Вы находитесь на странице: 1из 1373

Основы протокола OSPF

Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.


Введение
 Routing Information Protocol (RIP) это протокол маршрутизации, основанный
на алгоритме вектора расстояния. Недостатки RIP, такие как медленная
конвергенция и плохая масштабируемость, проявляются при его
развертывании в крупномасштабных сетях.
 Open Shortest Path First (OSPF) это протокол маршрутизации по состоянию
канала на основе алгоритма SPF, разработанный Internet Engineering Task
Force (IETF). OSPF может быть развернут в крупномасштабных сетях для
преодоления недостатков RIP. Так как же OSPF отвечает требованиям
расширения сети?

Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
 По окончании данного курса Вы:
 Будете понимать проблемы RIP в крупномасштабных сетях
 Ознакомитесь с характеристиками OSPF
 Освоите типы сетей, поддерживаемые OSPF
 Освоите процесс установления отношений соседства в OSPF
 Освоите принципы и функции OSPF DR и BDR

Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, с которыми сталкивается RIP в крупномасштабных сетях

2. Основные принципы OSPF

Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Изменения в крупномасштабных сетях
 Сети расширяются. Штаб-квартира компании

 Требуется более высокая


надежность сети.
 Наметилась тенденция по резкому
возрастанию неоднородности
сетей. Филиал A Филиал B

Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Существующие проблемы RIP в
крупномасштабных сетях
RTC

N1 N2

RTA RTB RTD RTE

t1 t2 t3 t4
Время конвергенции N1

Характеристики RIP Проблемы


Конвергенция на уровне ретрансляционных участков Медленная конвергенция и долгое восстановление после отказа
Механизм routing by rumor Недостаточное понимание топологии глобальной сети
Использование счетчика ретрансляционных участков для
Риск выбора неоптимального маршрута
измерения расстояния до точки назначения

Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение проблем RIP

Проблемы RIP Решения

Медленная конвергенция и долгое


Триггерные обновления
восстановление после отказа

Недостаточное понимание топологии Маршрутизатор самостоятельно рассчитывает


глобальной сети маршруты по информации о топологии

Использование пропускной способности канала как


Риск выбора неоптимального маршрута
критерия при выбора маршрута

Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Протокол маршрутизации по состоянию
канала OSPF
 Отделяет распространение информации маршрутизации от расчета маршрута.
 Использует алгоритм маршрутизации с предпочтением кратчайшего пути (SPF).
 Использует суммарный показатель cost канала в качестве критерия при выборе
маршрута.

LSDB
синхронизация

Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Рабочий процесс OSPF

 Шаг 1: установление отношений соседства.

 Шаг 2: синхронизация LSDB.

 Шаг 3: расчет
оптимальных маршрутов.

Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, с которыми сталкивается RIP в крупномасштабных сетях

2. Основные принципы OSPF


 Установление отношений соседства
 Информация о состоянии канала
 Типы пакетов и функции
 Синхронизация LSDB
 Выбор и роли DR и BDR

Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Router ID
 Каждый маршрутизатор OSPF имеет уникальный идентификатор Router ID,
который однозначно идентифицирует маршрутизатор в пределах
автономной системы (AS).
Кто я такой и кто другие?
Каждый маршрутизатор в LSDB
должен быть идентифицирован.

LSDB
синхронизация

Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обнаружение соседей и установление отношений
соседства – пакет Hello
 Пакет Hello выполняет следующие функции:
 Обнаружение соседей: маршрутизатор OSPF может отправить пакет Hello для
обнаружения соседних маршрутизаторов.
 Установление отношений соседства: два маршрутизатора OSPF согласовывают
параметры в пакетах Hello для установления отношений соседства.
 Поддержание отношений соседства: маршрутизаторы OSPF используют
механизм Keepalive для постоянной проверки достижимости соседних устройств.

Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс установления отношений соседства в
OSPF

Router ID 1.1.1.1 Router ID 2.2.2.2

RTA RTB

(1) Hello (Router ID:1.1.1.1 neighbor:null)


Down Down > Init

(2) Hello (Router ID:2.2.2.2 neighbor:null)


Down > Init Init

(3) Hello (Router ID:2.2.2.2 neighbor:1.1.1.1)


Init > 2-way Init

(4) Hello (Router ID:1.1.1.1 neighbor:2.2.2.2)


2-way Init > 2-way

Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обнаружение соседей и установление отношений
соседства – ручное конфигурирование
 OSPF позволяет маршрутизаторам устанавливать отношения соседства при
помощи одноадресных пакетов Hello.
 Если в сети не поддерживается многоадресная рассылка, то отношения
соседства необходимо устанавливать вручную.
1.1.1.1 2.2.2.2

RTA RTB

ospf 1 ospf 1
peer 2.2.2.2 peer 1.1.1.1

Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, с которыми сталкивается RIP в крупномасштабных сетях

2. Основные принципы OSPF


 Установление отношений соседства
 Информация о состоянии канала
 Типы пакетов и функции
 Синхронизация LSDB
 Выбор и роли DR и BDR

Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Информация о состоянии канала
 Информация о канале включает:
 Тип канала
 IP-адрес интерфейса и маску подсети
 Соседние маршрутизаторы, использующие этот же канал
 Пропускная способность канала (cost)

Меня зовут 1.1.1.1


Смотри мою информацию о
состоянии канала ниже: xxxxx

Меня зовут 2.2.2.2


RTA Смотри мою информацию о RTB
состоянии канала ниже: xxxxx

Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Широкая поддержка канального уровня
 Существует множество протоколов канального уровня, и их рабочие механизмы
различаются.
 При адаптации различных протоколов канального уровня к конкретным сценариям
необходимо учитывать сферу применения каждого из них в сети.

FR

Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Тип сети – сеть «точка-точка»
 Только два маршрутизатора подключены друг к другу.
 Поддерживаются широковещательные и многоадресные рассылки.

10.1.12.2

10.1.12.1
RTA RTB

Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Тип сети – широковещательная сеть
 Два или более маршрутизаторов подключены через общие носители.
 Поддерживаются широковещательные и многоадресные рассылки.

RTA RTB

10.1.1.1 10.1.1.2

Ethernet
10.1.1.3 10.1.1.4

RTC RTD

Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Тип сети – сеть NBMA
 Два или более маршрутизаторов RTA

подключены через виртуальный канал (VC).


DLCI=102 DLCI=103

10.1.123.1
 Широковещательные и многоадресные
рассылки не поддерживаются.

FR

RTB RTC

Полносвязная сеть FR

Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Тип сети – сеть «точка-многоточка»
 Сеть «точка-многоточка» RTA

представляет собой набор из множества


DLCI=102 DLCI=103

10.1.123.1
сетей «точка-точка».
 Поддерживаются широковещательные и
многоадресные рассылки.

FR

RTB RTC
Частично связанная сеть FR

Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
OSPF cost
 Cost интерфейса = эталонная пропускная способность/пропускная способность
интерфейса
 Следовательно, cost может быть изменена двумя способами:
 Конфигурирование cost непосредственно в режиме настройки интерфейса.
 Изменение эталонной пропускной способности. Такое изменение должно выполняться на
всех маршрутизаторах для обеспечения согласованности выбора маршрута.

Loopback 1
192.168.3.3/24
G1 G2 G3 G4
RTA RTB RTC

 Суммарный cost от RTA к подсети 192.168.3.0/24 = cost G1 + cost G3

Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, с которыми сталкивается RIP в крупномасштабных сетях

2. Основные принципы OSPF


 Установление отношений соседства
 Информация о состоянии канала
 Типы пакетов и функции
 Синхронизация LSDB
 Выбор и роли DR и BDR

Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Заголовок пакета OSPF
Протокол номер 89

Заголовок Заголовок Данные


IP-пакета OSPF-пакета OSPF-пакета

0 7 15 31

Version Type Packet Length

Router ID

Area ID

Checksum Auth Type

Authentication

Authentication

Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Типы пакетов OSPF

Тип Тип пакета Функция пакета


Обнаружение и поддержание отношений
1 Hello
соседства OSPF.

2 Database Description (DD) Обмен сводной информацией из LSDB.

Запрос определенной информации о


3 Link State Request (LSR)
состоянии канала.
Отправка запрошенной информации о
4 Link State Update (LSU)
состоянии канала.

5 Link State Ack (LSAck) Подтверждение получения LSA.

 Подумайте, какую информацию содержат пакеты DD, LSR, LSU и LSAck и


почему эта информация в них содержится?

Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Функциональные требования к пакетам
OSPF

Выполняемая функция Анализ реализации


Обнаружение и поддержание
Используется механизм Hello.
состояния соседства

Задействованы 2 маршрутизатора,
отправляющие LSA друг другу для
Синхронизация LSA
синхронизации. Синхронизация LSA происходит
быстро и потребляет меньше ресурсов.

Надежность Обеспечивается надежная синхронизация LSA.

Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, с которыми сталкивается RIP в крупномасштабных сетях

2. Основные принципы OSPF


 Установление отношений соседства
 Информация о состоянии канала
 Типы пакетов и функции
 Синхронизация LSDB
 Выбор и роли DR и BDR

Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Синхронизация LSDB в OSPF (1)

Router ID 1.1.1.1 Router ID 2.2.2.2

RTA RTB

(1) DD(Seq=X, I, M, MS)


ExStart
(2) DD(Seq=Y, I, M, MS) ExStart
ExStart > Exchange

Exchange (3) DD(Seq=Y) ExStart > Exchange

(4) DD(Seq=Y+1, MS) Exchange


Exchange

(5) DD(Seq=Y+1)
Exchange > Loading Exchange > Full

Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Синхронизация OSPF LSDB (2)

Router ID 1.1.1.1 Router ID 2.2.2.2

RTA RTB

(6) LS Request
Loading Full

(7) LS Update
Loading > Full Full

(8) LSAck
Full Full

Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Машина состояний соседей OSPF

Down

Hello Received Start


Attempt
Hello Received
Init
1-way Received

ExStart 2-way
Negotiation Done 2-way Hello Received

Exchange

Exchange Done
Full Loading
Loading Done

Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Заголовок LSA
 LSA несут информацию OSPF о состоянии каналов.

0 15 23 31

LS age Options LS type

Link State ID

Advertising Router

LS sequence number

LS checksum Length

Стр. 35 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, с которыми сталкивается RIP в крупномасштабных сетях

2. Основные принципы OSPF


 Установление отношений соседства
 Информация о состоянии канала
 Типы пакетов и функции
 Синхронизация LSDB
 Выбор и роли DR и BDR

Стр. 36 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблемы в MA Networks
 Управление nx(n-1)/2 смежностей затруднено.
 Ненужная лавинная рассылка повторяющихся LSA – пустая трата ресурсов.

RTA RTB

RTC RTD

Стр. 37 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Роль DR и BDR
 Сокращение числа смежностей.
 Сокращение трафика OSPF.
RTA RTB

Псевдоузел

RTC RTD

 Вопрос: как избежать того, что DR становится единственной точкой отказа?

Стр. 38 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Выбор DR и BDR
 Правила выбора: выбор DR/BDR происходит среди интерфейсов.
 Приоритет имеет интерфейс с наивысшим приоритетом маршрутизатора.
 Если интерфейсы имеют равный приоритет маршрутизатора, то приоритет имеет
интерфейс с наибольшим значением router ID.
RTA (DR) RTB (DRother) Не подходит для
того, чтобы стать
DR или BDR
100 0
10.1.1.1 10.1.1.2

95 200
10.1.1.3 10.1.1.4
Не обязательно станет
DR/BDR, даже несмотря
на наивысший приоритет
маршрутизатора
RTC (BDR) RTD (DRother)

Стр. 39 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Отношения соседства и смежности

Тип сети Устанавливается ли смежность

«Точка-точка» Да

Широковещательная DR устанавливает смежности с BDR и DRothers


BDR устанавливает смежности с DR и Drothers
DRothers устанавливают друг с другом только
NBMA
отношения соседства

«Точка-многоточка» Да

Стр. 40 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Что из представленного ниже является пакетами OSPF?
А. Hello

Б. Database Description

В. Link State Request

Г. Link State DD

Д. Link State Advertisement

2. Какие типы сетей OSPF бывают?

Стр. 41 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Маршрутизация внутри области OSPF
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение
 Данный курс заключается в том, как OSPF вычисляет внутризоновые
маршруты, в том числе как использовать Router-LSA и Network-LSA для
описания информации о топологии и маршрута, а также как построить SPT
(shortest path tree).

Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
 По окончании данного курса Вы узнаете:
 Содержание Router-LSA и его функции
 Содержание Network-LSA и его функции
 Алгоритм SPF (shortest path first)

Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Router-LSA

2. Network-LSA

3. Расчет SPF

Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Router-LSA, описывающий интерфейс
«точка-точка»
RID 1.1.1.1 RID 3.3.3.3

10.1.13.0/24
RTA RTC

<RTA>display ospf lsdb router self-originate

Type : Router //Тип LSA


Ls id : 1.1.1.1 // Идентификатор состояния канала
Adv rtr : 1.1.1.1 // Идентификатор маршрутизатора, генерирующего LSA

* Link ID: 3.3.3.3 //Идентификатор соседнего маршрутизатора


Информация о Data : 10.1.13.1 //IP-адрес интерфейса маршрутизатора, генерирующего LSA
топологии Link Type: P-2-P
Metric : 48
* Link ID: 10.1.13.0 //IP-адрес этой оконечной сети (stub network)
Информация о Data : 255.255.255.0 //Маска сети этой оконечной сети
маршрутизации Link Type: StubNet
Metric : 48 // Значение стоимости (Cost)
Priority : Low

Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Router-LSA, описывающий сеть MA или NBMA

RID 2.2.2.2
RTB

DR
10.1.235.0/24
RID 3.3.3.3 RID 4.4.4.4

RTC RTE

<RTC>display ospf lsdb router self-originate

Type : Router //Тип LSA


Ls id : 3.3.3.3 //Идентификатор состояния канала
Adv rtr : 3.3.3.3 //Идентификатор маршрутизатора, генерирующего LSA

Информация * Link ID: 10.1.235.2 //IP-адрес интерфейса назначенного маршрутизатора


Data : 10.1.235.3 //IP-адрес интерфейса маршрутизатора, который объявляет LSA
о топологии
Link Type: TransNet
Metric : 1

 Вопрос: Где находится идентификатор сети или маска подсети?


Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Router-LSA

2. Network-LSA

3. Расчет SPF

Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Network-LSA, описывающий сеть MA или
NBMA

<RTB>display ospf lsdb network self-originate

OSPF Process 1 with Router ID 2.2.2.2


Area: 0.0.0.0
Link State Database

Type : Network //Тип LSA


Ls id : 10.1.235.2 //IP-адрес интерфейса DR
Adv rtr : 2.2.2.2 //Router ID DR
Топология и
информация о Net mask : 255.255.255.0 //Маска подсети
маршрутизации Priority : Low
Attached Router 2.2.2.2 //Список маршрутизаторов, подключенных к этой сети
Attached Router 3.3.3.3
Attached Router 5.5.5.5

Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
LSDB в области OSPF
10.1.12.0/24

10.1.24.0/24

10.1.13.0/24

10.1.235.0/24 RTD
10.1.45.0/24

RTC RTE

<RTA>display ospf lsdb

OSPF Process 1 with Router ID 1.1.1.1


Link State Database
Area: 0.0.0.0
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 4.4.4.4 4.4.4.4 1436 72 80000007 48
Router 2.2.2.2 2.2.2.2 1305 72 80000019 1
Router 1.1.1.1 1.1.1.1 1304 60 80000007 1
Router 5.5.5.5 5.5.5.5 1326 60 80000017 1
Router 3.3.3.3 3.3.3.3 1325 60 8000000F 1
Network 10.1.235.2 2.2.2.2 1326 36 80000004 0
Network 10.1.12.2 2.2.2.2 1305 32 80000001 0

Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Router-LSA

2. Network-LSA

3. Расчет SPF

Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Алгоритм SPF
 Этап 1: Создание дерево SPT.
 Создать SPT на основе информации о
топологии в Router-LSA и Network-LSA.

 Этап 2: Расчет оптимального маршрута.


 Рассчитать оптимальный маршрут на
основе SPT и маршрутной информации в
Router-LSA и Network-LSA.

Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание SPT (1)
<RTA>display ospf lsdb router self-originate
Общая стоимость Родительский
Кандидат
Type : Router кандидата узел
Ls id : 1.1.1.1
10.1.12.2 1 1.1.1.1
Adv rtr : 1.1.1.1
* Link ID: 10.1.12.2 3.3.3.3 48 1.1.1.1
Data : 10.1.12.1
Link Type: TransNet
Metric : 1
* Link ID: 3.3.3.3
Data : 10.1.13.1 1.1.1.1 RTA
Link Type: P-2-P 1
Metric : 48
* Link ID: 10.1.13.0
Data : 255.255.255.0 DR: 10.1.12.2
Link Type: StubNet
Metric : 48
Priority : Low

Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание SPT (2)

<RTA>display ospf lsdb network 10.1.12.2 Общая стоимость Родительский


Кандидат
кандидата узел
Type : Network 3.3.3.3 48 1.1.1.1
Ls id : 10.1.12.2
Adv rtr : 2.2.2.2 2.2.2.2 1+0 10.1.12.2

Net mask : 255.255.255.0


Priority : Low
1.1.1.1 RTA
Attached Router 2.2.2.2
1
Attached Router 1.1.1.1
DR: 10.1.12.2
0

2.2.2.2 RTB

Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание SPT (3)
<RTA>display ospf lsdb router 2.2.2.2 Общая стоимость Родительский
Кандидат
кандидата узел
Type : Router
Ls id : 2.2.2.2 3.3.3.3 48 1.1.1.1
Adv rtr : 2.2.2.2
10.1.235.2 1+0+1 2.2.2.2
* Link ID: 10.1.12.2
Data : 10.1.12.2 4.4.4.4 1 + 0 + 48 2.2.2.2
Link Type: TransNet
Metric : 1
* Link ID: 10.1.235.2
Data : 10.1.235.2
Link Type: TransNet 1.1.1.1 RTA
Metric : 1 1
* Link ID: 4.4.4.4
Data : 10.1.24.2 DR: 10.1.12.2
Link Type: P-2-P 0
Metric : 48
* Link ID: 10.1.24.0 2.2.2.2 RTB
Data : 255.255.255.0 1
Link Type: StubNet
Metric : 48
DR:10.1.235.2
Priority : Low

Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание SPT (4)
Общая стоимость Родительский
кандидат
кандидата узел

3.3.3.3 48 1.1.1.1
<RTA>display ospf lsdb network 4.4.4.4 1 + 48 2.2.2.2
10.1.235.2
3.3.3.3 1+0+1+0 10.1.235.2

Type : Network 5.5.5.5 1+0+1+0 10.1.235.2


Ls id : 10.1.235.2
Adv rtr : 2.2.2.2 RTA
1.1.1.1
1
Net mask : 255.255.255.0
Priority : Low DR: 10.1.12.2
Attached Router 2.2.2.2 0
Attached Router 3.3.3.3 RTB
Attached Router 5.5.5.5 2.2.2.2
1

DR: 10.1.235.2
0 0

3.3.3.3 5.5.5.5

Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание SPT (5)

<RTA>display ospf lsdb router 3.3.3.3 Общая стоимость Родительский


Кандидат
кандидата узел
Type : Router 4.4.4.4 1 48 2.2.2.2
Ls id : 3.3.3.3
Adv rtr : 3.3.3.3 1.1.1.1 RTA
* Link ID: 10.1.235.2 1
Data : 10.1.235.3
Link Type: TransNet DR: 10.1.12.2
Metric : 1 0
* Link ID: 1.1.1.1
Data : 10.1.13.3 2.2.2.2 RTB
1
Link Type: P-2-P
Metric : 48
DR: 10.1.235.2
* Link ID: 10.1.13.0
0 0
Data : 255.255.255.0
Link Type: StubNet 3.3.3.3 5.5.5.5
Metric : 48
Priority : Low

Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание SPT (6)

<RTA>display ospf lsdb router 5.5.5.5 Общая стоимость Родительский


Кандидат
кандидата узел
Type : Router 4.4.4.4 1 + 48 2.2.2.2
Ls id : 5.5.5.5 4.4.4.4 1 + 0 + 1 + 0 + 48 5.5.5.5
Adv rtr : 5.5.5.5
* Link ID: 10.1.235.2
Data : 10.1.235.5 1.1.1.1 RTA
1
Link Type: TransNet
Metric : 1
DR: 10.1.12.2
* Link ID: 4.4.4.4
0
Data : 10.1.45.5
Link Type: P-2-P 2.2.2.2 RTB
Metric : 48 1 48
* Link ID: 10.1.45.0
Data : 255.255.255.0 DR: 10.1.235.2
Link Type: StubNet 0 0
4.4.4.4
Metric : 48
3.3.3.3 5.5.5.5
Priority : Low

Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Расчет оптимального маршрута
 Сбор информации о маршрутизации из LSA всех узлов SPT.
 Начиная с корня, в той же последовательности, в которой они были
добавлены в SPT. * Link ID: 10.1.13.0
Data : 255.255.255.0
Link Type: StubNet
① Metric : 48
RTA Priority : Low

1.1.1.1 Type : Network


1 Ls id : 10.1.12.2
Adv rtr : 2.2.2.2
Type : Network ② Net mask : 255.255.255.0
Ls id : 10.1.235.2 DR: 10.1.12.2
Adv rtr : 2.2.2.2 0
Net mask : 255.255.255.0 RTB * Link ID: 10.1.24.0
③ Data : 255.255.255.0
2.2.2.2 Link Type: StubNet
④ 1 48 Metric : 48
Priority : Low

DR: 10.1.235.2 4.4.4.4


0 0 * Link ID: 10.1.45.0
⑤ Data : 255.255.255.0
Link Type: StubNet
3.3.3.3 5.5.5.5 Metric : 48
Priority : Low

Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Просмотр таблицы маршрутизации OSPF
<RTA>display ospf routing

OSPF Process 1 with Router ID 1.1.1.1


Routing Tables

Routing for Network


Destination Cost Type NextHop AdvRoute Area
10.1.12.0/24 1 Transit 10.1.12.1 1.1.1.1 0.0.0.0
10.1.13.0/24 48 Stub 10.1.13.1 1.1.1.1 0.0.0.0
10.1.24.0/24 49 Stub 10.1.12.2 2.2.2.2 0.0.0.0
10.1.45.0/24 50 Stub 10.1.12.2 5.5.5.5 0.0.0.0
10.1.235.0/24 2 Transit 10.1.12.2 2.2.2.2 0.0.0.0

Total Nets: 5
Intra Area: 5 Inter Area: 0 ASE: 0 NSSA: 0

Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример конфигурирования OSPF для
одной области
ospf 1 router-id 1.1.1.1 ospf 1 router-id 2.2.2.2
area 0 area 0
network 10.1.12.0 0.0.0.255 network 10.1.12.0 0.0.0.255
network 10.1.13.0 0.0.0.255 network 10.1.24.0 0.0.0.255
network 10.1.235.0 0.0.0.255
RTA RTB
10.1.12.0/24

10.1.24.0/24

10.1.13.0/24

10.1.235.0/24 RTD ospf 1 router-id 4.4.4.4


10.1.45.0/24 area 0
network 10.1.24.0 0.0.0.255
network 10.1.45.0 0.0.0.255
RTC РТЕ
ospf 1 router-id 3.3.3.3
area 0 ospf 1 router-id 5.5.5.5
network 10.1.13.0 0.0.0.255 area 0
network 10.1.235.0 0.0.0.255 network 10.1.45.0 0.0.0.255
network 10.1.235.0 0.0.0.255

Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Просмотр статуса соседа OSPF

<RTA>display ospf peer brief

OSPF Process 1 with Router ID 1.1.1.1


Peer Statistic Information
------------------------------------------------------------------------------------------------------------
Area Id Interface Neighbor id State
0.0.0.0 GigabitEthernet0/0/0 2.2.2.2 Full
0.0.0.0 Serial1/0/0 3.3.3.3 Full
------------------------------------------------------------------------------------------------------------

Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какие типы канала могут быть описаны Router-LSA?

2. Будет ли маршрут, выбранный OSPF, обязательно добавлен в таблицу


маршрутизации маршрутизатора?

Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Межобластная маршрутизация OSPF
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение
 По мере роста сети, с увеличением структурной сложности маршрутизаторы
потребляют больше ресурсов памяти и ЦП для расчета маршрутов.
 Кроме того, растет и коэффициент отказов сетей. Если в области возникает
неисправность, то все маршрутизаторы в этой области должны пересчитать
маршруты. Это может налагать тяжелое бремя на маршрутизаторы и
ухудшать стабильность сети.
 Как работает протокол OSPF для решения проблем, вызванных чрезмерно
большой областью?

Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
 По окончании данного курса Вы узнаете:
 Процессы передачи межобласных маршрутов
 Способ предотвращения межзобласной маршрутной петли
 Способ конфигурации виртуальных каналов

Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Вычисление межобластного маршрута

2. Предотвращение межобластной маршрутной петли

3. Функции и конфигурация виртуальных каналов

Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Деление областей
Внутренний
маршрутизатор
Пограничный
областный
маршрутизатор (ABR)

RTA
Область 1 Область 2

RTB RTC
Область 0
RTD RTE

Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Передача межобластного маршрута
192.168.1.0/24
carried in a Type 3
LSA and advertised in
Area 0
192.168.1.0/24 192.168.1.0/24
carried in a Type 1 carried in a Type 3
LSA and advertised LSA and advertised in
in Area 1 Area 2
RTA
192.168.1.1/24 192.168.2.1/24

RTB RTC
Область 1 Область 0 Область 2
RTD RTE
192.168.2.0/24
carried in a Type 1
192.168.2.0/24 LSA and advertised in 192.168.2.0/24
carried in a Type 3 Area 0 carried in a Type 1
LSA and advertised in LSA and advertised in
Area 1 Area 2

LSA: Реклама Link-state Информация о состоянии канала


Информация о маршрутизации

Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Network-Summary-LSA
<RTB>display ospf lsdb summary 192.168.1.0
OSPF Process 1 with Router ID 2.2.2.2
Area: 0.0.0.0
Link State Database
Type : Sum-Net //Type 3 LSA
Ls id : 192.168.1.0 //Destination network segment address
Adv rtr : 2.2.2.2 //ID of the router that generates the LSA
Ls age : 86
Len : 28
Options : E
seq# : 80000001
chksum : 0x7c6d
Net mask : 255.255.255.0 //Subnet mask
Tos 0 metric: 1 //Cost value

Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вычисление межобластного маршрута

Результат вычисления RTA в области 0 Результат вычисления RTE в области 2

1 1 1
RTA RTE

RTB RTC RTC


(ABR) (ABR) (ABR)
1 1 3

192.168.1.0/24 192.168.2.0/24 192.168.1.0/24

Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Вычисление межобластного маршрута

2. Предотвращение межобластной маршрутной петли

3. Функции и конфигурация виртуальных каналов

Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Генерация межобластной маршрутной
петли

RTA
Область 0

RTB RTC
192.168.1.0/24
advertised in Area 1
Область 1 Область 2

RTD advertises a Type 3


LSA describing subnet RTD RTE
192.168.1.0/24 to Area 1
192.168.1.0

Область 3

Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Предотвращение межобластной
маршрутной петли
 Магистральная область и немагистральная область
 Правила передачи Type 3 LSA Магистральная область
Область 0

Не-магистральная
область

 Вопрос: Что произойдет, если ID области установлен в ненулевое значение,


когда существует только одна область?
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Вычисление межобластного маршрута

2. Предотвращение межобластной маршрутной петли

3. Функции и конфигурация виртуальных каналов

Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Неправильное проектирование области
OSPF

RTA

Область 1
RTD RTB RTC RTE
Область 0 Область 2

 Как быть, если соблюдать правила предотвращения возникновения


маршрутных петель между областями OSPF не удается?

Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Виртуальные каналы

RTA

Область 1
RTD RTB RTC RTE
Область 0 Область 2

[RTB-ospf-1]ospf 1 [RTC-ospf-1]ospf 1
[RTB-ospf-1]area 1 [RTC-ospf-1]area 1
[RTB-ospf-1-area-0.0.0.1]vlink-peer 3.3.3.3 [RTC-ospf-1-area-0.0.0.1]vlink-peer 2.2.2.2

Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Может ли один Network-Summary-LSA описать несколько маршрутов?

2. Как OSPF предотвращает междоменные маршруты маршрутизации?

Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Внешняя маршрутизация OSPF

Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.


Введение
 Кроме внутренней связи предприятия требуют еще внешней связи.
 Предположим, протокол OSPF был развернут в корпоративной сети
компании A для обеспечения внутренней связи. Когда необходимо посетить
веб-сервер, расположенный на корпоративной сети компании B, как сетевой
инженер компании может импортировать маршрутную информацию из
корпоративной сети компании B для достижения поставленной цели?

Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
 По окончании данного курса Вы узнаете:
 Функции AS-External-LSA и ASBR-Summary-LSA
 Методы вычисления внешних маршрутов OSPF
 Причину субоптимальных внешних маршрутов

Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Вычисление внешнего маршрута

2. Типы внешних маршрутов

3. Причина субоптимальных внешних маршрутов

Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Импорт внешних маршрутов

Company
CompanyBB

10.1.60.0/24 [RTA]ip route-static 10.1.60.0


255.255.255.0 10.1.16.6
RTF [RTA]ospf 1
[RTA-ospf-1]import-route static

Company A Type 5 LSA

Type 5 LSA RTA Type 5 LSA


Type 4 LSA Type 4 LSA

Area 0
Area 1 Area 2
RTD RTB RTC RTE

Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
AS-External-LSA

<RTA>display ospf lsdb ase self-originate

OSPF Process 1 with Router ID 1.1.1.1


Link State Database
Type : External //Тип LSA
Ls id : 10.1.60.0 //Адрес сегмента сети назначения
Adv rtr : 1.1.1.1 //Идентификатор ASBR, генерирующего Type
5 LSA
Ls age : 1340
Len : 36
Options : E
seq# : 80000004
chksum : 0xb5cc
Net mask : 255.255.255.0 //Маска подсети
TOS 0 Metric: 1 //Стоимость
E type : 2
Forwarding Address : 0.0.0.0
Tag :1
Priority : Low

Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
ASBR-Summary-LSA

<RTB>display ospf lsdb asbr self-originate

Area: 0.0.0.1
Link State Database

Type : Sum-Asbr //Тип LSA


Ls id : 1.1.1.1 //Идентификатор маршрутизатора ASBR
Adv rtr : 2.2.2.2 //Идентификатор ABR, генерирующего Type 4
LSA
Ls age : 15
Len : 28
Options : E
seq# : 80000005
chksum : 0xf456
Tos 0 metric: 1 //Стоимость маршрута от RTB до ASBR

Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Расчет внешнего маршрута

Результат вычисления RTB в Области 0 Результат вычисления RTD в Области 1


(область, в которой находится ASBR) (не та область, в которой находится ASBR)

10.1.60.0/24 cost=1

RTA
(ASBR)
RTD RTB 10.1.60.0/24
(ABR) Стоимость = 1

RTB RTC

Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Вычисление внешнего маршрута

2. Типы внешних маршрутов

3. Причина субоптимальных внешних маршрутов

Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Типы внешних маршрутов

Тип Стоимость (Cost)

Внутренняя стоимость AS +
Внешний маршрут типа 1
внешняя стоимость AS

Внешний маршрут типа 2 Внешняя стоимость AS

Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Вычисление внешнего маршрута

2. Типы внешних маршрутов

3. Причина субоптимальных внешних маршрутов

Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Причина субоптимальных внешних
маршрутов
Перераспределение
.2 маршрутов RIP в OSPF
OSPF
RTB
RTA RIP
.1
RTC
10.1.123.0/24
.3

192.168.3.0/24

<RTA>display ip routing-table 192.168.3.0

Destination/Mask Proto Pre Cost Flags NextHop Interface

192.168.3.0/24 O_ASE 150 1 D 10.1.123.2 GigabitEthernet0/0/0

Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Адрес переадресации
Перераспределение маршрутов RIP в OSPF Type 5 LSA, сгенерированный RTB:
Type : External
Ls id : 192.168.3.0
.2 Adv rtr : 2.2.2.2
OSPF Ls age : 273
Len : 36
RTB Options : E
.1
RTA RIP seq# : 80000001
Chksum : 0x470b
RTC Net mask : 255.255.255.0
TOS 0 Metric: 1
10.1.123.0/24 E type :2
.3 Forwarding Address : 10.1.123.3
Tag :1
Priority : Low
192.168.3.0/24

<RTA>display ip routing-table 192.168.3.0

Destination/Mask Proto Pre Cost Flags NextHop Interface

192.168.3.0/24 O_ASE 150 1 D 10.1.123.3 GigabitEthernet0/0/0

Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. На каком типе маршрутизаторов генерируется AS-External-LSA? Каковы функции
AS-External-LSA?

2. На каком типе маршрутизаторов генерируется ASBR-Summary-LSA? Каковы


функции ASBR-Summary-LSA?

3. Какие два типа внешних маршрутов предоставляет OSPF? Какой тип маршрутов
имеет более высокий приоритет?

Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Специальные области OSPF и прочие
функциональные особенности
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение
 Маршрутизаторы OSPF должны сохранять базы данных состояния каналов (LSDB),
содержащие внутриобластную, межобластную и внешнюю информацию маршрутизации. По
мере расширения сети растут количество или размер LSDB. Если в одной из областей OSPF
не нужно предоставлять транзитные услуги для прохождения трафика, то маршрутизаторам
в этой области не нужно сохранять информацию о состоянии каналов за пределами этой
области.
 OSPF сокращает количество LSA в сети путем деления его автономной системы (AS) на ряд
областей. Однако, возможна лавинная рассылка слишком большого количества LSA в
немагистральных областях, что создаст непосильную нагрузку на маршрутизаторы нижнего
ценового сегмента, расположенные в таких областях. Для дальнейшего сокращения
количества LSA и размеров таблицы маршрутизации была предложена пара специальных
областей OSPF.

Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
 По окончании данного курса Вы будете:
 Понимать особенности специальной области OSPF
 Понимать сценарии применения виртуальных каналов OSPF
 Ознакомлены с принципом суммирования маршрута OSPF
 Ознакомлены с механизмом обновления OSPF
 Понимать механизм аутентификации OSPF

Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Тупиковая область и полностью тупиковая область

2. NSSA и Totally NSSA

3. Суммирование маршрута между областями и суммирование внешнего


маршрута

4. Механизмы обновления OSPF

5. Механизм аутентификации OSPF

Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Транзитная область и конечная область

Внешняя сеть

Транзитная область
Конечная область
RTA

Область 0
RTD RTB RTC РТЕ
Область 1 Область 2

Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Тупиковая область

Тупиковая область
RTA
Область 1 Область 2

Область 0
ospf 1 RTD RTB RTC RTE
area 1
stub

LSDB в RTD LSDB в RTD


LSA Type 1, Type 2 и Type 3 LSA Type 1, Type 2 и Type 3
Type 5 LSA
Один Type 3 LSA по умолчанию
Type 4 LSA
...
Type 5 LSA Заменяются

Type 4 LSA

Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Таблица маршрутизации OSPF в
тупиковой области

<RTD>display ospf routing

OSPF Process 1 with Router ID 4.4.4.4


Routing Tables

Routing for Network


Destination Cost Type NextHop AdvRouter Area
10.1.24.0/24 1 Transit 10.1.24.4 4.4.4.4 0.0.0.1
0.0.0.0/0 2 Inter-area 10.1.24.2 2.2.2.2 0.0.0.1
10.1.12.0/24 2 Inter-area 10.1.24.2 2.2.2.2 0.0.0.1
10.1.13.0/24 3 Inter-area 10.1.24.2 2.2.2.2 0.0.0.1
10.1.35.0/24 4 Inter-area 10.1.24.2 2.2.2.2 0.0.0.1
192.168.2.0/24 4 Inter-area 10.1.24.2 2.2.2.2 0.0.0.1

Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Полностью тупиковая область
Полностью
тупиковая область RTA
Область 1 Область 2

Область 0
ospf 1 RTD RTB RTC RTE
area 1 ospf 1
stub area 1
LSDB в RTD stub no-summary

LSA Type 1 и Type 2 LSDB в RTD


Type 3 LSA LSA Type 1 и Type 2
Type 5 LSA Один Type 3 LSA по умолчанию
Type 4 LSA
... Заменяются
Type 5 LSA
Type 4 LSA

Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Таблица маршрутизации OSPF в
полностью тупиковой области

<RTD>display ospf routing

OSPF Process 1 with Router ID 4.4.4.4


Routing Tables

Routing for Network


Destination Cost Type NextHop AdvRouter Area
10.1.24.0/24 1 Transit 10.1.24.4 4.4.4.4 0.0.0.1
0.0.0.0/0 2 Inter-area 10.1.24.2 2.2.2.2 0.0.0.1

Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Тупиковая область и полностью тупиковая область

2. NSSA и Totally NSSA

3. Суммирование маршрута между областями и суммирование внешнего


маршрута

4. Механизмы обновления OSPF

5. Механизм аутентификации OSPF

Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблемы, возникающие в тупиковых и
полностью тупиковых областях

Внешняя Импорт внешних


Оптимальный маршрутов
сеть
маршрут

RTA
Область 1 Область 2

Область 0
RTD RTB RTC RTE

Тупиковая/полность
ю тупиковая область

Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
NSSA и Totally NSSA

Внешняя
сеть

ospf 1
area 1 RTA
nssa Область 1 Область 2

Область 0
RTD RTB RTC RTE

Type 7 LSA Type 5 LSA Type 5 LSA


ASBR ABR ABR Type 4 LSA
Преобразование
LSA Type 7 в LSA
Type 5
Импорт внешних маршрутов Создание LSA Type 4

Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Примеры LSDB в NSSA и totally NSSA

NSSA Totally NSSA


<RTB>display ospf lsdb <RTB>display ospf lsdb

OSPF Process 1 with Router ID 2.2.2.2 OSPF Process 1 with Router ID 2.2.2.2
Link State Database Link State Database

Area: 0.0.0.1 Area: 0.0.0.1


Type LinkState ID AdvRouter Type LinkState ID AdvRouter
Router 4.4.4.4 4.4.4.4 Router 4.4.4.4 4.4.4.4
Router 2.2.2.2 2.2.2.2 Router 2.2.2.2 2.2.2.2
Network 10.1.24.4 4.4.4.4 Network 10.1.24.4 4.4.4.4
Sum-Net 10.1.35.0 2.2.2.2 Sum-Net 0.0.0.0 2.2.2.2
Sum-Net 10.1.13.0 2.2.2.2 NSSA 0.0.0.0 2.2.2.2
Sum-Net 10.1.12.0 2.2.2.2 NSSA 10.1.47.0 4.4.4.4
Sum-Net 192.168.2.0 2.2.2.2 NSSA 192.168.7.0 4.4.4.4
NSSA 0.0.0.0 2.2.2.2 NSSA 10.1.24.0 4.4.4.4
NSSA 10.1.47.0 4.4.4.4
NSSA 192.168.7.0 4.4.4.4
NSSA 10.1.24.0 4.4.4.4

Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Резюме LSA
Объявляющий
LSA Type Содержание LSA Границы объявления
маршрутизатор
Router-LSA Информация о топологии и
Маршрутизатор OSPF Локальная область
(Type 1) маршрутизации

Network-LSA Назначенный Информация о топологии и


Локальная область
(Type 2) маршрутизатор (DR) маршрутизации

Network-Summary-LSA Информация о маршрутизации Области, за исключением


ABR
(Type-3) между областями полностью тупиковых

ASBR-Summary-LSA Области, за исключением


ABR Router ID ASBR
(Type 4) полностью тупиковых

AS-External-LSA Информация о внешней Области OSPF, за исключением


ASBR
(Type 5) маршрутизации AS тупиковых

NSSA-LSA Информация о внешней


ASBR Totally NSSA
(Type 7) маршрутизации NSSA

 Вопрос: Каковы ограничения специальных областей OSPF? Существуют ли


какие-то другие методы сокращения количества LSA?
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Тупиковая область и полностью тупиковая область

2. NSSA и Totally NSSA

3. Суммирование маршрута между областями и суммирование внешнего


маршрута

4. Механизмы обновления OSPF

5. Механизм аутентификации OSPF

Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Суммирование маршрута между
областями

RTA
172.16.0.0/24
172.16.1.0/24
Область 1
172.16.2.0/24
172.16.3.0/24
172.16.4.0/24 Область 0
172.16.5.0/24
172.16.6.0/24 RTD RTB RTC
172.16.7.0/24

ospf 1
area 1
abr-summary 172.16.0.0 255.255.248.0
Type LinkState ID AdvRouter
Sum-Net 172.16.0.0 2.2.2.2
Sum-Net 172.16.1.0 2.2.2.2
Sum-Net 172.16.2.0 2.2.2.2
Type LinkState ID AdvRouter
Sum-Net 172.16.3.0
Sum-Net 172.16.4.0
2.2.2.2
2.2.2.2
8 vs 1 Sum-Net 172.16.0.0 2.2.2.2
Sum-Net 172.16.5.0 2.2.2.2
Sum-Net 172.16.6.0 2.2.2.2
Sum-Net 172.16.7.0 2.2.2.2

Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Суммирование внешнего маршрута
172.17.0.0/24 172.17.4.0/24
172.17.1.0/24 172.17.5.0/24
172.17.2.0/24 172.17.6.0/24
172.17.3.0/24 172.17.7.0/24

RTA ospf 1
Область 1 asbr-summary 172.17.0.0 255.255.248.0

Область 0
RTD RTB RTC

AS External Database
Type LinkState ID AdvRouter
External 172.17.0.0 1.1.1.1 AS External Database
External 172.17.1.0 1.1.1.1 Type LinkState ID AdvRouter
External 172.17.2.0 1.1.1.1 8 vs 1 External 172.17.0.0 1.1.1.1
External 172.17.3.0 1.1.1.1
External 172.17.4.0 1.1.1.1
External 172.17.5.0 1.1.1.1
External 172.17.6.0 1.1.1.1
External 172.17.7.0 1.1.1.1

Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Тупиковая область и полностью тупиковая область

2. NSSA и Totally NSSA

3. Суммирование маршрута между областями и суммирование внешнего


маршрута

4. Механизмы обновления OSPF

5. Механизм аутентификации OSPF

Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Периодическое и инициируемое
обновление LSA
 Периодическое обновление:
 Каждый LSA обновляется раз в 1800 секунд, иначе срок его действия истечет по
прошествии 3600 секунд.

 Инициируемое обновление:
 При изменении состояния канала маршрутизатор немедленно отправляет пакет
Link State Update (LSU).

LSU

192.168.1.0/24

LSAck
RTA RTB

Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Тупиковая область и полностью тупиковая область

2. NSSA и Totally NSSA

3. Суммирование маршрута между областями и суммирование внешнего


маршрута

4. Механизмы обновления OSPF

5. Механизм аутентификации OSPF

Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Риски безопасности

Нормальный
трафик
RTA RTB

База
Финансовый
данных
отдел
Ненормальный
трафик Вводимый ложный
маршрут

Несанкционированное
устройство

Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Аутентификация обеспечивает
безопасность
ospf 1
area 0
authentication-mode md5 1 cipher abc

Нормальный
трафик
RTA RTB

Финансовый База
отдел данных

Аутентификация

Неудача при попытке


вводе маршрута
Несанкционированное
устройство

Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Комплексный сценарий OSPF
 На следующем рисунке представлена топология сети предприятия. Базовое конфигурирование OSPF выполнено, но администратор сети по-
прежнему сталкивается со следующими проблемами:
 Связь между головным офисом и филиалами А и Б работает нормально, но все они не могут связаться с удаленным офисом В.
 В связи с низкой производительностью устройств в филиале А должна быть снижена нагрузка по вычислению маршрутов и хранению
состояний каналов. Кроме того, имея в виду будущее расширение сети, для этой области должна быть предусмотрена возможность
импорта внешних маршрутов.
 Должна быть обеспечена безопасность информации маршрутизации в удаленном офисе В из-за частых визитов туда гостей.
 Помимо внешней cost, при импорте внешних маршрутов в RTA также необходимо учитывать внутреннюю cost OSPF.

RTA Область 0
Головной офис

10.1.123.0/24
10.1.24.0/24 10.1.35.0/24 10.1.56.0/24

Область 3
Область 1 RTB RTC Область 2
Удаленный
RTD Филиал А Филиал Б RTE RTF
офис В

Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование OSPF (1)

ospf 1
area 2
vlink-peer 5.5.5.5
ospf 1
area 2
RTA Область 0 vlink-peer 3.3.3.3
Головной офис

10.1.123.0/24
10.1.24.0/24 10.1.35.0/24 10.1.56.0/24

Область 1 RTB RTC Область 2 Область 3


RTD Филиал А Филиал Б RTE Офис В RTF

ospf ospf
area 1 area 1
nssa nssa no-summary

Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование OSPF (2)
ospf 1
import-route rip 1 type 1

RTA Область 0
Головной офис
10.1.123.0/24
10.1.24.0/24 10.1.35.0/24 10.1.56.0/24

Область 1 RTB RTC Область 2


Область 3
RTD Филиал А Филиал Б RTE RTF
Офис В

interface g0/0/1 interface g0/0/0


ospf authentication-mode ospf authentication-mode
hmac-md5 1 cipher huawei hmac-md5 1 cipher huawei

Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какие специальные области определены в OSPF?

2. Каковы различия между тупиковой и полностью тупиковой областями?

3. Какие маршрутизаторы могут быть сконфигурированы для суммирования


маршрутов между областями?

Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Принципы и конфигурации IS-IS

Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.


Введение
 Промежуточная System-to-Intermediate System (IS-IS) представляет собой IGP на
базе состояния каналов. Для расчета маршрутов она использует алгоритм
маршрутизации с предпочтением кратчайшего пути (SPF). IS-IS это динамический
протокол маршрутизации, первоначально разработанный Международной
организацией по стандартизации (ISO) для ее Протокола сетевого обслуживания
без установления соединения (CLNP).
 Для поддержки IP-маршрутизации Internet Engineering Task Force (IETF) расширяет
и изменяет IS-IS в RFC 1195. Это позволяет применять IS-IS к средам TCP/IP и OSI.
Данный тип IS-IS называется Integrated IS-IS. IS-IS широко используется в
крупномасштабных сетях ISP благодаря простоте и возможностям
масштабирования.

Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
 По окончании данного курса Вы:
 Освоите принципы и конфигурации IS-IS
 Познакомитесь с различиями между IS-IS и OSPF

Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Принципы IS-IS

2. Различия между IS-IS и OSPF

3. Конфигурации IS-IS

Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Применение

CE

CE
PE
ER ER
OSPF
IS-IS+BGP PE

CS CS
PE PE

PE

CE
CE
SW SW SW

 Кампусная сеть:  Магистральная сеть:


Различные области, изменчивые политики Плоская область, быстрая конвергенция
и точное временное планирование и высокий объем передачи

Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Происхождение
OSI
Уровень
приложений
Уровень TCP/IP
представления
Уровень Уровень
сеансов приложений
Транспортный Транспортный
TP0-TP4 OSPF TCP
уровень уровень
Сетевой Сетевой
CLNP IS-IS IP
уровень уровень
Канальный Канальный
ES-IS ARP
уровень уровень
Физический Integrated Физический
уровень IS-IS уровень

 Интегрированные характеристики IS-IS:  Характеристики OSPF:


 Поддержка сетей CLNP и IP.  Поддерживает только IP-сети.
 Работает на канальном уровне.  Работает на IP-уровне.

Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Расчет маршрута
Этот процесс
 Установление отношений соседства аналогичен
таковому в OSPF

Hello

 Синхронизация LSDB
LSDB LSDB
LSP1 LSP3
LSP2 LSP4
------- -------

 Выполнение вычислений маршрута SPF


Алгоритм маршрутизации
с предпочтением
кратчайшего пути

Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Структура адреса
Набор протоколов Протокол IP IP-адрес OSPF Area ID+Router
TCP/IP ID
OSI Протокол Адрес IS-IS NET-
CLNP NSAP идентификатор

NSAP

IDP DSP

AFI IDI High Order DSP System ID SEL


Area ID (1-13B) 6B 1B

NET это особый тип адреса NSAP (SEL = 00). При конфигурировании
IS-IS на маршрутизаторе необходимо учитывать только NET. Например:
49.0001. 0000.0000.0001.00
Area ID System ID N-SEL

Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Типы маршрутизаторов
 Маршрутизаторы IS-IS подразделяются на три типа:
 Маршрутизатор Level-1: хранит только Level-1 LSDB.
 Маршрутизатор Level-2: хранит только Level-2 LSDB.
 Маршрутизатор Level-1-2: маршрутизатор по умолчанию относится к этому типу, хранит
Level-1 и Level-2 LSDB.
При создании смежности
Level-1 убедитесь, что
оба маршрутизатора
используют одинаковый
area ID.

Область 49.0001 Область 49.0002


Область 49.0001

Одна Разные
область области

Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пакет приветствия
P2P
Point-to-Point IIH
Тип сети «точка-точка»

L1 LAN IIH
Mac:0180-c200-0014
Broadcast
или
L2 LAN IIH
Mac:0180-c200-0015
Тип сети – широковещательная
сеть коллективного доступа

 В настоящее время к поддерживаемым IS-IS типам сетей относятся только


«точка-точка» и широковещательные сети.

Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Установление отношений соседства
Handshake в двух направлениях
RTA RTB
SYS ID 0000.0000.0001 SYS ID 0000.0000.0002
point-to-point IIH
Состояние: up
point-to-point IIH
Состояние: up
 ISO10589 определяет подтверждение установления связи в двух направлениях, в то
время как RFC3373 для P2P определяет подтверждение в трех направлениях.

Handshake в трех направлениях


RTA RTB
SYS ID 0000.0000.0001 SYS ID 0000.0000.0002
LAN IIH (system ID: 0000.0000.0001 neighbor: null)
Состояние: initialized
LAN IIH (system ID: 0000.0000.0002 neighbor: RTA)
Состояние: up
LAN IIH (system ID: 0000.0000.0001 neighbor: RTB)
Состояние: up
DIS election
 Для установления отношений соседства в сети типа multicast access (MA) требуется
подтверждение установления связи в трех направлениях.
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сравнение DIS с DR
Level-1 Level-1-2 Level-1 Level-1-2

Виртуальный
маршрутизатор
(псевдоузел)
Level-1 DIS Level-1

Пункт IS-IS DIS OSPF DR


Приоритет выбора Устройства с любыми значениями приоритетов Устройства с приоритетом, равным 0, не участвуют в
участвуют в выборе DIS выборе DR
Срок ожидания при выборе Два интервала Hello 40 с
Резервирование Нет резервирования BDR в качестве резерва
Смежность Все маршрутизаторы устанавливают Не-DR/BDR маршрутизаторы (DR others) устанавливают
смежности двухсторонние отношения соседства
Упреждающее переключение Да Нет
Периодическая отправка CSNP для
Функция Уменьшение лавинной рассылки LSA
обеспечения синхронизации LSDB в сетях MA.

Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Носители информации о состоянии
каналов
 LSP PDU: используется для обмена информацией о
состоянии канала. TLV
 Реальный узел LSP Структура пакета
IS-IS
 Псевдоузел LSP (существует только в
широковещательных каналах)
TYPE LENGTH VALUE
 SNP PDU: используется для сохранения и
синхронизации LSDB, содержит сводные данные.
 CSNP (используется для синхронизации LSP)
 PSNP (используется для запроса и подтверждения LSP)

Пакеты IS-IS подразделяются на два типа: Level-1 и Level-2. MAC-адреса назначения всех
пакетов IS-IS в сетях MA являются MAC-адресами многоадресной рассылки:
Адрес Level-1: 0180-C200-0014
Адрес Level-2: 0180-C200-0015

Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обмен информацией о состоянии канала
RTA RTB RTA
P2P RTC

RTB
CSNP ① DIS MA
A.00-00
② PSNP
A.00-00
CSNP ① LSP
LSP ③ C.00-00
A.00-00
A.00-00 ② C.00-01
④ B.00-00


PSNP
Интервал попыток B.01-00
A.00-00
повторной передачи истек C.00-00 Фрагмент LSP
LSP ⑤ Повторная C.00-01 PSNP
A.00-00 передача PSNP
LSP ③ A.00-00
⑥ PSNP B.00-00
A.00-00
A.00-00 ④ B.01-00
B.00-00
B.01-00
 CSNP отправляются в сети P2P только Псевдоузел LSP
единожды. То есть, CSNP отправляется сразу  Только DIS многоадресно рассылает CSNP
после установления отношений соседства. в сети MA с интервалом по умолчанию 10 с

Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Алгоритмы маршрутизации
 Расчет cost маршрута IS-IS:
 Значение cost интерфейса по
RTE умолчанию равно 10.
RTA

RTC

 Процесс расчета SPF:


 Полная синхронизация LSDB в
RTA RTB RTE
пределах одной области.
 Создание топологии сети.
 Создание дерева кратчайшего
пути с локальным узлом в RTD
качестве корня.

Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Иерархия сети и домен маршрутизации
Область 49.0002

Область 49.0004
L1
L1/2 L1/2

L2 L2
Область 49.0001 Магистраль
L2 L2
Область 49.0005

L1
L1/2 L1/2 L1

L1
Область 49.0003 L1 L1

 Границей области IS-IS является маршрутизатор, тогда как граница


OSPF – интерфейс маршрутизатора.
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Маршрутизация между областями
 Область 49.0001 получает доступ к Области
49.0002
 Маршрутизатор Level-1-2 RTA генерирует LSP с
битом ATT, установленным на 1.
L2 Соседство L2 L2
 После получения LSP с битом ATT равным 1,
маршрутизатор Level-1 генерирует маршрут по
умолчанию со следующим ретрансляционным
участком, ведущим к маршрутизатору Level-1-2.
Область 49.0002

Магистральная область
Соседство L1 Соседство L1 L1/2 Хранит L2 LSDB

L1
L1
Хранит L1 LSDB
RTA
Область 49.0001
 Область 49.0002 получает доступ к Области 49.0001
 Маршрутизатор Level-1-2 RTA добавляет конкретные
маршруты к Области 49.0001 в Level-2 LSDB.
 Маршрутизатор Level-2 вычисляет конкретные маршруты к
Области 49.0001 с помощью расчета SPF.

Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Принципы IS-IS

2. Различия между IS-IS и OSPF

3. Конфигурации IS-IS

Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Различия между IS-IS и OSPF

Пункт IS-IS OSPF


Типы сети Меньше Больше
Режим применения cost Сложный Простой
Типы областей Меньше Больше Выбор между IS-IS
или OSPF зависит от
Типы пакетов Скуднее Разнообразнее потребностей услуг
Конвергенция маршрутов Еще быстрее Быстрая
Масштабируемость Хорошая Средняя
Предельная
производительность Еще выше Высокая
маршрутизации

Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Термины

Аббревиатура Термин OSI Термин IETF


IS Intermediate System Маршрутизатор
ES End System Хост
DIS Designated Intermediate System Назначенный маршрутизатор в OSPF
SysID System ID Router ID в OSPF
LSP PDU состояния каналов LSA в OSPF
IIH PDU Hello IS-IS Пакет Hello в OSPF
PSNP Partial Sequence Number PDU LSR или LSAck в OSPF
CSNP Complete Sequence Number PDU Пакет DD в OSPF

Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Принципы IS-IS

2. Различия между IS-IS и OSPF

3. Конфигурации IS-IS

Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования к конфигурации маршрутов
IS-IS
192.168.1.0/24;
192.168.2.0/24;
192.168.3.0/24;

Level-1 Level-2
Область 49.0001 RTB import1
G0/0/0
RTA RTD RTE
G0/0/1
G0/0/1 G0/0/0 G0/0/0
G0/0/0
G0/0/0
S1/0/0
S1/0/0
Область 49.0002
RTC

 Как показано на рисунке, для обеспечения доступности маршрутов все маршрутизаторы в сети заказчика должны
использовать IS-IS. Все процессы IS-IS используют идентификатор процесса, равный 100. RTA является DIS области
49.0001. Сеть между RTD и RTE должна быть P2P. RTE импортирует прямые маршруты 192.168.X.X и запрашивает у
RTA доступ к Области 49.0002 по оптимальному пути.
 Основываясь на вышеуказанном, выполните правильное конфигурирование, чтобы удовлетворить требования заказчика.

Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование маршрута IS-IS (1)
isis 100 isis 100
network-entity network-entity
49.0001.0000.0000.0001.00 49.0001.0000.0000.0002.00
is-level level-1 #
# interface GigabitEthernet0/0/0
interface GigabitEthernet0/0/0 isis enable 100
isis enable 100
isis dis-priority 120 level-1

Level-1 Level-2
Область 49.0001 RTB import1
G0/0/0
RTD RTE
G0/0/1
G0/0/1 G0/0/0 G0/0/0
G0/0/0
G0/0/0
S1/0/0
RTA
S1/0/0
Область 49.0002
RTC 192.168.1.0/24;
192.168.2.0/24;
isis 100 192.168.3.0/24;
network-entity
49.0001.0000.0000.0003.00
#
interface GigabitEthernet0/0/0
isis enable 100

Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование маршрута IS-IS (2)
isis 100 isis 100
network-entity network-entity
49.0002.0000.0000.0004.00 49.0002.0000.0000.0005.00
is-level level-2 is-level level-2
# #
interface GigabitEthernet0/0/0 interface GigabitEthernet0/0/0
isis enable 100 isis enable 100
isis circuit-type P2P isis circuit-type P2P

Level-1 Level-2
RTB import1
Область 49.0001 G0/0/0
RTD RTE
G0/0/1
G0/0/1 G0/0/0 G0/0/0
G0/0/0
G0/0/0
S1/0/0
RTA
S1/0/0
Область 49.0002
RTC 192.168.1.0/24;
192.168.2.0/24;
192.168.3.0/24;

Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование маршрута IS-IS (3)
isis 100
network-entity 49.0001.0000.0000.0002.00
import-route isis level-2 into level-1
#
interface GigabitEthernet0/0/1
isis enable 100

Level-1 Level-2
RTB import1
Область 49.0001 G0/0/0
RTD RTE
G0/0/1
G0/0/1 G0/0/0 G0/0/0
G0/0/0
G0/0/0
S1/0/0
RTA S1/0/0
Область 49.0002
RTC 192.168.1.0/24;
192.168.2.0/24;
192.168.3.0/24;
isis 100
network-entity 49.0001.0000.0000.0003.00
import-route isis level-2 into level-1
# isis 100
interface Serial 1/0/0 import-route direct
isis enable 100

Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какие типы маршрутизаторов IS-IS существует?

2. Какова функция PSNP при взаимодействии соседей?

3. Каковы преимущества IS-IS по сравнению с OSPF?

Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Принципы и конфигурации BGP

Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.


Введение
 В Протоколе внешнего шлюза (EGP) введено понятие автономной системы (AS). AS
это группа маршрутизаторов под единым техническим управлением, использующая
единую политику маршрутизации.
 Протокол внутреннего шлюза (IGP) используется в AS для расчета и обнаружения
маршрутов. Маршрутизаторы в пределах одной AS доверяют друг другу, поэтому
расчет маршрута IGP и лавинная рассылка информации полностью открыты и
требуют минимального вмешательства оператора.
 Потребность в соединениях между AS подстегнула развитие EGP. BGP относится к
EGP и используется для управления маршрутами и выбора оптимальных
маршрутов между AS.

Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
 По окончании данного курса Вы:
 Поймете принципы BGP
 Освоите основные атрибуты и приложения BGP
 Познакомитесь с применимостью агрегирования маршрутов BGP

Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор BGP

2. Создание и конфигурирование отношений соседства в BGP

3. Режимы генерации маршрутов BGP

4. Правила объявления и обработка маршрутов BGP

5. Основные атрибуты BGP

6. Правила выбора маршрутов BGP

7. Агрегирование маршрутов BGP

Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Основные функции MPLS
AS 65000

AS 65001
IGP IGP
BGP

AS 65002 AS 65003
BGP

BGP

 IGP, такие как OSPF, IS-IS и RIP, используются в AS для расчета и обнаружения
маршрутов.
 BGP используется между AS для осуществления передачи и управления маршрутами.

Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Характеристики BGP
AS 65001 AS 65002

BGP

AS 65003
BGP

 Как показано на рисунке, два маршрутизатора BGP могут установить отношения соседства
между несколькими маршрутизаторами.
 Для реализации контроля и выбора маршрута в соответствии с требованиями в BGP
задаются и переносятся по маршрутам различные атрибуты.

Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор BGP

2. Создание и конфигурирование отношений соседства в BGP

3. Режимы генерации маршрутов BGP

4. Правила объявления и обработка маршрутов BGP

5. Основные атрибуты BGP

6. Правила выбора маршрутов BGP

7. Агрегирование маршрутов BGP

Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обнаружение соседей BGP

1.1.1.1 2.2.2.2

RTA RTB

TCP SYN

TCP ACK+SYN

TCP ACK

 Устройство, запускающее BGP, сначала инициирует соединение TCP. Как


показано на рисунке, RTB сначала запускает BGP и использует случайный
номер порта для инициализации соединения TCP с портом 179 на RTA.

Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Тип соседства BGP – EBGP
AS 200 AS 300

RTD RTE

EBGP EBGP

RTB RTC

RTA

AS 100 OSPF

 Маршрутизаторы BGP из разных AS устанавливают отношения соседства


EBGP.
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Тип соседства BGP – IBGP
AS 200 AS 300

RTD RTE

EBGP EBGP

RTB RTC

RTA

AS 100 OSPF

 Маршрутизаторы BGP в одной AS устанавливают отношения соседства


IBGP.
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование отношений соседства
BGP
AS 200 AS 300 router id 5.5.5.5
bgp 300
peer 10.1.35.3 as-number 100
RTD RTE
4.4.4.4 5.5.5.5
.4 .5

EBGP EBGP
10.1.24.0/24 10.1.35.0/24
router id 3.3.3.3
.2 .3
bgp 100
IBGP peer 10.1.35.5 as-number 300
RTB RTC peer 10.1.12.2 as-number 100
2.2.2.2 3.3.3.3
.2 RTA .3
10.1.12.0/24 10.1.13.0/24
.1 .1

AS 100 OSPF
1.1.1.1

Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Оптимизация конфигурации отношений
соседства BGP
AS 200 AS 300 router id 5.5.5.5
bgp 300
peer 10.1.35.3 as-number 100
RTD RTE
4.4.4.4 5.5.5.5
.4 .5

EBGP EBGP
10.1.24.0/24 10.1.35.0/24
.2 .3 router id 3.3.3.3
bgp 100
IBGP peer 10.1.35.5 as-number 300
RTB RTC peer 2.2.2.2 as-number 100
2.2.2.2 3.3.3.3 Peer 2.2.2.2 connect-interface
loopback 0
.2 RTA .3
10.1.12.0/24 10.1.13.0/24
.1 .1

AS 100 OSPF
1.1.1.1

Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Установление отношений соседства BGP
1.1.1.1 2.2.2.2

RTA RTB
Idle Idle
Connect TCP SYN Connect

TCP ACK+SYN

TCP ACK

Сообщение Open OpenSent

OpenSent
Сообщение Open
OpenComfirm
Сообщение Keepalive OpenComfirm

Сообщение Keepalive Established

Established
Update, Keepalive, Route-refresh, Notification

Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор BGP

2. Создание и конфигурирование отношений соседства в BGP

3. Режимы генерации маршрутов BGP

4. Правила объявления и обработка маршрутов BGP

5. Основные атрибуты BGP

6. Правила выбора маршрутов BGP

7. Агрегирование маршрутов BGP

Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Режим генерации маршрутов BGP –
Network (1)
router id 3.3.3.3
bgp 200
peer 10.1.23.2 as-number 100
RTC
3.3.3.3
router id 2.2.2.2
.3 AS 200 bgp 100
peer 10.1.23.3 as-number 200
ipv4-family unicast
EBGP network 10.1.12.0 255.255.255.0
10.1.23.0/24 network 100.0.0.0 255.255.255.0
network 100.0.1.0 255.255.255.0
.2

AS 100
100.0.0.0/24
.2 100.0.1.0/24
RTB
2.2.2.2

OSPF .1
Область 0 1.1.1.1 RTA

 Команда network по одному импортирует существующие в таблице маршрутизации IP


маршруты в таблицу маршрутизации BGP.

Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Режим генерации маршрутов BGP –
Network (2)
<RTC>display bgp routing-table

Network NextHop MED LocPrf PrefVal Path/Ogn


RTC *> 10.1.12.0/24 10.1.23.2 0 0 100i
3.3.3.3 *> 100.0.0.0/24 10.1.23.2 0 0 100i
*> 100.0.1.0/24 10.1.23.2 1 0 100i
.3 AS 200
<RTB>display ip routing-table

EBGP Destination/Mask Proto Pre Cost Flags NextHop Interface


10.1.23.0/24 10.1.12.0/24 Direct 0 0 D 10.1.12.2 GigabitEthernet0/0/0
100.0.0.0/24 Static 60 0 RD 10.1.12.1 GigabitEthernet0/0/0
100.0.1.0/24 OSPF 10 1 D 10.1.12.1 GigabitEthernet0/0/0
.2

AS 100
100.0.0.0/24
.2
RTB 100.0.1.0/24
2.2.2.2

OSPF .1
Область 0 1.1.1.1 RTA

 Для проверки того, получает ли RTC объявляемые BGP маршруты, выполните на RTC команду display.

Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Режим генерации маршрутов BGP – Import
(1)
router id 3.3.3.3
bgp 200
RTC peer 10.1.23.2 as-number 100
3.3.3.3
.3 AS 200
router id 2.2.2.2
bgp 100
EBGP peer 10.1.23.3 as-number 200
10.1.23.0/24 ipv4-family unicast
import-route direct route-policy import
.2 import-route static route-policy import
import-route ospf 1 route-policy import
#
AS 100 route-policy import permit node 10
.2 100.0.0.0/24 if-match ip-prefix import
RTB 100.0.1.0/24 #
2.2.2.2 ip ip-prefix import index 10 permit 10.1.12.0 24
ip ip-prefix import index 20 permit 100.0.0.0 24
ip ip-prefix import index 30 permit 100.0.1.0 24
OSPF .1
Область 0 1.1.1.1 RTA
 Команда import импортирует маршруты в таблицу маршрутизации BGP на основе запущенного
протокола маршрутизации (RIP, OSPF или IS-IS). Эта команда также позволяет импортировать
непосредственно подключенные и статические маршруты.
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Режим генерации маршрутов BGP – Import
(2)
<RTC>display bgp routing-table

Network NextHop MED LocPrf PrefVal Path/Ogn


RTC *> 10.1.12.0/24 10.1.23.2 0 0 100?
3.3.3.3 *> 100.0.0.0/24 10.1.23.2 0 0 100?
*> 100.0.1.0/24 10.1.23.2 1 0 100?
.3 AS 200
<RTB>display ip routing-table

EBGP Destination/Mask Proto Pre Cost Flags NextHop Interface


10.1.12.0/24 Direct 0 0 D 10.1.12.2 GigabitEthernet0/0/0
10.1.23.0/24
100.0.0.0/24 Static 60 0 RD 10.1.12.1 GigabitEthernet0/0/0
100.0.1.0/24 OSPF 10 1 D 10.1.12.1 GigabitEthernet0/0/0
.2

AS 100
100.0.0.0/24
.2 100.0.1.0/24
RTB
2.2.2.2

OSPF .1
Область 0 1.1.1.1 RTA
 Для проверки того, получает ли RTC импортированные в BGP маршруты, выполните на RTC
команду display.
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор BGP

2. Создание и конфигурирование отношений соседства в BGP

3. Режимы генерации маршрутов BGP

4. Правила объявления и обработка маршрутов BGP

5. Основные атрибуты BGP

6. Правила выбора маршрутов BGP

7. Агрегирование маршрутов BGP

Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сообщение BGP Update
 Маршруты BGP генерируются либо в режиме network, либо в режиме import. Они
инкапсулируются в сообщения Update и объявляются соседним узлам. BGP объявляет
маршрутную информацию только после установления отношений соседства.
 Сообщения Update используются для объявления доступных маршрутов и вывода
недоступных. Сообщение Update содержит следующую информацию:
 Network Layer Reachability Information (NLRI): объявляет IP-префикс и длину префикса.
 Атрибут path: обеспечивает обнаружение петель и контролирует выбор оптимального маршрута.
 Withdrawn route: описывает префикс и длину префикса недостижимого отзываемого маршрута.

 Для предотвращения потенциальных проблем объявление маршрутов BGP должно


следовать определенным правилам.

Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Правила объявления маршрутов BGP (1)
<RTD>display bgp routing-table
Network NextHop MED LocPrf PrefVal Path/Ogn
*>i 100.0.0.0/24 10.1.12.1 0 100 0 100i
*i 10.1.13.1 0 100 0 100i
*> 200.0.0.0 0.0.0.0 0 0 i

OSPF

RTA RTB RTD RTE


100.0.0.0/24 10.1.45.0/24

EBGP
AS 100 RTC AS 300
200.0.0.0/24

AS 200
<RTE>display bgp routing-table
Network NextHop MED LocPrf PrefVal Path/Ogn
*> 100.0.0.0/24 10.1.45.4 0 200 100i
*> 200.0.0.0 10.1.45.4 0 0 200i

 Правило объявления маршрутов BGP №1: объявлять соседним узлам только оптимальные маршруты.

Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Правила объявления маршрутов BGP (2)
<RTC>display bgp routing-table

Network NextHop MED LocPrf PrefVal Path/Ogn


*>i 100.0.0.0/24 10.1.12.1 0 100 0 100i

RTA RTB RTC


100.0.0.0/24 10.1.12.0/24 10.1.23.0/24

EBGP IBGP
AS 100 AS 200
EBGP 10.1.24.0/24

RTD

AS 300
<RTD>display bgp routing-table

Network NextHop MED LocPrf PrefVal Path/Ogn


*> 100.0.0.0/24 10.1.24.2 0 200 100i

 Правило объявления маршрутов BGP №2: оптимальный маршрут, полученный


через EBGP, объявляется всем соседним узлам BGP
Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Правила объявления маршрутов BGP (3)
<RTB>display bgp routing-table 100.0.0.0
BGP local router ID : 2.2.2.2
Local AS number : 100
Paths: 1 available, 1 best, 1 select
BGP routing table entry information of 100.0.0.0/24:
From: 10.1.12.1 (1.1.1.1)
Route Duration: 00h01m39s
Relay IP Nexthop: 0.0.0.0
Relay IP Out-Interface: GigabitEthernet0/0/0
Original nexthop: 10.1.12.1
Qos information : 0x0
AS_Path Nil, origin igp, MED 0, localpref 100, pref-val 0, valid, internal, best, select, active, pre 255
Not advertised to any peer yet

RTB
AS
100

100.0.0.0/24
IBGP
RTC
RTA 10.1.13.0/24
<RTC>display bgp routing-table
Network NextHop MED LocPrf PrefVal Path/Ogn
*>i 100.0.0.0/24 10.1.13.1 0 100 0 i

 Правило объявления маршрутов BGP №3: оптимальный маршрут, полученный через IBGP,
другим соседним узлам IBGP не объявляется.

Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Правила объявления маршрутов BGP (4)
Моя таблица маршрутизации не содержит
маршрута к 100.0.0.0/24 и я не знаю, как
достичь 100.0.0.0/24, так что я отбрасываю
пакеты с недостижимым адресом назначения.

OSPF AS 200

RTC
RTB RTD

IBGP
EBGP EBGP

RTA
100.0.0.0/24 RTE
AS 100 AS 300

 Правило объявления маршрутов BGP №4: синхронизация BGP и IGP

Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обработка информации маршрутизации
BGP
Обновление информации,
полученной от соседнего узла BGP
Выбор маршрута

Local_RIB

Обновление информации,
отправленной соседнему узлу BGP
IP_RIB

 После получения сообщения Update от соседнего узла BGP, маршрутизатор BGP при помощи алгоритма выбора
маршрута определяет оптимальный маршрут для каждого префикса.
 Маршрутизатор сохраняет выбранный оптимальный маршрут в локальную таблицу маршрутизации BGP (Local_RIB) и
затем передает его в локальную таблицу IP-маршрутизации (IP_RIB) для определения необходимости ее установки.
 Маршрутизатор инкапсулирует выбранный действующий оптимальный маршрут в сообщение Update и отправляет его
соседнему узлу BGP.

Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор BGP

2. Создание и конфигурирование отношений соседства в BGP

3. Режимы генерации маршрутов BGP

4. Правила объявления и обработка маршрутов BGP

5. Основные атрибуты BGP

6. Правила выбора маршрутов BGP

7. Агрегирование маршрутов BGP

Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблемы выбора маршрута BGP
100 Мбит/с
AS 2 AS 4 AS 5

100 Мбит/с 100 Мбит/с


100.0.0.0/24

50 Мбит/с 50 Мбит/с
AS 1 AS 3 AS 6 AS 7

 Как показано на рисунке, в AS 7 есть пользовательский сегмент сети 100.0.0.0/24, и она объявляет его
каждой AS через BGP. Каждая AS может узнать маршрут к 100.0.0.0/24. Однако при передаче маршрута
возникают следующие проблемы:
 AS 3 может получить маршрут к 100.0.0.0/24 от AS 4 и AS 6, но канал между AS 3 и AS 4 имеет более высокую
пропускную способность. Как обеспечить, чтобы AS 3 получал доступ к сегменту сети 100.0.0.0/24 через AS 4?
 Между AS 1, AS 2 и AS 3 существует петля топологии. Таким образом, при передаче пакетов может возникнуть
петля. Как предотвратить это?

Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Различные атрибуты BGP

Well-known Mandatory Well-known Discretionary

Origin Local_Pref
AS_Path Atomic_aggregate
Next_hop

Optional Transitive Optional Non-transitive

Aggregator MED
Community ……

Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Атрибуты BGP – Origin
AS 100 2.2.2.2 OSPF

EBGP
200.0.0.0/24
RTB
RTA

1.1.1.1 4.4.4.4

3.3.3.3
RTD
EBGP

RTC
AS 200

<RTA>display bgp routing-table

Network NextHop MED LocPrf PrefVal Path/Ogn


*> 200.0.0.0 10.1.12.2 1 0 200i
* 10.1.13.3 1 0 200?

 Атрибут Origin определяет происхождение маршрута и то, как он становится


маршрутом BGP.
Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Атрибуты BGP – AS_Path
RTB RTE
EBGP 100.0.0.0/24

RTA EBGP AS 2 AS 4
1.1.1.1 EBGP EBGP
EBGP

AS 1
EBGP
RTC RTD
AS 3 AS 5
 Как показано на рисунке:
 RTA в AS 1 может узнать маршрут 100.0.0.0/24 от RTB и RTC. Как RTA выбирает оптимальный
маршрут?
 Между RTA, RTB и RTC, а также между RTB, RTC, RTD и RTE существуют петли топологии. Из-за
этого в процессе передачи маршрутов BGP могут возникать петли маршрутизации. Как BGP
предотвращает петли?

Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Атрибуты BGP – Next_hop
2.2.2.2 OSPF RTC OSPF
3.3.3.3

EBGP
RTB

IBGP IBGP

100.0.0.0/24 200.0.0.0/24

RTA RTD
1.1.1.1 4.4.4.4
AS 100 AS 200

 В соответствии с указанным на рисунке:


 Когда RTA объявляет сетевой сегмент 100.0.0.0/24 в RTB, каков IP-адрес Next_hop?
 Когда RTB объявляет сетевой сегмент 100.0.0.0/24 в RTC, каков IP-адрес Next_hop?
 Когда RTA получает от RTB сетевой сегмент 200.0.0.0/24, объявленный RTC, каков IP-адрес
Next_hop?

Стр. 34 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Атрибуты BGP – Local_Preference
2.2.2.2
OSPF

200.0.0.0/24
RTA RTB
RTD
1.1.1.1 4.4.4.4

3.3.3.3

AS 100 AS 200
RTC

 Атрибут Local_Pref имеет силу только между соседними узлами IBGP и не объявляется
другим AS. Этот атрибут указывает на приоритет BGP маршрутизатора и определяет
оптимальный маршрут для трафика, покидающего AS.

Стр. 36 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Атрибуты BGP – MED

RTA RTB RTD OSPF


1.1.1.1 2.2.2.2 100 Мбит/с4.4.4.4
100.0.0.0/24
EBGP EBGP

AS 100
IBGP OSPF 6.6.6.6

RTF
EBGP

50 Мбит/с
3.3.3.3 5.5.5.5
RTC RTE
AS 200 AS 300

 Атрибут Multi-Exit-Discriminator (MED) передается только между двумя соседними AS. AS,
получающая этот атрибут, не объявляет его другим AS. Он определяет оптимальный
маршрут для трафика, поступающего в AS.

Стр. 37 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Атрибуты BGP – Community
RTA
AS 10 1.1.1.1

RTC RTD
10.1.10.0/24 3.3.3.3 4.4.4.4
EBGP EBGP
Community 10:12

AS 11 RTB EBGP
2.2.2.2 AS 12 AS 13

10.1.11.0/24
Community 11:12

 Атрибут Community исполняет две функции:


 Ограничивает диапазон объявления маршрутов.
 Маркирует маршруты с тем, чтобы маршруты, удовлетворяющие одинаковым условиям,
обрабатывались унифицированным образом.

Стр. 38 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор BGP

2. Создание и конфигурирование отношений соседства в BGP

3. Режимы генерации маршрутов BGP

4. Правила объявления и обработка маршрутов BGP

5. Основные атрибуты BGP

6. Правила выбора маршрутов BGP

7. Агрегирование маршрутов BGP

Стр. 40 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Правила выбора маршрутов BGP
 После того, как маршрутизатор BGP объявляет маршрут в соседних узлах, каждый соседний узел выбирает оптимальный маршрут:
 Если данный маршрут является единственным маршрутом к месту назначения, то соседний узел выбирает его как оптимальный маршрут.
 При наличии нескольких маршрутов к одному пункту назначения соседний узел выбирает маршрут с наивысшим приоритетом в качестве оптимального.
 Если существует несколько маршрутов к одному пункту назначения, и они имеют равный приоритет, то соседний узел сравнивает атрибуты этих маршрутов для
выбора оптимального.
 Как правило, при выборе оптимального маршрута маршрутизатор BGP сравнивает атрибуты в следующей последовательности:
 Отбрасывает маршруты с недостижимыми следующими ретрансляционными участками.
 Предпочитает маршрут с наибольшим значением PrefVal. Атрибут PrefVal является авторским атрибутом Huawei и действителен только для устройств, на которых
он сконфигурирован.
 Предпочитает маршрут с наибольшим значением Local_Pref.
 Предпочитает следующие маршруты в порядке убывания их приоритета: вручную агрегированный маршрут, автоматически агрегированный маршрут,
импортированный с помощью команды network маршрут, импортированный с помощью команды import маршрут, полученный от одноранговых узлов маршрут.
 Предпочитает маршрут с кратчайшим AS_Path.
 Предпочитает маршрут с атрибутом Origin в следующей последовательности: IGP, EGP и Incomplete.
 Из маршрутов, полученных от одной AS, предпочитает маршрут с наименьшим значением MED.
 Предпочитает маршрут EBGP маршруту IBGP.
 Предпочитает маршрут с наименьшей метрикой IGP в пределах AS.
 Предпочитает маршрут с самым коротким Cluster_List.
 Предпочитает маршрут с наименьшим Originator_ID.
 Предпочитает маршрут, объявленный маршрутизатором с наименьшим значением Router_ID.
 Предпочитает маршрут, полученный от соседнего узла с наименьшим значением IP-адреса.

Стр. 41 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Влияние PrefVal на выбор маршрута BGP

OSPF 2.2.2.2

200.0.0.0/24
RTB

RTC
RTA RTD
1.1.1.1 4.4.4.4

AS 100 AS 200
3.3.3.3

 Атрибут PrefVal является авторским атрибутом Huawei и действителен


только для устройств, на которых сконфигурирован. Он соответствует
параметру Weight в правилах выбора маршрута BGP. Большее значение
PrefVal указывает на больший приоритет.
Стр. 42 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Влияние режима агрегирования
маршрутов на выбор маршрутов BGP
RTA RTB RTC
AS 200
1.1.1.1 2.2.2.2 3.3.3.3

EBGP IBGP
AS 100 200.0.0.2/24 200.0.0.3/24

<RTB>display bgp routing-table 200.0.0.0


BGP local router ID : 2.2.2.2
Local AS number : 200
Paths: 2 available, 1 best, 1 select
BGP routing table entry information of 200.0.0.0/24:
Aggregated route.
……
Aggregator: AS 200, Aggregator ID 2.2.2.2, Atomic-aggregate
Advertised to such 2 peers:
10.1.12.1
10.1.23.3
BGP routing table entry information of 200.0.0.0/24:
Summary automatic route
……
Aggregator: AS 200, Aggregator ID 2.2.2.2
Not advertised to any peer yet

 Вручную агрегированный маршрут имеет более высокий приоритет, чем


автоматически агрегированный.
Стр. 43 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Маршруты, полученные от соседних узлов EBGP,
предпочтительнее полученных от соседних узлов IBGP

RTA
1.1.1.1

EBGP 200.0.0.0/24

IBGP

RTC
3.3.3.3
EBGP
RTB
2.2.2.2
AS 100 AS 200

 По правилам выбора маршрута, RTA предпочитает маршрут, полученный от


соседнего узла EBGP.

Стр. 44 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Влияние метрики IGP внутри AS на выбор
маршрута BGP
2.2.2.2
OSPF
200.0.0.0/24
RTA
1.1.1.1 RTB

RTC RTD
4.4.4.4

AS 100 AS 200

<RTA>display bgp routing-table

Network NextHop MED LocPrf PrefVal Path/Ogn


*>i 200.0.0.0 10.1.34.4 0 100 0 200 i
*i 10.1.24.4 0 100 0 200 i

 Корректировка cost OSPF позволяет RTA получить доступ к сетевому


сегменту 200.0.0.0/24 по каналам с большой пропускной способностью.
Стр. 45 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Влияние Router ID и IP-адреса на выбор
маршрута BGP
2.2.2.2
OSPF AS 200

200.0.0.0/24
RTB

RTA
1.1.1.1
RTC RTD
4.4.4.4

AS 100 3.3.3.3
<RTA>display bgp routing-table

Network NextHop MED LocPrf PrefVal Path/Ogn


*>i 200.0.0.0 10.1.24.4 0 10 0 200i
* i 10.1.34.4 0 100 0 200i

 RTA получает доступ к сегменту сети 200.0.0.0/24 в пределах AS 200 через RTB, а
исходящим интерфейсом будет интерфейс в 10.1.12.1.
Стр. 46 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример конфигурирования политики
маршрутизации BGP
RTB RTE
OSPF 2.2.2.2 5.5.5.5 OSPF

200.0.0.0/24
(Community 300:200)
RTA RTD
1.1.1.1 4.4.4.4

IBGP

IBGP
RTG
7.7.7.7

100.0.0.0/24
(Community 300:100)

RTC RTF
AS 100 3.3.3.3 AS 200 6.6.6.6
AS 300

 В AS 300 есть два сегмента пользовательской сети. Когда пользователи из AS 100 получают
доступ к этим двум сегментам сети, нагрузка трафиком должна быть сбалансирована между
RTB и RTC. Когда пользователи из AS 200 получают доступ к этим двум сегментам сети,
нагрузка трафиком должна быть сбалансирована между RTE и RTF.
Стр. 48 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор BGP

2. Создание и конфигурирование отношений соседства в BGP

3. Режимы генерации маршрутов BGP

4. Правила объявления и обработка маршрутов BGP

5. Основные атрибуты BGP

6. Правила выбора маршрутов BGP

7. Агрегирование маршрутов BGP

Стр. 51 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обзор агрегирования маршрутов BGP
 BGP передает маршрутную информацию между AS. По мере роста числа AS и увеличения
масштабов каждой из них таблица маршрутизации BGP становится очень большой, что
приводит к следующим двум проблемам:
 Хранение таблицы маршрутизации занимает много памяти, а передача и обработка информации
маршрутизации потребляют много ресурсов пропускной способности.
 Частое обновление и отзыв маршрутов влияют на стабильность сети.

 Агрегирование маршрутов BGP предназначено для решения этих двух проблем. Далее
описывается агрегирование маршрутов BGP, включая:
 Необходимость агрегирования маршрутов BGP: для решения проблем сетей BGP
 Конфигурирование агрегирования маршрутов BGP
 Проблемы, вызванные агрегированием маршрутов BGP.

Стр. 52 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Необходимость агрегирования маршрутов
BGP
AS 100 RTA
10.1.8.0/24
10.1.9.0/24
10.1.10.0/24 RTC RTD
10.1.11.0/24
EBGP

AS 200 RTB
AS 300 AS 400
10.1.12.0/24
10.1.13.0/24 AS клиента
10.1.14.0/24
10.1.15.0/24

 AS 100 и AS 200 каждая имеет по четыре сегмента пользовательской сети. AS 300 подключена к AS 400,
AS клиента. В AS 400 установлен дешевый маршрутизатор, RTD, с низкой производительностью.
Поэтому требуется, чтобы RTD мог получать доступ к сетевым сегментам в AS 100 и AS 200, но при этом
не получал множество отдельных маршрутов. Как выполнить это требование?

Стр. 53 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Агрегирование маршрутов BGP –
статические маршруты
RTA RTB
10.1.8.0/24 1.1.1.1 2.2.2.2
10.1.9.0/24 10.1.12.0/24
10.1.10.0/24
10.1.11.0/24
EBGP
AS 100 AS 200

bgp 100
peer 10.1.12.2 as-number 200
#
ipv4-family unicast
undo synchronization
peer 10.1.12.2 enable
network 10.1.8.0 255.255.252.0
ip route-static 10.1.8.0 255.255.252.0 NULL 0

 В AS 100 есть четыре сегмента пользовательской сети. RTA в AS 100 скрывает


отдельные маршруты за счет агрегирования маршрутов и объявляет RTB в AS 200
только агрегированный маршрут 10.1.8.0/22.
Стр. 54 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Агрегирование маршрутов BGP –
автоматическое агрегирование

bgp 100 RTA AS 100


peer 10.1.12.2 as-number 200
10.1.8.0/24
#
10.1.9.0/24
ipv4-family unicast
10.1.10.0/24
undo synchronization
10.1.11.0/24
summary automatic
import-route direct route-policy r1 EBGP
peer 10.1.12.2 enable
# RTB RTC
route-policy r1 permit node 10
if-match ip-prefix r1
# EBGP
ip ip-prefix r1 index 10 permit 10.1.11.0 24
AS 200 AS 300
ip ip-prefix r1 index 20 permit 10.1.10.0 24
ip ip-prefix r1 index 30 permit 10.1.9.0 24 AS клиента
ip ip-prefix r1 index 40 permit 10.1.8.0 24

Стр. 55 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Агрегирование маршрутов BGP –
агрегирование вручную

bgp 100 RTA AS 100


peer 10.1.12.2 as-number 200
10.1.8.0/24
#
10.1.9.0/24
ipv4-family unicast
10.1.10.0/24
undo synchronization
10.1.11.0/24
aggregate 10.1.8.0 255.255.252.0
detail-suppressed EBGP
network 10.1.8.0 255.255.255.0
network 10.1.9.0 255.255.255.0 RTB RTC
import-route direct route-policy r1
peer 10.1.12.2 enable
# EBGP
route-policy r1 permit node 10
AS 200 AS 300
if-match ip-prefix r1
# AS клиента
ip ip-prefix r1 index 10 permit 10.1.11.0 24
ip ip-prefix r1 index 20 permit 10.1.10.0 24

Стр. 56 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблемы, вызванные агрегированием
маршрутов BGP – петли
2. AS 200 агрегирует отдельные 3. AS 400 переадресует полученный
маршруты, полученные от AS 100 и AS агрегированный маршрут в AS 300.
300, в 10.1.0.0/16. Когда AS 200 AS 300 проверяет атрибут AS_Path
объявляет агрегированный маршрут в данного маршрута и не находит свой
AS 400, этот маршрут не несет атрибуты локальный AS number, поэтому он
AS_Path отдельных маршрутов. принимает этот маршрут. В
результате может возникнуть петля.
10.1.0.0/16
(200)
AS 200 AS 400

AS 100 AS 300 10.1.10.0/24


10.1.11.0/24
10.1.8.0/24
1. AS 300 агрегирует свои
10.1.9.0/24 отдельные маршруты в
10.1.8.0/22.

 Как решить проблему потенциально возникающей петли, вызываемой агрегированием


маршрутов BGP?
Стр. 57 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблемы, вызванные агрегированием
маршрутов BGP – решение
3. AS 400 переадресует полученный
2. AS 200 агрегирует отдельные агрегированный маршрут в AS 300. AS
маршруты, полученные от AS 100 и 300 проверяет атрибут AS_Path этого
AS 300, в 10.1.0.0/16 и задает атрибут маршрута и находит AS number,
AS_Path этого маршрута для соответствующий локальному, а потому
передачи информации о путях отбрасывает его. Это предотвращает
отдельных маршрутов. петлю.

10.1.0.0/16
(200 {100 300})
AS 200 AS 400

AS 100 AS 300 10.1.10.0/24


10.1.11.0/24
10.1.8.0/24
10.1.9.0/24 1. AS 300 агрегирует свои
отдельные маршруты в
10.1.8.0/22.

Стр. 58 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какие из следующих атрибутов являются well-known mandatory атрибутами BGP?
А. Origin

Б. AS_Path

В. Next_hop

Г. Local_preference

2. Какой из следующих номеров портов используется BGP?


А. TCP 21

Б. TCP 179

В. TCP 80

Стр. 60 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Основы технологии многоадресной
IP-рассылки (IP-Multicast)
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение
 Существует три основных метода передачи трафика в IP-сетях по типу «точка-многоточка»,
это - одноадресная рассылка (unicast), широковещательная рассылка (broadcast) и
многоадресная рассылка (multicast). Если применяется одноадресная рассылка, то
количество данных, передаваемых в сети, пропорционально количеству пользователей,
которым требуются данные. Несколько копий одного и того же содержимого отправляются
разным пользователям, что приводит к увеличению нагрузки на источник информации и
пропускной способности. Если применяется широковещательная рассылка, хосты, которые
не требуют данных, тоже получат данные, что угрожает информационной безопасности и
вызывает штормы на локальном сегменте сети.
 Однако появление многоадресной рассылки решает вышеуказанную проблему. Источник
многоадресной рассылки должен отправить только одну копию данных, которая затем
копируется и отправляется сетевым узлом предполагаемому получателю.

Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
 По окончании данного курса Вы:
 Познакомитесь с характеристиками сетей «точка-многоточка»
 Освоите основную архитектуру многоадресной рассылки
 Узнаете формат адресов многоадресной рассылки

Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Разработка и создание сетей «точка-многоточка»
2. Обзор многоадресной рассылки

Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Традиционные сети «точка-многоточка»
 Провайдер предоставляет услуги на основе каждого пользователя.
 Данные, полученные разными пользователями, могут отличаться от данных,
предоставляемых провайдером услуг.

Клиент B

Сервер

Клиент A Клиент C

Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Новые сети «точка-многоточка»
 Провайдер предоставляет услуги на основе групп пользователей.
 Данные, полученные пользователями в одной группе, ничем не отличаются
от данных, предоставляемых провайдером услуг.

Онлайн-
трансляция

Видеоконференция

Веб-ТВ

Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Одноадресная рассылка (unicast) – тип сетей
«точка-многоточка»
 Проблемы: Прямая трансляция
началась в 21:00
 Направляются одни и те же данные,
расходуется много трафика.
 Потребляется большое количество ресурсов
устройства и ресурсов пропускной
способности.
 Не может обеспечить качество передачи
данных

Неприемник 4 приемника
4 приемника
3 неприемника

Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Широковещательная рассылка (broadcast)
- тип сетей «точка-многоточка»
 Проблемы: Прямая трансляция
началась в 21:00
 Ограничение область применения
 Не может обеспечить информационную
безопасность
 Не может реализовать платную услугу
для конкретных пользователей.

4 Приемника
4 Приемника Неприемник
3 Неприемника

Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Многоадресная рассылка (multicast) - тип
сетей «точки-многоточка»
 Преимущества: Прямая трансляция
началась в 21:00
 Не направляются одни и те же данные,
экономит трафик.
 Экономит ресурсы устройств и пропускную
способность сети
 Обеспечит высокую безопасность
 Реализует платную услугу для конкретных
пользователей.

4 Приемника 4 Приемника
Неприемника 3 Неприемника

Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Разработка и развертывание сетей «точка-многоточка»

2. Обзор многоадресной рассылки

Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Основная архитектура многоадресной
рассылки
Источник

Из источника
Генерация данных
многоадресной рассылки
многоадресной рассылки
к маршрутизатору

Из шлюзового Переадресация данных


маршрутизатора к многоадресной рассылки
маршрутизатору

Из маршрутизатора Получение данных


к адресатам многоадресной рассылки

Клиент Клиент

Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Из источника многоадресной рассылки к
маршрутизатору
 Как источник многоадресной рассылки инкапсулирует данные?
 Как определить IP-адрес адресата
 Как определить MAC-адрес адресата

Источник

Данные
1.
многоадресной рассылки
DIP: ??

192.168.1.0/24
SIP:192.168.1.1
SMAC:68-F7-28-42-6D-0D
.254 .253
DMAC: MAC ??

RTA RTB

Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
IP-адрес многоадресной рассылки
 IP-адреса многоадресной рассылки представляет собой групповой адрес хостов, а не адрес конкретного
хоста. Если хост присоединяется к группе многоадресной рассылки, то это означает, что хост хочет
получать пакеты данных, предназначенные для IP-адреса многоадресной рассылки.

Диапазон Описание
Постоянные групповые адреса, зарезервированные
224.0.0.0—224.0.0.255
для протоколов маршрутизации
224.0.1.0—231.255.255.255
Any-source временные групповые адреса
233.0.0.0—238.255.255.255
Source-Specific
232.0.0.0—232.255.255.255
временные групповые адреса
239.0.0.0—239.255.255.255 Any-source временные групповые адреса

 Основные модели многоадресной IP-рассылки:


 Многоадресная рассылка, не зависящая от отправителя (Any Source Multicast, ASM)
 Многоадресная рассылка, зависящая от отправителя (Source Specific Multicast, SSM).

Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Mac-адрес многоадресной рассылки
 Разница между многоадресными и одноадресными MAC-адресами:

XXXX XXX1 XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX

В многоадресном MAC-адресе последний бит первого октета равен 1.


XXXX XXX0 XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX

В одноадресном MAC-адресе последний бит первого октета равен 0.

 Как определено IANA, самыми значимыми 24 битами IPv4 многоадресных


MAC-адресов являются 0x01005e, а 25-разрядная - всегда 0.

Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сопоставления между IP- и MAC-адресами
многоадресной рассылки
 Многоадресные IP-адреса и MAC-адреса необходимо сопоставлять друг с
другом автоматически.
 Младший значащий 23 бита MAC-адреса являются младшим значащим 23
битом IP-адреса многоадресной рассылки.
IP-адрес многоадресной
1110 XXXX.X XXX XXXX.XXXX XXXX.XXXX XXXX рассылки
23 бита

Mac-адрес многоадресной
01--00--5E--0 XXX XXXX.XXXX XXXX.XXXX XXXX рассылки
23 бита

Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблема, вызванная сопоставлением
адресов
 При сопоставлении между многоадресным IP-адресом и MAC-адресом
возникает проблема о том, что 32 многоадресных IP-адреса сопоставляются
одному многоадресному MAC-адресу.

1110 XXXX.X XXX XXXX.XXXX XXXX.XXXX XXXX

5 битов посередине теряются при сопоставлении, поэтому


IP-адреса с одинаковым значением из последних 23 битов
сопоставляются на один и тот же MAC-адрес.

Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Что такое многоадресная IP-рассылка?

2. Каковы диапазоны IPv4-адресов многоадресной рассылки?

Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Принципы и конфигурации IGMP
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение
 В многоадресной связи источник посылает данные многоадресной рассылки
на определенный многоадресный адрес. Чтобы пересылать многоадресные
пакеты данных получателям, многоадресный маршрутизатор,
подключенный к сетевому сегменту получателей, должен знать, какие
получатели присутствуют в сетевом сегменте, и убедиться, что получатели
присоединились к определенной группе.
 Протокол управления группами Интернет (Internet Group Management
Protocol, IGMP) - это протокол в наборе протоколов TCP/IP, который
используется для создания и поддержания группового членства между
получателями и соседними маршрутизаторами многоадресной рассылки.

Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
 По окончании данного курса Вы:
 Ознакомитесь с основными рабочими механизмами и конфигурациями IGMP.
 Освоите различия между тремя версиями IGMP
 Поймете механизм IGMP snooping

Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требования к получателям многоадресной рассылки

2. Рабочий механизм IGMPv1

3. Рабочий механизм IGMPv2

4. Рабочий механизм IGMPv3

5. Рабочий механизм IGMP Snooping

6. Конфигурация IGMP

Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Как происходит получение данных
многоадресной рассылки
 Какой информацией необходимо обмениваться
между получателями и маршрутизатором?
 Получатели должны указать группы, к которым
они хотят присоединиться. Маршрутизатор Какие группы имеют
получатели?
 Маршрутизатор должен знать, какие группы
имеют получатели.
G1 G2
 Какие проблемы возникают, если информация
сконфигурирована вручную?
 Невозможность обновления в реальном Я хочу присоединиться
Я хочу присоединиться к группе G2.
времени к группе G1.

 Низкая гибкость
 Огромная рабочая нагрузка и высокая
вероятность ошибок
Клиент A Клиент B Клиент C

Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требования к получателям многоадресной рассылки

2. Рабочий механизм IGMPv1

3. Рабочий механизм IGMPv2

4. Рабочий механизм IGMPv3

5. Рабочий механизм IGMP Snooping

6. Конфигурация IGMP

Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Протокол управления группами Интернет
- IGMP
 Протокол IGMP работает между хостами и маршрутизаторами
многоадресной рассылки.
 Протокол IGMP предоставляет следующие функции:
 Для хостов: послать сообщение о членстве маршрутизаторам с использованием
протокола IGMP
 Для маршрутизаторов: поддержать групповое членство с помощью протокола
IGMP

Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Рабочий механизм IGMPv1
 Общее сообщение запроса и ответ (General Query and Response)
 Механизм подавления отчетов - отсроченный ответ
сеть
многоадресной
① RTA периодически отправляет рассылки
общее сообщение запроса всем
хостам в подсети (224.0.0.1).
RTA


Ethernet ③ После того, как Клиент C
② После получения общего обнаружит сообщение IGMP
сообщения запроса, хост ② ② отчета, отправленное Клиентом
отправляет сообщение IGMP отчета, A из той же группы G1, он
чтобы объявить желания больше не будет отправлять
объединения. сообщения IGMP отчета.

Клиент A Клиент B Клиент C


Общее сообщение запроса (G1) (G2) (G1)
Отчет для группы G1

Отчет для группы G2

Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Объединение групп для IGMPv1
 Хост запрашивает присоединение к группе.

Сеть
многоадресной
рассылки

RTA

Ethernet
Клиент D отправляет отчет о
членстве IGMP, чтобы
объявить желание
присоединиться к группе G3.

Клиент A Клиент B Клиент C Клиент D


(G1) (G2) (G1) (G3)

Отчет для G3

Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Выход из группы для IGMPv1
 Выход из группы без отправки сообщений выхода

Сеть
многоадресной
рассылки
Маршрутизатор периодически
отправляет общее сообщение запроса.
RTA

Интервал таймаута в 130 с


Ethernet
① Хост-член оставляет
② Если маршрутизатор не группу без отправки
получает сообщение ответа сообщения выхода.
после посылки общего
сообщения запроса в
течение 130 с, он считает,
что у группы нет членов. Клиент A Клиент B Клиент C
(G1) (G1) (G1)

Общее сообщение запроса

Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Выборы генераторов запросов для
IGMPv1
 Выборы генераторов запросов зависят от протокола маршрутизации
многоадресной рассылки.

Сеть
многоадресной
рассылки

RTA RTB
Генерирующий запросы Не генерирующий запросы
Ethernet

Клиент A Клиент B Клиент C


(G1) (G2) (G1)
Общее сообщение запроса

Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требования к получателям многоадресной рассылки

2. Рабочий механизм IGMPv1

3. Рабочий механизм IGMPv2

4. Рабочий механизм IGMPv3

5. Рабочий механизм IGMP Snooping

6. Конфигурация IGMP

Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Улучшение IGMPv2 по сравнению с IGMPv1:
механизм выхода из группы
② RTA (генерирующий
запросы) посылает Сеть
специальное сообщение многоадресной
запроса в группу G2. рассылки
RTA RTB
Генерирующий не генерирующий
запросы запросы
Посылает специальное (2)
сообщение запроса дважды Ethernet

③ Если RTA не получает никаких (1)


ответов после посылки
специальных сообщений
запроса дважды, он считает, что
у группы G2 нет членов. Клиент A Клиент B Клиент C
(G1) (G2) (G1)

① Клиент B в группе G2 отправляет


сообщение о выходе на адрес 224.0.0.2.
Выход из группы G2
Специальное сообщение запроса в группу G2

Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Улучшение IGMPv2 по сравнению с IGMPv1:
механизм выборов генераторов запросов
 Независимый механизм выборов генераторов запросов

RTA RTB
Генерирующий Генерирующий
запросы запросы

VS
192.168.1.1/24 Выигрывает тот, у кого
192.168.1.2/24
наименьший IP-адрес.

IGMPv2 реализует
выборку запроса на
основе сообщений
General Query.

Клиент A

Общее сообщение запрос

Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сравнение пакетов IGMPv1 с IGMPv2

0 7 15 31
Версия Тип Не используется Контрольная сумма
IGMPv1 Групповой адрес

0 7 15 31
Макс. время
Тип Контрольная сумма
ответа
IGMPv2 Групповой адрес

 Вопрос: Как IGMP позволяет членам группы получать данные из конкретных


источников многоадресной рассылки?

Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требования к получателям многоадресной рассылки

2. Рабочий механизм IGMPv1

3. Рабочий механизм IGMPv2

4. Рабочий механизм IGMPv3

5. Рабочий механизм IGMP Snooping

6. Конфигурация IGMP

Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Новые требования в модели SSM
Источник A Источник B
1.1.1.1 2.2.2.2

RTA RTB

RTC
Клиент A не будет
IGMPv3 Передача многоадресного потока
получать данные из
источника A в группе G1. из Источника A в группу G1
Передача многоадресного потока
из Источника B в группу G1
Клиент A

 Получение данных многоадресной рассылки только из конкретных источников

Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Рабочий механизм IGMPv3
Маршрутизатор периодически
отправляет общие сообщения
запроса в 224.0.0.1.

RTC

Хост посылает сообщение


отчета о членстве для указания
источников многоадресной Клиент A Клиент B Клиент C
рассылки, из которых он хочет G: G1 G: G2 G: G1
получать данные или нет. IN:1.1.1.1 EX: NULL IN:1.1.1.1
2.2.2.2

Общее сообщение запроса


Отчет о членстве

Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Различия между версиями IGMP

Механизм IGMPv1 IGMPv2 IGMPv3

Выборы генераторов Зависят от другого Поддерживается Поддерживается


запросов протокола

Механизм выхода из Выход без посылки Посылка сообщений Посылка сообщений


группы сообщений о выходе о выходе о выходе

Специальный запрос
Не поддерживается Поддерживается Поддерживается
групп

Специальный запрос
Не поддерживается Не поддерживается Поддерживается
источников и групп

Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требования к получателям многоадресной рассылки

2. Рабочий механизм IGMPv1

3. Рабочий механизм IGMPv2

4. Рабочий механизм IGMPv3

5. Рабочий механизм IGMP Snooping

6. Конфигурация IGMP

Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблемы с передачей данных
многоадресной рассылки на L2
 Лавинная рассылка данных многоадресной рассылки на L2 приводит к :
 Трате сетевых ресурсов Источник

 Риску безопасности
Сеть
многоадресной
рассылки

Данные многоадресной
рассылки отправляются
Коммутатор
хостам, не входящим в группу.

Многоадресный пакет для G2

Клиент A Клиент B Клиент C

Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Рабочий механизм IGMP Snooping
 После включения IGMP snooping на коммутаторах коммутаторы передают
сообщения только на свой порт маршрутизатора.
RTA

Коммутатор с функцией IGMP snooping


① ③
1
CPU 0

Таблица многоадресной рассылки L2

Mac-адрес Интерфейсы 2 3 4
0100.5e01.0203 0134 ②

Запрос
Отчет
Клиент A Клиент B Клиент C
Пакет многоадресной рассылки

Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требования к получателям многоадресной рассылки

2. Рабочий механизм IGMPv1

3. Рабочий механизм IGMPv2

4. Рабочий механизм IGMPv3

5. Рабочий механизм IGMP Snooping

6. Конфигурация IGMP

Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация IGMP

multicast routing-enable
interface G0/0/1
ip address 192.168.1.1 255.255.255.0
igmp enable
igmp version 2

RTA
G0/0/1 IGMPv2

192.168.1.0/24

Клиент A

Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проверка конфигурации IGMP
<RTA>display igmp interface
Interface information of VPN-Instance: public net
GigabitEthernet0/0/1(192.168.1.1):
IGMP is enabled
Current IGMP version is 2
IGMP state: up
IGMP group policy: none
IGMP limit: -
Value of query interval for IGMP (negotiated): -
Value of query interval for IGMP (configured): 60 s
Value of other querier timeout for IGMP: 0 s
Value of maximum query response time for IGMP: 10 s
Querier for IGMP: 192.168.1.1 (this router)
Total 1 IGMP Group reported

<RTA>display igmp group


Interface group report information of VPN-Instance: public net
GigabitEthernet0/0/1(192.168.1.1):
Total 1 IGMP Group reported
Group Address Last Reporter Uptime Expires
239.255.255.250 192.168.1.11 00:04:18 00:02:07

Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. В IGMPv1, когда последний член выходит из группы, как долго будет ждать
маршрутизатор, прежде чем удалить список группы многоадресной рассылки?

2. Является ли 224.0.0.0.1 IP-адресом назначения специального запроса групп в


протоколе IGMPv2?

3. Как работает IGMP Snooping?

Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Принципы и конфигурации PIM

Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.


Введение
 Пакеты многоадресной рассылки переадресуются в определенные группы получателей, которые могут
быть распределены в любом месте сети. Чтобы правильно и эффективно пересылать пакеты
многоадресной рассылки, маршрутизаторы многоадресной рассылки должны создавать и поддерживать
записи маршрутизации многоадресной рассылки.
 Поскольку используется все больше протоколов и приложений маршрутизации многоадресной рассылки,
люди понимают, что если многоадресные маршруты генерируются несколькими алгоритмами
маршрутизации динамически, такими как маршруты, одноадресной рассылки, то для разных протоколов
маршрутизации импортировать маршруты друг друга будет слишком сложно.
 Независимая от протокола многоадресная рассылка (PIM, Protocol Independent Multicast) реализует
проверку RPF пакетов многоадресной рассылки, создание записей маршрутизации многоадресной
рассылки и пересылку пакетов многоадресной рассылки на основе таблиц маршрутизации одноадресной
рассылки.

Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
 По окончании данного курса Вы узнаете:
 Требования к многоадресной рассылке
 Принципы и конфигурации PIM-DM
 Принципы и конфигурации PIM-SM

Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требования к отправке пакетов многоадресной рассылке

2. Рабочий механизм PIM-DM

3. Ограничения PIM-DM

4. Рабочий механизм PIM-SM

Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Как маршрутизатор переадресует пакеты
многоадресной рассылки
 Маршрутизатор пересылает пакеты
многоадресной рассылки, основываясь на
следующей информации: Источник


Есть ли в сегментах сети получатели?

К какой группе должны подключиться
Сеть
получатели? многоадресной
рассылки
 Настройка предыдущей информации вручную
может привести к следующим проблемам:
Клиент C
Клиент A
 Невозможность обновления в реальном времени (G1)
(G1)

 Низкая гибкость Клиент B


 Огромная рабочая нагрузка и высокая Пакет
многоадресной
вероятность ошибок
рассылки

Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требования к многоадресной рассылке

2. Рабочий механизм PIM-DM

3. Ограничения PIM-DM

4. Рабочий механизм PIM-SM

Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обзор PIM-DM
 PIM-DM использует режим "push" для переадресации пакетов
многоадресной рассылки.
 Ключевая задача PIM-DM:
 Установите дерево кратчайшего пути (SPT).
 Рабочие механизмы PIM-DM:
 Обнаружение соседних узлов
 Лавинная рассылка (Flood) и обрезка (prune)

 Обновление состояния

 Прививка (graft)

 Утверждение (assert)
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обнаружение соседних узлов PIM-DM
 Обнаружение соседних узлов, используя сообщения Hello:

Hello

RTA Hello RTB

 Выборы DR(назначенный маршрутизатор ):


RTC RTD
Hello

Hello
Маршрутизатор с
наивысшим приоритетом
или самым большим IP-
адресом становится DR. Клиент A

Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Настройка SPT в сети PIM-DM
 Лавинная рассылка (Flood)
Лавинно рассылает
 Проверка RPF полученный пакеты RTA
многоадресной Источник
рассылки.
 Обрезка (Pruning)

RTB RTC RTD


Сеть
Каждый Многоадресной
маршрутизатор рассылки
создает запись (S, G).
Клиент C
(G1)
Клиент A RTE
(G1)
Запустите процесс
обрезки, если под
Клиент B интерфейсом нет
получателей.

Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обновление состояния
 Периодическое обновление состояния обрезки.

RTA Источник

RTB RTC RTD


Сеть
Многоадресной
рассылки
РТЕ

Клиент A Клиент C
(G1) (G1)
Клиент B Обновление состояния

Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Механизм прививки (graft)
 Позволяет новым членам группы быстро получать пакеты многоадресной
рассылки.

RTA Источник

RTB RTC RTD


Сеть
② ③ Многоадресной
рассылки
RTE

Клиент A ① Клиент C
(G1) (G1) Отчет IGMP
Прививка/Прививка ACK
Клиент B (G1)

Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Механизм утверждения (assert)
 Предотвращает появление одинаковых пакетов многоадресной рассылки.

Сеть
Многоадресной
рассылки

RTA RTB RTC

Три одинаковых потока Пакеты многоадресной рассылки


данных многоадресной Клиент A
RTD Сообщение Assert
рассылки в сети

Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация PIM-DM
multicast routing-enable
interface G0/0/0 multicast routing-enable
pim dm interface G0/0/0
interface G0/0/1 pim dm
pim dm interface G0/0/1
G0/0/2
interface G0/0/2
Источник pim dm
pim dm RTA
G0/0/1
G0/0/0
PIM-DM
G0/0/0
G0/0/0 G0/0/2 G0/0/0
RTB RTC RTD
То же самое, что G0/0/1 G0/0/1 То же самое, что G0/0/1
и конфигурация и конфигурация
RTD. G0/0/0 RTA.
RTE

G0/0/1 То же самое, что


Клиент A и конфигурация
Клиент C
RTD

Клиент B

Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проверка конфигурации PIM-DM
<RTD>display pim routing-table
VPN-Instance: public net
Total 1 (*, G) entry; 1 (S, G) entry

(192.168.0.1, 239.255.255.250)
Protocol: pim-dm, Flag: ACT
UpTime: 00:00:09
Upstream interface: GigabitEthernet0/0/0
Upstream neighbor: 10.1.14.1
RPF prime neighbor: 10.1.14.1
Downstream interface(s) information:
Total number of downstreams: 1
1: GigabitEthernet0/0/1
Protocol: pim-dm, UpTime: 00:00:09, Expires: -

<RTD>display pim neighbor


VPN-Instance: public net
Total Number of Neighbors = 1

Neighbor Interface Uptime Expires Dr-Priority BFD-Session


10.1.14.1 GE0/0/0 00:12:19 00:01:16 1 N

Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требования к многоадресной пересылки

2. Рабочий механизм PIM-DM

3. Ограничения PIM-DM

4. Рабочий механизм PIM-SM

Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ограничения PIM-DM
 PIM-DM применяется к кампусным сетям с плотно распределенными
членами групп.
 Ограничения PIM-DM:
 В сети с разреженно распределенными членами группы периодическое
распределение трафика многоадресного рассылки будет оказывать
большое давление на сеть.

Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требования к многоадресной пересылки

2. Рабочий механизм PIM-DM

3. Ограничения PIM-DM

4. Рабочий механизм PIM-SM

Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обзор PIM-SM
 PIM-SM осуществует пересылки пакетов многоадресной рассылки с
помощью режим "Pull".
 Ключевые задачи PIM-SM:
 Установите дерево точек объединения (RPT, rendezvous point tree), также
называемое общим деревом.
 Установите дерево кратчайшего пути (SPT).

 PIM-SM применяется к сетям с разреженно распределенными членами


группы.

Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Точка объединения (RP)
 RP - это корневой узел RPT.
 Весь трафик многоадресной рассылки на совместном дереве пересылается
на получателей через RP.
 Все маршрутизаторы PIM в сети должны знать местоположение RP.

Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Настройка RPT

Источник

RP



Сообщение (*, G)
генерируется на
маршрутизаторах в RPT.
Отчет IGMP

Сообщение (*, G) Join
Клиент A Клиент B RPT

 Вопрос: если два маршрутизатора подключены к Клиент A, оба маршрутизатора


отправляют сообщения (*, G) в RP?

Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
DR получатели и DR источника

Рассылка сообщения Register


одноадресной рассылки в RP

DR источника
PIM-SM

Источник
RP

DR получатели

Посылка сообщения (*, G) Join в RP Сообщение (*, G) Join


Сообщение Register

Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Настройка SPT
DR источника
Источник

⑤ ④




RP
RPT
Первый пакет многоадресной рассылки

Сообщение Register/Register stop
Сообщение (*, G) Join
SPT

 После установки дерева кратчайшего пути SPT пакеты многоадресной рассылки отправляются на
RP по пути SPT.
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Записи (*, g) и (S, g)

Режим Тип Сценарий

SPT от маршрутизатора first-hop к


PIM-DM (S, G)
маршрутизатору last-hop

(*, G) RPT от RP к маршрутизатору last-hop

(S, G) SPT от DR источника к RP


PIM-SM
SPT от маршрутизатора first-hop к
(S, G) маршрутизатору last-hop после
переключения SPT

Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Переадресация PIM-SM
 Есть ли потенциальные проблемы с маршрутом пересылки, состоявшим из
SPT и RPT?

Источник

RP

Не оптимальный
путь пересылки

SPT
Клиент A RPT
Клиент B

Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Механизм переключения (Switchover)

② Настройка нового
SPT Источник

RP
③ Обрезка ветвей на
общем дереве

① Когда DR получателя
обнаруживает, что скорость
принятых пакетов многоадресной
рассылки превышает пороговое RPT
значение, он отправляет
сообщение (S, G) Join к источнику SPT
многоадресной рассылки. Клиент A Клиент B Сообщение (S, G) Join

Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация PIM-SM
multicast routing-enable
interface G0/0/0
pim sm Источник
interface G0/0/1
pim sm RTA multicast routing-enable
pim G0/0/0 interface G0/0/0
static-rp 4.4.4.4 pim sm
G0/0/0 G0/0/1 interface G0/0/1
pim sm
G0/0/1 G0/0/2 interface G0/0/2

G0/0/0 RTB RP pim sm


pim
RTC G0/0/0
RTD static-rp 4.4.4.4
G0/0/2 G0/0/1

G0/0/1
То же самое, что
То же самое, что G0/0/2
и конфигурация
и конфигурация G0/0/0 G0/0/0 RTB
RTB
RTE RTF
То же самое, что G0/0/1 То же самое, что
G0/0/1
и конфигурация и конфигурация
RTA RTA

Клиент A Клиент B

Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проверка конфигурации PIM-SM
<RTF>display pim routing-table
VPN-Instance: public net
Total 1 (*, G) entry; 0 (S, G) entry

(*, 224.1.1.1)
RP: 4.4.4.4
Protocol: pim-sm, Flag: WC
UpTime: 00:00:20
Upstream interface: GigabitEthernet0/0/0
Upstream neighbor: 10.1.46.4
RPF prime neighbor: 10.1.46.4
Downstream interface(s) information:
Total number of downstreams: 1
1: GigabitEthernet0/0/1
Protocol: igmp, UpTime: 00:00:20, Expires: -

<RTB>display pim neighbor


VPN-Instance: public net
Total Number of Neighbors = 3

Neighbor Interface Uptime Expires Dr-Priority BFD-Session


10.1.12.1 GE0/0/0 00:04:08 00:01:27 1 N
10.1.23.3 GE0/0/1 00:01:29 00:01:16 1 N
10.1.24.4 GE0/0/2 00:03:19 00:01:25 1 N

Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Комплексный эксперимент многоадресной
рассылки
RP

Источник A RTA RTB RTE Клиент A

SWA

RTC RTF
Клиент B

RTD Клиент C

 Как показано на рисунке, разверните протокол PIM-SM в сети и укажите RTB в качестве статической точки объединения
RP.

 Настройте протокол IGMPv2 в сети на стороне пользователей и примите меры для минимизации потребления ресурсов
и повышения безопасности сети

 RTE и RTF подключены к получателям. Установите RPT от RP до RTE.

 RTD подключен к сети VIP-пользователей. Клиент в этой сети должен получать данные многоадресной рассылки сразу
после присоединения к группе 238.1.1.1.

Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация PIM-SM (1)
multicast routing-enable multicast routing-enable
interface g0/0/0 interface g0/0/0
pim sm pim sm
interface g0/0/1 interface g0/0/1
pim sm То же самое, что и
конфигурация pim sm
interface g0/0/2 pim
pim sm RTA
static-rp 2.2.2.2
pim
static-rp 2.2.2.2
RP
RTB
G0/0/0 G0/0/0 G0/0/0 G0/0/1
G0/0/1 G0/0/2
G0/0/2
RTA G0/0/1 RTE Клиент A
Источник A
RTC G0/0/0
multicast routing-enable G0/0/1 G0/0/0 SWA
G1/0/0 G0/0/1
interface g0/0/0
pim sm G0/0/2
RTF
interface g0/0/1 G0/0/0
Клиент B
pim sm
interface g0/0/2 G0/0/1 То же самое, что
pim sm и конфигурация
interface g1/0/0 RTD Клиент C RTE
pim sm
pim
То же самое, что
static-rp 2.2.2.2
и конфигурация
RTE

Стр. 34 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация PIM-SM (2)
interface g0/0/1
igmp enable
igmp version 2 igmp-snooping enable
pim hello-option dr-priority 100 vlan 10
igmp-snooping enable

RP
RTB
G0/0/0 G0/0/0 G0/0/0 G0/0/1
G0/0/1 G0/0/2
G0/0/2
RTA G0/0/1 RTE Клиент A
Источник A
RTC G0/0/0

G0/0/1 G0/0/0 SWA


G1/0/0 G0/0/1
G0/0/2
RTF
G0/0/0
Клиент B

G0/0/1 interface g0/0/1


RTD Клиент C igmp enable
igmp version 2

interface g0/0/1
igmp static-group 238.1.1.1

Стр. 35 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Что такое дерево распределения многоадресной рассылки? Какие типы включены
в него?

2. Какова функция механизма утверждения (assert)?

3. Верно или неверно: В протоколе PIM-SM, назначенный маршрутизатор DR,


подключенный к получателям многоадресной рассылки отправляет сообщения
Register одноадресной рассылки в точку объединения RP.

Стр. 36 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Управление маршрутом

Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.


Введение
 Корпоративные сети могут столкнуться с такими проблемами, как несанкционированный доступ к определенному
трафику и неоптимальный выбор маршрута трафика. Для обеспечения безопасности доступа к данным и улучшения
использования пропускной способности канала связи необходимо контролировать поведение трафика в сети, например,
контролировать доступность трафика и регулировать маршруты в сети.
 Чтобы удовлетворить более сложные и подробные потребности в управлении и контроли трафика, нам необходимо
использовать инструменты для эффективного управления. В этом курсе давайте познакомимся с инструментами
управления трафиком и сценариями их использования.

Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
 По окончании данного курса Вы:
 Освоите метод контроли поведения трафика и доступности в сети
 Освоите метод регулировки маршрутов сетевого трафика
 Ознакомитесь с проблемами, вызванными импортом маршрута и их решениями

Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требование к контролю поведения трафика

2. Контроль доступности трафика

3. Регулировка маршрутов сетевого трафика

4. Проблемы, вызванные импортом маршрута и решения

Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требование к контролю поведения трафика
1. Контроль доступности трафика.
Для повышения безопасности сети
некоторые отделы не имеют права доступа Финансовый
Маркетинговый
друг к другу. отдел
отдел
OSPF
Отдел
НИОКР
Штаб-квартира

Отдел
документации
2. Регулировка маршрутов сетевого трафика.
Для дальнейшей оптимизации сети,
возможно, потребуется регулировать
Маркетинговый пути сетевого трафика.
отдел
10 м 10 м

OSPF Штаб-квартира
Финансовый
отдел 5м 10 м

Бездействующий канал
связи

Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требование к контролю поведения трафика

2. Контроль доступности трафика


 Политика маршрутизации
 Маршрутизация на основе политик (пользователей)

3. Регулировка маршрутов сетевого трафика

4. Проблемы, вызванные импортом маршрута и решения

Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Контроль доступность сетевого трафика
 Вопрос: Как контролировать доступность сетевого трафика.

Финансовый
Маркетинговый
отдел
отдел
RTC OSPF

RTB Отдел
НИОКР
Штаб-квартира

RTA
RTD
Отдел
документации

 Решение 1: Изменение количества записей маршрутизации (т.е фильтровать полученные и


объявленные маршруты) для контроля доступности. Это называется политикой маршрутизации
(Routing Policy).

 Решение 2: Пересылка пакетов на основе определенных пользователями политик и имеет более


высокий приоритет, чем политика маршрутизации. Это называется маршрутизацией на основе
политик пользователей (Policy Based Routing).

Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 1: Политика маршрутизации
Финансовый
отдел
Маркетинговый RTC OSPF
отдел
RTB Отдел
НИОКР

Штаб-квартира RTA
RTD
Отдел
документации

 Использование инструмента Filter-Policy для фильтрации маршрутов, импортированных из RTA в


OSPF, и маршрутов, импортированных из RTC в таблицу маршрутизации:
 Используйте ACL или IP-Prefix List для соответствия целевому трафику.
 Используйте Filter-Policy в представлении протокола для объявления политик целевому трафику.

 Использование инструмента Route-Policy для фильтрации прямых маршрутов, импортированных RTA:


 Используйте ACL или IP-Prefix List для соответствия целевому потоку.
 Используйте Route-Policy в представлении протокола для управления импортированными маршрутами.

Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример применения ACL (1)
 ACL классифицирует пакеты по разным типам, основываясь на информации в пакетах.

acl 2001
rule 0 permit source 1.1.0.0 0.0.255.255

1.1.1.1/32
1.1.1.1/32
1.1.1.0/24
1.1.1.0/24
1.1.0.0/16
1.1.0.0/16
1.0.0.0/8

Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример применения ACL (2)

acl 2001
rule 0 permit source 1.1.1.1 0
rule 1 deny source 1.1.1.0 0
rule 2 permit source 1.1.0.0 0.0.255.0
rule 3 deny source any

1.1.1.1/32 1.1.1.1/32

1.1.1.0/24 1.1.0.0/16

1.1.0.0/16

1.0.0.0/8

Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример применения ACL (3)

acl 2001
rule 0 permit source 1.1.1.0 0

1.1.1.1/32 1.1.1.0/24

1.1.1.0/24 1.1.1.0/25

1.1.1.0/25 ACL может гибко сопоставлять


пакеты с префиксами IP-адреса, но
1.1.0.0/16 не может сопоставлять длине
маски.

1.0.0.0/8 Вопрос: Как отфильтровать маршрут 1.1.1.0/25?

Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример применения IP-Prefix List (1)
 IP-Prefix List может сопоставлять как префикс IP-адреса, так и длину маски.
 IP-Prefix List не может фильтровать IP-пакеты, но может фильтровать только информацию
маршрутизации.

ip ip-prefix test index 10 permit 10.0.0.0 16 greater-equal 24 less-equal 28


Диапазон IP-адресов: 10.0.0.0 – 10.0.x.x
24<=Длина маски<=28
Пример: 10.0.1.0/24, 10.0.2.0/25, 10.0.2.192/26

Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример применения IP-Prefix List (2)

ip ip-prefix Pref1 index 10 permit 1.1.1.0 24


greater-equal 24 less-equal 24

1.1.1.1/32 1.1.1.0/24

1.1.1.0/24
"greater-equal 24 less-equal 24"
1.1.1.0/25 означает, что длина маски
составляет 24.
1.1.0.0/16

1.0.0.0/8 Маршрут 1.1.1.0/25 будет отфильтрован.

Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Инструмент Filter-Policy
 Filter-Policy может фильтровать полученные или объявленные маршруты RIP, OSPF и BGP.

Фильтрация маршрутов, полученных протоколами:


filter-policy { acl-number | ip-prefix ip-prefix-name } import

Фильтрация маршрутов, объявленных протоколами:


filter-policy { acl-number | ip-prefix ip-prefix-name } export

Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Инструмент политики маршрутизации
(Route-Policy)
 Route-policy - это мощный инструмент. Он может использоваться вместе с другими инструментами, такими как ACL,
список префиксов IP-адресов и фильтр путей AS (As-Path-Filter).

Route-Policy:
route-policy route-policy-name { permit | deny } node node
if-match {acl/cost/interface/ip next-hop/ip-prefix}
apply {cost/ip-address next-hop/tag}

 Route-policy состоит из нескольких узлов, которые имеют отношение «или». Каждый узел имеет несколько
пунктов if-mach и apply, а пункты if-mach имеют отношение «и».

Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример применения политики
маршрутизации
Table-1 acl 2001
Network Cost NextHop rule 0 permit source 1.1.3.0 0.0.0.255
1.1.2.0/24 4687 34.34.34.2 acl 2002
4687 13.13.13.1 rule 0 permit source 13.13.13.1 0
1.1.3.0/24 4687 34.34.34.2
route-policy RP deny node 10
4687 13.13.13.1
if-match ip-prefix Pref1
1.1.3.0/25 1 34.34.34.2 route-policy RP permit node 20
1 13.13.13.1 if-match ip-prefix Pref2
5.5.5.5/32 4687 34.34.34.2 route-policy RP permit node 30
4687 13.13.13.1 if-match acl 2001
6.6.6.6/32 4687 34.34.34.2 if-match ip next-hop acl 2002
4687 13.13.13.1 apply cost 21
route-policy RP permit node 40
if-match ip-prefix Pref3
apply cost 11
route-policy RP permit node 50
#
ip ip-prefix Pref1 index 10 permit 5.5.5.5 32
ip ip-prefix Pref1 index 20 permit 1.1.2.0 24
Table-2 ip ip-prefix Pref2 index 10 deny 6.6.6.6 32
Network Cost NextHop ip ip-prefix Pref3 index 10 permit 1.1.3.0 24
1.1.3.0/24 4687 34.34.34.2 greater-equal 25 less-equal 25
21 13.13.13.1
1.1.3.0/25 11 34.34.34.2
21 13.13.13.1

Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация политики маршрутизации (1)

acl 2000
rule 5 deny source 10.1.1.0 0.0.0.255
rule 10 permit source any
ospf 1
filter-policy 2000 import

Маркетинговый RTC Финансовый


отдел OSPF отдел

10.1.2.0
Отдел
НИОКР
Штаб-квартира RTB RTA
Отдел
RTD документации

ip ip-prefix ab index 10 permit 10.1.1.0 24


ip ip-prefix ab index 20 permit 10.1.3.0 24
ospf 1
filter-policy ip-prefix ab export direct

Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация политики маршрутизации (2)

acl 2000
rule 5 deny source 10.1.1.0 0.0.0.255
rule 10 permit source any
ospf 1
filter-policy 2000 import

Финансовый
Маркетинговый RTC OSPF отдел
отдел

10.1.2.0 Отдел
НИОКР

Штаб-квартира RTB RTA


Отдел
RTD документации

ip ip-prefix ab index 10 permit 10.1.1.0 24


ip ip-prefix ab index 20 permit 10.1.3.0 24
ospf 1
filter-policy ip-prefix ab export direct

Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация политики маршрутизации (3)
<RTC>dis ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 14 Routes : 14

Destination/Mask Proto Pre Cost Flags NextHop Interface

10.1.3.0/24 O_ASE 150 1 D 12.1.2.1 GigabitEthernet 0/0/0


10.1.4.0/24 Direct 0 0 D 10.1.4.2 GigabitEthernet 0/0/1
10.1.5.0/24 OSPF 10 3 D 12.1.2.1 GigabitEthernet 0/0/0

<RTD>dis ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 15 Routes : 15

Destination/Mask Proto Pre Cost Flags NextHop Interface

10.1.1.0/24 O_ASE 150 1 D 12.1.3.1 GigabitEthernet 0/0/0


10.1.3.0/24 O_ASE 150 1 D 12.1.3.1 GigabitEthernet 0/0/0
10.1.4.0/24 OSPF 10 3 D 12.1.3.1 GigabitEthernet 0/0/0
10.1.5.0/24 Direct 0 0 D 10.1.5.2 GigabitEthernet 0/0/1

Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требование к контролю поведения трафика

2. Контроль доступности трафика


 Политика маршрутизации
 Маршрутизация на основе политик

1. Регулировка маршрутов сетевого трафика

2. Проблемы, вызванные импортом маршрута и решения

Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 2: Маршрутизация на основе
политик (1)
 На основе настроенной пользователем политики: использует инструмент фильтрации трафика.

acl number 3000


rule 0 deny ip source 10.1.4.0 0.0.0.255 dest 10.1.1.0 0.0.0.255
rule 5 deny ip source 10.1.4.0 0.0.0.255 dest 10.1.2.0 0.0.0.255
rule 10 permit ip source any
int g0/0/1
traffic-filter inbound acl 3000

Маркетинговый RTC Финансовый


отдел OSPF отдел

Отдел
НИОКР

RTB RTA
Штаб-квартира
Отдел
RTD документации

acl 3000
rule 0 deny ip source 10.1.5.0 0.0.0.255 dest 10.1.2.0 0.0.0.255
int g0/0/1
traffic-filter inbound acl 3000

Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 2: Маршрутизация на основе
политик (2)
[RTC]dis ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 16 Routes : 16

Destination/Mask Proto Pre Cost Flags NextHop Interface

10.1.1.0/24 O_ASE 150 1 D 12.1.2.1 GigabitEthernet 0/0/0


10.1.2.0/24 O_ASE 150 1 D 12.1.2.1 GigabitEthernet 0/0/0
10.1.3.0/24 O_ASE 150 1 D 12.1.2.1 GigabitEthernet 0/0/0
10.1.4.0/24 Direct 0 0 D 10.1.4.2 GigabitEthernet 0/0/1
10.1.5.0/24 OSPF 10 3 D 12.1.2.1 GigabitEthernet 0/0/0

PC-Marketing department>ping 10.1.1.1

Ping 10.1.1.1: 32 data bytes, Press Ctrl_C to break


Request timeout!
Request timeout!
Request timeout!
Request timeout!

--- 10.1.1.1 ping statistics ---


4 packet(s) transmitted
0 packet(s) received
100.00% packet loss

Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требование к контролю поведения трафика

2. Контроль доступности трафика

3. Регулировка маршрутов сетевого трафика


 Политика маршрутизации
 Маршрутизация на основе политик

4. Проблемы, вызванные импортом маршрута и решения

Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Регулировка маршрутов сетевого трафика
 На этапе дальнейшей оптимизации сети, возможно, потребуется регулировать маршруты сетевого
трафика.

RTB

Маркетинговый
отдел
10 м 10 м

OSPF Штаб-квартира
Финансовый 5м 10 м
отдел RTA RTD

Бездействующий канал
RTC связи

 Решение 1: можно использовать политику маршрутизации для изменения атрибута протокола,


чтобы управлять записями таблицы маршрутизации и настройки тракта трафика.

 Решение 2: можно использовать маршрутизацию на основе политик для управления


поведением трафика перед поиском таблицы маршрутизации.

Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 1: Политика маршрутизации

display ip routing-table
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.1.3.0/24 OSPF 10 3 D 12.1.1.2 GigabitEthernet 0/0/0

RTB
Marketing
department 10M(cost 1)
20 persons 10M(cost 1) Headquarters
G0/0/0

OSPF
G0/0/1
Financial 5M(cost 2) 10M(cost 1)
RTD
10.1.3.0
department RTA
10 persons
RTC

int g0/0/0
ospf cost 2

display ip routing-table
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.1.3.0/24 OSPF 10 4 D 12.1.1.2 GigabitEthernet 0/0/0
OSPF 10 4 D 12.1.3.2 GigabitEthernet 0/0/1

Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ограничение решения 1
 Чтобы в полной мере использовать пропускную способность канала, маршрут трафика выглядит
следующим образом: от отдела маркетинга до штаб-квартиры - RTA-RTB-RTD, а маршрут от
финансового отдела до штаб-квартиры - RTA-RTC-RTD.

RTB
Маркетинговый
отдел
10 м 10 м
20 человек Штаб-квартира

OSPF
5м 10 м
Финансовый RTA RTD
отдел
10 человек
RTC

 Как показано на рисунке, решение 1 не может удовлетворить это требование, поскольку пакеты
пересылаются по адресу назначения. Он не может отвечать требованиям исходного адреса, адреса
назначения или пересылки на уровне приложений.

Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требование к контролю поведения трафика

2. Контроль доступности трафика

3. Регулировка маршрутов сетевого трафика


 Политика маршрутизации
 Маршрутизация на основе политик

4. Проблемы, вызванные импортом маршрута и решения

Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 2: Маршрутизация на основе
политик (1)
Маршрутизация основана на исходном адресе. То есть next hope
трафика из отдела маркетинга является RTB, а next hope трафика из
финансового отдела - RTC.

RTB
Маркетинговый
отдел
20 человек 10 м 10 м Штаб-квартира

OSPF
10.1.3.0
Финансовый 5м 10 м
отдел RTA RTD
10 человек

RTC

 Маршрутизация на основе политик осуществляется с использованием политики


трафика:
 Использование ACL для сопоставления трафика;
 Определение поведения для трафика, например, измените следующий узел (next hop).

Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 2: Маршрутизация на основе
политик (2)
[RTA]acl 3000
rule 5 permit ip source 10.1.1.0 0.0.0.255 dest 10.1.3.0 0.0.0.255
traffic classifier huawei-control1
if-match acl 3000
traffic behavior huawei-control1
redirect ip-nexthop 12.1.1.2
traffic policy huawei-control1
classifier huawei-control1 behavior huawei-control1
int g0/0/2
traffic-policy huawei-control1 inbound

[RTA]acl 3001
rule 5 permit ip source 10.1.2.0 0.0.0.255 dest 10.1.3.0 0.0.0.255
traffic classifier huawei-control2
if-match acl 3001
traffic behavior huawei-control2
redirect ip-nexthop 12.1.3.2
traffic policy huawei-control2
classifier huawei-control2 behavior huawei-control2
int g4/0/0
traffic-policy huawei-control2 inbound

Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 2: Маршрутизация на основе
политик (3)
<RTA>dis ip routing-table
Route Flags: R - relay, D - download to fib
-------------------------------------------------------------------------
Routing Tables: Public
Destinations : 19 Routes : 20

Destination/Mask Proto Pre Cost Flags NextHop Interface


10.1.1.0/24 Direct 0 0 D 10.1.1.2 GigabitEthernet
0/0/2
10.1.2.0/24 Direct 0 0 D 10.1.2.2 GigabitEthernet
4/0/0
10.1.3.0/24 OSPF 10 3 D 12.1.1.2 GigabitEthernet
0/0/0

PC-Marketing department>tracert PC-Financial department>tracert


10.1.3.1 10.1.3.1

traceroute to 10.1.3.1, 8 hops max traceroute to 10.1.3.1, 8 hops max


(ICMP), press Ctrl+C to stop (ICMP), press Ctrl+C to stop
1 10.1.1.2 47 ms 31 ms 15 ms 1 10.1.2.2 16 ms 31 ms 16 ms
2 12.1.1.2 47 ms 31 ms 32 ms 2 12.1.3.2 62 ms 47 ms 31 ms
3 12.1.2.2 93 ms 63 ms 46 ms 3 12.1.4.2 47 ms 47 ms 31 ms
4 *10.1.3.1 62 ms 31 ms 4 10.1.3.1 32 ms 46 ms 32 ms

Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Различия между политикой маршрутизации и
маршрутизацией на основе политик (PBR)
Политика маршрутизации Маршрутизация на основе политик

На основе уровня передачи, не влияет на записи маршрутизации.


На основе уровня управления, влияет на Пакеты пересылаются сначала на основе политики, а затем на
записи маршрутизации. основе таблицы маршрутизации, если пересылка на основе
политики дает сбой.

Политика, основанная на адресе Политика основана на адресе источника, адресе назначения,


назначения. типе протокола и размере пакета.

Используется с протоколом Политику маршрутизации нужно настраивать вручную, чтобы


маршрутизации. пакеты пересылались в соответствии с политикой.

Инструменты: Route-Policy, Filter-Policy и


Инструменты: Traffic-Filter, Traffic-Policy, Policy-Based-Route и т.д.
т.д.

Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требование к контролю поведения трафика

2. Контроль доступности трафика

3. Регулировка маршрутов сетевого трафика

4. Проблемы, вызванные импортом маршрута и решения

Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Регулировка маршрутов сетевого трафика
- несколько протоколов
 В предыдущем примере четыре маршрутизатора работают по одному протоколу. Если они запустят
разные протоколы, что будет дальше?

① ospf 1
import-route rip 1 type 1

RTB
Маркетинговый отдел
20 человек
③ 10.1.3.0/24 150 3 10M

Штаб-квартиры
RTA
RTD

Финансовый отдел
10 человек
5M
④ 10.1.3.0/24 150 4

RTC ⑤ Канал простаивает. Низкая


⑥ Решение: измените стоимость эффективность использования
OSPF на интерфейсе для пропускной способности.
реализации балансировки ② ospf 1
нагрузки.
import-route rip 1 type 1

Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Другие проблемы, вызванные применением
нескольких протоколов - суб-оптимальный
маршрут
② import rip ② isis 1
import-route rip 1

RTC
Lo0:2.2.2.2
RTA
12.12.12.1
RTD
RTB
S0

⑤ [RTB]display ip routing-table
Destination/Mask Proto Pre Cost NextHop
Interface
2.0.0.0/8 ISIS 15 84 12.12.12.1 Serial0

Стр. 34 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 1: Маршруты фильтрации
isis 1
import-route rip 1

RTA RTC RTD

Lo0:2.2.2.2

RTB 24.24.24.2

acl 2001
rule 5 deny source 2.0.0.0 0.255.255.255
rule 10 permit
isis 1
filter-policy 2001 import

display ip routing-table
Destination/Mask Proto Pre Cost NextHop Interface
2.0.0.0/8 RIP 100 1 24.24.24.2
Serial1

Стр. 35 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 2: настройка приоритетов
протокола
isis 1
import-route rip 1
RTC

RTA RTD

Lo0:2.2.2.2

RTB 24.24.24.2

isis 1
preference 150

display ip routing-table
Destination/Mask Proto Pre Cost NextHop
Interface
2.0.0.0/8 RIP 100 1 24.24.24.2
Serial1

Стр. 36 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Другие проблемы, вызванные применением
нескольких протоколов – петля (Loop)
⑦import isis

RTC

RTB

RTD

Dest. ASE 150 2

RTE

RTA
Lo0:2.2.2.2/32 ④import ospf
①import direct cost 2

Стр. 37 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 1: Маршруты фильтрации
acl 2001
rule 0 deny source 2.0.0.0 0.255.255.255
rule 1 permit
ospf 1
import-route isis 1 route-policy RP1
route-policy RP1 permit node 10
if-match acl 2001
RTC

RTB

RTD

RTE
Lo0:2.2.2.2/32
RTA
isis 1
import-route ospf 1
ospf 1
import-route direct cost 2

Стр. 38 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 2: Настройка приоритетов
протокола
isis 1
preference 160
ospf 1
RTC import-route isis 1
display ip routing-table
Destination/Mask Proto Pre Cost NextHop
Interface
2.2.2.2/32 O_ASE 150 2 12.12.12.1
Serial0

RTB RTD

RTE
12.12.12.1

isis 1
import-route ospf 1
RTA Lo0:2.2.2.2/32

ospf 1
import-route direct cost 2

Стр. 39 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Можно ли использовать список префиксов IP для фильтрации IP-пакетов?

2. Какие методы можно использовать для настройки маршрутов трафика?

3. Какие проблемы могут быть вызваны импортом маршрута и каковы решения?

Стр. 40 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Принципы и конфигурации Eth-Trunk
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение
 По мере увеличения количества услуг, развернутых в сетях, пропускная способность одного физического канала связи
не может удовлетворить потребности в трафике для полнодуплексных каналов связи P2P. С целью увеличения
пропускной способности действующие интерфейсные платы могут быть замены интерфейсными платами с более
высокой пропускной способностью, однако это приведет к пустой растрате ресурсов устройства и повысит затраты на
модернизацию. Если добавлены дополнительные каналы для подключения устройств, каждый интерфейс 3-го уровня
должен быть сконфигурирован с IP-адресом, что приводит к неэффективному расходованию IP-адресов.
 Eth-Trunk (технология агрегирования каналов) - это технология привязки, которая позволяет объединять несколько
независимых физических интерфейсов в единый логический интерфейс с высокой пропускной способностью. Нет
необходимости заменять интерфейсные платы, и не приводит к неэффективному расходованию IP-адресов. В этом
курсе давайте разберем технологию Eth-Trunk подробно.

Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
 По окончании данного курса Вы узнаете:
 Основные принципы Eth-Trunk
 Конфигурации Eth-Trunk

Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Основные принципы Eth-Trunk

2. Примеры конфигурации Eth-Trunk

Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблемы с сетью
Пропускная способность одного физического
канала связи не может удовлетворить
потребности в трафике всей кампусной сети.
Если действующие интерфейсные платы
замены интерфейсными платами с более
высокой пропускной способностью, это
Выход кампусной сети приведет к пустой растрате ресурсов
устройства, Если добавлены
дополнительные каналы, необходимо
назначить им IP-адреса, что приводит к
неэффективному расходованию IP-адресов.

Уровень ядра

В одноканальной сети, если канал не


работает, то это влияет на взаимодействие
персонала всей области.
Уровень агрегации

Уровень доступа

НИОКР Тупые Область Финансовая


терминалы маркетинга область

Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Концепция Eth-Trunk

RTA
Eth-Trunk RTB

 Eth-Trunk - это привязывающая технология, позволяющая объединять несколько физических интерфейсов Ethernet в
единый логический интерфейс.
 Режимы Eth-Trunk:
 Балансировка нагрузки вручную
 LACP

Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Балансировка нагрузки вручную

RTA RTB

Eth-Trunk

Устаревшее оборудование не
поддерживает протокол LACP.

Пользовательская Пользовательская
сеть1 Сеть 2

 Если, в случае когда на крайне мере одно из двух устройств не поддерживает протокол LACP, можно использовать
режим балансировки нагрузки вручную для увеличения пропускной способности и повышения отказоустойчивости сети.
 В режиме балансировки нагрузки вручную, все каналы связи, присоединяющиеся к Eth-Trunk, пересылают данные.

Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Режим LACP

RTA RTB

Eth-Trunk

Активные каналы
Резервные каналы
Пользовательская Пользовательская
сеть сеть

 Режим LACP также называется режимом M:N, где M каналов связи активны и пересылают данные, а N каналов связи
неактивны и используются в качестве резервных.
 Как показано на рисунке, есть две активные каналы связи, то есть эти два канала связи могут пересылать данные. Еще
существует один резервный канал связи, он не пересылает данные. Только при сбое активных каналов связи канал
резервирования начинает пересылать данные.

Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Выбор активных каналов в режиме LACP
RTA 1 3 RTB
Устройство с более высоким 2 2 Устройство с более низким
приоритетом системы приоритетом системы
3 1
Приоритет интерфейса Приоритет интерфейса

Определение активного устройства после


сравнения приоритетов систем устройств
RTA RTB
1 3
2 2
Активное
3 1

Приоритет интерфейса Приоритет интерфейса

Определение активных каналов после


сравнения приоритетов интерфейсов
RTA 1 3 RTB
2 2
Активное
3 1

Приоритет интерфейса Eth-Trunk Приоритет интерфейса

Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Задержка приоритетного прерывания
обслуживания LACP
RTA Порт 1 10 RTB
Eth-Trunk Порт 1
Порт 2 20 Порт 2
Активное
Порт 3 30 Порт 3

Когда активный порт 1 возникает сбой, порт 3 занимает


его место и будет активным интерфейсом, чтобы
обеспечить стабильную передачу данных.

RTA RTB
Порт 1 Eth-Trunk Порт 1
Порт 2 Порт 2
Активное
Порт 3 Порт 3
Но затем неисправности порта 1 устранены. Если
включена задержка приоритетного прерывания
обслуживания LACP, порт 1 переключается в активное
состояние после этого периода времени.
RTA Порт 1 RTB
Eth-Trunk Порт 1
Порт 2 Порт 2
Активное
Порт 3 Порт 3
Активные каналы
Резервные каналы

Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Балансировка нагрузки интерфейсов
Eth-Trunk
 При настройке балансировки нагрузки для интерфейсов Eth-Trunk не только можно установить её на основе IP-адресов
пакетов данных или на основе пакетов данных, но и можно установить вес балансировки нагрузки для членов-
интерфейсов.
 Для интерфейсов Eth-Trunk, чем больше удельный вес член-интерфейса, тем больше нагрузка на его.

Балансировка нагрузки
Описание
интерфейсов
Когда пакеты используют один и тот же IP-адрес
Балансировка нагрузки на
или MAC-адрес источника и назначения, пакеты
основе потоков
передаются по одному и тому же каналу.
Балансировка нагрузки на
Пакеты передаются по различным каналам связи.
основе пакетов

Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс конфигурирования интерфейсов
Eth-Trunk

Создание Eth-Trunk

Балансировка нагрузки
вручную

Конфигурирование режима
агрегирования каналов

LACP

Добавление
членов-интерфейсов

Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование режима балансировки
нагрузки вручную

RTA G0/0/1 G0/0/1 RTB


G0/0/2 G0/0/2
Активное
G0/0/3 G0/0/3

Eth-Trunk

 Процедура:
 Создайте Eth-Trunk.
 Сконфигурируйте рабочий режим Eth-Trunk.
 Добавьте член-интерфейс к интерфейсу Eth-Trunk.

Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование режима LACP
RTA G0/0/1 G0/0/1 RTB
G0/0/2 G0/0/2
Активное
G0/0/3 G0/0/3
Eth-Trunk
Активные каналы
Резервные каналы

 Процедура:
 Создайте Eth-Trunk.
 Настройте рабочий режим Eth-Trunk.
 Добавьте интерфейсы-члены к интерфейсу Eth-Trunk.
 (Необязательно) Настройте приоритет системы LACP.
 (Необязательно) Установите верхний предел для количества активных интерфейсов.
 (Необязательно) Настройте приоритет интерфейса LACP.
 (Необязательно) Включите задержку приоритетного прерывания обслуживания LACP и установите время задержки.

Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Принципы Eth-Trunk

2. Примеры конфигурации Eth-Trunk

Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования к конфигурации Eth-Trunk

G1/0/0 G1/0/0
Уровень ядра R1 R2
G1/0/1 G1/0/1
192.168.12.0/24
G0/0/0 G0/0/1 G0/0/0 G0/0/1
192.168.1.254 192.168.2.254

E0/0/1 E0/0/2 E0/0/1 E0/0/2


E0/0/3 E0/0/3
Уровень агрегации SW3 SW4
E0/0/4 E0/0/4
E0/0/5 E0/0/8 E0/0/5 E0/0/8
E0/0/6 E0/0/6
E0/0/7 E0/0/7
E0/0/1 E0/0/2 E0/0/1 E0/0/2 E0/0/1 E0/0/2 E0/0/1 E0/0/2

Уровень доступа SW5 SW6 SW7 SW8

НИОКР Тупые клеммы Область Финансовая


маркетинга область

Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация устройств уровня ядра
 Чтобы показать конфигурацию устройств уровня ядра в качестве примера используется маршрутизатора R1.
 Создайте интерфейсы Eth-Trunk и сконфигурируйте для них IP-адреса.
interface Eth-Trunk1
Undo portswitch // Переключите интерфейс на интерфейс 3-го
уровня. Description "Core-R1 to Aggregate-SW3 "// Описание
для администраторов узнать устройство на другой стороне
интерфейса.
ip address 192.168.1.254 255.255.255.0
#
interface Eth-Trunk2
undo portswitch
description "Core-R1 to Core-R2"
ip address 192.168.12.1 255.255.255.0
 Добавьте физические интерфейсы к Eth-Trunk.

interface GigabitEthernet0/0/0
eth-trunk 1
interface GigabitEthernet0/0/1
eth-trunk 1
#
interface GigabitEthernet1/0/0
eth-trunk 2
interface GigabitEthernet1/0/1
eth-trunk 2

Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация устройств уровня агрегации (1)
 Чтобы показать конфигурацию устройств уровня агрегации в качестве примера используется коммутатор SW3.
 Создайте интерфейсы Eth-Trunk. Поскольку устройства уровня агрегации должны взаимодействовать на 2-ом
уровне, их интерфейсы не должны быть сконфигурированы с IP-адресом.

interface Eth-Trunk1
description “Aggregate-SW3 to Core-R1“
//Описание для администраторов узнать устройство на
другой стороне интерфейса.
#
interface Eth-Trunk2
description “Aggregate-SW3 to Aggregate-SW4“
#
interface Eth-Trunk3
description "Aggregate-SW3 to Access-SW5“
#
interface Eth-Trunk4
description "Aggregate-SW3 to Access-SW6“

Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация устройств уровня агрегации (2)
 Чтобы показать конфигурацию устройств уровня агрегации в качестве примера используется коммутатор SW3.
 Добавьте физические интерфейсы к Eth-Trunk.

interface Ethernet0/0/1
eth-trunk 1
interface Ethernet0/0/2
eth-trunk 1
#
interface Ethernet0/0/3
eth-trunk 2
interface Ethernet0/0/4
eth-trunk 2
#
interface Ethernet0/0/5
eth-trunk 3
interface Ethernet0/0/6
eth-trunk 3
#
interface Ethernet0/0/7
eth-trunk 4
interface Ethernet0/0/8
eth-trunk 4

Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация устройств уровня доступа (1)
 Чтобы показать конфигурацию устройств уровня доступа в качестве примера используется коммутатор SW5.
 Создайте Eth-Trunk. Поскольку устройства уровня доступа должны взаимодействовать на 2-ом уровне, их интерфейсы
не должны быть сконфигурированы с IP-адресом.

interface Eth-Trunk1
description "Access-SW5 to Aggregate-SW3"
//Описание для администраторов узнать
устройство на другой стороне интерфейса.

 Добавьте физические интерфейсы к Eth-Trunk.


interface Ethernet0/0/1
eth-trunk 1
interface Ethernet0/0/2
eth-trunk 1

Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация устройств уровня доступа (2)
 После завершения предыдущей конфигурации выполните следующую команду для просмотра информации о
конфигурации интерфейсов Eth-Trunk:

display eth-trunk
Eth-Trunk1's state information is:
WorkingMode: NORMAL Hash arithmetic: According to SIP-XOR-DIP
Least Active-linknumber: 1 Max Bandwidth-affected-linknumber: 8
Operate status: up Number Of Up Port In Trunk: 2
---------------------------------------------------------------------
-----------
PortName Status Weight
Ethernet0/0/1 Up 1
Ethernet0/0/2 Up 1

 Выполните команду display interface Eth-Trunk для проверки подробной информации о конфигурации Eth-Trunk.

Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какие режимы агрегирования каналов включают в Eth-Trunk?
A. Режим балансировки нагрузки вручную

B. Режим LACP

C. Ручной режим LACP

D. Динамический режим LACP

2. В режиме LACP, что является приоритетом системы по умолчанию?


A. 1

B. 4096

C. 32768

D. 65535

Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Расширенные возможности
коммутаторов
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение
 MUX VLAN (Multiplex VLAN) обеспечивает механизм управления сетевыми ресурсами с
использованием VLAN. MUX VLAN обеспечивает изоляцию на втором уровне, позволяющую
сотрудникам предприятия связываться друг с другом и изолировать посетителей.
 Изолированность второго уровня может быть реализована путем добавления различных
интерфейсов к различным VLAN, но ресурсы VLAN теряются. Изоляция портов может
изолировать порты одной и той же VLAN, обеспечивая безопасное и гибкое сетевое
решение.
 В сети, требующей высокой безопасности, на коммутаторе можно включить безопасность
порта, чтобы предотвратить подключение устройств с несанкционированными MAC-
адресами к сети. Когда число полученных MAC-адресов достигает лимита, коммутатор не
получает новых MAC-адресов. Коммутатор разрешает связь только устройствам, которые
узнали MAC-адреса.

Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Objectives
 По окончании данного курса Вы узнаете:
 Сценарий применения и конфигурацию MUX VLAN
 Сценарий применения и конфигурацию изоляции порта
 Сценарий применения и конфигурацию безопасности порта

Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
1. MUX VLAN

2. Изоляция порта

3. Безопасность порта

Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сценарий применения MUX VLAN
Трафик доступа сервера
Серверы напрямую подключаются к Трафик доступа пользователя
коммутатору агрегации, а ресурсы
серверов разделяются. Уровень
Предприятие хочет изолировать ядра
связь посетителей в одной и той же
VLAN и связь различных отделов.
Как выполняется это требование?
Уровень Сервер
агрегации

Уровень Уровень
доступа доступа

Финансовый Маркетинговы Компания A Компания B


отдел й отдел
Сотрудники Посетители

Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Основные понятия MUX VLAN
Сконфигурируйте VLAN в качестве
Principal VLAN.
Устройства в Principal VLAN могут
взаимодействовать с устройствами
Сконфигурируйте VLAN как Group во всех VLAN MUX VLAN.
VLAN.
Устройства в Group VLAN могут Уровень Сконфигурируйте VLAN как
взаимодействовать с устройствами в ядра Separate VLAN.
Principal VLAN. Устройства в одной Устройства в Separate VLAN
VLAN могут взаимодействовать друг с могут взаимодействовать с
другом, но не могут взаимодействовать VLAN: 40 устройствами только в Principal
с устройствами в другой Group VLAN или VLAN. Услуги в Separate VLAN
Separate VLAN. Уровень Сервер изолированы от услуг в других
агрегации VLAN, а услуги в Separate VLAN
также изолированы.

Уровень Уровень
доступа доступа

VLAN: 10 VLAN: 20 VLAN: 30 VLAN: 30

Финансовый Маркетинго Компания A Компания B


отдел вый отдел
Сотрудники Посетители

Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация MUX VLAN

SWA Principal VLAN

VLAN: 40

SWB Сервер

SWC SWD

Group VLAN Separate VLAN

VLAN 10 VLAN 20 VLAN 30 VLAN 30

Финансовый Маркетинговый Компания Компания


отдел отдел
Сотрудники предприятия Посетители

Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
1. MUX VLAN

2. Изоляция порта

3. Безопасность порта

Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сценарий применения изоляции портов

Сотрудники одной и той же проектной


группы назначаются VLAN 10.
Допускается связь между внутренними
сотрудниками и между внутренними
Уровень
сотрудниками с внешними ядра Трафик связи разрешен
сотрудниками, а связь между внешними
работниками не допускается. Как Трафик связи запрещен
выполняется это требование?
Уровень
агрегации

Уровень
Уровень доступа
доступа

VLAN 10 VLAN 10

Внешние сотрудники Внутренние сотрудники

Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Основные понятия изоляции портов

Для реализации изоляции на Уровень


втором уровне между этими ядра
интерфейсами необходимо только
добавить пользовательские Пользователи, не относящиеся к
интерфейсы в одну и ту же группу группе изоляции портов, могут
изоляции портов. взаимодействовать с пользователями
Уровень в группе изоляции портов.
агрегации

Уровень Уровень
доступа доступа
Группа
VLAN 10 изоляции VLAN 10
портов 1

Внешние сотрудники Внутренние сотрудники

Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация изоляции порта
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
port-isolate enable group 1
#
interface GigabitEthernet0/0/2
SWA
port link-type access <SWC>display port-isolate group 1
port default vlan 10 The ports in isolate group 1:
port-isolate enable group 1 GigabitEthernet0/0/1 GigabitEthernet0/0/2
…… GigabitEthernet0/0/3 GigabitEthernet0/0/4
SWB

SWC SWD

Группа
изоляции
VLAN 10 портов 1 VLAN 10
G0/0/1 G0/02 G0/0/3 G0/0/4 G0/0/1 G0/02 G0/0/3 G0/0/4

Внешние сотрудники Внутренние сотрудники

Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
1. MUX VLAN

2. Изоляция порта

3. Безопасность порта

Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сценарий применения безопасности порта

Уровень
Как защитить устройство
ядра
агрегации от атак Как защитить устройство
несанкционированных доступа от атак
пользователей? несанкционированных
пользователей?
Уровень
агрегации

Уровень Уровень
доступа доступа

Пользователи Несанкционированный Пользователи Несанкционированный


финансового отдела пользователь маркетингового отдела пользователь

Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Реализация безопасности порта
Пользовательский
MAC VLAN
интерфейс
1 54-89-98-3F-24-E5 20
2 54-89-98-8A-13-EE 20
Уровень 3 54-89-98-76-42-C4 20
Задайте максимальное число ядра
пользователей доступа. Когда 4 54-89-98-97-45-20 20
неавторизованный пользователь
подключается к интерфейсу,
интерфейс отклоняет доступ.
Уровень
агрегации

Уровень Уровень
доступа доступа
1 4 4
1
2 3
2
VLAN 10 3 VLAN 20

Пользователи Несанкционированный Пользователи Несанкционированный


финансового отдела пользователь маркетингового отдела пользователь
MAC:54-89-98-34-12-E4

Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Типы защищенных MAC-адресов
 Безопасность порта изменяет динамические MAC-адреса, полученные на интерфейсе, на
безопасные MAC-адреса (включая динамические и статические защищенные MAC-адреса и
Sticky MAC). Данная функция не позволяет несанкционированным пользователям
связываться с коммутатором с помощью этого интерфейса, повышая безопасность
устройства.
Тип Определение Описание

Динамические защищенные MAC-адреса будут потеряны после


Mac-адрес, полученный на интерфейсе, перезапуска устройства, и их необходимо будет снова узнать.
Динамический безопасный
где включена защита порта, но функция Динамические безопасные MAC-адреса никогда не будут
MAC-адрес
Sticky MAC отключена устаревать по умолчанию и могут быть устаревшими только в
том случае, если для них установлено время старения.

Mac-адрес, конфигурируемый вручную


Статический безопасный Не будет устаревать. Данные сохраняются вручную и не
на интерфейсе, где включена защита
MAC-адрес теряются после перезапуска устройства.
порта

Mac-адрес, который получен на


Не будет устаревать. Данные сохраняются вручную и не
Адрес Sticky MAC интерфейсе, где включена безопасность
теряются после перезапуска устройства.
порта и функция sticky MAC.

Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Действие, которое необходимо принять после того, как
количество безопасных MAC-адресов превысит лимит
 Действие после того, как количество защищенных MAC-адресов достигает предельного значения

Действие Описание
Отбрасывает пакеты с несуществующим MAC-адресом источника
restrict
и генерирует аварийный сигнал. Это действие рекомендуется.
Только отбрасывает пакеты с несуществующим MAC-адресом
protect
источника, но не генерирует аварийный сигнал.
Устанавливает состояние интерфейса на error-down и генерирует
аварийный сигнал. По умолчанию интерфейс в состоянии error-
shutdown
down может быть восстановлен только с помощью команды restart
в режиме интерфейса.

 Если коммутатор получает пакеты с несуществующим MAC-адресом после того, как количество
безопасных MAC-адресов достигает предельного значения, коммутатор считает, что пакеты
отправляются от несанкционированного пользователя и принимают сконфигурированное действие на
интерфейсе. По умолчанию коммутатор отбрасывает пакеты и генерирует аварийный сигнал в такой
ситуации.

Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация безопасности порта

interface GigabitEthernet0/0/1
port link-type access
port default vlan 10 interface GigabitEthernet0/0/1
port-security enable port link-type access
port-security mac-address sticky port default vlan 20
port-security mac-address sticky RTA port-security enable
5489-983F-24E5 vlan 10 …
… Конфигурация других интерфейсов
Конфигурация других интерфейсов аналогична и не упоминается здесь.
аналогична и не упоминается здесь.
SWA

SWB SWC

G0/0/1 G0/0/3 G0/0/1 G0/0/3


VLAN 10 VLAN 20
G0/0/2
G0/0/2

Пользователи финансового отдела Пользователи маркетингового отдела

Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проверка конфигурации безопасности
порта
 Выполните следующую команду для проверки привязанных MAC-адресов на SWB:
<SWB>display mac-address sticky
MAC address table of slot 0:
--------------------------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID VSI/SI
MAC-Tunnel
--------------------------------------------------------------------------------------------------
5489-988a-13ee 10 - - GE0/0/2 sticky -
5489-983f-24e5 10 - - GE0/0/1 sticky -
--------------------------------------------------------------------------------------------------

 Выполните следующую команду для проверки динамически полученного MAC-адреса на


SWC:
<SWC>display mac-address security
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID VSI/SI
MAC-Tunnel
---------------------------------------------------------------------------------------

5489-9876-42c4 20 - - GE0/0/1 security -


5489-9897-4520 20 - - GE0/0/2 security -
--------------------------------------------------------------------------------------------------------------------------------------------

Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Для MUX VLAN, в которой VLAN может взаимодействовать с устройствами во всех
VLAN?
А. Principal VLAN

Б. Separate VLAN

В. Group VLAN

Г. Subordinate VLAN

2. Сколько типов защищенных MAC-адресов в безопасности порта?


А. Динамический безопасный MAC-адрес

Б. Статический безопасный MAC-адрес

В. Адрес Sticky MAC

Г. Защищенный MAC-адрес
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Принципы и конфигурации RSTP

Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.


Введение
 STP может решить проблемы петли, но медленная конвергенция сети
влияет на качество связи. Если сетевая топология часто меняется,
соединения в сети, где установлен STP, легко обрываются, и услуги
постоянно прерываются. Это недопустимо для пользователей.
 В связи с ограничениями STP, IEEE выпустила 802.1w в 2001 году для
определения RSTP. RSTP улучшает STP и реализует быструю
конвергенцию сетевой топологии 2-го уровня. Каковы ограничения STP?
Каковы улучшения RSTP по сравнению с STP?

Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
 По окончании данного курса Вы узнаете:
 Принципы работы RSTP
 Сходства и различия между RSTP и STP.
 Конфигурации RSTP в типичных сценариях применения

Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Ограничения STP

2. Усовершенствование RSTP

3. Примеры конфигурации RSTP

Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблема 1: Коммутаторы запускают STP в
сценариях инициализации
 Продолжительность от инициализации до полной конвергенции составляет не
менее 30 с.
Root-коммутатор
SWA
Коммутаторы с поддержкой STP
В начале коммутаторы посылают
DP DP ожидают тайм-аута таймеров, чтобы
и контролируют BPDU и
определить все собранные BPDU, а
вычисляют связующее дерево.
затем выполнить расчет STP.

RP RP
Заблокированный порт
DP

SWB SWC
Прослушивание Чтобы предотвратить возникновение петель, STP должен долго ждать
(BPDU могут быть отправлены на каждый узел), чтобы убедиться, что
15 с состояние порта всей сети определено. Затем STP переходит в состояние
Получение Пересылки.

Получение
Перед входом в состояние Пересылки STP создает таблицу MAC-адресов
15 с на основе принимаемого пользовательского трафика. По истечении
Пересылка времени действия таймера STP переходит в состояние Пересылки.

Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблема 2: Коммутатор имеет
заблокированный порт, и корневой порт
отключается
 Прямой канал связи между SWC и SWA переходит в состояние Down. Блокированный порт переключается
на корневой порт и переходит в состояние пересылки. Этот процесс требует не менее 30 с.

Root-
SWA коммутатор Чтобы информация об изменении топологии
распространялась по всей сети и все
DP DP устройства полностью меняли топологию,
новый корневой порт должен дождаться
тайм-аута таймеров, а затем перейти в
состояние пересылки.

RP RP

SWC
DP Заблокированный
порт
SWB
Заблокированный порт становится новым корневым
портом и находится в состоянии блокировки. Он
переходит в состояние пересылки после двух
интервалов задержки пересылки.

Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблема 3: Коммутатор имеет заблокированный
порт, и корневой порт отключается
 Прямой канал связи между SWB и SWA отключается. Блокированный порт SWC переключается на
назначенный порт и переходит в состояние пересылки. Этот процесс требует около 50 с.

Root-коммутатор
SWA
③ Когда срок действия BPDU, буферизованных на порту, истекает,
конвергенция сети выполняется снова. Порт переходит в состояние
DP DP пересылки после двух интервалов задержки пересылки (30 с).

В STP другие порты, за исключением


назначенного порта, не обрабатывают
RP полученные неоптимальные пакеты BPDU.
RP ③ BPDU (SWA -корневой
мост)
SWB SWC
DP
① BPDU (SWB -
корневой мост) Заблокированный
① SWB посылает пакеты
порт
BPDU в качестве корневого ② Заблокированный порт не обрабатывает
устройства. полученные субоптимальные пакеты BPDU и
дожидается тайм-аута субоптимальных BPDU
(20 с).

Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблема 4: Коммутаторы STP-включено
подключаются к пользовательским терминалам
 Время, в течение которого канал связи между коммутатором и пользовательским
терминалом переходит в состояние пересылки, составляет 30 с.

Root-
SWA коммутатор
DP DP

Если порт подключается к терминалу,


RP петля не возникает. Нет
RP необходимости выполнять расчет STP
и ждать таймаута таймеров.
SWB SWC
DP BP

В STP, канал связи между коммутатором и


BPDU BPDU терминалом должен выполнять расчет STP
и канал переходит в состояние пересылки
после двух интервалов задержки
пересылки.

PCA PCB

Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблема 5: Изменение топологии STP
 Когда топология меняется, пакеты BPDU TCN отправляются на корневой мост. Восходящий мост,
получающий BPDU TCN, пересылает BPDU TCA. После того, как BPDU TCN достигает корневого моста,
корневой мост посылает TC BPDU для уведомления устройств об удалении записей MAC-адресов. Эта
реализация сложна, и ее эффективность низка.
Root-
SWA
коммутатор
DP DP

RP RP

SWB SWC
DP DP
DP
TCN

RP RP RP
TCA

TC

SWD SWE SWF SWG

Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ограничение STP - роли портов

Корневой
порт
32768.
00e0-fc16-ee43 32768.
00e0-fc22-715а
Назначенный
SWA порт SWB
Корневой мост

Корневой порт Заблокированный


порт После того, как корневой порт на SWC
SWC отключается, корневой порт
выбирается из трех портов и
32768. Заблокированный переходит в состояние пересылки
00e0-fc41-4259 порт
E0/1 после истечения действия таймера.
E0/2

Назначенный порт HUB


Корневой
порт
32768.
00e0-fc41-43b9 SWD

Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ограничение STP - состояния портов

Состояния портов
Действие
STP

Отключение

Порт не пересылает пользовательский Три состояния порта


Блокировка соответствуют одному и
трафик или не получает MAC-адресов.
тому же действию, что
Прослушивание увеличивает сложность
использования.
Порт не пересылает пользовательский
Получение
трафик, но получает MAC-адреса.

Порт пересылает пользовательский


Пересылка
трафик и получает MAC-адреса.

Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Ограничения STP

2. Усовершенствование RSTP
 Роли портов и состояния портов
 Быстрая конвергенция
 Обработка изменений топологии
 Функции защиты

3. Примеры конфигурации RSTP

Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Классификация ролей порта
 RSTP добавляет две роли порта: резервный порт и альтернативный порт.
Корневой
32768. порт 32768.
00e0-fc16-ee43 00e0-fc22-715a
Назначенный
SWA порт SWB
Корневой С точки зрения пересылки трафика
мост Корневой пользователя, альтернативный порт
Альтернативный предоставляет путь от назначенного
порт порт коммутатора к корневому.
SWC
32768.
00e0-fc41-4259 С точки зрения пересылки трафика
E0/1 E0/2 Резервный порт пользователя, резервный порт,
используемый в качестве резервной
копирования назначенного порта,
Назначенный HUB обеспечивает резервный путь от
порт Корневой
корневого коммутатора к leaf-
коммутатору.
порт
32768.
00e0-fc41-43b9 SWD

Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Классификация состояний портов
 RSTP удаляет два состояния портов в STP.

Состояния Состояния портов


Действие
портов STP RSTP
Отключение
Порт не пересылает пользовательский трафик
Блокировка Отбрасывание или не получает MAC-адресов, находится в
состоянии Отбрасывание.
Прослушивание
Порт не пересылает пользовательский трафик,
Получение Получение но получает MAC-адреса, находится в
состоянии Получение.
Порт пересылает пользовательский трафик и
Пересылка Пересылка получает MAC-адреса, находится в состоянии
Пересылки.

Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Ограничения STP

2. Усовершенствование RSTP
 Роли портов и состояния портов
 Быстрая конвергенция
 Обработка изменений топологии
 Функции защиты

3. Примеры конфигурации RSTP

Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 1: механизм предложения или
соглашения (1)
 Принципы механизма приложения и соглашения
Состояния
Отбрасывание
портов

Роль порта DP ② Синхронизация переменных


(блокировка других портов, за
Бит исключением граничного порта для
Сброс
предложения 1 предотвращения петли).

① BPDU с битом предложения 1

SWA SWB
Приоритет моста 0 ① BPDU с битом предложения 1 Приоритет моста 4096

Состояния
④ После приема пакетов BPDU с битом Пересылка
портов
предложения 1 порт переходит в состояние
пересылки. Роль порта RP

Бит
Сброс
соглашения 1
 Характеристики: использование механизмов подтверждения и синхронизации,
поэтому нет необходимости использовать таймеры для обеспечения бесперебойной
работы сети.
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 1: Механизм предложения или
соглашения (2)
ROOT
 Этап 1 SWA
DP DP
P P
P P
DP DP

SWB P DP
SWC
DP
P

 Этап 2  Этап 3
ROOT ROOT
SWA SWA
DP DP
DP DP
A A
RP RP RP RP

SWB SWC SWB SWC


DP DP DP AP
P

Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 1: Механизм предложения или
соглашения (3)
 Принципы выбора STP и RSTP аналогичны: выбор корневого коммутатора,
корневого порта некорневого коммутатора, назначенного порта, а также
альтернативного порта и резервного порта по очереди.
 RSTP добавляет механизм предложения или соглашения. Во время
согласования существует механизм подтверждения, поэтому коммутаторы с
поддержкой RSTP могут пересылать BPDU, не завися от таймеров для
обеспечения топологии сети без петель. Коммутаторам с поддержкой RSTP
необходимо учитывать только время пересылки BPDU и расчета топологии
без петель (обычно в течение нескольких секунд).

Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение проблемы 2: Быстрое
переключение корневого порта
 Прямой канал связи между SWC и SWA отключается. Альтернативный порт
переключается на корневой порт и переходит в состояние пересылки в
течение нескольких секунд.

Root-
SWA коммутатор Чтобы ускорить время конвергенции, после отказа старого
корневого порта новый корневой порт должен немедленно
DP DP перейти в состояние пересылки при отсутствии петель.
Альтернативный порт может немедленно перейти в состояние
пересылки, поскольку это требование учитывается при выборе.

RP RP

DP AP
SWC
SWB
①Немедленно становится
новым корневым портом и
переходит в состояние
пересылки.

Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение проблемы 3: обработка
субоптимальных BPDU
 Прямой канал связи между SWB и SWA отключается. Альтернативный порт
SWC переключается на назначенный порт и переходит в состояние
пересылки в течение нескольких секунд.
Root-
③ При получении BPDU с более Коммутатор
высоким приоритетом SWB SWA ④ После получения
немедленно переопределяет роли SWC пакета соглашения Коммутаторы с поддержкой RSTP не
порта. SWB изменяет назначенный DP DP он немедленно зависят от времени ожидания таймеров
порт на корневой порт и отправляет переходит в состояние для обработки субоптимальных BPDU.
BPDU с битом соглашения 1. пересылки. Вместо этого они отправляют
оптимальные BPDU на удаленную
сторону, ускоряя конвергенцию
RP RP топологии.
③Соглашение
SWB SWC
DP AP
①Предложение

① SWB, используемый в ②Предложение ② После того, как альтернативный


качестве корневого моста, порт получает субоптимальные BPDU,
отправляет BPDU с битом он немедленно отправляет
предложения 1. оптимальные BPDU на удаленную
сторону и переключается на
назначенный порт.

Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 4: граничный порт
 В RSTP интерфейс коммутатора, подключенный к терминалу, может
немедленно перейти в состояние пересылки.

Root- После того как порт коммутатора,


SWA коммутатор подключенный к терминалу, настроен в
качестве пограничного порта, он немедленно
DP DP переходит в состояние пересылки. После
того, как граничный порт получает BPDU, он
становится общим STP-портом, и связующее
дерево пересчитывается.
RP RP

SWB SWC
DP BP
Граничный порт Граничный порт
Сконфигурируйте порт,
подключенный к
терминалу, в качестве
граничного порта.

PCA PCB

Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Ограничения STP

2. Усовершенствование RSTP
 Роли портов и состояния портов
 Быстрая конвергенция
 Обработка изменений топологии
 Функции защиты

3. Примеры конфигурации RSTP

Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 5: обработка изменений топологии

 Идентификация изменения топологии: не-граничный порт переходит в


состояние пересылки.
Root-
SWA
При изменении топологии сети коммутатор
коммутатор в точке изменения
напрямую отправляет BPDU с
полем TC 0, что сокращает время
конвергенции сети, поскольку
коммутатору в точке изменения не
нужно уведомлять корневой SWB SWC
коммутатор или отправлять TC
BPDU по всей сети.

SWD SWG
Пересылка SWE SWF

RST BPDU с полем TC 1


ПК

Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблемы, вызванные изменениями
топологии
SWA ④ Таблица MAC-адресов SWA

MAC-адрес
Root-коммутатор Порт
назначения
DP
DP Mac-адрес PCA E1
⑤ SWA пересылает
E1 Е2 ... ...
трафик
⑦ Таблица MAC-
③ SWC пересылает адресов коммутатора
⑥ Трафик LAN A LAN B записывает
трафик
отбрасывается неверный порт.
RP SWC
RP
② Таблица MAC-адресов SWC
E1 E1
SWB
LAN C MAC-адрес
Порт
Е2 DP AP Е2 назначения
Mac-адрес PCA E1
Граничный порт Граничный порт
... ...

① PCB получает
доступ к PCA

PCA PCB

Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обработка изменений топологии (1)

SWA
Root-коммутатор
E1 Е2

Таблица MAC-адресов SWB LAN A LAN B


Mac-адрес назначения Порт
SWB SWC
Mac-адрес LANA E1
Mac-адрес LANB E1 E1
Е2
LAN C E1
Mac-адрес LANC
Mac-адрес PCB E1 Е2 Е2
Mac-адрес PCA Е3 Е3
... ...
TC Граничный порт
Новый
корневой порт

PCA PCB

Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обработка изменений топологии (2)
SWA
Root-
коммутатор После того, как коммутатор получает
BPDU с полем TC равным 1, он
E1 E2 очищает MAC-адреса, полученные с
других не пограничных портов, за
исключением не пограничного порта,
который принимает пакеты.
LAN A LAN B

SWB SWC Таблица MAC-адресов SWC


E1 E1
LAN C Mac-адрес назначения Порт
E2 E2 Mac-адрес LANA E1
E3 Mac-адрес LANB E1
Новый
TC Mac-адрес LANC E1
Граничный
корневой порт порт Mac-адрес PCA E1
Mac-адрес PCB Е3
... ...

PCA PCB

Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обработка изменений топологии (3)
Таблица MAC-адресов SWA
SWA Mac-адрес назначения Порт
Root- Mac-адрес LANA E1
коммутатор Mac-адрес LANB Е2
Mac-адрес LANC E1
E1 E2 Mac-адрес PCA E1
Mac-адрес PCB Е2
... ...
LAN A LAN B

SWB
E1 E1
LAN C
E2 E2

Новый TC
Граничный Граничный
корневой порт
порт порт

PCA PCB

Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обработка изменений топологии (4)
SWA
Root-коммутатор

E1 Е2

Таблица MAC-адресов SWB


LAN A LAN B
Mac-адрес назначения Порт
MAC-адресов LANA E1 SWB SWC
MAC-адресов LANB E1 E1 E1
MAC-адресов LANC E2
MAC-адресов PCB E1 Е2 LAN C Е2
MAC-адресов PCA E3
Е3
... ...
Неисправность
Включение граничного Граничный
Граничный граничного порта не
порта не инициирует порт
порт приводит к
изменение топологии.
изменению топологии.
PCA PCB

Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Ограничения STP

2. Усовершенствование RSTP
 Роли портов и состояния портов
 Быстрая конвергенция
 Обработка изменений топологии
 Функции защиты

3. Примеры конфигурации RSTP

Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Защита пакетов BPDU (1)
SWA
Root-коммутатор ⑤ Пересчет связующего дерева

DP DP

⑤ Пересчет
связующего дерева
SWB RP
RP
DP AP SWC

Граничный порт ② RST BPDU ④RST BPDU

③ После того, как граничный порт


получает BPDU, он становится не-
граничным портом, а связующее
дерево пересчитывается.
① Хакер подключается к
коммутатору с Когда новый коммутатор посылает
поддержкой STP через BPDUs, запускается вычисление
граничный порт. связующего дерева других
коммутаторов. В результате
происходит переключение сети.

Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Защита пакетов BPDU (2)

SWA
Root-коммутатор
DP DP

Порт, получающий BPDU,


немедленно отключается. Это SWB RP
может эффективно предотвратить RP
переключение сети. DP AP SWC
Граничный порт Включение защиты
BPDU
RST BPDU

Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Защита корневого моста (1)
② Получая пакеты RST BPDU высокого
приоритета, SWA пересчитывает
связующее дерево и проигрывает роль
SWA корневого коммутатора. В результате,
Root- топология сети неправильно меняется.
коммутатор
DP DP
① Хакер соединяет
коммутатор с наивысшим
приоритетом сети.

SWB RP RP RST BPDU


RST BPDU SWC
AP DP

Новый root-
коммутатор

Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Защита корневого моста (2)
Когда порт получает высокоприоритетные
SWA пакеты RST BPDU, он переходит в состояние
О Отбрасывание и не пересылает пакеты.
Root-коммутатор Если порт не получает пакеты RST BPDU с
более высоким приоритетом в течение
DP DP определенного периода времени, он
переходит в состояние Пересылки.

RP
SWB RP RST BPDU

AP DP

Включение
SWC защиты корня

Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Защита пакетов TC BPDU (1)
SWA
Root-
Коммутатор получает большое количество
пакетов BPDU TC в течение короткого коммутатор
периода времени и часто удаляет свои DP
MAC-записи и записи ARP. В результате, DP
коммутатор сильно нагружен, что угрожает
стабильности сети.

SWB RP
RP
DP AP SWC

Граничный порт

②TC BPDU
③ Коммутатор часто удаляет
записи MAC-адресов.

① Хакер соединяет ПК с
граничным портом для
непрерывной отправки
фальшивых BPDU.

Стр. 34 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Защита пакетов TC BPDU (2)

SWA
Root-коммутатор
DP
Количество раз, которое DP
коммутатор обрабатывает
пакеты TC BPDU за заданный
период времени, может быть
установлено. Коммутатор
будет обрабатывать только SWB RP RP
указанное количество раз.
DP AP SWC
Граничный порт
Конфигурирование защиты
TC BPDU
изменений топологии

①Хакер соединяет ПК с
граничным портом для
непрерывной отправки
фальшивых BPDU.

Стр. 35 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Ограничения STP

2. Усовершенствование RSTP

3. Примеры конфигурации RSTP

Стр. 36 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования к конфигурации RSTP

SWA

G0/0/1 G0/0/2

G0/0/1 G0/0/2

PC1 G0/0/4 G0/0/3 G0/0/3 G0/0/4


PC2
SWB SWC

 Как показано на предыдущем рисунке, SWA, SWB и SWC образуют сеть


кольцевой коммутации. Чтобы исключить влияние петель на сеть,
коммутаторы запускают протокол RSTP для упрощения структуры сети ( из
кольцевой в древовидную) без петель.

Стр. 37 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процедура конфигурации RSTP
stp enable
stp mode rstp
SWA stp root primary

G0/0/1 G0/0/2

G0/0/2
G0/0/1

PC1 G0/0/4 G0/0/3 G0/0/4


PC2
G0/0/3

SWB SWC

stp enable stp enable


stp mode rstp stp mode rstp
stp bpdu-protection stp bpdu-protection
interface GigabitEthernet 0/0/4 interface GigabitEthernet 0/0/4
stp edged-port enable stp edged-port enable

Стр. 38 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проверка конфигурации RSTP (1)
 Проверьте информацию STP по SWA.

<SWA>display stp brief


MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1 DESI FORWARDING NONE
0 GigabitEthernet0/0/2 DESI FORWARDING NONE

<SWA>display stp
-------[CIST Global Info][Mode RSTP]-------
CIST Bridge :0 .4c1f-cc5f-55e4
Config Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
CIST Root/ERPC :0 .4c1f-cc5f-55e4 / 0
CIST RegRoot/IRPC :0 .4c1f-cc5f-55e4 / 0
CIST RootPortId :0.0
BPDU-Protection :Disabled
CIST Root Type :Primary root

Стр. 39 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проверка конфигурации RSTP (2)
 Проверьте информацию STP на SWB.

[SWB]display stp brief


MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1 ROOT FORWARDING NONE
0 GigabitEthernet0/0/3 DESI FORWARDING NONE
0 GigabitEthernet0/0/4 DESI FORWARDING BPDU

 Проверьте информацию STP на SWC.

<SWC>display stp brief


MSTID Port Role STP State Protection
0 GigabitEthernet0/0/2 ROOT FORWARDING NONE
0 GigabitEthernet0/0/3 ALTE DISCARDING NONE
0 GigabitEthernet0/0/4 DESI FORWARDING BPDU

Стр. 40 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Сколько состояний порта определяет RSTP?
A. 2

B. 3

C. 4

2. Какие роли порта определяет RSTP?

Стр. 41 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Принципы и конфигурации MSTP

Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.


Введение
 Быстрый протокол разворачивающегося дерева (Rapid Spanning Tree Protocol, RSTP), являющийся
усовершенствованием протокола покрывающего дерева (Spanning Tree Protocol, STP), обеспечивает
быструю конвергенцию топологии сети. Однако и протокол RSTP, и STP имеют существенные недостатки:
все сети VLAN в локальной сети используют одно связующее дерево, что делает балансировку нагрузки на
базе VLAN невозможной. Как только канал связи заблокирован, он больше не будет передавать трафик, это
приводит к растрате ресурсов пропускной способности и низкой отказоустойчивости сети.
 Для решения проблем с протоколами STP и RSTP, в 2002 году IEEE в стандарте 802.1s определел протокол
множественных связующих деревьев (MSTP). MSTP реализует быструю конвергенцию и предоставляет
несколько каналов связи резервирования для балансировки нагрузки трафика VLAN.

Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
 По окончании данного курса Вы узнаете:
 Ограничения одного связующего дерева
 Рабочий механизм MSTP
 Конфигурации MSTP

Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Ограничения одного связующего дерева

2. Принципы MSTP

3. Конфигурация MSTP

Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ограничения одного связующего дерева -
Некоторые пути VLAN недоступны
Разрешение на
передачу пакетов
DP из VLAN. RP
SWA SWB
Root-коммутатор DP DP

VLAN2 VLAN2
Этот путь отключен,
VLAN3 и путь VLAN 3
недоступен.
RP AP
Отбрасывание
DP DP
SWC
VLAN2 VLAN3

LAN A LAN B

Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ограничения одного связующего дерева -
трафик не может быть сбалансированным
нагрузки
Создание Создание
интерфейса L3 интерфейса L3
для VLAN 2 для VLAN 3
DP RP
SWA SWB
Root-коммутатор DP DP
VLAN2
Этот путь отключен,
и трафик не может
VLAN3
быть сбалансирован.
RP AP
Отбрасывание

DP DP
SWC
VLAN2 VLAN3

LAN A LAN B

Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ограничения одного связующего дерева -
субоптимальный путь L2
Создание Создание
интерфейса интерфейса
L3 для VLAN 2 L3 для VLAN 3
DP RP
SWA SWB
Root-коммутатор DP DP
VLAN2
субоптимальный
VLAN3 путь VLAN 3
RP AP
Отбрасывание

DP DP
SWC
VLAN2 VLAN3

LAN A LAN B

Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Ограничения одного связующего дерева

2. Принципы MSTP

3. Конфигурация MSTP

Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
MSTI преодолевает ограничения одного
связующего дерева
DP RP
SWA RP DP
SWB
DP DP DP
DP

Root-коммутатор MSTI 1 Root-коммутатор MSTI 2

AP RP
RP
AP
MSTI 1 -> VLAN 2 MSTI 2 -> VLAN 3 и VLAN 4
DP DP
SWC
VLAN2 VLAN3
VLAN4

LAN A LAN B

 Область MST может содержать несколько связующих деревьев, каждое из которых является MSTI.
MSTI независимы друг от друга, и процесс расчета каждого MSTI аналогичен процессу расчета
RSTP.
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Ограничения одного связующего дерева

2. Принципы MSTP

3. Конфигурация MSTP

Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования к конфигурации MSTP
 MSTP может быть использован для балансировки нагрузки трафика доступа в Интернет для ПК с
различных виртуальных локальных сетей VLAN. В сетях VLAN с 1 по 10 сопоставляются MSTI 1, а в
сетях VLAN с 11 по 20 - MSTI 2.

Конфигурация
stp enable
похожа на
stp mode mstp
конфигурацию SWA
stp region-configuration
region-name RG1
instance 1 vlan 1 to 10
SWA GE0/0/2 GE0/0/2
instance 2 vlan 11 to 20 SWB
active region-configuration GE0/0/1 GE0/0/1

GE0/0/1
GE0/0/1

SWC GE0/0/2
SWD
GE0/0/2
G0/0/3 G0/0/3 Конфигурация
Конфигурация похожа на
похожа на конфигурацию
конфигурацию SWA
SWA PC1 PC2

Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процедура конфигурирования MSTP

stp instance 1 root primary stp instance 2 root primary


stp instance 2 root secondary stp instance 1 root secondary

SWA SWB
GE0/0/2 GE0/0/2
GE0/0/1
GE0/0/1
interface GigabitEthernet0/0/2 interface GigabitEthernet0/0/2
stp instance 2 cost 200000 stp instance 1 cost 200000
GE0/0/1 GE0/0/1

SWC SWD
GE0/0/2 GE0/0/2
G0/0/3
G0/0/3
interface GigabitEthernet0/0/3 interface GigabitEthernet0/0/3
stp edged-port enable stp edged-port enable

PC1 PC2

Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проверка конфигурации MSTP (1)
 Проверьте состояние порта на SWA.

[SWA]display stp brief


MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1 DESI FORWARDING NONE
0 GigabitEthernet0/0/2 DESI FORWARDING NONE
1 GigabitEthernet0/0/1 DESI FORWARDING NONE
1 GigabitEthernet0/0/2 DESI FORWARDING NONE
2 GigabitEthernet0/0/1 DESI FORWARDING NONE
2 GigabitEthernet0/0/2 ROOT FORWARDING NONE

 Проверьте состояние порта на SWB.

[SWB]display stp brief


MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1 DESI FORWARDING NONE
0 GigabitEthernet0/0/2 ROOT FORWARDING NONE
1 GigabitEthernet0/0/1 DESI FORWARDING NONE
1 GigabitEthernet0/0/2 ROOT FORWARDING NONE
2 GigabitEthernet0/0/1 DESI FORWARDING NONE
2 GigabitEthernet0/0/2 DESI FORWARDING NONE

Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проверка конфигурации MSTP (2)
 Проверьте состояние порта на SWC.

[SWC]display stp brief


MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1 ROOT FORWARDING NONE
0 GigabitEthernet0/0/2 DESI FORWARDING NONE
0 GigabitEthernet0/0/3 DESI FORWARDING NONE
1 GigabitEthernet0/0/1 ROOT FORWARDING NONE
1 GigabitEthernet0/0/2 DESI FORWARDING NONE
1 GigabitEthernet0/0/3 DESI FORWARDING NONE
2 GigabitEthernet0/0/1 ROOT FORWARDING NONE
2 GigabitEthernet0/0/2 ALTE DISCARDING NONE

 Проверьте состояние порта на SWD.


<SWD>display stp brief
MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1 ALTE DISCARDING NONE
0 GigabitEthernet0/0/2 ROOT FORWARDING NONE
0 GigabitEthernet0/0/3 DESI FORWARDING NONE
1 GigabitEthernet0/0/1 ROOT FORWARDING NONE
1 GigabitEthernet0/0/2 ALTE DISCARDING NONE
1 GigabitEthernet0/0/3 DESI FORWARDING NONE
2 GigabitEthernet0/0/1 ROOT FORWARDING NONE
2 GigabitEthernet0/0/2 DESI FORWARDING NONE

Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Опишите ограничения одного связующего дерева.

2. Какое из следующих утверждений о MSTP является неправильным?


A. В одной области MST может быть только один MSTI.

B. Каждый MSTI использует алгоритм RSTP независимо друг от друга.

C. MSTP совместим с STP.

D. MSTI может соответствовать одной или нескольким VLAN.

Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Принципы и конфигурации MPLS

Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.


Введение
 С 90-х годов трафик Интернета быстро растет. Из-за ограничений аппаратных
технологий маршрутизаторы пересылали пакеты данных hop by hop, используя
алгоритм наибольшего соответствия, становясь узкими местами переадресации
данных. Быстрая маршрутизация стала общей проблемой.
 В различных решениях IETF (Internet Engineering Task Force) стандартизировал
протокол MPLS (Multiprotocol label switching). MPLS передает данные на основе
меток с фиксированной длиной, значительно улучшая возможности переадресации
маршрутизаторов. Кроме того, MPLS может работать с несколькими сетевыми
протоколами, такими как IPv6 и IPX (Internet Packet Exchange).

Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
 По окончании данного курса Вы узнаете:
 Принципы работы MPLS
 Установку MPLS

Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор MPLS

2. Установка LSP

Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обзор MPLS

Прикладной
уровень
Уровень
Блок PDU презентации Данные
Уровень сеанса

Транспортный TCP/UDP
Сегмент уровень заголовок Данные

Пакет Сетевой уровень


IP- TCP/UDP
Данные
заголовок заголовок

Заголовок IP- TCP/UDP


Данные
Уровень канала MPLS заголовок заголовок
Кадр Заголовок Заголовок
передачи данных IP- TCP/UDP
Данные
второго уровня MPLS заголовок заголовок

Бур Физический
уровень 0101110101000010000101000101010

Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Базовая структура MPLS

Заголовок Заголовок
IP-пакет MPLS IP-пакет MPLS IP-пакет IP-пакет

RTA RTB RTC RTD RTE


OSPF Area 0
IP-сеть IP-сеть
Сеть MPLS
LSP

 LSP (Label Switched Path): путь, по которому IP-пакеты передаются в сети MPLS.
 FEC (Forwarding Equivalent Class): группа пакетов, обрабатываемых таким же
образом. В сети MPLS все пакеты с одним и тем же адресом назначения
принадлежат одному и тому же FEC.

Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Архитектура MPLS

Протокол маршрутизации IP

RIB
(Routing Information Base)

Плоскость управления
LDP
(Label Distribution Protocol)

LIB
(Label Information Base)

FIB
(Forwarding Information Base)
Плоскость переадресации
LFIB
(Label Forwarding Information Base)

Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Структура пакетов MPLS
Сеть MPLS
OSPF Area 0

RTA RTB Пакет RTC RTD RTE

IP-сеть IP-сеть
Заголовок второго IP-
уровня
Заголовок MPLS
заголовок
Данные Поток данных

Метка Exp S ТТЛ

 Метка (Label) — это короткий идентификатор с фиксированной длиной, имеющий


только локальное значение, и используется для уникально идентифицировать FEC,
к которому принадлежит пакет.

Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор MPLS

2. Установка LSP

Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Режимы установки LSP

В сеть X В сеть X В сеть X


Label=B Label=C Label=D

RTA RTB RTC RTD Сеть X


OSPF Area 0
Сеть MPLS
Распределение меток
Поток данных

 Существует два режима установки LSP:


 Статический LSP: пользователи вручную распределяют метки для FEC для
установки туннеля.
 Динамический LSP: туннели переадресации устанавливаются протоколом LDP.

Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Статический LSP
100.1.1.1/32 100.1.1.1/32 100.1.1.1/32 100.1.1.1/32
Out Label=100 Out Label=200 Out Label=300 Out Label=Null
In Label=Null In Label=100 In Label=200 In Label=300

RTA RTB RTC RTD 100.1.1.1/32


Ingress Transit Transit Egress
OSPF Area 0
Сеть MPLS
Распределение меток

 Характеристики статического LSP:


 Не используется протокол LDP. Устройства не нуждаются в обмене контрольными пакетами. Мало
ресурсов потребляется.
 Статические LSP не могут адаптироваться к изменениям в топологиях сети. Если топология сети
меняется, администратор должен изменить пути для статических LSP.
 Статические LSP применяются к стабильным сетям с простой сетевой топологией.

Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Динамический LSP
100.1.1.1/32 100.1.1.1/32 100.1.1.1/32 100.1.1.1/32
Out Label=1027 Out Label=1026 Out Label=1025 Out Label=Null
In Label=Null In Label=1027 In Label=1026 In Label=1025

RTA RTB RTC RTD 100.1.1.1/32


Ingress Transit Transit Egress
OSPF Area 0
Сеть MPLS
Распределение меток

 Динамический LSP использует LDP для назначения FEC, распределения меток, установки и
обслуживания LSP.
 Характеристики динамического LSP:
 Конфигурация сети проста, удобна в управлении и обслуживании.
 LSP динамически устанавливаются на основе записей маршрутизации. Динамические LSP могут
адаптироваться к изменениям в топологии сети, отражая статус сети в режиме реального времени.

Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обнаружение соседей LDP
10.1.12.1 10.1.12.2

RTA RTB

Hello (Transport Address=10.1.12.1)

Hello (Transport Address=10.1.12.2)

TCP (SYN)

TCP (ACK+SYN)

TCP (ACK)

Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Установление отношений соседства LDP
10.1.12.1 10.1.12.2

RTA RTB
Hello
Discovery Hello
SYN
ACK+SYN
TCP
ACK
Initialization
Initialization+Keepalive
Session
Keepalive
Address
Address
Advertisement Label Mapping
Label Mapping

Notification
Notification

Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Режимы объявлении метки

100.1.1.1/32 100.1.1.1/32 100.1.1.1/32 100.1.1.1/32


Out Label=1027 Out Label=1026 Out Label=1025 Out Label=Null
In Label=Null In Label=1027 In Label=1026 In Label=1025

Режим Объявить метку Объявить метку Объявить метку на 100.1.1.1/32


на восходящее на восходящее его восходящем
DU устройство устройство устройстве
Запросить метку с Запросить метку Запросить метку
нисходящего у нижестоящего у нижестоящего
Режим устройства устройства устройства 100.1.1.1/32
DoD

Объявить Объявить
RTA метку после RTB метку после RTC Объявить RTD
Ingress Transit Transit метку после Egress
получения получения получения
запроса запроса запроса

Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Режимы управления распределением меток

100.1.1.1/32 100.1.1.1/32 100.1.1.1/32 100.1.1.1/32


Out Label=1027 Out Label=1026 Out Label=1025 Out Label=Null
In Label=Null In Label=1027 In Label=1026 In Label=1025

Режим Активно распределить Активно распределить Активно распределить 100.1.1.1/32


метки на восходящее метки на восходящее метки на восходящее
Independent устройство устройство устройство

Распределить метку на Распределить метку на Распределить метку на


Режим восходящее устройство восходящее устройство восходящее устройство,
после того, как метка для после того, как метка для так как RTD является
Ordered 100.1.1.1/32 существует 100.1.1.1/32 существует выходом 100.1.1.1/32
на RTB на RTC 100.1.1.1/32

RTA RTB RTC RTD


Ingress Transit Transit Egress

Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Режимы сохранения меток
OSPF Area 0 100.1.1.1/32 100.1.1.1/32
Label=1026 Label=1025

RTA RTB RTD РТЕ 100.1.1.1/32

100.1.1.1/32 100.1.1.1/32
Label=1028 Label=1027
RTC
Сеть MPLS

 В таблице маршрутизации RTB имеет два пути к RTE (100.1.1.1/32): RTB > RTD > RTE
(оптимальный) и RTB > RTC > RTD > RTE. После получения RTB метки для 100.1.1.1/32 от
RTC, он обрабатывает метку следующим образом:
 Режим Liberal: RTB сохраняет метку, полученную от RTC.
 Режим Conservative: RTB не сохраняет метку, полученную от RTC.

Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс установки LDP LSP
100.1.1.1/32 100.1.1.1/32 100.1.1.1/32 100.1.1.1/32
Out Label=1027 Out Label=1026 Out Label=1025 Out Label=Null
In Label=Null In Label=1027 In Label=1026 In Label=1025

RTA LDP RTB LDP RTC LDP РТД 100.1.1.1/32


Ingress Transit Transit Egress
OSPF Area 0
Сеть MPLS
Распространение этикетки

 IGP (Interior Gateway Protocol) отвечает за внедрение достижимости внутренних


маршрутов в сети MPLS и предоставление маршрутов для пакетов FEC.
 Динамический LSP использует LDP для назначения FEC, распределения меток,
установки и обслуживания LSP.

Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс переадресации данных MPLS
100.1.1.1/32 100.1.1.1/32 100.1.1.1/32 100.1.1.1/32
Out Label=1027 Out Label=1026 Out Label=1025 Out Label=Null
In Label=Null In Label=1027 In Label=1026 In Label=1025

RTA RTB RTC RTD 100.1.1.1/32


Ingress Transit Transit Egress
OSPF Area 0

Сеть MPLS
Поток данных

 В сети MPLS пакеты данных инкапсулируются и передаются на каждом маршрутизаторе на


основе выделенных меток.
 Как выходной узел RTD обрабатывает полученные пакеты данных? Если в сети MPLS
передается большое количество сервисного трафика, каковы недостатки этого метода
обработки?

Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
PHP (Penultimate Hop Popping)
RTD — последний переход к
Понятно.
100.1.1.1/32 100.1.1.1/32 100.1.1.1/32. Удалите
100.1.1.1/32
Out Label=1027 Out Label=1026 метку перед отправкой
Out Label=3
In Label=Null In Label=1027 пакета к RTD. Специальная
In Label = 1026
метка 3 означает действие pop-up.

RTA RTB RTC РТД 100.1.1.1/32


Вход Транзит транзит Выход
OSPF Area 0
MPLS network Поток данных
 Процесс PHP приведен ниже:
 После того, как RTC получает пакет с меткой 1026 от RTB, он ищет таблицу LFIB и обнаруживает,
что исходящая метка является имплицитной нулевой меткой 3. Затем RTC выдвинет метку и
передает пакет данных IP на нисходящий маршрутизатор RTD.
 После того, как RTD получает IP-пакет от RTC, RTD ищет свою собственную таблицу FIB,
инкапсулирует пакет и передает его через исходящий интерфейс в таблице FIB.

Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Сколько битов имеет поле метки (Label) в метке MPLS?
А. 10

Б. 20

В. 30

Г. 40

2. Какое значение имеет имплицитная нулевая метка?


А. 3

Б. 5

В. 0

Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Принципы и конфигурации MPLS VPN

Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.


Введение
 По мере улучшения аппаратной производительности MPLS (Multiprotocol
Label Switching) больше не показывает своих преимуществ при скорости
пересылки данных. Однако MPLS по-прежнему широко используется в
новых приложениях, таких как VPN (virtual private network) и TE (traffic
engineering), поскольку она поддерживает многоуровневые метки и
разделение пересылки и управления (forwarding-control separation).
 Из-за дефектов традиционной VPN многие требования заказчика не могут
быть выполнены во время развертывания сети. MPLS VPN интегрирует две
традиционные модели VPN, способствующие развитию VPN.

Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
 По окончании данного курса Вы узнаете:
 Традиционные модели VPN
 Основные принципы работы MPLS VPN
 Базовую конфигурацию MPLS VPN

Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Принципы работы MPLS VPN
 Предпосылка и модели VPN
 Преимущества MPLS VPN
 Принципы работы MPLS VPN

2. Пример конфигурации MPLS VPN

Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Предпосылка (1)

Client1 Операторская Операторская Client1


сеть A сеть A

Client2 Client2
Сеть
оператор B

Поток VPN
 Выделенные линии имеют следующие характеристики:
 Частные линии, высокая безопасность и физическая изоляция между различными пользователями
 Дорогостоящие
 Недостаточное использование, что приводит к излишним затратам полосы пропускания

Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Предпосылка (2)

Операторская сеть
Client1 Client1

Client2 Client2

Туннель

 Новые технологии разделения полосы пропускания включают ретрансляцию кадров (FR) и X.25. Эти
технологии поддерживают логическую изоляцию, чтобы установить специальный туннель по всей
общественной сети для связи между двумя сайтами.

Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Корпоративные пользователи могут
получить доступ к операторской сети
RTA RTF

Операторская сеть
Штаб-квартира Client1 Филиал Client1

RTE
RTC RTD RTE
RTB RTG

Штаб-квартира Client2 Филиал Client2

 Сетевые устройства предприятий:


 RTA, RTB, RTF и RTG являются устройством CE (Customer Edge).
 Сетевые устройства оператора:
 RTC и RTE напрямую подключаются к клиентским устройствам, они являются устройством PE (Provider Edge).
 RTD является магистральным устройством на операторской сети и называется устройством P (Provider).

Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Модель VPN - Overlay VPN
CE1 CE3

Операторская сеть
VPN1 VPN1

RTE
PE1 P PE2
CE2 CE4

VPN2 VPN2

Туннель

Поток данных
 Overlay VPN имеет следующие характеристики:
 Протоколы маршрутизации позволяют клиентским устройствам обмениваться информацией маршрутизации, но оператор не знает архитектуру сети
клиентов.
 Типовые протоколы:
 Второй уровень: Ретрансляция кадров
 Третье уровень: GRE и IPSec
 Прикладной уровень: SSL VPN

Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
VPN модель - Peer-to-Peer VPN (1)
CE1 CE3

VPN1 VPN1
RTE
PE1 P PE2
CE2 CE4
Операторская сеть

VPN2 VPN2

Поток данных

 Peer-to-Peer VPN имеет следующие характеристики:


 Устройства CE и PE обмениваются информацией о маршруте VPN, а устройства PE передают информацию о
маршруте VPN по сети оператора, реализуя динамическое развертывание VPN и объявление маршрутов.
 В отличие от статической Overlay VPN, Peer-to-Peer VPN может быть развернута в больших масштабах.

Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
VPN модель - Peer-to-Peer VPN (2)
PE1 PE3
CE1 CE
3

VPN1 VPN1
RTE

CE2 P CE4

PE2 Операторская сеть PE4


VPN2 VPN2

Поток данных

 Специальные устройства PE для Peer-to-Peer VPN имеют следующие характеристики:


 Оператор развертывает независимое устройство PE для каждого пользователя VPN. Устройства PE
и CE для одной VPN могут выполнять любой протокол маршрутизации, не зависимо от другой VPN.

Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Принципы работы MPLS VPN
 Предпосылка и модели VPN
 Преимущества MPLS VPN
 Принципы работы MPLS VPN

2. Пример конфигурации MPLS VPN

Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Причины генерирования MPLS VPN

CE1 Какой пользователь VPN CE


выполняет маршрут 172.16.1.1/32? 3

VPN1 VPN1
172.16.1.1/32
RTE
PE1 P PE2
CE2 CE4
Операторская сеть

VPN2 VPN2
172.16.1.1/32

 Два пользователя VPN имеют одинаковое адресное пространство. Устройства традиционной


сети VPN не могут идентифицировать маршрутную информацию двух пользователей.

Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Перекрытие адресного пространства

CE1 1. Как устройство PE отличает


один и тот же маршрут от разных
CE3
пользователей VPN?

VPN1 VPN1
172.16.1.1/32
RTE

CE2 PE1 P PE2 CE4


Операторская
3. Как устройство PE
может правильно сеть 2. Как устройства
перенаправить приемника PE может
VPN2 полученные пакеты правильно импортировать VPN2
данных IP на целевой маршруты VPN при
172.16.1.1/32 передаче конфликтующих Данные
VPN-пользователь? маршрутов в
общественной сети? Маршрутизатор

 Для решения проблемы перекрытия адресного пространства необходимо решить


вышеуказанные проблемы.

Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение конфликта локального маршрута (1)
PE1 Таблица маршрутизации PE3
CE1 VPN1 CE3

VPN1 VPN1

Таблица глобальной
маршрутизации
CE2 Таблица маршрутизации CE4
PE2 VPN2 PE4
VPN2 VPN2
Выделенный режим PE

 Устройства на магистральной сети имеют свои собственные обязанности. Каждое устройство


PE сохраняет только свои собственные VPN-маршруты. Устройство P сохраняет только
общественные сетевые маршруты. Таким образом, проблема перекрытия адресного
пространства может быть решена следующим образом:
 Использовать одно устройство PE для обеспечения функций устройств PE и P, и реализовать
изоляцию VPN-маршрут.

Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение конфликта локального маршрута (2)

CE1 Технология VRF CE3


PE1 P PE2

VPN1 VPN1

VPN1 Routing Table Global


CE2 Routing CE
VPN2 VPN2 Routing Table Table VPN2 4

 VRF можно активировать на общем устройстве PE, чтобы изолировать перекрывающиеся


маршруты. Устройство PE добавляет маршруты каждой VPN к соответствующей таблице
маршрутизации VPN (VPN Routing Table).
 Каждое совместное устройство PE поддерживает несколько таблиц маршрутизации VPN и
одну таблицу маршрутизации общественной сети.

Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Различать конфликтующие маршруты при
объявлении маршрутов
CE1 CE3

PE1 P PE2

VPN1: 172.16.1.1/32 VPN1

CE2 CE4
VPN2: 172.16.1.1/32 VPN2
VPN1 172.16.1.1/32 172.16.1.1/32 VPN1
172.16.1.1/32 RD=1:1 RD=1:1 172.16.1.1/32
VPN2 172.16.1.1/32 172.16.1.1/32 VPN2
172.16.1.1/32 RD=2:2 RD=2:2 172.16.1.1/32
VRF VPNv4 routing-table VPNv4 routing-table VRF

 Перед тем, как маршрут VPN будет объявлен в глобальную таблицу маршрутизации, на маршрут будет
привязан глобально уникальный идентификатор, позволяющий отличать конфликтующие частные
маршруты. Данный идентификатор называется идентификатором маршрута (RD).

Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Импорт маршрута VPN в сценарии Hub-
Spoke
RDS может различать конфликтующие
маршруты. Как можно импортировать
CE1 конфликтующие маршруты из различных
IEC 11 филиалов в VRF штаб-квартиры?

PE1 P PE2 CE3


Филиал 1
172.16.1.1/32

CE2 Штаб-квартира
Магистральная сеть оператора
IEC 22 IEC 11
172.16.1.1/32
RD=1:1
VPN штаб-квартиры
Филиал 2 172.16.1.1/32
172.16.2.1/32
172.16.2.1/32 RD=2:2

VPNv4 routing-table VRF

 RDS не может правильно импортировать маршруты в VPN.


 Чтобы импортировать маршруты в правильную VPN, тег (tag) должен быть назначен вручную. Перед
отправкой пакета локальное устройство PE добавляет к пакету указанный тег. После того, как удаленное
PE устройство получает пакет, он импортирует маршрут в нужную VPN на основе тега.

Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение импорта маршрутов VPN в
сценарии Hub-Spoke
CE1 IEC 11 IEC 33
Export=1:1 Import=1:1, 2:2
Import=3:3 Export=3:3
PE1 P PE2
Филиал 1 CE3
172.16.1.1/32

CE2 Штаб-квартира
IEC 22 Магистральная сеть оператора
Export=2:2
Import=3:3 172.16.1.1/32
VPN
RD=1:1; Export=1:1
Филиал 2 штаб-квартиры
172.16.2.1/32 172.16.2.1/32 172.16.1.1/32
RD=2:2; Export=2:2 172.16.2.1/32

VPNv4 routing-table VRF

 RT (route target) используется для правильного импорта маршрутов в VPN. Существуют два
типа атрибутов VPN Target: Import Target и Export Target, используемые для импорта и
экспорта маршрутов VPN соответственно.

Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Оптимизация импорта маршрутов в
сценарии Hub-Spoke
CE1 Export=12:3
Import = 3:12 (Загрузка) Import=12:3
Export = 3:12
PE1 P PE2
CE3
Филиал 1: 172.16.1.1/32

Филиал 2: 172.16.2.1/32

CE2
Export=12:3 Магистральная Штаб-квартира
Import = 3:12 сеть оператора

VPN1 172.16.1.1/32 VPN


172.16.1.1/32
172.16.1.1/32 RD=1:1;Export=12:3 штаб-квартиры
RD=1:1;Export=12:3
VPN2 172.16.2.1/32 172.16.1.1/32
RD=2:2;Export=12:3 172.16.2.1/32 172.16.2.1/32
172.16.2.1/32 RD=2:2;Export=12:3
VRF VPNv4 routing-table VPNv4 routing-table VRF

 При использовании RBT для импорта маршрутов в VPN должны соблюдаться следующие условия:
 Локальный Export Target = Удаленный Import Target
 Локальный Import Target = Удаленный Export Target

Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение конфликтующих маршрутов при
переадресации данных
CE1 ping 172.16.1.1 CE3

VPN1 PE1 P PE2 VPN1


172.16.1.1/32

CE2 CE4

Я хочу получить доступ к 172.16.1.1.


VPN2 Что нужно искать? VPN2
172.16.1.1/32 VPN1 routing-table или VPN2 routing-table?

 Пакет не имеет какого-либо идентификатора. Поэтому, когда пакет данных


ICMP достигает PE1, PE1 не знает в какой таблице маршрутизации VPN
может найти правильный адрес назначения.

Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вложение метки MPLS
Метка 1026
распределяется по
CE1 маршрутам от VPN1. ping 172.16.1.1 CE3

PE1 P PE2
VPN1 VPN1
172.16.1.1/32

CE2 CE4

VPN1 VPN1
172.16.1.1/32 172.16.1.1/32; Label:1026
VPN2 VPN2
172.16.1.1/32 VPN2 VPN2
172.16.1.1/32 172.16.1.1/32; Label:1027 Данные
Маршрутизатор
VRF VPNv4 routing-table

Link Lager header Outer MPLS Label Inner MPLS Label Layer 3 header Layer 3 payload

Label Stack

 Вложение меток может решить проблему конфликтующих маршрутов при переадресации данных.

Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Принципы работы MPLS VPN
 Предпосылка и модели VPN
 Преимущества MPLS VPN
 Принципы работы MPLS VPN

2. Пример конфигурации MPLS VPN

Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Рабочий процесс MPLS VPN

CE1 CE3

VPN1 VPN1

CE2 PE1 P PE2 CE4


Магистральная сеть оператора

VPN2 VPN2
Маршрутизатор
Данные

 Рабочий процесс MPLS VPN разделен на два шага:


 Объявление маршрута MPLS VPN
 Переадресация данных MPLS VPN

Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обмен информацией о маршруте между
устройствами CE и PE
CE1 AS 500 CE3

OSPF Area 0
10.1.34.0/24 10.1.56.0/24
VPN1 VPN1
AS 100 AS 300

PE1 P PE2
CE2 CE4
Магистральная сеть оператора

VPN2 VPN2
AS 200 AS 400

 Устройства PE и CE могут обмениваться информацией о маршруте через статические


маршруты или протоколы динамической маршрутизации, такие как протокол RIP (Routing
Information Protocol), OSPF (Open Shortest Path First), IS-IS (Intermediate System to Intermediate
System) и BGP (Border Gateway Protocol).

Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
VPN Route Injection в MP-BGP
CE1 AS 500 CE3
3.3.3.3 5.5.5.5
PE1 P PE2
VPN1 VPN1
172.16.1.1/32

CE2 CE4
OSPF Area 0

VPN1 172.16.1.1/32, RD=1:1;


VPN2 172.16.1.1/32 RT=1:1(Export); Label=1026; VPN2
172.16.1.1/32
VPN2 172.16.1.1/32, RD=2:2;
172.16.1.1/32 RT=2:2(Export); Label=1027;
IPV4 VPNv4 routing-table

 Маршрутизатор добавляет RD к маршруту IPv4 VRF, чтобы изменить его на


маршрут VPN-IPv4. Маршрут VPN-IPv4, содержащий информацию RT и метки,
добавляется в таблицу маршрутизации MP-BGP. Протокол MP-BGP используется
для обмена информацией о маршруте между устройствами PE.

Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Распределение меток общественных сетей
CE1 AS 500 CE3
OSPF Area 0
3.3.3.3 4.4.4.4 5.5.5.5
VPN1 LDP LDP VPN1

PE1 P PE2
CE2 CE4
FEC=PE1 FEC=PE1 FEC=PE1
In/Out Label In/Out Label In/Out Label
VPN2 3/NULL 10303 NULL/1030 VPN2

 Протокол MPLS работает в сети оператора для распределения меток общественных сетей и
установления туннелей для реализации переадресации данных VPN по сети.
 Устройства PE запускают протокол MP-BGP для распределения меток частной сети на
маршрутах VPN. Устройства PE правильно перенаправляют данные в соответствующие VPN
на базе меток частной сети.

Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
MP-BGP Route Injection в VPN
CE1 IEC 500 CE3
OSPF Area 0
3.3.3.3 5.5.5.5
VPN1 VPN1

CE2 PE1 P PE2 CE4

172.16.1.1/32,RD=1:1; VPN1
RT=1:1(Export);Label=1026; 172.16.1.1/32
VPN2 VPN2
172.16.1.1/32,RD=2:2; VPN2
RT=2:2(Export);Label=1027; 172.16.1.1/32
VPNv4 routing-table VRF
 PE2 получает маршрут VPNv4 от PE1.
 PE2 проверяет атрибуты расширенного сообщества в маршруте.
 PE2 сравнивает значение Export Target атрибутов расширенного сообщества с значением Import Target
локальной VPN.
 Если два значения одинаковы, PE2 импортирует маршрут VPNv4 в таблицу маршрутизации VPN.

Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Переадресация данных с устройства CE на
устройство PE
CE1 AS 500 CE3
OSPF Area 0
1030 1027 172.16.1.1

VPN1:172.16.1.1/32 VPN1

CE2 PE1 P PE2 CE4

VPN2:172.1.1.1/32
LFI Label=1027
VPN2:172.16.1.1/32 B NH=PE1 VPN2
FEC=PE1
VRF2 routing-table Out Label:1030
IF:G0/0/0

 CE4 передает пакет данных в PE2. PE2 ищет таблицу маршрутизации VPN2, чтобы
определить, что пакет должен быть переадресован на основе меток. PE2 затем ищет
следующий переход (next hop) и исходящий интерфейс, и инкапсулирует пакет с помощью
MPLS на основе распределенной метки.

Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Переадресация данных на устройствах
общественной сети
IEC 500
CE1 CE3
FEC=PE1 FEC=PE1 FEC=PE1
In/Out Label In/Out Label In/Out Label
3/NULL 1030/3 NULL/1030

VPN1:172.16.1.1/32 VPN1

CE2 PE1 P PE2 CE4


1027 172.16.1.1 1030 1027 172.16.1.1

VPN2:172.16.1.1/32 VPN2

 PE2 передает пакет данных по MPLS туннелю, установленному через


общественную сеть, в PE1. В этом процессе переадресации изменяется
только метка общественной сети.

Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Переадресация данных с устройства PE на
устройство CE
CE1 AS 500 CE3

1027 172.16.1.1

VPN1:172.16.1.1/32 VPN1

CE2 PE1 P PE2 CE4

VPN1 Label=1026;
VPN2:172.16.1.1/32 172.16.1.1/32 Next-hop=CE1; VPN2
VPN2 Label=1027;
172.16.1.1/32 Next-hop=CE2;

 После получения пакета, содержащего только метку частной сети, PE1 ищет
следующий переход, основанный на метке частной сети, и передает пакет
соответствующему пользователю VPN.

Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Принципы работы MPLS VPN

2. Пример конфигурации MPLS VPN

Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример конфигурации MPLS VPN
AS100

CE1
AS 500
AS300
OSPF Area 0
10.1.34.0/24 10.1.45.0/24 10.1.56.0/24 CE3
172.16.1.1/32
VPN 1 (филиал 1)
G1/0/0 G0/0/0 G0/0/1 G0/0/0 G0/0/1 G0/0/0
AS200
PE1 P PE2
CE2 172.16.3.1/32
Магистральная сеть оператора VPN3 (штаб-квартира)

172.16.2.1/32
VPN 2 (филиал 2)

 Как филиал 1, так и филиал 2 могут взаимодействовать со штаб-квартирой, но филиалы 1 и 2


не могут взаимодействовать друг с другом. Правильно сконфигурируйте устройства на
основе информации на рисунке, чтобы позволить пользователям штаб-квартиры получить
доступ к пользователям филиалов.

Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование устройств
пользовательской стороны
bgp 100
peer 10.1.13.3 as-number 500
ipv4-family unicast
network 172.16.1.1 255.255.255.255
peer 10.1.13.3 enable
AS100

CE1
AS 500
OSPF Area 0 AS300
172.16.1.1/32 10.1.34.0/24 10.1.45.0/24 10.1.56.0/24 CE3
VPN 1 (филиал 1)
G1/0/0 G0/0/0 G0/0/1 G0/0/0 G0/0/1 G0/0/0
AS200
PE1 P PE2
CE2 172.16.3.1/32
Магистральная сеть оператора VPN3 (штаб-квартира)

172.16.2.1/32 bgp 200 bgp 300


VPN 2 (филиал 2) peer 10.1.23.3 as-number 500 peer 10.1.56.5 as-number 500
ipv4-family unicast ipv4-family unicast
network 172.16.2.1 255.255.255.255 network 172.16.3.1 255.255.255.255
peer 10.1.23.3 enable peer 10.1.56.5 enable

Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование IGP на магистральной
сети
AS100

CE1
AS 500
OSPF Area 0 AS300
PE1 P PE2
172.16.1.1/32 10.1.34.0/24 10.1.45.0/24 10.1.56.0/24 CE3
VPN 1 (филиал 1)
G1/0/0 G0/0/0 G0/0/1 G0/0/0 G0/0/1 G0/0/0
AS200
CE2 172.16.3.1/32
VPN3 (штаб-квартира)

172.16.2.1/32
VPN 2 (филиал 2)
router id 3.3.3.3 router id 4.4.4.4 router id 5.5.5.5
ospf 1 ospf 1 ospf 1
area 0.0.0.0 area 0.0.0.0 area 0.0.0.0
network 4.4.4.4 0.0.0.0 network 5.5.5.5 0.0.0.0
network 3.3.3.3 0.0.0.0
network 10.1.34.0 0.0.0.255 network 10.1.45.5 0.0.0.255
network 10.1.34.0 0.0.0.255 network 10.1.45.0 0.0.0.255

Стр. 34 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование экземпляров VPN
AS100
interface GigabitEthernet0/0/1
CE1 ip binding vpn-instance VPN3

OSPF Area 0 AS300


10.1.34.0/24 10.1.45.0/24 10.1.56.0/24 CE3
AS200 G1/0/0 G0/0/0 G0/0/1 G0/0/0 G0/0/1 G0/0/0

CE2
AS 500 172.16.3.1/32
VPN3 (штаб-квартира)
ip vpn-instance VPN3
ipv4-family
ip vpn-instance VPN1 route-distinguisher 3:3
ipv4-family vpn-target 3:12 export-extcommunity
route-distinguisher 1:1 vpn-target 12:3 import-extcommunity
vpn-target 12:3 export-extcommunity
vpn-target 3:12 import-extcommunity
interface GigabitEthernet0/0/0
#
ip binding vpn-instance VPN1
ip vpn-instance VPN2
#
ipv4-family
interface GigabitEthernet0/0/1
route-distinguisher 2:2
ip binding vpn-instance VPN2
vpn-target 12:3 export-extcommunity
vpn-target 3:12 import-extcommunity

Стр. 35 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование MP-BGP
AS100
AS 500

CE1 PE1 P PE2


10.1.34.0/24 10.1.45.0/24 10.1.56.0/24
AS300
172.16.1.1/32
VPN 1 (филиал 1) G1/0/0 G0/0/0 G0/0/1 G0/0/0 G0/0/1 G0/0/0
CE3
AS200 OSPF Area 0 VPN3 (штаб-квартира)
172.16.3.1/32
CE2 bgp 500 bgp 500
VPN 2 (филиал 2) peer 5.5.5.5 as-number 500 peer 3.3.3.3 as-number 500
172.16.2.1/32 peer 5.5.5.5 connect-interface peer 3.3.3.3 connect-interface
LoopBack0 LoopBack0
# #
ipv4-family vpnv4 ipv4-family vpnv4
peer 5.5.5.5 enable policy vpn-target
# peer 3.3.3.3 enable
ipv4-family vpn-instance VPN1 #
peer 10.1.13.1 as-number 100 ipv4-family vpn-instance VPN3
# peer 10.1.56.6 as-number 300
ipv4-family vpn-instance VPN2
peer 10.1.23.2 as-number 200

Стр. 36 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование MPLS

CE1
AS 500
OSPF Area 0 AS300
AS100 10.1.34.0/24 10.1.45.0/24 10.1.56.0/24 CE3
VPN 1 (филиал 1)
VPN 2 (филиал 2) G1/0/0G0/0/0 G0/0/1 G0/0/0
G0/0/1G0/0/0
AS200

CE2 172.16.3.1/32
VPN3 (штаб-квартира)

mpls lsr-id 4.4.4.4


mpls
mpls lsr-id 3.3.3.3 mpls ldp mpls lsr-id 5.5.5.5
mpls # mpls
mpls ldp interface GigabitEthernet0/0/0 mpls ldp
# mpls #
interface GigabitEthernet1/0/0 mpls ldp interface GigabitEthernet0/0/0
mpls # mpls
mpls ldp interface GigabitEthernet0/0/1 mpls ldp
mpls
mpls ldp

Стр. 37 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какие из следующих вариантов являются технологиями модели overlay VPN?
А. IPSec VPN
Б. SSL VPN
В. Peer-to-Peer VPN
Г. GRE

2. Какие из следующих параметров используются для корректного импорта пакетов


MPLS VPN в соответствующую VPN?
А. RT
Б. RD
В. VRF
Г. MP-BGP

Стр. 38 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Принципы и конфигурации DHCP

Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.


Введение
 Для обеспечения сетевого подключения хосты в сети должны получить
несколько важных сетевых параметров, включая IP-адрес, маску сети,
адрес шлюза, адрес DNS-сервера и адрес сетевого принтера. Ручная
настройка этих параметров на каждом хосте затруднена или даже
невозможна.
 Для решения этой проблемы в 1993 году Инженерная рабочая группа
Интернета (IETF) выпустила протокол динамической настройки хостов
(DHCP). DHCP реализует автоматическую настройку параметров сети. Как
работает DHCP? Как DHCP справляется с увеличением размера сети? Как
DHCP защищает от сетевых атак?

Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
 По окончании данного курса Вы будете:
 Понимать принципы и конфигурации DHCP
 Понимать принципы и конфигурации ретрансляций DHCP
 Хорошо ориентироваться в угрозах безопасности для DHCP и соответствующих
механизмах защиты

Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Происхождение DHCP

2. Принципы и конфигурации DHCP

3. Происхождение ретрансляции DHCP

4. Принципы и конфигурации ретрансляции DHCP

5. Угрозы безопасности DHCP и соответствующие механизмы защиты

Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблемы при ручной настройке
параметров сети
 При традиционном конфигурировании сетевых параметров пользователи хоста
должны вручную настроить параметры, включая IP-адрес, маску сети, адрес шлюза
и адрес DNS-сервера.
 Это может вызывать следующие проблемы:
 Высокие требования к пользователям хостов
IP-адрес
 Неправильные конфигурации Шлюз?

 Низкая гибкость
 Недостаточное использование ресурса IP-адреса DNS?

 Большой объем работ

Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Предложение концепции DHCP
 Традиционно параметры сети настраиваются статически и вручную.
Поскольку число пользователей растет, а местоположения пользователей
больше не фиксированы, традиционный метод конфигурирования не
удовлетворяет требованиям. DHCP был введен, чтобы позволить
устройствам динамически и правильно распределять IP-адреса хостам.
 По сравнению со статическим конфигурированием в ручном режиме DHCP
обладает следующими преимуществами:
 Высокая эффективность
 Высокая гибкость
 Простое управление

Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Происхождение DHCP

2. Принципы и конфигурации DHCP

3. Происхождение ретрансляции DHCP

4. Принципы и конфигурации ретрансляции DHCP

5. Угрозы безопасности DHCP и соответствующие механизмы защиты

Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Базовый рабочий процесс DHCP (1)
Широковещательный
Клиент DHCP домен уровня 2 DHCP-сервер

Этап Обнаружения

Несколько серверов DHCP отвечают


Клиент DHCP рассылает сообщениями DHCP Offer, несущими
сообщение DHCP Discover, чтобы IP-адреса.
обнаружить DHCP-серверы и
запросить IP-адрес.

Этап
Когда несколько серверов DHCP Предложения
отправляют сообщения DHCP Offer с
предложениями клиенту DHCP, клиент DHCP-сервер проверяет, может ли он
DHCP принимает только первое выделить IP-адрес, указанный на этапе
полученное сообщение предложение
Этап
Предложения Если это так, он отвечает
DHCP Offer. Затем клиент DHCP Запроса сообщением DHCP ACK, указывающим,
рассылает сообщение DHCP Request,
что IP-адрес успешно выделен. Если
которое уведомляет все DHCP-серверы о
том, что он выбрал IP-адрес, нет, он отвечает сообщением DHCP
предложенный одним из DHCP-серверов. NAK, указывающим, что назначение IP-
адреса не выполнено.

Этап Подтверждения
Если клиент DHCP получает
сообщение DHCP ACK, он
использует выделенный IP-адрес.
Если клиент DHCP получает
сообщение DHCP NAK, он не может
получить IP-адрес и снова
переходит на этап Обнаружения.
Базовый процесс получения IP-адреса

Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Базовый рабочий процесс DHCP (2)

Широковещательный
Клиент DHCP DHCP-сервер
домен уровня 2

T1
Когда срок аренды достигает
50% (T1) клиент DHCP
направляет сообщение DHCP
Request DHCP-серверу для
запроса продления аренды.

T2
Сервер DHCP сбрасывает
Если от DHCP-сервера не получен таймер аренды IP-адреса и
ответ, когда срок аренды достигает отправляет сообщение DHCP
87,5% (T2), клиент DHCP рассылает ACK клиенту DHCP.
сообщение DHCP Request с
запросом на продление аренды.

Если клиент DHCP получает


сообщение DHCP ACK до истечения
срока аренды, то срок аренды IP-
адреса успешно продлевается. В
противном случае, аренда IP-адреса
не может быть обновлена, и клиент
DHCP больше не может
Процесс обновления аренды IP-адреса
использовать этот IP-адрес.

Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация DHCP

G0/0/0

SWA PCA
DHCP-
сервер

Конфигурирование DHCP-сервера для Конфигурирование DHCP-сервера для выделения


выделения IP-адресов клиентам DHCP из IP-адресов клиентам DHCP из пула адресов
глобального пула адресов. интерфейса.
dhcp enable dhcp enable
ip pool HW interface g0/0/0
gateway-list 192.168.1.1 ip address 192.168.1.1 24
network 192.168.1.0 mask dhcp select interface
255.255.255.0 dhcp server dns-list 192.168.1.2
excluded-ip-address 192.168.1.2 dhcp server excluded-ip-address 192.168.1.2
lease day 3 hour 0 minute 0 dhcp server lease day 2 hour 0 minute 0
dns-list 192.168.1.2
interface GigabitEthernet0/0/0
ip address 192.168.1.1 255.255.255.0
dhcp select global

Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Происхождение DHCP

2. Принципы и конфигурации DHCP

3. Происхождение ретрансляции DHCP

4. Принципы и конфигурации ретрансляции DHCP

5. Угрозы безопасности DHCP и соответствующие механизмы защиты

Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Зачем нужна ретрансляция DHCP?
 По мере расширения сети пользователи сети могут оказаться в разных сегментах сети.

DHCP-сервер
RTA

Клиент A SWA

Сообщение DHCP-сервер не получает


Сообщение DHCP Discover с адресом назначения
DHCP Discover
255.255.255.255 может быть передано только в сообщение DHCP Discover
пределах широковещательного домена уровня 2, и не может выделить IP-
Клиент B SWB поэтому оно отбрасывается. адрес для Клиента B.

Способ 1: Настройте DHCP-сервер в каждом Способ 2: Включите функцию ретрансляции DHCP


сегменте сети. на VLANIF 100.
DHCP-сервер
RTA DHCP-сервер

SWA Клиент A SWA


Клиент A RTA
Агент ретрансляции
DHCP
Клиент B SWB
Клиент B SWB DHCP-сервер
Этот метод экономит средства и облегчает управление, поскольку он
Этот метод не рекомендуется, потому что он не экономен. позволяет серверу DHCP предоставлять услуги клиентам DHCP в
нескольких широковещательных доменах уровня 2.

Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Происхождение DHCP

2. Принципы и конфигурации DHCP

3. Происхождение ретрансляции DHCP

4. Принципы и конфигурации ретрансляции DHCP

5. Угрозы безопасности DHCP и соответствующие механизмы защиты

Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Основной рабочий процесс ретрансляции
DHCP
Агент ретрансляции
Клиент DHCP DHCP DHCP-сервер

Широковещательный Широковещательный Широковещательный


домен уровня 2 домен уровня 2 домен уровня 2

Сообщение DHCP Discover (рассылка)


Сообщение DHCP Discover (одноадресная передача)
Агент ретрансляции DHCP
перенаправляет сообщение DHCP
Discover, полученное от клиента
DHCP, DHCP-серверу.

Сообщение DHCP Offer Сообщение DHCP Offer (одноадресная передача)


(одноадресная передача)

Агент ретрансляции DHCP пересылает


сообщение DHCP Offer, полученное с
DHCP-сервера, клиенту DHCP
Сообщение DHCP Request (рассылка)
Сообщение DHCP Request (одноадресная передача)
Агент ретрансляции DHCP
пересылает сообщение DHCP Агент ретрансляции DHCP перенаправляет
Request, полученное от клиента сообщение DHCP ACK или NAK, полученное с
DHCP, на DHCP-сервер. DHCP-сервера, клиенту DHCP.

Сообщение DHCP ACK / NAK Сообщение DHCP ACK / NAK (одноадресная передача)
(одноадресная передача)

Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование ретрансляции DHCP

G0/0/0
G0/0/0 G0/0/1
Агент
DHCP-сервер SWA PCA
ретрансляции
DHCP

Настройка DHCP-сервера. Настройка агента ретрансляции


(В данном примере сервер DHCP выделяет IP-адреса DHCP на шлюзе.
клиентам DHCP из глобального пула адресов). dhcp server group DHCP
dhcp enable dhcp-server 10.1.1.1
ip pool DHCP-relay dhcp enable
gateway-list 192.168.1.1 interface g0/0/1
network 192.168.1.0 mask 24 ip address 192.168.1.1 24
dns-list 10.1.1.1 dhcp select relay
interface g0/0/0 dhcp relay server-select DHCP
ip address 10.1.1.1 24 interface g0/0/0
dhcp select global ip address 10.1.1.2 24
ip route-static 192.168.1.0 24 10.1.1.2

Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Происхождение DHCP

2. Принципы и конфигурации DHCP

3. Происхождение ретрансляции DHCP

4. Принципы и конфигурации ретрансляции DHCP

5. Угрозы безопасности DHCP и соответствующие механизмы защиты

Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Угрозы безопасности DHCP
 Сетевые атаки являются распространенным явлением, и атаки DHCP не исключение.
Например, большое количество пользователей предприятия может внезапно потерять
доступ к Интернету. По результатам проверки терминалы этих пользователей не получают
IP-адреса, тогда как все IP-адреса пула адресов DHCP-сервера были выделены. Это может
свидетельствовать о произошедшей атаке DHCP Starvation.
 При разработке DHCP факторы безопасности не были полностью учтены, существует
множество уязвимостей, делающих DHCP уязвимым для атак. Атаки DHCP на реальные сети
можно подразделить на:
 Атаки DHCP Starvation
 Атаки с поддельного DHCP-сервера
 Атаки посредника на DHCP

Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Атаки DHCP Starvation
 Принцип атаки: Злоумышленники непрерывно запрашивают большое количество IP-адресов у DHCP-
сервера, пока все IP-адреса пула адресов DHCP-сервера не будут исчерпаны. В результате сервер
DHCP не может назначить IP-адреса авторизованным пользователям.
 Анализ уязвимостей: Когда сервер DHCP выделяет IP-адреса пользователям, он не может отличить
авторизованных пользователей от неавторизованных.
Атакующий изменяет значение поля CHADDR,
передаваемого в сообщениях DHCP, чтобы непрерывно
запрашивать большое количество IP-адресов.

DHCP Discover, CHADDR=A, IP ADD=0.0.0.0


DHCP-сервер выделяет IP-адреса на
DHCP Discover, CHADDR=B, IP ADD=0.0.0.0 основе содержимого поля CHADDR. В
DHCP Discover, CHADDR=C, IP ADD=0.0.0.0 результате все IP-адреса пула адресов
оказываются израсходованы.

ПК злоумышленника
DHCP Offer, CHADDR=A, IP ADD=1.1.1.1

DHCP Offer, CHADDR=B, IP ADD=1.1.1.2

DHCP Offer, CHADDR=C, IP ADD=1.1.1.3

DHCP NAK, CHADDR=PC, IP ADD=0.0.0.0

Готовых к выделению IP-адресов


в пуле адресов не осталось.
DHCP Discover, CHADDR=PC, IP ADD=0.0.0.0
Коммутатор
DHCP-сервер
Авторизованный хост запрашивает
ПК IP-адрес у DHCP-сервера.

Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Атака с поддельного DHCP-сервера
 Принцип атаки: Поддельный DHCP-сервер предоставляет клиентам неверные параметры,
такие как IP-адреса и адреса шлюза, поэтому клиенты не могут получить доступ к сети.
 Анализ уязвимостей: Когда клиент DHCP получает сообщения DHCP от DHCP-сервера, он не
может различить, отправляются ли эти сообщения поддельным или авторизованным DHCP-
сервером.
Поддельный DHCP-сервер
предоставляет клиентам неверные Поддельный
параметры, такие как IP-адреса и DHCP-сервер
адреса шлюза
DHCP Offer,
Server IP ADD=192.168.0.1,
Your IP ADD=192.168.0.3

DHCP Ack,
Server IP ADD =192.168.0.1,

ПК Коммутатор Your IP ADD=192.168.0.3

DHCP Discover, DHCP


DHCP Discover,
Discover,
Server IP ADD=0.0.0.0, Server
Server IP
IP ADD=0.0.0.0,
ADD=0.0.0.0,
Client IP ADD=0.0.0.0 Client
Client IP ADD=0.0.0.0
IP ADD=0.0.0.0

DHCP Request, DHCP Request,


DHCP Request,
DHCP-сервер
Server IP ADD=192.168.0.1, DHCP Offer,
Server IP
Server IP ADD=192.168.0.1,
ADD=192.168.0.1,
Client IP ADD=192.168.0.3 Server IP ADD=192.168.0.2,
Client IP
Client IP ADD=192.168.0.3
ADD=192.168.0.3
Your IP ADD=192.168.0.4

Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Атаки посредника на DHCP
 Принцип атаки: При помощи механизма ARP злоумышленник заставляет ПК А и DHCP-сервер предполагать о
сопоставлении IP-S с MAC-B и IP-A с MAC-B соответственно. В этом случае IP-пакеты, которыми обмениваются ПК A и
DHCP-сервер, транслируются злоумышленником.
 Анализ уязвимостей: По сути, атака посредника на DHCP представляет собой вид спуфинг-атак по IP или MAC-адресу.
Злоумышленник использует сопоставление между неправильными IP-адресами и MAC-адресами, подделывая DHCP-
сервер и клиентов.
Злоумышленник ПК Б
(посредник)
Направление, в котором ПК А отправляет (MAC-B, IP-B) Направление, в котором DHCP-сервер
IP-пакеты для DHCP-сервера отправляет IP-пакеты для ПК A

При помощи механизма ARP злоумышленник При помощи механизма ARP злоумышленник
заставляет ПК А предполагать соответствие заставляет DHCP-сервер предполагать
между IP-S и MAC-B. соответствие между IP-A и MAC-B.

ПК А DHCP-сервер
(MAC-A, IP-A) (MAC-S, IP-S)

Коммутатор

Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
История DHCP Snooping
 DHCP Snooping введен для повышения безопасности сети и предотвращения атак DHCP.
DHCP Snooping не является стандартной технологией и не имеет унифицированных
стандартов и правил. Различные производители сетевых устройств реализуют DHCP
Snooping по-разному.
 DHCP Snooping развертывается на коммутаторах и эквивалентен межсетевому экрану между
клиентами DHCP и DHCP-сервером.

Поддельный
Развертывание DHCP snooping DHCP-сервер
ПК
злоумышленника

ПК Коммутатор DHCP-сервер

Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Предотвращение атак DHCP Starvation с
помощью DHCP Snooping
Злоумышленник постоянно
запрашивает IP-адреса.

DHCP Request, CHADDR=B, MAC=A

DHCP Request, CHADDR=C, MAC=A


Коммутатор сравнивает исходный MAC-адрес и
значение поля CHADDR в сообщении запроса DHCP
ПК DHCP Request, CHADDR=D, MAC=A и отклоняет сообщение, если два значения
различаются.
злоумышленника
MAC=A

DHCP Request, CHADDR=B, MAC=B

ПК Коммутатор DHCP-сервер
MAC=B
Коммутатор сравнивает исходный MAC-адрес и
значение поля CHADDR в сообщении запроса
DHCP и пересылает сообщение, если два
значения совпадают.

Проверка поля CHADDR включена.

Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Предотвращение атак с поддельного
DHCP-сервера с помощью DHCP Snooping
DHCP-сервер

Сообщения
DHCP Response

Коммутатор пересылает сообщения


DHCP Response, полученные из
доверенного интерфейса.

Сообщения
DHCP Response

ПК Коммутатор Поддельный
DHCP-сервер
Коммутатор отклоняет
сообщения DHCP Response, Доверенный интерфейс
полученные из ненадежного Ненадежный интерфейс
интерфейса.

Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Предотвращение атак посредника на DHCP
с помощью DHCP Snooping
Злоумышленник ПК Б
(посредник) Злоумышленник отправляет сообщение ARP Request
(с IP-A в качестве исходного IP-адреса и MAC-B в
(MAC-B, IP-B) качестве исходного MAC-адреса), чтобы DHCP-сервер
Коммутатор проверяет IP-адреса и MAC-адреса источника в предполагал соответствие между IP-A и MAC-B.
сообщении ARP Request. Если сопоставление между исходными
IP-адресами и MAC-адресами не соответствует записи в таблице
привязки DHCP Snooping, то коммутатор отклоняет сообщение

×
ARP Request.

DHCP-сервер
ПК А (MAC-S, IP-S)
(MAC-A, IP-A)
Коммутатор
Таблица привязки DHCP Snooping
MAC IP Период аренды VLAN-ID ...
MAC-A IP-A ... ... ...
MAC-B IP-B ... ... ...
... ... ... ... ...

Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сопряжение DHCP Snooping с IPSG
Злоумышленник ПК Б
(MAC-B, IP-B)
Злоумышленник использует IP-адрес
Основываясь на таблице ПК А для отправки пакета атаки.
привязки DHCP Snooping,
коммутатор проверяет

×
корректность пакета.

ПК А DHCP-сервер
(MAC-A, IP-A) (MAC-S, IP-S)

Коммутатор

Таблица привязки DHCP Snooping


MAC IP Период аренды VLAN-ID Номер порта
MAC-A IP-A ... ... ...

MAC-B IP-B ... ... ...

... ... ... ... ...

Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какое из следующих сообщений клиент DHCP отправляет DHCP-серверу для
запроса продления аренды?
А. DHCP Discover

Б. DHCP Offer

В. DHCP Request

Г. DHCP ACK

2. Какие виды распространенных DHCP-атак Вы знаете?

Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Принципы и конфигурации
зеркалирования
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение
 Во время техобслуживания сети потребуется получить и проанализировать
пакеты в некоторых условиях. Например, если вы обнаружите
подозрительные пакеты атак, необходимо получить и проанализировать
пакеты, не затрагивая переадресацию пакетов.
 Технология зеркалирования дублирует пакеты зеркального порта на порт
наблюдения, не затрагивая обработку пакетов на устройствах.
Администраторы могут анализировать скопированные пакеты с помощью
устройства мониторинга данных для сетевого мониторинга и устранения
неполадок.

Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
 По окончании данного курса Вы узнаете:
 Принципы зеркалирования
 Конфигурирование функции зеркалирования

Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Предпосылка зеркалирования

2. Содержание зеркалирования

3. Конфигурация зеркалирования

Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сбор данных

Мониторинг услуг в
режиме реального
времени

Анализ и обнаружение
Цели сбора данных
неисправностей

Оптимизация сетевого
трафика

Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Метод сбора данных
 Физический сбор через разветвитель

Устройство Разветви Я хочу собрать полный


сбора данных поток данных в
тель
реальном времени без
ущерба для услуг.
Коллектор

 Централизованный сбор через NMS

SNMP

Сеть
NMS

Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Предпосылка зеркалирования

2. Содержание зеркалирования

3. Конфигурация зеркалирования

Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обзор зеркалирования
 Определение
 Функция зеркалирования дублирует пакеты указанного порта
(порта источника или зеркального порта) в другой указанный порт (порт
назначения или порт наблюдения).
 Функция
 Получение полных пакетов для анализа сети.
 Преимущества
 Сбор данных является удобным и не влияет на существующую сеть.
 Осуществляется сбор данных в реальном времени, обеспечивая надежную
передачу данных.

Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Роли зеркалирования

Зеркальный порт

Зеркальный порт Порт наблюдения

Общий порт

Зеркальный порт Устройство


Порт наблюдения мониторинга
Поток пакетов
Скопированный поток пакетов

Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Предпосылка зеркалирования

2. Содержание зеркалирования

3. Конфигурация зеркалирования

Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования к конфигурации
зеркалирования локального порта

Офисный SW1
Eth2/0/1
участок 1
Eth2/0/3

Router Устройство
Eth2/0/2
мониторинга

Офисный SW2
участок 2
 На предприятии пользователи в офисных участках 1 и 2 подключаются к Router через Eth2/0/1 и Eth2/0/2
соответственно. Устройство мониторинга подключено к Eth2/0/3 Router для анализа и мониторинга
данных. Для обеспечения информационной безопасности предприятие хочет контролировать все
пакеты, отправленные из офисных участков 1 и 2 через устройство мониторинга.

Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация зеркалирования
локального порта

SW1
Офисный
участок 1 Eth2/0/1
Eth2/0/3
Eth2/0/2
Router Устройство
мониторинга

Офисный SW2 #
участок 2 observe-port interface Ethernet2/0/3
#
interface Ethernet2/0/1
mirror to observe-port inbound
#
interface Ethernet2/0/2
mirror to observe-port inbound

Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования к конфигурации
зеркалирования трафика
RTA

Eth2/0/0 IP-сеть
HostA Eth2/0/1

Устройство
мониторинга
HostB

Маркетинговый
отдел
HostC

 На предприятии пользователи маркетингового отдела подключаются к RTA через Eth2/0/0. Устройство


мониторинга подключено к Eth2/0/1 RTA для анализа и мониторинга данных. Предприятие хочет
контролировать все пакеты, отправленные с хоста на 192.168.1.10 в маркетинговом отделе.

Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Реализация конфигурации
зеркалирования трафика
RTA

Eth2/0/0 IP-сеть
HostA Eth2/0/1

Устройство #
мониторинга observe-port interface Ethernet2/0/1
HostB #
acl number 2000
rule 5 permit source 192.168.1.10 0
#
Маркетинговый traffic classifier c1 operator or
отдел if-match acl 2000
#
HostC traffic behavior b1
mirror to observe-port
#
Зеркальный порт traffic policy p1
classifier c1 behavior b1
Локальный порт наблюдения #
interface Ethernet2/0/0
Поток пакетов traffic-policy p1 inbound
Скопированный поток пакетов

Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Каковы роли в зеркалировании?

2. Каковы различия между зеркалированием трафика и зеркалированием портов?

Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Обзор eSight

Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.


Введение
 По мере быстрого развития сетевых технологий количество устройств в сети
предприятия увеличивается экспоненциально, количество типов сетей также
растет, что делает управление сетью предприятия сложной задачей.
 Для решения этих проблем компания Huawei выпустила eSight – систему нового
поколения для эксплуатации и технического обслуживания (O&M) сетей
предприятий, позволяющую внедрить унифицированное управление различными
типами сетевых устройств от разных производителей, быстро развертывать и
обслуживать сети и службы, значительно повышая эффективность управления
сетью. Каковы преимущества eSight по сравнению с другими программами
управления сетью? Каковы режимы установки и развертывания eSight?

Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
 По окончании данного курса Вы:
 Будете понимать происхождение eSight
 Освоите процедуры установки и удаления eSight
 Освоите процесс запроса лицензий eSight

Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Введение в eSight

2. Установка и удаление eSight

3. Режимы развертывания eSight

Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования к управлению корпоративной
сетью: растущее число устройств
Экспоненциальное увеличение
количества устройств

Рост (%)

Ресурсы обслуживания сети


(Людские ресурсы и затраты)

Время
 С увеличением количества устройств управление сетью становится все более сложным. Требуется
больше обслуживающего персонала, а расходы на техобслуживание растут. Предприятиям срочно
нужна платформа управления сетью, позволяющая обслуживающему персоналу с легкостью управлять
большим количеством устройств.

Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования к управлению корпоративной сетью:
унифицированное управление устройствами разных
производителей
Зона головного узла Зона головного узла Зона доступа к
внешней сети Интернет магистрали WAN

Зона
офисов
Зона обслуживания
управления сетью

Зона обслуживания Зона служб Зона Зона сетевых


приложений обработки и веб-сервисов услуг
передачи данных

 После развертывания сетевых устройств конкретного поставщика в сети необходимо установить систему управления сетью
(NMS) этого поставщика для управления устройствами, так как NMS от определенного поставщика может управлять только
устройствами этого поставщика. Кроме того, интерфейсы операций и поля NMS отличаются друг от друга. Для обеспечения
эффективного управления устройствами всей сети требуется стандартный универсальный протокол управления сетью.

Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение Huawei eSight для эксплуатации и
обслуживания предприятия
 eSight – это система эксплуатации и обслуживания следующего поколения, разработанная для кампусных сетей и
филиалов предприятий. Она реализует унифицированное управление ресурсами предприятия, услугами и
пользователями. eSight обладает следующими характеристиками:
 Упрощенная система, установка на основе мастера настройки, без клиентского приложения, управление сетями в
любое время из любого места через браузер.
 Индивидуальные решения для заказчиков.
 Унифицированное управление устройствами нескольких производителей, стандартный протокол управления сетью
SNMP, получивший широкое признание.

Издание Масштаб управления Сценарий применения


Компактное 60 узлов Для мониторинга мелкомасштабных сетей.
Предоставляет разнообразные функции управления
Стандартное (основное) 0 – 5 000 узлов сетевыми сервисами, удовлетворяющие основную
часть потребностей сетей в управлении.
Применяется для иерархического управления
Профессиональное 0 – 20 000 узлов
крупными сетями.

Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Простой протокол сетевого управления
 SNMP – это протокол уровня приложений, определяющий передачу
управляющей информации между NMS и агентом.

Управляемая
система
1

Выполнение MIB
операций 2
1

SNMP
Агент Информирование
1 2

NMS Управляемый 1 2
объект

5 6

Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс обмена пакетами SNMP
Управляемое
NMS устройство

Get-Request

Response

Get-Next Request

Response

Set-Request

Response

Trap

Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Настройка SNMP на маршрутизаторе

Начало

Настройка связи Настройка параметров


между устройством и NMS отправки пакетов Trap

Включение функции агента SNMP Настройка целевого хоста, принимающего


на устройстве (включено по умолчанию) аварийные сигналы и коды ошибок

Настройка версии SNMP Настройка контакта и местоположения


администратора устройства

Настройка имен групп


чтения-записи SNMP на устройстве Конец

Обязательное Опциональное

Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Базовая конфигурация SNMP на
маршрутизаторе

G0/0/0
IP сеть

Маршрутизатор
172.16.50.253

[Router] snmp-agent
[Router] snmp-agent sys-info version v2c
[Router] snmp-agent community read public mib-view iso-view
[Router] snmp-agent community write private mib-view iso-view
[Router] snmp-agent mib-view iso-view include iso
[Router] snmp-agent target-host trap-paramsname trapnms v2c securityname
adminnms
[Router] snmp-agent target-host trap-hostname nms address 172.16.50.253
trap-paramsname trapnms
[Router] snmp-agent trap enable
[Router] snmp-agent trap source GigabitEthernet0/0/0

Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Введение в eSight

2. Установка и удаление eSight


 Знакомство с установочным CD-ROM
 Процесс установки eSight
 Процесс удаления eSight

3. Режимы развертывания eSight

Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Знакомство с установочным CD-ROM
 Функции:
 Поддержка операционных систем Windows и SUSE Linux.
 Поддержка автоматической установки.
 Поддержка английского и китайского языков.
 Использует архитектуру B/S без установки клиента.
 Процесс установки не связан с лицензией. Лицензия должна импортироваться
пользователями после установки.
 Производительность:
 Установочный CD-ROM каждого издания не превышает 850 Мбайт.
 Установка может быть завершена в течение 10 минут.

Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Введение в eSight

2. Установка и удаление eSight


 Знакомство с установочным CD-ROM
 Процесс установки eSight
 Процесс удаления eSight

3. Режимы развертывания eSight

Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс установки
 Huawei предоставляет две схемы установки eSight.
 Схема предварительной установки: операционная
система и система eSight предварительно
устанавливаются на сервере eSight, доставляемом
на объект.
 Новая установка: если сервер был самостоятельно
приобретен клиентом или система eSight должна
быть переустановлена, то обратитесь к процессу
установки, описанному в блок-схеме.

Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация

Среда установки программного


к установке установки систему ПО

обеспечения и аппаратного обеспечения


 Среда установки сервера:

Масштабы управления Минимальная конфигурация сервера Рекомендуемая конфигурация Операционные системы База данных

CPU: 1 * dual-core CPU, 2 ГГц или выше


0-200 Память: 4 Гб
Пространство на жестком диске: 40 Гб Конфигурация 1: Windows Server 2008 R2 standard
Huawei: Tecal RH2288H V2-1*E5-2630
V2 CPU, 2*4Гб памяти, 2*300Гб 64-bit (в версии английского или упрощенного
CPU: 1 * dual-core CPU, 2 ГГц или выше китайского языка)/Windows Server 2012 R1 64-bit (в
200-500 Память: 4 Гб версии английского или упрощенного китайского
Пространство на жестком диске: 60 Гб языка) + MySQL 5.5 (включен в стандартный пакет
программного обеспечения управления сетями
CPU: 2 * quad-core CPU, 2,0 ГГц или выше eSight)/Microsoft SQL Server 2008 R2 Standard
500-2000 Память: 8 Гб
Пространство на жестком диске: 120 Гб Конфигурация 2: Novell SuSE LINUX Enterprise
Huawei: Tecal RH2288H V2-2*E5-2630
V2 CPU, 4*8Гб памяти, 3*300Гб Server-Multi-language-Enterprise-11.0 SP3 (в версии
CPU: 2 * quad-core CPU, 2,0 ГГц или выше английского или упрощенного китайского языка) +
2000-5000 Память: 16 Гб Oracle Database Standard Edition 11g R2
Пространство на жестком диске: 250 Гб
Примечание: при управлении 20000 узлов
CPU: 4 * quad-core CPU, 2,0 ГГц или выше рекомендуется Конфигурация 2.
Huawei: Tecal RH2288H V2-2*E5-2630
5000-20000 Память: 32 Гб
V2 CPU, 4*8Гб памяти, 3*300Гб
Пространство на жестком диске: 320 Гб

 Среда установки клиента:


 Версия браузера: Internet Explorer 9.0/10.0, Mozilla Firefox 27.0/30.0/31.0 и Chrome 29/30/31
 Рекомендуемое разрешение: 1024 x 768 пикселей
 Память: 1 Гб или больше

Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО

План установки
 Перед установкой eSight убедитесь, что IP-адрес, имя хоста и пароль сконфигурированы правильно,
чтобы можно было правильно и быстро установить eSight.
 Имя хоста и IP-адрес: можно менять имя хоста и IP-адрес в зависимости от фактической ситуации.
 Имя пользователя и пароль: исходными именем пользователя и паролем eSight являются admin и
Changeme123 соответственно. При первом входе в eSight Вам будет предложено изменить пароль.
 Разбиение жесткого диска: диск C используется для установки операционной системы, а диск D
используется для установки базы данных и eSight.
 Путь установки: D:\eSight, его можно изменить при необходимости.
 Часовой пояс: при поставке eSight на объект измените часовой пояс и время в соответствии с
расположением объекта.

Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО

Получение программного обеспечения


 Доступны два способа установки:
 С помощью установочного CD-ROM: необходимо получить соответствующий CD-
ROM.
 При помощи пакета программного обеспечения: необходимо получить
соответствующий пакет программного обеспечения.

 Произведите следующие действия для получения данного программного


обеспечения:
 Посетите http://enterprise.huawei.com/en/
 Выберите Support > Network Management System > eSight Network > Downloads.

Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО

Установка базы данных


 В ОС Windows Server 2008 R2 поддерживаются два типа баз данных. Можно
выбрать подходящий в зависимости от обстоятельств.
 База данных MySQL: автоматически устанавливается с программным
обеспечением eSight. Пользователям не нужно устанавливать базу данных
MySQL отдельно.
 База данных SQL Server 2008: требуется ее установка вручную перед установкой
eSight. Пользователям рекомендуется установить базу данных SQL Server 2008,
обратившись к ее руководству по установке.

Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО

Запуск программы установки eSight


 Дважды щелкните мышкой по setup.bat для запуска процесса установки.
Выберите язык GUI установщика и GUI управления.

Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО

Задание параметров установки

 Server IP Address: определяет IP-адрес текущего сервера по умолчанию. Если сервер имеет несколько IP-
адресов в выпадающем списке, то выберите маршрутизируемый IP-адрес.
 Server Port: номер порта по умолчанию – 8080. Если порт 8080 уже используется, то измените номер порта.
 Installation Directory: задает каталог установки eSight, пользователи могут его изменить.

Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО

Задание параметров базы данных

Доступные типы баз


данных

Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО

Выбор компонентов для установки

Наличие основных
функциональных компонентов
обязательно, они будут выбраны
по умолчанию.

Компоненты услуг
являются
опциональными.

Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО

Отображение прогресса установки

Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО

Установка завершена

Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО

Запуск службы eSight

Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация

Вход в eSight через Internet


к установке установки систему ПО

Explorer 9 в первый раз


 В адресной строке введите http://Server IP address:port number (8080) и нажмите Enter.
 При первом входе на сервер eSight появится сообщение «Возникла проблема с
сертификатом безопасности этого веб-сайта». Нажмите «Продолжить открытие этого веб-
сайта (не рекомендуется)».

Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО

Установка сертификата

Введите
http://eSight server IP address:port 3
number.

2 4

Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация

Вход в систему eSight при


к установке установки систему ПО

помощи имени пользователя и пароля

Именем пользователя и паролем


по умолчанию являются admin и
Changeme123 соответственно.

Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО

Вход выполнен успешно


1

2 4
5
6

1. Адресная строка
2. Главное меню
3. Область статистики
4. Общая информация и кнопки
5. Область индикаторов аварийной сигнализации
6. Портлеты заказных настроек

Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО

Описание лицензии
 Файл лицензии представляет собой файл авторизации, созданный специальным
инструментом шифрования в соответствии с контрактом, подписанным между
пользователем и Huawei, и информацией о сервере, на котором установлен eSight.
 После получения файла лицензии, пользователь должен вручную загрузить его в
eSight и активировать разрешение на использование eSight.
 Пользователи могут использовать eSight в течение 90 дней без файла лицензии.
После этого пробного периода при попытке пользователя войти в систему на экране
возникнет страница обновления лицензии, а вход в систему не будет выполнен.
 В течение пробного периода eSight может управлять 60 NE, а возможности
управления компонентами WLAN, MPLS VPN, SLA, IPSec VPN, NTA и Secure Center
ограничены 10.

Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО

Подача заявки на лицензию


 Шаг 1: получить контактную информацию.
 Сертификат лицензированной авторизации поставляется вместе с Huawei eSight. Вы
можете получить сертификат лицензированной авторизации от соответствующих агентов.
Пользователи могут получить контактный номер, наименование и модель продукта из
сертификата лицензии.

 Шаг 2: получить серийный номер серверного оборудования (ESN).


 ESN это строка символов, которая однозначно идентифицирует устройство. Используется
для обеспечения предоставления лицензии указанному устройству.

 Шаг 3: подать заявку на лицензию eSight.


 Посетите http://app.huawei.com/isdp/ и подайте заявку на получение лицензии.

Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО

Получение контрактной информации


 Получите номер контракта, наименование и модель продукта.

Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО

Получение ESN
 В главном меню выберите System > Administration > License Management.

Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО

Активация лицензии (1)


 Выберите в главном меню License Activation > Password Activation и введите
код активации.

Стр. 34 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО

Активация лицензии (2)


 Введите ESN сервера, подлежащего привязке.

 Подтвердите активацию и скачайте файл лицензии.

Стр. 35 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО

Загрузка и управление лицензией


 Выберите в главном меню System > Administration > License Management.

Стр. 36 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Введение в eSight

2. Установка и удаление eSight


 Знакомство с установочным CD-ROM
 Процесс установки eSight
 Процесс удаления eSight

3. Режимы развертывания eSight

Стр. 37 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Удаление eSight
 Чтобы остановить службу eSight, выберите Пуск > Все программы > eSight > eSight
Console и нажмите Stop в появившемся диалоговом окне.
 Чтобы удалить eSight, выберите Пуск > Все программы > eSight > Uninstall eSight.

2
1

Стр. 38 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Удаление завершено

Стр. 39 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Введение в eSight

2. Установка и удаление eSight

3. Режимы развертывания eSight

Стр. 40 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Режим одноузлового сервера
 eSight AppBase работает в режиме браузера/сервера и обеспечивает
одновременный доступ нескольких веб-браузеров.

Чтение / запись
Служба приложений eSight

База данных

Стр. 41 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Режим иерархического развертывания
 eSight также поддерживает иерархическое
управление, позволяющее головному офису
контролировать сети в филиалах.
 В режиме иерархического развертывания
eSight professional
NMS верхнего уровня может добавлять в
систему NMS нижнего уровня и
обеспечивать ссылки на NMS нижнего eSight professional

уровня. При щелчке по такой ссылке


появляется новое окно браузера, в котором
eSight standard
можно войти в NMS нижнего уровня.

Стр. 42 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Интеграция с OSS
 eSight может интегрироваться с Системами
поддержки операций (OSS) верхнего уровня и OSS

передавать аварийные сигналы сети через SNMP


для взаимодействия с OSS.
eSight
 Интеграция с OSS дает следующие преимущества:
DCN
 Улучшает возможности управления сетью через
систему OSS.
 Изолирует управление NE от управления сетью.
 Отвечает требованиям механизма управления и
обслуживания предприятия.

Стр. 43 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Если пароль пользователя admin утерян, то для восстановления пароля по
умолчанию пользователю придется переустановить eSight.

2. Сколько времени длится пробный период eSight?


А. 30 дней

Б. 60 дней

В. 90 дней

Г. 120 дней

Стр. 44 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Основные функции eSight

Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.


Введение
 eSight – это система управления и обслуживания, разработанная для проводных и
беспроводных кампусных сетей, а также филиалов предприятий. Она реализует
унифицированное управление и интеллектуальное сопряжение между ресурсами
предприятия, услугами и пользователями.
 На этих слайдах описаны основные функции eSight, включая управление безопасностью,
управление ресурсами, управление аварийными сигналами и управление
производительностью. Для других функций, таких как управление файлами конфигурации,
управление журналами, мониторинг WLAN, многопротокольная коммутация по меткам
виртуальной частной сети (MPLS VPN), алгоритм сохранения пакетов в Интернет (iPCA),
соглашение об уровне предоставления услуги (SLA) и анализатор сетевого трафика (NTA),
обратитесь к официальным материалам системы управления сетью eSight.

Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
 По окончании данного курса Вы будете:
 Знакомы с основными функциями eSight
 Владеть функционалом основных функций eSight

Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Управление безопасностью

2. Управление ресурсами

3. Управление аварийными сигналами

4. Управление производительностью

Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Как реализовать управление
безопасностью сети?
Отвечает за эксплуатацию
и обслуживание сетевых
устройств в городах А и Б

Оператор_АБ Сетевые администраторы


имеют различные
управленческие права, что в
определенной степени
реализует управление
Отвечает за мониторинг и безопасностью сети. Отвечает за мониторинг и
обслуживание аварийных обслуживание аварийных
сигналов сетевых сигналов сетевых
устройств в городе А устройств в городе Б

eSight
Мониторинг аварийных Мониторинг аварийных
сигналов A сигналов Б

Город A Город Б

Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание политики безопасности

Создание новых пользователей в случае если несколько


пользователей должны управлять сетью.
Установка прав на работу в сети и политики управления объектами,
передача прав на выполнение операций различным пользователям.

Задание длины имени учетной записи и правил входа в систему.

Задание требований к сложности пользовательского пароля,


интервала изменения и пределов длины.

Задание IP-адресов, с которых пользователи могут войти в eSight.

Установка периода времени, в течение которого пользователи могут


войти в eSight.
Просмотр находящихся онлайн пользователей, обнаружение
несанкционированных и принудительный вывод их из системы.
Предоставление функции автоматического выхода клиента из системы во
избежание выполнения сторонними пользователями
несанкционированных действий.

Смена паролей пользователей и задание контактной информации.

Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание роли (1)
 Сопоставить административный домен с ролью, с тем чтобы роль могла
управлять определенными объектами в домене.

Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание роли (2)
 Присвоить роли права управления, с тем чтобы роль получила права на
оперирование подконтрольными объектами.

Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание пользователей – задание имени
пользователя и пароля

Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание пользователей - задание роли

Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание пользователей -конфигурирование
политик управления доступом

Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Настройка политики учетной записи
 Правильно подобранные ограничения по длине имени пользователя и политики
входа пользователей могут повысить безопасность доступа к eSight. Политика
учетной записи применяется ко всем пользователям, поэтому она должна
устанавливаться администратором безопасности.

Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Управление безопасностью

2. Управление ресурсами

3. Управление аварийными сигналами

4. Управление производительностью

Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Управление ресурсами
 Функция управления ресурсами позволяет добавлять устройства в eSight и
выполнять такие операции, как запросы, мониторинг и конфигурирование
этих устройств, централизованным образом.
NE Ресурсы

Подсеть

Аппаратная Аппаратная
комната А комната Б

Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Добавление устройств
 eSight поддерживает три способа обнаружения ресурсов.
 Способ 1: добавление по одному (по IP-адресу)
 10.135.59.18

 Способ 2: автоматическое обнаружение (по сегменту IP-адресов)


 От 10.137.61.1 до 10.137.61.255

 Способ 3: импорт устройств (при помощи файла Excel)

 Просмотр топологии после добавления устройства.


 Выберите Monitor > Topology Management

Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Добавление по одному

Можно выбрать только


один протокол.

 SNMP: сетевые устройства должны поддерживать SNMP и иметь сконфигурированные


параметры доступа SNMP.
 ICMP: если на сетевых устройствах не сконфигурированы параметры SNMP, но ping-запросы
к серверу eSight проходят, то параметры можно внести в eSight через ICMP.

Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Автоматическое обнаружение

Поддерживается
несколько сегментов сети.

Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Импорт устройств

Только SNMP-совместимые устройства могут быть


импортированы через шаблон.

Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Управление физическими ресурсами
 Физические ресурсы включают устройства и физические объекты устройств,
такие как шасси, платы, субплаты и порты.

Физический
объект

1. Переключение на топологию
2. Изменение примечаний
3. Просмотр сведений о ресурсах
4. Удаление

Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Групповое управление
 Можно создать группу и добавить в нее NE из различных подсетей, она
будет считаться одним объектом. Объект (группа NE) можно закрепить за
пользователем, что улучшает эффективность управления несколькими
устройствами.

Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Управление безопасностью

2. Управление ресурсами

3. Управление аварийными сигналами

4. Управление производительностью

Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Управление
аварийными сигналами
 Функция управления аварийной сигнализацией позволяет eSight
отслеживать состояние устройств в режиме реального времени и получать
сигналы об отказах устройств, чтобы помочь администраторам
своевременно обнаруживать и устранять неисправности сети.

Запрос и обработка
Функции управления аварийных сигналов

Установка правил
аварийными
сигналами

мониторинга
аварийных сигналов

Установка удаленных
уведомлений об
аварийных сигналах

Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Запрос и обработка аварийных сигналов
Мониторинг аварийных сигналов на панели аварийной сигнализации
На панели аварийной сигнализации в правом верхнем углу страницы Current Alarms
отображается количество неснятых и снятых аварийных сигналов четырех уровней аварийной
сигнализации, что позволяет пользователям быстро получать информацию об обработке
аварийных сигналов.

Мониторинг аварийных сигналов в списке текущих аварийных сигналов


Выберите Monitor > Fault Management > Current Alarms для установки критериев фильтрации и
поиска аварийных сигналов, которые должны быть обработаны.
Подтвердит Снять
ь

Мониторинг аварийных сигналов в топологии


Для просмотра состояния функционирования NE и подсетей по цветам их значков в топологии
можно выбрать Monitor > Topology > Topology Management. Для просмотра актуальных, архивных
и скрытых аварийных сигналов можно щелкнуть правой кнопкой мыши на иконке и выбрать
Alarm List.

Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Задание правил
мониторинга аварийных сигналов
 Создание правил удаленных уведомлений.

Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Установка удаленных
уведомлений об аварийных сигналах
 Установка режима удаленных уведомлений.

Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Управление безопасностью

2. Управление ресурсами

3. Управление аварийными сигналами

4. Управление производительностью

Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обзор управления производительностью
 Каждому ресурсу назначаются счетчики производительности, позволяющие измерять его
производительность. eSight осуществляет всесторонний мониторинг характеристик
производительности управляемых ресурсов, а также взаимосвязей между
производительностью ресурсов и обеспечивает всеобъемлющий анализ общих
характеристик производительности ресурсов. Это позволяет администраторам осознавать
состояние сети и осуществлять оптимизацию сети с целью обеспечения оптимального
рабочего состояния.
 Принципы управления производительностью:
 Счетчик и шаблон счетчиков
 Порог срабатывания счетчика
 Задача сбора данных о производительности
 Объект измерений
 Период сбора

Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Блок-схема управления
производительностью
Управление характеристиками производительности
eSight
1 Шаблон мониторинга 2 Задача мониторинга

1.1 Выбор счетчиков 2.1 Выбор счетчиков или


производительности шаблона счетчиков
2.2 Выбор объектов
1.2 Установка пороговых
измерений
значений счетчиков 2.3 Автоматический сбор
данных
Пользователь
Данные о Сбор в фоновом Сеть
4 3
производительности режиме по плану
4.1 Просмотр данных о
производительности 3.1 Система
4.2 Просмотр истории данных о автоматически создает
производительности подробную информацию
4.3 Просмотр данных о о сборе данных
производительности в
реальном времени

Управление аварийной сигнализацией eSight


Генерация аварийного сигнала при
5 превышении измеренными значениями Получение верхних
заданных пороговых значений. N данных

Домашняя страница eSight


6 Просмотр верхних N данных на портале
домашней страницы

Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание шаблона мониторинга (1)
 Создание шаблона мониторинга.

В eSight заранее заданы несколько


Просмотр Изменение
шаблонов счетчиков, так что для
подробной шаблона.
распространенных счетчиков создавать
информации.
шаблоны не нужно.

По сфере услуг или


административному домену.

Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание шаблона мониторинга (2)
 Добавление счетчиков.

Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание шаблона мониторинга (3)
 Задание пороговых значений.

Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание шаблона мониторинга (4)
 Создание шаблона завершено.

Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание задачи мониторинга (1)
 Создание задачи мониторинга.
Отображает максимальное
количество задач и счетчиков,
поддерживаемых eSight, количество
созданных задач сбора и счетчиков.

Зеленый значок указывает 1. Изменение


действующие счетчики, 2. Остановка задачи
серый значок – на
недействующие.

Стр. 34 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание задачи мониторинга (2)

Стр. 35 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание задачи мониторинга (3)

Стр. 36 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание задачи мониторинга (4)

Стр. 37 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание задачи мониторинга (5)
 Создание задачи мониторинга завершено.

Стр. 38 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Просмотр данных о производительности –
домашняя страница

Расширение критериев
запроса в стиле Ebay

Просмотр данных о Цвет в зависимости от


производительности аварийного сигнала, пороговые
значения которого превышены

Стр. 39 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Просмотр данных о производительности –
обзор подробностей

Щелкните на панели пропорций для


просмотра подробной диаграммы истории
за последние 24 часа, неделю, месяц или
три месяца.

Стр. 40 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Просмотр данных о производительности в
реальном масштабе времени

Смена метода отображения


данных производится нажатием
на значок Layout.

Стр. 41 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Просмотр данных об истории
производительности

Отображение данных истории


производится
перетаскиванием ползунка на
панели времени.

Стр. 42 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какие из следующих методов обнаружения ресурсов поддерживаются eSight?
A. Добавление по одному

B. Автоматическое обнаружение

C. Импорт устройств

D. По модели устройств

2. Сколько уровней аварийной сигнализации и какие поддерживает eSight?

Стр. 43 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Функции Agile Controller

Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.


Введение
 По мере быстрого развития новых сетевых технологий пользователи имеют высокие
требования к сетевому доступу с использованием любых терминалов в любое время, в
любом месте. Однако традиционные корпоративные сети кампуса представляют собой сети,
основанные на принципах IP-сети. Сегменты IP-адресов конфигурируются вручную для
различных офисных мест, а политика управления доступом к сети определяется на основе
сегментов IP-адресов для управления правами доступа пользователей. Доступ к сети в
любое время, в любом месте значительно затруднен.
 Huawei предоставляет Agile Controller (AC) для выполнения этого требования. Являясь
мозгом в сети интеллектуального кампуса, AC динамически настраивает сетевые ресурсы и
ресурсы безопасности на всей сети кампуса на основе программно-определяемой сети
(SDN), что позволяет сети быть более гибким для услуг и удовлетворять требования
пользователей.

Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
 По завершении этого раздела Вы сможете:
 Понимать проблемы, стоящие перед традиционными сетями
 Овладеть основными функциями и возможностями Agile Controller
 Знакомиться с процессом конфигурирования Agile Controller

Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, стоящие перед традиционными сетями

2. Реализация функции Agile Controller

3. Пример конфигурации Agile Controller

Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Для повышения мобильности требуется
последовательный опыт обслуживания
Традиционная сетевая ситуация:
Требования к традиционным сетям
повышение мобильности
 В 2011 году поставки интеллектуальных терминалов
впервые превысили производительность ПК.
 В 2015 году количество проданных планшетов достигло
 Управление проводным и беспроводным
326 млн., а смартфонов превысило 1 млрд. (50% рынка доступом
мобильных телефонов). Большинство умных терминалов  В эпоху мобильности сосуществуют проводные и
используются офисными работниками.
беспроводные сети. Пользователи могут иметь
Вычислительные устройства — годовой объем продажа мобильные и фиксированные терминалы, а доступ к
Смартфоны проводной и беспроводной сети должен управляться
500
единообразно.
Объем продаж (ед.: млн.)

400  Обеспечение последовательного опыта


ПК
 Мобильность ориентируется на последовательный опыт
300 пользователей в любое время, в любом месте. Сетевая
политика должна быстро корректироваться при
200 изменении пользовательских услуг и приложений.

100 Планшеты  Быстрое продвижение мобильных приложений


 Когда предприятию необходимо развернуть новые
0
приложения, сеть можно быстро и гибко настроить для
2008 2009 2010 2011
Год адаптации к изменениям.
Источник: Gartner, iSuppli Market Intelligence

Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Низкая эффективность ручного обслуживания,
требуется гибкая корректировка политики
Традиционная сетевая ситуация Требования к традиционным сетям

 Ручная конфигурация Виртуализация требует Мобильность требует гибкой


имеет низкую автоматизации. корректировки политики.
эффективность и высокую Архитектура сети ЦОД Политика
стоимость услуг.
 В сценариях миграции сети
или мобильных офисов
сети не могут быть быстро
настроены для быстрого
развертывания новых
AP 1 AP 2
услуг.
VM VM Миграция VM VM

Сервер VMotion Сервер Переместить


Пользователь A Переместить
Как можно быстро настроить политики Как можно быстро настроить политики
конфигурации сети при миграции безопасности и доступа в сети при изменении
виртуальных машин? местоположения доступа пользователя?

Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Различные режимы доступа, неэффективная
единая точка защиты
Традиционная сетевая ситуация Требования к традиционным сетям
 Эффективная единая точка защиты Ⅹ Неэффективная единая точка защиты
Внешняя атака

WAN/Интернет WAN/Интернет

Традиционная
внешняя атака

Атака
беспроводного
перехвата

Атака
мобильной
сети
Атака
мобильного
AP AP AP терминала

Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Agile Controller — мозг на интеллектуальных
сетях кампуса
AR L2 SW AR L2 SW Доступ в Интернет Компонент Функция
Обеспечивает управление политиками на основе 5W1H и
Диспетчер
Сеть Сеть поддерживает несколько режимов аутентификации, таких как
управления
филиалов филиалов MAC-адрес, 802.1X, портал и аутентификация шлюза контроля
доступом
доступа к безопасности (SACG).
Обеспечивает самостоятельную регистрацию и управление
Центр ресурсов WAN/Интернет Диспетчер
гостевыми учетными записями, а также поддерживает
безопасности гости
настройку и доставку страниц портала и подталкивание.
Предоставляет матрицу политик на основе групповой
Выход NGFW/SVN политики безопасности для обеспечения высокого качества
Свободный
услуг VIP-пользователей и позволяет сетевым ресурсам
диспетчер
мигрировать в зависимости от местоположения
мобильности
пользователей, обеспечивая последовательную политику и
Уровень пользовательский опыт.
LSW
ядра Виртуализирует физические устройства для защиты моделей
Диспетчер
Agile и местоположения физических устройств и перенаправляет
цепочек услуг
Controller различный трафик услуг на разные узлы прекращения услуг.
Уровень LSW Собирает журналы безопасности и события, идентифицирует
NGFW агрегации активы и зоны с высоким риском с помощью корреляционного
Компонент анализа больших данных и оценивает тенденции
безопасности безопасности всей сети. Это помогает клиентам быстро
Уровень идентифицировать сетевые риски, чтобы они могли
доступа принимать превентивные меры защиты от рисков.
LSW AP AP LSW Обеспечивает разнообразные политики безопасности для
Диспетчер
предотвращения доступа к сети незащищенных терминалов и
безопасности
терминалов, которые не соответствуют политике
терминалов
безопасности предприятий.

Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Архитектура продукта Agile Controller

Сторона
сервера
Менеджер услуг Контроллер услуг Центр управления
(SM) (SC) (MC)

Устройства
доступа к сети
Брандмауэр AR Коммутатор AP

Пользовательская
сторона
Клиент Веб-портал Встроенный клиент 802.1X
(Windows/Linux/MAC/Android/iOS)

Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Панорама программного обеспечения Agile
Controller
Agile Controller

Свободный Диспетчер
Компонент
диспетчер Диспетчер гости безопасности
безопасности
мобильности терминалов

Диспетчер цепочек
Диспетчер управления доступом
услуг

Сетевые ресурсы

Информация о Информация о
Топология сети пользователе местоположении Права

Физическая сеть

Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, стоящие перед традиционными сетями

2. Реализация функции Agile Controller


 Управление доступом
 Управление гостями
 Свободная мобильность
 Цепочка услуг
 Объединенная безопасность
 Безопасность терминала

3. Пример конфигурации Agile Controller

Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Архитектура диспетчера управления доступом
к Agile Controller
Agile Controller

SM Менеджер услуг

HTTPS
SC
AuthServer Portal RADIUS NetworkServer

COPS/Portal/RADIUS
Физическая сеть

EAP/HTTP
Терминал

Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Управление доступом в сети кампуса
Домен предварительной
аутентификации

Активный
Выход кампуса Сервер Agile Controller

Домен изоляции

Уровень ядра Резервный


Патч/антивирус/сервер
программного обеспечения
Домен после аутентификации
Уровень
агрегации

Финансовой сервер,
Уровень сервер маркетинга, и сервер
доступа исследований и разработок

Отдел исследований
и разработок Тупые терминалы Маркетинговый отдел Финансовые отделы

Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Полное управление доступом, применимое к
нескольким типам сетей
 Аутентификация MAC-адресов
 Сервер аутентификации аутентифицирует терминалы на основе их MAC-
MAC-адрес адресов.
Тупой VLAN1
терминал  Она применима к тупым терминалам, таким как IP-телефоны и принтеры.
 Аутентификация 802.1X
 Клиенты, устройства и серверы аутентификации обмениваются
аутентификационными сообщениями с использованием EAP.
802.1X
 Она поддерживает связь с Huawei коммутаторами всей серии,
Офисная маршрутизаторами, устройствами WLAN и коммутаторами 802.1X.
VLAN2
область
SSID1
 Аутентификация портала
 Аутентификация портала также называется веб-аутентификацией.
Portal Пользователи могут вводить имена пользователей и пароли на странице веб-
аутентификации для аутентификации идентификационных данных.
 Она поддерживает связь с Huawei коммутаторами всей серии,
маршрутизаторами и устройствами WLAN.
Гостевая
зона
SSID2  Аутентификация SACG
SACG  Брандмауэр USG подключается к маршрутизатору или коммутатору в
байпасном режиме и управляет доступом терминала через маршрутизацию
на основе политик.

Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Модель доступа Agile Controller
Правило авторизации

Условие Результат
авторизации авторизации

Режим Безопасность Динамический Группа Пропускная Атрибуты


Пользователь Терминал Местоположение Время VLAN ACL
доступа терминала ACL безопасности способность RADIUS
Аутентификация
Идентификация

Беспроводной
Организация

Операционн

Устройство
ые системы

Проводной
Поставщик

Сегмент IP
Windows

доступа
Аккаунт

SSID
Тип
Отдел
Роль

Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, стоящие перед традиционными сетями

2. Реализация функции Agile Controller


 Управление доступом
 Управление гостями
 Свободная мобильность
 Цепочка услуг
 Объединенная безопасность
 Безопасность терминала

3. Пример конфигурации Agile Controller

Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сценарии определения гостя и доступа

Определение и характеристики доступа к


Типичные сценарии доступа гостей
сети корпоративных гостей

 Кто гости?  Крупные предприятия


 Неработающие на предприятиях  Типичные предприятия: Huawei, Lenovo и т. д.
 Клиенты, которые посещают предприятия  Типичный сценарий: клиенты получают доступ к
или аутсорсинг сотрудников из партнеров корпоративным сетям, общедоступным
 Потребители предприятий ресурсам предприятий или Интернету во время
 Общие люди общения и посещений.
 Какие характеристики у гостей?  Коммунальные услуги
 Доступ к сети с использованием  Типичные места: метро, аэропорты и т. д.
собственных терминалов  Типичный сценарий: люди получают доступ к
 Неконтролируемое сетевое поведение Интернету через сети, предоставляемые
 Неконтролируемый объем доступа к сети коммунальными службами.
 Потребительские предприятия
 Типичные предприятия: роскошные гостиницы,
кафе и т. д.
 Типичный сценарий: потребителям предприятий
необходимо получить доступ к Интернету.

Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Панорама гостевой аутентификации

Система
Сотрудник BSS
Коммутатор

Коммутатор
Аутсорсинг
сотрудника
AP Коммутатор Система CRM
уровня ядра
Система ERP
AC
Гость
AP Почтовая
система

Кто вы? Как получить доступ к сети? Какие у вас права?

Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Управление гостей полного жизненного цикла
Приложение учетной записи Аутентификация пользователя Аудит и дерегистрация

Регистрация Утверждение Распределение Аутентификация Аудит Дерегистрация

Проводной ASG
ПК Коммутатор
Сеть

Гость

Беспроводной
Телефон AC

Регистрация Утверждение Распределение Аутентификация Аудит и отмена регистрации


 Заявка  Автоматическое  SMS-сообщение  Аутентификация по имени  Аудит входа и выхода
сотрудников утверждение  Электронная пользователя и паролю пользователя
 Заявка гостей  Утверждение почта  Аутентификация по паролю  Аудит поведения в режиме
администраторами  Web  Изоляция прав с онлайн
 Утверждение использованием VLAN или  Автоматическая отмена
секретарями ACL регистрации после истечения
 Универсальная инкапсуляци срока действия аккаунта
я при маршрутизации (GRE)  Запланированное удаление
3-го уровня аккаунта

Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, стоящие перед традиционными сетями

2. Реализация функции Agile Controller


 Управление доступом
 Управление гостями
 Свободная мобильность
 Цепочка услуг
 Объединенная безопасность
 Безопасность терминала

3. Пример конфигурации Agile Controller

Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Логическая архитектура свободной
мобильности
Подсистема
Подсистема политик
аутентификации и
услуг
Agile Controller авторизации

Определение
Синхронизация
глобального
групповой информации
Плоскость Группы Сервер
Администратор Сервер политик
управления услугами аутентификации:

Запрос Выполнение
Аутентификация санкционировать Сообщать IP-адреса
информации о групповых
ID группы пользователей
пользователе политик

Плоскость сетевого Точка Точка выполнения


устройства аутентификации политики

Аутентификация
и доступ

Плоскость пользователя Пользовательски Статический


й терминал ресурс

Межкомпонентная связь

Трафик пользовательских услуг

Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сценарии применения свободной мобильности
Сервер Интернет-
Agile Controller Общий сервер Веб-сервер
отчетов ресурсы

ЦОД Пограничный
брандмауэр DC

Область выхода
Брандмауэр границы и Интернета
основной брандмауэр
контролируют
взаимодействие Пограничный
пользователя через точки Брандмауэр брандмауэр Пограничный
аутентификации. WAN WAN кампуса брандмауэр
Основной Интернета кампуса
филиала
брандмауэр
Точка аутентификации,
ближайшая к пользователям,
может контролировать связь
между локальными SVN
пользователями. Коммутатор C Коммутатор A Коммутатор B

Пользователи могут
получить права доступа к
сети в любом месте Аутсорсинг Финансовый VIP Аутсорсинг
сотрудников Финансовый Финансовый
доступа. отдел сотрудников отдел отдел
Филиал Кампус

Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Основные концепции свободной мобильности

Матрица политики

Группа Приоритет
безопасности А C пользователя

Свободная
мобильность

Авторизация на Запрос сопоставления


E D
основе 5W1H IP-группы

Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процедура развертывания свободной
мобильности
Шаг 3: Система
автоматически
работает.
Шаг 2: определение
и развертывание
групповых политик.
Шаг 1: определение
групп безопасности.
1. Аутентификация: когда пользователь
пытается получить доступ к сети, Agile
Controller аутентифицирует личность
пользователя.
1. Определение групповых политик 2. Авторизация: Agile Controller
на Agile Controller. соответствует политикам авторизации,
 Политика опыта (приоритет основанным на условиях 5W1H и
1. Определение групп пересылки группы пользователей добавляет пользователей к
безопасности на Agile VIP). соответствующим группам
 Политика прав (определение
Controller. безопасности. Устройства выполнения
2. Добавление участников в возможности межгруппового политики затем динамически
группы безопасности. доступа). добавляют IP-адреса пользователя в
 Динамические группы 2. Развертывание групповых указанные группы безопасности.
безопасности: конкретные политик. 3. Выполнение: на основе
пользователи, описанные  Взаимодействие между Agile сопоставлений между IP-адресами и
в политиках авторизации. Controller и устройствами группами безопасности, сохраненными
 Статические группы выполнения политик. локально и на Agile Controller, сетевые
безопасности:  Автоматическое распределение устройства идентифицируют группы
фиксированные IP-адреса групп безопасности и групповых источника и назначения в пакетах, а
или сегменты сети. политик от Agile Controller до точек затем сопоставляют и выполняют
выполнения политики. групповые политики.

Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, стоящие перед традиционными сетями

2. Реализация функции Agile Controller


 Управление доступом
 Управление гостями
 Свободная мобильность
 Цепочка услуг
 Объединенная безопасность
 Безопасность терминала

3. Пример конфигурации Agile Controller

Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Техническая архитектура сервисной цепочки

 Agile Controller: завершает настройку логики услуг и


Agile Controller
сопоставление ошибок цепочки услуг.
 Оркестрационное устройство: идентифицирует

Развертывание трафик услуг и перенаправляет трафик на устройство


Ассоциация Развертывание
услуги отказов услуги услуг.
 Сервисное устройство: обрабатывает трафик услуг,
Перенаправление
перенаправленный на него.
Сервисное
устройство 1  Основные технологии:
Повторное закачивание
Перенаправление
Оркестрационное Услуги развертываются с использованием протокола XMPP
Сервисное 

устройство
устройство 2 (устройство Huawei), а также протоколов Telnet и SNMP
(коммутатор) Повторное закачивание
Перенаправление
(устройство третьей стороны).
Сервисное
устройство 3  Трафик услуг перенаправляется через два туннеля GRE с
Повторное
закачивание Третье стороннее использованием политико-маршрутизации (PBR).
устройство
Цепочка
услуг

Туннель GRE

Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сценарии применения цепочки услуг

Agile Controller Цепочка услуг 1


Центр управления
сетью Выход кампуса Цепочка услуг 2

Брандмауэр

Антивирусное
ЦОД Оркестрационное устройство
устройство
Устройство
управления
поведением в
Цепной узел режиме онлайн

Уровень агрегации

Уровень доступа

Зона доступа гостей Внутренняя


Отдел A Отдел B
общественная зона

Уровень применения

Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процедура цепочки услуг
Оркестрационное устройство  Оркестрационные устройства и сервисные
устройства взаимосвязаны на уровне 3.
 Agile Controller управляет оркестрационными
устройствами и сервисными устройствами и
ЦОД получает информацию о устройстве через XMPP.

Оркестрационное устройство  Сконфигурируйте соотношение ресурсов между


оркестрационными устройствами и сервисными
устройствами на Agile Controller и предоставьте
взаимосвязь сервисным устройствам.
ЦОД
 Создайте интерфейсы на устройствах для
установки туннелей GRE.

Оркестрационное устройство  Сконфигурируйте цепочки услуг на Agile Controller


и доставьте их на сервисные устройства.
 Создайте правила перенаправления трафика на
ЦОД оркестрационном устройстве. Трафик услуг,
соответствующий правилу, переадресуется по
соответствующей цепочке услуг.

Канал Цепочка услуг 1


Туннель GRE Цепочка услуг 2

Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обработка неисправности туннеля GRE (1/2)
1. Обработка неисправности туннеля GRE в исходящем направлении коммутатора

Переслать Икс Сервисное


Коммутатор
устройство

Сервисное
Коммутатор
устройство
Икс
Икс Сервисное
Коммутатор
отбрасывать устройство

 Устранение неисправностей
 Механизм Keepalive туннеля GRE: по умолчанию этот механизм включен в туннеле GRE.
 Устранение неисправностей туннеля GRE: чтобы повысить надежность цепочек услуг,
сконфигурируйте коммутатор на сброс или прямую пересылку пакетов при сбое в туннеле GRE.

Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обработка неисправности туннеля GRE (2/2)
2. Обработка неисправности туннеля GRE в входящем направлении коммутатора

Agile Controller

XMPP over TCP

1
X Сервисное
X устройство 1
2
Нормальная переадресация трафика
Коммутатор
Переадресация трафика при сбое туннеля GRE
3
Сервисное X Неисправность туннеля

4
устройство 2
X Отключение канала

 Если туннель 2 не работает, трафик достигает сервисного устройства 1 через туннель 1 и затем отбрасывается.
 Agile Controller может решить эту проблему.
 Когда коммутатор обнаруживает сбой в туннеле GRE, он передает неисправность Agile Controller через интерфейс XMPP.
 Затем Agile Controller отключает интерфейс на другом конце туннеля GRE и отменяет конфигурации туннелей GRE 3 и 4. Затем
коммутатор отбрасывает полученный трафик или пересылает трафик после поиска в таблице маршрутизации в соответствии с
заданными политиками.

Стр. 34 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, стоящие перед традиционными сетями

2. Реализация функции Agile Controller


 Управление доступом
 Управление гостями
 Свободная мобильность
 Цепочка услуг
 Объединенная безопасность
 Безопасность терминала

3. Пример конфигурации Agile Controller

Стр. 35 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сценарии применения объединенной
безопасности
Угроза O&M
Партнер
 Угадайте пароль входа в систему
 Нарушение O&M (обход хоста
Филиал
Сторонний сервер бастиона)
управления доменом
 Журналы основных активов не
Сервер журнала регистрируются в течение
Область O&M
Сервер
длительного периода времени
Хост
FW бастиона
FW FW
ASG
VPN
шлюз
Local: FW Базовая FW
сеть
Сервисный
сервер
FW
Local: FW Домен
предварительной
FW аутентификации 2
Домен
предварительной
Угрозы доступа в Интранет FW
аутентификации 1

Домен
предварительной
 Распространение компьютерных
вирусов Электрон
аутентификации
Сетевые и сервисные угрозы
Web ная почта
 Атака терминальной сети DMZ
Применение
 DDoS/DoS атака на сервере
 Атака на адрес  Атака на проникновение сервера
 Региональная сетевая атака  Недостаточность ресурсов пограничного
 Атака на коммутатор брандмауэра

 Благодаря корреляционному анализу в сетевых журналах, диспетчер объединенной безопасности определяет


потенциальные проблемы безопасности сети и отображает проблемы безопасности сети для сетевых администраторов.

Стр. 36 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Общая архитектура решения для
объединенной безопасности
Общесетевая/региональная /тенденция
безопасности ключевых активов
Тенденция
безопасности Управление
Региональное Управление Оценка угрозы
событиями
безопасности управление активами

Уведомление о тревоге по SMS


Уведомление о тревоге по эл.
Проверка почте
Анализ Корреляционный Фильтрация Управление
исходных Ответ Ассоциация устройств -
событий анализ событий тегами данных блокировка трафика
безопасности
Ассоциация устройств -
перенаправление трафика
Стандартные
данные

Сбор и Стандартизация Сжатие и хранение


обработка формата стандартных данных
журналов
Сжатие и хранение
оригинальных данных

Интерфейс Интерфейсы
syslog SNMP и ODBC

Устройства
безопасности
Источники Сетевые устройства
журнала База Управление
ХостA Сканер
Устройства Сетевые Центр данных терминалами
безопасности устройства политики

Продукты, разработанные Huawei Сторонние продукты

Стр. 37 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Компоненты и использование решений
 Agile Controller: мозг решения. Диспетчер объединенной
безопасности собирает и обрабатывает журналы,
ассоциирует события безопасности, отображает
Agile Controller
тенденции в области безопасности и запускает ответные
меры безопасности.

Устройства для  Устройства для выполнения политики ассоциации:


выполнения относятся к устройствам, которые выполняют политики
политики
ассоциации блокировки или перенаправления трафика, если
происходит событие безопасности, например,
коммутаторы.

Устройства отчетов
журнала Устройства Сетевые Центр
Системы  Журнал отчетов устройств: генераторы журналов
третьей
безопасности устройства политики
стороны
безопасности, такие как сетевые устройства и устройства
безопасности. Они сообщают журналы Agile Controller
через связанные интерфейсы.

Стр. 38 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, стоящие перед традиционными сетями

2. Реализация функции Agile Controller


 Управление доступом
 Управление гостями
 Свободная мобильность
 Цепочка услуг
 Объединенная безопасность
 Безопасность терминала

3. Пример конфигурации Agile Controller

Стр. 39 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Текущая ситуация и тенденции развития
управления безопасностью терминала
 До 2001 года антивирусные и антишпионские программные технологии использовались для
управления безопасностью терминала. По мере развития технологий и диверсификации угроз
безопасности события безопасности терминала происходят часто. В результате пользователи не
Повсеместная доверяют антивирусному программному обеспечению и опасаются, что антивирусное
Терминальная зрелость безопасности

безопасность
терминала и программное обеспечение может устареть.
глобальных предприятий

управление
опытом работы с
терминалом
 В период с 2001 по 2009 год для замены простой антивирусной защиты были разработаны
Защита
терминалов единые решения для обеспечения безопасности терминала, включающие управление
All-in-one
доступом, безопасность терминала, а также управление и контроль поведения терминала.
Защита от Текущий  После 2009 года, когда число пользователей мобильного офиса быстро растет, область
вирусов
этап
управления безопасностью терминала расширилась от управления только ПК до единого
управления на повсеместно распространенных терминалах, включая интеллектуальные
терминалы и IP-устройства. Управление безопасностью терминала больше не зависит от
I: До 2001 года II. 2001-2009 III. 2009
событий, а сосредоточено на упреждающей защите, комплексном предотвращении и
улучшенном опыте.

Тенденции развития безопасности терминала


Универсальные терминалы Полные функции Платформа Персонализированный
 Единое управление различными  Управление доступом+  Общесетевое  Приложение диспетчера
типами терминалов управление объединение и настольных ПК
безопасностью сотрудничество
 Единое управление  Пользовательские услуги
физическими и виртуальными  Пассивная защита +  Возможности открытой для настольных ПК
терминалами упреждающий контроль интеграции

Стр. 40 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Техническая архитектура безопасности
терминала
МС Администратор MC Многоуровневая модель
управления

 Политики безопасности могут быть


цент