначения сообщения NA - FF02::1, то есть многоадресный
адрес всех узлов. Кроме того, в сообщении NA заполняются адрес назначения 2001::FFFF и
MAC-адрес интерфейса.
3. ПК получает сообщение NA, и знает, что 2001 :: FFFF уже используется на канале. После чего
ПК помечает этот адрес как дублированный. Этот IP-адрес нельзя использовать для связи.
Если сообщение NA не получено, ПК определяет, что адрес IPv6 может быть использован.
Механизм DAD аналогичен механизму Gratuitous ARP в IPv4.
• ARP или широковещательная рассылка не используется для разрешения IPv6-адресов. Вместо этого,
для разрешения адресов канального уровня IPv6 использует те же сообщения NS и NA, что и в
процедуре DAD.
▫ Открытый исходный код. Бурное развитие Linux подтвердило правильность открытого исходного
кода и «базарной модели» (bazaar model). Тысячи разработчиков могут быстро сформулировать
стандарты для ускорения инноваций.
• В качестве примера для описания плоскости передачи, плоскости контроля и плоскости управления
используется коммутатор.
• Плоскость контроля: предоставляет такие функции, как обработка протокола, обработка услуг, расчет
маршрута, управление пересылкой, планирование услуг, сбор статистики трафика и обеспечивает
безопасность системы. Плоскость контроля коммутатора используется для контроля и управления
работой всех сетевых протоколов. Плоскость контроля предоставляет различную сетевую
информацию и записи запросов передачи, необходимые для обработки и передачи данных в
плоскости данных.
• Плоскость управления: обеспечивает такие функции, как мониторинг системы и окружающей среды,
обработка записей журналов и аварийных сигналов, загрузка системного программного обеспечения и
обновление системы. Уровень управления коммутатора предоставляет персоналу управления сетью
протоколы Telnet, Web, SSH, SNMP и RMON для управления устройствами, а также поддерживает,
анализирует и выполняет команды для настройки сетевых протоколов. Параметры, относящиеся к
различным протоколам, должны быть предварительно сконфигурированы в плоскости контроля. При
необходимости в работу плоскости контроля можно вмешаться.
• Некоторые продукты Huawei можно разделить на устройства плоскости данных, плоскости управления
и плоскости мониторинга.
• Видение развертывания сетевых услуг (VN):
▫ Сообщение Echo: сообщение Echo Request может отправлять коммутатор или контроллер, но
получатель должен отвечать сообщением Echo Reply. Это сообщение может быть
использовано для измерения задержки и соединения между контроллером и коммутатором.
Другими словами, сообщения Echo – это heartbeat-сообщения.
• Протокол OpenFlow все еще находится на стадии доработки. Подробная информация о других типах
сообщений приведена в спецификациях коммутатора OpenFlow Switch, опубликованных Открытым
фондом сетевых технологий (Open Networking Foundation, ONF).
• Match Fields (Поля соответствий) — это поле, с которым сопоставляется пакет. (OpenFlow 1.5.1
поддерживает 45 опций). Может содержать входящий интерфейс, данные таблицы между потоками,
заголовок пакета уровня 2, заголовок пакета уровня 3 и номер порта уровня 4.
• Instructions (Набор инструкций): обработка OpenFlow, когда пакет соответствует записи потока. Если
пакет соответствует записи потока, выполняется действие, определенное в поле Instructions каждой
записи потока. Поле Instructions влияет на пакеты, наборы действий и конвейерную обработку.
• Timeouts (Тайм-ауты): время устаревания записей потока, включая значения Idle Time и Hard Time.
▫ Idle Time: если по истечении времени Idle Time ни один пакет не соответствует записи потока,
запись потока удаляется.
▫ Hard Time: по истечении времени Hard Time запись потока удаляется независимо от того,
соответствует ли пакет записи потока.
• Уровень управления: на этом уровне развернут контроллер SDN, который является ядром сетевой
архитектуры SDN. Уровень управления (контроллера) — это мозг системы SDN, его основная функция
заключается в реализации оркестровки сетевых сервисов.
• SBI: SBI, используемые контроллером для взаимодействия с устройствами по таким протоколам, как
NETCONF, SNMP, OpenFlow и OVSDB.
• Облачная платформа: платформа управления ресурсами в облачном ЦОД. Облачная платформа
управляет сетевыми, вычислительными ресурсами и ресурсами хранения. OpenStack — самая
распространенная облачная платформа с открытым исходным кодом.
• Система управления элементами (EMS) управляет одним или несколькими элементами сети
электросвязи (NE) определенного типа.
• MTOSI или CORBA используется для взаимодействия с BSS или OSS. Kafka или SFTP можно
использовать для подключения к платформе больших данных.
• iMaster NCE преобразует сервисные намерения в настройки физической сети. Осуществляет
управление, контроль и анализ глобальных сетей централизованно в южном направлении.
Обеспечивает перевод ресурсов в облако, автоматизацию сети на всех этапах жизненного цикла и
интеллектуальный контур с автоматическим управлением на основе больших данных для бизнес-
целей и сервисных намерений. Предоставляет северные открытые API-интерфейсы для быстрой
интеграции с ИТ-системами.
• iMaster NCE можно использовать в сценариях корпоративной сети центра обработки данных (DCN),
корпоративной кампусной сети и сценариях взаимосвязи филиалов предприятия (SD-WAN), чтобы
сделать корпоративные сети простыми, интеллектуальными, открытыми и безопасными, ускорить
трансформацию и внедрение инноваций корпоративных сервисов.
• iMaster NCE-Fabric подключается к ИТ-системе пользователя, чтобы соответствовать модели
намерений пользователя и передавать настройки на устройства через NETCONF для быстрого
развертывания услуг.
• Центр регистрации: центр запросов на регистрацию устройств Huawei, также называемый центром
регистрации, является одним из основных компонентов решения Huawei CloudCampus. Используется
для запроса режима управления устройством и прав на регистрацию. Устройство определяет, следует
ли переключиться в режим управления в облаке и на какой платформе управления облаком
зарегистрироваться, на основе результата запроса. В качестве примера используется точка доступа.
Для устройств Huawei, поддерживающих управление через облако, предварительно настроены URL-
адрес (register.naas.huawei.com) и номер порта (10020) центра регистрации устройств Huawei.
• Виртуализированные сетевые функции (VNF) реализуются путем виртуализации традиционных
сетевых элементов, таких как IMS и клиентское оборудование операторов связи. В результате
унификации оборудования традиционные сетевые элементы больше не являются продуктами со
встроенным программным и аппаратным обеспечением. Вместо этого они устанавливаются на
универсальное оборудование (NFVI) как программное обеспечение.
• В 2015 году исследование NFV перешло на второй этап. Основная цель исследования — создать
совместимую экосистему NFV, способствовать более широкому участию отрасли и обеспечить
выполнение требований, определенных на первом этапе. Кроме того, ETSI NFV ISG определяет идеи
взаимодействия между стандартами NFV и SDN и проектами с открытым исходным кодом. На втором
этапе NFV задействовано пять рабочих групп: IFA (архитектура и интерфейс), EVE (экосистема), REL
(надежность), SEC (безопасность) и TST (тестирование, выполнение и открытый исходный код).
Каждая рабочая группа обсуждает структуру конечных документов и план реализации.
▫ Широкий доступ к сети: пользователи могут получить доступ к сетям в любое время и в любом
месте.
▫ Измеримый сервис: основанием для начисления платы является то, что использованные
ресурсы можно измерить. Например, тарификация зависит от количества процессоров, места
для хранения и пропускной способности сети.
• Каждый уровень архитектуры NFV может предоставляться разными поставщиками, что
совершенствует разработку системы, но увеличивает сложность интеграции системы.
• NFV реализует эффективное использование ресурсов за счет нормализации устройств и разделения
программного и аппаратного обеспечения, снижения совокупной стоимости владения, сокращения
времени развертывания услуг и построения открытой отраслевой экосистемы.
• NFVI включает аппаратный уровень и уровень виртуализации, которые в отрасли также называются
COTS и CloudOS.
▫ COTS: универсальное оборудование, ориентированное на доступность и универсальность,
например, сервер Huawei серии FusionServer.
▫ CloudOS: программное обеспечение облачной платформы, которое можно рассматривать как
операционную систему телекоммуникационной отрасли. CloudOS преобразует физические
вычислительные ресурсы, ресурсы хранения и сетевые ресурсы в виртуальные ресурсы для
программного обеспечения верхнего уровня, например Huawei FusionSphere.
• VNF: VNF можно рассматривать как приложение с различными сетевыми функциями, которое
реализуется программным обеспечением традиционных сетевых элементов (таких как IMS, EPC,
BRAS и CPE) операторов связи.
• MANO: MANO вводится для предоставления сетевых услуг в среде NFV с несколькими поставщиками
информационных технологий и компьютерной техники, включая выделение физических и виртуальных
ресурсов, вертикальную оптимизацию уровней управления и быструю адаптацию и взаимодействие с
сетевыми элементами новых поставщиков. MANO включает в себя оркестратор виртуализации
сетевых функций (NFVO, система отвечающая за управление жизненным циклом сетевых сервисов),
диспетчер виртуализированных сетевых функций (VNFM, система отвечающая за управление
жизненным циклом VNF) и диспетчер виртуализированной инфраструктуры (VIM, система отвечающая
за управление ресурсами NFVI).
• BSS: система поддержки бизнеса
• Гипервизор — это программный уровень между физическими серверами и ОС. позволяет нескольким
ОС и приложениям использовать один и тот же набор физического оборудования. Гипервизор можно
рассматривать как метаоперационную систему в виртуальной среде, которая может координировать
все физические ресурсы и виртуальные машины на сервере. Его также называют монитором
виртуальных машин (VMM). Гипервизор — это основа всех технологий виртуализации. Основные
гипервизоры: KVM, VMWare ESXi, Xen и Hyper-V.
• DSL: цифровая абонентская линия
▫ Открытая экосистема
• Многие инструменты для автоматизации сети обладают открытым исходным кодом, например
Ansible, SaltStack, Puppet и Chef. Сетевым инженерам рекомендуется обучиться
программированию.
• В зависимости от уровня компьютерные языки также могут быть разделены на машинные
языки, языки сборки и языки высокого уровня. Машинные языки состоят из бинарных
инструкций, содержащие 0 и 1, которые могут быть напрямую идентифицированы машиной.
Поскольку машинные языки сложно понять, аппаратные бинарные инструкции инкапсуляются
для облегчения идентификации и запоминания (например, MOV и ADD), что составляет язык
сборки. Данные два языка являются языками низкого уровня, а языками высокого уровня
являются такие языки, как C, C++, Java, Python, Pascal, Lisp, Prolog, FoxPro и Fortran. Программы,
написанные на языках высокого уровня, не могут быть идентифицированы компьютерами
напрямую. Перед выполнением программ необходимо преобразовать данные языки в
машинные.
• Процесс выполнения технологического стека и программ компьютера. Слева изображен стек
вычислительных технологий. Из нижнего слоя аппаратного обеспечения физические
материалы и транзисторы используются для реализации цепей и регистрации, а затем
формируется микроархитектура ЦПУ. Набор команд ЦПУ представляет собой интерфейс между
аппаратным и программным обеспечением. Приложение «руководит» аппаратным
обеспечением для выполнения вычислений с использованием инструкций, определенных в
наборе команд.
• Эта презентация не описывает синтаксис Python. Подробнее о синтаксисе Python см. курс HCIP.
• if...else... — полный блок кода с тем же отступами.
• print(a) вызывает параметр a, который находится в одном блоке кода с пунктом if...else....
• Декларация интерпретатора используется для указания пути компилятора, который выполняет
этот файл (компилятор установлен в пути не по умолчанию либо используется один из
компиляторов Python). В Windows можно опустить первую строку декларации интерпретатора,
указанную в примере выше.
• Функция определяется внутри основной части класса. При вызове в качестве атрибута
экземпляра данного класса метод получает объект экземпляра в качестве первого аргумента
(который обычно называется self).
• Связь Telnet использует режим внутренней сигнализации. То есть команды Telnet передаются в
потоках данных. Чтобы отличать команды Telnet от общих данных, Telnet использует
управляющие последовательности для вывода. Управляющая последовательность для вывода
состоит из 2 байт. Первый байт (0xFF) называется IAC (Interpret As Command), что обозначает,
что вторым байтом является команда. EOF также является командой Telnet. Ее десятичный код
— 236.
• Сокет — это абстрактный слой. Приложения обычно отправляют запросы или отвечают на
сетевые запросы через сокеты.
• Password:
• Добавьте строку b, b'str', указывающую, что строка является объектом байтов. В этом примере
b'Password:' означает, что строка Password:' преобразуется в строку типа байтов. Формат
шифрования соответствует официальным требованиям модуля telnetlib.
▫ Выходная зона: как граница, которая соединяет кампусную сеть с внешней сетью, эта
зона обеспечивает взаимный доступ между двумя сетями. Как правило, в этой зоне
развертывается большое количество устройств сетевой безопасности, например,
устройства системы предотвращения вторжений (IPS), устройства защиты от DDoS и
межсетевые экраны для защиты от атак из внешних сетей.
▫ Зона управления сетью: системы управления сетью, включая контроллер SDN, WAC и
eLog (сервер журналов), развернуты в этой зоне для управления и мониторинга всей
кампусной сети.
• Проект кампусной сети начинается с планирования и проектирования сети. Комплексное и
детальное планирование сети является прочной основой для последующей реализации
проекта.
▫ S3700 работает как коммутатор доступа для обеспечения доступа к сети со скоростью 100
Мбит/с для ПК и принтеров сотрудников.
• Примечание: Agg означает устройство на уровне агрегации. Acc означает устройство доступа.
• Для назначения IP-адреса можно использовать назначение динамического IP-адреса или
привязку статического IP-адреса. В небольшой или средней кампусной сети IP-адреса
назначаются на основе следующих принципов: