HCIP-Routing & Switching Training Material (RUS)

Основы протокола OSPF
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.

Введение
 Routing Information Protocol (RIP) это протокол маршрутизации, основанный
на алгоритме вектора расстояния. Недостатки RIP, такие как медленная
конвергенция и плохая масштабируемость, проявляются при его
развертывании в крупномасштабных сетях.
 Open Shortest Path First (OSPF) это протокол маршрутизации по состоянию
канала на основе алгоритма SPF, разработанный Internet Engineering Task
Force (IETF). OSPF может быть развернут в крупномасштабных сетях для
преодоления недостатков RIP. Так как же OSPF отвечает требованиям
расширения сети?
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
 По окончании данного курса Вы:
 Будете понимать проблемы RIP в крупномасштабных сетях
 Ознакомитесь с характеристиками OSPF
 Освоите типы сетей, поддерживаемые OSPF
 Освоите процесс установления отношений соседства в OSPF
 Освоите принципы и функции OSPF DR и BDR
Содержание
1. Проблемы, с которыми сталкивается RIP в крупномасштабных сетях
2. Основные принципы OSPF
Изменения в крупномасштабных сетях
 Сети расширяются. Штаб-квартира компании
 Требуется более высокая

надежность сети.
 Наметилась тенденция по резкому
возрастанию неоднородности
сетей. Филиал A Филиал B
Существующие проблемы RIP в
крупномасштабных сетях
RTC
N1 N2
RTA RTB RTD RTE
t1 t2 t3 t4
Время конвергенции N1
Характеристики RIP Проблемы

Конвергенция на уровне ретрансляционных участков Медленная конвергенция и долгое восстановление после отказа
Механизм routing by rumor Недостаточное понимание топологии глобальной сети
Использование счетчика ретрансляционных участков для
Риск выбора неоптимального маршрута
измерения расстояния до точки назначения
Решение проблем RIP
Проблемы RIP Решения
Медленная конвергенция и долгое

Триггерные обновления
восстановление после отказа
Недостаточное понимание топологии Маршрутизатор самостоятельно рассчитывает

глобальной сети маршруты по информации о топологии
Использование пропускной способности канала как

Риск выбора неоптимального маршрута
критерия при выбора маршрута
Протокол маршрутизации по состоянию
канала OSPF
 Отделяет распространение информации маршрутизации от расчета маршрута.
 Использует алгоритм маршрутизации с предпочтением кратчайшего пути (SPF).
 Использует суммарный показатель cost канала в качестве критерия при выборе
маршрута.
LSDB
синхронизация
Рабочий процесс OSPF
 Шаг 1: установление отношений соседства.
 Шаг 2: синхронизация LSDB.
 Шаг 3: расчет
оптимальных маршрутов.

 Установление отношений соседства
 Информация о состоянии канала
 Типы пакетов и функции
 Синхронизация LSDB
 Выбор и роли DR и BDR
Router ID
 Каждый маршрутизатор OSPF имеет уникальный идентификатор Router ID,
который однозначно идентифицирует маршрутизатор в пределах
автономной системы (AS).
Кто я такой и кто другие?
Каждый маршрутизатор в LSDB
должен быть идентифицирован.
LSDB
синхронизация
Обнаружение соседей и установление отношений
соседства – пакет Hello
 Пакет Hello выполняет следующие функции:
 Обнаружение соседей: маршрутизатор OSPF может отправить пакет Hello для
обнаружения соседних маршрутизаторов.
 Установление отношений соседства: два маршрутизатора OSPF согласовывают
параметры в пакетах Hello для установления отношений соседства.
 Поддержание отношений соседства: маршрутизаторы OSPF используют
механизм Keepalive для постоянной проверки достижимости соседних устройств.
Процесс установления отношений соседства в
OSPF
Router ID 1.1.1.1 Router ID 2.2.2.2
RTA RTB
(1) Hello (Router ID:1.1.1.1 neighbor:null)

Down Down > Init
(2) Hello (Router ID:2.2.2.2 neighbor:null)

Down > Init Init
(3) Hello (Router ID:2.2.2.2 neighbor:1.1.1.1)

Init > 2-way Init
(4) Hello (Router ID:1.1.1.1 neighbor:2.2.2.2)

2-way Init > 2-way
Обнаружение соседей и установление отношений
соседства – ручное конфигурирование
 OSPF позволяет маршрутизаторам устанавливать отношения соседства при
помощи одноадресных пакетов Hello.
 Если в сети не поддерживается многоадресная рассылка, то отношения
соседства необходимо устанавливать вручную.
1.1.1.1 2.2.2.2
RTA RTB
ospf 1 ospf 1
peer 2.2.2.2 peer 1.1.1.1

Информация о состоянии канала
 Информация о канале включает:
 Тип канала
 IP-адрес интерфейса и маску подсети
 Соседние маршрутизаторы, использующие этот же канал
 Пропускная способность канала (cost)
Меня зовут 1.1.1.1

Смотри мою информацию о
состоянии канала ниже: xxxxx
Меня зовут 2.2.2.2

RTA Смотри мою информацию о RTB
состоянии канала ниже: xxxxx
Широкая поддержка канального уровня
 Существует множество протоколов канального уровня, и их рабочие механизмы
различаются.
 При адаптации различных протоколов канального уровня к конкретным сценариям
необходимо учитывать сферу применения каждого из них в сети.
FR
Тип сети – сеть «точка-точка»
 Только два маршрутизатора подключены друг к другу.
 Поддерживаются широковещательные и многоадресные рассылки.
10.1.12.2
10.1.12.1
RTA RTB
Тип сети – широковещательная сеть
 Два или более маршрутизаторов подключены через общие носители.
 Поддерживаются широковещательные и многоадресные рассылки.
RTA RTB
10.1.1.1 10.1.1.2
Ethernet
10.1.1.3 10.1.1.4
RTC RTD
Тип сети – сеть NBMA
 Два или более маршрутизаторов RTA
подключены через виртуальный канал (VC).

DLCI=102 DLCI=103
10.1.123.1
 Широковещательные и многоадресные
рассылки не поддерживаются.
FR
RTB RTC
Полносвязная сеть FR
Тип сети – сеть «точка-многоточка»
 Сеть «точка-многоточка» RTA
представляет собой набор из множества

DLCI=102 DLCI=103
10.1.123.1
сетей «точка-точка».
 Поддерживаются широковещательные и
многоадресные рассылки.
FR
RTB RTC
Частично связанная сеть FR
OSPF cost
 Cost интерфейса = эталонная пропускная способность/пропускная способность
интерфейса
 Следовательно, cost может быть изменена двумя способами:
 Конфигурирование cost непосредственно в режиме настройки интерфейса.
 Изменение эталонной пропускной способности. Такое изменение должно выполняться на
всех маршрутизаторах для обеспечения согласованности выбора маршрута.
Loopback 1
192.168.3.3/24
G1 G2 G3 G4
RTA RTB RTC
 Суммарный cost от RTA к подсети 192.168.3.0/24 = cost G1 + cost G3

Заголовок пакета OSPF
Протокол номер 89
Заголовок Заголовок Данные

IP-пакета OSPF-пакета OSPF-пакета
0 7 15 31
Version Type Packet Length
Router ID
Area ID
Checksum Auth Type
Authentication
Authentication
Типы пакетов OSPF
Тип Тип пакета Функция пакета

Обнаружение и поддержание отношений
1 Hello
соседства OSPF.
2 Database Description (DD) Обмен сводной информацией из LSDB.
Запрос определенной информации о

3 Link State Request (LSR)
состоянии канала.
Отправка запрошенной информации о
4 Link State Update (LSU)
состоянии канала.
5 Link State Ack (LSAck) Подтверждение получения LSA.
 Подумайте, какую информацию содержат пакеты DD, LSR, LSU и LSAck и

почему эта информация в них содержится?
Функциональные требования к пакетам
OSPF
Выполняемая функция Анализ реализации

Обнаружение и поддержание
Используется механизм Hello.
состояния соседства
Задействованы 2 маршрутизатора,
отправляющие LSA друг другу для
Синхронизация LSA
синхронизации. Синхронизация LSA происходит
быстро и потребляет меньше ресурсов.
Надежность Обеспечивается надежная синхронизация LSA.

Синхронизация LSDB в OSPF (1)
RTA RTB
(1) DD(Seq=X, I, M, MS)

ExStart
(2) DD(Seq=Y, I, M, MS) ExStart
ExStart > Exchange
Exchange (3) DD(Seq=Y) ExStart > Exchange
(4) DD(Seq=Y+1, MS) Exchange

Exchange
(5) DD(Seq=Y+1)
Exchange > Loading Exchange > Full
Синхронизация OSPF LSDB (2)
RTA RTB
(6) LS Request
Loading Full
(7) LS Update
Loading > Full Full
(8) LSAck
Full Full
Машина состояний соседей OSPF
Down
Hello Received Start

Attempt
Hello Received
Init
1-way Received
ExStart 2-way
Negotiation Done 2-way Hello Received
Exchange
Exchange Done
Full Loading
Loading Done
Заголовок LSA
 LSA несут информацию OSPF о состоянии каналов.
0 15 23 31
LS age Options LS type
Link State ID
Advertising Router
LS sequence number
LS checksum Length

Проблемы в MA Networks
 Управление nx(n-1)/2 смежностей затруднено.
 Ненужная лавинная рассылка повторяющихся LSA – пустая трата ресурсов.
RTA RTB
RTC RTD
Роль DR и BDR
 Сокращение числа смежностей.
 Сокращение трафика OSPF.
RTA RTB
Псевдоузел
RTC RTD
 Вопрос: как избежать того, что DR становится единственной точкой отказа?
Выбор DR и BDR
 Правила выбора: выбор DR/BDR происходит среди интерфейсов.
 Приоритет имеет интерфейс с наивысшим приоритетом маршрутизатора.
 Если интерфейсы имеют равный приоритет маршрутизатора, то приоритет имеет
интерфейс с наибольшим значением router ID.
RTA (DR) RTB (DRother) Не подходит для
того, чтобы стать
DR или BDR
100 0
10.1.1.1 10.1.1.2
95 200
10.1.1.3 10.1.1.4
Не обязательно станет
DR/BDR, даже несмотря
на наивысший приоритет
маршрутизатора
RTC (BDR) RTD (DRother)
Отношения соседства и смежности
Тип сети Устанавливается ли смежность
«Точка-точка» Да
Широковещательная DR устанавливает смежности с BDR и DRothers

BDR устанавливает смежности с DR и Drothers
DRothers устанавливают друг с другом только
NBMA
отношения соседства
«Точка-многоточка» Да
Вопросы
1. Что из представленного ниже является пакетами OSPF?
А. Hello
Б. Database Description
В. Link State Request
Г. Link State DD
Д. Link State Advertisement
2. Какие типы сетей OSPF бывают?
Спасибо!
www.huawei.com
Маршрутизация внутри области OSPF
Введение
 Данный курс заключается в том, как OSPF вычисляет внутризоновые
маршруты, в том числе как использовать Router-LSA и Network-LSA для
описания информации о топологии и маршрута, а также как построить SPT
(shortest path tree).
Цель
 По окончании данного курса Вы узнаете:
 Содержание Router-LSA и его функции
 Содержание Network-LSA и его функции
 Алгоритм SPF (shortest path first)
1. Router-LSA
2. Network-LSA
3. Расчет SPF
Router-LSA, описывающий интерфейс
«точка-точка»
RID 1.1.1.1 RID 3.3.3.3
10.1.13.0/24
RTA RTC
<RTA>display ospf lsdb router self-originate
Type : Router //Тип LSA

Ls id : 1.1.1.1 // Идентификатор состояния канала
Adv rtr : 1.1.1.1 // Идентификатор маршрутизатора, генерирующего LSA
* Link ID: 3.3.3.3 //Идентификатор соседнего маршрутизатора

Информация о Data : 10.1.13.1 //IP-адрес интерфейса маршрутизатора, генерирующего LSA
топологии Link Type: P-2-P
Metric : 48
* Link ID: 10.1.13.0 //IP-адрес этой оконечной сети (stub network)
Информация о Data : 255.255.255.0 //Маска сети этой оконечной сети
маршрутизации Link Type: StubNet
Metric : 48 // Значение стоимости (Cost)
Priority : Low
Router-LSA, описывающий сеть MA или NBMA
RID 2.2.2.2
RTB
DR
10.1.235.0/24
RID 3.3.3.3 RID 4.4.4.4
RTC RTE
<RTC>display ospf lsdb router self-originate
Type : Router //Тип LSA

Ls id : 3.3.3.3 //Идентификатор состояния канала
Adv rtr : 3.3.3.3 //Идентификатор маршрутизатора, генерирующего LSA
Информация * Link ID: 10.1.235.2 //IP-адрес интерфейса назначенного маршрутизатора

Data : 10.1.235.3 //IP-адрес интерфейса маршрутизатора, который объявляет LSA
о топологии
Link Type: TransNet
Metric : 1
 Вопрос: Где находится идентификатор сети или маска подсети?

1. Router-LSA
2. Network-LSA
3. Расчет SPF
Network-LSA, описывающий сеть MA или
NBMA
<RTB>display ospf lsdb network self-originate
OSPF Process 1 with Router ID 2.2.2.2

Area: 0.0.0.0
Link State Database
Type : Network //Тип LSA

Ls id : 10.1.235.2 //IP-адрес интерфейса DR
Adv rtr : 2.2.2.2 //Router ID DR
Топология и
информация о Net mask : 255.255.255.0 //Маска подсети
маршрутизации Priority : Low
Attached Router 2.2.2.2 //Список маршрутизаторов, подключенных к этой сети
Attached Router 3.3.3.3
LSDB в области OSPF
10.1.12.0/24
10.1.24.0/24
10.1.13.0/24
10.1.235.0/24 RTD
10.1.45.0/24
RTC RTE
<RTA>display ospf lsdb

Link State Database
Area: 0.0.0.0
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 4.4.4.4 4.4.4.4 1436 72 80000007 48
Router 2.2.2.2 2.2.2.2 1305 72 80000019 1
Router 1.1.1.1 1.1.1.1 1304 60 80000007 1
Router 5.5.5.5 5.5.5.5 1326 60 80000017 1
Router 3.3.3.3 3.3.3.3 1325 60 8000000F 1
Network 10.1.235.2 2.2.2.2 1326 36 80000004 0
Network 10.1.12.2 2.2.2.2 1305 32 80000001 0
1. Router-LSA
2. Network-LSA
3. Расчет SPF
Алгоритм SPF
 Этап 1: Создание дерево SPT.
 Создать SPT на основе информации о
топологии в Router-LSA и Network-LSA.
 Этап 2: Расчет оптимального маршрута.

 Рассчитать оптимальный маршрут на
основе SPT и маршрутной информации в
Router-LSA и Network-LSA.
Создание SPT (1)
<RTA>display ospf lsdb router self-originate
Общая стоимость Родительский
Кандидат
Type : Router кандидата узел
Ls id : 1.1.1.1
10.1.12.2 1 1.1.1.1
Adv rtr : 1.1.1.1
* Link ID: 10.1.12.2 3.3.3.3 48 1.1.1.1
Data : 10.1.12.1
Link Type: TransNet
Metric : 1
* Link ID: 3.3.3.3
Data : 10.1.13.1 1.1.1.1 RTA
Link Type: P-2-P 1
Metric : 48
* Link ID: 10.1.13.0
Data : 255.255.255.0 DR: 10.1.12.2
Link Type: StubNet
Metric : 48
Priority : Low
<RTA>display ospf lsdb network 10.1.12.2 Общая стоимость Родительский

Кандидат
кандидата узел
Type : Network 3.3.3.3 48 1.1.1.1
Ls id : 10.1.12.2
Adv rtr : 2.2.2.2 2.2.2.2 1+0 10.1.12.2
Net mask : 255.255.255.0

Priority : Low
1.1.1.1 RTA
1
DR: 10.1.12.2
0
2.2.2.2 RTB
<RTA>display ospf lsdb router 2.2.2.2 Общая стоимость Родительский
Кандидат
Type : Router
Ls id : 2.2.2.2 3.3.3.3 48 1.1.1.1
Adv rtr : 2.2.2.2
10.1.235.2 1+0+1 2.2.2.2
* Link ID: 10.1.12.2
Data : 10.1.12.2 4.4.4.4 1 + 0 + 48 2.2.2.2
Link Type: TransNet
Metric : 1
* Link ID: 10.1.235.2
Data : 10.1.235.2
Link Type: TransNet 1.1.1.1 RTA
Metric : 1 1
* Link ID: 4.4.4.4
Data : 10.1.24.2 DR: 10.1.12.2
Link Type: P-2-P 0
Metric : 48
* Link ID: 10.1.24.0 2.2.2.2 RTB
Data : 255.255.255.0 1
Link Type: StubNet
Metric : 48
DR：10.1.235.2
Priority : Low
Общая стоимость Родительский
кандидат
3.3.3.3 48 1.1.1.1
<RTA>display ospf lsdb network 4.4.4.4 1 + 48 2.2.2.2
10.1.235.2
3.3.3.3 1+0+1+0 10.1.235.2
Type : Network 5.5.5.5 1+0+1+0 10.1.235.2

Ls id : 10.1.235.2
Adv rtr : 2.2.2.2 RTA
1.1.1.1
1
Net mask : 255.255.255.0
Priority : Low DR: 10.1.12.2
Attached Router 2.2.2.2 0
Attached Router 3.3.3.3 RTB
Attached Router 5.5.5.5 2.2.2.2
1
DR: 10.1.235.2
0 0
3.3.3.3 5.5.5.5

Кандидат
Type : Router 4.4.4.4 1 48 2.2.2.2
Ls id : 3.3.3.3
Adv rtr : 3.3.3.3 1.1.1.1 RTA
* Link ID: 10.1.235.2 1
Data : 10.1.235.3
Link Type: TransNet DR: 10.1.12.2
Metric : 1 0
* Link ID: 1.1.1.1
Data : 10.1.13.3 2.2.2.2 RTB
1
Link Type: P-2-P
Metric : 48
DR: 10.1.235.2
* Link ID: 10.1.13.0
0 0
Data : 255.255.255.0
Link Type: StubNet 3.3.3.3 5.5.5.5
Metric : 48
Priority : Low

Кандидат
Type : Router 4.4.4.4 1 + 48 2.2.2.2
Ls id : 5.5.5.5 4.4.4.4 1 + 0 + 1 + 0 + 48 5.5.5.5
Adv rtr : 5.5.5.5
* Link ID: 10.1.235.2
Data : 10.1.235.5 1.1.1.1 RTA
1
Link Type: TransNet
Metric : 1
DR: 10.1.12.2
* Link ID: 4.4.4.4
0
Data : 10.1.45.5
Link Type: P-2-P 2.2.2.2 RTB
Metric : 48 1 48
* Link ID: 10.1.45.0
Data : 255.255.255.0 DR: 10.1.235.2
Link Type: StubNet 0 0
4.4.4.4
Metric : 48
3.3.3.3 5.5.5.5
Priority : Low
Расчет оптимального маршрута
 Сбор информации о маршрутизации из LSA всех узлов SPT.
 Начиная с корня, в той же последовательности, в которой они были
добавлены в SPT. * Link ID: 10.1.13.0
Data : 255.255.255.0
Link Type: StubNet
① Metric : 48
RTA Priority : Low
1.1.1.1 Type : Network

1 Ls id : 10.1.12.2
Adv rtr : 2.2.2.2
Type : Network ② Net mask : 255.255.255.0
Ls id : 10.1.235.2 DR: 10.1.12.2
Adv rtr : 2.2.2.2 0
Net mask : 255.255.255.0 RTB * Link ID: 10.1.24.0
③ Data : 255.255.255.0
2.2.2.2 Link Type: StubNet
④ 1 48 Metric : 48
Priority : Low
DR: 10.1.235.2 4.4.4.4

0 0 * Link ID: 10.1.45.0
⑤ Data : 255.255.255.0
Link Type: StubNet
3.3.3.3 5.5.5.5 Metric : 48
Priority : Low
Просмотр таблицы маршрутизации OSPF
<RTA>display ospf routing

Routing Tables
Routing for Network

Destination Cost Type NextHop AdvRoute Area
10.1.12.0/24 1 Transit 10.1.12.1 1.1.1.1 0.0.0.0
10.1.13.0/24 48 Stub 10.1.13.1 1.1.1.1 0.0.0.0
10.1.24.0/24 49 Stub 10.1.12.2 2.2.2.2 0.0.0.0
10.1.45.0/24 50 Stub 10.1.12.2 5.5.5.5 0.0.0.0
10.1.235.0/24 2 Transit 10.1.12.2 2.2.2.2 0.0.0.0
Total Nets: 5
Intra Area: 5 Inter Area: 0 ASE: 0 NSSA: 0
Пример конфигурирования OSPF для
одной области
ospf 1 router-id 1.1.1.1 ospf 1 router-id 2.2.2.2
area 0 area 0
network 10.1.12.0 0.0.0.255 network 10.1.12.0 0.0.0.255
network 10.1.13.0 0.0.0.255 network 10.1.24.0 0.0.0.255
network 10.1.235.0 0.0.0.255
RTA RTB
10.1.12.0/24
10.1.24.0/24
10.1.13.0/24
10.1.235.0/24 RTD ospf 1 router-id 4.4.4.4

10.1.45.0/24 area 0
network 10.1.24.0 0.0.0.255
network 10.1.45.0 0.0.0.255
RTC РТЕ
ospf 1 router-id 3.3.3.3
area 0 ospf 1 router-id 5.5.5.5
network 10.1.13.0 0.0.0.255 area 0
network 10.1.235.0 0.0.0.255 network 10.1.45.0 0.0.0.255
network 10.1.235.0 0.0.0.255
Просмотр статуса соседа OSPF
<RTA>display ospf peer brief

Peer Statistic Information
------------------------------------------------------------------------------------------------------------
Area Id Interface Neighbor id State
0.0.0.0 GigabitEthernet0/0/0 2.2.2.2 Full
0.0.0.0 Serial1/0/0 3.3.3.3 Full
------------------------------------------------------------------------------------------------------------
Вопросы
1. Какие типы канала могут быть описаны Router-LSA?
2. Будет ли маршрут, выбранный OSPF, обязательно добавлен в таблицу

маршрутизации маршрутизатора?
Спасибо!
www.huawei.com
Межобластная маршрутизация OSPF
Введение
 По мере роста сети, с увеличением структурной сложности маршрутизаторы
потребляют больше ресурсов памяти и ЦП для расчета маршрутов.
 Кроме того, растет и коэффициент отказов сетей. Если в области возникает
неисправность, то все маршрутизаторы в этой области должны пересчитать
маршруты. Это может налагать тяжелое бремя на маршрутизаторы и
ухудшать стабильность сети.
 Как работает протокол OSPF для решения проблем, вызванных чрезмерно
большой областью?
Цель
 Процессы передачи межобласных маршрутов
 Способ предотвращения межзобласной маршрутной петли
 Способ конфигурации виртуальных каналов
1. Вычисление межобластного маршрута
2. Предотвращение межобластной маршрутной петли
3. Функции и конфигурация виртуальных каналов
Деление областей
Внутренний
маршрутизатор
Пограничный
областный
маршрутизатор (ABR)
RTA
Область 1 Область 2
RTB RTC
Область 0
RTD RTE
Передача межобластного маршрута
192.168.1.0/24
carried in a Type 3
LSA and advertised in
Area 0
192.168.1.0/24 192.168.1.0/24
carried in a Type 1 carried in a Type 3
LSA and advertised LSA and advertised in
in Area 1 Area 2
RTA
192.168.1.1/24 192.168.2.1/24
RTB RTC
Область 1 Область 0 Область 2
RTD RTE
192.168.2.0/24
carried in a Type 1
192.168.2.0/24 LSA and advertised in 192.168.2.0/24
carried in a Type 3 Area 0 carried in a Type 1
LSA and advertised in LSA and advertised in
Area 1 Area 2
LSA: Реклама Link-state Информация о состоянии канала

Информация о маршрутизации
Network-Summary-LSA
<RTB>display ospf lsdb summary 192.168.1.0
Area: 0.0.0.0
Link State Database
Type : Sum-Net //Type 3 LSA
Ls id : 192.168.1.0 //Destination network segment address
Adv rtr : 2.2.2.2 //ID of the router that generates the LSA
Ls age : 86
Len : 28
Options : E
seq# : 80000001
chksum : 0x7c6d
Net mask : 255.255.255.0 //Subnet mask
Tos 0 metric: 1 //Cost value
Вычисление межобластного маршрута
Результат вычисления RTA в области 0 Результат вычисления RTE в области 2
1 1 1
RTA RTE
RTB RTC RTC

（ABR）（ABR）（ABR）
1 1 3
192.168.1.0/24 192.168.2.0/24 192.168.1.0/24
Генерация межобластной маршрутной
петли
RTA
Область 0
RTB RTC
192.168.1.0/24
advertised in Area 1
RTD advertises a Type 3

LSA describing subnet RTD RTE
192.168.1.0/24 to Area 1
192.168.1.0
Область 3
Предотвращение межобластной
маршрутной петли
 Магистральная область и немагистральная область
 Правила передачи Type 3 LSA Магистральная область
Область 0
Не-магистральная
область
 Вопрос: Что произойдет, если ID области установлен в ненулевое значение,

когда существует только одна область?
Неправильное проектирование области
OSPF
RTA
Область 1
RTD RTB RTC RTE
 Как быть, если соблюдать правила предотвращения возникновения

маршрутных петель между областями OSPF не удается?
Виртуальные каналы
RTA
Область 1
RTD RTB RTC RTE
[RTB-ospf-1]ospf 1 [RTC-ospf-1]ospf 1
[RTB-ospf-1]area 1 [RTC-ospf-1]area 1
[RTB-ospf-1-area-0.0.0.1]vlink-peer 3.3.3.3 [RTC-ospf-1-area-0.0.0.1]vlink-peer 2.2.2.2
Вопросы
1. Может ли один Network-Summary-LSA описать несколько маршрутов?
2. Как OSPF предотвращает междоменные маршруты маршрутизации?
Спасибо!
www.huawei.com
Внешняя маршрутизация OSPF

Введение
 Кроме внутренней связи предприятия требуют еще внешней связи.
 Предположим, протокол OSPF был развернут в корпоративной сети
компании A для обеспечения внутренней связи. Когда необходимо посетить
веб-сервер, расположенный на корпоративной сети компании B, как сетевой
инженер компании может импортировать маршрутную информацию из
корпоративной сети компании B для достижения поставленной цели?
Цель
 Функции AS-External-LSA и ASBR-Summary-LSA
 Методы вычисления внешних маршрутов OSPF
 Причину субоптимальных внешних маршрутов
1. Вычисление внешнего маршрута
2. Типы внешних маршрутов
3. Причина субоптимальных внешних маршрутов
Импорт внешних маршрутов
Company
CompanyBB
10.1.60.0/24 [RTA]ip route-static 10.1.60.0

255.255.255.0 10.1.16.6
RTF [RTA]ospf 1
[RTA-ospf-1]import-route static
Company A Type 5 LSA
Type 5 LSA RTA Type 5 LSA

Type 4 LSA Type 4 LSA
Area 0
Area 1 Area 2
RTD RTB RTC RTE
AS-External-LSA
<RTA>display ospf lsdb ase self-originate

Link State Database
Type : External //Тип LSA
Ls id : 10.1.60.0 //Адрес сегмента сети назначения
Adv rtr : 1.1.1.1 //Идентификатор ASBR, генерирующего Type
5 LSA
Ls age : 1340
Len : 36
Options : E
seq# : 80000004
chksum : 0xb5cc
Net mask : 255.255.255.0 //Маска подсети
TOS 0 Metric: 1 //Стоимость
E type : 2
Forwarding Address : 0.0.0.0
Tag :1
Priority : Low
ASBR-Summary-LSA
<RTB>display ospf lsdb asbr self-originate
Area: 0.0.0.1
Link State Database
Type : Sum-Asbr //Тип LSA

Ls id : 1.1.1.1 //Идентификатор маршрутизатора ASBR
Adv rtr : 2.2.2.2 //Идентификатор ABR, генерирующего Type 4
LSA
Ls age : 15
Len : 28
Options : E
seq# : 80000005
chksum : 0xf456
Tos 0 metric: 1 //Стоимость маршрута от RTB до ASBR
Расчет внешнего маршрута
Результат вычисления RTB в Области 0 Результат вычисления RTD в Области 1

(область, в которой находится ASBR) (не та область, в которой находится ASBR)
10.1.60.0/24 cost=1
RTA
（ASBR）
RTD RTB 10.1.60.0/24
（ABR） Стоимость = 1
RTB RTC
Типы внешних маршрутов
Тип Стоимость (Cost)
Внутренняя стоимость AS +
Внешний маршрут типа 1
внешняя стоимость AS
Внешний маршрут типа 2 Внешняя стоимость AS
Причина субоптимальных внешних
маршрутов
Перераспределение
.2 маршрутов RIP в OSPF
OSPF
RTB
RTA RIP
.1
RTC
10.1.123.0/24
.3
192.168.3.0/24
<RTA>display ip routing-table 192.168.3.0
Destination/Mask Proto Pre Cost Flags NextHop Interface
192.168.3.0/24 O_ASE 150 1 D 10.1.123.2 GigabitEthernet0/0/0
Адрес переадресации
Перераспределение маршрутов RIP в OSPF Type 5 LSA, сгенерированный RTB:
Type : External
Ls id : 192.168.3.0
.2 Adv rtr : 2.2.2.2
OSPF Ls age : 273
Len : 36
RTB Options : E
.1
RTA RIP seq# : 80000001
Chksum : 0x470b
RTC Net mask : 255.255.255.0
TOS 0 Metric: 1
10.1.123.0/24 E type :2
.3 Forwarding Address : 10.1.123.3
Tag :1
Priority : Low
192.168.3.0/24
<RTA>display ip routing-table 192.168.3.0
192.168.3.0/24 O_ASE 150 1 D 10.1.123.3 GigabitEthernet0/0/0
Вопросы
1. На каком типе маршрутизаторов генерируется AS-External-LSA? Каковы функции
AS-External-LSA?
2. На каком типе маршрутизаторов генерируется ASBR-Summary-LSA? Каковы

функции ASBR-Summary-LSA?
3. Какие два типа внешних маршрутов предоставляет OSPF? Какой тип маршрутов
имеет более высокий приоритет?
Спасибо!
www.huawei.com
Специальные области OSPF и прочие
функциональные особенности
Введение
 Маршрутизаторы OSPF должны сохранять базы данных состояния каналов (LSDB),
содержащие внутриобластную, межобластную и внешнюю информацию маршрутизации. По
мере расширения сети растут количество или размер LSDB. Если в одной из областей OSPF
не нужно предоставлять транзитные услуги для прохождения трафика, то маршрутизаторам
в этой области не нужно сохранять информацию о состоянии каналов за пределами этой
области.
 OSPF сокращает количество LSA в сети путем деления его автономной системы (AS) на ряд
областей. Однако, возможна лавинная рассылка слишком большого количества LSA в
немагистральных областях, что создаст непосильную нагрузку на маршрутизаторы нижнего
ценового сегмента, расположенные в таких областях. Для дальнейшего сокращения
количества LSA и размеров таблицы маршрутизации была предложена пара специальных
областей OSPF.
Цель
 По окончании данного курса Вы будете:
 Понимать особенности специальной области OSPF
 Понимать сценарии применения виртуальных каналов OSPF
 Ознакомлены с принципом суммирования маршрута OSPF
 Ознакомлены с механизмом обновления OSPF
 Понимать механизм аутентификации OSPF
1. Тупиковая область и полностью тупиковая область
2. NSSA и Totally NSSA
3. Суммирование маршрута между областями и суммирование внешнего

маршрута
4. Механизмы обновления OSPF
5. Механизм аутентификации OSPF
Транзитная область и конечная область
Внешняя сеть
Транзитная область
Конечная область
RTA
Область 0
RTD RTB RTC РТЕ
Тупиковая область
Тупиковая область
RTA
Область 0
ospf 1 RTD RTB RTC RTE
area 1
stub
LSDB в RTD LSDB в RTD

LSA Type 1, Type 2 и Type 3 LSA Type 1, Type 2 и Type 3
Type 5 LSA
Один Type 3 LSA по умолчанию
Type 4 LSA
...
Type 5 LSA Заменяются
Type 4 LSA
Таблица маршрутизации OSPF в
тупиковой области
<RTD>display ospf routing

Routing Tables
Routing for Network

Destination Cost Type NextHop AdvRouter Area
10.1.24.0/24 1 Transit 10.1.24.4 4.4.4.4 0.0.0.1
0.0.0.0/0 2 Inter-area 10.1.24.2 2.2.2.2 0.0.0.1
10.1.12.0/24 2 Inter-area 10.1.24.2 2.2.2.2 0.0.0.1
10.1.13.0/24 3 Inter-area 10.1.24.2 2.2.2.2 0.0.0.1
10.1.35.0/24 4 Inter-area 10.1.24.2 2.2.2.2 0.0.0.1
192.168.2.0/24 4 Inter-area 10.1.24.2 2.2.2.2 0.0.0.1
Полностью тупиковая область
Полностью
тупиковая область RTA
Область 0
ospf 1 RTD RTB RTC RTE
area 1 ospf 1
stub area 1
LSDB в RTD stub no-summary
LSA Type 1 и Type 2 LSDB в RTD

Type 3 LSA LSA Type 1 и Type 2
Type 5 LSA Один Type 3 LSA по умолчанию
Type 4 LSA
... Заменяются
Type 5 LSA
Type 4 LSA
Таблица маршрутизации OSPF в
полностью тупиковой области
<RTD>display ospf routing

Routing Tables
Routing for Network

Destination Cost Type NextHop AdvRouter Area
10.1.24.0/24 1 Transit 10.1.24.4 4.4.4.4 0.0.0.1
0.0.0.0/0 2 Inter-area 10.1.24.2 2.2.2.2 0.0.0.1

маршрута
Проблемы, возникающие в тупиковых и
полностью тупиковых областях
Внешняя Импорт внешних

Оптимальный маршрутов
сеть
маршрут
RTA
Область 0
RTD RTB RTC RTE
Тупиковая/полность
ю тупиковая область
NSSA и Totally NSSA
Внешняя
сеть
ospf 1
area 1 RTA
nssa Область 1 Область 2
Область 0
RTD RTB RTC RTE
Type 7 LSA Type 5 LSA Type 5 LSA

ASBR ABR ABR Type 4 LSA
Преобразование
LSA Type 7 в LSA
Type 5
Импорт внешних маршрутов Создание LSA Type 4
Примеры LSDB в NSSA и totally NSSA
NSSA Totally NSSA

<RTB>display ospf lsdb <RTB>display ospf lsdb
OSPF Process 1 with Router ID 2.2.2.2 OSPF Process 1 with Router ID 2.2.2.2
Link State Database Link State Database
Area: 0.0.0.1 Area: 0.0.0.1

Type LinkState ID AdvRouter Type LinkState ID AdvRouter
Router 4.4.4.4 4.4.4.4 Router 4.4.4.4 4.4.4.4
Router 2.2.2.2 2.2.2.2 Router 2.2.2.2 2.2.2.2
Network 10.1.24.4 4.4.4.4 Network 10.1.24.4 4.4.4.4
Sum-Net 10.1.35.0 2.2.2.2 Sum-Net 0.0.0.0 2.2.2.2
Sum-Net 10.1.13.0 2.2.2.2 NSSA 0.0.0.0 2.2.2.2
Sum-Net 10.1.12.0 2.2.2.2 NSSA 10.1.47.0 4.4.4.4
Sum-Net 192.168.2.0 2.2.2.2 NSSA 192.168.7.0 4.4.4.4
NSSA 0.0.0.0 2.2.2.2 NSSA 10.1.24.0 4.4.4.4
NSSA 10.1.47.0 4.4.4.4
NSSA 192.168.7.0 4.4.4.4
NSSA 10.1.24.0 4.4.4.4
Резюме LSA
Объявляющий
LSA Type Содержание LSA Границы объявления
Router-LSA Информация о топологии и
Маршрутизатор OSPF Локальная область
(Type 1) маршрутизации
Network-LSA Назначенный Информация о топологии и

Локальная область
(Type 2) маршрутизатор (DR) маршрутизации
Network-Summary-LSA Информация о маршрутизации Области, за исключением

ABR
(Type-3) между областями полностью тупиковых
ASBR-Summary-LSA Области, за исключением

ABR Router ID ASBR
(Type 4) полностью тупиковых
AS-External-LSA Информация о внешней Области OSPF, за исключением

ASBR
(Type 5) маршрутизации AS тупиковых
NSSA-LSA Информация о внешней

ASBR Totally NSSA
(Type 7) маршрутизации NSSA
 Вопрос: Каковы ограничения специальных областей OSPF? Существуют ли

какие-то другие методы сокращения количества LSA?

маршрута
Суммирование маршрута между
областями
RTA
172.16.0.0/24
172.16.1.0/24
Область 1
172.16.2.0/24
172.16.3.0/24
172.16.4.0/24 Область 0
172.16.5.0/24
172.16.6.0/24 RTD RTB RTC
172.16.7.0/24
ospf 1
area 1
abr-summary 172.16.0.0 255.255.248.0
Type LinkState ID AdvRouter
Sum-Net 172.16.0.0 2.2.2.2
Sum-Net 172.16.1.0 2.2.2.2
Sum-Net 172.16.2.0 2.2.2.2
Sum-Net 172.16.3.0
Sum-Net 172.16.4.0
2.2.2.2
2.2.2.2
8 vs 1 Sum-Net 172.16.0.0 2.2.2.2
Sum-Net 172.16.5.0 2.2.2.2
Sum-Net 172.16.6.0 2.2.2.2
Sum-Net 172.16.7.0 2.2.2.2
Суммирование внешнего маршрута
172.17.0.0/24 172.17.4.0/24
172.17.1.0/24 172.17.5.0/24
172.17.2.0/24 172.17.6.0/24
172.17.3.0/24 172.17.7.0/24
RTA ospf 1
Область 1 asbr-summary 172.17.0.0 255.255.248.0
Область 0
RTD RTB RTC
AS External Database
External 172.17.0.0 1.1.1.1 AS External Database
External 172.17.1.0 1.1.1.1 Type LinkState ID AdvRouter
External 172.17.2.0 1.1.1.1 8 vs 1 External 172.17.0.0 1.1.1.1
External 172.17.3.0 1.1.1.1
External 172.17.4.0 1.1.1.1
External 172.17.5.0 1.1.1.1
External 172.17.6.0 1.1.1.1
External 172.17.7.0 1.1.1.1

маршрута
Периодическое и инициируемое
обновление LSA
 Периодическое обновление:
 Каждый LSA обновляется раз в 1800 секунд, иначе срок его действия истечет по
прошествии 3600 секунд.
 Инициируемое обновление:
 При изменении состояния канала маршрутизатор немедленно отправляет пакет
Link State Update (LSU).
LSU
192.168.1.0/24
LSAck
RTA RTB

маршрута
Риски безопасности
Нормальный
трафик
RTA RTB
База
Финансовый
данных
отдел
Ненормальный
трафик Вводимый ложный
маршрут
Несанкционированное
устройство
Аутентификация обеспечивает
безопасность
ospf 1
area 0
authentication-mode md5 1 cipher abc
Нормальный
трафик
RTA RTB
Финансовый База
отдел данных
Аутентификация
Неудача при попытке

вводе маршрута
Несанкционированное
Комплексный сценарий OSPF
 На следующем рисунке представлена топология сети предприятия. Базовое конфигурирование OSPF выполнено, но администратор сети по-
прежнему сталкивается со следующими проблемами:
 Связь между головным офисом и филиалами А и Б работает нормально, но все они не могут связаться с удаленным офисом В.
 В связи с низкой производительностью устройств в филиале А должна быть снижена нагрузка по вычислению маршрутов и хранению
состояний каналов. Кроме того, имея в виду будущее расширение сети, для этой области должна быть предусмотрена возможность
импорта внешних маршрутов.
 Должна быть обеспечена безопасность информации маршрутизации в удаленном офисе В из-за частых визитов туда гостей.
 Помимо внешней cost, при импорте внешних маршрутов в RTA также необходимо учитывать внутреннюю cost OSPF.
RTA Область 0
Головной офис
10.1.123.0/24
10.1.24.0/24 10.1.35.0/24 10.1.56.0/24
Область 3
Область 1 RTB RTC Область 2
Удаленный
RTD Филиал А Филиал Б RTE RTF
офис В
Конфигурирование OSPF (1)
ospf 1
area 2
vlink-peer 5.5.5.5
ospf 1
area 2
RTA Область 0 vlink-peer 3.3.3.3
10.1.123.0/24
10.1.24.0/24 10.1.35.0/24 10.1.56.0/24
Область 1 RTB RTC Область 2 Область 3

RTD Филиал А Филиал Б RTE Офис В RTF
ospf ospf
area 1 area 1
nssa nssa no-summary
Конфигурирование OSPF (2)
ospf 1
import-route rip 1 type 1
RTA Область 0
10.1.123.0/24
10.1.24.0/24 10.1.35.0/24 10.1.56.0/24
Область 1 RTB RTC Область 2

Область 3
RTD Филиал А Филиал Б RTE RTF
Офис В
interface g0/0/1 interface g0/0/0

ospf authentication-mode ospf authentication-mode
hmac-md5 1 cipher huawei hmac-md5 1 cipher huawei
Вопросы
1. Какие специальные области определены в OSPF?
2. Каковы различия между тупиковой и полностью тупиковой областями?
3. Какие маршрутизаторы могут быть сконфигурированы для суммирования

маршрутов между областями?
Спасибо!
www.huawei.com
Принципы и конфигурации IS-IS

Введение
 Промежуточная System-to-Intermediate System (IS-IS) представляет собой IGP на
базе состояния каналов. Для расчета маршрутов она использует алгоритм
маршрутизации с предпочтением кратчайшего пути (SPF). IS-IS это динамический
протокол маршрутизации, первоначально разработанный Международной
организацией по стандартизации (ISO) для ее Протокола сетевого обслуживания
без установления соединения (CLNP).
 Для поддержки IP-маршрутизации Internet Engineering Task Force (IETF) расширяет
и изменяет IS-IS в RFC 1195. Это позволяет применять IS-IS к средам TCP/IP и OSI.
Данный тип IS-IS называется Integrated IS-IS. IS-IS широко используется в
крупномасштабных сетях ISP благодаря простоте и возможностям
масштабирования.
Цель
 Освоите принципы и конфигурации IS-IS
 Познакомитесь с различиями между IS-IS и OSPF
1. Принципы IS-IS
2. Различия между IS-IS и OSPF
3. Конфигурации IS-IS
Применение
CE
CE
PE
ER ER
OSPF
IS-IS+BGP PE
CS CS
PE PE
PE
CE
CE
SW SW SW
 Кампусная сеть:  Магистральная сеть:

Различные области, изменчивые политики Плоская область, быстрая конвергенция
и точное временное планирование и высокий объем передачи
Происхождение
OSI
Уровень
приложений
Уровень TCP/IP
представления
Уровень Уровень
сеансов приложений
Транспортный Транспортный
TP0-TP4 OSPF TCP
уровень уровень
Сетевой Сетевой
CLNP IS-IS IP
Канальный Канальный
ES-IS ARP
Физический Integrated Физический
уровень IS-IS уровень
 Интегрированные характеристики IS-IS:  Характеристики OSPF:

 Поддержка сетей CLNP и IP.  Поддерживает только IP-сети.
 Работает на канальном уровне.  Работает на IP-уровне.
Расчет маршрута
Этот процесс
 Установление отношений соседства аналогичен
таковому в OSPF
Hello
 Синхронизация LSDB
LSDB LSDB
LSP1 LSP3
LSP2 LSP4
------- -------
 Выполнение вычислений маршрута SPF

Алгоритм маршрутизации
с предпочтением
кратчайшего пути
Структура адреса
Набор протоколов Протокол IP IP-адрес OSPF Area ID+Router
TCP/IP ID
OSI Протокол Адрес IS-IS NET-
CLNP NSAP идентификатор
NSAP
IDP DSP
AFI IDI High Order DSP System ID SEL

Area ID (1-13B) 6B 1B
NET это особый тип адреса NSAP (SEL = 00). При конфигурировании
IS-IS на маршрутизаторе необходимо учитывать только NET. Например:
49.0001. 0000.0000.0001.00
Area ID System ID N-SEL
Типы маршрутизаторов
 Маршрутизаторы IS-IS подразделяются на три типа:
 Маршрутизатор Level-1: хранит только Level-1 LSDB.
 Маршрутизатор Level-2: хранит только Level-2 LSDB.
 Маршрутизатор Level-1-2: маршрутизатор по умолчанию относится к этому типу, хранит
Level-1 и Level-2 LSDB.
При создании смежности
Level-1 убедитесь, что
оба маршрутизатора
используют одинаковый
area ID.
Область 49.0001 Область 49.0002

Область 49.0001
Одна Разные
область области
Пакет приветствия
P2P
Point-to-Point IIH
Тип сети «точка-точка»
L1 LAN IIH
Mac:0180-c200-0014
Broadcast
или
L2 LAN IIH
Mac:0180-c200-0015
Тип сети – широковещательная
сеть коллективного доступа
 В настоящее время к поддерживаемым IS-IS типам сетей относятся только

«точка-точка» и широковещательные сети.
Установление отношений соседства
Handshake в двух направлениях
RTA RTB
SYS ID 0000.0000.0001 SYS ID 0000.0000.0002
point-to-point IIH
Состояние: up
point-to-point IIH
 ISO10589 определяет подтверждение установления связи в двух направлениях, в то
время как RFC3373 для P2P определяет подтверждение в трех направлениях.
Handshake в трех направлениях

RTA RTB
SYS ID 0000.0000.0001 SYS ID 0000.0000.0002
LAN IIH (system ID: 0000.0000.0001 neighbor: null)
Состояние: initialized
LAN IIH (system ID: 0000.0000.0002 neighbor: RTA)
LAN IIH (system ID: 0000.0000.0001 neighbor: RTB)
DIS election
 Для установления отношений соседства в сети типа multicast access (MA) требуется
подтверждение установления связи в трех направлениях.
Сравнение DIS с DR
Level-1 Level-1-2 Level-1 Level-1-2
Виртуальный
(псевдоузел)
Level-1 DIS Level-1
Пункт IS-IS DIS OSPF DR

Приоритет выбора Устройства с любыми значениями приоритетов Устройства с приоритетом, равным 0, не участвуют в
участвуют в выборе DIS выборе DR
Срок ожидания при выборе Два интервала Hello 40 с
Резервирование Нет резервирования BDR в качестве резерва
Смежность Все маршрутизаторы устанавливают Не-DR/BDR маршрутизаторы (DR others) устанавливают
смежности двухсторонние отношения соседства
Упреждающее переключение Да Нет
Периодическая отправка CSNP для
Функция Уменьшение лавинной рассылки LSA
обеспечения синхронизации LSDB в сетях MA.
Носители информации о состоянии
каналов
 LSP PDU: используется для обмена информацией о
состоянии канала. TLV
 Реальный узел LSP Структура пакета
IS-IS
 Псевдоузел LSP (существует только в
широковещательных каналах)
TYPE LENGTH VALUE
 SNP PDU: используется для сохранения и
синхронизации LSDB, содержит сводные данные.
 CSNP (используется для синхронизации LSP)
 PSNP (используется для запроса и подтверждения LSP)
Пакеты IS-IS подразделяются на два типа: Level-1 и Level-2. MAC-адреса назначения всех
пакетов IS-IS в сетях MA являются MAC-адресами многоадресной рассылки:
Адрес Level-1: 0180-C200-0014
Адрес Level-2: 0180-C200-0015
Обмен информацией о состоянии канала
RTA RTB RTA
P2P RTC
RTB
CSNP ① DIS MA
A.00-00
② PSNP
A.00-00
CSNP ① LSP
LSP ③ C.00-00
A.00-00
A.00-00 ② C.00-01
④ B.00-00

PSNP
Интервал попыток B.01-00
A.00-00
повторной передачи истек C.00-00 Фрагмент LSP
LSP ⑤ Повторная C.00-01 PSNP
A.00-00 передача PSNP
LSP ③ A.00-00
⑥ PSNP B.00-00
A.00-00
A.00-00 ④ B.01-00
B.00-00
B.01-00
 CSNP отправляются в сети P2P только Псевдоузел LSP
единожды. То есть, CSNP отправляется сразу  Только DIS многоадресно рассылает CSNP
после установления отношений соседства. в сети MA с интервалом по умолчанию 10 с
Алгоритмы маршрутизации
 Расчет cost маршрута IS-IS:
 Значение cost интерфейса по
RTE умолчанию равно 10.
RTA
RTC
 Процесс расчета SPF:

 Полная синхронизация LSDB в
RTA RTB RTE
пределах одной области.
 Создание топологии сети.
 Создание дерева кратчайшего
пути с локальным узлом в RTD
качестве корня.
Иерархия сети и домен маршрутизации
L1
L1/2 L1/2
L2 L2
Область 49.0001 Магистраль
L2 L2
L1
L1/2 L1/2 L1
L1
Область 49.0003 L1 L1
 Границей области IS-IS является маршрутизатор, тогда как граница

OSPF – интерфейс маршрутизатора.
Маршрутизация между областями
 Область 49.0001 получает доступ к Области
49.0002
 Маршрутизатор Level-1-2 RTA генерирует LSP с
битом ATT, установленным на 1.
L2 Соседство L2 L2
 После получения LSP с битом ATT равным 1,
маршрутизатор Level-1 генерирует маршрут по
умолчанию со следующим ретрансляционным
участком, ведущим к маршрутизатору Level-1-2.
Магистральная область
Соседство L1 Соседство L1 L1/2 Хранит L2 LSDB
L1
L1
Хранит L1 LSDB
RTA
 Область 49.0002 получает доступ к Области 49.0001
 Маршрутизатор Level-1-2 RTA добавляет конкретные
маршруты к Области 49.0001 в Level-2 LSDB.
 Маршрутизатор Level-2 вычисляет конкретные маршруты к
Области 49.0001 с помощью расчета SPF.
Различия между IS-IS и OSPF
Пункт IS-IS OSPF

Типы сети Меньше Больше
Режим применения cost Сложный Простой
Типы областей Меньше Больше Выбор между IS-IS
или OSPF зависит от
Типы пакетов Скуднее Разнообразнее потребностей услуг
Конвергенция маршрутов Еще быстрее Быстрая
Масштабируемость Хорошая Средняя
Предельная
производительность Еще выше Высокая
маршрутизации
Термины
Аббревиатура Термин OSI Термин IETF

IS Intermediate System Маршрутизатор
ES End System Хост
DIS Designated Intermediate System Назначенный маршрутизатор в OSPF
SysID System ID Router ID в OSPF
LSP PDU состояния каналов LSA в OSPF
IIH PDU Hello IS-IS Пакет Hello в OSPF
PSNP Partial Sequence Number PDU LSR или LSAck в OSPF
CSNP Complete Sequence Number PDU Пакет DD в OSPF
Требования к конфигурации маршрутов
IS-IS
192.168.1.0/24;
192.168.2.0/24;
192.168.3.0/24;
Level-1 Level-2
Область 49.0001 RTB import1
G0/0/0
RTA RTD RTE
G0/0/1
G0/0/1 G0/0/0 G0/0/0
G0/0/0
G0/0/0
S1/0/0
S1/0/0
RTC
 Как показано на рисунке, для обеспечения доступности маршрутов все маршрутизаторы в сети заказчика должны
использовать IS-IS. Все процессы IS-IS используют идентификатор процесса, равный 100. RTA является DIS области
49.0001. Сеть между RTD и RTE должна быть P2P. RTE импортирует прямые маршруты 192.168.X.X и запрашивает у
RTA доступ к Области 49.0002 по оптимальному пути.
 Основываясь на вышеуказанном, выполните правильное конфигурирование, чтобы удовлетворить требования заказчика.
Конфигурирование маршрута IS-IS (1)
isis 100 isis 100
network-entity network-entity
49.0001.0000.0000.0001.00 49.0001.0000.0000.0002.00
is-level level-1 #
# interface GigabitEthernet0/0/0
interface GigabitEthernet0/0/0 isis enable 100
isis enable 100
isis dis-priority 120 level-1
Level-1 Level-2
Область 49.0001 RTB import1
G0/0/0
RTD RTE
G0/0/1
G0/0/1 G0/0/0 G0/0/0
G0/0/0
G0/0/0
S1/0/0
RTA
S1/0/0
RTC 192.168.1.0/24;
192.168.2.0/24;
isis 100 192.168.3.0/24;
network-entity
49.0001.0000.0000.0003.00
#
interface GigabitEthernet0/0/0
isis enable 100
isis 100 isis 100
network-entity network-entity
49.0002.0000.0000.0004.00 49.0002.0000.0000.0005.00
is-level level-2 is-level level-2
# #
interface GigabitEthernet0/0/0 interface GigabitEthernet0/0/0
isis enable 100 isis enable 100
isis circuit-type P2P isis circuit-type P2P
Level-1 Level-2
RTB import1
Область 49.0001 G0/0/0
RTD RTE
G0/0/1
G0/0/1 G0/0/0 G0/0/0
G0/0/0
G0/0/0
S1/0/0
RTA
S1/0/0
RTC 192.168.1.0/24;
192.168.2.0/24;
192.168.3.0/24;
isis 100
network-entity 49.0001.0000.0000.0002.00
import-route isis level-2 into level-1
#
isis enable 100
Level-1 Level-2
RTB import1
Область 49.0001 G0/0/0
RTD RTE
G0/0/1
G0/0/1 G0/0/0 G0/0/0
G0/0/0
G0/0/0
S1/0/0
RTA S1/0/0
RTC 192.168.1.0/24;
192.168.2.0/24;
192.168.3.0/24;
isis 100
network-entity 49.0001.0000.0000.0003.00
import-route isis level-2 into level-1
# isis 100
interface Serial 1/0/0 import-route direct
isis enable 100
Вопросы
1. Какие типы маршрутизаторов IS-IS существует?
2. Какова функция PSNP при взаимодействии соседей?
3. Каковы преимущества IS-IS по сравнению с OSPF?
Спасибо!
www.huawei.com
Принципы и конфигурации BGP

Введение
 В Протоколе внешнего шлюза (EGP) введено понятие автономной системы (AS). AS
это группа маршрутизаторов под единым техническим управлением, использующая
единую политику маршрутизации.
 Протокол внутреннего шлюза (IGP) используется в AS для расчета и обнаружения
маршрутов. Маршрутизаторы в пределах одной AS доверяют друг другу, поэтому
расчет маршрута IGP и лавинная рассылка информации полностью открыты и
требуют минимального вмешательства оператора.
 Потребность в соединениях между AS подстегнула развитие EGP. BGP относится к
EGP и используется для управления маршрутами и выбора оптимальных
маршрутов между AS.
Цель
 Поймете принципы BGP
 Освоите основные атрибуты и приложения BGP
 Познакомитесь с применимостью агрегирования маршрутов BGP
1. Обзор BGP
2. Создание и конфигурирование отношений соседства в BGP
3. Режимы генерации маршрутов BGP
4. Правила объявления и обработка маршрутов BGP
5. Основные атрибуты BGP
6. Правила выбора маршрутов BGP
7. Агрегирование маршрутов BGP
Основные функции MPLS
AS 65000
AS 65001
IGP IGP
BGP
AS 65002 AS 65003
BGP
BGP
 IGP, такие как OSPF, IS-IS и RIP, используются в AS для расчета и обнаружения
маршрутов.
 BGP используется между AS для осуществления передачи и управления маршрутами.
Характеристики BGP
AS 65001 AS 65002
BGP
AS 65003
BGP
 Как показано на рисунке, два маршрутизатора BGP могут установить отношения соседства
между несколькими маршрутизаторами.
 Для реализации контроля и выбора маршрута в соответствии с требованиями в BGP
задаются и переносятся по маршрутам различные атрибуты.
1. Обзор BGP
Обнаружение соседей BGP
1.1.1.1 2.2.2.2
RTA RTB
TCP SYN
TCP ACK+SYN
TCP ACK
 Устройство, запускающее BGP, сначала инициирует соединение TCP. Как

показано на рисунке, RTB сначала запускает BGP и использует случайный
номер порта для инициализации соединения TCP с портом 179 на RTA.
Тип соседства BGP – EBGP
AS 200 AS 300
RTD RTE
EBGP EBGP
RTB RTC
RTA
AS 100 OSPF
 Маршрутизаторы BGP из разных AS устанавливают отношения соседства

EBGP.
Тип соседства BGP – IBGP
AS 200 AS 300
RTD RTE
EBGP EBGP
RTB RTC
RTA
AS 100 OSPF
 Маршрутизаторы BGP в одной AS устанавливают отношения соседства

IBGP.
Конфигурирование отношений соседства
BGP
AS 200 AS 300 router id 5.5.5.5
bgp 300
peer 10.1.35.3 as-number 100
RTD RTE
4.4.4.4 5.5.5.5
.4 .5
EBGP EBGP
10.1.24.0/24 10.1.35.0/24
router id 3.3.3.3
.2 .3
bgp 100
IBGP peer 10.1.35.5 as-number 300
RTB RTC peer 10.1.12.2 as-number 100
2.2.2.2 3.3.3.3
.2 RTA .3
10.1.12.0/24 10.1.13.0/24
.1 .1
AS 100 OSPF
1.1.1.1
Оптимизация конфигурации отношений
соседства BGP
AS 200 AS 300 router id 5.5.5.5
bgp 300
RTD RTE
4.4.4.4 5.5.5.5
.4 .5
EBGP EBGP
10.1.24.0/24 10.1.35.0/24
.2 .3 router id 3.3.3.3
bgp 100
IBGP peer 10.1.35.5 as-number 300
RTB RTC peer 2.2.2.2 as-number 100
2.2.2.2 3.3.3.3 Peer 2.2.2.2 connect-interface
loopback 0
.2 RTA .3
10.1.12.0/24 10.1.13.0/24
.1 .1
AS 100 OSPF
1.1.1.1
Установление отношений соседства BGP
1.1.1.1 2.2.2.2
RTA RTB
Idle Idle
Connect TCP SYN Connect
TCP ACK+SYN
TCP ACK
Сообщение Open OpenSent
OpenSent
Сообщение Open
OpenComfirm
Сообщение Keepalive OpenComfirm
Сообщение Keepalive Established
Established
Update, Keepalive, Route-refresh, Notification
1. Обзор BGP
Режим генерации маршрутов BGP –
Network (1)
router id 3.3.3.3
bgp 200
RTC
3.3.3.3
router id 2.2.2.2
.3 AS 200 bgp 100
ipv4-family unicast
EBGP network 10.1.12.0 255.255.255.0
10.1.23.0/24 network 100.0.0.0 255.255.255.0
network 100.0.1.0 255.255.255.0
.2
AS 100
100.0.0.0/24
.2 100.0.1.0/24
RTB
2.2.2.2
OSPF .1
Область 0 1.1.1.1 RTA
 Команда network по одному импортирует существующие в таблице маршрутизации IP

маршруты в таблицу маршрутизации BGP.
Режим генерации маршрутов BGP –
Network (2)
<RTC>display bgp routing-table
Network NextHop MED LocPrf PrefVal Path/Ogn

RTC *> 10.1.12.0/24 10.1.23.2 0 0 100i
3.3.3.3 *> 100.0.0.0/24 10.1.23.2 0 0 100i
*> 100.0.1.0/24 10.1.23.2 1 0 100i
.3 AS 200
<RTB>display ip routing-table
EBGP Destination/Mask Proto Pre Cost Flags NextHop Interface

10.1.23.0/24 10.1.12.0/24 Direct 0 0 D 10.1.12.2 GigabitEthernet0/0/0
100.0.0.0/24 Static 60 0 RD 10.1.12.1 GigabitEthernet0/0/0
100.0.1.0/24 OSPF 10 1 D 10.1.12.1 GigabitEthernet0/0/0
.2
AS 100
100.0.0.0/24
.2
RTB 100.0.1.0/24
2.2.2.2
OSPF .1
 Для проверки того, получает ли RTC объявляемые BGP маршруты, выполните на RTC команду display.
Режим генерации маршрутов BGP – Import
(1)
router id 3.3.3.3
bgp 200
RTC peer 10.1.23.2 as-number 100
3.3.3.3
.3 AS 200
router id 2.2.2.2
bgp 100
EBGP peer 10.1.23.3 as-number 200
10.1.23.0/24 ipv4-family unicast
import-route direct route-policy import
.2 import-route static route-policy import
import-route ospf 1 route-policy import
#
AS 100 route-policy import permit node 10
.2 100.0.0.0/24 if-match ip-prefix import
RTB 100.0.1.0/24 #
2.2.2.2 ip ip-prefix import index 10 permit 10.1.12.0 24
ip ip-prefix import index 20 permit 100.0.0.0 24
ip ip-prefix import index 30 permit 100.0.1.0 24
OSPF .1
 Команда import импортирует маршруты в таблицу маршрутизации BGP на основе запущенного
протокола маршрутизации (RIP, OSPF или IS-IS). Эта команда также позволяет импортировать
непосредственно подключенные и статические маршруты.
Режим генерации маршрутов BGP – Import
(2)

RTC *> 10.1.12.0/24 10.1.23.2 0 0 100?
3.3.3.3 *> 100.0.0.0/24 10.1.23.2 0 0 100?
*> 100.0.1.0/24 10.1.23.2 1 0 100?
.3 AS 200
<RTB>display ip routing-table
EBGP Destination/Mask Proto Pre Cost Flags NextHop Interface

10.1.12.0/24 Direct 0 0 D 10.1.12.2 GigabitEthernet0/0/0
10.1.23.0/24
100.0.0.0/24 Static 60 0 RD 10.1.12.1 GigabitEthernet0/0/0
100.0.1.0/24 OSPF 10 1 D 10.1.12.1 GigabitEthernet0/0/0
.2
AS 100
100.0.0.0/24
.2 100.0.1.0/24
RTB
2.2.2.2
OSPF .1
 Для проверки того, получает ли RTC импортированные в BGP маршруты, выполните на RTC
команду display.
1. Обзор BGP
Сообщение BGP Update
 Маршруты BGP генерируются либо в режиме network, либо в режиме import. Они
инкапсулируются в сообщения Update и объявляются соседним узлам. BGP объявляет
маршрутную информацию только после установления отношений соседства.
 Сообщения Update используются для объявления доступных маршрутов и вывода
недоступных. Сообщение Update содержит следующую информацию:
 Network Layer Reachability Information (NLRI): объявляет IP-префикс и длину префикса.
 Атрибут path: обеспечивает обнаружение петель и контролирует выбор оптимального маршрута.
 Withdrawn route: описывает префикс и длину префикса недостижимого отзываемого маршрута.
 Для предотвращения потенциальных проблем объявление маршрутов BGP должно

следовать определенным правилам.
Правила объявления маршрутов BGP (1)
<RTD>display bgp routing-table
*>i 100.0.0.0/24 10.1.12.1 0 100 0 100i
*i 10.1.13.1 0 100 0 100i
*> 200.0.0.0 0.0.0.0 0 0 i
OSPF
RTA RTB RTD RTE

100.0.0.0/24 10.1.45.0/24
EBGP
AS 100 RTC AS 300
200.0.0.0/24
AS 200
<RTE>display bgp routing-table
*> 100.0.0.0/24 10.1.45.4 0 200 100i
*> 200.0.0.0 10.1.45.4 0 0 200i
 Правило объявления маршрутов BGP №1: объявлять соседним узлам только оптимальные маршруты.

*>i 100.0.0.0/24 10.1.12.1 0 100 0 100i
RTA RTB RTC

100.0.0.0/24 10.1.12.0/24 10.1.23.0/24
EBGP IBGP
AS 100 AS 200
EBGP 10.1.24.0/24
RTD
AS 300
<RTD>display bgp routing-table

*> 100.0.0.0/24 10.1.24.2 0 200 100i
 Правило объявления маршрутов BGP №2: оптимальный маршрут, полученный

через EBGP, объявляется всем соседним узлам BGP
<RTB>display bgp routing-table 100.0.0.0
BGP local router ID : 2.2.2.2
Local AS number : 100
Paths: 1 available, 1 best, 1 select
BGP routing table entry information of 100.0.0.0/24:
From: 10.1.12.1 (1.1.1.1)
Route Duration: 00h01m39s
Relay IP Nexthop: 0.0.0.0
Relay IP Out-Interface: GigabitEthernet0/0/0
Original nexthop: 10.1.12.1
Qos information : 0x0
AS_Path Nil, origin igp, MED 0, localpref 100, pref-val 0, valid, internal, best, select, active, pre 255
Not advertised to any peer yet
RTB
AS
100
100.0.0.0/24
IBGP
RTC
RTA 10.1.13.0/24
*>i 100.0.0.0/24 10.1.13.1 0 100 0 i
 Правило объявления маршрутов BGP №3: оптимальный маршрут, полученный через IBGP,
другим соседним узлам IBGP не объявляется.
Моя таблица маршрутизации не содержит
маршрута к 100.0.0.0/24 и я не знаю, как
достичь 100.0.0.0/24, так что я отбрасываю
пакеты с недостижимым адресом назначения.
OSPF AS 200
RTC
RTB RTD
IBGP
EBGP EBGP
RTA
100.0.0.0/24 RTE
AS 100 AS 300
 Правило объявления маршрутов BGP №4: синхронизация BGP и IGP
Обработка информации маршрутизации
BGP
Обновление информации,
полученной от соседнего узла BGP
Выбор маршрута
Local_RIB
Обновление информации,
отправленной соседнему узлу BGP
IP_RIB
 После получения сообщения Update от соседнего узла BGP, маршрутизатор BGP при помощи алгоритма выбора
маршрута определяет оптимальный маршрут для каждого префикса.
 Маршрутизатор сохраняет выбранный оптимальный маршрут в локальную таблицу маршрутизации BGP (Local_RIB) и
затем передает его в локальную таблицу IP-маршрутизации (IP_RIB) для определения необходимости ее установки.
 Маршрутизатор инкапсулирует выбранный действующий оптимальный маршрут в сообщение Update и отправляет его
соседнему узлу BGP.
1. Обзор BGP
Проблемы выбора маршрута BGP
100 Мбит/с
AS 2 AS 4 AS 5
100 Мбит/с 100 Мбит/с

100.0.0.0/24
AS 1 AS 3 AS 6 AS 7
 Как показано на рисунке, в AS 7 есть пользовательский сегмент сети 100.0.0.0/24, и она объявляет его
каждой AS через BGP. Каждая AS может узнать маршрут к 100.0.0.0/24. Однако при передаче маршрута
возникают следующие проблемы:
 AS 3 может получить маршрут к 100.0.0.0/24 от AS 4 и AS 6, но канал между AS 3 и AS 4 имеет более высокую
пропускную способность. Как обеспечить, чтобы AS 3 получал доступ к сегменту сети 100.0.0.0/24 через AS 4?
 Между AS 1, AS 2 и AS 3 существует петля топологии. Таким образом, при передаче пакетов может возникнуть
петля. Как предотвратить это?
Различные атрибуты BGP
Well-known Mandatory Well-known Discretionary
Origin Local_Pref
AS_Path Atomic_aggregate
Next_hop
Optional Transitive Optional Non-transitive
Aggregator MED
Community ……
Атрибуты BGP – Origin
AS 100 2.2.2.2 OSPF
EBGP
200.0.0.0/24
RTB
RTA
1.1.1.1 4.4.4.4
3.3.3.3
RTD
EBGP
RTC
AS 200
<RTA>display bgp routing-table

*> 200.0.0.0 10.1.12.2 1 0 200i
* 10.1.13.3 1 0 200?
 Атрибут Origin определяет происхождение маршрута и то, как он становится

маршрутом BGP.
Атрибуты BGP – AS_Path
RTB RTE
EBGP 100.0.0.0/24
RTA EBGP AS 2 AS 4
1.1.1.1 EBGP EBGP
EBGP
AS 1
EBGP
RTC RTD
AS 3 AS 5
 Как показано на рисунке:
 RTA в AS 1 может узнать маршрут 100.0.0.0/24 от RTB и RTC. Как RTA выбирает оптимальный
маршрут?
 Между RTA, RTB и RTC, а также между RTB, RTC, RTD и RTE существуют петли топологии. Из-за
этого в процессе передачи маршрутов BGP могут возникать петли маршрутизации. Как BGP
предотвращает петли?
Атрибуты BGP – Next_hop
2.2.2.2 OSPF RTC OSPF
3.3.3.3
EBGP
RTB
IBGP IBGP
100.0.0.0/24 200.0.0.0/24
RTA RTD
1.1.1.1 4.4.4.4
AS 100 AS 200
 В соответствии с указанным на рисунке:

 Когда RTA объявляет сетевой сегмент 100.0.0.0/24 в RTB, каков IP-адрес Next_hop?
 Когда RTB объявляет сетевой сегмент 100.0.0.0/24 в RTC, каков IP-адрес Next_hop?
 Когда RTA получает от RTB сетевой сегмент 200.0.0.0/24, объявленный RTC, каков IP-адрес
Next_hop?
Атрибуты BGP – Local_Preference
2.2.2.2
OSPF
200.0.0.0/24
RTA RTB
RTD
1.1.1.1 4.4.4.4
3.3.3.3
AS 100 AS 200
RTC
 Атрибут Local_Pref имеет силу только между соседними узлами IBGP и не объявляется
другим AS. Этот атрибут указывает на приоритет BGP маршрутизатора и определяет
оптимальный маршрут для трафика, покидающего AS.
Атрибуты BGP – MED
RTA RTB RTD OSPF

1.1.1.1 2.2.2.2 100 Мбит/с4.4.4.4
100.0.0.0/24
EBGP EBGP
AS 100
IBGP OSPF 6.6.6.6
RTF
EBGP
50 Мбит/с
3.3.3.3 5.5.5.5
RTC RTE
AS 200 AS 300
 Атрибут Multi-Exit-Discriminator (MED) передается только между двумя соседними AS. AS,
получающая этот атрибут, не объявляет его другим AS. Он определяет оптимальный
маршрут для трафика, поступающего в AS.
Атрибуты BGP – Community
RTA
AS 10 1.1.1.1
RTC RTD
10.1.10.0/24 3.3.3.3 4.4.4.4
EBGP EBGP
Community 10:12
AS 11 RTB EBGP
2.2.2.2 AS 12 AS 13
10.1.11.0/24
Community 11:12
 Атрибут Community исполняет две функции:

 Ограничивает диапазон объявления маршрутов.
 Маркирует маршруты с тем, чтобы маршруты, удовлетворяющие одинаковым условиям,
обрабатывались унифицированным образом.
1. Обзор BGP
Правила выбора маршрутов BGP
 После того, как маршрутизатор BGP объявляет маршрут в соседних узлах, каждый соседний узел выбирает оптимальный маршрут:
 Если данный маршрут является единственным маршрутом к месту назначения, то соседний узел выбирает его как оптимальный маршрут.
 При наличии нескольких маршрутов к одному пункту назначения соседний узел выбирает маршрут с наивысшим приоритетом в качестве оптимального.
 Если существует несколько маршрутов к одному пункту назначения, и они имеют равный приоритет, то соседний узел сравнивает атрибуты этих маршрутов для
выбора оптимального.
 Как правило, при выборе оптимального маршрута маршрутизатор BGP сравнивает атрибуты в следующей последовательности:
 Отбрасывает маршруты с недостижимыми следующими ретрансляционными участками.
 Предпочитает маршрут с наибольшим значением PrefVal. Атрибут PrefVal является авторским атрибутом Huawei и действителен только для устройств, на которых
он сконфигурирован.
 Предпочитает маршрут с наибольшим значением Local_Pref.
 Предпочитает следующие маршруты в порядке убывания их приоритета: вручную агрегированный маршрут, автоматически агрегированный маршрут,
импортированный с помощью команды network маршрут, импортированный с помощью команды import маршрут, полученный от одноранговых узлов маршрут.
 Предпочитает маршрут с кратчайшим AS_Path.
 Предпочитает маршрут с атрибутом Origin в следующей последовательности: IGP, EGP и Incomplete.
 Из маршрутов, полученных от одной AS, предпочитает маршрут с наименьшим значением MED.
 Предпочитает маршрут EBGP маршруту IBGP.
 Предпочитает маршрут с наименьшей метрикой IGP в пределах AS.
 Предпочитает маршрут с самым коротким Cluster_List.
 Предпочитает маршрут с наименьшим Originator_ID.
 Предпочитает маршрут, объявленный маршрутизатором с наименьшим значением Router_ID.
 Предпочитает маршрут, полученный от соседнего узла с наименьшим значением IP-адреса.
Влияние PrefVal на выбор маршрута BGP
OSPF 2.2.2.2
200.0.0.0/24
RTB
RTC
RTA RTD
1.1.1.1 4.4.4.4
AS 100 AS 200
3.3.3.3
 Атрибут PrefVal является авторским атрибутом Huawei и действителен

только для устройств, на которых сконфигурирован. Он соответствует
параметру Weight в правилах выбора маршрута BGP. Большее значение
PrefVal указывает на больший приоритет.
Влияние режима агрегирования
маршрутов на выбор маршрутов BGP
RTA RTB RTC
AS 200
1.1.1.1 2.2.2.2 3.3.3.3
EBGP IBGP
AS 100 200.0.0.2/24 200.0.0.3/24
<RTB>display bgp routing-table 200.0.0.0

BGP local router ID : 2.2.2.2
Local AS number : 200
Paths: 2 available, 1 best, 1 select
Aggregated route.
……
Aggregator: AS 200, Aggregator ID 2.2.2.2, Atomic-aggregate
Advertised to such 2 peers:
10.1.12.1
10.1.23.3
Summary automatic route
……
Aggregator: AS 200, Aggregator ID 2.2.2.2
Not advertised to any peer yet
 Вручную агрегированный маршрут имеет более высокий приоритет, чем

автоматически агрегированный.
Маршруты, полученные от соседних узлов EBGP,
предпочтительнее полученных от соседних узлов IBGP
RTA
1.1.1.1
EBGP 200.0.0.0/24
IBGP
RTC
3.3.3.3
EBGP
RTB
2.2.2.2
AS 100 AS 200
 По правилам выбора маршрута, RTA предпочитает маршрут, полученный от

соседнего узла EBGP.
Влияние метрики IGP внутри AS на выбор
маршрута BGP
2.2.2.2
OSPF
200.0.0.0/24
RTA
1.1.1.1 RTB
RTC RTD
4.4.4.4
AS 100 AS 200

*>i 200.0.0.0 10.1.34.4 0 100 0 200 i
*i 10.1.24.4 0 100 0 200 i
 Корректировка cost OSPF позволяет RTA получить доступ к сетевому

сегменту 200.0.0.0/24 по каналам с большой пропускной способностью.
Влияние Router ID и IP-адреса на выбор
маршрута BGP
2.2.2.2
OSPF AS 200
200.0.0.0/24
RTB
RTA
1.1.1.1
RTC RTD
4.4.4.4
AS 100 3.3.3.3

*>i 200.0.0.0 10.1.24.4 0 10 0 200i
* i 10.1.34.4 0 100 0 200i
 RTA получает доступ к сегменту сети 200.0.0.0/24 в пределах AS 200 через RTB, а
исходящим интерфейсом будет интерфейс в 10.1.12.1.
Пример конфигурирования политики
маршрутизации BGP
RTB RTE
OSPF 2.2.2.2 5.5.5.5 OSPF
200.0.0.0/24
(Community 300:200)
RTA RTD
1.1.1.1 4.4.4.4
IBGP
IBGP
RTG
7.7.7.7
100.0.0.0/24
(Community 300:100)
RTC RTF
AS 100 3.3.3.3 AS 200 6.6.6.6
AS 300
 В AS 300 есть два сегмента пользовательской сети. Когда пользователи из AS 100 получают
доступ к этим двум сегментам сети, нагрузка трафиком должна быть сбалансирована между
RTB и RTC. Когда пользователи из AS 200 получают доступ к этим двум сегментам сети,
нагрузка трафиком должна быть сбалансирована между RTE и RTF.
1. Обзор BGP
Обзор агрегирования маршрутов BGP
 BGP передает маршрутную информацию между AS. По мере роста числа AS и увеличения
масштабов каждой из них таблица маршрутизации BGP становится очень большой, что
приводит к следующим двум проблемам:
 Хранение таблицы маршрутизации занимает много памяти, а передача и обработка информации
маршрутизации потребляют много ресурсов пропускной способности.
 Частое обновление и отзыв маршрутов влияют на стабильность сети.
 Агрегирование маршрутов BGP предназначено для решения этих двух проблем. Далее
описывается агрегирование маршрутов BGP, включая:
 Необходимость агрегирования маршрутов BGP: для решения проблем сетей BGP
 Конфигурирование агрегирования маршрутов BGP
 Проблемы, вызванные агрегированием маршрутов BGP.
Необходимость агрегирования маршрутов
BGP
AS 100 RTA
10.1.8.0/24
10.1.9.0/24
10.1.10.0/24 RTC RTD
10.1.11.0/24
EBGP
AS 200 RTB
AS 300 AS 400
10.1.12.0/24
10.1.13.0/24 AS клиента
10.1.14.0/24
10.1.15.0/24
 AS 100 и AS 200 каждая имеет по четыре сегмента пользовательской сети. AS 300 подключена к AS 400,
AS клиента. В AS 400 установлен дешевый маршрутизатор, RTD, с низкой производительностью.
Поэтому требуется, чтобы RTD мог получать доступ к сетевым сегментам в AS 100 и AS 200, но при этом
не получал множество отдельных маршрутов. Как выполнить это требование?
Агрегирование маршрутов BGP –
статические маршруты
RTA RTB
10.1.8.0/24 1.1.1.1 2.2.2.2
10.1.9.0/24 10.1.12.0/24
10.1.10.0/24
10.1.11.0/24
EBGP
AS 100 AS 200
bgp 100
#
ipv4-family unicast
undo synchronization
peer 10.1.12.2 enable
network 10.1.8.0 255.255.252.0
ip route-static 10.1.8.0 255.255.252.0 NULL 0
 В AS 100 есть четыре сегмента пользовательской сети. RTA в AS 100 скрывает

отдельные маршруты за счет агрегирования маршрутов и объявляет RTB в AS 200
только агрегированный маршрут 10.1.8.0/22.
автоматическое агрегирование
bgp 100 RTA AS 100

10.1.8.0/24
#
10.1.9.0/24
ipv4-family unicast
10.1.10.0/24
10.1.11.0/24
summary automatic
import-route direct route-policy r1 EBGP
# RTB RTC
route-policy r1 permit node 10
if-match ip-prefix r1
# EBGP
ip ip-prefix r1 index 10 permit 10.1.11.0 24
AS 200 AS 300
ip ip-prefix r1 index 30 permit 10.1.9.0 24 AS клиента
агрегирование вручную
bgp 100 RTA AS 100

10.1.8.0/24
#
10.1.9.0/24
ipv4-family unicast
10.1.10.0/24
10.1.11.0/24
aggregate 10.1.8.0 255.255.252.0
detail-suppressed EBGP
network 10.1.8.0 255.255.255.0
network 10.1.9.0 255.255.255.0 RTB RTC
import-route direct route-policy r1
# EBGP
route-policy r1 permit node 10
AS 200 AS 300
if-match ip-prefix r1
# AS клиента
Проблемы, вызванные агрегированием
маршрутов BGP – петли
2. AS 200 агрегирует отдельные 3. AS 400 переадресует полученный
маршруты, полученные от AS 100 и AS агрегированный маршрут в AS 300.
300, в 10.1.0.0/16. Когда AS 200 AS 300 проверяет атрибут AS_Path
объявляет агрегированный маршрут в данного маршрута и не находит свой
AS 400, этот маршрут не несет атрибуты локальный AS number, поэтому он
AS_Path отдельных маршрутов. принимает этот маршрут. В
результате может возникнуть петля.
10.1.0.0/16
(200)
AS 200 AS 400
AS 100 AS 300 10.1.10.0/24

10.1.11.0/24
10.1.8.0/24
1. AS 300 агрегирует свои
10.1.9.0/24 отдельные маршруты в
10.1.8.0/22.
 Как решить проблему потенциально возникающей петли, вызываемой агрегированием

маршрутов BGP?
Проблемы, вызванные агрегированием
маршрутов BGP – решение
3. AS 400 переадресует полученный
2. AS 200 агрегирует отдельные агрегированный маршрут в AS 300. AS
маршруты, полученные от AS 100 и 300 проверяет атрибут AS_Path этого
AS 300, в 10.1.0.0/16 и задает атрибут маршрута и находит AS number,
AS_Path этого маршрута для соответствующий локальному, а потому
передачи информации о путях отбрасывает его. Это предотвращает
отдельных маршрутов. петлю.
10.1.0.0/16
(200 {100 300})
AS 200 AS 400
AS 100 AS 300 10.1.10.0/24

10.1.11.0/24
10.1.8.0/24
10.1.9.0/24 1. AS 300 агрегирует свои
отдельные маршруты в
10.1.8.0/22.
Вопросы
1. Какие из следующих атрибутов являются well-known mandatory атрибутами BGP?
А. Origin
Б. AS_Path
В. Next_hop
Г. Local_preference
2. Какой из следующих номеров портов используется BGP?

А. TCP 21
Б. TCP 179
В. TCP 80
Спасибо!
www.huawei.com
Основы технологии многоадресной
IP-рассылки (IP-Multicast)
Введение
 Существует три основных метода передачи трафика в IP-сетях по типу «точка-многоточка»,
это - одноадресная рассылка (unicast), широковещательная рассылка (broadcast) и
многоадресная рассылка (multicast). Если применяется одноадресная рассылка, то
количество данных, передаваемых в сети, пропорционально количеству пользователей,
которым требуются данные. Несколько копий одного и того же содержимого отправляются
разным пользователям, что приводит к увеличению нагрузки на источник информации и
пропускной способности. Если применяется широковещательная рассылка, хосты, которые
не требуют данных, тоже получат данные, что угрожает информационной безопасности и
вызывает штормы на локальном сегменте сети.
 Однако появление многоадресной рассылки решает вышеуказанную проблему. Источник
многоадресной рассылки должен отправить только одну копию данных, которая затем
копируется и отправляется сетевым узлом предполагаемому получателю.
Цель
 Познакомитесь с характеристиками сетей «точка-многоточка»
 Освоите основную архитектуру многоадресной рассылки
 Узнаете формат адресов многоадресной рассылки
1. Разработка и создание сетей «точка-многоточка»
2. Обзор многоадресной рассылки
Традиционные сети «точка-многоточка»
 Провайдер предоставляет услуги на основе каждого пользователя.
 Данные, полученные разными пользователями, могут отличаться от данных,
предоставляемых провайдером услуг.
Клиент B
Сервер
Клиент A Клиент C
Новые сети «точка-многоточка»
 Провайдер предоставляет услуги на основе групп пользователей.
 Данные, полученные пользователями в одной группе, ничем не отличаются
от данных, предоставляемых провайдером услуг.
Онлайн-
трансляция
Видеоконференция
Веб-ТВ
Одноадресная рассылка (unicast) – тип сетей
«точка-многоточка»
 Проблемы: Прямая трансляция
началась в 21:00
 Направляются одни и те же данные,
расходуется много трафика.
 Потребляется большое количество ресурсов
устройства и ресурсов пропускной
способности.
 Не может обеспечить качество передачи
данных
Неприемник 4 приемника
4 приемника
3 неприемника
Широковещательная рассылка (broadcast)
- тип сетей «точка-многоточка»
 Проблемы: Прямая трансляция
 Ограничение область применения
 Не может обеспечить информационную
 Не может реализовать платную услугу
для конкретных пользователей.
4 Приемника
4 Приемника Неприемник
3 Неприемника
Многоадресная рассылка (multicast) - тип
сетей «точки-многоточка»
 Преимущества: Прямая трансляция
 Не направляются одни и те же данные,
экономит трафик.
 Экономит ресурсы устройств и пропускную
способность сети
 Обеспечит высокую безопасность
 Реализует платную услугу для конкретных
пользователей.
4 Приемника 4 Приемника
Неприемника 3 Неприемника
1. Разработка и развертывание сетей «точка-многоточка»
2. Обзор многоадресной рассылки
Основная архитектура многоадресной
рассылки
Источник
Из источника
Генерация данных
многоадресной рассылки
к маршрутизатору
Из шлюзового Переадресация данных

маршрутизатора к многоадресной рассылки
маршрутизатору
Из маршрутизатора Получение данных

к адресатам многоадресной рассылки
Клиент Клиент
Из источника многоадресной рассылки к
маршрутизатору
 Как источник многоадресной рассылки инкапсулирует данные?
 Как определить IP-адрес адресата
 Как определить MAC-адрес адресата
Источник
Данные
1.
DIP: ??
192.168.1.0/24
SIP：192.168.1.1
SMAC：68-F7-28-42-6D-0D
.254 .253
DMAC: MAC ??
RTA RTB
IP-адрес многоадресной рассылки
 IP-адреса многоадресной рассылки представляет собой групповой адрес хостов, а не адрес конкретного
хоста. Если хост присоединяется к группе многоадресной рассылки, то это означает, что хост хочет
получать пакеты данных, предназначенные для IP-адреса многоадресной рассылки.
Диапазон Описание
Постоянные групповые адреса, зарезервированные
224.0.0.0—224.0.0.255
для протоколов маршрутизации
224.0.1.0—231.255.255.255
Any-source временные групповые адреса
233.0.0.0—238.255.255.255
Source-Specific
232.0.0.0—232.255.255.255
временные групповые адреса
239.0.0.0—239.255.255.255 Any-source временные групповые адреса
 Основные модели многоадресной IP-рассылки:

 Многоадресная рассылка, не зависящая от отправителя (Any Source Multicast, ASM)
 Многоадресная рассылка, зависящая от отправителя (Source Specific Multicast, SSM).
Mac-адрес многоадресной рассылки
 Разница между многоадресными и одноадресными MAC-адресами:
XXXX XXX1 XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX
В многоадресном MAC-адресе последний бит первого октета равен 1.

XXXX XXX0 XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX
В одноадресном MAC-адресе последний бит первого октета равен 0.
 Как определено IANA, самыми значимыми 24 битами IPv4 многоадресных

MAC-адресов являются 0x01005e, а 25-разрядная - всегда 0.
Сопоставления между IP- и MAC-адресами
 Многоадресные IP-адреса и MAC-адреса необходимо сопоставлять друг с
другом автоматически.
 Младший значащий 23 бита MAC-адреса являются младшим значащим 23
битом IP-адреса многоадресной рассылки.
IP-адрес многоадресной
1110 XXXX.X XXX XXXX.XXXX XXXX.XXXX XXXX рассылки
23 бита
Mac-адрес многоадресной
01--00--5E--0 XXX XXXX.XXXX XXXX.XXXX XXXX рассылки
23 бита
Проблема, вызванная сопоставлением
адресов
 При сопоставлении между многоадресным IP-адресом и MAC-адресом
возникает проблема о том, что 32 многоадресных IP-адреса сопоставляются
одному многоадресному MAC-адресу.
1110 XXXX.X XXX XXXX.XXXX XXXX.XXXX XXXX
5 битов посередине теряются при сопоставлении, поэтому

IP-адреса с одинаковым значением из последних 23 битов
сопоставляются на один и тот же MAC-адрес.
Вопросы
1. Что такое многоадресная IP-рассылка?
2. Каковы диапазоны IPv4-адресов многоадресной рассылки?
Спасибо!
www.huawei.com
Принципы и конфигурации IGMP
Введение
 В многоадресной связи источник посылает данные многоадресной рассылки
на определенный многоадресный адрес. Чтобы пересылать многоадресные
пакеты данных получателям, многоадресный маршрутизатор,
подключенный к сетевому сегменту получателей, должен знать, какие
получатели присутствуют в сетевом сегменте, и убедиться, что получатели
присоединились к определенной группе.
 Протокол управления группами Интернет (Internet Group Management
Protocol, IGMP) - это протокол в наборе протоколов TCP/IP, который
используется для создания и поддержания группового членства между
получателями и соседними маршрутизаторами многоадресной рассылки.
Цель
 Ознакомитесь с основными рабочими механизмами и конфигурациями IGMP.
 Освоите различия между тремя версиями IGMP
 Поймете механизм IGMP snooping
1. Требования к получателям многоадресной рассылки
2. Рабочий механизм IGMPv1
5. Рабочий механизм IGMP Snooping
6. Конфигурация IGMP
Как происходит получение данных
 Какой информацией необходимо обмениваться
между получателями и маршрутизатором?
 Получатели должны указать группы, к которым
они хотят присоединиться. Маршрутизатор Какие группы имеют
получатели?
 Маршрутизатор должен знать, какие группы
имеют получатели.
G1 G2
 Какие проблемы возникают, если информация
сконфигурирована вручную?
 Невозможность обновления в реальном Я хочу присоединиться
Я хочу присоединиться к группе G2.
времени к группе G1.
 Низкая гибкость
 Огромная рабочая нагрузка и высокая
вероятность ошибок
Клиент A Клиент B Клиент C
Протокол управления группами Интернет
- IGMP
 Протокол IGMP работает между хостами и маршрутизаторами
многоадресной рассылки.
 Протокол IGMP предоставляет следующие функции:
 Для хостов: послать сообщение о членстве маршрутизаторам с использованием
протокола IGMP
 Для маршрутизаторов: поддержать групповое членство с помощью протокола
IGMP
Рабочий механизм IGMPv1
 Общее сообщение запроса и ответ (General Query and Response)
 Механизм подавления отчетов - отсроченный ответ
сеть
многоадресной
① RTA периодически отправляет рассылки
общее сообщение запроса всем
хостам в подсети (224.0.0.1).
RTA
①
Ethernet ③ После того, как Клиент C
② После получения общего обнаружит сообщение IGMP
сообщения запроса, хост ② ② отчета, отправленное Клиентом
отправляет сообщение IGMP отчета, A из той же группы G1, он
чтобы объявить желания больше не будет отправлять
объединения. сообщения IGMP отчета.

Общее сообщение запроса (G1) (G2) (G1)
Отчет для группы G1
Отчет для группы G2
Объединение групп для IGMPv1
 Хост запрашивает присоединение к группе.
Сеть
рассылки
RTA
Ethernet
Клиент D отправляет отчет о
членстве IGMP, чтобы
объявить желание
присоединиться к группе G3.
Клиент A Клиент B Клиент C Клиент D

(G1) (G2) (G1) (G3)
Отчет для G3
Выход из группы для IGMPv1
 Выход из группы без отправки сообщений выхода
Сеть
рассылки
Маршрутизатор периодически
отправляет общее сообщение запроса.
RTA
Интервал таймаута в 130 с

Ethernet
① Хост-член оставляет
② Если маршрутизатор не группу без отправки
получает сообщение ответа сообщения выхода.
после посылки общего
сообщения запроса в
течение 130 с, он считает,
что у группы нет членов. Клиент A Клиент B Клиент C
(G1) (G1) (G1)
Общее сообщение запроса
Выборы генераторов запросов для
IGMPv1
 Выборы генераторов запросов зависят от протокола маршрутизации
Сеть
рассылки
RTA RTB
Генерирующий запросы Не генерирующий запросы
Ethernet

(G1) (G2) (G1)
Улучшение IGMPv2 по сравнению с IGMPv1:
механизм выхода из группы
② RTA (генерирующий
запросы) посылает Сеть
специальное сообщение многоадресной
запроса в группу G2. рассылки
RTA RTB
Генерирующий не генерирующий
запросы запросы
Посылает специальное (2)
сообщение запроса дважды Ethernet
③ Если RTA не получает никаких (1)

ответов после посылки
специальных сообщений
запроса дважды, он считает, что
у группы G2 нет членов. Клиент A Клиент B Клиент C
(G1) (G2) (G1)
① Клиент B в группе G2 отправляет

сообщение о выходе на адрес 224.0.0.2.
Выход из группы G2
Специальное сообщение запроса в группу G2
Улучшение IGMPv2 по сравнению с IGMPv1:
механизм выборов генераторов запросов
 Независимый механизм выборов генераторов запросов
RTA RTB
Генерирующий Генерирующий
запросы запросы
VS
192.168.1.1/24 Выигрывает тот, у кого
192.168.1.2/24
наименьший IP-адрес.
IGMPv2 реализует
выборку запроса на
основе сообщений
General Query.
Клиент A
Общее сообщение запрос
Сравнение пакетов IGMPv1 с IGMPv2
0 7 15 31
Версия Тип Не используется Контрольная сумма
IGMPv1 Групповой адрес
0 7 15 31
Макс. время
Тип Контрольная сумма
ответа
IGMPv2 Групповой адрес
 Вопрос: Как IGMP позволяет членам группы получать данные из конкретных

источников многоадресной рассылки?
Новые требования в модели SSM
Источник A Источник B
1.1.1.1 2.2.2.2
RTA RTB
RTC
Клиент A не будет
IGMPv3 Передача многоадресного потока
получать данные из
источника A в группе G1. из Источника A в группу G1
Передача многоадресного потока
из Источника B в группу G1
Клиент A
 Получение данных многоадресной рассылки только из конкретных источников
Рабочий механизм IGMPv3
Маршрутизатор периодически
отправляет общие сообщения
запроса в 224.0.0.1.
RTC
Хост посылает сообщение

отчета о членстве для указания
источников многоадресной Клиент A Клиент B Клиент C
рассылки, из которых он хочет G: G1 G: G2 G: G1
получать данные или нет. IN:1.1.1.1 EX: NULL IN:1.1.1.1
2.2.2.2

Отчет о членстве
Различия между версиями IGMP
Механизм IGMPv1 IGMPv2 IGMPv3
Выборы генераторов Зависят от другого Поддерживается Поддерживается

запросов протокола
Механизм выхода из Выход без посылки Посылка сообщений Посылка сообщений

группы сообщений о выходе о выходе о выходе
Специальный запрос
Не поддерживается Поддерживается Поддерживается
групп
Специальный запрос
Не поддерживается Не поддерживается Поддерживается
источников и групп
Проблемы с передачей данных
многоадресной рассылки на L2
 Лавинная рассылка данных многоадресной рассылки на L2 приводит к :
 Трате сетевых ресурсов Источник
 Риску безопасности
Сеть
рассылки
Данные многоадресной
рассылки отправляются
Коммутатор
хостам, не входящим в группу.
Многоадресный пакет для G2
Рабочий механизм IGMP Snooping
 После включения IGMP snooping на коммутаторах коммутаторы передают
сообщения только на свой порт маршрутизатора.
RTA
Коммутатор с функцией IGMP snooping

① ③
1
CPU 0
Таблица многоадресной рассылки L2
Mac-адрес Интерфейсы 2 3 4
0100.5e01.0203 0134 ②
Запрос
Отчет
Пакет многоадресной рассылки
Конфигурация IGMP
multicast routing-enable
interface G0/0/1
ip address 192.168.1.1 255.255.255.0
igmp enable
igmp version 2
RTA
G0/0/1 IGMPv2
192.168.1.0/24
Клиент A
Проверка конфигурации IGMP
<RTA>display igmp interface
Interface information of VPN-Instance: public net
GigabitEthernet0/0/1(192.168.1.1):
IGMP is enabled
Current IGMP version is 2
IGMP state: up
IGMP group policy: none
IGMP limit: -
Value of query interval for IGMP (negotiated): -
Value of query interval for IGMP (configured): 60 s
Value of other querier timeout for IGMP: 0 s
Value of maximum query response time for IGMP: 10 s
Querier for IGMP: 192.168.1.1 (this router)
Total 1 IGMP Group reported
<RTA>display igmp group

Interface group report information of VPN-Instance: public net
GigabitEthernet0/0/1(192.168.1.1):
Total 1 IGMP Group reported
Group Address Last Reporter Uptime Expires
239.255.255.250 192.168.1.11 00:04:18 00:02:07
Вопросы
1. В IGMPv1, когда последний член выходит из группы, как долго будет ждать
маршрутизатор, прежде чем удалить список группы многоадресной рассылки?
2. Является ли 224.0.0.0.1 IP-адресом назначения специального запроса групп в

протоколе IGMPv2?
3. Как работает IGMP Snooping?
Спасибо!
www.huawei.com
Принципы и конфигурации PIM

Введение
 Пакеты многоадресной рассылки переадресуются в определенные группы получателей, которые могут
быть распределены в любом месте сети. Чтобы правильно и эффективно пересылать пакеты
многоадресной рассылки, маршрутизаторы многоадресной рассылки должны создавать и поддерживать
записи маршрутизации многоадресной рассылки.
 Поскольку используется все больше протоколов и приложений маршрутизации многоадресной рассылки,
люди понимают, что если многоадресные маршруты генерируются несколькими алгоритмами
маршрутизации динамически, такими как маршруты, одноадресной рассылки, то для разных протоколов
маршрутизации импортировать маршруты друг друга будет слишком сложно.
 Независимая от протокола многоадресная рассылка (PIM, Protocol Independent Multicast) реализует
проверку RPF пакетов многоадресной рассылки, создание записей маршрутизации многоадресной
рассылки и пересылку пакетов многоадресной рассылки на основе таблиц маршрутизации одноадресной
рассылки.
Цель
 Требования к многоадресной рассылке
 Принципы и конфигурации PIM-DM
 Принципы и конфигурации PIM-SM
1. Требования к отправке пакетов многоадресной рассылке
2. Рабочий механизм PIM-DM
3. Ограничения PIM-DM
4. Рабочий механизм PIM-SM
Как маршрутизатор переадресует пакеты
 Маршрутизатор пересылает пакеты
многоадресной рассылки, основываясь на
следующей информации: Источник

Есть ли в сегментах сети получатели?

К какой группе должны подключиться
Сеть
получатели? многоадресной
рассылки
 Настройка предыдущей информации вручную
может привести к следующим проблемам:
Клиент C
Клиент A
 Невозможность обновления в реальном времени (G1)
(G1)
 Низкая гибкость Клиент B

 Огромная рабочая нагрузка и высокая Пакет
вероятность ошибок
рассылки
1. Требования к многоадресной рассылке
Обзор PIM-DM
 PIM-DM использует режим "push" для переадресации пакетов
 Ключевая задача PIM-DM:
 Установите дерево кратчайшего пути (SPT).
 Рабочие механизмы PIM-DM:
 Обнаружение соседних узлов
 Лавинная рассылка (Flood) и обрезка (prune)
 Обновление состояния
 Прививка (graft)
 Утверждение (assert)
Обнаружение соседних узлов PIM-DM
 Обнаружение соседних узлов, используя сообщения Hello:
Hello
RTA Hello RTB
 Выборы DR(назначенный маршрутизатор ):

RTC RTD
Hello
Hello
Маршрутизатор с
наивысшим приоритетом
или самым большим IP-
адресом становится DR. Клиент A
Настройка SPT в сети PIM-DM
 Лавинная рассылка (Flood)
Лавинно рассылает
 Проверка RPF полученный пакеты RTA
многоадресной Источник
рассылки.
 Обрезка (Pruning)
RTB RTC RTD

Сеть
Каждый Многоадресной
маршрутизатор рассылки
создает запись (S, G).
Клиент C
（G1）
Клиент A RTE
(G1)
Запустите процесс
обрезки, если под
Клиент B интерфейсом нет
получателей.
Обновление состояния
 Периодическое обновление состояния обрезки.
RTA Источник
RTB RTC RTD

Сеть
Многоадресной
рассылки
РТЕ
Клиент A Клиент C
(G1) （G1）
Клиент B Обновление состояния
Механизм прививки (graft)
 Позволяет новым членам группы быстро получать пакеты многоадресной
рассылки.
RTA Источник
RTB RTC RTD

Сеть
② ③ Многоадресной
рассылки
RTE
Клиент A ① Клиент C
(G1) （G1） Отчет IGMP
Прививка/Прививка ACK
Клиент B (G1)
Механизм утверждения (assert)
 Предотвращает появление одинаковых пакетов многоадресной рассылки.
Сеть
Многоадресной
рассылки
RTA RTB RTC
Три одинаковых потока Пакеты многоадресной рассылки

данных многоадресной Клиент A
RTD Сообщение Assert
рассылки в сети
Конфигурация PIM-DM
interface G0/0/0 multicast routing-enable
pim dm interface G0/0/0
interface G0/0/1 pim dm
pim dm interface G0/0/1
G0/0/2
interface G0/0/2
Источник pim dm
pim dm RTA
G0/0/1
G0/0/0
PIM-DM
G0/0/0
G0/0/0 G0/0/2 G0/0/0
RTB RTC RTD
То же самое, что G0/0/1 G0/0/1 То же самое, что G0/0/1
и конфигурация и конфигурация
RTD. G0/0/0 RTA.
RTE
G0/0/1 То же самое, что

Клиент A и конфигурация
Клиент C
RTD
Клиент B
Проверка конфигурации PIM-DM
<RTD>display pim routing-table
VPN-Instance: public net
Total 1 (*, G) entry; 1 (S, G) entry
(192.168.0.1, 239.255.255.250)
Protocol: pim-dm, Flag: ACT
UpTime: 00:00:09
Upstream interface: GigabitEthernet0/0/0
Upstream neighbor: 10.1.14.1
RPF prime neighbor: 10.1.14.1
Downstream interface(s) information:
Total number of downstreams: 1
1: GigabitEthernet0/0/1
Protocol: pim-dm, UpTime: 00:00:09, Expires: -
<RTD>display pim neighbor

Total Number of Neighbors = 1
Neighbor Interface Uptime Expires Dr-Priority BFD-Session

10.1.14.1 GE0/0/0 00:12:19 00:01:16 1 N
1. Требования к многоадресной пересылки
Ограничения PIM-DM
 PIM-DM применяется к кампусным сетям с плотно распределенными
членами групп.
 Ограничения PIM-DM:
 В сети с разреженно распределенными членами группы периодическое
распределение трафика многоадресного рассылки будет оказывать
большое давление на сеть.
1. Требования к многоадресной пересылки
Обзор PIM-SM
 PIM-SM осуществует пересылки пакетов многоадресной рассылки с
помощью режим "Pull".
 Ключевые задачи PIM-SM:
 Установите дерево точек объединения (RPT, rendezvous point tree), также
называемое общим деревом.
 Установите дерево кратчайшего пути (SPT).
 PIM-SM применяется к сетям с разреженно распределенными членами

группы.
Точка объединения (RP)
 RP - это корневой узел RPT.
 Весь трафик многоадресной рассылки на совместном дереве пересылается
на получателей через RP.
 Все маршрутизаторы PIM в сети должны знать местоположение RP.
Настройка RPT
Источник
RP
③
②
Сообщение (*, G)
генерируется на
маршрутизаторах в RPT.
Отчет IGMP
①
Сообщение (*, G) Join
Клиент A Клиент B RPT
 Вопрос: если два маршрутизатора подключены к Клиент A, оба маршрутизатора

отправляют сообщения (*, G) в RP?
DR получатели и DR источника
Рассылка сообщения Register

одноадресной рассылки в RP
DR источника
PIM-SM
Источник
RP
DR получатели
Посылка сообщения (*, G) Join в RP Сообщение (*, G) Join

Сообщение Register
Настройка SPT
DR источника
Источник
①
⑤ ④
⑥
②
④
⑤
③
RP
RPT
Первый пакет многоадресной рассылки
③
Сообщение Register/Register stop
Сообщение (*, G) Join
SPT
 После установки дерева кратчайшего пути SPT пакеты многоадресной рассылки отправляются на
RP по пути SPT.
Записи (*, g) и (S, g)
Режим Тип Сценарий
SPT от маршрутизатора first-hop к

PIM-DM (S, G)
маршрутизатору last-hop
(*, G) RPT от RP к маршрутизатору last-hop
(S, G) SPT от DR источника к RP

PIM-SM
SPT от маршрутизатора first-hop к
(S, G) маршрутизатору last-hop после
переключения SPT
Переадресация PIM-SM
 Есть ли потенциальные проблемы с маршрутом пересылки, состоявшим из
SPT и RPT?
Источник
RP
Не оптимальный
путь пересылки
SPT
Клиент A RPT
Клиент B
Механизм переключения (Switchover)
② Настройка нового
SPT Источник
RP
③ Обрезка ветвей на
общем дереве
① Когда DR получателя
обнаруживает, что скорость
принятых пакетов многоадресной
рассылки превышает пороговое RPT
значение, он отправляет
сообщение (S, G) Join к источнику SPT
многоадресной рассылки. Клиент A Клиент B Сообщение (S, G) Join
Конфигурация PIM-SM
interface G0/0/0
pim sm Источник
interface G0/0/1
pim sm RTA multicast routing-enable
pim G0/0/0 interface G0/0/0
static-rp 4.4.4.4 pim sm
G0/0/0 G0/0/1 interface G0/0/1
pim sm
G0/0/1 G0/0/2 interface G0/0/2
G0/0/0 RTB RP pim sm

pim
RTC G0/0/0
RTD static-rp 4.4.4.4
G0/0/2 G0/0/1
G0/0/1
То же самое, что
То же самое, что G0/0/2
и конфигурация
и конфигурация G0/0/0 G0/0/0 RTB
RTB
RTE RTF
То же самое, что G0/0/1 То же самое, что
G0/0/1
и конфигурация и конфигурация
RTA RTA
Клиент A Клиент B
Проверка конфигурации PIM-SM
<RTF>display pim routing-table
Total 1 (*, G) entry; 0 (S, G) entry
(*, 224.1.1.1)
RP: 4.4.4.4
Protocol: pim-sm, Flag: WC
UpTime: 00:00:20
Upstream interface: GigabitEthernet0/0/0
Upstream neighbor: 10.1.46.4
RPF prime neighbor: 10.1.46.4
Downstream interface(s) information:
Total number of downstreams: 1
1: GigabitEthernet0/0/1
Protocol: igmp, UpTime: 00:00:20, Expires: -
<RTB>display pim neighbor

Total Number of Neighbors = 3
Neighbor Interface Uptime Expires Dr-Priority BFD-Session

10.1.12.1 GE0/0/0 00:04:08 00:01:27 1 N
10.1.23.3 GE0/0/1 00:01:29 00:01:16 1 N
10.1.24.4 GE0/0/2 00:03:19 00:01:25 1 N
Комплексный эксперимент многоадресной
рассылки
RP
Источник A RTA RTB RTE Клиент A
SWA
RTC RTF
Клиент B
RTD Клиент C
 Как показано на рисунке, разверните протокол PIM-SM в сети и укажите RTB в качестве статической точки объединения
RP.
 Настройте протокол IGMPv2 в сети на стороне пользователей и примите меры для минимизации потребления ресурсов
и повышения безопасности сети
 RTE и RTF подключены к получателям. Установите RPT от RP до RTE.
 RTD подключен к сети VIP-пользователей. Клиент в этой сети должен получать данные многоадресной рассылки сразу
после присоединения к группе 238.1.1.1.
Конфигурация PIM-SM (1)
multicast routing-enable multicast routing-enable
pim sm pim sm
pim sm То же самое, что и
конфигурация pim sm
interface g0/0/2 pim
pim sm RTA
static-rp 2.2.2.2
pim
static-rp 2.2.2.2
RP
RTB
G0/0/0 G0/0/0 G0/0/0 G0/0/1
G0/0/1 G0/0/2
G0/0/2
RTA G0/0/1 RTE Клиент A
Источник A
RTC G0/0/0
multicast routing-enable G0/0/1 G0/0/0 SWA
G1/0/0 G0/0/1
interface g0/0/0
pim sm G0/0/2
RTF
interface g0/0/1 G0/0/0
Клиент B
pim sm
interface g0/0/2 G0/0/1 То же самое, что
pim sm и конфигурация
interface g1/0/0 RTD Клиент C RTE
pim sm
pim
То же самое, что
static-rp 2.2.2.2
и конфигурация
RTE
Конфигурация PIM-SM (2)
interface g0/0/1
igmp enable
igmp version 2 igmp-snooping enable
pim hello-option dr-priority 100 vlan 10
igmp-snooping enable
RP
RTB
G0/0/0 G0/0/0 G0/0/0 G0/0/1
G0/0/1 G0/0/2
G0/0/2
RTA G0/0/1 RTE Клиент A
Источник A
RTC G0/0/0
G0/0/1 G0/0/0 SWA

G1/0/0 G0/0/1
G0/0/2
RTF
G0/0/0
Клиент B
G0/0/1 interface g0/0/1

RTD Клиент C igmp enable
igmp version 2
interface g0/0/1
igmp static-group 238.1.1.1
Вопросы
1. Что такое дерево распределения многоадресной рассылки? Какие типы включены
в него?
2. Какова функция механизма утверждения (assert)?
3. Верно или неверно: В протоколе PIM-SM, назначенный маршрутизатор DR,

подключенный к получателям многоадресной рассылки отправляет сообщения
Register одноадресной рассылки в точку объединения RP.
Спасибо!
www.huawei.com
Управление маршрутом

Введение
 Корпоративные сети могут столкнуться с такими проблемами, как несанкционированный доступ к определенному
трафику и неоптимальный выбор маршрута трафика. Для обеспечения безопасности доступа к данным и улучшения
использования пропускной способности канала связи необходимо контролировать поведение трафика в сети, например,
контролировать доступность трафика и регулировать маршруты в сети.
 Чтобы удовлетворить более сложные и подробные потребности в управлении и контроли трафика, нам необходимо
использовать инструменты для эффективного управления. В этом курсе давайте познакомимся с инструментами
управления трафиком и сценариями их использования.
Цель
 Освоите метод контроли поведения трафика и доступности в сети
 Освоите метод регулировки маршрутов сетевого трафика
 Ознакомитесь с проблемами, вызванными импортом маршрута и их решениями
1. Требование к контролю поведения трафика
2. Контроль доступности трафика
3. Регулировка маршрутов сетевого трафика
4. Проблемы, вызванные импортом маршрута и решения
Требование к контролю поведения трафика
1. Контроль доступности трафика.
Для повышения безопасности сети
некоторые отделы не имеют права доступа Финансовый
Маркетинговый
друг к другу. отдел
отдел
OSPF
Отдел
НИОКР
Штаб-квартира
Отдел
документации
2. Регулировка маршрутов сетевого трафика.
Для дальнейшей оптимизации сети,
возможно, потребуется регулировать
Маркетинговый пути сетевого трафика.
отдел
10 м 10 м
OSPF Штаб-квартира
отдел 5м 10 м
Бездействующий канал
связи

 Политика маршрутизации
 Маршрутизация на основе политик (пользователей)
Контроль доступность сетевого трафика
 Вопрос: Как контролировать доступность сетевого трафика.
отдел
отдел
RTC OSPF
RTB Отдел
НИОКР
RTA
RTD
Отдел
 Решение 1: Изменение количества записей маршрутизации (т.е фильтровать полученные и

объявленные маршруты) для контроля доступности. Это называется политикой маршрутизации
(Routing Policy).
 Решение 2: Пересылка пакетов на основе определенных пользователями политик и имеет более

высокий приоритет, чем политика маршрутизации. Это называется маршрутизацией на основе
политик пользователей (Policy Based Routing).
Решение 1: Политика маршрутизации
отдел
Маркетинговый RTC OSPF
отдел
RTB Отдел
НИОКР
Штаб-квартира RTA
RTD
Отдел
 Использование инструмента Filter-Policy для фильтрации маршрутов, импортированных из RTA в

OSPF, и маршрутов, импортированных из RTC в таблицу маршрутизации:
 Используйте ACL или IP-Prefix List для соответствия целевому трафику.
 Используйте Filter-Policy в представлении протокола для объявления политик целевому трафику.
 Использование инструмента Route-Policy для фильтрации прямых маршрутов, импортированных RTA:

 Используйте ACL или IP-Prefix List для соответствия целевому потоку.
 Используйте Route-Policy в представлении протокола для управления импортированными маршрутами.
Пример применения ACL (1)
 ACL классифицирует пакеты по разным типам, основываясь на информации в пакетах.
acl 2001
rule 0 permit source 1.1.0.0 0.0.255.255
1.1.1.1/32
1.1.1.1/32
1.1.1.0/24
1.1.1.0/24
1.1.0.0/16
1.1.0.0/16
1.0.0.0/8
acl 2001
rule 0 permit source 1.1.1.1 0
rule 1 deny source 1.1.1.0 0
rule 3 deny source any
1.1.1.1/32 1.1.1.1/32
1.1.1.0/24 1.1.0.0/16
1.1.0.0/16
1.0.0.0/8
acl 2001
1.1.1.1/32 1.1.1.0/24
1.1.1.0/24 1.1.1.0/25
1.1.1.0/25 ACL может гибко сопоставлять

пакеты с префиксами IP-адреса, но
1.1.0.0/16 не может сопоставлять длине
маски.
1.0.0.0/8 Вопрос: Как отфильтровать маршрут 1.1.1.0/25?
Пример применения IP-Prefix List (1)
 IP-Prefix List может сопоставлять как префикс IP-адреса, так и длину маски.
 IP-Prefix List не может фильтровать IP-пакеты, но может фильтровать только информацию
маршрутизации.
ip ip-prefix test index 10 permit 10.0.0.0 16 greater-equal 24 less-equal 28

Диапазон IP-адресов: 10.0.0.0 – 10.0.x.x
24<=Длина маски<=28
Пример: 10.0.1.0/24, 10.0.2.0/25, 10.0.2.192/26
Пример применения IP-Prefix List (2)
ip ip-prefix Pref1 index 10 permit 1.1.1.0 24

greater-equal 24 less-equal 24
1.1.1.1/32 1.1.1.0/24
1.1.1.0/24
"greater-equal 24 less-equal 24"
1.1.1.0/25 означает, что длина маски
составляет 24.
1.1.0.0/16
1.0.0.0/8 Маршрут 1.1.1.0/25 будет отфильтрован.
Инструмент Filter-Policy
 Filter-Policy может фильтровать полученные или объявленные маршруты RIP, OSPF и BGP.
Фильтрация маршрутов, полученных протоколами:

filter-policy { acl-number | ip-prefix ip-prefix-name } import
Фильтрация маршрутов, объявленных протоколами:

filter-policy { acl-number | ip-prefix ip-prefix-name } export
Инструмент политики маршрутизации
(Route-Policy)
 Route-policy - это мощный инструмент. Он может использоваться вместе с другими инструментами, такими как ACL,
список префиксов IP-адресов и фильтр путей AS (As-Path-Filter).
Route-Policy：
route-policy route-policy-name { permit | deny } node node
if-match {acl/cost/interface/ip next-hop/ip-prefix}
apply {cost/ip-address next-hop/tag}
 Route-policy состоит из нескольких узлов, которые имеют отношение «или». Каждый узел имеет несколько
пунктов if-mach и apply, а пункты if-mach имеют отношение «и».
Пример применения политики
Table-1 acl 2001
Network Cost NextHop rule 0 permit source 1.1.3.0 0.0.0.255
1.1.2.0/24 4687 34.34.34.2 acl 2002
4687 13.13.13.1 rule 0 permit source 13.13.13.1 0
1.1.3.0/24 4687 34.34.34.2
route-policy RP deny node 10
4687 13.13.13.1
if-match ip-prefix Pref1
1.1.3.0/25 1 34.34.34.2 route-policy RP permit node 20
1 13.13.13.1 if-match ip-prefix Pref2
5.5.5.5/32 4687 34.34.34.2 route-policy RP permit node 30
4687 13.13.13.1 if-match acl 2001
6.6.6.6/32 4687 34.34.34.2 if-match ip next-hop acl 2002
4687 13.13.13.1 apply cost 21
route-policy RP permit node 40
if-match ip-prefix Pref3
apply cost 11
route-policy RP permit node 50
#
Table-2 ip ip-prefix Pref2 index 10 deny 6.6.6.6 32
Network Cost NextHop ip ip-prefix Pref3 index 10 permit 1.1.3.0 24
1.1.3.0/24 4687 34.34.34.2 greater-equal 25 less-equal 25
21 13.13.13.1
1.1.3.0/25 11 34.34.34.2
21 13.13.13.1
Конфигурация политики маршрутизации (1)
acl 2000
rule 5 deny source 10.1.1.0 0.0.0.255
rule 10 permit source any
ospf 1
filter-policy 2000 import
Маркетинговый RTC Финансовый

отдел OSPF отдел
10.1.2.0
Отдел
НИОКР
Штаб-квартира RTB RTA
Отдел
RTD документации
ip ip-prefix ab index 10 permit 10.1.1.0 24

ospf 1
filter-policy ip-prefix ab export direct
acl 2000
rule 5 deny source 10.1.1.0 0.0.0.255
rule 10 permit source any
ospf 1
Маркетинговый RTC OSPF отдел
отдел
10.1.2.0 Отдел
НИОКР
Штаб-квартира RTB RTA

Отдел

ospf 1
filter-policy ip-prefix ab export direct
<RTC>dis ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 14 Routes : 14
10.1.3.0/24 O_ASE 150 1 D 12.1.2.1 GigabitEthernet 0/0/0

10.1.4.0/24 Direct 0 0 D 10.1.4.2 GigabitEthernet 0/0/1
10.1.5.0/24 OSPF 10 3 D 12.1.2.1 GigabitEthernet 0/0/0
<RTD>dis ip routing-table
------------------------------------------------------------------------------


 Политика маршрутизации
 Маршрутизация на основе политик
Решение 2: Маршрутизация на основе
политик (1)
 На основе настроенной пользователем политики: использует инструмент фильтрации трафика.
acl number 3000

rule 0 deny ip source 10.1.4.0 0.0.0.255 dest 10.1.1.0 0.0.0.255
rule 10 permit ip source any
int g0/0/1
traffic-filter inbound acl 3000
Маркетинговый RTC Финансовый

отдел OSPF отдел
Отдел
НИОКР
RTB RTA
Отдел
acl 3000
int g0/0/1
traffic-filter inbound acl 3000
политик (2)
[RTC]dis ip routing-table
------------------------------------------------------------------------------

PC-Marketing department>ping 10.1.1.1
Ping 10.1.1.1: 32 data bytes, Press Ctrl_C to break

Request timeout!
Request timeout!
Request timeout!
Request timeout!
--- 10.1.1.1 ping statistics ---

4 packet(s) transmitted
0 packet(s) received
100.00% packet loss

 Политика маршрутизации
 Маршрутизация на основе политик
Регулировка маршрутов сетевого трафика
 На этапе дальнейшей оптимизации сети, возможно, потребуется регулировать маршруты сетевого
трафика.
RTB
отдел
10 м 10 м
OSPF Штаб-квартира
Финансовый 5м 10 м
отдел RTA RTD
Бездействующий канал
RTC связи
 Решение 1: можно использовать политику маршрутизации для изменения атрибута протокола,

чтобы управлять записями таблицы маршрутизации и настройки тракта трафика.
 Решение 2: можно использовать маршрутизацию на основе политик для управления

поведением трафика перед поиском таблицы маршрутизации.
Решение 1: Политика маршрутизации
display ip routing-table
RTB
Marketing
department 10M(cost 1)
20 persons 10M(cost 1) Headquarters
G0/0/0
OSPF
G0/0/1
Financial 5M(cost 2) 10M(cost 1)
RTD
10.1.3.0
department RTA
10 persons
RTC
int g0/0/0
ospf cost 2
OSPF 10 4 D 12.1.3.2 GigabitEthernet 0/0/1
Ограничение решения 1
 Чтобы в полной мере использовать пропускную способность канала, маршрут трафика выглядит
следующим образом: от отдела маркетинга до штаб-квартиры - RTA-RTB-RTD, а маршрут от
финансового отдела до штаб-квартиры - RTA-RTC-RTD.
RTB
отдел
10 м 10 м
20 человек Штаб-квартира
OSPF
5м 10 м
Финансовый RTA RTD
отдел
10 человек
RTC
 Как показано на рисунке, решение 1 не может удовлетворить это требование, поскольку пакеты
пересылаются по адресу назначения. Он не может отвечать требованиям исходного адреса, адреса
назначения или пересылки на уровне приложений.

 Политика маршрутизации
 Маршрутизация на основе политик
политик (1)
Маршрутизация основана на исходном адресе. То есть next hope
трафика из отдела маркетинга является RTB, а next hope трафика из
финансового отдела - RTC.
RTB
отдел
20 человек 10 м 10 м Штаб-квартира
OSPF
10.1.3.0
Финансовый 5м 10 м
отдел RTA RTD
10 человек
RTC
 Маршрутизация на основе политик осуществляется с использованием политики

трафика:
 Использование ACL для сопоставления трафика;
 Определение поведения для трафика, например, измените следующий узел (next hop).
политик (2)
[RTA]acl 3000
rule 5 permit ip source 10.1.1.0 0.0.0.255 dest 10.1.3.0 0.0.0.255
traffic classifier huawei-control1
if-match acl 3000
traffic behavior huawei-control1
redirect ip-nexthop 12.1.1.2
traffic policy huawei-control1
classifier huawei-control1 behavior huawei-control1
int g0/0/2
traffic-policy huawei-control1 inbound
[RTA]acl 3001
rule 5 permit ip source 10.1.2.0 0.0.0.255 dest 10.1.3.0 0.0.0.255
traffic classifier huawei-control2
if-match acl 3001
traffic behavior huawei-control2
redirect ip-nexthop 12.1.3.2
traffic policy huawei-control2
classifier huawei-control2 behavior huawei-control2
int g4/0/0
traffic-policy huawei-control2 inbound
политик (3)
<RTA>dis ip routing-table
-------------------------------------------------------------------------

10.1.1.0/24 Direct 0 0 D 10.1.1.2 GigabitEthernet
0/0/2
10.1.2.0/24 Direct 0 0 D 10.1.2.2 GigabitEthernet
4/0/0
10.1.3.0/24 OSPF 10 3 D 12.1.1.2 GigabitEthernet
0/0/0
PC-Marketing department>tracert PC-Financial department>tracert

10.1.3.1 10.1.3.1
traceroute to 10.1.3.1, 8 hops max traceroute to 10.1.3.1, 8 hops max

(ICMP), press Ctrl+C to stop (ICMP), press Ctrl+C to stop
1 10.1.1.2 47 ms 31 ms 15 ms 1 10.1.2.2 16 ms 31 ms 16 ms
2 12.1.1.2 47 ms 31 ms 32 ms 2 12.1.3.2 62 ms 47 ms 31 ms
3 12.1.2.2 93 ms 63 ms 46 ms 3 12.1.4.2 47 ms 47 ms 31 ms
4 *10.1.3.1 62 ms 31 ms 4 10.1.3.1 32 ms 46 ms 32 ms
Различия между политикой маршрутизации и
маршрутизацией на основе политик (PBR)
Политика маршрутизации Маршрутизация на основе политик
На основе уровня передачи, не влияет на записи маршрутизации.

На основе уровня управления, влияет на Пакеты пересылаются сначала на основе политики, а затем на
записи маршрутизации. основе таблицы маршрутизации, если пересылка на основе
политики дает сбой.
Политика, основанная на адресе Политика основана на адресе источника, адресе назначения,

назначения. типе протокола и размере пакета.
Используется с протоколом Политику маршрутизации нужно настраивать вручную, чтобы

маршрутизации. пакеты пересылались в соответствии с политикой.
Инструменты: Route-Policy, Filter-Policy и

Инструменты: Traffic-Filter, Traffic-Policy, Policy-Based-Route и т.д.
т.д.
Регулировка маршрутов сетевого трафика
- несколько протоколов
 В предыдущем примере четыре маршрутизатора работают по одному протоколу. Если они запустят
разные протоколы, что будет дальше?
① ospf 1
RTB
Маркетинговый отдел
20 человек
③ 10.1.3.0/24 150 3 10M
Штаб-квартиры
RTA
RTD
Финансовый отдел
10 человек
5M
④ 10.1.3.0/24 150 4
RTC ⑤ Канал простаивает. Низкая

⑥ Решение: измените стоимость эффективность использования
OSPF на интерфейсе для пропускной способности.
реализации балансировки ② ospf 1
нагрузки.
Другие проблемы, вызванные применением
нескольких протоколов - суб-оптимальный
маршрут
② import rip ② isis 1
import-route rip 1
RTC
Lo0:2.2.2.2
RTA
12.12.12.1
RTD
RTB
S0
⑤ [RTB]display ip routing-table
Destination/Mask Proto Pre Cost NextHop
Interface
2.0.0.0/8 ISIS 15 84 12.12.12.1 Serial0
Решение 1: Маршруты фильтрации
isis 1
import-route rip 1
RTA RTC RTD
Lo0:2.2.2.2
RTB 24.24.24.2
acl 2001
rule 5 deny source 2.0.0.0 0.255.255.255
rule 10 permit
isis 1
Destination/Mask Proto Pre Cost NextHop Interface
2.0.0.0/8 RIP 100 1 24.24.24.2
Serial1
Решение 2: настройка приоритетов
протокола
isis 1
import-route rip 1
RTC
RTA RTD
Lo0:2.2.2.2
RTB 24.24.24.2
isis 1
preference 150
Interface
2.0.0.0/8 RIP 100 1 24.24.24.2
Serial1
Другие проблемы, вызванные применением
нескольких протоколов – петля (Loop)
⑦import isis
RTC
RTB
RTD
②
Dest. ASE 150 2
RTE
RTA
Lo0:2.2.2.2/32 ④import ospf
①import direct cost 2
Решение 1: Маршруты фильтрации
acl 2001
rule 0 deny source 2.0.0.0 0.255.255.255
rule 1 permit
ospf 1
import-route isis 1 route-policy RP1
route-policy RP1 permit node 10
if-match acl 2001
RTC
RTB
RTD
RTE
Lo0:2.2.2.2/32
RTA
isis 1
import-route ospf 1
ospf 1
import-route direct cost 2
Решение 2: Настройка приоритетов
протокола
isis 1
preference 160
ospf 1
RTC import-route isis 1
Interface
2.2.2.2/32 O_ASE 150 2 12.12.12.1
Serial0
RTB RTD
RTE
12.12.12.1
isis 1
import-route ospf 1
RTA Lo0:2.2.2.2/32
ospf 1
import-route direct cost 2
Вопросы
1. Можно ли использовать список префиксов IP для фильтрации IP-пакетов?
2. Какие методы можно использовать для настройки маршрутов трафика?
3. Какие проблемы могут быть вызваны импортом маршрута и каковы решения?
Спасибо!
www.huawei.com
Принципы и конфигурации Eth-Trunk
Введение
 По мере увеличения количества услуг, развернутых в сетях, пропускная способность одного физического канала связи
не может удовлетворить потребности в трафике для полнодуплексных каналов связи P2P. С целью увеличения
пропускной способности действующие интерфейсные платы могут быть замены интерфейсными платами с более
высокой пропускной способностью, однако это приведет к пустой растрате ресурсов устройства и повысит затраты на
модернизацию. Если добавлены дополнительные каналы для подключения устройств, каждый интерфейс 3-го уровня
должен быть сконфигурирован с IP-адресом, что приводит к неэффективному расходованию IP-адресов.
 Eth-Trunk (технология агрегирования каналов) - это технология привязки, которая позволяет объединять несколько
независимых физических интерфейсов в единый логический интерфейс с высокой пропускной способностью. Нет
необходимости заменять интерфейсные платы, и не приводит к неэффективному расходованию IP-адресов. В этом
курсе давайте разберем технологию Eth-Trunk подробно.
Цель
 Основные принципы Eth-Trunk
 Конфигурации Eth-Trunk
1. Основные принципы Eth-Trunk
2. Примеры конфигурации Eth-Trunk
Проблемы с сетью
Пропускная способность одного физического
канала связи не может удовлетворить
потребности в трафике всей кампусной сети.
Если действующие интерфейсные платы
замены интерфейсными платами с более
высокой пропускной способностью, это
Выход кампусной сети приведет к пустой растрате ресурсов
устройства, Если добавлены
дополнительные каналы, необходимо
назначить им IP-адреса, что приводит к
неэффективному расходованию IP-адресов.
Уровень ядра
В одноканальной сети, если канал не

работает, то это влияет на взаимодействие
персонала всей области.
Уровень агрегации
Уровень доступа
НИОКР Тупые Область Финансовая

терминалы маркетинга область
Концепция Eth-Trunk
RTA
Eth-Trunk RTB
 Eth-Trunk - это привязывающая технология, позволяющая объединять несколько физических интерфейсов Ethernet в
единый логический интерфейс.
 Режимы Eth-Trunk:
 Балансировка нагрузки вручную
 LACP
Балансировка нагрузки вручную
RTA RTB
Eth-Trunk
Устаревшее оборудование не
поддерживает протокол LACP.
Пользовательская Пользовательская
сеть1 Сеть 2
 Если, в случае когда на крайне мере одно из двух устройств не поддерживает протокол LACP, можно использовать
режим балансировки нагрузки вручную для увеличения пропускной способности и повышения отказоустойчивости сети.
 В режиме балансировки нагрузки вручную, все каналы связи, присоединяющиеся к Eth-Trunk, пересылают данные.
Режим LACP
RTA RTB
Eth-Trunk
Активные каналы
Резервные каналы
Пользовательская Пользовательская
сеть сеть
 Режим LACP также называется режимом M:N, где M каналов связи активны и пересылают данные, а N каналов связи
неактивны и используются в качестве резервных.
 Как показано на рисунке, есть две активные каналы связи, то есть эти два канала связи могут пересылать данные. Еще
существует один резервный канал связи, он не пересылает данные. Только при сбое активных каналов связи канал
резервирования начинает пересылать данные.
Выбор активных каналов в режиме LACP
RTA 1 3 RTB
Устройство с более высоким 2 2 Устройство с более низким
приоритетом системы приоритетом системы
3 1
Приоритет интерфейса Приоритет интерфейса
Определение активного устройства после

сравнения приоритетов систем устройств
RTA RTB
1 3
2 2
Активное
3 1
Приоритет интерфейса Приоритет интерфейса
Определение активных каналов после

сравнения приоритетов интерфейсов
RTA 1 3 RTB
2 2
Активное
3 1
Приоритет интерфейса Eth-Trunk Приоритет интерфейса
Задержка приоритетного прерывания
обслуживания LACP
RTA Порт 1 10 RTB
Eth-Trunk Порт 1
Порт 2 20 Порт 2
Активное
Порт 3 30 Порт 3
Когда активный порт 1 возникает сбой, порт 3 занимает

его место и будет активным интерфейсом, чтобы
обеспечить стабильную передачу данных.
RTA RTB
Порт 1 Eth-Trunk Порт 1
Порт 2 Порт 2
Активное
Но затем неисправности порта 1 устранены. Если
включена задержка приоритетного прерывания
обслуживания LACP, порт 1 переключается в активное
состояние после этого периода времени.
RTA Порт 1 RTB
Eth-Trunk Порт 1
Активное
Балансировка нагрузки интерфейсов
Eth-Trunk
 При настройке балансировки нагрузки для интерфейсов Eth-Trunk не только можно установить её на основе IP-адресов
пакетов данных или на основе пакетов данных, но и можно установить вес балансировки нагрузки для членов-
интерфейсов.
 Для интерфейсов Eth-Trunk, чем больше удельный вес член-интерфейса, тем больше нагрузка на его.
Балансировка нагрузки
Описание
интерфейсов
Когда пакеты используют один и тот же IP-адрес
Балансировка нагрузки на
или MAC-адрес источника и назначения, пакеты
основе потоков
передаются по одному и тому же каналу.
Балансировка нагрузки на
Пакеты передаются по различным каналам связи.
основе пакетов
Процесс конфигурирования интерфейсов
Eth-Trunk
Создание Eth-Trunk
Балансировка нагрузки
вручную
Конфигурирование режима
агрегирования каналов
LACP
Добавление
членов-интерфейсов
Конфигурирование режима балансировки
нагрузки вручную
RTA G0/0/1 G0/0/1 RTB

G0/0/2 G0/0/2
Активное
G0/0/3 G0/0/3
Eth-Trunk
 Процедура:
 Создайте Eth-Trunk.
 Сконфигурируйте рабочий режим Eth-Trunk.
 Добавьте член-интерфейс к интерфейсу Eth-Trunk.
Конфигурирование режима LACP
RTA G0/0/1 G0/0/1 RTB
G0/0/2 G0/0/2
Активное
G0/0/3 G0/0/3
Eth-Trunk
 Процедура:
 Создайте Eth-Trunk.
 Настройте рабочий режим Eth-Trunk.
 Добавьте интерфейсы-члены к интерфейсу Eth-Trunk.
 (Необязательно) Настройте приоритет системы LACP.
 (Необязательно) Установите верхний предел для количества активных интерфейсов.
 (Необязательно) Настройте приоритет интерфейса LACP.
 (Необязательно) Включите задержку приоритетного прерывания обслуживания LACP и установите время задержки.
1. Принципы Eth-Trunk
2. Примеры конфигурации Eth-Trunk
Требования к конфигурации Eth-Trunk
G1/0/0 G1/0/0
Уровень ядра R1 R2
G1/0/1 G1/0/1
192.168.12.0/24
G0/0/0 G0/0/1 G0/0/0 G0/0/1
192.168.1.254 192.168.2.254
E0/0/1 E0/0/2 E0/0/1 E0/0/2

E0/0/3 E0/0/3
Уровень агрегации SW3 SW4
E0/0/4 E0/0/4
E0/0/5 E0/0/8 E0/0/5 E0/0/8
E0/0/6 E0/0/6
E0/0/7 E0/0/7
E0/0/1 E0/0/2 E0/0/1 E0/0/2 E0/0/1 E0/0/2 E0/0/1 E0/0/2
Уровень доступа SW5 SW6 SW7 SW8
НИОКР Тупые клеммы Область Финансовая

маркетинга область
Конфигурация устройств уровня ядра
 Чтобы показать конфигурацию устройств уровня ядра в качестве примера используется маршрутизатора R1.
 Создайте интерфейсы Eth-Trunk и сконфигурируйте для них IP-адреса.
interface Eth-Trunk1
Undo portswitch // Переключите интерфейс на интерфейс 3-го
уровня. Description "Core-R1 to Aggregate-SW3 "// Описание
для администраторов узнать устройство на другой стороне
интерфейса.
ip address 192.168.1.254 255.255.255.0
#
undo portswitch
description "Core-R1 to Core-R2"
ip address 192.168.12.1 255.255.255.0
 Добавьте физические интерфейсы к Eth-Trunk.
eth-trunk 1
eth-trunk 1
#
eth-trunk 2
eth-trunk 2
Конфигурация устройств уровня агрегации (1)
 Чтобы показать конфигурацию устройств уровня агрегации в качестве примера используется коммутатор SW3.
 Создайте интерфейсы Eth-Trunk. Поскольку устройства уровня агрегации должны взаимодействовать на 2-ом
уровне, их интерфейсы не должны быть сконфигурированы с IP-адресом.
description “Aggregate-SW3 to Core-R1“
//Описание для администраторов узнать устройство на
другой стороне интерфейса.
#
description “Aggregate-SW3 to Aggregate-SW4“
#
description "Aggregate-SW3 to Access-SW5“
#
description "Aggregate-SW3 to Access-SW6“
Конфигурация устройств уровня агрегации (2)
 Чтобы показать конфигурацию устройств уровня агрегации в качестве примера используется коммутатор SW3.
interface Ethernet0/0/1
eth-trunk 1
eth-trunk 1
#
eth-trunk 2
eth-trunk 2
#
eth-trunk 3
eth-trunk 3
#
eth-trunk 4
eth-trunk 4
Конфигурация устройств уровня доступа (1)
 Чтобы показать конфигурацию устройств уровня доступа в качестве примера используется коммутатор SW5.
 Создайте Eth-Trunk. Поскольку устройства уровня доступа должны взаимодействовать на 2-ом уровне, их интерфейсы
не должны быть сконфигурированы с IP-адресом.
description "Access-SW5 to Aggregate-SW3"
//Описание для администраторов узнать
устройство на другой стороне интерфейса.

eth-trunk 1
eth-trunk 1
Конфигурация устройств уровня доступа (2)
 После завершения предыдущей конфигурации выполните следующую команду для просмотра информации о
конфигурации интерфейсов Eth-Trunk:
display eth-trunk
Eth-Trunk1's state information is:
WorkingMode: NORMAL Hash arithmetic: According to SIP-XOR-DIP
Least Active-linknumber: 1 Max Bandwidth-affected-linknumber: 8
Operate status: up Number Of Up Port In Trunk: 2
---------------------------------------------------------------------
-----------
PortName Status Weight
Ethernet0/0/1 Up 1
Ethernet0/0/2 Up 1
 Выполните команду display interface Eth-Trunk для проверки подробной информации о конфигурации Eth-Trunk.
Вопросы
1. Какие режимы агрегирования каналов включают в Eth-Trunk?
A. Режим балансировки нагрузки вручную
B. Режим LACP
C. Ручной режим LACP
D. Динамический режим LACP
2. В режиме LACP, что является приоритетом системы по умолчанию?

A. 1
B. 4096
C. 32768
D. 65535
Спасибо!
www.huawei.com
Расширенные возможности
коммутаторов
Введение
 MUX VLAN (Multiplex VLAN) обеспечивает механизм управления сетевыми ресурсами с
использованием VLAN. MUX VLAN обеспечивает изоляцию на втором уровне, позволяющую
сотрудникам предприятия связываться друг с другом и изолировать посетителей.
 Изолированность второго уровня может быть реализована путем добавления различных
интерфейсов к различным VLAN, но ресурсы VLAN теряются. Изоляция портов может
изолировать порты одной и той же VLAN, обеспечивая безопасное и гибкое сетевое
решение.
 В сети, требующей высокой безопасности, на коммутаторе можно включить безопасность
порта, чтобы предотвратить подключение устройств с несанкционированными MAC-
адресами к сети. Когда число полученных MAC-адресов достигает лимита, коммутатор не
получает новых MAC-адресов. Коммутатор разрешает связь только устройствам, которые
узнали MAC-адреса.
Objectives
 Сценарий применения и конфигурацию MUX VLAN
 Сценарий применения и конфигурацию изоляции порта
 Сценарий применения и конфигурацию безопасности порта
Цель
1. MUX VLAN
2. Изоляция порта
3. Безопасность порта
Сценарий применения MUX VLAN
Трафик доступа сервера
Серверы напрямую подключаются к Трафик доступа пользователя
коммутатору агрегации, а ресурсы
серверов разделяются. Уровень
Предприятие хочет изолировать ядра
связь посетителей в одной и той же
VLAN и связь различных отделов.
Как выполняется это требование?
Уровень Сервер
агрегации
доступа доступа
Финансовый Маркетинговы Компания A Компания B

отдел й отдел
Сотрудники Посетители
Основные понятия MUX VLAN
Сконфигурируйте VLAN в качестве
Principal VLAN.
Устройства в Principal VLAN могут
взаимодействовать с устройствами
Сконфигурируйте VLAN как Group во всех VLAN MUX VLAN.
VLAN.
Устройства в Group VLAN могут Уровень Сконфигурируйте VLAN как
взаимодействовать с устройствами в ядра Separate VLAN.
Principal VLAN. Устройства в одной Устройства в Separate VLAN
VLAN могут взаимодействовать друг с могут взаимодействовать с
другом, но не могут взаимодействовать VLAN: 40 устройствами только в Principal
с устройствами в другой Group VLAN или VLAN. Услуги в Separate VLAN
Separate VLAN. Уровень Сервер изолированы от услуг в других
агрегации VLAN, а услуги в Separate VLAN
также изолированы.
VLAN: 10 VLAN: 20 VLAN: 30 VLAN: 30
Финансовый Маркетинго Компания A Компания B

отдел вый отдел
Сотрудники Посетители
Конфигурация MUX VLAN
SWA Principal VLAN
VLAN: 40
SWB Сервер
SWC SWD
Group VLAN Separate VLAN
VLAN 10 VLAN 20 VLAN 30 VLAN 30
Финансовый Маркетинговый Компания Компания

отдел отдел
Сотрудники предприятия Посетители
Цель
1. MUX VLAN
Сценарий применения изоляции портов
Сотрудники одной и той же проектной

группы назначаются VLAN 10.
Допускается связь между внутренними
сотрудниками и между внутренними
Уровень
сотрудниками с внешними ядра Трафик связи разрешен
сотрудниками, а связь между внешними
работниками не допускается. Как Трафик связи запрещен
выполняется это требование?
Уровень
агрегации
Уровень
доступа
VLAN 10 VLAN 10
Внешние сотрудники Внутренние сотрудники
Основные понятия изоляции портов
Для реализации изоляции на Уровень

втором уровне между этими ядра
интерфейсами необходимо только
добавить пользовательские Пользователи, не относящиеся к
интерфейсы в одну и ту же группу группе изоляции портов, могут
изоляции портов. взаимодействовать с пользователями
Уровень в группе изоляции портов.
агрегации
Группа
VLAN 10 изоляции VLAN 10
портов 1
Конфигурация изоляции порта
port link-type access
port default vlan 10
port-isolate enable group 1
#
SWA
port link-type access <SWC>display port-isolate group 1
port default vlan 10 The ports in isolate group 1:
port-isolate enable group 1 GigabitEthernet0/0/1 GigabitEthernet0/0/2
…… GigabitEthernet0/0/3 GigabitEthernet0/0/4
SWB
SWC SWD
Группа
изоляции
VLAN 10 портов 1 VLAN 10
G0/0/1 G0/02 G0/0/3 G0/0/4 G0/0/1 G0/02 G0/0/3 G0/0/4
Цель
1. MUX VLAN
Сценарий применения безопасности порта
Уровень
Как защитить устройство
ядра
агрегации от атак Как защитить устройство
несанкционированных доступа от атак
пользователей? несанкционированных
пользователей?
Уровень
агрегации
Пользователи Несанкционированный Пользователи Несанкционированный

финансового отдела пользователь маркетингового отдела пользователь
Реализация безопасности порта
Пользовательский
MAC VLAN
интерфейс
1 54-89-98-3F-24-E5 20
2 54-89-98-8A-13-EE 20
Уровень 3 54-89-98-76-42-C4 20
Задайте максимальное число ядра
пользователей доступа. Когда 4 54-89-98-97-45-20 20
неавторизованный пользователь
подключается к интерфейсу,
интерфейс отклоняет доступ.
Уровень
агрегации
1 4 4
1
2 3
2
VLAN 10 3 VLAN 20
Пользователи Несанкционированный Пользователи Несанкционированный

финансового отдела пользователь маркетингового отдела пользователь
MAC：54-89-98-34-12-E4
Типы защищенных MAC-адресов
 Безопасность порта изменяет динамические MAC-адреса, полученные на интерфейсе, на
безопасные MAC-адреса (включая динамические и статические защищенные MAC-адреса и
Sticky MAC). Данная функция не позволяет несанкционированным пользователям
связываться с коммутатором с помощью этого интерфейса, повышая безопасность
устройства.
Тип Определение Описание
Динамические защищенные MAC-адреса будут потеряны после

Mac-адрес, полученный на интерфейсе, перезапуска устройства, и их необходимо будет снова узнать.
Динамический безопасный
где включена защита порта, но функция Динамические безопасные MAC-адреса никогда не будут
MAC-адрес
Sticky MAC отключена устаревать по умолчанию и могут быть устаревшими только в
том случае, если для них установлено время старения.
Mac-адрес, конфигурируемый вручную

Статический безопасный Не будет устаревать. Данные сохраняются вручную и не
на интерфейсе, где включена защита
MAC-адрес теряются после перезапуска устройства.
порта
Mac-адрес, который получен на

Не будет устаревать. Данные сохраняются вручную и не
Адрес Sticky MAC интерфейсе, где включена безопасность
теряются после перезапуска устройства.
порта и функция sticky MAC.
Действие, которое необходимо принять после того, как
количество безопасных MAC-адресов превысит лимит
 Действие после того, как количество защищенных MAC-адресов достигает предельного значения
Действие Описание
Отбрасывает пакеты с несуществующим MAC-адресом источника
restrict
и генерирует аварийный сигнал. Это действие рекомендуется.
Только отбрасывает пакеты с несуществующим MAC-адресом
protect
источника, но не генерирует аварийный сигнал.
Устанавливает состояние интерфейса на error-down и генерирует
аварийный сигнал. По умолчанию интерфейс в состоянии error-
shutdown
down может быть восстановлен только с помощью команды restart
в режиме интерфейса.
 Если коммутатор получает пакеты с несуществующим MAC-адресом после того, как количество
безопасных MAC-адресов достигает предельного значения, коммутатор считает, что пакеты
отправляются от несанкционированного пользователя и принимают сконфигурированное действие на
интерфейсе. По умолчанию коммутатор отбрасывает пакеты и генерирует аварийный сигнал в такой
ситуации.
Конфигурация безопасности порта
port default vlan 10 interface GigabitEthernet0/0/1
port-security enable port link-type access
port-security mac-address sticky port default vlan 20
port-security mac-address sticky RTA port-security enable
5489-983F-24E5 vlan 10 …
… Конфигурация других интерфейсов
Конфигурация других интерфейсов аналогична и не упоминается здесь.
аналогична и не упоминается здесь.
SWA
SWB SWC
G0/0/1 G0/0/3 G0/0/1 G0/0/3

VLAN 10 VLAN 20
G0/0/2
G0/0/2
Пользователи финансового отдела Пользователи маркетингового отдела
Проверка конфигурации безопасности
порта
 Выполните следующую команду для проверки привязанных MAC-адресов на SWB:
<SWB>display mac-address sticky
MAC address table of slot 0:
--------------------------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID VSI/SI
MAC-Tunnel
--------------------------------------------------------------------------------------------------
5489-988a-13ee 10 - - GE0/0/2 sticky -
5489-983f-24e5 10 - - GE0/0/1 sticky -
--------------------------------------------------------------------------------------------------
 Выполните следующую команду для проверки динамически полученного MAC-адреса на

SWC:
<SWC>display mac-address security
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID VSI/SI
MAC-Tunnel
---------------------------------------------------------------------------------------
5489-9876-42c4 20 - - GE0/0/1 security -

5489-9897-4520 20 - - GE0/0/2 security -
--------------------------------------------------------------------------------------------------------------------------------------------
Вопросы
1. Для MUX VLAN, в которой VLAN может взаимодействовать с устройствами во всех
VLAN?
А. Principal VLAN
Б. Separate VLAN
В. Group VLAN
Г. Subordinate VLAN
2. Сколько типов защищенных MAC-адресов в безопасности порта?

А. Динамический безопасный MAC-адрес
Б. Статический безопасный MAC-адрес
В. Адрес Sticky MAC
Г. Защищенный MAC-адрес
Спасибо!
www.huawei.com
Принципы и конфигурации RSTP

Введение
 STP может решить проблемы петли, но медленная конвергенция сети
влияет на качество связи. Если сетевая топология часто меняется,
соединения в сети, где установлен STP, легко обрываются, и услуги
постоянно прерываются. Это недопустимо для пользователей.
 В связи с ограничениями STP, IEEE выпустила 802.1w в 2001 году для
определения RSTP. RSTP улучшает STP и реализует быструю
конвергенцию сетевой топологии 2-го уровня. Каковы ограничения STP?
Каковы улучшения RSTP по сравнению с STP?
Цель
 Принципы работы RSTP
 Сходства и различия между RSTP и STP.
 Конфигурации RSTP в типичных сценариях применения
1. Ограничения STP
2. Усовершенствование RSTP
3. Примеры конфигурации RSTP
Проблема 1: Коммутаторы запускают STP в
сценариях инициализации
 Продолжительность от инициализации до полной конвергенции составляет не
менее 30 с.
Root-коммутатор
SWA
Коммутаторы с поддержкой STP
В начале коммутаторы посылают
DP DP ожидают тайм-аута таймеров, чтобы
и контролируют BPDU и
определить все собранные BPDU, а
вычисляют связующее дерево.
затем выполнить расчет STP.
RP RP
Заблокированный порт
DP
SWB SWC
Прослушивание Чтобы предотвратить возникновение петель, STP должен долго ждать
(BPDU могут быть отправлены на каждый узел), чтобы убедиться, что
15 с состояние порта всей сети определено. Затем STP переходит в состояние
Получение Пересылки.
Получение
Перед входом в состояние Пересылки STP создает таблицу MAC-адресов
15 с на основе принимаемого пользовательского трафика. По истечении
Пересылка времени действия таймера STP переходит в состояние Пересылки.
Проблема 2: Коммутатор имеет
заблокированный порт, и корневой порт
отключается
 Прямой канал связи между SWC и SWA переходит в состояние Down. Блокированный порт переключается
на корневой порт и переходит в состояние пересылки. Этот процесс требует не менее 30 с.
Root-
SWA коммутатор Чтобы информация об изменении топологии
распространялась по всей сети и все
DP DP устройства полностью меняли топологию,
новый корневой порт должен дождаться
тайм-аута таймеров, а затем перейти в
состояние пересылки.
RP RP
SWC
DP Заблокированный
порт
SWB
Заблокированный порт становится новым корневым
портом и находится в состоянии блокировки. Он
переходит в состояние пересылки после двух
интервалов задержки пересылки.
Проблема 3: Коммутатор имеет заблокированный
порт, и корневой порт отключается
 Прямой канал связи между SWB и SWA отключается. Блокированный порт SWC переключается на
назначенный порт и переходит в состояние пересылки. Этот процесс требует около 50 с.
SWA
③ Когда срок действия BPDU, буферизованных на порту, истекает,
конвергенция сети выполняется снова. Порт переходит в состояние
DP DP пересылки после двух интервалов задержки пересылки (30 с).
В STP другие порты, за исключением

назначенного порта, не обрабатывают
RP полученные неоптимальные пакеты BPDU.
RP ③ BPDU (SWA -корневой
мост)
SWB SWC
DP
① BPDU (SWB -
корневой мост) Заблокированный
① SWB посылает пакеты
порт
BPDU в качестве корневого ② Заблокированный порт не обрабатывает
устройства. полученные субоптимальные пакеты BPDU и
дожидается тайм-аута субоптимальных BPDU
(20 с).
Проблема 4: Коммутаторы STP-включено
подключаются к пользовательским терминалам
 Время, в течение которого канал связи между коммутатором и пользовательским
терминалом переходит в состояние пересылки, составляет 30 с.
Root-
SWA коммутатор
DP DP
Если порт подключается к терминалу,

RP петля не возникает. Нет
RP необходимости выполнять расчет STP
и ждать таймаута таймеров.
SWB SWC
DP BP
В STP, канал связи между коммутатором и

BPDU BPDU терминалом должен выполнять расчет STP
и канал переходит в состояние пересылки
после двух интервалов задержки
пересылки.
PCA PCB
Проблема 5: Изменение топологии STP
 Когда топология меняется, пакеты BPDU TCN отправляются на корневой мост. Восходящий мост,
получающий BPDU TCN, пересылает BPDU TCA. После того, как BPDU TCN достигает корневого моста,
корневой мост посылает TC BPDU для уведомления устройств об удалении записей MAC-адресов. Эта
реализация сложна, и ее эффективность низка.
Root-
SWA
коммутатор
DP DP
RP RP
SWB SWC
DP DP
DP
TCN
RP RP RP
TCA
TC
SWD SWE SWF SWG
Ограничение STP - роли портов
Корневой
порт
32768.
00e0-fc16-ee43 32768.
00e0-fc22-715а
Назначенный
SWA порт SWB
Корневой мост
Корневой порт Заблокированный

порт После того, как корневой порт на SWC
SWC отключается, корневой порт
выбирается из трех портов и
32768. Заблокированный переходит в состояние пересылки
00e0-fc41-4259 порт
E0/1 после истечения действия таймера.
E0/2
Назначенный порт HUB

Корневой
порт
32768.
00e0-fc41-43b9 SWD
Ограничение STP - состояния портов
Состояния портов
Действие
STP
Отключение
Порт не пересылает пользовательский Три состояния порта

Блокировка соответствуют одному и
трафик или не получает MAC-адресов.
тому же действию, что
Прослушивание увеличивает сложность
использования.
Порт не пересылает пользовательский
Получение
трафик, но получает MAC-адреса.
Порт пересылает пользовательский

Пересылка
трафик и получает MAC-адреса.
 Роли портов и состояния портов
 Быстрая конвергенция
 Обработка изменений топологии
 Функции защиты
Классификация ролей порта
 RSTP добавляет две роли порта: резервный порт и альтернативный порт.
Корневой
32768. порт 32768.
00e0-fc16-ee43 00e0-fc22-715a
Назначенный
SWA порт SWB
Корневой С точки зрения пересылки трафика
мост Корневой пользователя, альтернативный порт
Альтернативный предоставляет путь от назначенного
порт порт коммутатора к корневому.
SWC
32768.
00e0-fc41-4259 С точки зрения пересылки трафика
E0/1 E0/2 Резервный порт пользователя, резервный порт,
используемый в качестве резервной
копирования назначенного порта,
Назначенный HUB обеспечивает резервный путь от
порт Корневой
корневого коммутатора к leaf-
коммутатору.
порт
32768.
00e0-fc41-43b9 SWD
Классификация состояний портов
 RSTP удаляет два состояния портов в STP.
Состояния Состояния портов

Действие
портов STP RSTP
Отключение
Порт не пересылает пользовательский трафик
Блокировка Отбрасывание или не получает MAC-адресов, находится в
состоянии Отбрасывание.
Прослушивание
Порт не пересылает пользовательский трафик,
Получение Получение но получает MAC-адреса, находится в
состоянии Получение.
Порт пересылает пользовательский трафик и
Пересылка Пересылка получает MAC-адреса, находится в состоянии
Пересылки.
 Роли портов и состояния портов
 Быстрая конвергенция
Решение 1: механизм предложения или
соглашения (1)
 Принципы механизма приложения и соглашения
Состояния
Отбрасывание
портов
Роль порта DP ② Синхронизация переменных

(блокировка других портов, за
Бит исключением граничного порта для
Сброс
предложения 1 предотвращения петли).
① BPDU с битом предложения 1
SWA SWB
Приоритет моста 0 ① BPDU с битом предложения 1 Приоритет моста 4096
Состояния
④ После приема пакетов BPDU с битом Пересылка
портов
предложения 1 порт переходит в состояние
пересылки. Роль порта RP
Бит
Сброс
соглашения 1
 Характеристики: использование механизмов подтверждения и синхронизации,
поэтому нет необходимости использовать таймеры для обеспечения бесперебойной
работы сети.
Решение 1: Механизм предложения или
ROOT
 Этап 1 SWA
DP DP
P P
P P
DP DP
SWB P DP
SWC
DP
P
 Этап 2  Этап 3
ROOT ROOT
SWA SWA
DP DP
DP DP
A A
RP RP RP RP
SWB SWC SWB SWC

DP DP DP AP
P
Решение 1: Механизм предложения или
 Принципы выбора STP и RSTP аналогичны: выбор корневого коммутатора,
корневого порта некорневого коммутатора, назначенного порта, а также
альтернативного порта и резервного порта по очереди.
 RSTP добавляет механизм предложения или соглашения. Во время
согласования существует механизм подтверждения, поэтому коммутаторы с
поддержкой RSTP могут пересылать BPDU, не завися от таймеров для
обеспечения топологии сети без петель. Коммутаторам с поддержкой RSTP
необходимо учитывать только время пересылки BPDU и расчета топологии
без петель (обычно в течение нескольких секунд).
Решение проблемы 2: Быстрое
переключение корневого порта
 Прямой канал связи между SWC и SWA отключается. Альтернативный порт
переключается на корневой порт и переходит в состояние пересылки в
течение нескольких секунд.
Root-
SWA коммутатор Чтобы ускорить время конвергенции, после отказа старого
корневого порта новый корневой порт должен немедленно
DP DP перейти в состояние пересылки при отсутствии петель.
Альтернативный порт может немедленно перейти в состояние
пересылки, поскольку это требование учитывается при выборе.
RP RP
DP AP
SWC
SWB
①Немедленно становится
новым корневым портом и
переходит в состояние
пересылки.
Решение проблемы 3: обработка
субоптимальных BPDU
 Прямой канал связи между SWB и SWA отключается. Альтернативный порт
SWC переключается на назначенный порт и переходит в состояние
пересылки в течение нескольких секунд.
Root-
③ При получении BPDU с более Коммутатор
высоким приоритетом SWB SWA ④ После получения
немедленно переопределяет роли SWC пакета соглашения Коммутаторы с поддержкой RSTP не
порта. SWB изменяет назначенный DP DP он немедленно зависят от времени ожидания таймеров
порт на корневой порт и отправляет переходит в состояние для обработки субоптимальных BPDU.
BPDU с битом соглашения 1. пересылки. Вместо этого они отправляют
оптимальные BPDU на удаленную
сторону, ускоряя конвергенцию
RP RP топологии.
③Соглашение
SWB SWC
DP AP
①Предложение
① SWB, используемый в ②Предложение ② После того, как альтернативный

качестве корневого моста, порт получает субоптимальные BPDU,
отправляет BPDU с битом он немедленно отправляет
предложения 1. оптимальные BPDU на удаленную
сторону и переключается на
назначенный порт.
Решение 4: граничный порт
 В RSTP интерфейс коммутатора, подключенный к терминалу, может
немедленно перейти в состояние пересылки.
Root- После того как порт коммутатора,

SWA коммутатор подключенный к терминалу, настроен в
качестве пограничного порта, он немедленно
DP DP переходит в состояние пересылки. После
того, как граничный порт получает BPDU, он
становится общим STP-портом, и связующее
дерево пересчитывается.
RP RP
SWB SWC
DP BP
Граничный порт Граничный порт
Сконфигурируйте порт,
подключенный к
терминалу, в качестве
граничного порта.
PCA PCB
 Роли портов и состояния портов
 Обработка изменений топологии
Решение 5: обработка изменений топологии
 Идентификация изменения топологии: не-граничный порт переходит в

состояние пересылки.
Root-
SWA
При изменении топологии сети коммутатор
коммутатор в точке изменения
напрямую отправляет BPDU с
полем TC 0, что сокращает время
конвергенции сети, поскольку
коммутатору в точке изменения не
нужно уведомлять корневой SWB SWC
коммутатор или отправлять TC
BPDU по всей сети.
SWD SWG
Пересылка SWE SWF
RST BPDU с полем TC 1

ПК
Проблемы, вызванные изменениями
топологии
SWA ④ Таблица MAC-адресов SWA
MAC-адрес
Root-коммутатор Порт
назначения
DP
DP Mac-адрес PCA E1
⑤ SWA пересылает
E1 Е2 ... ...
трафик
⑦ Таблица MAC-
③ SWC пересылает адресов коммутатора
⑥ Трафик LAN A LAN B записывает
трафик
отбрасывается неверный порт.
RP SWC
RP
② Таблица MAC-адресов SWC
E1 E1
SWB
LAN C MAC-адрес
Порт
Е2 DP AP Е2 назначения
Mac-адрес PCA E1
Граничный порт Граничный порт
... ...
① PCB получает
доступ к PCA
PCA PCB
Обработка изменений топологии (1)
SWA
E1 Е2
Таблица MAC-адресов SWB LAN A LAN B

Mac-адрес назначения Порт
SWB SWC
Mac-адрес LANA E1
Mac-адрес LANB E1 E1
Е2
LAN C E1
Mac-адрес LANC
Mac-адрес PCB E1 Е2 Е2
Mac-адрес PCA Е3 Е3
... ...
TC Граничный порт
Новый
корневой порт
PCA PCB
SWA
Root-
коммутатор После того, как коммутатор получает
BPDU с полем TC равным 1, он
E1 E2 очищает MAC-адреса, полученные с
других не пограничных портов, за
исключением не пограничного порта,
который принимает пакеты.
LAN A LAN B
SWB SWC Таблица MAC-адресов SWC

E1 E1
LAN C Mac-адрес назначения Порт
E2 E2 Mac-адрес LANA E1
E3 Mac-адрес LANB E1
Новый
TC Mac-адрес LANC E1
Граничный
корневой порт порт Mac-адрес PCA E1
Mac-адрес PCB Е3
... ...
PCA PCB
Таблица MAC-адресов SWA
SWA Mac-адрес назначения Порт
Root- Mac-адрес LANA E1
коммутатор Mac-адрес LANB Е2
Mac-адрес LANC E1
E1 E2 Mac-адрес PCA E1
Mac-адрес PCB Е2
... ...
LAN A LAN B
SWB
E1 E1
LAN C
E2 E2
Новый TC
Граничный Граничный
корневой порт
порт порт
PCA PCB
SWA
E1 Е2
Таблица MAC-адресов SWB

LAN A LAN B
Mac-адрес назначения Порт
MAC-адресов LANA E1 SWB SWC
MAC-адресов LANB E1 E1 E1
MAC-адресов LANC E2
MAC-адресов PCB E1 Е2 LAN C Е2
MAC-адресов PCA E3
Е3
... ...
Неисправность
Включение граничного Граничный
Граничный граничного порта не
порта не инициирует порт
порт приводит к
изменение топологии.
изменению топологии.
PCA PCB
 Роли портов и состояния портов
 Функции защиты
Защита пакетов BPDU (1)
SWA
Root-коммутатор ⑤ Пересчет связующего дерева
DP DP
⑤ Пересчет
связующего дерева
SWB RP
RP
DP AP SWC
Граничный порт ② RST BPDU ④RST BPDU
③ После того, как граничный порт

получает BPDU, он становится не-
граничным портом, а связующее
дерево пересчитывается.
① Хакер подключается к
коммутатору с Когда новый коммутатор посылает
поддержкой STP через BPDUs, запускается вычисление
граничный порт. связующего дерева других
коммутаторов. В результате
происходит переключение сети.
Защита пакетов BPDU (2)
SWA
DP DP
Порт, получающий BPDU,

немедленно отключается. Это SWB RP
может эффективно предотвратить RP
переключение сети. DP AP SWC
Граничный порт Включение защиты
BPDU
RST BPDU
Защита корневого моста (1)
② Получая пакеты RST BPDU высокого
приоритета, SWA пересчитывает
связующее дерево и проигрывает роль
SWA корневого коммутатора. В результате,
Root- топология сети неправильно меняется.
DP DP
① Хакер соединяет
коммутатор с наивысшим
приоритетом сети.
SWB RP RP RST BPDU

RST BPDU SWC
AP DP
Новый root-
Защита корневого моста (2)
Когда порт получает высокоприоритетные
SWA пакеты RST BPDU, он переходит в состояние
О Отбрасывание и не пересылает пакеты.
Root-коммутатор Если порт не получает пакеты RST BPDU с
более высоким приоритетом в течение
DP DP определенного периода времени, он
переходит в состояние Пересылки.
RP
SWB RP RST BPDU
AP DP
Включение
SWC защиты корня
Защита пакетов TC BPDU (1)
SWA
Root-
Коммутатор получает большое количество
пакетов BPDU TC в течение короткого коммутатор
периода времени и часто удаляет свои DP
MAC-записи и записи ARP. В результате, DP
коммутатор сильно нагружен, что угрожает
стабильности сети.
SWB RP
RP
DP AP SWC
Граничный порт
②TC BPDU
③ Коммутатор часто удаляет
записи MAC-адресов.
① Хакер соединяет ПК с
граничным портом для
непрерывной отправки
фальшивых BPDU.
Защита пакетов TC BPDU (2)
SWA
DP
Количество раз, которое DP
коммутатор обрабатывает
пакеты TC BPDU за заданный
период времени, может быть
установлено. Коммутатор
будет обрабатывать только SWB RP RP
указанное количество раз.
DP AP SWC
Граничный порт
Конфигурирование защиты
TC BPDU
изменений топологии
①Хакер соединяет ПК с
граничным портом для
непрерывной отправки
фальшивых BPDU.
Требования к конфигурации RSTP
SWA
G0/0/1 G0/0/2
G0/0/1 G0/0/2
PC1 G0/0/4 G0/0/3 G0/0/3 G0/0/4

PC2
SWB SWC
 Как показано на предыдущем рисунке, SWA, SWB и SWC образуют сеть

кольцевой коммутации. Чтобы исключить влияние петель на сеть,
коммутаторы запускают протокол RSTP для упрощения структуры сети ( из
кольцевой в древовидную) без петель.
Процедура конфигурации RSTP
stp enable
stp mode rstp
SWA stp root primary
G0/0/1 G0/0/2
G0/0/2
G0/0/1
PC1 G0/0/4 G0/0/3 G0/0/4

PC2
G0/0/3
SWB SWC
stp enable stp enable

stp mode rstp stp mode rstp
stp bpdu-protection stp bpdu-protection
interface GigabitEthernet 0/0/4 interface GigabitEthernet 0/0/4
stp edged-port enable stp edged-port enable
Проверка конфигурации RSTP (1)
 Проверьте информацию STP по SWA.
<SWA>display stp brief

MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1 DESI FORWARDING NONE
<SWA>display stp
-------[CIST Global Info][Mode RSTP]-------
CIST Bridge :0 .4c1f-cc5f-55e4
Config Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
CIST Root/ERPC :0 .4c1f-cc5f-55e4 / 0
CIST RegRoot/IRPC :0 .4c1f-cc5f-55e4 / 0
CIST RootPortId :0.0
BPDU-Protection :Disabled
CIST Root Type :Primary root
Проверка конфигурации RSTP (2)
 Проверьте информацию STP на SWB.
[SWB]display stp brief

0 GigabitEthernet0/0/1 ROOT FORWARDING NONE
0 GigabitEthernet0/0/4 DESI FORWARDING BPDU
 Проверьте информацию STP на SWC.
<SWC>display stp brief

0 GigabitEthernet0/0/3 ALTE DISCARDING NONE
0 GigabitEthernet0/0/4 DESI FORWARDING BPDU
Вопросы
1. Сколько состояний порта определяет RSTP?
A. 2
B. 3
C. 4
2. Какие роли порта определяет RSTP?
Спасибо!
www.huawei.com
Принципы и конфигурации MSTP

Введение
 Быстрый протокол разворачивающегося дерева (Rapid Spanning Tree Protocol, RSTP), являющийся
усовершенствованием протокола покрывающего дерева (Spanning Tree Protocol, STP), обеспечивает
быструю конвергенцию топологии сети. Однако и протокол RSTP, и STP имеют существенные недостатки:
все сети VLAN в локальной сети используют одно связующее дерево, что делает балансировку нагрузки на
базе VLAN невозможной. Как только канал связи заблокирован, он больше не будет передавать трафик, это
приводит к растрате ресурсов пропускной способности и низкой отказоустойчивости сети.
 Для решения проблем с протоколами STP и RSTP, в 2002 году IEEE в стандарте 802.1s определел протокол
множественных связующих деревьев (MSTP). MSTP реализует быструю конвергенцию и предоставляет
несколько каналов связи резервирования для балансировки нагрузки трафика VLAN.
Цель
 Ограничения одного связующего дерева
 Рабочий механизм MSTP
 Конфигурации MSTP
1. Ограничения одного связующего дерева
2. Принципы MSTP
3. Конфигурация MSTP
Ограничения одного связующего дерева -
Некоторые пути VLAN недоступны
Разрешение на
передачу пакетов
DP из VLAN. RP
SWA SWB
Root-коммутатор DP DP
VLAN2 VLAN2
Этот путь отключен,
VLAN3 и путь VLAN 3
недоступен.
RP AP
DP DP
SWC
VLAN2 VLAN3
LAN A LAN B
трафик не может быть сбалансированным
нагрузки
Создание Создание
интерфейса L3 интерфейса L3
для VLAN 2 для VLAN 3
DP RP
SWA SWB
VLAN2
Этот путь отключен,
и трафик не может
VLAN3
быть сбалансирован.
RP AP
DP DP
SWC
VLAN2 VLAN3
LAN A LAN B
субоптимальный путь L2
Создание Создание
интерфейса интерфейса
L3 для VLAN 2 L3 для VLAN 3
DP RP
SWA SWB
VLAN2
субоптимальный
VLAN3 путь VLAN 3
RP AP
DP DP
SWC
VLAN2 VLAN3
LAN A LAN B
MSTI преодолевает ограничения одного
связующего дерева
DP RP
SWA RP DP
SWB
DP DP DP
DP
Root-коммутатор MSTI 1 Root-коммутатор MSTI 2
AP RP
RP
AP
MSTI 1 -> VLAN 2 MSTI 2 -> VLAN 3 и VLAN 4
DP DP
SWC
VLAN2 VLAN3
VLAN4
LAN A LAN B
 Область MST может содержать несколько связующих деревьев, каждое из которых является MSTI.
MSTI независимы друг от друга, и процесс расчета каждого MSTI аналогичен процессу расчета
RSTP.
Требования к конфигурации MSTP
 MSTP может быть использован для балансировки нагрузки трафика доступа в Интернет для ПК с
различных виртуальных локальных сетей VLAN. В сетях VLAN с 1 по 10 сопоставляются MSTI 1, а в
сетях VLAN с 11 по 20 - MSTI 2.
Конфигурация
stp enable
похожа на
stp mode mstp
конфигурацию SWA
stp region-configuration
region-name RG1
instance 1 vlan 1 to 10
SWA GE0/0/2 GE0/0/2
instance 2 vlan 11 to 20 SWB
active region-configuration GE0/0/1 GE0/0/1
GE0/0/1
GE0/0/1
SWC GE0/0/2
SWD
GE0/0/2
G0/0/3 G0/0/3 Конфигурация
Конфигурация похожа на
похожа на конфигурацию
конфигурацию SWA
SWA PC1 PC2
Процедура конфигурирования MSTP
stp instance 1 root primary stp instance 2 root primary

stp instance 2 root secondary stp instance 1 root secondary
SWA SWB
GE0/0/2 GE0/0/2
GE0/0/1
GE0/0/1
stp instance 2 cost 200000 stp instance 1 cost 200000
GE0/0/1 GE0/0/1
SWC SWD
GE0/0/2 GE0/0/2
G0/0/3
G0/0/3
stp edged-port enable stp edged-port enable
PC1 PC2
Проверка конфигурации MSTP (1)
 Проверьте состояние порта на SWA.
[SWA]display stp brief

 Проверьте состояние порта на SWB.
[SWB]display stp brief

Проверка конфигурации MSTP (2)
 Проверьте состояние порта на SWC.
[SWC]display stp brief

 Проверьте состояние порта на SWD.

<SWD>display stp brief
Вопросы
1. Опишите ограничения одного связующего дерева.
2. Какое из следующих утверждений о MSTP является неправильным?

A. В одной области MST может быть только один MSTI.
B. Каждый MSTI использует алгоритм RSTP независимо друг от друга.
C. MSTP совместим с STP.
D. MSTI может соответствовать одной или нескольким VLAN.
Спасибо!
www.huawei.com
Принципы и конфигурации MPLS

Введение
 С 90-х годов трафик Интернета быстро растет. Из-за ограничений аппаратных
технологий маршрутизаторы пересылали пакеты данных hop by hop, используя
алгоритм наибольшего соответствия, становясь узкими местами переадресации
данных. Быстрая маршрутизация стала общей проблемой.
 В различных решениях IETF (Internet Engineering Task Force) стандартизировал
протокол MPLS (Multiprotocol label switching). MPLS передает данные на основе
меток с фиксированной длиной, значительно улучшая возможности переадресации
маршрутизаторов. Кроме того, MPLS может работать с несколькими сетевыми
протоколами, такими как IPv6 и IPX (Internet Packet Exchange).
Цель
 Принципы работы MPLS
 Установку MPLS
1. Обзор MPLS
2. Установка LSP
Обзор MPLS
Прикладной
уровень
Уровень
Блок PDU презентации Данные
Уровень сеанса
Транспортный TCP/UDP
Сегмент уровень заголовок Данные
Пакет Сетевой уровень

IP- TCP/UDP
Данные
заголовок заголовок
Заголовок IP- TCP/UDP

Данные
Уровень канала MPLS заголовок заголовок
Кадр Заголовок Заголовок
передачи данных IP- TCP/UDP
Данные
второго уровня MPLS заголовок заголовок
Бур Физический
уровень 0101110101000010000101000101010
Базовая структура MPLS
Заголовок Заголовок
IP-пакет MPLS IP-пакет MPLS IP-пакет IP-пакет
RTA RTB RTC RTD RTE

OSPF Area 0
IP-сеть IP-сеть
Сеть MPLS
LSP
 LSP (Label Switched Path): путь, по которому IP-пакеты передаются в сети MPLS.
 FEC (Forwarding Equivalent Class): группа пакетов, обрабатываемых таким же
образом. В сети MPLS все пакеты с одним и тем же адресом назначения
принадлежат одному и тому же FEC.
Архитектура MPLS
Протокол маршрутизации IP
RIB
(Routing Information Base)
Плоскость управления
LDP
(Label Distribution Protocol)
LIB
(Label Information Base)
FIB
(Forwarding Information Base)
Плоскость переадресации
LFIB
(Label Forwarding Information Base)
Структура пакетов MPLS
Сеть MPLS
OSPF Area 0
RTA RTB Пакет RTC RTD RTE
IP-сеть IP-сеть
Заголовок второго IP-
уровня
Заголовок MPLS
заголовок
Данные Поток данных
Метка Exp S ТТЛ
 Метка (Label) — это короткий идентификатор с фиксированной длиной, имеющий

только локальное значение, и используется для уникально идентифицировать FEC,
к которому принадлежит пакет.
1. Обзор MPLS
2. Установка LSP
Режимы установки LSP
В сеть X В сеть X В сеть X

Label=B Label=C Label=D
RTA RTB RTC RTD Сеть X

OSPF Area 0
Сеть MPLS
Распределение меток
Поток данных
 Существует два режима установки LSP:

 Статический LSP: пользователи вручную распределяют метки для FEC для
установки туннеля.
 Динамический LSP: туннели переадресации устанавливаются протоколом LDP.
Статический LSP
100.1.1.1/32 100.1.1.1/32 100.1.1.1/32 100.1.1.1/32
Out Label=100 Out Label=200 Out Label=300 Out Label=Null
In Label=Null In Label=100 In Label=200 In Label=300
RTA RTB RTC RTD 100.1.1.1/32

Ingress Transit Transit Egress
OSPF Area 0
Сеть MPLS
 Характеристики статического LSP:

 Не используется протокол LDP. Устройства не нуждаются в обмене контрольными пакетами. Мало
ресурсов потребляется.
 Статические LSP не могут адаптироваться к изменениям в топологиях сети. Если топология сети
меняется, администратор должен изменить пути для статических LSP.
 Статические LSP применяются к стабильным сетям с простой сетевой топологией.
Динамический LSP
100.1.1.1/32 100.1.1.1/32 100.1.1.1/32 100.1.1.1/32

OSPF Area 0
Сеть MPLS
 Динамический LSP использует LDP для назначения FEC, распределения меток, установки и
обслуживания LSP.
 Характеристики динамического LSP:
 Конфигурация сети проста, удобна в управлении и обслуживании.
 LSP динамически устанавливаются на основе записей маршрутизации. Динамические LSP могут
адаптироваться к изменениям в топологии сети, отражая статус сети в режиме реального времени.
Обнаружение соседей LDP
10.1.12.1 10.1.12.2
RTA RTB
Hello (Transport Address=10.1.12.1)
Hello (Transport Address=10.1.12.2)
TCP (SYN)
TCP (ACK+SYN)
TCP (ACK)
Установление отношений соседства LDP
10.1.12.1 10.1.12.2
RTA RTB
Hello
Discovery Hello
SYN
ACK+SYN
TCP
ACK
Initialization
Initialization+Keepalive
Session
Keepalive
Address
Address
Advertisement Label Mapping
Label Mapping
Notification
Notification
Режимы объявлении метки
100.1.1.1/32 100.1.1.1/32 100.1.1.1/32 100.1.1.1/32

Режим Объявить метку Объявить метку Объявить метку на 100.1.1.1/32

на восходящее на восходящее его восходящем
DU устройство устройство устройстве
Запросить метку с Запросить метку Запросить метку
нисходящего у нижестоящего у нижестоящего
Режим устройства устройства устройства 100.1.1.1/32
DoD
Объявить Объявить
RTA метку после RTB метку после RTC Объявить RTD
Ingress Transit Transit метку после Egress
получения получения получения
запроса запроса запроса
Режимы управления распределением меток
100.1.1.1/32 100.1.1.1/32 100.1.1.1/32 100.1.1.1/32

Режим Активно распределить Активно распределить Активно распределить 100.1.1.1/32

метки на восходящее метки на восходящее метки на восходящее
Independent устройство устройство устройство
Распределить метку на Распределить метку на Распределить метку на

Режим восходящее устройство восходящее устройство восходящее устройство,
после того, как метка для после того, как метка для так как RTD является
Ordered 100.1.1.1/32 существует 100.1.1.1/32 существует выходом 100.1.1.1/32
на RTB на RTC 100.1.1.1/32
RTA RTB RTC RTD

Режимы сохранения меток
OSPF Area 0 100.1.1.1/32 100.1.1.1/32
Label=1026 Label=1025
RTA RTB RTD РТЕ 100.1.1.1/32
100.1.1.1/32 100.1.1.1/32
Label=1028 Label=1027
RTC
Сеть MPLS
 В таблице маршрутизации RTB имеет два пути к RTE (100.1.1.1/32): RTB > RTD > RTE
(оптимальный) и RTB > RTC > RTD > RTE. После получения RTB метки для 100.1.1.1/32 от
RTC, он обрабатывает метку следующим образом:
 Режим Liberal: RTB сохраняет метку, полученную от RTC.
 Режим Conservative: RTB не сохраняет метку, полученную от RTC.
Процесс установки LDP LSP
100.1.1.1/32 100.1.1.1/32 100.1.1.1/32 100.1.1.1/32
RTA LDP RTB LDP RTC LDP РТД 100.1.1.1/32

OSPF Area 0
Сеть MPLS
Распространение этикетки
 IGP (Interior Gateway Protocol) отвечает за внедрение достижимости внутренних

маршрутов в сети MPLS и предоставление маршрутов для пакетов FEC.
 Динамический LSP использует LDP для назначения FEC, распределения меток,
установки и обслуживания LSP.
Процесс переадресации данных MPLS
100.1.1.1/32 100.1.1.1/32 100.1.1.1/32 100.1.1.1/32

OSPF Area 0
Сеть MPLS
 В сети MPLS пакеты данных инкапсулируются и передаются на каждом маршрутизаторе на

основе выделенных меток.
 Как выходной узел RTD обрабатывает полученные пакеты данных? Если в сети MPLS
передается большое количество сервисного трафика, каковы недостатки этого метода
обработки?
PHP (Penultimate Hop Popping)
RTD — последний переход к
Понятно.
100.1.1.1/32 100.1.1.1/32 100.1.1.1/32. Удалите
100.1.1.1/32
Out Label=1027 Out Label=1026 метку перед отправкой
Out Label=3
In Label=Null In Label=1027 пакета к RTD. Специальная
In Label = 1026
метка 3 означает действие pop-up.
RTA RTB RTC РТД 100.1.1.1/32

Вход Транзит транзит Выход
OSPF Area 0
MPLS network Поток данных
 Процесс PHP приведен ниже:
 После того, как RTC получает пакет с меткой 1026 от RTB, он ищет таблицу LFIB и обнаруживает,
что исходящая метка является имплицитной нулевой меткой 3. Затем RTC выдвинет метку и
передает пакет данных IP на нисходящий маршрутизатор RTD.
 После того, как RTD получает IP-пакет от RTC, RTD ищет свою собственную таблицу FIB,
инкапсулирует пакет и передает его через исходящий интерфейс в таблице FIB.
Вопросы
1. Сколько битов имеет поле метки (Label) в метке MPLS?
А. 10
Б. 20
В. 30
Г. 40
2. Какое значение имеет имплицитная нулевая метка?

А. 3
Б. 5
В. 0
Спасибо!
www.huawei.com
Принципы и конфигурации MPLS VPN

Введение
 По мере улучшения аппаратной производительности MPLS (Multiprotocol
Label Switching) больше не показывает своих преимуществ при скорости
пересылки данных. Однако MPLS по-прежнему широко используется в
новых приложениях, таких как VPN (virtual private network) и TE (traffic
engineering), поскольку она поддерживает многоуровневые метки и
разделение пересылки и управления (forwarding-control separation).
 Из-за дефектов традиционной VPN многие требования заказчика не могут
быть выполнены во время развертывания сети. MPLS VPN интегрирует две
традиционные модели VPN, способствующие развитию VPN.
Цель
 Традиционные модели VPN
 Основные принципы работы MPLS VPN
 Базовую конфигурацию MPLS VPN
1. Принципы работы MPLS VPN
 Предпосылка и модели VPN
 Преимущества MPLS VPN
 Принципы работы MPLS VPN
2. Пример конфигурации MPLS VPN
Предпосылка (1)
Client1 Операторская Операторская Client1

сеть A сеть A
Client2 Client2
Сеть
оператор B
Поток VPN
 Выделенные линии имеют следующие характеристики:
 Частные линии, высокая безопасность и физическая изоляция между различными пользователями
 Дорогостоящие
 Недостаточное использование, что приводит к излишним затратам полосы пропускания
Предпосылка (2)
Операторская сеть
Client1 Client1
Client2 Client2
Туннель
 Новые технологии разделения полосы пропускания включают ретрансляцию кадров (FR) и X.25. Эти
технологии поддерживают логическую изоляцию, чтобы установить специальный туннель по всей
общественной сети для связи между двумя сайтами.
Корпоративные пользователи могут
получить доступ к операторской сети
RTA RTF
Штаб-квартира Client1 Филиал Client1
RTE
RTC RTD RTE
RTB RTG
Штаб-квартира Client2 Филиал Client2
 Сетевые устройства предприятий:

 RTA, RTB, RTF и RTG являются устройством CE (Customer Edge).
 Сетевые устройства оператора:
 RTC и RTE напрямую подключаются к клиентским устройствам, они являются устройством PE (Provider Edge).
 RTD является магистральным устройством на операторской сети и называется устройством P (Provider).
Модель VPN - Overlay VPN
CE1 CE3
VPN1 VPN1
RTE
PE1 P PE2
CE2 CE4
VPN2 VPN2
Туннель
 Overlay VPN имеет следующие характеристики:
 Протоколы маршрутизации позволяют клиентским устройствам обмениваться информацией маршрутизации, но оператор не знает архитектуру сети
клиентов.
 Типовые протоколы:
 Второй уровень: Ретрансляция кадров
 Третье уровень: GRE и IPSec
 Прикладной уровень: SSL VPN
VPN модель - Peer-to-Peer VPN (1)
CE1 CE3
VPN1 VPN1
RTE
PE1 P PE2
CE2 CE4
VPN2 VPN2
 Peer-to-Peer VPN имеет следующие характеристики:

 Устройства CE и PE обмениваются информацией о маршруте VPN, а устройства PE передают информацию о
маршруте VPN по сети оператора, реализуя динамическое развертывание VPN и объявление маршрутов.
 В отличие от статической Overlay VPN, Peer-to-Peer VPN может быть развернута в больших масштабах.
VPN модель - Peer-to-Peer VPN (2)
PE1 PE3
CE1 CE
3
VPN1 VPN1
RTE
CE2 P CE4
PE2 Операторская сеть PE4

VPN2 VPN2
 Специальные устройства PE для Peer-to-Peer VPN имеют следующие характеристики:

 Оператор развертывает независимое устройство PE для каждого пользователя VPN. Устройства PE
и CE для одной VPN могут выполнять любой протокол маршрутизации, не зависимо от другой VPN.
 Предпосылка и модели VPN
 Преимущества MPLS VPN
 Принципы работы MPLS VPN
Причины генерирования MPLS VPN
CE1 Какой пользователь VPN CE

выполняет маршрут 172.16.1.1/32? 3
VPN1 VPN1
172.16.1.1/32
RTE
PE1 P PE2
CE2 CE4
VPN2 VPN2
172.16.1.1/32
 Два пользователя VPN имеют одинаковое адресное пространство. Устройства традиционной

сети VPN не могут идентифицировать маршрутную информацию двух пользователей.
Перекрытие адресного пространства
CE1 1. Как устройство PE отличает

один и тот же маршрут от разных
CE3
пользователей VPN?
VPN1 VPN1
172.16.1.1/32
RTE
CE2 PE1 P PE2 CE4

Операторская
3. Как устройство PE
может правильно сеть 2. Как устройства
перенаправить приемника PE может
VPN2 полученные пакеты правильно импортировать VPN2
данных IP на целевой маршруты VPN при
172.16.1.1/32 передаче конфликтующих Данные
VPN-пользователь? маршрутов в
общественной сети? Маршрутизатор
 Для решения проблемы перекрытия адресного пространства необходимо решить

вышеуказанные проблемы.
Решение конфликта локального маршрута (1)
PE1 Таблица маршрутизации PE3
CE1 VPN1 CE3
VPN1 VPN1
Таблица глобальной
CE2 Таблица маршрутизации CE4
PE2 VPN2 PE4
VPN2 VPN2
Выделенный режим PE
 Устройства на магистральной сети имеют свои собственные обязанности. Каждое устройство

PE сохраняет только свои собственные VPN-маршруты. Устройство P сохраняет только
общественные сетевые маршруты. Таким образом, проблема перекрытия адресного
пространства может быть решена следующим образом:
 Использовать одно устройство PE для обеспечения функций устройств PE и P, и реализовать
изоляцию VPN-маршрут.
Решение конфликта локального маршрута (2)
CE1 Технология VRF CE3

PE1 P PE2
VPN1 VPN1
VPN1 Routing Table Global

CE2 Routing CE
VPN2 VPN2 Routing Table Table VPN2 4
 VRF можно активировать на общем устройстве PE, чтобы изолировать перекрывающиеся

маршруты. Устройство PE добавляет маршруты каждой VPN к соответствующей таблице
маршрутизации VPN (VPN Routing Table).
 Каждое совместное устройство PE поддерживает несколько таблиц маршрутизации VPN и
одну таблицу маршрутизации общественной сети.
Различать конфликтующие маршруты при
объявлении маршрутов
CE1 CE3
PE1 P PE2
VPN1: 172.16.1.1/32 VPN1
CE2 CE4
VPN2: 172.16.1.1/32 VPN2
VPN1 172.16.1.1/32 172.16.1.1/32 VPN1
172.16.1.1/32 RD=1:1 RD=1:1 172.16.1.1/32
VPN2 172.16.1.1/32 172.16.1.1/32 VPN2
172.16.1.1/32 RD=2:2 RD=2:2 172.16.1.1/32
VRF VPNv4 routing-table VPNv4 routing-table VRF
 Перед тем, как маршрут VPN будет объявлен в глобальную таблицу маршрутизации, на маршрут будет
привязан глобально уникальный идентификатор, позволяющий отличать конфликтующие частные
маршруты. Данный идентификатор называется идентификатором маршрута (RD).
Импорт маршрута VPN в сценарии Hub-
Spoke
RDS может различать конфликтующие
маршруты. Как можно импортировать
CE1 конфликтующие маршруты из различных
IEC 11 филиалов в VRF штаб-квартиры?
PE1 P PE2 CE3

Филиал 1
172.16.1.1/32
CE2 Штаб-квартира
Магистральная сеть оператора
IEC 22 IEC 11
172.16.1.1/32
RD=1:1
VPN штаб-квартиры
Филиал 2 172.16.1.1/32
172.16.2.1/32
172.16.2.1/32 RD=2:2
VPNv4 routing-table VRF
 RDS не может правильно импортировать маршруты в VPN.

 Чтобы импортировать маршруты в правильную VPN, тег (tag) должен быть назначен вручную. Перед
отправкой пакета локальное устройство PE добавляет к пакету указанный тег. После того, как удаленное
PE устройство получает пакет, он импортирует маршрут в нужную VPN на основе тега.
Решение импорта маршрутов VPN в
сценарии Hub-Spoke
CE1 IEC 11 IEC 33
Export=1:1 Import=1:1, 2:2
Import=3:3 Export=3:3
PE1 P PE2
Филиал 1 CE3
172.16.1.1/32
CE2 Штаб-квартира
IEC 22 Магистральная сеть оператора
Export=2:2
Import=3:3 172.16.1.1/32
VPN
RD=1:1; Export=1:1
Филиал 2 штаб-квартиры
172.16.2.1/32 172.16.2.1/32 172.16.1.1/32
RD=2:2; Export=2:2 172.16.2.1/32
 RT (route target) используется для правильного импорта маршрутов в VPN. Существуют два
типа атрибутов VPN Target: Import Target и Export Target, используемые для импорта и
экспорта маршрутов VPN соответственно.
Оптимизация импорта маршрутов в
сценарии Hub-Spoke
CE1 Export=12:3
Import = 3:12 (Загрузка) Import=12:3
Export = 3:12
PE1 P PE2
CE3
Филиал 1: 172.16.1.1/32
Филиал 2: 172.16.2.1/32
CE2
Export=12:3 Магистральная Штаб-квартира
Import = 3:12 сеть оператора
VPN1 172.16.1.1/32 VPN

172.16.1.1/32
172.16.1.1/32 RD=1:1;Export=12:3 штаб-квартиры
RD=1:1;Export=12:3
VPN2 172.16.2.1/32 172.16.1.1/32
RD=2:2;Export=12:3 172.16.2.1/32 172.16.2.1/32
172.16.2.1/32 RD=2:2;Export=12:3
VRF VPNv4 routing-table VPNv4 routing-table VRF
 При использовании RBT для импорта маршрутов в VPN должны соблюдаться следующие условия:
 Локальный Export Target = Удаленный Import Target
 Локальный Import Target = Удаленный Export Target
Решение конфликтующих маршрутов при
переадресации данных
CE1 ping 172.16.1.1 CE3
VPN1 PE1 P PE2 VPN1

172.16.1.1/32
CE2 CE4
Я хочу получить доступ к 172.16.1.1.

VPN2 Что нужно искать? VPN2
172.16.1.1/32 VPN1 routing-table или VPN2 routing-table?
 Пакет не имеет какого-либо идентификатора. Поэтому, когда пакет данных

ICMP достигает PE1, PE1 не знает в какой таблице маршрутизации VPN
может найти правильный адрес назначения.
Вложение метки MPLS
Метка 1026
распределяется по
CE1 маршрутам от VPN1. ping 172.16.1.1 CE3
PE1 P PE2
VPN1 VPN1
172.16.1.1/32
CE2 CE4
VPN1 VPN1
172.16.1.1/32 172.16.1.1/32; Label:1026
VPN2 VPN2
172.16.1.1/32 VPN2 VPN2
172.16.1.1/32 172.16.1.1/32; Label:1027 Данные
Маршрутизатор
VRF VPNv4 routing-table
Link Lager header Outer MPLS Label Inner MPLS Label Layer 3 header Layer 3 payload
Label Stack
 Вложение меток может решить проблему конфликтующих маршрутов при переадресации данных.
 Предпосылка и модели VPN
 Преимущества MPLS VPN
 Принципы работы MPLS VPN
Рабочий процесс MPLS VPN
CE1 CE3
VPN1 VPN1
CE2 PE1 P PE2 CE4

VPN2 VPN2
Данные
 Рабочий процесс MPLS VPN разделен на два шага:

 Объявление маршрута MPLS VPN
 Переадресация данных MPLS VPN
Обмен информацией о маршруте между
устройствами CE и PE
CE1 AS 500 CE3
OSPF Area 0
10.1.34.0/24 10.1.56.0/24
VPN1 VPN1
AS 100 AS 300
PE1 P PE2
CE2 CE4
VPN2 VPN2
AS 200 AS 400
 Устройства PE и CE могут обмениваться информацией о маршруте через статические

маршруты или протоколы динамической маршрутизации, такие как протокол RIP (Routing
Information Protocol), OSPF (Open Shortest Path First), IS-IS (Intermediate System to Intermediate
System) и BGP (Border Gateway Protocol).
VPN Route Injection в MP-BGP
CE1 AS 500 CE3
3.3.3.3 5.5.5.5
PE1 P PE2
VPN1 VPN1
172.16.1.1/32
CE2 CE4
OSPF Area 0
VPN1 172.16.1.1/32, RD=1:1;

VPN2 172.16.1.1/32 RT=1:1(Export); Label=1026; VPN2
172.16.1.1/32
VPN2 172.16.1.1/32, RD=2:2;
172.16.1.1/32 RT=2:2(Export); Label=1027;
IPV4 VPNv4 routing-table
 Маршрутизатор добавляет RD к маршруту IPv4 VRF, чтобы изменить его на

маршрут VPN-IPv4. Маршрут VPN-IPv4, содержащий информацию RT и метки,
добавляется в таблицу маршрутизации MP-BGP. Протокол MP-BGP используется
для обмена информацией о маршруте между устройствами PE.
Распределение меток общественных сетей
CE1 AS 500 CE3
OSPF Area 0
3.3.3.3 4.4.4.4 5.5.5.5
VPN1 LDP LDP VPN1
PE1 P PE2
CE2 CE4
FEC=PE1 FEC=PE1 FEC=PE1
In/Out Label In/Out Label In/Out Label
VPN2 3/NULL 10303 NULL/1030 VPN2
 Протокол MPLS работает в сети оператора для распределения меток общественных сетей и
установления туннелей для реализации переадресации данных VPN по сети.
 Устройства PE запускают протокол MP-BGP для распределения меток частной сети на
маршрутах VPN. Устройства PE правильно перенаправляют данные в соответствующие VPN
на базе меток частной сети.
MP-BGP Route Injection в VPN
CE1 IEC 500 CE3
OSPF Area 0
3.3.3.3 5.5.5.5
VPN1 VPN1
CE2 PE1 P PE2 CE4
172.16.1.1/32,RD=1:1; VPN1
RT=1:1(Export);Label=1026; 172.16.1.1/32
VPN2 VPN2
172.16.1.1/32,RD=2:2; VPN2
RT=2:2(Export);Label=1027; 172.16.1.1/32
 PE2 получает маршрут VPNv4 от PE1.
 PE2 проверяет атрибуты расширенного сообщества в маршруте.
 PE2 сравнивает значение Export Target атрибутов расширенного сообщества с значением Import Target
локальной VPN.
 Если два значения одинаковы, PE2 импортирует маршрут VPNv4 в таблицу маршрутизации VPN.
Переадресация данных с устройства CE на
устройство PE
CE1 AS 500 CE3
OSPF Area 0
1030 1027 172.16.1.1
VPN1:172.16.1.1/32 VPN1
CE2 PE1 P PE2 CE4
VPN2:172.1.1.1/32
LFI Label=1027
VPN2:172.16.1.1/32 B NH=PE1 VPN2
FEC=PE1
VRF2 routing-table Out Label:1030
IF:G0/0/0
 CE4 передает пакет данных в PE2. PE2 ищет таблицу маршрутизации VPN2, чтобы
определить, что пакет должен быть переадресован на основе меток. PE2 затем ищет
следующий переход (next hop) и исходящий интерфейс, и инкапсулирует пакет с помощью
MPLS на основе распределенной метки.
Переадресация данных на устройствах
общественной сети
IEC 500
CE1 CE3
FEC=PE1 FEC=PE1 FEC=PE1
In/Out Label In/Out Label In/Out Label
3/NULL 1030/3 NULL/1030
VPN1:172.16.1.1/32 VPN1
CE2 PE1 P PE2 CE4

1027 172.16.1.1 1030 1027 172.16.1.1
VPN2:172.16.1.1/32 VPN2
 PE2 передает пакет данных по MPLS туннелю, установленному через

общественную сеть, в PE1. В этом процессе переадресации изменяется
только метка общественной сети.
Переадресация данных с устройства PE на
устройство CE
CE1 AS 500 CE3
1027 172.16.1.1
VPN1:172.16.1.1/32 VPN1
CE2 PE1 P PE2 CE4
VPN1 Label=1026;
VPN2:172.16.1.1/32 172.16.1.1/32 Next-hop=CE1; VPN2
VPN2 Label=1027;
172.16.1.1/32 Next-hop=CE2;
 После получения пакета, содержащего только метку частной сети, PE1 ищет
следующий переход, основанный на метке частной сети, и передает пакет
соответствующему пользователю VPN.
Пример конфигурации MPLS VPN
AS100
CE1
AS 500
AS300
OSPF Area 0
10.1.34.0/24 10.1.45.0/24 10.1.56.0/24 CE3
172.16.1.1/32
VPN 1 (филиал 1)
G1/0/0 G0/0/0 G0/0/1 G0/0/0 G0/0/1 G0/0/0
AS200
PE1 P PE2
CE2 172.16.3.1/32
Магистральная сеть оператора VPN3 (штаб-квартира)
172.16.2.1/32
 Как филиал 1, так и филиал 2 могут взаимодействовать со штаб-квартирой, но филиалы 1 и 2

не могут взаимодействовать друг с другом. Правильно сконфигурируйте устройства на
основе информации на рисунке, чтобы позволить пользователям штаб-квартиры получить
доступ к пользователям филиалов.
Конфигурирование устройств
пользовательской стороны
bgp 100
ipv4-family unicast
network 172.16.1.1 255.255.255.255
AS100
CE1
AS 500
OSPF Area 0 AS300
172.16.1.1/32 10.1.34.0/24 10.1.45.0/24 10.1.56.0/24 CE3
G1/0/0 G0/0/0 G0/0/1 G0/0/0 G0/0/1 G0/0/0
AS200
PE1 P PE2
CE2 172.16.3.1/32
Магистральная сеть оператора VPN3 (штаб-квартира)
172.16.2.1/32 bgp 200 bgp 300

VPN 2 (филиал 2) peer 10.1.23.3 as-number 500 peer 10.1.56.5 as-number 500
ipv4-family unicast ipv4-family unicast
network 172.16.2.1 255.255.255.255 network 172.16.3.1 255.255.255.255
peer 10.1.23.3 enable peer 10.1.56.5 enable
Конфигурирование IGP на магистральной
сети
AS100
CE1
AS 500
OSPF Area 0 AS300
PE1 P PE2
172.16.1.1/32 10.1.34.0/24 10.1.45.0/24 10.1.56.0/24 CE3
G1/0/0 G0/0/0 G0/0/1 G0/0/0 G0/0/1 G0/0/0
AS200
CE2 172.16.3.1/32
VPN3 (штаб-квартира)
172.16.2.1/32
router id 3.3.3.3 router id 4.4.4.4 router id 5.5.5.5
ospf 1 ospf 1 ospf 1
area 0.0.0.0 area 0.0.0.0 area 0.0.0.0
network 4.4.4.4 0.0.0.0 network 5.5.5.5 0.0.0.0
network 3.3.3.3 0.0.0.0
network 10.1.34.0 0.0.0.255 network 10.1.45.5 0.0.0.255
network 10.1.34.0 0.0.0.255 network 10.1.45.0 0.0.0.255
Конфигурирование экземпляров VPN
AS100
CE1 ip binding vpn-instance VPN3
OSPF Area 0 AS300

10.1.34.0/24 10.1.45.0/24 10.1.56.0/24 CE3
AS200 G1/0/0 G0/0/0 G0/0/1 G0/0/0 G0/0/1 G0/0/0
CE2
AS 500 172.16.3.1/32
ip vpn-instance VPN3
ipv4-family
ip vpn-instance VPN1 route-distinguisher 3:3
ipv4-family vpn-target 3:12 export-extcommunity
route-distinguisher 1:1 vpn-target 12:3 import-extcommunity
vpn-target 12:3 export-extcommunity
vpn-target 3:12 import-extcommunity
#
ip binding vpn-instance VPN1
ip vpn-instance VPN2
#
ipv4-family
route-distinguisher 2:2
ip binding vpn-instance VPN2
vpn-target 12:3 export-extcommunity
vpn-target 3:12 import-extcommunity
Конфигурирование MP-BGP
AS100
AS 500
CE1 PE1 P PE2

10.1.34.0/24 10.1.45.0/24 10.1.56.0/24
AS300
172.16.1.1/32
VPN 1 (филиал 1) G1/0/0 G0/0/0 G0/0/1 G0/0/0 G0/0/1 G0/0/0
CE3
AS200 OSPF Area 0 VPN3 (штаб-квартира)
172.16.3.1/32
CE2 bgp 500 bgp 500
VPN 2 (филиал 2) peer 5.5.5.5 as-number 500 peer 3.3.3.3 as-number 500
172.16.2.1/32 peer 5.5.5.5 connect-interface peer 3.3.3.3 connect-interface
LoopBack0 LoopBack0
# #
ipv4-family vpnv4 ipv4-family vpnv4
peer 5.5.5.5 enable policy vpn-target
# peer 3.3.3.3 enable
ipv4-family vpn-instance VPN1 #
peer 10.1.13.1 as-number 100 ipv4-family vpn-instance VPN3
# peer 10.1.56.6 as-number 300
ipv4-family vpn-instance VPN2
Конфигурирование MPLS
CE1
AS 500
OSPF Area 0 AS300
AS100 10.1.34.0/24 10.1.45.0/24 10.1.56.0/24 CE3
VPN 2 (филиал 2) G1/0/0G0/0/0 G0/0/1 G0/0/0
G0/0/1G0/0/0
AS200
CE2 172.16.3.1/32
mpls lsr-id 4.4.4.4

mpls
mpls lsr-id 3.3.3.3 mpls ldp mpls lsr-id 5.5.5.5
mpls # mpls
mpls ldp interface GigabitEthernet0/0/0 mpls ldp
# mpls #
interface GigabitEthernet1/0/0 mpls ldp interface GigabitEthernet0/0/0
mpls # mpls
mpls ldp interface GigabitEthernet0/0/1 mpls ldp
mpls
mpls ldp
Вопросы
1. Какие из следующих вариантов являются технологиями модели overlay VPN?
А. IPSec VPN
Б. SSL VPN
В. Peer-to-Peer VPN
Г. GRE
2. Какие из следующих параметров используются для корректного импорта пакетов

MPLS VPN в соответствующую VPN?
А. RT
Б. RD
В. VRF
Г. MP-BGP
Спасибо!
www.huawei.com
Принципы и конфигурации DHCP

Введение
 Для обеспечения сетевого подключения хосты в сети должны получить
несколько важных сетевых параметров, включая IP-адрес, маску сети,
адрес шлюза, адрес DNS-сервера и адрес сетевого принтера. Ручная
настройка этих параметров на каждом хосте затруднена или даже
невозможна.
 Для решения этой проблемы в 1993 году Инженерная рабочая группа
Интернета (IETF) выпустила протокол динамической настройки хостов
(DHCP). DHCP реализует автоматическую настройку параметров сети. Как
работает DHCP? Как DHCP справляется с увеличением размера сети? Как
DHCP защищает от сетевых атак?
Цель
 Понимать принципы и конфигурации DHCP
 Понимать принципы и конфигурации ретрансляций DHCP
 Хорошо ориентироваться в угрозах безопасности для DHCP и соответствующих
механизмах защиты
1. Происхождение DHCP
2. Принципы и конфигурации DHCP
3. Происхождение ретрансляции DHCP
4. Принципы и конфигурации ретрансляции DHCP
5. Угрозы безопасности DHCP и соответствующие механизмы защиты
Проблемы при ручной настройке
параметров сети
 При традиционном конфигурировании сетевых параметров пользователи хоста
должны вручную настроить параметры, включая IP-адрес, маску сети, адрес шлюза
и адрес DNS-сервера.
 Это может вызывать следующие проблемы:
 Высокие требования к пользователям хостов
IP-адрес
 Неправильные конфигурации Шлюз?
 Низкая гибкость
 Недостаточное использование ресурса IP-адреса DNS?
 Большой объем работ
Предложение концепции DHCP
 Традиционно параметры сети настраиваются статически и вручную.
Поскольку число пользователей растет, а местоположения пользователей
больше не фиксированы, традиционный метод конфигурирования не
удовлетворяет требованиям. DHCP был введен, чтобы позволить
устройствам динамически и правильно распределять IP-адреса хостам.
 По сравнению со статическим конфигурированием в ручном режиме DHCP
обладает следующими преимуществами:
 Высокая эффективность
 Высокая гибкость
 Простое управление
Базовый рабочий процесс DHCP (1)
Широковещательный
Клиент DHCP домен уровня 2 DHCP-сервер
Этап Обнаружения
Несколько серверов DHCP отвечают

Клиент DHCP рассылает сообщениями DHCP Offer, несущими
сообщение DHCP Discover, чтобы IP-адреса.
обнаружить DHCP-серверы и
запросить IP-адрес.
Этап
Когда несколько серверов DHCP Предложения
отправляют сообщения DHCP Offer с
предложениями клиенту DHCP, клиент DHCP-сервер проверяет, может ли он
DHCP принимает только первое выделить IP-адрес, указанный на этапе
полученное сообщение предложение
Этап
Предложения Если это так, он отвечает
DHCP Offer. Затем клиент DHCP Запроса сообщением DHCP ACK, указывающим,
рассылает сообщение DHCP Request,
что IP-адрес успешно выделен. Если
которое уведомляет все DHCP-серверы о
том, что он выбрал IP-адрес, нет, он отвечает сообщением DHCP
предложенный одним из DHCP-серверов. NAK, указывающим, что назначение IP-
адреса не выполнено.
Этап Подтверждения
Если клиент DHCP получает
сообщение DHCP ACK, он
использует выделенный IP-адрес.
сообщение DHCP NAK, он не может
получить IP-адрес и снова
переходит на этап Обнаружения.
Базовый процесс получения IP-адреса
Базовый рабочий процесс DHCP (2)
Широковещательный
Клиент DHCP DHCP-сервер
домен уровня 2
T1
Когда срок аренды достигает
50% (T1) клиент DHCP
направляет сообщение DHCP
Request DHCP-серверу для
запроса продления аренды.
T2
Сервер DHCP сбрасывает
Если от DHCP-сервера не получен таймер аренды IP-адреса и
ответ, когда срок аренды достигает отправляет сообщение DHCP
87,5% (T2), клиент DHCP рассылает ACK клиенту DHCP.
сообщение DHCP Request с
запросом на продление аренды.

сообщение DHCP ACK до истечения
срока аренды, то срок аренды IP-
адреса успешно продлевается. В
противном случае, аренда IP-адреса
не может быть обновлена, и клиент
DHCP больше не может
Процесс обновления аренды IP-адреса
использовать этот IP-адрес.
Конфигурация DHCP
G0/0/0
SWA PCA
DHCP-
сервер
Конфигурирование DHCP-сервера для Конфигурирование DHCP-сервера для выделения

выделения IP-адресов клиентам DHCP из IP-адресов клиентам DHCP из пула адресов
глобального пула адресов. интерфейса.
dhcp enable dhcp enable
ip pool HW interface g0/0/0
gateway-list 192.168.1.1 ip address 192.168.1.1 24
network 192.168.1.0 mask dhcp select interface
255.255.255.0 dhcp server dns-list 192.168.1.2
excluded-ip-address 192.168.1.2 dhcp server excluded-ip-address 192.168.1.2
lease day 3 hour 0 minute 0 dhcp server lease day 2 hour 0 minute 0
dns-list 192.168.1.2
ip address 192.168.1.1 255.255.255.0
dhcp select global
Зачем нужна ретрансляция DHCP?
 По мере расширения сети пользователи сети могут оказаться в разных сегментах сети.
DHCP-сервер
RTA
Клиент A SWA
Сообщение DHCP-сервер не получает

Сообщение DHCP Discover с адресом назначения
DHCP Discover
255.255.255.255 может быть передано только в сообщение DHCP Discover
пределах широковещательного домена уровня 2, и не может выделить IP-
Клиент B SWB поэтому оно отбрасывается. адрес для Клиента B.
Способ 1: Настройте DHCP-сервер в каждом Способ 2: Включите функцию ретрансляции DHCP

сегменте сети. на VLANIF 100.
DHCP-сервер
RTA DHCP-сервер
SWA Клиент A SWA

Клиент A RTA
Агент ретрансляции
DHCP
Клиент B SWB
Клиент B SWB DHCP-сервер
Этот метод экономит средства и облегчает управление, поскольку он
Этот метод не рекомендуется, потому что он не экономен. позволяет серверу DHCP предоставлять услуги клиентам DHCP в
нескольких широковещательных доменах уровня 2.
Основной рабочий процесс ретрансляции
DHCP
Агент ретрансляции
Клиент DHCP DHCP DHCP-сервер
Широковещательный Широковещательный Широковещательный

домен уровня 2 домен уровня 2 домен уровня 2
Сообщение DHCP Discover (рассылка)

Сообщение DHCP Discover (одноадресная передача)
Агент ретрансляции DHCP
перенаправляет сообщение DHCP
Discover, полученное от клиента
DHCP, DHCP-серверу.
Сообщение DHCP Offer Сообщение DHCP Offer (одноадресная передача)

(одноадресная передача)
Агент ретрансляции DHCP пересылает

сообщение DHCP Offer, полученное с
DHCP-сервера, клиенту DHCP
Сообщение DHCP Request (рассылка)
Сообщение DHCP Request (одноадресная передача)
Агент ретрансляции DHCP
пересылает сообщение DHCP Агент ретрансляции DHCP перенаправляет
Request, полученное от клиента сообщение DHCP ACK или NAK, полученное с
DHCP, на DHCP-сервер. DHCP-сервера, клиенту DHCP.
Сообщение DHCP ACK / NAK Сообщение DHCP ACK / NAK (одноадресная передача)
(одноадресная передача)
Конфигурирование ретрансляции DHCP
G0/0/0
G0/0/0 G0/0/1
Агент
DHCP-сервер SWA PCA
ретрансляции
DHCP
Настройка DHCP-сервера. Настройка агента ретрансляции

(В данном примере сервер DHCP выделяет IP-адреса DHCP на шлюзе.
клиентам DHCP из глобального пула адресов). dhcp server group DHCP
dhcp enable dhcp-server 10.1.1.1
ip pool DHCP-relay dhcp enable
gateway-list 192.168.1.1 interface g0/0/1
network 192.168.1.0 mask 24 ip address 192.168.1.1 24
dns-list 10.1.1.1 dhcp select relay
interface g0/0/0 dhcp relay server-select DHCP
ip address 10.1.1.1 24 interface g0/0/0
dhcp select global ip address 10.1.1.2 24
ip route-static 192.168.1.0 24 10.1.1.2
Угрозы безопасности DHCP
 Сетевые атаки являются распространенным явлением, и атаки DHCP не исключение.
Например, большое количество пользователей предприятия может внезапно потерять
доступ к Интернету. По результатам проверки терминалы этих пользователей не получают
IP-адреса, тогда как все IP-адреса пула адресов DHCP-сервера были выделены. Это может
свидетельствовать о произошедшей атаке DHCP Starvation.
 При разработке DHCP факторы безопасности не были полностью учтены, существует
множество уязвимостей, делающих DHCP уязвимым для атак. Атаки DHCP на реальные сети
можно подразделить на:
 Атаки DHCP Starvation
 Атаки с поддельного DHCP-сервера
 Атаки посредника на DHCP
Атаки DHCP Starvation
 Принцип атаки: Злоумышленники непрерывно запрашивают большое количество IP-адресов у DHCP-
сервера, пока все IP-адреса пула адресов DHCP-сервера не будут исчерпаны. В результате сервер
DHCP не может назначить IP-адреса авторизованным пользователям.
 Анализ уязвимостей: Когда сервер DHCP выделяет IP-адреса пользователям, он не может отличить
авторизованных пользователей от неавторизованных.
Атакующий изменяет значение поля CHADDR,
передаваемого в сообщениях DHCP, чтобы непрерывно
запрашивать большое количество IP-адресов.
DHCP Discover, CHADDR=A, IP ADD=0.0.0.0

DHCP-сервер выделяет IP-адреса на
DHCP Discover, CHADDR=B, IP ADD=0.0.0.0 основе содержимого поля CHADDR. В
DHCP Discover, CHADDR=C, IP ADD=0.0.0.0 результате все IP-адреса пула адресов
оказываются израсходованы.
ПК злоумышленника
DHCP Offer, CHADDR=A, IP ADD=1.1.1.1
DHCP Offer, CHADDR=B, IP ADD=1.1.1.2
DHCP Offer, CHADDR=C, IP ADD=1.1.1.3
DHCP NAK, CHADDR=PC, IP ADD=0.0.0.0
Готовых к выделению IP-адресов

в пуле адресов не осталось.
DHCP Discover, CHADDR=PC, IP ADD=0.0.0.0
DHCP-сервер
Авторизованный хост запрашивает
ПК IP-адрес у DHCP-сервера.
Атака с поддельного DHCP-сервера
 Принцип атаки: Поддельный DHCP-сервер предоставляет клиентам неверные параметры,
такие как IP-адреса и адреса шлюза, поэтому клиенты не могут получить доступ к сети.
 Анализ уязвимостей: Когда клиент DHCP получает сообщения DHCP от DHCP-сервера, он не
может различить, отправляются ли эти сообщения поддельным или авторизованным DHCP-
сервером.
Поддельный DHCP-сервер
предоставляет клиентам неверные Поддельный
параметры, такие как IP-адреса и DHCP-сервер
адреса шлюза
DHCP Offer，
Server IP ADD=192.168.0.1，
Your IP ADD=192.168.0.3
DHCP Ack，
Server IP ADD =192.168.0.1，
ПК Коммутатор Your IP ADD=192.168.0.3
DHCP Discover， DHCP

DHCP Discover，
Discover，
Server IP ADD=0.0.0.0， Server
Server IP
IP ADD=0.0.0.0，
ADD=0.0.0.0，
Client IP ADD=0.0.0.0 Client
Client IP ADD=0.0.0.0
IP ADD=0.0.0.0
DHCP Request， DHCP Request，

DHCP Request，
DHCP-сервер
Server IP ADD=192.168.0.1， DHCP Offer，
Server IP
Server IP ADD=192.168.0.1，
ADD=192.168.0.1，
Client IP ADD=192.168.0.3 Server IP ADD=192.168.0.2，
Client IP
Client IP ADD=192.168.0.3
ADD=192.168.0.3
Your IP ADD=192.168.0.4
Атаки посредника на DHCP
 Принцип атаки: При помощи механизма ARP злоумышленник заставляет ПК А и DHCP-сервер предполагать о
сопоставлении IP-S с MAC-B и IP-A с MAC-B соответственно. В этом случае IP-пакеты, которыми обмениваются ПК A и
DHCP-сервер, транслируются злоумышленником.
 Анализ уязвимостей: По сути, атака посредника на DHCP представляет собой вид спуфинг-атак по IP или MAC-адресу.
Злоумышленник использует сопоставление между неправильными IP-адресами и MAC-адресами, подделывая DHCP-
сервер и клиентов.
Злоумышленник ПК Б
(посредник)
Направление, в котором ПК А отправляет (MAC-B, IP-B) Направление, в котором DHCP-сервер
IP-пакеты для DHCP-сервера отправляет IP-пакеты для ПК A
При помощи механизма ARP злоумышленник При помощи механизма ARP злоумышленник
заставляет ПК А предполагать соответствие заставляет DHCP-сервер предполагать
между IP-S и MAC-B. соответствие между IP-A и MAC-B.
ПК А DHCP-сервер
(MAC-A, IP-A) (MAC-S, IP-S)
История DHCP Snooping
 DHCP Snooping введен для повышения безопасности сети и предотвращения атак DHCP.
DHCP Snooping не является стандартной технологией и не имеет унифицированных
стандартов и правил. Различные производители сетевых устройств реализуют DHCP
Snooping по-разному.
 DHCP Snooping развертывается на коммутаторах и эквивалентен межсетевому экрану между
клиентами DHCP и DHCP-сервером.
Поддельный
Развертывание DHCP snooping DHCP-сервер
ПК
злоумышленника
ПК Коммутатор DHCP-сервер
Предотвращение атак DHCP Starvation с
помощью DHCP Snooping
Злоумышленник постоянно
запрашивает IP-адреса.
DHCP Request, CHADDR=B, MAC=A
DHCP Request, CHADDR=C, MAC=A

Коммутатор сравнивает исходный MAC-адрес и
значение поля CHADDR в сообщении запроса DHCP
ПК DHCP Request, CHADDR=D, MAC=A и отклоняет сообщение, если два значения
различаются.
злоумышленника
MAC=A
DHCP Request, CHADDR=B, MAC=B
ПК Коммутатор DHCP-сервер
MAC=B
Коммутатор сравнивает исходный MAC-адрес и
значение поля CHADDR в сообщении запроса
DHCP и пересылает сообщение, если два
значения совпадают.
Проверка поля CHADDR включена.
Предотвращение атак с поддельного
DHCP-сервера с помощью DHCP Snooping
DHCP-сервер
Сообщения
DHCP Response
Коммутатор пересылает сообщения

DHCP Response, полученные из
доверенного интерфейса.
Сообщения
DHCP Response
ПК Коммутатор Поддельный
DHCP-сервер
Коммутатор отклоняет
сообщения DHCP Response, Доверенный интерфейс
полученные из ненадежного Ненадежный интерфейс
интерфейса.
Предотвращение атак посредника на DHCP
с помощью DHCP Snooping
(посредник) Злоумышленник отправляет сообщение ARP Request
(с IP-A в качестве исходного IP-адреса и MAC-B в
(MAC-B, IP-B) качестве исходного MAC-адреса), чтобы DHCP-сервер
Коммутатор проверяет IP-адреса и MAC-адреса источника в предполагал соответствие между IP-A и MAC-B.
сообщении ARP Request. Если сопоставление между исходными
IP-адресами и MAC-адресами не соответствует записи в таблице
привязки DHCP Snooping, то коммутатор отклоняет сообщение
×
ARP Request.
DHCP-сервер
ПК А (MAC-S, IP-S)
(MAC-A, IP-A)
Таблица привязки DHCP Snooping
MAC IP Период аренды VLAN-ID ...
MAC-A IP-A ... ... ...
MAC-B IP-B ... ... ...
... ... ... ... ...
Сопряжение DHCP Snooping с IPSG
(MAC-B, IP-B)
Злоумышленник использует IP-адрес
Основываясь на таблице ПК А для отправки пакета атаки.
привязки DHCP Snooping,
коммутатор проверяет
×
корректность пакета.
ПК А DHCP-сервер
(MAC-A, IP-A) (MAC-S, IP-S)
Таблица привязки DHCP Snooping

MAC IP Период аренды VLAN-ID Номер порта
MAC-A IP-A ... ... ...
MAC-B IP-B ... ... ...
... ... ... ... ...
Вопросы
1. Какое из следующих сообщений клиент DHCP отправляет DHCP-серверу для
запроса продления аренды?
А. DHCP Discover
Б. DHCP Offer
В. DHCP Request
Г. DHCP ACK
2. Какие виды распространенных DHCP-атак Вы знаете?
Спасибо!
www.huawei.com
Принципы и конфигурации
зеркалирования
Введение
 Во время техобслуживания сети потребуется получить и проанализировать
пакеты в некоторых условиях. Например, если вы обнаружите
подозрительные пакеты атак, необходимо получить и проанализировать
пакеты, не затрагивая переадресацию пакетов.
 Технология зеркалирования дублирует пакеты зеркального порта на порт
наблюдения, не затрагивая обработку пакетов на устройствах.
Администраторы могут анализировать скопированные пакеты с помощью
устройства мониторинга данных для сетевого мониторинга и устранения
неполадок.
Цель
 Принципы зеркалирования
 Конфигурирование функции зеркалирования
1. Предпосылка зеркалирования
2. Содержание зеркалирования
3. Конфигурация зеркалирования
Сбор данных
Мониторинг услуг в
режиме реального
времени
Анализ и обнаружение
Цели сбора данных
неисправностей
Оптимизация сетевого
трафика
Метод сбора данных
 Физический сбор через разветвитель
Устройство Разветви Я хочу собрать полный

сбора данных поток данных в
тель
реальном времени без
ущерба для услуг.
Коллектор
 Централизованный сбор через NMS
SNMP
Сеть
NMS
Обзор зеркалирования
 Определение
 Функция зеркалирования дублирует пакеты указанного порта
(порта источника или зеркального порта) в другой указанный порт (порт
назначения или порт наблюдения).
 Функция
 Получение полных пакетов для анализа сети.
 Преимущества
 Сбор данных является удобным и не влияет на существующую сеть.
 Осуществляется сбор данных в реальном времени, обеспечивая надежную
передачу данных.
Роли зеркалирования
Зеркальный порт
Зеркальный порт Порт наблюдения
Общий порт
Зеркальный порт Устройство

Порт наблюдения мониторинга
Поток пакетов
Скопированный поток пакетов
Требования к конфигурации
зеркалирования локального порта
Офисный SW1
Eth2/0/1
участок 1
Eth2/0/3
Router Устройство
Eth2/0/2
мониторинга
Офисный SW2
участок 2
 На предприятии пользователи в офисных участках 1 и 2 подключаются к Router через Eth2/0/1 и Eth2/0/2
соответственно. Устройство мониторинга подключено к Eth2/0/3 Router для анализа и мониторинга
данных. Для обеспечения информационной безопасности предприятие хочет контролировать все
пакеты, отправленные из офисных участков 1 и 2 через устройство мониторинга.
Конфигурация зеркалирования
локального порта
SW1
Офисный
участок 1 Eth2/0/1
Eth2/0/3
Eth2/0/2
Router Устройство
Офисный SW2 #
участок 2 observe-port interface Ethernet2/0/3
#
mirror to observe-port inbound
#
mirror to observe-port inbound
Требования к конфигурации
зеркалирования трафика
RTA
Eth2/0/0 IP-сеть
HostA Eth2/0/1
Устройство
HostB
отдел
HostC
 На предприятии пользователи маркетингового отдела подключаются к RTA через Eth2/0/0. Устройство

мониторинга подключено к Eth2/0/1 RTA для анализа и мониторинга данных. Предприятие хочет
контролировать все пакеты, отправленные с хоста на 192.168.1.10 в маркетинговом отделе.
Реализация конфигурации
зеркалирования трафика
RTA
Eth2/0/0 IP-сеть
HostA Eth2/0/1
Устройство #
мониторинга observe-port interface Ethernet2/0/1
HostB #
acl number 2000
#
Маркетинговый traffic classifier c1 operator or
отдел if-match acl 2000
#
HostC traffic behavior b1
mirror to observe-port
#
Зеркальный порт traffic policy p1
classifier c1 behavior b1
Локальный порт наблюдения #
Поток пакетов traffic-policy p1 inbound
Скопированный поток пакетов
Вопросы
1. Каковы роли в зеркалировании?
2. Каковы различия между зеркалированием трафика и зеркалированием портов?
Спасибо!
www.huawei.com
Обзор eSight

Введение
 По мере быстрого развития сетевых технологий количество устройств в сети
предприятия увеличивается экспоненциально, количество типов сетей также
растет, что делает управление сетью предприятия сложной задачей.
 Для решения этих проблем компания Huawei выпустила eSight – систему нового
поколения для эксплуатации и технического обслуживания (O&M) сетей
предприятий, позволяющую внедрить унифицированное управление различными
типами сетевых устройств от разных производителей, быстро развертывать и
обслуживать сети и службы, значительно повышая эффективность управления
сетью. Каковы преимущества eSight по сравнению с другими программами
управления сетью? Каковы режимы установки и развертывания eSight?
Цель
 Будете понимать происхождение eSight
 Освоите процедуры установки и удаления eSight
 Освоите процесс запроса лицензий eSight
1. Введение в eSight
2. Установка и удаление eSight
3. Режимы развертывания eSight
Требования к управлению корпоративной
сетью: растущее число устройств
Экспоненциальное увеличение
количества устройств
Рост (%)
Ресурсы обслуживания сети

(Людские ресурсы и затраты)
Время
 С увеличением количества устройств управление сетью становится все более сложным. Требуется
больше обслуживающего персонала, а расходы на техобслуживание растут. Предприятиям срочно
нужна платформа управления сетью, позволяющая обслуживающему персоналу с легкостью управлять
большим количеством устройств.
Требования к управлению корпоративной сетью:
унифицированное управление устройствами разных
производителей
Зона головного узла Зона головного узла Зона доступа к
внешней сети Интернет магистрали WAN
Зона
офисов
Зона обслуживания
управления сетью
Зона обслуживания Зона служб Зона Зона сетевых

приложений обработки и веб-сервисов услуг
передачи данных
 После развертывания сетевых устройств конкретного поставщика в сети необходимо установить систему управления сетью
(NMS) этого поставщика для управления устройствами, так как NMS от определенного поставщика может управлять только
устройствами этого поставщика. Кроме того, интерфейсы операций и поля NMS отличаются друг от друга. Для обеспечения
эффективного управления устройствами всей сети требуется стандартный универсальный протокол управления сетью.
Решение Huawei eSight для эксплуатации и
обслуживания предприятия
 eSight – это система эксплуатации и обслуживания следующего поколения, разработанная для кампусных сетей и
филиалов предприятий. Она реализует унифицированное управление ресурсами предприятия, услугами и
пользователями. eSight обладает следующими характеристиками:
 Упрощенная система, установка на основе мастера настройки, без клиентского приложения, управление сетями в
любое время из любого места через браузер.
 Индивидуальные решения для заказчиков.
 Унифицированное управление устройствами нескольких производителей, стандартный протокол управления сетью
SNMP, получивший широкое признание.
Издание Масштаб управления Сценарий применения

Компактное 60 узлов Для мониторинга мелкомасштабных сетей.
Предоставляет разнообразные функции управления
Стандартное (основное) 0 – 5 000 узлов сетевыми сервисами, удовлетворяющие основную
часть потребностей сетей в управлении.
Применяется для иерархического управления
Профессиональное 0 – 20 000 узлов
крупными сетями.
Простой протокол сетевого управления
 SNMP – это протокол уровня приложений, определяющий передачу
управляющей информации между NMS и агентом.
Управляемая
система
1
Выполнение MIB
операций 2
1
SNMP
Агент Информирование
1 2
NMS Управляемый 1 2
объект
5 6
Процесс обмена пакетами SNMP
Управляемое
NMS устройство
Get-Request
Response
Get-Next Request
Response
Set-Request
Response
Trap
Настройка SNMP на маршрутизаторе
Начало
Настройка связи Настройка параметров

между устройством и NMS отправки пакетов Trap
Включение функции агента SNMP Настройка целевого хоста, принимающего

на устройстве (включено по умолчанию) аварийные сигналы и коды ошибок
Настройка версии SNMP Настройка контакта и местоположения

администратора устройства
Настройка имен групп

чтения-записи SNMP на устройстве Конец
Обязательное Опциональное
Базовая конфигурация SNMP на
маршрутизаторе
G0/0/0
IP сеть
172.16.50.253
[Router] snmp-agent
[Router] snmp-agent sys-info version v2c
[Router] snmp-agent community read public mib-view iso-view
[Router] snmp-agent community write private mib-view iso-view
[Router] snmp-agent mib-view iso-view include iso
[Router] snmp-agent target-host trap-paramsname trapnms v2c securityname
adminnms
[Router] snmp-agent target-host trap-hostname nms address 172.16.50.253
trap-paramsname trapnms
[Router] snmp-agent trap enable
[Router] snmp-agent trap source GigabitEthernet0/0/0

 Знакомство с установочным CD-ROM
 Процесс установки eSight
 Процесс удаления eSight
Знакомство с установочным CD-ROM
 Функции:
 Поддержка операционных систем Windows и SUSE Linux.
 Поддержка автоматической установки.
 Поддержка английского и китайского языков.
 Использует архитектуру B/S без установки клиента.
 Процесс установки не связан с лицензией. Лицензия должна импортироваться
пользователями после установки.
 Производительность:
 Установочный CD-ROM каждого издания не превышает 850 Мбайт.
 Установка может быть завершена в течение 10 минут.

 Знакомство с установочным CD-ROM
 Процесс установки eSight
 Процесс удаления eSight
Процесс установки
 Huawei предоставляет две схемы установки eSight.
 Схема предварительной установки: операционная
система и система eSight предварительно
устанавливаются на сервере eSight, доставляемом
на объект.
 Новая установка: если сервер был самостоятельно
приобретен клиентом или система eSight должна
быть переустановлена, то обратитесь к процессу
установки, описанному в блок-схеме.
Подготовка Начало Вход в Регистрация
Среда установки программного

к установке установки систему ПО
обеспечения и аппаратного обеспечения

 Среда установки сервера:
Масштабы управления Минимальная конфигурация сервера Рекомендуемая конфигурация Операционные системы База данных
CPU: 1 * dual-core CPU, 2 ГГц или выше

0-200 Память: 4 Гб
Пространство на жестком диске: 40 Гб Конфигурация 1: Windows Server 2008 R2 standard
Huawei: Tecal RH2288H V2-1*E5-2630
V2 CPU, 2*4Гб памяти, 2*300Гб 64-bit (в версии английского или упрощенного
CPU: 1 * dual-core CPU, 2 ГГц или выше китайского языка)/Windows Server 2012 R1 64-bit (в
200-500 Память: 4 Гб версии английского или упрощенного китайского
Пространство на жестком диске: 60 Гб языка) + MySQL 5.5 (включен в стандартный пакет
программного обеспечения управления сетями
CPU: 2 * quad-core CPU, 2,0 ГГц или выше eSight)/Microsoft SQL Server 2008 R2 Standard
500-2000 Память: 8 Гб
Пространство на жестком диске: 120 Гб Конфигурация 2: Novell SuSE LINUX Enterprise
V2 CPU, 4*8Гб памяти, 3*300Гб Server-Multi-language-Enterprise-11.0 SP3 (в версии
CPU: 2 * quad-core CPU, 2,0 ГГц или выше английского или упрощенного китайского языка) +
2000-5000 Память: 16 Гб Oracle Database Standard Edition 11g R2
Пространство на жестком диске: 250 Гб
Примечание: при управлении 20000 узлов
CPU: 4 * quad-core CPU, 2,0 ГГц или выше рекомендуется Конфигурация 2.
5000-20000 Память: 32 Гб
V2 CPU, 4*8Гб памяти, 3*300Гб
Пространство на жестком диске: 320 Гб
 Среда установки клиента:

 Версия браузера: Internet Explorer 9.0/10.0, Mozilla Firefox 27.0/30.0/31.0 и Chrome 29/30/31
 Рекомендуемое разрешение: 1024 x 768 пикселей
 Память: 1 Гб или больше
План установки
 Перед установкой eSight убедитесь, что IP-адрес, имя хоста и пароль сконфигурированы правильно,
чтобы можно было правильно и быстро установить eSight.
 Имя хоста и IP-адрес: можно менять имя хоста и IP-адрес в зависимости от фактической ситуации.
 Имя пользователя и пароль: исходными именем пользователя и паролем eSight являются admin и
Changeme123 соответственно. При первом входе в eSight Вам будет предложено изменить пароль.
 Разбиение жесткого диска: диск C используется для установки операционной системы, а диск D
используется для установки базы данных и eSight.
 Путь установки: D:\eSight, его можно изменить при необходимости.
 Часовой пояс: при поставке eSight на объект измените часовой пояс и время в соответствии с
расположением объекта.
Получение программного обеспечения

 Доступны два способа установки:
 С помощью установочного CD-ROM: необходимо получить соответствующий CD-
ROM.
 При помощи пакета программного обеспечения: необходимо получить
соответствующий пакет программного обеспечения.
 Произведите следующие действия для получения данного программного

обеспечения:
 Посетите http://enterprise.huawei.com/en/
 Выберите Support > Network Management System > eSight Network > Downloads.
Установка базы данных

 В ОС Windows Server 2008 R2 поддерживаются два типа баз данных. Можно
выбрать подходящий в зависимости от обстоятельств.
 База данных MySQL: автоматически устанавливается с программным
обеспечением eSight. Пользователям не нужно устанавливать базу данных
MySQL отдельно.
 База данных SQL Server 2008: требуется ее установка вручную перед установкой
eSight. Пользователям рекомендуется установить базу данных SQL Server 2008,
обратившись к ее руководству по установке.
Запуск программы установки eSight

 Дважды щелкните мышкой по setup.bat для запуска процесса установки.
Выберите язык GUI установщика и GUI управления.
Задание параметров установки
 Server IP Address: определяет IP-адрес текущего сервера по умолчанию. Если сервер имеет несколько IP-
адресов в выпадающем списке, то выберите маршрутизируемый IP-адрес.
 Server Port: номер порта по умолчанию – 8080. Если порт 8080 уже используется, то измените номер порта.
 Installation Directory: задает каталог установки eSight, пользователи могут его изменить.
Задание параметров базы данных
Доступные типы баз

данных
Выбор компонентов для установки
Наличие основных
функциональных компонентов
обязательно, они будут выбраны
по умолчанию.
Компоненты услуг
являются
опциональными.
Отображение прогресса установки
Установка завершена
Запуск службы eSight
Вход в eSight через Internet

Explorer 9 в первый раз

 В адресной строке введите http://Server IP address:port number (8080) и нажмите Enter.
 При первом входе на сервер eSight появится сообщение «Возникла проблема с
сертификатом безопасности этого веб-сайта». Нажмите «Продолжить открытие этого веб-
сайта (не рекомендуется)».
Установка сертификата
Введите
http://eSight server IP address:port 3
number.
2 4
Вход в систему eSight при

помощи имени пользователя и пароля
Именем пользователя и паролем

по умолчанию являются admin и
Changeme123 соответственно.
Вход выполнен успешно

1
2 4
5
6
1. Адресная строка
2. Главное меню
3. Область статистики
4. Общая информация и кнопки
5. Область индикаторов аварийной сигнализации
6. Портлеты заказных настроек
Описание лицензии
 Файл лицензии представляет собой файл авторизации, созданный специальным
инструментом шифрования в соответствии с контрактом, подписанным между
пользователем и Huawei, и информацией о сервере, на котором установлен eSight.
 После получения файла лицензии, пользователь должен вручную загрузить его в
eSight и активировать разрешение на использование eSight.
 Пользователи могут использовать eSight в течение 90 дней без файла лицензии.
После этого пробного периода при попытке пользователя войти в систему на экране
возникнет страница обновления лицензии, а вход в систему не будет выполнен.
 В течение пробного периода eSight может управлять 60 NE, а возможности
управления компонентами WLAN, MPLS VPN, SLA, IPSec VPN, NTA и Secure Center
ограничены 10.
Подача заявки на лицензию

 Шаг 1: получить контактную информацию.
 Сертификат лицензированной авторизации поставляется вместе с Huawei eSight. Вы
можете получить сертификат лицензированной авторизации от соответствующих агентов.
Пользователи могут получить контактный номер, наименование и модель продукта из
сертификата лицензии.
 Шаг 2: получить серийный номер серверного оборудования (ESN).

 ESN это строка символов, которая однозначно идентифицирует устройство. Используется
для обеспечения предоставления лицензии указанному устройству.
 Шаг 3: подать заявку на лицензию eSight.

 Посетите http://app.huawei.com/isdp/ и подайте заявку на получение лицензии.
Получение контрактной информации

 Получите номер контракта, наименование и модель продукта.
Получение ESN
 В главном меню выберите System > Administration > License Management.
Активация лицензии (1)

 Выберите в главном меню License Activation > Password Activation и введите
код активации.
Активация лицензии (2)

 Введите ESN сервера, подлежащего привязке.
 Подтвердите активацию и скачайте файл лицензии.
Загрузка и управление лицензией

 Выберите в главном меню System > Administration > License Management.

 Знакомство с установочным CD-ROM
 Процесс установки eSight
 Процесс удаления eSight
Удаление eSight
 Чтобы остановить службу eSight, выберите Пуск > Все программы > eSight > eSight
Console и нажмите Stop в появившемся диалоговом окне.
 Чтобы удалить eSight, выберите Пуск > Все программы > eSight > Uninstall eSight.
2
1
Удаление завершено
Режим одноузлового сервера
 eSight AppBase работает в режиме браузера/сервера и обеспечивает
одновременный доступ нескольких веб-браузеров.
Чтение / запись
Служба приложений eSight
База данных
Режим иерархического развертывания
 eSight также поддерживает иерархическое
управление, позволяющее головному офису
контролировать сети в филиалах.
 В режиме иерархического развертывания
eSight professional
NMS верхнего уровня может добавлять в
систему NMS нижнего уровня и
обеспечивать ссылки на NMS нижнего eSight professional
уровня. При щелчке по такой ссылке

появляется новое окно браузера, в котором
eSight standard
можно войти в NMS нижнего уровня.
Интеграция с OSS
 eSight может интегрироваться с Системами
поддержки операций (OSS) верхнего уровня и OSS
передавать аварийные сигналы сети через SNMP

для взаимодействия с OSS.
eSight
 Интеграция с OSS дает следующие преимущества:
DCN
 Улучшает возможности управления сетью через
систему OSS.
 Изолирует управление NE от управления сетью.
 Отвечает требованиям механизма управления и
обслуживания предприятия.
Вопросы
1. Если пароль пользователя admin утерян, то для восстановления пароля по
умолчанию пользователю придется переустановить eSight.
2. Сколько времени длится пробный период eSight?

А. 30 дней
Б. 60 дней
В. 90 дней
Г. 120 дней
Спасибо!
www.huawei.com
Основные функции eSight

Введение
 eSight – это система управления и обслуживания, разработанная для проводных и
беспроводных кампусных сетей, а также филиалов предприятий. Она реализует
унифицированное управление и интеллектуальное сопряжение между ресурсами
предприятия, услугами и пользователями.
 На этих слайдах описаны основные функции eSight, включая управление безопасностью,
управление ресурсами, управление аварийными сигналами и управление
производительностью. Для других функций, таких как управление файлами конфигурации,
управление журналами, мониторинг WLAN, многопротокольная коммутация по меткам
виртуальной частной сети (MPLS VPN), алгоритм сохранения пакетов в Интернет (iPCA),
соглашение об уровне предоставления услуги (SLA) и анализатор сетевого трафика (NTA),
обратитесь к официальным материалам системы управления сетью eSight.
Цель
 Знакомы с основными функциями eSight
 Владеть функционалом основных функций eSight
1. Управление безопасностью
2. Управление ресурсами
3. Управление аварийными сигналами
4. Управление производительностью
Как реализовать управление
безопасностью сети?
Отвечает за эксплуатацию
и обслуживание сетевых
устройств в городах А и Б
Оператор_АБ Сетевые администраторы

имеют различные
управленческие права, что в
определенной степени
реализует управление
Отвечает за мониторинг и безопасностью сети. Отвечает за мониторинг и
обслуживание аварийных обслуживание аварийных
сигналов сетевых сигналов сетевых
устройств в городе А устройств в городе Б
eSight
Мониторинг аварийных Мониторинг аварийных
сигналов A сигналов Б
Город A Город Б
Содержание политики безопасности
Создание новых пользователей в случае если несколько

пользователей должны управлять сетью.
Установка прав на работу в сети и политики управления объектами,
передача прав на выполнение операций различным пользователям.
Задание длины имени учетной записи и правил входа в систему.
Задание требований к сложности пользовательского пароля,

интервала изменения и пределов длины.
Задание IP-адресов, с которых пользователи могут войти в eSight.
Установка периода времени, в течение которого пользователи могут

войти в eSight.
Просмотр находящихся онлайн пользователей, обнаружение
несанкционированных и принудительный вывод их из системы.
Предоставление функции автоматического выхода клиента из системы во
избежание выполнения сторонними пользователями
несанкционированных действий.
Смена паролей пользователей и задание контактной информации.
Создание роли (1)
 Сопоставить административный домен с ролью, с тем чтобы роль могла
управлять определенными объектами в домене.
Создание роли (2)
 Присвоить роли права управления, с тем чтобы роль получила права на
оперирование подконтрольными объектами.
Создание пользователей – задание имени
пользователя и пароля
Создание пользователей - задание роли
Создание пользователей -конфигурирование
политик управления доступом
Настройка политики учетной записи
 Правильно подобранные ограничения по длине имени пользователя и политики
входа пользователей могут повысить безопасность доступа к eSight. Политика
учетной записи применяется ко всем пользователям, поэтому она должна
устанавливаться администратором безопасности.
Управление ресурсами
 Функция управления ресурсами позволяет добавлять устройства в eSight и
выполнять такие операции, как запросы, мониторинг и конфигурирование
этих устройств, централизованным образом.
NE Ресурсы
Подсеть
Аппаратная Аппаратная
комната А комната Б
Добавление устройств
 eSight поддерживает три способа обнаружения ресурсов.
 Способ 1: добавление по одному (по IP-адресу)
 10.135.59.18
 Способ 2: автоматическое обнаружение (по сегменту IP-адресов)

 От 10.137.61.1 до 10.137.61.255
 Способ 3: импорт устройств (при помощи файла Excel)
 Просмотр топологии после добавления устройства.

 Выберите Monitor > Topology Management
Добавление по одному
Можно выбрать только

один протокол.
 SNMP: сетевые устройства должны поддерживать SNMP и иметь сконфигурированные

параметры доступа SNMP.
 ICMP: если на сетевых устройствах не сконфигурированы параметры SNMP, но ping-запросы
к серверу eSight проходят, то параметры можно внести в eSight через ICMP.
Автоматическое обнаружение
Поддерживается
несколько сегментов сети.
Импорт устройств
Только SNMP-совместимые устройства могут быть

импортированы через шаблон.
Управление физическими ресурсами
 Физические ресурсы включают устройства и физические объекты устройств,
такие как шасси, платы, субплаты и порты.
Физический
объект
1. Переключение на топологию
2. Изменение примечаний
3. Просмотр сведений о ресурсах
4. Удаление
Групповое управление
 Можно создать группу и добавить в нее NE из различных подсетей, она
будет считаться одним объектом. Объект (группа NE) можно закрепить за
пользователем, что улучшает эффективность управления несколькими
устройствами.
Управление
аварийными сигналами
 Функция управления аварийной сигнализацией позволяет eSight
отслеживать состояние устройств в режиме реального времени и получать
сигналы об отказах устройств, чтобы помочь администраторам
своевременно обнаруживать и устранять неисправности сети.
Запрос и обработка
Функции управления аварийных сигналов
Установка правил
аварийными
сигналами
аварийных сигналов
Установка удаленных
уведомлений об
аварийных сигналах
Запрос и обработка аварийных сигналов
Мониторинг аварийных сигналов на панели аварийной сигнализации
На панели аварийной сигнализации в правом верхнем углу страницы Current Alarms
отображается количество неснятых и снятых аварийных сигналов четырех уровней аварийной
сигнализации, что позволяет пользователям быстро получать информацию об обработке
аварийных сигналов.
Мониторинг аварийных сигналов в списке текущих аварийных сигналов

Выберите Monitor > Fault Management > Current Alarms для установки критериев фильтрации и
поиска аварийных сигналов, которые должны быть обработаны.
Подтвердит Снять
ь
Мониторинг аварийных сигналов в топологии

Для просмотра состояния функционирования NE и подсетей по цветам их значков в топологии
можно выбрать Monitor > Topology > Topology Management. Для просмотра актуальных, архивных
и скрытых аварийных сигналов можно щелкнуть правой кнопкой мыши на иконке и выбрать
Alarm List.
Задание правил
мониторинга аварийных сигналов
 Создание правил удаленных уведомлений.
Установка удаленных
уведомлений об аварийных сигналах
 Установка режима удаленных уведомлений.
Обзор управления производительностью
 Каждому ресурсу назначаются счетчики производительности, позволяющие измерять его
производительность. eSight осуществляет всесторонний мониторинг характеристик
производительности управляемых ресурсов, а также взаимосвязей между
производительностью ресурсов и обеспечивает всеобъемлющий анализ общих
характеристик производительности ресурсов. Это позволяет администраторам осознавать
состояние сети и осуществлять оптимизацию сети с целью обеспечения оптимального
рабочего состояния.
 Принципы управления производительностью:
 Счетчик и шаблон счетчиков
 Порог срабатывания счетчика
 Задача сбора данных о производительности
 Объект измерений
 Период сбора
Блок-схема управления
производительностью
Управление характеристиками производительности
eSight
1 Шаблон мониторинга 2 Задача мониторинга
1.1 Выбор счетчиков 2.1 Выбор счетчиков или

производительности шаблона счетчиков
2.2 Выбор объектов
1.2 Установка пороговых
измерений
значений счетчиков 2.3 Автоматический сбор
данных
Пользователь
Данные о Сбор в фоновом Сеть
4 3
производительности режиме по плану
4.1 Просмотр данных о
производительности 3.1 Система
4.2 Просмотр истории данных о автоматически создает
производительности подробную информацию
4.3 Просмотр данных о о сборе данных
производительности в
реальном времени
Управление аварийной сигнализацией eSight

Генерация аварийного сигнала при
5 превышении измеренными значениями Получение верхних
заданных пороговых значений. N данных
Домашняя страница eSight

6 Просмотр верхних N данных на портале
домашней страницы
Создание шаблона мониторинга (1)
 Создание шаблона мониторинга.
В eSight заранее заданы несколько

Просмотр Изменение
шаблонов счетчиков, так что для
подробной шаблона.
распространенных счетчиков создавать
информации.
шаблоны не нужно.
По сфере услуг или

административному домену.
 Добавление счетчиков.
 Задание пороговых значений.
 Создание шаблона завершено.
Создание задачи мониторинга (1)
 Создание задачи мониторинга.
Отображает максимальное
количество задач и счетчиков,
поддерживаемых eSight, количество
созданных задач сбора и счетчиков.
Зеленый значок указывает 1. Изменение

действующие счетчики, 2. Остановка задачи
серый значок – на
недействующие.
 Создание задачи мониторинга завершено.
Просмотр данных о производительности –
домашняя страница
Расширение критериев
запроса в стиле Ebay
Просмотр данных о Цвет в зависимости от

производительности аварийного сигнала, пороговые
значения которого превышены
Просмотр данных о производительности –
обзор подробностей
Щелкните на панели пропорций для

просмотра подробной диаграммы истории
за последние 24 часа, неделю, месяц или
три месяца.
Просмотр данных о производительности в
реальном масштабе времени
Смена метода отображения

данных производится нажатием
на значок Layout.
Просмотр данных об истории
производительности
Отображение данных истории

производится
перетаскиванием ползунка на
панели времени.
Вопросы
1. Какие из следующих методов обнаружения ресурсов поддерживаются eSight?
A. Добавление по одному
B. Автоматическое обнаружение
C. Импорт устройств
D. По модели устройств
2. Сколько уровней аварийной сигнализации и какие поддерживает eSight?
Спасибо!
www.huawei.com
Функции Agile Controller

Введение
 По мере быстрого развития новых сетевых технологий пользователи имеют высокие
требования к сетевому доступу с использованием любых терминалов в любое время, в
любом месте. Однако традиционные корпоративные сети кампуса представляют собой сети,
основанные на принципах IP-сети. Сегменты IP-адресов конфигурируются вручную для
различных офисных мест, а политика управления доступом к сети определяется на основе
сегментов IP-адресов для управления правами доступа пользователей. Доступ к сети в
любое время, в любом месте значительно затруднен.
 Huawei предоставляет Agile Controller (AC) для выполнения этого требования. Являясь
мозгом в сети интеллектуального кампуса, AC динамически настраивает сетевые ресурсы и
ресурсы безопасности на всей сети кампуса на основе программно-определяемой сети
(SDN), что позволяет сети быть более гибким для услуг и удовлетворять требования
пользователей.
Цель
 По завершении этого раздела Вы сможете:
 Понимать проблемы, стоящие перед традиционными сетями
 Овладеть основными функциями и возможностями Agile Controller
 Знакомиться с процессом конфигурирования Agile Controller
1. Проблемы, стоящие перед традиционными сетями
2. Реализация функции Agile Controller
3. Пример конфигурации Agile Controller
Для повышения мобильности требуется
последовательный опыт обслуживания
Традиционная сетевая ситуация:
Требования к традиционным сетям
повышение мобильности
 В 2011 году поставки интеллектуальных терминалов
впервые превысили производительность ПК.
 В 2015 году количество проданных планшетов достигло
 Управление проводным и беспроводным
326 млн., а смартфонов превысило 1 млрд. (50% рынка доступом
мобильных телефонов). Большинство умных терминалов  В эпоху мобильности сосуществуют проводные и
используются офисными работниками.
беспроводные сети. Пользователи могут иметь
Вычислительные устройства — годовой объем продажа мобильные и фиксированные терминалы, а доступ к
Смартфоны проводной и беспроводной сети должен управляться
500
единообразно.
Объем продаж (ед.: млн.)
400  Обеспечение последовательного опыта

ПК
 Мобильность ориентируется на последовательный опыт
300 пользователей в любое время, в любом месте. Сетевая
политика должна быстро корректироваться при
200 изменении пользовательских услуг и приложений.
100 Планшеты  Быстрое продвижение мобильных приложений

 Когда предприятию необходимо развернуть новые
0
приложения, сеть можно быстро и гибко настроить для
2008 2009 2010 2011
Год адаптации к изменениям.
Источник: Gartner, iSuppli Market Intelligence
Низкая эффективность ручного обслуживания,
требуется гибкая корректировка политики
Традиционная сетевая ситуация Требования к традиционным сетям
 Ручная конфигурация Виртуализация требует Мобильность требует гибкой

имеет низкую автоматизации. корректировки политики.
эффективность и высокую Архитектура сети ЦОД Политика
стоимость услуг.
 В сценариях миграции сети
или мобильных офисов
сети не могут быть быстро
настроены для быстрого
развертывания новых
AP 1 AP 2
услуг.
VM VM Миграция VM VM
Сервер VMotion Сервер Переместить

Пользователь A Переместить
Как можно быстро настроить политики Как можно быстро настроить политики
конфигурации сети при миграции безопасности и доступа в сети при изменении
виртуальных машин? местоположения доступа пользователя?
Различные режимы доступа, неэффективная
единая точка защиты
Традиционная сетевая ситуация Требования к традиционным сетям
 Эффективная единая точка защиты Ⅹ Неэффективная единая точка защиты
Внешняя атака
WAN/Интернет WAN/Интернет
Традиционная
внешняя атака
Атака
беспроводного
перехвата
Атака
мобильной
сети
Атака
мобильного
AP AP AP терминала
Agile Controller — мозг на интеллектуальных
сетях кампуса
AR L2 SW AR L2 SW Доступ в Интернет Компонент Функция
Обеспечивает управление политиками на основе 5W1H и
Диспетчер
Сеть Сеть поддерживает несколько режимов аутентификации, таких как
управления
филиалов филиалов MAC-адрес, 802.1X, портал и аутентификация шлюза контроля
доступом
доступа к безопасности (SACG).
Обеспечивает самостоятельную регистрацию и управление
Центр ресурсов WAN/Интернет Диспетчер
гостевыми учетными записями, а также поддерживает
безопасности гости
настройку и доставку страниц портала и подталкивание.
Предоставляет матрицу политик на основе групповой
Выход NGFW/SVN политики безопасности для обеспечения высокого качества
Свободный
услуг VIP-пользователей и позволяет сетевым ресурсам
диспетчер
мигрировать в зависимости от местоположения
мобильности
пользователей, обеспечивая последовательную политику и
Уровень пользовательский опыт.
LSW
ядра Виртуализирует физические устройства для защиты моделей
Диспетчер
Agile и местоположения физических устройств и перенаправляет
цепочек услуг
Controller различный трафик услуг на разные узлы прекращения услуг.
Уровень LSW Собирает журналы безопасности и события, идентифицирует
NGFW агрегации активы и зоны с высоким риском с помощью корреляционного
Компонент анализа больших данных и оценивает тенденции
безопасности безопасности всей сети. Это помогает клиентам быстро
Уровень идентифицировать сетевые риски, чтобы они могли
доступа принимать превентивные меры защиты от рисков.
LSW AP AP LSW Обеспечивает разнообразные политики безопасности для
Диспетчер
предотвращения доступа к сети незащищенных терминалов и
безопасности
терминалов, которые не соответствуют политике
терминалов
безопасности предприятий.
Архитектура продукта Agile Controller
Сторона
сервера
Менеджер услуг Контроллер услуг Центр управления
(SM) (SC) (MC)
Устройства
доступа к сети
Брандмауэр AR Коммутатор AP
Пользовательская
сторона
Клиент Веб-портал Встроенный клиент 802.1X
(Windows/Linux/MAC/Android/iOS)
Панорама программного обеспечения Agile
Controller
Agile Controller
Свободный Диспетчер
Компонент
диспетчер Диспетчер гости безопасности
мобильности терминалов
Диспетчер цепочек
Диспетчер управления доступом
услуг
Сетевые ресурсы
Информация о Информация о
Топология сети пользователе местоположении Права
Физическая сеть

 Управление доступом
 Управление гостями
 Свободная мобильность
 Цепочка услуг
 Объединенная безопасность
 Безопасность терминала
Архитектура диспетчера управления доступом
к Agile Controller
Agile Controller
SM Менеджер услуг
HTTPS
SC
AuthServer Portal RADIUS NetworkServer
COPS/Portal/RADIUS
Физическая сеть
EAP/HTTP
Терминал
Управление доступом в сети кампуса
Домен предварительной
аутентификации
Активный
Выход кампуса Сервер Agile Controller
Домен изоляции
Уровень ядра Резервный

Патч/антивирус/сервер
программного обеспечения
Домен после аутентификации
Уровень
агрегации
Финансовой сервер,
Уровень сервер маркетинга, и сервер
доступа исследований и разработок
Отдел исследований
и разработок Тупые терминалы Маркетинговый отдел Финансовые отделы
Полное управление доступом, применимое к
нескольким типам сетей
 Аутентификация MAC-адресов
 Сервер аутентификации аутентифицирует терминалы на основе их MAC-
MAC-адрес адресов.
Тупой VLAN1
терминал  Она применима к тупым терминалам, таким как IP-телефоны и принтеры.
 Аутентификация 802.1X
 Клиенты, устройства и серверы аутентификации обмениваются
аутентификационными сообщениями с использованием EAP.
802.1X
 Она поддерживает связь с Huawei коммутаторами всей серии,
Офисная маршрутизаторами, устройствами WLAN и коммутаторами 802.1X.
VLAN2
область
SSID1
 Аутентификация портала
 Аутентификация портала также называется веб-аутентификацией.
Portal Пользователи могут вводить имена пользователей и пароли на странице веб-
аутентификации для аутентификации идентификационных данных.
 Она поддерживает связь с Huawei коммутаторами всей серии,
маршрутизаторами и устройствами WLAN.
Гостевая
зона
SSID2  Аутентификация SACG
SACG  Брандмауэр USG подключается к маршрутизатору или коммутатору в
байпасном режиме и управляет доступом терминала через маршрутизацию
на основе политик.
Модель доступа Agile Controller
Правило авторизации
Условие Результат
авторизации авторизации
Режим Безопасность Динамический Группа Пропускная Атрибуты

Пользователь Терминал Местоположение Время VLAN ACL
доступа терминала ACL безопасности способность RADIUS
Идентификация
Беспроводной
Организация
Операционн
ые системы
Проводной
Поставщик
Сегмент IP
Windows
доступа
Аккаунт
SSID
Тип
Отдел
Роль

 Управление доступом
Сценарии определения гостя и доступа
Определение и характеристики доступа к

Типичные сценарии доступа гостей
сети корпоративных гостей
 Кто гости?  Крупные предприятия

 Неработающие на предприятиях  Типичные предприятия: Huawei, Lenovo и т. д.
 Клиенты, которые посещают предприятия  Типичный сценарий: клиенты получают доступ к
или аутсорсинг сотрудников из партнеров корпоративным сетям, общедоступным
 Потребители предприятий ресурсам предприятий или Интернету во время
 Общие люди общения и посещений.
 Какие характеристики у гостей?  Коммунальные услуги
 Доступ к сети с использованием  Типичные места: метро, аэропорты и т. д.
собственных терминалов  Типичный сценарий: люди получают доступ к
 Неконтролируемое сетевое поведение Интернету через сети, предоставляемые
 Неконтролируемый объем доступа к сети коммунальными службами.
 Потребительские предприятия
 Типичные предприятия: роскошные гостиницы,
кафе и т. д.
 Типичный сценарий: потребителям предприятий
необходимо получить доступ к Интернету.
Панорама гостевой аутентификации
Система
Сотрудник BSS
Аутсорсинг
сотрудника
AP Коммутатор Система CRM
уровня ядра
Система ERP
AC
Гость
AP Почтовая
система
Кто вы? Как получить доступ к сети? Какие у вас права?
Управление гостей полного жизненного цикла
Приложение учетной записи Аутентификация пользователя Аудит и дерегистрация
Регистрация Утверждение Распределение Аутентификация Аудит Дерегистрация
Проводной ASG
ПК Коммутатор
Сеть
Гость
Беспроводной
Телефон AC
Регистрация Утверждение Распределение Аутентификация Аудит и отмена регистрации

 Заявка  Автоматическое  SMS-сообщение  Аутентификация по имени  Аудит входа и выхода
сотрудников утверждение  Электронная пользователя и паролю пользователя
 Заявка гостей  Утверждение почта  Аутентификация по паролю  Аудит поведения в режиме
администраторами  Web  Изоляция прав с онлайн
 Утверждение использованием VLAN или  Автоматическая отмена
секретарями ACL регистрации после истечения
 Универсальная инкапсуляци срока действия аккаунта
я при маршрутизации (GRE)  Запланированное удаление
3-го уровня аккаунта

 Управление доступом
 Свободная мобильность
Логическая архитектура свободной
Подсистема
Подсистема политик
аутентификации и
услуг
Agile Controller авторизации
Определение
Синхронизация
глобального
групповой информации
Плоскость Группы Сервер
Администратор Сервер политик
управления услугами аутентификации:
Запрос Выполнение
Аутентификация санкционировать Сообщать IP-адреса
информации о групповых
ID группы пользователей
пользователе политик
Плоскость сетевого Точка Точка выполнения

устройства аутентификации политики
и доступ
Плоскость пользователя Пользовательски Статический

й терминал ресурс
Межкомпонентная связь
Трафик пользовательских услуг
Сценарии применения свободной мобильности
Сервер Интернет-
Agile Controller Общий сервер Веб-сервер
отчетов ресурсы
ЦОД Пограничный
брандмауэр DC
Область выхода
Брандмауэр границы и Интернета
основной брандмауэр
контролируют
взаимодействие Пограничный
пользователя через точки Брандмауэр брандмауэр Пограничный
аутентификации. WAN WAN кампуса брандмауэр
Основной Интернета кампуса
филиала
брандмауэр
Точка аутентификации,
ближайшая к пользователям,
может контролировать связь
между локальными SVN
пользователями. Коммутатор C Коммутатор A Коммутатор B
Пользователи могут
получить права доступа к
сети в любом месте Аутсорсинг Финансовый VIP Аутсорсинг
сотрудников Финансовый Финансовый
доступа. отдел сотрудников отдел отдел
Филиал Кампус
Основные концепции свободной мобильности
Матрица политики
Группа Приоритет
безопасности А C пользователя
Свободная
мобильность
Авторизация на Запрос сопоставления

E D
основе 5W1H IP-группы
Процедура развертывания свободной
Шаг 3: Система
автоматически
работает.
Шаг 2: определение
и развертывание
групповых политик.
Шаг 1: определение
групп безопасности.
1. Аутентификация: когда пользователь
пытается получить доступ к сети, Agile
Controller аутентифицирует личность
пользователя.
1. Определение групповых политик 2. Авторизация: Agile Controller
на Agile Controller. соответствует политикам авторизации,
 Политика опыта (приоритет основанным на условиях 5W1H и
1. Определение групп пересылки группы пользователей добавляет пользователей к
безопасности на Agile VIP). соответствующим группам
 Политика прав (определение
Controller. безопасности. Устройства выполнения
2. Добавление участников в возможности межгруппового политики затем динамически
группы безопасности. доступа). добавляют IP-адреса пользователя в
 Динамические группы 2. Развертывание групповых указанные группы безопасности.
безопасности: конкретные политик. 3. Выполнение: на основе
пользователи, описанные  Взаимодействие между Agile сопоставлений между IP-адресами и
в политиках авторизации. Controller и устройствами группами безопасности, сохраненными
 Статические группы выполнения политик. локально и на Agile Controller, сетевые
безопасности:  Автоматическое распределение устройства идентифицируют группы
фиксированные IP-адреса групп безопасности и групповых источника и назначения в пакетах, а
или сегменты сети. политик от Agile Controller до точек затем сопоставляют и выполняют
выполнения политики. групповые политики.

 Цепочка услуг
Техническая архитектура сервисной цепочки
 Agile Controller: завершает настройку логики услуг и

Agile Controller
сопоставление ошибок цепочки услуг.
 Оркестрационное устройство: идентифицирует
Развертывание трафик услуг и перенаправляет трафик на устройство

Ассоциация Развертывание
услуги отказов услуги услуг.
 Сервисное устройство: обрабатывает трафик услуг,
Перенаправление
перенаправленный на него.
Сервисное
устройство 1  Основные технологии:
Повторное закачивание
Оркестрационное Услуги развертываются с использованием протокола XMPP
Сервисное 
устройство 2 (устройство Huawei), а также протоколов Telnet и SNMP
(коммутатор) Повторное закачивание
(устройство третьей стороны).
Сервисное
устройство 3  Трафик услуг перенаправляется через два туннеля GRE с
Повторное
закачивание Третье стороннее использованием политико-маршрутизации (PBR).
Цепочка
услуг
Туннель GRE
Сценарии применения цепочки услуг
Agile Controller Цепочка услуг 1

Центр управления
сетью Выход кампуса Цепочка услуг 2
Брандмауэр
Антивирусное
ЦОД Оркестрационное устройство
поведением в
Цепной узел режиме онлайн
Зона доступа гостей Внутренняя

Отдел A Отдел B
общественная зона
Уровень применения
Процедура цепочки услуг
Оркестрационное устройство  Оркестрационные устройства и сервисные
устройства взаимосвязаны на уровне 3.
 Agile Controller управляет оркестрационными
устройствами и сервисными устройствами и
ЦОД получает информацию о устройстве через XMPP.
Оркестрационное устройство  Сконфигурируйте соотношение ресурсов между

оркестрационными устройствами и сервисными
устройствами на Agile Controller и предоставьте
взаимосвязь сервисным устройствам.
ЦОД
 Создайте интерфейсы на устройствах для
установки туннелей GRE.
Оркестрационное устройство  Сконфигурируйте цепочки услуг на Agile Controller

и доставьте их на сервисные устройства.
 Создайте правила перенаправления трафика на
ЦОД оркестрационном устройстве. Трафик услуг,
соответствующий правилу, переадресуется по
соответствующей цепочке услуг.
Канал Цепочка услуг 1

Туннель GRE Цепочка услуг 2
Обработка неисправности туннеля GRE (1/2)
1. Обработка неисправности туннеля GRE в исходящем направлении коммутатора
Переслать Икс Сервисное

Сервисное
Икс
Икс Сервисное
отбрасывать устройство
 Устранение неисправностей
 Механизм Keepalive туннеля GRE: по умолчанию этот механизм включен в туннеле GRE.
 Устранение неисправностей туннеля GRE: чтобы повысить надежность цепочек услуг,
сконфигурируйте коммутатор на сброс или прямую пересылку пакетов при сбое в туннеле GRE.
Обработка неисправности туннеля GRE (2/2)
2. Обработка неисправности туннеля GRE в входящем направлении коммутатора
Agile Controller
XMPP over TCP
1
X Сервисное
X устройство 1
2
Нормальная переадресация трафика
Переадресация трафика при сбое туннеля GRE
3
Сервисное X Неисправность туннеля
4
устройство 2
X Отключение канала
 Если туннель 2 не работает, трафик достигает сервисного устройства 1 через туннель 1 и затем отбрасывается.
 Agile Controller может решить эту проблему.
 Когда коммутатор обнаруживает сбой в туннеле GRE, он передает неисправность Agile Controller через интерфейс XMPP.
 Затем Agile Controller отключает интерфейс на другом конце туннеля GRE и отменяет конфигурации туннелей GRE 3 и 4. Затем
коммутатор отбрасывает полученный трафик или пересылает трафик после поиска в таблице маршрутизации в соответствии с
заданными политиками.

 Объединенная безопасность
Сценарии применения объединенной
Угроза O&M
Партнер
 Угадайте пароль входа в систему
 Нарушение O&M (обход хоста
Филиал
Сторонний сервер бастиона)
управления доменом
 Журналы основных активов не
Сервер журнала регистрируются в течение
Область O&M
Сервер
длительного периода времени
Хост
FW бастиона
FW FW
ASG
VPN
шлюз
Local: FW Базовая FW
сеть
Сервисный
сервер
FW
Local: FW Домен
предварительной
FW аутентификации 2
Домен
Угрозы доступа в Интранет FW
аутентификации 1
Домен
 Распространение компьютерных
вирусов Электрон
Сетевые и сервисные угрозы
Web ная почта
 Атака терминальной сети DMZ
Применение
 DDoS/DoS атака на сервере
 Атака на адрес  Атака на проникновение сервера
 Региональная сетевая атака  Недостаточность ресурсов пограничного
 Атака на коммутатор брандмауэра
 Благодаря корреляционному анализу в сетевых журналах, диспетчер объединенной безопасности определяет

потенциальные проблемы безопасности сети и отображает проблемы безопасности сети для сетевых администраторов.
Общая архитектура решения для
объединенной безопасности
Общесетевая/региональная /тенденция
безопасности ключевых активов
Тенденция
безопасности Управление
Региональное Управление Оценка угрозы
событиями
безопасности управление активами
Уведомление о тревоге по SMS

Уведомление о тревоге по эл.
Проверка почте
Анализ Корреляционный Фильтрация Управление
исходных Ответ Ассоциация устройств -
событий анализ событий тегами данных блокировка трафика
Ассоциация устройств -
перенаправление трафика
Стандартные
данные
Сбор и Стандартизация Сжатие и хранение

обработка формата стандартных данных
журналов
Сжатие и хранение
оригинальных данных
Интерфейс Интерфейсы
syslog SNMP и ODBC
Устройства
Источники Сетевые устройства
журнала База Управление
ХостA Сканер
Устройства Сетевые Центр данных терминалами
безопасности устройства политики
Продукты, разработанные Huawei Сторонние продукты
Компоненты и использование решений
 Agile Controller: мозг решения. Диспетчер объединенной
безопасности собирает и обрабатывает журналы,
ассоциирует события безопасности, отображает
Agile Controller
тенденции в области безопасности и запускает ответные
меры безопасности.
Устройства для  Устройства для выполнения политики ассоциации:

выполнения относятся к устройствам, которые выполняют политики
политики
ассоциации блокировки или перенаправления трафика, если
происходит событие безопасности, например,
коммутаторы.
Устройства отчетов
журнала Устройства Сетевые Центр
Системы  Журнал отчетов устройств: генераторы журналов
третьей
безопасности устройства политики
стороны
безопасности, такие как сетевые устройства и устройства
безопасности. Они сообщают журналы Agile Controller
через связанные интерфейсы.

 Безопасность терминала
Текущая ситуация и тенденции развития
управления безопасностью терминала
 До 2001 года антивирусные и антишпионские программные технологии использовались для
управления безопасностью терминала. По мере развития технологий и диверсификации угроз
безопасности события безопасности терминала происходят часто. В результате пользователи не
Повсеместная доверяют антивирусному программному обеспечению и опасаются, что антивирусное
Терминальная зрелость безопасности
терминала и программное обеспечение может устареть.
глобальных предприятий
управление
опытом работы с
терминалом
 В период с 2001 по 2009 год для замены простой антивирусной защиты были разработаны
Защита
терминалов единые решения для обеспечения безопасности терминала, включающие управление
All-in-one
доступом, безопасность терминала, а также управление и контроль поведения терминала.
Защита от Текущий  После 2009 года, когда число пользователей мобильного офиса быстро растет, область
вирусов
этап
управления безопасностью терминала расширилась от управления только ПК до единого
управления на повсеместно распространенных терминалах, включая интеллектуальные
терминалы и IP-устройства. Управление безопасностью терминала больше не зависит от
I: До 2001 года II. 2001-2009 III. 2009
событий, а сосредоточено на упреждающей защите, комплексном предотвращении и
улучшенном опыте.
Тенденции развития безопасности терминала

Универсальные терминалы Полные функции Платформа Персонализированный
 Единое управление различными  Управление доступом+  Общесетевое  Приложение диспетчера
типами терминалов управление объединение и настольных ПК
безопасностью сотрудничество
 Единое управление  Пользовательские услуги
физическими и виртуальными  Пассивная защита +  Возможности открытой для настольных ПК
терминалами упреждающий контроль интеграции
Техническая архитектура безопасности
терминала
МС Администратор MC Многоуровневая модель
 Политики безопасности могут быть

централизованно настроены на MC и
доставлены на серверы управления
безопасностью терминала более
Домен после Домен после низкого уровня.
аутентификации аутентификации  Клиенты безопасности терминалов
SC1 SM1 SC2 SM2
проверяют терминалы на основе
предоставленных политик
безопасности. Если проверка прошла
SM SM
успешно, серверы управления
Антивирусный Антивирусный безопасностью терминала
Шлюз Шлюз
сервер сервер
управления управления
инструктируют шлюзы управления
доступом доступом Патч-сервер
Патч-сервер
доступом предоставить разрешение
Домен Домен доступа к сети терминалам. Если
изоляции изоляции
проверка не удалась, серверы
изолируют терминалы для ремонта.
Филиал A Филиал B
Проверка безопасности терминала обеспечивает
соответствие безопасности терминала
Если проверка безопасности

Шаблон политики проверки не выполнена, доступ к сети Различные политики проверки
Домен после
безопасности запрещен. аутентификации безопасности
 Защита инвестиционной ценности
Проверка антивирусной программы
продуктов безопасности, таких как AV.
Проверка патчи и пакетов услуг
 Предотвращение распространения
Подозрительные реестры и процессы
вредоносного кода, повышение
Белый и черный список программного
Строгий обеспечения
доступности ресурсов и снижение рисков
Использование несанкционированных прерывания услуг.
Финансовый портов
отдел Agile Controller  Снижение рисков утечки информации.
Активация незащищенных услуг
 Уменьшение угрозов терминалов для
Несанкционированный обмен файлами
сетей.
Проверка безопасности аккаунта Генерирует записи о  Предоставление информации о
Принудительный DHCP нарушениях доступа. соблюдении требований безопасности на
Одновременное использование предприятиях в режиме реального
нескольких сетевых адаптеров Agile Controller времени и в реальном времени.
Привязка пользователя IP/MAC
Динамический контроль политики

Шаблон политики проверки Домен после на основе роля
Не аутентификации
строгий  Настройка различных правил
безопасности на основе ролей или
Офис
Проверка антивирусного Если проверка отделов пользователей.
программного обеспечения безопасности выполнена
президента
Проверка патчей
успешно, доступ к сети
 Поддержка эволюции систем управления
безопасностью предприятий.
разрешен.
Пример конфигурации Agile Controller
Домен предварительной аутентификации Домен изоляции Домен после аутентификации
DHCP-сервер Патч/антивирус/сервер Серверы отдела

Agile Controller программного обеспечения маркетинга/R&D/финансов
(5) (6)
(4) (7)
(1) (3)
(2)
Отдел исследований и Отдел маркетинга

разработок Тупые терминалы Финансовый отдел
172.16.1.0/24 172.16.2.0/24 172.16.3.0/24
Планирование IP-адресов кампуса
 В следующей таблице описывается планирование IP-адресов кампуса.
Пункт Данные
(1) IP-адрес 172.16.1.254 и VLAN 10 для GigbitEthernet 0/0/1 на коммутаторе уровня ядра
IP-адрес 172.16.4.253 для SM и SC
IP-адрес DHCP-сервера: 172.16.5.253
IP-адрес 172.16.5.253 для патча-сервера и антивирусного сервера
IP-адрес 172.16.7.253 для сервера отдела R&D
IP-адрес 172.16.7.252 для сервера маркетингового отдела
IP-адрес 172.16.7.251 для сервера финансового отдела
Планирование организационной структуры
 В следующей таблице приведена организационная структура предприятия.
Пункт Под-пункт Данные
Отдел исследований и разработок
Отдел Отдел маркетинга
Планирование
организации Финансовый отдел
Режим управления
Коммутатор 802.1x
доступом
Домен предварительной
Сетевые ресурсы в гостевой VLAN
Домен изоляции Домен изоляции: переключение на 60 VLAN
домена Домен после аутентификации
Домен после Сотрудники отдела R&D получают доступ к серверу своего отдела.
аутентификации Сотрудники отдела маркетинга получают доступ к серверу своего отдела.
Сотрудники финансового отдела получают доступ к серверу своего отдела.
Аккаунт Kelly (отдел R&D), Larry (маркетинговый отдел) и Tony (финансовый отдел)
Планирование Исходный пароль Администратор@123
аккаунта
Режим управления
Режимы управления доступом отделов, к которым принадлежат аккаунты
доступом
Планирование, Принтер Тупой терминал

свободное от Режим аутентификации Без аутентификации
MAC-адрес 00-0c-29-69-9c-40
Схема конфигурации (1/2)
 Схема конфигурации на стороне коммутатора выглядит следующим образом:
 Настройте шаблон сервера RADIUS.
 Настройте схему аутентификации и схему учета.
 Настройте домен по умолчанию.
 Включите ретрансляцию DHCP. Динамическое переключение VLAN требует поддержки DHCP-сервера. Когда
интерфейс переключается на другую VLAN, сервер DHCP назначает интерфейсу IP-адрес из другого сегмента сети.
Интерфейс может быть добавлен в новую VLAN.
 Включите аутентификацию 802.1X.
 Создайте VLAN и настройте IP-адреса для VLAN.
 Включите функцию 802.1X на интерфейсах и добавьте их в VLAN.
 Включите прозрачную передачу пакетов аутентификации 802.1X на коммутаторах L2.
 Сохраните конфигурации.
Схема конфигурации (2/2)
 Схема конфигурации на стороне SM выглядит следующим образом:
 Добавьте группу коммутаторов. На практике может быть несколько коммутаторов, на которых выполняется
управление доступом 802.1X. Группа коммутаторов — это набор коммутаторов, реализующих аутентификацию
802.1X и требующих централизованного управления.
 Добавьте домен изоляции.
 Добавьте домен после аутентификации.
 Примените домен изоляции и домен после аутентификации к отделам. Если конечный пользователь не проходит
проверку безопасности, SC переключает конечного пользователя в домен изоляции. Если конечный пользователь
проходит проверку безопасности, SC переключает конечного пользователя в домен после аутентификации. Таким
образом, обеспечивается изоляция сети и авторизация доступа к сети.
 Добавьте устройства, которым требуется доступ к сети через аутентификацию MAC-адреса. Включите
аутентификацию для устройств, на которых не может быть установлен AnyOffice, или выполните аутентификацию
802.1X.
Конфигурация коммутатора (1/6)
 Настройте шаблон сервера RADIUS.
<Quidway> system-view
[SwitchA] radius-server template template1
# Установите IP-адрес сервера аутентификации на IP-адрес SC, а номер порта
аутентификации -на 1812.
[Quidway-radius-template1] radius-server authentication 172.16.4.253 1812
# Установите IP-адрес учетного сервера на IP-адрес SC, а номер порта
аутентификации - на 1813.
[Quidway-radius-template1] radius-server accounting 172.16.4.253 1813
# Установите для общего ключа аутентификации RADIUS значение Admin @ 123.
# При настройке коммутаторов 802.1X на SM убедитесь, что ключ аутентификации и
учетный ключ совпадают с общим ключом аутентификации RADIUS.
[Quidway-radius-template1] radius-server shared-key cipher Admin@123
[Quidway-radius-template1] quit
# После создания шаблона сервера RADIUS, проверьте конфигурацию шаблона. Проверьте
IP-адрес, номер порта и ключ сервера RADIUS.
[Quidway] display radius-server configuration template template1
 Создание схемы аутентификации и схемы учета acco.
[Quidway] aaa
[A-aaa] authentication-scheme auth
# Установите режим аутентификации и учета на RADIUS. После завершения настройки
проверьте ее.
[A-aaa-authen-auth] authentication-mode radius
[A-aaa-authen-auth] quit
[Quidway-aaa] display authentication-scheme
[Quidway-aaa] accounting-scheme acco
[Quidway-aaa-accounting-acco] accounting-mode radius
[Quidway-aaa-accounting-acco] quit
[Quidway-aaa] display accounting-scheme
 Примените шаблон сервера RADIUS template1, схему аутентификации auth и схему учета
acco в домене по умолчанию.
[Quidway-aaa] domain default
# Применить шаблон сервера RADIUS template1.
[Quidway-aaa-domain-default] radius-server template1
# Примените схему аутентификации auth.
[Quidway-aaa-domain-default] authentication-scheme auth
# Примените схему учета acco.
[Quidway-aaa-domain-default] accounting-scheme acco
[Quidway-aaa-domain-default] quit
[Quidway-aaa] quit
# Проверьте конфигурацию AAA и убедитесь, что применяемая схема аутентификации, схема учета и шаблон
сервера RADIUS верны.
[Quidway] display domain name default
 Настройте сервер RADIUS в качестве сервера авторизации. Затем сервер RADIUS может
дать указание коммутатору изменить интерфейсные VLAN на основе статуса
аутентификации конечных пользователей.
[Quidway] radius-server authorization 172.16.4.253 shared-key cipher Admin@123
 Включите функцию DHCP.
[Quidway] dhcp enable
 Включите аутентификацию 802.1X.

[Quidway] dot1x enable
[Quidway] dot1x authentication-method eap
 Создайте VLAN 10, 20, 30, 40, 50, 60 и 70 и сконфигурируйте IP-адреса для интерфейсов VLAN.
[Quidway] vlan batch 10 20 30 40 50 60 70
 Сконфигурируйте IP-адрес 172.16.1.254 для VLANIF 10 и включите ретрансляцию DHCP для обеспечения того, чтобы
устройства в VLAN 10 могли получать IP-адреса от сервера DHCP на другом сегменте сети.
[Quidway] interface Vlanif 10
[CE12800-1-PE1-Vlanif10] ip address 172.16.1.254 255.255.255.0
[SwitchC-Vlanif10] dhcp select relay
[Quidway-Vlanif10] dhcp relay server-ip 172.16.5.253
[Quidway-Vlanif10] quit
# Конфигурация для VLAN 20 и VLAN 30 аналогична и не описана здесь.
 Включите аутентификацию 802.1X на интерфейсе коммутатора, подключенного к хостам терминалов, и
добавьте интерфейс к соответствующей VLAN.
[Quidway] interface GigbitEthernet 0/0/1

# Добавьте интерфейс к VLAN 10. Другие интерфейсы коммутатора добавляются в VLAN аналогичным
образом, что не описано здесь.
[iStack-1-GigbitEthernet0/0/1] port hybrid pvid vlan 10
[HUAWEI-GigbitEthernet0/0/1] port hybrid untagged vlan 10
 Включите аутентификацию 802.1X на GigbitEthernet0/0/1. Включите аутентификацию 802.1X для

GigbitEthernet0/0/2 и GigbitEthernet0/0/3 аналогичным образом, который здесь не описывается.
[Quidway-GigbitEthernet0/0/1] lldp enable
[Quidway-GigbitEthernet0/0/1] dot1x port-control auto
# Включите режим доступа на базе порта.
[Quidway-GigbitEthernet0/0/1] dot1x port-method port
# Убедитесь, что AnyOffice может получить доступ к VLAN, где находится SC до аутентификации.
[Quidway-GigbitEthernet0/0/1] authentication guest-vlan 40
[HUAWEI-GigbitEthernet0/0/1] quit
# Настройте аутентификацию байпасной аутентификации MAC-адреса на интерфейсе, подключенном к
принтеру, и убедитесь, что принтер может получить доступ к сети без аутентификации.
[Quidway-GigbitEthernet0/0/1] dot1x mac-bypass
[HUAWEI-GigbitEthernet0/0/1] quit
 Коммутаторы агрегации L2 и доступа расположены между пользователями и коммутаторами,
на которых включена аутентификация 802.1X. Чтобы гарантировать, что пакеты
аутентификации 802.1X от пользователей могут проходить через коммутаторы L2, выполните
следующие конфигурации на коммутаторах агрегации и доступа (например, S5700HI):
<HUAWEI> system-view
[HUAWEI] sysname LAN Switch
[SwitchC] l2protocol-tunnel user-defined-protocol dot1x protocol-mac 0180-c200-0003
group-mac 0100-0000-0002
# Для group-mac нельзя установить один из зарезервированных многоадресных MAC-адресов
(от 0180-C200-0000 до 0180-C200-002F) или другие специальные MAC-адреса.
[LAN Switch] interface gigabitethernet 0/0/1
# Выполните следующие конфигурации на всех интерфейсах коммутатора L2, подключенного к
сетям верхнего уровня и пользователям.
[LAN Switch-GigabitEthernet0/0/1] l2protocol-tunnel user-defined-protocol dot1x enable
[LAN Switch-GigabitEthernet0/0/1] bpdu enable
[SwitchA-GigabitEthernet0/0/1] quit
Конфигурация SM (1/2)
 Войдите в Agile Controller с помощью учетной записи администратора.
 Добавьте группу коммутаторов.
 Выберите Resource > Device > Device Management.
 # Выберите Device Group > Access Control из навигационного дерева, и нажмите и установите параметры группы
коммутаторов.
 Нажмите OK. Добавлена группа коммутаторов.
Конфигурация SM (2/2)
 # При добавлении устройства установите IP-адрес в значение
172.16.4.254. При использовании аутентификации RADIUS,
установите ключ Authentication/Accounting в Admin @ 123.
 Нажмите OK.
 # Выберите Access Control, выберите Huawei-S5720 и нажмите,
чтобы переместить Huawei-S5720 для переключения группы
Switch_Core.
Добавление результатов авторизации —
домены изоляции
 # Выберите Policy > Permission Control > Authentication&Authorization > Authorization
Result. Нажмите Add и сконфигурируйте VLAN 60 в качестве домена изоляции.
 # Установите параметры результата авторизации, как показано на рисунке справа.
Домены после аутентификации (1/2)
 # Серверы всех отделов добавляются в одну и ту же VLAN.
Чтобы предоставить сотрудникам отдела доступ только к
серверам отдела, установите динамические списки ACL на
Agile Controller для управления разрешением доступа.
Установите ACL 3001, 3002 и 3003, чтобы сотрудники
отделов исследований и разработок, маркетинга и
финансов могли получать доступ только к серверам
соответствующих отделов соответственно.
 # Выберите Policy > Permission Control > Policy Element >

Dynamic ACL. Нажмите Add и добавьте ACL 3001.
 # На правой фигуре показана конфигурация ACL 3001.
Домены после аутентификации (2/2)
 # Выберите Policy > Permission Control > Authentication&Authorization >
Authorization Result. Нажмите Add и сконфигурируйте различные домены
после аутентификации для разных отделов. На правой рисунке показаны
настройки домена после аутентификации отдела исследований и
разработок. Настройки доменов после аутентификации для
маркетинговых и финансовых отделов аналогичны, за исключением ACL.
 # На следующем рисунке показаны сконфигурированные результаты
авторизации для доменов после аутентификации отделов исследований
и разработок, маркетинга и финансов.
Добавление правил аутентификации
 # Выберите Policy > Permission Control >
Authentication&Authorization > Authentication Rule. Нажмите Add и
сконфигурируйте разные правила аутентификации для разных
отделов. На правом рисунке показана конфигурация правила
аутентификации для отдела исследований и разработок.
Конфигурации правил аутентификации для отделов маркетинга
и финансов аналогичны и не описаны здесь.
 # На следующем рисунке показаны настроенные правила
аутентификации для отделов исследований, маркетинга и
финансов.
Добавление правил авторизации —домены
изоляции
Authorization Rule. Нажмите Add и настройте правило авторизации. Коммутатор
изменяет VLAN, к которой интерфейс, подключенный к терминалу, относится к
VLAN 60 (домен изоляции), если во время проверки безопасности терминала не
обнаружено серьезных нарушений терминала. Настройте разные правила
авторизации для разных отделов. На правом рисунке показана конфигурация
правила авторизации для изолированного домена отдела исследований и
разработок. Конфигурации правил авторизации для отделов маркетинга и
финансов аналогичны и не описаны здесь.
 # На следующем рисунке показаны настроенные правила авторизации для
изолированных доменов отделов исследований, маркетинга и финансов.
Добавление правил авторизации -
Домены после аутентификации
 # Выберите Policy > Permission Control > Authentication&Authorization > Authorization
Rule. Click Add and configure an authorization rule. Коммутатор изменяет VLAN, к
которой интерфейс, подключенный к терминалу, относится к VLAN 70 (домен после
аутентификации), если не обнаружено серьезного нарушения терминала во время
проверки безопасности терминала. Настройте разные правила авторизации для
разных отделов. На правом рисунке показана конфигурация правила авторизации
для домена после аутентификации отдела исследований и разработок.
Конфигурации правил авторизации для отделов маркетинга и финансов
аналогичны и не описаны здесь.
 # На следующем рисунке показаны настроенные правила авторизации для отделов
исследований, маркетинга и финансов.
Добавление устройств, требующих байпасной
аутентификации MAC-адресов (1/2)
 Выберите Resource > Terminal > Terminal List. Выберите Device Group и нажмите
Add. Создайте группу устройств с именем группы устройств принтера.
 # Выберите группу устройств принтера. На вкладке Device Group List нажмите Add и
установите название группы устройств на Printer.
 Нажмите OK. Device group Printer создана.
аутентификации MAC-адресов (2/2)
 # Выберите Printer и нажмите Add на странице Device List.
 # Установите MAC-адрес MAC-адреса принтера,

требующего байпасной аутентификации MAC-адреса, и
выберите User-Defined Device Group. Нажмите OK.
Принтер добавлен.
аутентификации MAC-адресов — аутентификация и
авторизация
Authentication Rule. Нажмите Add. Сконфигурируйте правило аутентификации,
чтобы позволить Agile Controller разрешить доступ к сети с использованием
пакетов байпасной аутентификации MAC-адресов.
Authorization Rule. Нажмите Add. Сконфигурируйте правило авторизации для
включения коммутаторов в группу устройств, чтобы разрешить доступ к сети с
использованием пакетов байпасной аутентификации MAC-адресов.
 # Необходимо отказать в запросах на байпасную аутентификацию MAC-
адресов от устройств, не входящих в группу устройств терминалов принтера.
Выберите Policy > Permission Control > Authentication&Authorization >
Authorization Rule. Нажмите Add и сконфигурируйте правило авторизации,
чтобы запретить доступ к сети от устройств, не входящих в группу устройств
принтера.
Проверка конфигурации
 Когда клиент 802.1X в операционной системе
Windows используется для аутентификации
идентификационных данных, выберите Enable IEEE
802.1X.
 # После прохождения аутентификации

идентичности и проверки безопасности терминал в
отделе исследований и разработок может получить
доступ к серверу отдела исследований и
разработок. Тест ping показывает, что сеть между
хостом терминала и сервером работает правильно.
Вопросы
1. Какие домены аутентификации поддерживают Agile Controller?
А. Домен предварительной аутентификации
Б. Домен после аутентификации
В. Домен изоляции
Г. Домен аутентификации
2. Какой из следующих режимов аутентификации поддерживает Agile Controller?

А. Аутентификация MAC-адресов Б. Аутентификация портала
В. Аутентификация 802.1x Г. аутентификация SACG
Спасибо!
www.huawei.com
Модели обслуживания QoS
Введение
 Непрерывное развитие сети и увеличение масштаба сети и типов трафика
вызывают увеличение трафика в Интернете и риск перегрузки трафика. При
возникновении перегрузки трафика услуги сталкиваются с длительными
задержками или даже с потерей пакетов. В результате услуги ухудшаются или даже
становятся недоступными. Поэтому срочно требуется решение для устранения
перегрузки трафика на IP-сети. Наилучшим способом устранения перегрузки
трафика является увеличение полосы пропускания сети, хотя это нереально из-за
высоких расходов на строительство сети.
 Технология QoS (качества обслуживания) используется для решения проблемы. С
ограниченной полосой пропускания эта технология использует гарантированную
политику для управления сетевым трафиком и предоставления различных услуг.
Цель
 Факторы, влияющие на QoS
 Модели услуг QoS
 Внедрение модели DiffServ
1. Проблемы качества традиционной сетевой связи
2. Факторы, влияющие на качество сетевой связи
3. Решение по улучшению качества сетевой связи
Проблемы традиционной сетевой связи E2E
WAN
Заблокированная
точка
10 Мбит/с
E1 E1
Поток данных 10 Мбит/с
Филиал Штаб-квартира
предприятия предприятия
 Традиционные сетевые устройства обрабатывают пакеты на основе последовательности

прибытия пакетов. То есть, пакет, который прибывает первым, предварительно
переадресован. При возникновении перегрузки сети, качество связи некоторых ключевых
услуг не может быть гарантировано (например, задержка голосовых сообщений, зависание
кадров, сбой обработки ключевых услуг). Это влияет на опыт пользователей.
Требования к качеству сети различных услуг
 Для обеспечения качества связи необходимо выполнить требования к сети
различных услуг.
Полоса Коэффициент
Тип трафика Задержка Джиттер
пропускания потери пакетов
Голос Низк. Высок. Высок. Низк.
Видео Высок. Высок. Высок. Низк.
FTP Средн., высок. Низк. Низк. Высок.
Электронная
почта, просмотр Низк. Низк. Низк. Средн., высок.
веб-страниц HTTP
 Для улучшения качества связи необходимо улучшить полосу пропускания и

уменьшить коэффициент задержки, джиттера и потери пакетов.
Полоса пропускания сети
Скорость сети медленная,

Ты посмотрел онлайн-видео,
и кадры зависают. Я
о котором я говорил?
загружу и посмотрю.
100 Мбит/с 10 Мбит/с 256 кбит/с 1 Гбит/с

2 Мбит/с
Филиал предприятия Штаб-квартира предприятия
BWmax = 256kbps
Максимальная полоса пропускания (BWmax) равна минимальной

полосе пропускания на пути передачи.
Задержка сети
Привет!
(через 2 с) Вы (Через 2с) Привет!
меня слышите? (Через 4с) Это
Майк?
Задержка Задержка Задержка
Задержка Задержка сериализации
сериализации сериализации
передачи передачи
Так долго?
IP network
Задержка
Задержка Задержка передачи
Задержка Задержка Задержка Задержка
обработки очереди обработки очереди обработки очереди
Задержка
передачи
Задержка сети E2E — это сумма всех задержек на пути.
Джиттер
Завтра на объект клиента Завтра на объект клиента
пойду я, а не он. пойду не я?....а он.
IP-сеть
Time Пойду
D1 = 50 мс
я Пойду
D2 = 50 мс
, не
D3 = 10 мс
а D4 = 40 мс я?
не
D5 = 90 мс
он а
D6 = 90 мс
он.
Джиттер происходит потому, что задержки E2E каждого пакета отличаются друг от друга.
Потеря пакетов
Я только что Я только что посылал

посылал тебе тебе xx.
файл.
Отправить что?
Процесс Ожидание Процесс
Процесс обработки очереди обработки
передачи
IP-сеть
Потеря пакетов может произойти на каждой фазе во время передачи.
Модель BE
 В сети, где используется модель BE (Best-Effort), можно увеличить полосу
пропускания сети и модернизировать сетевые устройства для улучшения качества
сетевой связи.
 Увеличить полосу пропускания сети:  Обновить сетевое устройство:
64 Кбит/с 1 Мбит/с AR2811 AR2220 AR2200E
E1 E1
E1 E1
Производительность переадресации
Поток данных Поток данных пакетов улучшается почти 10 раз, а
2 Мбит/с 2 Мбит/с память улучшается почти 15 раз.
 Преимущество: можно предотвратить узкие  Преимущество: могут быть предотвращены

места полосы пропускания, задержки такие проблемы, как задержка обработки,
сериализации и потери пакетов. задержка очереди и потеря пакетов.
 Недостаток: затраты на строительство сети  Недостаток: затраты высоки, и замена
высоки. устройств вызывает риски прерывания
обслуживания.
Модель IntServ
 Устройства запускают некоторые протоколы для обеспечения качества связи
ключевых услуг.
Требуется полоса Требуется полоса

пропускания Требуется полоса пропускания Требуется полоса
64 кбит/с пропускания 64 кбит/с 64 кбит/с пропускания 64 кбит/с
RSVP RSVP RSVP RSVP
RSVP RSVP RSVP RSVP
ОК ОК ОК ОК
 Преимущество: модель IntServ может обеспечивать полосу пропускания и задержку для конкретных
услуг.
 Недостаток: осуществление является сложным. Если трафик не отправляется, полоса пропускания
занята исключительно. Использование полосы пропускания является низким. Все узлы должны
поддерживать и запускать RSVP.
 Модель IntServ редко используется.
Модель DiffServ
 Поскольку реализация модели IntServ является сложной, а использование полосы
пропускания низко, модель DiffServ (Differentiated Service) используется для обеспечения
качества связи ключевых услуг.
③ Отправить пакеты в буферные очереди на
① Классифицировать пакеты при
основе значений CoS и реализовать
входе в сеть и отметить приоритет
дифференцированных услуг на основе
пакетов.
механизма планирования между очередями.
Граничный Узел DS Узел DS

узел DS
② Сопоставлять приоритеты Домен DiffServ

Филиал пакетов на локально определенные Штаб-квартира
предприятия значения CoS. предприятия
 Модель DiffServ широко используется.
Сравнение между тремя моделями услуг
Модели услуг Преимущество Недостаток
Она не может различать различные

Модель BE Реализация проста.
потоки услуг.
Модель IntServ должна отслеживать и
Модель IntServ предоставляет услуги записывать статус каждого потока
Модель IntServ QoS E2E и обеспечивает полосу данных. Реализация сложна,
пропускания и задержку. масштабируемость низкая, и
использование полосы пропускания низко.
Модель DiffServ не требует
отслеживать состояния каждого потока
Модель DiffServ должна быть развернута
данных, занимает несколько ресурсов
на каждом узле, и существуют высокие
Модель DiffServ и имеет прочную расширяемость.
требования к возможностям технического
Кроме того, данная модель может
персонала.
осуществлять дифференцированные
услуги.
Вопросы
1. Какие из следующих вариантов являются моделями QoS?
А. Модель BE
Б. Модель IntServ
В. Модель DiffServ
2. Какие факторы влияют на качество сетевой связи?
Спасибо!
www.huawei.com
Классификация трафика и маркировка
Введение
 По мере развития сетей расширяются типы трафика услуг. Перед
предоставлением дифференцированных услуг требуются устройства для
классификации и идентификации трафика услуг.
 Данный курс в основном описывает, как устройство классифицирует и
маркирует полученный трафик, и реализует команды конфигурирования.
Цель
 Базы классификации пакетов
 Процессы маркировки пакетов
 Конфигурацию классификации и маркировки
1. Процесс классификации пакетов
2. Конфигурирование классификации пакетов
3. Процесс маркировки пакетов
4. Конфигурирование маркировки пакетов
Необходимость классификации пакетов
 Для предоставления дифференцированных услуг, устройство должно
классифицировать трафик, входящий в домен DiffServ, на основе правил.
⑥ ⑤ ④ ③ ② ①
⑥ ⑤ ① Правило 1
④ ② Правило 2
③ Правило 3
Классификация трафика является основой развертывания DiffServ QoS.
Основа классификации пакетов
 Технология классификации пакетов может передавать различные типы пакетов на
основе типов каналов и приоритетов QoS в пакетах.
Поле 802.1Q в заголовке кадра VLAN:

Dest add Sour add 802.1Q(PRI) Length/Type Data FCS
Поле метки в пакетах MPLS:

Link layer header Label(EXP) Layer 3 header Layer 3 payload
Поле TоS в заголовке IP-пакета:

Version Len Len ToS(IPP/DSCP) … Protocol FCS IP-SA IP-DA Data
 Используется один режим классификации трафика, а правила соответствия

являются простыми, поэтому данная классификация называется простой
классификацией трафика.
Поле 802.1p в пакетах VLAN и поле EXP в
пакетах MPLS
 Поле 802.1p в заголовке кадра VLAN (диапазон значений от 0 до 7)

802.1Q（Tag）
TPID PRI（3bits） CFI VLAN ID
 Поле EXP в пакетах MPLS (диапазон значений от 0 до 7)
Label
Label EXP（3bits） S TTL
Поле IP Precedence в пакетах IPv4
 Поле приоритета IP в IP-пакетах определяет приоритет и диапазон
значений от 0 до 7.
ToS (1 Byte)
7 6 5 4 3 2 1 0
IP-Precedence D/T/R Зарезервировано
 Недостаток: пакеты максимально классифицируются по восьми типам с

использованием поля IP-Precedence, но этих приоритетов недостаточно для
фактической реализации сети.
Поле DSCP в пакетах IPv4 (1)
 Поле DSCP в IP-пакетах (расширено поле IP-Precedence)
ToS（1 Byte）
7 6 5 4 3 2 1 0
IP-Precedence D/T/R Зарезервировано
7 6 5 4 3 2 1 0
DSCP Зарезервировано
Поле DSCP в пакетах IPv4 (2)
 Значения DSCP могут быть выражены следующим образом:
 Значение: целое число от 0 до 63.
 Ключевое слово идентифицирует значение DSCP.
CS7
CS
Приоритет в порядке
CS6
EF EF
убывания
AF4 AF41 AF42 AF43

AF3 AF31 AF32 AF33
AF
AF2 AF21 AF22 AF23
AF1 AF11 AF12 AF13
BE BE
DSCP/ IP-Precedence/ 802.1p/ EXP
DSCP Name DSCP Value IP-Precedence 802.1p EXP

BE BE（CS0） 0 0
CS1 8 1
CS2 16 2
CS3 24 3
CS CS4 32 4
CS5 40 5
CS6 48 6
CS7 56 7
AF11 AF12 AF13 10 12 14 1
AF21 AF22 AF23 18 20 22 2
AF
AF31 AF32 AF33 26 28 30 3
AF41 AF42 AF43 34 36 38 4
EF EF 46 5
Ограничения простой классификации трафика
 На практике существуют более сложные классификационные требования:
② Требование 2: Услуга передачи
① Требование 1: Трафик с ПК директора
файлов FTP также требует
должен быть преференциально
определенного преференциального
перенаправлен.
перенаправления.
Директор
Сервер FTP
отдел
Штаб-квартира Филиал
 Простая классификация трафика не может соответствовать вышеуказанным

требованиям.
Комплексная классификация трафика
 Поскольку простая классификация трафика не может классифицировать трафик
детально, используется сложная классификация трафика.
Тип сложной
Общий элемент сопоставления Описание
классификации трафика
Приоритет 802.1p во внутреннем или Совпадающие
Комплексная классификация внешнем теге VLAN элементы можно
трафика на уровне канала
МАС-адрес источника или назначения комбинировать гибко.
IP-Precedence
Адрес источника или назначения IPv4
Совпадающие
Комплексная классификация
Номер порта источника TCP/UDP элементы можно
трафика на уровне IP
комбинировать гибко.
Номер порта назначения TCP/UDP
Номер протокола
 Комплексная классификация трафика на основе MAC-адресов источника и номеров

портов TCP может использоваться для удовлетворения требований 1 и 2 на
странице 11 соответственно.
Требования к конфигурации классификации
пакетов
① Требование 1: Трафик с ПК ② Требование 2: Услуга передачи файлов

директора должен быть FTP также требует определенного
преференциально перенаправлен. преференциального перенаправления.
Директор Сервер
FTP
отдел
Штаб-квартира Филиал
③ Требование 3: Услуги реального времени,

такие как голосовые сервисы и видео-сервисы,
перенаправляются преференциально.
Конфигурирование классификации пакетов
Директор
3333-3333-3333 Граничный Узел DS
узел DS
отдел RTA
SWA
Граничный Сервер
узел DS FTP
SWB
traffic classifier manager

acl 3000
if-match source-mac 3333-3333-
rule permit tcp source-port eq 20
3333
traffic classifier ftp
traffic classifier voice
if-match acl 3000
if-match 8021p 3
traffic classifier video
if-match 8021p 2
Процесс маркировки пакетов
Директор
3333-3333-3333 Граничный
Узел DS
узел DS
802.1p=1
Финансовый 802.1p=5 RTA
отдел
802.1p=3
SWA 802.1p=2
Сервер
SWB
FTP
Граничный
узел DS
① Комплексная классификация ② Простая классификация ③ Комплексная классификация и
трафика и маркировка трафика и маркировка маркировка трафика
Исходный MAC-адрес 802.1p 802.1p 802.1p Исходный порт TCP 802.1p

3333-3333-3333 1 2 3 20 2
... ... 3 5
... ...
... ...
Конфигурирование маркировки пакетов
traffic behavior manager
remark 8021p 1
traffic behavior voice
remark 8021p 5
traffic behavior video
Директор remark 8021p 3
3333-3333-3333
G0/0/0 Узел DS
G0/0/1
802.1p=1
ФинансовыйG0/0/2 RTA
отдел 802.1p=5
802.1p=3
G0/0/3 SWA 802.1p=2
G0/0/0 Сервер
SWB
FTP
int g0/0/0
traffic policy a1 traffic-policy a1 inbound
classifier manager behavior int g0/0/1
manager traffic-policy a1 inbound
classifier voice behavior voice int g0/0/2
classifier video behavior video traffic-policy a1 inbound
int g0/0/3
traffic-policy a1 inbound
Вопросы
1. Какие бывают режимы классификации пакетов?
2. Почему пакеты маркируются?
Спасибо!
www.huawei.com
Управление перегрузками и их
предотвращение
Введение
 Когда сеть испытывает периодические перегрузки возникает необходимость
переадресации ключевых пакетов с более высоким приоритетом, для чего
требуется управление перегрузками. Для распределения пакетов по
очередям применяются технологии очереди и алгоритмы планирования.
 Если очередь переполнена всплеском и неключевыми пакетами, то все
последующие ключевые пакеты, направленные в нее, будут отброшены.
Управление перегрузками не достигнет эффекта. В этом случае необходимо
использовать предотвращение перегрузок.
 Как осуществляется управление перегрузками и предотвращение
перегрузок? Как они конфигурируются на практике?
Цель
 Будете понимать реализацию управления перегрузками
 Познакомитесь с общими алгоритмами планирования очереди
 Познакомитесь с недостатками отбрасывания последнего элемента (tail drop) и
методом их преодоления
1. Управление перегрузками
 Возникновение перегрузок и способы решения
 Общие алгоритмы планирования очереди
 Внедрение управления перегрузкой
2. Предотвращение перегрузок
Возникновение перегрузки
1. Когда трафик связи между штаб-квартирой и филиалом
превышает выходную пропускную способность штаб-
квартиры, возникает перегрузка на RTA.
10 Мбит/с
Перегрузка
Филиал
RTA предприятия
2 Мбит/с
2. Качество связи с чувствительными к
задержкам голосовыми и видео услугами
Штаб-квартира не может быть гарантировано, поэтому
FTP сервер требуется управление перегрузками.
предприятия
 Управление перегрузкой осуществляется посредством механизма очереди:

 Шаг 1: отправьте все пакеты из интерфейса в разные очереди буфера.
 Шаг 2: производите переадресацию по одному пакету на основе заданных механизмов планирования
очереди.
Реализация управления перегрузкой (1/2)
FTP сервер SWB

802.1p=2
Очередь 0
802.1p=1 Очередь 1
Филиал
802.1p=5 Очередь 2 предприятия
...
...
802.1p=3
SWA RTA
Номер
802.1p LP
очереди
- 0 0 Отправка пакетов в разные очереди в
зависимости от сопоставления локальных
1 1 1
приоритетов и номеров в очереди.
2 2 2
3 3 3
- 4 4
5 5 5
- 6 6
- 7 7
Реализация управления перегрузкой (2/2)
... Видео FTP Данные Голос
Какой очереди дать первый приоритет?
Данные Данные Данные Очередь 0

1. Ключевым для предоставления
дифференцированных услуг является
определение последовательности
Менеджер Очередь 1 переадресации пакетов из разных очередей.
Используются механизмы планирования очереди.
Видео FTP Видео FTP FTP Очередь 2
...
...
2. Общие алгоритмы планирования очереди
Очередь 5 включают FIFO, PQ, WRR, WFQ и CBQ.
Голос Голос
...
...
 Возникновение перегрузок и способы решения
 Общие алгоритмы планирования очереди
 Внедрение управления перегрузкой
FIFO
Очередь FIFO Планирование очереди
Срочное
Второй приоритет
Несрочное
 Достоинство: реализация обработки по мере поступления First In First Out

(FIFO) проста, а скорость обработки высокая.
 Недостаток: пакеты с различными приоритетами не могут обрабатываться
по-разному.
PQ
Высший
Планирование очереди
Классификация
Высший
Обычный
Низкий
Срочное
Второй приоритет
Несрочное
 Достоинство: в очередях с приоритетом Priority Queuing (PQ)

высокоприоритетные пакеты при отправке имеют преимущество.
 Недостаток: очереди с низким приоритетом могут не попасть в график
отправок.
WRR
Очередь А вес 3
8 7 4 1
Очередь Б вес 2 А
5 2 Б 3 5 2 7 4 1
В
Очередь В вес 1
9 6 3
 Достоинство: Weight Round Robin (WRR) предотвращает проблему, связанную с тем, что очереди с
низким приоритетом могут не попасть в план отправок.
 Недостаток: пакеты распределяются в зависимости от количества. В этом случае пакеты разных
размеров распределяются не на справедливой основе, а требовательные к задержке услуги могут быть
отправлены несвоевременно.
WFQ
Пакеты, отправляемые с
этого интерфейса Очередь 1 вес 1
Очередь 2 вес 2 Отправленные пакеты
…
Очередь N-1 вес N-1
Классификация Планирование Интерфейс

Очередь N вес N
 Достоинство: Weighted Fair Queuing (WFQ) выделяет пропускную способность в зависимости

от весов. Пакеты классифицируются автоматически, конфигурирование простое.
 Недостаток: требовательные к задержке услуги могут попасть в график несвоевременной
отправки. Правила классификации не могут определяться пользователем.
PQ + WFQ
Очередь 7
Пакеты для отправки с Очередь 6
По
этого интерфейса
Очередь 5
Отправленные пакеты
Очередь 4
Очередь 3
WFO
Очередь 2
Классификация Интерфейс
Очередь 1
Последовательность
планирования
Очередь 0
 Достоинство: услуги с низкой задержкой планируются к отправке своевременно, а пропускная

способность распределяется по весам.
 Недостаток: пакеты не могут гибко классифицироваться на основе пользовательских правил.
CBQ
EF 1
...
EF
Пакеты IP или MPLS EF N
Отправленные пакеты
AF 1
...
AF
AF N
Интерфейс
BF 1 Планирование
...
BF
BF N
 Достоинство: Class-Based Queuing (CBQ) поддерживает определяемые пользователем правила и

определяет различные политики планирования для различных услуг.
 Недостаток: из-за сложной классификации трафика включение CBQ потребляет системные ресурсы.
Сравнение алгоритмов планирования
Тип Достоинство Недостаток
Реализация проста, скорость обработки Пакеты с различными приоритетами не могут

FIFO
высока. обрабатываться по-разному.
Гарантирован пропуск услуг, требовательных к Очереди с низким приоритетом могут не

PQ
задержке. попасть в график отправки.
Пропуск пакетов планируется не на
Устраняется проблема того, что очереди с
справедливой основе, а низкая задержка
WRR низким приоритетом могут не попасть в график
требовательных к задержке услуг не может
отправки.
быть гарантирована.
Пакеты планируются на справедливой основе. Низкая задержка требовательных к задержке

WFQ WFQ обеспечивает автоматическую услуг не может быть гарантирована, а
классификацию и прост в конфигурации. пользовательские правила не поддерживаются.
Низкая задержка требовательных к задержке

PQ+WFQ услуг гарантируется, а пакеты распределяются Пользовательские правила не поддерживаются.
по весам на справедливой основе.
CBQ Поддерживаются пользовательские правила. Потребляется больше системных ресурсов.
 Возникновение перегрузок и способы решения
 Общие алгоритмы планирования очереди
 Внедрение управления перегрузкой
Требования к управлению перегрузками
(PQ+WFQ)
Голосовые услуги передаются с

преимуществом, а другие услуги
обрабатываются справедливым образом.
Сервер FTP
Филиал
G0/0/0 предприятия
RTA
Реализация управления перегрузками
(PQ+WFQ)
[RTA]qos queue-profile qos-Huawei

schedule pq 5 wfq 1 to 3
int g0/0/0
G0/0/0 qos queue-profile qos-Huawei
Планирование очередей RTA

[RTA]dis qos queue-profile qos-Huawei
Очередь 1
Queue-profile: qos-Huawei
Queue Schedule Weight Length GTS
Очередь 2 WFQ ------------------------------------
1 WFQ 10 -/- -/-
Очередь 3
2 WFQ 10 -/- -/-
Очередь 5 PQ 3 WFQ 10 -/- -/-
5 PQ - -/- -/-
 Tail drop: недостатки их устранение
 Конфигурирование WRED
Традиционная обработка после
заполнения очереди
6 пакетов в секунду 4 пакета в секунду
6 5 4 3 2 1
2. Когда очередь переполнена, все 1. Очередь переполнена.
последующие пакеты, отправляемые в
очередь, будут отбрасываться.
 Длина каждой очереди ограничена. Когда очередь переполнена, все последующие

пакеты, отправляемые в очередь, традиционно будут отбрасываться до тех пор,
пока не будет устранена перегрузка. Этот режим обработки называется
отбрасыванием последнего элемента (tail drop).
Недостатки tail drop: глобальная
синхронизация TCP (1/2)
2. Из-за перегрузки пакеты большого
количества соединений TCP
Сервер
отбрасываются.
FTP
TCP соединение
10 Мбит/с
RTA
Штаб-
квартира 1. При перегрузке и переполнении
предприятия очереди пакеты в конце очереди
отбрасываются. Филиал
Недостатки tail drop: глобальная
синхронизация TCP (2/2)
3. Пакеты TCP acknowledgement, отправленные сервером,
2. Интенсивный трафик. В отбрасываются из-за перегрузки. Следовательно, отправитель не
результате очередь заполняется и получает TCP acknowledgement и считает, что возникла
применяется tail drop. перегрузка сети. Соответственно, сокращаются как размер окна
TCP, так и трафик.
Трафик
Время
4. Перегрузка сети устранена. Отправитель может
1. TCP-соединения получить пакеты TCP acknowledgement и считает,
переходят в состояние что перегрузки сети нет. Соответственно, TCP-
медленного запуска. соединения переходят в состояние медленного
запуска. Процесс повторяется.
Решение: RED
 Во избежание глобальной синхронизации TCP некоторые пакеты отбрасываются случайным образом до
заполнения очередей. Скорость передачи некоторых соединений TCP можно снизить, чтобы
максимально предотвратить глобальную синхронизацию TCP. Такое случайное отбрасывание пакетов
называется Random Early Detection (RED).
Трафик
Вероятность
отбрасывания Кривая вероятности
отбрасывания
100%
Максимальная 3. Если длина очереди больше

максимального порогового
вероятность значения, то все новые входящие
отбрасывания пакеты будут отброшены.
Фактическая
длина очереди
Нижний порог Верхний порог Максимальная
отбрасывания отбрасывания длина очереди
1. Когда длина очереди меньше 2. Если длина очереди варьируется от нижнего порога
минимального порогового до верхнего порога отбрасывания, то последующие Время
4. Глобальная синхронизация TCP может по-
значения отбрасывания, пакеты пакеты отбрасываются случайным образом. Чем прежнему случаться, но использование канала
не отбрасываются. длиннее очередь, тем больше вероятность значительно улучшится.
отбрасывания.
Недостатки tail drop #2: TCP Starvation
UDP TCP TCP UDP TCP UDP UDP TCP UDP

9 8 7 6 5 4 3 2 1
1. Очередь заполнена.
2. Большое количество пакетов TCP,
отправляемых в очередь и находящихся в
«хвосте» очереди, отбрасываются. В результате
уменьшаются размер окна и трафик TCP. Однако
трафик UDP не снижается и может занять
очередь, вызывая TCP Starvation.
 Причина: tail drop не различает трафик.
Недостатки tail drop #3: отбрасывание без
различения
Ключевые Ключевые Ключевые Неключевые Неключевые Неключевые Ключевые

данные данные данные данные данные данные данные
7 6 5 4 3 2 1
1. Очередь заполнена.
2. Tail drop может привести к
пересылке большого количества
неключевых данных, в то время как
значительная часть ключевых
данных будет отброшена.
 Причина: tail drop не различает трафик.
Решение: WRED
 Технология WRED задает политики отбрасывания пакетов данных с различными приоритетами или в
различных очередях, позволяя различать и отбрасывать трафик.
Вероятность отбрасывания
Кривая вероятности отбрасывания
100%
Максимальная
вероятность
отбрасывания 30%
1. Трафик с IPP 0: нижний порог Фактическая длина очереди

отбрасывания 20, верхний – 40
20 30 35 40 2. Трафик с IPP 2: нижний порог
отбрасывания 35, верхний – 40
В качестве примера Такой трафик начинает отбрасываться
0 1 2
используется приоритет по IP: позже, чем трафик с IPP 0.
 WRED позволяет устранить три недостатка tail drop. Это значительно улучшает использование
пропускной способности канала.
 Tail drop: недостатки их устранение
 Конфигурирование WRED
Требования конфигурирования WRED
Требование: когда происходит перегрузка сети

и очереди заполняются, трафик FTP должен
отбрасываться позже, чем прочий трафик.
Менеджер Узел DS
dscp E1
Финансовый отдел G0/0/1

RTA
SWA
dscp
SWB Сервер FTP
Реализация конфигурации WRED
Тип трафика Значение DSCP LP Очередь Tail drop
Нижний порог отбрасывания 60 70 50

Голос 40 5 5 (PQ)
Верхний порог отбрасывания 80 90 70
Видео 24 3 3 (WFQ)
Максимальная вероятность
20 10 10
FTP 16 2 2 (WFQ) отбрасывания
Менеджер 8 1 1 (WFQ)
[RTA]drop-profile manager
wred dscp
dscp 8 low-limit 50 high-limit 70 discard-percentage 10
drop-profile ftp
wred dscp
drop-profile video
wred dscp
qos queue-profile qos-Huawei
queue 1 drop-profile manager
queue 2 drop-profile ftp
queue 3 drop-profile video
interface E1
qos queue-profile qos-Huawei
Вопросы
1. Каковы два шага реализации управления перегрузками?
2. Какие распространенные технологии распределения по очередям Вы знаете?
3. Какие недостатки tail drop позволяет устранить технология RED?

А. Глобальная синхронизация TCP
Б. TCP Starvation
В. Отбрасывание без различения
Спасибо!
www.huawei.com
Политики ограничения трафика и
формирование трафика
Введение
 Часто происходит перегрузка сети. Если трафик услуг, отправляемый
пользователями, не ограничен, разрыв трафика многих пользователей
усугубит перегрузку сети. Для использования ограниченных сетевых
ресурсов и предоставления более качественных услуг, необходимо
ограничить пользовательский трафик.
 Политики ограничения трафика и формирование трафика — это тип
стратегии управления потоком, которая ограничивает использование
трафика и его ресурсов путем мониторинга трафика.
 На этом разделе описываются различия между политиками ограничения
трафика, формированием трафика и методами конфигурирования.
Цель
 По завершении данного курса Вы сможете:
 Ознакомиться с характеристиками политик ограничения трафика и
формирования трафика
 Освоить настройку политик ограничения трафика и формирования трафика
1. Политики ограничения трафика и формирование трафика
Политики ограничения трафика
Настройте политики ограничения трафика на traffic behavior voice
входящем интерфейсе выходного маршрутизатора car cir 800 (Настройка) Пакеты, скорость которых превышена,
предприятия, чтобы ограничить скорость общего могут быть отброшены или приоритет
трафика и обеспечить минимальную пропускную
traffic behavior video Скорость пакетной пакетов уменьшен до их
способность различного трафика. car cir 2000 (Загрузка) передачи входящего переадресации.
traffic behavior data интерфейса на RTA
car cir 1200 (Настройка)
100 Мбит/с ISP

4 Мбит/с 2000 Гбит/с
Видео
RTA RTB
1200 Гбит/с
Политики
Арендатор ограничения трафика Дата
800 Гбит/с
Голос
Пропускная способность LAN арендатора намного Голос 800kbps
выше, чем пропускная способность ISP. В этом
случае большой объем трафика отбрасывается Видео 2000kbps
Время
без разбора на входе интернет-провайдера (ISP). Дата 1200kbps
 Преимущество: различные типы пакетов могут быть ограничены отдельно.

 Недостаток: когда канал становится свободным, пропускная способность теряется. Отброшенный
трафик может быть передан повторно.
Формирование трафика
Настройте формирование трафика на исходящем traffic behavior voice Скорость пакетной передачи
интерфейсе выходного маршрутизатора предприятия, gts cir 800 (Ошибка) исходящего интерфейса на RTA
чтобы обеспечить пропускную способность различных traffic behavior video (трафик данных используется в
типов трафика и оптимизировать использование качестве примера)
gts cir 2000 (Загрузка)
пропускной способности. traffic behavior data
gts cir 1200 (Загрузка)
100 Мбит/с 4 Мбит/с ISP

1200kbps
RTA RTB Дата
Арендатор Формирование
трафика
Пропускная способность LAN арендатора

Голос 800kbps
намного выше, чем пропускная способность Время
ISP. В этом случае большой объем трафика Пакеты, скорость которых превышена,
Видео 2000kbps
на входе ISP отбрасывается. буферизируются и отправляются, когда
Дата 1200kbps канал становится свободным.
 Преимущество: формирование трафика ограничивает скорость передачи различных пакетов отдельно.

Буферный механизм может уменьшить потери пропускной способности и повторную передачу трафика.
 Недостаток: формирование трафика может увеличить задержку.
Сравнение политик ограничения трафика с
формированием трафика
Тип ограничения
Преимущество Недостаток
скорости
Вызывают высокий
коэффициент потери пакетов.
Политики Ограничивают скорость
Когда канал свободен,
ограничения различных типов пакетов
пропускная способность не
трафика и пересчитывает пакеты.
может быть полностью
использована.
Сброс меньшего Вызывают дополнительные
Формирование количества пакетов и задержки и дрожание и
трафика полное использование требуют дополнительных
пропускной способности. ресурсов буфера устройств.
Вопросы
1. Каковы различия между политиками ограничения трафика и формированием
трафика?
Спасибо!
www.huawei.com
Обзор информационной безопасности

Введение
 С распространением компьютеров и технологий информационная безопасность
играет все более важную роль. Правительства, предприятия или даже обычные
пользователи Интернета сталкиваются со все более серьезными проблемами в
области информационной безопасности, такими как интернет-атаки, раскрытие
информации и потеря информации. Правительства и различные производители
продуктов информационной безопасности инвестировали огромные людские и
финансовые ресурсы в разработку правил информационной безопасности,
исследования и разработку соответствующих продуктов.
 В этом курсе описываются основные принципы и меры по управлению
информационной безопасностью, а также по защите от сетевых атак.
Цель
 Необходимость информационной безопасности
 Методы обеспечения информационной безопасности
 Проблемы безопасности и рисков, с которыми сталкиваются сети
 Методы решения проблем безопасности, с которыми сталкиваются сети
1. Зачем нам нужна информационная безопасность?
2. Что такое информационная безопасность?
3. Как обеспечить информационную безопасность?
4. Безопасность сети
Цель информационной безопасности: защита
информационных активов предприятия
 Для предприятий информационные активы необходимы для поддержания
непрерывного функционирования и управления предприятием. Например, доклад о
состоянии рынка, данные исследований, план и решение, а также информация о
конкуренции могут повлиять на деятельность предприятий по различным аспектам.
Информатика
конкуренции
предприятий
Обеспечение защиты информационных активов
ЦРУ (CIA)
Конфиденциальность
Частные данные не должны раскрываться
несанкционированным лицам.
Целостность
Доступность
Информация и процедура не могут
быть получены путем преднамеренного
I А Системы должны своевременно
или непреднамеренного предоставлять услуги и не
несанкционированного должны отказывать
манипулирования. уполномоченным пользователям.
Модель конфиденциальности и утечки
Модель утечки
Отправитель Получатель
Подслушиватель
 Убедитесь, что информация может быть получена только уполномоченными

посетителями.
Модель целостности и фальсификации
Модель
фальсификации
Неавторизованный пользователь
 Предотвращение случайной модификации, уничтожения или потери данных

неавторизованными пользователями.
Модель доступности и Anti-sabotage
Противодиверсионная
модель
Атакующий
 Обеспечить эффективность того, чтобы информационные и информационные

системы предоставляли услуги уполномоченным пользователям в любое время.
Что угрожает информационной безопасности?
Риск Конфиденциальность Целостность Доступность
Стихийные бедствия ● ●
Неисправность аппаратного
● ● ●
обеспечения
Дефект программного обеспечения ● ● ●
Не авторизованный доступ ● ●
DoS ●
Утечка данных ● ●
Подделка и спуфинг ● ●
Прослушивание ●
Компьютерный вирус ● ●
Троянский конь ● ●
Бэкдор и trap ● ● ●
Электромагнитное излучение ●
Кража ● ● ●
Обеспечение информационной безопасности с
помощью технологий информационной безопасности
Службы Услуги
Услуги целостности Услуги доступности
безопасности конфиденциальности
Механизмы Механизм Механизм контроля Механизм

безопасности шифрования доступа целостности
Технология
Технологии Технология Технология
симметричного
безопасности открытого ключа брандмауэра
ключа
Достаточно ли только обеспечения технологии
 Технические меры должны сотрудничать с правильными методами

использования для повышения производительности.
Обеспечение информационной безопасности
посредством управления информационной
безопасностью
Факторы Технические
управления факторы
Человеческие
факторы
 Для решения проблем информационной безопасности мы должны учитывать многие

факторы, включая персонал и управление, технологию и продукцию, процедуры и системы.
Три типичных метода реализации для
управления информационной безопасностью
Используется Характеристики
Различные типы Полностью зависит от требований рынка и не является

организаций (имеющие обязательным. В соответствии с методами управления рисками,
ISMS
требования к созданию при выполнении сертификации системы, стандарт 27001 должен
системы) быть полностью удовлетворен.
Осуществляется в качестве основополагающего и обязательного

Национальная
института в Китае. Основная цель состоит в том, чтобы
инфраструктура сети и
Иерархическая эффективно повысить общий уровень безопасности
важная
защита информационной системы в Китае и обеспечить безопасность
информационная
базовой информационной сети и важной информационной
система
системы.
Федеральный аппарат Отличается от FIPS и не является обязательным. Однако

или федеральный аппарат должен принять NIST SP, требуемый FIPS
NIST SP 800
неправительственные и указанный NIST SP по требованиям OMB. На основе методов
организации управления рисками и обладает определенной гибкостью.
Управление рисками в системе управления
информационной безопасностью
Определение охвата Определение руководящих
ISMS принципов ISM
Определение метода
Идентификация рисков Оценка риска
оценки рисков системы
Выявление и оценка Выбор контрольной цели Получение одобрения

Установление заявления
различных контрмер и меры по обработке высокопоставленных
о применимости (SOA)
риска рисков кадровых работников
Содержание управления информационной
безопасностью
Поле управления системой управления информационной безопасностью (ISO/IEC 27001-2013)
A.5 Политика информационной безопасности

A.6 Организация информационной безопасности
A.8 Управление активами
A.9 Контроль доступа
A.7
A.10 Криптология
Безопасность
людских A.11 Физическая и A.12 A.13 A.14 Приобретение,
ресурсов экологическая Операционная Безопасность разработка и техническое
безопасность безопасность связи обслуживание системы
A.15 Отношения с поставщиками

A.16 Управление инцидентами в области безопасности информации
A.17 Информационный аспект управления непрерывностью услуг
A.18 Соблюдение
Управление информационной безопасностью —
поддомен управления (1/2)
Поле управления Поддомен управления
A.5 Политика информационной безопасности A.5.1 Руководство по управлению информационной безопасностью
A.6.1 Внутренняя организация
A.6 Организация информационной безопасности
A.6.2 Мобильные устройства и удаленная работа
A.7.1 Перед назначением
А.7 Безопасность людских ресурсов A.7.2 При назначении
A.7.3 Окончание и изменение назначения
A.8.1 Ответственность за активы
A.8 Управление активами A.8.2 Классификация информации
A.8.3 Обработка носителей
A.9.1 Требования к услугам контроля доступа
A.9 Контроль доступа A.9.2 Управление доступом пользователей
A.9.3 Пользовательская ответственность
A.10 Криптология A.10.1 Контроль паролей
A.11.1 Зона безопасности
A.11 Физическая и экологическая безопасность
A.11.2 Устройства
A.12.1 Правила и ответственность операции
A.12 Операционная безопасность
A.12.2 Предотвращение вредоносных программ
Управление информационной безопасностью —
поддомен управления (2/2)
Поле управления Поддомен управления
A.12.3 Резервное копирование
A.12.4 Журналы и наблюдение
A.12 Операционная безопасность A.12.5 Управление программным обеспечением
A.12.6 Управление технической уязвимостью
A.12.7 Рассмотрение аудита информационной системы
A.13.1 Управление безопасностью сети
A.13 Безопасность связи
A.13.2 Передача информации
A.14.1 Требования к безопасности информационных систем
A.14 Приобретение, разработка и
A.14.2 Безопасность в процессе разработки и поддержки
техническое обслуживание системы
A.14.3 Данные тестирования
A.15.1 Информационная безопасность в отношениях с поставщиками
A.15 Отношения с поставщиками
A.15.2 Управление поставками услуг
A.16 Управление инцидентами в
A.16.1 Управление и улучшение инцидентов информационной безопасности
области безопасности информации
A.17 Информационный аспект A.17.1 Непрерывность информационной безопасности
управления непрерывностью услуг A.17.2 Резервирование
A.18.1 Соблюдение законов и правил
A.18 Соответствие
A.18.2 Оценка безопасности информации
 Почему сеть сталкивается с проблемами безопасности?
 С какими рисками безопасности сталкивается сеть?
 Как решить проблемы безопасности сети?
Стек протокола TCP/IP — риски безопасности
IPv4
Отсутствие
конфиденци
ального
гарантийног
о механизма
TCP/IP
(IPv4)
механизма
механизма
проверки
проверки
источника
целостности
данных
Общие риски безопасности стека протокола
TCP/IP
Уязвимость и атака на переполнение буфера
Атака веб-приложений, вирусы и троянские Прикладной
лошади уровень
TCP spoofing, TCP DoS, UDP DoS,

сканирования порта и т.д. Транспортный
уровень
IP spoofing, атака Smurf, атака ICMP,

сканирование адреса и т.д. Сетевой уровень
MAC spoofing, MAC flood,

ARP spoofing и т.д. Канальный уровень
Повреждение
устройства,
перехват Физический уровень
Физический уровень — перехват каналов
 Физическое сетевое устройство:
 Концентратор
 Ретранслятор
 Беспроводная сеть
Слушатель
 Предотвращение перехвата каналов:
 Замените концентраторы и ретрансляторы в сети коммутаторами.
 Примените усовершенствованную систему аутентификации и шифрования в
беспроводной сети, чтобы злоумышленники не смогли восстановить исходную
информацию даже после получения передаваемых сигналов.
Канальный уровень — MAC Spoofing
 При MAC Spoofing атакующие изменяют свои собственные MAC-адреса на
адреса надежных систем.
 Защита от MAC Spoofing:
 Сконфигурируйте статические записи на коммутаторе для привязки MAC-
адресов к определенным портам.
F0-DE-F1-33-7F-DA E0
E1
«Я тоже»: F0-DE-F1-33-7F-DA
Злоумышленник
Сетевой уровень — атака Smurf
ICMP Echo запрашивает,

src=128.100.100.2
dest = 192.168.1.255
192.168.1.2
Атакующий
управляет
этим хостом
192.168.1.3
192.168.1.1
192.168.1.4
ICMP echo отвечает Пострадавший:

128.100.100.2
192.168.1.5
Транспортный уровень — TCP Spoofing
Несанкциони
рованное
подключение
Хост A
Атакующий SYN Сек АКК
хост C 1 11000 0
Ложный пакет с C на A
SYN ACK seq ack
ACK сл АКК
1 1 54002 11001
1 11001 54003
Ложный пакет от B до A
Атака DoS A доверяет B.

от C к B
Хост B
Транспортный уровень — атака UDP Flood
UDP
Атакующий Сервер
 В атаке UDP Flood посылает большое количество пакетов UDP на сервер,

чтобы занять полосу пропускания канала сервера. В результате сервер
перегружен и обычно не может предоставлять услуги.
Уровень приложения — атака переполнения
буфера
 Наиболее распространенный метод в поведении атаки
программного обеспечения. stack
 Может быть реализовано локально или удаленно.
 Атака переполнения буфера использует высокие рабочие
разрешения для атаки кодов на основе уязвимостей памяти во
время реализации программного обеспечения (например,
операционная система, сетевая служба и программная
библиотека). Data
 Возможные уязвимости связаны с операционной системой и
архитектурой, они могут быть обнаружены только Code
злоумышленниками, обладающими знаниями и технологиями.
Структура системы безопасности OSI
Функциональный OSI TCP/IP
уровень Прикладной
уровень
Уровень
представления Прикладной
уровень
Сеансовый уровень
Транспортный Транспортный
Уровень сети
Сетевой уровень Интернет
Канальный уровень
Уровень доступа к
сети Механизмы
Физический уровень безопасности
Услуга
данных
Механизм целостности
доступа
Механизм контроля
Механизм шифрования
подписи
Механизм цифровой
маршрутом
Механизм коммутации
Механизм совместимости
Механизм управления
Механизм заполнения
потока услуг
оформления
Механизм нотариального
Контроль
доступа
данных
Конфиденциальн
ость данных
Невозможность
отказа от
авторства
Взаимосвязь между службами безопасности и
механизмами безопасности
Механизм
Цифровая Контроль Целостнос Коммутация Анализ Управление Нотариальное
Шифрование
подпись доступа ть данных аутентификации анти-трафика маршрутом заверение
Услуга
● ● ●
объекта
Контроль
● ●
доступа
Конфиденциальн
● ● ●
ость данных
● ● ●
данных
Невозможность
отказа от ● ● ●
авторства
Взаимосвязь между функциональными уровнями
и механизмами безопасности
OSI Физический Канальный Сетевой Транспортный Сеансовый Уровень Прикладной
Механизм уровень уровень уровень уровень уровень представления уровень
Шифрование ● ● ● ● ● ●
Цифровая подпись ● ● ● ●
Контроль доступа ● ● ●
Целостность данных ● ● ● ●
Коммутация
● ● ●
Анализ анти-трафика ● ●
Управление маршрутом ●
Нотариальное
● ●
заверение
Уровни протокола безопасности
Уровень Целевой Протокол
Реализация политики безопасности
протокола объект безопасности
S-HTTP Шифрование информации, цифровая подпись и аутентификация целостности данных
SET Шифрование информации, идентификация идентичности, цифровая подпись и аутентификация целостности данных
Прикладной PGP Шифрование информации, цифровая подпись и аутентификация целостности данных

Приложение
уровень S/MIME Шифрование информации, цифровая подпись и аутентификация целостности данных
Kerberos Шифрование информации и аутентификация идентичности
SSH Шифрование информации, аутентификация идентичности и аутентификация целостности данных
Транспортный Конечный SSL/TLS Шифрование информации, аутентификация идентичности и аутентификация целостности данных
уровень процесс SOCKS Контроль доступа и проникновение брандмауэра
Уровень сети
Хост IPsec Шифрование информации, аутентификация идентичности и аутентификация целостности данных
Интернет
PAP Аутентификация
CHAP Аутентификация
PPTP Туннель передачи

Уровень Конечная
L2F Туннель передачи
доступа к сети система
L2TP Туннель передачи
WEP Шифрование информации, контроль доступа и аутентификация целостности данных
WPA Шифрование информации, идентификация идентичности, контроль доступа и аутентификация целостности данных
Технология информационной безопасности —
сетевая безопасность
Безопасность сети
сетевого Устройство сетевой безопасности Безопасность сетевой архитектуры
протокола
безопасная зона
резервирования
проектирование
доступом к сети
IP-адрес сети и
Конфигурация
взаимосвязи
Архитектура
коммутации
маршрутов
устройств
Политика
открытой
системы
системы
Сетевая
VLAN
Бранд Другие устройства
сети
IDS
мауэр сетевой безопасности
IPS SOC UTM NAC
 Управление безопасностью сети является важной частью системы управления

информационной безопасностью.
Требования к проектированию безопасности и
устройствам безопасности
Защита сетевой
Предотвращение
безопасности Предотвращение
Предотвращение Предотвращение безопасности хоста
физической
безопасности данных безопасности Безопасность структуры,
Идентификация, безопасности
приложений контроль доступа, аудит
Целостность, контроль доступа, аудит
безопасности, Контроль физического
конфиденциальность, Проверка подлинности, безопасности,
предотвращение доступа, питание,
резервное копирование контроль доступа и вторжение и
вторжений и вредоносных защита от пожара и
и восстановление проверка безопасности предотвращение
кодов, а также проверка воды
вредоносных кодов
целостности границ
Аудит
безопасности: Контроль Проверка Физическая
Предотвращение и безопасность
Предотвращение доступа целостности безопасность:
Передача и Система аудита вредоносного Сетевой данных:
вторжений хоста и границ:
безопасность сетевой кода: контроль Интеллектуальны
приложения: Система
данных: безопасности, Предотвращение доступа: Система й контроль
Антивирусный аутентификации
система аудита вторжений Система управления доступа,
VPN шлюз и Брандмауэр цифрового
услуг и система IDS/IPS и хоста усиления безопасностью видеонаблюдение
антивирусное ПО сертификата на
аудита хоста терминалов и питание UPS
базе PKI
журналов
Вопросы
1. Каковы три атрибута, которые больше всего касаются информационной
безопасности?
А. Конфиденциальность
Б. Целостность
В. Доступность
Г. Аутентификация
Спасибо!
www.huawei.com
Технологические основы
брандмауэров Huawei
Введение
 Английское слово «Файрвол» («Огненная стена») впервые было использовано в
сфере строительства. Функция файрвола состоит в том, чтобы изолировать огонь,
предотвращая его распространение из одной области в другую. В области связи
файрвол, иначе именуемый брандмауэром, обычно используется для
целенаправленной логической изоляции сетей. Конечно, эта изоляция применяется
разумно. Она блокирует сетевые атаки, в то же время позволяя пакетам с данными
проходить насквозь.
 Как использовать брандмауэры для защиты сетей от атак и вторжений? Как скрыть
внутренние сети предприятия? Этот курс ответит на все эти вопросы.
Цель
 Усвоите основные знания о брандмауэрах и настройках политики
 Усвоите принципы NAT и конфигурирование
 Поймете принцип и конфигурацию защиты от атак
1. Базовые знания о брандмауэрах
 Зачем нам нужны брандмауэры?
 История развития брандмауэра
 Продукты-брандмауэры Huawei
 Зона безопасности
 Политика безопасности
2. NAT
3. Защита от атак
Зачем нам нужны брандмауэры?
 Брандмауэр в основном используется для защиты одной сетевой

области от сетевых атак и вторжений из другой сетевой области.
Сравнение брандмауэров с коммутаторами
и маршрутизаторами
Контролируемая
Организация соединений
брандмауэром
и переадресация
переадресация
Обеспечение межсетевого
пакетов
взаимодействия
Защита от атак,
вирусов
и троянов
блокирование
Агрегация LAN
2/3 уровня с быстрой
переадресацией пакетов
 Суть маршрутизаторов и коммутаторов – переадресация, а

суть брандмауэров – управление.
Разница между брандмауэрами и
маршрутизаторами в управлении безопасностью
Брандмауэр Маршрутизатор
В результате возникшей необходимости в
Общая информация На основе маршрутизации сетевых пакетов.
обеспечении безопасности.
«Блокировать» любые недопустимые
Цель «Обеспечивать» связь по сети и передачу данных.
пакеты данных.
Фильтрация информационных потоков
Основная
приложений на основе фильтрации ACL на основе простой фильтрации пакетов.
технология
пакетов с отслеживанием состояния.
Политика Конфигурация по умолчанию может Конфигурация по умолчанию не полностью
безопасности защитить от определенных атак. учитывает требования безопасности.
Количество правил и правил NAT,
Влияние на используемых при фильтрации пакетов с Фильтрация пакетов оказывает большое влияние на
производительность отслеживанием состояния, незначительно ресурсы процессора и памяти маршрутизатора.
влияет на производительность.
Возможность Брандмауэры предоставляют возможности Обычные маршрутизаторы не предоставляют
защиты от атак защиты от атак на уровне приложений. возможности защиты от атак на уровне приложений.
2. NAT
История развития брандмауэров
Фильтрация Прокси Отслеживание

пакетов приложений состояния UTM NGFW
1989 1994 1995 2004 2005 2009

Управление на
Контроль Прокси Механика Выделенные Технология основе
Многофункциональность
доступа технология сессий устройства DPI приложений
пользователей
и содержимого
2. NAT
Продукты-брандмауэры Huawei
2. NAT
Зачем нам нужны зоны безопасности?
ДМЗ
Доверенные
Серверная
зона
Менеджер Ненадежные
Отдел
маркетинга
Маркетинг Отдел
Производственный
исследований
и разработок отдел
Исследования Производство
 Как брандмауэр различает сети?
Зона безопасности
Зона безопасности
Сеть
Интерфейс
 Брандмауэр использует зоны безопасности для

разделения сетей и маркировки путей пакетов.
Назначение интерфейсов зонам безопасности
Зона
безопасности Б
1
Зона безопасности A Зона
4 безопасности В
2
 Для разделения сетей на брандмауэре Вы можете

назначить интерфейсы зонам безопасности.
Зоны безопасности по умолчанию: Доверенная,
ДМЗ и Ненадежная
ДМЗ
1 Как указать
Доверенная сам 4 Ненадежная
2 брандмауэр?
 Брандмауэры Huawei имеют три зоны безопасности по

умолчанию: Доверенную, ДМЗ и Ненадежную.
Локальная зона
ДМЗ
1
Доверенная Локальная: 4 Ненадежная
2
 Брандмауэр предоставляет локальную зону, указывающую

сам брандмауэр.
Зона безопасности, степень доверия и уровень
Зона Уровень
Описание
безопасности безопасности
Локальная 100 Сам брандмауэр, включая интерфейсы.
Как правило, зона Доверия относится к

Доверенная 85 области, в которой находятся пользователи
терминалов интрасети.
Как правило, ДМЗ относится к области, в
ДМЗ 50
которой находятся серверы интрасети.
Обычно зона недоверия относится к
Ненадежная 5
незащищенным сетям, таким как Интернет.
 Степень доверия: Локальная> Доверенная> ДМЗ> Недоверенная
Интерзона безопасности, политика безопасности
и направление пакетов
Исходящий Исходящий
ДМЗ
50
Входящий Входящий
Входящий Исходящий
Входящий Входящий
Доверенная Локальная: Ненадежная
85 100 5
Исходящий Исходящий
Входящий
Исходящий
 «Интерзона безопасности» - это единственный «путь» между зонами безопасности.

«Политика безопасности» – это «контрольная точка безопасности» на «пути».
Пример конфигурации зоны безопасности
Доверенная Ненадежная
Хост A Сервер
Интрасеть GE1/0/1 GE1/0/2

10.1.1.0/24 10.1.1.1/24 1.1.1.1/24
 В тестовой сети, показанной на рисунке, NGFW играет роль шлюза

безопасности. Чтобы разрешить пользователям в 10.1.1.0/24 доступ к
серверу в 1.1.1.10, мы должны настроить зоны безопасности на NGFW.
Команды настройки зоны безопасности
Хост А Сервер

10.1.1.0/24 10.1.1.1/24 1.1.1.1/24
Установите IP-адреса интерфейсов и назначьте Вопрос: Почему пользователи в 10.1.1.0/24 не могут

интерфейсы зонам безопасности. пропинговать сервер?
interface GigabitEthernet1/0/1 PC>ping 1.1.1.10
ip address 10.1.1.1 255.255.255.0
# Ping 1.1.1.10: 32 data bytes, Press Ctrl_C to break
interface GigabitEthernet1/0/2 Request timeout!
ip address 1.1.1.1 255.255.255.0 Request timeout!
# Request timeout!
firewall zone trust Request timeout!
set priority 85 Request timeout!
add interface GigabitEthernet1/0/1
# --- 1.1.1.10 ping statistics ---
firewall zone untrust 5 packet(s) transmitted
set priority 5 0 packet(s) received
add interface GigabitEthernet1/0/2 100.00% packet loss
2. NAT
Пакетная фильтрация по умолчанию
Адрес Исходный Адрес Порт

Тип Действие
источника порт назначения назначения
Фильтрация
Разрешить /
пакетов по Любые
Запретить
умолчанию
 Если в интерзоне не настроена никакая политика безопасности или не

придано соответствие никакой политике безопасности, то выполняется
действие фильтрации пакетов по умолчанию (Запретить).
Команды настройки политики безопасности
Хост А Сервер
Вопрос: Почему ПК и сервер могут обмениваться
данными после настройки политики безопасности
для пакетов, следующих с ПК на сервер?

10.1.1.0/24 10.1.1.1/24 1.1.1.1/24
1. Установите IP-адреса интерфейсов и 2. Настройте политику

Пользователи в 10.1.1.0/24 могут пропинговать сервер.
назначьте интерфейсы зонам безопасности. безопасности.
interface GigabitEthernet1/0/1 PC>ping 1.1.1.10
ip address 10.1.1.1 255.255.255.0
# Ping 1.1.1.10: 32 data bytes, Press Ctrl_C to break
interface GigabitEthernet1/0/2 From 1.1.1.10: bytes=32 seq=1 ttl=127 time<1 ms
security-policy
ip address 1.1.1.1 255.255.255.0 From 1.1.1.10: bytes=32 seq=2 ttl=127 time=15 ms
rule name policy_sec_1
# From 1.1.1.10: bytes=32 seq=3 ttl=127 time=15 ms
source-zone trust
firewall zone trust From 1.1.1.10: bytes=32 seq=4 ttl=127 time<1 ms
destination-zone untrust
set priority 85 From 1.1.1.10: bytes=32 seq=5 ttl=127 time<1 ms
source-address 10.1.1.0
24
# --- 1.1.1.10 ping statistics ---
action permit
firewall zone untrust 5 packet(s) transmitted
set priority 5 5 packet(s) received
add interface GigabitEthernet1/0/2 0.00% packet loss
round-trip min/avg/max = 0/6/15 ms
Технология фильтрации пакетов
ПК Брандмауэр Веб-сервер
1.1.1.1 2.2.2.2

№ Действие
1 1.1.1.1 * 2.2.2.2 80 разрешить
2 2.2.2.2 80 1.1.1.1 * разрешить
 Основной технологией фильтрации пакетов является ACL.

 На основе статически установленных правил брандмауэры фильтрации
пакетов определяют, можно ли пропускать пакеты.
Проверка состояния и механизм сеансов
ПК Веб-сервер
Брандмауэр 2.2.2.2
1.1.1.1
1. ПК получает доступ
к веб-серверу.
2. Разрешить пакет.
2 год.
Создать сеанс.
3. Веб-сервер
отвечает ПК.
4. Сравнить сеанс.
4 Разрешить
год. пакет.

№ Действие
1 1.1.1.1 * 2.2.2.2 80 разрешить
 Если действие разрешено, межсетевой экран с отслеживанием состояния обрабатывает все пакеты,
принадлежащие одному соединению, как поток данных (сеанс).
Информация из пяти блоков в записях сеансов
 Запись сеанса:
http VPN:public --> public 1.1.1.1:2049 --> 2.2.2.2:80
Адрес Порт Адрес Порт

Протокол
источника источника назначения назначения
Пять блоков
 Информация в записи сеанса из пяти блоков может однозначно
определять связь между сторонами.
 В брандмауэрах время до удаления сеанса называется временем старения
сеанса.
 Один сеанс указывает на связь между сторонами связи. Коллекция
нескольких сеансов называется таблицей сеансов.
Политика безопасности
192.168.1.0/24
ДМЗ
10.1.1.0/24
Входящий
Доверенная Х Ненадежная
√ Исходящий
 Политика безопасности управляет брандмауэром для переадресации и выполнения интегрированного

обнаружения безопасности контента в трафике в интерзонах безопасности на основе определенных правил.
 Суть правил – фильтрация пакетов.
Интегральный детектор безопасности содержания
Предотвращение Фильтрация
Антивирус
вторжений URL
Обычные
обнаружение
обработка
обработка
обработка
продукты UTM ...
Вторжение
Обработка по
предотвращению вторжений
Интегрированное
Вирус
Антивирусная программа
NGFW URL :
Фильтрация URL
...
...
 Интегрированное обнаружение выполняет обнаружение и обработку в потоке для проверки

безопасности контента только один раз, включая антивирусную обработку и предотвращение
вторжений.
Состав политики безопасности NGFW
Политика безопасности
Условия Действие Профили
Зона источника Разрешить Антивирус

Трафик
Зона Запретить Предотвращение
назначения вторжений
Адрес/регион
источника
URL
Адрес/регион
назначения Блокировка
файлов
Пользователь
данных
Услуга
Контроль
поведения
Приложение приложений
Диапазон Фильтрация
времени почты
Логика конфигурации политики безопасности
NGFW
Интегрированная политика безопасности
Политика 1
Состояние Действие
Соответствующая
Зона безопасности | Зона назначения | Адрес источника (регион) | Адрес назначения (регион) Разрешить/ последовательность
| Пользователь | Сервис | Приложение | Диапазон времени Запретить
Профиль
Политика 2
Зона безопасности | Зона назначения | Адрес источника (регион) | Адрес назначения (регион) Разрешить/
| Пользователь | Сервис | Приложение | Диапазон времени Запретить
Профиль
...
Политика N
Зона безопасности | Зона назначения | Адрес источника (регион) | Адрес назначения (регион) Разрешить/З
| Пользователь | Сервис | Приложение | Диапазон времени апретить
Профиль
Действие политики безопасности по умолчанию
Разрешить/
Любое
Запретить
Многоканальный протокол
FTP-клиент FTP-сервер
SYN
IP 192.168.1.2 SYN ACK IP 10.1.1.2 TCP три подтверждения
Порт хххх Порт 21 установки связи для
ACK контрольного соединения
...
Обмен именем пользователя/паролем
...
PORT Command (IP 192.168.1.2 Port yyyy)
PORT Command OK PORT command
SYN
IP 192.168.1.2 IP 10.1.1.2 TCP три подтверждения
Порт yyyy SYN+ACK Порт 20 установки связи для
ACK передачи данных
LIST Command
Передача данных
Контрольное соединение
...... Соединение данных
xxxx/yyyy Случайный порт
 В протоколах, использующих случайные порты, чистая фильтрация пакетов не

может определять потоки данных.
Server-map и ASPF
SYN
TCP три подтверждения
IP 192.168.1.2 IP 10.1.1.2
SYN+ACK SYN+ACK установки связи для
Порт хххх Порт 21 контрольного
ACK ACK
соединения
... ...
Обмен именем пользователя/паролем Обмен именем пользователя/паролем
... ...
PORT Command (IP PORT Command
192.168.1.2 Port yyyy) Создание (IP 192.168.1.2 Port yyyy)
server-map. Обмен PORT command.
PORT Command OK PORT Command OK
SYN Сравнение SYN

IP 192.168.1.2 IP 10.1.1.2 TCP три подтверждения
server-map.
Порт yyyy SYN+ACK SYN+ACK Порт 20 установки связи для
ACK ACK передачи данных
LIST Command LIST Command

Контрольное соединение
Передача данных Передача данных
Соединение данных
... ... xxxx/yyyy Случайный порт
 Брандмауэр обнаруживает данные уровня приложений в пакетах, автоматически получает информацию и создает записи сеанса для
обеспечения нормальной связи. Эта функция называется ASPF, а созданные записи сеанса называются записями server-map.
Запись server-map
10.2.0.254/24 1.1.1.254/24

10.2.0.1/24 1.1.1.1/24
ДМЗ Брандмауэр Ненадежная
# Настройка ASPF.
firewall interzone untrust dmz
detect ftp
Автоматическая генерация записи server-map.
display firewall server-map
Type: ASPF, 1.1.1.254 -> 10.2.0.254:2097, Zone:---
Protocol: tcp(Appro: ftp-data), Left-Time:00:00:10
Vpn: public -> public
Последующие пакеты соответствуют сеансу.
display firewall session table
ftp VPN: public --> public 10.2.0.254:2095 +-> 1.1.1.254:21
ftp-data VPN: public --> public 1.1.1.254:20 --> 10.2.0.254:2097
2. NAT
 Пользователи частной сети, получающие доступ к Интернету
 Пользователи Интернета, получающие доступ к серверам интрасети
Пользователи частной сети, получающие доступ
к Интернету
Доверенная Политика Ненадежная
Сервер
Хост A Source NAT
Интрасеть
192.168.1.0/24
 Если несколько пользователей совместно используют несколько

общедоступных IP-адресов для доступа в Интернет, то можно использовать
метод Source NAT.
 Source NAT транслирует только исходные адреса пакетов.
Два режима преобразования Source NAT
Режим Source
Описание Сценарий
NAT
Не так много частных пользователей, которым нужен
доступ к Интернету. Количество доступных публичных
Переводятся только
NAT No-PAT адресов практически совпадает с максимальным
IP-адреса.
количеством пользователей, одновременно
получающих доступ в Интернет.
Переводятся и Есть несколько публичных адресов, но много частных

NAPT
IP-адреса, и порты. пользователей, которым нужен доступ к Интернету.
NAT No-PAT
Пул адресов
Доверенная Начальный адрес 1.1.1.2 Ненадежная
Конечный адрес 1.1.1.10
Интрасеть
192.168.1.0/24
src IP 192.168.1.2 Брандмауэр src IP 1.1.1.2

Хост src Port 1025 src Port 1025 Веб-сервер
Source NAT 3.3.3.3
192.168.1.2 dst IP 3.3.3.3 dst IP 3.3.3.3
dst Port 80 dst Port 80
Таблица Server-Map
Направление Протокол S-IP [New-S-IP] D-IP Зона
Прямое Любой 192.168.1.2[1.1.1.2] Любой -
Направление Протокол S-IP D-IP [New-D-IP] Зона
Обратное Любой Любой 1.1.1.2[192.168.1.2] -
Таблица сеансов
Протокол S-IP: S-Port [New-S-IP: New-S-Port] D-IP: D-Port
HTTP 192.168.1.2:1025[1.1.1.2:1025] 3.3.3.3/80
 NAT No-PAT - это трансляция сетевых адресов один-к-одному, тогда как

трансляция портов не выполняется.
NAPT
Распределение адресов
Начальный адрес 1.1.1.2
Конечный адрес 1.1.1.10
Интрасеть
192.168.1.0/24
Хост src IP 192.168.1.2 src IP 1.1.1.2 Веб-сервер
192.168.1.2 src Port 1025 Source NAT src Port 2048 3.3.3.3
dst IP 3.3.3.3 dst IP 3.3.3.3
Протокол S-IP: S-Port [New-S-IP: New-S-Port] D-IP: D-Port
Http: 192.168.1.2:1025[1.1.1.2:2048] 3.3.3.3/80
 NAPT – это многоадресное преобразование адресов, которое преобразует

как IP-адреса, так и номера портов.
Пример настройки NAPT
ПК A Политика Source NAT
GE1/0/1 GE1/0/2
Интрасеть 10.1.1.1/24 1.1.1.1/24
10.1.1.0/24 1.1.1.254/24
NGFW Маршрутизатор
Статическая маршрутизация
ПК Б
 NGFW служит шлюзом безопасности на границе корпоративной сети. На NGFW необходимо

настроить политику Source NAT, чтобы разрешить пользователям в сегменте сети 10.1.1.0/24
доступ к Интернету. В дополнение к публичным IP-адресам интерфейсов на выходном
шлюзе предприятие применяет 2 IP-адреса (1.1.1.10 и 1.1.1.11) для NAT. Сетевое окружение
показано на рисунке. Маршрутизатор является шлюзом доступа, предоставленным
провайдером.
Планирование данных
Пункт Данные Описание
IP-адрес 10.1.1.1/24 Настройте 10.1.1.1 в качестве шлюза по умолчанию для
GigabitEthernet 1/0/0
Зона безопасности – Доверенная компьютеров в интрасети.
IP-адрес 1.1.1.1/24 Установите параметры в соответствии с
Зона безопасности – Ненадежная требованиями провайдера.
Частной сети разрешен доступ в
10.1.1.0/24 -
Интернет
Количество частных адресов больше, чем публичных.
Следовательно, однозначное сопоставление невозможно.
Публичный адрес после NAT 1.1.1.10-1.1.1.11
Чтобы разрешить повторное использование публичных
адресов, трансляция портов должна быть включена.
Вы можете настроить маршрут по умолчанию на NGFW, чтобы
NGFW маршрут IP адрес назначения: 0.0.0.0
межсетевой экран мог перенаправлять частный трафик на
по умолчанию Следующий прыжок: 1.1.1.254
маршрутизатор провайдера.
IP адрес назначения: Для предотвращения петель маршрутизации между NGFW и
NGFW black-hole
1.1.1.10-1.1.1.11 маршрутизатором при доступе пользователей Интернета к
route
Следующий прыжок: NULL 0 публичным адресам после NAT.
Поскольку публичные адреса после NAT не принадлежат
никаким интерфейсам, протоколы маршрутизации не могут
Маршрутизатор IP адрес назначения:
обнаружить такие маршруты. Поэтому на маршрутизаторе
Статическая 1.1.1.10-1.1.1.11
необходимо настроить статические маршруты. В большинстве
маршрутизация Следующий прыжок: 1.1.1.1
случаев для настройки статических маршрутов вам необходимо
связаться с администратором сети интернет-провайдера.
Команды настройки NAPT
Доверенная Политика Source NAT Ненадежная
IP-адрес 10.1.1.X/24 ПК А
Маска
255.255.255.0 GE1/0/1 GE1/0/2
подсети
Шлюз по Интрасеть 10.1.1.1/24 1.1.1.1/24
10.1.1.1
умолчанию 10.1.1.0/24 1.1.1.254/24
NGFW
Статическая маршрутизация
ПК Б
1. Установите IP-адреса интерфейсов и

2. Настройте политику безопасности. 4. Настройте политику Source NAT.
назначьте интерфейсы зонам безопасности.
nat-policy
security-policy rule name policy_nat_1
interface GigabitEthernet1/0/1 rule name policy_sec_1
ip address 10.1.1.1 255.255.255.0 source-zone trust
source-zone trust destination-zone untrust
# destination-zone untrust
interface GigabitEthernet1/0/2 source-address 10.1.1.0 24
source-address 10.1.1.0 24 action nat address-group
ip address 1.1.1.1 255.255.255.0 action permit
# addressgroup1
firewall zone trust 5. Настройте маршрут по умолчанию.
set priority 85 3. Настройте пул адресов NAT.
ip route-static 0.0.0.0 0.0.0.0
add interface GigabitEthernet1/0/1 1.1.1.254
#
firewall zone untrust nat address-group addressgroup1 6. Настройте black-hole routes.
set priority 5 section 0 1.1.1.10 1.1.1.11 ip route-static 1.1.1.10
add interface GigabitEthernet1/0/2 255.255.255.255 NULL0 ip route-static
1.1.1.11 255.255.255.255 NULL0
2. NAT
 Пользователи частной сети, получающие доступ к Интернету
 Пользователи Интернета, получающие доступ к серверам интрасети
Пользователи Интернета, получающие доступ к
серверам интрасети
ДМЗ Ненадежная
Сервер Хост А
NAT Server

192.168.1.0/24 10.2.0.1/24 1.1.1.1/24
 При помощи функции NAT Server пользователи Интернета могут

использовать публичные адреса для доступа к серверам интрасети.
 Эта функция преобразует публичный адрес в частный адрес сервера
интрасети.
NAT Server
ДМЗ Ненадежная
Сервер Хост
192.168.1.2/24 src IP 7.7.7.7 src IP 7.7.7.7
src Port 3535
7.7.7.7/24
NAT Server src Port 3535
dst IP 192.168.1.2 dst IP 1.1.1.10
Интрасеть
Таблица Server-Map
Направление Протокол S-IP D-IP: D-Port [New-D-IP: New-D-Port]
Прямое TCP Любой 1.1.1.10:80[192.168.1.2:80]
Протокол S-IP: S-Port D-IP: D-Port [New-D-IP: New-D-Port
Http: 7.7.7.7/3535 1.1.1.10:80[192.168.1.2:80]
 NAT Server обеспечивает статическое сопоставление между публичными и частными

адресами.
 Преобразование портов не является обязательным.
Пример конфигурации NAT Server
Веб-сервер FTP-сервер
10.2.0.7/24 10.2.0.8/24
GE1/0/2 GE1/0/1
10.2.0.1/24 1.1.1.1/24 1.1.1.254/24
ДМЗ
Статическая
10.2.0.0/24
маршрутизация
ДМЗ Недоверенная
Статическое отображение (NAT Server)
 NGFW служит шлюзом безопасности на границе сети предприятия. Чтобы

позволить веб-серверам интрасети предоставлять услуги пользователям
Интернета, настройте NAT Server на NGFW. Помимо публичных IP-адресов
интерфейсов на выходном шлюзе предприятие применяет IP-адрес (1.1.1.10) для
NAT. Сетевое окружение показано на рисунке. Маршрутизатор является шлюзом
доступа, предоставленным провайдером.
Планирование данных
Пункт Данные Описание

IP-адрес 1.1.1.1/24 Установите параметры в соответствии с требованиями
Зона безопасности Ненадежная провайдера.
IP-адрес 10.2.0.1/24 Настройте 10.2.0.1 в качестве шлюза по умолчанию для
Зона безопасности ДМЗ сервера интрасети.
Имя: policy_nat_web Такое преобразование позволяет брандмауэру отправлять
Публичный адресс: 1.1.1.10 интернет-трафик пользователей, предназначенный для
Преобразование сервера Частный адрес: 10.2.0.7 1.1.1.10 и порта 8080, на веб-сервер интрасети.
Публичный порт: 8080 Частный адрес веб-сервера интрасети – 10.2.0.7, а номер
Частный порт: 80 частного порта – 80.
На NGFW можно настроить маршрут по умолчанию, чтобы
Маршрут по IP-адрес назначения: 0.0.0.0
межсетевой экран мог перенаправлять трафик с сервера
умолчанию Следующий прыжок: 1.1.1.254
интрасети на маршрутизатор интернет-провайдера.
Маршрутизатор Для предотвращения петель маршрутизации между NGFW и
Black-hole Адрес назначения: 1.1.1.10 маршрутизатором, когда пользователи Интернета получают
route Следующий прыжок: NULL 0 доступ к глобальному адресу, но пакеты доступа не
соответствуют записям server-map.
Команды настройки NAT Server
Веб-сервер FTP-сервер
10.2.0.7/24 10.2.0.8/24
GE1/0/2 GE1/0/1
10.2.0.1/24 1.1.1.1/24 1.1.1.254/24
ДМЗ
10.2.0.0/24 маршрутизация
ДМЗ Недоверенная
Статическое отображение (NAT Server)
1. Задание IP-адресов интерфейсов и

2. Настройка политики безопасности. 4. Настройка маршрута по умолчанию.
назначение интерфейсов зонам безопасности.
ip route-static 0.0.0.0 0.0.0.0
interface GigabitEthernet1/0/1 security-policy
1.1.1.254
ip address 1.1.1.1 255.255.255.0 rule name policy_sec_1
# source-zone untrust 5. Настройка black-hole route.
interface GigabitEthernet1/0/2 destination-zone dmz
ip address 10.2.0.1 255.255.255.0 destination-address 10.2.0.0 ip route-static 1.1.1.10
# 24 255.255.255.255 NULL0
firewall zone untrust action permit
set priority 5
3. Настройка преобразования сервера.
# #
firewall zone dmz nat server policy_nat_web protocol tcp global 1.1.1.10 8080 inside
set priority 50 10.2.0.7 www no-reverse
add interface GigabitEthernet1/0/2 #
2. NAT
 Сценарии применения защиты от атак
 DDoS-атаки и защита
 Однопакетные атаки и защита
Сценарии применения защиты от атак
Обычный пользователь Почтовый сервер
Интрасеть
× предприятия
ПК
• DDoS-атака
• Атаки сканирования и прослушивания сети
• Атака зараженным пакетом
• Атака специальным пакетом Веб-сервер
Злоумышленник
Нормальный трафик, разрешено

Трафик атаки, блокирован
 Брандмауэры могут защищать от различных распространенных DDoS-атак и

обычных однопакетных атак.
2. NAT
DDoS-атака
Исходное
Злоумышленник положение
для атаки Цель атаки
Управляющий трафик
Ботнет
Трафик атаки
Зараженный хост
 Злоумышленники DDoS управляют зараженными «зомби»-хостами, чтобы отправлять

большое количество атакующих пакетов цели атаки.
 В зависимости от режимов атаки, DDoS-атаки можно классифицировать на атаки трафиком
(SYN Flood и UDP Flood) и атаки уровня приложений (HTTP Flood, HTTPS Flood и DNS Flood).
 NGFW могут защитить от распространенных DDoS-атак, таких как SYN Flood и UDP Flood.
Команды настройки для защиты от атак SYN
Flood и UDP Flood
Функция Команда
Включение статистики трафика. anti-ddos flow-statistic enable
Установка Установка частоты дискретизации трафика DDoS. anti-ddos statistic sampling-fraction sampling-fraction
параметров защиты
от атак DDoS Установка задержки запуска или остановки защиты от атаки anti-ddos defend-time start-delay start-delay end-delay end-delay
Установка времени устаревания таблицы мониторинга IP-адреса источника. anti-ddos source-ip detect aging-time time
Настройка глобальной защиты от SYN flood атак. anti-ddos syn-flood source-detect [ alert-rate alert-rate ]
Настройка защиты
от SYN Flood
Настройка защиты от атак SYN Flood на основе интерфейса. anti-ddos syn-flood source-detect [ alert-rate alert-rate ]
Настройка глобальной защиты от UDP

anti-ddos udp-flood dynamic-fingerprint-learn [ alert-speed alert-speed ]
Flood.
Настройка глобальной защиты от Настройка динамического режима anti-ddos udp-fingerprint-learn offset offset fingerprint-length
UDP Flood. обучения по отличительным меткам. fingerprint-length
Включение функции изучения длины

anti-ddos udp-fingerprint-learn packet-length enable
пакета.
Настройка защиты
от UDP Flood
Настройка защиты от UDP Flood Настройка защиты от UDP Flood на anti-ddos udp-flood relation-defend source-detect
на основе интерфейса. основе интерфейса. [ alert-speed alert-speed ]
Настройка глобальной защиты от Настройка глобальной защиты от anti-ddos udp-frag-flood dynamic-fingerprint-learn

атак UDP-фрагментов. UDP-фрагментов. [ alert-speed alert-speed ]
Настройка интерфейсной защиты Настройка интерфейсной защиты от

anti-ddos udp-frag-flood [ alert-speed alert-speed ]
от атак UDP-фрагментов. атак UDP-фрагментов.
2. NAT
Защита от однопакетных атак
Однопакетные атаки
Атаки зараженными Атаки специальными

Сканирующие атаки
пакетами управляющими пакетами
• Атака большими ICMP-
пакетами
• Smurf attack
• Атака перенаправлением
• Land attack пакетов ICMP
• Fraggle attack • Атака недостижимыми
• IP fragment attack пакетами ICMP
• Перестройка IP
• IP spoofing attack • Атака IP-пакетами с опцией
• Сканирование портов записи маршрута
• Ping of death attack
• TCP flag attack • Атака IP-пакетами с опцией
выбора маршрута источника
• Teardrop attack
• Пакетная атака Tracert
• WinNuke attack • Атака IP-пакетами с опцией
выбора временной метки
 Однопакетные атаки являются наиболее распространенными DoS-атаками,

и большинство из них инициируются отдельными хакерами.
Рекомендации по конфигурированию защиты от
однопакетных атак
Рекомендуется Рекомендуется
включить отключить
• Защита от Smurf attack

• Защита от Land attack
• Защита от Fraggle attack
• Защита от WinNuke attack • Защита от перестройки IP
• Защита от Ping of death • Защита от атак
attack сканированием портов
• Защита от атак IP- • Защита от IP spoofing
пакетами с опцией attack
выбора временной метки • Защита от Teardrop attack
• Защита от атак IP-
пакетами с опцией записи
маршрута источника
 Не рекомендуется включать функции защиты от атак, которые значительно

снижают производительность брандмауэра.
Команды настройки защиты от однопакетных
атак
Функция Команда
Включение защиты от Smurf attack . firewall defend smurf enable
Включение защиты от Land attack. firewall defend land enable
Включение защиты от Fraggle attack. firewall defend fraggle enable
Включение защиты от WinNuke attack. firewall defend winnuke enable
Включение защиты от атак Ping of Death. firewall defend ping-of-death enable
Включение защиты от атак IP-пакетами с

firewall defend time-stamp enable
опцией выбора временной метки.
Включение защиты от атак IP-пакетами с

firewall defend route-record enable
опцией записи маршрута источника
Вопросы
1. Как определить степень доверия зоны безопасности в брандмауэре?
Спасибо!
www.huawei.com
Принципы и конфигурации VRRP

Введение
 Пользовательские терминалы LAN часто получают доступ к внешней сети
через сконфигурированный шлюз по умолчанию. Если шлюз по умолчанию
не работает, доступ к сети всех пользовательских терминалов
прекращается. Следовательно, будет огромная потеря. Можно развернуть
несколько шлюзов для решения проблем сбоя единичного шлюза. Как эти
шлюзы работают совместно без конфликтов?
 VRRP используется для решения предыдущей проблемы. Она может
осуществлять резервное копирование шлюзов и предотвращать конфликты
нескольких шлюзов. Как реализован VRRP? Как сконфигурирован VRRP?
Цель
 Основные принципы VRRP
 Активное/резервное переключение VRRP
 Основные конфигурации VRRP
1. Предпосылка и обзор VRRP
2. Активное/резервное переключение VRRP
3. Балансировка нагрузки VRRP
4. Базовая конфигурация VRRP
Ограничения единичного шлюза
RouterA
 Если RouterA не работает, устройства, использующие RouterA в качестве

шлюза, не могут взаимодействовать с Интернетом.
Проблемы нескольких шлюзов
192.168.1.254 192.168.1.254
 Для реализации резервного копирования шлюза могут быть развернуты несколько шлюзов.
 Однако может возникнуть некоторые проблемы. IP-адреса конфликтующих шлюзов, и хосты
часто используют различные egress.
Обзор VRRP
 VRRP выполняет виртуализацию нескольких IP без изменения сети и
использует IP-адрес виртуального маршрутизатора в качестве адреса
шлюза по умолчанию для резервного шлюза.
 Версии протокола: VRRPv2 (часто используемый) и VRRPv3
 VRRPv2 применяется только к сетям IPv4, в то время как VRRPv3
применяется как к сетям IPv4, так и к IPv6.
 Пакеты VRRP
 Пакеты объявления: IP-адрес назначения — 224.0.0.18, MAC-адрес
назначения — 01-00-5e-00-00-12 и номер протокола — 112.
Базовая архитектура VRRP
RouterA RouterB
Master Backup
Priority 150 Priority 100
Virtual Router
vrrp vrid1
Eth0/0/0: Eth0/0/0: 10.1.1.2 Virtual IP Address:10.1.1.254/24
10.1.1.1 Virtual MAC :0000-5e00-0101
HostA HostA
Gateway:10.1.1.254 Gateway:10.1.1.254
IP address:10.1.1.3/24 IP address:10.1.1.3/24
Машина состояния
Initializ
e
Master_Down_Interval expire | Priority=0 in received

packet | Priority in received packet <Own Priority
Master Backu
Priority in received packet >Own Priority p
Рабочий процесс переключения активного/
резервного VRRP
1. Выберите Master. RouterA RouterB

Master Backup
2. Сохранение состояния:
VRRP VRRP
Устройство Master периодически prority 150 prority 100
ip address 10.1.1.2
отправляет пакеты объявления ip address 10.1.1.1
virtual ip 10.1.1.254 virtual ip 10.1.1.254
VRRP на другие устройства
группы для уведомления о том,
что он работает правильно.
HostA
Gateway:10.1.1.254
IP address:10.1.1.3/24
Активное/резервное переключение VRRP (1/2)
 При неисправности устройства Master активное/резервное переключение устройства
является следующим.
RouterA RouterB Когда устройство Backup не получает

Master Backup Master пакеты объявления от Master в течении
Master_Down_Interval, оно сразу
становится Master.
VRRP VRRP
prority 150；ip add1.1.1.1 prority 100；ip add1.1.1.2
Активное/резервное переключение VRRP (2/2)
 При восстановлении исходного устройства Master активное/резервное переключение
выглядит следующим образом:
Когда RouterA обнаруживает, что

приоритет в пакетах, полученных от
RouterB, ниже RouterA, RouterA
немедленно захватывает Master.
RouterA RouterB
Master
Какая проблема может Master Backup
возникнуть при немедленном
VRRP
захвата Master? VRRP
priority 150, ip add1.1.1.1 priority 100, ip add1.1.1.2
Неисправность VRRP
Вопрос: Какая точка отказа может

вызвать активное/резервное
переключение VRRP?
RouterA RouterB
Master Backup
HostA
Объединение VRRP
RouterA Route rB
Master Backup
VRRP
Восходящий канал находится в
состоянии Down, но главные (Master) и
резервные пакеты обмена обычно не
выполняются. Следовательно, доступ
хоста является ненормальным.
 Решение: ассоциация VRRP может быть сконфигурирована для мониторинга восходящего

интерфейса или неисправности канала и выполнения активного/резервного переключения.
Рабочий процесс балансировки нагрузки VRRP
Вы можете настроить различные
Традиционно, весь трафик
группы VRRP таким образом,
перенаправляется Master в чтобы RouterB стал master новой
режиме «активный/резервный». группы VRRP для загрузки
Master перегружен. баланса трафика.
RouterA RouterB
vrid1
Master Backup Он свободен.
vrid1
virtual ip :10.0.0.10 virtual ip :10.0.0.10
Master Backup
vrid2 vrid2
virtual ip :10.0.0.11 virtual ip :10.0.0.11
Backup Master
HostA HostB HostC

Gateway:10.1.1.10 Gateway:10.1.1.10 Gateway:10.1.1.11
IP address:10.1.1.3/24 IP address:10.1.1.4/24 IP address:10.1.1.5/24
Конфигурация VRRP
Режим «активный/резервный» Режим распределения нагрузки
RouterC RouterC
RouterA RouterB
vrid1 virtual ip :10.0.0.10 vrid1 virtual ip :10.0.0.10
RouterA RouterB Master Backup
vrid1 virtual ip :10.0.0.10 vrid1 virtual ip :10.0.0.10 vrid2 virtual ip :10.0.0.11 vrid2 virtual ip :10.0.0.11
Master G0/0/0 G0/0/0 Backup Backup G0/0/0 G0/0/0 Master
G0/0/1 G0/0/1
G0/0/1 G0/0/1 ip address:10.0.0.2
ip address:10.0.0.1
ip address:10.0.0.1 ip address:10.0.0.2
HostA HostB HostC
Configure RouterA.
Configure RouterA. interface GigabitEthernet0/0/1
interface GigabitEthernet0/0/1 ip address 10.0.0.1 255.255.255.0
ip address 10.0.0.1 255.255.255.0 vrrp vrid 1 virtual-ip 10.0.0.10
vrrp vrid 1 virtual-ip 10.0.0.10 vrrp vrid 1 priority 120
vrrp vrid 1 priority 120 vrrp vrid 1 preempt-mode timer delay 20
vrrp vrid 1 preempt-mode timer delay 20 vrrp vrid 1 track interface GigabitEthernet0/0/0 reduce 30
vrrp vrid 1 track interface GigabitEthernet0/0/0 vrrp vrid 2 virtual-ip 10.0.0.11
reduce 30
Configure RouterB.
Configure RouterB. interface GigabitEthernet0/0/1
interface GigabitEthernet0/0/1 ip address 10.0.0.2 255.255.255.0
ip address 10.0.0.2 255.255.255.0 vrrp vrid 1 virtual-ip 10.0.0.10
vrrp vrid 1 virtual-ip 10.0.0.10 vrrp vrid 2 virtual-ip 10.0.0.11
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 20
vrrp vrid 2 track interface GigabitEthernet0/0/0 reduce 30
Вопросы
1. Какое из следующих описаний о VRRP master являются неверным?
А. VRRP master периодически отправляет пакеты VRRP.
Б. VRRP master использует виртуальный MAC-адрес для ответа на пакеты ARP Request с
виртуальным IP-адресом.
В. VRRP master передает IP-пакеты, предназначенные для виртуального MAC-адреса.
Г. Даже если устройство Master уже существует, устройства резервного копирования с

более высоким приоритетом будет предопределено быть Master.
Спасибо!
www.huawei.com
Принципы и конфигурации BFD

Введение
 Поскольку сетевые приложения широко развернуты, прерывание сети может
повлиять на услуги и привести к объемным потерям. Чтобы минимизировать
влияние неисправностей канала или устройства на услуги и улучшить доступность
сети, сетевое устройство должно быть способно быстро обнаруживать
неисправности связи между соседними устройствами. Затем могут быть приняты
меры быстрого устранения неисправностей для обеспечения непрерывности
обслуживания.
 BFD (Bidirectional Forwarding Detection) — это унифицированный механизм
обнаружения, не зависящий от носителей и протоколов, и используется для
быстрого проверки соединения сетевых каналов или IP-маршрутов. Как BFD
осуществляет быстрое обнаружение неисправностей? Какое время сходимости?
Цель
 Принципы BFD
 Основные конфигурации BFD в общих сценариях применения
2. Сценарии применения BFD
Неисправность в сценарии применения 1
Почему сосед не
подключается ко
мне?
Соседи OSPF

RTA SWB SWC RTD
 Канал между SWB и SWC отсоединен. Происходит ли немедленное

прекращение отношений соседства между RTA и RTD?
Неисправность в сценарии применения 2
RTC
 Неисправность оборудования или
 канала между RTB и RTC. Как
RTB
RTA Первичный выход
передается трафик пользователя?
SWB
SWA Первичный VRRP
VRRP Как решить эти

проблемы?
SWC
PC-A PC-C
PC-B
Метод обнаружения неисправностей
Быстрое Низкая
Аппаратное обнаружение
обнаружение универсальн
неисправност
ей ость
Медленная
Обнаружение Общее сходимость
пакетов
приветствия приложение Зависимость
от протокола
 Существует ли универсальный механизм обнаружения,

который может обеспечить быструю сходимость?
Описание BFD
 BFD — это унифицированный механизм обнаружения, используемый для
быстрого обнаружения двунаправленного соединения сетевых каналов или
IP-маршрутов. Предоставляет услуги для приложений верхнего уровня.
BFD использует сеансы для обнаружения неисправностей и уведомляет
соответствующий модуль протокола о неисправностях.
Прикладной уровень Прикладной уровень
Транспортный уровень Транспортный уровень
Сетевой уровень Сетевой уровень
Канальный уровень Канальный уровень
Физический уровень Физический уровень
Режим установления сеанса BFD и механизм
обнаружения
Периодическая отправка
BFD conztrol message（A-B）
RTA BFD control message（B-A) RTB
Локальный дискриминатор Локальный дискриминатор

(Local Discriminator = A) (Local Discriminator = B)
Удаленный дискриминатор Дистанционный
(Remote Discriminator = B) дискриминатор
(Remote Discriminator = A)
Установление сеанса BFD
RTA RTB
DOWN DOWN
INIT INIT
UP UP
Рабочий процесс BFD
OSPF neighbor
OSPF ①

⑤
 OSPF
② BFD neighbor ④
BFD  BFD
Link neighbor

③
RTA RTB
 Настройка отношений соседства OSPF -> Создание сеанса BFD

 Неисправность канала -> Состояние сеанса BFD — Down -> Прекращение
отношения соседства OSPF
Функции объединения
 Объединение включает модули обнаружения, Track и приложения.
Модуль Модуль
приложений обнаружения
VRRP
маршрутизация Модуль
Модуль
Track
BFD
PBR
Резервное
копирование
интерфейсов
2. Сценарии применения BFD
Требования к конфигурации BFD for OSPF
OSPF neighbor
G0/0/1  G0/0/1
RTA SWB SWC RTD
 Компания использует два коммутатора второго уровня для подключения двух удаленных
друг от друга департаментов. На RTA и RTD включен OSPF и установлены отношения
соседства OSPF для обеспечения их доступности на сетевом уровне.
 RTA и RTD поддерживают BFD. Необходимо использовать BFD для OSPF. При
возникновении неисправности на канале между RTA/RTD и коммутатором второго уровня
или между коммутаторами, например, состояние канала является Down, BFD может быстро
обнаружить неисправность и уведомить OSPF.
Процедура конфигурирования BFD for OSPF
# #
bfd bfd
# #
ospf 1 ospf 1
area 0.0.0.0 area 0.0.0.0
network 10.0.12.1 0.0.0.0 network 10.0.12.2 0.0.0.0
bfd all-interface enable bfd all-interface enable
OSPF neighbor
G0/0/1  G0/0/1
RTA SWB SWC RTD
Требования к конфигурации BFD for VRRP
RTC
 Требования

RTB  SWA и SWB создают группу VRRP,
RTA Первичный
выход
и SWB является первичным. Когда
канал между каналом RTB и RTC
SWB
неисправен, SWB может быстро
SWA Первичный
VRRP обнаружить неисправность и
VRRP
переключить шлюз на шлюз
резервного копирования. Затем
SWC
SWA становится первичным.
PC-B
PC-A PC-C
Процедура конфигурирования BFD for VRRP
#
RTC bfd
#
 RTB
bfd 1 bind peer-ip 10.0.24.2 source-ip
10.0.45.5 auto
commit
RTA Первичный
выход #
bfd
#
SWB bfd 1 bind peer-ip 10.0.45.5 source-ip
Первичный 10.0.24.2 auto
VRRP commit
SWA #
interface Vlanif100
ip address 10.0.12.2 255.255.255.0
vrrp vrid 1 virtual-ip 10.0.12.254
VRRP vrrp vrid 1 priority 200
vrrp vrid 1 track bfd-session
session-name 1 reduced 100
SWC
#
interface Vlanif100
ip address 10.0.12.1 255.255.255.0
PC-B vrrp vrid 1 virtual-ip 10.0.12.254
PC-A PC-C
Требования процедуры BFD for Static Routes
G0/0/1
ISP1
RTA RTB
G0/0/1
Кампусная
сеть
G0/0/2
G0/0/1 ISP2
RTC
 RTA — это выход сети кампуса, подключенный к ISP1 и ISP2. Обычно маршрут по умолчанию
направляет на ISP1, а маршрут на ISP2 — резервное копирование. Когда маршрут по умолчанию к
ISP1 недоступен, трафик может быть быстро переключен на маршрут к ISP2.
Процедура конфигурирования BFD for Static
Routes
#
bfd
#
bfd 1 bind peer-ip 10.0.12.1 source-ip
10.0.12.2 auto commit
G0/0/1 ISP1
RTA
RTB
Кампусная
G0/0/1

сеть RTC
G0/0/2
G0/0/1 ISP2
#
bfd
#
bfd 1 bind peer-ip 10.0.12.2 source-ip 10.0.12.1 auto
commit
#
ip route-static 0.0.0.0 0.0.0.0 10.0.12.2 track bfd-session 1
ip route-static 0.0.0.0 0.0.0.0 10.0.13.2 preference 100
Требования к конфигурации BFD for BGP
BGP neighbor
Loopback0:1.1.1.1 Loopback0:2.2.2.2
Network
RTA RTB
 Между МRTA и RTB устанавливают отношения соседства IBGP через промежуточную сеть.
 RTA и RTB поддерживают BFD. BFD for BGP необходимо использовать. При неисправности
канала между RTA/RTB и устройством промежуточной сети или внутреннего канала
промежуточной сети, BFD может быстро обнаружить неисправность и уведомить BGP.
Процедура конфигурирования BFD for BGP
BGP neighbor
Loopback0:1.1.1.1 Loopback0:2.2.2.2
Network
сети
RTA RTB
<RTA>display bfd session all
---------------------------------------------------
Local Remote PeerIpAddr State Type InterfaceName
------------------------------------------------------
8192 8192 2.2.2.2 Up D_IP_PEER -
------------------------------------------------------
Total UP/DOWN Session Number : 1/0
# #
bfd bfd
# #
bgp 65500 bgp 65500
peer 2.2.2.2 as-number 65500 peer 1.1.1.1 as-number 65500
peer 2.2.2.2 connect-interface LoopBack0 peer 1.1.1.1 connect-interface LoopBack0
peer 2.2.2.2 bfd enable peer 1.1.1.1 bfd enable
Функция BFD Echo
 Функция BFD Echo
BFD BFD not

supported supported
Link neighbor
RTA RTB
Параметры BFD по умолчанию и метод
регулировки
Значение по
Параметр Замечания
умолчанию
Глобальный BFD Отключено Необходимо включить глобальную BFD.
Значение корректируется по мере
Интервал отправки 1000 мс
необходимости.
Интервал приема 1000 мс
Рекомендуется сохранить значение по
Множитель локального обнаружения 3
умолчанию.
Время WTR (Wait to Restore) 0
Задержка перед тем, как состояние Значение корректируется по мере
0
сеанса BFD становится UP необходимости.
Приоритет пакетов BFD 7 (самый высокий) Рекомендуется сохранить данное значение.
Вопросы
1. Сколько состояний существует для установления сеанса BFD?
2. Какие протоколы маршрутизации могут быть объединены с BFD?
Спасибо!
www.huawei.com
Обзор SDN
Цель
 Ознакомитесь с преимуществами SDN
 Освоите концепцию и архитектуру SDN
 Будете понимать пути эволюции SDN в традиционных сетях
1. Концепция и архитектура SDN
2. Преимущества SDN
3. Пути эволюции SDN
Управление и переадресация данных в
традиционных сетях
 Традиционные сети используют распределенную архитектуру управления,
где каждое устройство имеет независимые плоскости управления и данных.
C/D C/D
D Уровень
Уровень плоскости
C/D C/D C/D управления управления
D
Таблица
C
C/D
C/D Уровень
Планирование плоскости
данных данных
Сетевое
Традиционная сетевая архитектура
 Плоскость администрирования, плоскость управления и плоскость данных традиционной сети:
 Плоскость администрирования: управление устройствами (SNMP) OSS
 Плоскость управления: протоколы маршрутизации (IGP, BGP)
 Плоскость данных: таблица переадресации (FIB)
Сервер APP
Клиент
Сервер NMS
NMS
Таблица
переадресации
Сеть Nexthop
Таблица 10.1.0.0/24 10.2.0.2

10.1.1.8/30 10.2.1.2
Сеть Nexthop
10.1.0.0/24 10.1.0.2
10.1.1.8/30 10.1.1.2 Таблица Протокол Таблица

переадресации OSPF переадресации
Сеть Nexthop
Сеть Nexthop
10.1.0.0/24 10.3.0.2
10.1.0.0/24 10.4.0.2
10.1.1.8/30 10.3.1.2
10.1.1.8/30 10.4.1.2
Ограничения традиционных сетей
 Традиционные сети имеют следующие ограничения:
 Отсутствие гибкости в регулировке маршрутов прохождения трафика
 Сложная реализация протоколов, сложные эксплуатация и обслуживание
 Медленные обновления услуг
NMS
Маршрутизатор Маршрутизатор Маршрутизатор
Традиционная сетевая архитектура
Обзор SDN
 SDN – программно-конфигурируемые сети
 В 2006 году профессор Nick McKeown из Стэнфордского университета и его команда
выработали концепцию OpenFlow и использовали эту технологию для реализации
сетевой программы, что привело к появлению SDN.
 Три основных особенности SDN:
 Разделение переадресации и управления
 Централизованное управление
 Открытые интерфейсы
 Контроллер SDN не является ни NMS, ни инструментом планирования.

 NMS не разделяет плоскости управления и переадресации.
 Инструмент планирования используется для иных целей, нежели контроллер.
Архитектура сети SDN
 SDN превращает традиционную распределенную сетевую архитектуру
управления в централизованную.
 Трехслойная сетевая архитектура SDN:
Уровень Приложение
администрирования
и приложений API
Контроллер
Уровень SDN
OpenFlow
Уровень Ретранслятор Ретранслятор Ретранслятор

Интерфейсы в архитектуре SDN
 Northbound-интерфейс (NBI)
 Southbound-интерфейс (SBI)
1. NBI
(RESTful)
SDN 2. SBI
3. Интерфейс
(OpenFlow/BGP/PCEP/Netconf)
east/west-bound
(BGP)
Ретранслятор Ретранслятор Ретранслятор
Три типа интерфейсов в сети SDN

Вопрос: Зачем сети SDN должны взаимодействовать с традиционными сетями? Обязателен ли протокол
east/west-bound для контроллера? Возможно ли, что контроллер не исполняет никаких east/west-bound протоколов?
Принципы работы SDN
 Сбор информации о ресурсах сетевых элементов Анализ и отчет по трафику
Платформа приложений
в реальном времени
 Информация о регистрации ретранслятора

 Процесс отчета о ресурсах Результат
анализа
трафика
 Метка MPLS SFTP
RESTful
 Информация о ресурсах VLAN Трафик

OpenFlow Таблица
переадресации Контроллер
 Информация о ресурсах интерфейсов
 Сбор информации о топологии
Сервер
 Объекты узлов, интерфейсов и каналов (LLDP/IGP/BGP-LS)
 Генерация коммутирующих маршрутов в сети SDN
OpenFlow: идея и функции
 Две роли:
 Контроллер OpenFlow: управляет коммутаторами OpenFlow, вычисляет маршруты,
поддерживает состояние сети/устройств и передает правила потоков коммутаторам
OpenFlow.
 Коммутатор OpenFlow: принимает инструкции и информацию о потоке от контроллера
OpenFlow и возвращает информацию о состоянии.
 Коммутаторы OpenFlow выполняют переадресацию и обработку данных на основе таблиц
потоков и правил потоков.
Модель коммутации сети OpenFlow
 Данная модель упрощает базовую передачу данных (коммутаторы и
маршрутизаторы), определяет открытый интерфейс прикладного
программирования (API) для таблиц потоков и при помощи контроллера
управляет всей сетью.
Архитектура системы OpenFlow
Ускорение инноваций сетевых услуг
 Программируемость и открытость SDN ускоряют развитие услуг и
инновации. Новые услуги можно быстро предоставить посредством
создания программного обеспечения.
Приложения
виртуализации
Пользователи определяют
маршруты обслуживания на
платформе виртуализации в NBI
зависимости от своих
потребностей.
Сетевая ОС
OpenFlow
Физическая
сеть
Упрощение сетей
 Архитектура SDN упрощает сети и устраняет необходимость во многих протоколах IETF.
Использование меньшего количества протоколов в сети облегчает обучение, снижает
затраты на эксплуатацию и обслуживание сети, повышает эффективность развертывания
услуг. Это преимущества централизованного управления, а также разделения управления и
переадресации в сетевой архитектуре SDN.
Коммутатор OF Коммутатор OF
Коммутатор OF
Допуск устройств white-box
 В архитектуре SDN будет возможно использование сетевых устройств white-box («белых ящиков»), если
стандартизированы интерфейсы, используемые между контроллерами и ретрансляторами, такие как
хорошо проработанный протокол OpenFlow. К тому времени возникнут специализированные поставщики
микросхем переадресации или контроллеров OpenFlow, а модель развития сменится с вертикальной
интеграции на горизонтальную.
Промышленная цепочка SDN

Категория Поставщик Ситуация
Коммутаторы OpenFlow от Centec Networks широко используются в
Производитель Centec Networks,
исследовательских институтах Китая; Broadcom выпустил решение по
микросхем Broadcom
микросхемам SDN.
Производитель Cisco, Huawei, Ericsson, Cisco предоставляет открытость части программного обеспечения;
сетевого оборудования Alcatel-Lucent Huawei добавил поддержку OpenFlow в аппаратную часть устройств.
Поставщик IT IBM, HP IBM и HP предлагают контроллеры OpenFlow.
Инновационная Лидирует Nicira. Ее платформа витруализации сети на основе vSwitch

Nicira, Big Switch
компания обслуживает такие компании, как AT&T, eBay, Fidelity и RackSpace.
Автоматизация услуг
 В архитектуре SDN контроллер управляет всей сетью. Контроллер SDN автоматически
завершает развертывание сетевых сервисов, таких как L2VPN и L3VPN, и защищает
специфические внутренние реализации, что позволяет автоматизировать сетевые услуги без
необходимости использования других систем.
Traditional network architecture SDN architecture
Distributed control Centralized control
Control plane
Forwarding plane
Оптимизация маршрута трафика
 В традиционных сетях оптимальные маршруты прохождения трафика выбираются на основе
протоколов маршрутизации. Однако оптимальные маршруты могут оказаться перегружены, в
то время как другие будут простаивать. В сети SDN контроллер SDN интеллектуально
регулирует маршруты трафика в зависимости от нагрузок трафиком, улучшая использование
сетевых ресурсов.
Метод 1: эволюция SDN только для системы
Для DCI используются несколько оптических линий. Управление трафиком DCI
Система сталкивается со следующими проблемами:
Tencent Общий коэффициент загруженности пропускной способности остается низким, однако
некоторые каналы бывают перегружены (средняя загруженность пропускной способности
составляет 30%, годовая стоимость пропускной способности свыше 2 миллиардов юаней).
Tencent планирует увеличить использование пропускной способности до 50%.
Существующий распределенный режим вычисления маршрутов приводит к таким
проблемам, как неоптимальные маршруты прохождения трафика.
Контроллер Эволюция SDN только для системы коммутации означает реализацию централизованного
управления расчетом маршрута в сетевой системе коммутации локального домена.
Сервис/LSP Система Tencent собирает

Ретранслятор Ретранслятор система статистику трафика LSP и
управления 1 реализует политики оптимизации Система
трафиком SDN трафика или требования LSP к Tencent
контроллеру SDN по адаптации.
Контроллер SDN
PCE+
Контроллер SDN оптимизирует маршруты
2
прохождения трафика на основе
использования сетевых ресурсов.
Система сбора и отображения трафика сервиса/LSP

Сбор и отображение трафика LSP
Ретранслятор Ретранслятор
Услуги доступа по-прежнему Система мониторинга
распределяются в плоскости переадресации. трафика Tencent
Метод 2: эволюция SDN только для услуг
Модель цепочки услуг центра
обработки данных
Прогнозирование Адм-е
и планирование Адм-е
Пул ресурсов VAS на основе политик VXLAN.
цепочки
Ускорение для услуг услуг FW DPI
FW SLB DPI WAN
OpenFlow Port 5+
VLAN 5
OFHS
VNI 102
101
VNI
VNI 100
VNI 103
Port 1 + Port 3 +
VLAN 1 VLAN ID
Вход сети Выход сети Вход сети Выход сети
арендатора арендатора арендатора арендатора
 Это решение переносит только услуги из AS на контроллер. Внутридоменное вычисление маршрутов и

управление все еще осуществляются ретрансляторами.
 Развертывается единый пул ресурсов VAS. Контроллер SDN реализует администрирование цепочки услуг,
централизованный контроль и управление, а также совместное использование ресурсов VAS.
 Это решение позволяет быстро осуществлять инновации в VAS и обеспечивает новые источники дохода.
Вопросы
1. Каковы ограничения традиционных сетей?
2. Каковы три основных особенности SDN?
Спасибо!
www.huawei.com
Обзор VXLAN

Введение
 Виртуализация серверов значительно сокращает затраты на ИТ-инфраструктуру,
эксплуатацию и обслуживание, повышает гибкость развертывания услуг.
 Виртуальные машины (VM) в традиционной сети центра обработки данных могут
осуществлять бесшовную миграцию только на уровне 2. Если виртуальные машины
мигрируют в сети уровня 3, то предоставление услуг будет прервано.
 Технология Virtual eXtensible Local Area Network (VXLAN) была введена для
повышения гибкости миграции виртуальных машин, так что массы арендаторов не
ограничены сменами IP-адресов и доменов моста (BD). VXLAN значительно
снижает сложность управления сетью.
Цель
 Будете понимать проблемы, стоящие перед сетями центров обработки данных
(ЦОД)
 Ознакомитесь с основными принципами VXLAN
 Освоите базовые конфигурации VXLAN на основе SDN
1. Проблемы, стоящие перед сетями ЦОД
2. Основные принципы VXLAN
3. Базовые конфигурации VRRP
Основные понятия и особенности ЦОД
Что такое ЦОД

Сеть
 Центр обработки данных (ЦОД)
 Ядро IT-системы предприятия
 Центр большого объема вычислений,
коммутации и хранения данных
 Вычислительная среда для ключевой Вычисления
информации, услуг и приложений
 Среда централизованного
управления и контроля различных
данных, приложений, физических и
виртуальных устройств
Хранение
Центр обработки данных характеризуется четырьмя признаками:

надежный, гибкий, экологичный и эффективный.
Традиционная структура сети ЦОД
 ЦОД структурируется по
Уровень
ядра
сервисным функциям.
Уровень
 В традиционной сети ЦОД агрегации
используется стандартная
трехуровневая архитектура.
Уровень
доступа
Web Приложения 2 База данных
 Требования по малой задержке вычислительных узлов
 Широкое применение технологий виртуализации
 Автоматизация обслуживания сетей и услуг
Проблема 1: требования по малой задержке
вычислительных узлов
Уровень
ядра  Трафик должен переадресовываться
коммутаторами на нескольких
уровнях.
Уровень  Большое количество виртуальных
агрегации машин должны иметь доступ друг к
другу.
 Огромная задержка горизонтального
(«восток-запад») трафика.
Web Приложения База данных
DC1 DC2 DC3
Проблема 2: широкое применение технологий
До виртуализации После виртуализации
Приложение Приложение Приложение
Linux
Linux
Linux
Linux
Linux
Linux
Win
Win
Win
Win
Win
Win
Windows Linux Linux
Технология
Объединение ресурсов
Уровень виртуализации Уровень виртуализации Уровень виртуализации
Сервер 1 Сервер 2 Сервер 3

 Независимые IT-ресурсы  Ресурсы виртуализированы в общий
 Тесная связь между операционной пул ресурсов
системой и оборудованием  Разделение между операционной
системой верхнего уровня и
 Виртуализация сети оборудованием, распределение
ресурсов из пула ресурсов
 Виртуализация серверов
 Виртуализация хранилища
Проблемы, вызванные динамической миграцией VM в
традиционной трехуровневой сетевой архитектуре
V V V
M M M
Уровень 3
Уровень 2 Уровень 2
Сервер 1 Сервер 2
 При динамической миграции виртуальной машины
предоставление услуг, запущенных на этой виртуальной
машине, не должно прерываться. Пользователи не
знают о миграции.
 Миграция виртуальной машины требует
достижимости уровня 2.
 Изменения IP-адресов виртуальных машин приведут
Границы миграции VM 1 Границы миграции VM 2 к прерыванию предоставления услуг.
 Конфигурации серверов, на которых развернуты
виртуальные машины, необходимо изменить.
Современное решение: упрощение топологии
CSS
V V V
M M M
«Сплющенная»
сеть
iStack iStack
 Cluster Switch System (CSS) и технологии
iStack используются для упрощения
топологии сети.
 Серверы развертываются в «сплющенной»
сетевой архитектуре.
 Виртуальные машины развертываются в
Границы миграции виртуальных машин большой сети 2 уровня, так что во время
миграции IP-адреса виртуальных машин
менять не нужно.
Кластер VM  Влияние на услуги отсутствует, что
позволяет осуществить гибкую миграцию.
Проблемы современного решения
 Резкое увеличение количества MAC-адресов создает огромную нагрузку на
устройства доступа.
 В изолированной среде с большим количеством арендаторов ресурсы VLAN
устройств недостаточны.
 Сеть уровня 2 имеет большой охват, что влияет на эффективность сетевого
взаимодействия.
 Традиционное решение применимо к крупному объединению уровня 2
внутри ЦОД.
Крупное объединение уровня 2 между
несколькими ЦОД – VXLAN
Традиционный ЦОД: услуги и ресурсы Облачный ЦОД: услуги и ресурсы
ограничены одним физическим ЦОД развертываются свободно
Сеть
Сеть доставки
доставки информации
информации PE1# (L3) PE2
PE1# (L3) PE2
L2 туннели
Один логический
ЦОД 1 ЦОД 2 ЦОД 1 ресурс
ЦОД 2
объединение
VXLAN
Проблема 3: быстрое внедрение инноваций
услуг, автоматическое предоставление услуг
Традиционный ЦОД: сеть и услуги разделены, Облачный ЦОД: ассоциация услуг и сети
длительное время подключения услуг для автоматизации развертывания
Сервисная платформа Сервисная платформа

управления управления
Не может
удовлетворить
А Б
А В
Б В
Распределенные Независимые
ресурсы ЦОД ресурсы каналов
Ресурсы ЦОД и каналов с фиксированным

Виртуальная логическая сеть услуг
местоположением
 Распределенные, изолированные ЦОД и сетевые  Быстрая настройка услуг и автоматизация
ресурсы: требования к быстрой настройке и выпуску развертывания: сети предоставляют открытые API.
услуг не могут быть выполнены.  Распределение сетевых ресурсов по запросам услуг:
 Неэффективное развертывание сервисов: недостаточные унифицированная платформа управления услугами
возможности по настройке услуг, время подключения используется для реализации совместной работы
услуг долгое. сетевых ресурсов и услуг.
Cloud Data Center Network Solution
Множество
арендаторов
VXLAN
Overlay
VXLAN overlay-решение
виртуализации сетей
на основе SDN
Централизованное
управление
записями
SDN
Автоматизация
обслуживания
Типичная сетевая архитектура VXLAN
Презентация
AC 3-я облачная услуг/уровень
Orchestration платформа
комбинирования
Уровень
Контроллер SDN сетевого
контроллера
VXLAN GW1
Сеть L3 Сетевой уровень

VXLAN
FusionCompute CE CE
vSwitch vSwitch vSwitch vSwitch

Уровень сервера
VM VM VM Физический сервер VSA
VMM
Логическая архитектура VXLAN
OpenFlow API
Система
NVE NVE Система

Система
арендаторов Сеть L3
NVE
Система
Шлюз VXLAN
NVE:
Интернет
 В настоящее время как развернутое на серверах
программное обеспечение, такое как OVS, так и
установленные в качестве коммутатора аппаратные
устройства, такие как CE6850, могут играть роль
NVE. После того, как на устройстве уровня 2 с
Сеть VLAN установлен соответствующий программный
не-VXLAN пакет или аппаратный модуль, это устройство
может функционировать как программный или
VXLAN GW1 аппаратный NVE. NVE – это шлюз VXLAN уровня 2,
обеспечивающий преобразование между VXLAN,
Туннель VTEP VLAN и MAC-адресом.
VXLAN Шлюз VXLAN:

NVE Сеть L3 NVE  Подобно VXLAN NVE, шлюз VXLAN уровня 3
обеспечивает преобразования между заголовком
VXLAN 10 VXLAN 10
пакета VXLAN и заголовком IP-пакета.
NVE NVE  И шлюз VXLAN уровня 2, и шлюз VXLAN уровня 3
используются для реализации соединения между
VLAN
сетью VXLAN и сетью не-VXLAN.
Стандартные понятия NVO3
Наименование Описание
VNI Экземпляр сети уровня 2 или уровня 3. Каждый арендатор может

(Virtual Network Instance) иметь один или несколько VNI.
VNID
VNID уникально идентифицирует виртуальную сеть.
(Virtual Network Identifier)
NVE может быть расположен на пограничном устройстве физической

NVE
сети или на виртуализированном сетевом устройстве. Он
(Network Virtualization Edge)
обеспечивает функционал переадресации уровня 2 или уровня 3.
Поле, инкапсулированное в заголовок overlay, используемое выходным

VN Context
NVE для определения VNI
Часть программного обеспечения для виртуализации, запущенная на

физическом сервере, которая предоставляет виртуальным машинам
Гипервизор
общие ресурсы вычислений, памяти и хранения. Как правило, в
гипервизор встроен виртуальный коммутатор.
TES Конечная система арендатора, которая может быть физическим

(Tenant End System) сервером или виртуальной машиной.
Основные технологии NVO3 в отрасли
Категория Описание Ведущие поставщики
Использует инкапсуляцию MAC-in-GRE для Microsoft, Intel, Arista, Broadcom, Dell,

NVGRE
построения виртуальной сети уровня 2. Emulex и HP.
Virtual eXtensible Local Area Network

VMware, Cisco, Arista, DELL, Broadcom,
VXLAN Использует инкапсуляцию MAC-in-UDP для
Citrix и Red Hat.
построения виртуальной сети уровня 2.
Stateless Transport Tunneling

STT Использует инкапсуляцию MAC-in-TCP для Nicira, RackSpace, eBay и Intel.
построения виртуальной сети уровня 2.
Инкапсуляция пакетов VXLAN
 VXLAN – это стандартная технология NVO3, определенная IETF.
 При помощи инкапсуляции MAC-in-UDP она инкапсулирует пакеты уровня 2 с использованием
протоколов уровня 3.
 Для обеспечения миграции виртуальных машин в большой сети уровня 2 центра обработки данных и
удовлетворения требований множества арендаторов она поддерживает 24-битный VNI ID.
MAC MAC VLAN VLAN Ethernet
DA SA Type ID Type
72 бита 48 бит 16 бит 16 бит 16 бит
... Протокол ... IP SA IP DA
Заголовок VXLAN Обычный пакет
Внешний Внешний Внешний VXLAN- Внутренний Внутренний Полезная

Ethernet-заголовок IP-заголовок UDP-заголовок заголовок Ethernet-заголовок IP-заголовок нагрузка
Флаги VXLAN
Резерв VNI Резерв
(00001000)
8 бит 24 бита 24 бита 8 бит

Порт Порт назначения Длина Контрольная
источника (Порт VXLAN) UDP сумма UDP
16 бит 16 бит 16 бит 16 бит
Процесс инкапсуляции данных VXLAN
Транзит Внутренний
MAC
s2
VTEP IP
Внешний
MAC
VNI
Входной NVE Выходной NVE
s1
s3
A B
VTEP IP Внешний MAC
остается меняется с
неизменным на каждым
Данные A B этом маршруте прыжком
Данные A B
Традиционный VXLAN кадр

кадр Ethernet Ethernet
 Исходные пакеты уровня 2 со стороны источника поступают в пункт назначения по

сети IP. Серверы рассматривают сеть VXLAN как мостовую структуру.
Коммуникационный процесс VXLAN – vSwitch
(1/2)
 Создание туннелей через vSwitch.
VM1 MAC1 IP1 VNI 1 VTEP1 IP Host1 IP
Agile Controller
(опционально)
OpenFlow Packin
DMAC: 0xFFFF
SMAC: MAC1
2 DIP: IP3
Полезная нагрузка
SIP: IP1
SIP: IP3
Полезная нагрузка 3 DIP: IP1
SMAC: MAC3
DMAC: MAC1
OpenFlow
Packout
DMAC: 0xFFFF Полезная нагрузка

SMAC: MAC1 VTEP1 VTEP2
SIP: IP3
1 4
DIP: IP3 vSwitch DIP: IP1 vSwitch
SIP: IP1 VM1 VM2 SMAC: MAC3 VM3 VM4
Полезная
DMAC: MAC1
нагрузка
VM1 IP: 192.168.1.1/24 VM3 IP: 192.168.1.2/24
Коммуникационный процесс VXLAN – vSwitch
(2/2)
Agile Controller
DIP: VTEP2 IP
SIP: VTEP1 IP
DMAC: MAC3
SMAC: MAC1
DIP: IP3
SIP: IP1
DMAC
SMAC
VNI
VM1 MAC1 VNI 1 Local VM1 MAC1 VNI 1 VTEP1
VM3 MAC3 VNI 1 VTEP2 VM3 MAC3 VNI 1 Local
6
DMAC: MAC3 SIP: IP1
SMAC: MAC1 VTEP1 VTEP2 7
DIP: IP3
5 vSwitch vSwitch
DIP: IP3 SMAC: MAC1
SIP: IP1 VM1 VM2 VM3 VM4
DMAC: MAC3
VM1 IP: 192.168.1.1/24 VM3 IP: 192.168.1.2/24
Коммуникационный процесс VXLAN – ToR
GW  Создание туннелей через ToR

NVE3
VM MAC VNI S NVE D NVE
VM1 MAC1 VNI1 NVE2 NVE1
VM MAC VNI S NVE D NVE VM4 MAC4 VNI1 NVE2 NVE2
VM1 MAC1 VNI1 NVE1 NVE1 2
VM4 MAC4 VNI1 NVE1 NVE2
DMAC: NetMac
DMAC: VM4 MAC
ToR1 ToR2 Полезная нагрузка
SMAC: NVE1 MAC
SMAC: VM1 MAC NVE1 DIP: NVE2 IP NVE2 SIP: VM1 IP
1 3
VLAN: X (добавлен vSwitch) SIP: NVE1 IP DIP: VM4 IP
DIP: VM4 IP VNI: 1 VLAN: Y (добавлен ToR2)
SIP: VM1 IP DMAC: VM4 MAC SMAC: VM1 MAC
Полезная нагрузка SMAC: VM1 MAC DMAC: VM4 MAC
DIP: VM4 IP
SIP: VM1 IP
Решение VXLAN на основе SDN
BGP EVPN
NETCONF
Ствол Ствол AS6500
RR
Структура
NVE NVE NVE NVE NVE

L3 GW
Серверный лист Серверный лист Сервисный лист Пограничный лист Шлюз
Физический Виртуальный Физический Виртуальный Брандмауэр LB Выходной Выходной

сервер сервер сервер сервер PE PE
Организация сети VXLAN на базе SDN
Адреса IP-соединений 20.1.1.0/30 – 20.1.1.16/30
Agile Controller Lp1
Контур обратной связи 1.1.1.1 – 5.5.5.5
5.5.5.5
Протокол маршрутизации OSPF GE1
Southbound-протокол NETCONF
20.1.1.16/30
Контроллер Agile Controller-DCN
Ретранслятор CE12800/CE6850 коммутатор
FP4 GE5
GE1 GE4
20.1.1.0/30 20.1.1.12/30
FP1 GE1 FP3

GE4
Lp1 OSPF
Область 0 Lp1
1.1.1.1 3.3.3.3
GE2
GE10 GE3 GE10
20.1.1.4/30 20.1.1.8/30
GE3
GE2
VLAN10 FP2
VLAN10
Конфигурирование интерфейсов
interface GE1
undo shutdown SNC
Lp1
ip address 20.1.1.18 30
5.5.5.5
interface GE1 interface LoopBack1
undo shutdown GE1
ip address 5.5.5.5 32
interface GE2 20.1.1.16/30
undo shutdown
interface LoopBack1 GE5
FP4#
GE1 GE4
20.1.1.0/30 20.1.1.12/30
FP1 GE1 FP3

GE4
Lp1 OSPF
1.1.1.1 3.3.3.3
GE2
GE10 GE3 GE10
20.1.1.4/30 20.1.1.8/30
GE3
GE2
VLAN10 FP2 VLAN10
Конфигурирование протоколов
AC-DCN
sysname FP1 AC-DCN:
snmp-agent trap enable //Активация функции отправки пакетов trap на Задание правил сканирования, включая сегмент
шлюзе. IP-сети, параметры SNMP V3 и параметры
ssh user client@huawei.com service-type snetconf NETCONF.
//конфигурирование NETCONF на устройствах Добавление устройств в AC-DCN. GE1 Lp1
assign forward nvo3 service extend enable
//Конфигурирование функции-расширения Network Virtualization over Layer 3 5.5.5.5
(NVO3) на шлюзах
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 20.1.1.0 0.0.0.3
network 20.1.1.4 0.0.0.3
GE5
FP4
GE1 GE4
20.1.1.0/30 20.1.1.12/30
FP1 GE1 FP3

GE4
Lp1 OSPF
1.1.1.1 3.3.3.3
GE2
GE10 GE3 GE10
20.1.1.4/30 20.1.1.8/30
GE3
GE2
VLAN10 FP2
VLAN10
Сетевые приложения VXLAN
Уровень представления WEB-портал/Портал приложений
услуг
RESTful API
Уровень
комбинирования Cinder Nova Neutron
Модуль/Драйвер
RESTful API
Уровень
сетевого Контроллер SDN
контроллера NETCONF
CLI/SNMP OpenFlow API CLI/SNMP
VXLAN VXLAN
FW1 FW2
L3GW1 L3GW2
Сетевая GW, подключенный через
инфраструктура Сеть L3
TOR NVE
VXLAN/VLAN
GW
TOR2 NVE3
TOR1 NVE2
OVS NVE
NVE1 L2SW
vSwitch
Серверы vSwitch Традиционная
VM1 VM2 VM3 VM4
сеть VLAN
Сервер-1 Сервер-2
Вопросы
1. Какие из следующих методов конфигурирования поддерживаются VXLAN?
А. Через программное обеспечение для виртуализации
Б. Через контроллер SDN
В. Через SNMP
Спасибо!
www.huawei.com
Обзор NFV

Введение
 Виртуализация сетевых функций (NFV) – это решение, использующее технологию
виртуализации для реализации различных сетевых функций на стандартных IT-
устройствах (серверах x86, устройствах хранения и коммутационных устройствах).
 NFV преследует цель замены проприетарных, узкоспециализированных и закрытых
сетевых элементов в сетях связи и создания открытой архитектуры с
универсальной аппаратной платформой и программным обеспечением логики
услуг.
 NFV в сочетании с SDN окажет значительное влияние на развитие сетей связи. С
другой стороны, они приносят с собой новые проблемы и вызовы.
Цель
 По окончании данного курса Вы сможете:
 Понять основные концепции NFV
 Понять архитектуру NFV
 Описывать связь между NFV и SDN
1. Основная концепция NFV
2. Архитектура NFV
3. Связь между NFV и SDN
Требования предприятия/оператора/домашних
Услуги, контролируемые CPE
Операторы
предоставляют
только каналы связи
Граница
Частное облако Дом Общедоступное
предприятия DCI облако
Предприятие
Домашние Корпоративные
услуги услуги
Постоянные инвестиции в
Высокая TCO Долгий ТТМ Слишком много устройств новые услуги
Нет поддержки
Высокая TCO Для увеличения пропускной Крупные
Не применимы способности необходимы Сложная миграция
многоэкранных приложений и новые потребности вне дома инвестиции в IT для МСП
новые устройства
Интеллектуальные CPE и облачные сервисы, вероятно, превратят сети операторов просто

в «тупые трубы»
Что такое NFV?
 Виртуализация сетевых функций (NFV) это сетевая архитектура, использующая
технологию IT-виртуализации для осуществления виртуализации функций
физических сетевых узлов в программные модули. Эти программные модули могут
быть связаны на основе потоков услуг для предоставления услуг связи
предприятиям.
Traditional hardware and software integration Unified virtualization paltform
Преимущества NFV
 Сокращает затраты на оборудование и энергию за счет объединения сетевых устройств и
максимально экономного использования IT-ресурсов.
 Сокращает сроки внедрения (TTM) сетевых услуг, помогая операторам значительно увеличить
скорость развития сети.
 Позволяет использовать сетевые устройства разных версий и арендаторов в единой сети,
позволяет одной платформе обслуживать разные приложения, пользователей и арендаторов, а
также позволяет операторам распределять общие ресурсы по разным услугам и группам
клиентов.
 Предоставляет точные услуги, зависящие от географического положения и групп пользователей,
позволяет быстро масштабировать услуги по мере необходимости.
 Обеспечивает более широкие и разнообразные экосистемы, предоставляет открытые средства
виртуализации разработчикам программного обеспечения, продавцам и исследовательским
институтам для стимулирования инноваций и развития услуг, помогает увеличить доход при
снижении рисков.
Сущность NFV: пересмотр архитектуры сетевых
устройств
Функциональный уровень
Комплексные приложения
vEPC vMSE Приложения от Быстрые инновации услуг
разных сторон
Video
MME SGW PGW SBR SA App App App
Opt.
Интеллектуальное управление
Уровень виртуализации Комбинирование Самооценка

Виртуальные Виртуальное
вычисления
Виртуальные хранилище Виртуальная
Виртуальное
вычисления сеть
Виртуальная
Виртуальные хранилище
Виртуальное
вычисления хранилище
сеть
Виртуальная Администрирование
сеть Эффективное
использование
Облачная ОС Низкая TCO и короткий TTM
Уровень архитектуры
Среда со многими
поставщиками
Всевозможные уровни
производительности и
характеристики
Гибкая виртуализация сетевых функций
Открытые интерфейсы NFV
NFV упрощает эксплуатацию сети
Корпоративные Региональные Национальные
Граница доступа/MAN
пользователи сети сети
WoC
FW
Платформа NFV vEdge
ONT
NAT
NG-FW
vRGW vSTB vAR CDN IPTV
NAT WOC
NPM
Домашние пользователи
Облако
ONT
STB
ONT
STB VoIP
MAN
IP routing Интернет
PVR/Disk
Smartcard NAT
MW Client DHCP
VoD Client Firewall
 Упрощенные корпоративные и домашние сети: сервисные функции перенесены в сети операторов.

 Сниженные OPEX и CAPEX, ускоренное внедрение инноваций.
 Виртуализация нескольких экземпляров на IT-серверах: снижает затраты, упрощает сеть и реализует
унифицированное управление.
Решение NFV для сети предприятия
Улучшенный AR
Существующая
Узел доступа
сеть
Сеть
FW
FW DPI VPN QoS WOC
оператора
МСП напрямую приобретают сторонние услуги в
обход операторов.
 Операторы не получают доход.
 МСП сталкиваются со сложной, дорогостоящей
эксплуатацией и обслуживанием устройств и услуг.
Очень простой AR
vAR
Развернуты
Узел доступа
vAR
Сеть
оператора
Операторы предоставляют услуги для
предприятий из облака.
 Приносит операторам огромный
потенциальный доход.
 Упрощает эксплуатацию и обслуживание
сетей МСП. Новинка!
Виртуальные маршрутизаторы доступа (VAR) позволяют операторам

предоставлять услуги предприятиям по существующим соединениям.
Связь между NFV и SDN
• NFV не зависит от SDN, но функция SDN по разделению
управления и переадресации позволяет повысить
производительность сети NFV.
• SDN также позволяет использовать универсальное
оборудование для поддержки контроллера SDN и виртуальных
коммутаторов.
• Вывод: NFV является основной архитектурой развития
мобильных сетей. SDN будет применяться в особых сценариях.
Тип SDN NFV

Разделение управления и переадресации, Больше сетевых функций с выделенных
Предложение централизованная плоскость управления устройств переходит на универсальные
и программируемость сети устройства.
Кампусная сеть, центр обработки
Сценарии Сеть оператора
данных/облако
Устройства Коммерческие серверы и коммутаторы Выделенные серверы и коммутаторы
Маршрутизатор, брандмауэр, шлюз,

Начальное предназначение Планирование облачных ресурсов и сети
CND, WAN-ускоритель, SLA гарантия...
Универсальный протокол OpenFlow Отсутствует
Организация по стандартизации Open Networking Forum (ONF) Рабочая группа ETSI NFV
Решения NFV на основе SDN
Облако сетевого управления: Облако управления:

SDN, централизованный контроллер OAM на основе Интернета
VNF Mgmt Open GW

CloudBB: Комбинирование
Программно-определяемая базовая станция Cloud Mgmt OSS/BSS

MME IP+Optical IMS Cloud OS
PCRF Controller UDB
RRU Аппаратное обеспечение
Cloud OS
G U L
Аппаратное обеспечение
Cloud OS
CPRI
RRU Аппаратное обеспечение
IP
vCPE vSTB Управление
SRC EPC SBC
RNC Controller GGSN DPI
RRU BSC (incl. Gi-LAN) BRAS ... FW Self-owned 3rd-party
ETH ETH SGSN PE CDN Маршрутизатор Biz, e.g. IPTV apps,
Коммутатор Коммутатор IaaS/SaaS…
Cloud OS Cloud OS
ONT
A V ... WDM Metro/BB WDM
CloudEdge:
DSL PON
Cloud OS
Программно-определяемый шлюз, NFV Сервисное облако:
MxU Аппаратное обеспечение
собственные и сторонние услуги
CloudDSL/OLT: MANO: администрирование и комбинирование
ONT
Программно-определяемый доступ
Три платформы Восемь решений

1: FusionEngine (COTS) 1: vIMS 5: Сеть ЦОД на базе SDN
2: Cloud OS 2: vEPC/vMSE 6: IP Core/DCI на базе SDN
3: Telco OS 3: vFamily (vSTB/vAR/vRGW) 7: IP RAN/MBH на базе SDN
4: Gi-LAN на базе SDN 8: MANO
Вопросы
1. Что такое OPEX?
А. Стоимость технического обслуживания
Б. Общая стоимость владения
В. Операционные расходы
Г. Стоимость эксплуатации и обслуживания
2. Что такое CAPEX?

А. Стоимость расходов
Б. Капитальные затраты
В. Разовые расходы
Спасибо!
www.huawei.com
Планирование сети

Введение
 Планирование сети является началом сетевого проекта. Надежное
планирование сети создает хорошие условия для реализации последующих
проектов.
 Во время планирования сети мы проводим анализ фона проекта, уточняем
требования и цели заказчика, а также создаем технологический план
проекта.
Цели
 Содержание планирования сети
 Метод планирования сети
 Правильное выполнение планирование сети
1. Обзор планирования сети
2. Фон проекта
3. Цели проекта
4. Технологический план проекта
5. Примеры проекта
Позиционирование
Улучшение План
Проектирование
Цикл
Эксплуатация
Реализация
Планирование сети — это начало проекта и основа для

будущей работы.
Планирование сети и проектирование сети
И
проектирование
Планирование: Проектирование:
Основное внимание Основное внимание уделяется
уделяется исследованиям технологическому внедрению.
потребностей и внешним Отвечает требованиям сети,
условиям для внедрения. подтвержденным при
планировании с
использованием различных
технических методов.
Цели планирования сети
Фон проекта Уточнить внешние условия для

сетевого проекта.
Определение Определить цели проекта.

требования
Технологическая
Выбрать технологический план.
направленность
Метод планирования сети
Опрос Связь Отчет

Получить Координировать с В конце сетевого
информацию о заказчиками цели планирования создать
проекте посредством проекта и отчет по технико-
переговоров, форм технологический план экономическому
обследования и посредством встреч, обоснованию или отчет
запросов. переговоров и о требованиях к
электронной почты. проекту на основе
результатов
обследования.
Фон проекта
Фон и характеристики
отрасли
Отрасль, к которой принадлежит
проект, его общие ориентиры и
решения
Общий обзор
Фон и цели проекта Характеристики и

Причины инициирования процесс
проекта и ожидаемые
результаты предоставления услуг
Характеристики услуг,
передаваемых в сети,
и процесс услуг
Организационная структура заказчика
Инженерная сторона
Заказчик Корпоративный CXO Корпоративный CXO
Менеджер департамента Персонал по продажам

проекта
Директор проекта Менеджер проекта
Контактное лицо Участник проектной

проекта группы
Конечный пользователь
Определение сферы охвата проекта
Инженерная граница: Функциональная

Разделение граница:
ответственности между Функции и модули,
проектом и другими реализуемые
комплексными системами проектом
Сфера охвата:
Географический диапазон
Этапы и цикл
Инициация Подписание Окончательная
проекта контракта приемка
Поставка,
Обсуждение с Усовершенствование Пробная эксплуатация
Планирование Проектирование Заказ Реализация
клиентами решения операция и
техобслуживание
Объявление тендера Предварительная приемка
 Иерархическая структура работ (ИСР)

 ИСР делит сферу охвата проекта на более мелкие, управляемые компоненты.
 Диаграмма Гантта
 Диаграмма сортирует деятельность по времени после деления плана работы и сочетает
деятельность с точками времени в графике.
Комплексный объект
Источник Прокладка  Эти системы тесно

питания кабелей
связаны с проектом.
 Эти системы должны

быть сфокусированы и
Стойка Кондиционер
подтверждены
Аппаратная
проектной группой.
Управление внешними рисками
Политика и
правила
 Риски проекта относятся
к ряду неопределенных
факторов, влияющих на
Финансы Социальная прогресс, эффективность,
Сетевой среда прибыль и цели проекта.
проект
 Внешние риски, как
правило, не
контролируются
Стихийные проектной группой.
Координация бедствия
Цели проекта
• Коммерческие цели: конечные цели и

значение сетевого проекта.
• Технические цели: содействуют

реализации коммерческой целей и
руководят реализацией проекта.
• Повышение • Поддержка • Оптимизация и

эффективности расширения обновление
производства услуг технологии
Бюджеты проекта
ROI Коммерческие цели должны учитывать ROI.
Бюджеты проекта относятся к расходам на реализацию

проекта, включая финансовые, трудовые и материальные
затраты.
 Цель заключается в  Метод

совершенствовании  Нисходящий
проектами и
 Восходящий
повышении ROI.
Состав расходов
Совокупная стоимость владения (TCO) =
Строительная инвестиция + эксплуатация и техобслуживание + оптимизация и реконструкция
Строительная Эксплуатация и Оптимизация и

инвестиция техобслуживание реконструкция
• Единовременная инвестиция • Часто происходит во время • Часто происходит во время
• Тесно связано с целями сетевого цикла сетевого цикла
проекта • Включая: • Может работать в качестве
• Включая: Энергопотребление отдельного проекта
Затраты на устройство Техобслуживание линий • Трудно вычислить расходы
Затраты на вспомогательные Ремонт
сооружения Затраты на персонал
Инженерные затраты
Получение первоначального ценового
предложения
 Затраты на покупку устройства:
 Получение ценового предложения устройств Huawei от CSP или ASP
 Затраты на строительство и аренду линий:

 Получение ценового предложения от операторов
 Такие устройства, как стойки и UPS:

 Свяжитесь с соответствующими поставщиками
Анализ технологических требований
Производительность Доступность
Расширяемость Осуществимость
Сетевые функции
Анализ характеристик трафика услуг
Путь трафика Количество Уровень

пользователей обслуживания
Тип трафика
Модель услуг Индикатор QoS
Оценка нагрузки
Модель времени Модель QoS
Выделенная сеть и общественная сеть
Выделенная Общественная
сеть сеть
Низкая стоимость
• Выделенное устройство • Общественное устройство

• Выделенная линия • Арендованная линия
• Автономное управление • Технология VPN
Модули сети
Указывать модули,
Модульная требуемые в сетевой
архитектуре
Указывать уровни,
Иерархическая используемые в сетевой
архитектуре
Сценарий 1
 Однажды руководитель департамента компании сетевой интеграции
назначает сетевой проект Ван и Сон. Г-н Ван берет на себя роль инженера,
а г-н Сонг берет на себя ответственность менеджера по продажам.
 Вопрос 1: Что может сделать г-н Ван на следующем этапе?
 Вопрос 2: Что должен подготовить г-н Ван для проекта?
Сценарий 2
 Г-н Ван встречается с менеджером по продажам для обследования проекта.
 Вопрос 1: Какие вопросы должен подготовить г-н Ван? У кого можно узнать
ответы?
 Вопрос 2: Некоторые вопросы, возможно, не имеют конкретных ответов, как с
этими справляются?
Вопросы
1. Какие из следующих вариантов будут решены во время планирования сети?
А. Определение технического решения
Б. Ознакомление с фоном проекта
В. Определение требований проекта
2. Какие из следующих вариантов являются границами, определяемыми проектом?

А. Функциональная граница
Б. Инженерная граница
В. Сфера охвата
Спасибо!
www.huawei.com
Проектирование сети

Введение
 На этапе проектирования выполняется разработка сети на основе
требований проекта и руководящих принципов, определенных на этапе
планирования.
 На этапе проектирования производится выбор устройств, определяется
технологический маршрут, сетевые функции и характеристики
производительности.
Цель
 После завершения данного раздела Вы сможете:
 Понимать распространенные типы сетей
 Понимать каждый уровень проектирования сети
 Понимать распространенные продукты и технологии
 Ознакомиться с преимуществами и недостатками распространенных протоколов
 Ознакомиться с комплексными приложениями каждого технологического модуля
 Освоить методологию построения сети
1. Обзор
2. Проектирование физической структуры сети
3. Проектирование логической структуры сети
4. Прочие сетевые технологии

5. Общее технологическое решение
Обзор проектирования сети
На этапе проектирования сети требования заказчика,

полученные на этапе планирования сети, реализуются
с помощью технологических методов.
Структура разрабатываемой сети, как правило,

соответствует принципу модульного дизайна. После
разработки сетевые модули интегрируются.
Результаты проектирования сети должны быть

стандартными, подробными, четкими и реализуемыми.
Проектирование сети
Проектирование физической
Ключевые пункты проектирования

структуры сети:
 Дизайн физической топологии
 Выбор аппаратных устройств
 Выбор каналов связи
 Типовая настройка устройств
Проектирование логической структуры сети:

 Проектирование LAN
 Проектирование WAN
 Проектирование структуры маршрутизации
 Проектирование выходов сети
 Дизайн высокой доступности
Проектирование подсистем сети

 Проектирование сетевой безопасности
 Проектирование VPN
 Проектирование WLAN Отбор

 Проектирование центра обработки данных (ЦОД)
 Проектирование управления сетью
Ключевые пункты проектирования сети
Функционал и Подключение, пропускная способность, задержка,

производительность джиттер и частота двоичных ошибок (BER)
Рентабельность Людские, материальные и финансовые ресурсы, а также

срок создания
Надежность MTBF, MTTF и MTTR
Масштабируемость Топология, сетевой адрес и протокол
Безопасность Активы, риски и контрмеры
Управляемость SNMP, NETCONF, SDN, GUI и NMS
1. Обзор
 Типичная топология
 Выбор устройства
 Выбор носителя
 Идентификатор сети

Типичная архитектура мелкомасштабной сети
Характеристики
 Малое число
 Только одно место
расположения
 Не иерархическая
 Простые требования
Типичная архитектура сети среднего масштаба
 Средний масштаб
 Применяется чаще всего
 Несколько
Зона серверов функциональных
областей
 Зачатки иерархической
архитектуры
Исследования Маркетинг Обслуживание

и разработки
Типичная архитектура крупномасштабной сети
ISP1 ISP2
 Широкая область охвата
IPSEC VPN SSL VPN
Управление сетью Выходная сеть Сеть удаленного доступа  Большое число
 Сложные требования к
сети
Магистральная сеть WAN  Всесторонние
функциональные модули
ЦОД
 Богатые сетевые иерархии
Доступ к сети в Удаленная

Беспроводной доступ зданиях и на этажах Кампусная сеть
Иерархическая сеть – трехуровневая
архитектура
Иерархическая сеть – двухуровневая
Распространенные топологии сети
Звезда Двойная звезда
Квадрат Кольцо Шина
Пример: топология кампусной сети
 Университету необходимо создать кампусную сеть для охвата таких зон, как
учебные корпуса, общежития и столовые, а также филиалы и аппаратные
комнаты.
 Как определить масштаб кампусной сети
 Как разработать архитектуру кампусной сети
 Как выбрать топологию кампусной сети
1. Обзор

Классификация сетевых устройств
Коммутатор уровня 2 Коммутатор уровня 3 Маршрутизатор
Архитектуры коммутаторов
Процессор Память
Матрица
Процессор коммутации
В/В В/В В/В В/В В/В В/В
Архитектура «Шина» Матричная архитектура
Существенные моменты при выборе
коммутатора
- Тип: коммутатор с фиксированной конфигурацией/модульный
- Функционал: коммутатор уровня 2/уровня 3
- Плотность портов: количество портов,

предоставляемых коммутатором
- Скорость порта: 100 Мбит/с, 1 ГБит/с и 10 Гбит/с
- Емкость коммутации: максимальная пропускная

способность матрицы коммутации или шины данных
Выбор - Скорость переадресации пакетов:

фактическая производительность
коммутатора при переадресации пакетов
Фиксированные коммутаторы Huawei
S2700: Коммутатор Fast Ethernet уровня 2

Эта серия коммутаторов предоставляет 8, 16, 24 или 48 портов
самоадаптивного доступа 10М/100М, а также 1-4 uplink-порта GE.
S3700: Коммутатор Fast Ethernet уровня 3

Эта серия коммутаторов обеспечивает 24 или 48 портов
самоадаптивного доступа 10M/100M, а также два uplink-порта GE.
S5700: Коммутатор Gigabit Ethernet уровня 3

Эта серия коммутаторов обеспечивает 24 или 48 портов
самоадаптивного доступа 10M/100M/1000M и четыре uplink-порта
GE/10GE.
S6700: Коммутатор 10-гигабитного Ethernet уровня 3

Эта серия коммутаторов обеспечивает 24 или 48 оптических
портов 10GE SFP +.
Модульные коммутаторы Huawei
S7700:
 Три модели данной серии обеспечивают 3, 6 или 12 слотов для
интерфейсных плат 100M/1G/10G/40G.

 MPU, блоки питания и вентиляторы имеют резервирование, все модули
поддерживают горячую замену.

 Одно шасси поддерживает до 480 портов 10GE.
 Предоставляет множество функций, таких как MPLS VPN, анализ
трафика, QoS и многоадресная передача.
S9700:
интерфейсных плат.
 Одно шасси обеспечивает до 576 портов 10GE и 96 портов 40GE,
обеспечивающие переадресацию со скоростью линии.

 Предоставляет такие модули, как брандмауэр, обнаружение вторжений
и беспроводной контроль.
 Поддерживает технологию Cluster Switch System (CSS).
S12700
интерфейсных плат.
 Одно шасси обеспечивает до 576 портов 10GE и 96 портов 40GE,
обеспечивающие переадресацию со скоростью линии.

 Поддерживает функции центра обработки данных, такие как TRILL, FCoE
(DCB), EVN, nCenter, EVB, SPB и VXLAN.
Существенные моменты при выборе
Тип: фиксированный/модульный/кластерный
Тип порта: Ethernet/Последовательный/POS/PON
Плотность портов: количество портов,

поддерживаемых одним маршрутизатором
Производительность: емкость коммутации и

производительность переадресации
Другие функции: Брандмауэр, IPS, VPN,
управление поведением в сети, голос,
Выбор PBX и SIP
Маршрутизаторы серии AR
AR1200:
 Многоядерный процессор, неблокирующая архитектура
 Интеграция услуг, таких как маршрутизация, коммутация, 3G/LTE,
WLAN и безопасность; сетевые возможности «Все-в-одном»
 Хорошо проработанный механизм QoS
 LPU с возможностью горячей замены
AR2200:
 Многоядерный процессор, неблокирующая архитектура коммутации
 Четыре слота SIC, два слота WSIC и два слота XSIC
 Интеграция услуг, таких как маршрутизация, коммутация, 3G/LTE, WLAN
и безопасность
 Хорошо проработанный механизм QoS, LPU с возможностью горячей
замены
AR3200:
 Разделенные уровни переадресации и управления,
резервирование MPU 1:1
 Четыре слота SIC, два слота WSIC и четыре слота XSIC
 Интеграция услуг, таких как маршрутизация, коммутация, 3G/LTE,
WLAN и безопасность
 Встроенный механизм QoS, LPU с возможностью горячей замены
Маршрутизаторы серии NE
NE20E-S (Уровень) NE40E (Уровень) NE5000E (Уровень)

• Архитектура NP • Архитектура NP/CLOS • Неблокирующая
• Два движка • Два движка архитектура CLOS
• 2/4/8 слотов для • 3/8/16 слотов для • Несколько режимов
сервисных плат сервисных плат кластера: один за другим, 2
• Поддержка нескольких • Поддержка нескольких + 8 и 16 + 64
сервисов сервисов • От 1GE до 100GE Ethernet
• Пять уровней HQoS • HQoS и MPLS-TS • POS от 155 Мбит/с до 40
• Поддержка ISSU, NSR и • Поддержка ISSU, NSR и Гбит/с
FRR FRR • Пропускная способность на
слот: 480 Гбит/с
Документация по продукту
 Корпоративные сетевые продукты Huawei
 http://e.huawei.com/en/allproduct
 Маршрутизаторы Huawei
 http://e.huawei.com/en/products/enterprise-networking/routers
 Коммутаторы Huawei
 http://e.huawei.com/en/products/enterprise-networking/switches
 Продукты безопасности Huawei

 http://e.huawei.com/en/products/enterprise-networking/security
 Беспроводные продукты Huawei

 http://e.huawei.com/en/products/enterprise-networking/wlan
Пример: Выбор сетевого устройства кампуса
 Университет планирует создать сеть для общежитий. Есть восемь зданий
общежития, каждое из которых имеет шесть этажей. На одном этаже
имеется четыре блока, в каждом из которых по пять комнат с шестью
студентами в каждой.
 Как выбрать устройства доступа для общежитий
 Как выбрать устройства агрегации для общежитий
1. Обзор

Распространенные типы носителей
Витая пара Оптическое волокно
Беспроводное
соединение
Телефонный кабель Коаксиальный кабель
Структурирование кабельной проводки в здании
 Кабельная подсистема в здании:
 Горизонтальная подсистема: от
информационных панелей к аппаратным
комнатам на этаже (при помощи витых
пар)
 Вертикальная подсистема: от
аппаратных комнат на этаже к
центральному аппаратному залу (при
помощи оптоволокна)
 Подсистема рабочей области: от
терминалов к информационным панелям
(при помощи сетевых перемычек)
Структура кабельной проводки центра обработки
данных
 Вершина стойки (ToR): Установка коммутаторов в верхней части каждой

стойки.
 Конец ряда (EoR): Установка коммутаторов в хвостовой части ряда стоек.
Инженерные инструменты и тестирование
Витая пара Оптическое волокно
Тест витой пары Тест оптоволокна
Телефонные и коаксиальные кабели
Подключение по
Тестирование телефонного
телефонному кабелю
Кабеля петлевым методом
Подключение по Тест коаксиального кабеля

коаксиальному кабелю петлевым методом
1. Обзор
Идентификатор устройства
Идентификатор
устройства
 Уникальный идентификатор
устройства в сети <Huawei> system-view
 Физическая метка и логическое
Вход в системный режим, возврат в режим
имя устройства.
 Унифицированное правило и обзора пользователя при помощи Ctrl + Z.
именование [HUAWEI] sysname HQ-CS-HW-S7706-1
 Содержание
 Позиция установки устройства
 Роль устройства
 Модель устройства
 Логический номер
Идентификатор линии
Идентификатор
линии
[~HUAWEI] интерфейс гигабитного Ethernet 0/0/0
 Уникальный идентификатор линии в
[Huawei]description To- HQ-CS-HW-S7706-1-GE1/1/1
сети
 Физическая метка и описание портов
 Единое правило и именование
 Содержание:
 Имя локального устройства
 Имя однорангового устройства
 Идентификатор сопряженного
 Роль канала
 Логический номер
Пример: Планирование идентификаторов
устройства и канала в кампусной сети
 Кампусная сеть имеет большое количество устройств и линий, для
диагностики и управления устройствами и линиями она нуждается в
унифицированных правилах именования. Разработка правил именования
устройств и линий.
 Правило именования устройств
 Правило именования линий
1. Обзор

 Проектирование локальной сети
 Проектирование WAN
 Дизайн архитектуры маршрутов
 Проектирование выходов сети
 Дизайн высокой доступности
Выбор LAN
Локальная сеть Ethernet коммутатор + витая пара + оптическое волокно
Важные параметры
Скорость 100 Мбит/с 1 Гбит/с 10 Гбит/с 40 Гбит/с
Тип порта Медный кабель Оптическое волокно
MTU 1500 Jumbo-кадр
Прочие PoE/стекирование/маршрутизация
функции
Распространенные топологии локальной сети
Топология «Двойная
Звезда»
Топология «Звезда»
Расширение сети
Масштабируемость портов
Дизайн VLAN
Распределение
идентификаторов
 Диапазон: 1-4094
Метод  Непрерывность
назначения  Масштабируемость
 По порту
Принцип  По MAC-адресу
присвоения
 На основе
 По службам IP-подсети
 По локализации  По протоколу
 По безопасности  По политике
Расширение масштаба VLAN
Специальный дизайн VLAN
Протокол STP
STP/RSTP/MSTP Конфигурация по умолчанию
 STP: базовая версия.  Коммутаторы Huawei
используют протокол MSTP.
 RSTP: улучшена скорость
конвергенции.  Один коммутатор принадлежит
одному региону.
 MSTP: внедрены понятия
региона и экземпляра.  Все VLAN сопоставлены с
экземпляром 0.
Совместимость Настройка MSTP

 C нисходящей совместимостью.  Определение региона.
 RSTP: реализует STP для  Определение версии редакции.
портов, принимающих BPDU  Определение экземпляра.
STP.
 Определение сопоставления
 MSTP: коммутаторы на RSTP VLAN.
работают в разных регионах.
Настройки STP
Существенные Позиции корневого моста и заблокированного порта
моменты
Коммутатор ядра может

служить корневым мостом.
Блокировка порта не
применима.
Коммутаторы, находящиеся в
Применима блокировка одинаковой позиции, не могут
порта. быть заблокированы.
Методы Приоритет идентификатора моста, стоимость...

настройки
Сетевая петля уровня 2
Механизм Ethernet по умолчанию устраивает флудинг

работы передачи данных.
Алгоритм Коммутаторы не имеют информации о топологии
STP сети и работают по таймеру.
Избыточные устройства и каналы вызывают петли
Структура сети
в физических топологиях.
Дефект
Реализация на устройствах различна.
реализации
Теоретически:
STP может предотвратить возникновение петель. На практике:
Петли все-таки могут возникать.
Технологии предотвращения возникновения
петель
Прочие технологии
предотвращения петель
 Смарт-канал
– SEP
Оптимизация  RRPP
STP Новая
 Защита корня технология
– Защита шлейфа – TRILL
– Защита BPDU Предотвращение
петель
 Граничный порт
Дизайн сетевой безопасности 2 уровня
Тип атаки 2 уровня Механизм защиты 2 уровня

Атаки DoS на устройства Защита процессора
Перегрузка трафиком Функции Traffic suppression и
Storm control
Спуфинг MAC-адресов Функция Port security
Атака DHCP Функция DHCP snooping
Атака ARP Ограничение скорости,
консолидация, изоляция и DAI
Спуфинг IP адресов IPSG
Подберите соответствующие механизмы безопасности для различных атак.
Типичный пример
 В кампусной сети коммутаторы доступа и коммутаторы агрегации
подключаются на уровне 2. Шлюзы пользователя размещаются на
коммутаторах агрегации. Коммутаторы агрегации и ядра соединены на
уровне 3. Чтобы изолировать широковещательные домены, создайте
решение для назначения VLAN для сети 2 уровня.
1. Обзор

Характеристики WAN
Широкая область охвата
Высокая стоимость аренды
Сложные эксплуатация и
техническое обслуживание
Выбор технологии WAN
А
DDN/E1/POS/MSTP Сеть передачи DWDM
на базе SDH B OTN
WAN
Сеть с Технология
D
коммутацией
Сеть с
каналов C
коммутацией
пакетов
PSTN/ISDN (Ошибка) ATM/FR/X.25

(Режим доступа)
Протокол уровня 2 для WAN
Тип линии Структурные признаки Протокол уровня 2

DDN/E1/POS P2P HDLC/PPP
PSTN/ISDN P2P PPP
OTN P2P Ethernet
Сеть с коммутацией
P2MP X.25/FR/ATM
пакетов (PSN)
 Линии P2P являются основными линиями, используемыми на WAN.

 Протокол Point-to-Point (PPP) является основным протоколом,
используемым линиями P2P.
 OTN предоставляют услуги доступа к Ethernet.
Технологии замены WAN
Традиционная WAN VPN
• Гарантированная • Неуправляемая
пропускная способность пропускная способность
• Дороговизна • Экономически выгодная
• Контролируемые QoS • Неуправляемые QoS
• Высокая надежность • Низкая надежность
• Высокий уровень • Высокий уровень
безопасности безопасности
Технология доступа к сети
Доступ к линии Обеспечение связи между сетями пользователей и
связи с абонентом магистральными сетями операторов
DSL FTTx PON

 Телефонные кабели  Витая пара  Оптоволоконные кабели
 Асимметричная  Сценарии с высокой  Тенденция будущего
восходящая и плотностью  Высокая пропускная
нисходящая пропускная пользователей способность
способность  10 Мбит/с, 100 Мбит/с
 1-10 Мбит/с или 1 Гбит/с
Беспроводное HFC Асинхронный набор

соединение
 Коаксиальные кабели  Телефонные кабели
 Wi-Fi или LTE  Операторы вещания и  Более не применяется
 Тенденция будущего телевидения  Скорость < 64 кбит/с
 1-100 Мбит/с  Общая пропускная
способность 100 Мбит/с
Типичный пример
 Кампусная сеть должна подключаться к образовательной сети, точки
доступа к которой расположены в том же городе. Расстояние по прямой
между двумя сетями составляет около 10 км. Предполагаемая требуемая
пропускная способность около 1 Гбит/с. Какие технологии линий могут быть
использованы в данном случае?
1. Обзор

Правила распределения IP адресов
Уникальность: принцип распределения основных

1 адресов Обычная маска:
/32
/30
Высокая эффективность: создание маски
2 надлежащей длины
VLSM
Агрегирование: сохранение ресурсов

3 устройства
Непрерывность: последовательные адреса
4 смежных сегментов сети
Распределение
адресов по
Масштабируемость: резервирование областям и блокам
5
пространства для расширения
6 Управляемость: адресный смысл
Конфигурация IP адресов
Ручная Этот режим обычно используется для

конфигурация конфигурирования сетевых устройств.
Механизм прост, но объем работ велик.
Этот режим обычно используется на клиентах.

DHCP
Несколько механизмов безопасности могут
использоваться вместе.
DHCP snooping, DAI и IPSG
Идентификация границ маршрутизации
Точки внимания
- Стоимость устройства
- Стоимость пропускной
способности
- Безопасность
- Удобство обслуживания
Когда клиентские шлюзы развертываются

на уровне агрегации, коммутаторы доступа
работают в режиме коммутации, а
устройства над уровнем агрегации
работают в режиме маршрутизации.
Когда клиентские шлюзы

развертываются на уровне доступа,
коммутаторы всей сети работают в
режиме маршрутизации.
Выбор протокола маршрутизации
Классификация Протокол Алгоритм Описание
RIP DV Простая, стоимость числа
IGP переходов, V1 и V2
OSPF LS Иерархическая, стоимость
пропускной способности, быстрая,
без петель
IS-IS LS Аналогично OSPF
EGP BGP DP Междоменная маршрутизация,

мощные возможности переноса и
манипуляций, без петель
 На практике предпочтение отдается OSPF, а IS-IS обычно используется на

магистральных сетях оператора.
 BGP применяется к междоменным маршрутам и сетям MPLS/BGP VPN.
 Статические маршруты обычно используются в сценариях, где нет избыточных
соединений.
Проблемы проектирования OSPF
Зона 0 Зона 0
Зона 1
Зона 1
Отделенная зона Субоптимальная маршрутизация
Типичный пример - границы маршрутизации и
протоколы маршрутизации
 В кампусной сети должны быть развернуты протоколы маршрутизации,
чтобы функционировать в качестве несущих маршрутов. Вопросы:
 Какие протоколы маршрутизации Вы хотите выбрать?
 Где находится граница между сетью маршрутизации уровня 3 и сетью
коммутации 2 уровня?
 Что такое дизайн протокола маршрутизации?
Типичный пример - распределение IP-адресов
 Решение по распределению IP-адресов
 Из-за масштаба кампусной сети рекомендуется сегмент сети 10.0.0.0/8. (Если определены
сегменты образовательной сети, используйте соответствующие.) В этом случае сегменты
сети разделены по принципу «одна комната на VLAN».
№ здания Этаж Блок № комнаты Сегмент сети IP-адрес шлюза

Здание 1 1-й этаж Блок 1 1 10.11.11.0/29 10.11.11.1/29
2 10.11.12.8/29 10.11.12.9/29
Блок 2 1 10.11.21.0/29 10.11.21.9/29
2 10.11.22.0/29 10.11.22.9/29
2-й этаж Блок 1 1 10.12.11.0/29 10.12.11.1/29
2 10.12.12.8/29 10.12.12.9/29
Здание 2 1-й этаж Блок 1 1 10.21.11.0/29 10.21.11.1/29
1. Обзор

Технология доступа к выходу сети
Внутрикорпоративная
сеть
Могут использоваться различные каналы, включая E1,

POS и DSL.
Обычно используются PON и Ethernet.
Точки внимания:
Соединение линий Как правило, предприятия не имеют достаточного
количества публичных IP-адресов.
Адреса внутренней сети Перед получением доступа в Интернет частные IP-
адреса необходимо перевести в публичные.
Подключение устройств
Для разных типов каналов нужны специальные
адаптеры.
Маршрутизаторы или брандмауэры необходимы для
перевода сетевых адресов.
Архитектура сети с одним выходом
 Требования к публичному IP-адресу

 Адрес соединения
 Адресный пул
NAT
 Тип трафика
 Внутренние ПК имеют доступ к внешним
сеть серверам
 Внутренние серверы предоставляют
WWW внешние услуги
Архитектура сети с одним оператором и многими
выходами
 Обеспечение
ISP1 ISP2  Два адреса подключения

и один пул адресов
NAT  Выбор исходящего
маршрута
Внутрикорпоративная  Направление маршрута
сеть
WWW  Выбор входного тракта

 Нехватка управляемости
Архитектура сети с многими операторами и
многими выходами - исходящий трафик
 Условия подключения
 Два адреса подключения
ISP1 ISP2
 Два пула адресов
Брандмауэр  Выбор исходящего маршрута

NAT  Выбор оптимального маршрута
 Выбор пула адресов NAT

сеть
 Соответствует выбору
маршрута
WWW
многими выходами - трафик доступа к серверу
 Маршрутизация NAT
 IP-адрес сервера статически
сопоставляется с адресами
ISP1 ISP2
двух адресных пулов
Брандмауэр  Линия, через которую

NAT пользователи получают
доступ к серверу, зависит от
Внутрикорпоративная адреса, используемого для
сеть
подключения
WWW
 Выбор исходящего маршрута
 Статический выбор маршрута
многими выходами – режим Peer-to-Peer
 Этот режим обычно

используется в сценариях
ISP1 ISP2
ICP и DC.
 Требуются публичные
IP-адреса и номера AS.
 NAT не используется.
ICP/DC  Требуется выбор
маршрута BGP.
Пример проекта
 Кампусная сеть подключается к образовательной посредством одного
канала, а внутренние серверы предоставляют услуги для образовательной
сети. Разработайте архитектуру выхода сети для кампусной сети.
1. Обзор

Определение высокой доступности
Доступность MTTF/(MTTF+MTTR) * 100%

Среднее время отказа (MTTF)
Среднее время восстановления (MTTR)
Методы повышения доступности:

Улучшение MTTF
Сокращение MTTR
Режим резервирование компонентов, устройств,

реализации: каналов и услуг
Резервирование компонентов и устройств
Резервирование
MPU компонентов на
устройствах
 Модули питания
Модуль
питания  Вентиляторные модули
SFU
 MPU
 SFU
Резервирование
устройств при
проектировании сети
Вентиляторные
модули  Стекирование
 Кластер CSS
Резервирование каналов
 Многоканальный протокол PPP
 Увеличение пропускной способности
Многоканальный
протокол PPP
 Фрагментация и повторная сборка данных
 Многоканальная балансировка нагрузки и
резервное копирование
Eth-Trunk
 Eth-Trunk
 Связывание каналов
 Балансировка нагрузки и резервное
копирование
 Связывание каналов между устройствами
E-Trunk
 После оценки инженерным персоналом и проектной группой кампусной сети
школы обе стороны пришли к единому мнению о том, что требования к
надежности сети у различных компонентов различны. Например, доступ в
общежитиях требует низкой надежности, в то время как на уровнях
агрегации и ядра требуется высокая надежность. Спроектируйте сеть по
этим требованиям.
Протоколы и механизмы повышения доступности
Протокол Обеспечение резервирования устройств и

переключения каналов на сетевом уровне.
VRRP Предоставление резервных шлюзов для

локальной сети
STP Предоставление динамических резервированных

маршрутов для сетей Ethernet.
Быстрое обнаружение неисправностей на

BFD маршрутах переадресации.
Реализация быстрого перенаправления (FRR)

FRR при помощи активных и резервных каналов.
1. Обзор

 Безопасность сети
 VPN
 WLAN
 Центры обработки данных
 Сетевое администрирование
Безопасность сети
Уязвимости интернет-приложений,
Ограничения переполнение буфера, вирусы, трояны и т.д.
протоколов TCP/IP
Нет проверки источника TCP-спуфинг, атаки TCP DoS,
сканирование портов и т.д.
данных
Нет защиты IP-спуфинг, атаки Smurf, атаки ICMP и т.д.

конфиденциальности
Нет проверки целостности
Mac-спуфинг, MAC-флудинг, ARP-спуфинг и т.д.
Применение различных технологий с целью обеспечения

Сетевая того, чтобы оборудование, программное обеспечение и
данные в сетевых системах не были умышленно
безопасность повреждены, изменены и перехвачены, а сетевые системы
постоянно предоставляют услуги.
Система сетевой безопасности
Безопасность сетевой границы: граница сети расположена в

точке пересечения контролируемой и неконтролируемой
сетей, и это позиция, в которой проверяется входящий и
Экстранет исходящий трафик.
Интранет
Безопасность внутренней сети: верификация, проверка и
фильтрация проходящего трафика, принятие необходимых
мер защиты на сетевых устройствах.
Безопасность доступа в Интранет: аутентификация и

проверка устройств доступа к Интранет для обеспечения
санкционированного и соответствующего требованиям
безопасности доступа.
Безопасность терминального устройства: предотвращение

Пользователи атак вирусов, троянов и червей на терминальные устройства.
доступа
Технологии безопасности
Технологии безопасности сети 3 уровня
ACL
Безопасность ARP
uRPF
Технологии безопасности сети 2 уровня

Защита портов
Защита источника IP (IPSG)
DHCP snooping
Контроль шторма
Безопасность сетевых устройств

Контроль безопасности входа устройства
Политики защиты процессора
Пакетная аутентификация протокола
Безопасность границ сети
 Точка пересечения контролируемой

и неконтролируемой сетей
Брандмауэр  Брандмауэры - основные устройства
Зона
сервера безопасности
VPN
 Фильтрация потоков данных на основе
пятерок и состояние сеанса
Обнаружение вторжений  IDS/IPS
Управление поведением в
Интернете  Сканирование и мониторинг данных о
соединениях прикладного уровня
сеть
 Прочие системы безопасности
 Антивирусная система
 Внешний доступ пользователей (VPN)
Эволюция брандмауэров
Фильтрация Прокси-сервер Обнаружение Брандмауэр следующего
пакетов приложений состояния UTM
поколения NGFW
1989 1994 1995 2004 2005 2009

Контроль Прокси Механизм Указатель Многофункциональность DPI Управление и контроль по
доступа сеансов устройств пользователям, приложениям
и содержимому
 Технология брандмауэра разрабатывалась и обновлялась несколько раз.

 Брандмауэры, проверяющие трафик потоком, являются основными.
 Брандмауэры интегрируют несколько функций безопасности, включая
обнаружение вторжений и антивирус.
 Huawei USG – брандмауэры следующего поколения (NGFW).
Безопасность в интрасети
Определение Блокировка Изоляция и Авторизация

Контроль поведение и
политики неавторизованн восстановление области
сбора информации
безопасности ых неавторизованных доступа
аудита
предприяия пользователей пользователей пользователя
Удаленные Конфиденциальные
сотрудники информационные
ресурсы
Сотрудники
Основные
на месте
информационные
ресурсы
Гости
Восстано Общие
Внешние вление информационные
неавторизованн ресурсы
ые пользователи
Параметры безопасности доступа к интрасети
Режим контроля
SACG, хост-брандмауэр и контроль доступа 802.1x
доступа
Корпоративная сеть
Домен пост-
Доступ Service server 1 Service server 2 Домен
филиала изоляции
Патч-
Базовая сервер
сеть
SVN
Доступ SM
партнеров SACG SACG2
SACG1 SC
802.1X
Домен
Доступ удаленных офисов предварительной
Брандмауэры аутентификации
Агент безопасности внутренных
сотрудников (постоянный)
хоста
Удаленный
Локальный доступ
доступ Прокси безопасности для гостей и
партнеров (временный)
Знакомство с брандмауэрами Huawei
USG6300/6500:
Предназначен для малых и средних предприятий и сетевых организаций.
Обеспечивает интегрированную безопасность и управление.
Предоставляет 4-8 интерфейсов высокой плотности GE. Два расширенных слота поддерживают
интерфейсы 10GE.
Обеспечивает интегрированную защиту, традиционные функции брандмауэра, VPN,
предотвращение вторжений и антивирус.
Идентифицирует более 6000 приложений и обеспечивает контроль доступа с высокой точностью.
USG6600:
Брандмауэр 10GE, предназначенный для предприятий среднего и крупного размера и ЦОД
следующего поколения.
Устанавливается в стандартную 19-дюймовую стойку с высотой 1U до 3U.
Предоставляет электрические интерфейсы 1000M, оптические интерфейсы 1000M или оптические
интерфейсы 10GE, а также поддерживает карты с технологией байпас.
Обеспечивает интегрированную защиту, объединяет многие функции и имеет возможность
идентификации более 6000 приложений.
Поддерживает виртуализацию служб безопасности.
USG9000:
Брандмауэр Тбит/с, предназначенный для провайдеров облачных услуг и ЦОД крупных масштаба.
Поддерживает до 160 Гбит/с сервисных карт, пропускную способность 1,44 Тбит/с и 1,44 млрд.
одновременных соединений.
Поддерживает интерфейсы GE, 10GE, 40GE и 100GE и использует распределенную структуру.
Обеспечивает интегрированную защиту и интегрирует функции брандмауэра, IPS, VPN и анти-
DDoS.
Обеспечивает превосходную надежность и доступность 99,999%.
Другие продукты Huawei безопасности границ
сети
NIP6000:
Это система предотвращения вторжений следующего поколения,
предназначенная для сетей предприятий, кампусов и операторов связи.
Эффективно защищает от распространенных атак, включая червей,
троянских коней и SQL-инъекций.
Определяет несколько приложений, включая основные P2P, IM, онлайн-игры
и социальные сети.
Извлекает файлы из протоколов передачи и анализирует их.
Поддерживает потоковую модель самообучения.
ASG2000:
Является профессиональным онлайн-продуктом корпоративного класса для
управления поведениями в сети
Идентифицирует более 1200 основных приложений и фильтрует 85 млн. URL.
Предоставляет профессиональные аудиторские отчеты и поддерживает
более 30 видов отчетов.
Поддерживает распределенное развертывание.
USG2000BSR: USG6000V:
Предназначен для малых предприятий и Является NFV- и облачным мультисервисным шлюзом.
интегрирует функции безопасности, Поддерживает от 1 до 8 процессоров.
маршрутизации, коммутации и беспроводной связи. Поддержка резервирования по схеме «1+1»или «N+1».
Поддерживает режимы доступа: FE, GE, E1/CE1, Поддерживает до 500 арендаторов.
последовательный, ADSL2 + и 3G.
 Выберите устройства для подключения к кампусных и образовательных
сетей.
 В кампусных сетей серверы, размещенные в аппаратных залах, содержат
конфиденциальную информацию и требуют высокая степень безопасности.
Как устроена сеть?
1. Обзор

 VPN
 WLAN
 Центры обработки данных
Введение VPN
Концепция Настройка частных каналов передачи данных по

VPN общей сетевой инфраструктуре.
Снижение
Туннелирование
затрат
Шифрование и Гибкость
расшифровка
Аутентификация Безопасность
данных Широкое
применение
Аутентификация Отсутствие
идентичности QoS
Технологические
Компоненты VPN
особенности VPN
Сценарий применения VPN
Access VPN: Site-to-site VPN:

Клиенты не требуют фиксированных IP- Взаимосвязь между двумя сетями.
адресов. Точки доступа фиксированы.
Режим, в котором мобильный персонал Это может заменить
подключается к Интернету, не ограничен. арендованные линии.
Удаленный Интернет
офис
Филиал
Путешествующий
сотрудник Партнеры
Функция и применение IPSec VPN
Интернет
Филиал Штаб-квартира
IPSec - это структура безопасности сети, определенная
AH ESP IETF, включает в себя компоненты AH, ESP и IKE, и может
быть сконфигурирована с различными режимами
шифрования и аутентификации по необходимости, чтобы
Обмен ключами в Интернете (Ike) обеспечить конфиденциальность, целостность,
подлинность и антивоспроизведение.
Он предоставляет несколько режимов работы, включая транспортный и

Рабочий режим туннельный режимы. IPSec может использоваться с другими технологиями
IPSec VPN туннелирования.
Независимые сетевые устройства.
Программное обеспечение клиента IPSec работает на ПК.
Техническое Это применимо к site-to-site VPN.

Функция и применение SSL VPN
Интернет
Удаленные Штаб-квартира
пользователи предприятия
HTTP • Использование стандартных • По умолчанию SSL VPN
браузеров и не требуется клиентское поддерживает ограниченные
программное обеспечение.
SSL • Работает на уровне приложений, не
приложения.
• После установки подключаемых
требуя NAT и обеспечивая более
TCP тонкий контроль. модулей можно подключить к сети
• Простота эксплуатации и SSL VPN больше устройств на
техобслуживания. уровне приложений и сети.
IP
Применяется к Access VPN.

Техническое
В настоящее время нет случая применения
site-to-site VPN.
Функция и применение MPLS VPN
Внешние метки строят LSP

VRF VRF
П РЕ2 СЕ2
СЕ1 РЕ1 Внутренние метки определяют VPN,
где находятся данные.
• VPN реализуются на базе MPLS, BGP или LDP и классифицируются на VPN уровня 2
и уровня 3.
• Реализация VPN основана на сетях операторов, и VPN прозрачны для сетей клиентов.
• MPLS VPN не обеспечивает функции шифрования и аутентификации.
• Операторы разделяют VPN на основе портов доступа.
MPLS VPN может быть заменой арендованных линий и

Техническое применяется к site-to-site VPN.
применение Свяжитесь с местными операторами для предоставления
соответствующих услуг.
Линейка продуктов Huawei VPN
IPSec VPN:
IPSec VPN не требует специальных устройств и поддерживается
общими маршрутизаторами и брандмауэрами. Обратите внимание на
количество подключений и приобретите требуемую лицензию.
Необходимо сконфигурировать программное обеспечение IPSec VPN
клиента, которое работает на ПК при развертывании Access VPN.
SSL VPN: SVN5600 или SVN5800

Поддерживает максимум 100 000 одновременных пользователей, а
также основные операционные системы, включая Android, Windows,
iOS, MacOS, Linux, Symbian и Blackberry.
Поддерживает SSL VPN, IPSec VPN, GRE VPN и L2TP VPN.
Поддерживает веб-прокси, расширение сети, совместное
использование файлов и переадресацию портов.
Другие VPN:
… MPLS VPN: специальных требований к клиентским устройствам не

существует, а общие сетевые устройства, такие как маршрутизаторы и
коммутаторы, могут использовать MPLS VPN.
L2TP и GRE VPN: общие маршрутизаторы и усовершенствованные
коммутаторы поддерживают эти функции.
 Университет имеет штаб-квартиру и филиалы, расположенные в разных
городах. Разработка экономически эффективного сетевого решения для
обмена данными между штаб-квартирой и филиалами.
 Некоторые преподаватели колледжа хотят войти в сеть кампуса, когда они
дома или в командировке. Какое решение вы принимаете?
1. Обзор

 Сеть VPN
 WLAN
 ЦОД
Знакомство с WLAN
Комбинация компьютерных сетей и технологий
WLAN
беспроводной связи
2013
802.11ac
2003 1 Гбит/с Прочие
1999
802.11g беспроводные сети
54 Мбит/с
1997 802.11a Bluetooth
802,11 54 Мбит/с
2 Мбит/с 2009 WiMAX
802.11n
600 Мбит/с LTE
1999
802.11b …
11 Мбит/с
Обеспечение гибкого развертывания сети и повышение

Преимущество
эффективности работы
Беспроводная сеть Fat AP
 Fat AP обеспечивает полный

IP-сеть стек протоколов и работает
независимо.
 Fat AP обеспечивает полные
и обширные функции:
Коммутаторы  DHCP
доступа  FW-NAT
Точка Точка  Каждый Fat AP управляется
доступа … доступа
отдельно.
 Роуминг между точками
доступа не поддерживается.
STA STA  Fat AP применяется к сети
небольшого размера.
Беспроводная сеть Fit AP+AC
Сеть уровня  Fit AP предоставляет неполный

ядра стек протоколов и должен
CAPWAP tunnel
использоваться с AC.
 Fit AP легко развертывается и
управляется.
IP-сеть  Fit AP управляются
централизованно.
БЛВС  Роуминг между точками доступа
не поддерживается.
…  Fit AP применяется к сети
большого размера.
Точка доступа 1 Точка доступа n
Продукты Huawei для беспроводных сетей
Точки доступа
в помещении
AP5010SN AP6010SN
AP3010DN AP5010DN AP6010DN AP7110DN AP7110SN
Точки доступа
вне
помещения AP6510DN AP6610DN
Распределенные
точки доступа в AP6310SN
помещении
Контроллеры
БЛВС AC6605 ACU
AC6005
1. Обзор

 Сеть VPN
 WLAN
 ЦОД
Знакомство с ЦОД корпоративных сетей
Обеспечивает IP-инфраструктуру для ключевых сервисных
ЦОД систем предприятий.
Функции основного центра управления данными для предприятий
Комплексное решение
 Система
электроснабжения
 Аппаратный зал
 Система охлаждения
 Кабельная система
 Серверы
 Сетевая система
Сетевая система является частью ЦОД корпоративных сетей
Традиционная сеть ЦОД
 Характеристики сети ЦОД
 Небольшое географическое охват
 Требование к высокой пропускной
способности
 Требование к высокой надежности
 Характеристики сетей ЦОД

 Структура аналогична сети  Каналы с большой пропускной
кампуса способностью или оптические каналы
 Традиционные технологии  Коммутаторы с
маршрутизации и коммутации высокопроизводительностью
 Расслоение по требованию  Стекирование/Резервирование
каналов
Новая технология сетей ЦОД - TRILL
 Проблемы традиционных
сетей ЦОД
 Блокированные каналы и низкий
уровень использования
 Медленная конвергенция
 Сложная архитектура и низкая
эффективность рассылки
 Новые требования ЦОД  Решение TRILL

 Более высокие требования к  Неблокирующие каналы и ECMP
производительности  Быстрая конвергенция
 Большой масштаб
 Сеть уровня 2 большого масштаба
 Требования к миграции из-за
 виртуализации
Новая технология сетей ЦОД - FCoE
Традиционная архитектура сетей ЦОД Архитектура конвергентной
сети ЦОД
LAN
Фронтальная
сеть
Сеть
конвергенции
Кластер
серверов
SAN
Кластер серверов
Задняя сеть и
Дисковый массив
 Проблемы традиционных сетей ЦОД  Сеть конвергенции

 Сложные сети и независимо развернутая сеть LAN  Упрощенные сети и конвергенция LAN
или SAN или SAN
 Низкая энергоэффективность и многие  Снижение TCO и ресурсов адаптеров с
интерфейсные плат нужны единой конвергентной сетью (CNA)
Новая технология сетей ЦОД - Виртуализация
 Проблемы и вызовы
 Затраты на инвестицию и использование ресурсов
 Централизованный доступ пользователей и
сложность O&M
 Централизованная передача услуг и изоляция
 Решение
 Виртуализация устройств: виртуализированные
устройства работают независимо
 Виртуализация услуг: протокол нескольких
экземпляров (multi-instance)
 Виртуализация канала: VPN уровня 2 или уровня 3
Новая технология сетей ЦОД - VXLAN
Сети 2-го и 3-го уровня  Проблемы и вызовы
 Облачные вычисления, виртуальные машины,
расширение емкости и миграция, а также
Туннель непрерывность обслуживания
VXLAN
 L2-сеть с большом масштабом
Граница
NVE
 Решение VXLAN
 Доступные IP-маршруты: ECMP
 Большой масштаб: 16M виртуальных сетей
 Быстрая конвергенция, предотвращение
петель и гибкое развертывание
Инкапсуляция пакетов данных уровня 2 в пакеты UDP и

VXLAN предоставление технологий туннелирования через IP-сети
Будущий центр обработки данных - SDN
Текущая сетевая Архитектура SDN
C/D C/D
C/D C/D
C/D
C/D C/D
D
Решение ONF Решение IETF

Отделение уровня управления от уровня Интеллектуальный уровень управления и
передачи данных плавная эволюция сетевой архитектуры
Стандарты OpenFlow PCEP, I2RS, SNMP, и NetConf
Компании Интернет-услуг , новые Традиционные поставщики сетевых устройств
поставщики и перевозчики
Обеспечение единого сетевого контроля для упрощения управления

SDN сетевыми устройствами и гибкого планирования трафика.
Коммутаторы Huawei для сетей ЦОД
Коммутаторы серии CloudEngine X800:
Коммутаторы серии CE5800 обеспечивают гигабитный доступ с высокой плотностью
и поддерживают uplink-порты 40GE.
Коммутаторы серии CE6800 обеспечивают высокоплотный доступ 10GE и
поддерживают uplink-порты 40GE.
Коммутаторы серии CE7800 обеспечивают высокую плотность доступа 40GE.
Коммутаторы поддерживают IETF TRILL для создания L2-сетей большого масштаба с
512 узлами.
Они поддерживают технологии iStack и устройства в стеке до 16.
Они поддерживают FCoE, DCBX и VXLAN.
Некоторые модели поддерживают OpenFlow и OPS.
Коммутаторы серии CloudEngine 8800:

Обеспечивают высокую плотность портов 100GE, 40GE, 25GE и 10GE за счет гибкого
объединения плат и поддерживают множество функций сетей ЦОД, включая TRILL,
FCoE и VXLAN, высокопроизводительный iStack и OPS.
Коммутаторы серии CloudEngine 12800:

Обеспечивают пропускную способность до 160 Тбит/с.
Поддерживает виртуализацию по схеме 1:16 и сети TRILL с поддержкой до 512 узлов.
Поддерживает VXLAN и до 16 миллионов арендаторов.
Обеспечивает уровня OPS и ENP.
Обеспечить фронтальный дизайн воздушного потока, отдельный воздушный поток
для линейных карт и множество инновационных энергосберегающих технологий.
 Университет планирует построить центральный аппаратный зал, где все
серверы колледжей (около 1 000) централизованы для единого управления.
Количество серверов будет увеличиваться в будущем. Как спроектирована
сеть в аппаратном зале?
1. Обзор

 Сеть VPN
 WLAN
 ЦОД
Концепция сетевого администрирования
Сетевое администрирование включает мониторинг, тестирование,
конфигурирование, анализ, оценки и контроль сетевых ресурсов.
Внутриполосное Внеполосное
управление управление
Данные управления Данные управления передаются
передаются по каналам услуг. по независимым каналам.
Команда Графический интерфейс

пользователя
Консоль SNMP
Telnet HTTP
SSH
Текущая VMS -это программное обеспечение управления GUI на базе SNMP
NMS
 Основные NMS основаны на Simple Network Management Protocol (SNMP).
 Большинство продуктов NMS предоставляют веб-интерфейсы и управление
на основе GUI.
NMS MIB
Агент
SNMP
HTTP
IP сеть
Управляемая система
NMS Huawei -eSight
No. Функция
Установка на основе мастера-и
1 Управление пользователями
облегченная система
2 Управление журналами
3 Управление ресурсами
Настраиваемое управление сторонними
4 Управление топологией
устройствами
5 Управление аварийной сигнализацией
6 управление производительностью
Без клиентского терминала, управление сетями в любое 7 Физические ресурсы
время и в любом месте, используя только браузер 8 Управление отчетами
9 24 настраиваемое управление устройством
10 Управление конфигурационными файлами
Инструмент интеллектуального
Мультисервисное управление, визуальное 11
конфигурирования
управление информацией
12 Управление WLAN
13 Управление SLA
14 Управление MPLS VPN
15 Управление подчиненными NMS
16 Управление функциями одного элемента сети
17 Главная страница системы Portal
18 Разгрузка и резервные копии данных
19 Управление пакетами адаптации элементов сети
Различия в продуктах eSight
Профессиональная
Пункт Компактная версия Стандартная версия
версия
Масштаб управления 60 узлов 5,000 узлов 20,000 узлов
Функции, предоставляемые компактной

Управление топологией, элементами
версией, настраиваемое управление
сети, каналами, физическими
устройством, управление отчетами,
ресурсами, электронными метками,
интеллектуальный конфигурационный Функции стандартной версии
аварийными сигналами,
инструмент, IPSec VPN, MPLS VPN, WLAN, SLA,
Функция производительностью,
IP топология, северный интерфейс тревоги Поддерживается
конфигурационными файлами,
SNMP, управление безопасностью, инструмент иерархическую NMS
журналами. Поддерживается только
резервного копирования данных, инструмент
однопользовательское управление.
сбора неисправностей. Поддерживается
многопользовательское управление.
Сети небольшого размера, требующие Сети среднего и крупного размера, требующие Сети супер-большого размера,
Ориентированный на маркет только управления устройствами с основные прикладные платформы, гибкие требующие иерархическое
низкой ценой решения и компоненты продаж управление
Количество текущих
20,000 20,000 20,000
тревог
Количество
--- 1,5 млн. 1,5 млн.
Объем исторических тревог
хранения Количество журналов 1,000,000 1,000,000 1,000,000
Количество записей о
--- 60,000,000 60,000,000
производительности
Пример
 Сконфигурируйте NMS для сети кампуса.
1. Обзор
Значение технологического решения
Базовый план
проекта
Заключение Цели реализации
проекта на более позднем
Заключение ранней этапе
Веха развития стадии
Граница между планирования и
этапом проектирования
планирования и
проектирования и
более поздним
этапом реализации
проекта
1 История проекта
Результаты обследования на этапе планирования
2 Требование к проекту
Топология
Проектирование физической
3 Подобности решения структуры сети
Проектирование логической
структуры сети
Инженерный интерфейс
Соответствующие Расписание
4 инженерные проблемы
Перечень закупок
5 устройства
Соответствующие файлы технологического
решения
Инженерное предложение
Вексель Ответственность и
1 обязательства
Отказ от ответственности
2 Профиль авторизации Авторизация партнеров по проектированию проекта
Квалификация предприятия
3 Сертификат
Квалификация персонала
Прочие связанные
4 документы
Вопросы
1. Какие из следующих схем кабельной проводки являются популярными в ЦОД?
А. TOR
Б. DOD
В. EOR
Г. NSF
2. Какие из следующих подсистем применяются при разводке кабелей в здании?

А. Горизонтальная подсистема
Б. Вертикальная подсистема
В. Подсистема доступа
Спасибо!
www.huawei.com
Реализация сети

Введение
 Реализация проекта указывает на процесс поставки проекта. Систематическое
управление наряду с эффективным процессом обеспечивает успешную
реализацию проекта.
 В настоящем документе описывается процесс поставки проекта, процесс
реализации рискованных операций и стандарты инженерной работы.
 Процесс поставки проекта обеспечивает высокую эффективность управления
проектами. Процесс реализации рискованной операции используется для
минимизации рисков во время реализации. Стандарты инженерной работы
обеспечивают профессиональные стандарты для инженеров.
Цели
 Процесс поставки проекта
 Процесс реализации рискованных операций
 Стандарты обслуживания инженера
1. Процесс поставки проекта
2. Процесс внедрения рискованных операций
3. Стандарты обслуживания инженера
Важность процесса реализации проекта
 Определение процесса поставки проекта:
 Процесс поставки проекта определяет требования к управлению реализацией
проекта и управлению операциями, обеспечивая реализацию проекта на основе
указанного процесса.
Повышение Повышение Снижение рисков

удовлетворенности эффективности проекта
заказчиков работы
Блок-схема поставки проекта
Процесс
DOA
Проблема с
товарами
Стартовое Проверка с
Подписание Проектирование
совещание по распаковкой
контракта проекту решения
Отклонено заказчиком
Проверка
устройств при
включении
питания
Тренинг по Ввод в эксплуатацию
Проверка качества Установка
техническому программного
обслуживанию обеспечения
Провал проверки качества
Приемка
проекта
Процесс поставки проекта — стартовое
совещание проекта
 После подписания контракта следует провести совещание с заказчиком
проекта:
 Уточнить требования заказчика на основе решений о тендере.
 Подтвердить план и продолжительность проекта.
 Определить собственников и участников проекта от обеих сторон.
 Определить правила управления проектами.
 Подтвердить условия установки устройства.
Процесс поставки проекта — проектирование
решения
 Создать решение по реализации на основе требований заказчика. Решение
должно включать:
 Фон и цели проекта.
 Объем инженерных работ и распределение ответственности.
 График и расстановка сотрудников.
 Подробную процедуру конфигурирования и реализации.
 Миграцию услуг и приемо-сдаточные испытания.
 Обеспечение качества и контроль рисков.
Процесс поставки проекта — проверка товаров
 Следующая информация должна быть
подтверждена после поставки товара:
 Количество упаковочных ящиков совпадает с
количеством, указанным в логистической
документации.
 Количество устройств совпадает с количеством,
указанным в упаковочном листе.
 Количество и модель устройства совпадают с
количеством и моделью, указанными в списке
продуктов.
 Если количество или модель товаров не

совпадает, товары поставлены неправильно.
Обратитесь к поставщику для решения проблемы.
Процесс поставки проекта — проверка товаров с
распаковкой
 Проверьте, совпадают ли артикул, модели и количества, перечисленные в
упаковочном листе, с теми, что поставили.
 Проверьте, повреждены ли компоненты.
 После того, как товары были проверены, руководитель по установке и
представитель заказчика должны подписать упаковочный лист.
Процесс поставки проекта — процесс DOA
 Неработоспособный при поступлении (DOA):
 Устройство физически нетронуто при поступлении, но не работает должным образом сразу после включения или в
течение 48 часов с момента включения питания.
 Процесс DOA:
 Инженер на объекте в первое время вызывает горячую линию обслуживания Huawei для оказания помощи от
центра технической поддержки (TAC).
 TAC определяет, является ли это вопрос DOA.
 Инженер отправляет отчет о проблеме товаров в TAC и получает помощь для завершения последующих процессов.
 Отчет о проблеме товаров:

 Заполнить подробное описание проблемы товаров в строке "подробная информация о проблеме".
 Убедитесь, что адрес для получения пополняемых товаров, требуемое время прибытия, грузополучателя и номер
телефона являются правильными.
Процесс поставки проекта — проверка среды
установки устройства
Huaw
ei
Среда аппаратной (пространство,

температура, влажность)
Состояние шкафа
(Размеры, прокладка кабелей,
состояние заземления устройства)
Статус распределения питания
(Напряжение, потребляемая
мощность)
Процесс поставки проекта — установка
Подготовка инструментов
Установка монтажных
кронштейнов
Установка устройства в
шкаф Установка плавающих
гаек и направляющих
Установка устройства в
шкаф
Установка вентиляторов и
модулей питания
Установка модулей и плат
Установка сервисных плат
Установка кабелей питания

Установка кабелей
Установка сервисных
кабелей
Процесс поставки проекта — проверка
аппаратного обеспечения
 Перед включением устройства выполните следующие проверки:
 Проверьте аппаратное обеспечение устройства на основе контрольного перечня
(checklist).
 Выполните проверки безопасности системы питания.
 Выполните следующие проверки после включения питания устройства:

 Проверьте индикаторы состояния устройства на основе руководства по продукту.
При возникновении неисправностей устройства инициируйте процесс DOA
вовремя.
Процесс поставки проекта — ввод в
эксплуатацию одного узла
 Проверка состояния индикаторов
 Запрос рабочего состояния

Модуль питания CMU SFU
display xxx
 Подача заявление на лицензию (Версия, мощность, ESN, состояние платы и т.д.)
Пароль активации: 134B979011-6F11E3A0BE
Процесс поставки проекта — ввод в
эксплуатацию нескольких узлов
Ввод в эксплуатацию
услуг
Ввод в эксплуатацию
высокой
доступности Тесты на трафика услуг
Тесты на управление
Ввод в эксплуатацию доступом
Тесты на переключения
соединения пути
Тесты на QoS
Тесты на горячее
Тесты на соединение резервирование двойного
основного канала связи узла
Тесты на взаимодействия
протоколов второго
уровня
Тесты на взаимодействия
маршрута третьего
уровня
Процесс поставки проекта — миграция сети
 Наиболее важным шагом является оценка риска.
Анализ состояния Подготовка перед

проекта миграцией
Решение
Реализация отката
Цель миграции миграции
Оценка риска Тест Передача

материала
Процесс поставки проекта — обучение по
техническому обслуживанию
Обучение по организации Обучение по регулярному Обучение по устранению
сети и конфигурации техобслуживанию неисправностей в
экстренных случаях
Процесс поставки проекта — приемочная
проверка
Заседание приемки Передача

проекта
2. Процесс внедрения рискованных операций
Описание рискованных операций
 Рискованная операция — это любая операция, которая может повлиять на
работоспособность устройства, сервисную работу или функцию мониторинга системы
управления сетью (NMS).
 Цель
 Для регулирования инженерного поведения инженеров, повышения качества поставки и
предотвращения аварий.
 Идентификация
 Если инженер на объекте не может определить, является ли операция рискованной,
инженер должен своевременно консультироваться с инженерами службы в местном
представительстве.
Процесс реализации рискованных операций
Проектирование
решения Получение авторизации Реализация и обратная связь
08 подтверждает 12 подтверждает, что

Заказчик решение операции завершены
01 разрабатывает 07 представляет
решение по решение и подает 11 завершает операции и
реализации заявку на авторизацию представляет заказчику
заказчика сервисный отчет
02 выполняет
Инженер внутреннее
03 получает
авторизацию на
09 получает
уведомления об
13 представляет
измененную
рассмотрение
решения управление операции и поддержку информацию и дает
на месте от Huawei обратную связь по
(при необходимости) результатам операции
05 получает техническую
авторизацию
04 06 рассматривает 10 организует 14 сдает материалы в

предоставляет решение и выполняет ресурсы для архив и завершает
Huawei авторизацию на техническую поддержки (при закрытие заказа
управление авторизацию необходимости) изменения.
— разработка решения
— получение авторизации
 Авторизация на управление:
 на основе ситуации проекта инженер отправляет электронное письмо менеджеру
проекта Huawei для получения авторизацию на управление.
 Техническая авторизация:
 Инженер отправляет техническое решение техническим специалистам Huawei по
электронной почте для подачи заявки на авторизацию. Решение должно быть
представлено для рассмотрения не менее чем за 3 дня до реализации.
 Авторизация заказчика:
 Отдел заказчика, ответственный за проектирование, утверждает операцию
письменно или через электронную почту.
— процесс операции
Опасные
операции
Отправить
Отправить Отправить Отправить
Завершить решение Подписаться уведомление по
уведомление по SMS- SMS-
после согласования на месте электронной
электронной почте уведомление уведомление
почте
До 7 дней До 24 ч До 1 ч За 1 ч За 24 ч
До 10 мин
2. Процесс реализации рискованных операций
Стандарты информационной безопасности
— безопасность информации заказчика
Организационная Система Технические
Рабочий план
структура управления материалы
Право
собственности Разглашение
у заказчика запрещено
Наличие Коммерческая Незаконное

юридической тайна получение
ответственности запрещено
заказчика
Возврат во время
после Продажа
санкционированного запрещена
использования
Стандарты информационной безопасности —
информационная безопасность устройств заказчика
Операционные устройства должны быть

одобрены заказчиком.
Информация об
устройстве заказчика
Факс
Учетные записи пользователя
Голосовая запись
Требуется история официального Электронная почта
Пароли устройств утверждения. Уведомление об
обслуживании на объекте
Файлы, процессы и данные Подтвержденные протоколы
устройства заседаний
Важная информация
(Топологии, IP-адреса и т.д.) Инженер на объекте должен объяснить Основные события
операционные риски для заказчика и Важные конференции
старается избежать основных периодов. Особенные периоды
напоминания заказчику о информационной безопасности
О удалении
учетной
записи
О внедрении
О обновлении
после
пароля
рассмотрения
Напомнить
О
О защите
резервировании
журнала
данных
безопасность проекта
 Этап подготовки проекта:
 Информация о участниках проекта, проектировании сайта, планировании сети, и сайте.
 План проекта, бюджет проекта.
 Этап реализации проекта:
 Версия, связанная с проектом, скрипт конфигурирования и информация о вводе в эксплуатацию.
 Соблюдать правила управления аппаратной и надлежащим образом хранить приобретенное
оборудование.
 Выйти из функцию удаленного входа и удалите тестовую учетную запись.
 Этап приемки проекта: Сфера охвата
 Возвращать тестовые инструменты и отчеты о результатах тестирования. информационной
 Передавать документы, отчеты о сохранившихся проблемах и учетную запись
проекта
и пароли соответствующем персоналу.
Правила этикета и повседневного поведения
Вежливое
 Благообразная обращение по
внешность телефону
 Хорошие манеры
 Уместность речи
Коммуникация
Проверка
правильности
Серьезное
информации в
отношение к
электронном
совещаниям
письме перед
отправкой.
Стандарты поведения на объекте — подготовка
перед отъездом
Быть
Заранее пунктуальными
подтвердить
установочную
среду Подготовить
решение,
инструменты,
запасные части
и т.д.
Стандарты поведения на объекте — реализация
услуг
 Стандарты прав:
 Войти в аппаратную без разрешения или взять с собой запрещенные статьи запрещены.
 Не отвлекать от работы.
 Не эксплуатировать устройства других поставщиков, не связанные с проектом.
 Стандарты эксплуатации:
 Сфера действия не может выходить за сферой, утвержденные заказчиком.
 Стараться не работать с устройствами в часы пик.
 Во время работы необходимо принимать антистатические меры для предотвращения повреждения
устройств.
 Стандарты отношения:
 Отвечать на запросы заказчиков терпеливо.
 Терпимо относиться к критике, даже если негативные последствия не вызваны вами.
Стандарты поведения на объекте — завершение
услуги
Передача Вежливое
Подтверждение
лицом к лицу прощание
Вопросы
1. Каковы основные этапы процесса поставки проекта?
2. Какие авторизации требуются для реализации рискованной операции?
3. О чем напомнить заказчику для обеспечения информационной безопасности?
Спасибо!
www.huawei.com
Техническое обслуживание сети
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены

Введение
 Стабильная работа сети обеспечивает бесперебойную реализацию
пользовательских услуг и зависит от регламентного техобслуживания и
устранения неисправностей. Регулярное техническое обслуживание сети
является профилактической мерой, основанной на планах, а устранение
неисправностей начинает функционировать в связи с определенными
событиями.
 В этом курсе описываются методы, правила и навыки регламентного
техобслуживания.
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Цели
 После окончании данного курса Вы узнаете:
 Задачи регламентного техобслуживания
 Использование программного обеспечения управления сетью для обслуживания
сетей
 Основные методы обновления программного обеспечения устройства
 Форматы отчетов о регламентном техобслуживании
1. Обзор регламентного техобслуживания
2. Метод использования программного обеспечения управления сетью
3. Обновление программного обеспечения устройства
4. Отчет о регламентном техобслуживании
Сетевая операция — обзор
 Задачи во время работы сети
включают регламентное
техобслуживание и устранение
неисправностей.
 Регламентное техобслуживание
проводится регулярно, как и
планировалось.
 Устранение неисправностей
обусловлено событиями.
Регламентное техобслуживание
 Регламентное техобслуживание — это профилактическая мера.
 Он проводится регулярно, когда сеть работает нормально для обнаружения и
устранения дефектов или неисправностей сетевых устройств. Это обеспечивает
долговременную, надежную, стабильную и надежную работу сети.
 Регламентное техобслуживание позволяет получить базовый уровень сети,

что облегчает устранение неисправностей сети.
Регламентное техобслуживание — содержание и
методы
 Наблюдение на месте
 Выполните наблюдение за аппаратной рабочей средой.
 Удаленная операция
 Проверьте состояние работы программного обеспечения.
[AR3260]display current-configuration
[V200R003C00]
#
sysname AR3260
#
snmp-agent local-engineid 800007DB03000000000000
snmp-agent
#
clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load portalpage.zip
#
drop illegal-mac alarm
#
set cpu-usage threshold 80 restore 75
#
Регламентное техобслуживание — Checklist
 Создать контрольный список (Checklist) для каждой категории проверки.
Проверка рабочей среды устройства
 Сконцентрируйтесь на температуре, влажности и чистоте.

 При обнаружении каких-либо проблем запишите их и сообщите об этом соответствующему персоналу.
Если проблема трудна, обратитесь за помощью к персоналу технической поддержки.
 Рекомендуется проверять рабочую среду устройства каждый день.
Проверка основной информации о устройстве
 Сконцентрируйтесь на версии, информации о запуске, лицензии и пространстве хранения.

 При обнаружении каких-либо проблем запишите их и сообщите об этом соответствующему персоналу. Определите
причину и разработайте план для исправления.
 Рекомендуется проверять основную информацию о устройстве еженедельно или ежемесячно.
Проверка состояния рабочего состояния
 Сконцентрируйтесь на аварийном сигнале платы, источника питания, вентиляторов, температуры, ЦП и памяти.

 При обнаружении каких-либо проблем запишите их и сообщите об этом соответствующему персоналу. Если аппаратное
обеспечение неисправно, обратитесь к поставщику за технической поддержкой.
 Рекомендуется проверять рабочее состояние устройства еженедельно или ежемесячно.
Проверка информации интерфейса
 Сконцентрируйтесь на статистике ошибок пакетов, дуплексном режиме и статистике трафика.

 При обнаружении каких-либо проблем запишите их и сообщите об этом соответствующему персоналу.
Если обнаружена неисправность, проанализируйте ее и выясните причину.
 Рекомендуется проверять информацию о интерфейсах еженедельно или ежемесячно.
Проверка услуг
 Сконцентрируйтесь на функциях или протоколах, связанных с такими сервисами, как многоадресная передача,
OSPF и BGP.
 При обнаружении каких-либо проблем запишите их и сообщите об этом соответствующему персоналу. Если
происходит исключение, анализируйте его и выясните причину.
 Рекомендуется проверять услуги еженедельно или ежемесячно.
Резервирование программного обеспечения и
конфигураций
Резервный сервер
• Конфигурационный файл
Уровень агрегации • Файл версии ПО
• Файл лицензии
 Целью резервного копирования является восстановление сетей в определенных ситуациях.

 Рекомендуется резервное копирование программного обеспечения и конфигураций
еженедельно.
Система управления сетью (eSight)
Система управления сетью (NMS)
• Управление аварийной
сигнализацией
Уровень агрегации • Управление
производительностью
• Управление
конфигурационными файлами
• Отчеты об управлении сетью
 Регламентное техобслуживание включает в себя множество повторных и простых

задач. Программное обеспечение для управления сетью может использоваться для
повышения эффективности обслуживания сети.
Функции eSight
 Управление производительностью
 Управление аварийной
сигнализацией
 Отчеты об управлении сетью
 Управление конфигурационными файлами
Обновление ПО — необходимость
 Новые версии поддерживают новые функции или новые аппаратные модули.
 Разработаны новые функции.
 Улучшено удобство использования.
 Стабильность выше.
 Новые аппаратные модули требуют новых версий программного обеспечения.
 Новые версии исправляют ошибки в старых версиях.

 Программное обеспечение имеет ошибки.
 Последние версии исправляют известные ошибки.
Подготовка к обновлению программного
Подготовка к обновлению
Оценка возможности обновления
Получение программных файлов и документов
Разработка планов обновления и отката
Обновление программного обеспечения
 Полностью подготовьтесь перед обновлением программного обеспечения.
Оценка осуществимости обновления
Оценка Оценка
Оценка рисков
необходимости осуществимости
 Необходимо ли обновить  Услуги могут быть  Могут ли услуги

программное обеспечение? прерваны. прерываться?
 Могут ли ошибки быть  Могут возникнуть новые  Является ли оператор
исправлены без обновления проблемы. опытным?
программного обеспечения?  Режим техобслуживания  Достаточна ли
 Есть ли другое решение? может изменяться. техническая поддержка?
 ……  ……  ……
Возможно ли обновление?
Получение файлов программного обеспечения и
руководств по обновлению
Путь для загрузки файла
Продукты
Модели продукта
Соответствующие документы
Версии и патчи
 Вы можете получить программное обеспечение последних версий с официальных веб-сайтов производителей

сетевого оборудования.
Планы обновления и отката
 План обновления включает в себя следующее:
 Время обновления и операционное окно (продолжительность прерывания услуги)
 Объект и инструмент обновления (включая соответствующие сценарии)
 Оперативный персонал и техническая поддержка (отдел ответственности)
 Метод проверки (до и после обновления)
 План отката включает в себя следующее:

 Условия срабатывания отката
 Процесс отката (включая проверку)
 Экстренные меры в случае, если обновление не может быть отменено
Отчет о регламентном техобслуживании
Краткое описание
Отчет о профессиональном Приложение
регламентного Отчет NMS
техобслуживания осмотре (опционально)
 Краткое описание  Ключевые показатели  Рабочее состояние сети  Отчет об

работы работы  Диагностика уязвимости обновлении
 Описание ключевого  Статистика и анализ сети  Отчет об устранении
события данных  Профессиональные неполадок
 Предложения по  Анализ исключений предложения  Случай устранения
улучшению  ……  …… неполадок
 ……  ……
Отчет о регламентном
техобслуживании сети
Вопросы
1. Какие заявления о функциях технического обслуживания сети являются
правильными?
А. Регламентное техобслуживание — это профилактическая мера.
Б. Регламентное техобслуживание позволяет получить базовый уровень сети, что

облегчает устранение неисправностей сети.
В. Регламентное техобслуживание имеет высокие требования к квалификации оператора,

но низкие требования к стандартизации операций.
Г. Техническое обслуживание сети требует как технических мер, так и систем управления.
Спасибо!
www.huawei.com
Обзор устранения неисправностей
сети
Введение
 Для большинства модернизированных предприятий огромное значение
имеет стабильное функционирование сетевой инфраструктуры. Прерывание
обслуживания в связи с неисправностями сети может привести к потере
выходных данных, потере прибыли и повреждению репутации. Поэтому
устранение неисправностей необходимо для модели PDIOI (Планирование,
проектирование, внедрение, эксплуатация и совершенствование).
Цели
 Процесс устранения неисправностей структурированной сети
 Методы устранения неисправностей сети на основе путей, через которые
проходит сервисный трафик
1. PDIOI и устранение неисправностей сети
2. Процесс устранения неисправностей структурированной сети
3. Основные теории и общие методы устранения неисправностей сети
Что такое неисправность сети?
 Неисправность сети возникает при сбое определенной сетевой функции по
некоторым причинам и при поражении сетевых сервисов.
 Для сетевого пользователя любой симптом, влияющий на услуги, может
быть определен как неисправность сети.
Тип неисправности сети
Признаки Временное
Аварийные Сбой Прерывание Потеря Исключение Нестабильность Исключение
Петля прерывание
Тип сигналы услуги услуги пакетов протокола протокола маршрута
услуги
Аппаратное
обеспечение √ √ √
Конфигурация √ √ √ √
Организация сети √ √ √ √ √ √ √ √
Производительность √ √ √ √ √
Программное
обеспечение √ √
соединения √ √ √
Прочее √ √ √ √ √
PDIOI и устранение неисправностей сети
 Функционировать
 Регулярное техобслуживание
 Устранение неисправностей
Поднимание вопросов
 Если сетевое устранение неисправностей выполняется на основе интуиций
или опыта, это может вызвать следующие проблемы:
 Трудности в коллективном сотрудничестве
 Отсутствие обзорных документов по устранению неисправностей
 Необеспечения непрерывности обнаружения и устранения неисправностей
Процесс устранения неисправностей
структурированной сети
Сообщить о неисправности

Проверить неисправности
Собрать информацию
Идентифицировать и анализировать
неисправности
Экспорт списка причин
Оценить сложность устранения

Проверить причины по одной
Проверить Нет
исправлена или восстановлена Восстановить сетевые услуги
ли неисправность
Да
Устранить неисправность Выполнить конечные работы
неструктурированной сети

неструктурированной сети
Х Идентифицировать и анализировать
Х Экспорт списка причин

Анализ неисправности на
основе интуиций
Х Оценить сложность устранения

Проверить причины по одной
ли неисправность
Да
Устранить неисправность
Х Выполнить конечные работы
Отчет о неисправности
 В понедельник утром поступил звонок о неисправности от сотрудника, "Я не
могу получить доступ к Интернету на своем компьютере. пожалуйста,
устраните неисправность как можно скорее. "
 Что нужно делать после звонка?
Сообщение о неисправности: проверка
неисправности посредством упреждающей связи
Имя, отдел, должность, разряд, и ответственная область,
Отчет о местоположение ПК (включая комнату, этаж, и использование
неисправности беспроводного или проводного доступа), веб-сайт, доступ к
которому осуществляется при возникновении неисправности
Частота
Является ли неисправность неожиданной, случайной или частой
Пользовательские операции на терминале до и после
Операция неисправности, например, изменяется ли IP-адрес или сервер
пользователя имен доменов (DNS), и установлен ли программный брандмауэр
или программное обеспечение управления безопасностью
 Запросите пользователя о вышеуказанной информации по телефону и

запишите его в отчет об устранении неисправностей.
Сообщение о неисправности: предполагая
причины
 Вопрос:
 Почему следует узнать должность, разряд и должностные обязанности
пользователя?
 Ответ:
 На предприятии пользователи различных разрядов могут иметь различные
права доступа к сети. Кроме того, пользователи одного и того же разряда работы
могут иметь только права доступа к сетевым услугам, связанным с их
соответствующими работами.
Причина проверки неисправности
 Описание неисправности пользователя может быть нечетким, и точка
отказа может быть ошибочной. Поэтому для проверки неисправности
требуется опытный инженер.
Х Сервер
Проверка неисправности
 Четыре ключевых элемента проверки неисправностей:
 Субъект
 Признаки
 Время
 Местоположение
 Предоставление точного описания симптома.

 Определите, находится ли неисправность в пределах вашей
ответственности.
Сбор информации
 Какая информация собирается
 Способ сбора
 Требования к авторизации
 Оценка рисков для сбора информации
Идентификация и анализ неисправности
Идентификация и анализ
Информация о неисправности
Информация о техническом
обслуживании
История изменений
Опыт команды
Фильтрация информации Список причин

Возможная причина 1
Возможная причина 1 для проверки
Исключенные причины
...
Оценка сложности устранения неисправностей
Оценка сложности устранения

Х
Проверка причин по одной

Корневая причина
 Оцените сложность устранения неисправностей перед проверкой причин по

одной.
Оценка сложности устранения неисправностей:
создание временной среды
Оценка сложности устранения

Создание временной среды
Х
 Для оценки сложности устранения неисправностей, возможно, потребуется

создать временную сетевую среду.
 При проверке причины могут быть затронуты изменения в сети.
Аварийный план
Подготовка отката

Устранение неисправности
Устранение неисправностей
Постоянное наблюдение за сетевыми услугами

Проверка причин по одной Корневая причина
Выполнение конечной работы
 В некоторых случаях необходимо наблюдать за сетевыми услугами в

течение определенного периода после устранения неисправности.
Устранение неисправности: выполнение
конечной работы
Выполнение конечной работы
Обработка документов по устранению

Краткие отчеты об устранении неисправностей Передача документации
Резервное копирование изменения и

предложение о техническом обслуживании
Пострадавшие стороны
Уполномоченные стороны на всех этапах Информационное уведомление
Другие: поставщики и провайдеры услуг
 Столь же важной является конечная работа после устранения

неисправностей.
Обзор: процесс устранения неисправностей

Идентифицировать и анализировать
неисправность
Экспортировать списка причин
Оценить сложность устранения

Проверить причину по одной
ли исправность
Да
Устранить неисправности Выполнить конечные работы
Эталонная модель TCP/IP и устранение
неисправностей сети
Прикладной уровень
Транспортный уровень
Сетевой уровень
Уровень сетевого интерфейса

Уровень канала передачи данных
Физический уровень
 Модель TCP/IP (Transmission Control Protocol/Internet Protocol) является основой

теорий устранения неисправностей сети. Физические и канальные слои в эталонной
модели OSI (Open Systems Interconnection) также требуют внимания.
Теории устранения неисправностей, основанные
на пути трафика услуг
Финансовая Производственная
Услуга OA Другие
услуга услуга услуги
Сеть
Подтверждение пути трафика услуг: сетевой
уровень
Путь 1
IP- Заголов
заголовок ок TCP Данные Путь 2
 Проверьте пути маршрутизации пакетов на сетевом уровне.
Подтверждение пути трафика услуг: уровень
канала передачи данных
Путь 1
Путь 2
Заголовок IP- Заголов

Ethernet заголовок ок TCP Данные FCS
 Проверьте пути переадресации рамки данных коммутаторов на уровне

сетевого интерфейса.
Нисходящий метод

 Если неисправность не обнаружена в подключении сетевого уровня,

используйте этот метод для локализации неисправности.
Восходящий метод

 Если обнаружена неисправность в подключении сетевого уровня,

используйте этот метод для локализации неисправности.
Сравнение конфигураций
[R1]display isis 1 brief
ISIS Protocol Information for ISIS(1)

[R2]display -------------------------------------
isis 1 brief
SystemId: 0000.0000.0001 System Level: L1
Area-Authentication-mode: NULL ISIS Protocol Information for ISIS(1)
Domain-Authentication-mode: NULL
-------------------------------------
Ipv6 is not enabled
SystemId: 0000.0000.0001 System Level: L1
ISIS is in invalid restart status
Area-Authentication-mode: NULL
ISIS is in protocol hot standby state:
Domain-Authentication-mode: Real-Time Backup
NULL
Ipv6 is not enabled
Interface: 10.1.1.1(Loop0)
ISIS is in invalid restart status
Cost: L1 0ISIS is inL2 0
protocol hot standbyIpv6 Cost:
state: L1 0
Real-Time L2
Backup
0
State: IPV4 Up
Interface: 10.1.1.1(Loop0) IPV6 Down
Type: P2P Cost: L1 0 L2 0 MTU: 1500 Ipv6 Cost: L1 0 L2
Priority: 0L1 64 L2 64
Timers: State:
Csnp: L12 Up
IPV4 10 , Retransmit: L12 5 , IPV6
Hello: 10 ,
Down
Hello Multiplier:
Type: P2P3 , LSP-Throttle Timer:
MTU:L12 50
1500
Priority: L1 64 L2 64
Timers: Csnp: L12 10 , Retransmit: L12 5 , Hello: 10 ,
Hello Multiplier: 3 , LSP-Throttle Timer: L12 50
Замена сущностей
Замена Замена сетевого

терминала устройства
Замена
кабеля
 Этот метод часто используется в устранении неисправностей аппаратного

обеспечения.
Устранение неисправностей по частям
 Анализ конфигурационных файлов сетевых устройств по частям:
Конфигурация Содержание
Часть управления Имена маршрутизаторов, пароли, услуги, журналы и т.д.
Часть интерфейса Адреса, инкапсуляция, затраты, аутентификация и т.д.
Часть протокола Статические маршруты, протокол маршрутизации (RIP),
маршрутизации протокол OSPF, протокол BGP, импорт маршрутов и т.д.
Политика маршрутизации, маршрутизация на основе
Часть политики
политик, конфигурации безопасности и т.д.
Часть доступа Вход Telnet и т.д.
Часть других
Конфигурации качества обслуживания (QoS) и т.д.
приложений
Устранение неисправностей по сегментам
Вопросы
1. В конце работ процесса структурированного устранения неисправностей сети,
какие из следующих сторон должны быть уведомлены?
А. Пострадавшие стороны
Б. Уполномоченные стороны на всех этапах
В. Поставщики и поставщики услуг
Г. Несвязанный персонал, интересующийся первопричиной неисправности
Спасибо!
www.huawei.com
Устранение распространенных
неисправностей сети
Введение
 При возникновении сбоя сети, сложнее обнаружить неисправность и
определить причину сбоя, чем устранить неисправность. Изучив этот курс,
вы поймете методы устранения неисправностей в сети. Вы также научитесь
быстро обнаруживать неисправности, выяснять причины сбоя и устранять
проблемы для восстановления сетей.
Цель
 Методы устранения распространенных неисправностей сети
1. Основные ошибки конфигурации 4. Неисправности IP-услуг
 Ошибка входа в Telnet 5. Недостатки надежности
 Ошибка входа в SSH 6. Ошибки безопасности
2. Неисправности локальной сети (LAN) 7. Неисправности
3. Неисправности протокола управления сетью
IP-маршрутизации
Ошибка входа в Telnet
RTA 10.0.12.0/24 RTB
.1 .2
g0/0/0 Х g0/0/0
№ Процедура acl number 2001

Включите функцию сервера Telnet и rule 10 deny #
1
установите параметры. aaa
local-user admin1234 password cipher huawei
Настройте пользовательский интерфейс local-user admin1234 privilege level 3
2
для входа в Telnet. local-user admin1234 service-type telnet
#
Настройте локального пользователя user-interface maximum-vty 8
3
Telnet (режим аутентификации AAA). #
Подключите устройство через Telnet с user-interface vty 0 7
4 acl 2001 inbound
терминала. authentication-mode aaa
 Маршрут между клиентом и сервером Telnet не доступен. В результате TCP-соединение не может быть
установлено между клиентом и сервером.
 Число пользователей, подключенных к серверу, достигло верхнего предела.
 Список управления доступом (ACL) связан в режиме пользовательского терминала виртуального типа (VTY).
 Telnet не настроен как разрешенный протокол в режиме пользовательского интерфейса VTY. Например,
сконфигурирована команда протокола входящего ssh.
Ошибка входа Telnet — процесс устранения
неполадок
display acl acl-number
rule permit source source-ip-address soucer-wildcard
Клиент не display users

может войти display user-interface maximum-vty authentication-mode password
на сервер, user-interface maximum-vty 15 authentication-mode aaa
используя
Telnet protocol inbound { telnet |
all }
Нет Связан ли
Может ли клиент Да Число пользователей Нет Разрешен ли Да Правильно ли Да
ACL в режиме Telnet в режиме
пропинговать достигает верхнего пользовательского настроен режим
пользовательского
сервер Telnet предела интерфейса VTY аутентификации
интерфейса VTY
Нет Да Да Нет Нет
Устраните Добавьте Настройте VTY Правильно

пользователeй, Изменение
неисправность которым разрешено для поддержки настроить режим
настроек ACL
соединения войти в систему Telnet аутентификации
Исправность Исправность Исправность Исправность Исправность

устранена? Нет устранена? Нет устранена? Нет устранена? Нет устранена? Нет
Да Да Да Да Да
Конец
Обратитесь за
технической
поддержкой.
 Ошибка входа в Telnet 5. Недостатки надежности
 Ошибка входа в SSH 6. Ошибки безопасности
2. Неисправности локальной сети (LAN) 7. Неисправности управления
3. Неисправности протокола сетью
Ошибка входа в SSH
RTA 10.0.12.0/24 RTB
.1 .2
g0/0/0 Х g0/0/0
ssh client first-time enable rsa peer-public-key rsakey001

public-key-code begin
... ...
№ Порядок действий public-key-code end
peer-public-key end
Включите серверную функцию STelnet и установите #
1
параметры. aaa
local-user r1 password cipher huawei
Настройте пользовательский интерфейс для входа local-user r1 privilege level 3
2
в SSH. local-user r1 service-type ssh
#
3 Настройте SSH пользователя. ssh user client002 assign rsa-key rsakey001
ssh user client002 authentication-type rsa
4 Подключитесь к устройству посредством STelnet. stelnet server enable
SSH server port 1025
#
user-interface vty 0 4
authentication-mode aaa
protocol inbound ssh
 Маршрут между клиентом и сервером SSH не доступен. В  Тип сервиса пользователя, режим аутентификации и тип
результате TCP-соединение не может быть установлено сервиса аутентификации пользователя не настроены.
между клиентом и сервером.  Число пользователей, подключенных к серверу,
 Сервис SSH отключен. достигло верхнего предела.
 SSH не настроен как разрешенный протокол в режиме  ACL связан в режиме пользовательского интерфейса
пользовательского интерфейса VTY. VTY.
 Открытые ключи RSA сервера SSH и клиента не настроены.  Версии SSH сервера и клиента отличаются друг от
друга.
 Начальная аутентификация отключена на клиенте SSH.
Ошибка входа в SSH — процесс устранения
неполадок
display ssh user-information display acl acl-number
protocol inbound { ssh | all } ssh client first-time enable
Клиент не ssh user authentication-type rule permit source
может войти на display ssh server status
сервер SSH display rsa local-key-pair display user
display ssh server status public ssh server compatible-ssh1x
stelnet server enable display user-interface maximum-vty enable
rsa local-key-pair create
Разрешен ли Настроен ли Установлены Число Связан ли ACL Включена ли

Да SSH в режиме Да Да ли параметры Да пользователей Нет в режиме Нет Являются ли Да Да
Включен ли открытый ключ достигает начальная
пользовательск аутентификации пользовательск версии SSH
сервис SSH ого интерфейса RSA на SSH- пользователя верхнего ого интерфейса аутентификация
одинаковыми
VTY сервере SSH предела VTY на клиенте SSH
Да Да Нет
Нет Нет Нет Нет Нет
Настройте Увеличение числа Измените ACL для Включите
Включите сервис Настройте VTY Настройте пару пользователей, Настройте
параметры разрешения IP- начальную
SSH. для поддержки ключей на которым совместимость
аутентификации разрешено войти адреса клиента аутентификацию
SSH сервере версий SSH
пользователя SSH в систему VTY SSH на клиенте SSH
Исправность Исправность Исправность Исправность Исправность Исправность Исправность Исправность

устранена? Нет устранена? Нет устранена? Нет устранена? устранена? устранена? устранена? устранена?
Да Да Да Да Да Да Да Да
Конец
2. Неисправности локальной сети (LAN) 5. Недостатки надежности

 Сбой VLAN 6. Ошибки безопасности
 Сбой MSTP 7. Неисправности управления
 Петли сетью
3. Неисправности протокола
Сбой VLAN
SWA SWB
g0/0/1 g0/0/1
g0/0/11 g0/0/13 g0/0/12 g0/0/14
PC1 PC3 PC2 PC4

vlan batch 12 to 34
#
№ Порядок действий interface GigabitEthernet0/0/12
1 Создайте VLAN port default vlan 12
#
Установите типы ссылок интерфейсов по interface GigabitEthernet0/0/14
2
стандарту Ethernet. port link-type access
port default vlan 34
3 Свяжите интерфейсы с VLAN. #
4 Проверьте настройку. port link-type trunk
port trunk allow-pass vlan 12 to 34
#
 Сбой ссылки.
 На хостах сконфигурированы некорректные записи
 Отключен интерфейс или поврежден порт.
статического протокола разрешения адресов (ARP).
 Коммутатор неправильно запоминает MAC-адреса.  На коммутаторах настроены неправильные
 Изоляция порта настраивается на коммутаторах. отображения между интерфейсами и MAC-адресами.
Сбой VLAN — процесс устранения неполадок
display interface interface-type interface-number
Пользователи display mac-address arp static ip-address mac-address

в VLAN не могут undo mac-addressmac-address vlan vlan-id display arp static
получить доступ
друг к другу display vlan vlan-id undo port-isolate enable
Являются ли Корректные Правильно ли Включена ли Правильно ли

Да Да Да Правильно ли Да Нет статические записи Да
интерфейсы IP-адреса, коммутатор портовая
сконфигурированн запомнил MAC- сконфигуриров изоляция на
ARP
включены в сконфигурированы
ые для терминалов адреса ан VLAN интерфейсах
VLAN на терминалах
Нет Нет Нет Нет Да Нет
Настройте Настройте
Устранение коммутатор для Измените Измените
правильные IP- Отключите
неисправностей повторного неправильные неправильные
адреса для изучения MAC- изоляцию порта
на интерфейсах конфигурации записей ARP
терминалов адресов
Исправность Исправность Исправность Исправность Исправность Исправность

устранена? Нет устранена? Нет устранена? Нет устранена? Нет устранена? Нет устранена? Нет
Да Да Да Да Да Да
Конец
2. Неисправности локальной сети (LAN) 5. Недостатки надежности

Сбой MSTP
№ Процедура
сети 1 Настройте режим MSTP.
2 Настройте регион MST и активируйте настройку.
RG1
E0/0/2 E0/0/2 (Необязательно) Настройте корневой мост и
SWA SWB 3
резервный корневой мост.
E0/0/1 E0/0/1 (Необязательно) Установите приоритеты

4
коммутаторов в указанных MSTI.
E0/0/3 E0/0/3 (Необязательно) Установите затраты на пути портов в
5
E0/0/2 E0/0/2 указанных MSTIs.
SWC SWD
(Необязательно) Установите приоритеты портов в
6
указанных MSTIs.
E0/0/1 E0/0/1
7 Подключите MSTP.
 Неверная конфигурация нескольких протоколов

связующего дерева (MSTP).
PC1 PC2  Физическая линия связи закрыта, и устройства

stp region-configuration stp region-configuration отправляют много пакетов TC.
region-name RG1 region-name RG1
instance 1 vlan 2 to 10 instance 1 vlan 2 to 10
 тки физических каналов, и устройства посылают много
instance 2 vlan 11 to 20 instance 2 vlan 11 to 20 пакетов TC.
active region-configuration active region-configuration
stp instance 1 root primary stp instance 1 root secondary  Устройства, на которых включен MSTP, получают пакеты
stp instance 2 root secondary stp instance 2 root primary MSTP TC от клиентов или прозрачно передаются.
Сбой MSTP — процесс устранения
display stp region-configuration
Услуги display current-configuration
прерываются
из-за изменения
топологии display stp
MSTP display stp stp converge normal
Является ли Пересчитывает Находится ли

Да Нет Включен ли Нет Да
ли MSTP MSTP в режиме
состояние MSTP связующее нормальной
интерфейс
нормальным дерево конвергенции
Нет Да Да Нет
Измените Отключение Изменение режима

Проверьте колеблющихся
неправильные конвергенции на
порты интерфейсов
настройки MSTP нормальный
Исправность Исправность Исправность Исправность

устранена? Нет устранена? Нет устранена? Нет устранена?
Нет
Да Да Да Да
Конец
2. Неисправности локальной сети (LAN） 5. Недостатки надежности

Петли
SWA SWA
E0/0/1
SWB
E0/0/1
SWB
SWC
Х SWD
Х
 Если петли вызывают широковещательные штормы, качество связи

ухудшается, и качество связи может прерваться.
Петли -процесс устранения неполадок
Сервисы display interface brief
прерываются
из-за
широковещательного
шторма interface interface-type interface-number
loopback-detect enable
Определены ли
Да Да Определены ли Да
интерфейсы, в Устройство, в
интерфейсы, в
которых происходит котором находится
которых
широковещательный петля
происходит петля
шторм
Нет Нет Нет
Найдите
интерфейсы, в Определите
Правильно
которых происходит устройство, в
подключите
широковещательный котором
кабеля
шторм произошла петля
Исправность Исправность Исправность

устранена? Нет устранена? Нет устранена? Нет
Да Да Да
Конец
3. Неисправности протокола 6. Ошибки безопасности

IP-маршрутизации 7. Неисправности управления
 Сбой OSPF и методы устранения сетью
неполадок
 Сбой IS-IS и методы устранения
 Сбой BGP и методы устранения
Roadmap устранение неполадок в соседских
отношениях OSPF (1/2)
Следующие поля в пакетах Hello должны совпадать,
когда установлена связь с соседом OSPF.
 Сбой соседских отношений OSPF):
32 бита
8 8 8 8
 Таблица данных соседей OSPF пуста.
Версия Тип Длина пакета  Сосед OSPF остается в состоянии Init.
Заголовок пакета OSPF
Идентификатор маршрутизатора
Идентификатор зоны
 Сосед OSPF остается в состоянии 2-Way.
Контрольная сумма AuType  Сосед OSPF остается в состоянии Exstart
или Exchange.
OSPF Hello пакет

Приоритет
Маска сети маршрутиза
Интервал приветствия Опции тора
Интервал мертвого маршрутизатора

Назначенный маршрутизатор
Резервный назначенный маршрутизатор

Сосед
По
Сосед
Roadmap устранение неполадок в соседских
отношениях OSPF (2/2)
Down Маршрутизатор не получает от соседа пакет Hello.
Attempt Маршрутизатор посылает соседям одноадресные пакеты Hello, но

не получает пакет Hello от соседа.
Маршрутизатор получает пакет Hello, не содержащих ID

Init маршрутизатора OSPF (RID) маршрутизатора от соседа.
Маршрутизатор и сосед получают пакеты Hello друг от друга, а

2-Way пакеты Hello содержат их OSPF RID .
Сосед
два узла согласовывают отношения по типу хозяина и раба через

пакеты DD и определяют начальный порядковый номер пакетов
ExStart DD. Если сосед остается в данном состоянии, то MTU
маршрутизатора и соседа не совпадают, или OSPF RID одинаковы.
Exchang Маршрутизатор обменивается пакетами (DD) с соседом. Если

сосед остается в этом состоянии, MTU не совпадают.
e
Если сосед остается в этом состоянии, аппаратное обеспечение

Loading может быть неисправным, или MTU не совпадают.
База данных состояния каналов синхронизируются между

Full маршрутизатором и соседом. Смежность установлена.
Смежность
Сбой соседских отношений OSPF -процесс
устранения неполадок
Ненормальные
смежные отношения
OSPF display ospf peer brief
display ospf brief

Проверка текущего display ospf interface ping -s 1500 neighbor-address
состояния display ospf error
соседнего узла
Отображается Да Состояние Нет Остается ли Сохраняется ли

Сохраняется ли Нет Остается ли Нет Нет Нет
состояние соседнего остается в состояние состояние
состояние Init состояние 2 -Way
устройства состоянии Down "Exstart" Exchange
Нет Да Да Да Да Да
Устраните Проверьте Проверьте канал Проверьте

неисправность состояние и удаленное настройки Пропингуйте Пропингуйте
соседней связи интерфейса. устройство интерфейса
Исправность
Нет Исправность
Нет Нет Исправность
Нет
устранена? устранена? устранена? устранена? устранена? устранена?
Конец
Карта по устранению неполадок сбоя OSPF
Intra-area
 Соседний маршрутизатор не объявляет некоторые или все маршруты..
OSPF не включен на интерфейсе.
router id 1.1.1.1 router id 2.2.2.2

ospf ospf
area 0 area 0
network 10.0.12.0 0.0.0.255 network 10.0.12.0 0.0.0.255
network 1.1.1.1 0.0.0.0 network 2.2.2.2 0.0.0.0
OSPF Area0 RTB
RTA
Loopback0 - G0/0/0 G0/0/0 Loopback0 -
1.1.1.1/32 .1 10.0.12.0/24 .2 2.2.2.2/32
Таблица информации соседей Таблица информации соседей

База данных состояния канала База данных состояния канала
Таблица маршрутизации Таблица маршрутизации
Интерфейс отключен
[R2]display interface GigabitEthernet 0/0/0

GigabitEthernet0/0/0 current state : Administratively DOWN
Line protocol current state : DOWN
Description:HUAWEI, AR Series, GigabitEthernet0/0/0 Interface
Route Port,The Maximum Transmit Unit is 1500
Ошибка маршрута OSPF Intra-area — процесс
display ospf interface GigabitEthernet 0/0/0
display ospf lsdb router
Сосед OSPF не
рекламирует display ospf lsdb router
маршруты display current-configuration | begin ospf
Выключени ли интерфейс, Поддерживается ли

Нет OSPF на интерфейсе, Да
получающий объявления получающем рекламу
маршрута маршрута
Да Нет
Включить OSPF на
Устранение
интерфейсе, принимающем
неисправностей 2 уровня
объявлениемаршрута
Исправность Исправность
устранена? Нет устранена? Нет
Да Да
Конец
Ошибка маршрута OSPF Intra-area — процесс
 ABR не может суммировать маршруты.
ABR не может
Area 1 Area 0 суммировать
маршруты
Loopback0
1.1.1.1/32 Loopback0
3.3.3.3/32 Команда abr-summary Да
сконфигурирована на
ABR ABR
Нет
E0/0 E0/0 E0/1 E0/0
Правильно
сконфигурируйте
10.1.1.1/30 .2 10.2.1.1/30 .2 команду abr-summary
на ABR
RTA RTB RTC
устранена? Нет
router id 1.1.1.1 router id 2.2.2.2 Да

ospf ospf
area 1 area 1
network 1.1.1.1 0.0.0.0 network 2.2.2.2 0.0.0.0 Конец
network 10.1.1.0 0.0.0.3 network 10.1.1.0 0.0.0.3
network 20.1.1.1 0.0.0.0 abr-summary 20.1.1.0
network 20.1.1.2 0.0.0.0 255.255.255.0 Обратитесь за
area 0 технической
network 10.2.1.0 0.0.0.3 поддержкой.
Ошибка маршрута вне области OSPF и процесс
Area 1
Area 0 NSSA
RTA RTB RTC RTD
10.1.1.0/24 10.2.1.0/24 10.3.1.0/24
.1 .2 .1 .2 .1 .2
Type-5 LSA ABR X ASBR

Type-7 LSA
Loopback0 10.4.1.1/24
 Граничный display current-configuration | begin ospf
Неисправност Команда route-policy Да Изменение Да
ь маршрута Исправность
автономной системы сконфигурирована на команды Конец
устранена?
из зоны OSPF ASBR route-policy
(ASBR) не рекламирует Нет Нет
Отображение ospf lsdb ase Обратитесь за

маршрутные маршруты. технической

неполадок
Сбой отношения соседства IS-IS и план
устранения неисправностей
49.0001.0000.0000.0001.00 49.0002.0000.0000.0002.00 49.0002.0000.0000.0003.00
RTA RTB RTC
Loopback0 Loopback0
G0/0/0 G0/0/0 G0/0/1 G0/0/1
1.1.1.1/32
.1 X .2 .1 X .2
3.3.3.3/32
12.12.12.0/30 23.23.23.0/30
L2 L1/2 L1
isis isis isis

network-entity 49.0001.0000.0000.0001.00 network-entity 49.0001.0000.0000.0002.00 network-entity 49.0001.0000.0000.0003.00
is-level level-2 interface GigabitEthernet 0/0/0 is-level level-1
interface GigabitEthernet 0/0/0 isis enable interface GigabitEthernet 0/0/1
isis enable interface GigabitEthernet 0/0/1 isis enable
interface LoopBack0 isis enable interface LoopBack0
isis enable interface LoopBack0 isis enable
isis enable
 IS-IS обычно не может получать и отправлять hello-пакеты из-за  При установлении отношения соседства Level-1, ID зоны
неисправности устройства низкого уровня или канала. устройства на обоих концах канала не соответствуют.
 Устройства на обоих концах канала имеют одинаковый ID  IP-адреса соответствующих интерфейсов на двух
системы. маршрутизаторах находятся на разных сегментах сети.
 Level IS-IS устройств на обоих концах канала не соответствуют.
Ошибки соединений с соседними объектами
IS-IS — процесс устранения неполадок
display isis interface display current-configuration configuration isis | include is-level
display current-configuration configuration isis display current-configuration interface interface-type interface-number | include isis circuit-level
network-entity (process ID) is-level
isis circuit-level
display current-configuration configuration isis

Возникает ошибка display ip interface G0/0/0 network-entity
соединения с
соседним узлом
IS-IS
display current-configuration configuration isis
network-entity
IP-адреса
Интерфейсы Да Да Да Системные ID Да Уровни IS-IS Да Соответствуют Да
Интерфейсы в интерфейсов на
IS-IS в устройств устройств ли у устройств
состоянии Up? одном и том же соответствуют? ID зоны?
состоянии Up? одинаковы?
сегменте сети?
Нет Нет Нет Нет Нет Нет
Убедиться, что статус Изменить уровни

Правильно протокола канального Изменить Изменить
IS-IS устройств Изменить ID
сконфигурировать уровня интерфейсов IP-адреса системные ID
находится в состоянии
или зоны устройств
NET интерфейсов устройств интерфейсов
Up
Неисправность Неисправность Неисправность Неисправность Неисправность Неисправность

Конец

неполадок
Отказы связи BGP узлов и схема действий при
устранении неполадок
bgp 100
router-id 1.1.1.1
AS100 AS200
peer 2.2.2.2 connect-interface loopback0
RTB RTC
S0 IBGP S0 S1 EBGP S1
RTA
10.1.1.1 10.1.1.2 10.2.2.1 10.2.2.2
Lo: 1.1.1.1 Lo: 2.2.2.2 Lo: 3.3.3.3

bgp 100 bgp 200
router-id 2.2.2.2 router-id 3.3.3.3
peer 1.1.1.1 as-number 100 peer 2.2.2.2 as-number 100
peer 1.1.1.1 connect-interface loopback0 peer 2.2.2.2 connect-interface loopback0
peer 3.3.3.3 as-number 200 peer 2.2.2.2 ebgp-max-hop 2
peer 3.3.3.3 connect-interface loopback0 ip route-static 2.2.2.2 255.255.255.255 serial 0
peer 3.3.3.3 ebgp-max-hop 2
acl 3000
rule deny tcp source any destination-port eq 179
interface s1
traffic-filter outbound acl 3000
 Маршруты между узлами протокола граничного  Интерфейсы обратной петли применяются
шлюза (BGP) недоступны. для установки соединения BGP узлов, но
 ACL сконфигурирован для фильтрации пакетов, команда peer connect-interface не
порт назначения которых - TCP порт 179. сконфигурирована.
 ID однорангового маршрутизатора конфликтует  В некоторых случаях, когда команда peer
с ID локального маршрутизатора. ebgp-max-hop не сконфигурирована.
 Неверная конфигурация номера AS узла.
Неисправности соединений BGP узлов —
процесс устранения неполадок
ping –a source-ip-address –s packetsize host
display acl all display current-configuration configuration bgp

undo rule rule-id destination-port peer connect-interface interface-type interface-number
undo rule rule-id source-port
Неисправность
соединения с display bgp peer display bgp peer
узлом BGP router id display current-configuration configuration bgp
маршрутизатора peer ebgp-max-hop hop-count
Могут ли два Настроен ли Конфликт ID Использовались ли Правильно ли

Да Нет Нет Правильно ли Да Да Да
BGP ACL на однорангового интерфейсы обратной настроена команда
сконфигурирован
пропинговать блокировку TCP маршрутизатора с
номер AS узла
связи для установления hop-count для
друг друга ID локального соединения BGP узлов подключения EBGP
порта 179
Нет Да Да Нет Нет Нет
Изменить IP- Изменение Правильно настроить Выполните

Устранить
интерфейс источника,
неисправность Изменить ACL адреса системного ID отправляющий пакеты
команду peer
соединения устройств устройства ebgp-max-hop
BGP
Неисправность Неисправность Неисправность Неисправность Неисправность Исправность

Конец
2. Неисправности локальной сети (LAN）  Неисправности сервера DHCP
3. Неисправности протокола IP-маршрутизации  Неисправности ретрансляции

DHCP
5. Недостатки надежности
6. Ошибки безопасности
7. Неисправности управления
сетью
Неисправности сервера DHCP
SWA
G0/0/1 G0/0/2 ip pool 1

gateway-list 10.1.1.1
G0/0/1 G0/0/1
Сервер network 10.1.1.0 mask 255.255.255.128
excluded-ip-address 10.1.1.2
DHCP SWC excluded-ip-address 10.1.1.4
SWB
lease day 10 hour 0 minute 0
G0/0/2 dns-list 10.1.1.2
G0/0/2 ip pool 2
gateway-list 10.1.1.129
network 10.1.1.128 mask 255.255.255.128
lease day 2 hour 0 minute 0
dns-list 10.1.1.2
nbns-list 10.1.1.4
PC1 PC2
Клиент  Соединение между клиентом DHCP и сервером
DHCP Клиент DHCP DHCP неисправно.
 DHCP отключен.
 Режим распределения адресов DHCP не
1 Настройте глобальный пул адресов.
установлен в интерфейсе VLANIF сервера DHCP.
2 Настройте интерфейсы сервера DHCP для работы в режиме глобального пула адресов.
3 (Необязательно) Статически сконфигурируйте службу DNS для клиентов DHCP.  Любой IP-адрес из глобального адресного пула и
4 (Необязательно) Статически сконфигурируйте службу NetBIOS для клиентов DHCP. IP-адрес интерфейса VLANIF сервера DCHP
5
(Необязательно) Сконфигурируйте персонализированные настройки DHCP для находятся на разных сегментах сети.
глобального пула адресов.
(Необязательно) Включите функцию предотвращения повторного распределения

 Пул адресов не имеет доступного IP-адреса.
6
IP-адресов.
7 (Необязательно) Настройте автоматическое сохранение данных DHCP.
Неисправности сервера DHCP - процесс
display current-configuration | include dhcp enable display ip pool
display ip pool name ip-pool-name
Клиенту не dhcp enable display ip pool name ip-pool-name
удается
получить IP- Ping VLANIF dhcp select global display user
адрес dhcp select interface display user-interface maximum-vty
Да
Соединение между
Имеет ли
клиентом и Включен ли Настроен метод IP-адреса в глобальном Да
Да Да Да Клиент получает Нет Да адресный пул
сервером DHCP на адресном пуле и IP-
получения IP- IP-адрес из пула какой-нибудь
нормальное? сервере? адрес интерфейса в
адреса для адресов одном и том же доступный
клиента? интерфейса? сегменте сети? IP-адрес
Нет Нет
Нет Нет
Нет
Устраните Включить Настроить метод
неисправность DHCP на получения IP- Настроить IP- Перенастроить
соединения адреса в одном и адресный пул
сервере адреса для
клиента том же сегменте
сети
Неисправность Неисправность Неисправность Неисправность Неисправность

устранена устранена устранена устранена устранена
Конец
2. Неисправности локальной сети (LAN）  Неисправности сервера DHCP
3. Неисправности протокола IP-маршрутизации  Неисправности ретрансляции

DHCP
5. Недостатки надежности
сетью
Неисправности ретрансляции DHCP
SWB
G0/0/1
DHCP-сервер
1 Настройте ретрансляцию DHCP в интерфейсе.
G0/0/1
2 Настройте целевую группу серверов DHCP.
SWA Ретрансляция
DHCP Свяжите интерфейс агента ретрансляции
3
dhcp enable DHCP с группой серверов DHCP.
G0/0/2 #
dhcp server group dhcpgroup1 (Необязательно) Настройте агент
dhcp-server 100.10.10.1 0 4 ретрансляции DHCP на отправку сообщений об
# освобождении DHCP.
interface Vlanif100
(Необязательно) Настройте политики
ip address 20.20.20.1 255.255.255.0
5 обработки сообщений Option82 для агента
PC1 dhcp select relay
dhcp relay server-select dhcpgroup1 ретрансляции DHCP.
Клиент DHCP #
interface Vlanif200
ip address 100.10.20.1 255.255.255.0
 Соединение между клиентом DHCP и сервером DHCP  IP-адрес сервера DHCP не настроен у агента
неисправно. ретрансляции DHCP.
 DHCP не активен глобально. В результате функция DHCP  Конфигурация прочих устройств на линии связи неверна
не начинает действовать.
 Функция ретрансляции DHCP отключена. В результате
функция ретрансляции DHCP не начинает действовать.
Ошибки ретрансляции DHCP — процесс
ping -a source-ip-address destination-ip-address
Клиент DHCP не display this

может получить display current-configuration | include dhcp enable dhcp relay server-ip ip-address
IP-адрес через агент
dhcp relay server-select group-name
ретрансляции DHCP
dhcp select relay
Является ли связь Был ли настроен Настройки

Ретрансляция
между клиентом и Да Активен ли DHCP
Да Да
сервер, выполняющий
Да прочих Да
DHCP
сервером глобально? функции агента устройств
включена? ретрансляции DHCP?
нормальной? верны?
Установите
Устранить Включите Включите параметры сервера, Изменение
неисправность DHCP ретрансляцию выполняющего конфигураций
соединения глобально DHCP функции агента прочих устройств
ретрансляции
Неисправность Неисправность Неисправность Неисправность Неисправность

устранена? Нет устранена? Нет устранена? Нет устранена? Нет устранена? Нет
Конец
3. Неисправности протокола IP-маршрутизации  Нестабильность группы

резервирования VRRP
 Наличие двух основных устройств
в резервной группе VRRP
сетью
Нестабильность группы резервирования VRRP
RTA
VRRP VRID 1
Виртуальный
IP-адрес: .1 .1
192.168.1.0/24
10.1.1.100/24 10.1.1.111/24
GE2/0/0 GE1/0/0
.2
GE0/0/1 172.16.1.1/24
Основное GE1/0/0
GE0/0/3 GE3/0/0
GE0/0/2 10.1.1.0/24 GE2/0/0
Резервное
Хост SWA .2 RTC
GE2/0/0
GE1/0/0
192.168.2.0/24
.2 .1
№ Задача
RTB interface GigabitEthernet2/0/0
Настройте базовые функции Протокола избыточных
1 ip address 10.1.1.1 255.255.255.0
виртуальных маршрутизаторов (VRRP).
Настройте связь между VRRP и обнаружением vrrp vrid 1 priority 120
2 двунаправленной передачи (BFD) для реализации быстрого vrrp vrid 1 preempt-mode timer delay 20
переключения между основным/резервным VRRP.
Настройте связь между VRRP и статусом интерфейса для interface GigabitEthernet2/0/0

3 ip address 10.1.1.2 255.255.255.0
мониторинга восходящих интерфейсов.
Настройте связь между VRRP и BFD, NQA или
4
маршрутизацией для мониторинга восходящих каналов.
 Ошибка протокола:
 Интервал отправки пакетов оповещения
 Неисправности канала: VRRP является коротким.
 Нестабильность канала, передающего пакеты  Прочие неисправности:
оповещения VRRP.  На интерфейсе резервного устройства
 Передача пакетов VRRP отменяется передача пакетов отменяется.
случайным образом из-за перегрузки.
Резервное копирование группы VRRP —процесс
debugging vrrp packet reset counters interface
Нестабильность display interface interface-type interface-number
группы
VRRP vrrp vrid timer advertise ping
display vrrp
Нет
Может ли резервное Интервал Связь между Отменяется ли Отменяется ли
Нет отправки Нет устройствами в
Да передача пакетов Да передача пакетов Нет Трафик пакетов Нет
на интерфейсе VRRP, VRRP
нормально получать пакетов VRRP резервной группе резервного отправленных на
пакеты оповещения? VRRP нормальная? ограничен?
короткий? устройства? процессор?
Да Нет Да Да
Да Измените Устраните display cpu-defend

интервал Измените
неисправность statistics slot slot-id
отправки пакетов значение CAR
соединения
Неисправность Неисправность Неисправность

устранена? Нет устранена? устранена?
Нет Нет
Да Да Да
Конец
3. Неисправности протокола IP-маршрутизации  Нестабильность группы

резервирования VRRP
 Наличие двух основных устройств
в резервной группе VRRP
сетью
Наличие двух основных устройств в резервной
группе VRRP
RTA
VRRP VRID 1
Виртуальный IP-адрес:
10.1.1.111/24 .1 1
192.168.1.0/24
10.1.1.100/24
GE2/0/0 GE1/0/0
2
GE0/0/1 172.16.1.1/24
Основное GE1/0/0
GE0/0/3 10.1.1.0/24 GE3/0/0
GE0/0/2 GE2/0/0
Основное
Хост SWA .2 RTC
GE2/0/0 GE1/0/0
№ Задача 192.168.2.0/24
.2 .1
1 Настройте базовые функции VRRP.
Настройте связь между VRRP и BFD для реализации

РТБ interface GigabitEthernet2/0/0
2
быстрого переключения между основным/резервным VRRP. ip address 10.1.1.1 255.255.255.0
Настройте связь между VRRP и статусом интерфейса для vrrp vrid 1 priority 120
3
мониторинга восходящих интерфейсов.
vrrp vrid 1 preempt-mode timer delay 20
Настройте связь между VRRP и BFD, NQA или
4
маршрутизацией для мониторинга восходящих каналов.
ip address 10.1.1.2 255.255.255.0
 Неисправности канала: vrrp vrid 1 virtual-ip 10.1.1.111
 Неисправность канала, передающего пакеты
оповещения VRRP.  Ошибка протокола:
 На канале возникает петля.  Пакеты оповещения VRRP, полученные группой
 Ошибка конфигурации: резервирования VRRP с более низким приоритетом,
 Конфигурации устройств резервной группы VRRP принимаются как недопустимые пакеты и
отличаются друг от друга. отбрасываются.
Наличие двух основных устройств в резервной
группе VRRP — процесс устранения неполадок
Наличие двух
основных устройств в
резервной группе debugа
VRRP display stp brief
ping
display vrrp statistics
display this
Да
Конфигурации Да Может ли резервное Нет Заблокирован ли Нет Соединение между Да Принимаются ли
устройствами в
устройств в группе устройство получать резервный
резервной группе VRRP
недопустимые пакеты
VRRP одинаковы? пакеты оповещения VRRP? интерфейс VRRP? нормальное? оповещения VRRP
Нет Да Нет
Измените STP Устраните

Измените конфигурации
приоритет для неисправность
устройств на единые соединения
порта
Неисправность Неисправность Неисправность

устранена? Нет устранена? устранена?
Нет Нет
Да Да Да
Конец технической
3. Неисправности протокола IP-маршрутизации 6. Ошибки безопасности

 Пользователи внутренней сети не
могут получить доступ в Интернет
 Пользователи Интернет не могут
получить доступ к внутренней
сети
сетью
Пользователи внутренней сети не могут получить
доступ в Интернет
10.3.0.1/24 1.1.1.1/24
GE1/0/3 GE1/0/1
Пользователь Доверие Недоверие
внутренней
сети
Х
 Неверная конфигурация шлюза на ПК,  Неверная конфигурация политики
используемом пользователем внутренней сети. безопасности в NGFW.
 Конфигурации интерфейсов и зоны  Неверная конфигурация маршрутизации

безопасности в NGFW некорректны. на маршрутизаторе ISP.
 Конфигурация маршрутизации в NGFW  Сконфигурированное время старения

некорректна. записей сеансов в NGFW неверно.
Пользователи внутренней сети не могут получить
доступ в Интернет - процесс устранения неполадок
ip route-static
Внутренний
пользователь не
может получить display ip interface brief
display security-policy rule rule-name display firewall session aging-time
доступ в display zone
Интернет firewall session aging-time session-type aging-time
add interface interface-
type interface-number
Конфигурация Конфигурации Конфигурация Конфигурация

шлюза на Да интерфейсов и Да Конфигурация Да политики Да маршрутизации на
Да Сконфигурированное Да
маршрутизации в время старения записей
компьютере зон безопасности NGFW верна?
безопасности в маршрутизаторе
сеансов в NGFW верно?
верны? NGFW верна? ISP верна?
верна?
Правильно Правильно Настройте Измените Обратитесь к Измените время

настройте правильный администратору
настройте шлюз интерфейсы и зоны маршрут до сети
политику ISP для изменения старения записей
на компьютере безопасности Интернет. безопасности конфигурации сеансов

Конец

 Пользователи внутренней сети не
могут получить доступ в Интернет
 Пользователи Интернет не могут
получить доступ к внутренней
сети
сетью
Пользователи Интернет не могут получить
доступ к внутренней сети
10.2.0.1/24 1.1.1.1/24
GE1/0/2 GE1/0/1
DMZ Недоверие
Внутренняя сеть
X
 Неверная конфигурация шлюза на сервере  Настройка маршрутизации в NGFW неверна.
внутренней сети.  Настройка политики безопасности в NGFW
 На сервере внутренней сети отключены службы. неверна.
 Конфигурации интерфейсов и зоны безопасности  Маршрутизатор ISP отбрасывает пакеты.

в NGFW неверны.
Пользователи Интернет не могут получить
доступ к внутренней сети - устранение неполадок
Интернет-
пользователь не
может получить
доступ к display ip interface brief display ip routing- display security-policy rule rule-
внутренней сети display zone table name
add interface interface-type interface-number ip route-static
Правильно ли Правильно ли
Конфигурация Включены ли Конфигурация Конфигурация
шлюза на сервере Да сервисы на Да интерфейсов и зоны Да Да настроена Да настроена Да
маршрутизации в политика маршрутизация на
внутренней сети сервере безопасности в
NGFW верна? безопасности в маршрутизаторе
верна? внутренней сети? NGFW верна?
NGFW? ISP?
Установите шлюз Обратитесь к

Включить Настройте Настройте Измените
сервера на администратору
интерфейсы и зону правильный
IP-адрес интерфейса сервисы на безопасности в маршрут до сети
политику ISP для изменения
внутренней сети в сервере безопасности конфигурации
NGFW правильно Интернет.
NGFW маршрутизации

Конец
сетью
 SNMP-хосты не могут
подключиться к NMS
 NMS не может принять аварийные
сигналы SNMP
SNMP-хосты не могут подключиться к NMS
NMS1
10.1.1.1/24
GE1/0/0
10.1.2.1/24
Х
NMS2
10.1.1.2/24
№ Задача snmp-agent
snmp-agent sys-info version v2c
1 Настройте базовые функции для SNMPv2c. acl 2001
(Необязательно) Контролируя права NMS rule 6 deny source 10.1.1.1 0.0.0.0
2
управляйте устройством. snmp-agent mib-view dnsmib include 1.3.6.1.4.1.2011.5.25.194
(Необязательно) Настройте SNMP-хост для snmp-agent community write adminnms2 mib-view dnsmib acl 2001
3 snmp-agent target-host trap-paramsname trapnms2 v2c securityname adminnms2
отправки аварийных сигналов в NMS.
snmp-agent target-host trap-hostname nms2 address 10.1.1.2 trap-paramsname
(Необязательно) Настройте на SNMP-хосте trapnms2
4
функционал расширенного кода ошибки. snmp-agent trap queue-size 200
snmp-agent trap life 60
snmp-agent trap enable
snmp-agent sys-info contact call Operator at 010-12345678
 Пакеты не достигают системы управления сетью  Неверная конфигурация. В результате

(NMS). В результате хост Простого протокола сетевого SNMP-хост не может подключиться к NMS.
управления (SNMP) не может подключиться к NMS.
SNMP-хосты не могут подключиться к NMS —
процесс устранения неполадок
SNMP-хост не может
подключиться к NMS display logbuffer
Да Может ли NMS Да
Могут ли хост и NMS
ping получать SNMP
пинговать друг друга?
пакеты?
Нет Нет
Устраните неисправность Устранение

на маршруте между неисправностей по
хостом и NMS журналам
Неисправность Неисправность
устранена? устранена?
Нет Нет
Да Да
Конец
сетью
 SNMP-хосты не могут
подключиться к NMS
 NMS не может принять аварийные
сигналы SNMP
NMS не может принять аварийные сигналы
SNMP
NMS1
10.1.1.1/24
GE1/0/0
10.1.2.1/24
NMS2
Х
10.1.1.2/24
snmp-agent
№ Задача snmp-agent sys-info version v2c
acl 2001
1 Настройте базовые функции для SNMPv2c. rule 5 permit source 10.1.1.2 0.0.0.0
rule 6 deny source 10.1.1.1 0.0.0.0
(Необязательно) Контролируя права NMS snmp-agent mib-view dnsmib include 1.3.6.1.4.1.2011.5.25.194
2 управляйте устройством. snmp-agent community write adminnms2 mib-view dnsmib acl 2001
snmp-agent target-host trap-paramsname trapnms2 v2c securityname adminnms2
(Необязательно) Настройте SNMP-хост для
3 отправки аварийных сигналов в NMS.
snmp-agent target-host trap-hostname nms2 address 10.1.1.2 trap-paramsname
trapnms2
(Необязательно) Настройте на SNMP-хосте snmp-agent trap queue-size 200
4 функционал расширенного кода ошибки. snmp-agent trap life 60
snmp-agent trap enable
snmp-agent sys-info contact call Operator at 010-12345678
 Потери пакетов. В результате NMS не может получить  Модуль служб на хосте не генерирует аварийные
аварийный сигнал. сигналы, или формат генерируемых сигналов неверен.
 Конфигурация SNMP-хоста неверна. В результате аварийные
сигналы не могут быть переданы.
NMS не может принять аварийные сигналы
SNMP — процесс устранения неполадок
NMS не может
принять сигналы
SNMP display snmp-agent trap all
snmp-agent trap enable feature-name trap-name lay logbuffer
Могут ли хост и Правильно ли Активированы ли Есть ли информация,

Да Is the configuration of Да Да указывающая на то, что
Нет
NMS пинговать сконфигурирована тревоги для всех аварийный сигнал
the trap host correct
друг друга? trap хоста? функций генерируется в журналах
Нет Нет Нет Да
Устраните Modify the

Изменение Разрешите Устраните
configuration of устройство неисправность, которая
неисправность конфигурации
the trap host отправлять trap- приводит к потере
канала trap хоста пакеты пакетов на канале
Неисправность Неисправность Неисправность Неисправность

устранена? устранена? устранена? устранена?
Нет Нет Нет Нет
Да Да Да Да
Конец
Вопросы
1. Что из нижеперечисленного может вызвать неисправность отношения соседства
BGP?
А. ACL настроен для фильтрации пакетов, порт назначения которых — порт 179 TCP.
Б. Идентификатор соседнего маршрутизатора конфликтует с идентификатором локального

маршрутизатора.
В. Команда peer ebgp-max-hop не настроена на интерфейсах loopback для установления

отношений соседства EBGP.
Г. Интерфейсы loopback используются для установления отношений соседства BGP, но

команда peer connect-interface не настроена.
Спасибо!
www.huawei.com
Примеры сценариев устранения
неполадок сети
Введение
 Данная презентация содержит рекомендуемый график обучения, схемы
топологии для сценариев и описание неисправностей, которые необходимо
проверить для устранения неполадок в сети.
 Приложение в конце содержит ответы на случаи устранения неполадок,
файлы топологии на платформе графического моделирования
корпоративных сетей (eNSP) и конфигурации точек отказа в сценариях
сценариев. Учителя и стажеры могут использовать их в качестве
справочного материала.
Цель
 Навыки гибкого использования методов устранения неполадок сети на основе
практики
1. Устранение неполадок и последовательность классов
2. Схемы топологии для сценариев
3. Неисправности, подлежащие проверке
4. Приложение
Примеры сценариев устранения неполадок сети:
меры предосторожности
 Учитель предлагает несколько отчетов о неисправности для обсуждения.
 Акцент должен быть сделан на освоении процесса и методов устранения неполадок
посредством практики, а не устранения многих неисправностей за короткий период времени.
 Операции по устранению неполадок должны быть разрешены, а соответствующие документы
должны быть созданы. Убедитесь, что каждая операция по устранению неполадок
соответствует процессу и записана.
 Цель устранения неисправностей заключается не в том, чтобы выполнить
самостоятельное устранение неисправностей на месте, а в том, чтобы быстро
определить место неисправности, используя четкий план. Если вы обнаружите
неисправность на устройстве и не сможете устранить ее, немедленно обратитесь к старшим
инженерам, поставщикам услуг или поставщикам (учителям в аудитории) за технической
Примеры сценариев устранения неполадок сети:
последовательность классов
• Учитель описывает цели, ввод (топологии, симптомы, групповое обсуждение и процессы и методы устранения неполадок) и вывод (групповые резюме,
отчеты об устранении неполадок, включая процессы и резюме поиска и устранения неисправностей) сценариев.
Контекст • Учитель показывает, как устранить неисправность.
30 мин
• Руководитель группы (один человек): направляет план устранения неполадок, обобщает и сообщает результаты.
• Члены группы: анализируют методы устранения неполадок, запускают устройства, записывают процесс поиска и устранения неисправностей, методы и результаты и
Группирование создают отчет.
10 мин
• Каждая группа выполняет поиск и устранение неисправностей в соответствии с процессом устранения неполадок в структурированной сети, записывает
Деление фактический процесс и создает отчет.
группы • 15-минутный перерыв.
80 мин
Вопросы и • Все руководители групп сообщают о заключении по устранению неполадок.

ответы
30 мин
• Учитель резюмирует и завершает результаты поиска и устранения неполадок.

• Стажеры восстановят лабораторные среды, а затем следуют за учителем для анализа и записи каждой стандартной процедуры устранения неполадок.
Заключение • Каждый стажер представляет отчет об устранении неполадок. Демонстрация примера завершается.
30 мин
Контекст: архитектура корпоративной сети
Кластер
серверов
Сеть малых Уровень

предприятий ядра
Уровень
агрегации
Уровень
доступа
Контекст: Сервер1 Сервер2 Сервер3
архитектура сети
ISP1 ISP2
ISP1 ISP2
Кластер серверов
Уровень
АР1 АР2 LSW5
ядра
DHCP-
Уровень
CSW1 CSW2 сервер
агрегации
LSW6
Уровень LSW1 LSW2 LSW3 LSW4

доступа
ПК1 ПК2 ПК3 ПК4 ПК5 ПК6 ПК7 ПК8
схема VLAN
ISP1 ISP2
ISP1 ISP2
АР2
АР1 1006 LSW5
VLAN 200X
1007 .20/30 192.168.3.X/30
VLAN 100X 1001 1004 .24/30
192.168.2.X/30 .4/30 .16/30 1008
1003 2001
1002 .28/30
.12/30 Trunk .4/30
.8/30)
1009 DHCP-сервер
CSW1 Trunk CSW2.32/30
Trunk Trunk
LSW6
LSW1 LSW2 LSW3 LSW4
10 VLAN 20 VLAN 30 VLAN 40 VLAN

192.168.10.0/24 192.168.20.0/24 192.168.30.0/24 192.168.40.0/24
ПК1 ПК2 ПК3 ПК 4 ПК5 ПК 6 ПК7 ПК8
схема MSTP
ISP1 ISP2
ISP1 ISP2
АР1 АР2 LSW5
Экземпляр 10 (первичный) Экземпляр 20 (первичный)

Экземпляр 20 (вторичный) Экземпляр 10 (вторичный)
Домен DHCP-сервер
MSTP CSW1 CSW2
LSW6
VLAN 10 20 VLAN 30 40
Экземпляр 10 Экземпляр 20
LSW1 LSW2 LSW3 LSW4
Контекст: Сервер1 Сервер2
.2
Сервер3
схема IP-адреса
.2 .2
200.1.1.X/24 200.1.2.X/24 200.1.3.X/24
GW: 200.1.1.1 GW: 200.1.2.1 GW: 200.1.3.1
.1 .1 .1
100.1.3.X/24 .1 .1
GW: 100.1.3.1 100.1.4.X/24
ISP1 ISP2GW: 100.1.4.1
Internet
.2
.2
ISP1 ISP2
.1 .1
100.1.1.X/24 100.1.2.X/24
GW: 100.1.2.1
.2GW: 100.1.1.1 .2 VLAN 200X
LB0: 192.168.0.1/32 LB0: 192.168.0.2/32
.1 .0/30 .2 .22 192.168.3.X/30
AR1 .26
AR2 LSW5
.10.18 .30 1006 2001
.6 .14 .34 .20/30 LB0: 192.168.0.5/32 .4/30 LB0: 192.168.0.7/32
1007 .21 .5 .6
1001 1004 .24/30
.16/30 .25 .1
.4/30 1002 1003 1008
VLAN 100X .8/30 .12/30 .28/30
192.168.2.X/30 .5 .9 .13 .17 1009 DHCP-сервер
CSW1 CSW2 .32/30 .29 .2 Telnet-сервер
LB0: 192.168.0.3/32 .1 .2 LB0: 192.168.0.4/32 .33 .9
.2 .2 .2 SSH-клиент
.1 .1 .1 LB0: 192.168.0.6/32
LSW6
.3 .3 .3
.3
LSW1 LSW2 LSW3 LSW4

192.168.10.0/24 192.168.20.0/24 192.168.30.0/24 192.168.40.0/24

DHCP-клиент
Контекст: схема Сервер1 Сервер2 Сервер3
маршрутов Интранет
ISP1 ISP2
ISP1 ISP2
AR1 AR2 LSW5

OSPF
OSPF
Зона0
Area0
OSPF
OSPF
Зона 101
Area101
DHCP-сервер
CSW1 CSW2
OSPF OSPF OSPF OSPF LSW6

Зона 1 Зона 2 Зона 3 Зона 4
LSW1 LSW2 LSW3 LSW4
Контекст: схема Сервер1 Сервер2 Сервер3
выходного маршрута
ISP1 ISP2
ISP1 ISP2
Основной канал Резервный канал
Cost 1 Статический маршрут Статический маршрут Cost 2
AR1 AR2
LSW5
OSPF
Зона0 OSPF
Зона101
CSW1 DHCP-сервер
CSW2
OSPF OSPF OSPF OSPF LSW6

Зона1 Зона2 Зона3 Зона4
LSW1 LSW2 LSW3 LSW4
моделирование WAN
RIP v2
ISP1 ISP2
Статический Статический
маршрут маршрут
AR1 AR2 LSW5
DHCP-сервер
CSW1 CSW2
LSW6
LSW1 LSW2 LSW3 LSW4
схема VRRP
ISP1 ISP2
ISP1 ISP2
АР1 АР2 LSW5

VLAN 10 20 (активный) VLAN 30 40 (активный)
VLAN 30 40 (резервный) VLAN 10 20 (резервный)
DHCP-сервер
CSW1 CSW2
LSW6
LSW1 ЛС2 LSW3 LSW4
схема DHCP
ISP1 ISP2
ISP1 ISP2
1006
AR1 AR2 .20/30 LSW5 VLAN 200X
1007 192.168.3.X/30
VLAN 100X 1001 .24/30
1004 1008
192.168.2.X/30 .4/30 2001
1002 1003 .16/30 .28/30
.12/30 Trunk .4/30
.8/30
1009
DHCP-
CSW1 Trunk .32/30 сервер
Trunk Trunk CSW2
LSW6
Ретранслятор Ретранслятор Ретранслятор Ретранслятор
DHCP DHCP DHCP DHCP
LSW1 LSW2 LSW3 LSW4

192.168.10.0/24 192.168.20.0/24 192.168.30.0/24 192.168.40.0/24
DHCP-
клиент ПК1 ПК2 ПК3 ПК4 ПК5 ПК6 ПК7 ПК8
.2 .2 .2
обзор топологии 200.1.1.X/24

GW: 200.1.1.1
200.1.2.X/24 200.1.3.X/24
GW: 200.1.2.1 GW: 200.1.3.1
G 2/0/1 G 2/0/2 G 2/0/3

.1 .1 .1
100.1.3.X/24 .1 .1
GW: 100.1.3.1 G 0/0/0 G 0/0/1 100.1.4.X/24
GW: 100.1.4.1
.2 Internet .2
ISP1 G 0/0/0 G 0/0/1 ISP2
.1 .1
G 0/0/2 G 0/0/2
100.1.1.X/24 100.1.2.X/24
G 2/0/0 GW: 100.1.1.1 GW: 100.1.2.1 G 2/0/0
.2 .2 VLAN 200X
LB0: 192.168.0.1/32 LB0: 192.168.0.2/32
.1 G 0/0/0 .0/30 G 0/0/0 .2 .22 192.168.3.X/30
AR1 .26
AR2 LSW5
1006 2001
.14
G 2/0/1 G 0/0/1.10.18 .30 G 2/0/1
G 0/0/1 .6
.34 G 2/0/2 G 2/0/2 .20/30 G 0/0/12 LB0: 192.168.0.5/32 .4/30 LB0: 192.168.0.7/32
1007
1001 G 0/0/2 1004 G 0/0/2 .24/30 .21 .5 G 0/0/3 G 0/0/0.6
OSPF G 0/0/11.25 .1
.4/30 1002 .16/30
Зона0 1003 G 0/0/4 1008
G 0/0/1 G 0/0/2
VLAN 100X G 0/0/3 .8/30 .12/30 G 0/0/3 .28/30 OSPF
G 0/0/4 .17 G 0/0/1 Зона101 DHCP-сервер
192.168.2.X/30 .5 .9 G 0/0/1 G 0/0/1 .13 1009
G 0/0/12 G 0/0/2
CSW1 G 0/0/2 G 0/0/2 CSW2.32/30 .29 .2 Telnet-сервер
LB0: 192.168.0.3/32 .1 .2
G 0/0/11 .2 .2 LB0: 192.168.0.4/32 G 0/0/11.33 .9 SSH-клиент
.1 .1 G 0/0/14 .2 G 0/0/14
G 0/0/11 .1 G 0/0/12
LB0: 192.168.0.6/32
G 0/0/13 G 0/0/12G 0/0/13 LSW6
E 0/0/1
.3 E 0/0/1 .3
.3 E 0/0/2 .3 E 0/0/2
E 0/0/2 E 0/0/2 E 0/0/1 E 0/0/1
LSW1 LSW2 LSW3 LSW4
E 0/0/3 E 0/0/4 E 0/0/3 E 0/0/4 E 0/0/3 E 0/0/4 E 0/0/3 E 0/0/4

192.168.10.0/24 192.168.20.0/24 192.168.30.0/24 192.168.40.0/24

DHCP-клиент
Сценарий 1: неисправности, подлежащие
проверке
 В выходные дни компания сменила двух новых Интернет-провайдеров и
провела линейную коммутацию. Не исключено, что сетевой администратор
выполнил другие операции в сети.
 В понедельник утром вы получили телефонный звонок от сотрудника,
который жаловался на невозможность доступа в Интернет (Сервер1) через
терминал (ПК7).
Сценарий 2: неисправности, подлежащие
проверке
 В воскресенье администратор сети провел техническое обслуживание
устройства и обнаружил, что пользователь ПК5 не может получить доступ в
Интернет (Сервер1), когда кабель между LSW3 и CSW2 был отключен.
 После обслуживания сети в воскресенье пользователи сообщили о
медленном подключении к Интернету. Пожалуйста, найдите корневую
причину и устраните неисправность.
Описание Список
Файлы топологии на eNSP с предварительно

настроенными точками сбоя
Сценарий 1
Справочный ответ по сценарию 1
Файлы топологии на eNSP с предварительно

настроенными точками сбоя
Сценарий 2
Справочный ответ по сценарию 2
Устранение
Отчеты об устранении неполадок сети
неполадок в отчетах
(шаблон)
стажеров
Конфигурации точек Файлы топологии на eNSP (с обычными
сбоя (справка для сетями, предварительно настроенными)
учителей на
разработку Основные конфигурации сети и настройки
сценариев точки сбоя
Вопросы
1. Какое из следующих заявлений о проверке неисправностей в процессе устранения
неполадок структурированной сети является верным?
А. Сосредоточьтесь на том, как устранять неисправность лучше, независимо от того,
находится ли она в пределах или за пределами вашей ответственности.
Б. Оцените мнения пользователей и определите неисправность на основе их мнения.
В. Чтобы свести к минимуму воздействие, не уведомляйте других о неисправности.
Г. Определите, находится ли неисправность в пределах вашей ответственности.
Спасибо!
www.huawei.com
Оптимизация сети

Введение
 По мере развития пользовательских услуг, требования пользователей к
сетевым функциям увеличиваются. Если сеть не отвечает требованиям к
обслуживанию или обнаружены потенциальные проблемы во время работы
сети, ее необходимо оптимизировать.
 В отличие от построения сети, оптимизация сети осуществляется в
работающей сети. При проектировании и реализации решения по
оптимизации сети необходимо принимать меры предосторожности.
 Данный курс описывает основную концепцию оптимизации сети. Типичные
принципы и методы оптимизации сети также описаны в двух примерах
повышения безопасности сети и опыта пользователей.
Цель
 По окончании данного курса Вы будете узнавать:
 Содержание профессиональной службы оптимизации сети
 Принципы оптимизации сети
 Основные методы для повышения безопасности сети
 Основные методы для улучшения опыта пользователей
 Содержание решения по оптимизации сети
1. Обзор оптимизации сети
2. Повышение безопасности сети
3. Улучшение опыта пользователей сети
4. Добавление сетевых функций
5. Решение по оптимизации сети
Обзор оптимизации сети
 Целью оптимизации сети является повышение производительности сети,
безопасности сети и опыта пользователей сети.
 Оптимизация сети включает:
 Оптимизацию аппаратного обеспечения
 Оптимизацию программного обеспечения
 Расширение сети
 Обновление технологии
Принципы оптимизации сети
Оптимизация  Обновление аппаратного
Проектирование оптимизации сети

Требования к оптимизации сети
производительно обеспечения устройства
Реализация оптимизации сети

Предложения O&m сти устройства  Обновление ПО устройства
Рациональность
Анализ требований
требования
Требования к новым услугам и  Оптимизация сетевой
функциям Базовая архитектуры
Необходимость
оптимизация  Настройка протокола
оптимизации сети
Унифицированное исправление сети маршрутизации
проблем в существующей сети  Оптимизация конфигурации
Осуществимость
внедрения
Требования законов и правил Оптимизация
 Услуги передачи данных
качества
 Голосовые/видео услуги
обслуживания
 После оптимизации сеть становится более безопасной и надежной, и может

лучше поддерживать развитие корпоративных услуг.
Профессиональная услуга по оптимизации сети
 В отличие от общих услуг оптимизации сети, услуга по оптимизации сети (NOS),
предоставляемая Huawei (или другими поставщиками услуг), представляет собой
комплексную услугу с использованием профессиональных инструментов
оптимизации сети. Для того чтобы помочь предприятиям максимизировать свою
прибыль и повысить уровень удовлетворенности клиентов, предоставляются
следующие функции:
 Повышение производительности услуг
 Повышение доступности и производительности сети
 Повышение производительности
 Снижение расходов
 Передача знаний
Содержание услуги по оптимизации сети
Требования Передача
заказчиков к сетевых
квалификации знаний
Требования к Оценка Оценка

NOS на Техническая
сетевому архитектуры доступности
основе O&M поддержка
уровню сети сети
Оценка и
Оценка Проверка Оценка и
Требования к рекомендация
жизненного работоспособ оптимизация
NE-уровню программного
цикла ности сети конфигураций
 Основная ценность: NOS стремится повысить конкурентоспособность

предприятий и помочь им занять лидирующие позиции в отрасли.
Повышение безопасности сети
 Сетевая безопасность - это

системная проблема,
включающая следующее:
Уровень  Все устройства в сети
ядра
 Управление безопасностью
Уровень
агрегации
 Безопасность сети включает
следующие подпункты:
Уровень
 Безопасность управления
доступа  Безопасность границ
 Контроль доступа
 Безопасность доступа
 Мониторинг трафика
Оптимизация безопасности управления
Уровень  Оптимизация безопасности

ядра
 Цель: защита
Уровень
агрегации конфиденциальной информации
от кражи
Уровень
доступа
 Местоположение: все устройства
 Методы: безопасные протоколы
и правила рационального
Оптимизация безопасности границ
Уровень
 Оптимизация безопасности границ
ядра  Цель: предотвращение и
уменьшение числа атак из
Уровень
агрегации внешних сетей, что приводит к
рискам для интрасети
Уровень  Местоположение: сетевая граница
доступа
 Методы: защита от атак,
фильтрация пакетов и аппаратные
брандмауэры
Оптимизация управления доступом
Уровень
ядра
 Оптимизация управления доступом
 Цель: обеспечение безопасности
Уровень
агрегации
доступа к основным услугам
 Местоположение: устройства на
Уровень каждом сетевом уровне
доступа
 Методы: фильтрация пакетов и
независимые брандмауэры
Оптимизация безопасности доступа
Уровень
 Оптимизация безопасности доступа
ядра  Цель: реализация защищенного
управления доступом
Уровень
агрегации пользователя
 Местоположение: устройства на
Уровень уровне доступа
доступа
 Методы: управление доступом к
сети (NAC), привязка пользователя
и изолированность портов
Оптимизация мониторинга сети
Система управления сетью (NMS)
Уровень  Оптимизация мониторинга сети

ядра
 Цель: определение
Уровень
аномального трафика и
агрегации анализ нормального трафика
 Местоположение: сетевой
Уровень выход, интерфейсы сервера
доступа
и ключевые каналы
 Методы: анализ трафика и
управление журналами
Улучшение опыта пользователей сети
 Обеспечение QoS
 Голосовые услуги в реальном времени
Уровень  Надежные ключевые данные пользователя
ядра  Идентификация и ограничение
ненормального трафика
Уровень
 ...
агрегации
 Повышение производительности сети

Уровень  Расширение сети
доступа
 Упрощение конфигураций на стороне

пользователя
 DHCP
 Информационный push на основе NAC
Добавление функции сети — доступ WLAN
Уровень  Предоставление беспроводным

ядра
устройствам доступа к
существующей сети является
Уровень
агрегации типичным примером добавления
новых сетевых функций.
 Перед развертыванием WLAN
Уровень
доступа рассмотрим следующее:
 Воздействие на
существующую сеть
 Ожидаемые результаты
 Инвестиционный бюджет
Решение по оптимизации сети
Решение по внедрению (Опционально)

Фон проекта Цели настройки сети
оптимизации вложения
 Текущие сетевые  Дорожная карта  Подготовка  Отчет по

ситуации оптимизации  Процедура оптимизации сети
 Анализ  Принципы
неисправностей оптимизации
 Методы оптимизации
Решение по
оптимизации сети
Вопросы
1. Какие из следующих источников являются источниками требований по
оптимизации сети?
А. Персонал по обслуживанию сети обобщает проблемы и моменты, которые необходимо
улучшить в течение длительного срока эксплуатации сети, и предлагает предложения по
унифицированному исправлению.
Б. Коммутационные устройства, поддерживающие многоадресную рассылку 2-го уровня,

должны быть добавлены в сеть для поддержки услуг видеоконференций.
В. Сигнальные кабели слабого эра электричества серьезно нуждаются в замене в

централизованном порядке.
Г. Для обеспечения безопасности корпоративной информации требуются новые устройства

безопасности.
Спасибо!
www.huawei.com
Сетевая миграция

Введение
 С развитием корпоративных услуг, корпоративные сети постоянно
реконструируются и оптимизируются для удовлетворения потребностей в услугах.
Операции, влияющие на выполняемые услуги в осуществляющей сети,
определяются как проекты миграции. Например, операции, приводящие к
прерыванию услуг, увеличению емкости оборудования, обновлению программного
обеспечения и изменениям конфигурации. Перед выполнением этих операций
предприятия готовят строгие операционные процедуры и меры по снижению рисков
на основе требований уровня безопасности услуг.
 Этот курс позволяет стажерам ознакомиться с миграционными процедурами и
спецификациями операций, освоить меры контроля рисков и, таким образом,
эффективно и безболезненно выполнить миграцию сети.
Цель
 По окончании данного курса Вы будете узнавать:
 Определение миграции сети
 Стандартную процедуру миграции
 Общие сценарии миграции
1. Обзор миграции
2. Процедура миграции
3. Общие сценарии миграции
Изменение корпоративных сетей
 Сети, являющиеся основой корпоративных услуг, которые постоянно развиваются и меняются.
Расширение Реконструкция
емкости 2-го выхода
уровня
ER ER ER ER
CS CS CS CS CS
SW SW SW SW SW SW SW SW
Начало Постоянно Оптимизировано

формирования формы расширяется
 Как мы можем обеспечить плавный переход услуг, когда сети обновляются, расширяются и
реконструируются непрерывно постоянно?
Методы техобслуживания сети
 Устройство имеет жизненный цикл.  Каналы постоянно меняются.
Штаб-квартира MSTP Филиал

Заменить предприятия предприятия
ER 
Изменение
CS CS
Штаб-квартира MPLS-VPN Филиал

SW SW SW
 При замене основного выходного  Изменения канала связаны с регулировкой

устройства может быть прервано конфигурации услуг, а также с
большое количество услуг. переключением физических линий.
Обзор миграции
 Если технические операции миграции
могут повлиять на работу служб в Рискованный
существующей сети, выполните операции

в строгом соответствии с предварительно Расширение Реконструкция Замена Модификация
установленной процедурой работы и

примите меры контроля риска. Как
правило, эти проекты определяются как Проводить миграцию в
соответствии с процедурой
миграционные проекты. и стандартами
Сеть
Трудности миграции
Как я могу сделать

идеальную схему?
Где существуют риски?
Какие методы осуществления

следует использовать?
 Оценка рисков  Создать схему  Строго соблюдать схему
Процедура миграции
 Этап подготовки:
 Обследование проекта, анализ требований, оценка рисков, подготовка проекта и
утверждение проекта
 Этап реализации:
 Подготовка к миграции, миграция и проверка услуг
 Этап закрытия:
 Посещаемость сайта и приемка проекта
Анализ состояния сети
 Сеть компании A работает уже много лет. С развитием услуг, трафик, передаваемый основным
выходным маршрутизатором, увеличивается, а срок службы маршрутизатора близок к сроку
службы устройства, указанного компанией A. Поэтому компания А запрашивает замену старого
маршрутизатора на уровне ядра двумя высокопроизводительными маршрутизаторами.
Старый Новый Новый

ER
ER ER
CS
CS CS CS
SW SW SW SW SW SW
Обследование проекта
 Компания B отвечает за построение и техническое обслуживание сети Компании А. При
получении запроса на реконструкцию сети от Компании А компания B назначает эксперта
сети Тома для посещения сайта и проведения анализа и обследований.
 Том общается с владельцем сети компании A, инженерами по техническому обслуживанию,
техническим контактным лицом поставщика услуг Интернета (ISP) и представителями
поставщиков и собирает информацию о сети (включая топологию, конфигурации, версии,
типы трафика и дорожные пути) на месте.
Технический Технический Представители
руководитель заказчика руководитель ISP поставщиков
Топология Версия
Конфигурация Путь трафика
Анализ проекта
 После одной недели исследований, Том анализирует потребности заказчиков на основе
своего богатого инженерного опыта:
 Необходимость: основной выходной маршрутизатор работает в течение длительного времени и
выполняет все больше и больше услуг. Поэтому его необходимо заменить, а сеть нуждается в
реконструировании.
 Осуществимость: после общения с представителями поставщиков о технических деталях миграция
считается осуществимой на основе личного опыта и исторических случаев.
 Анализ рисков: замена основного выходного маршрутизатора предполагает переключение услуг,
что может привести к прерыванию услуг.
 Качественный анализ проекта: архитектура сети, особенно основной выход, будет значительно
изменена. Поэтому, он определяется как проект реконструкции сети.
 Техническое позиционирование: реконструкция основного выхода может привести к большим
рискам для услуг, работающих во всей сети. Поэтому он определяется как проект миграции.
Выбор проекта
 Том предлагает две проекта миграции для последующих обсуждений с
заказчиками. Старый
Старый
Старый
Новый
Вакантные
Удалено
Новый
 
Новый
Прямая замена Постепенная замена
Оценка рисков
 Подробный анализ и оценка миграционных рисков:
Оценка рисков Проект миграции компании A
Риск Переключение услуг

Затрагиваемая область Вся сеть
Затрагиваемая Прерывание услуги от 5
продолжительность минут до 120 минут
Отказ от восстановления услуг
Потери, вызванные рисками
компании
Поэтапная миграция + откат + замена
Методы снижения рисков
запасных частей на месте
Совещание по вопросам коммуникации и
координации
Поставщик Интернет-провайдер
Поставщик: Huawei предоставляет

высокопроизводительные маршрутизаторы
Выбор модели новых моделей, которые применяются к
различным сценариям. Имеются
Сторона A соответствующие отчеты и примеры качества. Сторона B
Выходное ISP (оператор): мы успешно сотрудничали и
соединение завершили многие подобные проекты.
Сторона А (заказчик): мы готовы вкладывать
Оценка рисков большое количество времени и средств для
обеспечения надлежащей работы услуг.
Сторона В (подрядчик): постепенная замена
Выбор схемы
позволит свести к минимуму риски.
Надзиратель: мы должны сотрудничать друг с другом и работать
вместе, чтобы завершить проект реконструкции.
Надзиратель
Подготовка проекта
Проект миграции
Обследование Исполнение
Приемка проекта
проекта проекта
Фон проекта Подготовка миграции Проверка услуг

Общий обзор сети Реализация миграции Посещаемость сайта
Цель миграции Решение отката Передача документов
Оценка рисков Аварийный план Приемка проекта
реагирования
Проверка и рассмотрение проекта
Развертывание первого Техническое рассмотрение Экспертное рассмотрение

офисного приложения всех сторон поставщиков
(FOA) для тестирования
Определение проекта
Подготовка миграции (1/2)
Устройство Включение питания для тестирования
Аппаратное Плата Проверка работоспособности
обеспечение Кабели Тестирование подключения
Версия (сопоставление версий устройств и сопоставление версий межсетевого взаимодействия)

Программное Лицензия (правильная авторизация лицензии)
обеспечение Скрипт (общие скрипты, скрипты, поставляемые по сегментам, и скрипты отката)
Транспортные средства (транспортные средства, инструменты миграции и монтажные инструменты)

Инструменты тестирования (тестер сетевого кабеля, тестер сети и измеритель оптической мощности)
Инструменты Инструменты ввода в эксплуатацию (ПК и программное обеспечение для ввода в эксплуатацию,
такие как CRT)
Инструменты мониторинга (инструмент мониторинга услуг, платформа мониторинга трафика и
инструмент анализа сети)
Важные платы и запасные части к устройствам
Запасные части Резервное копирование для старых и новых версий ПО

Резервное копирование для старых и новых скриптов
Подготовка миграции (2/2)
Список участников (сторона А, сторона В и надзиратель)
Подготовка Обязанности участников (персонал по внедрению, Персонал по
персонала тестированию и персонал по мониторингу)
Контактные данные участников
График Общее время миграции

Время прерывания услуги
времени Время отката
Сравнение физических топологий, логических топологий и конфигураций

услуг до и после миграции
Таблицы Сравнение версий ПО до и после миграции
сравнения Анализ и сравнение управляющих уровней (таких как маршрутизация,
контроль безопасности и информация о QoS) до и после миграции
Анализ и сравнение уровня данных (потоков данных) до и после миграции
Утверждение и реализация
 Проект миграции должен быть подписан заказчиком после его общего утверждения.
 Форма заявки на изменение должна быть представлена до каждой конкретной
операции.
 Форма заявки на изменение должна содержать подпись конкретного владельца,
уполномоченного заказчиком.
 Все сотрудники должны быть уведомлены по электронной почте, телефону или
SMS до каждого изменения миграции.
Критический!
Реализация: миграция по сегментам
Небольшая
миграция 1
Децентрализация
Небольшая
миграция 2
Большая
миграция Небольшая Упрощенное
миграция 3
..
.
Один за другим
Небольшая
миграция N
Реализация: дорожная карта миграции
 Том делит миграцию на три этапа:
② ② ①
② Переключение услуг
 ②
①
①
③
Этап 1: Этап 2: Этап 3:

развертывание устройства переключение услуг удаление старых устройств
Реализация: процедура миграции (1/4)
 Снимок до миграции
 Перед миграцией необходимо записать состояние объекта операции (включая интерфейс,
линию, протокол и информацию о трафике), а также резервное копирование
конфигурационных файлов.
 Миграция
 Выполнение команд конфигурирования или физических операций.
 Необходимо указать время выполнения каждого шага.
 Проверка после миграции

 Выполните команды display/ping/tracert или используйте тестеры и счетчики для
проверки устройства.
 В этом примере переключение услуг этапа 2 является ключевой точкой. Этот этап может
быть выполнен следующим образом:
1. Снимок (8 июня 2016 г., 02:30 – 02:35)
② Переключение услуг
<RTC>display ip routing-table #Check route
information.
G0/0/0
<RTC>display time-range all #Check the configured
RTA RT time range information.
RTC <RTC>display log all #Check user operation records.
B <RTC>display device #Check device component status
information.
RTD РТЕ <RTC>display version #Check device version
information.
<RTC>display ospf peer #Check device neighbor
information.
<RTC>display acl all #Check access control
information.
…
 В этом примере необходимо собрать снимки сетевой среды. В качестве примера

используются команды RTC. Команды на других маршрутизаторах аналогичны.
2. Миграция (8 июня 2016 г., 02:35 – 02:40)
[RTA]ip route-static 0.0.0.0 0.0.0.0
② Переключение pos2/0/0
услуг #Configure a default route to the Internet
G0/0/0
on RTA.
RTA RT [RTA-ospf-1]default-route-advertise cost 5
#Configure RTA to advertise the default
RTC B route to the Open Shortest Path First (OSPF)
routing domain.
RTD РТЕ 3. Проверка (8 июня 2016 г., 02:40 – 02:45)
<RTD>display ip routing-table #Check route
information.
<RTD>display ospf lsdb ase 0.0.0.0
#Check the default routes in the OSPF
database.
 Установите стоимость на 5 при объявлении маршрута по умолчанию, чтобы RTC оставался

выходом сетевых услуг.
 RTA по-прежнему не является выходом сетевых услуг, но она "проникла" в базу данных OSPF
② Переключение
4. Миграция (8 июня 2016 г., 02:45 – 02:50)
услуг [RTC-ospf-1]undo default-route-advertise
#Cancel the default route advertised by RTC
G0/0/0
to the OSPF routing domain.
RTA RTB
RTC 5. Проверка (8 июня 2016 г., 02:50 – 02:59)

<RTD>display ip routing-table #Check route
RTD РТЕ information.
<RTD>tracert 119.145.15.60 #Verify traffic
paths.
If the migration fails, perform a rollback.
6. Откат (8 июня 2016 г., 03:10 – 03:15)
Откат
 Откат — это восстановление статуса до изменения.
 Сценарий
 При сбое миграции или одного шага необходимо выполнить откат.
 Пример 6. Откат (8 июня 2016 г., 03:10 – 03:15)

[RTC-ospf-1]default-route-advertise
#Configure RTC to advertise the default route to all
routers on the network again.
 Требование
 Для каждой небольшой процедуры миграции последним пунктом должна быть
инструкция отката.
Время отката
Общий
откат
? Откат по
этапу
Сделать предварительное
Инструкция отката должна быть
заключение на основе Выполнить откат во времени.
включена в проект миграции.
условия на месте.
 В данном примере процедура миграции делится на три этапа. Требования отката и

время выполнения должны быть определены для каждого этапа.
Сбой отката
 Обычно при сбое миграции сеть может быть возвращена к исходному
состоянию.
 Если сбой миграции вызван форс-мажорными обстоятельствами и откат не
может быть выполнен, то аварийный план реагирования может быть
выполнен.
 Аварийный план реагирования должен быть включен в проект миграции.
 Аварийный план реагирования должен содержать следующие условия:
перегрузка программного обеспечения системы, замена запасных частей на
месте и вызов устройства.
Тестирование
Тестирование рабочего Тестирование статуса Тестирование услуг
состояния сети сетевых услуг заказчика
Тестирование
Проверка состояния Тестирование услуг
возможности подключения
работы устройства. верхнего уровня заказчика.
услуг.
Проверка состояния Тестирование
Соблюдение стабильности.
протокола. производительности услуг.
Выполнение на каждом Выполнение после

маленьком этапе Выполнение во всей
процедуре миграции восстановления всех
миграции услуг
 Тестирование считается пройденным только в том случае, если

удовлетворены требования заказчика по обслуживанию приложения.
Посещаемость сайта
 После завершения миграции и прохождения тестирования услуг заказчика,
сеть входит в специальный период наблюдения. В течение этого периода
инженеры, как правило, размещаются на объекте заказчика и наблюдают
рабочее состояние сети для предотвращения сбоев.
24 часа Одна неделя Месяц
Провести переговоры с заказчиков для

определения продолжительности посещения.
Приемка миграции
Обучение по Передача Совещание по

техническому документов приемке
обслуживанию
Общий сценарий миграции: обновление
Старый
Вакантные
L M S S L M S S L
P P F F P P F F P
U U U U U U U U U
Вентилятор Вентилятор
Новый
L
P L
U P
Расширение U Обновление версии ПО
Замена платы
емкости платы
 В этом сценарии миграции рекомендуется обратиться к поставщику за

технической поддержкой.
Общий сценарий миграции: реконструкция
физической структуры
 Добавление канала  Добавление устройства  Регулировка структуры
Общий сценарий миграции: настройка сетевой
системы
192.168.x.x 172.16.x.x 10.20.x.x 10.30.x.x
Изменение
IP-адреса
10.10.x.x 10.10.x.x
ASBR РЕ
ASBR РЕ
RR
Изменение IP
протокола RR
ASBR РЕ
OSPF RR
BGP
ASBR РЕ РЕ
ASBR
Общий сценарий миграции: оптимизация
производительности сети
Оптимизация QoS
Дифференцированные
Беспорядочная услуги для обеспечения
конкуренция трафика ключевых услуг
в точке агрегации
FW FW FW FW
Оптимизация услуг
CS CS CS CS
SW SW SW SW SW SW
Режим трафика: Активный / резервный Режим трафика: Балансировка нагрузки
Заключение миграции
Фокус на
потребностях
заказчиков
Основа выполнения: Принцип: контроль

результат связи рисков
Руководство: Гарантия:
процесс управления авторитетная
проектами сертификация
Вопросы
1. Какие методы можно использовать при проверке и пересмотре проекта миграции?
2. Что является тремя конкретными шагами миграции?
3. Что мы можем сделать для предотвращения рисков, вызванных отказом от

миграции?
Спасибо!
www.huawei.com

HCIP-Routing &amp; Switching Training Material (RUS)

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

HCIP-Routing &amp; Switching Training Material (RUS)

Загружено:

Авторское право:

Доступные форматы

Основы протокола OSPF

Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.

2. Основные принципы OSPF

 Требуется более высокая

RTA RTB RTD RTE

Характеристики RIP Проблемы

Проблемы RIP Решения

Медленная конвергенция и долгое

Недостаточное понимание топологии Маршрутизатор самостоятельно рассчитывает

Использование пропускной способности канала как

 Шаг 1: установление отношений соседства.

 Шаг 2: синхронизация LSDB.

2. Основные принципы OSPF

Router ID 1.1.1.1 Router ID 2.2.2.2

(1) Hello (Router ID:1.1.1.1 neighbor:null)

(2) Hello (Router ID:2.2.2.2 neighbor:null)

(3) Hello (Router ID:2.2.2.2 neighbor:1.1.1.1)

(4) Hello (Router ID:1.1.1.1 neighbor:2.2.2.2)

2. Основные принципы OSPF

Меня зовут 1.1.1.1

Меня зовут 2.2.2.2

подключены через виртуальный канал (VC).

представляет собой набор из множества

 Суммарный cost от RTA к подсети 192.168.3.0/24 = cost G1 + cost G3

2. Основные принципы OSPF

Заголовок Заголовок Данные

Version Type Packet Length

Checksum Auth Type

Тип Тип пакета Функция пакета

2 Database Description (DD) Обмен сводной информацией из LSDB.

Запрос определенной информации о

5 Link State Ack (LSAck) Подтверждение получения LSA.

 Подумайте, какую информацию содержат пакеты DD, LSR, LSU и LSAck и

Выполняемая функция Анализ реализации

Надежность Обеспечивается надежная синхронизация LSA.

2. Основные принципы OSPF

Router ID 1.1.1.1 Router ID 2.2.2.2

(1) DD(Seq=X, I, M, MS)

Exchange (3) DD(Seq=Y) ExStart > Exchange

(4) DD(Seq=Y+1, MS) Exchange

Router ID 1.1.1.1 Router ID 2.2.2.2

Hello Received Start

LS age Options LS type

2. Основные принципы OSPF

 Вопрос: как избежать того, что DR становится единственной точкой отказа?

Тип сети Устанавливается ли смежность

Широковещательная DR устанавливает смежности с BDR и DRothers

В. Link State Request

Д. Link State Advertisement

2. Какие типы сетей OSPF бывают?

<RTA>display ospf lsdb router self-originate

Type : Router //Тип LSA

* Link ID: 3.3.3.3 //Идентификатор соседнего маршрутизатора

<RTC>display ospf lsdb router self-originate

Type : Router //Тип LSA

Информация * Link ID: 10.1.235.2 //IP-адрес интерфейса назначенного маршрутизатора

 Вопрос: Где находится идентификатор сети или маска подсети?

<RTB>display ospf lsdb network self-originate

OSPF Process 1 with Router ID 2.2.2.2

Type : Network //Тип LSA

<RTA>display ospf lsdb

OSPF Process 1 with Router ID 1.1.1.1

 Этап 2: Расчет оптимального маршрута.

<RTA>display ospf lsdb network 10.1.12.2 Общая стоимость Родительский

HCIP-Routing & Switching Training Material (RUS)

HCIP-Routing & Switching Training Material (RUS)