• Примеры сетевой связи:

▫ A. Два компьютера, соединенные сетевым кабелем , образуют простейшую

сеть.

▫ B. Небольшая сеть, состоящая из маршрутизатора (или коммутатора) и

нескольких компьютеров. В такой сети файлы могут свободно передаваться
между любыми двумя компьютерами через маршрутизатор или коммутатор.

▫ C. Для загрузки файла с веб-сайта компьютер должен быть подключен к

Интернету.

• Интернет является крупнейшей компьютерной сетью в мире. Его предшественница

сеть ARPAnet появилась в 1969 году. Широкая популяризация и применение
Интернета является одним из ключевых этапов информационной эпохи.
• Сравним экспресс-доставку реальных объектов и сетевую связь

• Аналог реальных объектов в экспресс-доставке:

▫ Информация (или данные), которые генерирует приложение для доставки.

• Реальные объекты упаковываются в посылки, к ним прилагается бланк доставки,

содержащий имя и адрес грузополучателя.

▫ По аналогии, приложение упаковывает данные, добавляя заголовок и

концевик для формирования пакета данных. Важной информацией в пакете
является адрес получателя, т.н. адрес назначения.

▫ Процесс добавления одних блоков данных в другой для формирования нового

блока данных называется инкапсуляцией.

• Посылки отправляются в распределительный центр, где они сортируются по

адресам назначения, причем те, что должны следовать в один город, размещаются
на в одной группе:

▫ По аналогии, пакет с данными доходит до маршрутизатора (шлюза) с

помощью сетевого кабеля. После получения пакета шлюз декапсулирует пакет,
считывает адрес назначения и затем повторно инкапсулирует пакет. Затем
пакет отправляется следующему маршрутизатору согласно адресу
назначения. После прохождения через граничный шлюз пакет покидает
локальную сеть и попадает в Интернет для передачи.

▫ Сетевой кабель можно сравнить с автомобильной магистралью. Он является

средой передачи информации.
• По прибытии в аэропорт назначения посылки (содержащие реальные объекты)
отвозятся для сортировки, а посылки, направляемые в один и тот же район,
отправляются в один распределительный центр:

▫ По аналогии, после того, как пакет через Интернет достигает локальную сеть,
в которой находится адрес назначения, шлюз или маршрутизатор локальной
сети декапсулирует и инкапсулирует пакет, а затем отправляет пакет на
следующий маршрутизатор в соответствии с адресом назначения. Наконец,
пакет достигает шлюза (маршрутизатора) сети, в которой находится
компьютер назначения.

• Распределительный центр сортирует посылки на основе адресов назначения.

Курьеры доставляют посылки получателям. Каждый получатель распаковывает
посылку и принимает его, убедившись, что объекты не повреждены. Таким образом
завершается процесс доставки.

▫ По аналогии, когда пакет достигает шлюза сети, в которой находится

компьютер назначения, пакет декапсулируется и инкапсулируется, а затем
отправляется на соответствующий компьютер по адресу назначения. Получив
пакет, компьютер проверяет его. Если пакет прошел проверку, компьютер
принимает пакет и отправляет его содержимое (полезную нагрузку) в
соответствующее приложение для обработки. Таким образом завершается
процесс сетевой связи.
• Полезная нагрузка: ее можно рассматривать в качестве передаваемой информации.
Однако в иерархической связи блок данных (пакет), передаваемый с верхнего
уровня на нижний уровень, может называться полезной нагрузкой для нижнего
уровня.
• Пакет: блок данных для обмена и передачи по сети. Формат: заголовок + полезная
нагрузка + концевик. Во время передачи формат и содержание пакетов могут
меняться.
• Заголовок: блок данных , добавляемый перед полезной нагрузкой данных во время
сборки пакета для упрощения передачи информации.
• Концевик: блок данных, добавляемый после полезной нагрузки для облегчения
передачи информации. Обратите внимание, что многие пакеты не имеют хвостов.
• Инкапсуляция: технология, используемая многоуровневыми протоколами. Когда
протокол нижнего уровня получает сообщение от протокола верхнего уровня,
данное сообщение добавляется к данным кадра нижнего уровня.
• Декапсуляция: обратный процесс инкапсуляции. Заголовок и хвост пакета
удаляются для получения полезной нагрузки.
• Шлюз: сетевое устройство, которое обеспечивает такие функции, как
преобразование протоколов, выбор маршрута и обмен данными, когда сети,
использующие различные архитектуры или протоколы, взаимодействуют друг с
другом. Термин «шлюз» относится не к определенному типу устройства, а к
устройствам с определенным местоположением и функциональностью.
• Маршрутизатор: сетевое устройство, которое выбирает путь передачи пакета.
• Конечное устройство: конечное устройство системы передачи данных. Являясь
отправителем или получателем данных, конечное устройство обеспечивает
необходимые функции, требуемые операциями протокола доступа пользователя.
Конечным устройством может быть компьютер, сервер, IP-телефон или мобильный
телефон.
• Коммутаторы:

▫ В кампусной сети коммутатор является устройством, ближайшим к конечным

пользователям, он используется для подключения терминалов к кампусной
сети. Коммутаторы уровня доступа обычно являются коммутаторами уровня 2
и также называются Ethernet-коммутаторами. Уровень 2 относится к
канальному уровню в эталонной модели TCP/IP.

▫ Ethernet-коммутатор может выполнять следующие функции: коммутация

кадров данных, доступ устройств конечных пользователей, основные функции
обеспечения безопасности доступа и резервирование канала уровня 2.

▫ Широковещательный домен: набор узлов, которые могут получать

широковещательные пакеты от другого узла.
• Маршрутизаторы:

▫ Маршрутизаторы работают на сетевом уровне эталонной модели TCP/IP.

▫ Маршрутизаторы могут выполнять следующие функции: поддержка таблицы

маршрутизации и маршрутной информации, обнаружение и выбор маршрутов,
переадресация данных, изоляция широковещательного домена, доступ к
глобальной сети, преобразование сетевых адресов и специальные функции
обеспечения безопасности.
• Межсетевой экран

▫ Межсетевой экран расположен между двумя сетями с различными уровнями

доверия (например, между интранетом и Интернетом). Он контролирует связь
между двумя сетями и принудительно реализует унифицированные политики
безопасности для предотвращения несанкционированного доступа к важным
информационным ресурсам.
• В широком смысле, беспроводная локальная сеть – это сеть, которая использует
радиоволны, лазерные и инфракрасные сигналы для замены некоторых или всех
носителей (среды передачи) в проводной локальной сети. Wi-Fi — беспроводная
технология на базе семейства стандартов IEEE 802.11.
• В беспроводной локальной сети стандартные устройства включают точки доступа
Fat AP, Fit AP и контроллеры доступа.
▫ Точка доступа:
▪ Как правило, поддерживаются режимы Fat AP, Fit AP и облачные режимы
управления. Вы можете гибко переключаться между этими режимами в
соответствии с требованиями сетевого планирования.
▪ Fat AP: этот режим применяется в домах. Работает независимо,
необходимо настраивать отдельно. Режим обладает простыми
функциями, имеет низкие затраты.
▪ Fit AP: применяется для средних и крупных предприятий. Для работы
требуется контроллер доступа, через который осуществляется
управление и настройка режима.
▪ Облачное управление: применяется для малых и средних предприятий.
Для единого управления и настройки требуется взаимодействие с
облачной платформой управления. Режим предоставляет различные
функции и поддерживает автоматическую настройку и запуск в работу
(plug-and-play).
▫ Контроллер доступа:
▪ Как правило, контроллер доступа развертывается на уровне агрегации
всей сети для обеспечения высокоскоростных, безопасных и надежных
услуг беспроводной локальной сети.
▪ Контроллер доступа предоставляет услуги беспроводного управления
данными с большой емкостью, высокой производительностью,
надежностью, простотой установки и техобслуживания. Он
обеспечивает гибкую организацию сети и энергосбережение.
• В зависимости от географического охвата сети могут быть классифицированы на
LAN, WAN и MAN.

• LAN

▫ Основные характеристики:

▪ LAN обычно покрывает площадь в несколько квадратных километров.

▪ Основная функция заключается в соединении нескольких терминалов,

которые находятся близко друг к другу (в доме, в одном или нескольких
зданиях, например, в кампусе).

▫ Используемые технологии: Ethernet и Wi-Fi.

• MAN

▫ Основные характеристики:

▪ MAN – это крупная локальная сеть, требующая больших затрат, но

способная обеспечить более высокую скорость передачи данных. Она
расширяет область доступа локальных сетей (может охватить
университетский кампус или город) и обладает более высокими
характеристиками среды передачи.

▪ Основная функция заключается в подключении хостов, баз данных и

локальных сетей в разных местах в одном городе.

▪ Функции MAN аналогичны функциям WAN за исключением режимов

реализации и производительности.
▫ Используемые технологии: например, Ethernet (10 Гбит/с или 100
Гбит/с) и WiMAX.
• WAN

▫ Основные характеристики:

▪ WAN обычно охватывает территорию в несколько километров или

больше (например, тысячи километров).

▪ В основном используется для соединения нескольких LAN или MAN,

которые находятся далеко друг от друга (например, между городами или
странами).

▪ Используются линии связи операторов связи.

▫ Используемые технологии: HDLC и PPP.

• Построение топологии сети:

▫ Очень важно овладеть профессиональными навыками проектирования

топологии сети, это требует много практики.

▫ Программы Visio и Power Point — два популярных инструмента для создания

топологии сети.
• Звезда

▫ Все узлы соединены через центральный узел.

▫ Преимущества: новые узлы легко добавить в сеть. Данные связи

пересылаются центральным узлом, что облегчает мониторинг сети.

▫ Недостатки: неисправности на центральном узле влияют на связь всей сети.

• Шина

▫ Все узлы соединены через шину (например, коаксиальный кабель).

▫ Преимущества: простота реализации и экономия кабеля. Как правило, отказ

узла не влияет на связь во всей сети.

▫ Недостатки: неисправность шины влияет на связь во всей сети. Информация,

отправленная узлом, может быть получена всеми другими узлами, что
приводит к низкому уровню безопасности.

• Кольцо:

▫ Все узлы соединены в замкнутое кольцо.

▫ Преимущества: экономия кабеля.

▫ Недостатки: сложно добавлять новые узлы. Исходное кольцо должно быть

прервано для добавления новых узлов и формирования нового кольца.
• Дерево

▫ Древовидная структура на самом деле является иерархической структурой

типа звезда.

▫ Преимущества: множественные сети типа звезда можно быстро объединить,

что облегчит расширение сети.

▫ Недостатки: неисправность узла на более высоком уровне становится

серьезной проблемой.

• Полносвязная топология

▫ Все узлы соединяются между собой кабелями.

▫ Преимущества: высокая надежность и высокая эффективность связи.

▫ Недостатки: для каждого узла требуется большое количество физических

портов и соединительных кабелей. В результате стоимость повышается, и
сеть трудно расширить.

• Частично полносвязная топология

▫ Взаимодействие осуществляется только между ключевыми узлами.

▫ Преимущества: стоимость ниже, чем у полносвязной сети.

▫ Недостатки: надежность ниже, чем у полносвязной сети.

• В реальной сети можно объединить различные типы топологий в зависимости от

стоимости, эффективности связи и требований к надежности.
• Сетевая инженерия включает в себя ряд действий в рамках всей сети, включая
планирование, проектирование, внедрение, ввод в эксплуатацию и устранение
неисправностей.

• Области задач, охватываемые сетевой инженерией достаточно обширны,

основными являются маршрутизация и коммутация.
• Веб-сайт экосистемы талантов Huawei: https://e.huawei.com/en/talent/#/home
• HCIA-Datacom: один курс (экзамен)
▫ Базовые понятия передачи данных, основы маршрутизации и коммутации,
безопасности, WLAN, SDN и NFV, основы автоматизации программирования и
примеры развертывания сети
• HCIP-Datacom: один обязательный курс (экзамен) и шесть факультативных курсов
для допсертификации (экзамены)
▫ Обязательный курс (экзамен):
▪ HCIP-Datacom-Основные технологии
▫ Дополнительные курсы (экзамены):
▪ HCIP-Datacom-Расширенный курс по маршрутизации и коммутации
▪ HCIP-Datacom-Планирование и развертывание кампусной сети
▪ HCIP-Datacom-Проектирование сетевого решения для предприятия
▪ HCIP-Datacom-Планирование и развертывание WAN
▪ HCIP-Datacom-Планирование и развертывание SD-WAN
▪ HCIP-Datacom-Разработчик автоматизации сетей
• HCIE-Datacom: один курс (экзамен), объединяющий два модуля
▫ Классическая сеть:
▪ Классическая теория передачи данных на основе командных строк
▪ Классическое развертывание технологии передачи данных на основе
командных строк
▫ Решение SDN Huawei:
▪ Корпоративные SDN-решения (теория)
▪ Планирование и развертывание корпоративных SDN-решений
1. C
• Компьютер может идентифицировать только цифровые данные, представленные в
виде 0 и 1. Он не может читать другие типы информации, поэтому информацию
необходимо преобразовывать по определенным правилам.

• Однако люди не имеют возможности читать электронные данные. Поэтому данные

должны быть преобразованы в информацию, понятную людям.

• Сетевой инженер должен уделять много внимания процессу сквозной передачи

данных.
• Модель взаимодействия открытых систем (OSI) была включена в стандарт ISO 7489
и опубликована в 1984 году. ISO – это Международная организация по
стандартизации.

• Эталонную модель OSI также называют семиуровневой моделью. Она включает

семь уровней (перечислены снизу вверх):

▫ Физический уровень: передает битовые потоки между устройствами и

определяет физические спецификации каналов связи, такие как уровень
электрических сигналов, скорость, коннекторы кабелей и разъемы портов.

▫ Уровень канала данных (канальный уровень): инкапсулирует биты в октеты и

октеты в кадры, использует MAC-адреса для доступа к среде передачи и
осуществляет проверку на ошибки.

▫ Сетевой уровень: определяет логические адреса, чтобы маршрутизаторы

могли определить пути и передавать данные из исходных сетей в сети
назначения.

▫ Транспортный уровень: реализует передачу данных с установлением

соединения и без него, а также проверку на ошибки перед повторной
передачей.

▫ Уровень сеанса: устанавливает, управляет и завершает сеансы между

сущностями на уровне представления. Связь на этом уровне осуществляется
через запросы услуг и ответы, передаваемые между приложениями на
различных устройствах.
▫ Уровень представления: обеспечивает кодирование и преобразование
данных, чтобы данные, отправленные уровнем приложений одной
системы, могли быть идентифицированы уровнем приложений другой
системы.

▫ Уровень приложений: этот уровень ближайший к конечному

пользователю, предоставляет сетевые сервисы для приложений.
• Модель TCP/IP по структуре аналогична модели OSI и использует иерархическую
архитектуру. Прилегающие уровни TCP/IP тесно связаны.

• В стандартной модели TCP/IP Канальный уровень (уровень канала данных) и

Физический уровень модели OSI объединены в уровень сетевого доступа. Поэтому
предлагается эквивалентная модель TCP/IP, которая связывает стандартную
модель TCP/IP и модель OSI. Информация на следующих слайдах приведена для
эквивалентной модели TCP/IP.
• Уровень приложений
▫ Протокол передачи гипертекста (HTTP): используется для доступа к
различным страницам веб-серверов.
▫ Протокол передачи файлов (FTP): предоставляет способ передачи файлов.
Он позволяет передавать данные от одного хоста к другому.
▫ Служба доменных имен (DNS): преобразует доменные имена хостов в IP-
адреса.
• Транспортный уровень
▫ Протокол управления передачей (TCP): предоставляет приложениям
надежные услуги связи, ориентированные на соединение. В настоящее время
протокол TCP используется многими популярными приложениями.
▫ Протокол пользовательских датаграмм (UDP): обеспечивает связь без
соединения и не гарантирует надежность передачи пакетов. Надежность
может быть обеспечена уровнем приложений.
• Сетевой уровень
▫ Internetwork Protocol (IP): инкапсулирует данные транспортного уровня в
пакеты данных и пересылает пакеты от источника к получателю. IP
предоставляет услуги без установления соединения, и без обеспечения
надежности.
▫ Internet Group Management Protocol (IGMP): протокол управления
многоадресной рассылкой данных в сетях, основанных на протоколе IP. В
частности, IGMP устанавливает и поддерживает членство между IP-хостами и
их многоадресными маршрутизаторами, подключенными напрямую.
▫ Internet Control Message Protocol (ICMP): отправляет контрольные сообщения
на основе IP-протокола и предоставляет информацию о различных
проблемах, которые могут существовать в среде связи. Такая
информация помогает администраторам диагностировать проблемы и
принимать надлежащие меры для решения этих проблем.
• Канальный уровень

▫ Point-to-Point Protocol (PPP): является протоколом уровня канала данных,

который работает в режиме точка-точка. PPP используется в основном в сетях
WAN.

▫ Ethernet: широковещательный протокол с множественным доступом на уровне

передачи данных, который является наиболее широко используемой
технологией локальной сети (LAN).

▫ Протокол PPPoE: подключает несколько хостов в сети к концентратору

удаленного доступа через простое устройство связи (устройство доступа).
Стандартные области применения включают домашний широкополосный
доступ.
• Стек TCP/IP позволяет передавать данные по сети. Уровни используют блоки
данных (PDU) для обмена данными, реализуя связь между сетевыми устройствами.

• Блоки данных, передаваемые на различных уровнях, содержат различную

информацию. Поэтому у блоков разные имена на разных уровнях.
• Заголовок TCP:
▫ Порт источника : идентифицирует приложение, отправившее сегмент. Это
поле длиной 16 бит.
▫ Порт назначения: идентифицирует приложение, которое принимает сегмент.
Это поле длиной 16 бит.
▫ Порядковый номер: каждый байт данных, отправленный через TCP-
соединение, имеет порядковый номер. Поле порядкового номера указывает на
порядковый номер первого байта в отправленном сегменте. Это поле длиной
32 бит.
▫ Номер подтверждения: порядковый номер первого байта следующего
сегмента, который ожидается для получения. Значение этого поля равно
порядковому номеру последнего байта, полученного в предыдущем сегменте,
увеличенному на единицу. Это поле действительно только при установлении
флага ACK. Это поле длиной 32 бит.
▫ Длина заголовка: указывает на длину заголовка TCP, измеряется в блоках по
32 бита (4 байта). Если нет содержимого в поле опции, то длина заголовка
составляет 5. Это означает, что заголовок содержит 20 байт.
▫ Резерв: это поле зарезервировано и имеет значение 0. Это поле длиной 6 бит.
▫ Биты управления: биты управления включают в себя флаги FIN, ACK и SYN, и
указывают на различные состоянии TCP соединения.
▫ Окно: используется для управления потоком TCP. Значение представляет
собой максимальное количество байтов, разрешенных получателем.
Максимальный размер окна составляет 65535 байт. Это поле длиной 16 бит.
▫ Контрольная сумма: обязательное поле. Она вычисляется и помещается в
сегмент отправителем и проверяется получателем. При вычислении
контрольной суммы используются заголовок TCP и данные TCP, а
перед сегментом TCP добавляется 12-байтный псевдозаголовок. Это
поле длиной 16 бит.
 ▫ Указатель срочности: поле указателя срочности. Указатель срочности
действует только при установке флага URG. Поле указывает на то, что
отправитель передает данные в аварийном режиме. Указатель срочности
указывает количество байт срочных данных в сегменте (срочные данные
размещаются в начале сегмента). Это поле длиной 16 бит.

▫ Параметры: это поле необязательно. Длина составляет от 0 до 40 байт.

• Заголовок UDP:

▫ Порт отправителя: идентифицирует приложение, которое отправляет сегмент.

Это поле длиной 16 бит.

▫ Порт получателя: идентифицирует приложение, которое принимает сегмент.

Это поле длиной 16 бит.

▫ Длина: определяет общую длину заголовка UDP и данных. Возможная

минимальная длина 8 байт, так как заголовок UDP уже занимает 8 байтов. Из-
за существования этого поля общая длина сегмента UDP не превышает 65535
байт (включая 8 байт заголовка и 65527 байт данных).

▫ Контрольная сумма: контрольная сумма вычисляется по заголовку UDP и

данным UDP. Это поле длиной 16 бит.
• Процесс установления TCP-соединения:

▫ Инициатор TCP-соединения (ПК1 на рисунке) отправляет первый TCP-сегмент

с установленным флагом SYN. Начальный порядковый номер (а) является
случайно сгенерированным числом. Номер подтверждения равен 0, потому
что ранее от ПК 2 не поступали сегменты.

▫ После получения корректного TCP-сегмента с установленным флагом SYN,

получатель (ПК2) отвечает TCP-сегментом с установленными флагами SYN и
ACK. Начальный порядковый номер (b) является случайно сгенерированным
числом. Поскольку сегмент является ответом для ПК1, номер подтверждения
равен a+1.

▫ После получения TCP-сегмента, в котором установлены флаги SYN и ACK,

ПК1 отвечает сегментом, в котором установлен флаг ACK, порядковый номер
равен a+1, а номер подтверждения – b+1. После того, как ПК2 получает
сегмент, устанавливается TCP-соединение.
• Предположим, что ПК1 необходимо отправить сегменты данных на ПК2. Процесс
передачи будет следующим:

1. ПК1 нумерует каждый байт, отправляемый через TCP-соединение.

Предположим, что номер первого байта равен a+1. Номер второго байта
будет равен a +2, третьего байта – a+3 и так далее.

2. ПК1 использует номер первого байта каждого сегмента данных в качестве

порядкового номера и отправляет TCP-сегмент.

3. После получения от ПК1 TCP-сегмента ПК2 необходимо подтвердить сегмент

и запросить следующий. Как определяется следующий сегмент данных?
Порядковый номер (a+1) + длина полезной нагрузки = порядковый номер
первого байта следующего сегмента (a+1+12)

4. После получения TCP-сегмента, отправленного ПК2, ПК1 обнаруживает, что

номер подтверждения равен a+1+12, что указывает на получение сегментов
от a+1 до a+12. Порядковый номер будущего сегмента должен быть a+1+12.

• Чтобы повысить эффективность отправки, отправитель может отправлять

несколько сегментов данных одновременно, которые затем по очереди будет
подтверждать получатель.
1. При трехстороннем квитировании в TCP-соединении обе стороны уведомляют друг
друга о максимальном количестве байтов (размере буфера), которые могут быть
получены локальной стороной с помощью поля Окно.

2. После установления TCP-соединения отправитель отправляет данные указанного

количества байтов на основе размера окна, заявленного получателем.

3. После получения данных получатель хранит данные в буфере и ожидает

получения буферизированных данных приложением верхнего уровня. После
получения данных приложением верхнего уровня освобождается соответствующее
пространство в буфере.

4. Получатель сообщает текущий приемлемый размер данных (окна) в соответствии с

его размером буфера.

5. Отправитель отправляет определенный объем данных в зависимости от текущего

размера окна получателя.
• TCP поддерживает передачу данных в дуплексном режиме. Это означает, что
данные можно передавать в обоих направлениях одновременно. Перед передачей
данных TCP устанавливает соединение в обоих направлениях посредством
трехстороннего квитирования. Поэтому после завершения передачи данных
соединение должно быть разъединено в обоих направлениях. Это показано на
рисунке.

1. ПК1 отправляет TCP-сегмент с установленным флагом FIN. Сегмент не

содержит данных.

2. После получения ПК1 сегмента TCP ПК2 отвечает сегментом TCP с

установленным флагом ACK.

3. ПК2 проверяет необходимость отправки данных. Если необходимо, ПК2

отправляет данные, а затем TCP-сегмент с флагом FIN для закрытия
соединения. Если нет, ПК2 напрямую отправляет TCP-сегмент с
установленным флагом FIN.

4. После получения TCP-сегмента с установленным флагом FIN ПК1 отвечает

сегментом с флагом ACK. Затем TCP-соединение разрывается в обоих
направлениях.
• Интернет-протокол версии 4 (IPv4) является наиболее распространенным
протоколом сетевого уровня.
• Когда в качестве протокола сетевого уровня используется IP, участникам
коммуникации присваивается уникальный IP-адрес для идентификации. IP-адрес
может быть записан в формате 32-разрядного двоичного числа. Чтобы облегчить
чтение и анализ, IP-адрес представляется в формате четырех десятичных чисел,
разделенных точкой, каждое в пределах от 0 до 255, например, 192.168.1.1.

• Инкапсуляция и переадресация IP-пакетов данных:

▫ При получении данных от верхнего уровня (например, транспортного уровня),

сетевой уровень инкапсулирует заголовок IP-пакета и добавляет IP-адреса
источника и назначения в заголовок.

▫ Каждое промежуточное сетевое устройство (например, маршрутизатор)

поддерживает таблицу маршрутизации, выступающую в роли маршрутной
карты, согласно которой выполняется переадресация IP-пакетов. При
получении пакета промежуточное сетевое устройство считывает адрес
назначения пакета, ищет в локальной таблице маршрутизации
соответствующую запись и пересылает IP-пакет в соответствии с инструкцией
в этой записи.

▫ Когда IP-пакет достигает хоста назначения, хост назначения определяет,

следует ли принимать пакет на основе IP-адреса назначения, а затем
обрабатывает пакет.

• В работе IP-протокола требуются протоколы маршрутизации, такие как OSPF, IS-IS

и BGP, чтобы помочь маршрутизаторам создавать таблицы маршрутизации, а
протокол ICMP требуется для контроля сетей и диагностики состояния сетей.
• MAC-адрес представляет собой шесть групп по два шестнадцатеричных значения,
разделенные дефисами, двоеточиями или без разделителя. Пример: 48-A4-72-1C-
8F-4F
• Протокол ARP является протоколом TCP/IP, который обнаруживает адрес
канального уровня, связанный с указанным IP-адресом.

• ARP является незаменимым протоколом в IPv4. Он выполняет следующие функции:

▫ Обнаруживает MAC-адрес, связанный с указанным IP-адресом.

▫ Сохраняет и кэширует сопоставление между IP-адресами и MAC-адресами

через записи ARP.

▫ Обнаруживает дублирующие IP-адреса в сегменте сети.

• Как правило, у сетевого устройства есть кэш ARP. В кэше ARP хранится
сопоставление между IP-адресами и MAC-адресами.

• Перед отправкой датаграммы устройство выполняет поиск в своей таблице ARP.

Если устройство находит соответствующую запись ARP, оно инкапсулирует
соответствующий MAC-адрес в кадре и отправляет кадр. Если устройство не
находит соответствующую запись ARP, оно отправляет запрос ARP для
обнаружения MAC-адреса.

• Полученное сопоставление между IP-адресом и MAC-адресом хранится в таблице

ARP в течение некоторого периода. В течение периода действия (180 с по
умолчанию) устройство может напрямую искать в этой таблице MAC-адрес
назначения для инкапсуляции данных без выполнения запроса ARP. После
истечения срока действия запись ARP автоматически удаляется.

• Если устройство назначения расположено в другой сети, устройство-источник ищет

в таблице ARP в поиске MAC-адрес шлюза адреса назначения и отправляет
датаграмму шлюзу. Затем шлюз переадресует датаграмму устройству назначения.
• В этом примере таблица ARP хоста 1 не содержит MAC-адрес хоста 2. Поэтому хост
1 отправляет ARP-запрос для обнаружения MAC-адреса назначения.

• Запрос ARP инкапсулируется в кадре Ethernet. MAC-адрес источника в заголовке

кадра – это MAC-адрес хоста 1 на стороне передачи. Поскольку хост 1 не знает
MAC-адрес хоста 2, MAC-адрес назначения является широковещательным адресом
FF-FF-FF-FF-FF-FF-FF-FF.

• Запрос ARP содержит MAC-адрес источника, IP-адрес источника, MAC-адрес

назначения и IP-адрес назначения. MAC-адрес назначения - все 0. Запрос ARP
передается всем хостам сети, включая шлюзы.
• После получения запроса ARP каждый хост проверяет, является ли он адресатом
сообщения, на основе переданного IP-адреса назначения. Если нет, хост не
отвечает на запрос ARP. Если да, хост добавляет MAC- и IP-адреса отправителя,
содержащиеся в запросе ARP, в таблицу ARP, а затем отвечает сообщением с
ответом ARP.
• Хост 2 отправляет ответ ARP на хост 1.

• В ответном сообщении ARP IP-адрес отправителя является IP-адресом хоста 2, а

IP-адрес получателя - IP-адресом хоста 1. MAC-адрес получателя является MAC-
адресом хоста 1, а MAC-адрес отправителя - MAC-адресом хоста 2. Тип операции –
ответ.

• Ответные сообщения ARP передаются в одноадресном режиме.

• После получения ответного сообщения ARP хост 1 проверяет, является ли он
адресатом сообщения, на основе переданного IP-адреса назначения. Если да, хост
1 записывает MAC- и IP-адреса отправителя в свою таблицу ARP.
• Витая пар: самая распространенная среда передачи данных, используемая в сетях
Ethernet. Витые пары могут быть классифицированы на следующие типы в
зависимости от степени сопротивления электромагнитным помехам:

▫ STP: экранированные витые пары

▫ UTP: неэкранированные витые пары

• Волоконно-оптическую среду передачи можно классифицировать на следующие

типы в зависимости от функциональных компонентов:

▫ Оптические волокна: оптическая среда передачи, которая представляют собой

стеклянные волокна.

▫ Оптические модули: преобразовывают электрические сигналы в оптические.

• Последовательные (serial) кабели широко используются в глобальных сетях (WAN).

Типы интерфейсов, подключенных к последовательным кабелям, различаются в
зависимости от типов линий WAN. Интерфейсы включают синхронные /
асинхронные последовательные интерфейсы, интерфейсы ATM-терминалов,
интерфейсы POS-терминалов и интерфейсы CE1/PRI.

• Беспроводные сигналы могут передаваться с помощью электромагнитных волн.

Например, беспроводной маршрутизатор модулирует и отправляет данные с
помощью электромагнитных волн, а беспроводной сетевой интерфейс мобильного
устройства демодулирует электромагнитные волны для получения данных. Таким
образом выполняется передача данных от беспроводного маршрутизатора на
мобильное устройство.
• Предположим, что вы используете веб-браузер для доступа к официальному сайту
Huawei. После ввода адреса веб-сайта и нажатия Enter на вашем компьютере
происходят следующие события:
1. Браузер (программа) вызывает HTTP (протокол уровня приложений) для
инкапсуляции данных уровня приложений. (ДАННЫЕ на рисунке включают
заголовок HTTP, который здесь не показан.)
2. HTTP использует модуль TCP для обеспечения надежной передачи данных и
передает инкапсулированные данные протоколу TCP.
3. Протокол TCP добавляет соответствующую информацию заголовка TCP
(например, номера портов источника и назначения) к данным, передаваемым
с уровня приложений. На транспортном уровне блок данных называется
сегментом.
4. TCP отправляет инкапсулированный сегмент протоколу IPv4,
расположенному на сетевом уровне. (В сети IPv6 сегмент отправляется
протоколу IPv6 для обработки.)
5. После получения сегмента TCP модуль IPv4 инкапсулирует полученные
данные, добавляя заголовок IPv4. На этом уровне блок данных называется
пакетом.
▫ Ethernet используется в качестве протокола канального уровня. Поэтому после
завершения инкапсуляции IPv4 отправляет пакет для обработки модулю
Ethernet (например, Ethernet NIC) на канальном уровне.
▫ После получения пакета от IPv4 модуль Ethernet добавляет соответствующий
заголовок Ethernet и концевик кадра (FCS) к пакету. На этом уровне блок
данных называется кадром.
▫ После завершения инкапсуляции модуль Ethernet отправляет данные на
физический уровень.
▫ В соответствии с физической средой передачи физический уровень
преобразует цифровые сигналы в электрические, оптические или
электромагнитные (беспроводные) сигналы.
▫ Преобразованные сигналы передаются в сети.
• В большинстве случаев:

▫ Устройство 2-го уровня (например, коммутатор Ethernet) декапсулирует только

заголовок 2-го уровня данных и выполняет соответствующую операцию
коммутации в соответствии с информацией в заголовке 2-го уровня.

▫ Устройство 3-го уровня (например, маршрутизатор) декапсулирует заголовок

3-го уровня и выполняет операции маршрутизации на основе информации о
заголовке 3-го уровня.

▫ Примечание: подробные описания и принципы коммутации и маршрутизации

будут рассмотрены в курсе позже.
• После передачи по промежуточной сети данные достигают сервера назначения. На
основе информации в различных заголовках протоколов данные декапсулируются
уровень за уровнем, обрабатываются, передаются выше и, наконец, отправляются
в приложение на веб-сервере для обработки.
1. Ответ:

▫ Четкое разделение функций и границ между уровнями облегчает разработку,

проектирование и диагностику и устранение проблем в любом компоненте.

▫ Возможность определения функций каждого уровня способствуют

стандартизации в отрасли.

▫ Интерфейсы, обеспечивающие связь между аппаратным и программным

обеспечением в различных сетях, улучшают общую совместимость.

2. Ответ:

▫ Уровень приложений: HTTP, FTP, Telnet и т.д.

▫ Транспортный уровень: UDP и TCP

▫ Сетевой уровень: IP, ICMP и т.д.

▫ Канальный уровень: Ethernet, PPP, PPPoE и т.д.

• Конфигурационный файл представляет собой набор командных строк. Текущие
конфигурации хранятся в конфигурационном файле, который сохраняет их в силе
после перезагрузки устройства. Пользователи могут просматривать конфигурации в
конфигурационном файле и загружать конфигурационный файл на другие
устройства для осуществления массовой настройки.

• Патч – это тип программного обеспечения, совместимого с системным

программным обеспечением. Он используется для исправления ошибок в
системном программном обеспечении. Патчи также могут исправлять системные
дефекты и оптимизировать некоторые функции в соответствии с требованиями к
обслуживанию.

• Чтобы управлять файлами на устройстве, подключитесь к устройству одним из

следующих способов:

▫ Локальное подключение через консольный порт или Telnet

▫ Удаленное подключение через FTP, TFTP или SFTP

• Накопители включают в себя SDRAM, флэш-память, NVRAM, SD-карты и USB.

▫ SDRAM хранит информацию о работе и параметрах системы. Она аналогична

памяти компьютера.

▫ NVRAM энергонезависима. Запись логов во флэш-память потребляет ресурсы

ЦП и занимает много времени. Поэтому используется буферный механизм. В
частности, после создания логи сначала сохраняются в буфере, а затем
записываются во флэш-память после истечения времени таймера или
заполнения буфера.

▫ Флэш-память и SD-карты энергонезависимы. Конфигурационные файлы и

системные файлы хранятся во флэш-памяти или на SD-карте. Для получения
более подробной информации см. документацию по продукту.

▫ SD-карты являются внешними носителями, используемыми для расширения

памяти. USB - это интерфейс, используемый при подключении к носителю
большой емкости для обновления устройств и передачи данных.

▫ Файлы патчей и PAF-файлы выгружаются специалистами техобслуживания и

могут храниться в указанном каталоге.
• Загрузочная память BootROM представляет собой набор программ, добавленных к
чипу ROM устройства. BootROM хранит самые важные программы ввода и вывода
устройства, настройки системы, программу самопроверки при запуске и программу
автоматического запуска системы.

• Интерфейс запуска предоставляет информацию о текущей программе системы,

текущей версии VRP и пути загрузки.
• Чтобы ограничить права доступа пользователей к устройству, предусмотрен
механизм управления пользователями по уровням и установки соответствия между
уровнями пользователя и уровнями команд. После входа в устройство
пользователь может использовать только команды соответствующих уровней или
ниже. По умолчанию уровень команд пользователя варьируется от 0 до 3, а уровень
пользователя - от 0 до 15. Соответствие между уровнями пользователя и уровнями
команд показано в таблице.
• Примечание: страница входа, режим и IP-адрес могут меняться в зависимости от
устройств. Для получения более подробной информации см. документацию по
продукту.
• Используйте консольный кабель для подключения консольного порта устройства к
COM-порту компьютера. Затем запустите на компьютере терминальную программу,
например PuTTY, для входа на устройство и локального выполнения задач по
начальной настройке и эксплуатации. Консольный порт представляет собой порт
RJ45, который соответствует стандарту последовательного порта RS232. COM-
порты, имеющиеся на большинстве современных настольных компьютеров, могут
быть подключены к консольным портам. Но на большинстве ноутбуков не имеется
COM-портов. Поэтому, если вы используете такой ноутбук, потребуется адаптер
USB-RS232.

• Функция входа через консольный порт включена по умолчанию и не требует

предварительной настройки.
• Многие терминальные программы (симуляторы терминалов) могут инициировать
консольные соединения. PuTTY является одним из вариантов подключения к VRP.
Если для локального доступа к VRP используется PuTTY, необходимо установить
параметры последовательного порта. На рисунке на слайде показаны примеры
настроек параметров порта. Если значения параметров когда-либо менялись,
необходимо восстановить значения по умолчанию.

• После завершения настроек нажмите Open. Будет установлено соединение с VRP.

• По умолчанию функция входа по SSH выключена на устройстве. Перед
использованием функции входа в систему по SSH необходимо войти в устройство
через консольный порт и сконфигурировать обязательные параметры для входа по
SSH.
• CLI – это интерфейс, через который пользователи могут взаимодействовать с
устройством. Когда после входа пользователя в устройство отображается
приглашение командной строки, это означает, что пользователь вошел в CLI.
• Каждая команда должна содержать максимум одно командное слово и может
содержать несколько ключевых слов и параметров. Параметр должен состоять из
имени и значения.

• Командное слово, ключевые слова, имена и значения параметров в команде

разделяются пробелами.
• Режим пользователя является первым режимом, отображаемым после входа в
устройство. В режиме пользователя предоставляются только команды запроса и
инструментальные команды.

• В режиме пользователя доступен переход только в режим системы. Команды

глобальной конфигурации предоставляются в режиме системы. Если в системе есть
режим конфигурации нижнего уровня, в режиме системы предоставляется команда
для входа в него.
• После входа в систему сначала отображается режим пользователя. Этот режим
предоставляет только команды отображения запрошенной информации и
инструментальные команды, такие как ping и telnet. Он не предоставляет доступ к
командам настройки.

• Для входа в режим системы можно дать команду system-view в режиме

пользователя. Режим системы предоставляет несколько простых команд
глобальной конфигурации.

• В сложном сценарии конфигурации, например, когда для интерфейса Ethernet

необходимо сконфигурировать несколько параметров, вы можете запустить
команду interface GigabitEthernet X (X – это номер интерфейса). Конфигурации,
выполненные в этом режиме, вступают в силу только на указанном интерфейсе GE.
• Примечание: «ключевое слово», упомянутое в этом разделе, означает любую
символьную строку, кроме строки значений параметров в команде. Значение
отличается от значения ключевого слова в формате команд.
• Раздел справки по командам показан на этом слайде только как пример , вывод
зависит от модели устройства.
• VRP использует файловую систему для управления файлами и каталогами на
устройстве. Для управления файлами и каталогами часто необходимо выполнять
основные команды для запроса файлов или сведений каталогов. Такие основные
команды включают pwd, dir [/all] [ filename | directory ] и more [ /binary ] filename [
offset ] [ all ].

▫ Команда pwd отображает текущий рабочий каталог.

▫ Команда dir [ /all] [ filename | directory ] отображает информацию о файлах в

текущем каталоге.

▫ Команда more [/binary] filename [ offset ] [ all ] отображает содержимое

текстового файла.

▫ В этом примере команда dir выполняется в режиме пользователя для

отображения информации о файлах во флэш-памяти.

• Стандартные команды для управления каталогами включают cd directory, mkdir

directory и rmdir directory.

▫ Команда cd directory меняет текущий рабочий каталог.

▫ Команда mkdir directory создает каталог. Имя каталога может содержать от 1

до 64 символов.
• Команда rmdir directory удаляет каталог из файловой системы. Удаляемый каталог
должен быть пустым; в противном случае его нельзя удалить с помощью этой
команды.

• Команда copy source-filename destination-filename копирует файл. Если целевой

файл уже существует, система заменяет целевой файл. Имя целевого файла не
может быть таким же, как имя файла запуска системы. В противном случае система
отобразит сообщение об ошибке.

• Команда move source-filename destination-filename перемещает файл в другой

каталог. Команда move может использоваться для перемещения файлов только в
рамках одного накопителя (области памяти).

• Команда rename old-name new-name переименовывает каталог или файл.

• Команда delete [/unreserved] [ /force ] { filename | devicename } удаляет файл. Если

параметр unreserved не указан, удаленный файл перемещается в корзину. Файл в
корзине может быть восстановлен с помощью команды undelete. Однако, если
параметр /unreserved указан, файл удаляется навсегда и не подлежит
восстановлению. Если параметр /force не указан в команде delete, система
отображает сообщение с запросом удалить файл. Однако, если указан параметр
/force, система не отображает сообщение. Поле filename указывает на имя
удаляемого файла, а devicename указывает имя накопителя (области памяти).
• Команда reset recycle-bin [ filename | devicename ] навсегда удаляет все или
выбранные файлы в корзине. filename указывает имя файла, который будет удален
навсегда, а devicename указывает имя носителя.
• Как правило, в сети разворачивается несколько устройств, и администратору
необходимо управлять всеми устройствами. Первая задача ввода в эксплуатацию
устройства – это настройка системного имени. Системное имя идентифицирует
устройство. Системное имя маршрутизатора серии AR по умолчанию – Huawei, а
коммутатора серии S – HUAWEI. Системное имя вступает в силу сразу после
настройки.

• Для обеспечения координации с другими устройствами необходимо правильно

настроить системные часы. Системные часы = UTC (Всемирное координированное
время) ± разница во времени между UTC и временем местного часового пояса. Как
правило, у устройства есть настройки UTC по умолчанию и временной разницы.

▫ Для установки системных часов устройства можно выполнить команду clock

datetime. Формат даты и времени – HH:MM:SS YYYY-MM-DD. При выполнении
команды устанавливается UTC как системное время минус разница времени.

▫ Вы также можете изменить UTC и системный часовой пояс для изменения

системных часов.

▪ Команда clock datetime utc HH:MM:SS YYYY-MM-DD меняет время на

UTC.

▪ Команда clock timezone time-zone-name { add | minus } offset

настраивает локальный часовой пояс. UTC – это местное время плюс
или минус смещение.

▫ Если в регионе применяется летнее время, системное время настраивается в

соответствии с настройками пользователя в момент начала летнего
времени. VRP поддерживает функцию летнего времени.
• У каждого типа пользовательского интерфейса есть соответствующий режим.
Режим пользовательского интерфейса представляет собой командную строку,
предоставляемую системой для конфигурирования и управления всеми
физическими и логическими интерфейсами, работающими в режиме асинхронного
взаимодействия. За счет этого осуществляется унифицированное управление
различными пользовательскими интерфейсами. Перед доступом к устройству
необходимо установить параметры пользовательского интерфейса. Система
поддерживает консольный интерфейс и интерфейс VTY. Консольный порт
представляет собой последовательный порт, предоставляемый главной платой
управления устройства. VTY - это порт виртуальной линии. Подключение VTY
устанавливается после установления соединения Telnet или SSH между
пользовательским терминалом и устройством, что позволяет пользователю
получить доступ к устройству в режиме VTY. Как правило, максимум 15
пользователей могут одновременно получить доступ к устройству в режиме VTY.
Вы можете выполнить команду user-interface max-vty number, чтобы установить
максимальное количество пользователей, которые могут одновременно получить
доступ к устройству в режиме VTY. Если максимальное количество пользователей,
входящих в систему, установлено как 0, ни один пользователь не может войти в
устройство через Telnet или SSH. Команда display user-interface отображает
информацию о пользовательском интерфейсе.

• Максимальное количество интерфейсов VTY может меняться в зависимости от типа

устройства и используемой версии VRP.
• Чтобы запустить IP-сервис на интерфейсе, необходимо сконфигурировать IP-адрес
для интерфейса. Как правило, интерфейс требует только один IP-адрес. При
настройке IP-адреса интерфейса выполняется замена исходного IP-адреса.

• Для настройки IP-адреса интерфейса можно выполнить команду ip address { mask |

mask-length }. В этой команде mask указывает на маску подсети из 32 бит, например
255.255.255.0; mask-length означает длину маски, например 24. Укажите любой из
этих параметров при настройке IP-адреса.

• Loopback-интерфейс представляет собой логический интерфейс, который можно

использовать для имитации сети или IP-хоста. Loopback-интерфейс является
стабильным и надежным, и может также использоваться в качестве интерфейса
управления при развертывании нескольких протоколов.

• При настройке IP-адреса для физического интерфейса проверьте физический

статус интерфейса. Интерфейсы на маршрутизаторах и коммутаторах Huawei по
умолчанию включены. Если интерфейс отключен вручную (на нем
сконфигурирована команда shutdown), то ,чтобы включить его, выполните команду
undo shutdown.
• Команда reset saved-configuration удаляет конфигурации, сохраненные в файле
конфигурации. Если после выполнения этой команды вы не запустите команду
startup saved-configuration для указания файла конфигурации для следующего
запуска или команду save для сохранения текущих конфигураций, устройство
использует настройки параметров по умолчанию во время инициализации системы
при перезагрузке.

• Команда display startup отображает системное программное обеспечение для

текущего и следующего запуска, программное обеспечение системы резервного
копирования, файл конфигурации, файл лицензии и файл патча, а также голосовой
файл.

• Команда startup saved-configuration configuration-file настраивает файл

конфигурации для следующего запуска. Параметр configuration-file указывает имя
файла конфигурации для следующего запуска.

• Команда reboot перезагружает устройство. Перед перезагрузкой устройства

предлагается сохранить конфигурации.
• На некоторых устройствах после ввода команды authentication-mode password
автоматически появляется приглашение настройки пароля, после которого вы
можете ввести создаваемый пароль. На некоторых устройствах необходимо
выполнить команду set authentication-mode password password, чтобы установить
пароль.
• Чтобы сохранить конфигурации, выполните команду save. По умолчанию
конфигурации сохраняются в файле vrpcfg.cfg. Можно также создать файл для
сохранения конфигураций. В VRPv5 файл конфигурации по умолчанию хранится в
каталоге flash:.
• Команда display startup отображает системное программное обеспечение для
текущего и следующего запуска, системное программное обеспечение резервного
копирования, файл конфигурации, файл лицензии и файл патча, а также голосовой
файл.

▫ Startup system software указывает файл VRP, используемый для текущего

запуска.

▫ Next startup system software указывает файл VRP, который будет

использоваться для следующего запуска.

▫ Startup saved-configuration file указывает файл конфигурации,

использованный для текущего запуска системы.

▫ Next startup saved-configuration file указывает файл конфигурации, который

будет использоваться для следующего запуска.

▫ Когда устройство запускается, оно загружает файл конфигурации из

накопителя и инициализирует файл конфигурации. Если на накопителе нет
файла конфигурации, устройство использует параметры по умолчанию для
инициализации.

• Команда startup saved-configuration [ configuration-file ] устанавливает файл

конфигурации для следующего запуска, где параметр configuration-file указывает на
имя файла конфигурации.
1. В настоящее время большинство продуктов передачи данных Huawei используют
VRPv5, а несколько продуктов, такие как маршрутизаторы серии NE, используют
VRPv8.

2. Устройство Huawei позволяет выполнять вход только одному пользователю через

консольный интерфейс единовременно. Поэтому ID пользователя консоли
является фиксированным – 0.

3. Чтобы задать файл конфигурации для следующего запуска, выполните команду

startup saved-configuration [ configuration-file ]. Значение configuration-file должно
содержать имя файла и его расширение.
•
• Существует две версии протокола IP: IPv4 и IPv6. Чаще всего в Интернете
используется IPv4. Сейчас Интернет находится в процессе перехода на IPv6. Если
не указано иное, под IP-адресами, упомянутыми в данной презентации,
подразумеваются IPv4-адреса.

▫ IPv4 является основным протоколом в стеке протоколов TCP/IP. Он работает

на сетевом уровне в стеке протоколов TCP/IP, и соответствует сетевому
уровню в эталонной модели OSI.

▫ IPv6, также называемый IP следующего поколения (IPng), является

стандартным протоколом второго поколения протоколов сетевого уровня.
Версия IPv6, разработанная Инженерным советом Интернета
(Internet Engineering Task Force, IETF), является обновлением версии IPv4.
• Данные приложений передаются на конечный узел по сети только после обработки
на каждом уровне стека протоколов TCP/IP. Каждый уровень использует блоки
данных протокола (PDU – Protocol Data Unit) для обмена информацией с другим
уровнем. PDU на различных уровнях содержат разные данные. Таким образом, у
PDU на каждом уровне есть определенные названия.

▫ Например, на транспортном уровне к данным верхнего уровня добавляется

заголовок TCP, и полученный PDU получает название - сегмент. Сегмент
данных передается на сетевой уровень. После добавления к сегменту IP-
заголовка на сетевом уровне такой PDU называется пакетом. Пакет данных
передается на канальный уровень. Далее на канальном уровне добавляются
заголовок и концевик , и такой PDU становится кадром. В конечном итоге кадр
преобразуется в биты и передается через среду передачи.

▫ Процесс, в котором данные обрабатываются согласно набору протоколов

сверху вниз с добавлением заголовков и концевиков, называется
инкапсуляцией.

• В этом разделе описывается, как инкапсулировать данные на сетевом уровне. Если

данные инкапсулированы протоколом IP, то полученные данные называются IP-
пакетами.
• Заголовок IP-пакета содержит следующую информацию:

▫ Версия: длина 4 бита. Значение 4 означает IPv4. Значение 6 означает IPv6.

▫ Длина заголовка: длина 4 бита, указывающая размер заголовка. Если поле

Опции не передается, то длина заголовка составляет 20 байт. Максимальная
длина заголовка 60 байт.

▫ Тип сервиса: длина 8 бит, определяет тип сервиса. Это поле задействуется
только тогда, когда требуется дифференцирование услуг QoS (DiffServ).

▫ Общая длина: 16 бит. Это общая длина пакета данных IP.

▫ Идентификатор: длина 16 бит. Это поле используется для сборки фрагментов.

▫ Флаги: длина 3 бита.

▫ Смещение фрагментов: длина 12 бит. Это поле используется для сборки

фрагментов.

▫ Время жизни (TTL): 8 бит.

▫ Протокол: длина 8 бит. Указывает на протокол, который будет обрабатывать
данные на стороне назначения после обработки их на сетевом уровне. IP-
уровень хоста назначения, используя содержимое поля Протокол, определяет
процесс, которому надо отправить данные для дальнейшей обработки.

▪ Часто используемые значения поля Протокол:

− 1: ICMP (протокол межсетевых управляющих сообщений)

− 2: IGMP (протокол управления группами Интернета)

− 6: TCP (протокол управления передачей)

− 17: UDP (протокол пользовательских датаграмм)

▫ Контрольная сумма заголовка: длина 16 бит.

▫ IP-адрес источника: длина 32 бита. Указывает IP-адрес источника.

▫ IP-адрес назначения: длина 32 бита. Указывает IP-адрес назначения.

▫ Опции: поле переменной длины.

▫ Выравнивание: заполняется всеми 0 (суммарная длина полей

Опции+Выравнивание должна быть кратна 32 битам).
• Идентификатор: длина 16 бит. Это поле имеет значение, назначенное хостом
отправителя, уникально идентифицирует пакет, и используется для сборки
фрагментов.

• Флаги: длина 3 бита, определяют контроль над фрагментацией:

▫ 1-й бит - зарезервирован: 0 (зарезервирован).

▫ 2-й бит - не фрагментировать: значение 1 означает, что фрагментация

запрещена, а значение 0 означает, что фрагментация разрешена.

▫ 3-й бит- у пакета еще фрагменты: значение 1 означает, что за фрагментом

есть еще фрагменты, а значение 0 означает, что фрагмент является
последним.

• Смещение фрагментов: длина 12 бит. Это поле используется для сборки

фрагментов. Оно указывает на относительное положение фрагмента в исходном
пакете, который фрагментирован. Это поле используется вместе с битом "у пакета
еще фрагменты", чтобы помочь получателю собрать фрагменты в правильном
порядке.
• Время жизни: 8 бит. Указывает максимальное количество маршрутизаторов, через
которые может пройти пакет в сети.

▫ При переадресации пакетов между сетевыми сегментами могут возникать

петли, если маршруты некорректно настроены на сетевых устройствах. В
результате пакеты оказываются в петле и не могут быть доставлены до узла
назначения. При возникновении петли пакеты к узлу назначения
пересылаются циклически. По мере увеличения количества таких пакетов
возникает перегрузка сети.

▫ Чтобы предотвратить перегрузку сети, вызванную петлями, в заголовок IP-

пакета добавляется поле TTL. Значение TTL уменьшается на 1 каждый раз,
когда пакет проходит через устройство 3-го уровня. Начальное значение TTL
устанавливается на исходном устройстве. После того, как значение TTL
пакета достигает 0, пакет отбрасывается. Кроме того, устройство,
отбрасывающее пакет, отправляет источнику сообщение об ошибке ICMP на
основе IP-адреса источника в заголовке пакета. (Примечание: на сетевом
устройстве может быть выключена отправка сообщений источнику об
ошибках ICMP.)
• После получения и обработки пакета на сетевом уровне стороне назначения
необходимо определить, какой протокол будет использоваться для дальнейшей
обработки пакета. Поле Протокол в заголовке IP-пакета идентифицирует номер
протокола, который будет продолжать обрабатывать пакет.

• Поле может идентифицировать протокол сетевого уровня (например, ICMP

значение 0x01) или протокол верхнего уровня (например, TCP значение 0x06 или
протокол UDP значение 0x11).
• Если в IP-сети пользователь хочет подключить компьютер к Интернету, ему нужно
обратиться за IP-адресом для компьютера. IP-адрес идентифицирует узел в сети и
используется для поиска узла назначения для доставки данных. Мы используем IP-
адреса для создания глобальной сети связи.

• IP-адрес - это атрибут интерфейса сетевого устройства, а не самого устройства.

Для назначения IP-адреса устройству необходимо присвоить IP-адрес интерфейсу
на устройстве. Если у устройства несколько интерфейсов, каждому интерфейсу
должен быть присвоен минимум один IP-адрес.

• Примечание: интерфейс, который должен использовать IP-адрес, обычно является

интерфейсом маршрутизатора или компьютера.
• Формат записи IP-адреса

▫ Длина IP-адреса составляет 32 бита и содержит 4 байта. Для удобства записи

и чтения используется формат десятичного представления с точками.

• Десятичное представление с точками

▫ Формат IP-адреса помогает использовать и конфигурировать сеть. Однако

сетевое устройство использует двоичный формат для работы с IP-адресом.
Поэтому необходимо знать принципы преобразования из десятичной системы
в двоичную.

• Диапазон адресов IPv4

▫ 00000000.00000000.00000000.00000000–
11111111.11111111.11111111.11111111, то есть, 0.0.0.0–255.255.255.255
• Адрес IPv4 разделен на две части:

▫ Сетевая часть (ID сети): идентифицирует сеть.

▪ IP-адреса не отображают никакой географической информации. ID сети

указывает на сеть, которой принадлежит хост.

▪ Сетевые устройства с одним и тем же ID сети расположены в одной сети,

независимо от их физического расположения.

▫ Хостовая часть: идентифицирует хост и используется для различения хостов

в сети.

• Сетевая маска также называется маской подсети:

▫ Длина сетевой маски составляет 32 бита и имеет десятичное представление с

точками, как в IP-адресе.

▫ Сетевая маска не является IP-адресом. Она состоит из непрерывной

последовательности 1, за которой следует непрерывная последовательность
0 в бинарном представлении.

▫ Как правило, количество единиц указывает на длину сетевой маски.

Например, длина маски 0.0.0.0 равна 0, а длина маски 252.0.0.0 – 6.

▫ Сетевая маска обычно используется вместе с IP-адресом. Биты 0

соответствуют битам хостовой части в IP-адресе. Иными словами, в IP-адресе
количество 1 в сетевой маске является количеством битов ID сети, а
количество нулей – количеством битов в ID хоста.
• ID сети указывает на сеть, в которой расположен хост (аналогия – Город A).

• ID хоста идентифицирует конкретный интерфейс хоста в сетевом сегменте,

определяемом ID сети (аналогия – «улица У, номер дома Х»).

• Адресация в сети:

▫ Адресация на 2-м уровне: адрес хоста может быть найден по IP-адресу.

▫ Адресация сети 3 уровня: Для передачи пакетов данных между сегментами

сети используется шлюз.

• Шлюз:

▫ Во время передачи пакетов устройство определяет путь передачи и

интерфейс, соединенный с сегментом сети назначения. Если хост назначения
и хост-источник находятся в разных сегментах сети, пакеты передаются на
шлюз, а затем шлюз передает пакеты в сегмент сети назначения.

▫ Шлюз принимает и обрабатывает пакеты, отправленные хостами в сегменте

локальной сети, и передает пакеты в сегмент сети назначения. Для
реализации этой функции шлюз должен знать маршрут в сеть назначения. IP-
адрес интерфейса на шлюзе, соединенном с сегментом локальной сети,
является адресом шлюза сегмента сети.
• Для облегчения управления IP-адресами и организации сети IP-адреса
подразделяются на следующие классы:
▫ Самый простой способ определить класс IP-адреса - проверить старшие биты
в ID сети. Классы A, B, C, D и E определяются по двоичным значениям 0, 10,
110, 1110 и 1111 соответственно.
▫ Адреса классов A, B и C являются одноадресными IP-адресами (за
исключением некоторых специальных адресов). Только эти адреса могут быть
назначены интерфейсам хоста.
▫ Адреса класса D используются для многоадресной рассылки.
▫ Адреса класса E используются для специальных экспериментальных целей.
▫ В этом разделе курса описываются только адреса класса A, B и C.
• Сравнение адресов классов A, B и C:
▫ Сеть, использующая адреса класса A, называется сетью класса A. Сеть,
использующая адреса класса B, называется сетью класса B. Сеть,
использующая адреса класса C, называется сетью класса C.
▫ ID сети класса A составляет 8 бит. Это означает, что количество таких сетей
небольшое, зато поддерживается большое количество интерфейсов хоста.
Крайний левый (старший) бит имеет фиксированное значение - 0. Адресное
пространство сетей класс А – 0.0.0.0–127.255.255.255.
▫ ID сети класса B составляет 16 бит и находится между сетями класса A и
класса C. Крайние левые два бита имеют фиксированное значение - 10.
Адресное пространство сетей класса В – 128.0.0.0–191.255.255.255.
▫ ID сети класса C составляет 24 бита. Это означает, что количество сетей
класса С большое, а количество адресов устройств в таких сетях небольшое.
Значение старших трех битов фиксировано - 110. Адресное пространство
сетей класса С – 192.0.0.0–223.255.255.255.
• Примечание:
▫ Хост – это маршрутизатор или компьютер. Кроме того, IP-адрес интерфейса
на хосте называется IP-адресом хоста.
▫ Адрес многоадресной рассылки используется для передачи сообщений от
одного узла нескольким.
• Адрес сети

▫ ID сети – X, каждый бит в ID хоста – 0.

▫ Его нельзя назначить интерфейсу хоста.

• Широковещательный адрес

▫ ID сети – X, каждый бит в ID хоста – 1.

▫ Его нельзя назначить интерфейсу хоста.

• Доступный адрес

▫ Он также называется адресом хоста. Его можно назначить интерфейсу хоста.

• Количество доступных IP-адресов в сетевом сегменте рассчитывается по

следующей формуле:

▫ Пусть хостовая часть сетевого сегмента составляет n бит, количество IP-

адресов 2n, тогда количество доступных IP-адресов: 2n – 2 (один сетевой адрес
и один широковещательный адрес).
• Адрес сети: все биты в хостовой части этого адреса установлены в значение 0,
полученным результатом является адрес сети сетевого сегмента, в котором
находится IP-адрес.

• Широковещательный адрес: все биты в хостовой части этого адреса установлены в

значение 1, полученным результатом является широковещательный адрес,
используемый в сети, где находится IP-адрес.

• Количество IP-адресов: 2n, где n означает число бит в хостовой части.

• Количество доступных IP-адресов: 2n - 2, где n - число бит в хостовой части.

• Ответ на задание:

▫ Адрес сети: 10.0.0.0 / 8

▫ Широковещательный адрес: 10.255.255.255

▫ Количество адресов: 224

▫ Количество доступных адресов: 224 – 2

▫ Диапазон доступных адресов: 10.0.0.1–10.255.254

• Частные IP-адреса используются для устранения проблемы дефицита IP-адресов.
Частные адреса используются во внутренних сетях и не могут использоваться в
общедоступной сети.

▫ Публичный IP-адрес: сетевое устройство, подключенное к Интернету, должно

иметь публичный IP-адрес, назначенный IANA.

▫ Частный IP-адрес: использование частных IP-адресов позволяет более

свободно расширять сеть, так как один и тот же частный IP-адрес может
использоваться в различных частных сетях.

• Подключение частной сети к Интернету: частной сети не разрешается подключаться

к Интернету, так как она использует частный IP-адрес. В соответствии с
требованиями многие частные сети также должны подключаться к Интернету для
реализации связи между частными сетями и Интернетом, а также между частными
сетями через Интернет. Взаимодействие частной сети и Интернета должно
осуществляться с использованием технологии NAT (Network Address Translation).

• Примечание: преобразование сетевых адресов (NAT) используется для

преобразования адресов между частными и публичными IP-сетями.
• 255.255.255.255
▫ Этот адрес называется ограниченным широковещательным адресом и может
использоваться в качестве IP-адреса назначения IP-пакета.
▫ После получения IP-пакета, IP-адресом назначения которого является
ограниченный широковещательный адрес, маршрутизатор прекращает
дальнейшую передачу IP-пакета.
• 0.0.0.0
▫ Когда этот адрес используется в качестве сетевого адреса, он означает любой
сетевой адрес любой сети. Если этот адрес используется в качестве IP-адреса
интерфейса хоста, то он может быть использован только в качестве IP-адреса
отправителя в «этой» сети.
▫ Например, если интерфейс хоста не получает свой IP-адрес во время запуска,
интерфейс хоста может отправить в сеть сообщение-запрос DHCP с IP-
адресом назначения в формате ограниченного широковещательного адреса и
IP-адресом источника в формате 0.0.0.0. Ожидается, что DHCP-сервер
назначит доступный IP-адрес интерфейсу хоста после получения такого
запроса.
• 127.0.0.0/8
▫ Этот адрес называется Loopback адресом и может использоваться в качестве
IP-адреса назначения IP-пакета. Он используется для тестирования ПО
устройства.
▫ Сгенерированные устройством IP-пакеты, IP-адрес назначения которых
установлен как Loopbak адрес, не могут покинуть само устройство.
• 169.254.0.0/16
▫ Если сетевое устройство сконфигурировано для автоматического получения
 IP-адреса, но в сети нет DHCP-сервера, устройство использует IP-
адрес из сетевого сегмента 169.254.0/16 для временной связи.
• Примечание: протокол DHCP используется для динамического выделения
параметров конфигурации сети, например IP-адресов.
• Классовая адресация слишком строгая, а необходимость в сетях самых
разнообразных размеров высокая. В результате фактически значительное
количество ID хостов не используется полностью, что приводит к неэффективному
расходованию IP-адресов.

• Разбиение на подсети с помощью технологии маски подсети переменной длины

(Variable Length Subnet Mask, VLSM) поможет сократить неоправданный расход
адресов. Большая классовая сеть разделяется на несколько небольших подсетей,
за счет чего IP-адреса используются более рационально.
• Предположим, что сетевой сегмент класса C – 192.168.10.0. По умолчанию сетевая
маска составляет 24 бита, включая 24 бита сети и 8 битов хоста.

• Согласно расчету в сети насчитывается 256 IP-адресов.

• Теперь для исходной сетевой части размером 24 бита заимствуется бит из хостовой
части, чтобы увеличить сетевую часть до 25 бит. Хостовая часть уменьшается до 7
бит. Полученный 1 бит - это бит подсети. В этом случае сетевая маска становится
размером 25 бит, то есть 255.255.255.128 или /25.

• Бит подсети: значение может быть 0 или 1. Таким образом получены две новые
подсети.

• Согласно расчету, в каждой новой подсети есть 128 IP-адресов.

• Вычислите сетевой адрес, когда все биты хоста установлены на 0.

▫ Если бит подсети равен 0, сетевой адрес – 192.168.10.0.

▫ Если бит подсети равен 1, сетевой адрес – 192.168.10.128.

• Вычислите широковещательный адрес, когда все биты хоста установлены на 1.

▫ Если бит подсети равен 0, широковещательный адрес – 192.168.10.127.

▫ Если бит подсети равен 1, широковещательный адрес – 192.168.10.255.

• При фактическом планировании сети сначала необходимо планировать подсеть с
большим количеством хостов.
• Сетевые адреса подсетей:

▫ 192.168.1.0

▫ 192.168.1.16

▫ 192.168.1.32

▫ 192.168.1.48

▫ 192.168.1.64

▫ 192.168.1.80

▫ 192.168.1.96

▫ 192.168.1.112

▫ 192.168.1.128

▫ 192.168.1.144

▫ 192.168.1.160

▫ 192.168.1.176

▫ 192.168.1.192

▫ 192.168.1.208

▫ 192.168.1.224

▫ 192.168.1.240
• Для повышения эффективности передачи и успешного обмена IP пакетами на
сетевом уровне используется протокол ICMP. ICMP позволяет хостам и
устройствам сообщать об ошибках во время передачи пакетов.
• Сообщения ICMP:
▫ Сообщения ICMP инкапсулируются в IP-пакеты. Значение 1 в поле Протокол
заголовка IP-пакета указывает на ICMP.
▫ Содержимое полей:
▪ Формат сообщения ICMP зависит от полей Тип и Код. Поле Тип
указывает на тип сообщения, а поле Код содержит параметр,
сопоставленный с типом сообщения.
▪ Поле Контрольная сумма используется для проверки на ошибки.
▪ Поле Содержание сообщения ICMP. Если это поле не используется, то
32 бита обычно заполняются 0.
− В сообщении перенаправления ICMP в этом поле указывается IP-
адрес шлюза. Хост перенаправляет пакеты на указанный шлюз,
которому присваивается этот IP-адрес.
− В сообщении эхо-запроса это поле содержит идентификатор и
последовательный номер. Источник ассоциирует полученный эхо-
ответ с эхо-запросом, отправленным локальной стороной на основе
идентификаторов и последовательных номеров, передаваемых в
сообщениях. Когда источник отправляет несколько эхо-запросов на
адрес назначения, каждый эхо-ответ должен иметь такие же
идентификатор и последовательный номер, как в эхо-запросе.
• Процесс перенаправления ICMP:

1. С хоста A планируется отправка пакетов на сервер A. Хост A отправляет

пакеты на адрес своего шлюза по умолчанию, маршрутизатору B.

2. После получения пакета маршрутизатор B проверяет информацию пакета и

обнаруживает, что пакет нужно переслать маршрутизатору A. Маршрутизатор
A является другим шлюзом в том же сегменте сети, что и хост-источник. Этот
путь пересылки через маршрутизатор A лучше, чем отправка через
маршрутизатор B. Поэтому маршрутизатор B отправляет сообщение
перенаправления ICMP хосту, чтобы хост отправлял пакет маршрутизатору А.

3. После получения сообщения перенаправления ICMP хост отправляет пакет

маршрутизатору А. Затем маршрутизатор A передает пакет на сервер A.
• Типичным применением протокола ICMP является тестирование командой ping.
Ping – это распространенный инструмент, используемый для проверки подключения
к сети и сбора другой связанной информации. В команде ping могут быть указаны
различные параметры, такие как размер сообщений ICMP, количество сообщений
ICMP, отправляемых одновременно, и период времени ожидания ответа.
Устройства формируют сообщения ICMP на основе параметров и выполняют тесты
ping.
• ICMP определяет различные сообщения об ошибке для диагностики проблем с
сетевым соединением. Источник может определить причину неисправности
передачи данных на основе полученных сообщений об ошибках.

▫ Если в сети возникает петля маршрутизации, то пакеты оказываются в петле,

TTL достигает 0, и сетевое устройство отправляет сообщение об истечении
TTL устройству-отправителю.

▫ Если узел назначения недоступен, промежуточное сетевое устройство

отправляет сообщение о недоступности узла назначения ICMP устройству-
отправителю. Существует множество вариантов недоступности узла
назначения. Если сетевое устройство не может найти сеть назначения,
сетевое устройство отправляет сообщение ICMP Destination Network
Unreachable. Если сетевое устройство не может найти хост назначения в сети
назначения, сетевое устройство отправляет сообщение ICMP Destination Host
Unreachable.

• Tracert является типичным применением ICMP. Tracert проверяет доступность

каждого узла на пути передачи на основе значения TTL, переданного в заголовке
пакета. При тестировании доступности конкретного адреса назначения с помощью
Tracert отправитель сначала устанавливает в пакете значение TTL равным 1.
Когда пакет достигает первого маршрутизатора, значение TTL истекает (становится
равным 0). Поэтому первый маршрутизатор отправляет источнику сообщение ICMP
TTL Timeout, содержащее метку времени. Затем отправитель перед отправкой
следующего тестового пакета устанавливает в нем значение TTL равное 2. Когда
пакет достигает второго маршрутизатора на пути к получателю, значение
TTL истекает. Второй маршрутизатор также возвращает сообщение ICMP
TTL Timeout. Процесс повторяется до тех пор, пока пакет не достигнет узла
назначения. Таким образом, источник может отслеживать каждый
маршрутизатор, через который проходит пакет, на основе информации в
возвращенном пакете, и рассчитывать время приема-передачи на основе
меток времени.
• Физический интерфейс – это существующий порт в сетевом устройстве. Физический
интерфейс может быть сервисным интерфейсом для передачи информации в сети
или интерфейсом, через который осуществляется управление устройством.
Например, сервисный интерфейс GE и интерфейс управления MEth являются
физическими интерфейсами.

• Логический интерфейс – это физически несуществующий интерфейс, который

может быть создан с помощью конфигурации и требуется для передачи
информации (данных). Например, интерфейс VLANIF и Loopback интерфейсы
являются логическими интерфейсами.

▫ Loopback интерфейс всегда находится во включенном состоянии.

▪ После создания Loopback интерфейса его физический статус и статус

канального уровня всегда остаются во включенном состоянии,
независимо от того, сконфигурирован IP-адрес для Loopback интерфейса
или нет.

▪ IP-адрес Loopback интерфейса может быть объявлен сразу после

настройки. Loopback интерфейсу можно назначить IP-адрес с маской
длиной 32 бита, что снижает расход адресов.

▪ Ни один протокол канального не может быть использован на Loopback

интерфейсе. Согласование на канальном уровне Loopback интерфейса
не выполняется. Поэтому канальный уровень Loopback интерфейса
находится всегда во включенном состоянии.
▪ Устройство отбрасывает пакеты, адрес назначения которых не
является локальным IP-адресом, и при этом исходящим
интерфейсом является локальный Loopback интерфейс.
• Правила планирования:

▫ Уникальность: у каждого хоста в IP-сети должен быть уникальный IP-адрес.

▫ Непрерывность: смежные адреса можно легко суммировать в иерархических

сетях. Суммирование маршрутов уменьшает размер таблицы маршрутизации
и ускоряет вычисление и конвергенцию маршрутов.

▫ Масштабируемость: адреса должны быть надлежащим образом

зарезервированы на каждом уровне, чтобы обеспечить смежное адресное
пространство для суммирования маршрутов при расширении сети. Таким
образом предотвращается перепланирование адресов и маршрутов при
расширении сети.

▫ Сочетание топологии и сервисов: планирование адресов сочетается с

топологией сети и сервисом сетевого транспорта для облегчения
планирования маршрутов и развертывания качества обслуживания (QoS).
Правильное планирование IP-адресов помогает легко определить положение
устройств и типы сервисов по значению IP-адреса.
1. C

2. AC
• Уникальное сетевое устройство можно найти на основе определенного IP-адреса.
Каждый IP-адрес принадлежит уникальной подсети. Подсети расположены по всему
миру и вместе образуют глобальную сеть.

• Для обеспечения связности между различными подсетями сетевые устройства

должны передавать IP-пакеты из одних подсетей в другие, доставляя их
получателям.
• Шлюз и промежуточный узел (маршрутизатор) выбирают подходящий путь в
соответствии с адресом назначения полученного IP-пакета и пересылают пакет
следующему маршрутизатору. Последний маршрутизатор выполняет адресацию
уровня 2 и пересылает пакет на хост назначения. Этот процесс называется
передачей на основе маршрута.

• Промежуточный маршрутизатор выбирает наилучший путь согласно своей таблице

IP-маршрутизации.

• Запись маршрутизации содержит определенный исходящий интерфейс и адрес

следующего узла, которые используются для перенаправлении IP-пакетов
следующему маршрутизатору.
• На основании информации о маршруте, маршрутизатор может передавать IP-
пакеты к адресу получателя по определенному пути.

• Для определения подходящего маршрута доставки IP-пакета используются адрес

назначения и маска. Когда обнаруживается соответствие адреса назначения IP-
пакета и определенного маршрута, маршрутизатор определяет путь передачи в
соответствии с исходящим интерфейсом и адресом следующего узла.

• Для передачи IP пакета следующему устройству недостаточно знать только

исходящий интерфейс, должен быть указан адрес следующего маршрутизатора.
• Маршрутизатор передает пакеты на основе своей таблицы IP-маршрутизации.

• Таблица IP-маршрутизации может содержать множество записей маршрутизации.

• Таблица IP-маршрутизации содержит не все известные маршруты, а только
оптимальные.

• Маршрутизатор управляет информацией о маршрутизации с помощью записей в

своих таблицах IP-маршрутизации.
• Маршруты прямого подключения (direct) – это маршруты в подсети, к которым
принадлежат напрямую подключенные интерфейсы. Они автоматически
генерируются маршрутизаторами.

• Статические маршруты настраиваются сетевыми администраторами вручную.

• Информацию о динамических маршрутах получают с помощью протоколов
динамической маршрутизации, например, таких как OSPF, IS-IS и BGP.
• Когда пакет соответствует маршруту прямого подключения, маршрутизатор
проверяет свои записи ARP и пересылает пакет на адрес назначения на основе
записи ARP для этого адреса назначения. В этом случае маршрутизатор является
последним на пути к устройству назначения.

• Адрес следующего узла в маршруте прямого подключения не является адресом

интерфейса другого маршрутизатора. Подсеть назначения маршрута прямого
подключения– это подсеть, которой принадлежит локальный исходящий интерфейс.
Локальный исходящий интерфейс является интерфейсом последнего
маршрутизатора и не должен отправлять пакет другому маршрутизатору. Поэтому
адрес следующего узла такого маршрута в таблице маршрутизации является
адресом локального исходящего интерфейса.

• Когда маршрутизатор пересылает пакеты с помощью маршрута прямого

подключения, он не доставляет пакеты на следующий маршрутизатор. Вместо этого
маршрутизатор проверяет свои записи ARP и пересылает пакеты на IP-адрес
устройства назначения на основе нужной записи ARP.
• Поле Preference используется для сравнения маршрутов, полученных из разных
источников, в то время как поле Cost используется для сравнения маршрутов
одного и того же протокола маршрутизации. Параметр Cost также называют
метрикой (metrics).
• RTA обнаруживает два маршрута к одному и тому же адресу назначения, один –
статический маршрут, а другой – маршрут OSPF. Затем он сравнивает значения
preference двух маршрутов и выбирает маршрут OSPF, поскольку этот маршрут
имеет более высокое предпочтение. RTA помещает маршрут OSPF в таблицу IP-
маршрутизации.
• В таблице значения preference некоторых популярных протоколов маршрутизации.
На самом деле существуют различные типы динамических маршрутов. Эти
маршруты изучаются на последующих курсах.
• IP-пакеты от 10.0.1.0/24 должны достичь 40.0.1.0/24. После получения этих пакетов
шлюз R1 ищет в своей таблице IP-маршрутизации адрес следующего
маршрутизатора и исходящий интерфейс и затем передает пакеты маршрутизатору
R2. Когда пакеты достигают маршрутизатора R2, он пересылает пакеты
маршрутизатору R3, просмотрев свою таблицу IP-маршрутизации. При получении
пакетов R3 выполняет поиск в своей таблице IP-маршрутизации и обнаруживает,
что IP-адрес назначения пакетов принадлежит подсети, в которой находится
локальный интерфейс. Поэтому R3 напрямую пересылает пакеты в подсеть
назначения 40.0.1.0/24.
• Недостаток статических маршрутов заключается в том, что они не могут
автоматически адаптироваться к изменениям топологии сети и поэтому требуют
ручного вмешательства.

• Протоколы динамической маршрутизации используют различные алгоритмы

маршрутизации для адаптации к изменениям топологии сети. Поэтому они
эффективно применяются в сетях с большим количеством устройств уровня 3.
• Протоколы динамической маршрутизации делятся на два типа на основе алгоритма
маршрутизации:

▫ Протокол маршрутизации вектора расстояния

▪ RIP
▫ Протокол маршрутизации состояния канала связи

▪ OSPF
▪ IS-IS

▫ BGP использует алгоритм вектора пути, который является модификацией

алгоритма вектора расстояния. Поэтому иногда BGP называют протоколом
маршрутизации вектора пути.

• Протоколы динамической маршрутизации классифицируются на следующие типы

по области применения:

▫ Протоколы IGP используются внутри автономной системы (Autonomous

System, AS), и включают в себя протоколы RIP, OSPF и IS-IS.

▫ Протоколы EGP используются для маршрутизации между разными

автономными системами, наиболее известным является протокол BGP.
• Когда соединение между RTA и RTB работает корректно, оба маршрута до
20.0.0.0/30 являются действующими. В этом случае RTA сравнивает предпочтения
двух маршрутов, значения 60 и 70 соответственно. В таблицу IP-маршрутизации
RTA помещается маршрут со значением предпочтения 60, трафик, идущий в сеть
20.0.0.0/30 пересылается на следующий узел 10.1.1.2.

• Если канал между RTA и RTB становится неисправен, то следующий узел 10.1.1.2
недоступен, в результате чего маршрут становится недействительным. В этом
случае резервный маршрут к 20.0.0.0/30 помещается в таблицу IP-маршрутизации.
RTA теперь пересылает трафик, предназначенный для 20.0.0.1, на следующий узел
10.1.2.2.
• В крупных сетях маршрутизаторам или другим устройствам, способным выполнять
маршрутизацию, необходимо поддерживать большое количество записей
маршрутизации, что потребует большого количества ресурсов устройств. Кроме
того, размер таблицы IP-маршрутизации увеличивается, что приводит к низкой
эффективности поиска записей маршрутизации. Поэтому необходимо свести к
минимуму размер таблиц IP-маршрутизации на маршрутизаторах, при этом
обеспечивая связность между маршрутизаторами и различными сетевыми
сегментами. Если в сети используется корректная IP-адресация и она спланирована
надлежащим образом, достичь этой цели можно с помощью различных методов.
Популярный эффективный метод – суммирование маршрутов, также известный как
агрегирование маршрутов.
• Чтобы RTA смог пересылать пакеты к удаленным сегментам сети, необходимо
сконфигурировать специфический маршрут к каждому сегменту сети. В этом
примере маршруты к 10.1.1.0/24, 10.1.2.0/24 и 10.1.3.0/24 будут иметь одинаковый
адрес следующего узла назначения - 12.1.1.2. Поэтому эти маршруты можно
просуммировать в один.

• Это позволяет эффективно сократить размер таблицы IP-маршрутизации RTA.

• В большинстве случаев как статические, так и динамические маршруты должны
быть связаны с исходящим интерфейсом. Этот интерфейс представляет собой
выход, через который устройство соединено с сетью назначения. Исходящим
интерфейсом в маршруте может быть физический интерфейс, например интерфейс
FastEthernet или GigabitEthernet, или логический интерфейс, например VLANIF или
туннельный интерфейс. Существует специальный интерфейс – интерфейс Null. У
него есть только один номер интерфейса - 0. Null0 – это логический интерфейс,
который всегда находится в рабочем состоянии. Когда Null0 используется в
качестве исходящего интерфейса в маршруте, пакеты данных, соответствующие
этому маршруту, отбрасываются, как будто в черную дыру. Поэтому такой маршрут
называется маршрутом черной дыры (black-hole).
1. Маршрутизатор сначала сравнивает предпочтения маршрутов. Маршрут с самым
низким значением предпочтения выбирается в качестве оптимального маршрута.
Если у маршрутов одинаковые предпочтения, маршрутизатор сравнивает их
метрики. Если у маршрутов одинаковая метрика, они заводятся в таблицу IP-
маршрутизации как маршруты с одинаковой стоимостью.
2. Для конфигурирования плавающего маршрута настройте статический маршрут с
таким же сегментом сети назначения и маской, как у основного маршрута, но с
другим адресом следующего узла и более высоким значением предпочтения.

3. Сводный маршрут – 10.1.0.0/20.

• BGP использует алгоритм вектора пути, который является модифицированной
версией алгоритма вектора расстояния.
• Каждый маршрутизатор генерирует LSA, который описывает информацию о
состоянии напрямую подключенного интерфейса. LSA содержит стоимость
интерфейса и взаимосвязь между маршрутизатором и соседними
маршрутизаторами.
• SPF является основным алгоритмом OSPF и используется для выбора
предпочтительных маршрутов в сложной сети.
• Внедрение протокола маршрутизации по состоянию канала состоит в следующем:

▫ Шаг 1: установка взаимосвязей между соседними маршрутизаторами

(отношения соседства).

▫ Шаг 2: обмен информацией о статусе канала и синхронизация информации

LSDB между соседними маршрутизаторами.

▫ Шаг 3: расчет оптимального пути.

▫ Шаг 4: генерирование записей маршрутов на основе дерева самых коротких

путей и загрузка записей маршрутизации в таблицу маршрутизации.
• В реальных проектах ID маршрутизатора OSPF устанавливаются вручную.
Убедитесь, что ID любых двух устройств в области OSPF отличаются друг от друга.
Как правило, ID маршрутизатора устанавливается в соответствии с IP-адресом
интерфейса (обычно loopback интерфейса) на устройстве.
• Таблица соседей OSPF содержит большое количество ключевых данных, например
ID маршрутизаторов и адреса интерфейсов соседних устройств. Более подробную
информацию см. в разделе «Принцип работы OSPF».
• Дополнительную информацию об LSA см. в курсах HCIP-Datacom.
• Дополнительную информацию о таблице маршрутизации OSPF см. в курсах HCIP-
Datacom.
• Когда маршрутизатор OSPF принимает первый пакет Hello от другого
маршрутизатора, маршрутизатор OSPF меняет статус Down на статус Init.

• Когда маршрутизатор OSPF принимает пакет Hello, в котором поле соседа

содержит ID маршрутизатора, маршрутизатор OSPF меняет статус Init на 2-way.
• Когда соседний маршрутизатор поменяет статус с 2-way на Exstart, начинается
выбор ведущего/ведомого маршрутизатора.

▫ Первый пакет DD, отправленный от R1 в R2, пуст, и его порядковый номер X.

▫ R2 также отправляет первый пакет DD в R1. В примерах, приведенных в этой

презентации, порядковый номер первого пакета DD – Y.

▫ Выбор статуса ведущий/ведомый основывается на сравнении ID

маршрутизаторов. Больший ID маршрутизатора указывает на более высокий
приоритет. Идентификатор маршрутизатора R2 больше, чем у R1. Поэтому R2
становится ведущим устройством. После завершения согласования ролей
ведущий/ведомый статус R1 меняется с Exstart на Exchange.

• После того, как статус соседства на R1 изменится на Exchange, R1 отправляет

новый пакет DD, содержащий описание своей базы LSDB. Порядковый номер
пакета DD такой же, как у R2. После получения пакета, на R2 статус соседства
меняется с Exstart на Exchange.

• R2 отправляет новый пакет DD в R1. Пакет DD содержит описание собственной

базы LSDB, а порядковый номер пакета DD – Y + 1.

• В качестве резервного маршрутизатора R1 должен подтверждать каждый пакет DD,

отправленный R2. Порядковый номер пакета ответа такой же, как у пакета DD,
отправленного R2.

• После отправки последнего пакета DD R1 изменяет статус соседства на Loading.

• После изменения статуса соседства на Loading R1 отправляет LSR на R2 для
запроса LSA, которые обнаружены через пакеты DD в статусе Exchange, но не
существуют в локальной базе LSDB.

• После получения LSU R2 отправляет LSU на R1. LSU содержит подробную

информацию о запрошенных LSA.

• Когда R1 получает LSU, R1 отправляет ответ LSAck на R2.

• В ходе этого процесса R2 также отправляет запрос LSA в R1. Когда LSDB у обеих
сторон становятся одинаковыми, статус соседства меняется на Full, что указывает
на успешное установление отношений смежности.
• Ниже приводятся поля, отображаемые в выводе команды display ospf peer:

▫ OSPF Process 1 with Router ID 1.1.1.1: идентификатор локального процесса

OSPF – 1, а ID локального маршрутизатора OSPF – 1.1.1.1.

▫ Area ID - идентификатор области соседнего маршрутизатора OSPF.

▫ Address: адрес соседнего интерфейса.

▫ GR State: статус GR после включения OSPF GR. GR – это оптимизированная

функция. Значение по умолчанию – Normal.

▫ State: статус соседства. В нормальных случаях после завершения

синхронизации LSDB сосед стабильно остается в состоянии Full.

▫ Mode: указывает, является ли локальное устройство главным или резервным

устройством при обмене информацией о статусе канала.

▫ Priority: приоритет соседнего маршрутизатора. Приоритет используется для

выбора DR.

▫ DR: выделенный маршрутизатор.

▫ BDR: резервный выделенный маршрутизатор.

▫ MTU: MTU соседнего интерфейса.

▫ Retrans timer interval: интервал (в секундах), в рамках которого осуществляется
повторная передача LSA.

▫ Authentication Sequence: порядковый номер аутентификации.

• Правило выбора: интерфейс с более высоким приоритетом OSPF DR становится
DR в сети с множественным доступом. Если приоритеты (по умолчанию значение
равно 1) одинаковы, маршрутизатор (интерфейс) с более высоким ID
маршрутизатора OSPF выбирается в качестве DR.
• Типы областей: области могут быть классифицированы на магистральные и
немагистральные. Область 0 – это магистральная область. Все области, кроме
области 0, называются немагистральными областями.

• Взаимодействие между областями: чтобы предотвратить возникновение петлей

между областями, немагистральные области нельзя соединять напрямую друг с
другом. Все немагистральные области соединяются с магистральной.
• Внутренний маршрутизатор: все интерфейсы внутреннего маршрутизатора
принадлежат одной области OSPF.

• ABR: интерфейсы ABR принадлежат двум или более областям, но по крайней мере
один интерфейс принадлежит магистральной области

• Магистральный маршрутизатор: по крайней мере один интерфейс магистрального

маршрутизатора принадлежит магистральной области.

• ASBR: обменивается информацией о маршрутизации с другими AS. Если

маршрутизатор OSPF импортирует внешние маршруты, маршрутизатор является
ASBR.
• Сети малых и средних предприятий имеют небольшое количество устройств
маршрутизации и малый масштаб. Все устройства могут быть развернуты в одной
области OSPF.

• Сеть крупного предприятия имеет большое количество устройств маршрутизации и

является иерархической. Поэтому рекомендуется развертывать OSPF с
несколькими областями.
• ID маршрутизатора выбирается в следующем порядке: в качестве ID
маршрутизатора выбирается самый большой IP-адрес среди адресов loopback
интерфейсов. Если loopback интерфейсы не сконфигурированы, в качестве ID
маршрутизатора выбирается самый большой IP-адрес среди адресов физических
интерфейсов.
• Настройте интерфейсы R2.

▫ [R2] interface GigabitEthernet 0/0/0

[R2-GigabitEthernet0/0/0] ip address 10.1.12.2 30
[R2-GigabitEthernet0/0/0] interface GigabitEthernet 0/0/1
[R2-GigabitEthernet0/0/1] ip address 10.1.23.1 30
1. BD

2. ABD
• Первые версии Ethernet:

▫ Сети Ethernet представляют собой широковещательные сети, принцип работы

которых основывается на механизме CSMA/CD. Первые появившиеся
Ethernet-устройства, такие как концентраторы, работают на физическом
уровне и не могут ограничивать коллизии в пределах определенной области.
Это снижает производительность сети Ethernet.

• Коммутация:

▫ Работая на канальном уровне, коммутаторы могут ограничивать коллизии в

пределах определенной области. Коммутаторы помогают повышать
производительность сетей Ethernet. Они заменили концентраторы, став
основными устройствами в сетях Ethernet. Однако коммутаторы не
ограничивают широковещательный трафик, это влияет на производительность
сетей Ethernet.
• Для предотвращения коллизий в сетях Ethernet используется технология CSMA/CD.
Процесс CSMA/CD заключается в следующем:

▫ Оконечное устройство непрерывно проверяет, свободен ли общий канал

передачи.

▪ Если канал свободен, оконечное устройство отправляет данные.

▪ Если канал используется, оконечное устройство ожидает, когда он
освободится.

▫ Если два терминала отправляют данные одновременно, в канале возникает

коллизия, и сигналы в канале становятся нестабильными.

▫ После обнаружения нестабильности терминал немедленно прекращает

отправку данных.

▫ Терминал отправляет серию аварийных сигналов. Через некоторое время

оконечное устройство возобновляет передачу данных. Устройств отправляет
аварийные сигналы, чтобы информировать другие устройства, особенно
устройство, которое одновременно с ним отправляет данные, о
произошедшей коллизии на линии.

• Принцип работы CSMA/CD можно кратко описать следующим образом:

прослушивание перед отправкой, прослушивание во время отправки, прекращение
отправки из-за коллизии и повторная отправка после случайной задержки.
• MAC-адрес состоящий из всех единиц (FF-FF-FF-FF-FF-FF) является
широковещательным адресом. Все узлы обрабатывают кадры данных с адресом
назначения, являющимся широковещательным адресом. Вся область рассылки
широковещательных кадров называется широковещательным доменом уровня 2,
который также называется широковещательным доменом.

• Обратите внимание, что MAC-адрес идентифицирует сетевую карту (NIC). Для

каждого сетевого адаптера требуется уникальный MAC-адрес.
• Существует множество типов сетевых карт. В этом документе все упомянутые
сетевые карты относятся к Ethernet.

• Коммутаторы, упомянутые в этом документе, являются коммутаторами Ethernet.

Сетевые карты, используемые каждым сетевым портом на коммутаторе, являются
сетевыми картами Ethernet.
• Кадр – это единица данных, передаваемая между сетевыми узлами в сети Ethernet.
Кадры Ethernet представлены в двух форматах, а именно Ethernet_II и IEEE 802.3,
как показано на этом слайде.
• Кадр Ethernet II:
▫ DMAC: 6 байт, MAC-адрес назначения. Это поле определяет, какой MAC-
адрес должен получить кадр.
▫ SMAC: 6 байт, MAC-адрес источника. Это поле определяет, какой MAC-адрес
должен отправить кадр.
▫ Type: 2 байта, тип протокола. Типовые значения являются следующими:
▪ 0x0800: IP версии 4 (IPv4)
▪ 0x0806: протокол определения адреса (ARP)
• Кадр Ethernet IEEE 802.3 LLC:
▫ Управление логическим каналом (LLC) состоит из точки доступа к сервису
назначения (DSAP), точки доступа к сервису источника (SSAP) и поля Control.
▪ DSAP: 1 байт, точка доступа к сервису назначения. Если последующий
тип – IP, значение устанавливается на 0x06. Функция точки доступа к
сервису аналогична полю Type в кадре Ethernet II или номеру порта в
TCP/UDP.
▪ SSAP: 1 байт, точка доступа к сервису источника. Если последующий тип
– IP, значение устанавливается на 0x06.
▪ Ctrl: 1 байт. Это поле обычно имеет значение 0x03, указывающее
ненумерованную информацию IEEE 802.2 сервиса без соединения.
 ▫ Поле SNAP (протокол доступа к подсети) состоит из поля Org Code и поля
Type.

▪ Все три байта поля Org Code являются 0.

▪ Поле Type работает так же, как в кадрах Ethernet_II.

• Общая длина кадра данных варьируется от 64 до 1518 байт. Почему такая длина?
(Кроме того, MTU интерфейса Ethernet составляет 1500 байт.)

▫ В сети Ethernet минимальная длина кадра составляет 64 байта, которая это

значение определено максимальным расстоянием передачи и механизмом
CSMA/CD.

▪ Использование минимальной длины кадра может предотвратить

следующую ситуацию: станция А завершает отправку последнего бита,
но первый бит не прибывает на станцию B, которая находится далеко от
станции A. Станция B считает, что линия свободна и начинает
отправлять данные, что приводит к коллизии.

▪ Протокол верхнего уровня должен гарантировать, что поле Data

содержит как минимум 46 байт. Таким образом, 14-байтный заголовок
кадра Ethernet и 4-байтный код проверки в концевике кадра могут
соответствовать минимальной длине кадра 64 байта. Если фактические
данные меньше 46 байт, протокол верхнего уровня должен дополнить
содержимое необходимым объемом данных.

▫ Для достижения компромисса между эффективностью и надежностью

передачи максимальная длина кадра Ethernet составляет 1518 байт, а
соответствующий пакет данных IP – 1500 байт.

▪ Большая длина кадров повышает эффективность передачи данных.

Однако если кадр данных слишком длинный, передача по общему
каналу занимает много времени, что значительно влияет на работу
приложений, чувствительных к задержкам.

▪ Таким образом, используется компромиссная длина кадра данных 1518

байт, которая соответствует длине пакета данных IP 1500 байт. Вот
откуда возникла концепция максимального объема данных (Maximum
Transfer Unit , MTU).
• MAC-адрес согласно стандарту IEEE 802 определяет местоположение сетевого
устройства. Все сетевые карты Ethernet, отвечающие стандарту IEEE 802, должны
иметь MAC-адрес. MAC-адрес зависит от используемой карты.
• У каждого устройства Ethernet есть уникальный MAC-адрес при выходе с завода.
Тогда зачем каждому хосту присваивается IP-адрес? Или если каждому хосту
присваивается уникальный IP-адрес, почему во время производства необходимо
встраивать уникальный MAC-адрес в сетевое устройство (например, сетевую
карту)?

• Основные причины:
▫ IP-адреса присваиваются на основе сетевой топологии, а MAC-адреса
назначаются на производителем. Если выбор маршрута основывается на
производителе, это решение не подходит.

▫ Двухуровневая адресация обеспечивает гибкость и простоту в обслуживании.

▪ Например, если сетевая карта Ethernet неисправна, вы можете заменить

ее без изменения IP-адреса. Если IP-хост перемещается из одной сети в
другую, IP-хосту может быть назначен новый IP-адрес без
необходимости замены сетевой карты на новую.

• Заключение:

▫ IP-адрес идентифицирует сетевой узел. Обмен данными между различными

сегментами сети происходит по IP-адресам.

▫ MAC-адрес идентифицирует сетевую карту. Обмен данными в пределах

одного сегмента сети осуществляется с помощью MAC-адресов.
• MAC-адрес длиной 48 бит (6 байт) является 12-значным шестнадцатеричным
числом.
• Производитель должен зарегистрироваться в IEEE, чтобы получить 24-битный (3-
байтный) код поставщика, который также называется OUI (Organizationally unique
identifier ), перед производством сетевой карты.

• Последние 24 бита назначаются поставщиком и идентифицируют сетевую карту,

произведенную вендором.

• Существуют следующие типы MAC-адресов:

▫ Одноадресный MAC-адрес, также называется физическим MAC-адресом.

Одноадресный MAC-адрес идентифицирует терминал в сети Ethernet и
является глобально уникальным аппаратным адресом.

▪ Одноадресный MAC-адрес идентифицирует один узел на канале.

▪ Кадр с одноадресным MAC-адресом назначения отправляется на один
узел.

▪ Одноадресный MAC-адрес может использоваться как источник, так и как

адрес назначения.

▪ Обратите внимание, что одноадресные MAC-адреса являются

уникальными в глобальном масштабе. При подключении двух
терминалов с одинаковым MAC-адресом к сети 2 уровня (например, из-
за неправильных операций), возникает сбой связи (например, два
терминала не могут взаимодействовать друг с другом). В соединении
между двумя терминалами и другими устройствами также может
возникнуть сбой.
▫ Широковещательный МАС-адрес: MAC-адрес со всеми единицами (FF-FF-FF-
FF-FF-FF), который обозначает все терминалы в LAN.

▪ Широковещательный МАС-адрес может рассматриваться как

специальный многоадресный MAC-адрес.

▪ Формат широковещательного MAC-адреса: FFFF-FFFF-FFFF.

▪ Кадр с широковещательным MAC-адресом отправляется на все узлы

канала.

▫ Многоадресный MAC-адрес указывает на группу терминалов в LAN. За

исключением широковещательных MAC-адресов, все MAC-адреса со
значением 1 в восьмом бите являются многоадресными MAC-адресами
(например, 01-00-00-00-00-00).

▪ Многоадресный MAC-адрес идентифицирует группу узлов на канале.

▪ Кадр с многоадресным MAC-адресом отправляется группе узлов.

▪ Многоадресный MAC-адрес может использоваться только в качестве

адреса назначения, но не адреса источника.
• Кадры в LAN могут отправляться в трех режимах передачи: одноадресном,
широковещательном и многоадресном.

• В одноадресном режиме кадры отправляются от одного источника в один адрес

назначения.

▫ Каждый интерфейс хоста идентифицирован MAC-адресом. В OUI MAC-адреса

восьмой бит первого байта указывает на тип адреса. Для MAC-адреса
отдельного хоста этот бит фиксируется на 0. Это означает, что все кадры с
этим MAC-адресом в качестве MAC-адреса назначения отправляются на
уникальный адрес назначения.
• В широковещательном режиме кадры отправляются из одного источника на все
хосты общей сети Ethernet.

▫ MAC-адрес назначения широковещательного кадра представляет собой

шестнадцатеричный адрес в формате FF-FF-FF-FF-FF-FF. Все хосты,
получающие широковещательный кадр, должны принимать и обрабатывать
его.

▫ В широковещательном режиме генерируется большое количество трафика,

что снижает использование полосы пропускания и влияет на
производительность всей сети.

▫ Режим широковещания обычно используется, когда всем хостам сети

необходимо получать и обрабатывать одинаковую информацию.
• Режим многоадресной передачи более эффективный, чем режим широковещания.

▫ Многоадресная пересылка может рассматриваться как избирательная

широковещательная пересылка. В частности, хост прослушивает конкретный
адрес многоадресной рассылки, принимает и обрабатывает кадры с
многоадресным MAC-адресом.

▫ Многоадресный МАС-адрес и одноадресный MAC-адрес отличаются восьмым

битом в первом байте. Восьмой бит многоадресного MAC-адреса равен 1.

▫ Режим многоадресной передачи используется, когда группа хостов (но не все

хосты) в сети должны получить одну информации.
• Типичная кампусная сеть состоит из различных устройств, таких как
маршрутизаторы, коммутаторы и межсетевые экраны. Как правило, кампусная сеть
имеет многоуровневую архитектуру, которая включает уровень доступа, уровень
агрегации, уровень ядра и граничный уровень.
• Ethernet-коммутатор уровня 2:

▫ В кампусной сети коммутатор находится ближе всего к конечным

пользователям и используется для подключения терминалов к кампусной
сети. Коммутаторы на уровне доступа, как правило, являются коммутаторами
уровня 2.

▫ Коммутатор уровня 2 работает на втором уровне модели TCP/IP, который

является канальным уровнем, и пересылает пакеты данных на основе MAC-
адресов.

• Ethernet-коммутатор уровня 3:

▫ Маршрутизаторы необходимы для реализации сетевой связи между

различными LAN. По мере расширения сетей передачи данных и появления
новых сервисов в сетях между сетями требуется отправлять все больше
трафика. Маршрутизаторы не могут адаптироваться к этой тенденции
развития из-за высоких затрат, низких рабочих характеристик пересылки и
небольшого количества интерфейсов. Требуются новые устройства,
способные к высокоскоростной пересылки на 3-м уровне. Такими
устройствами являются коммутаторы уровня 3.

• Обратите внимание, что под коммутаторами в этом разделе подразумеваются

Ethernet-коммутаторы уровня 2.
• Коммутаторы уровня 2 работают канальном уровне и пересылают кадры на основе
MAC-адресов. Интерфейсы коммутатора, используемые для отправки и получения
данных, независимы друг от друга. Интерфейсы принадлежат разным доменам
коллизий, за счет чего коллизионные домены эффективно изолированы в сети.

• Коммутаторы уровня 2 поддерживают информацию о соответствии MAC-адресов и

интерфейсов путем изучения MAC-адреса отправителя в кадрах Ethernet. Таблица,
которая хранит соответствие между MAC-адресами и интерфейсами, называется
таблицей MAC-адресов. Коммутаторы уровня 2 просматривают таблицу MAC-
адресов, чтобы определить интерфейс, с которого надо передать кадр, на основе
MAC-адреса назначения в кадре.
• Коммутатор записывает полученную информацию о соответствии MAC-адресов
устройств и интерфейсов коммутатора. При пересылке кадра коммутатор
просматривает таблицу MAC-адресов, осуществляя поиск нужной записи на основе
MAC-адреса назначения в кадре. Если таблица MAC-адресов содержит запись,
соответствующую MAC-адресу назначения кадра, кадр напрямую пересылается
через исходящий интерфейс, указанный в записи. Если таблица MAC-адресов не
содержит запись, соответствующую MAC-адресу назначения кадра, коммутатор
выполняет лавинную передачу кадра на все интерфейсы, кроме интерфейса,
получившего кадр.
• Коммутатор пересылает каждый кадр, поступающий на интерфейс из среды
передачи. Основная функция коммутатора заключается в пересылке кадров.

• Коммутатор обрабатывает кадры тремя способами: лавинная передача, пересылка

и отбрасывание.

▫ Лавинная передача: коммутатор передает кадры, полученные от интерфейса,

на все остальные интерфейсы.

▫ Пересылка: коммутатор переадресует кадры, полученные от интерфейса, на

другой интерфейс.

▫ Отбрасывание: коммутатор отбрасывает кадры, полученные на интерфейс.

• Если одноадресный кадр поступает на интерфейс коммутатора из среды передачи,
коммутатор выполняет поиск в таблице MAC-адресов, чтобы найти MAC-адрес
назначения. Если MAC-адрес не найден, коммутатор выполняет лавинную передачу
одноадресного кадра.

• Если широковещательный кадр поступает на интерфейс коммутатора из среды

передачи, коммутатор напрямую выполняет лавинную передачу
широковещательного кадра без поиска MAC-адреса назначения в таблице MAC-
адресов.

• На рисунке показаны следующие сценарии.

▫ Сценарий 1: хост 1 хочет получить доступ к хосту 2 и отправляет коммутатору

одноадресный кадр. После получения одноадресного кадра коммутатор
выполняет поиск MAC-адреса назначения в таблице MAC-адресов. Если MAC-
адреса назначения нет в таблице, коммутатор выполняет лавинную передачу
кадра.

▫ Сценарий 2: хост 1 хочет получить доступ к хосту 2, но не знает MAC-адрес

хоста 2. Хост 1 отправляет коммутатору ARP запрос, который является
широковещательным кадром. Затем коммутатор выполняет лавинную
передачу широковещательного кадра.
• Если одноадресный кадр поступает на интерфейс коммутатора из среды передачи,
коммутатор выполняет поиск MAC-адреса назначения в таблице MAC-адресов.
Если соответствующая запись найдена в таблице MAC-адресов, коммутатор
проверяет, является ли номер интерфейса, соответствующий MAC-адресу
назначения, номером интерфейса, на который пришел кадр. Если нет, коммутатор
пересылает кадр на интерфейс, соответствующий MAC-адресу назначения кадра в
таблице MAC-адресов. Затем кадр отправляется с этого интерфейса.

• На рисунке показано следующее:

▫ хост 1 пытается получить доступ к хосту 2 и отправляет к коммутатору
одноадресный кадр. После получения одноадресного кадра коммутатор
находит соответствующую запись в таблице MAC-адресов и пересылает кадр
в режиме точка-точка.
• Если одноадресный кадр поступает на интерфейс коммутатора из среды передачи,
коммутатор ищет MAC-адрес назначения кадра в таблице MAC-адресов. Если
соответствующая запись найдена, коммутатор проверяет, является ли номер
интерфейса, соответствующий MAC-адресу назначения в таблице MAC-адресов,
номером интерфейса, на который поступил кадр. Если да, коммутатор отбрасывает
кадр.

• На рисунке показано следующее:

▫ Хост 1 пытается получить доступ к хосту 2 и отправляет одноадресный кадр

коммутатору 1. После получения одноадресного кадра коммутатор 1 ищет
MAC-адрес назначения кадра в таблице MAC-адресов. Если MAC-адреса
назначения нет в таблице, коммутатор 1 выполняет лавинную передачу кадра.

▫ После получения кадра коммутатор 2 обнаруживает, что интерфейс,

соответствующий MAC-адресу назначения, является интерфейсом,
получившим кадр. В этом случае коммутатор 2 отбрасывает кадр.
• Изначально коммутатор не знает MAC-адреса подключенных хостов. Поэтому
таблица MAC-адресов пустая.
• Если хост 1 пытается отправить данные хосту 2 (предположим, что хост 1 знает IP-
адрес и MAC-адрес хоста 2), хост 1 инкапсулирует данные , со своим собственным
IP-адресом и MAC-адресом источника.

• После получения кадра коммутатор выполняет поиск MAC-адреса назначения в

своей таблице MAC-адресов. Если в таблице не найдена соответствующая запись,
коммутатор считает кадр неизвестным одноадресным кадром.
• Коммутатор выполняет лавинную передачу полученного кадра, поскольку он
является неизвестным одноадресным кадром.

• Кроме того, коммутатор записывает MAC-адрес источника и номер интерфейса, на

который пришел кадр, в таблицу MAC-адресов.

• Обратите внимание, что динамически полученные записи в таблице MAC-адресов

имеют ограниченное время действия, продолжительность жизни. Если запись не
обновляется в течение этого времени, она будет удалена. Эта продолжительность
жизни называется временем старения. Например, время старения на коммутаторах
Huawei S-серии по умолчанию – 300 с.
• При лавинной передаче все хосты широковещательной сети получают кадр, но
обрабатывает его только хост 2, так как MAC-адрес назначения кадра является
MAC-адресом хоста 2.

• Хост 2 отправляет на хост 1 кадр ответа, который также является одноадресным

кадром данных.
• После получения одноадресного кадра коммутатор проверяет таблицу MAC-
адресов. Если коммутатор находит соответствующую запись, он пересылает кадр
через соответствующий интерфейс.

• Кроме того, коммутатор записывает MAC-адрес источника и номер интерфейса

полученного кадра в таблице MAC-адресов.
• Перед отправкой пакета хосту 1 необходимо инкапсулировать данные, указав в том
числе IP-адреса источника и назначения, а также MAC-адреса источника и
назначения.
• Чтобы инкапсулировать пакет, хост 1 выполняет поиск в локальной таблице ARP-
кэш. Изначально таблица ARP-кэш хоста 1 пустая.

• При первом включении коммутатора таблица MAC-адресов также пуста.

• Хост 1 отправляет пакет запроса ARP для запроса MAC-адреса назначения.

• После получения кадра коммутатор выполняет поиск в таблице MAC-адресов. Если

в таблице не найдена соответствующая запись, коммутатор выполнит лавинную
передачу кадра на другие интерфейсы, кроме интерфейса, получившего кадр.

• При этом, если кадр широковещательный, то коммутатор напрямую выполняет

лавинную передачу без поиска MAC-адреса назначения в таблице MAC-адресов.
• Коммутатор записывает MAC-адрес источника и номер интерфейса, на который был
получен кадр, в таблицу MAC-адресов.
• Получив пакет запроса ARP, хост 2 обрабатывает его и отправляет пакет ответа
ARP хосту 1.

• После получения кадра коммутатор выполняет поиск в таблице MAC-адресов. Если

он находит соответствующую запись в таблице, то пересылает кадр на
соответствующий интерфейс и записывает MAC-адрес источника и номер
интерфейса, на который пришел кадр, в таблицу MAC-адресов.

• После получения пакета ответа ARP от хоста 2 хост 1 записывает соответствующий

IP-адрес и MAC-адрес в таблицу ARP-кэш и инкапсулирует данные для доставки
хосту 2.
1. A

2. B
• Широковещательный домен:

▫ На рисунке показана типовая сеть, состоящая только из ПК и коммутаторов.

Если ПК1 отправляет широковещательный кадр, коммутаторы выполняют
лавинную передачу кадра в сети. В результате все остальные ПК получают
кадр.

▫ Область распространения широковещательных кадров, называется

широковещательным доменом 2-го уровня (коротко – широковещательный
домен). Коммутационная сеть является широковещательным доменом.

• Проблемы безопасности сети и нежелательного трафика:

▫ Предположим, что ПК1 отправляет одноадресный кадр на ПК2. Запись MAC-

адреса ПК2 существует в таблицах MAC-адресов SW1, SW3 и SW7, но не в
таблицах SW2 и SW5. В этом случае SW1 и SW3 переадресуют кадр в режиме
точка-точка, SW7 отбрасывает кадр, а SW2 и SW5 выполняют лавинную
передачу кадра. Хотя ПК2 получает одноадресный кадр, другие ПК в сети
также получат его, хотя и не должны.

• Чем больше широковещательный домен, тем более серьезны возникающие

проблемы безопасности сети и нежелательного трафика.
• Технология VLAN используется для решения проблем, вызванных большими
широковещательным доменами.

▫ Развертывая VLAN на коммутаторах, вы можете логически разделить большой

широковещательный домен на несколько небольших доменов. Это
эффективно повышает безопасность сети, снижает нежелательный трафик и
сокращает количество необходимых сетевых ресурсов.

• Характеристики VLAN:

▫ Каждая VLAN представляет собой широковещательный домен. Таким

образом, ПК в одной VLAN могут напрямую взаимодействовать на уровне 2.
ПК в различных VLAN, напротив, могут взаимодействовать только на уровне 3,
а не напрямую на уровне 2. Таким образом, широковещательные данные
передаются только в рамках VLAN.

▫ Назначение VLAN не зависит от географического местоположения.

• Преимущества технологии VLAN:

▫ Гибкая настройка виртуальных групп. Благодаря технологии VLAN можно

сгруппировать терминалы, расположенные в различных географических
местах, что упрощает построение и техобслуживание сети.

▫ Ограничение широковещательного домена в пределах VLAN. Таким образом

сохраняется полоса пропускания и улучшаются возможности обработки
трафика в сети.

▫ Повышение безопасности LAN. Кадры в различных VLAN передаются

 изолированно, чтобы ПК в одной VLAN не могли напрямую
взаимодействовать с ПК в другой VLAN.

▫ Повышение стабильности сети. Неисправности в VLAN не влияют на

ПК в других VLAN.

• Примечание. Уровень 2 – это канальный уровень.

• В этой части описываются принципы работы VLAN в следующих трех аспектах:
идентификация VLAN, назначение VLAN и обработка кадров VLAN на
коммутаторах.
• Как показано на рисунке, после получения кадра и идентификации VLAN, к которой
он принадлежит, коммутатор 1 добавляет тег VLAN к кадру, чтобы указать на эту
VLAN. Когда другой коммутатор, например, SW2, получает кадр от коммутатора 1 с
тегом, он может легко идентифицировать VLAN благодаря тегу.

• Кадры с 4-байтным тегом VLAN называются кадрами IEEE 802.1Q или кадрами
VLAN.
• Кадры Ethernet в VLAN в основном подразделяются на следующие типы:

▫ Тегированные кадры: кадры Ethernet, в которых 4-байтный тег VLAN

вставляется между MAC-адресом источника и полем длина/тип в соответствии
с IEEE 802.1Q

▫ Нетегированные кадры: кадры без 4-байтного тега VLAN

• Основные поля в кадре VLAN:

▫ TPID: 16-битное поле, используемое для идентификации типа кадра.

▪ Значение 0x8100 означает кадр IEEE 802.1Q. Устройство, которое не

поддерживает 802.1Q, отбрасывает кадры 802.1Q.

▪ Производители могут определять значения TPID для устройств. Чтобы

устройство могло идентифицировать полученные от другого устройства
кадры в другом формате, не 802.1Q, необходимо настроить TPID такое
же, как на другом устройстве.

▫ PRI: 3-битное поле, используемое для идентификации приоритета кадра. Он

используется в основном для QoS.

▪ Значение этого поля является целым числом от 0 до 7. Большее

значение указывает на более высокий приоритет. При возникновении
перегрузки коммутатор предпочтительно отправляет кадры с наивысшим
приоритетом.
 ▫ CFI: 1-битное поле, указывающее, инкапсулирован ли MAC-адрес в
каноническом формате. Это поле в основном используется для
дифференцирования кадров Ethernet, кадров волоконно-оптического
распределенного интерфейса передачи данных (fiber distributed digital interface,
FDDI) и кадров кольцевой сети с маркерным доступом (Tolken Ring).

▪ Значение 0 указывает, что MAC-адрес инкапсулирован в каноническом

формате, а значение 1 указывает, что MAC-адрес инкапсулирован в
неканоническом формате.

▪ Для кадров Ethernet значение этого поля равно 0.

▫ ID VLAN: также называется VID. Это 12-битное поле, которое используется
для идентификации VLAN, к которой принадлежит кадр.

▪ Значение этого поля является целым числом от 0 до 4095. Значения 0 и

4095 зарезервированы. Поэтому могут использоваться только VLAN ID
от 1 до 4094.

▪ Коммутатор использует VID, содержащийся в теге VLAN, чтобы

идентифицировать VLAN, которой принадлежит кадр.
Широковещательные кадры передаются только в пределах своей VLAN.

• Способ идентификации кадров с тегами VLAN:

▫ Значение поля кадра Длина/Тип = 0x8100

• Примечание. ПК не могут идентифицировать тегированные кадры и поэтому могут

отправлять или обрабатывать только нетегированные кадры. И напротив, все
кадры, которые обрабатывают коммутаторы содержат теги, что повышает
эффективность обработки.
• ПК могут отправлять только кадры без тегов. После получения такого кадра
коммутатору, поддерживающему технологию VLAN, необходимо назначить тег
VLAN на основании определенных правил.

• Доступные методы назначения VLAN:

▫ Назначение на основе интерфейса – назначение VLAN на основе
интерфейсов коммутатора.

▪ Сетевой администратор предварительно настраивает ID порта VLAN

(PVID) для каждого интерфейса коммутатора. Когда на интерфейс
коммутатора поступает кадр без тегов, коммутатор добавляет к кадру тег
с PVID интерфейса. Затем кадр передается в указанную сеть VLAN.

▫ Назначение на основе MAC-адресов – назначение VLAN на основе MAC-

адресов источника кадров.

▪ Сетевой администратор предварительно настраивает соответствие

между MAC-адресами и ID VLAN. После получения кадра без тега
коммутатор добавляет тег VLAN, в соответствии с MAC-адресом
источника. Затем кадр передается в указанную сеть VLAN.
▫ Назначение на основе IP подсети – назначение VLAN на основе IP-адресов
источников и масок подсетей кадров.

▪ Сетевой администратор предварительно настраивает соответствие

между IP-адресами и ID VLAN. После получения кадра без тега
коммутатор добавляет тег VLAN, в соответствии с IP-адресом источника.
Затем кадр передается в указанную сеть VLAN.

▫ Назначение на основе протокола – назначение VLAN на основе типов

протоколов (стеков протоколов) и форматов инкапсуляции кадров.

▪ Сетевой администратор предварительно настраивает соответствие

между типами протоколов (стеков протоколов) и ID VLAN. После
получения кадра без тега коммутатор добавляет тег VLAN, в
соответствии с типом протокола (стеком протоколов). Затем кадр
передается в указанную сеть VLAN.

▫ Назначение на основе политики – назначение VLAN на основе указанной

политики, например политики, сочетающей предыдущие методы.

▪ Сетевой администратор предварительно настраивает политику. После

получения кадра без тега, соответствующего политике, коммутатор
добавляет нужный тег VLAN к кадру. Затем кадр передается в
указанную сеть VLAN.
• Правила назначения:

▫ Идентификаторы VLAN конфигурируются на физических интерфейсах

коммутатора. Все отправленные ПК кадры без тегов, поступающие на
физический интерфейс, назначаются сети VLAN, которая соответствует PVID,
сконфигурированному для интерфейса.

• Характеристики:

▫ Назначение VLAN выполняется просто, интуитивно и удобно. В настоящее

время это наиболее распространенный метод назначения VLAN.

▫ Если меняется интерфейс коммутатора, к которому подключен ПК, может

также измениться сеть VLAN, которой назначены кадры, отправленные с ПК
на интерфейс.

• Port Default VLAN ID: PVID

▫ Для каждого интерфейса коммутатора необходимо сконфигурировать PVID.
Все кадры без тегов, поступающие на интерфейс, назначаются сети VLAN,
соответствующей PVID, сконфигурированному для интерфейса.

▫ PVID по умолчанию – 1.
• Правила назначения:

▫ Каждый коммутатор поддерживает таблицу с записями соответствий между

MAC-адресами и ID VLAN. После получения от ПК кадра без тега коммутатор
анализирует MAC-адрес источника кадра, ищет в таблице соответствия ID
VLAN, соответствующий MAC-адресу, и назначает кадр соответствующей сети
VLAN.

• Характеристики:

▫ Этот метод назначения немного сложен, но гибок.

▫ Если меняется интерфейс коммутатора, к которому подключен ПК, сеть VLAN,
которой назначены отправляемые ПК кадры, остается неизменной, так как
MAC-адрес ПК не меняется.

▫ Однако, поскольку вредоносные ПК могут легко подделывать MAC-адреса,

этот метод назначения может подвергать сеть рискам безопасности.
• Метод назначения VLAN на основе интерфейса меняется в зависимости от типа
интерфейса коммутатора.

• Интерфейс доступа

▫ Интерфейс доступа часто подключается к терминалу (например, ПК или

серверу), который не может идентифицировать теги VLAN, или используется,
когда не требуется различать сети VLAN.

• Транковый интерфейс

▫ Интерфейс в режиме транка часто подключается к коммутатору,

маршрутизатору, точке доступа или голосовому терминалу, который может
принимать и отправлять как тегированные, так и нетегированные кадры.

• Гибридный интерфейс

▫ Гибридный интерфейс может подключаться к пользовательскому терминалу

(например, ПК или серверу), который не может идентифицировать теги VLAN,
или к коммутатору, маршрутизатору, точке доступа или голосовому терминалу,
который может принимать и отправлять как тегированные, так и
нетегированные кадры.

▫ По умолчанию на устройствах Huawei используются гибридные интерфейсы.

• Как интерфейсы коммутатора обрабатывают кадры с тегами и без них? Сначала,
давайте рассмотрим интерфейсы в режиме доступа.

• Характеристики интерфейсов, настроенных в режиме доступа:

▫ Интерфейс пропускает только кадры, у которых ID VLAN совпадает с PVID

интерфейса.

• Прием кадров через интерфейс доступа:

▫ После получения кадра без тега интерфейс добавляет в кадр тег с VID,
который является PVID интерфейса, и затем выполняет лавинную передачу,
пересылает или отбрасывает тегированный кадр.

▫ После получения тегированного кадра интерфейс проверяет, совпадает ли

VID в теге кадра с PVID. Если совпадает, интерфейс передает тегированный
кадр. В противном случае интерфейс отбрасывает кадр.

• Отправка кадров через интерфейс доступа:

▫ Перед отправкой кадра с интерфейса, настроенного в режиме доступа,
коммутатор проверяет, совпадает ли VID в теге кадра с PVID этого
интерфейса.

▪ Если совпадает, интерфейс удаляет тег из кадра и отправляет его.

▪ В противном случае интерфейс отбрасывает тегированный кадр.
• Для интерфейса в режиме транке необходимо сконфигурировать не только PVID, но
и список разрешенных на интерфейсе ID VLAN. По умолчанию VLAN 1 уже
существует в этом списке.

• Характеристики интерфейса в режиме транка:

▫ Транковый интерфейс пропускает только кадры, ID VLAN которых находятся в
списке разрешенных на интерфейсе.

▫ Он может пропускать тегированные кадры из нескольких VLAN, а кадры без

тегов – только из одной VLAN.

• Прием кадра через интерфейс магистрального канала:

▫ После получения кадра без тега, интерфейс магистрального канала добавляет
в кадр тег с VID, являющимся PVID интерфейса, и затем проверяет, находится
ли VID в списке ID VLAN, разрешенных интерфейсом. Если VID находится в
списке, интерфейс передает тегированный кадр. В противном случае
интерфейс напрямую отбрасывает тегированный кадр.

▫ После получения тегированного кадра интерфейс магистрального канала

проверяет, находится ли VID из тега кадра в списке ID VLAN, разрешенных
интерфейсом. Если VID находится в списке, интерфейс передает
тегированный кадр. В противном случае интерфейс напрямую отбрасывает
тегированный кадр.
• Отправка кадров с транкового порта:

▫ Перед отправкой кадра с транкового интерфейса коммутатор проверяет,

находится ли VID тега кадра в списке ID VLAN, разрешенных на интерфейсе.
Если VID нет в списке, кадр отбрасывается.

▫ Перед отправкой кадра с транкового интерфейса коммутатор проверяет,

находится ли VID тега кадра в списке ID VLAN, разрешенных на интерфейсе.
Если VID находится в списке, интерфейс проверяет, совпадает ли VID с PVID
интерфейса.

▪ Если совпадает, интерфейс удаляет тег из кадра и отправляет кадр без

тега.

▪ Если не совпадает, интерфейс отправляет кадр без удаления тега.

• В этом примере SW1 и SW2 соединены с ПК через интерфейсы, настроенные в
режиме доступа. PVID сконфигурированы для интерфейсов, как показано на
рисунке. SW1 и SW2 соединены через транковые порты, PVID которых установлено
на значение 1. В таблице перечислены ID VLAN, разрешенные на транковых портах.

• Опишите, как реализуется взаимодействие между ПК в этом примере.

• Для интерфейса в гибридном режиме необходимо сконфигурировать не только
PVID, но и два списка ID VLAN, разрешенных интерфейсом: один список ID VLAN
без тегов и один список ID VLAN с тегами. По умолчанию VLAN 1 находится в
списке ID VLAN без тегов. Кадры из всех сетей VLAN в двух списках могут
проходить через гибридный интерфейс.

• Характеристики гибридных интерфейсов:

▫ Гибридный интерфейс пропускает только кадры, ID VLAN которых находятся в
списках ID VLAN, разрешенных интерфейсом.

▫ Он может пропускать тегированные кадры из нескольких VLAN. Кадры,

отправленные с гибридного интерфейса, могут иметь или не иметь теги в
зависимости от конфигурации VLAN.

▫ В отличие от транкового порта , гибридный интерфейс может пропускать

кадры без тегов из нескольких VLAN.
• Прием кадров через гибридный порт:

▫ После получения нетегированного кадра гибридный интерфейс добавляет в

него тег с VID, являющимся PVID интерфейса, и затем проверяет, находится
ли VID в списке ID VLAN с тегами и без тегов. Если VID находится в списке,
интерфейс передает дальше на обработку кадр с тегом. В противном случае
порт отбрасывает тегированный кадр.

▫ После получения тегированного кадра гибридный интерфейс проверяет,

находится ли VID из тега кадра в списке ID VLAN с тегами и без тегов. Если
VID находится в списке, интерфейс пепредает дальше на обработку
тегированный кадр. В противном случае порт отбрасывает тегированный кадр.

• Отправка кадров через гибридный порт:

▫ Перед отправкой кадра с коммутатора, гибридный интерфейс проверяет, есть

ли VID из тега кадра в списке ID VLAN с тегами или без тегов. Если VID нет ни
в одном из двух списков, кадр отбрасывается.

▫ Перед отправкой кадра с коммутатора, гибридный интерфейс проверяет, есть

ли VID из тега кадра в списке ID VLAN с тегами или без тегов. Если VID есть в
списке ID VLAN без тегов, интерфейс удаляет тег из кадра и затем отправляет
его.

▫ Перед отправкой кадра с коммутатора, гибридный интерфейс проверяет, есть

ли VID из тега кадра в списке ID VLAN с тегами или без тегов. Если VID
находится в списке ID VLAN с тегами, интерфейс отправляет кадр без
удаления тега.
• В этом примере SW1 и SW2 подключаются к ПК через гибридные интерфейсы. Два
коммутатора соединены также через этот тип интерфейса. PVID сконфигурированы
для интерфейсов, как показано на рисунке. В таблицах перечислены ID VLAN,
разрешенные интерфейсами.

• Опишите, как ПК получают доступ к серверу в этом примере.

• Процессы добавления и удаления тегов VLAN на интерфейсах:
▫ Прием кадров:
▪ После получения кадра без тегов порт в режиме доступа, транковый
порт и гибридный порт добавляют тег VLAN к кадру. Затем транковый и
гибридный порты определяют, пропустить ли кадр на основе его VID
(кадр пропускают только тогда, когда VID является разрешенным VLAN
ID), в то время как порт в режиме доступа пропускает кадр без условий.
▪ После получения кадра с тегом порт в режиме доступа пропускает его
только тогда, когда VID в теге кадра совпадает с PVID,
сконфигурированным для интерфейса, в то время как транковый и
гибридные порты пропускают кадр только тогда, когда VID тега кадра
находится в списке разрешенных VLAN.
▫ Отправка кадров:
▪ Порт в режиме с доступа: напрямую удаляет теги VLAN из кадров перед
отправкой.
▪ Транковый порт : удаляет теги VLAN из кадров только тогда, когда VID в
тегах совпадает с PVID интерфейса.
▪ Гибридный порт: определяет, следует ли удалить теги VLAN из кадров на
основе конфигурации интерфейса.
• Все кадры, отправляемые с интерфейса, настроенного в режиме доступа, не имеют
тегов. С транкового интерфейса без тегов могут отправляться кадры только одной
VLAN , а кадры других VLAN отправляются с тегами. На гибридном интерфейсе
можно указать несколького VLAN, кадры которых должны отправляться с тегами
или без них.
• Рекомендуется назначить последовательные ID VLAN для обеспечения
правильного использования ресурсов VLAN. Наиболее распространенным методом
является назначение VLAN на основе интерфейсов.
• Команда vlan создает VLAN и переводит в конфигурационный режим VLAN. Если
созданная VLAN уже существует, эта команда просто переводит в
конфигурационный режим VLAN.

• Команда undo vlan удаляет VLAN.

• По умолчанию все интерфейсы добавлены в дефолтный VLAN c ID 1.

• Команды:

▫ vlan vlan-id

▪ vlan-id: указывает ID VLAN. Значение представляет собой целое число от

1 до 4094.

▫ vlan batch { vlan-id1 [ to vlan-id2 ] }

▪ batch: выполняет создание нескольких VLAN.

▪ vlan-id1 [ to vlan-id2 ]: указывает ID сетей VLAN, которые будут созданы в

пакете.

− vlan-id1: указывает начальный ID VLAN.

− vlan-id2: указывает конечных ID VLAN. Значение vlan-id2 должно

быть больше или равно значению vlan-id1. Два параметра
совместно определяют диапазон VLAN.

▪ Если вы не указываете to vlan-id2, команда создает только одну VLAN, ID

которой указывается с помощью vlan-id1.
▪ Значения vlan-id1 и vlan-id2 являются целыми числами от 1 до
4094.
• Команда: port trunk allow-pass vlan { { vlan-id1 [ to vlan-id2 ] | all }

▫ vlan-id1 [ to vlan-id2 ]: указывает ID VLAN, которые разрешены на транковом

интерфейсе.

▪ vlan-id1: указывает начальный ID VLAN.

▪ vlan-id2: указывает конечный ID VLAN. Значение vlan-id2 должно быть
больше или равно значению vlan-id1.

▪ Значения vlan-id1 и vlan-id2 являются целыми числами от 1 до 4094.

▫ all: Разрешает все VLAN на транковом интерфейсе.

• Команда port trunk pvid vlan vlan-id конфигурирует VLAN по умолчанию для
транкового интерфейса.

▫ vlan-id: указывает ID VLAN по умолчанию, которая должна быть создана

транкового интерфейса . Значение представляет собой целое число от 1 до
4094.
• Команда: port hybrid untagged vlan { { vlan-id1 [ to vlan-id2 ] } | all }
▫ vlan-id1 [ to vlan-id2 ]: которые разрешены на гибридном интерфейсе и
передаются без тега
▪ vlan-id1: указывает начальный ID VLAN.
▪ vlan-id2: указывает конечный ID VLAN. Значение vlan-id2 должно быть
больше или равно значению vlan-id1.
▪ Значения vlan-id1 и vlan-id2 являются целыми числами от 1 до 4094.
▫ all: разрешены все VLAN.
• Команда: port hybrid tagged vlan { { vlan-id1 [ to vlan-id2 ] } | all }
▫ vlan-id1 [ to vlan-id2 ]: которые разрешены на гибридном интерфейсе и
передаются с тегом.
▪ vlan-id1: указывает начальный ID VLAN.
▪ vlan-id2: указывает конечный ID VLAN. Значение vlan-id2 должно быть
больше или равно значению vlan-id1.
▪ Значения vlan-id1 и vlan-id2 являются целыми числами от 1 до 4094.
▫ all: разрешены все VLAN.
• Команда port hybrid pvid vlan vlan-id конфигурирует VLAN по умолчанию для
гибридного интерфейса.
▫ vlan-id: указывает ID сети VLAN по умолчанию, которая должна быть создана
для гибридного интерфейса. Значение представляет собой целое число от 1
до 4094.
Порядок конфигурации:

▫ Создайте сети VLAN и добавьте в них интерфейсы, подключенные к ПК, чтобы

изолировать трафик уровня 2 между ПК с различными сервисами.

▫ Настройте типы интерфейсов и укажите разрешенные VLAN для SW1 и SW2,

чтобы разрешить ПК с одинаковым сервисом взаимодействовать через SW1 и
SW2.
• Команда display vlan отображает информацию VLAN.

• Вывод команды:
▫ Tagged/Untagged: интерфейсы добавляются в VLAN вручную в режиме с
тегами и без тегов.

▫ VID or VLAN ID: VLAN ID.

▫ Type or VLAN Type: тип VLAN. Значение common указывает на типовую сеть
VLAN.

▫ Ports: интерфейсы, добавленные к VLAN.

• Порядок конфигурации:

▫ Создайте сети VLAN и добавьте к ним интерфейсы, подключенные к ПК, чтобы

изолировать трафик уровня 2 между ПК с различными сервисами.

▫ Настройте типы интерфейсов и укажите разрешенные VLAN для SW1 и SW2,

чтобы позволить ПК взаимодействовать с сервером через SW1 и SW2.
• Команда: mac-vlan mac-address mac-address [ mac-address-mask | mac-address-
mask-length ]

▫ mac-address: указывает MAC-адрес, который должен быть связан с VLAN.

▪ Значение представляет собой шестнадцатеричное число в формате H-H-

H. Каждая H содержит от одной до четырех цифр, например 00e0 или
fc01. Если H содержит менее четырех цифр, самые левые цифры
заполнены нулями. Например, e0 отображается как 00e0.

▪ MAC-адрес не может быть в формате 0000-0000-0000, FFFF-FFFF-FFFF

или в формате адреса многоадресной передачи.

▫ mac-address-mask: указывает маску MAC-адреса.

▪ Значение представляет собой шестнадцатеричное число в формате H-H-

H. Каждая H содержит от одной до четырех цифр.

▫ mac-address-mask-length: указывает длину маски MAC-адреса.

▪ Значение представляет собой целое число от 1 до 48.

• Команда mac-vlan enable активирует назначение VLAN на основе MAC-адресов на
интерфейсе.
• Порядок конфигурации:

▫ Создайте VLAN, например, VLAN 10.

▫ Добавьте Ethernet-интерфейсы на SW1 в VLAN.

▫ Свяжите MAC-адреса ПК от 1 до 3 с VLAN.

• На интерфейсах, настроенных в режиме доступа и транка назначение VLAN на
основе MAC-адресов может использоваться только тогда, когда VLAN на основе
MAC-адресов совпадает с PVID. Рекомендуется настраивать назначение VLAN на
основе MAC-адресов на гибридных интерфейсах.
• Команда: display mac-vlan { mac-address { all | mac-address [ mac-address-mask |
mac-address-mask-length ] } | vlan vlan-id } отображает конфигурацию назначения
VLAN на основе MAC-адресов.
▫ all: отображает все VLAN, связанные с MAC-адресами.
▫ mac-address mac-address: отображает VLAN, связанную с указанным MAC-
адресом.
▪ Значение представляет собой шестнадцатеричное число в формате H-H-
H. Каждая H содержит от одной до четырех цифр.
▫ mac-address-mask: указывает маску MAC-адреса.
▪ Значение представляет собой шестнадцатеричное число в формате H-H-
H. Каждая H содержит от одной до четырех цифр.
▫ mac-address-mask-length: указывает длину маски MAC-адреса.
▪ Значение представляет собой целое число от 1 до 48.
▫ vlan vlan-id: указывает ID VLAN.
▪ Значение представляет собой целое число от 1 до 4094.
• Вывод команды:
▫ MAC Address: MAC-адрес
▫ MASK: маска MAC-адреса
▫ VLAN: ID VLAN, связанной с MAC-адресом
▫ Priority: приоритет 802.1p VLAN, связанный с MAC-адресом
1. AC

2. После выполнения команды port trunk allow-pass vlan 2 3 кадры VLAN 5 не могут
передаваться через интерфейс магистрального канала. По умолчанию через
интерфейс магистрального канала могут передаваться кадры VLAN 1. Таким
образом, все кадры VLAN от 1 по 3 могут передаваться через интерфейс.
• По мере увеличения размера LAN растет число коммутаторов, которые
используются для реализации взаимодействия между хостами. Как показано на
рисунке, коммутатор доступа подключается к вышестоящему устройству через один
канал. В случае отказа восходящего канала хост, подключенный к коммутатору
доступа, отключается от сети. Еще одна проблема — единая точка отказа (single
point of failure, SPOF). То есть, если коммутатор выходит из строя, хост,
подключенный к коммутатору доступа, также отключается.

• Чтобы решить эту проблему, коммутаторы используют резервные каналы для

реализации запасного соединения. Резервные каналы повышают надежность сети,
но могут возникать петли. Петли вызывают множество проблем, таких как
ухудшение качества и прерывание связи.
• На практике резервные каналы могут стать причиной образования петель.
Некоторые петли могут быть вызваны ошибочными действиями человека.
• Проблема 1: широковещательный шторм

▫ Согласно принципам работы коммутаторов, если коммутатор принимает на

интерфейс широковещательный кадр или одноадресный кадр с неизвестным
MAC-адресом назначения, коммутатор пересылает кадр на все другие
интерфейсы, кроме исходного интерфейса. Если в коммутационной сети
возникла петля, кадр будет пересылаться бесконечное число раз. В этом
случае возникает широковещательный шторм, и дублированные кадры
данных рассылаются по сети.
▫ В этом примере SW3 получает широковещательный кадр и выполняет
лавинную рассылку кадра. SW1 и SW2 также пересылают кадр всем
интерфейсам, кроме интерфейса, который его получил. В результате кадр
снова пересылается на SW3-коммутатор. Этот процесс продолжается,
вызывая широковещательный шторм. Производительность коммутатора
быстро ухудшается, и возникают сбои в передаче данных.
• Проблема 2: нестабильность записей в таблице МАС-адресов

▫ Коммутатор генерирует таблицу MAC-адресов на основе адресов

отправителей в полученных кадрах и интерфейсов, на которые пришли кадры.
▫ В этом примере SW1 после получения кадра на GE0/0/1 делает в таблице
соответствующую запись и лавинно рассылает широковещательный кадр.
SW2 тоже записывает информацию о MAC-адресе отправителя кадра и
интерфейсе, на который он был получен, и лавинно рассылает дальше
широковещательный кадр. Далее SW1 принимает широковещательный кадр
от SW2 с MAC-адресом отправителя 5489-98EE-788A на GE0/0/2 и
меняет ранее сделанную запись о том, что MAC-адрес находится за
GE0/0/1 на GE0/0/2 . Затем запись о MAC-адресе 5489-98EE-788A
многократно меняется, связывая его, то с GE0/0/1, то на и GE0/0/2, что
приводит к нестабильности таблицы MAC-адресов.
• В сети Ethernet петли уровня 2 могут стать причиной широковещательных штормов,
нестабильности таблицы MAC-адресов и дублирования кадров данных. STP
используется для предотвращения петель в коммутационной сети.

• STP строит дерево для устранения петель в сети коммутации.

• Алгоритм STP используется для обнаружения петель в сети, блокировки резервных
каналов и приведению сети к виду дерева, без петель. Таким образом, в сети с
петлями предотвращается бесконечное циклическое распространение кадров
данных.
• Как показано на предыдущем рисунке, коммутаторы запускают STP и обмениваются
сообщениями BPDU для мониторинга топологии сети. Например, на SW3
блокируется порт, чтобы предотвратить петлю. Когда канал между SW1 и SW3
станет неисправен, заблокированный порт будет разблокирован и переключен в
состояние Forwarding (пересылки).
• Обычные петли подразделяются на петли уровня 2 и уровня 3.

• Петли уровня 2 возникают в результате избыточности уровня 2 или неправильных

кабельных соединений. Для предотвращения петель уровня 2 можно использовать
определенный протокол или механизм.
• Петли уровня 3 в основном вызваны петлями маршрутизации. Протоколы
динамической маршрутизации могут использоваться для предотвращения петель, а
поле TTL в заголовке IP-пакета может использоваться для предотвращения
бесконечной пересылки пакетов.
• STP используется в кампусных сетях уровня 2 для резервирования каналов и
устранения петель
• В STP каждый коммутатор имеет идентификатор моста (BID), который состоит из
16-битного приоритета коммутатора и 48-битного MAC-адреса. В сети STP
приоритет коммутатора настраивается и принимает значение от 0 до 65535.
Приоритет коммутатора по умолчанию — 32768. Приоритет можно изменить, но он
должен быть кратным 4096. Устройство с наивысшим приоритетом (меньшее
значение указывает на более высокий приоритет) выбирается в качестве корневого
моста. Если приоритеты совпадают, устройства сравнивают свои MAC-адреса.
Меньший MAC-адрес указывает на более высокий приоритет.
• Как показано на рисунке, в сети необходимо выбрать корневой мост. Сначала три
коммутатора сравнивают приоритеты. Приоритеты этих трех коммутаторов — 4096.
Затем три коммутатора сравнивают свои MAC-адреса. Коммутатор с наименьшим
MAC-адресом выбирается в качестве корневого моста.
• Корневой мост выполняет функции корня древовидной сети.

• Это логический центр, но не обязательно физический центр сети. Корневой мост

изменяется динамически в зависимости от топологии сети.

• После конвергенции (сходимости) сети корневой мост генерирует и отправляет

конфигурационные BPDU другим устройствам через определенные промежутки
времени. Другие устройства обрабатывают и пересылают конфигурационные BPDU
для уведомления нижестоящих устройств об изменениях топологии, обеспечивая
стабильность топологии сети.
• Каждый порт на коммутаторе имеет стоимость в STP. По умолчанию более высокая
пропускная способность порта означает меньшую стоимость порта.
• Коммутаторы Huawei поддерживают несколько стандартов расчета стоимости пути
STP, чтобы обеспечить лучшую совместимость в сценариях использования
устройств нескольких производителей. По умолчанию коммутаторы Huawei
используют IEEE 802.1t для расчета стоимости пути.
• От некорневого моста до корневого моста может быть несколько путей. Каждый
путь имеет общую стоимость, которая является суммой всех стоимостей порта на
этом пути. Некорневой мост сравнивает стоимости несколько путей для выбора
самого короткого пути к корневому мосту. Стоимость самого короткого пути
называется стоимостью пути к корневому мосту (RPC). Создается древовидная
сеть, свободная от петель. RPC корневого моста — 0.
• Каждый порт на коммутаторе с поддержкой STP имеет идентификатор порта,
который состоит из приоритета порта и номера порта. Значение приоритета порта
варьируется от 0 до 240 с шагом 16. То есть значение должно быть целым числом,
кратным 16. По умолчанию приоритет порта имеет значение 128. PID используется
для определения роли порта.
• Коммутаторы обмениваются сообщениями BPDU, в которых инкапсулируются
информация и параметры для расчета связующих деревьев.
• BPDU подразделяются на конфигурационные BPDU и TCN BPDU.

• Конфигурационный BPDU содержит такие параметры, как BID, стоимость пути и

PID. STP выбирает корневой мост, передавая конфигурационные BPDU между
коммутаторами, и определяет роль и состояние каждого порта коммутатора.
Каждый мост самостоятельно отправляет конфигурационные BPDU во время
инициализации. После того, как топология сети становится стабильной, только
корневой мост первым отправляет конфигурационные BPDU. Другие мосты
отправляют конфигурационные BPDU только после получения конфигурационных
BPDU от вышестоящих устройств.

• Нижестоящий коммутатор отправляет TCN BPDU вышестоящему коммутатору,

когда нисходящий коммутатор обнаруживает изменение топологии.
• Операции STP :

1. выбор корневого моста.

2. каждый некорневой коммутатор выбирает корневой порт.

3. выбор назначенного порта для каждого сегмента сети.

4. блокировка некорневого и неназначенного портов.

• STP определяет три роли порта: назначенный (designated) порт, корневой (root)
порт и альтернативный (alternate) порт.

• Назначенный порт используется коммутатором для пересылки конфигурационных

BPDU в подключенный сегмент сети. Каждый сегмент сети имеет только один
назначенный порт. В большинстве случаев каждый порт корневого моста является
назначенным портом.

• Корневой порт — это порт на некорневом коммутаторе, который имеет

оптимальный путь к корневому мосту. Коммутатор, на котором запущен протокол
STP, может иметь только один корневой порт, но корневой мост не имеет корневого
порта.

• Если порт не является ни назначенным, ни корневым портом, это альтернативный

порт. Альтернативный порт блокируется.
• Когда коммутаторы запускаются, они рассматривают себя в качестве корневых
мостов и отправляют конфигурационные BPDU другу для расчета STP.
• Что такое корневой мост?
▫ Корневой мост является корневым узлом дерева STP.
▫ Чтобы создать дерево STP, сначала необходимо определить корневой мост.
▫ Это логический, но не обязательно физический центр сети.
▫ При изменении топологии сети, корневой мост может также измениться.
(Корневой мост можно назначить заранее.)
• Процесс выбора:
1. При запуске коммутатора с поддержкой STP, этот коммутатор рассматривает
себя в качестве корневого моста и объявляет себя корневым мостом в BPDU,
отправляемых другим коммутаторам. В этом случае BID в BPDU — это BID
каждого устройства.
2. Когда коммутатор получает BPDU от другого устройства в сети, он
сравнивает BID в BPDU с собственным BID.
3. Коммутаторы постоянно обмениваются BPDU и сравнивают BID. Коммутатор
с наименьшим BID выбирается в качестве корневого моста, а другие
коммутаторы становятся некорневыми.
4. Как показано на рисунке, сначала сравниваются приоритеты SW1, SW2 и
SW3. Если приоритеты SW1, SW2 и SW3 одинаковы, выполняется сравнение
MAC-адресов. BID для SW1 является наименьшим, поэтому SW1 является
корневым мостом, а SW2 и SW3 являются некорневыми.
• Примечание:
▫ Корневой мост можно определить заранее. Когда коммутатор с наименьшим
BID присоединяется к сети, сеть повторно выполняет расчет STP для выбора
нового корневого моста.
• Что такое корневый порт?

▫ Некорневый мост может иметь несколько портов, подключенных к сети. Чтобы

обеспечить оптимальный и уникальный путь передачи данных от некорневого
к корневому мосту, среди портов некорневого моста необходимо определить
корневой порт. Корневой порт используется для обмена пакетами между
некорневым и корневым мостом.
▫ После выбора корневого моста, корневый мост продолжает отправлять BPDU,
а некорневый мост постоянно принимает BPDU от корневого моста. Поэтому
на всех некорневых мостах выбирается корневой порт, ближайший к
корневому мосту. После конвергенции сети корневой порт постоянно
принимает BPDU от корневого моста.

▫ То есть корневой порт обеспечивает уникальный и оптимальный путь

передачи между некорневым и корневым мостом.
• Примечание: некорневый мост имеет только один корневой порт.
• Процесс выбора:

1. Коммутатор имеет несколько портов, подключенных к сети. Каждый порт

получает BPDU, содержащий основные поля, такие как RootID, RPC, BID и
PID. Порты сравнивают эти поля.
2. Сначала сравниваются RPC. STP использует RPC как важную основу для
определения корневого порта. Меньший RPC указывает на более высокий
приоритет выбора корневого порта. Таким образом, коммутатор выбирает
порт с наименьшим RPC в качестве корневого порта.

3. Если RPC одинаковы, сравниваются BID в BPDU, полученных портами

коммутатора. Меньший BID указывает на более высокий приоритет выбора
корневого порта, поэтому коммутатор выбирает порт с наименьшим BID в
качестве корневого порта.
4. Если BID совпадают, сравниваются идентификаторы PID в BPDU, полученных
портами коммутатора. Меньший PID указывает на более высокий приоритет
выбора корневого порта, поэтому коммутатор выбирает порт с наименьшим
PID в качестве корневого порта.
5. Когда PID совпадают, сравниваются PID портов на локальном коммутаторе.
Меньший PID указывает на более высокий приоритет выбора корневого порта,
поэтому коммутатор выбирает порт с наименьшим PID в качестве корневого
порта.
• Что такое назначенный порт?
▫ Путь пересылки данных с каждого линка до корневого моста должен быть
уникальным и оптимальным. Когда линк имеет два или более путей до
корневого моста (канал подключен к различным коммутаторам, или канал
подключен к различным портам коммутатора) коммутатор (их может быть
больше, чем один), подключенный к линку, должен выбрать уникальный
назначенный порт.
▫ Поэтому для каждого линка выбирается назначенный порт для отправки BPDU
по этому каналу.
• Примечание: как правило, корневой мост имеет только назначенные порты.
• Процесс выбора:
1. Назначенный порт также определяется в результате сравнения RPC. Порт с
наименьшим RPC выбирается в качестве назначенного порта. Если RPC
одинаковы, сравниваются BID и PID.
2. Сначала сравниваются RPC. Меньшее значение указывает на более высокий
приоритет при выборе назначенного порта, поэтому коммутатор выбирает
порт с наименьшим RPC в качестве назначенного порта.
3. Если RPC одинаковы, сравниваются BID коммутаторов на обоих концах
канала. Меньший BID означает более высокий приоритет при выборе
назначенного порта, поэтому коммутатор выбирает порт с наименьшим BID в
качестве назначенного порта.
4. Если BID одинаковы, сравниваются PID коммутаторов на обоих концах
канала. Меньший PID указывает на более высокий приоритет при выборе
назначенного порта, поэтому коммутатор выбирает порт с наименьшим PID в
качестве назначенного порта.
• Что такое неназначенный порт (альтернативный порт)?

▫ После определения корневого порта и назначенного порта все оставшиеся

некорневые и неназначенные порты коммутатора называются
альтернативными портами.
• Блокировка альтернативных портов

▫ STP логически блокирует альтернативные порты. То есть, порты не могут

пересылать кадры (пользовательский трафик), сгенерированные и
отправленные оконечными компьютерами.
▫ После логической блокировки альтернативного порта генерируется дерево
STP (топология без петлей).

• Примечание:

▫ Заблокированный порт может принимать и обрабатывать BPDU.

▫ Корневой порт и назначенный порт могут принимать и отправлять BPDU и
пересылать пользовательские кадры данных.
• Как показано на рисунке, сначала выбирается корневый мост. Если три
коммутатора имеют одинаковый приоритет моста, в качестве корневого моста
выбирается коммутатор с наименьшим MAC-адресом.

• GE0/0/1 на SW2 является ближайшим к корневому мосту и имеет наименьший RPC,

поэтому GE0/0/1 на SW2 является корневым портом. Аналогичным образом,
GE0/0/1 на SW3 также является корневым портом.
• Затем выбираются назначенные порты. SW1 выбирается в качестве корневого
моста, поэтому GE0/0/0 и GE0/0/1 на SW1 являются назначенными портами.
GE0/0/2 на SW2 принимает конфигурационные BPDU от SW3 и сравнивает BID
коммутаторов SW2 и SW3. SW2 имеет более высокое по сравнению с SW3
значение BID, поэтому GE0/0/2 на SW2 является назначенным портом.

• GE0/0/2 на SW3 является альтернативным портом.

• Как показано на рисунке, сначала выбирается корневый мост. Если четыре
коммутатора имеют одинаковый приоритет моста, в качестве корневого моста
выбирается коммутатор с наименьшим MAC-адресом.

• GE0/0/1 на SW2 является ближайшим к корневому мосту и имеет наименьший RPC.

Поэтому GE0/0/1 на SW2 также является корневым портом. Аналогичным образом,
GE0/0/2 на SW3 также является корневым портом. Два порта на SW4 имеют
одинаковое значение RPC. Сравниваются BID коммутатора SW2, подключенного к
GE0/0/1 на SW4 и BID коммутатора SW3, подключенного к GE0/0/2 на SW4. Чем
меньше BID, тем выше приоритет. Поэтому GE0/0/1 на SW4 также является
корневым портом.
• Затем выбираются назначенные порты. SW1 выбирается в качестве корневого
моста, поэтому GE0/0/0 и GE0/0/1 на SW1 являются назначенными портами.
GE0/0/2 на SW2 принимает конфигурационные BPDU от SW4 и сравнивает BID
коммутаторов SW2 и SW4. SW2 имеет меньшее значение RPC, чем SW4, поэтому
GE0/0/2 на SW2 является назначенным портом, и GE0/0/1 на SW3 также является
назначенным портом.
• GE0/0/2 на SW4 является альтернативным портом.
• Как показано на рисунке, сначала выбирается корневый мост. Если два
коммутатора имеют одинаковый приоритет моста, в качестве корневого моста
выбирается коммутатор с наименьшим MAC-адресом. SW1 выбирается в качестве
корневого моста.

• Затем выбирается корневой порт. Два порта на SW2 имеют одинаковые значения
RPC и BID. Сравниваются PID двух портов. PID G0/0/1 на коммутаторе SW2 имеет
значение 128.1, а PID G0/0/2 ан коммутаторе SW2 имеет значение 128.2. Чем
меньше PID, тем выше приоритет. Поэтому G0/0/1 на SW2 является корневым
портом.

• SW1 является корневым мостом, поэтому GE0/0/1 и GE0/0/2 на SW1 являются

назначенными портами.

• GE0/0/2 на SW2 является альтернативным портом.

• На рисунке показана смена состояний порта STP. Устройство с поддержкой STP
имеет следующие пять состояний:
• Forwarding (Пересылка): порт может пересылать пользовательский трафик и BPDU.
Только корневой порт или назначенный порт могут переключаться в состояние
Forwarding.

• Learning (Изучение): если порт находится в состоянии Learning, устройство создает

записи MAC-адреса на основе пользовательского трафика, полученного на порт, но
не пересылает пользовательский трафик через этот порт. Состояние Learning нужно
для того, чтобы предотвратить образование временных петель.

• Listening (Прослушивание): порт в состоянии Listening может пересылать BPDU, но

не может пересылать пользовательский трафик.

• Blocking (Блокировка): порт в состоянии Blocking может только принимать и

обрабатывать BPDU, но не может пересылать BPDU или пользовательский трафик.
Альтернативный порт находится в состоянии Blocking.
• Disabled (Отключение): порт в состоянии Disabled не пересылает BPDU или
пользовательский трафик.
• Неисправность корневого моста:

▫ В стабильной сети STP некорневый мост периодически принимает BPDU от

корневого моста.

▫ Если корневой мост неисправен, нижестоящий коммутатор прекращает

отправку BPDU. В результате нижестоящий коммутатор не может принимать
BPDU от корневого моста.

▫ Если нижестоящий коммутатор не получает BPDU, истекает срок таймера Max

Age (значение по умолчанию 20 секунд). В результате запись о полученных
BPDU становится недействительной. В этом случае некорневые мосты
передают конфигурационные BPDU друг другу для выбора нового корневого
моста.

• Состояние порта:
▫ Альтернативный порт SW3 переходит в состояние Listening из состояния
Blocking через 20 секунд, а затем переходит в состояние Learning. В итоге порт
переходит в состояние Forwarding для пересылки пользовательского трафика.

• Время конвергенции:
▫ Восстановление после сбоя корневого моста занимает около 50 секунд, что
равно значению таймера Max Age плюс удвоенное значение таймера Forward
Delay.
• Неисправность прямого канала:

▫ Если два коммутатора соединены двумя линками, то один будет активным, а

другой — резервным.

▫ Когда сеть стабильна, SW2 определяет, что канал корневого порта

неисправен, и альтернативный порт переходит в состояние Forwarding.

• Состояние порта:

▫ Альтернативный порт последовательно переключается из состояния Blocking

в состояния Listening, Learning и Forwarding.
• Скорость конвергенции:
▫ Если прямой канал не работает, альтернативный порт возвращается в
состояние Forwarding через 30 секунд.
• Неисправность непрямого канала:
▫ В стабильной сети STP некорневый мост периодически принимает BPDU от
корневого моста.
▫ Если канал между SW1 и SW2 неисправен (не физическая неисправность),
SW2 не может получать BPDU от SW1. Таймер Max Age (значение по
умолчанию — 20 секунд) истекает. В результате запись о полученных BPDU
становится недействительной.
▫ В этом случае некорневой мост SW2 считает, что корневой мост выходит из
строя, и считает себя корневым мостом. Затем SW2 отправляет собственный
конфигурационный BPDU, чтобы уведомить SW3, что он является новым
корневым мостом.
▫ В течение этого периода альтернативный порт SW3 не получает BPDU,
который содержит идентификатор корневого моста. По истечении таймера
Max Age порт переходит в состояние Listening и начинает пересылку BPDU с
идентификатором корневого моста с вышестоящего устройства на SW2.
▫ По истечении таймера Max Age коммутаторы SW2 и SW3 почти одновременно
получают друг от друга пакеты BPDU и выполняют пересчет STP. SW2
обнаруживает, что BPDU, отправленный SW3, является приоритетным по
характеристикам (superior), поэтому он не объявляет себя корневым мостом и
повторно определяет роль порта
• Состояние порта:
▫ Альтернативный порт SW3 переходит в состояние Listening из состояния
Blocking через 20 секунд, а затем переходит в состояние Learning. В итоге порт
переходит в состояние Forwarding для пересылки пользовательского трафика.
• Время конвергенции:
▫ Восстановление после сбоя непрямого канала занимает около 50
секунд, что равно значению таймера Max Age плюс удвоенное
значение таймера Forward Delay.
• В сети коммутации коммутатор пересылает кадры данных на основе таблицы MAC-
адресов. По умолчанию время старения записей MAC-адресов составляет 300
секунд. Если топология связующего дерева изменяется, путь пересылки
коммутатора также изменяется. В этом случае записи, которые своевременно не
устаревают в таблице MAC-адресов, могут привести к ошибкам при пересылке
данных. Следовательно, коммутатору необходимо своевременно обновлять записи
MAC-адреса после изменения топологии.

• В этом примере запись MAC-адреса на SW2 определяет, что пакеты передаются на

хост A через GE0/0/1, на хост B — через GE0/0/3. Корневой порт SW3 неисправен,
что приводит к повторной конвергенции топологии связующего дерева. После
повторной конвергенции топологии связующего дерева хост B не получает кадры,
отправленные с хоста A. Это связано с тем, что время устаревания записей MAC-
адреса составляет 300 секунд. После того, как кадр, отправленный с хоста A на хост
B, достигает SW2, SW2 пересылает этот кадр через GE0/0/3.
• При изменении топологии сети корневой мост отправляет BPDU TCN для
уведомления других устройств об изменении топологии. Корневой мост генерирует
TC, чтобы дать команду другим коммутаторам о необходимости старения
существующих записей MAC-адресов.

• Процесс изменения топологии и обновления записи MAC-адреса:

1. SW3 обнаруживает изменение топологии сети, затем он начинает

непрерывно отправлять TCN BPDU на SW2.

2. SW2 получает TCN BPDU от SW3 и устанавливает для бита TCA в поле Flags
BPDU значение 1 и отправляет BPDU в SW3, и дает команду SW3 прекратить
отправку TCN BPDU.

3. SW2 пересылает TCN BPDU на корневой мост.

4. SW1 устанавливает для бита TC в поле Flags конфигурационного BPDU

значение 1 и отправляет конфигурационный BPDU, чтобы дать команду
нижестоящему устройству изменить время устаревания записей MAC-адреса
с 300 до значения таймера Forward Delay (15 секунд по умолчанию).

5. Неправильные записи MAC-адреса на SW2 автоматически удаляются

максимум через 15 секунд. Затем SW2 снова начинает изучать записи MAC-
адресов и пересылает пакеты на основе полученных записей MAC-адресов.
• В стандарте IEEE 802.1w, выпущенном в 2001 году, дано определение RSTP. RSTP
является усовершенствованием протокола STP и обеспечивает быструю
конвергенцию топологии сети.

• RSTP был разработан на основе STP и имеет тот же механизм работы, что и STP.
При изменении топологии сети коммутации RSTP может использовать механизм
Proposal/Agreement (предложения/соглашения) для быстрого восстановления
сетевого подключения.

• В RSTP отсутствуют три состояния порта, определены две новые роли порта и дано
различие атрибутов порта на основе состояний и ролей. Кроме того, RSTP
предоставляет расширенные функции и меры защиты для обеспечения
стабильности сети и быстрой конвергенции.

• Не рекомендуется совместное использование RSTP с STP, из-за медленной

сходимости STP.
• Улучшения в RSTP:
▫ RSTP обрабатывает конфигурационные BPDU другим, по сравнению с STP,
способом.

▪ Когда топология становится стабильной, режим отправки

конфигурационных BPDU оптимизируется.

▪ RSTP использует более короткий интервал ожидания для BPDU.

▪ В RSTP оптимизирован метод обработки Inferior BPDU.

▫ RSTP меняет формат конфигурационного BPDU и использует поле
Flags для описания ролей портов.
▫ Обработка изменения топологии RSTP: По сравнению с STP, RSTP
оптимизирован для ускорения реакции на изменения топологии.
• С точки зрения передачи конфигурационных BPDU:

▫ Альтернативный порт блокируется после получения конфигурационного

BPDU, отправленного с другого сетевого моста.

▫ Резервный порт блокируется после получения конфигурационного BPDU,

отправленного самим собой.

• С точки зрения пользовательского трафика:

▫ Альтернативный порт выполняет функции резервной копии корневого порта и

предоставляет альтернативный путь от назначенного к корневому мосту.
▫ Резервный порт резервирует назначенный порт и предоставляет резервный
путь от корневого моста к соответствующему сегменту сети.
• В STP на переключение порта коммутатора, подключенного к пользовательскому
терминалу, из состояния Disabled в состояние Forwarding требуется 15 секунд. В
течение этого периода пользовательский терминал не подключается к Интернету.
Если в сети часто происходят изменения, то доступ терминала пользователя в
Интернет будет нестабильным.

• Граничный порт напрямую соединен с пользовательским терминалом и не

соединен ни с одним коммутационным устройством. Граничный порт не принимает
и не обрабатывает конфигурационные BPDU и не участвует в расчетах RSTP. Он
может без задержек переключаться из состояния Disabled в состояние Forwarding.
Граничный порт становится обычным портом STP после того, как он получает
конфигурационный BPDU. Пересчет связующего дерева приводит к нестабильности
сети.
• В RSTP были удалены два состояния портов, определенных в STP, что уменьшило
количество состояний портов до трех.
1. Порт в состоянии Discarding не переадресует пользовательский трафик или
не изучает MAC-адреса.
2. Порт в состоянии Learning не переадресует пользовательский трафик, но
изучает MAC-адреса.

3. Порт в состоянии Forwarding переадресует пользовательский трафик и

изучает MAC-адреса.
• Преимущества VBST:

▫ Устранение петель.
▫ Высокая эффективность использования линков за счет мультиплексирование
каналов и балансировка нагрузки.
▫ Низкая стоимость настройки и техобслуживания.

• Если в сети существует большое количество VLAN, вычисление связующего дерева

для каждой VPN потребляет огромное количество ресурсов процессора
коммутатора.
• Интеллектуальный стек (iStack) позволяет нескольким коммутаторам с поддержкой
iStack функционировать как логическое устройство.
• Перед установкой системы iStack каждый коммутатор является независимым
объектом и имеет собственный IP-адрес и MAC-адрес. Управлять коммутаторами
нужно отдельно. После настройки системы iStack, коммутаторы в системе iStack
образуют логический объект, и им можно управлять и поддерживать с помощью
одного IP-адреса. Технология iStack улучшает производительность пересылки и
надежность сети, а также упрощает управление сетью.
• Как показано на рисунке, SW3 подключен к FW1 и FW2 по двум восходящим
каналам. Таким образом, Switch3 имеет два восходящих канала к вышестоящем
устройству. Smart Link можно настроить на SW3. В обычных ситуациях линк через
Порт2 функционирует как резервный канал. Если линк через Порт1 не работает,
Smart Link автоматически переключает трафик данных на линк через Порт2, чтобы
обеспечить непрерывность работы.
• Ответ: A
• Настройте VLAN на коммутаторе уровня 2. Каждая VLAN использует независимый
интерфейс коммутатора для подключения к маршрутизатору.

• Маршрутизатор предоставляет два физических интерфейса в качестве шлюзов по

умолчанию для ПК в VLAN 10 и VLAN 20 соответственно, чтобы ПК могли
взаимодействовать друг с другом.
• Маршрутизатор R1 подключается к коммутатору SW1 через физический интерфейс
(GE 0/0/1). На физическом интерфейсе создаются два субинтерфейса (GE 0/0/1.10 и
GE 0/0/1.20) и используются в качестве шлюзов по умолчанию VLAN 10 и VLAN 20
соответственно.

• Субинтерфейсы уровня 3 не поддерживают пакеты VLAN и отбрасывают их после

получения. Чтобы предотвратить эту проблему, теги VLAN должны быть удалены из
пакетов на субинтерфейсе. Другими словами, требуется завершение
(терминирование) тега VLAN.
• Субинтерфейс реализует терминирование тега VLAN следующим образом:

▫ удаляет теги VLAN из полученных пакетов перед пересылкой или обработкой

пакетов.

▫ добавляет теги VLAN к пакетам перед пересылкой пакетов.

• Команда interface interface-type interface-number.sub-interface number создает
субинтерфейс. sub-interface number, определяет номер субинтерфейса на
физическом интерфейсе. Для того чтобы упростить запоминание, номер
субинтерфейса, как правило, совпадает с ID VLAN, который терминируется на
субинтерфейсе.

• Команда dot1q termination vid активирует терминирование тега Dot1q VLAN для
пакетов с одним тегом на субинтерфейсе. По умолчанию, терминирование тега
Dot1q VLAN для пакетов с одним тегом на субинтерфейсе не включено. Команда
arp broadcast enable активирует широковещание ARP на субинтерфейсе
терминирования тега VLAN. По умолчанию широковещание ARP не включено на
субинтерфейсе терминирования тега VLAN. Субинтерфейсы терминирования тега
VLAN не могут пересылать широковещательные пакеты и автоматически
отбрасывать полученные. Чтобы разрешить данному субинтерфейсу пересылать
широковещательные пакеты, выполните команду arp broadcast enable.
• Команда interface vlanif vlan-id создает интерфейс VLANIF и отображает вид
интерфейса VLANIF. vlan-id означает идентификатор VLAN, связанный с
интерфейсом VLANIF. IP-адрес интерфейса VLANIF используется в качестве IP-
адреса шлюза ПК и должен находиться в том же сегменте сети, что и IP-адрес ПК.
• NAPT: преобразует IP-адрес и номер порта в заголовке IP-пакета в другой IP-адрес
и номер порта. В основном NAPT используется для обеспечения доступа
устройствам во внутренней сети (частные IP-адреса) к внешней сети
(общедоступные IP-адреса). NAPT позволяет устанавливать соответствие между
несколькими частными IP-адресами с одним и тем же общедоступным IP-адресом.
Таким образом, несколько частных IP-адресов могут получить доступ к Интернету
одновременно с использованием одного и того же общедоступного IP-адреса.
• В этом примере предполагается, что требуемые записи ARP или MAC-адреса уже
существуют на всех устройствах.
• Трансляция сетевых адресов (NAT) преобразует IP-адреса в заголовках IP-пакетов
в другие IP-адреса.
1. Настроить интерфейс как транковый или гибридный, чтобы разрешить передавать
в пакетах теги VLAN, соответствующие терминалам.

2. IP-адреса источника и назначения остаются неизменными во время пересылки

пакетов (без NAT), но изменяются MAC-адреса источника и назначения. Каждый
раз, когда пакет проходит через устройство уровня 3, его MAC-адреса источника и
назначения изменяются.
• По мере стремительного развития сетей и появления большого количества
разнообразных приложений широко используются сервисы, приносящие
дополнительные доходы (VAS). Прерывание сети может привести к
многочисленным отказам услуг и огромным экономическим потерям. Поэтому
надежности сетей придается большое значение.
• Eth-Trunk можно рассматривать как физический интерфейс Ethernet. Единственное
различие между Eth-Trunk и физическим интерфейсом Ethernet состоит в том, что
Eth-Trunk должен выбрать один или несколько интерфейсов-участников для
пересылки трафика.

• Следующие параметры должны быть одинаковыми для интерфейсов-участников в

Eth-Trunk:

▫ Скорость интерфейса

▫ Дуплексный режим

▫ Конфигурации VLAN: тип интерфейса должен быть одинаковым (доступа,

транковый или гибридный). Для интерфейсов доступа VLAN по умолчанию
интерфейсов-участников должна быть одинаковой. Для транковых
интерфейсов разрешенные VLAN и VLAN по умолчанию для интерфейсов-
участников должны быть одинаковыми.
• Как показано на предыдущем рисунке, четыре интерфейса SW1 добавляются в Eth-
Trunk, но одноранговым узлом одного интерфейса является SW3 вместо SW2. В
этом случае на SW3 выполняется балансировка нагрузки части трафика, что
приводит к нарушениям связи.
• Настройте Eth-Trunk в режиме LACP между SW1 и SW2 и добавьте в Eth-Trunk
четыре интерфейса. Четыре интерфейса нумеруются 1, 2, 3 и 4. На SW1 и SW2
установите максимальное количество активных интерфейсов в Eth-Trunk равным 2
и сохраните настройки по умолчанию для других параметров (приоритет системы и
приоритет интерфейса).

• SW1 и SW2 отправляют LACPDU через интерфейсы-участники 1, 2, 3 и 4.

• При получении LACPDU от однорангового узла SW1 и SW2 сравнивают системные

приоритеты, которые используют значение по умолчанию 32768 и являются
одинаковыми. Затем они сравнивают MAC-адреса. MAC-адрес SW1 — 4c1f-cc58-
6d64, а MAC-адрес SW2 — 4c1f-cc58-6d65. SW1 имеет меньший MAC-адрес и
выбирается в качестве Actor.
• LACP использует следующие флаги в LACPDU для определения состояния
интерфейса. Если три флага установлены как 1, интерфейс является активным.

▫ Синхронизация

▫ Сбор

▫ Распределение

• Если три флага установлены как 0, интерфейс является неактивным.

• Если IP-адреса пакетов меняются часто, то для балансировки нагрузки между
физическими каналами больше подходит балансировка нагрузки на основе IP-
адреса источника, IP-адреса назначения или IP-адресов источника и назначения.

• Если MAC-адреса пакетов меняются часто, а IP-адреса являются фиксированными,

то для балансировки нагрузки между физическими каналами больше подходит
балансировка нагрузки на основе MAC-адреса источника, MAC-адреса назначения
или MAC-адресов источника и назначения.

• Если выбранный режим балансировки нагрузки не соответствует фактическим

характеристикам услуги, трафик может быть неравномерно сбалансирован по
нагрузке. Некоторые каналы-участники имеют высокую нагрузку, а другие каналы-
участники неактивны. Например, если IP-адреса источника и назначения пакетов
часто меняются, а MAC-адреса источника и назначения являются фиксированными,
и нагрузка балансируется на основе MAC-адресов источника и назначения, весь
трафик передается по одному каналу-участнику.
• Максимальное количество активных интерфейсов зависит от модели коммутатора.
Например, максимальное количество активных интерфейсов в Eth-Trunk равно 32
на S6720HI, S6730H, S6730S и S6730S-S, и равно 16 на S6720LI, S6720S-LI, S6720SI
и S6720S-SI. Подробная информация приведена в руководстве по продукту.

• Минимальное количество активных интерфейсов настраивается для обеспечения

минимальной пропускной способности. Если полоса пропускания слишком мала,
сервисы, требующие высокой пропускной способности канала, могут работать
неправильно. В этом случае можно отключить интерфейс Eth-Trunk, чтобы
переключить сервисы на другие пути с помощью механизм высокой надежности
сети и обеспечить нормальную работу сервиса.
1. Если балансировка нагрузки пакетов выполняется по разным каналам по пакетам,
может произойти неупорядоченная доставка пакетов. Если пакеты сбалансированы
по нагрузке в один канал по потокам, неупорядоченная доставка пакетов не
произойдет. Однако один поток не может полностью использовать пропускную
способность всего Eth-Trunk.

2. Коммутаторы сравнивают приоритеты системы. Меньшее значение указывает на

более высокий приоритет. Если приоритеты системы одинаковы, сравниваются
MAC-адреса моста. MAC-адрес моста меньшего размера указывает на более
высокий приоритет. Устройство с более высоким приоритетом начинает
функционировать как Actor.

3. CSS и iStack упрощают управление сетью, повышают надежность сети, полностью

используют пропускную способность сетевого канала и используют Eth-Trunk
между устройствами для построения физической сети без петель.
 Принципы и конфигурация ACL

Стр. 1 Авторские права

права©©Huawei
2020 Huawei
Technologies
Technologies
Co., Ltd.
Co.,2020
Ltd.г.Все
Всеправа
правазащищены.
защищены.
 Введение
 Быстрое развитие сети создает проблемы для сетевой безопасности и качества
обслуживания (QoS). Списки контроля доступа (ACL) тесно связаны с сетевой
безопасностью и QoS.
 Точно идентифицируя потоки пакетов в сети и взаимодействуя с другими технологиями,
списки ACL позволяют управлять характеристиками доступа к сети, предотвращать
сетевые атаки и улучшать использование полосы пропускания сети, тем самым
обеспечивая безопасность сетевой среды и надежность QoS.
 В этом курсе описываются основные принципы и функции, типы и характеристики,
базовый состав, порядок обработки правил ACL, использование подстановочных масок и
синтаксис ACL.

Стр. 2 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Цели
 По окончании данного курса слушатели получат следующие знания и навыки:
▫ основные принципы и назначение ACL;

▫ типы и характеристики ACL;

▫ базовый состав списков ACL и порядок обработки правил;

▫ выполнение базовых настроек ACL.

Стр. 3 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Содержание
1. Обзор ACL

2. Основные понятия и механизм работы ACL

3. Синтаксис и примеры использования ACL

Стр. 4 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Предпосылки: необходим инструмент для
фильтрации трафика
VLAN 10 Есть инструмент для
Сервер финансового
фильтрации IP-трафика?
отдела —
192.168.4.4/24

Отдел исследований и
разработок — 192.168.2.0/24

Интернет

VLAN 20

Запрещенный трафик
Офис руководителя —
192.168.3.0/24 Разрешенный трафик

 Чтобы обеспечить безопасность данных финансового отдела, предприятие запрещает доступ отделу исследований и разработок
(R&D) к серверу финансового отдела, но разрешает доступ к серверу из офиса руководителя.

Стр. 5 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Обзор ACL
 ACL представляет собой последовательный набор правил, состоящий из операторов permit или
deny.
 Синтаксис ACL позволяет сопоставить операторам необходимые типы пакетов.
Применение ACL

IP-адрес источника, IP- Номера портов • Соответствие IP-трафика

адрес назначения и тип источника и
протокола назначения • Политики фильтрации трафика
• Трансляция сетевых адресов (NAT)
Заголовок • Политики маршрутизации
Заголовок TCP/UDP Данные
IP
• Политики межсетевого экрана
• Настройка политик QoS
• Прочее

Стр. 6 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Содержание
1. Обзор ACL

2. Основные понятия и механизм работы ACL

3. Синтаксис и примеры использования ACL

Стр. 7 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Состав ACL Классификация ACL Правила сопоставления ACL

Состав ACL
 ACL состоит из нескольких правил. Оператор permit/deny в каждой строке является действием, соответствующим
правилу.

Что означает каждое

acl number 2000 Номер ACL правило?

rule 5 permit source 1.1.1.0 0.0.0.255

Идентификатор
правила
rule 10 deny source 2.2.2.0 0.0.0.255
Правила,
Действие определяемые
rule 15 permit source 3.3.3.0 0.0.0.255 пользователем
Параметр сопоставления
(IP-адрес источника)
...

rule 4294967294 deny Правило, скрытое в конце ACL

Стр. 8 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Состав ACL Классификация ACL Правила сопоставления ACL

Идентификатор правила
acl number 2000 Идентификатор правила и шаг
Идентификатор
правила • Идентификатор правила
rule 5 deny source 10.1.1.1 0 Каждое правило в ACL имеет идентификатор (ID).
rule 10 deny source 10.1.1.2 0 • Шаг
Шаг — это приращение идентификаторов соседних
rule 15 permit source 10.1.1.0 0.0.0.255 правил, автоматически назначаемых системой. Шаг по
умолчанию — 5. Установка значения шага упрощает
Шаг = 5
вставку правила между существующими правилами ACL.
• Назначение идентификатора правила
Как добавить правило? Если правило добавляется в пустой ACL, но для правила
вручную не указан идентификатор, система выделяет
rule 11 deny source 10.1.1.3 0 значение шага (например, 5) в качестве идентификатора
правила. Если ACL содержит правила с
идентификаторами, указанными вручную, и добавляется
acl number 2000 правило без указанного вручную идентификатора, система
rule 5 deny source 10.1.1.1 0 выделяет этому правилу идентификатор, который больше,
rule 10 deny source 10.1.1.2 0 чем самый большой идентификатор правила в ACL, и
является наименьшим целым числом, кратным значению
rule 11 deny source 10.1.1.3 0 шага.
rule 15 permit source 10.1.1.0 0.0.0.255

Стр. 9 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Состав ACL Классификация ACL Правила сопоставления ACL

Подстановочная маска (1)

Подстановочная маска
acl number 2000 Подстановочный
знак • Подстановочная маска— это 32-битное число,
которое указывает, какие биты в IP-адресе строго
rule 5 deny source 10.1.1.1 0 фиксированные, а какие нет.
rule 10 deny source 10.1.1.2 0 • Подстановочная маска обычно представляется в
rule 15 permit source 10.1.1.0 0.0.0.255 виде десятичного числа с разделительными
точками, так же, как и маска сети. Однако их
значения различаются.

• Правило сопоставления
0: строгое соответствие; 1: не требуется

Как сопоставить адрес сегмента сети, соответствующий 192.168.1.1/24?

192.168.1.1 1 1 0 0 0 0 0 0 1 0 1 0 1 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 1
Сегмент сети
192.168.1.0/24
0.0.0.255 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 1

Строгое Не требуется
соответствие
Стр. 10 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Состав ACL Классификация ACL Правила сопоставления ACL

Подстановочная маска (2)

 Подстановочная маска может использоваться для сопоставления нечетных IP-адресов в сегменте
сети 192.168.1.0/24, например 192.168.1.1, 192.168.1.3 и 192.168.1.5.
Строгое соответствие Строгое
Не требуется
соответствие
192.168.1 1 192.168.1.1 0.0.0.254
192.168.1 0 0 0 0 0 0 0 1

Значения 1 или 0 в подстановочной маске могут быть

192.168.1 3
непоследовательным.
192.168.1 0 0 0 0 0 0 1 1

192.168.1 5
Специальная подстановочная маска
192.168.1 0 0 0 0 0 1 0 1 • Точно соответствует IP-адресу 192.168.1.1.

Подстановочный знак … 192.168.1.1 0.0.0.0 = 192.168.1.1 0

• Соответствие всем IP-адресам.
0.0.0. 1 1 1 1 1 1 1 0 0.0.0.0 255.255.255 = any

Стр. 11 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Состав ACL Классификация ACL Правила сопоставления ACL

Классификация и идентификация ACL

 Классификация ACL на основе методов определения правил ACL

Категория Диапазон номеров Описание

Определяет правила на основе IPv4-адресов источника, информации о фрагментации и эффективных

Базовый ACL От 2000 до 2999
временных диапазонов.

Определяет правила на основе адресов IPv4 источника и назначения, типов протокола IPv4, типов ICMP,
Расширенный От 3000 до 3999 номеров портов источника/назначения TCP, номеров портов источника/назначения UDP и эффективных
временных диапазонов.

Определяет правила на основе информации в заголовках пакетов Ethernet, такой как MAC-адреса
ACL 2-ого уровня От 4000 до 4999
источника и назначения и типы протоколов 2-ого уровня.

ACL,
Определяет правила на основе заголовков пакетов, сдвигов, масок строк символов и строк символов,
определяемый От 5000 до 5999
определяемых пользователем.
пользователем

Определяет правила на основе IPv4-адресов источника или групп списка управления пользователем
ACL пользователя От 6000 до 6999 (UCL), IPv4-адресов или UCL-групп назначения, типов протокола IPv4, типов ICMP, номеров портов
источника/назначения TCP и номеров портов источника/назначения UDP.

• Классификация ACL на основе методов идентификации ACL

Категория Описание
Нумерованный ACL Традиционный метод идентификации ACL. Идентификация нумерованного ACL осуществляется по номеру.
Именованный ACL Идентификация именованного ACL осуществляется по имени.

Стр. 12 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Состав ACL Классификация ACL Правила сопоставления ACL

Базовый и расширенный ACL

IP-адрес
 Базовый ACL источника

Диапазон номеров: Заголовок IP Заголовок TCP/UDP Данные

от 2000 до 2999
acl number 2000
rule 5 deny source 10.1.1.1 0
rule 10 deny source 10.1.1.2 0
rule 15 permit source 10.1.1.0 0.0.0.255

IP-адрес источника, IP- Номера портов

 Расширенный адрес назначения и тип источника и
протокола назначения
ACL
Заголовок IP Заголовок TCP/UDP Данные
Диапазон номеров:
3000-3999
acl number 3000
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255
rule 10 permit tcp source 10.1.2.0 0.0.0.255 destination 10.1.3.0 0.0.0.255 destination-port eq 21

Стр. 13 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Состав ACL Классификация ACL Правила сопоставления ACL

Механизм сопоставления ACL

Начало
Принцип сопоставления: сопоставление прекращается после
сопоставления правила.
Привязанный Нет
ACL
существует?

Да

ACL содержит
Нет
правила?

Да
Проанализируйте
Действием
первое правило
ACL является
permit
permit
или deny?
Сопоставьте
Да
правила deny
Нет
Не Результат сопоставления Результат сопоставления Результат сопоставления
Правила т ACL — deny. ACL — permit. ACL — negative match.
остались?

Да
Проанализируйте
следующее правило Конец

Стр. 14 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Состав ACL Классификация ACL Правила сопоставления ACL

Порядок и результат сопоставления ACL

 Порядок конфигурации (режим config)
▫ Система сопоставляет пакеты с правилами ACL в порядке возрастания идентификатора правила. То есть в
первую очередь обрабатывается правило с наименьшим идентификатором.

192.168.1.1/24 acl 2000

192.168.1.1/24
192.168.1.2/24 rule 1 permit source 192.168.1.1 0.0.0.0
192.168.1.2/24
192.168.1.3/24 rule 2 permit source 192.168.1.2 0.0.0.0
192.168.1.4/24
192.168.1.4/24 rule 3 deny source 192.168.1.3 0.0.0.0
192.168.1.5/24
192.168.1.5/24 rule 4 permit 0.0.0.0 255.255.255.255

Объект, который Базовый ACL Разрешенные IP-адреса

следует сопоставить
Правило 1: разрешает пакеты с IP-адресом источника 192.168.1.1.
Правило 2: разрешает пакеты с IP-адресом источника 192.168.1.2.
Означает ли permit, что
Правило 3: отклоняет пакеты с IP-адресом источника 192.168.1.3.
трафик разрешен? Правило 4: разрешает пакеты со всех остальных IP-адресов.

Стр. 16 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Состав ACL Классификация ACL Правила сопоставления ACL

Позиция сопоставления ACL

Пакет данных

Настройте ACL на интерфейсе. Настройте ACL на интерфейсе.

Чтобы ACL вступил в силу для пакета Чтобы ACL вступил в силу для пакета
данных, показанного на рисунке, данных, показанного на рисунке,
примените ACL к входящему примените ACL к исходящему
направлению. направлению.

Стр. 18 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Состав ACL Классификация ACL Правила сопоставления ACL

Направление фильтрации трафика

Входящий трафик Исходящий трафик
Пакет
данных

ACL
применен к
входящему Нет
Пакет Маршрутизация Нет
направлению пакета данных Соответствующая
данных интерфейса? запись маршрута
доступна?

Нет
Да
Да

Да
ACL разрешает Направьте пакет ACL применен к Да ACL Да
данных на исходящему разрешает
пакет данных? направлению
исходящий пакет
исходящего
интерфейс интерфейса? данных?

Нет
Нет

Пакет Пакет
данных данных

Стр. 19 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Содержание
1. Обзор ACL

2. Основные понятия и механизм работы ACL

3. Синтаксис и примеры использования ACL

Стр. 20 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Настройка базовых ACL
1. Создание базового ACL.

[Huawei] acl [ number ] acl-number [ match-order config ]

Создайте нумерованный базовый ACL и войдите в режим настройки.

[Huawei] acl name acl-name { basic | acl-number } [ match-order config ]

Создайте именованный базовый ACL и войдите в режим настройки.

2. Настройка правила базового ACL.

[Huawei-acl-basic-2000] rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | time-
range time-name ]

Формат правила базового ACL

Стр. 21 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Пример: использование базового ACL для
фильтрации трафика
1. Настройте IP-адреса и маршруты на маршрутизаторе.

192.168.1.0/24 Маршрутизатор 2. Настройте базовый ACL на маршрутизаторе, таким образом,

GE 0/0/1 GE 0/0/2 Сервер что запретить доступ из сетевого сегмента 192.168.1.0/24 к сети,
10.1.1.1/24 в которой находится сервер.

[Router] acl 2000

[Router-acl-basic-2000] rule deny source 192.168.1.0 0.0.0.255

192.168.2.0/24
[Router-acl-basic-2000] rule permit source any
• Требования:
Чтобы предотвратить доступ хоста пользователя в
3. Настройте фильтрацию трафика во входящем направлении
сегменте 192.168.1.0/24 к сети, в которой находится GE 0/0/1.
сервер, настройте базовый ACL на маршрутизаторе. ACL
должен запретить пакеты, IP-адреса источника которых [Router] interface GigabitEthernet 0/0/1

находятся в сегменте сети 192.168.1.0/24, и разрешит [Router-GigabitEthernet0/0/1] traffic-filter inbound acl 2000

другие пакеты. [Router-GigabitEthernet0/0/1] quit

Стр. 23 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Настройка расширенного ACL (1)
1. Создание расширенного ACL.

[Huawei] acl [ number ] acl-number [ match-order config ]

Создайте нумерованный расширенный ACL и войдите в режим его конфигурации.

[Huawei] acl name acl-name { advance | acl-number } [ match-order config ]

Создайте именованный расширенный ACL и войдите в режим конфигурации.

Стр. 24 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Формат правил расширенных ACL (2)
2. Настройка правила расширенного ACL.
Сконфигурировать правила расширенного ACL можно в соответствии с типами протоколов IP-пакетов.
Параметры меняются в зависимости от типов протоколов.

▫ Если типом протокола является IP, формат команды выглядит следующим образом:
rule [ rule-id ] { deny | permit } ip [ destination { destination-address destination-wildcard | any } | source { source-address
source-wildcard | any } | time-range time-name | [ dscp dscp | [ tos tos | precedence precedence ] ] ]

В представлении расширенного ACL можно выполнить эту команду, чтобы настроить правило для
расширенного ACL.
▫ Если типом протокола является TCP, формат команды выглядит следующим образом:
rule [ rule-id ] { deny | permit } { protocol-number | tcp } [ destination { destination-address destination-wildcard | any } |
destination-port { eq port | gt port | lt port | range port-start port-end } | source { source-address source-wildcard | any } | source-
port { eq port | gt port | lt port | range port-start port-end } | tcp-flag { ack | fin | syn } * | time-range time-name ] *

В представлении расширенного ACL можно выполнить эту команду, чтобы настроить правило для
расширенного ACL.

Стр. 25 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Пример: использование расширенных ACL для
предотвращения обмена данными между хостами
пользователей в разных сегментах сети (1)
1. Настройте IP-адреса и маршруты на маршрутизаторе.
GE 0/0/1
10.1.1.1/24
2. Создайте ACL 3001 и настройте правила для ACL, чтобы
Отдел исследований и
разработок (R&D) запретить трафик из отдела исследований и разработок в отдел
10.1.1.0/24
Интернет маркетинга.
Маршрутизатор
[Router] acl 3001
GE 0/0/2
10.1.2.1/24 [Router-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255

Отдел маркетинга
destination 10.1.2.0 0.0.0.255
10.1.2.0/24
[Router-acl-adv-3001] quit

Требования: 3. Создайте ACL 3002 и настройте правила для ACL, чтобы

• Отделы компании связаны через маршрутизатор. Чтобы отклонять пакеты из отдела маркетинга в отдел исследований и
упростить управление сетью, администратор выделяет IP- разработок.
адреса различных сегментов сети отделу исследований и
разработок и отделу маркетинга.
[Router] acl 3002
• Компания требует, чтобы маршрутизатор не допускал обмен
данными между пользовательскими хостами в разных [Router-acl-adv-3002] rule deny ip source 10.1.2.0 0.0.0.255
сегментах сети для обеспечения информационной destination 10.1.1.0 0.0.0.255
безопасности.
[Router-acl-adv-3002] quit

Стр. 27 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Пример: использование расширенных ACL для
предотвращения обмена данными между хостами
пользователей в разных сегментах сети (2)
GE 0/0/1 4. Настройте фильтрацию трафика во входящем направлении
10.1.1.1/24
Отдел исследований и GE 0/0/1 и GE 0/0/2.
разработок (R&D)
10.1.1.0/24
Маршрутизатор Интернет

GE 0/0/2 [Router] interface GigabitEthernet 0/0/1

10.1.2.1/24
[Router-GigabitEthernet0/0/1] traffic-filter inbound acl 3001
Отдел маркетинга [Router-GigabitEthernet0/0/1] quit
10.1.2.0/24

Требования: [Router] interface GigabitEthernet 0/0/2

• Отделы компании связаны через маршрутизатор. Для [Router-GigabitEthernet0/0/2] traffic-filter inbound acl 3002
облегчения управления сетью администратор выделяет IP-
адреса различных сегментов сети отделам исследований и [Router-GigabitEthernet0/0/2] quit
разработок и маркетингу.
• Компания требует, чтобы маршрутизатор предотвращал обмен
данными между пользовательскими хостами в разных сегментах
сети для обеспечения информационной безопасности.

Стр. 28 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Вопросы
1. (Единичный выбор) Какое из следующих правил является действительным правилом
базового ACL? ( )
A. rule permit ip

B. rule deny ip

C. rule permit source any

D. rule deny tcp source any

2. Какие параметры можно использовать для определения правил расширенных ACL?

Стр. 29 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Заключение
 ACL — популярная сетевая технология. Принцип заключается в следующем:
пакеты сопоставляются с настроенными правилами ACL. В случае совпадения с
правилом выполняются действие, указанное в этом правиле. Соответствующие
правила и действия настраиваются на основании требований сети.

 ACL часто используются совместно с другими технологиями, такими как

трансляция сетевых адресов, политика маршрутизации, QoS и фильтрация
трафика.

Стр. 30 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
 Спасибо за внимание!
www.huawei.com

Стр. 31 Авторские права© Huawei Technologies Co., Ltd. 2020 г. Все права защищены.
• Аутентификация: определяет, какие пользователи могут получить доступ к сети.

• Авторизация: разрешает пользователям доступ к определенным сервисам.

• Учет: записывает действия о использовании сетевых ресурсов.

• Прежде чем предоставить пользователю доступ в Интернет, Интернет-провайдер (ISP) должен

аутентифицировать учетную запись и пароль пользователя домашнего широкополосного доступа.
Кроме того, Интернет-провайдер записывает длительность онлайн-сеансов или трафик пользователя.
Это наиболее распространенный сценарий применения технологии AAA.
• NAS осуществляет менеджмент пользователей на основе доменов. Каждый домен может быть
настроен с различными схемами для выполнения аутентификации, авторизации и учета
пользователей в домене.

• Каждый пользователь принадлежит домену. Домен, к которому относится пользователь, определяется

строкой символов, следующей за разделителем доменного имени @ в имени пользователя.
Например, если имя пользователя — пользователь 1 @Домен 1, пользователь принадлежит домену 1.
Если имя пользователя не заканчивается на @, пользователь относится к домену по умолчанию.
• AAA поддерживает три режима аутентификации:

▫ Без аутентификации: пользователям полностью доверяют, проверка их личности не

выполняется. Этот режим аутентификации редко используется в целях безопасности.

▫ Локальная аутентификация: информация о локальном пользователе (включая имя

пользователя, пароль и атрибуты) настраивается на NAS. В этом случае NAS выполняет
функции сервера AAA. Локальная аутентификация отличается возможностями быстрой
обработкой и низкими эксплуатационными расходами. Недостаток — объем хранимой
информации ограничен аппаратным обеспечением устройства. Этот режим аутентификации
часто используется для управления пользователями, вошедшими в систему, например,
пользователями Telnet и FTP.

▫ Удаленная аутентификация: информация о пользователе (включая имя пользователя, пароль и

атрибуты) настраивается на сервере аутентификации. Удаленная аутентификация может быть
реализована через RADIUS или HWTACACS. NAS функционирует как клиент для связи с
сервером RADIUS или HWTACACS.
• Функция авторизации AAA предоставляет пользователям разрешение на доступ к определенным
сетям или устройствам. AAA поддерживает следующие режимы авторизации:

▫ Без авторизации: пользователи, прошедшие проверку, имеют неограниченные права доступа к

сети.

▫ Локальная авторизация: авторизация пользователей выполняется на основе конфигурации

домена на NAS.

▫ Удаленная авторизация: авторизация пользователей на сервере RADIUS или HWTACACS.

▪ Все пользователи могут быть авторизованы сервером HWTACACS.

▪ Авторизация RADIUS применяется только к пользователям, аутентифицированным

сервером RADIUS. RADIUS объединяет аутентификацию и авторизацию. Следовательно,
авторизация RADIUS не выполняется отдельно.

• При использовании удаленной авторизации пользователи могут получать информацию авторизации

как с сервера авторизации, так и с NAS. Приоритет авторизационной информации, настроенной на
NAS, ниже, чем у информации, доставленной сервервисом авторизации.
• AAA поддерживает следующие режимы учета:

▫ Без учета: пользователи могут получить доступ к Интернету бесплатно, журнал действий не
создается.

▫ Удаленный учет: удаленный учет осуществляется через сервер RADIUS или сервер
HWTACACS.
• Среди протоколов, используемых для реализации AAA, наиболее часто используется RADIUS.
RADIUS — это протокол распределенного обмена информацией, основанный на структуре
клиент/сервер. Он реализует аутентификацию, учет и авторизацию пользователей.

• Обычно NAS функционирует как клиент RADIUS для передачи информации о пользователе на
указанный сервер RADIUS и выполняет операции (например, принятие или отклонение доступа
пользователя) на основе информации, возвращаемой сервером RADIUS.

• Серверы RADIUS работают на центральных компьютерах и рабочих станциях для поддержки

аутентификации пользователей и доступа к сетевым службам. Серверы получают запросы на
соединение от пользователей, аутентифицируют этих пользователей и отправляют клиентам ответы
(с указанием принятия или отклонения запроса). RADIUS использует протокол дейтаграмм
пользователя (UDP) в качестве протокола передачи и порты UDP 1812 и 1813 в качестве портов
аутентификации и учета соответственно. RADIUS отличается высокой производительностью в
реальном времени. Также поддерживаются механизм повторной передачи и механизм резервного
сервера, что обеспечивает хорошую надежность.

• Процесс обмена сообщениями между RADIUS-сервером и клиентом заключается в следующем:

1. Когда пользователь получает доступ к сети, он инициирует запрос на соединение и отправляет

имя пользователя и пароль клиенту RADIUS (NAS).

2. Клиент RADIUS отправляет пакет запроса аутентификации, содержащий имя пользователя и

пароль, на сервер RADIUS.
3. Если запрос действителен, сервер RADIUS выполняет аутентификацию и отправляет
необходимую информацию авторизации клиенту RADIUS. Если запрос недействителен, сервер
RADIUS отправляет информацию об ошибке авторизации клиенту RADIUS.

4. Клиент RADIUS уведомляет пользователя об успешной аутентификации.

5. Клиент RADIUS разрешает или отклоняет пользователя в зависимости от результата

аутентификации. Если пользователь получает разрешение, клиент RADIUS отправляет пакет
Accounting-Request (Start) на сервер RADIUS

6. Сервер RADIUS отправляет пакет Accounting-Response (Start) клиенту RADIUS и запускает

учет.

7. Пользователь инициирует доступ к сетевым ресурсам.

8. Если пользователь не желает получать доступ к сетевым ресурсам, он отправляет запрос на

выход из системы, чтобы остановить доступ к сетевым ресурсам.

9. Клиент RADIUS отправляет пакет Accounting-Request (Stop) на сервер RADIUS.

10. Сервер RADIUS отправляет пакет Accounting-Response (Stop) на клиент RADIUS и

останавливает процедуру учета.

11. Клиент RADIUS уведомляет пользователя о результате обработки, и пользователь

останавливает доступ к сетевым ресурсам.
• Команда authorization-scheme authorization-scheme-name настраивает схему авторизации для
домена. По умолчанию к домену не применяется схема авторизации.

• Команда authentication-mode { hwtacacs | local | radius } настраивает режим аутентификации для

текущей схемы аутентификации. По умолчанию используется локальная аутентификация.
• Команда display domain [ name domain-name ] показывает конфигурацию домена.

• Если для Domain-state указано значение Active, значит домен активирован.

• Если имя пользователя не заканчивается на @, пользователь относится к домену по умолчанию.

Устройства Huawei поддерживают следующие домены по умолчанию:

▫ Домен default предназначен для обычных пользователей.

▫ Домен default_admin — это домен по умолчанию для администраторов.

• Команда display aaa offline-record показывает записи пользователя в офлайн.
1. AAA поддерживает следующие режимы аутентификации: без аутентификации, локальная
аутентификация и удаленная аутентификация. AAA поддерживает следующие режимы авторизации:
без авторизации, локальная авторизация и удаленная авторизация. AAA поддерживает два режима
учета: без учета и удаленный учет.

2. Если домен, к которому принадлежит пользователь, не указан при создании пользователя,

пользователь автоматически связывается с доменом default (администратор связан с доменом
default_admin).
• Поскольку пакеты с частными IP-адресами невозможно маршрутизировать и
пересылать в Интернете, IP-пакеты, предназначенные для Интернета, не
доходят до выходного устройства частной сети из-за отсутствия маршрутов.

• Если узлу, использующему частный IP-адрес, необходим доступ в Интернет,

на выходном сетевом устройстве необходимо настроить NAT, чтобы
преобразовать частный адрес источника в пакете данных IP в публичный
адрес источника.
• NAPT разрешает публичному IP-адресу сопоставлять несколько частных IP-
адресов через порты. В этом режиме выполняется преобразование и IP-
адреса, и портов транспортного уровня, так что разные частные адреса с
разными номерами портов источника сопоставляются с одним публичным
адресом с разными номерами портов источника.
• DHCP: Dynamic Host Configuration Protocol – Протокол динамической
настройки узла

• PPPoE: Point-to-Point Protocol over Ethernet – Метод передачи протокола PPP

через сеть Ethernet
1. Статический NAT и Статический NAT сервера NAT реализует
двунаправленную связь, что означает, что внешним устройствам разрешено
подключаться к внутреннему серверу. Сервер NAT предназначен для того,
чтобы внешние устройства могли проактивно подключиться к внутреннему
серверу.

2. NAPT может преобразовать несколько частных IP-адресов в один публичный

IP-адрес, что позволяет повысить коэффициент использования публичных IP-
адресов.
0
• FTP поддерживает два режима передачи: ASCII и бинарный.

• Режим ASCII используется для передачи текстовых файлов. В этом режиме

отправитель преобразовывает символы в формат кода ASCII перед их
отправкой. Получив преобразованные данные, получатель преобразует их
обратно в символы. Бинарный режим обычно используется для отправки
файлов изображений и программных файлов. В этом режиме отправитель
может передавать файлы без преобразования формата файла.

• CC: расширение файла системы VRP

• В активном режиме клиент FTP использует случайный порт (с номером
больше 1024) для отправки запроса на соединение на порт 21 FTP-сервера.
После получения запроса FTP-сервер устанавливает управляющее
соединение с FTP-клиентом для передачи управляющих сообщений. Тем
временем FTP-клиент начинает прослушивать порт P (другой случайный порт
с номером больше 1024) и использует команду PORT для уведомления FTP-
сервера. Когда необходимо передать данные, FTP-сервер отправляет запрос
на соединение с порта 20 на порт P FTP-клиента, чтобы установить TCP-
соединение для передачи данных.
• В пассивном режиме клиент FTP использует случайный порт (с номером
больше 1024) для отправки запроса на соединение на порт 21 FTP-сервера.
После получения запроса FTP-сервер устанавливает управляющее
соединение с FTP-клиентом для передачи управляющих сообщений. FTP-
клиент начинает прослушивать порт P (другой случайный порт с номером
больше 1024) и использует команду PASV для уведомления FTP-сервера.
После получения команды PASV FTP-сервер включает порт N (случайный
порт с номером больше 1024) и с помощью команды Enter PASV уведомляет
FTP-клиент об открытом номере порта. Когда необходимо передать данные,
FTP-клиент отправляет запрос на соединение с порта P на порт N на FTP-
сервере, чтобы установить соединение для передачи данных.
• Активный режим и пассивный режим различаются способами передачи
данных и имеют свои преимущества и недостатки.
▫ В активном режиме, если FTP-клиент находится в частной сети, и между
FTP-клиентом и FTP-сервером используется устройство NAT, номер
порта и IP-адрес, передаваемые в пакете PORT, который получает FTP-
сервер, не соответствуют данным клиента FTP, преобразованным с
помощью NAT. Следовательно, FTP-сервер не может инициировать TCP-
соединение с частным IP-адресом, передаваемым в пакете PORT. В этом
случае частный IP-адрес FTP-клиента в общедоступной сети будет
недоступен.
▫ В пассивном режиме FTP-клиент устанавливает соединение с открытым
портом на FTP-сервере. Если FTP-сервер находится во внутренней зоне
межсетевого экрана и связь между этой внутренней зоной и зоной, где
находится FTP-клиент, не разрешена, соединение клиент-сервер не
может быть установлено. В результате передача по FTP не выполняется.
• TFTP поддерживает пять форматов пакетов:

▫ RRQ: пакет запроса на чтение

▫ WRQ: пакет запроса на запись

▫ DATA: пакет передачи данных

▫ ACK: пакет подтверждения, который используется для подтверждения

получения пакета с противоположной стороны

▫ ERROR: пакет контроля ошибок

• В настоящее время основные сетевые устройства, такие как контроллеры
доступа (AC), точки доступа (AP), межсетевые экраны, маршрутизаторы,
коммутаторы и серверы, могут работать и как сервер Telnet, и как клиент
Telnet.
• Если клиент DHCP не возобновляет аренду назначенного IP-адреса после
истечения срока, сервер DHCP определяет, что клиент DHCP больше не
нуждается в использовании этого IP-адреса, возвращает его, и может
назначить его другому клиенту.
• Выполняется широковещательная рассылка пакета DHCP Request, при этом
другие DHCP-серверы в сети знают, что клиент выбрал конкретный IP-адрес,
назначенный сервером DHCP. Это гарантирует, что другие DHCP-серверы
могут освободить этот IP-адрес, назначенный клиенту с помощью
одноадресного пакета DHCP Offer.
• URL-адрес: однозначно определяет местонахождение веб-страницы или
других ресурсов в Интернете. URL может содержать более подробные
данные, например имя страницы гипертекста, которое обычно
идентифицируется расширением файла .html или .htm.
• Сеть агентств перспективных исследовательских проектов (ARPANET),
предшественник Интернета, позволяет сопоставить имена хостов с IP-
адресами. Однако в то время компьютеров было гораздо меньше. Для
поддержки сопоставления имени и адреса требуется только один файл
(HOSTS.txt). За файл HOSTS.txt отвечает сетевой информационный центр (NIC).
Пользователи, которые изменяют имена хостов, отправляют изменения в NIC
по электронной почте, а NIC периодически обновляет файл HOSTS.txt.

• Однако после того, как ARPANET начал использовать TCP/IP, количество

пользователей сети резко возросло. И поддерживать файл HOSTS.txt вручную
стало очень сложно. Возникли следующие проблемы:

▫ Конфликт имен: хотя NIC и обеспечивает согласованность имен хостов,

которыми он управляет, трудно гарантировать, что имена хостов не
изменятся случайным образом, и не совпадут с именами, которые уже
используются другими.

▫ Согласованность: по мере расширения сети становится все труднее

поддерживать согласованность файла HOSTS.txt. Имена других хостов
могли изменяться несколько раз до того, как файл HOSTS.txt текущего
хоста обновлялся.

• Поэтому была введена DNS.

• DNS использует распределенную архитектуру. База данных на каждом
сервере хранит только соответствие между некоторыми доменными именами
и IP-адресами.
• Итеративный запрос отличается от рекурсивного запроса тем, что ответ DNS,
возвращаемый DNS сервером 1, содержит IP-адрес другого DNS сервера
(DNS сервер 2).
• В настоящее время основные сетевые устройства, такие как контроллеры
доступа (AC), точки доступа (AP), межсетевые экраны, маршрутизаторы,
коммутаторы и серверы, в основном работают как клиенты NTP, а некоторые
устройства также могут выполнять функции серверов NTP.
1. Режим ASCII: бинарный режим больше подходит для передачи нетекстовых
файлов, которые невозможно преобразовать, например файлов EXE, BIN и
CC (расширение файла версии VRP).

2. Выполняется широковещательная рассылка пакета DHCP Request, при этом

другие DHCP-серверы в сети знают, что клиент выбрал конкретный IP-адрес,
назначенный сервером DHCP. Это гарантирует, что другие DHCP-серверы
могут освободить этот IP-адрес, назначенный клиенту, с помощью
одноадресного пакета DHCP Offer.

3. HTML используется для отображения содержимого страницы, URL-адрес

используется для определения местоположения документа или файла в сети,
а HTTP используется для запроса и передачи файлов.
• Беспроводная локальная сеть (Wireless Local Area Network; WLAN) — локальная сеть, построенная на
основе беспроводных технологий.

▫ К упомянутым здесь беспроводным технологиях, помимо Wi-Fi, относятся технологии ИК-связи,

Bluetooth и ZigBee.

▫ Технология WLAN обеспечивает пользователям простой и удобный доступ к беспроводной

сети, а также возможность перемещения в зоне ее покрытия.

• В зависимости от области применения беспроводные сети можно классифицировать на WPAN, WLAN,

WMAN и WWAN.

▫ Беспроводная персональная сеть (WPAN): для развертывания обычно используются такие

технологии, как Bluetooth, ZigBee, NFC, HomeRF и UWB.

▫ Беспроводная локальная сеть (WLAN): для развертывания обычно используется технология Wi-
Fi. Также могут использоваться технологии, связанные с WPAN.

▫ Беспроводная сеть масштаба города (WMAN): для развертывания обычно используется

технология WiMAX (Worldwide Interoperability for Microwave Access), разработанная с целью
предоставления универсальной беспроводной связи на больших расстояниях для широкого
спектра устройств.

▫ Беспроводная глобальная сеть (WWAN): для развертывания обычно используются такие

технологии, как GSM, CDMA, WCDMA, TD-SCDMA, LTE и 5G.
• Преимущества WLAN:

▫ Высокая мобильность: устройства легко подключаются к WLAN, независимо от расположения

кабелей и портов. Это делает WLAN наиболее подходящей для сценариев, в которых
пользователи часто перемещаются, например, в офисных зданиях, залах аэропортов,
курортных отелях, гостиницах, кафе и на стадионах.

▫ Гибкое развертывание: WLAN обеспечивает беспроводную связь в местах, где сложно

проложить кабели, например, в метро и на автомагистралях. Для развертывания WLAN не
требуется много кабелей, что существенно снижает затраты. Она отличается простотой
внедрения и высокой масштабируемостью.

• Примечание: в данном документе описывается технология WLAN, реализованная на основе

стандартов 802.11. То есть для передачи информации в этой WLAN используются высокочастотные
сигналы (2,4 ГГц или 5 ГГц).
• Стандарты IEEE 802.11 работают на двух нижних уровнях эквивалентной модели TCP/IP.

▫ Канальный уровень обеспечивает доступ к каналам, адресацию, проверку кадров данных,

обнаружение ошибок и механизмы безопасности.

▫ Физический уровень осуществляет передачу потоков битов по радиоинтерфейсу, например, в

определенном частотном диапазоне.

• В 1999 году альянс производителей беспроводных устройств получил название Wireless Ethernet
Compatibility Alliance (WECA). В октябре 2002 года WECA был переименован в Wi-Fi Alliance.

• Первая версия IEEE 802.11 была выпущена в 1997 году. Далее на основе IEEE 802.11 постепенно
разрабатывались дополнительные стандарты. Наиболее известными стандартами, повлиявшими на
развитие Wi-Fi, стали 802.11b, 802.11a, 802.11g, 802.11n и 802.11ac.

• После выпуска стандарта IEEE 802.11ax организация Wi-Fi Alliance поменяла подход к именованию
стандартов Wi-Fi, таким образом новый стандарт получил официальное название Wi-Fi 6. Основной
стандарт IEEE 802.11ac стал именоваться Wi-Fi 5, а IEEE 802.11n соответственно Wi-Fi 4. Такое же
соглашение стало применяться и к другим поколениям стандартов.
• Этап 1: начало развития мобильных офисов — беспроводные сети как дополнение к проводным сетям

▫ Прототипом корпоративной WLAN считается технология WaveLAN. Ранние технологии Wi-Fi в

основном использовались в устройствах Интернета вещей, таких как беспроводные кассовые
аппараты. Однако с выпуском стандартов 802.11a/b/g преимущества беспроводной связи
существенно возросли. Предприятия и потребители начали осознавать, какой потенциал имеют
технологии Wi-Fi. И началось развертывание точек беспроводного доступа в кафетериях,
аэропортах и отелях.

▫ В этот же период появилось название Wi-Fi. Wi-Fi Alliance зарегистрировал свою новую
технологию под маркой Wi-Fi. Первоначальная цель альянса заключалась в содействии
разработке стандарта 802.11b, а также сертификации совместимости продуктов Wi-Fi во всем
мире. С развитием стандартов и популяризацией продуктов, соответствующих стандартам,
люди стали приравнивать Wi-Fi к стандарту 802.11.
▫ Стандарт 802.11 представляет одну из многих технологий WLAN, но тем не менее он стал
основным отраслевым стандартом. При упоминании WLAN, как правило, имеется в виду WLAN,
использующая технологию Wi-Fi.

▫ Первый этап применения WLAN был направлен на ликвидацию ограничений проводного

доступа, чтобы позволить устройствам свободно перемещаться в пределах некоторого
пространства. То есть WLAN расширила границы проводных сетей за счет использования
беспроводной связи. На этом этапе к сетям WLAN не предъявлялось особых требований в
плане безопасности, пропускной способности и роуминга. Отдельные точки доступа
обеспечивали покрытие беспроводной связью в системах с одноточечным подключением к
сети. Как правило, точка доступа, в которой сконцентрированы все необходимые функции,
называется Fat AP.
• Этап 2: эпоха беспроводного офиса — интеграция проводной и беспроводной сетей

▫ С ростом популярности беспроводных устройств сети WLAN превратились из дополнения к

проводным сетям в инфраструктуру первой необходимости.

▫ На этом этапе WLAN, как часть сети, должна была обеспечивать гостевой доступ к сети.

▫ В офисных сценариях стали востребованы многочисленные сервисы с высокой пропускной

способностью, такие как голосовая и видеосвязь, что существенно повысило требования к
полосе пропускания WLAN. В 2012 году стандарт 802.11ac доказал свою «зрелость»,
реализовав множество улучшений в плане рабочих диапазонов частот, пропускной способности
каналов, а также схем модуляции и кодирования (MCS). По сравнению с более ранними
стандартами 802.11, стандарт 802.11ac отличался поддержкой больших объемов трафика и
меньшими помехами, а также обеспечил возможность большему количеству пользователей
получать доступ к сетям.

• Этап 3: эпоха полностью беспроводных офисов, ориентированных на беспроводную связь

▫ В настоящее время развитие WLAN перешло на третий этап. В офисах беспроводные сети
используются вместо проводных, и в каждом офисном помещении обеспечивается полное
покрытие Wi-Fi. Кроме того, в офисных помещениях уже не развертываются порты для
подключения к проводной сети, что делает офисную среду более открытой и интеллектуальной.

▫ В дальнейшем планируется перенос сервисов с высокой пропускной способностью, таких как

облачное рабочее место, видеоконференции и видео 4K, из проводных сетей в беспроводные
сети. Точно так же новые технологии, такие как виртуальная реальность (VR) и дополненная
реальность (AR), будут непосредственно развертываться в беспроводных сетях. Эти новые
сценарии применения предъявляют более высокие требования к проектированию и
планированию WLAN.

▫ В 2018 году был выпущен стандарт Wi-Fi следующего поколения, названный Wi-Fi 6 и 802.11ax
организациями Wi-Fi Alliance и IEEE соответственно. Это еще одна веха в развитии Wi-Fi.
Основной ценностью стандарта Wi-Fi 6 является возможность дальнейшего увеличения
пропускной способности, ведущая к эпохе 10-гигабитной беспроводной связи. Количество
пользователей, одновременно получающих доступ к сети, увеличилось в четыре раза, что
обеспечит отличные возможности обслуживания в сценариях с высокой плотностью и высокой
нагрузкой.
• Продукты WLAN компании Huawei обеспечивают высокоскоростные, безопасные и надежные
беспроводные сетевые соединения в различных сценариях, в том числе внутри и снаружи помещений,
в жилых домах и на предприятиях.
• Беспроводные роутеры в большинстве случаев представляют собой точки доступа Fat AP.
▫ Они преобразуют сигналы проводной сети в беспроводные сигналы, чтобы устройства, которые
их принимают, такие как домашние компьютеры и мобильные телефоны, могли получать доступ
к сети Интернет в беспроводном режиме.
• Корпоративные продукты WLAN:
▫ Точка доступа (Access Point, AP)
▪ Точка доступа поддерживает гибкое переключение между режимами Fat, Fit и Cloud в
зависимости от планирования сети.
▪ Fat AP: используется в домашних WLAN. Fat AP работает независимо и требует
индивидуальной настройки. Она выполняет только простые функции и является
экономически выгодным устройством. Fat AP реализует такие функции, как доступ
пользователей, аутентификация, безопасность данных, предоставление сервисов и QoS.
▪ Fit AP: используются на средних и крупных предприятиях. Управление и
конфигурирование Fit AP осуществляется централизованно посредством контроллера
доступа (AC). Fit AP обеспечивают различные функции. Для их обслуживания требуется
высококвалифицированный персонал. Совместно с AC точки доступа Fit AP реализуют
такие функции, как доступ пользователей, подключение точки доступа к сети,
аутентификацию, маршрутизацию, управление AP, безопасность и QoS.
▪ Cloud AP: используются на малых и средних предприятиях. Управление и
конфигурирование точек доступа Cloud AP осуществляется централизованно
посредством платформы облачного управления. Cloud AP реализуют различные функции
и поддерживают автоматическую настройку и запуск. Для их обслуживания не требуется
высококвалифицированный персонал.
▫ Контроллер доступа (Access Controller, AC)

▪ AC обычно развертывается на уровне агрегации сети для предоставления

высокоскоростных, безопасных и надежных сервисов WLAN.

▪ Контроллеры доступа Huawei характеризуется большой емкостью, высокой

производительностью и надежностью. Кроме того, они обладают такими
преимуществами, как простота в установке и техническом обслуживании, гибкие
возможности размещения в сети и энергосбережение.

▫ Коммутатор PoE

▪ Технология Power over Ethernet (PoE) обеспечивает подачу электропитания по Ethernet-

кабелю. Также ее называют Power over LAN (PoL) или активный Ethernet.

▪ PoE подает терминалам электропитание по тем же проводам витой пары, что

используются для передачи данных или по свободным от трафика проводам.

▪ В сети WLAN коммутатор PoE может использоваться для подачи питания на точки
доступа.

▪ PoE можно использовать для эффективного централизованного питания таких устройств,

как IP-телефоны, точки доступа, портативные зарядные устройства, кассовые
терминалы, камеры и устройства сбора данных. Благодаря PoE устройства получают
питание при подключении к сети. Таким образом, прокладка кабелей системы питания
внутри помещения не требуется.
• WLAN состоит как из проводной, так и беспроводной сетей. В проводной сети точки доступа
подключаются к Интернету через Ethernet. В беспроводной сети устройства (STA) взаимодействуют с
точками доступа, используя стандарты 802.11.

• Беспроводная сеть имеет централизованную архитектуру. Исходная архитектура Fat AP получила

развитие в архитектуре «AC + Fit AP».

▫ Архитектура «Fat AP»

▪ Такая архитектура также называется автономной сетевой архитектурой, потому что не

требует специального устройства для централизованного управления. Она реализует
такие функции, как подключение пользователей беспроводной сети, шифрование и
передача данных.

▪ Область применения: домашние сети и сети малых предприятий.

▪ Характеристики: Fat AP работает независимо и требует индивидуальной настройки. Она

выполняет только простые функции и является экономически выгодным устройством.

▪ Недостатки: с увеличением зоны покрытия WLAN и количества подключаемых

пользователей требуется большее число Fat AP. Независимо работающие Fat AP не
поддерживают централизованное управление. Таким образом, возникают трудности при
управлении и техническом обслуживании точек доступа Fat AP.
 ▫ Архитектура «AC + Fit AP»

▪ В такой архитектуре контроллер доступа выполняет управление доступом к WLAN,

передачу и сбор статистики, мониторинг конфигурации AP, управление роумингом,
контроль безопасности и функцию агента сетевого управления точками доступа. Fit AP,
управляемая AC, выполняет шифрование и дешифрование пакетов 802.11 и
обеспечивает функции физического уровня 802.11.

▪ Область применения: средние и крупные предприятия.

▪ Характеристики: управление и конфигурирование Fit AP осуществляется

централизованно посредством контроллера доступа (AC). Fit AP обеспечивают
различные функции. Для их обслуживания требуется высококвалифицированный
персонал.

• Примечание: В этом разделе для примера используется архитектура «AC + Fit AP».

• Основные концепции WLAN

▫ Пользовательское устройство (STA)

▪ Устройство, соответствующее стандарту 802.11, например, ПК с беспроводными

сетевыми картами (NIC) или мобильный телефон, поддерживающий WLAN.

▫ Контроллер доступа (AC)

▪ Реализует управление и контроль работы всех точек доступа Fit AP в сети с архитектурой
«AC + Fit AP». Например, AC может подключаться к серверу аутентификации для
проверки подлинности пользователей WLAN.

▫ Точка доступа (AP)

▪ Обеспечивает STA беспроводной доступ к сети в соответствии со стандартом 802.11.

Точки доступа являются связующим звеном между проводной и беспроводной сетями.

▫ Протокол управления и обеспечения беспроводных точек доступа (CAPWAP, Control And

Provisioning of Wireless Access Points)

▪ Механизм инкапсуляции и передачи, определенный в RFC 5415, обеспечивает

взаимодействие между точками доступа и контроллером доступа.

▫ Радиосигнал (радиоволна)

▪ Высокочастотная электромагнитная волна с возможностью распространения на большие

расстояния. Радиосигналы обеспечивают среду передачи для беспроводных локальных
сетей, совместимых с 802.11. В данном разделе под радиосигналами подразумеваются
электромагнитные волны в частотном диапазоне 2,4 ГГц или 5 ГГц.
• Для удовлетворения требований крупномасштабной сети и реализации унифицированного управления
точками доступа в сети сообщество IETF (Internet Engineering Task Force) создало рабочую группу
CAPWAP и разработало протокол CAPWAP. Этот протокол определяет способ управления и
конфигурирования точек доступа контроллером доступа. То есть между AC и AP устанавливаются
туннели CAPWAP, по которым AC передает управляющие сообщения и конфигурации AP.

• CAPWAP — протокол прикладного уровня, работающий поверх протокола UDP.

▫ CAPWAP позволяет передавать сообщения двух видов:

▪ Сообщения данных, которые передаются по туннелю данных CAPWAP и инкапсулируют

кадры данных из беспроводной сети.

▪ Управляющие сообщения, которые передаются по туннелю управления CAPWAP для

управления AP.

▫ Пакеты данных и управления CAPWAP передаются через разные UDP-порты:

▪ UDP-порт 5246 для передачи управляющих пакетов

▪ UDP-порт 5247 для передачи пакетов данных

• Сеть между AP и AC: между точками доступа и контроллером доступа можно использовать сеть
уровня 2 и сеть уровня 3. В сети уровня 2 точки доступа могут подключаться к сети в режиме
автоматической настройки и запуска (plug-and-play) посредством широковещательной рассылки
уровня 2 или DHCP. В сети уровня 3 точки доступа не могут напрямую обнаруживать AC. Поэтому
необходимо развертывать DHCP или DNS, или можно вручную указывать IP-адрес AC.

• Но в реальной сети это сложно, потому что AC может подключаться к десяткам или даже сотням AP.
Например, в корпоративной сети точки доступа могут быть развернуты в офисах, конференц-залах и
помещениях для приема посетителей, а контроллер доступа может быть установлен в аппаратном
помещении. В этом случае сеть уровня 3 между AC и AP будет иметь сложную структуру. Поэтому,
сеть уровня 3 часто используется в крупномасштабных сетях.
• Режим подключения AC: в режиме «in-path» AC располагается на пути передачи трафика, и
пользовательский трафик проходит через AC. В этом случае расходуются ресурсы передачи AC. В
режиме «off-path» трафик не проходит через AC.

• Схема сети с подключением In-Path:

▫ В режиме «in-path» AC должен обладать высокой пропускной способностью и мощными

возможностями обработки. В противном случае AC станет «узким местом» производительности.

▫ Такая сеть имеет четкую архитектуру и отличается простотой развертывания.

• Схема сети с подключением Off-Path:

▫ Большинство беспроводных сетей развертываются поверх уже существующих проводных сетей

и не планируются на ранней стадии построения сети. Сеть «off-path» упрощает расширение
беспроводной сети. Для управления точками доступа клиентам необходимо только подключить
AC к сетевому устройству, например к коммутатору агрегации. Таким образом, схема «off-path»
используется чаще.

▫ В сети «off-path» AC только управляет AP, и потоки управления инкапсулируются и передаются

по туннелям CAPWAP. Потоки данных могут передаваться в AC по туннелям CAPWAP или
перенаправляться в опорную сеть коммутатором агрегации, минуя AC.
• Кодирование

▫ Кодирование источника — это процесс преобразования необработанной информации в

цифровые сигналы с использованием схемы кодирования.

▫ Канальное кодирование — это технология обнаружения и исправления информационных

ошибок для повышения надежности передачи данных по каналу. При беспроводной передаче,
подверженной шумовым помехам, на принимающее устройство могут поступать данные с
ошибками. Канальное кодирование обеспечивает максимально возможное восстановление
информации на принимающем устройстве, тем самым снижая частоту битовых ошибок.

• Модуляция — это процесс наложения цифровых сигналов на высокочастотные сигналы, генерируемые

высокочастотными колебательными контурами, для преобразования цифровых сигналов в
радиоволны, поддерживаемые антеннами, и дальнейшей их передачи.

• Канал связи передает информацию, а радиоканал передает радиоволны в пространстве.

• Радиоканалы используют радиоинтерфейс. Передающее и принимающее устройства связаны между

собой посредством радиоинтерфейсов и радиоканалов. В беспроводной сети соединения между
радиоинтерфейсами невидимы и осуществляются по воздуху.
• Диапазон ELF или КНЧ (от 3 Гц до 30 Гц): подводная связь или непосредственное преобразование в
звук

• Диапазон SLF или СНЧ (от 30 Гц до 300 Гц): непосредственное преобразование в звук или
использование в системе передачи AC (50–60 Гц)

• ULF или ИНЧ (от 300 Гц до 3 кГц): подземная связь или непосредственное преобразование в звук

• VLF или ОНЧ (от 3 кГц до 30 кГц): непосредственное преобразование в звук и ультразвук или
геофизические исследования

• LF или НЧ (от 30 кГц до 300 кГц): международное радиовещание

• IF или СЧ (от 300 кГц до 3 МГц): радиовещание с амплитудной модуляцией (AM), морская и
авиационная связь

• HF или ВЧ (от 3 МГц до 30 МГц): коротковолновые и гражданские радиостанции

• VHF или ОВЧ (от 30 МГц до 300 МГц): радиовещание с частотной модуляцией (FM), телевидение и
авиационная связь

• UHF или УВЧ (от 300 МГц до 3 ГГц): телевидение, радиотелефонная связь, беспроводные сети и
микроволновые печи.

• SHF или СВЧ (от 3 ГГц до 30 ГГц): беспроводные сети, радары и искусственные спутники

• EHF или КВЧ (от 30 ГГц до 300 ГГц): радиоастрономия, дистанционное зондирование и сканер в
диапазоне миллиметровых волн

• Выше 300 ГГц: инфракрасное, видимое и ультрафиолетовое излучение

• В сети WLAN рабочее состояние AP зависит от показателей среды радио передачи. Например,
высокомощная AP может создавать помехи для соседних AP, если они работают на перекрывающихся
каналах.

• В этом случае можно развернуть функцию калибровки параметров радиосвязи, которая будет
осуществлять динамическую настройку каналов и регулировку мощности передачи точек доступа,
управляемых одним контроллером доступа, что позволит гарантировать оптимальную
производительность точек доступа.
• BSS:

▫ BSS — основной сервисный блок WLAN, состоящий из AP и нескольких STA. BSS — это
базовая структура сети 802.11. В беспроводной сети поддерживается совместное
использование среды передачи, поэтому пакеты, отправленные и полученные в BSS, должны
содержать BSSID (MAC-адрес AP).

• BSSID:

▫ MAC-адрес точки доступа на уровне канала передачи данных.

▫ STA могут искать и обнаруживать AP на основе BSSID.

▫ Каждый BSS должен иметь уникальный BSSID. Следовательно, MAC-адрес AP используется

для обеспечения уникальности BSSID.

• SSID:

▫ Уникальный идентификатор беспроводной сети. При поиске доступных беспроводных сетей на

ноутбуке вы увидите их идентификаторы SSID.

▫ Если в определенной области развернуто несколько BSS, STA может обнаружить несколько
BSSID. Вам необходимо только выбрать нужный BSSID. Для упрощения идентификации AP в
качестве имени AP используется строка символов. Эта символьная строка представляет собой
SSID.
• VAP:

▫ VAP — это функциональный объект, полученный в процессе виртуализации физической AP.

Для предоставления беспроводного доступа нескольким группам пользователей можно создать
разные VAP на AP.

• Использование VAP упрощает развертывание WLAN, но это не означает, что нужно конфигурировать
множество VAP. Количество VAP необходимо планировать на основе фактических требований.
Необдуманное увеличение количества VAP увеличит время поиска SSID устройствами и усложнит
настройку AP. Кроме того, VAP не является эквивалентом реальной AP. Все VAP, полученные в
процессе виртуализации физической AP, совместно используют программные и аппаратные ресурсы
этой AP, а все пользователи, подключенные к этим VAP, совместно используют ресурсы одного
канала. Емкость AP не изменится с увеличением количества VAP.
• ESS:

▫ Крупномасштабный виртуальный BSS, состоящий из нескольких BSS с одинаковым SSID.

▫ При перемещении и роуминге в пределах ESS пользователь будет считать, что находится в
одной и той же WLAN, независимо от своего местоположения.

• Роуминг WLAN:

▫ С функцией роуминга WLAN пользователи могут перемещаться между зонами обслуживания

разных точек доступа, принадлежащих одной ESS, без прерывания сервисов.

▫ Наиболее очевидным преимуществом сетей WLAN является то, что пользователи могут
перемещаться по сети WLAN без ограничений физической среды передачи. Кроме того, при
перемещении из одной зоны обслуживания в другую услуги не прерываются. В ESS может быть
размещено несколько точек доступа. При перемещении пользователя из зоны обслуживания
одной точки доступа в зону другой точки доступа роуминг WLAN обеспечивает беспроблемную
передачу его сервисов между точками доступа.
• В сетевой архитектуре «AC + Fit AP» контроллер доступа осуществляет унифицированное управление
точками доступа. Поэтому все настройки выполняются на AC.
• Туннели CAPWAP выполняют следующие функции:

▫ Поддержка работоспособности AC и AP.

▫ Предоставление возможности AC управлять AP путем передачи им конфигураций.

▫ Передача сервисных (пользовательских) данных в AC для централизованной передачи

• Этап обнаружения AC:

▫ Статический режим: список IP-адресов AC предварительно настроен на точках доступа. При

выходе AP в сеть она отправляет пакет Discovery Request каждому AC, чей IP-адрес имеется в
предварительно настроенном списке IP-адресов AC. После получения пакета Discovery Request
контроллеры доступа отправляют AP пакеты Discovery Response. Затем AP выбирает AC для
установления туннеля CAPWAP в соответствии с полученными пакетами Discovery Request.

▫ Динамический режим: DHCP, DNS и широковещательная рассылка. В данном разделе

описываются режимы DHCP и широковещательной рассылки.
• Режим DHCP:

▫ Получение IP-адреса AC с помощью процедуры обмена четырьмя сообщениями DHCP.

▪ Если список IP-адресов AC не настроен заранее, AP запускает процесс автоматического

обнаружения AC в динамическом режиме. AP получает IP-адрес посредством DHCP и
список адресов AC посредством поля Option в пакетах DHCP. (DHCP-сервер настроен на
передачу поля Option 43 в пакете DHCP Offer, а поле Option 43 содержит список IP-
адресов AC.)

▪ Сначала AP отправляет пакет DHCP Discover на DHCP-сервер в режиме

широковещательной рассылки. При получении пакета DHCP Discover DHCP-сервер
инкапсулирует первый свободный IP-адрес и другие настройки TCP/IP в пакет DHCP
Offer, содержащий срок аренды, и отправляет этот пакет точке доступа.

▪ Пакет DHCP Offer может быть одноадресным или широковещательным. Когда точка
доступа получает пакеты DHCP Offer от нескольких DHCP-серверов, она выбирает
только один пакет DHCP Offer (обычно первый пакет DHCP Offer) и рассылает пакет
DHCP Request на все DHCP-серверы. Затем точка доступа отправляет пакет DHCP
Request определенному серверу, который выдает IP-адрес.

▪ Когда DHCP-сервер получает пакет DHCP Request от точки доступа, он отправляет

ответный пакет DHCP Ack, который содержит IP-адрес точки доступа, срок аренды,
информацию о шлюзе и IP-адрес DNS-сервера. К этому времени договор аренды
вступает в силу, и обмен четырьмя сообщениями DHCP завершается.
 ▫ Механизм обнаружения AC обеспечивает точкам доступа привязку к AC.

▪ После получения IP-адреса AC от DHCP-сервера AP находит доступные AC посредством

механизма обнаружения AC и решает установить связь с оптимальным AC с помощью
туннеля CAPWAP.

▪ AP запускает механизм обнаружения протокола CAPWAP и отправляет одноадресные

или широковещательные пакеты запроса, чтобы попытаться установить связь с AC. В
ответ на пакеты Discovery Request контроллеры доступа отправляют одноадресные
пакеты, которые содержат приоритет AC и количество AP. Установление связи AP с
определенным AC зависит от приоритета AC и количества AP.

• Режим трансляции:

▫ После запуска AP, если ей не удается обнаружить AC на основе DHCP и DNS, она инициирует
широковещательную рассылку для обнаружения AC и транслирует запрос на обнаружение AC.

▫ AC, принимающий пакеты Discovery Request, проверяет, авторизована ли AP для доступа (или
есть ли у AP авторизованные MAC-адреса или серийные номера (Serial Number, SN)). Если это
так, AC передает AP сообщение Discovery Response. Если это не так, AC отбрасывает пакет
Discovery Request.

▫ Обнаружение AC посредством широковещательной рассылки используется в сети уровня 2

между AP и AC.
• После получения от AP пакета Join Request AC выполняет аутентификацию AP. Если аутентификация
прошла успешно, AC добавляет AP.

• AC поддерживает следующие режимы аутентификации AP:

▫ Аутентификация MAC-адресов

▫ Аутентификация серийных номеров

▫ Без аутентификации

• Добавление AP в AC может осуществляться следующими способами:

▫ Ручная настройка: предварительная настройка MAC-адресов и серийных номеров AP в

автономном режиме на AC. При подключении точек доступа контроллер доступа определяет,
соответствуют ли их MAC-адреса и серийные номера предварительно сконфигурированным, и
устанавливает с ними соединения.

▫ Автоматическое обнаружение: AC автоматически обнаруживает подключенные AP и, если они

содержатся в белом списке, устанавливает с ними соединения, не зависимо от режима
аутентификации AP.

▫ Ручное подтверждение: в режиме аутентификации AP по MAC-адресам или серийным номерам

AC добавляет AP в список неавторизованных AP, если AP не находится в автономном режиме
или включена в белый список. Для подключения AP можно ручную подтвердить ее подлинность.
• Обновление AP в AC может осуществляться в следующих режимах:

▫ Автоматическое обновление: в основном используется, когда точки доступа не подключаются к

сети на AC. В этом режиме необходимо настроить параметры автоматического обновления так,
чтобы точки доступа переходили в режим онлайн перед конфигурированием подключения AP.
Тогда обновление точек доступа будет автоматически выполняться при их подключении к сети.
Точка доступа, подключенная к сети, будет автоматически обновляться после настройки
параметров автоматического обновления и ее перезапуска в любом режиме. По сравнению с
режимом автоматического обновления, режим обновления в процессе работы сокращает время
прерывания предоставления сервисов.

▪ Режим AC: применяется, когда развернуто небольшое количество точек доступа. В

процессе обновления точки доступа загружают файл обновления из AC.

▪ Режим FTP: применяется для передачи файлов без высоких требований к сетевой
безопасности. В процессе обновления точки доступа загружают файл обновления с FTP-
сервера. В этом режиме данные передаются в виде открытого текста, что создает угрозу
безопасности.

▪ Режим SFTP: применяется в сценариях, требующих высокой сетевой безопасности, и

обеспечивает надежное шифрование и обеспечение целостности для передачи данных.
В процессе обновления точки доступа загружают файл обновления с SFTP-сервера.

▫ Обновление в рабочем режиме: в основном используется, когда точки доступа уже подключены
к AC и предоставляют услуги WLAN.

▫ Плановое обновление: в основном используется, когда точки доступа уже подключены к AC и

предоставляют услуги WLAN. Плановое обновление обычно выполняется в нерабочее время.
• Обеспечение работы туннеля данных:

▫ AP и AC обмениваются keepalive-пакетами (через порт UDP 5247) для проверки

работоспособности туннеля данных.

• Обеспечение работы туннеля управления:

▫ AP и AC обмениваются эхо-пакетами (через порт UDP 5246) для проверки работоспособности

туннеля управления.
• Профиль регулирующего домена:

▫ Профиль регулирующего домена предоставляет конфигурации кода страны, калибровочного

канала и калибровочной полосы пропускания для точки доступа.

▫ Код страны определяет страну, в которой развернуты AP. Коды стран определяют различные
атрибуты радиосвязи AP, включая мощность передачи и поддерживаемые каналы. Правильная
конфигурация кода страны гарантирует, что атрибуты радиосвязи точек доступа будут
соответствовать местным законам и правилам.

• Настройка интерфейса или адреса источника на AC

▫ Настраиваемый на AC IP-адрес, интерфейс VLANIF или Loopback-интерфейс должен быть

уникальным. Таким образом, AP, подключенные к AC, смогут распознать определенный IP-
адрес или IP-адрес определенного интерфейса и установить туннели CAPWAP с AC. Этот
указанный IP-адрес или интерфейс называется адресом или интерфейсом источника.

▫ Только после настройки уникального интерфейса или адреса источника на AC точки доступа
смогут устанавливать туннели CAPWAP с AC.

▫ В качестве интерфейса источника можно использовать интерфейс VLANIF или Loopback-

интерфейс, а их IP-адреса можно настроить в качестве адреса источника.

• Добавление точек доступа: настройте режим аутентификации AP и активируйте функцию подключения

AP к сети.

▫ Добавление точек доступа возможно путем их импорта в автономном режиме, автоматического

обнаружения и вручную.
• После того, как AP переходит в режим онлайн, она отправляет в AC запрос Configuration Status
Request, содержащий ее текущую конфигурацию. AC сравнивает текущую конфигурацию AP с
конфигурацией локальной AP. Если они не совпадают, AC отправляет AP ответное сообщение
Configuration Status Response.

• Примечание: после выхода в сеть AP получает существующую конфигурацию от AC. Затем AC

управляет AP и передает ей сервисные конфигурации.
• Чтобы упростить настройку большого количества точек доступа, можно объединить их в группу AP и
выполнить централизованную настройку. Однако точки доступа могут иметь разные конфигурации. В
этом случае к ним нельзя будет применить унифицированные настройки, но можно настроить
непосредственно каждую точку доступа. После выхода в сеть точка доступа может присоединиться
только к одной группе. Если точка доступа получает и конфигурацию группы AP, и определенные
конфигурации от контроллера доступа, то приоритет будет у определенных конфигураций AP.

• К AP и группе AP можно привязать различные профили: профиль регулирующего домена, профиль

радиосвязи, профиль VAP, профиль местоположения, профиль системы AP, профиль WIDS, профиль
проводного порта AP, профиль WDS и профиль Mesh. Некоторые из перечисленных профилей могут
дополнительно служить ссылочными профилями для других профилей.

▫ Профиль регулирующего домена

▪ Код страны определяет страну, к которой принадлежат радиомодули AP. В разных

странах поддерживаются разные атрибуты радиосвязи AP, включая мощность передачи
и поддерживаемые каналы. Правильная конфигурация кода страны гарантирует, что
атрибуты радиосвязи точек доступа будут соответствовать местным законам и правилам
стран и регионов, в которые эти точки доступа поставляются.

▪ Набор калибровочных каналов ограничивает динамический диапазон регулировки канала

точки доступа при настройке функции калибровки радиосвязи. Радиолокационные
каналы и каналы, которые не поддерживаются STA, не используются.
▫ Профиль радиосвязи
▪ Профиль радиосвязи позволяет настраивать и оптимизировать параметры радиосвязи
для адаптации к различным сетевым средам, чтобы точки доступа могли обеспечивать
целевое покрытие и отличное качество сигналов WLAN. После передачи точке доступа
параметров из профиля радиосвязи в силу вступят только параметры, которые
поддерживает данная точка доступа.
▪ К настраиваемым параметрам относятся тип радиоканала, скорость радиоканала,
скорость многоадресной передачи пакетов по радиоканалам и интервал, с которым точка
доступа отправляет сигнальные кадры-маяки (beacon frames).
▫ Профиль VAP
▪ После настройки параметров в профиле VAP и установления его привязки к AP или
группе AP на точках доступа создаются виртуальные точки доступа (VAP). VAP
предоставляют услуги беспроводного доступа для STA. Чтобы точки доступа могли
предоставлять различные беспроводные услуги, можно настроить соответствующие
параметры в профиле VAP.
▪ Для профиля VAP также можно использовать референсные профили, такие как профиль
SSID, профиль безопасности, профиль трафика и т. д.
▫ Настройка параметров радиосвязи:
▪ Чтобы радиомодули AP могли работать с оптимальной производительностью,
необходимо конфигурировать различные параметры радиосвязи на основании реальных
условий среды WLAN.
▪ Если соседние точки доступа работают на перекрывающихся каналах, то они могут
создавать взаимные помехи, влияющие на сигнал и производительность точки доступа.
Чтобы предотвратить возникновение помех и позволить точкам доступа работать с
оптимальной производительностью и высоким качеством сигналов WLAN, нужно
настроить работу любых двух соседних точек доступа на неперекрывающихся каналах.
▪ Настройка мощности передачи и усиления антенны для радиостанций осуществляется с
учетом фактических требований и условий существующей сети, чтобы радиоканалы
обеспечивали достаточный уровень сигнала, повышая качество передачи беспроводных
локальных сетей.
▪ В реальных сценариях две точки доступа могут быть подключены на расстоянии от
десятков метров до десятков километров. Из-за различного расстояния между точками
доступа время ожидания пакетов ACK от одноранговой точки доступа может быть
разным. Правильно установленное значение тайм-аута может повысить эффективность
передачи данных между точками доступа.
• Профиль SSID используется для настройки имени SSID и других параметров доступа WLAN. В
профиле SSID настраиваются следующие параметры:

▫ Настройки видимости SSID: данная функция позволяет точке доступа скрывать SSID WLAN.
Только пользователи, которые знают SSID, могут подключаться к WLAN, что повышает ее
безопасность.

▫ Максимальное количество STA на VAP: чем больше пользователей подключено к VAP, тем
меньше сетевых ресурсов доступно каждому пользователю. Чтобы обеспечить пользователям
нормальный доступ к сети Интернет, необходимо настроить максимальное количество
пользователей, подключаемых к VAP, с учетом фактических сетевых условий.

▫ Скрытие SSID при достижении максимального количества подключенных STA: эта функция
позволяет точке доступа скрывать SSID WLAN при подключении максимального количества
пользователей (при условии, что данный параметр настроен), для того чтобы новые
пользователи не могли найти и воспользоваться этим SSID.

• Профиль безопасности: политики безопасности WLAN создаются для аутентификации STA и

шифрования пользовательских пакетов, обеспечивая защиту WLAN и пользователей.

▫ К поддерживаемым политикам безопасности WLAN относятся аутентификация с помощью

открытой системы, WEP, WPA/WPA2-PSK и WPA/WPA2-802.1X. Настроить одну из них можно в
профиле безопасности.

• Режим передачи данных:

▫ Управляющие пакеты передаются по туннелям управления CAPWAP. Пакеты данных

пересылаются в режиме туннельной передачи (централизованная передача) или прямой
передачи (локальная передача). В этом курсе мы подробно рассмотрим режимы передачи
данных чуть позже.
• Сервисная VLAN:

▫ Поскольку сети WLAN обеспечивают гибкие возможности доступа, STA могут подключаться к
одной WLAN на входе в офис или на стадион, а затем перемещаться между разными точками
доступа.

▪ Если одна VLAN настроена как сервисная VLAN, то ресурсов IP-адресов может оказаться
недостаточно в зонах с большим количеством STA, подключаемых к WLAN, а IP-адреса в
других зонах будут оставаться невостребованными.

▪ После создания пула VLAN необходимо добавить несколько VLAN в пул VLAN и
настроить их как сервисные VLAN. Таким образом, SSID может использовать несколько
сервисных VLAN для предоставления услуг беспроводного доступа. Вновь
подключаемые STA будут динамически распределяться по VLAN из пула VLAN, что
уменьшит количество STA в каждой VLAN, а также сократит размер широковещательного
домена. Кроме того, это обеспечит эффективное использование ресурсов IP-адресов.
• Активное сканирование:

▫ Запросы, содержащие SSID, используются при активном сканировании STA беспроводных

сетей для получения доступа к определенной беспроводной сети.

▫ Запросы, не содержащие SSID, используются при активном сканировании STA беспроводных

сетей для определения доступных беспроводных услуг.

• Пассивное сканирование:

▫ STA поддерживают пассивное сканирование беспроводных сетей.

▫ В режиме пассивного сканирования STA прослушивает сигнальные кадры-маяки (Beacon)

(содержащие SSID и поддерживаемую скорость), периодически отправляемые точкой доступа,
чтобы обнаружить окружающие беспроводные сети. По умолчанию AP отправляет кадры-маяки
с интервалом в 100 TU (1 TU = 1024 мкс).
• Существуют три политики безопасности WLAN: WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected
Access) и WPA2. Каждая политика безопасности имеет ряд защитных механизмов, включая
аутентификацию канала, используемую для установления беспроводного соединения,
аутентификацию пользователя, используемую при попытке пользователей подключиться к
беспроводной сети, и шифрование данных, используемое во время передачи данных.

• WEP

▫ Политика WEP, определенная в стандарте IEEE 802.11, используется для защиты данных
авторизованных пользователей от перехвата во время передачи по сети WLAN. В основе WEP
лежит алгоритм RC4 для шифрования данных с помощью 64-битного, 128-битного или 152-
битного ключа. Каждый ключ шифрования содержит 24-битный вектор инициализации
(initialization vector, IV), генерируемый системой. Таким образом, длина ключа, настроенного на
сервере и клиенте WLAN, может составлять 40, 104 или 128 бит. WEP использует статический
ключ шифрования. Все STA, ассоциированные с одним и тем же SSID, используют одинаковый
ключ для подключения к WLAN.
• WPA/WPA2

▫ При аутентификации с помощью общего ключа WEP для шифрования данных используется
симметричный потоковый шифр Rivest Cipher 4 (RC4). Таким образом, необходимо
предварительно настроить одинаковый статический ключ на сервере и клиентах. Однако и
механизм, и алгоритм шифрования не обеспечивают надежной защиты от угроз безопасности.
Чтобы решить эту проблему, Wi-Fi Alliance разработал стандарт WPA с учетом уязвимостей
WEP. В дополнение к алгоритму RC4, WPA использует алгоритм шифрования по протоколу
целостности временных ключей TKIP (Temporal Key Integrity Protocol) на основе WEP и
структуру аутентификации подлинности 802.1X, а также поддерживает протоколы EAP-PEAP
(Extensible Authentication Protocol-Protected Extensible Authentication Protocol) и EAP-TLS (EAP-
Transport Layer Security). Позже стандарт 802.11i определил политику WPA2. WPA2 использует
более безопасный алгоритм шифрования CCMP (Counter Mode with CBC-MAC Protocol).

▫ WPA и WPA2 могут использовать аутентификацию доступа 802.1X и алгоритм шифрования

TKIP или CCMP, что обеспечивает лучшую совместимость. WPA и WPA2 обеспечивают почти
одинаковый уровень безопасности, отличаясь лишь форматом пакета протокола.

▫ Политика обеспечения безопасности WPA/WPA2 включает четыре этапа: аутентификация

канала, аутентификация доступа, согласование ключей и шифрование данных.
• WLAN должна гарантировать достоверность и безопасность доступа STA. Чтобы достичь этого, перед
получением доступа к WLAN STA должны пройти аутентификацию. Этот процесс известен как
аутентификация канала, который, как правило, является первым этапом получения доступа STA.

• Аутентификация с помощью общего ключа:

▫ Для STA и AP заранее настраивается одинаковый общий ключ. В процессе аутентификации

канала точка доступа проверяет, совпадает ли общий ключ STA с ее общим ключом. Если
общие ключи совпадают, аутентификация STA проходит успешно. В противном случае
аутентификация STA завершится неудачно.

▫ Процесс аутентификации:

1. STA отправляет AP пакет запроса аутентификации (Authentication Request).

2. AP генерирует подтверждение аутентификации (Authentication Response), содержащее

Challenge Text, и отправляет его STA.

3. STA шифрует Challenge Text с помощью предварительно настроенного ключа и

отправляет AP зашифрованный запрос на аутентификацию.

4. AP расшифровывает Challenge Text с помощью предварительно настроенного ключа и

сравнивает дешифрованный Challenge Text с Challenge Text, отправленным на STA.
Если Challenge Text совпадает, STA успешно проходит аутентификацию. В противном
случае аутентификация STA завершится неудачно.
• Ассоциация STA в архитектуре Fit AP включает следующие этапы:

1. STA отправляет пакет запроса ассоциации (Association Request) в AP. Пакет запроса
ассоциации (Association Request) содержит параметры STA и параметры, выбранные STA в
соответствии с конфигурацией услуги, включая скорость передачи, канал и возможности QoS.

2. После получения пакета запроса на ассоциацию (Association Request) точка доступа

инкапсулирует пакет в пакет CAPWAP и отправляет пакет CAPWAP контроллеру доступа.

3. Контроллер доступа определяет, разрешить или нет доступ STA в соответствии с полученным
пакетом запроса ассоциации, и отвечает пакетом CAPWAP, содержащим ответ ассоциации
(Association Response).

4. Точка доступа декапсулирует пакет CAPWAP для получения ответа ассоциации (Association
Response) и отправляет его на STA.
• Шифрование данных:

▫ Для обеспечения безопасности данных, помимо аутентификации доступа пользователя,

необходимо реализовать шифрование пакетов данных на этапе аутентификации доступа.
После шифрования расшифровать пакет данных может только устройство, на котором хранится
соответствующий ключ. Другие устройства не могут расшифровать пакет, даже если они его
получили, потому что у них нет соответствующего ключа.
• С быстрым развитием и развертыванием корпоративных сетей появляется все больше различных
угроз безопасности, включая вирусы, троянские программы, программы-шпионы и вредоносные
сетевые атаки. В традиционной корпоративной сети принято считать, что интрасеть является
безопасной, а все угрозы исходят из внешней сети. Однако исследования показывают, что 80%
уязвимостей кибербезопасности приходится именно на внутреннюю сеть. Угрозы сетевой
безопасности и вирусы серьезно влияют на работу сети, приводя к различным сбоям. Пользователи
внутренней сети могут даже не замечать, что при просмотре веб-сайтов во внешней сети на их
компьютеры автоматически устанавливаются шпионские или троянские программы. После чего
вредоносное программное обеспечение может распространяться по всей интрасети.

• Таким образом, по мере того, как проблемы безопасности продолжают расти, традиционных мер
безопасности становится недостаточно. Необходимо переходить от пассивной модели обеспечения
безопасности к активным мерам. К решению проблем сетевой безопасности нужно подходить
обстоятельно, начиная с терминальных устройств. Только так можно повысить уровень
информационной безопасности всего предприятия.
• Режим туннельной передачи:

▫ Преимущества: контроллер доступа пересылает все пакеты данных, обеспечивая безопасность

и упрощая централизованное управление и контроль.

▫ Недостатки: передачу сервисных данных также осуществляет контроллер доступа, что является
неэффективным и увеличивает нагрузку контроллера.

• Режим прямой передачи:

▫ Преимущества: пакеты сервисных данных не пересылаются через контроллер доступа, что

повышает эффективность передачи пакетов и снижает нагрузку контроллера.

▫ Недостатки: сложно реализовать централизованное управление и контроль сервисных данных.

• Команда: option code [ sub-option sub-code ] { ascii ascii-string | hex hex-string | cipher cipher-string | ip-
address ip-address }

▫ code: код определяемой пользователем опции. Значением может быть целое число в диапазоне
от 1 до 254, за исключением значений 1, 3, 6, 15, 44, 46, 50, 51, 52, 53, 54, 55, 57, 58, 59, 61, 82,
121 и 184.

▫ sub-option sub-code: код определяемой пользователем подопции. Значением может быть

целое число в диапазоне от 1 до 254. Для получения более подробной информации см. RFC
2132.

▫ ascii | hex | cipher: формат кода определяемой пользователем опции: строка символов ASCII,
строка шестнадцатеричных символов или строка символов зашифрованного текста.

▫ ip-address ip-address: код определяемой пользователем опции в виде IP-адреса.

• Команда: regulatory-domain-profile name profile-name

▫ name profile-name: имя профиля регулирующего домена. Значение представляет собой строку
длиной от 1 до 35 символов без учета регистра. Значение не может содержать вопросительные
знаки (?) и пробелы, а также не может начинаться или заканчиваться двойными кавычками (").
• Команда: country-code country-code

▫ country-code: код страны. В качестве значения используется строка символов перечислимого

типа.

▫ Контроллер доступа поддерживает следующие коды стран:

▪ CN (значение по умолчанию): Китай

▪ AU: Австралия

▪ CA: Канада

▪ DE: Германия

▪ FR: Франция

▪ US: США

▪ ...
• Команда: ap-group name group-name

▫ name group-name: имя группы AP. В качестве значения используется строка длиной от 1 до 35
символов. Значение не может содержать вопросительные знаки (?), слеши (/) и пробелы, а
также не может начинаться или заканчиваться двойными кавычками (").
• Команда: ap-id ap-id [ [ type-id type-id | ap-type ap-type ] { ap-mac ap-mac | ap-sn ap-sn | ap-mac ap-mac
ap-sn ap-sn } ]

▫ ap-id: идентификатор точки доступа. Значением может быть целое число в диапазоне от 0 до
8191.

▫ type-id: идентификатор типа точки доступа. Значением может быть целое число в диапазоне от
0 до 255.

▫ ap-type: тип точки доступа. В качестве значения используется строка длиной от 1 до 31

символов.

▫ ap-mac: MAC-адрес точки доступа. Значение имеет формат H-H-H, где H — четырехзначное
шестнадцатеричное число.

▫ ap-sn: серийный номер точки доступа. В качестве значения используется строка длиной от 1 до
31 символов, включающих только буквы и цифры.
• Команда: radio radio-id

▫ radio-id: идентификатор радиомодуля. Идентификатор радиомодуля должен существовать.

• Команды:

▫ channel { 20mhz | 40mhz-minus | 40mhz-plus | 80mhz | 160mhz } channel

▫ channel 80+80mhz channel1 channel2

▫ 20mhz: рабочая полоса пропускания радиомодуля 20 МГц.

▫ 40mhz-minus: рабочая полоса пропускания радиомодуля на уровне минус 40 МГц.

▫ 40mhz-plus: рабочая полоса пропускания радиомодуля на уровне плюс 40 МГц.

▫ 80mhz: рабочая полоса пропускания радиомодуля 80 МГц.

▫ 160mhz: рабочая полоса пропускания радиомодуля 160 МГц.

▫ 80+80mhz: рабочая полоса пропускания радиомодуля 80+80 МГц.

▫ channel/channel1/channel2: рабочий канал радиомодуля. Канал выбирается на основе кода

страны и режима радиосвязи. Это параметр нумерованного типа. Диапазон значений
определяется в соответствии с кодом страны и режимом радиосвязи.

• Команда: antenna-gain antenna-gain

▫ antenna-gain: усиление антенны. Значением может быть целое число в диапазоне от 0 до 30 дБ.
• Команда: eirp eirp

▫ eirp: мощность передачи. Значением может быть целое число в диапазоне от 1 до 127 дБм.

• Команда: coverage distance distance

▫ distance: дальность покрытия радиосети. Каждое расстояние соответствует группе параметров

передачи, ожидания и приема (slottime, acktimeout и ctstimeout). Дальность радиопокрытия
можно сконфигурировать на основе расстояния между точками доступа. В этом случае точки
доступа будут автоматически настраивать значения slottime, acktimeout и ctstimeout. Значением
может быть целое число в диапазоне от 1 до 400 метров с шагом 100.

• Команда: frequency { 2.4g | 5g }

▫ По умолчанию радиомодуль 0 работает в частотном диапазоне 2,4 ГГц, а радиомодуль 2 — в

частотном диапазоне 5 ГГц.
• Команда: radio-2g-profile name profile-name

▫ name profile-name: имя профиля радиосвязи 2G. Значение представляет собой строку длиной от
1 до 35 символов без учета регистра. Значение не может содержать вопросительные знаки (?) и
пробелы, а также не может начинаться или заканчиваться двойными кавычками (").

▫ По умолчанию система предоставляет профиль радиосвязи 2G с именем default.

• Команда: radio-2g-profile profile-name radio { radio-id | all }

▫ profile-name: имя профиля радиосвязи 2G. Профиль радиосвязи 2G должен существовать.

▫ radio radio-id: идентификатор радиомодуля. Значением может быть целое число 0 или 2.

▫ radio all: все радиомодули.

• Команда: ssid ssid

▫ ssid: значение SSID. Значение представляет собой строку длиной от 1 до 32 символов с учетом
регистра. Поддерживаются китайские символы или китайские и английские символы, кроме
символов табуляции.

▫ Чтобы начать SSID с пробела, необходимо заключить SSID в двойные кавычки ("), например "
hello". Двойные кавычки считаются двумя символами. Чтобы начать SSID с двойных кавычек,
нужно добавить обратный слеш (\) перед двойными кавычками, например, \"hello. Обратный
слеш считается одним символом.
• Команда: display vap { ap-group ap-group-name | { ap-name ap-name | ap-id ap-id } [ radio radio-id ] } [
ssid ssid ]

▫ ap-group-name: информация обо всех сервисных VAP в указанной группе AP. Группа AP должна
существовать.

▫ ap-name: информация о сервисных VAP на AP с определенным именем. Имя AP должно

существовать.

▫ ap-id: информация о сервисных VAP на AP с определенным идентификатором. Идентификатор

AP должен существовать.

▫ radio-id: информация о сервисных VAP определенного радиомодуля. Значением может быть

целое число в диапазоне от 0 до 2.

▫ ssid: информация о сервисных VAP определенного SSID. SSID должен существовать.

• Команда: display vap { all | ssid ssid }

▫ all: информация обо всех сервисных VAP.

• Требования к сервисам

▫ Предприятию необходимо организовать пользователям доступ в Интернет через WLAN для

работы мобильного офиса.
• Требования к сети
▫ Режим подключения к сети контроллера доступа: сеть уровня 2 в режиме «off-path»
▫ Режим развертывания DHCP:

▪ AC выполняет функции DHCP-сервера, который назначает IP-адреса точкам доступа.

▪ Коммутатор агрегации S2 выполняет функции DHCP-сервера, который назначает IP-

адреса STA.
▫ Режим передачи сервисных данных: туннельная передача

• План конфигурирования

▫ Настройте сетевое соединение между контроллером доступа, точками доступа и другими

сетевыми устройствами.
▫ Сконфигурируйте параметры точек доступа для выхода в сеть.

▪ Создайте группу точек доступа и добавьте точки доступа, которым требуется такая же
конфигурация, в группу для унифицированного конфигурирования.

▪ Настройте системные параметры контроллера доступа, включая код страны и

интерфейс-источник, используемый контроллером для связи с точками доступа.

▪ Настройте режим аутентификации для выхода точек доступа в сеть и импортируйте точки
доступа в автономном режиме.
▫ Настройте параметры сервисов WLAN для доступа STA к WLAN.
• 1. Создайте сети VLAN и интерфейсы на S1, S2 и AC.

▫ Конфигурация S1:

[S1] vlan batch 100

[S1] interface gigabitethernet 0/0/1

[S1-GigabitEthernet0/0/1] port link-type trunk

[S1-GigabitEthernet0/0/1] port trunk pvid vlan 100

[S1-GigabitEthernet0/0/1] port trunk allow-pass vlan 100

[S1-GigabitEthernet0/0/1] quit

[S1] interface gigabitethernet 0/0/2

[S1-GigabitEthernet0/0/2] port link-type trunk

[S1-GigabitEthernet0/0/2] port trunk allow-pass vlan 100

[S1-GigabitEthernet0/0/2] quit
▫ Конфигурация S2:

[S2] vlan batch 100 101

[S2] interface gigabitethernet 0/0/1

[S2-GigabitEthernet0/0/1] port link-type trunk

[S2-GigabitEthernet0/0/1] port trunk allow-pass vlan 100

[S2-GigabitEthernet0/0/1] quit

[S2] interface gigabitethernet 0/0/2

[S2-GigabitEthernet0/0/2] port link-type trunk

[S2-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101

[S2-GigabitEthernet0/0/2] quit

[S2] interface gigabitethernet 0/0/3

[S2-GigabitEthernet0/0/3] port link-type trunk

[S2-GigabitEthernet0/0/3] port trunk allow-pass vlan 101

[S2-GigabitEthernet0/0/3] quit

▫ Конфигурация AC:

[AC] vlan batch 100 101

[AC] interface gigabitethernet 0/0/1

[AC-GigabitEthernet0/0/1] port link-type trunk

[AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101

[AC-GigabitEthernet0/0/1] quit
• Импортируйте AP в автономном режиме в AC.

▫ Добавьте AP в группу AP с именем ap-group1. Допустим, что точка доступа имеет MAC-адрес
60de-4476-e360. Сконфигурируйте имя для AP на основании места ее развертывания, чтобы по
имени можно было узнать, где AP развернута. Например, назовите AP area_1, если она
развернута в зоне 1.
• Описание результатов выполнения команды display ap, выведенных на экран:
▫ ID: идентификатор точки доступа.
▫ MAC: MAC-адрес точки доступа.
▫ Name: имя точки доступа.
▫ Group: имя группы, к которой относится точка доступа.
▫ IP: IP-адрес точки доступа. В сценариях NAT точки доступа находятся в частной сети, а
контроллер доступа — в сети общего пользования. Это значение является IP-адресом точки
доступа в частной сети. Чтобы проверить IP-адрес точки доступа в сети общего пользования,
выполните команду display ap run-info.
▫ Type: тип точки доступа.
▫ State: статус точки доступа.
▪ normal: точка доступа вышла в сеть на контроллере доступа и работает исправно.
▪ commit-failed: после выхода в сеть на контроллере доступа точка доступа не может
получить сервисные конфигурации WLAN.
▪ download: точка доступа находится в процессе обновления.
▪ fault: точка доступа не может подключиться к сети.
▪ idle: точка доступа находится в процессе инициализации перед установлением
соединения между ней и контроллером доступа в первый раз.
▫ STA: количество STA, подключенных к точке доступа.
▫ Uptime: продолжительность работы точки доступа в сети.
▫ ExtraInfo: дополнительная информация. Значение P указывает на недостаточное питание точки
доступа.
• Описание результатов выполнения команды display vap, выведенных на экран:

▫ AP ID: идентификатор точки доступа.

▫ AP name: имя точки доступа.

▫ RfID: идентификатор радиомодуля.

▫ WID: идентификатор VAP.

▫ SSID: имя SSID.

▫ BSSID: MAC-адрес VAP.

▫ Status: текущий статус VAP.

▪ ON: служба VAP включена.

▪ OFF: служба VAP отключена.

▫ Auth type: режим аутентификации VAP.

▫ STA: количество STA, подключенных к VAP.

• Wi-Fi 5 не может удовлетворить требования к низкой задержке и высокой пропускной способности
сервисов видеоконференцсвязи 4K/8K.

• С помощью решения интеллектуального ускорения работы приложений Huawei SmartRadio сеть Wi-Fi
6 обеспечивает задержку всего в 10 мс.
• В настоящее время теоретическая скорость всех продуктов Wi-Fi 5 (Wave 2) составляет 2,5 Гбит/с, а
продуктов Wi-Fi 6 — 9,6 Гбит/с. Таким образом, Wi-Fi 6 позволяет увеличить скорость в четыре раза по
сравнению с Wi-Fi 5.

• Wi-Fi 6 обеспечивает 4-кратное увеличение количества пользователей, одновременно получающих

доступ к сети, по сравнению с Wi-Fi 5. Тестирование в реальных условиях показало, что при
пропускной способности на одного пользователя 2 Мбит/с Wi-Fi 5 поддерживает одновременное
подключение 100 пользователей, а Wi-Fi 6 — 400 пользователей.

• Средняя задержка, поддерживаемая Wi-Fi 5, составляет около 30 мс, а Wi-Fi 6 — около 20 мс.
Технология интеллектуального ускорения работы приложений Huawei SmartRadio позволяет еще
больше снизить задержку обслуживания — до 10 мс.

• Wi-Fi 5 не поддерживает TWT.

• Недостатки традиционных сетевых решений:

▫ Традиционные сетевые решения имеют множество проблем с развертыванием сети, включая

высокие затраты на развертывание и трудности с эксплуатацией и техобслуживанием. Эти
проблемы особенно актуальны на предприятиях, имеющих множество филиалов или филиалы,
которые расположены географически далеко друг от друга.

• Архитектура облачного управления:

▫ Архитектура облачного управления позволяет решить проблемы, с которыми сталкиваются

традиционные сетевые решения. Платформа облачного управления обеспечивает возможности
централизованного управления и технического обслуживания устройств в любом месте,
значительно сокращая затраты на развертывание сети и O&M.

▫ После развертывания облачной точки доступа сетевому администратору не нужно выезжать на

объект для настройки ее программного обеспечения. После включения облачная точка доступа
автоматически подключается к соответствующей платформе облачного управления для
загрузки системных файлов, включая файлы конфигурации, пакеты программного обеспечения
и патчи обновлений. Таким образом, облачная точка доступа является полностью
автоматически настраиваемой для выхода в сеть. Сетевой администратор может загружать
конфигурации в облачные точки доступа через платформу управления облаком в любое время
и в любом месте, что упрощает настройку пакетных сервисов.
1. Ответ:

▫ Преимущества сети с подключением In-Path: в сети с подключением In-Path, как правило,

используется прямая передача. Этот сетевой режим упрощает архитектуру сети и подходит для
крупномасштабных сетей WLAN с централизованным управлением.

▫ Преимущества сети с подключением Off-Path: сеть с подключением Off-Path является наиболее

распространенной. Сервисным данным пользователей беспроводной связи не требуется
обработка в контроллере доступа, что решает проблему нехватки пропускной способности и
упрощает использование существующих политик безопасности. Поэтому рекомендуется
использовать этот режим при организации сети.

2. ABD
• Основные различия между WAN и LAN заключаются в следующем:

▫ LAN обеспечивает широкую полосу пропускания, но поддерживает только короткое расстояние

передачи, что не может удовлетворить требования глобальной сети передачи данных на
большие расстояния.

▫ Устройства LAN обычно являются коммутаторами, тогда как устройства WAN — это, в
основном, маршрутизаторы.

▫ LAN принадлежит учреждению или организации, тогда как большинство услуг WAN
предоставляется интернет-провайдерами.

▫ В глобальных и локальных сетях обычно используются разные протоколы или технологии

только на физическом уровне и уровне канала передачи данных. На остальных уровнях
заметных отличий нет.

▫ Частные сети банков, государственных учреждений, военных и крупных компаний также

являются глобальными сетями и физически изолированы от Интернета.

▫ Интернет — это разновидность WAN. Малые предприятия используют Интернет как соединение
WAN.
• На начальном этапе общие стандарты физического уровня WAN включают стандарты интерфейса
EIA/TIA-232 (RS-232), сформулированные Альянсом электронной индустрии (EIA) и Ассоциацией
телекоммуникационной индустрии (TIA), стандарты последовательных интерфейсов V.24 и V.35,
сформулированные Международным союзом электросвязи (МСЭ), и стандарты G.703, относящиеся к
физическим и электрическим характеристикам различных цифровых интерфейсов.

• Общие стандарты уровня канала передачи данных WAN включают управление каналом передачи
данных высокого уровня (HDLC), PPP, FR и ATM.

▫ HDLC — это универсальный протокол, работающий на уровне канала передачи данных. Пакеты
данных инкапсулируются в кадры HDLC с добавлением заголовка и хвоста. Кадры HDLC могут
передаваться только по синхронным каналам P2P и не поддерживают согласование IP-адресов
и аутентификацию. HDLC стремится к высокой надежности за счет большого объема служебной
информации, что приводит к низкой эффективности передачи.

▫ PPP работает на уровне канала данных для передачи данных P2P по полнодуплексным
синхронным и асинхронным каналам. PPP является широко распространенным протоколом,
поскольку он обеспечивает аутентификацию пользователей, поддерживает синхронную и
асинхронную связь и легко расширяется.

▫ FR — это стандартный протокол передачи данных по коммутируемому каналу. Для ускорения

передачи данных используется специальный механизм проверки ошибок.

▫ Сети ATM — это сети с трансляцией ячеек (cell-relay), сети с установлением соединения
(connection-oriented), а также коммутируемые сети.
• Соединение PPP может быть установлено после прохождения этапов установления соединения,
аутентификации и согласования параметров сетевого уровня. Подробная информация:
1. Два взаимодействующих устройства находятся на этапе Установления соединения (Establish).
2. На этапе Установления соединения выполняется согласование LCP для согласования MRU,
режима аутентификации, системного кода против зацикливания и других параметров. Если
согласование выполнено успешно, выполняется переход на этап Открыт (Opened), указывая на
то, что канал нижнего уровня установлен.
3. Если аутентификация настроена, устройства переходят на этап Аутентификации (Authenticate).
В противном случае устройства сразу переходят на этап Сеть (Network).
4. На этапе Аутентификации выполняется аутентификация в зависимости от того, какой режим
был согласован на этапе Установления соединения. Доступны два режима аутентификации:
PAP и CHAP. Если аутентификация прошла успешно, устройства переходят на этап Сеть. В
противном случае устройства перейдут в состояние Терминирования (Terminate), разорвут
соединение и установят для статуса LCP значение Отключен (Down).
5. На этапе Сеть согласование NCP выполняется на канале PPP для выбора и настройки
протокола сетевого уровня и согласования параметров сетевого уровня. Наиболее
распространенным протоколом является IPCP, который используется для согласования
параметров IP.
6. Если на этапе Терминирования высвобождаются все ресурсы, два взаимодействующих
устройства переходят в состояние Отключен (Dead).
• Во время работы PPP соединение PPP может быть прервано в любой момент. Отключение
физического канала, сбой аутентификации, истечение таймера таймаута и прерывание соединения
администратором в процессе настройки могут привести к переходу PPP-соединения в состояние
Терминирования.
• Формат кадра PPP:

▫ Поле Flag (Флаг) определяет начало и конец физического кадра и представляет собой
двоичную последовательность 01111110 (0X7E).

▫ Поле Adress (Адрес) в кадре PPP представляет широковещательный адрес и имеет

фиксированное значение 11111111 (0XFF).

▫ Поле Control (Управление) кадра данных PPP по умолчанию имеет значение 00000011 (0X03),
что указывает на то, что кадр является неупорядоченным.

▫ Поле FCS — это 16-битная контрольная сумма, используемая для проверки целостности кадров
PPP.

▫ В поле Protocol (Протокол) указывается тип пакетов протокола, инкапсулированных с

использованием PPP. 0XC021, 0XC023 и 0XC223 означают пакеты LCP, PAP и CHAP
соответственно.

▫ В поле Information (Информация) указывается содержание протокола, определенного в поле

Protocol. Максимальная длина этого поля называется MRU. Значение по умолчанию — 1500
байт.

▫ Если поле Protocol имеет значение 0XC021, структура поля Information выглядит следующим
образом:

▪ Поле Identifier (Идентификатор) состоит из одного байта и используется для

сопоставления запросов и ответов.

▪ Поле Length (Длина) указывает общее количество байтов в пакете LCP.

▪ Поле Data (Данные) содержит различные параметры TLV для согласования вариантов
конфигурации, включая MRU, протокол аутентификации и т.п.
• Общие параметры конфигурации, передаваемые в пакетах LCP, включают MRU, протокол
аутентификации и системный код против зацикливания (magic number).

▫ На универсальной платформе маршрутизации (VRP) MRU представлен максимальной

единицей передачи (MTU), сконфигурированной на интерфейсе.

▫ Общими протоколами аутентификации PPP являются PAP и CHAP. На концах канала PPP могут
использоваться различные протоколы для аутентификации друг друга. Однако
аутентифицируемая сторона должна поддерживать протокол аутентификации, который требует
аутентифицирующая сторона, и ее аутентификационные данные, например имя пользователя и
пароль, должны быть правильно сконфигурированы.

▫ LCP использует системные коды против зацикливания для обнаружения петель каналов и
других исключений. Системный код против зацикливания — это случайное число. Механизм
случайного выбора должен гарантировать, что вероятность генерирования одного и того же
системного кода против зацикливания на обоих концах равна нулю.
• R1 и R2 подключены через последовательный канал и работают по протоколу PPP. После того, как
физический канал становится доступным, R1 и R2 используют LCP для согласования параметров
канала.

• В этом примере R1 отправляет пакет Configure-Request, который содержит параметры канального

уровня, настроенные на R1. После получения пакета Configure-Request R2 возвращает пакет
Configure-Ack на R1, если R2 идентифицирует и принимает все параметры в пакете. R2 также
отправляет пакет Configure-Request на R1, и R1 проверяет, являются ли параметры на R2
соответствующими.

• Если R1 не получает пакетов Configure-Ack, он будет передавать пакет Configure-Request каждые 3

секунды. Если R1 не получает ни одного пакета Configure-Ack после отправки 10 последовательных
пакетов Configure-Request, он считает, что одноранговый узел недоступен, и прекращает отправку
пакетов Configure-Request.
• Маршрутизатор R2 получает пакет Configure-Request от R1, далее, если R2 может идентифицировать
все параметры канального уровня, передаваемые в пакете, но считает, что некоторые или все
значения параметров недопустимы (согласование значений параметров не выполняется), R2
отправляет пакет Configure-Nak на R1.

• Пакет Configure-Nak содержит только несоответствующие параметры канального уровня, значения

(или диапазоны значений) которых изменены на те, которые могут быть приняты маршрутизатором
R2.

• После получения пакета Configure-Nak маршрутизатор R1 повторно выбирает другие локально

настроенные параметры в соответствии с параметрами канального уровня в пакете и повторно
отправляет пакет Configure-Request.
• После получения пакета Configure-Request от R1 маршрутизатор R2 отправляет пакет Configure-Reject
на R1, если R2 не может идентифицировать некоторые или все параметры канального уровня,
которые находятся в пакете. Пакет Configure-Reject содержит только параметры канального уровня,
которые не могут быть идентифицированы.

• После получения пакета Configure-Reject R1 повторно отправляет пакет Configure-Request на R2. Этот
пакет содержит только те параметры, которые могут быть идентифицированы R2.
• После завершения согласования LCP аутентификатор требует, чтобы одноранговый узел использовал
PAP для аутентификации.

• PAP — это протокол аутентификации с двусторонним подтверждением связи (рукопожатием). Пароль

передается по каналу открытым текстом. Процесс заключается в следующем:

▫ Одноранговый узел отправляет настроенное имя пользователя и пароль аутентификатору в

виде открытого текста в пакете Authenticate-Request.

▫ После получения имени пользователя и пароля от однорангового узла аутентификатор

проверяет, совпадают ли имя пользователя и пароль с данными в локально настроенной базе
данных. Если они совпадают, аутентификатор передает пакет Authenticate-Ack, указывающий,
что аутентификация прошла успешно. Если не совпадают, аутентификатор передает пакет
Authenticate-Nak, указывающий на сбой аутентификации.
• После завершения согласования LCP, аутентификатор требует, чтобы одноранговый узел
использовал CHAP для аутентификации.
• Для аутентификации CHAP требуется три обмена пакетами. Процесс заключается в следующем:
▫ Аутентификатор инициирует запрос аутентификации и отправляет партнеру на одноранговый
узел пакет Challenge. Пакет Challenge содержит случайное число и идентификатор.
▫ После получения пакета Challenge одноранговый узел выполняет расчет шифрования с
использованием формулы MD5 {ID + случайное число + пароль}. Формула означает, что
аутентификатор объединяет идентификатор, случайное число и пароль в символьную строку и
выполняет операцию MD5 над символьной строкой, чтобы получить 16-байтовый дайджест.
Затем одноранговый узел инкапсулирует дайджест и имя пользователя CHAP, настроенное на
интерфейсе, в пакет Response и отправляет пакет Response аутентификатору.
▫ После получения пакета Response аутентификатор выполняет локальный поиск пароля,
соответствующего имени пользователя в пакете Response. После получения пароля
аутентификатор шифрует пароль, используя ту же формулу, что и одноранговый узел. Затем
аутентификатор сравнивает дайджест, полученный посредством шифрования, с дайджестом в
пакете Response. Если они совпадают, аутентификация выполняется. Если не совпадают,
аутентификация не выполняется.
• При аутентификации CHAP пароль однорангового узла перед передачей зашифровывается, что
значительно повышает безопасность.
• Уведомления об алгоритмах шифрования
▫ Алгоритм шифрования MD5 (сценарий цифровой подписи и шифрование пароля) имеет риски
для безопасности. Рекомендуется использовать более безопасные алгоритмы шифрования,
такие как AES, RSA (2048 бит или выше), SHA2 и HMAC-SHA2.
• NCP используется для установления и настройки протоколов различных сетевых уровней и
согласования формата и типа пакетов данных, передаваемых по каналу.

IPCP — это обычно используемый NCP.

• Процесс согласования статического IP-адреса заключается в следующем:

▫ Каждая сторона отправляет пакет Configure-Request, содержащий локально настроенный IP-

адрес.

▫ После получения пакета от однорангового узла локальный узел проверяет IP-адрес в пакете.
Если IP-адрес является допустимым индивидуальным IP-адресом и отличается от локально
настроенного IP-адреса (нет конфликта IP-адресов), локальный узел считает, что одноранговый
узел может использовать этот адрес, и отвечает пакетом Configure-Ack.
• Процесс согласования динамического IP-адреса заключается в следующем:

▫ Маршрутизатор R1 отправляет пакет Configure-Request на R2. Пакет содержит IP-адрес 0.0.0.0,

что означает, что R1 запрашивает IP-адрес у маршрутизатора R2.

▫ После получения пакета Configure-Request маршрутизатор R2 считает IP-адрес 0.0.0.0

недействительным и отвечает пакетом Configure-Nak с новым IP-адресом 10.1.1.1.

▫ После получения пакета Configure-Nak маршрутизатор R1 обновляет свой локальный IP-адрес и

повторно отправляет пакет Configure-Request с новым IP-адресом 10.1.1.1.

▫ После получения пакета Configure-Request маршрутизатор R2 считает IP-адрес, содержащийся

в пакете, действительным и отправляет пакет Configure-Ack.

▫ R2 также отправляет пакет Configure-Request на маршрутизатор R1, чтобы запросить IP-адрес

10.1.1.2. R1 считает этот IP-адрес действительным и отвечает пакетом Configure-Ack.
• Операторы связи собираются подключить несколько хостов на сайте к устройству
удаленного доступа, которое осуществляет контроль доступа и учет для этих хостов
по аналогии с коммутируемым доступом. Ethernet — самое экономичное решение
среди всех технологий доступа, которые позволяют соединить несколько хостов с
устройством доступа. PPP предоставляет отличные возможности контроля доступа
и учета. Поэтому для передачи пакетов PPP по Ethernet был введен протокол
PPPoE.

• PPPoE использует Ethernet для подключения большого количества хостов к

Интернету через устройство удаленного доступа и использует PPP для управления
каждым хостом. PPPoE применяется в различных сценариях и обеспечивает
высокую безопасность и удобный учет.
• Пакеты PPPoE инкапсулируются в кадры Ethernet. Описание полей кадра Ethernet:

• DMAC указывает MAC-адрес устройства назначения, который обычно является индивидуальным или
широковещательным адресом Ethernet (0xFFFFFFFF).

• SMAC указывает MAC-адрес исходного устройства.

• Eth-Type указывает тип протокола. Значение 0x8863 указывает, что передаются пакеты обнаружения
PPPoE. Значение 0x8864 указывает, что передаются пакеты сеанса PPPoE.

• Описание полей пакета PPPoE:

▫ VER: версия PPPoE. Значение 0x01.

▫ Type: тип PPPoE. Значение 0x01.

▫ Code: тип пакета PPPoE. Разные значения указывают разные типы пакетов PPPoE.

▫ Session ID: идентификатор сеанса PPPoE. Это поле определяет сеанс PPPoE вместе с полями
Ethernet SMAC и DMAC.

▫ Length: длина пакета PPPoE.

1. Клиент PPPoE передает пакет PADI, содержащий необходимые сервисные данные, по локальному
Ethernet.
▫ MAC-адрес назначения пакета PADI является широковещательным адресом, в поле Code
установлено значение 0x09, а в поле Session ID установлено значение 0x0000.
▫ После получения пакета PADI все серверы PPPoE сравнивают запрошенные сервисы с
сервисами, которые они могут предоставить.
2. Если сервер может предоставить запрошенную услугу, он отправляет пакет PADO.
▫ Адрес назначения пакета PADO — это MAC-адрес клиента, который отправляет пакет PADI. В
поле Code установлено значение 0x07, а в поле Session ID установлено значение 0x0000.
3. Клиент PPPoE может получать несколько пакетов PADO. В этом случае клиент PPPoE выбирает
сервер PPPoE, от которого клиент сначала принимает пакет PADO, и отправляет пакет PADR на
сервер PPPoE.
▫ Адрес назначения пакета PADR — это MAC-адрес выбранного сервера, в поле Code
установлено значение 0x19, а в поле Session ID установлено значение 0x0000.
4. После получения пакета PADR сервер PPPoE генерирует уникальный идентификатор сеанса, чтобы
идентифицировать сеанс с клиентом PPPoE, и отправляет пакет PADS.
▫ Адрес назначения пакета PADS — это MAC-адрес клиента PPPoE, в поле Code установлено
значение 0x65, а в поле Session ID установлен уникальный идентификатор сеанса.
• После того, как сеанс PPPoE установлен, клиент и сервер PPPoE переходят к этапу сеанса PPPoE.
• На этапе сеанса PPPoE выполняется согласование PPP и передача пакетов PPP.

• Согласование PPP на этапе сеанса PPPoE аналогично обычному согласованию PPP, которое
включает этапы согласования LCP, аутентификации и NCP.

▫ На этапе LCP сервер PPPoE и клиент PPPoE устанавливают и настраивают канал передачи
данных, а также проверяют состояние канала передачи данных.

▫ После успешного согласования LCP начинается аутентификация. Тип протокола

аутентификации определяется результатом согласования LCP.

▫ После аутентификации PPP переходит на этап согласования NCP. NCP — это набор
протоколов, используемый для настройки различных протоколов сетевого уровня. Обычно
используется протокол сетевого уровня IPCP, который отвечает за настройку IP-адресов для
пользователей и серверов доменных имен (DNS).

• После успешного согласования PPP пакеты данных PPP могут пересылаться по установленному
каналу PPP. Пакеты данных, передаваемые на этом этапе, должны содержать идентификатор сеанса,
определенный на этапе обнаружения, а идентификатор сеанса должен оставаться неизменным.
• В пакете PADT MAC-адрес назначения является индивидуальным адресом, а идентификатор сеанса
— ID сеанса, который будет закрыт. После получения пакета PADT, сеанс закрывается.
• Настройка клиента PPPoE включает три этапа:

• Этап 1: настройте интерфейс номеронабирателя.

▫ Команда dialer-rule отображает режим правила номеронабирателя. В этом режиме можно

сконфигурировать условия для инициирования сеанса PPPoE.

▫ Команда interface dialer number создает интерфейс номеронабирателя и отображает режим

интерфейса номеронабирателя.

▫ Команда dialer user user-name конфигурирует имя пользователя для однорангового узла. Это
имя пользователя должно быть таким же, как имя пользователя PPP на одноранговом сервере.

▫ Команда dialer-group group-number добавляет интерфейс в группу номеронабирателя.

▫ Команда dialer bundle number определяет пакет номеронабирателя для интерфейса

номеронабирателя. Устройство связывает физический интерфейс с интерфейсом
номеронабирателя через пакет номеронабирателя.

• Примечание: убедитесь, что параметр group-number в команде dialer-group совпадает с параметром

dialer-rule-number в команде dialer-rule.
• Этап 2: привяжите пакет номеронабирателя к физическому интерфейсу.

▫ Команда pppoe-client dial-bundle-number number позволяет привязать пакет

номеронабирателя к физическому интерфейсу и определить пакет номеронабирателя для
сеанса PPPoE. Номер определяет номер пакета номеронабирателя, соответствующего сеансу
PPPoE.

• Этап 3: настройте статический маршрут по умолчанию. Этот маршрут позволяет трафику, который не
соответствует ни одной записи в таблице маршрутизации, инициировать сеанс PPPoE через
интерфейс номеронабирателя.
• Конфигурации сервера PPPoE

▫ Команда interface virtual-template создает интерфейс виртуального шаблона или отображает

режим существующего интерфейса виртуального шаблона.

▫ Команда pppoe-server bind привязывает интерфейс к интерфейсу виртуального шаблона для

доступа к PPPoE.
• Команда display interface dialer number отображает конфигурацию интерфейса
номеронабирателя. Вывод команды помогает локализовать неисправности
интерфейса номеронабирателя.

• LCP opened, IPCP opened означает, что канал работает правильно.

• Команда display pppoe-client session summary отображает статус сеанса PPPoE и
статистику клиента PPPoE.

▫ ID указывает ID сеанса PPPoE. Значения ID пакета и ID номеронабирателя

определяются сконфигурированными параметрами номеронабирателя.
▫ Intf указывает физический интерфейс, используемый для согласования на
клиенте PPPoE.

▫ State указывает статус сеанса PPPoE, который может иметь следующие

значения:
1. IDLE: текущий сеанс неактивен.
2. PADI: текущий сеанс находится на стадии обнаружения, пакет PADI
отправлен.

3. PADR: текущий сеанс находится на стадии обнаружения, пакет PADR

отправлен.
4. UP: текущий сеанс успешно настроен.
• SID используются для идентификации сегментов. Формат SID зависит от способа реализации
технологий. Например, SID могут быть метками MPLS, индексами в пространстве меток MPLS или
заголовками пакетов IPv6. SR, использующие метки MPLS, называют SR-MPLS, а использующие IPv6
— SRv6.
• После получения пакета принимающая сторона анализирует список сегментов. Если верхний SID в
списке сегментов идентифицирует локальный узел, узел удаляет SID и продолжает выполнять
следующие процедуры. Если верхний SID не идентифицирует локальный узел, узел пересылает пакет
следующему узлу в режиме многопутевой маршрутизации с равной стоимостью (ECMP).
• PCEP: протокол взаимодействия элементов расчета пути

• NETCONF: протокол конфигурации сети

1. ABDE

2. C

3. C
• Управление, эксплуатация и техобслуживание сети — это управление программным или аппаратным
обеспечением.

▫ Управление программным обеспечением: управление сетевыми приложениями, учетными

записями пользователей (например, учетными записями для использования файлов), а также
разрешениями на чтение и запись. Управление программным обеспечением в данном курсе не
рассматривается.

▫ Управление аппаратным обеспечением: управление сетевыми элементами (NE),

формирующими сеть, включая межсетевые экраны, коммутаторы, маршрутизаторы и другие
устройства. В данном курсе в основном описывается управление оборудованием.

• Как правило, в корпоративной сети есть специальный отдел или персонал, отвечающий за
управление, эксплуатацию и техническое обслуживание сети.

• Примечание:

▫ Сетевой элемент (NE) — это аппаратное устройство и программное обеспечение, работающее

на этом аппаратном устройстве. Сетевой элемент имеет по крайней мере одну главную плату
управления, которая управляет всем сетевым элементом и контролирует его. Программное
обеспечение NE запускается на главной плате управления.
• Традиционное управление сетью:

▫ Управление сетью через интернет-браузер: встроенный веб-сервер устройства предоставляет

графический интерфейс пользователя (GUI). Необходимо войти в систему, чтобы управлять
устройством с терминала по протоколу HTTPS.

▫ Режим командной строки: войти в систему можно через консольный порт, Telnet или SSH для
управления устройством и его обслуживания. Этот режим обеспечивает усовершенствованное
управление устройством, но требует, чтобы пользователи умели пользоваться командной
строкой.

▫ Централизованное управление на основе SNMP: простой протокол управления сетью (SNMP)

предоставляет метод управления сетевыми элементами (такими как маршрутизаторы и
коммутаторы) с помощью центрального компьютера (то есть станции управления сетью), на
котором работает программное обеспечение управления сетью. Этот режим обеспечивает
централизованное и унифицированное управление устройствами во всей сети, что значительно
повышает эффективность управления.

• Управление сетью на основе iMaster NCE:

▫ iMaster NCE — это платформа для внедрения искусственного интеллекта и автоматизации,

которая объединяет функции искусственного интеллекта (ИИ), анализа и управления.
Платформа предоставляет четыре ключевые функции: автоматически регулируемые процессы
в течение всего срока службы, интеллектуальное управление с обратной связью на основе
больших данных и искусственного интеллекта, экосистема приложений для конкретных
сценариев с возможностью открытого программирования и полностью облачная платформа со
сверхбольшой емкостью системы.

▫ iMaster NCE использует протоколы NETCONF и RESTCONF для доставки конфигурационных

данных устройствам, а также телеметрию для мониторинга сетевого трафика.
• Поскольку сети быстро расширяются, а приложения становятся более разнообразными, сетевые
администраторы сталкиваются со следующими проблемами:

▫ быстрый рост количества сетевых устройств увеличивает нагрузку на сетевых

администраторов. Кроме того, зоны покрытия сети постоянно расширяются, что затрудняет
мониторинг и обнаружение неисправностей сетевых устройств в реальном времени.

▫ сетевые устройства и интерфейсы управления (например, интерфейсы командной строки),

предоставляемые разными поставщиками, отличаются друг от друга, что усложняет управление
сетью.
• Три версии SNMP: SNMPv1, SNMPv2c и SNMPv3.

▫ В мае 1990 года RFC 1157 определил первую версию SNMP: SNMPv1. RFC 1157 обеспечивает
систематический метод мониторинга и управления сетями. SNMPv1 реализует аутентификацию
на основе имени сообщества, но не обеспечивает высокий уровень безопасности. Кроме того, в
пакетах SNMPv1 передается только несколько кодов ошибок.

▫ В 1996 году Инженерная группа Интернета (IETF) выпустила RFC 1901, в котором определен
протокол SNMPv2c. SNMPv2c обеспечивает усовершенствование стандартных кодов ошибок,
типов данных (Counter 64 и Counter 32) и операций, включая GetBulk и Inform.

▫ Однако уровень безопасности SNMPv2c по-прежнему остается низким, поэтому IETF

разрабатывает протокол SNMPv3. SNMPv3 обеспечивает шифрование и аутентификацию на
основе модуля безопасности пользователя (USM), а также модель управления доступом на
основе представления (VACM).
• NMS — это независимое устройство, на котором выполняются программы управления сетью.
Программы управления сетью предоставляют сетевым администраторам по меньшей мере один
интерфейс «человек-машина» для выполнения операций управления сетью. Взаимодействие с веб-
страницей — это обычный режим взаимодействия человека с машиной. То есть сетевой
администратор использует терминал с монитором для доступа к веб-странице, предоставляемой NMS,
по протоколам HTTP/HTTPS.
• MIB определяется независимо от протокола управления сетью. Поставщики устройств могут
интегрировать программное обеспечение агента SNMP в свои продукты (например, маршрутизаторы),
но они должны гарантировать, что после определения новых MIB такое программное обеспечение
будет отвечать соответствующим стандартам. Для управления маршрутизаторами, содержащими MIB
разных версий, можно использовать одно и то же программное обеспечение управления сетью. Но
программное обеспечение управления сетью не может управлять маршрутизатором, который не
поддерживает функцию MIB.

• Существуют публичные MIB и частные MIB.

▫ Публичные MIB: определены RFC и используются для разработки структуры общедоступных

протоколов и стандартизации интерфейсов. Большинство поставщиков должны предоставлять
SNMP-интерфейсы в соответствии со спецификациями, определенными в RFC.

▫ Частные MIB: являются дополнением к публичным MIB. Некоторые предприятия нуждаются в

разработке частных протоколов или специальных функций. Частные MIB и запускают SNMP-
интерфейс для управления такими протоколами или функциями. Они также помогают NMS,
предоставленной третьей стороной, управлять устройствами. Например, объект MIB Huawei —
1.3.6.1.4.1.2011.
• Максимальные права доступа объекта MIB указывают операции, которые NMS может выполнять на
устройстве через объект MIB.

▫ not-accessible: операции не могут быть выполнены.

▫ read-only: чтение информации.

▫ read-write: чтение информации и изменение конфигурации.

▫ read-create: чтение информации, изменение конфигурации, добавление конфигурации и

удаление конфигурации.

• При создании ловушки устройство сообщает тип текущей ловушки вместе с некоторыми переменными.
Например, при отправке ловушки linkDown устройство также отправляет такие переменные, как индекс
интерфейса и текущее состояние конфигурации задействованного интерфейса.

▫ ifIndex: индекс интерфейса (номер)

▫ ifAdminStatus: административное состояние, то есть, выключен ли интерфейс. 1 — интерфейс

не выключен, а 2 — интерфейс выключен.

▫ ifOperStasuts: текущее рабочее состояние интерфейса, то есть статус протокола канального

уровня интерфейса. Значение 1 означает состояние Up, 2 — Down.

▫ ifDesc: описание интерфейса

• SNMPv1 определяет пять операций протокола.

▫ Get-Request: NMS извлекает одно или несколько значений параметров из MIB процесса агента
на управляемом устройстве.

▫ Get-Next-Request: NMS получает значение следующего параметра из MIB процесса агента в

лексикографическом порядке.

▫ Set-Request: NMS устанавливает одно или несколько значений параметров в MIB процесса
агента.

▫ Response: процесс агента возвращает одно или несколько значений параметров. Это ответ на
три предыдущих операции.

▫ Trap: процесс агента отправляет сообщения в NMS, чтобы уведомить NMS о критических или
значительных событиях.
• SNMPv2c поддерживает следующие операции:

▫ GetBulk: эквивалентная нескольким операциям GetNext. Количество операций GetNext, которые

будут включены в одну операцию GetBulk, можно настроить.

▫ Inform: управляемое устройство заранее отправляет ловушки в NMS. В отличие от операции

trap, операция inform требует подтверждения. Управляемое устройство отправляет сообщение
InformRequest в NMS. После этого NMS возвращает сообщение InformResponse. Если
управляемое устройство не получает сообщение подтверждения, оно временно сохраняет
ловушку в буфере Inform и повторно отправляет ловушку до тех пор, пока NMS не получит
ловушку или количество повторных передач не достигнет максимального порогового значения.
• SNMPv3 поддерживает идентификацию и шифрование.

▫ Аутентификация личных данных: процесс, в котором процесс агента (или NMS) подтверждает
получение сообщения от авторизованного NMS (или процесса агента) и факт изменения
сообщения во время передачи.

▫ Шифрование: в сообщения SNMPv3 добавляются поля данных заголовка и параметров

безопасности. Например, когда процесс управления отправляет сообщение SNMPv3 Get-
Request, содержащее параметры безопасности, такие как имя пользователя, ключ и параметры
шифрования, процесс агента также использует зашифрованное сообщение для ответа на
сообщение Get-Request. Этот механизм безопасного шифрования особенно часто применяется
в сценарии, в котором данные должны передаваться через общедоступную сеть между
процессом управления и процессом агента.
• Один зеттабайт (сокращенно ЗБ) равен 1012 ГБ.
• Платформа iMaster NCE предоставляет следующие возможности:

▫ Автоматизация в течение всего срока службы: iMaster NCE предоставляет автоматически

регулируемые процессы нескольких сетевых технологий и доменов на основе
унифицированного моделирования ресурсов и совместного использования данных,
обеспечивает автоматическую настройку устройств, моментальную доступность сети после
миграции, предоставление услуг по требованию, автоматическое устранение неисправностей и
предупреждение о рисках.

▫ Интеллектуальное управление с обратной связью на основе больших данных и искусственного

интеллекта: iMaster NCE создает полностью интеллектуальную систему с обратной связью,
основанную на механизме намерений, механизмах автоматизации, аналитики и
интеллектуальных системах. Для сбора и агрегирования огромных объемов данных
используется телеметрия. Это позволяет определять состояние сети в режиме реального
времени. iMaster NCE предоставляет средства сетевого анализа и аналитики на основе
больших данных с помощью унифицированного моделирования данных. Платформа iMaster
NCE оснащена сложными алгоритмами искусственного интеллекта Huawei, накопленными за 30
лет работы в телекоммуникационной отрасли. Платформа обеспечивает автоматический
анализ с обратной связью, прогноз и принятие решений на основе намерений клиентов. В
результате улучшается взаимодействие с пользователем и постоянно расширяются
интеллектуальные возможности сети.
▫ Экосистема приложений для конкретных сценариев с возможностью открытого
программирования: в южном направлении iMaster NCE предоставляет программируемую
интегрированную среду разработки — Design Studio — и сообщество разработчиков для
интеграции со сторонними сетевыми контроллерами и устройствами; в северном направлении
предоставляет облачные обучающие платформы на основе искусственного интеллекта и ИТ-
приложения. iMaster NCE позволяет клиентам приобретать приложения компании Huawei по
запросу, разрабатывать собственные приложения и обращаться к сторонним системным
интеграторам для разработки приложений.

▫ Облачная платформа со сверхбольшой емкостью: iMaster NCE с облачной архитектурой

поддерживает развертывание в облаке и в сети предприятия. Благодаря эластичной
масштабируемости iMaster NCE обеспечивает большую емкость системы, что позволит
получить доступ большему количеству пользователей. Благодаря обмену данными в режиме
онлайн и оптимизации процессов iMaster NCE позволяет избежать разрозненного
распределения данных и многоуровневого процесса эксплуатации и обслуживания в режиме
офлайн.
• Клиент NETCONF: управляет сетевыми устройствами с помощью NETCONF. Обычно NMS выполняет
функции клиента NETCONF. Он отправляет элементы <rpc> на сервер NETCONF для запроса или
изменения данных конфигурации. О состоянии управляемого устройства клиент может узнать с
помощью ловушек и событий, передаваемых сервером.

• Сервер NETCONF: хранит информацию об управляемых устройствах, отвечает на запросы клиентов и

сообщает данные управления клиентам. Серверы NETCONF обычно представляют собой сетевые
устройства, например коммутаторы и маршрутизаторы. После получения запроса от клиента сервер
анализирует данные, обрабатывает запрос с помощью Configuration Manager Frame (CMF), а затем
возвращает ответ клиенту. Если генерируется ловушка или происходит событие на управляемом
устройстве, сервер NETCONF сообщает о такой ловушке или событии клиенту, используя механизм
уведомлений. В результате клиент узнает об изменении статуса управляемого устройства.

• Клиент и сервер устанавливают соединение на основе протокола безопасной передачи, такого как
Secure Shell (SSH) или Transport Layer Security (TLS), и устанавливают сеанс NETCONF после обмена
данными между двумя сторонами с помощью пакетов Hello. Таким образом, клиент и сервер могут
обмениваться сообщениями. Сетевое устройство должно поддерживать хотя бы один сеанс
NETCONF. Данные, которые клиент NETCONF получает от сервера NETCONF, могут быть
конфигурационными данными или данными состояния.
• NETCONF использует SSH для безопасной передачи и использует удаленный вызов процедур (RPC)
для реализации связи между клиентом и сервером.
• YANG был разработан для NETCONF, но используется не только в NETCONF. Хотя язык
моделирования YANG является унифицированным, файлы YANG не унифицированы.

• Типы файлов YANG:

▫ Фирменный файл YANG производителя

▫ YANG стандарта IETF

▫ OpenConfig YANG

• Модель YANG представлена в виде файла .yang.

• Характеристики модели YANG:

▫ Моделирование иерархической древовидной структуры.

▫ Модели данных представлены в виде модулей и подмодулей.

▫ Модули могут транслироваться в модель независимой нотации YANG (YIN) на основе

синтаксиса XML без каких-либо потерь.

▫ Определяет встроенные типы данных и расширяемые типы.

• SNMP в отрасли считается традиционной технологией телеметрии, а современная телеметрия
называется потоковой телеметрией или телеметрией с моделями данных.

• Телеметрия упаковывает данные для отправки, повышая эффективность передачи.

1. A

2. C
3. A

4. A
• Интернет-протокол версии 4 (IPv4): текущая версия IP. IPv4 использует 32-битные (четырёхбайтные)
адреса состоящие из четырех октетов, и имеющие десятичное представление с разделительными
точками. Каждый IPv4-адрес состоит из номера сети, необязательного номера подсети и номера узла.
Номера сети и подсети вместе используются для маршрутизации, а номер узла используется для
адресации отдельного узла в сети или подсети.

• Интернет-протокол версии 6 (IPv6): набор спецификаций, разработанный IETF. Представляет собой

обновленную версию IPv4. IPv6 также называется IPng (Internet Protocol next generation – Интернет-
протокол следующего поколения). В IPv6 длина адреса расширена до 128 бит.
• IANA отвечает за назначение глобальных IP-адресов в Интернете. IANA выделяет IPv4-адреса RIR в
рамках континента, а затем каждый RIR распределяет адреса по своим регионам. Существует пять
региональных интернет-регистраторов:
▫ RIPE: Европа, Центральная Азия, Ближний Восток
▫ LACNIC: страны Южной Америки и бассейна Карибского моря
▫ ARIN: Северная Америка и некоторые регионы Карибского бассейна
▫ AFRINIC: страны Африки.
▫ APNIC: Азиатско-Тихоокеанский регион.
• IPv4 оказался очень успешным протоколом. Он пережил развитие Интернета от небольшого
количества до сотен миллионов компьютеров. Но протокол был разработан несколько десятилетий
назад, исходя из размеров сетей того времени. С расширением Интернета и запуском новых
приложений IPv4 демонстрирует все больше и больше ограничений.
• Такое стремительное расширение масштабов Интернета никто не мог предвидеть в то время.
Особенно за последнее десятилетие Интернет пережил небывалый рост, к нему подключаются все
больше и больше домашних хозяйств. В повседневной жизни людей Интернет становится
необходимостью. На фоне быстрого развития Интернета исчерпание IP-адресов становится серьезной
проблемой.
• Чтобы задержать исчерпание адресов IPv4 в 1990-х годах группа IETF запустила технологии
трансляции сетевых адресов (NAT) и бесклассовой междоменной маршрутизации (CIDR). Однако
такие переходные решения могут только замедлить скорость исчерпания адресов, но не решают
проблему кардинально.
• Практически бесконечное адресное пространство: наиболее очевидное преимущество перед IPv4.
Адрес IPv6 состоит из 128 бит. Адресное пространство IPv6 примерно в 8 x 1028 раз больше, чем у
IPv4. Утверждается, что IPv6 может выделить сетевой адрес каждой песчинке в мире. Это позволяет
большому количеству терминалов находится в режиме онлайн одновременно, делает возможным
унифицированное управление адресами, обеспечивая надежную поддержку взаимосвязи между всем
и всеми.

• Иерархическая структура адресного пространства: адреса IPv6 делятся на разные сегменты адресов в
зависимости от сценариев применения благодаря почти бесконечному адресному пространству.
Кроме того, непрерывность сегментов индивидуального IPv6-адреса строго необходима для
предотвращения «дыр» в диапазонах IPv6-адресов, что упрощает агрегирование маршрутов IPv6 для
уменьшения размера таблиц IPv6-адресов.

• Автоматическая настройка: любой хост или терминал должен иметь определенный IP-адрес для
получения сетевых ресурсов и передачи данных. Традиционно IP-адреса назначаются вручную или
автоматически с помощью DHCP. Помимо двух предыдущих методов, IPv6 также поддерживает
SLAAC.

• Целостность сети E2E: NAT, используемый в сетях IPv4, нарушает целостность данных,
передаваемых по сквозной линии. Если используется IPv6 необходимость в использовании устройств
NAT отпадает. Процессы управления характеристиками и мониторинг сети становятся простыми.
Кроме того, приложениям не требуется сложный код адаптации NAT.

• Высокая безопасность: IPsec изначально был разработан для IPv6. Поэтому пакеты протоколов на
основе IPv6 (пакеты протокола маршрутизации и пакеты обнаружения соседей) могут быть
зашифрованы в сквозном (E2E) режиме, несмотря на то, что эта функция в настоящее время широко
не используется. Функции безопасности пакетов уровня данных IPv6 аналогичны функциям
безопасности IPv4 + IPsec.
• Высокая масштабируемость: расширенные заголовки IPv6 не являются частью основного пакета
данных. Однако при необходимости расширенные заголовки можно вставить между основным
заголовком IPv6 и действительной полезной нагрузкой, чтобы упростить в IPv6 процедуры
шифрования, мобильности, выбора оптимального пути и QoS, а также повысить эффективность
пересылки пакетов.

• Повышенная мобильность: когда пользователь перемещается из одного сегмента сети в другой в

традиционной сети, создается типичный треугольный маршрут. В сети IPv6 коммуникационный трафик
таких мобильных устройств может маршрутизироваться напрямую без необходимости использования
исходного треугольного маршрута. Эта функция снижает затраты на пересылку трафика и повышает
производительность и надежность сети.

• Повышение качества обслуживания за счет механизмов QoS: IPv6 резервирует все атрибуты QoS IPv4
и дополнительно определяет 20-байтовое поле Flow Label (Метка потока) для приложений или
терминалов. Это поле можно использовать для выделения определенных ресурсов специальным
услугам и потокам данных. В настоящее время этот механизм еще не полностью разработан и не
применяется.
• Описание полей основного заголовка IPv6:

▫ Version (Версия): длина 4 бита. В IPv6 значение равно 6.

▫ Traffic Class (Класс трафика): длина 8 бит. Это поле указывает класс или приоритет пакета IPv6.
Похоже на поле TOS в пакете IPv4 и используется в основном в управлении QoS.

▫ Flow Label (Метка потока): длина 20 бит. Это поле было добавлено в IPv6, чтобы различать
трафик в реальном времени. Метка потока и IP-адрес источника вместе могут
идентифицировать уникальный поток данных. Промежуточные сетевые устройства могут
эффективно различать потоки данных на основе этого поля.

▫ Payload Length (Длина полезной нагрузки): длина 16 бит. Это поле указывает длину части (а
именно, расширенных заголовков и PDU верхнего уровня) в пакете IPv6, следующую за
основным заголовком IPv6.

▫ Next Header (Следующий заголовок): длина 8 бит. Это поле определяет тип первого
расширенного заголовка (если есть), следующего за основным заголовком IPv6, или тип
протокола в PDU верхнего уровня (аналогично полю Protocol в IPv4).

▫ Hop Limit (Лимит количества переходов): длина 8 бит. Это поле аналогично полю Time to Live в
пакете IPv4. Определяет максимальное количество переходов, через которые может пройти IP-
пакет. Значение уменьшается на 1 каждый раз, когда IP-пакет проходит через узел. Если
значение Hop Limit уменьшается до нуля, пакет отбрасывается.

▫ Source Address (Адрес источника): длина 128 бит. В этом поле указывается адрес отправителя
пакета.

▫ Destination Address (Адрес назначения): длина 128 бит. В этом поле указывается адрес
получателя пакета.
• Заголовок пакета IPv4 содержит необязательное поле Options, которое может представлять
параметры безопасности, отметки времени или записывать варианты маршрута. Поле Options
расширяет заголовок пакета IPv4 с 20 до 60 байтов. Поле Options должно обрабатываться всеми
промежуточными устройствами. В результате потребляется большое количество ресурсов. Поэтому
на практике это поле редко используется.

• IPv6 удаляет поле Options из основного заголовка и помещает его в расширенные заголовки, которые
помещаются между основным заголовком IPv6 и PDU верхнего уровня. Пакет IPv6 может передавать
ноль, один или несколько расширенных заголовков. Отправитель добавляет один или несколько
расширенных заголовков к пакету только тогда, когда отправитель запрашивает устройство
назначения или другие устройства для выполнения специальной обработки. Длина расширенных
заголовков IPv6 не ограничена 40 байтами, так что новые параметры могут быть добавлены позже.
Эта функция вместе с режимами обработки опций позволяет использовать опции IPv6. Однако для
повышения эффективности обработки расширенного заголовка и производительности транспортного
протокола длина расширенного заголовка всегда составляет целое число кратное 8 байт.

• При использовании нескольких расширенных заголовков поле Next Header предыдущего заголовка
указывает тип текущего расширенного заголовка. Таким образом, формируется цепной список
заголовков пакетов.
• Если в одном пакете IPv6 используется более одного расширенного заголовка, эти заголовки должны
появляться в следующем порядке:

1. Заголовок Hop-by-Hop Options: несет дополнительную информацию, которая должна быть

проверена каждым узлом на пути доставки пакета.

2. Заголовок Destination Options: несет дополнительную информацию, которая должна быть

проверена только узлом назначения пакета.

3. Заголовок Routing: используется источником IPv6 для перечисления одного или нескольких
промежуточных узлов, которые необходимо «посетить» на пути к месту назначения пакета.

4. Заголовок Fragment: используется источником IPv6 для отправки пакета, длина которого
превышает MTU пути к пункту назначения.

5. Заголовок Authentication (AH): используется IPsec для обеспечения аутентификации,

целостности данных и защиты от воспроизведения.

6. Заголовок Encapsulating Security Payload (ESP): используется IPsec для обеспечения

аутентификации, целостности данных, защиты от воспроизведения и конфиденциальности
пакетов IPv6.
• Индивидуальные адреса идентифицируют один интерфейс устройства. Пакеты, отправленные на этот
адрес, доставляются только на этот интерфейс. В IPv6 интерфейс может иметь несколько адресов
IPv6. Помимо GUA, ULA и LLA, IPv6 имеет следующие специальные индивидуальные адреса:

▫ Неуказанный адрес: 0:0:0:0:0:0:0:0/128, или ::/128. Адрес используется в качестве адреса

источника некоторых пакетов, например, сообщений Neighbor Solicitation (NS), отправленных во
время DAD (обнаружение дубликатов адресов), или пакетов запроса, отправленных клиентом
во время инициализации DHCPv6.

▫ Loopback-адрес: 0:0:0:0:0:0:0:1/128, или ::1/128, который используется для локальной кольцевой

проверки (функция аналогична 127.0.0.1 в IPv4). Пакеты данных, отправленные в :: / 1,
фактически отправляются на локальный узел и могут использоваться для локальной кольцевой
проверки стеков локальных протоколов.

• Многоадресные (или групповые) адреса IPv6, подобно одноименным адресам IPv4, идентифицируют
группу интерфейсов. Пакеты, посылаемые на этот адрес, доставляются всем интерфейсам –
участникам группы рассылки. Прослушивать пакеты для соответствующего многоадресного адреса
могут только интерфейсы, которые входят в группу рассылки.

• Произвольные адреса позволяют адресовать группу интерфейсов (обычно принадлежащих разным

узлам). Однако в отличие от многоадресных адресов, пакеты, передаваемые на произвольный адрес,
доставляются на один из интерфейсов (обычно «ближайший» интерфейс, согласно метрике
маршрутизации), определяемых этим адресом.

• Широковещательные адреса (Broadcast), которые используются в IPv4, в IPv6 отсутствуют.

Широковещательные адреса заменены многоадресными.
• Для глобальных индивидуальных адресов, начинающихся с 000, может использоваться сетевой
префикс, не являющийся 64-битным. Такие адреса в данном курсе не рассматриваются.
• Идентификатор интерфейса имеет длину 64 бита и используется для идентификации интерфейса в
канале связи. Идентификатор интерфейса должен быть уникальным для каждого канала.
Идентификатор интерфейса используется для многих целей. Чаще всего идентификатор интерфейса
присоединяется к префиксу локального адреса канала для формирования локального адреса канала
интерфейса. Он также может быть присоединен к префиксу глобального индивидуального адреса IPv6
в SLAAC для формирования глобального индивидуального адреса интерфейса.

• Стандарт IEEE EUI-64

▫ Преобразование MAC-адресов в идентификаторы интерфейсов IPv6 снижает нагрузку,

связанную с выполнением конфигурации. В частности, для формирования IPv6-адреса нужен
только сетевой префикс IPv6 в SLAAC.

▫ Недостаток этого метода — злоумышленники могут вычислить IPv6-адрес по MAC-адресу.

• Эти адреса назначаются операторами связи или локальными интернет-регистраторами.
• Типы и область действия многоадресных групп IPv6:

▫ Флаги (Flags)

▪ 0000: постоянная или известная многоадресная группа

▪ 0001: временная многоадресная группа

▫ Область (Scope)

▪ 0: зарезервировано

▪ 1: Interface-Local – многоадресная группа является локальной и определена в рамках

одного узла

▪ 2: Link-Local – многоадресная группа определена в пределах линии связи (например,

FF02::1)

▪ 5: Site-Local – многоадресная группа определена в рамках локальной сети

▪ 8: Organization – многоадресная группа определена в рамках распределенной сети

организации

▪ E: Global – глобальная многоадресная группа

▪ F: зарезервировано
• Пример сценария использования многоадресной группы запрошенных узлов: в IPv6 ARP и
широковещательные адреса отменены. Если устройство запрашивает MAC-адрес, соответствующий
IPv6-адресу, устройству необходимо отправить пакет запроса, который является многоадресным
пакетом. IPv6-адрес назначения пакета — это многоадресный адрес запрошенного узла,
соответствующий целевому индивидуальному IPv6-адресу. Поскольку только целевой узел
прослушивает многоадресный адрес запрошенного узла, многоадресный пакет будет принят только
целевым узлом. И это не влияет на производительность сети других нецелевых узлов.
• В процессе задействован инициатор пакета и одно или несколько отвечающих устройств.

▫ Инициатором произвольного пакета обычно является хост, запрашивающий услугу (например,

веб-сервис).

▫ Формат произвольного адреса такой же, как и у индивидуального адреса. Однако устройство
может отправлять пакеты нескольким устройствам с одним и тем же произвольным адресом.

• Преимущества произвольных адресов:

▫ Предоставление резервирования услуг. Например, пользователь может получить одну и ту же

услугу (например, веб-сервис) с нескольких серверов, которые используют один и тот же
произвольный адрес. Все эти серверы являются отвечающими устройствами для произвольных
пакетов. Если произвольный адрес не используется и один сервер выходит из строя,
пользователю необходимо получить адрес другого сервера, чтобы снова установить связь.
Если произвольный адрес используется, и один сервер выходит из строя, пользователь
автоматически связывается с другим сервером, который использует тот же адрес, используя
функцию резервирования.

▫ Предоставление более качественного обслуживания. Например, компания развертывает два

сервера, один – в провинции A, а другой – в провинции B, для предоставления одной и той же
веб-услуги. В соответствии с правилом выбора оптимального маршрута, при доступе к веб-
сервису, предоставляемому компанией, пользователи в провинции A предпочтительно
подключаются к серверу, развернутому в провинции A. Это увеличивает скорость доступа,
уменьшает задержку и значительно улучшает качество обслуживания пользователей.
• SLAAC — это «главный козырь» IPv6. Он позволяет легко подключать хосты IPv6 к сетям IPv6 без
необходимости вручную настраивать адреса IPv6 и развертывать серверы приложений (например,
DHCP-серверы) для назначения адресов хостам. SLAAC использует сообщения RS и RA ICMPv6.

• При разрешении адресов используются сообщения NS и NA ICMPv6.

• Процедура DAD использует сообщения ICMPv6 NS и NA, чтобы гарантировать, что в сети не
существует двух одинаковых индивидуальных адресов. Процедура DAD выполняется на всех
интерфейсах, прежде чем они начнут использовать индивидуальные адреса.
• IPv6 поддерживает автоматическую настройку адресов с отслеживанием и без отслеживания
состояния. Флаг управляемой конфигурации адресов (флаг M) и флаг другой конфигурации (флаг O) в
сообщениях ICMPv6 RA используются для управления режимом, в котором терминалы автоматически
получают адреса.

• Для конфигурации адреса с отслеживанием состояния (DHCPv6), M = 1, O = 1:

▫ Используется DHCPv6. Клиент IPv6 получает полный 128-битный адрес IPv6, а также другие
параметры адреса, такие как параметр адреса сервера DNS и SNTP, от сервера DHCPv6.

▫ Сервер DHCPv6 записывает распределение IPv6-адреса (именно здесь происходит

отслеживание состояния).

▫ Этот метод сложен и требует высокой производительности DHCPv6-сервера.

▫ Настройка адреса с отслеживанием состояния в основном используется для назначения IP-

адресов проводным терминалам на предприятии, что упрощает управление адресами.

• Для SLAAC, M = 0, O = 0:

▫ Используется ICMPv6.

▪ Маршрутизатор с поддержкой ICMPv6 RA периодически анонсирует префикс адреса IPv6

канала, подключенного к узлу.

▪ И наоборот, хост отправляет сообщение ICMPv6 RS, а маршрутизатор отвечает

сообщением RA, чтобы сообщить префикс адреса IPv6 канала.
 ▫ Хост получает префикс IPv6-адреса из сообщения RA, возвращаемого маршрутизатором, и
комбинирует префикс с идентификатором локального интерфейса для формирования
индивидуального IPv6-адреса.

▫ Если хосту нужно получить другую конфигурационную информацию, он может использовать

DHCPv6. Когда используется DHCPv6, M = 0 и O = 1.

▫ В SLAAC информация о статусе хостов или о том, находятся ли хосты в сети, для
маршрутизаторов не имеет значения.

▫ SLAAC применяется в сценариях, в которых имеется большое количество терминалов, которым

не нужны другие параметры, кроме адресов. Таким сценарием является Интернет вещей.

• Система доменных имен (DNS): механизм, который сопоставляет легко запоминающиеся доменные
имена с адресами IPv6, которые могут быть идентифицированы сетевыми устройствами.

• Сетевая информационная система (NIS): система управляет всеми конфигурационными файлами,

связанными с управлением компьютерной системой в компьютерных сетях.

• Простой протокол сетевого времени (SNTP): является упрощённой реализацией протокола NTP и
используется для синхронизации часов компьютеров в Интернете.
• Предположим, что R1 - это онлайн-устройство с IPv6-адресом 2001::FFFF/64. После того, как
компьютер перейдет в режим онлайн, он будет настроен с тем же IPv6-адресом. Перед
использованием адреса IPv6 ПК выполняет DAD для адреса IPv6. Процесс заключается в следующем:

1. ПК отправляет NS-сообщение на канал в многоадресном режиме. IPv6-адресом источника NS-

сообщения является ::, а IPv6-адресом назначения является многоадресный адрес
запрошенного узла, соответствующий 2001::FFFF для DAD, то есть, FF02::1:FF00:FFFF.
Сообщение NS содержит адрес назначения 2001::FFFF для DAD.

2. Все узлы на канале получают многоадресное сообщение NS. Интерфейсы узлов, которые не
настроены с 2001::FFFF, не добавляются в многоадресную группу запрошенных узлов,
соответствующую 2001::FFFF. Следовательно, эти интерфейсы узла будут отбрасывать
полученное NS-сообщение. Интерфейс R1 настроен с 2001::FFFF и присоединяется к
многоадресной группе FF02::1:FF00:FFFF. После получения NS-сообщения с 2001::FFFF в
качестве IP-адреса назначения, R1 анализирует сообщение и обнаруживает, что адрес
назначения DAD совпадает с адресом его локального интерфейса. После этого R1 сразу же
передает сообщение NA. Адрес назначения сообщения NA - FF02::1, то есть многоадресный
адрес всех узлов. Кроме того, в сообщении NA заполняются адрес назначения 2001::FFFF и
MAC-адрес интерфейса.

3. ПК получает сообщение NA, и знает, что 2001 :: FFFF уже используется на канале. После чего
ПК помечает этот адрес как дублированный. Этот IP-адрес нельзя использовать для связи.
Если сообщение NA не получено, ПК определяет, что адрес IPv6 может быть использован.
Механизм DAD аналогичен механизму Gratuitous ARP в IPv4.
• ARP или широковещательная рассылка не используется для разрешения IPv6-адресов. Вместо этого,
для разрешения адресов канального уровня IPv6 использует те же сообщения NS и NA, что и в
процедуре DAD.

• Предположим, что ПК необходимо проанализировать MAC-адрес, соответствующий 2001::2 R1.

Процедура заключается в следующем:

1. ПК отправляет сообщение NS на 2001::2. Адресом источника сообщения NS является 2001::1,

а адресом назначения является многоадресный адрес запрошенного узла, соответствующий
2001::2.

2. После получения NS-сообщения R1 записывает IPv6-адрес источника и MAC-адрес источника

ПК и отвечает одноадресным сообщением NA, которое содержит его собственный IPv6-адрес и
MAC-адрес.

3. ПК получает NA-сообщение, из этого сообщения получает IPv6-адрес источника и MAC-адрес

источника. Таким образом, оба узла формируют записи о соседнем узле.
1. 2001:DB8::32A:0:0:2D70 или 2001:DBB:0:0:32A::2D70

2. Хост IPv6 получает префикс адреса из сообщения RA, отправляемого

соответствующим интерфейсом маршрутизатора, а затем генерирует
идентификатор интерфейса, вставляя
16-битный FFFE в существующий 48-битный MAC-адрес интерфейса хоста. После
создания IPv6-адреса хост IPv6 проверяет уникальность адреса через DAD.
• В 1964 году IBM потратила 5 миллиардов долларов на разработку IBM System/360 (S/360), с которой
началась история мейнфреймов. В мейнфреймах обычно используется централизованная
архитектура. Эта архитектура отличается превосходными возможностями обработки операций ввода-
вывода и идеально подходит для обработки данных крупных транзакций. По сравнению с ПК
мейнфреймы имеют специализированное оборудование, операционные системы и приложения.

• ПК претерпели множество нововведений — от оборудования и операционных систем до приложений.

Каждое нововведение, в свою очередь, приводило к большим изменениям и развитию. Следующие
три фактора способствуют быстрому развитию всей экосистемы ПК:

▫ Аппаратная основа. Отрасль ПК адаптировала простую и универсальную аппаратную базу,

набор инструкций x86.

▫ Программно-определяемые сети. Приложения верхнего уровня и базовое программное

обеспечение нижнего уровня (ОС и виртуализация) претерпели значительные изменения.

▫ Открытый исходный код. Бурное развитие Linux подтвердило правильность открытого исходного
кода и «базарной модели» (bazaar model). Тысячи разработчиков могут быстро сформулировать
стандарты для ускорения инноваций.
• В качестве примера для описания плоскости передачи, плоскости контроля и плоскости управления
используется коммутатор.

• Плоскость передачи: предоставляет высокоскоростные неблокируемые каналы данных для

переключения услуг между сервисными модулями. Основная задача коммутатора — обработка и
пересылка различных типов данных по своим интерфейсам. Специфическая обработка и передача
данных, например, на уровне 2, уровне 3, при реализации функций ACL, QoS, многоадресной
рассылки и обеспечения безопасности, выполняются в плоскости передачи.

• Плоскость контроля: предоставляет такие функции, как обработка протокола, обработка услуг, расчет
маршрута, управление пересылкой, планирование услуг, сбор статистики трафика и обеспечивает
безопасность системы. Плоскость контроля коммутатора используется для контроля и управления
работой всех сетевых протоколов. Плоскость контроля предоставляет различную сетевую
информацию и записи запросов передачи, необходимые для обработки и передачи данных в
плоскости данных.

• Плоскость управления: обеспечивает такие функции, как мониторинг системы и окружающей среды,
обработка записей журналов и аварийных сигналов, загрузка системного программного обеспечения и
обновление системы. Уровень управления коммутатора предоставляет персоналу управления сетью
протоколы Telnet, Web, SSH, SNMP и RMON для управления устройствами, а также поддерживает,
анализирует и выполняет команды для настройки сетевых протоколов. Параметры, относящиеся к
различным протоколам, должны быть предварительно сконфигурированы в плоскости контроля. При
необходимости в работу плоскости контроля можно вмешаться.

• Некоторые продукты Huawei можно разделить на устройства плоскости данных, плоскости управления
и плоскости мониторинга.
• Видение развертывания сетевых услуг (VN):

▫ Бесплатная мобильность на основе сетевых политик, независимо от физического

местоположения

▫ Быстрое внедрение новых сервисов

▫ Применение ZTP в физической сети

▫ Автоматическая настройка устройств (plug-and-play)

• Сообщения контроллер-коммутатор:
▫ Сообщения Features: после установления сеанса SSL/TCP контроллер отправляет на
коммутатор сообщение Features, чтобы запросить возможности коммутатора. Коммутатор
отправляет ответ, который включает имя интерфейса, MAC-адрес и скорость интерфейса.
▫ Сообщение Configuration: контроллер может установить или запросить состояние коммутатора.
▫ Сообщение Modify-State: сообщения отправляются контроллером для управления состоянием
коммутаторов. Их главная цель заключается в добавлении/удалении и модификации правил в
таблицах потоков и установке атрибутов интерфейса коммутатора.
▫ Сообщение Read-State: используются контроллером для сбора статистических данных от
коммутатора.
▫ Сообщение Send-Packet: контроллер отправляет сообщение на конкретный интерфейс
коммутатора.
• Асинхронные сообщения:
▫ Сообщение Packet-in: если в таблицах потоков нет соответствующей записи или
соответствующим оказывается действие «отправить контроллеру», коммутатор отправляет
контроллеру сообщение packet-in.
▫ Сообщение Packet-out: это сообщение контроллер отправляет коммутатору в ответ.
▫ Сообщение Flow-Removed: когда правило для нового потока добавляется в коммутатор,
устанавливается значение тайм-аута. Это правило должно быть удалено через этот промежуток
времени, после чего коммутатор отправляет контроллеру сообщение Flow-Removed. Когда
необходимо удалить запись в таблице потоков, коммутатор также отправляет это сообщение
контроллеру.
▫ Сообщение Port-status: коммутатор имеет возможность отправлять это сообщение контроллеру
при изменениях состояний или конфигурации интерфейса.
• Симметричные сообщения:

▫ Сообщение Hello: когда устанавливается соединение OpenFlow, контроллер и коммутатор сразу

отправляют друг другу сообщение OFPT_HELLO. Поле Version в сообщении заполняется
последней версией OpenFlow, которую поддерживает отправитель. После получения
сообщения получатель вычисляет номер версии протокола, то есть выбирает меньшую версию
из версий, поддерживаемых отправителем и получателем. Если получатель поддерживает эту
версию, то запросы на соединение будут обрабатываться до тех пор, пока соединение не будет
установлено. В противном случае получатель отвечает сообщением OFPT_ERROR, в котором
поле Type заполняется значением ofp_error_type.OFPET_HELLO_FAILED.

▫ Сообщение Echo: сообщение Echo Request может отправлять коммутатор или контроллер, но
получатель должен отвечать сообщением Echo Reply. Это сообщение может быть
использовано для измерения задержки и соединения между контроллером и коммутатором.
Другими словами, сообщения Echo – это heartbeat-сообщения.

▫ Сообщение Error: когда коммутатору необходимо уведомить контроллера о неисправности или

ошибке, коммутатор отправляет контроллеру сообщение Error.

• Протокол OpenFlow все еще находится на стадии доработки. Подробная информация о других типах
сообщений приведена в спецификациях коммутатора OpenFlow Switch, опубликованных Открытым
фондом сетевых технологий (Open Networking Foundation, ONF).
• Match Fields (Поля соответствий) — это поле, с которым сопоставляется пакет. (OpenFlow 1.5.1
поддерживает 45 опций). Может содержать входящий интерфейс, данные таблицы между потоками,
заголовок пакета уровня 2, заголовок пакета уровня 3 и номер порта уровня 4.

• Priority (Приоритет): последовательность сопоставления записей потока. Первой сопоставляется

запись потока с более высоким приоритетом.

• Counters (Счетчики): количество пакетов и байтов, соответствующих записи потока.

• Instructions (Набор инструкций): обработка OpenFlow, когда пакет соответствует записи потока. Если
пакет соответствует записи потока, выполняется действие, определенное в поле Instructions каждой
записи потока. Поле Instructions влияет на пакеты, наборы действий и конвейерную обработку.

• Timeouts (Тайм-ауты): время устаревания записей потока, включая значения Idle Time и Hard Time.

▫ Idle Time: если по истечении времени Idle Time ни один пакет не соответствует записи потока,
запись потока удаляется.

▫ Hard Time: по истечении времени Hard Time запись потока удаляется независимо от того,
соответствует ли пакет записи потока.

• Cookie: идентификатор записи потока, доставленной контроллером.

• Flags (Флаги): это поле изменяет режим управления записями потока.

• Из таблиц 0–255 сначала сопоставляется таблица 0. В таблице потоков записи потоков
сопоставляются по приоритету. Первой сопоставляется запись потока с более высоким приоритетом.

• В настоящее время OpenFlow в основном используется для разделения плоскостей пересылки и

управления на программных коммутаторах, таких как OVS и CE1800V, в ЦОД, но не на физических
коммутаторах.
• Разделение уровней передачи и управления — это главная особенность SDN.
• Уровень приложений: предоставляет различные приложения верхнего уровня для управления сетью,
такие как OSS и OpenStack. OSS отвечает за оркестровку сервисов всей сети, а OpenStack
используется для оркестровки сервисов сети, вычислительных ресурсов и ресурсов хранения в DC.
Существуют и другие приложения уровня оркестровки. Например, пользователь намерен развернуть
приложение безопасности. Приложение безопасности не связано с расположением хоста
пользователя, но активирует NBI-интерфейсы контроллера. Затем контроллер передает инструкции
каждому сетевому устройству. Команда зависит от протокола SBI.

• Уровень управления: на этом уровне развернут контроллер SDN, который является ядром сетевой
архитектуры SDN. Уровень управления (контроллера) — это мозг системы SDN, его основная функция
заключается в реализации оркестровки сетевых сервисов.

• Уровень устройств: сетевое устройство получает инструкции от контроллера и выполняет передачу.

• NBI: NBI используются контроллером для взаимодействия с уровнем приложений оркестровки, в

основном с RESTful.

• SBI: SBI, используемые контроллером для взаимодействия с устройствами по таким протоколам, как
NETCONF, SNMP, OpenFlow и OVSDB.
• Облачная платформа: платформа управления ресурсами в облачном ЦОД. Облачная платформа
управляет сетевыми, вычислительными ресурсами и ресурсами хранения. OpenStack — самая
распространенная облачная платформа с открытым исходным кодом.

• Система управления элементами (EMS) управляет одним или несколькими элементами сети
электросвязи (NE) определенного типа.

• Оркестровка (оркестровка контейнеров): инструмент оркестровки контейнеров также может

предоставлять функцию оркестровки сетевых сервисов. Kubernetes — популярный инструмент.

• MTOSI или CORBA используется для взаимодействия с BSS или OSS. Kafka или SFTP можно
использовать для подключения к платформе больших данных.
• iMaster NCE преобразует сервисные намерения в настройки физической сети. Осуществляет
управление, контроль и анализ глобальных сетей централизованно в южном направлении.
Обеспечивает перевод ресурсов в облако, автоматизацию сети на всех этапах жизненного цикла и
интеллектуальный контур с автоматическим управлением на основе больших данных для бизнес-
целей и сервисных намерений. Предоставляет северные открытые API-интерфейсы для быстрой
интеграции с ИТ-системами.

• iMaster NCE можно использовать в сценариях корпоративной сети центра обработки данных (DCN),
корпоративной кампусной сети и сценариях взаимосвязи филиалов предприятия (SD-WAN), чтобы
сделать корпоративные сети простыми, интеллектуальными, открытыми и безопасными, ускорить
трансформацию и внедрение инноваций корпоративных сервисов.
• iMaster NCE-Fabric подключается к ИТ-системе пользователя, чтобы соответствовать модели
намерений пользователя и передавать настройки на устройства через NETCONF для быстрого
развертывания услуг.

• iMaster NCE-Fabric может взаимодействовать с основной облачной платформой (OpenStack),

платформой виртуализации (vCenter/System Center) и платформами оркестровки контейнеров
(Kubernetes).
• iMaster NCE-FabricInsight предоставляет интеллектуальную систему эксплуатации и обслуживания на
основе искусственного интеллекта для ЦОД.
• Автоматическая настройка и запуск устройств включает, помимо прочего, развертывание путем
сканирования штрих-кодов с помощью приложения, развертывание на основе DHCP и развертывание
через центр запросов на регистрацию.

• Центр регистрации: центр запросов на регистрацию устройств Huawei, также называемый центром
регистрации, является одним из основных компонентов решения Huawei CloudCampus. Используется
для запроса режима управления устройством и прав на регистрацию. Устройство определяет, следует
ли переключиться в режим управления в облаке и на какой платформе управления облаком
зарегистрироваться, на основе результата запроса. В качестве примера используется точка доступа.
Для устройств Huawei, поддерживающих управление через облако, предварительно настроены URL-
адрес (register.naas.huawei.com) и номер порта (10020) центра регистрации устройств Huawei.
• Виртуализированные сетевые функции (VNF) реализуются путем виртуализации традиционных
сетевых элементов, таких как IMS и клиентское оборудование операторов связи. В результате
унификации оборудования традиционные сетевые элементы больше не являются продуктами со
встроенным программным и аппаратным обеспечением. Вместо этого они устанавливаются на
универсальное оборудование (NFVI) как программное обеспечение.
• В 2015 году исследование NFV перешло на второй этап. Основная цель исследования — создать
совместимую экосистему NFV, способствовать более широкому участию отрасли и обеспечить
выполнение требований, определенных на первом этапе. Кроме того, ETSI NFV ISG определяет идеи
взаимодействия между стандартами NFV и SDN и проектами с открытым исходным кодом. На втором
этапе NFV задействовано пять рабочих групп: IFA (архитектура и интерфейс), EVE (экосистема), REL
(надежность), SEC (безопасность) и TST (тестирование, выполнение и открытый исходный код).
Каждая рабочая группа обсуждает структуру конечных документов и план реализации.

• Организация по стандартизации ETSI NFV сотрудничает с Linux Foundation, запускает проект с

открытым исходным кодом OPNFV (проект с открытым исходным кодом NFV, обеспечивающий
интегрированную и открытую эталонную платформу), объединяет ресурсы отрасли и активно строит
экосистему NFV. В 2015 году OPNFV выпустила первую версию, способствующую коммерческому
развертыванию NFV.

• Организации по стандартизации NFV включают:

▫ ETSI NFV ISG: формулирует требования и функциональную концепцию NFV.

▫ Рабочая группа 3GPP SA5: основное внимание уделяет техническим стандартам

и​спецификациям управления виртуализацией 3GPP NE (связанных с MANO).

▫ OPNFV: предоставляет проект платформы с открытым исходным кодом, который ускоряет

маркетизацию NFV.
• Сокращенное время развертывания сервисов. В архитектуре NFV упрощена процедура добавления
новых сервисных узлов. Упрощены процедуры обследования объекта или установки оборудования.
Для развертывания сервисов необходимо только запросить виртуальные ресурсы (вычислительные
ресурсы, ресурсы хранилищ и сетевые ресурсы) и загрузку программного обеспечения, что упрощает
развертывание сети. Для обновления логики услуг необходимо просто добавить новое программное
обеспечение или загрузить новые сервисные модули, чтобы завершить оркестровку сервисов.
Сервисные инновации становятся простыми.

• Снижение затрат на строительство сети. Виртуализированные сетевые элементы могут быть

интегрированы с устройствами COTS для снижения стоимости. Повышение эффективности
использования сетевых ресурсов и снижение энергопотребления позволяют снизить общие сетевые
расходы. С помощью технологий облачных вычислений и универсального оборудования NFV создает
единый пул ресурсов. Ресурсы динамически распределяются по запросу на основе требований к
сервису, при этом не только реализуется совместное использование ресурсов, но и улучшается
использование ресурсов. Например, для решения проблемы использования ресурсов можно
применить автоматическое масштабирование.

• Повышение эффективности эксплуатации и обслуживания сети. Автоматизированное и

централизованное управление повышает эффективность работы и снижает затраты на эксплуатацию
и техническое обслуживание. Автоматизация включает в себя автоматизацию управления
аппаратными устройствами, автоматизацию управления сроком службы приложений MANO, точно
скоординированные методы автоматизации сети на основе NFV или SDN.

• Открытая экосистема. Унаследованная эксклюзивная программно-аппаратная модель

телекоммуникационной сети определяет закрытую систему. Телекоммуникационные сети на базе NFV
используют архитектуру, основанную на стандартных аппаратных платформах и виртуальном
программном обеспечении. Архитектура предоставляет открытые платформы и открытые интерфейсы
для сторонних разработчиков и позволяет операторам создавать открытые экосистемы вместе со
сторонними партнерами.
• В традиционных телекоммуникационных сетях каждый сетевой элемент реализуется с помощью
специального оборудования. Во время построения сети требуется большое количество тестов на
функциональную совместимость, операций установки и настройки аппаратного обеспечения, что
отнимает много времени и средств. Кроме того, сервисные инновации зависят от поставщиков
оборудования, что также требует много времени и не удовлетворяет потребностям операторов в
сервисных инновациях. В сложившейся ситуации операторы связи собираются ввести режим
виртуализации для предоставления программных сетевых элементов и их запуска в универсальных
инфраструктурах (включая универсальные серверы, устройства хранения и коммутаторы).

• Использование универсального оборудования помогает операторам сократить расходы на

приобретение специального оборудования. Сервисное программное обеспечение можно быстро
разрабатывать с помощью итеративного подхода, что позволяет операторам быстро внедрять
инновации в сервисы и повышать свою конкурентоспособность. Таким образом операторы могут выйти
на рынок облачных вычислений.
• Согласно NIST, услуги облачных вычислений имеют следующие характеристики:

▫ Самообслуживание по запросу: облачные вычисления позволяют осуществлять

самообслуживание ИТ-ресурсов по запросу. Запрос и высвобождение ресурсов выполняется
без вмешательства ИТ-администраторов.

▫ Широкий доступ к сети: пользователи могут получить доступ к сетям в любое время и в любом
месте.

▫ Объединение ресурсов: предоставление пользователям ресурсов, включая сети, серверы и

устройства хранения в пуле ресурсов.

▫ Быстрая эластичность: быстрое предоставление и высвобождение ресурсов. Ресурс можно

использовать сразу после запроса и затребовать сразу после высвобождения.

▫ Измеримый сервис: основанием для начисления платы является то, что использованные
ресурсы можно измерить. Например, тарификация зависит от количества процессоров, места
для хранения и пропускной способности сети.
• Каждый уровень архитектуры NFV может предоставляться разными поставщиками, что
совершенствует разработку системы, но увеличивает сложность интеграции системы.
• NFV реализует эффективное использование ресурсов за счет нормализации устройств и разделения
программного и аппаратного обеспечения, снижения совокупной стоимости владения, сокращения
времени развертывания услуг и построения открытой отраслевой экосистемы.
• NFVI включает аппаратный уровень и уровень виртуализации, которые в отрасли также называются
COTS и CloudOS.
▫ COTS: универсальное оборудование, ориентированное на доступность и универсальность,
например, сервер Huawei серии FusionServer.
▫ CloudOS: программное обеспечение облачной платформы, которое можно рассматривать как
операционную систему телекоммуникационной отрасли. CloudOS преобразует физические
вычислительные ресурсы, ресурсы хранения и сетевые ресурсы в виртуальные ресурсы для
программного обеспечения верхнего уровня, например Huawei FusionSphere.
• VNF: VNF можно рассматривать как приложение с различными сетевыми функциями, которое
реализуется программным обеспечением традиционных сетевых элементов (таких как IMS, EPC,
BRAS и CPE) операторов связи.
• MANO: MANO вводится для предоставления сетевых услуг в среде NFV с несколькими поставщиками
информационных технологий и компьютерной техники, включая выделение физических и виртуальных
ресурсов, вертикальную оптимизацию уровней управления и быструю адаптацию и взаимодействие с
сетевыми элементами новых поставщиков. MANO включает в себя оркестратор виртуализации
сетевых функций (NFVO, система отвечающая за управление жизненным циклом сетевых сервисов),
диспетчер виртуализированных сетевых функций (VNFM, система отвечающая за управление
жизненным циклом VNF) и диспетчер виртуализированной инфраструктуры (VIM, система отвечающая
за управление ресурсами NFVI).
• BSS: система поддержки бизнеса

• OSS: система эксплуатационной поддержки

• Гипервизор — это программный уровень между физическими серверами и ОС. позволяет нескольким
ОС и приложениям использовать один и тот же набор физического оборудования. Гипервизор можно
рассматривать как метаоперационную систему в виртуальной среде, которая может координировать
все физические ресурсы и виртуальные машины на сервере. Его также называют монитором
виртуальных машин (VMM). Гипервизор — это основа всех технологий виртуализации. Основные
гипервизоры: KVM, VMWare ESXi, Xen и Hyper-V.
• DSL: цифровая абонентская линия

• OLT: оптический линейный терминал

1. BCD

2. NFV призвана решить проблемы, связанные с развертыванием и эксплуатацией и обслуживанием, а

также с инновациями в сфере услуг из-за большого количества аппаратных устройств, используемых
в сетях связи. NFV дает операторам связи следующие преимущества при реконструкции
телекоммуникационных сетей:

▫ Сокращенное время развертывания сервисов

▫ Снижение затрат на строительство сети

▫ Повышение эффективности эксплуатации и обслуживания сети

▫ Открытая экосистема
• Многие инструменты для автоматизации сети обладают открытым исходным кодом, например
Ansible, SaltStack, Puppet и Chef. Сетевым инженерам рекомендуется обучиться
программированию.
• В зависимости от уровня компьютерные языки также могут быть разделены на машинные
языки, языки сборки и языки высокого уровня. Машинные языки состоят из бинарных
инструкций, содержащие 0 и 1, которые могут быть напрямую идентифицированы машиной.
Поскольку машинные языки сложно понять, аппаратные бинарные инструкции инкапсуляются
для облегчения идентификации и запоминания (например, MOV и ADD), что составляет язык
сборки. Данные два языка являются языками низкого уровня, а языками высокого уровня
являются такие языки, как C, C++, Java, Python, Pascal, Lisp, Prolog, FoxPro и Fortran. Программы,
написанные на языках высокого уровня, не могут быть идентифицированы компьютерами
напрямую. Перед выполнением программ необходимо преобразовать данные языки в
машинные.
• Процесс выполнения технологического стека и программ компьютера. Слева изображен стек
вычислительных технологий. Из нижнего слоя аппаратного обеспечения физические
материалы и транзисторы используются для реализации цепей и регистрации, а затем
формируется микроархитектура ЦПУ. Набор команд ЦПУ представляет собой интерфейс между
аппаратным и программным обеспечением. Приложение «руководит» аппаратным
обеспечением для выполнения вычислений с использованием инструкций, определенных в
наборе команд.

• Приложения используют определенные алгоритмы программного обеспечения для

реализации сервисных функций. Программы обычно разрабатываются на таких языках
высокого уровня, таких как C, C++, Java, Go и Python. Язык высокого уровня необходимо
компилировать в язык сборки, а затем сборщик преобразует язык сборки в машинный
бинарный код на основе набора команд ЦПУ.

• Программа на диске представляет собой бинарный машинный код, состоящий из множества

инструкций и данных, т.е. бинарный файл.
• Компилируемые языки компилируются в таких форматах, как .exe, .dll и .ocx, которые могут
выполняться машинами. Компиляция и выполнение разделены и не могут быть выполнены
между платформами. Например, программы для архитектуры x86 не могут работать на
серверах ARM.
• JVM — виртуальная машина Java

• PVM — виртуальная машина Python

• Python также отличается динамической типизацией. Язык с динамической типизацией
автоматически определяет тип переменной во время выполнения программы. Тип переменной
указывать не нужно.
• Исходный код Python не нужно компилировать в двоичный код. Python может запускать
программы непосредственно из исходного кода. Когда запущен код Python, интерпретатор
Python сначала преобразует исходный код в байт-код, а затем виртуальная машина Python
выполняет байт-код.

• Виртуальная машина Python (PVM) не является независимой программой, ее не требуется

устанавливать отдельно.
• Основные типы данных Python: булеановы (True/False), целые числа, плавающая точка и строка.
Все данные (булеановы значения, целые числа, плавающие точки, строки и даже большие
структуры данных, функции и программы) в Python существует в виде объектов. Это делает
язык Python унифицированным.

• Результаты выполнения: 10, 20, Richard, 2 и SyntaxError, соответственно.

• Эта презентация не описывает синтаксис Python. Подробнее о синтаксисе Python см. курс HCIP.
• if...else... — полный блок кода с тем же отступами.

• print(a) вызывает параметр a, который находится в одном блоке кода с пунктом if...else....
• Декларация интерпретатора используется для указания пути компилятора, который выполняет
этот файл (компилятор установлен в пути не по умолчанию либо используется один из
компиляторов Python). В Windows можно опустить первую строку декларации интерпретатора,
указанную в примере выше.

• Декларация формата шифрования используется для указания типа шифрования,

используемого программой для чтения исходного кода. По умолчанию Python 2 использует код
ASCII (китайский не поддерживается), а Python 3 поддерживает код UTF-8 (поддерживается
китайский).

• docstring используется для описания функций программы.

• time — встроенный модуль Python, который предоставляет функции, связанные со временем

обработки.
• Официальные определения функций и методов.

• Серия операторов, которые возвращают некоторое значение вызывающему. Также могут

быть переданы ноль или несколько аргументов, которые могут быть использованы при
выполнении основной части.

• Функция определяется внутри основной части класса. При вызове в качестве атрибута
экземпляра данного класса метод получает объект экземпляра в качестве первого аргумента
(который обычно называется self).

• Подробнее о классах см. https://docs.python.org/3/tutorial/classes.html.

• Telnet определяет сетевой виртуальный терминал (NVT). Он описывает стандартное
представление данных и последовательностей команд, передаваемых по Интернету, чтобы
нивелировать различия между платформами и операционными системами. Например, на
разных платформах используются разные команды перевода строки.

• Связь Telnet использует режим внутренней сигнализации. То есть команды Telnet передаются в
потоках данных. Чтобы отличать команды Telnet от общих данных, Telnet использует
управляющие последовательности для вывода. Управляющая последовательность для вывода
состоит из 2 байт. Первый байт (0xFF) называется IAC (Interpret As Command), что обозначает,
что вторым байтом является команда. EOF также является командой Telnet. Ее десятичный код
— 236.

• Сокет — это абстрактный слой. Приложения обычно отправляют запросы или отвечают на
сетевые запросы через сокеты.

• ПОдробнее см. https://docs.python.org/3/library/telnetlib.html.

• В данном случае в качестве примера используется ОС Windows. Выполните команду telnet
192.168.10.10. В указанном выше шаге пароль входа Telnet уже настроен. Команда дает
следующий результат:

• Password:

• Enter the password Huawei@123 for authentication. The login is successful.

• В Python функции encode() и decode() используются для шифрования и дешифрования строк в
определенном формате соответственно. В этом примере password.encode('ascii') преобразует
строку Huawei@123 в формат ASCII. Формат шифрования соответствует официальным
требованиям модуля telnetlib.

• Добавьте строку b, b'str', указывающую, что строка является объектом байтов. В этом примере
b'Password:' означает, что строка Password:' преобразуется в строку типа байтов. Формат
шифрования соответствует официальным требованиям модуля telnetlib.

• Для получения подробных сведений об объектах Python см.

https://docs.python.org/3/reference/datamodel.html#objects-values-and-types.
1. B

2. Вы можете использовать метод telnetlib.write(). После входа в устройство выполните команду

system-view для доступа к просмотру системы, затем выполните команду vlan 10 для создания
VLAN. (Для устройств, работающих с VRPv8, для доступа к просмотру системы выполните
команду system-view immediately.)
• В зависимости от требований масштаб кампусной сети может гибко изменяться. Это может
быть небольшой домашний офис (SOHO), школьный кампус, городок предприятия, парк или
торговый центр. Однако кампусную сеть нельзя масштабировать до бесконечности. Обычно
большие кампусы, такие как университетские городки и промышленные городки, ограничены
несколькими квадратными километрами. Такие кампусные сети могут быть построены с
использованием технологии локальной вычислительной сети (LAN). Кампусная сеть за
пределами этой области обычно рассматривается как городская сеть (MAN) и строится с
использованием технологии WAN.

• К стандартным технологиям LAN, используемым в кампусных сетях, относятся Ethernet

(проводные подключения) в соответствии с IEEE 802.3, и Wi-Fi (беспроводные подключения) в
соответствии с IEEE 802.11.
• Уровни и зоны кампусной сети

▫ Базовый уровень: магистральная зона кампусной сети, которая является ядром

коммутации данных. Соединяет части кампусной сети, такие как центр обработки данных,
центр управления и выходная зона кампусной сети.

▫ Уровень агрегации: средний уровень кампусной сети, который выполняет агрегацию

или коммутацию данных. Некоторые фундаментальные сетевые функции, такие как
маршрутизация, QoS и безопасность, также предоставляются на этом уровне.

▫ Уровень доступа: являясь границей кампусной сети, соединяет конечных пользователей

с кампусной сетью.

▫ Выходная зона: как граница, которая соединяет кампусную сеть с внешней сетью, эта
зона обеспечивает взаимный доступ между двумя сетями. Как правило, в этой зоне
развертывается большое количество устройств сетевой безопасности, например,
устройства системы предотвращения вторжений (IPS), устройства защиты от DDoS и
межсетевые экраны для защиты от атак из внешних сетей.

▫ Зона центра обработки данных: серверы и системы приложений, развернутые для

предоставления услуг передачи данных и приложений для внутренних и внешних
пользователей предприятия.

▫ Зона управления сетью: системы управления сетью, включая контроллер SDN, WAC и
eLog (сервер журналов), развернуты в этой зоне для управления и мониторинга всей
кампусной сети.
• Проект кампусной сети начинается с планирования и проектирования сети. Комплексное и
детальное планирование сети является прочной основой для последующей реализации
проекта.

• Реализация проекта — это особая последовательность операций, выполняемых инженерами,

ответственными за реализацию проекта. Систематическое управление и отлаженный процесс
имеют решающее значение для успешной реализации проекта.

• Регулярное обслуживание и ремонт необходимы для обеспечения нормальной работы сетевых

функций и поддержки бесперебойного предоставления пользовательских сервисов.

• По мере развития пользовательских сервисов требования пользователей к сетевым функциям

возрастают. Если текущая сеть не удовлетворяет требованиям к обслуживанию или во время
работы сети возникают проблемы, значит сеть нуждается в оптимизации.
• В сети используется трехуровневая архитектура.

▫ S3700 работает как коммутатор доступа для обеспечения доступа к сети со скоростью 100
Мбит/с для ПК и принтеров сотрудников.

▫ S5700 развернут на уровне агрегации в качестве шлюза сети уровня 2.

▫ AR2240 развернут в ядре и на выходе кампусной сети.

• Примечание: Agg означает устройство на уровне агрегации. Acc означает устройство доступа.
• Для назначения IP-адреса можно использовать назначение динамического IP-адреса или
привязку статического IP-адреса. В небольшой или средней кампусной сети IP-адреса
назначаются на основе следующих принципов:

• IP-адреса WAN-интерфейсов на выходных шлюзах назначаются оператором связи в

статическом, DHCP или PPPoE режиме. IP-адреса выходных шлюзов необходимо заранее
получить у оператора связи.

• Рекомендуется, чтобы серверы и специальные терминалы (например, перфокарточные

машины, серверы печати и IP-камеры видеонаблюдения) использовали статические
привязанные IP-адреса.

• Пользовательский терминал: для динамического назначения IP-адресов пользовательским

терминалам, например, ПК и IP-телефонам, с использованием DHCP, рекомендуется развернуть
DHCP-сервер на шлюзе.
• Схема маршрутизации небольшой или средней кампусной сети включает в себя
проектирование внутренних маршрутов и маршрутов между выходом кампуса и Интернетом
или устройствами WAN.

• Проектирование внутренней маршрутизации небольшой или средней кампусной сети должно

соответствовать требованиям к связи устройств и терминалов кампусной сети и обеспечивать
взаимодействие с внешними маршрутами. Поскольку кампусная сеть имеет небольшой размер,
структура сети проста.

▫ AP: после назначения IP-адреса посредством DHCP по умолчанию создается маршрут по

умолчанию.

▫ Коммутатор и шлюз: статические маршруты могут использоваться для удовлетворения

требований. Не нужно использовать сложный протокол маршрутизации.

• Проектирование маршрутизации на выходе отвечает требованиям пользователей интрасети,

предъявляемым к доступу в Интернет и WAN. Если выходное устройство подключено к
Интернету или глобальной сети, на выходном устройстве рекомендуется настроить статические
маршруты.
• Помимо планирования сети и режима пересылки данных, также необходимо выполнить
следующие действия:

▫ Проектирование сетевого покрытия. Необходимо спроектировать и спланировать зоны

для покрытия сигналами Wi-Fi, чтобы гарантировать, что уровень сигнала в каждой зоне
отвечает требованиям пользователей и минимизировать межканальные помехи между
соседними точками доступа.

▫ Проектирование емкости сети. Необходимо спроектировать определенное количество

точек доступа на основе требований к пропускной способности, количества терминалов,
числа одновременных подключений и производительности каждой точки доступа. Это
гарантирует соответствие производительности WLAN требованиям доступа в Интернет
всех терминалов.

▫ Проектирование развертывания точки доступа. В зависимости от схемы покрытия сети

и фактических условий необходимо изменить и подтвердить фактическое положение для
развертывания точки доступа, режим развертывания и правила прокладки кабелей.

▫ Также требуется спроектировать систему безопасности WLAN и систему роуминга.

• Примечание: проектирование безопасности в этом случае реализуется только в зависимости от
маршрутизаторов или коммутаторов.
1. Планирование и проектирование сети, развертывание и внедрение, эксплуатация и
техобслуживание, оптимизация.

2. IP-адрес, используемый администратором сети для управления устройством.