HCIP-Routing & Switching Training Material (RUS)

Основы протокола OSPF
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.

Введение
 Routing Information Protocol (RIP) это протокол маршрутизации, основанный
на алгоритме вектора расстояния. Недостатки RIP, такие как медленная
конвергенция и плохая масштабируемость, проявляются при его
развертывании в крупномасштабных сетях.
 Open Shortest Path First (OSPF) это протокол маршрутизации по состоянию
канала на основе алгоритма SPF, разработанный Internet Engineering Task
Force (IETF). OSPF может быть развернут в крупномасштабных сетях для
преодоления недостатков RIP. Так как же OSPF отвечает требованиям
расширения сети?
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
 По окончании данного курса Вы:
 Будете понимать проблемы RIP в крупномасштабных сетях
 Ознакомитесь с характеристиками OSPF
 Освоите типы сетей, поддерживаемые OSPF
 Освоите процесс установления отношений соседства в OSPF
 Освоите принципы и функции OSPF DR и BDR
Содержание
1. Проблемы, с которыми сталкивается RIP в крупномасштабных сетях
2. Основные принципы OSPF
Изменения в крупномасштабных сетях
 Сети расширяются. Штаб-квартира компании
 Требуется более высокая

надежность сети.
 Наметилась тенденция по резкому
возрастанию неоднородности
сетей. Филиал A Филиал B
Существующие проблемы RIP в
крупномасштабных сетях
RTC
N1 N2
RTA RTB RTD RTE
t1 t2 t3 t4
Время конвергенции N1
Характеристики RIP Проблемы

Конвергенция на уровне ретрансляционных участков Медленная конвергенция и долгое восстановление после отказа
Механизм routing by rumor Недостаточное понимание топологии глобальной сети
Использование счетчика ретрансляционных участков для
Риск выбора неоптимального маршрута
измерения расстояния до точки назначения
Решение проблем RIP
Проблемы RIP Решения
Медленная конвергенция и долгое

Триггерные обновления
восстановление после отказа
Недостаточное понимание топологии Маршрутизатор самостоятельно рассчитывает

глобальной сети маршруты по информации о топологии
Использование пропускной способности канала как

Риск выбора неоптимального маршрута
критерия при выбора маршрута
Протокол маршрутизации по состоянию
канала OSPF
 Отделяет распространение информации маршрутизации от расчета маршрута.
 Использует алгоритм маршрутизации с предпочтением кратчайшего пути (SPF).
 Использует суммарный показатель cost канала в качестве критерия при выборе
маршрута.
LSDB
синхронизация
Рабочий процесс OSPF
 Шаг 1: установление отношений соседства.
 Шаг 2: синхронизация LSDB.
 Шаг 3: расчет
оптимальных маршрутов.

 Установление отношений соседства
 Информация о состоянии канала
 Типы пакетов и функции
 Синхронизация LSDB
 Выбор и роли DR и BDR
Router ID
 Каждый маршрутизатор OSPF имеет уникальный идентификатор Router ID,
который однозначно идентифицирует маршрутизатор в пределах
автономной системы (AS).
Кто я такой и кто другие?
Каждый маршрутизатор в LSDB
должен быть идентифицирован.
LSDB
синхронизация
Обнаружение соседей и установление отношений
соседства – пакет Hello
 Пакет Hello выполняет следующие функции:
 Обнаружение соседей: маршрутизатор OSPF может отправить пакет Hello для
обнаружения соседних маршрутизаторов.
 Установление отношений соседства: два маршрутизатора OSPF согласовывают
параметры в пакетах Hello для установления отношений соседства.
 Поддержание отношений соседства: маршрутизаторы OSPF используют
механизм Keepalive для постоянной проверки достижимости соседних устройств.
Процесс установления отношений соседства в
OSPF
Router ID 1.1.1.1 Router ID 2.2.2.2
RTA RTB
(1) Hello (Router ID:1.1.1.1 neighbor:null)

Down Down > Init
(2) Hello (Router ID:2.2.2.2 neighbor:null)

Down > Init Init
(3) Hello (Router ID:2.2.2.2 neighbor:1.1.1.1)

Init > 2-way Init
(4) Hello (Router ID:1.1.1.1 neighbor:2.2.2.2)

2-way Init > 2-way
Обнаружение соседей и установление отношений
соседства – ручное конфигурирование
 OSPF позволяет маршрутизаторам устанавливать отношения соседства при
помощи одноадресных пакетов Hello.
 Если в сети не поддерживается многоадресная рассылка, то отношения
соседства необходимо устанавливать вручную.
1.1.1.1 2.2.2.2
RTA RTB
ospf 1 ospf 1
peer 2.2.2.2 peer 1.1.1.1

Информация о состоянии канала
 Информация о канале включает:
 Тип канала
 IP-адрес интерфейса и маску подсети
 Соседние маршрутизаторы, использующие этот же канал
 Пропускная способность канала (cost)
Меня зовут 1.1.1.1

Смотри мою информацию о
состоянии канала ниже: xxxxx
Меня зовут 2.2.2.2

RTA Смотри мою информацию о RTB
состоянии канала ниже: xxxxx
Широкая поддержка канального уровня
 Существует множество протоколов канального уровня, и их рабочие механизмы
различаются.
 При адаптации различных протоколов канального уровня к конкретным сценариям
необходимо учитывать сферу применения каждого из них в сети.
FR
Тип сети – сеть «точка-точка»
 Только два маршрутизатора подключены друг к другу.
 Поддерживаются широковещательные и многоадресные рассылки.
10.1.12.2
10.1.12.1
RTA RTB
Тип сети – широковещательная сеть
 Два или более маршрутизаторов подключены через общие носители.
 Поддерживаются широковещательные и многоадресные рассылки.
RTA RTB
10.1.1.1 10.1.1.2
Ethernet
10.1.1.3 10.1.1.4
RTC RTD
Тип сети – сеть NBMA
 Два или более маршрутизаторов RTA
подключены через виртуальный канал (VC).

DLCI=102 DLCI=103
10.1.123.1
 Широковещательные и многоадресные
рассылки не поддерживаются.
FR
RTB RTC
Полносвязная сеть FR
Тип сети – сеть «точка-многоточка»
 Сеть «точка-многоточка» RTA
представляет собой набор из множества

DLCI=102 DLCI=103
10.1.123.1
сетей «точка-точка».
 Поддерживаются широковещательные и
многоадресные рассылки.
FR
RTB RTC
Частично связанная сеть FR
OSPF cost
 Cost интерфейса = эталонная пропускная способность/пропускная способность
интерфейса
 Следовательно, cost может быть изменена двумя способами:
 Конфигурирование cost непосредственно в режиме настройки интерфейса.
 Изменение эталонной пропускной способности. Такое изменение должно выполняться на
всех маршрутизаторах для обеспечения согласованности выбора маршрута.
Loopback 1
192.168.3.3/24
G1 G2 G3 G4
RTA RTB RTC
 Суммарный cost от RTA к подсети 192.168.3.0/24 = cost G1 + cost G3

Заголовок пакета OSPF
Протокол номер 89
Заголовок Заголовок Данные

IP-пакета OSPF-пакета OSPF-пакета
0 7 15 31
Version Type Packet Length
Router ID
Area ID
Checksum Auth Type
Authentication
Authentication
Типы пакетов OSPF
Тип Тип пакета Функция пакета

Обнаружение и поддержание отношений
1 Hello
соседства OSPF.
2 Database Description (DD) Обмен сводной информацией из LSDB.
Запрос определенной информации о

3 Link State Request (LSR)
состоянии канала.
Отправка запрошенной информации о
4 Link State Update (LSU)
состоянии канала.
5 Link State Ack (LSAck) Подтверждение получения LSA.
 Подумайте, какую информацию содержат пакеты DD, LSR, LSU и LSAck и

почему эта информация в них содержится?
Функциональные требования к пакетам
OSPF
Выполняемая функция Анализ реализации

Обнаружение и поддержание
Используется механизм Hello.
состояния соседства
Задействованы 2 маршрутизатора,
отправляющие LSA друг другу для
Синхронизация LSA
синхронизации. Синхронизация LSA происходит
быстро и потребляет меньше ресурсов.
Надежность Обеспечивается надежная синхронизация LSA.

Синхронизация LSDB в OSPF (1)
RTA RTB
(1) DD(Seq=X, I, M, MS)

ExStart
(2) DD(Seq=Y, I, M, MS) ExStart
ExStart > Exchange
Exchange (3) DD(Seq=Y) ExStart > Exchange
(4) DD(Seq=Y+1, MS) Exchange

Exchange
(5) DD(Seq=Y+1)
Exchange > Loading Exchange > Full
Синхронизация OSPF LSDB (2)
RTA RTB
(6) LS Request
Loading Full
(7) LS Update
Loading > Full Full
(8) LSAck
Full Full
Машина состояний соседей OSPF
Down
Hello Received Start

Attempt
Hello Received
Init
1-way Received
ExStart 2-way
Negotiation Done 2-way Hello Received
Exchange
Exchange Done
Full Loading
Loading Done
Заголовок LSA
 LSA несут информацию OSPF о состоянии каналов.
0 15 23 31
LS age Options LS type
Link State ID
Advertising Router
LS sequence number
LS checksum Length

Проблемы в MA Networks
 Управление nx(n-1)/2 смежностей затруднено.
 Ненужная лавинная рассылка повторяющихся LSA – пустая трата ресурсов.
RTA RTB
RTC RTD
Роль DR и BDR
 Сокращение числа смежностей.
 Сокращение трафика OSPF.
RTA RTB
Псевдоузел
RTC RTD
 Вопрос: как избежать того, что DR становится единственной точкой отказа?
Выбор DR и BDR
 Правила выбора: выбор DR/BDR происходит среди интерфейсов.
 Приоритет имеет интерфейс с наивысшим приоритетом маршрутизатора.
 Если интерфейсы имеют равный приоритет маршрутизатора, то приоритет имеет
интерфейс с наибольшим значением router ID.
RTA (DR) RTB (DRother) Не подходит для
того, чтобы стать
DR или BDR
100 0
10.1.1.1 10.1.1.2
95 200
10.1.1.3 10.1.1.4
Не обязательно станет
DR/BDR, даже несмотря
на наивысший приоритет
маршрутизатора
RTC (BDR) RTD (DRother)
Отношения соседства и смежности
Тип сети Устанавливается ли смежность
«Точка-точка» Да
Широковещательная DR устанавливает смежности с BDR и DRothers

BDR устанавливает смежности с DR и Drothers
DRothers устанавливают друг с другом только
NBMA
отношения соседства
«Точка-многоточка» Да
Вопросы
1. Что из представленного ниже является пакетами OSPF?
А. Hello
Б. Database Description
В. Link State Request
Г. Link State DD
Д. Link State Advertisement
2. Какие типы сетей OSPF бывают?
Спасибо!
www.huawei.com
Маршрутизация внутри области OSPF
Введение
 Данный курс заключается в том, как OSPF вычисляет внутризоновые
маршруты, в том числе как использовать Router-LSA и Network-LSA для
описания информации о топологии и маршрута, а также как построить SPT
(shortest path tree).
Цель
 По окончании данного курса Вы узнаете:
 Содержание Router-LSA и его функции
 Содержание Network-LSA и его функции
 Алгоритм SPF (shortest path first)
1. Router-LSA
2. Network-LSA
3. Расчет SPF
Router-LSA, описывающий интерфейс
«точка-точка»
RID 1.1.1.1 RID 3.3.3.3
10.1.13.0/24
RTA RTC
<RTA>display ospf lsdb router self-originate
Type : Router //Тип LSA

Ls id : 1.1.1.1 // Идентификатор состояния канала
Adv rtr : 1.1.1.1 // Идентификатор маршрутизатора, генерирующего LSA
* Link ID: 3.3.3.3 //Идентификатор соседнего маршрутизатора

Информация о Data : 10.1.13.1 //IP-адрес интерфейса маршрутизатора, генерирующего LSA
топологии Link Type: P-2-P
Metric : 48
* Link ID: 10.1.13.0 //IP-адрес этой оконечной сети (stub network)
Информация о Data : 255.255.255.0 //Маска сети этой оконечной сети
маршрутизации Link Type: StubNet
Metric : 48 // Значение стоимости (Cost)
Priority : Low
Router-LSA, описывающий сеть MA или NBMA
RID 2.2.2.2
RTB
DR
10.1.235.0/24
RID 3.3.3.3 RID 4.4.4.4
RTC RTE
<RTC>display ospf lsdb router self-originate
Type : Router //Тип LSA

Ls id : 3.3.3.3 //Идентификатор состояния канала
Adv rtr : 3.3.3.3 //Идентификатор маршрутизатора, генерирующего LSA
Информация * Link ID: 10.1.235.2 //IP-адрес интерфейса назначенного маршрутизатора

Data : 10.1.235.3 //IP-адрес интерфейса маршрутизатора, который объявляет LSA
о топологии
Link Type: TransNet
Metric : 1
 Вопрос: Где находится идентификатор сети или маска подсети?

1. Router-LSA
2. Network-LSA
3. Расчет SPF
Network-LSA, описывающий сеть MA или
NBMA
<RTB>display ospf lsdb network self-originate
OSPF Process 1 with Router ID 2.2.2.2

Area: 0.0.0.0
Link State Database
Type : Network //Тип LSA

Ls id : 10.1.235.2 //IP-адрес интерфейса DR
Adv rtr : 2.2.2.2 //Router ID DR
Топология и
информация о Net mask : 255.255.255.0 //Маска подсети
маршрутизации Priority : Low
Attached Router 2.2.2.2 //Список маршрутизаторов, подключенных к этой сети
Attached Router 3.3.3.3
LSDB в области OSPF
10.1.12.0/24
10.1.24.0/24
10.1.13.0/24
10.1.235.0/24 RTD
10.1.45.0/24
RTC RTE
<RTA>display ospf lsdb

Link State Database
Area: 0.0.0.0
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 4.4.4.4 4.4.4.4 1436 72 80000007 48
Router 2.2.2.2 2.2.2.2 1305 72 80000019 1
Router 1.1.1.1 1.1.1.1 1304 60 80000007 1
Router 5.5.5.5 5.5.5.5 1326 60 80000017 1
Router 3.3.3.3 3.3.3.3 1325 60 8000000F 1
Network 10.1.235.2 2.2.2.2 1326 36 80000004 0
Network 10.1.12.2 2.2.2.2 1305 32 80000001 0
1. Router-LSA
2. Network-LSA
3. Расчет SPF
Алгоритм SPF
 Этап 1: Создание дерево SPT.
 Создать SPT на основе информации о
топологии в Router-LSA и Network-LSA.
 Этап 2: Расчет оптимального маршрута.

 Рассчитать оптимальный маршрут на
основе SPT и маршрутной информации в
Router-LSA и Network-LSA.
Создание SPT (1)
<RTA>display ospf lsdb router self-originate
Общая стоимость Родительский
Кандидат
Type : Router кандидата узел
Ls id : 1.1.1.1
10.1.12.2 1 1.1.1.1
Adv rtr : 1.1.1.1
* Link ID: 10.1.12.2 3.3.3.3 48 1.1.1.1
Data : 10.1.12.1
Link Type: TransNet
Metric : 1
* Link ID: 3.3.3.3
Data : 10.1.13.1 1.1.1.1 RTA
Link Type: P-2-P 1
Metric : 48
* Link ID: 10.1.13.0
Data : 255.255.255.0 DR: 10.1.12.2
Link Type: StubNet
Metric : 48
Priority : Low
<RTA>display ospf lsdb network 10.1.12.2 Общая стоимость Родительский

Кандидат
кандидата узел
Type : Network 3.3.3.3 48 1.1.1.1
Ls id : 10.1.12.2
Adv rtr : 2.2.2.2 2.2.2.2 1+0 10.1.12.2
Net mask : 255.255.255.0

Priority : Low
1.1.1.1 RTA
1
DR: 10.1.12.2
0
2.2.2.2 RTB
<RTA>display ospf lsdb router 2.2.2.2 Общая стоимость Родительский
Кандидат
Type : Router
Ls id : 2.2.2.2 3.3.3.3 48 1.1.1.1
Adv rtr : 2.2.2.2
10.1.235.2 1+0+1 2.2.2.2
* Link ID: 10.1.12.2
Data : 10.1.12.2 4.4.4.4 1 + 0 + 48 2.2.2.2
Link Type: TransNet
Metric : 1
* Link ID: 10.1.235.2
Data : 10.1.235.2
Link Type: TransNet 1.1.1.1 RTA
Metric : 1 1
* Link ID: 4.4.4.4
Data : 10.1.24.2 DR: 10.1.12.2
Link Type: P-2-P 0
Metric : 48
* Link ID: 10.1.24.0 2.2.2.2 RTB
Data : 255.255.255.0 1
Link Type: StubNet
Metric : 48
DR：10.1.235.2
Priority : Low
Общая стоимость Родительский
кандидат
3.3.3.3 48 1.1.1.1
<RTA>display ospf lsdb network 4.4.4.4 1 + 48 2.2.2.2
10.1.235.2
3.3.3.3 1+0+1+0 10.1.235.2
Type : Network 5.5.5.5 1+0+1+0 10.1.235.2

Ls id : 10.1.235.2
Adv rtr : 2.2.2.2 RTA
1.1.1.1
1
Net mask : 255.255.255.0
Priority : Low DR: 10.1.12.2
Attached Router 2.2.2.2 0
Attached Router 3.3.3.3 RTB
Attached Router 5.5.5.5 2.2.2.2
1
DR: 10.1.235.2
0 0
3.3.3.3 5.5.5.5

Кандидат
Type : Router 4.4.4.4 1 48 2.2.2.2
Ls id : 3.3.3.3
Adv rtr : 3.3.3.3 1.1.1.1 RTA
* Link ID: 10.1.235.2 1
Data : 10.1.235.3
Link Type: TransNet DR: 10.1.12.2
Metric : 1 0
* Link ID: 1.1.1.1
Data : 10.1.13.3 2.2.2.2 RTB
1
Link Type: P-2-P
Metric : 48
DR: 10.1.235.2
* Link ID: 10.1.13.0
0 0
Data : 255.255.255.0
Link Type: StubNet 3.3.3.3 5.5.5.5
Metric : 48
Priority : Low

Кандидат
Type : Router 4.4.4.4 1 + 48 2.2.2.2
Ls id : 5.5.5.5 4.4.4.4 1 + 0 + 1 + 0 + 48 5.5.5.5
Adv rtr : 5.5.5.5
* Link ID: 10.1.235.2
Data : 10.1.235.5 1.1.1.1 RTA
1
Link Type: TransNet
Metric : 1
DR: 10.1.12.2
* Link ID: 4.4.4.4
0
Data : 10.1.45.5
Link Type: P-2-P 2.2.2.2 RTB
Metric : 48 1 48
* Link ID: 10.1.45.0
Data : 255.255.255.0 DR: 10.1.235.2
Link Type: StubNet 0 0
4.4.4.4
Metric : 48
3.3.3.3 5.5.5.5
Priority : Low
Расчет оптимального маршрута
 Сбор информации о маршрутизации из LSA всех узлов SPT.
 Начиная с корня, в той же последовательности, в которой они были
добавлены в SPT. * Link ID: 10.1.13.0
Data : 255.255.255.0
Link Type: StubNet
① Metric : 48
RTA Priority : Low
1.1.1.1 Type : Network

1 Ls id : 10.1.12.2
Adv rtr : 2.2.2.2
Type : Network ② Net mask : 255.255.255.0
Ls id : 10.1.235.2 DR: 10.1.12.2
Adv rtr : 2.2.2.2 0
Net mask : 255.255.255.0 RTB * Link ID: 10.1.24.0
③ Data : 255.255.255.0
2.2.2.2 Link Type: StubNet
④ 1 48 Metric : 48
Priority : Low
DR: 10.1.235.2 4.4.4.4

0 0 * Link ID: 10.1.45.0
⑤ Data : 255.255.255.0
Link Type: StubNet
3.3.3.3 5.5.5.5 Metric : 48
Priority : Low
Просмотр таблицы маршрутизации OSPF
<RTA>display ospf routing

Routing Tables
Routing for Network

Destination Cost Type NextHop AdvRoute Area
10.1.12.0/24 1 Transit 10.1.12.1 1.1.1.1 0.0.0.0
10.1.13.0/24 48 Stub 10.1.13.1 1.1.1.1 0.0.0.0
10.1.24.0/24 49 Stub 10.1.12.2 2.2.2.2 0.0.0.0
10.1.45.0/24 50 Stub 10.1.12.2 5.5.5.5 0.0.0.0
10.1.235.0/24 2 Transit 10.1.12.2 2.2.2.2 0.0.0.0
Total Nets: 5
Intra Area: 5 Inter Area: 0 ASE: 0 NSSA: 0
Пример конфигурирования OSPF для
одной области
ospf 1 router-id 1.1.1.1 ospf 1 router-id 2.2.2.2
area 0 area 0
network 10.1.12.0 0.0.0.255 network 10.1.12.0 0.0.0.255
network 10.1.13.0 0.0.0.255 network 10.1.24.0 0.0.0.255
network 10.1.235.0 0.0.0.255
RTA RTB
10.1.12.0/24
10.1.24.0/24
10.1.13.0/24
10.1.235.0/24 RTD ospf 1 router-id 4.4.4.4

10.1.45.0/24 area 0
network 10.1.24.0 0.0.0.255
network 10.1.45.0 0.0.0.255
RTC РТЕ
ospf 1 router-id 3.3.3.3
area 0 ospf 1 router-id 5.5.5.5
network 10.1.13.0 0.0.0.255 area 0
network 10.1.235.0 0.0.0.255 network 10.1.45.0 0.0.0.255
network 10.1.235.0 0.0.0.255
Просмотр статуса соседа OSPF
<RTA>display ospf peer brief

Peer Statistic Information
------------------------------------------------------------------------------------------------------------
Area Id Interface Neighbor id State
0.0.0.0 GigabitEthernet0/0/0 2.2.2.2 Full
0.0.0.0 Serial1/0/0 3.3.3.3 Full
------------------------------------------------------------------------------------------------------------
Вопросы
1. Какие типы канала могут быть описаны Router-LSA?
2. Будет ли маршрут, выбранный OSPF, обязательно добавлен в таблицу

маршрутизации маршрутизатора?
Спасибо!
www.huawei.com
Межобластная маршрутизация OSPF
Введение
 По мере роста сети, с увеличением структурной сложности маршрутизаторы
потребляют больше ресурсов памяти и ЦП для расчета маршрутов.
 Кроме того, растет и коэффициент отказов сетей. Если в области возникает
неисправность, то все маршрутизаторы в этой области должны пересчитать
маршруты. Это может налагать тяжелое бремя на маршрутизаторы и
ухудшать стабильность сети.
 Как работает протокол OSPF для решения проблем, вызванных чрезмерно
большой областью?
Цель
 Процессы передачи межобласных маршрутов
 Способ предотвращения межзобласной маршрутной петли
 Способ конфигурации виртуальных каналов
1. Вычисление межобластного маршрута
2. Предотвращение межобластной маршрутной петли
3. Функции и конфигурация виртуальных каналов
Деление областей
Внутренний
маршрутизатор
Пограничный
областный
маршрутизатор (ABR)
RTA
Область 1 Область 2
RTB RTC
Область 0
RTD RTE
Передача межобластного маршрута
192.168.1.0/24
carried in a Type 3
LSA and advertised in
Area 0
192.168.1.0/24 192.168.1.0/24
carried in a Type 1 carried in a Type 3
LSA and advertised LSA and advertised in
in Area 1 Area 2
RTA
192.168.1.1/24 192.168.2.1/24
RTB RTC
Область 1 Область 0 Область 2
RTD RTE
192.168.2.0/24
carried in a Type 1
192.168.2.0/24 LSA and advertised in 192.168.2.0/24
carried in a Type 3 Area 0 carried in a Type 1
LSA and advertised in LSA and advertised in
Area 1 Area 2
LSA: Реклама Link-state Информация о состоянии канала

Информация о маршрутизации
Network-Summary-LSA
<RTB>display ospf lsdb summary 192.168.1.0
Area: 0.0.0.0
Link State Database
Type : Sum-Net //Type 3 LSA
Ls id : 192.168.1.0 //Destination network segment address
Adv rtr : 2.2.2.2 //ID of the router that generates the LSA
Ls age : 86
Len : 28
Options : E
seq# : 80000001
chksum : 0x7c6d
Net mask : 255.255.255.0 //Subnet mask
Tos 0 metric: 1 //Cost value
Вычисление межобластного маршрута
Результат вычисления RTA в области 0 Результат вычисления RTE в области 2
1 1 1
RTA RTE
RTB RTC RTC

（ABR）（ABR）（ABR）
1 1 3
192.168.1.0/24 192.168.2.0/24 192.168.1.0/24
Генерация межобластной маршрутной
петли
RTA
Область 0
RTB RTC
192.168.1.0/24
advertised in Area 1
RTD advertises a Type 3

LSA describing subnet RTD RTE
192.168.1.0/24 to Area 1
192.168.1.0
Область 3
Предотвращение межобластной
маршрутной петли
 Магистральная область и немагистральная область
 Правила передачи Type 3 LSA Магистральная область
Область 0
Не-магистральная
область
 Вопрос: Что произойдет, если ID области установлен в ненулевое значение,

когда существует только одна область?
Неправильное проектирование области
OSPF
RTA
Область 1
RTD RTB RTC RTE
 Как быть, если соблюдать правила предотвращения возникновения

маршрутных петель между областями OSPF не удается?
Виртуальные каналы
RTA
Область 1
RTD RTB RTC RTE
[RTB-ospf-1]ospf 1 [RTC-ospf-1]ospf 1
[RTB-ospf-1]area 1 [RTC-ospf-1]area 1
[RTB-ospf-1-area-0.0.0.1]vlink-peer 3.3.3.3 [RTC-ospf-1-area-0.0.0.1]vlink-peer 2.2.2.2
Вопросы
1. Может ли один Network-Summary-LSA описать несколько маршрутов?
2. Как OSPF предотвращает междоменные маршруты маршрутизации?
Спасибо!
www.huawei.com
Внешняя маршрутизация OSPF

Введение
 Кроме внутренней связи предприятия требуют еще внешней связи.
 Предположим, протокол OSPF был развернут в корпоративной сети
компании A для обеспечения внутренней связи. Когда необходимо посетить
веб-сервер, расположенный на корпоративной сети компании B, как сетевой
инженер компании может импортировать маршрутную информацию из
корпоративной сети компании B для достижения поставленной цели?
Цель
 Функции AS-External-LSA и ASBR-Summary-LSA
 Методы вычисления внешних маршрутов OSPF
 Причину субоптимальных внешних маршрутов
1. Вычисление внешнего маршрута
2. Типы внешних маршрутов
3. Причина субоптимальных внешних маршрутов
Импорт внешних маршрутов
Company
CompanyBB
10.1.60.0/24 [RTA]ip route-static 10.1.60.0

255.255.255.0 10.1.16.6
RTF [RTA]ospf 1
[RTA-ospf-1]import-route static
Company A Type 5 LSA
Type 5 LSA RTA Type 5 LSA

Type 4 LSA Type 4 LSA
Area 0
Area 1 Area 2
RTD RTB RTC RTE
AS-External-LSA
<RTA>display ospf lsdb ase self-originate

Link State Database
Type : External //Тип LSA
Ls id : 10.1.60.0 //Адрес сегмента сети назначения
Adv rtr : 1.1.1.1 //Идентификатор ASBR, генерирующего Type
5 LSA
Ls age : 1340
Len : 36
Options : E
seq# : 80000004
chksum : 0xb5cc
Net mask : 255.255.255.0 //Маска подсети
TOS 0 Metric: 1 //Стоимость
E type : 2
Forwarding Address : 0.0.0.0
Tag :1
Priority : Low
ASBR-Summary-LSA
<RTB>display ospf lsdb asbr self-originate
Area: 0.0.0.1
Link State Database
Type : Sum-Asbr //Тип LSA

Ls id : 1.1.1.1 //Идентификатор маршрутизатора ASBR
Adv rtr : 2.2.2.2 //Идентификатор ABR, генерирующего Type 4
LSA
Ls age : 15
Len : 28
Options : E
seq# : 80000005
chksum : 0xf456
Tos 0 metric: 1 //Стоимость маршрута от RTB до ASBR
Расчет внешнего маршрута
Результат вычисления RTB в Области 0 Результат вычисления RTD в Области 1

(область, в которой находится ASBR) (не та область, в которой находится ASBR)
10.1.60.0/24 cost=1
RTA
（ASBR）
RTD RTB 10.1.60.0/24
（ABR） Стоимость = 1
RTB RTC
Типы внешних маршрутов
Тип Стоимость (Cost)
Внутренняя стоимость AS +
Внешний маршрут типа 1
внешняя стоимость AS
Внешний маршрут типа 2 Внешняя стоимость AS
Причина субоптимальных внешних
маршрутов
Перераспределение
.2 маршрутов RIP в OSPF
OSPF
RTB
RTA RIP
.1
RTC
10.1.123.0/24
.3
192.168.3.0/24
<RTA>display ip routing-table 192.168.3.0
Destination/Mask Proto Pre Cost Flags NextHop Interface
192.168.3.0/24 O_ASE 150 1 D 10.1.123.2 GigabitEthernet0/0/0
Адрес переадресации
Перераспределение маршрутов RIP в OSPF Type 5 LSA, сгенерированный RTB:
Type : External
Ls id : 192.168.3.0
.2 Adv rtr : 2.2.2.2
OSPF Ls age : 273
Len : 36
RTB Options : E
.1
RTA RIP seq# : 80000001
Chksum : 0x470b
RTC Net mask : 255.255.255.0
TOS 0 Metric: 1
10.1.123.0/24 E type :2
.3 Forwarding Address : 10.1.123.3
Tag :1
Priority : Low
192.168.3.0/24
<RTA>display ip routing-table 192.168.3.0
192.168.3.0/24 O_ASE 150 1 D 10.1.123.3 GigabitEthernet0/0/0
Вопросы
1. На каком типе маршрутизаторов генерируется AS-External-LSA? Каковы функции
AS-External-LSA?
2. На каком типе маршрутизаторов генерируется ASBR-Summary-LSA? Каковы

функции ASBR-Summary-LSA?
3. Какие два типа внешних маршрутов предоставляет OSPF? Какой тип маршрутов
имеет более высокий приоритет?
Спасибо!
www.huawei.com
Специальные области OSPF и прочие
функциональные особенности
Введение
 Маршрутизаторы OSPF должны сохранять базы данных состояния каналов (LSDB),
содержащие внутриобластную, межобластную и внешнюю информацию маршрутизации. По
мере расширения сети растут количество или размер LSDB. Если в одной из областей OSPF
не нужно предоставлять транзитные услуги для прохождения трафика, то маршрутизаторам
в этой области не нужно сохранять информацию о состоянии каналов за пределами этой
области.
 OSPF сокращает количество LSA в сети путем деления его автономной системы (AS) на ряд
областей. Однако, возможна лавинная рассылка слишком большого количества LSA в
немагистральных областях, что создаст непосильную нагрузку на маршрутизаторы нижнего
ценового сегмента, расположенные в таких областях. Для дальнейшего сокращения
количества LSA и размеров таблицы маршрутизации была предложена пара специальных
областей OSPF.
Цель
 По окончании данного курса Вы будете:
 Понимать особенности специальной области OSPF
 Понимать сценарии применения виртуальных каналов OSPF
 Ознакомлены с принципом суммирования маршрута OSPF
 Ознакомлены с механизмом обновления OSPF
 Понимать механизм аутентификации OSPF
1. Тупиковая область и полностью тупиковая область
2. NSSA и Totally NSSA
3. Суммирование маршрута между областями и суммирование внешнего

маршрута
4. Механизмы обновления OSPF
5. Механизм аутентификации OSPF
Транзитная область и конечная область
Внешняя сеть
Транзитная область
Конечная область
RTA
Область 0
RTD RTB RTC РТЕ
Тупиковая область
Тупиковая область
RTA
Область 0
ospf 1 RTD RTB RTC RTE
area 1
stub
LSDB в RTD LSDB в RTD

LSA Type 1, Type 2 и Type 3 LSA Type 1, Type 2 и Type 3
Type 5 LSA
Один Type 3 LSA по умолчанию
Type 4 LSA
...
Type 5 LSA Заменяются
Type 4 LSA
Таблица маршрутизации OSPF в
тупиковой области
<RTD>display ospf routing

Routing Tables
Routing for Network

Destination Cost Type NextHop AdvRouter Area
10.1.24.0/24 1 Transit 10.1.24.4 4.4.4.4 0.0.0.1
0.0.0.0/0 2 Inter-area 10.1.24.2 2.2.2.2 0.0.0.1
10.1.12.0/24 2 Inter-area 10.1.24.2 2.2.2.2 0.0.0.1
10.1.13.0/24 3 Inter-area 10.1.24.2 2.2.2.2 0.0.0.1
10.1.35.0/24 4 Inter-area 10.1.24.2 2.2.2.2 0.0.0.1
192.168.2.0/24 4 Inter-area 10.1.24.2 2.2.2.2 0.0.0.1
Полностью тупиковая область
Полностью
тупиковая область RTA
Область 0
ospf 1 RTD RTB RTC RTE
area 1 ospf 1
stub area 1
LSDB в RTD stub no-summary
LSA Type 1 и Type 2 LSDB в RTD

Type 3 LSA LSA Type 1 и Type 2
Type 5 LSA Один Type 3 LSA по умолчанию
Type 4 LSA
... Заменяются
Type 5 LSA
Type 4 LSA
Таблица маршрутизации OSPF в
полностью тупиковой области
<RTD>display ospf routing

Routing Tables
Routing for Network

Destination Cost Type NextHop AdvRouter Area
10.1.24.0/24 1 Transit 10.1.24.4 4.4.4.4 0.0.0.1
0.0.0.0/0 2 Inter-area 10.1.24.2 2.2.2.2 0.0.0.1

маршрута
Проблемы, возникающие в тупиковых и
полностью тупиковых областях
Внешняя Импорт внешних

Оптимальный маршрутов
сеть
маршрут
RTA
Область 0
RTD RTB RTC RTE
Тупиковая/полность
ю тупиковая область
NSSA и Totally NSSA
Внешняя
сеть
ospf 1
area 1 RTA
nssa Область 1 Область 2
Область 0
RTD RTB RTC RTE
Type 7 LSA Type 5 LSA Type 5 LSA

ASBR ABR ABR Type 4 LSA
Преобразование
LSA Type 7 в LSA
Type 5
Импорт внешних маршрутов Создание LSA Type 4
Примеры LSDB в NSSA и totally NSSA
NSSA Totally NSSA

<RTB>display ospf lsdb <RTB>display ospf lsdb
OSPF Process 1 with Router ID 2.2.2.2 OSPF Process 1 with Router ID 2.2.2.2
Link State Database Link State Database
Area: 0.0.0.1 Area: 0.0.0.1

Type LinkState ID AdvRouter Type LinkState ID AdvRouter
Router 4.4.4.4 4.4.4.4 Router 4.4.4.4 4.4.4.4
Router 2.2.2.2 2.2.2.2 Router 2.2.2.2 2.2.2.2
Network 10.1.24.4 4.4.4.4 Network 10.1.24.4 4.4.4.4
Sum-Net 10.1.35.0 2.2.2.2 Sum-Net 0.0.0.0 2.2.2.2
Sum-Net 10.1.13.0 2.2.2.2 NSSA 0.0.0.0 2.2.2.2
Sum-Net 10.1.12.0 2.2.2.2 NSSA 10.1.47.0 4.4.4.4
Sum-Net 192.168.2.0 2.2.2.2 NSSA 192.168.7.0 4.4.4.4
NSSA 0.0.0.0 2.2.2.2 NSSA 10.1.24.0 4.4.4.4
NSSA 10.1.47.0 4.4.4.4
NSSA 192.168.7.0 4.4.4.4
NSSA 10.1.24.0 4.4.4.4
Резюме LSA
Объявляющий
LSA Type Содержание LSA Границы объявления
Router-LSA Информация о топологии и
Маршрутизатор OSPF Локальная область
(Type 1) маршрутизации
Network-LSA Назначенный Информация о топологии и

Локальная область
(Type 2) маршрутизатор (DR) маршрутизации
Network-Summary-LSA Информация о маршрутизации Области, за исключением

ABR
(Type-3) между областями полностью тупиковых
ASBR-Summary-LSA Области, за исключением

ABR Router ID ASBR
(Type 4) полностью тупиковых
AS-External-LSA Информация о внешней Области OSPF, за исключением

ASBR
(Type 5) маршрутизации AS тупиковых
NSSA-LSA Информация о внешней

ASBR Totally NSSA
(Type 7) маршрутизации NSSA
 Вопрос: Каковы ограничения специальных областей OSPF? Существуют ли

какие-то другие методы сокращения количества LSA?

маршрута
Суммирование маршрута между
областями
RTA
172.16.0.0/24
172.16.1.0/24
Область 1
172.16.2.0/24
172.16.3.0/24
172.16.4.0/24 Область 0
172.16.5.0/24
172.16.6.0/24 RTD RTB RTC
172.16.7.0/24
ospf 1
area 1
abr-summary 172.16.0.0 255.255.248.0
Type LinkState ID AdvRouter
Sum-Net 172.16.0.0 2.2.2.2
Sum-Net 172.16.1.0 2.2.2.2
Sum-Net 172.16.2.0 2.2.2.2
Sum-Net 172.16.3.0
Sum-Net 172.16.4.0
2.2.2.2
2.2.2.2
8 vs 1 Sum-Net 172.16.0.0 2.2.2.2
Sum-Net 172.16.5.0 2.2.2.2
Sum-Net 172.16.6.0 2.2.2.2
Sum-Net 172.16.7.0 2.2.2.2
Суммирование внешнего маршрута
172.17.0.0/24 172.17.4.0/24
172.17.1.0/24 172.17.5.0/24
172.17.2.0/24 172.17.6.0/24
172.17.3.0/24 172.17.7.0/24
RTA ospf 1
Область 1 asbr-summary 172.17.0.0 255.255.248.0
Область 0
RTD RTB RTC
AS External Database
External 172.17.0.0 1.1.1.1 AS External Database
External 172.17.1.0 1.1.1.1 Type LinkState ID AdvRouter
External 172.17.2.0 1.1.1.1 8 vs 1 External 172.17.0.0 1.1.1.1
External 172.17.3.0 1.1.1.1
External 172.17.4.0 1.1.1.1
External 172.17.5.0 1.1.1.1
External 172.17.6.0 1.1.1.1
External 172.17.7.0 1.1.1.1

маршрута
Периодическое и инициируемое
обновление LSA
 Периодическое обновление:
 Каждый LSA обновляется раз в 1800 секунд, иначе срок его действия истечет по
прошествии 3600 секунд.
 Инициируемое обновление:
 При изменении состояния канала маршрутизатор немедленно отправляет пакет
Link State Update (LSU).
LSU
192.168.1.0/24
LSAck
RTA RTB

маршрута
Риски безопасности
Нормальный
трафик
RTA RTB
База
Финансовый
данных
отдел
Ненормальный
трафик Вводимый ложный
маршрут
Несанкционированное
устройство
Аутентификация обеспечивает
безопасность
ospf 1
area 0
authentication-mode md5 1 cipher abc
Нормальный
трафик
RTA RTB
Финансовый База
отдел данных
Аутентификация
Неудача при попытке

вводе маршрута
Несанкционированное
Комплексный сценарий OSPF
 На следующем рисунке представлена топология сети предприятия. Базовое конфигурирование OSPF выполнено, но администратор сети по-
прежнему сталкивается со следующими проблемами:
 Связь между головным офисом и филиалами А и Б работает нормально, но все они не могут связаться с удаленным офисом В.
 В связи с низкой производительностью устройств в филиале А должна быть снижена нагрузка по вычислению маршрутов и хранению
состояний каналов. Кроме того, имея в виду будущее расширение сети, для этой области должна быть предусмотрена возможность
импорта внешних маршрутов.
 Должна быть обеспечена безопасность информации маршрутизации в удаленном офисе В из-за частых визитов туда гостей.
 Помимо внешней cost, при импорте внешних маршрутов в RTA также необходимо учитывать внутреннюю cost OSPF.
RTA Область 0
Головной офис
10.1.123.0/24
10.1.24.0/24 10.1.35.0/24 10.1.56.0/24
Область 3
Область 1 RTB RTC Область 2
Удаленный
RTD Филиал А Филиал Б RTE RTF
офис В
Конфигурирование OSPF (1)
ospf 1
area 2
vlink-peer 5.5.5.5
ospf 1
area 2
RTA Область 0 vlink-peer 3.3.3.3
10.1.123.0/24
10.1.24.0/24 10.1.35.0/24 10.1.56.0/24
Область 1 RTB RTC Область 2 Область 3

RTD Филиал А Филиал Б RTE Офис В RTF
ospf ospf
area 1 area 1
nssa nssa no-summary
Конфигурирование OSPF (2)
ospf 1
import-route rip 1 type 1
RTA Область 0
10.1.123.0/24
10.1.24.0/24 10.1.35.0/24 10.1.56.0/24
Область 1 RTB RTC Область 2

Область 3
RTD Филиал А Филиал Б RTE RTF
Офис В
interface g0/0/1 interface g0/0/0

ospf authentication-mode ospf authentication-mode
hmac-md5 1 cipher huawei hmac-md5 1 cipher huawei
Вопросы
1. Какие специальные области определены в OSPF?
2. Каковы различия между тупиковой и полностью тупиковой областями?
3. Какие маршрутизаторы могут быть сконфигурированы для суммирования

маршрутов между областями?
Спасибо!
www.huawei.com
Принципы и конфигурации IS-IS

Введение
 Промежуточная System-to-Intermediate System (IS-IS) представляет собой IGP на
базе состояния каналов. Для расчета маршрутов она использует алгоритм
маршрутизации с предпочтением кратчайшего пути (SPF). IS-IS это динамический
протокол маршрутизации, первоначально разработанный Международной
организацией по стандартизации (ISO) для ее Протокола сетевого обслуживания
без установления соединения (CLNP).
 Для поддержки IP-маршрутизации Internet Engineering Task Force (IETF) расширяет
и изменяет IS-IS в RFC 1195. Это позволяет применять IS-IS к средам TCP/IP и OSI.
Данный тип IS-IS называется Integrated IS-IS. IS-IS широко используется в
крупномасштабных сетях ISP благодаря простоте и возможностям
масштабирования.
Цель
 Освоите принципы и конфигурации IS-IS
 Познакомитесь с различиями между IS-IS и OSPF
1. Принципы IS-IS
2. Различия между IS-IS и OSPF
3. Конфигурации IS-IS
Применение
CE
CE
PE
ER ER
OSPF
IS-IS+BGP PE
CS CS
PE PE
PE
CE
CE
SW SW SW
 Кампусная сеть:  Магистральная сеть:

Различные области, изменчивые политики Плоская область, быстрая конвергенция
и точное временное планирование и высокий объем передачи
Происхождение
OSI
Уровень
приложений
Уровень TCP/IP
представления
Уровень Уровень
сеансов приложений
Транспортный Транспортный
TP0-TP4 OSPF TCP
уровень уровень
Сетевой Сетевой
CLNP IS-IS IP
Канальный Канальный
ES-IS ARP
Физический Integrated Физический
уровень IS-IS уровень
 Интегрированные характеристики IS-IS:  Характеристики OSPF:

 Поддержка сетей CLNP и IP.  Поддерживает только IP-сети.
 Работает на канальном уровне.  Работает на IP-уровне.
Расчет маршрута
Этот процесс
 Установление отношений соседства аналогичен
таковому в OSPF
Hello
 Синхронизация LSDB
LSDB LSDB
LSP1 LSP3
LSP2 LSP4
------- -------
 Выполнение вычислений маршрута SPF

Алгоритм маршрутизации
с предпочтением
кратчайшего пути
Структура адреса
Набор протоколов Протокол IP IP-адрес OSPF Area ID+Router
TCP/IP ID
OSI Протокол Адрес IS-IS NET-
CLNP NSAP идентификатор
NSAP
IDP DSP
AFI IDI High Order DSP System ID SEL

Area ID (1-13B) 6B 1B
NET это особый тип адреса NSAP (SEL = 00). При конфигурировании
IS-IS на маршрутизаторе необходимо учитывать только NET. Например:
49.0001. 0000.0000.0001.00
Area ID System ID N-SEL
Типы маршрутизаторов
 Маршрутизаторы IS-IS подразделяются на три типа:
 Маршрутизатор Level-1: хранит только Level-1 LSDB.
 Маршрутизатор Level-2: хранит только Level-2 LSDB.
 Маршрутизатор Level-1-2: маршрутизатор по умолчанию относится к этому типу, хранит
Level-1 и Level-2 LSDB.
При создании смежности
Level-1 убедитесь, что
оба маршрутизатора
используют одинаковый
area ID.
Область 49.0001 Область 49.0002

Область 49.0001
Одна Разные
область области
Пакет приветствия
P2P
Point-to-Point IIH
Тип сети «точка-точка»
L1 LAN IIH
Mac:0180-c200-0014
Broadcast
или
L2 LAN IIH
Mac:0180-c200-0015
Тип сети – широковещательная
сеть коллективного доступа
 В настоящее время к поддерживаемым IS-IS типам сетей относятся только

«точка-точка» и широковещательные сети.
Установление отношений соседства
Handshake в двух направлениях
RTA RTB
SYS ID 0000.0000.0001 SYS ID 0000.0000.0002
point-to-point IIH
Состояние: up
point-to-point IIH
 ISO10589 определяет подтверждение установления связи в двух направлениях, в то
время как RFC3373 для P2P определяет подтверждение в трех направлениях.
Handshake в трех направлениях

RTA RTB
SYS ID 0000.0000.0001 SYS ID 0000.0000.0002
LAN IIH (system ID: 0000.0000.0001 neighbor: null)
Состояние: initialized
LAN IIH (system ID: 0000.0000.0002 neighbor: RTA)
LAN IIH (system ID: 0000.0000.0001 neighbor: RTB)
DIS election
 Для установления отношений соседства в сети типа multicast access (MA) требуется
подтверждение установления связи в трех направлениях.
Сравнение DIS с DR
Level-1 Level-1-2 Level-1 Level-1-2
Виртуальный
(псевдоузел)
Level-1 DIS Level-1
Пункт IS-IS DIS OSPF DR

Приоритет выбора Устройства с любыми значениями приоритетов Устройства с приоритетом, равным 0, не участвуют в
участвуют в выборе DIS выборе DR
Срок ожидания при выборе Два интервала Hello 40 с
Резервирование Нет резервирования BDR в качестве резерва
Смежность Все маршрутизаторы устанавливают Не-DR/BDR маршрутизаторы (DR others) устанавливают
смежности двухсторонние отношения соседства
Упреждающее переключение Да Нет
Периодическая отправка CSNP для
Функция Уменьшение лавинной рассылки LSA
обеспечения синхронизации LSDB в сетях MA.
Носители информации о состоянии
каналов
 LSP PDU: используется для обмена информацией о
состоянии канала. TLV
 Реальный узел LSP Структура пакета
IS-IS
 Псевдоузел LSP (существует только в
широковещательных каналах)
TYPE LENGTH VALUE
 SNP PDU: используется для сохранения и
синхронизации LSDB, содержит сводные данные.
 CSNP (используется для синхронизации LSP)
 PSNP (используется для запроса и подтверждения LSP)
Пакеты IS-IS подразделяются на два типа: Level-1 и Level-2. MAC-адреса назначения всех
пакетов IS-IS в сетях MA являются MAC-адресами многоадресной рассылки:
Адрес Level-1: 0180-C200-0014
Адрес Level-2: 0180-C200-0015
Обмен информацией о состоянии канала
RTA RTB RTA
P2P RTC
RTB
CSNP ① DIS MA
A.00-00
② PSNP
A.00-00
CSNP ① LSP
LSP ③ C.00-00
A.00-00
A.00-00 ② C.00-01
④ B.00-00

PSNP
Интервал попыток B.01-00
A.00-00
повторной передачи истек C.00-00 Фрагмент LSP
LSP ⑤ Повторная C.00-01 PSNP
A.00-00 передача PSNP
LSP ③ A.00-00
⑥ PSNP B.00-00
A.00-00
A.00-00 ④ B.01-00
B.00-00
B.01-00
 CSNP отправляются в сети P2P только Псевдоузел LSP
единожды. То есть, CSNP отправляется сразу  Только DIS многоадресно рассылает CSNP
после установления отношений соседства. в сети MA с интервалом по умолчанию 10 с
Алгоритмы маршрутизации
 Расчет cost маршрута IS-IS:
 Значение cost интерфейса по
RTE умолчанию равно 10.
RTA
RTC
 Процесс расчета SPF:

 Полная синхронизация LSDB в
RTA RTB RTE
пределах одной области.
 Создание топологии сети.
 Создание дерева кратчайшего
пути с локальным узлом в RTD
качестве корня.
Иерархия сети и домен маршрутизации
L1
L1/2 L1/2
L2 L2
Область 49.0001 Магистраль
L2 L2
L1
L1/2 L1/2 L1
L1
Область 49.0003 L1 L1
 Границей области IS-IS является маршрутизатор, тогда как граница

OSPF – интерфейс маршрутизатора.
Маршрутизация между областями
 Область 49.0001 получает доступ к Области
49.0002
 Маршрутизатор Level-1-2 RTA генерирует LSP с
битом ATT, установленным на 1.
L2 Соседство L2 L2
 После получения LSP с битом ATT равным 1,
маршрутизатор Level-1 генерирует маршрут по
умолчанию со следующим ретрансляционным
участком, ведущим к маршрутизатору Level-1-2.
Магистральная область
Соседство L1 Соседство L1 L1/2 Хранит L2 LSDB
L1
L1
Хранит L1 LSDB
RTA
 Область 49.0002 получает доступ к Области 49.0001
 Маршрутизатор Level-1-2 RTA добавляет конкретные
маршруты к Области 49.0001 в Level-2 LSDB.
 Маршрутизатор Level-2 вычисляет конкретные маршруты к
Области 49.0001 с помощью расчета SPF.
Различия между IS-IS и OSPF
Пункт IS-IS OSPF

Типы сети Меньше Больше
Режим применения cost Сложный Простой
Типы областей Меньше Больше Выбор между IS-IS
или OSPF зависит от
Типы пакетов Скуднее Разнообразнее потребностей услуг
Конвергенция маршрутов Еще быстрее Быстрая
Масштабируемость Хорошая Средняя
Предельная
производительность Еще выше Высокая
маршрутизации
Термины
Аббревиатура Термин OSI Термин IETF

IS Intermediate System Маршрутизатор
ES End System Хост
DIS Designated Intermediate System Назначенный маршрутизатор в OSPF
SysID System ID Router ID в OSPF
LSP PDU состояния каналов LSA в OSPF
IIH PDU Hello IS-IS Пакет Hello в OSPF
PSNP Partial Sequence Number PDU LSR или LSAck в OSPF
CSNP Complete Sequence Number PDU Пакет DD в OSPF
Требования к конфигурации маршрутов
IS-IS
192.168.1.0/24;
192.168.2.0/24;
192.168.3.0/24;
Level-1 Level-2
Область 49.0001 RTB import1
G0/0/0
RTA RTD RTE
G0/0/1
G0/0/1 G0/0/0 G0/0/0
G0/0/0
G0/0/0
S1/0/0
S1/0/0
RTC
 Как показано на рисунке, для обеспечения доступности маршрутов все маршрутизаторы в сети заказчика должны
использовать IS-IS. Все процессы IS-IS используют идентификатор процесса, равный 100. RTA является DIS области
49.0001. Сеть между RTD и RTE должна быть P2P. RTE импортирует прямые маршруты 192.168.X.X и запрашивает у
RTA доступ к Области 49.0002 по оптимальному пути.
 Основываясь на вышеуказанном, выполните правильное конфигурирование, чтобы удовлетворить требования заказчика.
Конфигурирование маршрута IS-IS (1)
isis 100 isis 100
network-entity network-entity
49.0001.0000.0000.0001.00 49.0001.0000.0000.0002.00
is-level level-1 #
# interface GigabitEthernet0/0/0
interface GigabitEthernet0/0/0 isis enable 100
isis enable 100
isis dis-priority 120 level-1
Level-1 Level-2
Область 49.0001 RTB import1
G0/0/0
RTD RTE
G0/0/1
G0/0/1 G0/0/0 G0/0/0
G0/0/0
G0/0/0
S1/0/0
RTA
S1/0/0
RTC 192.168.1.0/24;
192.168.2.0/24;
isis 100 192.168.3.0/24;
network-entity
49.0001.0000.0000.0003.00
#
interface GigabitEthernet0/0/0
isis enable 100
isis 100 isis 100
network-entity network-entity
49.0002.0000.0000.0004.00 49.0002.0000.0000.0005.00
is-level level-2 is-level level-2
# #
interface GigabitEthernet0/0/0 interface GigabitEthernet0/0/0
isis enable 100 isis enable 100
isis circuit-type P2P isis circuit-type P2P
Level-1 Level-2
RTB import1
Область 49.0001 G0/0/0
RTD RTE
G0/0/1
G0/0/1 G0/0/0 G0/0/0
G0/0/0
G0/0/0
S1/0/0
RTA
S1/0/0
RTC 192.168.1.0/24;
192.168.2.0/24;
192.168.3.0/24;
isis 100
network-entity 49.0001.0000.0000.0002.00
import-route isis level-2 into level-1
#
isis enable 100
Level-1 Level-2
RTB import1
Область 49.0001 G0/0/0
RTD RTE
G0/0/1
G0/0/1 G0/0/0 G0/0/0
G0/0/0
G0/0/0
S1/0/0
RTA S1/0/0
RTC 192.168.1.0/24;
192.168.2.0/24;
192.168.3.0/24;
isis 100
network-entity 49.0001.0000.0000.0003.00
import-route isis level-2 into level-1
# isis 100
interface Serial 1/0/0 import-route direct
isis enable 100
Вопросы
1. Какие типы маршрутизаторов IS-IS существует?
2. Какова функция PSNP при взаимодействии соседей?
3. Каковы преимущества IS-IS по сравнению с OSPF?
Спасибо!
www.huawei.com
Принципы и конфигурации BGP

Введение
 В Протоколе внешнего шлюза (EGP) введено понятие автономной системы (AS). AS
это группа маршрутизаторов под единым техническим управлением, использующая
единую политику маршрутизации.
 Протокол внутреннего шлюза (IGP) используется в AS для расчета и обнаружения
маршрутов. Маршрутизаторы в пределах одной AS доверяют друг другу, поэтому
расчет маршрута IGP и лавинная рассылка информации полностью открыты и
требуют минимального вмешательства оператора.
 Потребность в соединениях между AS подстегнула развитие EGP. BGP относится к
EGP и используется для управления маршрутами и выбора оптимальных
маршрутов между AS.
Цель
 Поймете принципы BGP
 Освоите основные атрибуты и приложения BGP
 Познакомитесь с применимостью агрегирования маршрутов BGP
1. Обзор BGP
2. Создание и конфигурирование отношений соседства в BGP
3. Режимы генерации маршрутов BGP
4. Правила объявления и обработка маршрутов BGP
5. Основные атрибуты BGP
6. Правила выбора маршрутов BGP
7. Агрегирование маршрутов BGP
Основные функции MPLS
AS 65000
AS 65001
IGP IGP
BGP
AS 65002 AS 65003
BGP
BGP
 IGP, такие как OSPF, IS-IS и RIP, используются в AS для расчета и обнаружения
маршрутов.
 BGP используется между AS для осуществления передачи и управления маршрутами.
Характеристики BGP
AS 65001 AS 65002
BGP
AS 65003
BGP
 Как показано на рисунке, два маршрутизатора BGP могут установить отношения соседства
между несколькими маршрутизаторами.
 Для реализации контроля и выбора маршрута в соответствии с требованиями в BGP
задаются и переносятся по маршрутам различные атрибуты.
1. Обзор BGP
Обнаружение соседей BGP
1.1.1.1 2.2.2.2
RTA RTB
TCP SYN
TCP ACK+SYN
TCP ACK
 Устройство, запускающее BGP, сначала инициирует соединение TCP. Как

показано на рисунке, RTB сначала запускает BGP и использует случайный
номер порта для инициализации соединения TCP с портом 179 на RTA.
Тип соседства BGP – EBGP
AS 200 AS 300
RTD RTE
EBGP EBGP
RTB RTC
RTA
AS 100 OSPF
 Маршрутизаторы BGP из разных AS устанавливают отношения соседства

EBGP.
Тип соседства BGP – IBGP
AS 200 AS 300
RTD RTE
EBGP EBGP
RTB RTC
RTA
AS 100 OSPF
 Маршрутизаторы BGP в одной AS устанавливают отношения соседства

IBGP.
Конфигурирование отношений соседства
BGP
AS 200 AS 300 router id 5.5.5.5
bgp 300
peer 10.1.35.3 as-number 100
RTD RTE
4.4.4.4 5.5.5.5
.4 .5
EBGP EBGP
10.1.24.0/24 10.1.35.0/24
router id 3.3.3.3
.2 .3
bgp 100
IBGP peer 10.1.35.5 as-number 300
RTB RTC peer 10.1.12.2 as-number 100
2.2.2.2 3.3.3.3
.2 RTA .3
10.1.12.0/24 10.1.13.0/24
.1 .1
AS 100 OSPF
1.1.1.1
Оптимизация конфигурации отношений
соседства BGP
AS 200 AS 300 router id 5.5.5.5
bgp 300
RTD RTE
4.4.4.4 5.5.5.5
.4 .5
EBGP EBGP
10.1.24.0/24 10.1.35.0/24
.2 .3 router id 3.3.3.3
bgp 100
IBGP peer 10.1.35.5 as-number 300
RTB RTC peer 2.2.2.2 as-number 100
2.2.2.2 3.3.3.3 Peer 2.2.2.2 connect-interface
loopback 0
.2 RTA .3
10.1.12.0/24 10.1.13.0/24
.1 .1
AS 100 OSPF
1.1.1.1
Установление отношений соседства BGP
1.1.1.1 2.2.2.2
RTA RTB
Idle Idle
Connect TCP SYN Connect
TCP ACK+SYN
TCP ACK
Сообщение Open OpenSent
OpenSent
Сообщение Open
OpenComfirm
Сообщение Keepalive OpenComfirm
Сообщение Keepalive Established
Established
Update, Keepalive, Route-refresh, Notification
1. Обзор BGP
Режим генерации маршрутов BGP –
Network (1)
router id 3.3.3.3
bgp 200
RTC
3.3.3.3
router id 2.2.2.2
.3 AS 200 bgp 100
ipv4-family unicast
EBGP network 10.1.12.0 255.255.255.0
10.1.23.0/24 network 100.0.0.0 255.255.255.0
network 100.0.1.0 255.255.255.0
.2
AS 100
100.0.0.0/24
.2 100.0.1.0/24
RTB
2.2.2.2
OSPF .1
Область 0 1.1.1.1 RTA
 Команда network по одному импортирует существующие в таблице маршрутизации IP

маршруты в таблицу маршрутизации BGP.
Режим генерации маршрутов BGP –
Network (2)
<RTC>display bgp routing-table
Network NextHop MED LocPrf PrefVal Path/Ogn

RTC *> 10.1.12.0/24 10.1.23.2 0 0 100i
3.3.3.3 *> 100.0.0.0/24 10.1.23.2 0 0 100i
*> 100.0.1.0/24 10.1.23.2 1 0 100i
.3 AS 200
<RTB>display ip routing-table
EBGP Destination/Mask Proto Pre Cost Flags NextHop Interface

10.1.23.0/24 10.1.12.0/24 Direct 0 0 D 10.1.12.2 GigabitEthernet0/0/0
100.0.0.0/24 Static 60 0 RD 10.1.12.1 GigabitEthernet0/0/0
100.0.1.0/24 OSPF 10 1 D 10.1.12.1 GigabitEthernet0/0/0
.2
AS 100
100.0.0.0/24
.2
RTB 100.0.1.0/24
2.2.2.2
OSPF .1
 Для проверки того, получает ли RTC объявляемые BGP маршруты, выполните на RTC команду display.
Режим генерации маршрутов BGP – Import
(1)
router id 3.3.3.3
bgp 200
RTC peer 10.1.23.2 as-number 100
3.3.3.3
.3 AS 200
router id 2.2.2.2
bgp 100
EBGP peer 10.1.23.3 as-number 200
10.1.23.0/24 ipv4-family unicast
import-route direct route-policy import
.2 import-route static route-policy import
import-route ospf 1 route-policy import
#
AS 100 route-policy import permit node 10
.2 100.0.0.0/24 if-match ip-prefix import
RTB 100.0.1.0/24 #
2.2.2.2 ip ip-prefix import index 10 permit 10.1.12.0 24
ip ip-prefix import index 20 permit 100.0.0.0 24
ip ip-prefix import index 30 permit 100.0.1.0 24
OSPF .1
 Команда import импортирует маршруты в таблицу маршрутизации BGP на основе запущенного
протокола маршрутизации (RIP, OSPF или IS-IS). Эта команда также позволяет импортировать
непосредственно подключенные и статические маршруты.
Режим генерации маршрутов BGP – Import
(2)

RTC *> 10.1.12.0/24 10.1.23.2 0 0 100?
3.3.3.3 *> 100.0.0.0/24 10.1.23.2 0 0 100?
*> 100.0.1.0/24 10.1.23.2 1 0 100?
.3 AS 200
<RTB>display ip routing-table
EBGP Destination/Mask Proto Pre Cost Flags NextHop Interface

10.1.12.0/24 Direct 0 0 D 10.1.12.2 GigabitEthernet0/0/0
10.1.23.0/24
100.0.0.0/24 Static 60 0 RD 10.1.12.1 GigabitEthernet0/0/0
100.0.1.0/24 OSPF 10 1 D 10.1.12.1 GigabitEthernet0/0/0
.2
AS 100
100.0.0.0/24
.2 100.0.1.0/24
RTB
2.2.2.2
OSPF .1
 Для проверки того, получает ли RTC импортированные в BGP маршруты, выполните на RTC
команду display.
1. Обзор BGP
Сообщение BGP Update
 Маршруты BGP генерируются либо в режиме network, либо в режиме import. Они
инкапсулируются в сообщения Update и объявляются соседним узлам. BGP объявляет
маршрутную информацию только после установления отношений соседства.
 Сообщения Update используются для объявления доступных маршрутов и вывода
недоступных. Сообщение Update содержит следующую информацию:
 Network Layer Reachability Information (NLRI): объявляет IP-префикс и длину префикса.
 Атрибут path: обеспечивает обнаружение петель и контролирует выбор оптимального маршрута.
 Withdrawn route: описывает префикс и длину префикса недостижимого отзываемого маршрута.
 Для предотвращения потенциальных проблем объявление маршрутов BGP должно

следовать определенным правилам.
Правила объявления маршрутов BGP (1)
<RTD>display bgp routing-table
*>i 100.0.0.0/24 10.1.12.1 0 100 0 100i
*i 10.1.13.1 0 100 0 100i
*> 200.0.0.0 0.0.0.0 0 0 i
OSPF
RTA RTB RTD RTE

100.0.0.0/24 10.1.45.0/24
EBGP
AS 100 RTC AS 300
200.0.0.0/24
AS 200
<RTE>display bgp routing-table
*> 100.0.0.0/24 10.1.45.4 0 200 100i
*> 200.0.0.0 10.1.45.4 0 0 200i
 Правило объявления маршрутов BGP №1: объявлять соседним узлам только оптимальные маршруты.

*>i 100.0.0.0/24 10.1.12.1 0 100 0 100i
RTA RTB RTC

100.0.0.0/24 10.1.12.0/24 10.1.23.0/24
EBGP IBGP
AS 100 AS 200
EBGP 10.1.24.0/24
RTD
AS 300
<RTD>display bgp routing-table

*> 100.0.0.0/24 10.1.24.2 0 200 100i
 Правило объявления маршрутов BGP №2: оптимальный маршрут, полученный

через EBGP, объявляется всем соседним узлам BGP
<RTB>display bgp routing-table 100.0.0.0
BGP local router ID : 2.2.2.2
Local AS number : 100
Paths: 1 available, 1 best, 1 select
BGP routing table entry information of 100.0.0.0/24:
From: 10.1.12.1 (1.1.1.1)
Route Duration: 00h01m39s
Relay IP Nexthop: 0.0.0.0
Relay IP Out-Interface: GigabitEthernet0/0/0
Original nexthop: 10.1.12.1
Qos information : 0x0
AS_Path Nil, origin igp, MED 0, localpref 100, pref-val 0, valid, internal, best, select, active, pre 255
Not advertised to any peer yet
RTB
AS
100
100.0.0.0/24
IBGP
RTC
RTA 10.1.13.0/24
*>i 100.0.0.0/24 10.1.13.1 0 100 0 i
 Правило объявления маршрутов BGP №3: оптимальный маршрут, полученный через IBGP,
другим соседним узлам IBGP не объявляется.
Моя таблица маршрутизации не содержит
маршрута к 100.0.0.0/24 и я не знаю, как
достичь 100.0.0.0/24, так что я отбрасываю
пакеты с недостижимым адресом назначения.
OSPF AS 200
RTC
RTB RTD
IBGP
EBGP EBGP
RTA
100.0.0.0/24 RTE
AS 100 AS 300
 Правило объявления маршрутов BGP №4: синхронизация BGP и IGP
Обработка информации маршрутизации
BGP
Обновление информации,
полученной от соседнего узла BGP
Выбор маршрута
Local_RIB
Обновление информации,
отправленной соседнему узлу BGP
IP_RIB
 После получения сообщения Update от соседнего узла BGP, маршрутизатор BGP при помощи алгоритма выбора
маршрута определяет оптимальный маршрут для каждого префикса.
 Маршрутизатор сохраняет выбранный оптимальный маршрут в локальную таблицу маршрутизации BGP (Local_RIB) и
затем передает его в локальную таблицу IP-маршрутизации (IP_RIB) для определения необходимости ее установки.
 Маршрутизатор инкапсулирует выбранный действующий оптимальный маршрут в сообщение Update и отправляет его
соседнему узлу BGP.
1. Обзор BGP
Проблемы выбора маршрута BGP
100 Мбит/с
AS 2 AS 4 AS 5
100 Мбит/с 100 Мбит/с

100.0.0.0/24
50 Мбит/с 50 Мбит/с
AS 1 AS 3 AS 6 AS 7
 Как показано на рисунке, в AS 7 есть пользовательский сегмент сети 100.0.0.0/24, и она объявляет его
каждой AS через BGP. Каждая AS может узнать маршрут к 100.0.0.0/24. Однако при передаче маршрута
возникают следующие проблемы:
 AS 3 может получить маршрут к 100.0.0.0/24 от AS 4 и AS 6, но канал между AS 3 и AS 4 имеет более высокую
пропускную способность. Как обеспечить, чтобы AS 3 получал доступ к сегменту сети 100.0.0.0/24 через AS 4?
 Между AS 1, AS 2 и AS 3 существует петля топологии. Таким образом, при передаче пакетов может возникнуть
петля. Как предотвратить это?
Различные атрибуты BGP
Well-known Mandatory Well-known Discretionary
Origin Local_Pref
AS_Path Atomic_aggregate
Next_hop
Optional Transitive Optional Non-transitive
Aggregator MED
Community ……
Атрибуты BGP – Origin
AS 100 2.2.2.2 OSPF
EBGP
200.0.0.0/24
RTB
RTA
1.1.1.1 4.4.4.4
3.3.3.3
RTD
EBGP
RTC
AS 200
<RTA>display bgp routing-table

*> 200.0.0.0 10.1.12.2 1 0 200i
* 10.1.13.3 1 0 200?
 Атрибут Origin определяет происхождение маршрута и то, как он становится

маршрутом BGP.
Атрибуты BGP – AS_Path
RTB RTE
EBGP 100.0.0.0/24
RTA EBGP AS 2 AS 4
1.1.1.1 EBGP EBGP
EBGP
AS 1
EBGP
RTC RTD
AS 3 AS 5
 Как показано на рисунке:
 RTA в AS 1 может узнать маршрут 100.0.0.0/24 от RTB и RTC. Как RTA выбирает оптимальный
маршрут?
 Между RTA, RTB и RTC, а также между RTB, RTC, RTD и RTE существуют петли топологии. Из-за
этого в процессе передачи маршрутов BGP могут возникать петли маршрутизации. Как BGP
предотвращает петли?
Атрибуты BGP – Next_hop
2.2.2.2 OSPF RTC OSPF
3.3.3.3
EBGP
RTB
IBGP IBGP
100.0.0.0/24 200.0.0.0/24
RTA RTD
1.1.1.1 4.4.4.4
AS 100 AS 200
 В соответствии с указанным на рисунке:

 Когда RTA объявляет сетевой сегмент 100.0.0.0/24 в RTB, каков IP-адрес Next_hop?
 Когда RTB объявляет сетевой сегмент 100.0.0.0/24 в RTC, каков IP-адрес Next_hop?
 Когда RTA получает от RTB сетевой сегмент 200.0.0.0/24, объявленный RTC, каков IP-адрес
Next_hop?
Атрибуты BGP – Local_Preference
2.2.2.2
OSPF
200.0.0.0/24
RTA RTB
RTD
1.1.1.1 4.4.4.4
3.3.3.3
AS 100 AS 200
RTC
 Атрибут Local_Pref имеет силу только между соседними узлами IBGP и не объявляется
другим AS. Этот атрибут указывает на приоритет BGP маршрутизатора и определяет
оптимальный маршрут для трафика, покидающего AS.
Атрибуты BGP – MED
RTA RTB RTD OSPF

1.1.1.1 2.2.2.2 100 Мбит/с4.4.4.4
100.0.0.0/24
EBGP EBGP
AS 100
IBGP OSPF 6.6.6.6
RTF
EBGP
50 Мбит/с
3.3.3.3 5.5.5.5
RTC RTE
AS 200 AS 300
 Атрибут Multi-Exit-Discriminator (MED) передается только между двумя соседними AS. AS,
получающая этот атрибут, не объявляет его другим AS. Он определяет оптимальный
маршрут для трафика, поступающего в AS.
Атрибуты BGP – Community
RTA
AS 10 1.1.1.1
RTC RTD
10.1.10.0/24 3.3.3.3 4.4.4.4
EBGP EBGP
Community 10:12
AS 11 RTB EBGP
2.2.2.2 AS 12 AS 13
10.1.11.0/24
Community 11:12
 Атрибут Community исполняет две функции:

 Ограничивает диапазон объявления маршрутов.
 Маркирует маршруты с тем, чтобы маршруты, удовлетворяющие одинаковым условиям,
обрабатывались унифицированным образом.
1. Обзор BGP
Правила выбора маршрутов BGP
 После того, как маршрутизатор BGP объявляет маршрут в соседних узлах, каждый соседний узел выбирает оптимальный маршрут:
 Если данный маршрут является единственным маршрутом к месту назначения, то соседний узел выбирает его как оптимальный маршрут.
 При наличии нескольких маршрутов к одному пункту назначения соседний узел выбирает маршрут с наивысшим приоритетом в качестве оптимального.
 Если существует несколько маршрутов к одному пункту назначения, и они имеют равный приоритет, то соседний узел сравнивает атрибуты этих маршрутов для
выбора оптимального.
 Как правило, при выборе оптимального маршрута маршрутизатор BGP сравнивает атрибуты в следующей последовательности:
 Отбрасывает маршруты с недостижимыми следующими ретрансляционными участками.
 Предпочитает маршрут с наибольшим значением PrefVal. Атрибут PrefVal является авторским атрибутом Huawei и действителен только для устройств, на которых
он сконфигурирован.
 Предпочитает маршрут с наибольшим значением Local_Pref.
 Предпочитает следующие маршруты в порядке убывания их приоритета: вручную агрегированный маршрут, автоматически агрегированный маршрут,
импортированный с помощью команды network маршрут, импортированный с помощью команды import маршрут, полученный от одноранговых узлов маршрут.
 Предпочитает маршрут с кратчайшим AS_Path.
 Предпочитает маршрут с атрибутом Origin в следующей последовательности: IGP, EGP и Incomplete.
 Из маршрутов, полученных от одной AS, предпочитает маршрут с наименьшим значением MED.
 Предпочитает маршрут EBGP маршруту IBGP.
 Предпочитает маршрут с наименьшей метрикой IGP в пределах AS.
 Предпочитает маршрут с самым коротким Cluster_List.
 Предпочитает маршрут с наименьшим Originator_ID.
 Предпочитает маршрут, объявленный маршрутизатором с наименьшим значением Router_ID.
 Предпочитает маршрут, полученный от соседнего узла с наименьшим значением IP-адреса.
Влияние PrefVal на выбор маршрута BGP
OSPF 2.2.2.2
200.0.0.0/24
RTB
RTC
RTA RTD
1.1.1.1 4.4.4.4
AS 100 AS 200
3.3.3.3
 Атрибут PrefVal является авторским атрибутом Huawei и действителен

только для устройств, на которых сконфигурирован. Он соответствует
параметру Weight в правилах выбора маршрута BGP. Большее значение
PrefVal указывает на больший приоритет.
Влияние режима агрегирования
маршрутов на выбор маршрутов BGP
RTA RTB RTC
AS 200
1.1.1.1 2.2.2.2 3.3.3.3
EBGP IBGP
AS 100 200.0.0.2/24 200.0.0.3/24
<RTB>display bgp routing-table 200.0.0.0

BGP local router ID : 2.2.2.2
Local AS number : 200
Paths: 2 available, 1 best, 1 select
Aggregated route.
……
Aggregator: AS 200, Aggregator ID 2.2.2.2, Atomic-aggregate
Advertised to such 2 peers:
10.1.12.1
10.1.23.3
Summary automatic route
……
Aggregator: AS 200, Aggregator ID 2.2.2.2
Not advertised to any peer yet
 Вручную агрегированный маршрут имеет более высокий приоритет, чем

автоматически агрегированный.
Маршруты, полученные от соседних узлов EBGP,
предпочтительнее полученных от соседних узлов IBGP
RTA
1.1.1.1
EBGP 200.0.0.0/24
IBGP
RTC
3.3.3.3
EBGP
RTB
2.2.2.2
AS 100 AS 200
 По правилам выбора маршрута, RTA предпочитает маршрут, полученный от

соседнего узла EBGP.
Влияние метрики IGP внутри AS на выбор
маршрута BGP
2.2.2.2
OSPF
200.0.0.0/24
RTA
1.1.1.1 RTB
RTC RTD
4.4.4.4
AS 100 AS 200

*>i 200.0.0.0 10.1.34.4 0 100 0 200 i
*i 10.1.24.4 0 100 0 200 i
 Корректировка cost OSPF позволяет RTA получить доступ к сетевому

сегменту 200.0.0.0/24 по каналам с большой пропускной способностью.
Влияние Router ID и IP-адреса на выбор
маршрута BGP
2.2.2.2
OSPF AS 200
200.0.0.0/24
RTB
RTA
1.1.1.1
RTC RTD
4.4.4.4
AS 100 3.3.3.3

*>i 200.0.0.0 10.1.24.4 0 10 0 200i
* i 10.1.34.4 0 100 0 200i
 RTA получает доступ к сегменту сети 200.0.0.0/24 в пределах AS 200 через RTB, а
исходящим интерфейсом будет интерфейс в 10.1.12.1.
Пример конфигурирования политики
маршрутизации BGP
RTB RTE
OSPF 2.2.2.2 5.5.5.5 OSPF
200.0.0.0/24
(Community 300:200)
RTA RTD
1.1.1.1 4.4.4.4
IBGP
IBGP
RTG
7.7.7.7
100.0.0.0/24
(Community 300:100)
RTC RTF
AS 100 3.3.3.3 AS 200 6.6.6.6
AS 300
 В AS 300 есть два сегмента пользовательской сети. Когда пользователи из AS 100 получают
доступ к этим двум сегментам сети, нагрузка трафиком должна быть сбалансирована между
RTB и RTC. Когда пользователи из AS 200 получают доступ к этим двум сегментам сети,
нагрузка трафиком должна быть сбалансирована между RTE и RTF.
1. Обзор BGP
Обзор агрегирования маршрутов BGP
 BGP передает маршрутную информацию между AS. По мере роста числа AS и увеличения
масштабов каждой из них таблица маршрутизации BGP становится очень большой, что
приводит к следующим двум проблемам:
 Хранение таблицы маршрутизации занимает много памяти, а передача и обработка информации
маршрутизации потребляют много ресурсов пропускной способности.
 Частое обновление и отзыв маршрутов влияют на стабильность сети.
 Агрегирование маршрутов BGP предназначено для решения этих двух проблем. Далее
описывается агрегирование маршрутов BGP, включая:
 Необходимость агрегирования маршрутов BGP: для решения проблем сетей BGP
 Конфигурирование агрегирования маршрутов BGP
 Проблемы, вызванные агрегированием маршрутов BGP.
Необходимость агрегирования маршрутов
BGP
AS 100 RTA
10.1.8.0/24
10.1.9.0/24
10.1.10.0/24 RTC RTD
10.1.11.0/24
EBGP
AS 200 RTB
AS 300 AS 400
10.1.12.0/24
10.1.13.0/24 AS клиента
10.1.14.0/24
10.1.15.0/24
 AS 100 и AS 200 каждая имеет по четыре сегмента пользовательской сети. AS 300 подключена к AS 400,
AS клиента. В AS 400 установлен дешевый маршрутизатор, RTD, с низкой производительностью.
Поэтому требуется, чтобы RTD мог получать доступ к сетевым сегментам в AS 100 и AS 200, но при этом
не получал множество отдельных маршрутов. Как выполнить это требование?
Агрегирование маршрутов BGP –
статические маршруты
RTA RTB
10.1.8.0/24 1.1.1.1 2.2.2.2
10.1.9.0/24 10.1.12.0/24
10.1.10.0/24
10.1.11.0/24
EBGP
AS 100 AS 200
bgp 100
#
ipv4-family unicast
undo synchronization
peer 10.1.12.2 enable
network 10.1.8.0 255.255.252.0
ip route-static 10.1.8.0 255.255.252.0 NULL 0
 В AS 100 есть четыре сегмента пользовательской сети. RTA в AS 100 скрывает

отдельные маршруты за счет агрегирования маршрутов и объявляет RTB в AS 200
только агрегированный маршрут 10.1.8.0/22.
автоматическое агрегирование
bgp 100 RTA AS 100

10.1.8.0/24
#
10.1.9.0/24
ipv4-family unicast
10.1.10.0/24
10.1.11.0/24
summary automatic
import-route direct route-policy r1 EBGP
# RTB RTC
route-policy r1 permit node 10
if-match ip-prefix r1
# EBGP
ip ip-prefix r1 index 10 permit 10.1.11.0 24
AS 200 AS 300
ip ip-prefix r1 index 30 permit 10.1.9.0 24 AS клиента
агрегирование вручную
bgp 100 RTA AS 100

10.1.8.0/24
#
10.1.9.0/24
ipv4-family unicast
10.1.10.0/24
10.1.11.0/24
aggregate 10.1.8.0 255.255.252.0
detail-suppressed EBGP
network 10.1.8.0 255.255.255.0
network 10.1.9.0 255.255.255.0 RTB RTC
import-route direct route-policy r1
# EBGP
route-policy r1 permit node 10
AS 200 AS 300
if-match ip-prefix r1
# AS клиента
Проблемы, вызванные агрегированием
маршрутов BGP – петли
2. AS 200 агрегирует отдельные 3. AS 400 переадресует полученный
маршруты, полученные от AS 100 и AS агрегированный маршрут в AS 300.
300, в 10.1.0.0/16. Когда AS 200 AS 300 проверяет атрибут AS_Path
объявляет агрегированный маршрут в данного маршрута и не находит свой
AS 400, этот маршрут не несет атрибуты локальный AS number, поэтому он
AS_Path отдельных маршрутов. принимает этот маршрут. В
результате может возникнуть петля.
10.1.0.0/16
(200)
AS 200 AS 400
AS 100 AS 300 10.1.10.0/24

10.1.11.0/24
10.1.8.0/24
1. AS 300 агрегирует свои
10.1.9.0/24 отдельные маршруты в
10.1.8.0/22.
 Как решить проблему потенциально возникающей петли, вызываемой агрегированием

маршрутов BGP?
Проблемы, вызванные агрегированием
маршрутов BGP – решение
3. AS 400 переадресует полученный
2. AS 200 агрегирует отдельные агрегированный маршрут в AS 300. AS
маршруты, полученные от AS 100 и 300 проверяет атрибут AS_Path этого
AS 300, в 10.1.0.0/16 и задает атрибут маршрута и находит AS number,
AS_Path этого маршрута для соответствующий локальному, а потому
передачи информации о путях отбрасывает его. Это предотвращает
отдельных маршрутов. петлю.
10.1.0.0/16
(200 {100 300})
AS 200 AS 400
AS 100 AS 300 10.1.10.0/24

10.1.11.0/24
10.1.8.0/24
10.1.9.0/24 1. AS 300 агрегирует свои
отдельные маршруты в
10.1.8.0/22.
Вопросы
1. Какие из следующих атрибутов являются well-known mandatory атрибутами BGP?
А. Origin
Б. AS_Path
В. Next_hop
Г. Local_preference
2. Какой из следующих номеров портов используется BGP?

А. TCP 21
Б. TCP 179
В. TCP 80
Спасибо!
www.huawei.com
Основы технологии многоадресной
IP-рассылки (IP-Multicast)
Введение
 Существует три основных метода передачи трафика в IP-сетях по типу «точка-многоточка»,
это - одноадресная рассылка (unicast), широковещательная рассылка (broadcast) и
многоадресная рассылка (multicast). Если применяется одноадресная рассылка, то
количество данных, передаваемых в сети, пропорционально количеству пользователей,
которым требуются данные. Несколько копий одного и того же содержимого отправляются
разным пользователям, что приводит к увеличению нагрузки на источник информации и
пропускной способности. Если применяется широковещательная рассылка, хосты, которые
не требуют данных, тоже получат данные, что угрожает информационной безопасности и
вызывает штормы на локальном сегменте сети.
 Однако появление многоадресной рассылки решает вышеуказанную проблему. Источник
многоадресной рассылки должен отправить только одну копию данных, которая затем
копируется и отправляется сетевым узлом предполагаемому получателю.
Цель
 Познакомитесь с характеристиками сетей «точка-многоточка»
 Освоите основную архитектуру многоадресной рассылки
 Узнаете формат адресов многоадресной рассылки
1. Разработка и создание сетей «точка-многоточка»
2. Обзор многоадресной рассылки
Традиционные сети «точка-многоточка»
 Провайдер предоставляет услуги на основе каждого пользователя.
 Данные, полученные разными пользователями, могут отличаться от данных,
предоставляемых провайдером услуг.
Клиент B
Сервер
Клиент A Клиент C
Новые сети «точка-многоточка»
 Провайдер предоставляет услуги на основе групп пользователей.
 Данные, полученные пользователями в одной группе, ничем не отличаются
от данных, предоставляемых провайдером услуг.
Онлайн-
трансляция
Видеоконференция
Веб-ТВ
Одноадресная рассылка (unicast) – тип сетей
«точка-многоточка»
 Проблемы: Прямая трансляция
началась в 21:00
 Направляются одни и те же данные,
расходуется много трафика.
 Потребляется большое количество ресурсов
устройства и ресурсов пропускной
способности.
 Не может обеспечить качество передачи
данных
Неприемник 4 приемника
4 приемника
3 неприемника
Широковещательная рассылка (broadcast)
- тип сетей «точка-многоточка»
 Проблемы: Прямая трансляция
 Ограничение область применения
 Не может обеспечить информационную
 Не может реализовать платную услугу
для конкретных пользователей.
4 Приемника
4 Приемника Неприемник
3 Неприемника
Многоадресная рассылка (multicast) - тип
сетей «точки-многоточка»
 Преимущества: Прямая трансляция
 Не направляются одни и те же данные,
экономит трафик.
 Экономит ресурсы устройств и пропускную
способность сети
 Обеспечит высокую безопасность
 Реализует платную услугу для конкретных
пользователей.
4 Приемника 4 Приемника
Неприемника 3 Неприемника
1. Разработка и развертывание сетей «точка-многоточка»
2. Обзор многоадресной рассылки
Основная архитектура многоадресной
рассылки
Источник
Из источника
Генерация данных
многоадресной рассылки
к маршрутизатору
Из шлюзового Переадресация данных

маршрутизатора к многоадресной рассылки
маршрутизатору
Из маршрутизатора Получение данных

к адресатам многоадресной рассылки
Клиент Клиент
Из источника многоадресной рассылки к
маршрутизатору
 Как источник многоадресной рассылки инкапсулирует данные?
 Как определить IP-адрес адресата
 Как определить MAC-адрес адресата
Источник
Данные
1.
DIP: ??
192.168.1.0/24
SIP：192.168.1.1
SMAC：68-F7-28-42-6D-0D
.254 .253
DMAC: MAC ??
RTA RTB
IP-адрес многоадресной рассылки
 IP-адреса многоадресной рассылки представляет собой групповой адрес хостов, а не адрес конкретного
хоста. Если хост присоединяется к группе многоадресной рассылки, то это означает, что хост хочет
получать пакеты данных, предназначенные для IP-адреса многоадресной рассылки.
Диапазон Описание
Постоянные групповые адреса, зарезервированные
224.0.0.0—224.0.0.255
для протоколов маршрутизации
224.0.1.0—231.255.255.255
Any-source временные групповые адреса
233.0.0.0—238.255.255.255
Source-Specific
232.0.0.0—232.255.255.255
временные групповые адреса
239.0.0.0—239.255.255.255 Any-source временные групповые адреса
 Основные модели многоадресной IP-рассылки:

 Многоадресная рассылка, не зависящая от отправителя (Any Source Multicast, ASM)
 Многоадресная рассылка, зависящая от отправителя (Source Specific Multicast, SSM).
Mac-адрес многоадресной рассылки
 Разница между многоадресными и одноадресными MAC-адресами:
XXXX XXX1 XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX
В многоадресном MAC-адресе последний бит первого октета равен 1.

XXXX XXX0 XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX
В одноадресном MAC-адресе последний бит первого октета равен 0.
 Как определено IANA, самыми значимыми 24 битами IPv4 многоадресных

MAC-адресов являются 0x01005e, а 25-разрядная - всегда 0.
Сопоставления между IP- и MAC-адресами
 Многоадресные IP-адреса и MAC-адреса необходимо сопоставлять друг с
другом автоматически.
 Младший значащий 23 бита MAC-адреса являются младшим значащим 23
битом IP-адреса многоадресной рассылки.
IP-адрес многоадресной
1110 XXXX.X XXX XXXX.XXXX XXXX.XXXX XXXX рассылки
23 бита
Mac-адрес многоадресной
01--00--5E--0 XXX XXXX.XXXX XXXX.XXXX XXXX рассылки
23 бита
Проблема, вызванная сопоставлением
адресов
 При сопоставлении между многоадресным IP-адресом и MAC-адресом
возникает проблема о том, что 32 многоадресных IP-адреса сопоставляются
одному многоадресному MAC-адресу.
1110 XXXX.X XXX XXXX.XXXX XXXX.XXXX XXXX
5 битов посередине теряются при сопоставлении, поэтому

IP-адреса с одинаковым значением из последних 23 битов
сопоставляются на один и тот же MAC-адрес.
Вопросы
1. Что такое многоадресная IP-рассылка?
2. Каковы диапазоны IPv4-адресов многоадресной рассылки?
Спасибо!
www.huawei.com
Принципы и конфигурации IGMP
Введение
 В многоадресной связи источник посылает данные многоадресной рассылки
на определенный многоадресный адрес. Чтобы пересылать многоадресные
пакеты данных получателям, многоадресный маршрутизатор,
подключенный к сетевому сегменту получателей, должен знать, какие
получатели присутствуют в сетевом сегменте, и убедиться, что получатели
присоединились к определенной группе.
 Протокол управления группами Интернет (Internet Group Management
Protocol, IGMP) - это протокол в наборе протоколов TCP/IP, который
используется для создания и поддержания группового членства между
получателями и соседними маршрутизаторами многоадресной рассылки.
Цель
 Ознакомитесь с основными рабочими механизмами и конфигурациями IGMP.
 Освоите различия между тремя версиями IGMP
 Поймете механизм IGMP snooping
1. Требования к получателям многоадресной рассылки
2. Рабочий механизм IGMPv1
5. Рабочий механизм IGMP Snooping
6. Конфигурация IGMP
Как происходит получение данных
 Какой информацией необходимо обмениваться
между получателями и маршрутизатором?
 Получатели должны указать группы, к которым
они хотят присоединиться. Маршрутизатор Какие группы имеют
получатели?
 Маршрутизатор должен знать, какие группы
имеют получатели.
G1 G2
 Какие проблемы возникают, если информация
сконфигурирована вручную?
 Невозможность обновления в реальном Я хочу присоединиться
Я хочу присоединиться к группе G2.
времени к группе G1.
 Низкая гибкость
 Огромная рабочая нагрузка и высокая
вероятность ошибок
Клиент A Клиент B Клиент C
Протокол управления группами Интернет
- IGMP
 Протокол IGMP работает между хостами и маршрутизаторами
многоадресной рассылки.
 Протокол IGMP предоставляет следующие функции:
 Для хостов: послать сообщение о членстве маршрутизаторам с использованием
протокола IGMP
 Для маршрутизаторов: поддержать групповое членство с помощью протокола
IGMP
Рабочий механизм IGMPv1
 Общее сообщение запроса и ответ (General Query and Response)
 Механизм подавления отчетов - отсроченный ответ
сеть
многоадресной
① RTA периодически отправляет рассылки
общее сообщение запроса всем
хостам в подсети (224.0.0.1).
RTA
①
Ethernet ③ После того, как Клиент C
② После получения общего обнаружит сообщение IGMP
сообщения запроса, хост ② ② отчета, отправленное Клиентом
отправляет сообщение IGMP отчета, A из той же группы G1, он
чтобы объявить желания больше не будет отправлять
объединения. сообщения IGMP отчета.

Общее сообщение запроса (G1) (G2) (G1)
Отчет для группы G1
Отчет для группы G2
Объединение групп для IGMPv1
 Хост запрашивает присоединение к группе.
Сеть
рассылки
RTA
Ethernet
Клиент D отправляет отчет о
членстве IGMP, чтобы
объявить желание
присоединиться к группе G3.
Клиент A Клиент B Клиент C Клиент D

(G1) (G2) (G1) (G3)
Отчет для G3
Выход из группы для IGMPv1
 Выход из группы без отправки сообщений выхода
Сеть
рассылки
Маршрутизатор периодически
отправляет общее сообщение запроса.
RTA
Интервал таймаута в 130 с

Ethernet
① Хост-член оставляет
② Если маршрутизатор не группу без отправки
получает сообщение ответа сообщения выхода.
после посылки общего
сообщения запроса в
течение 130 с, он считает,
что у группы нет членов. Клиент A Клиент B Клиент C
(G1) (G1) (G1)
Общее сообщение запроса
Выборы генераторов запросов для
IGMPv1
 Выборы генераторов запросов зависят от протокола маршрутизации
Сеть
рассылки
RTA RTB
Генерирующий запросы Не генерирующий запросы
Ethernet

(G1) (G2) (G1)
Улучшение IGMPv2 по сравнению с IGMPv1:
механизм выхода из группы
② RTA (генерирующий
запросы) посылает Сеть
специальное сообщение многоадресной
запроса в группу G2. рассылки
RTA RTB
Генерирующий не генерирующий
запросы запросы
Посылает специальное (2)
сообщение запроса дважды Ethernet
③ Если RTA не получает никаких (1)

ответов после посылки
специальных сообщений
запроса дважды, он считает, что
у группы G2 нет членов. Клиент A Клиент B Клиент C
(G1) (G2) (G1)
① Клиент B в группе G2 отправляет

сообщение о выходе на адрес 224.0.0.2.
Выход из группы G2
Специальное сообщение запроса в группу G2
Улучшение IGMPv2 по сравнению с IGMPv1:
механизм выборов генераторов запросов
 Независимый механизм выборов генераторов запросов
RTA RTB
Генерирующий Генерирующий
запросы запросы
VS
192.168.1.1/24 Выигрывает тот, у кого
192.168.1.2/24
наименьший IP-адрес.
IGMPv2 реализует
выборку запроса на
основе сообщений
General Query.
Клиент A
Общее сообщение запрос
Сравнение пакетов IGMPv1 с IGMPv2
0 7 15 31
Версия Тип Не используется Контрольная сумма
IGMPv1 Групповой адрес
0 7 15 31
Макс. время
Тип Контрольная сумма
ответа
IGMPv2 Групповой адрес
 Вопрос: Как IGMP позволяет членам группы получать данные из конкретных

источников многоадресной рассылки?
Новые требования в модели SSM
Источник A Источник B
1.1.1.1 2.2.2.2
RTA RTB
RTC
Клиент A не будет
IGMPv3 Передача многоадресного потока
получать данные из
источника A в группе G1. из Источника A в группу G1
Передача многоадресного потока
из Источника B в группу G1
Клиент A
 Получение данных многоадресной рассылки только из конкретных источников
Рабочий механизм IGMPv3
Маршрутизатор периодически
отправляет общие сообщения
запроса в 224.0.0.1.
RTC
Хост посылает сообщение

отчета о членстве для указания
источников многоадресной Клиент A Клиент B Клиент C
рассылки, из которых он хочет G: G1 G: G2 G: G1
получать данные или нет. IN:1.1.1.1 EX: NULL IN:1.1.1.1
2.2.2.2

Отчет о членстве
Различия между версиями IGMP
Механизм IGMPv1 IGMPv2 IGMPv3
Выборы генераторов Зависят от другого Поддерживается Поддерживается

запросов протокола
Механизм выхода из Выход без посылки Посылка сообщений Посылка сообщений

группы сообщений о выходе о выходе о выходе
Специальный запрос
Не поддерживается Поддерживается Поддерживается
групп
Специальный запрос
Не поддерживается Не поддерживается Поддерживается
источников и групп
Проблемы с передачей данных
многоадресной рассылки на L2
 Лавинная рассылка данных многоадресной рассылки на L2 приводит к :
 Трате сетевых ресурсов Источник
 Риску безопасности
Сеть
рассылки
Данные многоадресной
рассылки отправляются
Коммутатор
хостам, не входящим в группу.
Многоадресный пакет для G2
Рабочий механизм IGMP Snooping
 После включения IGMP snooping на коммутаторах коммутаторы передают
сообщения только на свой порт маршрутизатора.
RTA
Коммутатор с функцией IGMP snooping

① ③
1
CPU 0
Таблица многоадресной рассылки L2
Mac-адрес Интерфейсы 2 3 4
0100.5e01.0203 0134 ②
Запрос
Отчет
Пакет многоадресной рассылки
Конфигурация IGMP
multicast routing-enable
interface G0/0/1
ip address 192.168.1.1 255.255.255.0
igmp enable
igmp version 2
RTA
G0/0/1 IGMPv2
192.168.1.0/24
Клиент A
Проверка конфигурации IGMP
<RTA>display igmp interface
Interface information of VPN-Instance: public net
GigabitEthernet0/0/1(192.168.1.1):
IGMP is enabled
Current IGMP version is 2
IGMP state: up
IGMP group policy: none
IGMP limit: -
Value of query interval for IGMP (negotiated): -
Value of query interval for IGMP (configured): 60 s
Value of other querier timeout for IGMP: 0 s
Value of maximum query response time for IGMP: 10 s
Querier for IGMP: 192.168.1.1 (this router)
Total 1 IGMP Group reported
<RTA>display igmp group

Interface group report information of VPN-Instance: public net
GigabitEthernet0/0/1(192.168.1.1):
Total 1 IGMP Group reported
Group Address Last Reporter Uptime Expires
239.255.255.250 192.168.1.11 00:04:18 00:02:07
Вопросы
1. В IGMPv1, когда последний член выходит из группы, как долго будет ждать
маршрутизатор, прежде чем удалить список группы многоадресной рассылки?
2. Является ли 224.0.0.0.1 IP-адресом назначения специального запроса групп в

протоколе IGMPv2?
3. Как работает IGMP Snooping?
Спасибо!
www.huawei.com
Принципы и конфигурации PIM

Введение
 Пакеты многоадресной рассылки переадресуются в определенные группы получателей, которые могут
быть распределены в любом месте сети. Чтобы правильно и эффективно пересылать пакеты
многоадресной рассылки, маршрутизаторы многоадресной рассылки должны создавать и поддерживать
записи маршрутизации многоадресной рассылки.
 Поскольку используется все больше протоколов и приложений маршрутизации многоадресной рассылки,
люди понимают, что если многоадресные маршруты генерируются несколькими алгоритмами
маршрутизации динамически, такими как маршруты, одноадресной рассылки, то для разных протоколов
маршрутизации импортировать маршруты друг друга будет слишком сложно.
 Независимая от протокола многоадресная рассылка (PIM, Protocol Independent Multicast) реализует
проверку RPF пакетов многоадресной рассылки, создание записей маршрутизации многоадресной
рассылки и пересылку пакетов многоадресной рассылки на основе таблиц маршрутизации одноадресной
рассылки.
Цель
 Требования к многоадресной рассылке
 Принципы и конфигурации PIM-DM
 Принципы и конфигурации PIM-SM
1. Требования к отправке пакетов многоадресной рассылке
2. Рабочий механизм PIM-DM
3. Ограничения PIM-DM
4. Рабочий механизм PIM-SM
Как маршрутизатор переадресует пакеты
 Маршрутизатор пересылает пакеты
многоадресной рассылки, основываясь на
следующей информации: Источник

Есть ли в сегментах сети получатели?

К какой группе должны подключиться
Сеть
получатели? многоадресной
рассылки
 Настройка предыдущей информации вручную
может привести к следующим проблемам:
Клиент C
Клиент A
 Невозможность обновления в реальном времени (G1)
(G1)
 Низкая гибкость Клиент B

 Огромная рабочая нагрузка и высокая Пакет
вероятность ошибок
рассылки
1. Требования к многоадресной рассылке
Обзор PIM-DM
 PIM-DM использует режим "push" для переадресации пакетов
 Ключевая задача PIM-DM:
 Установите дерево кратчайшего пути (SPT).
 Рабочие механизмы PIM-DM:
 Обнаружение соседних узлов
 Лавинная рассылка (Flood) и обрезка (prune)
 Обновление состояния
 Прививка (graft)
 Утверждение (assert)
Обнаружение соседних узлов PIM-DM
 Обнаружение соседних узлов, используя сообщения Hello:
Hello
RTA Hello RTB
 Выборы DR(назначенный маршрутизатор ):

RTC RTD
Hello
Hello
Маршрутизатор с
наивысшим приоритетом
или самым большим IP-
адресом становится DR. Клиент A
Настройка SPT в сети PIM-DM
 Лавинная рассылка (Flood)
Лавинно рассылает
 Проверка RPF полученный пакеты RTA
многоадресной Источник
рассылки.
 Обрезка (Pruning)
RTB RTC RTD

Сеть
Каждый Многоадресной
маршрутизатор рассылки
создает запись (S, G).
Клиент C
（G1）
Клиент A RTE
(G1)
Запустите процесс
обрезки, если под
Клиент B интерфейсом нет
получателей.
Обновление состояния
 Периодическое обновление состояния обрезки.
RTA Источник
RTB RTC RTD

Сеть
Многоадресной
рассылки
РТЕ
Клиент A Клиент C
(G1) （G1）
Клиент B Обновление состояния
Механизм прививки (graft)
 Позволяет новым членам группы быстро получать пакеты многоадресной
рассылки.
RTA Источник
RTB RTC RTD

Сеть
② ③ Многоадресной
рассылки
RTE
Клиент A ① Клиент C
(G1) （G1） Отчет IGMP
Прививка/Прививка ACK
Клиент B (G1)
Механизм утверждения (assert)
 Предотвращает появление одинаковых пакетов многоадресной рассылки.
Сеть
Многоадресной
рассылки
RTA RTB RTC
Три одинаковых потока Пакеты многоадресной рассылки

данных многоадресной Клиент A
RTD Сообщение Assert
рассылки в сети
Конфигурация PIM-DM
interface G0/0/0 multicast routing-enable
pim dm interface G0/0/0
interface G0/0/1 pim dm
pim dm interface G0/0/1
G0/0/2
interface G0/0/2
Источник pim dm
pim dm RTA
G0/0/1
G0/0/0
PIM-DM
G0/0/0
G0/0/0 G0/0/2 G0/0/0
RTB RTC RTD
То же самое, что G0/0/1 G0/0/1 То же самое, что G0/0/1
и конфигурация и конфигурация
RTD. G0/0/0 RTA.
RTE
G0/0/1 То же самое, что

Клиент A и конфигурация
Клиент C
RTD
Клиент B
Проверка конфигурации PIM-DM
<RTD>display pim routing-table
VPN-Instance: public net
Total 1 (*, G) entry; 1 (S, G) entry
(192.168.0.1, 239.255.255.250)
Protocol: pim-dm, Flag: ACT
UpTime: 00:00:09
Upstream interface: GigabitEthernet0/0/0
Upstream neighbor: 10.1.14.1
RPF prime neighbor: 10.1.14.1
Downstream interface(s) information:
Total number of downstreams: 1
1: GigabitEthernet0/0/1
Protocol: pim-dm, UpTime: 00:00:09, Expires: -
<RTD>display pim neighbor

Total Number of Neighbors = 1
Neighbor Interface Uptime Expires Dr-Priority BFD-Session

10.1.14.1 GE0/0/0 00:12:19 00:01:16 1 N
1. Требования к многоадресной пересылки
Ограничения PIM-DM
 PIM-DM применяется к кампусным сетям с плотно распределенными
членами групп.
 Ограничения PIM-DM:
 В сети с разреженно распределенными членами группы периодическое
распределение трафика многоадресного рассылки будет оказывать
большое давление на сеть.
1. Требования к многоадресной пересылки
Обзор PIM-SM
 PIM-SM осуществует пересылки пакетов многоадресной рассылки с
помощью режим "Pull".
 Ключевые задачи PIM-SM:
 Установите дерево точек объединения (RPT, rendezvous point tree), также
называемое общим деревом.
 Установите дерево кратчайшего пути (SPT).
 PIM-SM применяется к сетям с разреженно распределенными членами

группы.
Точка объединения (RP)
 RP - это корневой узел RPT.
 Весь трафик многоадресной рассылки на совместном дереве пересылается
на получателей через RP.
 Все маршрутизаторы PIM в сети должны знать местоположение RP.
Настройка RPT
Источник
RP
③
②
Сообщение (*, G)
генерируется на
маршрутизаторах в RPT.
Отчет IGMP
①
Сообщение (*, G) Join
Клиент A Клиент B RPT
 Вопрос: если два маршрутизатора подключены к Клиент A, оба маршрутизатора

отправляют сообщения (*, G) в RP?
DR получатели и DR источника
Рассылка сообщения Register

одноадресной рассылки в RP
DR источника
PIM-SM
Источник
RP
DR получатели
Посылка сообщения (*, G) Join в RP Сообщение (*, G) Join

Сообщение Register
Настройка SPT
DR источника
Источник
①
⑤ ④
⑥
②
④
⑤
③
RP
RPT
Первый пакет многоадресной рассылки
③
Сообщение Register/Register stop
Сообщение (*, G) Join
SPT
 После установки дерева кратчайшего пути SPT пакеты многоадресной рассылки отправляются на
RP по пути SPT.
Записи (*, g) и (S, g)
Режим Тип Сценарий
SPT от маршрутизатора first-hop к

PIM-DM (S, G)
маршрутизатору last-hop
(*, G) RPT от RP к маршрутизатору last-hop
(S, G) SPT от DR источника к RP

PIM-SM
SPT от маршрутизатора first-hop к
(S, G) маршрутизатору last-hop после
переключения SPT
Переадресация PIM-SM
 Есть ли потенциальные проблемы с маршрутом пересылки, состоявшим из
SPT и RPT?
Источник
RP
Не оптимальный
путь пересылки
SPT
Клиент A RPT
Клиент B
Механизм переключения (Switchover)
② Настройка нового
SPT Источник
RP
③ Обрезка ветвей на
общем дереве
① Когда DR получателя
обнаруживает, что скорость
принятых пакетов многоадресной
рассылки превышает пороговое RPT
значение, он отправляет
сообщение (S, G) Join к источнику SPT
многоадресной рассылки. Клиент A Клиент B Сообщение (S, G) Join
Конфигурация PIM-SM
interface G0/0/0
pim sm Источник
interface G0/0/1
pim sm RTA multicast routing-enable
pim G0/0/0 interface G0/0/0
static-rp 4.4.4.4 pim sm
G0/0/0 G0/0/1 interface G0/0/1
pim sm
G0/0/1 G0/0/2 interface G0/0/2
G0/0/0 RTB RP pim sm

pim
RTC G0/0/0
RTD static-rp 4.4.4.4
G0/0/2 G0/0/1
G0/0/1
То же самое, что
То же самое, что G0/0/2
и конфигурация
и конфигурация G0/0/0 G0/0/0 RTB
RTB
RTE RTF
То же самое, что G0/0/1 То же самое, что
G0/0/1
и конфигурация и конфигурация
RTA RTA
Клиент A Клиент B
Проверка конфигурации PIM-SM
<RTF>display pim routing-table
Total 1 (*, G) entry; 0 (S, G) entry
(*, 224.1.1.1)
RP: 4.4.4.4
Protocol: pim-sm, Flag: WC
UpTime: 00:00:20
Upstream interface: GigabitEthernet0/0/0
Upstream neighbor: 10.1.46.4
RPF prime neighbor: 10.1.46.4
Downstream interface(s) information:
Total number of downstreams: 1
1: GigabitEthernet0/0/1
Protocol: igmp, UpTime: 00:00:20, Expires: -
<RTB>display pim neighbor

Total Number of Neighbors = 3
Neighbor Interface Uptime Expires Dr-Priority BFD-Session

10.1.12.1 GE0/0/0 00:04:08 00:01:27 1 N
10.1.23.3 GE0/0/1 00:01:29 00:01:16 1 N
10.1.24.4 GE0/0/2 00:03:19 00:01:25 1 N
Комплексный эксперимент многоадресной
рассылки
RP
Источник A RTA RTB RTE Клиент A
SWA
RTC RTF
Клиент B
RTD Клиент C
 Как показано на рисунке, разверните протокол PIM-SM в сети и укажите RTB в качестве статической точки объединения
RP.
 Настройте протокол IGMPv2 в сети на стороне пользователей и примите меры для минимизации потребления ресурсов
и повышения безопасности сети
 RTE и RTF подключены к получателям. Установите RPT от RP до RTE.
 RTD подключен к сети VIP-пользователей. Клиент в этой сети должен получать данные многоадресной рассылки сразу
после присоединения к группе 238.1.1.1.
Конфигурация PIM-SM (1)
multicast routing-enable multicast routing-enable
pim sm pim sm
pim sm То же самое, что и
конфигурация pim sm
interface g0/0/2 pim
pim sm RTA
static-rp 2.2.2.2
pim
static-rp 2.2.2.2
RP
RTB
G0/0/0 G0/0/0 G0/0/0 G0/0/1
G0/0/1 G0/0/2
G0/0/2
RTA G0/0/1 RTE Клиент A
Источник A
RTC G0/0/0
multicast routing-enable G0/0/1 G0/0/0 SWA
G1/0/0 G0/0/1
interface g0/0/0
pim sm G0/0/2
RTF
interface g0/0/1 G0/0/0
Клиент B
pim sm
interface g0/0/2 G0/0/1 То же самое, что
pim sm и конфигурация
interface g1/0/0 RTD Клиент C RTE
pim sm
pim
То же самое, что
static-rp 2.2.2.2
и конфигурация
RTE
Конфигурация PIM-SM (2)
interface g0/0/1
igmp enable
igmp version 2 igmp-snooping enable
pim hello-option dr-priority 100 vlan 10
igmp-snooping enable
RP
RTB
G0/0/0 G0/0/0 G0/0/0 G0/0/1
G0/0/1 G0/0/2
G0/0/2
RTA G0/0/1 RTE Клиент A
Источник A
RTC G0/0/0
G0/0/1 G0/0/0 SWA

G1/0/0 G0/0/1
G0/0/2
RTF
G0/0/0
Клиент B
G0/0/1 interface g0/0/1

RTD Клиент C igmp enable
igmp version 2
interface g0/0/1
igmp static-group 238.1.1.1
Вопросы
1. Что такое дерево распределения многоадресной рассылки? Какие типы включены
в него?
2. Какова функция механизма утверждения (assert)?
3. Верно или неверно: В протоколе PIM-SM, назначенный маршрутизатор DR,

подключенный к получателям многоадресной рассылки отправляет сообщения
Register одноадресной рассылки в точку объединения RP.
Спасибо!
www.huawei.com
Управление маршрутом

Введение
 Корпоративные сети могут столкнуться с такими проблемами, как несанкционированный доступ к определенному
трафику и неоптимальный выбор маршрута трафика. Для обеспечения безопасности доступа к данным и улучшения
использования пропускной способности канала связи необходимо контролировать поведение трафика в сети, например,
контролировать доступность трафика и регулировать маршруты в сети.
 Чтобы удовлетворить более сложные и подробные потребности в управлении и контроли трафика, нам необходимо
использовать инструменты для эффективного управления. В этом курсе давайте познакомимся с инструментами
управления трафиком и сценариями их использования.
Цель
 Освоите метод контроли поведения трафика и доступности в сети
 Освоите метод регулировки маршрутов сетевого трафика
 Ознакомитесь с проблемами, вызванными импортом маршрута и их решениями
1. Требование к контролю поведения трафика
2. Контроль доступности трафика
3. Регулировка маршрутов сетевого трафика
4. Проблемы, вызванные импортом маршрута и решения
Требование к контролю поведения трафика
1. Контроль доступности трафика.
Для повышения безопасности сети
некоторые отделы не имеют права доступа Финансовый
Маркетинговый
друг к другу. отдел
отдел
OSPF
Отдел
НИОКР
Штаб-квартира
Отдел
документации
2. Регулировка маршрутов сетевого трафика.
Для дальнейшей оптимизации сети,
возможно, потребуется регулировать
Маркетинговый пути сетевого трафика.
отдел
10 м 10 м
OSPF Штаб-квартира
отдел 5м 10 м
Бездействующий канал
связи

 Политика маршрутизации
 Маршрутизация на основе политик (пользователей)
Контроль доступность сетевого трафика
 Вопрос: Как контролировать доступность сетевого трафика.
отдел
отдел
RTC OSPF
RTB Отдел
НИОКР
RTA
RTD
Отдел
 Решение 1: Изменение количества записей маршрутизации (т.е фильтровать полученные и

объявленные маршруты) для контроля доступности. Это называется политикой маршрутизации
(Routing Policy).
 Решение 2: Пересылка пакетов на основе определенных пользователями политик и имеет более

высокий приоритет, чем политика маршрутизации. Это называется маршрутизацией на основе
политик пользователей (Policy Based Routing).
Решение 1: Политика маршрутизации
отдел
Маркетинговый RTC OSPF
отдел
RTB Отдел
НИОКР
Штаб-квартира RTA
RTD
Отдел
 Использование инструмента Filter-Policy для фильтрации маршрутов, импортированных из RTA в

OSPF, и маршрутов, импортированных из RTC в таблицу маршрутизации:
 Используйте ACL или IP-Prefix List для соответствия целевому трафику.
 Используйте Filter-Policy в представлении протокола для объявления политик целевому трафику.
 Использование инструмента Route-Policy для фильтрации прямых маршрутов, импортированных RTA:

 Используйте ACL или IP-Prefix List для соответствия целевому потоку.
 Используйте Route-Policy в представлении протокола для управления импортированными маршрутами.
Пример применения ACL (1)
 ACL классифицирует пакеты по разным типам, основываясь на информации в пакетах.
acl 2001
rule 0 permit source 1.1.0.0 0.0.255.255
1.1.1.1/32
1.1.1.1/32
1.1.1.0/24
1.1.1.0/24
1.1.0.0/16
1.1.0.0/16
1.0.0.0/8
acl 2001
rule 0 permit source 1.1.1.1 0
rule 1 deny source 1.1.1.0 0
rule 2 permit source 1.1.0.0 0.0.255.0
rule 3 deny source any
1.1.1.1/32 1.1.1.1/32
1.1.1.0/24 1.1.0.0/16
1.1.0.0/16
1.0.0.0/8
acl 2001
1.1.1.1/32 1.1.1.0/24
1.1.1.0/24 1.1.1.0/25
1.1.1.0/25 ACL может гибко сопоставлять

пакеты с префиксами IP-адреса, но
1.1.0.0/16 не может сопоставлять длине
маски.
1.0.0.0/8 Вопрос: Как отфильтровать маршрут 1.1.1.0/25?
Пример применения IP-Prefix List (1)
 IP-Prefix List может сопоставлять как префикс IP-адреса, так и длину маски.
 IP-Prefix List не может фильтровать IP-пакеты, но может фильтровать только информацию
маршрутизации.
ip ip-prefix test index 10 permit 10.0.0.0 16 greater-equal 24 less-equal 28

Диапазон IP-адресов: 10.0.0.0 – 10.0.x.x
24<=Длина маски<=28
Пример: 10.0.1.0/24, 10.0.2.0/25, 10.0.2.192/26
Пример применения IP-Prefix List (2)
ip ip-prefix Pref1 index 10 permit 1.1.1.0 24

greater-equal 24 less-equal 24
1.1.1.1/32 1.1.1.0/24
1.1.1.0/24
"greater-equal 24 less-equal 24"
1.1.1.0/25 означает, что длина маски
составляет 24.
1.1.0.0/16
1.0.0.0/8 Маршрут 1.1.1.0/25 будет отфильтрован.
Инструмент Filter-Policy
 Filter-Policy может фильтровать полученные или объявленные маршруты RIP, OSPF и BGP.
Фильтрация маршрутов, полученных протоколами:

filter-policy { acl-number | ip-prefix ip-prefix-name } import
Фильтрация маршрутов, объявленных протоколами:

filter-policy { acl-number | ip-prefix ip-prefix-name } export
Инструмент политики маршрутизации
(Route-Policy)
 Route-policy - это мощный инструмент. Он может использоваться вместе с другими инструментами, такими как ACL,
список префиксов IP-адресов и фильтр путей AS (As-Path-Filter).
Route-Policy：
route-policy route-policy-name { permit | deny } node node
if-match {acl/cost/interface/ip next-hop/ip-prefix}
apply {cost/ip-address next-hop/tag}
 Route-policy состоит из нескольких узлов, которые имеют отношение «или». Каждый узел имеет несколько
пунктов if-mach и apply, а пункты if-mach имеют отношение «и».
Пример применения политики
Table-1 acl 2001
Network Cost NextHop rule 0 permit source 1.1.3.0 0.0.0.255
1.1.2.0/24 4687 34.34.34.2 acl 2002
4687 13.13.13.1 rule 0 permit source 13.13.13.1 0
1.1.3.0/24 4687 34.34.34.2
route-policy RP deny node 10
4687 13.13.13.1
if-match ip-prefix Pref1
1.1.3.0/25 1 34.34.34.2 route-policy RP permit node 20
1 13.13.13.1 if-match ip-prefix Pref2
5.5.5.5/32 4687 34.34.34.2 route-policy RP permit node 30
4687 13.13.13.1 if-match acl 2001
6.6.6.6/32 4687 34.34.34.2 if-match ip next-hop acl 2002
4687 13.13.13.1 apply cost 21
route-policy RP permit node 40
if-match ip-prefix Pref3
apply cost 11
route-policy RP permit node 50
#
Table-2 ip ip-prefix Pref2 index 10 deny 6.6.6.6 32
Network Cost NextHop ip ip-prefix Pref3 index 10 permit 1.1.3.0 24
1.1.3.0/24 4687 34.34.34.2 greater-equal 25 less-equal 25
21 13.13.13.1
1.1.3.0/25 11 34.34.34.2
21 13.13.13.1
Конфигурация политики маршрутизации (1)
acl 2000
rule 5 deny source 10.1.1.0 0.0.0.255
rule 10 permit source any
ospf 1
filter-policy 2000 import
Маркетинговый RTC Финансовый

отдел OSPF отдел
10.1.2.0
Отдел
НИОКР
Штаб-квартира RTB RTA
Отдел
RTD документации
ip ip-prefix ab index 10 permit 10.1.1.0 24

ospf 1
filter-policy ip-prefix ab export direct
acl 2000
rule 5 deny source 10.1.1.0 0.0.0.255
rule 10 permit source any
ospf 1
Маркетинговый RTC OSPF отдел
отдел
10.1.2.0 Отдел
НИОКР
Штаб-квартира RTB RTA

Отдел

ospf 1
filter-policy ip-prefix ab export direct
<RTC>dis ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 14 Routes : 14
10.1.3.0/24 O_ASE 150 1 D 12.1.2.1 GigabitEthernet 0/0/0

10.1.4.0/24 Direct 0 0 D 10.1.4.2 GigabitEthernet 0/0/1
10.1.5.0/24 OSPF 10 3 D 12.1.2.1 GigabitEthernet 0/0/0
<RTD>dis ip routing-table
------------------------------------------------------------------------------


 Политика маршрутизации
 Маршрутизация на основе политик
Решение 2: Маршрутизация на основе
политик (1)
 На основе настроенной пользователем политики: использует инструмент фильтрации трафика.
acl number 3000

rule 0 deny ip source 10.1.4.0 0.0.0.255 dest 10.1.1.0 0.0.0.255
rule 10 permit ip source any
int g0/0/1
traffic-filter inbound acl 3000
Маркетинговый RTC Финансовый

отдел OSPF отдел
Отдел
НИОКР
RTB RTA
Отдел
acl 3000
int g0/0/1
traffic-filter inbound acl 3000
политик (2)
[RTC]dis ip routing-table
------------------------------------------------------------------------------

PC-Marketing department>ping 10.1.1.1
Ping 10.1.1.1: 32 data bytes, Press Ctrl_C to break

Request timeout!
Request timeout!
Request timeout!
Request timeout!
--- 10.1.1.1 ping statistics ---

4 packet(s) transmitted
0 packet(s) received
100.00% packet loss

 Политика маршрутизации
 Маршрутизация на основе политик
Регулировка маршрутов сетевого трафика
 На этапе дальнейшей оптимизации сети, возможно, потребуется регулировать маршруты сетевого
трафика.
RTB
отдел
10 м 10 м
OSPF Штаб-квартира
Финансовый 5м 10 м
отдел RTA RTD
Бездействующий канал
RTC связи
 Решение 1: можно использовать политику маршрутизации для изменения атрибута протокола,

чтобы управлять записями таблицы маршрутизации и настройки тракта трафика.
 Решение 2: можно использовать маршрутизацию на основе политик для управления

поведением трафика перед поиском таблицы маршрутизации.
Решение 1: Политика маршрутизации
display ip routing-table
RTB
Marketing
department 10M(cost 1)
20 persons 10M(cost 1) Headquarters
G0/0/0
OSPF
G0/0/1
Financial 5M(cost 2) 10M(cost 1)
RTD
10.1.3.0
department RTA
10 persons
RTC
int g0/0/0
ospf cost 2
OSPF 10 4 D 12.1.3.2 GigabitEthernet 0/0/1
Ограничение решения 1
 Чтобы в полной мере использовать пропускную способность канала, маршрут трафика выглядит
следующим образом: от отдела маркетинга до штаб-квартиры - RTA-RTB-RTD, а маршрут от
финансового отдела до штаб-квартиры - RTA-RTC-RTD.
RTB
отдел
10 м 10 м
20 человек Штаб-квартира
OSPF
5м 10 м
Финансовый RTA RTD
отдел
10 человек
RTC
 Как показано на рисунке, решение 1 не может удовлетворить это требование, поскольку пакеты
пересылаются по адресу назначения. Он не может отвечать требованиям исходного адреса, адреса
назначения или пересылки на уровне приложений.

 Политика маршрутизации
 Маршрутизация на основе политик
политик (1)
Маршрутизация основана на исходном адресе. То есть next hope
трафика из отдела маркетинга является RTB, а next hope трафика из
финансового отдела - RTC.
RTB
отдел
20 человек 10 м 10 м Штаб-квартира
OSPF
10.1.3.0
Финансовый 5м 10 м
отдел RTA RTD
10 человек
RTC
 Маршрутизация на основе политик осуществляется с использованием политики

трафика:
 Использование ACL для сопоставления трафика;
 Определение поведения для трафика, например, измените следующий узел (next hop).
политик (2)
[RTA]acl 3000
rule 5 permit ip source 10.1.1.0 0.0.0.255 dest 10.1.3.0 0.0.0.255
traffic classifier huawei-control1
if-match acl 3000
traffic behavior huawei-control1
redirect ip-nexthop 12.1.1.2
traffic policy huawei-control1
classifier huawei-control1 behavior huawei-control1
int g0/0/2
traffic-policy huawei-control1 inbound
[RTA]acl 3001
rule 5 permit ip source 10.1.2.0 0.0.0.255 dest 10.1.3.0 0.0.0.255
traffic classifier huawei-control2
if-match acl 3001
traffic behavior huawei-control2
redirect ip-nexthop 12.1.3.2
traffic policy huawei-control2
classifier huawei-control2 behavior huawei-control2
int g4/0/0
traffic-policy huawei-control2 inbound
политик (3)
<RTA>dis ip routing-table
-------------------------------------------------------------------------

10.1.1.0/24 Direct 0 0 D 10.1.1.2 GigabitEthernet
0/0/2
10.1.2.0/24 Direct 0 0 D 10.1.2.2 GigabitEthernet
4/0/0
10.1.3.0/24 OSPF 10 3 D 12.1.1.2 GigabitEthernet
0/0/0
PC-Marketing department>tracert PC-Financial department>tracert

10.1.3.1 10.1.3.1
traceroute to 10.1.3.1, 8 hops max traceroute to 10.1.3.1, 8 hops max

(ICMP), press Ctrl+C to stop (ICMP), press Ctrl+C to stop
1 10.1.1.2 47 ms 31 ms 15 ms 1 10.1.2.2 16 ms 31 ms 16 ms
2 12.1.1.2 47 ms 31 ms 32 ms 2 12.1.3.2 62 ms 47 ms 31 ms
3 12.1.2.2 93 ms 63 ms 46 ms 3 12.1.4.2 47 ms 47 ms 31 ms
4 *10.1.3.1 62 ms 31 ms 4 10.1.3.1 32 ms 46 ms 32 ms
Различия между политикой маршрутизации и
маршрутизацией на основе политик (PBR)
Политика маршрутизации Маршрутизация на основе политик
На основе уровня передачи, не влияет на записи маршрутизации.

На основе уровня управления, влияет на Пакеты пересылаются сначала на основе политики, а затем на
записи маршрутизации. основе таблицы маршрутизации, если пересылка на основе
политики дает сбой.
Политика, основанная на адресе Политика основана на адресе источника, адресе назначения,

назначения. типе протокола и размере пакета.
Используется с протоколом Политику маршрутизации нужно настраивать вручную, чтобы

маршрутизации. пакеты пересылались в соответствии с политикой.
Инструменты: Route-Policy, Filter-Policy и

Инструменты: Traffic-Filter, Traffic-Policy, Policy-Based-Route и т.д.
т.д.
Регулировка маршрутов сетевого трафика
- несколько протоколов
 В предыдущем примере четыре маршрутизатора работают по одному протоколу. Если они запустят
разные протоколы, что будет дальше?
① ospf 1
RTB
Маркетинговый отдел
20 человек
③ 10.1.3.0/24 150 3 10M
Штаб-квартиры
RTA
RTD
Финансовый отдел
10 человек
5M
④ 10.1.3.0/24 150 4
RTC ⑤ Канал простаивает. Низкая

⑥ Решение: измените стоимость эффективность использования
OSPF на интерфейсе для пропускной способности.
реализации балансировки ② ospf 1
нагрузки.
Другие проблемы, вызванные применением
нескольких протоколов - суб-оптимальный
маршрут
② import rip ② isis 1
import-route rip 1
RTC
Lo0:2.2.2.2
RTA
12.12.12.1
RTD
RTB
S0
⑤ [RTB]display ip routing-table
Destination/Mask Proto Pre Cost NextHop
Interface
2.0.0.0/8 ISIS 15 84 12.12.12.1 Serial0
Решение 1: Маршруты фильтрации
isis 1
import-route rip 1
RTA RTC RTD
Lo0:2.2.2.2
RTB 24.24.24.2
acl 2001
rule 5 deny source 2.0.0.0 0.255.255.255
rule 10 permit
isis 1
Destination/Mask Proto Pre Cost NextHop Interface
2.0.0.0/8 RIP 100 1 24.24.24.2
Serial1
Решение 2: настройка приоритетов
протокола
isis 1
import-route rip 1
RTC
RTA RTD
Lo0:2.2.2.2
RTB 24.24.24.2
isis 1
preference 150
Interface
2.0.0.0/8 RIP 100 1 24.24.24.2
Serial1
Другие проблемы, вызванные применением
нескольких протоколов – петля (Loop)
⑦import isis
RTC
RTB
RTD
②
Dest. ASE 150 2
RTE
RTA
Lo0:2.2.2.2/32 ④import ospf
①import direct cost 2
Решение 1: Маршруты фильтрации
acl 2001
rule 0 deny source 2.0.0.0 0.255.255.255
rule 1 permit
ospf 1
import-route isis 1 route-policy RP1
route-policy RP1 permit node 10
if-match acl 2001
RTC
RTB
RTD
RTE
Lo0:2.2.2.2/32
RTA
isis 1
import-route ospf 1
ospf 1
import-route direct cost 2
Решение 2: Настройка приоритетов
протокола
isis 1
preference 160
ospf 1
RTC import-route isis 1
Interface
2.2.2.2/32 O_ASE 150 2 12.12.12.1
Serial0
RTB RTD
RTE
12.12.12.1
isis 1
import-route ospf 1
RTA Lo0:2.2.2.2/32
ospf 1
import-route direct cost 2
Вопросы
1. Можно ли использовать список префиксов IP для фильтрации IP-пакетов?
2. Какие методы можно использовать для настройки маршрутов трафика?
3. Какие проблемы могут быть вызваны импортом маршрута и каковы решения?
Спасибо!
www.huawei.com
Принципы и конфигурации Eth-Trunk
Введение
 По мере увеличения количества услуг, развернутых в сетях, пропускная способность одного физического канала связи
не может удовлетворить потребности в трафике для полнодуплексных каналов связи P2P. С целью увеличения
пропускной способности действующие интерфейсные платы могут быть замены интерфейсными платами с более
высокой пропускной способностью, однако это приведет к пустой растрате ресурсов устройства и повысит затраты на
модернизацию. Если добавлены дополнительные каналы для подключения устройств, каждый интерфейс 3-го уровня
должен быть сконфигурирован с IP-адресом, что приводит к неэффективному расходованию IP-адресов.
 Eth-Trunk (технология агрегирования каналов) - это технология привязки, которая позволяет объединять несколько
независимых физических интерфейсов в единый логический интерфейс с высокой пропускной способностью. Нет
необходимости заменять интерфейсные платы, и не приводит к неэффективному расходованию IP-адресов. В этом
курсе давайте разберем технологию Eth-Trunk подробно.
Цель
 Основные принципы Eth-Trunk
 Конфигурации Eth-Trunk
1. Основные принципы Eth-Trunk
2. Примеры конфигурации Eth-Trunk
Проблемы с сетью
Пропускная способность одного физического
канала связи не может удовлетворить
потребности в трафике всей кампусной сети.
Если действующие интерфейсные платы
замены интерфейсными платами с более
высокой пропускной способностью, это
Выход кампусной сети приведет к пустой растрате ресурсов
устройства, Если добавлены
дополнительные каналы, необходимо
назначить им IP-адреса, что приводит к
неэффективному расходованию IP-адресов.
Уровень ядра
В одноканальной сети, если канал не

работает, то это влияет на взаимодействие
персонала всей области.
Уровень агрегации
Уровень доступа
НИОКР Тупые Область Финансовая

терминалы маркетинга область
Концепция Eth-Trunk
RTA
Eth-Trunk RTB
 Eth-Trunk - это привязывающая технология, позволяющая объединять несколько физических интерфейсов Ethernet в
единый логический интерфейс.
 Режимы Eth-Trunk:
 Балансировка нагрузки вручную
 LACP
Балансировка нагрузки вручную
RTA RTB
Eth-Trunk
Устаревшее оборудование не
поддерживает протокол LACP.
Пользовательская Пользовательская
сеть1 Сеть 2
 Если, в случае когда на крайне мере одно из двух устройств не поддерживает протокол LACP, можно использовать
режим балансировки нагрузки вручную для увеличения пропускной способности и повышения отказоустойчивости сети.
 В режиме балансировки нагрузки вручную, все каналы связи, присоединяющиеся к Eth-Trunk, пересылают данные.
Режим LACP
RTA RTB
Eth-Trunk
Активные каналы
Резервные каналы
Пользовательская Пользовательская
сеть сеть
 Режим LACP также называется режимом M:N, где M каналов связи активны и пересылают данные, а N каналов связи
неактивны и используются в качестве резервных.
 Как показано на рисунке, есть две активные каналы связи, то есть эти два канала связи могут пересылать данные. Еще
существует один резервный канал связи, он не пересылает данные. Только при сбое активных каналов связи канал
резервирования начинает пересылать данные.
Выбор активных каналов в режиме LACP
RTA 1 3 RTB
Устройство с более высоким 2 2 Устройство с более низким
приоритетом системы приоритетом системы
3 1
Приоритет интерфейса Приоритет интерфейса
Определение активного устройства после

сравнения приоритетов систем устройств
RTA RTB
1 3
2 2
Активное
3 1
Приоритет интерфейса Приоритет интерфейса
Определение активных каналов после

сравнения приоритетов интерфейсов
RTA 1 3 RTB
2 2
Активное
3 1
Приоритет интерфейса Eth-Trunk Приоритет интерфейса
Задержка приоритетного прерывания
обслуживания LACP
RTA Порт 1 10 RTB
Eth-Trunk Порт 1
Порт 2 20 Порт 2
Активное
Порт 3 30 Порт 3
Когда активный порт 1 возникает сбой, порт 3 занимает

его место и будет активным интерфейсом, чтобы
обеспечить стабильную передачу данных.
RTA RTB
Порт 1 Eth-Trunk Порт 1
Порт 2 Порт 2
Активное
Но затем неисправности порта 1 устранены. Если
включена задержка приоритетного прерывания
обслуживания LACP, порт 1 переключается в активное
состояние после этого периода времени.
RTA Порт 1 RTB
Eth-Trunk Порт 1
Активное
Балансировка нагрузки интерфейсов
Eth-Trunk
 При настройке балансировки нагрузки для интерфейсов Eth-Trunk не только можно установить её на основе IP-адресов
пакетов данных или на основе пакетов данных, но и можно установить вес балансировки нагрузки для членов-
интерфейсов.
 Для интерфейсов Eth-Trunk, чем больше удельный вес член-интерфейса, тем больше нагрузка на его.
Балансировка нагрузки
Описание
интерфейсов
Когда пакеты используют один и тот же IP-адрес
Балансировка нагрузки на
или MAC-адрес источника и назначения, пакеты
основе потоков
передаются по одному и тому же каналу.
Балансировка нагрузки на
Пакеты передаются по различным каналам связи.
основе пакетов
Процесс конфигурирования интерфейсов
Eth-Trunk
Создание Eth-Trunk
Балансировка нагрузки
вручную
Конфигурирование режима
агрегирования каналов
LACP
Добавление
членов-интерфейсов
Конфигурирование режима балансировки
нагрузки вручную
RTA G0/0/1 G0/0/1 RTB

G0/0/2 G0/0/2
Активное
G0/0/3 G0/0/3
Eth-Trunk
 Процедура:
 Создайте Eth-Trunk.
 Сконфигурируйте рабочий режим Eth-Trunk.
 Добавьте член-интерфейс к интерфейсу Eth-Trunk.
Конфигурирование режима LACP
RTA G0/0/1 G0/0/1 RTB
G0/0/2 G0/0/2
Активное
G0/0/3 G0/0/3
Eth-Trunk
 Процедура:
 Создайте Eth-Trunk.
 Настройте рабочий режим Eth-Trunk.
 Добавьте интерфейсы-члены к интерфейсу Eth-Trunk.
 (Необязательно) Настройте приоритет системы LACP.
 (Необязательно) Установите верхний предел для количества активных интерфейсов.
 (Необязательно) Настройте приоритет интерфейса LACP.
 (Необязательно) Включите задержку приоритетного прерывания обслуживания LACP и установите время задержки.
1. Принципы Eth-Trunk
2. Примеры конфигурации Eth-Trunk
Требования к конфигурации Eth-Trunk
G1/0/0 G1/0/0
Уровень ядра R1 R2
G1/0/1 G1/0/1
192.168.12.0/24
G0/0/0 G0/0/1 G0/0/0 G0/0/1
192.168.1.254 192.168.2.254
E0/0/1 E0/0/2 E0/0/1 E0/0/2

E0/0/3 E0/0/3
Уровень агрегации SW3 SW4
E0/0/4 E0/0/4
E0/0/5 E0/0/8 E0/0/5 E0/0/8
E0/0/6 E0/0/6
E0/0/7 E0/0/7
E0/0/1 E0/0/2 E0/0/1 E0/0/2 E0/0/1 E0/0/2 E0/0/1 E0/0/2
Уровень доступа SW5 SW6 SW7 SW8
НИОКР Тупые клеммы Область Финансовая

маркетинга область
Конфигурация устройств уровня ядра
 Чтобы показать конфигурацию устройств уровня ядра в качестве примера используется маршрутизатора R1.
 Создайте интерфейсы Eth-Trunk и сконфигурируйте для них IP-адреса.
interface Eth-Trunk1
Undo portswitch // Переключите интерфейс на интерфейс 3-го
уровня. Description "Core-R1 to Aggregate-SW3 "// Описание
для администраторов узнать устройство на другой стороне
интерфейса.
ip address 192.168.1.254 255.255.255.0
#
undo portswitch
description "Core-R1 to Core-R2"
ip address 192.168.12.1 255.255.255.0
 Добавьте физические интерфейсы к Eth-Trunk.
eth-trunk 1
eth-trunk 1
#
eth-trunk 2
eth-trunk 2
Конфигурация устройств уровня агрегации (1)
 Чтобы показать конфигурацию устройств уровня агрегации в качестве примера используется коммутатор SW3.
 Создайте интерфейсы Eth-Trunk. Поскольку устройства уровня агрегации должны взаимодействовать на 2-ом
уровне, их интерфейсы не должны быть сконфигурированы с IP-адресом.
description “Aggregate-SW3 to Core-R1“
//Описание для администраторов узнать устройство на
другой стороне интерфейса.
#
description “Aggregate-SW3 to Aggregate-SW4“
#
description "Aggregate-SW3 to Access-SW5“
#
description "Aggregate-SW3 to Access-SW6“
Конфигурация устройств уровня агрегации (2)
 Чтобы показать конфигурацию устройств уровня агрегации в качестве примера используется коммутатор SW3.
interface Ethernet0/0/1
eth-trunk 1
eth-trunk 1
#
eth-trunk 2
eth-trunk 2
#
eth-trunk 3
eth-trunk 3
#
eth-trunk 4
eth-trunk 4
Конфигурация устройств уровня доступа (1)
 Чтобы показать конфигурацию устройств уровня доступа в качестве примера используется коммутатор SW5.
 Создайте Eth-Trunk. Поскольку устройства уровня доступа должны взаимодействовать на 2-ом уровне, их интерфейсы
не должны быть сконфигурированы с IP-адресом.
description "Access-SW5 to Aggregate-SW3"
//Описание для администраторов узнать
устройство на другой стороне интерфейса.

eth-trunk 1
eth-trunk 1
Конфигурация устройств уровня доступа (2)
 После завершения предыдущей конфигурации выполните следующую команду для просмотра информации о
конфигурации интерфейсов Eth-Trunk:
display eth-trunk
Eth-Trunk1's state information is:
WorkingMode: NORMAL Hash arithmetic: According to SIP-XOR-DIP
Least Active-linknumber: 1 Max Bandwidth-affected-linknumber: 8
Operate status: up Number Of Up Port In Trunk: 2
---------------------------------------------------------------------
-----------
PortName Status Weight
Ethernet0/0/1 Up 1
Ethernet0/0/2 Up 1
 Выполните команду display interface Eth-Trunk для проверки подробной информации о конфигурации Eth-Trunk.
Вопросы
1. Какие режимы агрегирования каналов включают в Eth-Trunk?
A. Режим балансировки нагрузки вручную
B. Режим LACP
C. Ручной режим LACP
D. Динамический режим LACP
2. В режиме LACP, что является приоритетом системы по умолчанию?

A. 1
B. 4096
C. 32768
D. 65535
Спасибо!
www.huawei.com
Расширенные возможности
коммутаторов
Введение
 MUX VLAN (Multiplex VLAN) обеспечивает механизм управления сетевыми ресурсами с
использованием VLAN. MUX VLAN обеспечивает изоляцию на втором уровне, позволяющую
сотрудникам предприятия связываться друг с другом и изолировать посетителей.
 Изолированность второго уровня может быть реализована путем добавления различных
интерфейсов к различным VLAN, но ресурсы VLAN теряются. Изоляция портов может
изолировать порты одной и той же VLAN, обеспечивая безопасное и гибкое сетевое
решение.
 В сети, требующей высокой безопасности, на коммутаторе можно включить безопасность
порта, чтобы предотвратить подключение устройств с несанкционированными MAC-
адресами к сети. Когда число полученных MAC-адресов достигает лимита, коммутатор не
получает новых MAC-адресов. Коммутатор разрешает связь только устройствам, которые
узнали MAC-адреса.
Objectives
 Сценарий применения и конфигурацию MUX VLAN
 Сценарий применения и конфигурацию изоляции порта
 Сценарий применения и конфигурацию безопасности порта
Цель
1. MUX VLAN
2. Изоляция порта
3. Безопасность порта
Сценарий применения MUX VLAN
Трафик доступа сервера
Серверы напрямую подключаются к Трафик доступа пользователя
коммутатору агрегации, а ресурсы
серверов разделяются. Уровень
Предприятие хочет изолировать ядра
связь посетителей в одной и той же
VLAN и связь различных отделов.
Как выполняется это требование?
Уровень Сервер
агрегации
доступа доступа
Финансовый Маркетинговы Компания A Компания B

отдел й отдел
Сотрудники Посетители
Основные понятия MUX VLAN
Сконфигурируйте VLAN в качестве
Principal VLAN.
Устройства в Principal VLAN могут
взаимодействовать с устройствами
Сконфигурируйте VLAN как Group во всех VLAN MUX VLAN.
VLAN.
Устройства в Group VLAN могут Уровень Сконфигурируйте VLAN как
взаимодействовать с устройствами в ядра Separate VLAN.
Principal VLAN. Устройства в одной Устройства в Separate VLAN
VLAN могут взаимодействовать друг с могут взаимодействовать с
другом, но не могут взаимодействовать VLAN: 40 устройствами только в Principal
с устройствами в другой Group VLAN или VLAN. Услуги в Separate VLAN
Separate VLAN. Уровень Сервер изолированы от услуг в других
агрегации VLAN, а услуги в Separate VLAN
также изолированы.
VLAN: 10 VLAN: 20 VLAN: 30 VLAN: 30
Финансовый Маркетинго Компания A Компания B

отдел вый отдел
Сотрудники Посетители
Конфигурация MUX VLAN
SWA Principal VLAN
VLAN: 40
SWB Сервер
SWC SWD
Group VLAN Separate VLAN
VLAN 10 VLAN 20 VLAN 30 VLAN 30
Финансовый Маркетинговый Компания Компания

отдел отдел
Сотрудники предприятия Посетители
Цель
1. MUX VLAN
Сценарий применения изоляции портов
Сотрудники одной и той же проектной

группы назначаются VLAN 10.
Допускается связь между внутренними
сотрудниками и между внутренними
Уровень
сотрудниками с внешними ядра Трафик связи разрешен
сотрудниками, а связь между внешними
работниками не допускается. Как Трафик связи запрещен
выполняется это требование?
Уровень
агрегации
Уровень
доступа
VLAN 10 VLAN 10
Внешние сотрудники Внутренние сотрудники
Основные понятия изоляции портов
Для реализации изоляции на Уровень

втором уровне между этими ядра
интерфейсами необходимо только
добавить пользовательские Пользователи, не относящиеся к
интерфейсы в одну и ту же группу группе изоляции портов, могут
изоляции портов. взаимодействовать с пользователями
Уровень в группе изоляции портов.
агрегации
Группа
VLAN 10 изоляции VLAN 10
портов 1
Конфигурация изоляции порта
port link-type access
port default vlan 10
port-isolate enable group 1
#
SWA
port link-type access <SWC>display port-isolate group 1
port default vlan 10 The ports in isolate group 1:
port-isolate enable group 1 GigabitEthernet0/0/1 GigabitEthernet0/0/2
…… GigabitEthernet0/0/3 GigabitEthernet0/0/4
SWB
SWC SWD
Группа
изоляции
VLAN 10 портов 1 VLAN 10
G0/0/1 G0/02 G0/0/3 G0/0/4 G0/0/1 G0/02 G0/0/3 G0/0/4
Цель
1. MUX VLAN
Сценарий применения безопасности порта
Уровень
Как защитить устройство
ядра
агрегации от атак Как защитить устройство
несанкционированных доступа от атак
пользователей? несанкционированных
пользователей?
Уровень
агрегации
Пользователи Несанкционированный Пользователи Несанкционированный

финансового отдела пользователь маркетингового отдела пользователь
Реализация безопасности порта
Пользовательский
MAC VLAN
интерфейс
1 54-89-98-3F-24-E5 20
2 54-89-98-8A-13-EE 20
Уровень 3 54-89-98-76-42-C4 20
Задайте максимальное число ядра
пользователей доступа. Когда 4 54-89-98-97-45-20 20
неавторизованный пользователь
подключается к интерфейсу,
интерфейс отклоняет доступ.
Уровень
агрегации
1 4 4
1
2 3
2
VLAN 10 3 VLAN 20
Пользователи Несанкционированный Пользователи Несанкционированный

финансового отдела пользователь маркетингового отдела пользователь
MAC：54-89-98-34-12-E4
Типы защищенных MAC-адресов
 Безопасность порта изменяет динамические MAC-адреса, полученные на интерфейсе, на
безопасные MAC-адреса (включая динамические и статические защищенные MAC-адреса и
Sticky MAC). Данная функция не позволяет несанкционированным пользователям
связываться с коммутатором с помощью этого интерфейса, повышая безопасность
устройства.
Тип Определение Описание
Динамические защищенные MAC-адреса будут потеряны после

Mac-адрес, полученный на интерфейсе, перезапуска устройства, и их необходимо будет снова узнать.
Динамический безопасный
где включена защита порта, но функция Динамические безопасные MAC-адреса никогда не будут
MAC-адрес
Sticky MAC отключена устаревать по умолчанию и могут быть устаревшими только в
том случае, если для них установлено время старения.
Mac-адрес, конфигурируемый вручную

Статический безопасный Не будет устаревать. Данные сохраняются вручную и не
на интерфейсе, где включена защита
MAC-адрес теряются после перезапуска устройства.
порта
Mac-адрес, который получен на

Не будет устаревать. Данные сохраняются вручную и не
Адрес Sticky MAC интерфейсе, где включена безопасность
теряются после перезапуска устройства.
порта и функция sticky MAC.
Действие, которое необходимо принять после того, как
количество безопасных MAC-адресов превысит лимит
 Действие после того, как количество защищенных MAC-адресов достигает предельного значения
Действие Описание
Отбрасывает пакеты с несуществующим MAC-адресом источника
restrict
и генерирует аварийный сигнал. Это действие рекомендуется.
Только отбрасывает пакеты с несуществующим MAC-адресом
protect
источника, но не генерирует аварийный сигнал.
Устанавливает состояние интерфейса на error-down и генерирует
аварийный сигнал. По умолчанию интерфейс в состоянии error-
shutdown
down может быть восстановлен только с помощью команды restart
в режиме интерфейса.
 Если коммутатор получает пакеты с несуществующим MAC-адресом после того, как количество
безопасных MAC-адресов достигает предельного значения, коммутатор считает, что пакеты
отправляются от несанкционированного пользователя и принимают сконфигурированное действие на
интерфейсе. По умолчанию коммутатор отбрасывает пакеты и генерирует аварийный сигнал в такой
ситуации.
Конфигурация безопасности порта
port link-type access
port default vlan 10 interface GigabitEthernet0/0/1
port-security enable port link-type access
port-security mac-address sticky port default vlan 20
port-security mac-address sticky RTA port-security enable
5489-983F-24E5 vlan 10 …
… Конфигурация других интерфейсов
Конфигурация других интерфейсов аналогична и не упоминается здесь.
аналогична и не упоминается здесь.
SWA
SWB SWC
G0/0/1 G0/0/3 G0/0/1 G0/0/3

VLAN 10 VLAN 20
G0/0/2
G0/0/2
Пользователи финансового отдела Пользователи маркетингового отдела
Проверка конфигурации безопасности
порта
 Выполните следующую команду для проверки привязанных MAC-адресов на SWB:
<SWB>display mac-address sticky
MAC address table of slot 0:
--------------------------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID VSI/SI
MAC-Tunnel
--------------------------------------------------------------------------------------------------
5489-988a-13ee 10 - - GE0/0/2 sticky -
5489-983f-24e5 10 - - GE0/0/1 sticky -
--------------------------------------------------------------------------------------------------
 Выполните следующую команду для проверки динамически полученного MAC-адреса на

SWC:
<SWC>display mac-address security
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID VSI/SI
MAC-Tunnel
---------------------------------------------------------------------------------------
5489-9876-42c4 20 - - GE0/0/1 security -

5489-9897-4520 20 - - GE0/0/2 security -
--------------------------------------------------------------------------------------------------------------------------------------------
Вопросы
1. Для MUX VLAN, в которой VLAN может взаимодействовать с устройствами во всех
VLAN?
А. Principal VLAN
Б. Separate VLAN
В. Group VLAN
Г. Subordinate VLAN
2. Сколько типов защищенных MAC-адресов в безопасности порта?

А. Динамический безопасный MAC-адрес
Б. Статический безопасный MAC-адрес
В. Адрес Sticky MAC
Г. Защищенный MAC-адрес
Спасибо!
www.huawei.com
Принципы и конфигурации RSTP

Введение
 STP может решить проблемы петли, но медленная конвергенция сети
влияет на качество связи. Если сетевая топология часто меняется,
соединения в сети, где установлен STP, легко обрываются, и услуги
постоянно прерываются. Это недопустимо для пользователей.
 В связи с ограничениями STP, IEEE выпустила 802.1w в 2001 году для
определения RSTP. RSTP улучшает STP и реализует быструю
конвергенцию сетевой топологии 2-го уровня. Каковы ограничения STP?
Каковы улучшения RSTP по сравнению с STP?
Цель
 Принципы работы RSTP
 Сходства и различия между RSTP и STP.
 Конфигурации RSTP в типичных сценариях применения
1. Ограничения STP
2. Усовершенствование RSTP
3. Примеры конфигурации RSTP
Проблема 1: Коммутаторы запускают STP в
сценариях инициализации
 Продолжительность от инициализации до полной конвергенции составляет не
менее 30 с.
Root-коммутатор
SWA
Коммутаторы с поддержкой STP
В начале коммутаторы посылают
DP DP ожидают тайм-аута таймеров, чтобы
и контролируют BPDU и
определить все собранные BPDU, а
вычисляют связующее дерево.
затем выполнить расчет STP.
RP RP
Заблокированный порт
DP
SWB SWC
Прослушивание Чтобы предотвратить возникновение петель, STP должен долго ждать
(BPDU могут быть отправлены на каждый узел), чтобы убедиться, что
15 с состояние порта всей сети определено. Затем STP переходит в состояние
Получение Пересылки.
Получение
Перед входом в состояние Пересылки STP создает таблицу MAC-адресов
15 с на основе принимаемого пользовательского трафика. По истечении
Пересылка времени действия таймера STP переходит в состояние Пересылки.
Проблема 2: Коммутатор имеет
заблокированный порт, и корневой порт
отключается
 Прямой канал связи между SWC и SWA переходит в состояние Down. Блокированный порт переключается
на корневой порт и переходит в состояние пересылки. Этот процесс требует не менее 30 с.
Root-
SWA коммутатор Чтобы информация об изменении топологии
распространялась по всей сети и все
DP DP устройства полностью меняли топологию,
новый корневой порт должен дождаться
тайм-аута таймеров, а затем перейти в
состояние пересылки.
RP RP
SWC
DP Заблокированный
порт
SWB
Заблокированный порт становится новым корневым
портом и находится в состоянии блокировки. Он
переходит в состояние пересылки после двух
интервалов задержки пересылки.
Проблема 3: Коммутатор имеет заблокированный
порт, и корневой порт отключается
 Прямой канал связи между SWB и SWA отключается. Блокированный порт SWC переключается на
назначенный порт и переходит в состояние пересылки. Этот процесс требует около 50 с.
SWA
③ Когда срок действия BPDU, буферизованных на порту, истекает,
конвергенция сети выполняется снова. Порт переходит в состояние
DP DP пересылки после двух интервалов задержки пересылки (30 с).
В STP другие порты, за исключением

назначенного порта, не обрабатывают
RP полученные неоптимальные пакеты BPDU.
RP ③ BPDU (SWA -корневой
мост)
SWB SWC
DP
① BPDU (SWB -
корневой мост) Заблокированный
① SWB посылает пакеты
порт
BPDU в качестве корневого ② Заблокированный порт не обрабатывает
устройства. полученные субоптимальные пакеты BPDU и
дожидается тайм-аута субоптимальных BPDU
(20 с).
Проблема 4: Коммутаторы STP-включено
подключаются к пользовательским терминалам
 Время, в течение которого канал связи между коммутатором и пользовательским
терминалом переходит в состояние пересылки, составляет 30 с.
Root-
SWA коммутатор
DP DP
Если порт подключается к терминалу,

RP петля не возникает. Нет
RP необходимости выполнять расчет STP
и ждать таймаута таймеров.
SWB SWC
DP BP
В STP, канал связи между коммутатором и

BPDU BPDU терминалом должен выполнять расчет STP
и канал переходит в состояние пересылки
после двух интервалов задержки
пересылки.
PCA PCB
Проблема 5: Изменение топологии STP
 Когда топология меняется, пакеты BPDU TCN отправляются на корневой мост. Восходящий мост,
получающий BPDU TCN, пересылает BPDU TCA. После того, как BPDU TCN достигает корневого моста,
корневой мост посылает TC BPDU для уведомления устройств об удалении записей MAC-адресов. Эта
реализация сложна, и ее эффективность низка.
Root-
SWA
коммутатор
DP DP
RP RP
SWB SWC
DP DP
DP
TCN
RP RP RP
TCA
TC
SWD SWE SWF SWG
Ограничение STP - роли портов
Корневой
порт
32768.
00e0-fc16-ee43 32768.
00e0-fc22-715а
Назначенный
SWA порт SWB
Корневой мост
Корневой порт Заблокированный

порт После того, как корневой порт на SWC
SWC отключается, корневой порт
выбирается из трех портов и
32768. Заблокированный переходит в состояние пересылки
00e0-fc41-4259 порт
E0/1 после истечения действия таймера.
E0/2
Назначенный порт HUB

Корневой
порт
32768.
00e0-fc41-43b9 SWD
Ограничение STP - состояния портов
Состояния портов
Действие
STP
Отключение
Порт не пересылает пользовательский Три состояния порта

Блокировка соответствуют одному и
трафик или не получает MAC-адресов.
тому же действию, что
Прослушивание увеличивает сложность
использования.
Порт не пересылает пользовательский
Получение
трафик, но получает MAC-адреса.
Порт пересылает пользовательский

Пересылка
трафик и получает MAC-адреса.
 Роли портов и состояния портов
 Быстрая конвергенция
 Обработка изменений топологии
 Функции защиты
Классификация ролей порта
 RSTP добавляет две роли порта: резервный порт и альтернативный порт.
Корневой
32768. порт 32768.
00e0-fc16-ee43 00e0-fc22-715a
Назначенный
SWA порт SWB
Корневой С точки зрения пересылки трафика
мост Корневой пользователя, альтернативный порт
Альтернативный предоставляет путь от назначенного
порт порт коммутатора к корневому.
SWC
32768.
00e0-fc41-4259 С точки зрения пересылки трафика
E0/1 E0/2 Резервный порт пользователя, резервный порт,
используемый в качестве резервной
копирования назначенного порта,
Назначенный HUB обеспечивает резервный путь от
порт Корневой
корневого коммутатора к leaf-
коммутатору.
порт
32768.
00e0-fc41-43b9 SWD
Классификация состояний портов
 RSTP удаляет два состояния портов в STP.
Состояния Состояния портов

Действие
портов STP RSTP
Отключение
Порт не пересылает пользовательский трафик
Блокировка Отбрасывание или не получает MAC-адресов, находится в
состоянии Отбрасывание.
Прослушивание
Порт не пересылает пользовательский трафик,
Получение Получение но получает MAC-адреса, находится в
состоянии Получение.
Порт пересылает пользовательский трафик и
Пересылка Пересылка получает MAC-адреса, находится в состоянии
Пересылки.
 Роли портов и состояния портов
 Быстрая конвергенция
Решение 1: механизм предложения или
соглашения (1)
 Принципы механизма приложения и соглашения
Состояния
Отбрасывание
портов
Роль порта DP ② Синхронизация переменных

(блокировка других портов, за
Бит исключением граничного порта для
Сброс
предложения 1 предотвращения петли).
① BPDU с битом предложения 1
SWA SWB
Приоритет моста 0 ① BPDU с битом предложения 1 Приоритет моста 4096
Состояния
④ После приема пакетов BPDU с битом Пересылка
портов
предложения 1 порт переходит в состояние
пересылки. Роль порта RP
Бит
Сброс
соглашения 1
 Характеристики: использование механизмов подтверждения и синхронизации,
поэтому нет необходимости использовать таймеры для обеспечения бесперебойной
работы сети.
Решение 1: Механизм предложения или
ROOT
 Этап 1 SWA
DP DP
P P
P P
DP DP
SWB P DP
SWC
DP
P
 Этап 2  Этап 3
ROOT ROOT
SWA SWA
DP DP
DP DP
A A
RP RP RP RP
SWB SWC SWB SWC

DP DP DP AP
P
Решение 1: Механизм предложения или
 Принципы выбора STP и RSTP аналогичны: выбор корневого коммутатора,
корневого порта некорневого коммутатора, назначенного порта, а также
альтернативного порта и резервного порта по очереди.
 RSTP добавляет механизм предложения или соглашения. Во время
согласования существует механизм подтверждения, поэтому коммутаторы с
поддержкой RSTP могут пересылать BPDU, не завися от таймеров для
обеспечения топологии сети без петель. Коммутаторам с поддержкой RSTP
необходимо учитывать только время пересылки BPDU и расчета топологии
без петель (обычно в течение нескольких секунд).
Решение проблемы 2: Быстрое
переключение корневого порта
 Прямой канал связи между SWC и SWA отключается. Альтернативный порт
переключается на корневой порт и переходит в состояние пересылки в
течение нескольких секунд.
Root-
SWA коммутатор Чтобы ускорить время конвергенции, после отказа старого
корневого порта новый корневой порт должен немедленно
DP DP перейти в состояние пересылки при отсутствии петель.
Альтернативный порт может немедленно перейти в состояние
пересылки, поскольку это требование учитывается при выборе.
RP RP
DP AP
SWC
SWB
①Немедленно становится
новым корневым портом и
переходит в состояние
пересылки.
Решение проблемы 3: обработка
субоптимальных BPDU
 Прямой канал связи между SWB и SWA отключается. Альтернативный порт
SWC переключается на назначенный порт и переходит в состояние
пересылки в течение нескольких секунд.
Root-
③ При получении BPDU с более Коммутатор
высоким приоритетом SWB SWA ④ После получения
немедленно переопределяет роли SWC пакета соглашения Коммутаторы с поддержкой RSTP не
порта. SWB изменяет назначенный DP DP он немедленно зависят от времени ожидания таймеров
порт на корневой порт и отправляет переходит в состояние для обработки субоптимальных BPDU.
BPDU с битом соглашения 1. пересылки. Вместо этого они отправляют
оптимальные BPDU на удаленную
сторону, ускоряя конвергенцию
RP RP топологии.
③Соглашение
SWB SWC
DP AP
①Предложение
① SWB, используемый в ②Предложение ② После того, как альтернативный

качестве корневого моста, порт получает субоптимальные BPDU,
отправляет BPDU с битом он немедленно отправляет
предложения 1. оптимальные BPDU на удаленную
сторону и переключается на
назначенный порт.
Решение 4: граничный порт
 В RSTP интерфейс коммутатора, подключенный к терминалу, может
немедленно перейти в состояние пересылки.
Root- После того как порт коммутатора,

SWA коммутатор подключенный к терминалу, настроен в
качестве пограничного порта, он немедленно
DP DP переходит в состояние пересылки. После
того, как граничный порт получает BPDU, он
становится общим STP-портом, и связующее
дерево пересчитывается.
RP RP
SWB SWC
DP BP
Граничный порт Граничный порт
Сконфигурируйте порт,
подключенный к
терминалу, в качестве
граничного порта.
PCA PCB
 Роли портов и состояния портов
 Обработка изменений топологии
Решение 5: обработка изменений топологии
 Идентификация изменения топологии: не-граничный порт переходит в

состояние пересылки.
Root-
SWA
При изменении топологии сети коммутатор
коммутатор в точке изменения
напрямую отправляет BPDU с
полем TC 0, что сокращает время
конвергенции сети, поскольку
коммутатору в точке изменения не
нужно уведомлять корневой SWB SWC
коммутатор или отправлять TC
BPDU по всей сети.
SWD SWG
Пересылка SWE SWF
RST BPDU с полем TC 1

ПК
Проблемы, вызванные изменениями
топологии
SWA ④ Таблица MAC-адресов SWA
MAC-адрес
Root-коммутатор Порт
назначения
DP
DP Mac-адрес PCA E1
⑤ SWA пересылает
E1 Е2 ... ...
трафик
⑦ Таблица MAC-
③ SWC пересылает адресов коммутатора
⑥ Трафик LAN A LAN B записывает
трафик
отбрасывается неверный порт.
RP SWC
RP
② Таблица MAC-адресов SWC
E1 E1
SWB
LAN C MAC-адрес
Порт
Е2 DP AP Е2 назначения
Mac-адрес PCA E1
Граничный порт Граничный порт
... ...
① PCB получает
доступ к PCA
PCA PCB
Обработка изменений топологии (1)
SWA
E1 Е2
Таблица MAC-адресов SWB LAN A LAN B

Mac-адрес назначения Порт
SWB SWC
Mac-адрес LANA E1
Mac-адрес LANB E1 E1
Е2
LAN C E1
Mac-адрес LANC
Mac-адрес PCB E1 Е2 Е2
Mac-адрес PCA Е3 Е3
... ...
TC Граничный порт
Новый
корневой порт
PCA PCB
SWA
Root-
коммутатор После того, как коммутатор получает
BPDU с полем TC равным 1, он
E1 E2 очищает MAC-адреса, полученные с
других не пограничных портов, за
исключением не пограничного порта,
который принимает пакеты.
LAN A LAN B
SWB SWC Таблица MAC-адресов SWC

E1 E1
LAN C Mac-адрес назначения Порт
E2 E2 Mac-адрес LANA E1
E3 Mac-адрес LANB E1
Новый
TC Mac-адрес LANC E1
Граничный
корневой порт порт Mac-адрес PCA E1
Mac-адрес PCB Е3
... ...
PCA PCB
Таблица MAC-адресов SWA
SWA Mac-адрес назначения Порт
Root- Mac-адрес LANA E1
коммутатор Mac-адрес LANB Е2
Mac-адрес LANC E1
E1 E2 Mac-адрес PCA E1
Mac-адрес PCB Е2
... ...
LAN A LAN B
SWB
E1 E1
LAN C
E2 E2
Новый TC
Граничный Граничный
корневой порт
порт порт
PCA PCB
SWA
E1 Е2
Таблица MAC-адресов SWB

LAN A LAN B
Mac-адрес назначения Порт
MAC-адресов LANA E1 SWB SWC
MAC-адресов LANB E1 E1 E1
MAC-адресов LANC E2
MAC-адресов PCB E1 Е2 LAN C Е2
MAC-адресов PCA E3
Е3
... ...
Неисправность
Включение граничного Граничный
Граничный граничного порта не
порта не инициирует порт
порт приводит к
изменение топологии.
изменению топологии.
PCA PCB
 Роли портов и состояния портов
 Функции защиты
Защита пакетов BPDU (1)
SWA
Root-коммутатор ⑤ Пересчет связующего дерева
DP DP
⑤ Пересчет
связующего дерева
SWB RP
RP
DP AP SWC
Граничный порт ② RST BPDU ④RST BPDU
③ После того, как граничный порт

получает BPDU, он становится не-
граничным портом, а связующее
дерево пересчитывается.
① Хакер подключается к
коммутатору с Когда новый коммутатор посылает
поддержкой STP через BPDUs, запускается вычисление
граничный порт. связующего дерева других
коммутаторов. В результате
происходит переключение сети.
Защита пакетов BPDU (2)
SWA
DP DP
Порт, получающий BPDU,

немедленно отключается. Это SWB RP
может эффективно предотвратить RP
переключение сети. DP AP SWC
Граничный порт Включение защиты
BPDU
RST BPDU
Защита корневого моста (1)
② Получая пакеты RST BPDU высокого
приоритета, SWA пересчитывает
связующее дерево и проигрывает роль
SWA корневого коммутатора. В результате,
Root- топология сети неправильно меняется.
DP DP
① Хакер соединяет
коммутатор с наивысшим
приоритетом сети.
SWB RP RP RST BPDU

RST BPDU SWC
AP DP
Новый root-
Защита корневого моста (2)
Когда порт получает высокоприоритетные
SWA пакеты RST BPDU, он переходит в состояние
О Отбрасывание и не пересылает пакеты.
Root-коммутатор Если порт не получает пакеты RST BPDU с
более высоким приоритетом в течение
DP DP определенного периода времени, он
переходит в состояние Пересылки.
RP
SWB RP RST BPDU
AP DP
Включение
SWC защиты корня
Защита пакетов TC BPDU (1)
SWA
Root-
Коммутатор получает большое количество
пакетов BPDU TC в течение короткого коммутатор
периода времени и часто удаляет свои DP
MAC-записи и записи ARP. В результате, DP
коммутатор сильно нагружен, что угрожает
стабильности сети.
SWB RP
RP
DP AP SWC
Граничный порт
②TC BPDU
③ Коммутатор часто удаляет
записи MAC-адресов.
① Хакер соединяет ПК с
граничным портом для
непрерывной отправки
фальшивых BPDU.
Защита пакетов TC BPDU (2)
SWA
DP
Количество раз, которое DP
коммутатор обрабатывает
пакеты TC BPDU за заданный
период времени, может быть
установлено. Коммутатор
будет обрабатывать только SWB RP RP
указанное количество раз.
DP AP SWC
Граничный порт
Конфигурирование защиты
TC BPDU
изменений топологии
①Хакер соединяет ПК с
граничным портом для
непрерывной отправки
фальшивых BPDU.
Требования к конфигурации RSTP
SWA
G0/0/1 G0/0/2
G0/0/1 G0/0/2
PC1 G0/0/4 G0/0/3 G0/0/3 G0/0/4

PC2
SWB SWC
 Как показано на предыдущем рисунке, SWA, SWB и SWC образуют сеть

кольцевой коммутации. Чтобы исключить влияние петель на сеть,
коммутаторы запускают протокол RSTP для упрощения структуры сети ( из
кольцевой в древовидную) без петель.
Процедура конфигурации RSTP
stp enable
stp mode rstp
SWA stp root primary
G0/0/1 G0/0/2
G0/0/2
G0/0/1
PC1 G0/0/4 G0/0/3 G0/0/4

PC2
G0/0/3
SWB SWC
stp enable stp enable

stp mode rstp stp mode rstp
stp bpdu-protection stp bpdu-protection
interface GigabitEthernet 0/0/4 interface GigabitEthernet 0/0/4
stp edged-port enable stp edged-port enable
Проверка конфигурации RSTP (1)
 Проверьте информацию STP по SWA.
<SWA>display stp brief

MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1 DESI FORWARDING NONE
<SWA>display stp
-------[CIST Global Info][Mode RSTP]-------
CIST Bridge :0 .4c1f-cc5f-55e4
Config Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
CIST Root/ERPC :0 .4c1f-cc5f-55e4 / 0
CIST RegRoot/IRPC :0 .4c1f-cc5f-55e4 / 0
CIST RootPortId :0.0
BPDU-Protection :Disabled
CIST Root Type :Primary root
Проверка конфигурации RSTP (2)
 Проверьте информацию STP на SWB.
[SWB]display stp brief

0 GigabitEthernet0/0/1 ROOT FORWARDING NONE
0 GigabitEthernet0/0/4 DESI FORWARDING BPDU
 Проверьте информацию STP на SWC.
<SWC>display stp brief

0 GigabitEthernet0/0/3 ALTE DISCARDING NONE
0 GigabitEthernet0/0/4 DESI FORWARDING BPDU
Вопросы
1. Сколько состояний порта определяет RSTP?
A. 2
B. 3
C. 4
2. Какие роли порта определяет RSTP?
Спасибо!
www.huawei.com
Принципы и конфигурации MSTP

Введение
 Быстрый протокол разворачивающегося дерева (Rapid Spanning Tree Protocol, RSTP), являющийся
усовершенствованием протокола покрывающего дерева (Spanning Tree Protocol, STP), обеспечивает
быструю конвергенцию топологии сети. Однако и протокол RSTP, и STP имеют существенные недостатки:
все сети VLAN в локальной сети используют одно связующее дерево, что делает балансировку нагрузки на
базе VLAN невозможной. Как только канал связи заблокирован, он больше не будет передавать трафик, это
приводит к растрате ресурсов пропускной способности и низкой отказоустойчивости сети.
 Для решения проблем с протоколами STP и RSTP, в 2002 году IEEE в стандарте 802.1s определел протокол
множественных связующих деревьев (MSTP). MSTP реализует быструю конвергенцию и предоставляет
несколько каналов связи резервирования для балансировки нагрузки трафика VLAN.
Цель
 Ограничения одного связующего дерева
 Рабочий механизм MSTP
 Конфигурации MSTP
1. Ограничения одного связующего дерева
2. Принципы MSTP
3. Конфигурация MSTP
Ограничения одного связующего дерева -
Некоторые пути VLAN недоступны
Разрешение на
передачу пакетов
DP из VLAN. RP
SWA SWB
Root-коммутатор DP DP
VLAN2 VLAN2
Этот путь отключен,
VLAN3 и путь VLAN 3
недоступен.
RP AP
DP DP
SWC
VLAN2 VLAN3
LAN A LAN B
трафик не может быть сбалансированным
нагрузки
Создание Создание
интерфейса L3 интерфейса L3
для VLAN 2 для VLAN 3
DP RP
SWA SWB
VLAN2
Этот путь отключен,
и трафик не может
VLAN3
быть сбалансирован.
RP AP
DP DP
SWC
VLAN2 VLAN3
LAN A LAN B
субоптимальный путь L2
Создание Создание
интерфейса интерфейса
L3 для VLAN 2 L3 для VLAN 3
DP RP
SWA SWB
VLAN2
субоптимальный
VLAN3 путь VLAN 3
RP AP
DP DP
SWC
VLAN2 VLAN3
LAN A LAN B
MSTI преодолевает ограничения одного
связующего дерева
DP RP
SWA RP DP
SWB
DP DP DP
DP
Root-коммутатор MSTI 1 Root-коммутатор MSTI 2
AP RP
RP
AP
MSTI 1 -> VLAN 2 MSTI 2 -> VLAN 3 и VLAN 4
DP DP
SWC
VLAN2 VLAN3
VLAN4
LAN A LAN B
 Область MST может содержать несколько связующих деревьев, каждое из которых является MSTI.
MSTI независимы друг от друга, и процесс расчета каждого MSTI аналогичен процессу расчета
RSTP.
Требования к конфигурации MSTP
 MSTP может быть использован для балансировки нагрузки трафика доступа в Интернет для ПК с
различных виртуальных локальных сетей VLAN. В сетях VLAN с 1 по 10 сопоставляются MSTI 1, а в
сетях VLAN с 11 по 20 - MSTI 2.
Конфигурация
stp enable
похожа на
stp mode mstp
конфигурацию SWA
stp region-configuration
region-name RG1
instance 1 vlan 1 to 10
SWA GE0/0/2 GE0/0/2
instance 2 vlan 11 to 20 SWB
active region-configuration GE0/0/1 GE0/0/1
GE0/0/1
GE0/0/1
SWC GE0/0/2
SWD
GE0/0/2
G0/0/3 G0/0/3 Конфигурация
Конфигурация похожа на
похожа на конфигурацию
конфигурацию SWA
SWA PC1 PC2
Процедура конфигурирования MSTP
stp instance 1 root primary stp instance 2 root primary

stp instance 2 root secondary stp instance 1 root secondary
SWA SWB
GE0/0/2 GE0/0/2
GE0/0/1
GE0/0/1
stp instance 2 cost 200000 stp instance 1 cost 200000
GE0/0/1 GE0/0/1
SWC SWD
GE0/0/2 GE0/0/2
G0/0/3
G0/0/3
stp edged-port enable stp edged-port enable
PC1 PC2
Проверка конфигурации MSTP (1)
 Проверьте состояние порта на SWA.
[SWA]display stp brief

 Проверьте состояние порта на SWB.
[SWB]display stp brief

Проверка конфигурации MSTP (2)
 Проверьте состояние порта на SWC.
[SWC]display stp brief

 Проверьте состояние порта на SWD.

<SWD>display stp brief
Вопросы
1. Опишите ограничения одного связующего дерева.
2. Какое из следующих утверждений о MSTP является неправильным?

A. В одной области MST может быть только один MSTI.
B. Каждый MSTI использует алгоритм RSTP независимо друг от друга.
C. MSTP совместим с STP.
D. MSTI может соответствовать одной или нескольким VLAN.
Спасибо!
www.huawei.com
Принципы и конфигурации MPLS

Введение
 С 90-х годов трафик Интернета быстро растет. Из-за ограничений аппаратных
технологий маршрутизаторы пересылали пакеты данных hop by hop, используя
алгоритм наибольшего соответствия, становясь узкими местами переадресации
данных. Быстрая маршрутизация стала общей проблемой.
 В различных решениях IETF (Internet Engineering Task Force) стандартизировал
протокол MPLS (Multiprotocol label switching). MPLS передает данные на основе
меток с фиксированной длиной, значительно улучшая возможности переадресации
маршрутизаторов. Кроме того, MPLS может работать с несколькими сетевыми
протоколами, такими как IPv6 и IPX (Internet Packet Exchange).
Цель
 Принципы работы MPLS
 Установку MPLS
1. Обзор MPLS
2. Установка LSP
Обзор MPLS
Прикладной
уровень
Уровень
Блок PDU презентации Данные
Уровень сеанса
Транспортный TCP/UDP
Сегмент уровень заголовок Данные
Пакет Сетевой уровень

IP- TCP/UDP
Данные
заголовок заголовок
Заголовок IP- TCP/UDP

Данные
Уровень канала MPLS заголовок заголовок
Кадр Заголовок Заголовок
передачи данных IP- TCP/UDP
Данные
второго уровня MPLS заголовок заголовок
Бур Физический
уровень 0101110101000010000101000101010
Базовая структура MPLS
Заголовок Заголовок
IP-пакет MPLS IP-пакет MPLS IP-пакет IP-пакет
RTA RTB RTC RTD RTE

OSPF Area 0
IP-сеть IP-сеть
Сеть MPLS
LSP
 LSP (Label Switched Path): путь, по которому IP-пакеты передаются в сети MPLS.
 FEC (Forwarding Equivalent Class): группа пакетов, обрабатываемых таким же
образом. В сети MPLS все пакеты с одним и тем же адресом назначения
принадлежат одному и тому же FEC.
Архитектура MPLS
Протокол маршрутизации IP
RIB
(Routing Information Base)
Плоскость управления
LDP
(Label Distribution Protocol)
LIB
(Label Information Base)
FIB
(Forwarding Information Base)
Плоскость переадресации
LFIB
(Label Forwarding Information Base)
Структура пакетов MPLS
Сеть MPLS
OSPF Area 0
RTA RTB Пакет RTC RTD RTE
IP-сеть IP-сеть
Заголовок второго IP-
уровня
Заголовок MPLS
заголовок
Данные Поток данных
Метка Exp S ТТЛ
 Метка (Label) — это короткий идентификатор с фиксированной длиной, имеющий

только локальное значение, и используется для уникально идентифицировать FEC,
к которому принадлежит пакет.
1. Обзор MPLS
2. Установка LSP
Режимы установки LSP
В сеть X В сеть X В сеть X

Label=B Label=C Label=D
RTA RTB RTC RTD Сеть X

OSPF Area 0
Сеть MPLS
Распределение меток
Поток данных
 Существует два режима установки LSP:

 Статический LSP: пользователи вручную распределяют метки для FEC для
установки туннеля.
 Динамический LSP: туннели переадресации устанавливаются протоколом LDP.
Статический LSP
100.1.1.1/32 100.1.1.1/32 100.1.1.1/32 100.1.1.1/32
Out Label=100 Out Label=200 Out Label=300 Out Label=Null
In Label=Null In Label=100 In Label=200 In Label=300
RTA RTB RTC RTD 100.1.1.1/32

Ingress Transit Transit Egress
OSPF Area 0
Сеть MPLS
 Характеристики статического LSP:

 Не используется протокол LDP. Устройства не нуждаются в обмене контрольными пакетами. Мало
ресурсов потребляется.
 Статические LSP не могут адаптироваться к изменениям в топологиях сети. Если топология сети
меняется, администратор должен изменить пути для статических LSP.
 Статические LSP применяются к стабильным сетям с простой сетевой топологией.
Динамический LSP
100.1.1.1/32 100.1.1.1/32 100.1.1.1/32 100.1.1.1/32

OSPF Area 0
Сеть MPLS
 Динамический LSP использует LDP для назначения FEC, распределения меток, установки и
обслуживания LSP.
 Характеристики динамического LSP:
 Конфигурация сети проста, удобна в управлении и обслуживании.
 LSP динамически устанавливаются на основе записей маршрутизации. Динамические LSP могут
адаптироваться к изменениям в топологии сети, отражая статус сети в режиме реального времени.
Обнаружение соседей LDP
10.1.12.1 10.1.12.2
RTA RTB
Hello (Transport Address=10.1.12.1)
Hello (Transport Address=10.1.12.2)
TCP (SYN)
TCP (ACK+SYN)
TCP (ACK)
Установление отношений соседства LDP
10.1.12.1 10.1.12.2
RTA RTB
Hello
Discovery Hello
SYN
ACK+SYN
TCP
ACK
Initialization
Initialization+Keepalive
Session
Keepalive
Address
Address
Advertisement Label Mapping
Label Mapping
Notification
Notification
Режимы объявлении метки
100.1.1.1/32 100.1.1.1/32 100.1.1.1/32 100.1.1.1/32

Режим Объявить метку Объявить метку Объявить метку на 100.1.1.1/32

на восходящее на восходящее его восходящем
DU устройство устройство устройстве
Запросить метку с Запросить метку Запросить метку
нисходящего у нижестоящего у нижестоящего
Режим устройства устройства устройства 100.1.1.1/32
DoD
Объявить Объявить
RTA метку после RTB метку после RTC Объявить RTD
Ingress Transit Transit метку после Egress
получения получения получения
запроса запроса запроса
Режимы управления распределением меток
100.1.1.1/32 100.1.1.1/32 100.1.1.1/32 100.1.1.1/32

Режим Активно распределить Активно распределить Активно распределить 100.1.1.1/32

метки на восходящее метки на восходящее метки на восходящее
Independent устройство устройство устройство
Распределить метку на Распределить метку на Распределить метку на

Режим восходящее устройство восходящее устройство восходящее устройство,
после того, как метка для после того, как метка для так как RTD является
Ordered 100.1.1.1/32 существует 100.1.1.1/32 существует выходом 100.1.1.1/32
на RTB на RTC 100.1.1.1/32
RTA RTB RTC RTD

Режимы сохранения меток
OSPF Area 0 100.1.1.1/32 100.1.1.1/32
Label=1026 Label=1025
RTA RTB RTD РТЕ 100.1.1.1/32
100.1.1.1/32 100.1.1.1/32
Label=1028 Label=1027
RTC
Сеть MPLS
 В таблице маршрутизации RTB имеет два пути к RTE (100.1.1.1/32): RTB > RTD > RTE
(оптимальный) и RTB > RTC > RTD > RTE. После получения RTB метки для 100.1.1.1/32 от
RTC, он обрабатывает метку следующим образом:
 Режим Liberal: RTB сохраняет метку, полученную от RTC.
 Режим Conservative: RTB не сохраняет метку, полученную от RTC.
Процесс установки LDP LSP
100.1.1.1/32 100.1.1.1/32 100.1.1.1/32 100.1.1.1/32
RTA LDP RTB LDP RTC LDP РТД 100.1.1.1/32

OSPF Area 0
Сеть MPLS
Распространение этикетки
 IGP (Interior Gateway Protocol) отвечает за внедрение достижимости внутренних

маршрутов в сети MPLS и предоставление маршрутов для пакетов FEC.
 Динамический LSP использует LDP для назначения FEC, распределения меток,
установки и обслуживания LSP.
Процесс переадресации данных MPLS
100.1.1.1/32 100.1.1.1/32 100.1.1.1/32 100.1.1.1/32

OSPF Area 0
Сеть MPLS
 В сети MPLS пакеты данных инкапсулируются и передаются на каждом маршрутизаторе на

основе выделенных меток.
 Как выходной узел RTD обрабатывает полученные пакеты данных? Если в сети MPLS
передается большое количество сервисного трафика, каковы недостатки этого метода
обработки?
PHP (Penultimate Hop Popping)
RTD — последний переход к
Понятно.
100.1.1.1/32 100.1.1.1/32 100.1.1.1/32. Удалите
100.1.1.1/32
Out Label=1027 Out Label=1026 метку перед отправкой
Out Label=3
In Label=Null In Label=1027 пакета к RTD. Специальная
In Label = 1026
метка 3 означает действие pop-up.
RTA RTB RTC РТД 100.1.1.1/32

Вход Транзит транзит Выход
OSPF Area 0
MPLS network Поток данных
 Процесс PHP приведен ниже:
 После того, как RTC получает пакет с меткой 1026 от RTB, он ищет таблицу LFIB и обнаруживает,
что исходящая метка является имплицитной нулевой меткой 3. Затем RTC выдвинет метку и
передает пакет данных IP на нисходящий маршрутизатор RTD.
 После того, как RTD получает IP-пакет от RTC, RTD ищет свою собственную таблицу FIB,
инкапсулирует пакет и передает его через исходящий интерфейс в таблице FIB.
Вопросы
1. Сколько битов имеет поле метки (Label) в метке MPLS?
А. 10
Б. 20
В. 30
Г. 40
2. Какое значение имеет имплицитная нулевая метка?

А. 3
Б. 5
В. 0
Спасибо!
www.huawei.com
Принципы и конфигурации MPLS VPN

Введение
 По мере улучшения аппаратной производительности MPLS (Multiprotocol
Label Switching) больше не показывает своих преимуществ при скорости
пересылки данных. Однако MPLS по-прежнему широко используется в
новых приложениях, таких как VPN (virtual private network) и TE (traffic
engineering), поскольку она поддерживает многоуровневые метки и
разделение пересылки и управления (forwarding-control separation).
 Из-за дефектов традиционной VPN многие требования заказчика не могут
быть выполнены во время развертывания сети. MPLS VPN интегрирует две
традиционные модели VPN, способствующие развитию VPN.
Цель
 Традиционные модели VPN
 Основные принципы работы MPLS VPN
 Базовую конфигурацию MPLS VPN
1. Принципы работы MPLS VPN
 Предпосылка и модели VPN
 Преимущества MPLS VPN
 Принципы работы MPLS VPN
2. Пример конфигурации MPLS VPN
Предпосылка (1)
Client1 Операторская Операторская Client1

сеть A сеть A
Client2 Client2
Сеть
оператор B
Поток VPN
 Выделенные линии имеют следующие характеристики:
 Частные линии, высокая безопасность и физическая изоляция между различными пользователями
 Дорогостоящие
 Недостаточное использование, что приводит к излишним затратам полосы пропускания
Предпосылка (2)
Операторская сеть
Client1 Client1
Client2 Client2
Туннель
 Новые технологии разделения полосы пропускания включают ретрансляцию кадров (FR) и X.25. Эти
технологии поддерживают логическую изоляцию, чтобы установить специальный туннель по всей
общественной сети для связи между двумя сайтами.
Корпоративные пользователи могут
получить доступ к операторской сети
RTA RTF
Штаб-квартира Client1 Филиал Client1
RTE
RTC RTD RTE
RTB RTG
Штаб-квартира Client2 Филиал Client2
 Сетевые устройства предприятий:

 RTA, RTB, RTF и RTG являются устройством CE (Customer Edge).
 Сетевые устройства оператора:
 RTC и RTE напрямую подключаются к клиентским устройствам, они являются устройством PE (Provider Edge).
 RTD является магистральным устройством на операторской сети и называется устройством P (Provider).
Модель VPN - Overlay VPN
CE1 CE3
VPN1 VPN1
RTE
PE1 P PE2
CE2 CE4
VPN2 VPN2
Туннель
 Overlay VPN имеет следующие характеристики:
 Протоколы маршрутизации позволяют клиентским устройствам обмениваться информацией маршрутизации, но оператор не знает архитектуру сети
клиентов.
 Типовые протоколы:
 Второй уровень: Ретрансляция кадров
 Третье уровень: GRE и IPSec
 Прикладной уровень: SSL VPN
VPN модель - Peer-to-Peer VPN (1)
CE1 CE3
VPN1 VPN1
RTE
PE1 P PE2
CE2 CE4
VPN2 VPN2
 Peer-to-Peer VPN имеет следующие характеристики:

 Устройства CE и PE обмениваются информацией о маршруте VPN, а устройства PE передают информацию о
маршруте VPN по сети оператора, реализуя динамическое развертывание VPN и объявление маршрутов.
 В отличие от статической Overlay VPN, Peer-to-Peer VPN может быть развернута в больших масштабах.
VPN модель - Peer-to-Peer VPN (2)
PE1 PE3
CE1 CE
3
VPN1 VPN1
RTE
CE2 P CE4
PE2 Операторская сеть PE4

VPN2 VPN2
 Специальные устройства PE для Peer-to-Peer VPN имеют следующие характеристики:

 Оператор развертывает независимое устройство PE для каждого пользователя VPN. Устройства PE
и CE для одной VPN могут выполнять любой протокол маршрутизации, не зависимо от другой VPN.
 Предпосылка и модели VPN
 Преимущества MPLS VPN
 Принципы работы MPLS VPN
Причины генерирования MPLS VPN
CE1 Какой пользователь VPN CE

выполняет маршрут 172.16.1.1/32? 3
VPN1 VPN1
172.16.1.1/32
RTE
PE1 P PE2
CE2 CE4
VPN2 VPN2
172.16.1.1/32
 Два пользователя VPN имеют одинаковое адресное пространство. Устройства традиционной

сети VPN не могут идентифицировать маршрутную информацию двух пользователей.
Перекрытие адресного пространства
CE1 1. Как устройство PE отличает

один и тот же маршрут от разных
CE3
пользователей VPN?
VPN1 VPN1
172.16.1.1/32
RTE
CE2 PE1 P PE2 CE4

Операторская
3. Как устройство PE
может правильно сеть 2. Как устройства
перенаправить приемника PE может
VPN2 полученные пакеты правильно импортировать VPN2
данных IP на целевой маршруты VPN при
172.16.1.1/32 передаче конфликтующих Данные
VPN-пользователь? маршрутов в
общественной сети? Маршрутизатор
 Для решения проблемы перекрытия адресного пространства необходимо решить

вышеуказанные проблемы.
Решение конфликта локального маршрута (1)
PE1 Таблица маршрутизации PE3
CE1 VPN1 CE3
VPN1 VPN1
Таблица глобальной
CE2 Таблица маршрутизации CE4
PE2 VPN2 PE4
VPN2 VPN2
Выделенный режим PE
 Устройства на магистральной сети имеют свои собственные обязанности. Каждое устройство

PE сохраняет только свои собственные VPN-маршруты. Устройство P сохраняет только
общественные сетевые маршруты. Таким образом, проблема перекрытия адресного
пространства может быть решена следующим образом:
 Использовать одно устройство PE для обеспечения функций устройств PE и P, и реализовать
изоляцию VPN-маршрут.
Решение конфликта локального маршрута (2)
CE1 Технология VRF CE3

PE1 P PE2
VPN1 VPN1
VPN1 Routing Table Global

CE2 Routing CE
VPN2 VPN2 Routing Table Table VPN2 4
 VRF можно активировать на общем устройстве PE, чтобы изолировать перекрывающиеся

маршруты. Устройство PE добавляет маршруты каждой VPN к соответствующей таблице
маршрутизации VPN (VPN Routing Table).
 Каждое совместное устройство PE поддерживает несколько таблиц маршрутизации VPN и
одну таблицу маршрутизации общественной сети.
Различать конфликтующие маршруты при
объявлении маршрутов
CE1 CE3
PE1 P PE2
VPN1: 172.16.1.1/32 VPN1
CE2 CE4
VPN2: 172.16.1.1/32 VPN2
VPN1 172.16.1.1/32 172.16.1.1/32 VPN1
172.16.1.1/32 RD=1:1 RD=1:1 172.16.1.1/32
VPN2 172.16.1.1/32 172.16.1.1/32 VPN2
172.16.1.1/32 RD=2:2 RD=2:2 172.16.1.1/32
VRF VPNv4 routing-table VPNv4 routing-table VRF
 Перед тем, как маршрут VPN будет объявлен в глобальную таблицу маршрутизации, на маршрут будет
привязан глобально уникальный идентификатор, позволяющий отличать конфликтующие частные
маршруты. Данный идентификатор называется идентификатором маршрута (RD).
Импорт маршрута VPN в сценарии Hub-
Spoke
RDS может различать конфликтующие
маршруты. Как можно импортировать
CE1 конфликтующие маршруты из различных
IEC 11 филиалов в VRF штаб-квартиры?
PE1 P PE2 CE3

Филиал 1
172.16.1.1/32
CE2 Штаб-квартира
Магистральная сеть оператора
IEC 22 IEC 11
172.16.1.1/32
RD=1:1
VPN штаб-квартиры
Филиал 2 172.16.1.1/32
172.16.2.1/32
172.16.2.1/32 RD=2:2
VPNv4 routing-table VRF
 RDS не может правильно импортировать маршруты в VPN.

 Чтобы импортировать маршруты в правильную VPN, тег (tag) должен быть назначен вручную. Перед
отправкой пакета локальное устройство PE добавляет к пакету указанный тег. После того, как удаленное
PE устройство получает пакет, он импортирует маршрут в нужную VPN на основе тега.
Решение импорта маршрутов VPN в
сценарии Hub-Spoke
CE1 IEC 11 IEC 33
Export=1:1 Import=1:1, 2:2
Import=3:3 Export=3:3
PE1 P PE2
Филиал 1 CE3
172.16.1.1/32
CE2 Штаб-квартира
IEC 22 Магистральная сеть оператора
Export=2:2
Import=3:3 172.16.1.1/32
VPN
RD=1:1; Export=1:1
Филиал 2 штаб-квартиры
172.16.2.1/32 172.16.2.1/32 172.16.1.1/32
RD=2:2; Export=2:2 172.16.2.1/32
 RT (route target) используется для правильного импорта маршрутов в VPN. Существуют два
типа атрибутов VPN Target: Import Target и Export Target, используемые для импорта и
экспорта маршрутов VPN соответственно.
Оптимизация импорта маршрутов в
сценарии Hub-Spoke
CE1 Export=12:3
Import = 3:12 (Загрузка) Import=12:3
Export = 3:12
PE1 P PE2
CE3
Филиал 1: 172.16.1.1/32
Филиал 2: 172.16.2.1/32
CE2
Export=12:3 Магистральная Штаб-квартира
Import = 3:12 сеть оператора
VPN1 172.16.1.1/32 VPN

172.16.1.1/32
172.16.1.1/32 RD=1:1;Export=12:3 штаб-квартиры
RD=1:1;Export=12:3
VPN2 172.16.2.1/32 172.16.1.1/32
RD=2:2;Export=12:3 172.16.2.1/32 172.16.2.1/32
172.16.2.1/32 RD=2:2;Export=12:3
VRF VPNv4 routing-table VPNv4 routing-table VRF
 При использовании RBT для импорта маршрутов в VPN должны соблюдаться следующие условия:
 Локальный Export Target = Удаленный Import Target
 Локальный Import Target = Удаленный Export Target
Решение конфликтующих маршрутов при
переадресации данных
CE1 ping 172.16.1.1 CE3
VPN1 PE1 P PE2 VPN1

172.16.1.1/32
CE2 CE4
Я хочу получить доступ к 172.16.1.1.

VPN2 Что нужно искать? VPN2
172.16.1.1/32 VPN1 routing-table или VPN2 routing-table?
 Пакет не имеет какого-либо идентификатора. Поэтому, когда пакет данных

ICMP достигает PE1, PE1 не знает в какой таблице маршрутизации VPN
может найти правильный адрес назначения.
Вложение метки MPLS
Метка 1026
распределяется по
CE1 маршрутам от VPN1. ping 172.16.1.1 CE3
PE1 P PE2
VPN1 VPN1
172.16.1.1/32
CE2 CE4
VPN1 VPN1
172.16.1.1/32 172.16.1.1/32; Label:1026
VPN2 VPN2
172.16.1.1/32 VPN2 VPN2
172.16.1.1/32 172.16.1.1/32; Label:1027 Данные
Маршрутизатор
VRF VPNv4 routing-table
Link Lager header Outer MPLS Label Inner MPLS Label Layer 3 header Layer 3 payload
Label Stack
 Вложение меток может решить проблему конфликтующих маршрутов при переадресации данных.
 Предпосылка и модели VPN
 Преимущества MPLS VPN
 Принципы работы MPLS VPN
Рабочий процесс MPLS VPN
CE1 CE3
VPN1 VPN1
CE2 PE1 P PE2 CE4

VPN2 VPN2
Данные
 Рабочий процесс MPLS VPN разделен на два шага:

 Объявление маршрута MPLS VPN
 Переадресация данных MPLS VPN
Обмен информацией о маршруте между
устройствами CE и PE
CE1 AS 500 CE3
OSPF Area 0
10.1.34.0/24 10.1.56.0/24
VPN1 VPN1
AS 100 AS 300
PE1 P PE2
CE2 CE4
VPN2 VPN2
AS 200 AS 400
 Устройства PE и CE могут обмениваться информацией о маршруте через статические

маршруты или протоколы динамической маршрутизации, такие как протокол RIP (Routing
Information Protocol), OSPF (Open Shortest Path First), IS-IS (Intermediate System to Intermediate
System) и BGP (Border Gateway Protocol).
VPN Route Injection в MP-BGP
CE1 AS 500 CE3
3.3.3.3 5.5.5.5
PE1 P PE2
VPN1 VPN1
172.16.1.1/32
CE2 CE4
OSPF Area 0
VPN1 172.16.1.1/32, RD=1:1;

VPN2 172.16.1.1/32 RT=1:1(Export); Label=1026; VPN2
172.16.1.1/32
VPN2 172.16.1.1/32, RD=2:2;
172.16.1.1/32 RT=2:2(Export); Label=1027;
IPV4 VPNv4 routing-table
 Маршрутизатор добавляет RD к маршруту IPv4 VRF, чтобы изменить его на

маршрут VPN-IPv4. Маршрут VPN-IPv4, содержащий информацию RT и метки,
добавляется в таблицу маршрутизации MP-BGP. Протокол MP-BGP используется
для обмена информацией о маршруте между устройствами PE.
Распределение меток общественных сетей
CE1 AS 500 CE3
OSPF Area 0
3.3.3.3 4.4.4.4 5.5.5.5
VPN1 LDP LDP VPN1
PE1 P PE2
CE2 CE4
FEC=PE1 FEC=PE1 FEC=PE1
In/Out Label In/Out Label In/Out Label
VPN2 3/NULL 10303 NULL/1030 VPN2
 Протокол MPLS работает в сети оператора для распределения меток общественных сетей и
установления туннелей для реализации переадресации данных VPN по сети.
 Устройства PE запускают протокол MP-BGP для распределения меток частной сети на
маршрутах VPN. Устройства PE правильно перенаправляют данные в соответствующие VPN
на базе меток частной сети.
MP-BGP Route Injection в VPN
CE1 IEC 500 CE3
OSPF Area 0
3.3.3.3 5.5.5.5
VPN1 VPN1
CE2 PE1 P PE2 CE4
172.16.1.1/32,RD=1:1; VPN1
RT=1:1(Export);Label=1026; 172.16.1.1/32
VPN2 VPN2
172.16.1.1/32,RD=2:2; VPN2
RT=2:2(Export);Label=1027; 172.16.1.1/32
 PE2 получает маршрут VPNv4 от PE1.
 PE2 проверяет атрибуты расширенного сообщества в маршруте.
 PE2 сравнивает значение Export Target атрибутов расширенного сообщества с значением Import Target
локальной VPN.
 Если два значения одинаковы, PE2 импортирует маршрут VPNv4 в таблицу маршрутизации VPN.
Переадресация данных с устройства CE на
устройство PE
CE1 AS 500 CE3
OSPF Area 0
1030 1027 172.16.1.1
VPN1:172.16.1.1/32 VPN1
CE2 PE1 P PE2 CE4
VPN2:172.1.1.1/32
LFI Label=1027
VPN2:172.16.1.1/32 B NH=PE1 VPN2
FEC=PE1
VRF2 routing-table Out Label:1030
IF:G0/0/0
 CE4 передает пакет данных в PE2. PE2 ищет таблицу маршрутизации VPN2, чтобы
определить, что пакет должен быть переадресован на основе меток. PE2 затем ищет
следующий переход (next hop) и исходящий интерфейс, и инкапсулирует пакет с помощью
MPLS на основе распределенной метки.
Переадресация данных на устройствах
общественной сети
IEC 500
CE1 CE3
FEC=PE1 FEC=PE1 FEC=PE1
In/Out Label In/Out Label In/Out Label
3/NULL 1030/3 NULL/1030
VPN1:172.16.1.1/32 VPN1
CE2 PE1 P PE2 CE4

1027 172.16.1.1 1030 1027 172.16.1.1
VPN2:172.16.1.1/32 VPN2
 PE2 передает пакет данных по MPLS туннелю, установленному через

общественную сеть, в PE1. В этом процессе переадресации изменяется
только метка общественной сети.
Переадресация данных с устройства PE на
устройство CE
CE1 AS 500 CE3
1027 172.16.1.1
VPN1:172.16.1.1/32 VPN1
CE2 PE1 P PE2 CE4
VPN1 Label=1026;
VPN2:172.16.1.1/32 172.16.1.1/32 Next-hop=CE1; VPN2
VPN2 Label=1027;
172.16.1.1/32 Next-hop=CE2;
 После получения пакета, содержащего только метку частной сети, PE1 ищет
следующий переход, основанный на метке частной сети, и передает пакет
соответствующему пользователю VPN.
Пример конфигурации MPLS VPN
AS100
CE1
AS 500
AS300
OSPF Area 0
10.1.34.0/24 10.1.45.0/24 10.1.56.0/24 CE3
172.16.1.1/32
VPN 1 (филиал 1)
G1/0/0 G0/0/0 G0/0/1 G0/0/0 G0/0/1 G0/0/0
AS200
PE1 P PE2
CE2 172.16.3.1/32
Магистральная сеть оператора VPN3 (штаб-квартира)
172.16.2.1/32
 Как филиал 1, так и филиал 2 могут взаимодействовать со штаб-квартирой, но филиалы 1 и 2

не могут взаимодействовать друг с другом. Правильно сконфигурируйте устройства на
основе информации на рисунке, чтобы позволить пользователям штаб-квартиры получить
доступ к пользователям филиалов.
Конфигурирование устройств
пользовательской стороны
bgp 100
ipv4-family unicast
network 172.16.1.1 255.255.255.255
AS100
CE1
AS 500
OSPF Area 0 AS300
172.16.1.1/32 10.1.34.0/24 10.1.45.0/24 10.1.56.0/24 CE3
G1/0/0 G0/0/0 G0/0/1 G0/0/0 G0/0/1 G0/0/0
AS200
PE1 P PE2
CE2 172.16.3.1/32
Магистральная сеть оператора VPN3 (штаб-квартира)
172.16.2.1/32 bgp 200 bgp 300

VPN 2 (филиал 2) peer 10.1.23.3 as-number 500 peer 10.1.56.5 as-number 500
ipv4-family unicast ipv4-family unicast
network 172.16.2.1 255.255.255.255 network 172.16.3.1 255.255.255.255
peer 10.1.23.3 enable peer 10.1.56.5 enable
Конфигурирование IGP на магистральной
сети
AS100
CE1
AS 500
OSPF Area 0 AS300
PE1 P PE2
172.16.1.1/32 10.1.34.0/24 10.1.45.0/24 10.1.56.0/24 CE3
G1/0/0 G0/0/0 G0/0/1 G0/0/0 G0/0/1 G0/0/0
AS200
CE2 172.16.3.1/32
VPN3 (штаб-квартира)
172.16.2.1/32
router id 3.3.3.3 router id 4.4.4.4 router id 5.5.5.5
ospf 1 ospf 1 ospf 1
area 0.0.0.0 area 0.0.0.0 area 0.0.0.0
network 4.4.4.4 0.0.0.0 network 5.5.5.5 0.0.0.0
network 3.3.3.3 0.0.0.0
network 10.1.34.0 0.0.0.255 network 10.1.45.5 0.0.0.255
network 10.1.34.0 0.0.0.255 network 10.1.45.0 0.0.0.255
Конфигурирование экземпляров VPN
AS100
CE1 ip binding vpn-instance VPN3
OSPF Area 0 AS300

10.1.34.0/24 10.1.45.0/24 10.1.56.0/24 CE3
AS200 G1/0/0 G0/0/0 G0/0/1 G0/0/0 G0/0/1 G0/0/0
CE2
AS 500 172.16.3.1/32
ip vpn-instance VPN3
ipv4-family
ip vpn-instance VPN1 route-distinguisher 3:3
ipv4-family vpn-target 3:12 export-extcommunity
route-distinguisher 1:1 vpn-target 12:3 import-extcommunity
vpn-target 12:3 export-extcommunity
vpn-target 3:12 import-extcommunity
#
ip binding vpn-instance VPN1
ip vpn-instance VPN2
#
ipv4-family
route-distinguisher 2:2
ip binding vpn-instance VPN2
vpn-target 12:3 export-extcommunity
vpn-target 3:12 import-extcommunity
Конфигурирование MP-BGP
AS100
AS 500
CE1 PE1 P PE2

10.1.34.0/24 10.1.45.0/24 10.1.56.0/24
AS300
172.16.1.1/32
VPN 1 (филиал 1) G1/0/0 G0/0/0 G0/0/1 G0/0/0 G0/0/1 G0/0/0
CE3
AS200 OSPF Area 0 VPN3 (штаб-квартира)
172.16.3.1/32
CE2 bgp 500 bgp 500
VPN 2 (филиал 2) peer 5.5.5.5 as-number 500 peer 3.3.3.3 as-number 500
172.16.2.1/32 peer 5.5.5.5 connect-interface peer 3.3.3.3 connect-interface
LoopBack0 LoopBack0
# #
ipv4-family vpnv4 ipv4-family vpnv4
peer 5.5.5.5 enable policy vpn-target
# peer 3.3.3.3 enable
ipv4-family vpn-instance VPN1 #
peer 10.1.13.1 as-number 100 ipv4-family vpn-instance VPN3
# peer 10.1.56.6 as-number 300
ipv4-family vpn-instance VPN2
Конфигурирование MPLS
CE1
AS 500
OSPF Area 0 AS300
AS100 10.1.34.0/24 10.1.45.0/24 10.1.56.0/24 CE3
VPN 2 (филиал 2) G1/0/0G0/0/0 G0/0/1 G0/0/0
G0/0/1G0/0/0
AS200
CE2 172.16.3.1/32
mpls lsr-id 4.4.4.4

mpls
mpls lsr-id 3.3.3.3 mpls ldp mpls lsr-id 5.5.5.5
mpls # mpls
mpls ldp interface GigabitEthernet0/0/0 mpls ldp
# mpls #
interface GigabitEthernet1/0/0 mpls ldp interface GigabitEthernet0/0/0
mpls # mpls
mpls ldp interface GigabitEthernet0/0/1 mpls ldp
mpls
mpls ldp
Вопросы
1. Какие из следующих вариантов являются технологиями модели overlay VPN?
А. IPSec VPN
Б. SSL VPN
В. Peer-to-Peer VPN
Г. GRE
2. Какие из следующих параметров используются для корректного импорта пакетов

MPLS VPN в соответствующую VPN?
А. RT
Б. RD
В. VRF
Г. MP-BGP
Спасибо!
www.huawei.com
Принципы и конфигурации DHCP

Введение
 Для обеспечения сетевого подключения хосты в сети должны получить
несколько важных сетевых параметров, включая IP-адрес, маску сети,
адрес шлюза, адрес DNS-сервера и адрес сетевого принтера. Ручная
настройка этих параметров на каждом хосте затруднена или даже
невозможна.
 Для решения этой проблемы в 1993 году Инженерная рабочая группа
Интернета (IETF) выпустила протокол динамической настройки хостов
(DHCP). DHCP реализует автоматическую настройку параметров сети. Как
работает DHCP? Как DHCP справляется с увеличением размера сети? Как
DHCP защищает от сетевых атак?
Цель
 Понимать принципы и конфигурации DHCP
 Понимать принципы и конфигурации ретрансляций DHCP
 Хорошо ориентироваться в угрозах безопасности для DHCP и соответствующих
механизмах защиты
1. Происхождение DHCP
2. Принципы и конфигурации DHCP
3. Происхождение ретрансляции DHCP
4. Принципы и конфигурации ретрансляции DHCP
5. Угрозы безопасности DHCP и соответствующие механизмы защиты
Проблемы при ручной настройке
параметров сети
 При традиционном конфигурировании сетевых параметров пользователи хоста
должны вручную настроить параметры, включая IP-адрес, маску сети, адрес шлюза
и адрес DNS-сервера.
 Это может вызывать следующие проблемы:
 Высокие требования к пользователям хостов
IP-адрес
 Неправильные конфигурации Шлюз?
 Низкая гибкость
 Недостаточное использование ресурса IP-адреса DNS?
 Большой объем работ
Предложение концепции DHCP
 Традиционно параметры сети настраиваются статически и вручную.
Поскольку число пользователей растет, а местоположения пользователей
больше не фиксированы, традиционный метод конфигурирования не
удовлетворяет требованиям. DHCP был введен, чтобы позволить
устройствам динамически и правильно распределять IP-адреса хостам.
 По сравнению со статическим конфигурированием в ручном режиме DHCP
обладает следующими преимуществами:
 Высокая эффективность
 Высокая гибкость
 Простое управление
Базовый рабочий процесс DHCP (1)
Широковещательный
Клиент DHCP домен уровня 2 DHCP-сервер
Этап Обнаружения
Несколько серверов DHCP отвечают

Клиент DHCP рассылает сообщениями DHCP Offer, несущими
сообщение DHCP Discover, чтобы IP-адреса.
обнаружить DHCP-серверы и
запросить IP-адрес.
Этап
Когда несколько серверов DHCP Предложения
отправляют сообщения DHCP Offer с
предложениями клиенту DHCP, клиент DHCP-сервер проверяет, может ли он
DHCP принимает только первое выделить IP-адрес, указанный на этапе
полученное сообщение предложение
Этап
Предложения Если это так, он отвечает
DHCP Offer. Затем клиент DHCP Запроса сообщением DHCP ACK, указывающим,
рассылает сообщение DHCP Request,
что IP-адрес успешно выделен. Если
которое уведомляет все DHCP-серверы о
том, что он выбрал IP-адрес, нет, он отвечает сообщением DHCP
предложенный одним из DHCP-серверов. NAK, указывающим, что назначение IP-
адреса не выполнено.
Этап Подтверждения
Если клиент DHCP получает
сообщение DHCP ACK, он
использует выделенный IP-адрес.
сообщение DHCP NAK, он не может
получить IP-адрес и снова
переходит на этап Обнаружения.
Базовый процесс получения IP-адреса
Базовый рабочий процесс DHCP (2)
Широковещательный
Клиент DHCP DHCP-сервер
домен уровня 2
T1
Когда срок аренды достигает
50% (T1) клиент DHCP
направляет сообщение DHCP
Request DHCP-серверу для
запроса продления аренды.
T2
Сервер DHCP сбрасывает
Если от DHCP-сервера не получен таймер аренды IP-адреса и
ответ, когда срок аренды достигает отправляет сообщение DHCP
87,5% (T2), клиент DHCP рассылает ACK клиенту DHCP.
сообщение DHCP Request с
запросом на продление аренды.

сообщение DHCP ACK до истечения
срока аренды, то срок аренды IP-
адреса успешно продлевается. В
противном случае, аренда IP-адреса
не может быть обновлена, и клиент
DHCP больше не может
Процесс обновления аренды IP-адреса
использовать этот IP-адрес.
Конфигурация DHCP
G0/0/0
SWA PCA
DHCP-
сервер
Конфигурирование DHCP-сервера для Конфигурирование DHCP-сервера для выделения

выделения IP-адресов клиентам DHCP из IP-адресов клиентам DHCP из пула адресов
глобального пула адресов. интерфейса.
dhcp enable dhcp enable
ip pool HW interface g0/0/0
gateway-list 192.168.1.1 ip address 192.168.1.1 24
network 192.168.1.0 mask dhcp select interface
255.255.255.0 dhcp server dns-list 192.168.1.2
excluded-ip-address 192.168.1.2 dhcp server excluded-ip-address 192.168.1.2
lease day 3 hour 0 minute 0 dhcp server lease day 2 hour 0 minute 0
dns-list 192.168.1.2
ip address 192.168.1.1 255.255.255.0
dhcp select global
Зачем нужна ретрансляция DHCP?
 По мере расширения сети пользователи сети могут оказаться в разных сегментах сети.
DHCP-сервер
RTA
Клиент A SWA
Сообщение DHCP-сервер не получает

Сообщение DHCP Discover с адресом назначения
DHCP Discover
255.255.255.255 может быть передано только в сообщение DHCP Discover
пределах широковещательного домена уровня 2, и не может выделить IP-
Клиент B SWB поэтому оно отбрасывается. адрес для Клиента B.
Способ 1: Настройте DHCP-сервер в каждом Способ 2: Включите функцию ретрансляции DHCP

сегменте сети. на VLANIF 100.
DHCP-сервер
RTA DHCP-сервер
SWA Клиент A SWA

Клиент A RTA
Агент ретрансляции
DHCP
Клиент B SWB
Клиент B SWB DHCP-сервер
Этот метод экономит средства и облегчает управление, поскольку он
Этот метод не рекомендуется, потому что он не экономен. позволяет серверу DHCP предоставлять услуги клиентам DHCP в
нескольких широковещательных доменах уровня 2.
Основной рабочий процесс ретрансляции
DHCP
Агент ретрансляции
Клиент DHCP DHCP DHCP-сервер
Широковещательный Широковещательный Широковещательный

домен уровня 2 домен уровня 2 домен уровня 2
Сообщение DHCP Discover (рассылка)

Сообщение DHCP Discover (одноадресная передача)
Агент ретрансляции DHCP
перенаправляет сообщение DHCP
Discover, полученное от клиента
DHCP, DHCP-серверу.
Сообщение DHCP Offer Сообщение DHCP Offer (одноадресная передача)

(одноадресная передача)
Агент ретрансляции DHCP пересылает

сообщение DHCP Offer, полученное с
DHCP-сервера, клиенту DHCP
Сообщение DHCP Request (рассылка)
Сообщение DHCP Request (одноадресная передача)
Агент ретрансляции DHCP
пересылает сообщение DHCP Агент ретрансляции DHCP перенаправляет
Request, полученное от клиента сообщение DHCP ACK или NAK, полученное с
DHCP, на DHCP-сервер. DHCP-сервера, клиенту DHCP.
Сообщение DHCP ACK / NAK Сообщение DHCP ACK / NAK (одноадресная передача)
(одноадресная передача)
Конфигурирование ретрансляции DHCP
G0/0/0
G0/0/0 G0/0/1
Агент
DHCP-сервер SWA PCA
ретрансляции
DHCP
Настройка DHCP-сервера. Настройка агента ретрансляции

(В данном примере сервер DHCP выделяет IP-адреса DHCP на шлюзе.
клиентам DHCP из глобального пула адресов). dhcp server group DHCP
dhcp enable dhcp-server 10.1.1.1
ip pool DHCP-relay dhcp enable
gateway-list 192.168.1.1 interface g0/0/1
network 192.168.1.0 mask 24 ip address 192.168.1.1 24
dns-list 10.1.1.1 dhcp select relay
interface g0/0/0 dhcp relay server-select DHCP
ip address 10.1.1.1 24 interface g0/0/0
dhcp select global ip address 10.1.1.2 24
ip route-static 192.168.1.0 24 10.1.1.2
Угрозы безопасности DHCP
 Сетевые атаки являются распространенным явлением, и атаки DHCP не исключение.
Например, большое количество пользователей предприятия может внезапно потерять
доступ к Интернету. По результатам проверки терминалы этих пользователей не получают
IP-адреса, тогда как все IP-адреса пула адресов DHCP-сервера были выделены. Это может
свидетельствовать о произошедшей атаке DHCP Starvation.
 При разработке DHCP факторы безопасности не были полностью учтены, существует
множество уязвимостей, делающих DHCP уязвимым для атак. Атаки DHCP на реальные сети
можно подразделить на:
 Атаки DHCP Starvation
 Атаки с поддельного DHCP-сервера
 Атаки посредника на DHCP
Атаки DHCP Starvation
 Принцип атаки: Злоумышленники непрерывно запрашивают большое количество IP-адресов у DHCP-
сервера, пока все IP-адреса пула адресов DHCP-сервера не будут исчерпаны. В результате сервер
DHCP не может назначить IP-адреса авторизованным пользователям.
 Анализ уязвимостей: Когда сервер DHCP выделяет IP-адреса пользователям, он не может отличить
авторизованных пользователей от неавторизованных.
Атакующий изменяет значение поля CHADDR,
передаваемого в сообщениях DHCP, чтобы непрерывно
запрашивать большое количество IP-адресов.
DHCP Discover, CHADDR=A, IP ADD=0.0.0.0

DHCP-сервер выделяет IP-адреса на
DHCP Discover, CHADDR=B, IP ADD=0.0.0.0 основе содержимого поля CHADDR. В
DHCP Discover, CHADDR=C, IP ADD=0.0.0.0 результате все IP-адреса пула адресов
оказываются израсходованы.
ПК злоумышленника
DHCP Offer, CHADDR=A, IP ADD=1.1.1.1
DHCP Offer, CHADDR=B, IP ADD=1.1.1.2
DHCP Offer, CHADDR=C, IP ADD=1.1.1.3
DHCP NAK, CHADDR=PC, IP ADD=0.0.0.0
Готовых к выделению IP-адресов

в пуле адресов не осталось.
DHCP Discover, CHADDR=PC, IP ADD=0.0.0.0
DHCP-сервер
Авторизованный хост запрашивает
ПК IP-адрес у DHCP-сервера.
Атака с поддельного DHCP-сервера
 Принцип атаки: Поддельный DHCP-сервер предоставляет клиентам неверные параметры,
такие как IP-адреса и адреса шлюза, поэтому клиенты не могут получить доступ к сети.
 Анализ уязвимостей: Когда клиент DHCP получает сообщения DHCP от DHCP-сервера, он не
может различить, отправляются ли эти сообщения поддельным или авторизованным DHCP-
сервером.
Поддельный DHCP-сервер
предоставляет клиентам неверные Поддельный
параметры, такие как IP-адреса и DHCP-сервер
адреса шлюза
DHCP Offer，
Server IP ADD=192.168.0.1，
Your IP ADD=192.168.0.3
DHCP Ack，
Server IP ADD =192.168.0.1，
ПК Коммутатор Your IP ADD=192.168.0.3
DHCP Discover， DHCP

DHCP Discover，
Discover，
Server IP ADD=0.0.0.0， Server
Server IP
IP ADD=0.0.0.0，
ADD=0.0.0.0，
Client IP ADD=0.0.0.0 Client
Client IP ADD=0.0.0.0
IP ADD=0.0.0.0
DHCP Request， DHCP Request，

DHCP Request，
DHCP-сервер
Server IP ADD=192.168.0.1， DHCP Offer，
Server IP
Server IP ADD=192.168.0.1，
ADD=192.168.0.1，
Client IP ADD=192.168.0.3 Server IP ADD=192.168.0.2，
Client IP
Client IP ADD=192.168.0.3
ADD=192.168.0.3
Your IP ADD=192.168.0.4
Атаки посредника на DHCP
 Принцип атаки: При помощи механизма ARP злоумышленник заставляет ПК А и DHCP-сервер предполагать о
сопоставлении IP-S с MAC-B и IP-A с MAC-B соответственно. В этом случае IP-пакеты, которыми обмениваются ПК A и
DHCP-сервер, транслируются злоумышленником.
 Анализ уязвимостей: По сути, атака посредника на DHCP представляет собой вид спуфинг-атак по IP или MAC-адресу.
Злоумышленник использует сопоставление между неправильными IP-адресами и MAC-адресами, подделывая DHCP-
сервер и клиентов.
Злоумышленник ПК Б
(посредник)
Направление, в котором ПК А отправляет (MAC-B, IP-B) Направление, в котором DHCP-сервер
IP-пакеты для DHCP-сервера отправляет IP-пакеты для ПК A
При помощи механизма ARP злоумышленник При помощи механизма ARP злоумышленник
заставляет ПК А предполагать соответствие заставляет DHCP-сервер предполагать
между IP-S и MAC-B. соответствие между IP-A и MAC-B.
ПК А DHCP-сервер
(MAC-A, IP-A) (MAC-S, IP-S)
История DHCP Snooping
 DHCP Snooping введен для повышения безопасности сети и предотвращения атак DHCP.
DHCP Snooping не является стандартной технологией и не имеет унифицированных
стандартов и правил. Различные производители сетевых устройств реализуют DHCP
Snooping по-разному.
 DHCP Snooping развертывается на коммутаторах и эквивалентен межсетевому экрану между
клиентами DHCP и DHCP-сервером.
Поддельный
Развертывание DHCP snooping DHCP-сервер
ПК
злоумышленника
ПК Коммутатор DHCP-сервер
Предотвращение атак DHCP Starvation с
помощью DHCP Snooping
Злоумышленник постоянно
запрашивает IP-адреса.
DHCP Request, CHADDR=B, MAC=A
DHCP Request, CHADDR=C, MAC=A

Коммутатор сравнивает исходный MAC-адрес и
значение поля CHADDR в сообщении запроса DHCP
ПК DHCP Request, CHADDR=D, MAC=A и отклоняет сообщение, если два значения
различаются.
злоумышленника
MAC=A
DHCP Request, CHADDR=B, MAC=B
ПК Коммутатор DHCP-сервер
MAC=B
Коммутатор сравнивает исходный MAC-адрес и
значение поля CHADDR в сообщении запроса
DHCP и пересылает сообщение, если два
значения совпадают.
Проверка поля CHADDR включена.
Предотвращение атак с поддельного
DHCP-сервера с помощью DHCP Snooping
DHCP-сервер
Сообщения
DHCP Response
Коммутатор пересылает сообщения

DHCP Response, полученные из
доверенного интерфейса.
Сообщения
DHCP Response
ПК Коммутатор Поддельный
DHCP-сервер
Коммутатор отклоняет
сообщения DHCP Response, Доверенный интерфейс
полученные из ненадежного Ненадежный интерфейс
интерфейса.
Предотвращение атак посредника на DHCP
с помощью DHCP Snooping
(посредник) Злоумышленник отправляет сообщение ARP Request
(с IP-A в качестве исходного IP-адреса и MAC-B в
(MAC-B, IP-B) качестве исходного MAC-адреса), чтобы DHCP-сервер
Коммутатор проверяет IP-адреса и MAC-адреса источника в предполагал соответствие между IP-A и MAC-B.
сообщении ARP Request. Если сопоставление между исходными
IP-адресами и MAC-адресами не соответствует записи в таблице
привязки DHCP Snooping, то коммутатор отклоняет сообщение
×
ARP Request.
DHCP-сервер
ПК А (MAC-S, IP-S)
(MAC-A, IP-A)
Таблица привязки DHCP Snooping
MAC IP Период аренды VLAN-ID ...
MAC-A IP-A ... ... ...
MAC-B IP-B ... ... ...
... ... ... ... ...
Сопряжение DHCP Snooping с IPSG
(MAC-B, IP-B)
Злоумышленник использует IP-адрес
Основываясь на таблице ПК А для отправки пакета атаки.
привязки DHCP Snooping,
коммутатор проверяет
×
корректность пакета.
ПК А DHCP-сервер
(MAC-A, IP-A) (MAC-S, IP-S)
Таблица привязки DHCP Snooping

MAC IP Период аренды VLAN-ID Номер порта
MAC-A IP-A ... ... ...
MAC-B IP-B ... ... ...
... ... ... ... ...
Вопросы
1. Какое из следующих сообщений клиент DHCP отправляет DHCP-серверу для
запроса продления аренды?
А. DHCP Discover
Б. DHCP Offer
В. DHCP Request
Г. DHCP ACK
2. Какие виды распространенных DHCP-атак Вы знаете?
Спасибо!
www.huawei.com
Принципы и конфигурации
зеркалирования
Введение
 Во время техобслуживания сети потребуется получить и проанализировать
пакеты в некоторых условиях. Например, если вы обнаружите
подозрительные пакеты атак, необходимо получить и проанализировать
пакеты, не затрагивая переадресацию пакетов.
 Технология зеркалирования дублирует пакеты зеркального порта на порт
наблюдения, не затрагивая обработку пакетов на устройствах.
Администраторы могут анализировать скопированные пакеты с помощью
устройства мониторинга данных для сетевого мониторинга и устранения
неполадок.
Цель
 Принципы зеркалирования
 Конфигурирование функции зеркалирования
1. Предпосылка зеркалирования
2. Содержание зеркалирования
3. Конфигурация зеркалирования
Сбор данных
Мониторинг услуг в
режиме реального
времени
Анализ и обнаружение
Цели сбора данных
неисправностей
Оптимизация сетевого
трафика
Метод сбора данных
 Физический сбор через разветвитель
Устройство Разветви Я хочу собрать полный

сбора данных поток данных в
тель
реальном времени без
ущерба для услуг.
Коллектор
 Централизованный сбор через NMS
SNMP
Сеть
NMS
Обзор зеркалирования
 Определение
 Функция зеркалирования дублирует пакеты указанного порта
(порта источника или зеркального порта) в другой указанный порт (порт
назначения или порт наблюдения).
 Функция
 Получение полных пакетов для анализа сети.
 Преимущества
 Сбор данных является удобным и не влияет на существующую сеть.
 Осуществляется сбор данных в реальном времени, обеспечивая надежную
передачу данных.
Роли зеркалирования
Зеркальный порт
Зеркальный порт Порт наблюдения
Общий порт
Зеркальный порт Устройство

Порт наблюдения мониторинга
Поток пакетов
Скопированный поток пакетов
Требования к конфигурации
зеркалирования локального порта
Офисный SW1
Eth2/0/1
участок 1
Eth2/0/3
Router Устройство
Eth2/0/2
мониторинга
Офисный SW2
участок 2
 На предприятии пользователи в офисных участках 1 и 2 подключаются к Router через Eth2/0/1 и Eth2/0/2
соответственно. Устройство мониторинга подключено к Eth2/0/3 Router для анализа и мониторинга
данных. Для обеспечения информационной безопасности предприятие хочет контролировать все
пакеты, отправленные из офисных участков 1 и 2 через устройство мониторинга.
Конфигурация зеркалирования
локального порта
SW1
Офисный
участок 1 Eth2/0/1
Eth2/0/3
Eth2/0/2
Router Устройство
Офисный SW2 #
участок 2 observe-port interface Ethernet2/0/3
#
mirror to observe-port inbound
#
mirror to observe-port inbound
Требования к конфигурации
зеркалирования трафика
RTA
Eth2/0/0 IP-сеть
HostA Eth2/0/1
Устройство
HostB
отдел
HostC
 На предприятии пользователи маркетингового отдела подключаются к RTA через Eth2/0/0. Устройство

мониторинга подключено к Eth2/0/1 RTA для анализа и мониторинга данных. Предприятие хочет
контролировать все пакеты, отправленные с хоста на 192.168.1.10 в маркетинговом отделе.
Реализация конфигурации
зеркалирования трафика
RTA
Eth2/0/0 IP-сеть
HostA Eth2/0/1
Устройство #
мониторинга observe-port interface Ethernet2/0/1
HostB #
acl number 2000
#
Маркетинговый traffic classifier c1 operator or
отдел if-match acl 2000
#
HostC traffic behavior b1
mirror to observe-port
#
Зеркальный порт traffic policy p1
classifier c1 behavior b1
Локальный порт наблюдения #
Поток пакетов traffic-policy p1 inbound
Скопированный поток пакетов
Вопросы
1. Каковы роли в зеркалировании?
2. Каковы различия между зеркалированием трафика и зеркалированием портов?
Спасибо!
www.huawei.com
Обзор eSight

Введение
 По мере быстрого развития сетевых технологий количество устройств в сети
предприятия увеличивается экспоненциально, количество типов сетей также
растет, что делает управление сетью предприятия сложной задачей.
 Для решения этих проблем компания Huawei выпустила eSight – систему нового
поколения для эксплуатации и технического обслуживания (O&M) сетей
предприятий, позволяющую внедрить унифицированное управление различными
типами сетевых устройств от разных производителей, быстро развертывать и
обслуживать сети и службы, значительно повышая эффективность управления
сетью. Каковы преимущества eSight по сравнению с другими программами
управления сетью? Каковы режимы установки и развертывания eSight?
Цель
 Будете понимать происхождение eSight
 Освоите процедуры установки и удаления eSight
 Освоите процесс запроса лицензий eSight
1. Введение в eSight
2. Установка и удаление eSight
3. Режимы развертывания eSight
Требования к управлению корпоративной
сетью: растущее число устройств
Экспоненциальное увеличение
количества устройств
Рост (%)
Ресурсы обслуживания сети

(Людские ресурсы и затраты)
Время
 С увеличением количества устройств управление сетью становится все более сложным. Требуется
больше обслуживающего персонала, а расходы на техобслуживание растут. Предприятиям срочно
нужна платформа управления сетью, позволяющая обслуживающему персоналу с легкостью управлять
большим количеством устройств.
Требования к управлению корпоративной сетью:
унифицированное управление устройствами разных
производителей
Зона головного узла Зона головного узла Зона доступа к
внешней сети Интернет магистрали WAN
Зона
офисов
Зона обслуживания
управления сетью
Зона обслуживания Зона служб Зона Зона сетевых

приложений обработки и веб-сервисов услуг
передачи данных
 После развертывания сетевых устройств конкретного поставщика в сети необходимо установить систему управления сетью
(NMS) этого поставщика для управления устройствами, так как NMS от определенного поставщика может управлять только
устройствами этого поставщика. Кроме того, интерфейсы операций и поля NMS отличаются друг от друга. Для обеспечения
эффективного управления устройствами всей сети требуется стандартный универсальный протокол управления сетью.
Решение Huawei eSight для эксплуатации и
обслуживания предприятия
 eSight – это система эксплуатации и обслуживания следующего поколения, разработанная для кампусных сетей и
филиалов предприятий. Она реализует унифицированное управление ресурсами предприятия, услугами и
пользователями. eSight обладает следующими характеристиками:
 Упрощенная система, установка на основе мастера настройки, без клиентского приложения, управление сетями в
любое время из любого места через браузер.
 Индивидуальные решения для заказчиков.
 Унифицированное управление устройствами нескольких производителей, стандартный протокол управления сетью
SNMP, получивший широкое признание.
Издание Масштаб управления Сценарий применения

Компактное 60 узлов Для мониторинга мелкомасштабных сетей.
Предоставляет разнообразные функции управления
Стандартное (основное) 0 – 5 000 узлов сетевыми сервисами, удовлетворяющие основную
часть потребностей сетей в управлении.
Применяется для иерархического управления
Профессиональное 0 – 20 000 узлов
крупными сетями.
Простой протокол сетевого управления
 SNMP – это протокол уровня приложений, определяющий передачу
управляющей информации между NMS и агентом.
Управляемая
система
1
Выполнение MIB
операций 2
1
SNMP
Агент Информирование
1 2
NMS Управляемый 1 2
объект
5 6
Процесс обмена пакетами SNMP
Управляемое
NMS устройство
Get-Request
Response
Get-Next Request
Response
Set-Request
Response
Trap
Настройка SNMP на маршрутизаторе
Начало
Настройка связи Настройка параметров

между устройством и NMS отправки пакетов Trap
Включение функции агента SNMP Настройка целевого хоста, принимающего

на устройстве (включено по умолчанию) аварийные сигналы и коды ошибок
Настройка версии SNMP Настройка контакта и местоположения

администратора устройства
Настройка имен групп

чтения-записи SNMP на устройстве Конец
Обязательное Опциональное
Базовая конфигурация SNMP на
маршрутизаторе
G0/0/0
IP сеть
172.16.50.253
[Router] snmp-agent
[Router] snmp-agent sys-info version v2c
[Router] snmp-agent community read public mib-view iso-view
[Router] snmp-agent community write private mib-view iso-view
[Router] snmp-agent mib-view iso-view include iso
[Router] snmp-agent target-host trap-paramsname trapnms v2c securityname
adminnms
[Router] snmp-agent target-host trap-hostname nms address 172.16.50.253
trap-paramsname trapnms
[Router] snmp-agent trap enable
[Router] snmp-agent trap source GigabitEthernet0/0/0

 Знакомство с установочным CD-ROM
 Процесс установки eSight
 Процесс удаления eSight
Знакомство с установочным CD-ROM
 Функции:
 Поддержка операционных систем Windows и SUSE Linux.
 Поддержка автоматической установки.
 Поддержка английского и китайского языков.
 Использует архитектуру B/S без установки клиента.
 Процесс установки не связан с лицензией. Лицензия должна импортироваться
пользователями после установки.
 Производительность:
 Установочный CD-ROM каждого издания не превышает 850 Мбайт.
 Установка может быть завершена в течение 10 минут.

 Знакомство с установочным CD-ROM
 Процесс установки eSight
 Процесс удаления eSight
Процесс установки
 Huawei предоставляет две схемы установки eSight.
 Схема предварительной установки: операционная
система и система eSight предварительно
устанавливаются на сервере eSight, доставляемом
на объект.
 Новая установка: если сервер был самостоятельно
приобретен клиентом или система eSight должна
быть переустановлена, то обратитесь к процессу
установки, описанному в блок-схеме.
Подготовка Начало Вход в Регистрация
Среда установки программного

к установке установки систему ПО
обеспечения и аппаратного обеспечения

 Среда установки сервера:
Масштабы управления Минимальная конфигурация сервера Рекомендуемая конфигурация Операционные системы База данных
CPU: 1 * dual-core CPU, 2 ГГц или выше

0-200 Память: 4 Гб
Пространство на жестком диске: 40 Гб Конфигурация 1: Windows Server 2008 R2 standard
Huawei: Tecal RH2288H V2-1*E5-2630
V2 CPU, 2*4Гб памяти, 2*300Гб 64-bit (в версии английского или упрощенного
CPU: 1 * dual-core CPU, 2 ГГц или выше китайского языка)/Windows Server 2012 R1 64-bit (в
200-500 Память: 4 Гб версии английского или упрощенного китайского
Пространство на жестком диске: 60 Гб языка) + MySQL 5.5 (включен в стандартный пакет
программного обеспечения управления сетями
CPU: 2 * quad-core CPU, 2,0 ГГц или выше eSight)/Microsoft SQL Server 2008 R2 Standard
500-2000 Память: 8 Гб
Пространство на жестком диске: 120 Гб Конфигурация 2: Novell SuSE LINUX Enterprise
V2 CPU, 4*8Гб памяти, 3*300Гб Server-Multi-language-Enterprise-11.0 SP3 (в версии
CPU: 2 * quad-core CPU, 2,0 ГГц или выше английского или упрощенного китайского языка) +
2000-5000 Память: 16 Гб Oracle Database Standard Edition 11g R2
Пространство на жестком диске: 250 Гб
Примечание: при управлении 20000 узлов
CPU: 4 * quad-core CPU, 2,0 ГГц или выше рекомендуется Конфигурация 2.
5000-20000 Память: 32 Гб
V2 CPU, 4*8Гб памяти, 3*300Гб
Пространство на жестком диске: 320 Гб
 Среда установки клиента:

 Версия браузера: Internet Explorer 9.0/10.0, Mozilla Firefox 27.0/30.0/31.0 и Chrome 29/30/31
 Рекомендуемое разрешение: 1024 x 768 пикселей
 Память: 1 Гб или больше
План установки
 Перед установкой eSight убедитесь, что IP-адрес, имя хоста и пароль сконфигурированы правильно,
чтобы можно было правильно и быстро установить eSight.
 Имя хоста и IP-адрес: можно менять имя хоста и IP-адрес в зависимости от фактической ситуации.
 Имя пользователя и пароль: исходными именем пользователя и паролем eSight являются admin и
Changeme123 соответственно. При первом входе в eSight Вам будет предложено изменить пароль.
 Разбиение жесткого диска: диск C используется для установки операционной системы, а диск D
используется для установки базы данных и eSight.
 Путь установки: D:\eSight, его можно изменить при необходимости.
 Часовой пояс: при поставке eSight на объект измените часовой пояс и время в соответствии с
расположением объекта.
Получение программного обеспечения

 Доступны два способа установки:
 С помощью установочного CD-ROM: необходимо получить соответствующий CD-
ROM.
 При помощи пакета программного обеспечения: необходимо получить
соответствующий пакет программного обеспечения.
 Произведите следующие действия для получения данного программного

обеспечения:
 Посетите http://enterprise.huawei.com/en/
 Выберите Support > Network Management System > eSight Network > Downloads.
Установка базы данных

 В ОС Windows Server 2008 R2 поддерживаются два типа баз данных. Можно
выбрать подходящий в зависимости от обстоятельств.
 База данных MySQL: автоматически устанавливается с программным
обеспечением eSight. Пользователям не нужно устанавливать базу данных
MySQL отдельно.
 База данных SQL Server 2008: требуется ее установка вручную перед установкой
eSight. Пользователям рекомендуется установить базу данных SQL Server 2008,
обратившись к ее руководству по установке.
Запуск программы установки eSight

 Дважды щелкните мышкой по setup.bat для запуска процесса установки.
Выберите язык GUI установщика и GUI управления.
Задание параметров установки
 Server IP Address: определяет IP-адрес текущего сервера по умолчанию. Если сервер имеет несколько IP-
адресов в выпадающем списке, то выберите маршрутизируемый IP-адрес.
 Server Port: номер порта по умолчанию – 8080. Если порт 8080 уже используется, то измените номер порта.
 Installation Directory: задает каталог установки eSight, пользователи могут его изменить.
Задание параметров базы данных
Доступные типы баз

данных
Выбор компонентов для установки
Наличие основных
функциональных компонентов
обязательно, они будут выбраны
по умолчанию.
Компоненты услуг
являются
опциональными.
Отображение прогресса установки
Установка завершена
Запуск службы eSight
Вход в eSight через Internet

Explorer 9 в первый раз

 В адресной строке введите http://Server IP address:port number (8080) и нажмите Enter.
 При первом входе на сервер eSight появится сообщение «Возникла проблема с
сертификатом безопасности этого веб-сайта». Нажмите «Продолжить открытие этого веб-
сайта (не рекомендуется)».
Установка сертификата
Введите
http://eSight server IP address:port 3
number.
2 4
Вход в систему eSight при

помощи имени пользователя и пароля
Именем пользователя и паролем

по умолчанию являются admin и
Changeme123 соответственно.
Вход выполнен успешно

1
2 4
5
6
1. Адресная строка
2. Главное меню
3. Область статистики
4. Общая информация и кнопки
5. Область индикаторов аварийной сигнализации
6. Портлеты заказных настроек
Описание лицензии
 Файл лицензии представляет собой файл авторизации, созданный специальным
инструментом шифрования в соответствии с контрактом, подписанным между
пользователем и Huawei, и информацией о сервере, на котором установлен eSight.
 После получения файла лицензии, пользователь должен вручную загрузить его в
eSight и активировать разрешение на использование eSight.
 Пользователи могут использовать eSight в течение 90 дней без файла лицензии.
После этого пробного периода при попытке пользователя войти в систему на экране
возникнет страница обновления лицензии, а вход в систему не будет выполнен.
 В течение пробного периода eSight может управлять 60 NE, а возможности
управления компонентами WLAN, MPLS VPN, SLA, IPSec VPN, NTA и Secure Center
ограничены 10.
Подача заявки на лицензию

 Шаг 1: получить контактную информацию.
 Сертификат лицензированной авторизации поставляется вместе с Huawei eSight. Вы
можете получить сертификат лицензированной авторизации от соответствующих агентов.
Пользователи могут получить контактный номер, наименование и модель продукта из
сертификата лицензии.
 Шаг 2: получить серийный номер серверного оборудования (ESN).

 ESN это строка символов, которая однозначно идентифицирует устройство. Используется
для обеспечения предоставления лицензии указанному устройству.
 Шаг 3: подать заявку на лицензию eSight.

 Посетите http://app.huawei.com/isdp/ и подайте заявку на получение лицензии.
Получение контрактной информации

 Получите номер контракта, наименование и модель продукта.
Получение ESN
 В главном меню выберите System > Administration > License Management.
Активация лицензии (1)

 Выберите в главном меню License Activation > Password Activation и введите
код активации.
Активация лицензии (2)

 Введите ESN сервера, подлежащего привязке.
 Подтвердите активацию и скачайте файл лицензии.
Загрузка и управление лицензией

 Выберите в главном меню System > Administration > License Management.

 Знакомство с установочным CD-ROM
 Процесс установки eSight
 Процесс удаления eSight
Удаление eSight
 Чтобы остановить службу eSight, выберите Пуск > Все программы > eSight > eSight
Console и нажмите Stop в появившемся диалоговом окне.
 Чтобы удалить eSight, выберите Пуск > Все программы > eSight > Uninstall eSight.
2
1
Удаление завершено
Режим одноузлового сервера
 eSight AppBase работает в режиме браузера/сервера и обеспечивает
одновременный доступ нескольких веб-браузеров.
Чтение / запись
Служба приложений eSight
База данных
Режим иерархического развертывания
 eSight также поддерживает иерархическое
управление, позволяющее головному офису
контролировать сети в филиалах.
 В режиме иерархического развертывания
eSight professional
NMS верхнего уровня может добавлять в
систему NMS нижнего уровня и
обеспечивать ссылки на NMS нижнего eSight professional
уровня. При щелчке по такой ссылке

появляется новое окно браузера, в котором
eSight standard
можно войти в NMS нижнего уровня.
Интеграция с OSS
 eSight может интегрироваться с Системами
поддержки операций (OSS) верхнего уровня и OSS
передавать аварийные сигналы сети через SNMP

для взаимодействия с OSS.
eSight
 Интеграция с OSS дает следующие преимущества:
DCN
 Улучшает возможности управления сетью через
систему OSS.
 Изолирует управление NE от управления сетью.
 Отвечает требованиям механизма управления и
обслуживания предприятия.
Вопросы
1. Если пароль пользователя admin утерян, то для восстановления пароля по
умолчанию пользователю придется переустановить eSight.
2. Сколько времени длится пробный период eSight?

А. 30 дней
Б. 60 дней
В. 90 дней
Г. 120 дней
Спасибо!
www.huawei.com
Основные функции eSight

Введение
 eSight – это система управления и обслуживания, разработанная для проводных и
беспроводных кампусных сетей, а также филиалов предприятий. Она реализует
унифицированное управление и интеллектуальное сопряжение между ресурсами
предприятия, услугами и пользователями.
 На этих слайдах описаны основные функции eSight, включая управление безопасностью,
управление ресурсами, управление аварийными сигналами и управление
производительностью. Для других функций, таких как управление файлами конфигурации,
управление журналами, мониторинг WLAN, многопротокольная коммутация по меткам
виртуальной частной сети (MPLS VPN), алгоритм сохранения пакетов в Интернет (iPCA),
соглашение об уровне предоставления услуги (SLA) и анализатор сетевого трафика (NTA),
обратитесь к официальным материалам системы управления сетью eSight.
Цель
 Знакомы с основными функциями eSight
 Владеть функционалом основных функций eSight
1. Управление безопасностью
2. Управление ресурсами
3. Управление аварийными сигналами
4. Управление производительностью
Как реализовать управление
безопасностью сети?
Отвечает за эксплуатацию
и обслуживание сетевых
устройств в городах А и Б
Оператор_АБ Сетевые администраторы

имеют различные
управленческие права, что в
определенной степени
реализует управление
Отвечает за мониторинг и безопасностью сети. Отвечает за мониторинг и
обслуживание аварийных обслуживание аварийных
сигналов сетевых сигналов сетевых
устройств в городе А устройств в городе Б
eSight
Мониторинг аварийных Мониторинг аварийных
сигналов A сигналов Б
Город A Город Б
Содержание политики безопасности
Создание новых пользователей в случае если несколько

пользователей должны управлять сетью.
Установка прав на работу в сети и политики управления объектами,
передача прав на выполнение операций различным пользователям.
Задание длины имени учетной записи и правил входа в систему.
Задание требований к сложности пользовательского пароля,

интервала изменения и пределов длины.
Задание IP-адресов, с которых пользователи могут войти в eSight.
Установка периода времени, в течение которого пользователи могут

войти в eSight.
Просмотр находящихся онлайн пользователей, обнаружение
несанкционированных и принудительный вывод их из системы.
Предоставление функции автоматического выхода клиента из системы во
избежание выполнения сторонними пользователями
несанкционированных действий.
Смена паролей пользователей и задание контактной информации.
Создание роли (1)
 Сопоставить административный домен с ролью, с тем чтобы роль могла
управлять определенными объектами в домене.
Создание роли (2)
 Присвоить роли права управления, с тем чтобы роль получила права на
оперирование подконтрольными объектами.
Создание пользователей – задание имени
пользователя и пароля
Создание пользователей - задание роли
Создание пользователей -конфигурирование
политик управления доступом
Настройка политики учетной записи
 Правильно подобранные ограничения по длине имени пользователя и политики
входа пользователей могут повысить безопасность доступа к eSight. Политика
учетной записи применяется ко всем пользователям, поэтому она должна
устанавливаться администратором безопасности.
Управление ресурсами
 Функция управления ресурсами позволяет добавлять устройства в eSight и
выполнять такие операции, как запросы, мониторинг и конфигурирование
этих устройств, централизованным образом.
NE Ресурсы
Подсеть
Аппаратная Аппаратная
комната А комната Б
Добавление устройств
 eSight поддерживает три способа обнаружения ресурсов.
 Способ 1: добавление по одному (по IP-адресу)
 10.135.59.18
 Способ 2: автоматическое обнаружение (по сегменту IP-адресов)

 От 10.137.61.1 до 10.137.61.255
 Способ 3: импорт устройств (при помощи файла Excel)
 Просмотр топологии после добавления устройства.

 Выберите Monitor > Topology Management
Добавление по одному
Можно выбрать только

один протокол.
 SNMP: сетевые устройства должны поддерживать SNMP и иметь сконфигурированные

параметры доступа SNMP.
 ICMP: если на сетевых устройствах не сконфигурированы параметры SNMP, но ping-запросы
к серверу eSight проходят, то параметры можно внести в eSight через ICMP.
Автоматическое обнаружение
Поддерживается
несколько сегментов сети.
Импорт устройств
Только SNMP-совместимые устройства могут быть

импортированы через шаблон.
Управление физическими ресурсами
 Физические ресурсы включают устройства и физические объекты устройств,
такие как шасси, платы, субплаты и порты.
Физический
объект
1. Переключение на топологию
2. Изменение примечаний
3. Просмотр сведений о ресурсах
4. Удаление
Групповое управление
 Можно создать группу и добавить в нее NE из различных подсетей, она
будет считаться одним объектом. Объект (группа NE) можно закрепить за
пользователем, что улучшает эффективность управления несколькими
устройствами.
Управление
аварийными сигналами
 Функция управления аварийной сигнализацией позволяет eSight
отслеживать состояние устройств в режиме реального времени и получать
сигналы об отказах устройств, чтобы помочь администраторам
своевременно обнаруживать и устранять неисправности сети.
Запрос и обработка
Функции управления аварийных сигналов
Установка правил
аварийными
сигналами
аварийных сигналов
Установка удаленных
уведомлений об
аварийных сигналах
Запрос и обработка аварийных сигналов
Мониторинг аварийных сигналов на панели аварийной сигнализации
На панели аварийной сигнализации в правом верхнем углу страницы Current Alarms
отображается количество неснятых и снятых аварийных сигналов четырех уровней аварийной
сигнализации, что позволяет пользователям быстро получать информацию об обработке
аварийных сигналов.
Мониторинг аварийных сигналов в списке текущих аварийных сигналов

Выберите Monitor > Fault Management > Current Alarms для установки критериев фильтрации и
поиска аварийных сигналов, которые должны быть обработаны.
Подтвердит Снять
ь
Мониторинг аварийных сигналов в топологии

Для просмотра состояния функционирования NE и подсетей по цветам их значков в топологии
можно выбрать Monitor > Topology > Topology Management. Для просмотра актуальных, архивных
и скрытых аварийных сигналов можно щелкнуть правой кнопкой мыши на иконке и выбрать
Alarm List.
Задание правил
мониторинга аварийных сигналов
 Создание правил удаленных уведомлений.
Установка удаленных
уведомлений об аварийных сигналах
 Установка режима удаленных уведомлений.
Обзор управления производительностью
 Каждому ресурсу назначаются счетчики производительности, позволяющие измерять его
производительность. eSight осуществляет всесторонний мониторинг характеристик
производительности управляемых ресурсов, а также взаимосвязей между
производительностью ресурсов и обеспечивает всеобъемлющий анализ общих
характеристик производительности ресурсов. Это позволяет администраторам осознавать
состояние сети и осуществлять оптимизацию сети с целью обеспечения оптимального
рабочего состояния.
 Принципы управления производительностью:
 Счетчик и шаблон счетчиков
 Порог срабатывания счетчика
 Задача сбора данных о производительности
 Объект измерений
 Период сбора
Блок-схема управления
производительностью
Управление характеристиками производительности
eSight
1 Шаблон мониторинга 2 Задача мониторинга
1.1 Выбор счетчиков 2.1 Выбор счетчиков или

производительности шаблона счетчиков
2.2 Выбор объектов
1.2 Установка пороговых
измерений
значений счетчиков 2.3 Автоматический сбор
данных
Пользователь
Данные о Сбор в фоновом Сеть
4 3
производительности режиме по плану
4.1 Просмотр данных о
производительности 3.1 Система
4.2 Просмотр истории данных о автоматически создает
производительности подробную информацию
4.3 Просмотр данных о о сборе данных
производительности в
реальном времени
Управление аварийной сигнализацией eSight

Генерация аварийного сигнала при
5 превышении измеренными значениями Получение верхних
заданных пороговых значений. N данных
Домашняя страница eSight

6 Просмотр верхних N данных на портале
домашней страницы
Создание шаблона мониторинга (1)
 Создание шаблона мониторинга.
В eSight заранее заданы несколько

Просмотр Изменение
шаблонов счетчиков, так что для
подробной шаблона.
распространенных счетчиков создавать
информации.
шаблоны не нужно.
По сфере услуг или

административному домену.
 Добавление счетчиков.
 Задание пороговых значений.
 Создание шаблона завершено.
Создание задачи мониторинга (1)
 Создание задачи мониторинга.
Отображает максимальное
количество задач и счетчиков,
поддерживаемых eSight, количество
созданных задач сбора и счетчиков.
Зеленый значок указывает 1. Изменение

действующие счетчики, 2. Остановка задачи
серый значок – на
недействующие.
 Создание задачи мониторинга завершено.
Просмотр данных о производительности –
домашняя страница
Расширение критериев
запроса в стиле Ebay
Просмотр данных о Цвет в зависимости от

производительности аварийного сигнала, пороговые
значения которого превышены
Просмотр данных о производительности –
обзор подробностей
Щелкните на панели пропорций для

просмотра подробной диаграммы истории
за последние 24 часа, неделю, месяц или
три месяца.
Просмотр данных о производительности в
реальном масштабе времени
Смена метода отображения

данных производится нажатием
на значок Layout.
Просмотр данных об истории
производительности
Отображение данных истории

производится
перетаскиванием ползунка на
панели времени.
Вопросы
1. Какие из следующих методов обнаружения ресурсов поддерживаются eSight?
A. Добавление по одному
B. Автоматическое обнаружение
C. Импорт устройств
D. По модели устройств
2. Сколько уровней аварийной сигнализации и какие поддерживает eSight?
Спасибо!
www.huawei.com
Функции Agile Controller

Введение
 По мере быстрого развития новых сетевых технологий пользователи имеют высокие
требования к сетевому доступу с использованием любых терминалов в любое время, в
любом месте. Однако традиционные корпоративные сети кампуса представляют собой сети,
основанные на принципах IP-сети. Сегменты IP-адресов конфигурируются вручную для
различных офисных мест, а политика управления доступом к сети определяется на основе
сегментов IP-адресов для управления правами доступа пользователей. Доступ к сети в
любое время, в любом месте значительно затруднен.
 Huawei предоставляет Agile Controller (AC) для выполнения этого требования. Являясь
мозгом в сети интеллектуального кампуса, AC динамически настраивает сетевые ресурсы и
ресурсы безопасности на всей сети кампуса на основе программно-определяемой сети
(SDN), что позволяет сети быть более гибким для услуг и удовлетворять требования
пользователей.
Цель
 По завершении этого раздела Вы сможете:
 Понимать проблемы, стоящие перед традиционными сетями
 Овладеть основными функциями и возможностями Agile Controller
 Знакомиться с процессом конфигурирования Agile Controller
1. Проблемы, стоящие перед традиционными сетями
2. Реализация функции Agile Controller
3. Пример конфигурации Agile Controller
Для повышения мобильности требуется
последовательный опыт обслуживания
Традиционная сетевая ситуация:
Требования к традиционным сетям
повышение мобильности
 В 2011 году поставки интеллектуальных терминалов
впервые превысили производительность ПК.
 В 2015 году количество проданных планшетов достигло
 Управление проводным и беспроводным
326 млн., а смартфонов превысило 1 млрд. (50% рынка доступом
мобильных телефонов). Большинство умных терминалов  В эпоху мобильности сосуществуют проводные и
используются офисными работниками.
беспроводные сети. Пользователи могут иметь
Вычислительные устройства — годовой объем продажа мобильные и фиксированные терминалы, а доступ к
Смартфоны проводной и беспроводной сети должен управляться
500
единообразно.
Объем продаж (ед.: млн.)
400  Обеспечение последовательного опыта

ПК
 Мобильность ориентируется на последовательный опыт
300 пользователей в любое время, в любом месте. Сетевая
политика должна быстро корректироваться при
200 изменении пользовательских услуг и приложений.
100 Планшеты  Быстрое продвижение мобильных приложений

 Когда предприятию необходимо развернуть новые
0
приложения, сеть можно быстро и гибко настроить для
2008 2009 2010 2011
Год адаптации к изменениям.
Источник: Gartner, iSuppli Market Intelligence
Низкая эффективность ручного обслуживания,
требуется гибкая корректировка политики
Традиционная сетевая ситуация Требования к традиционным сетям
 Ручная конфигурация Виртуализация требует Мобильность требует гибкой

имеет низкую автоматизации. корректировки политики.
эффективность и высокую Архитектура сети ЦОД Политика
стоимость услуг.
 В сценариях миграции сети
или мобильных офисов
сети не могут быть быстро
настроены для быстрого
развертывания новых
AP 1 AP 2
услуг.
VM VM Миграция VM VM
Сервер VMotion Сервер Переместить

Пользователь A Переместить
Как можно быстро настроить политики Как можно быстро настроить политики
конфигурации сети при миграции безопасности и доступа в сети при изменении
виртуальных машин? местоположения доступа пользователя?
Различные режимы доступа, неэффективная
единая точка защиты
Традиционная сетевая ситуация Требования к традиционным сетям
 Эффективная единая точка защиты Ⅹ Неэффективная единая точка защиты
Внешняя атака
WAN/Интернет WAN/Интернет
Традиционная
внешняя атака
Атака
беспроводного
перехвата
Атака
мобильной
сети
Атака
мобильного
AP AP AP терминала
Agile Controller — мозг на интеллектуальных
сетях кампуса
AR L2 SW AR L2 SW Доступ в Интернет Компонент Функция
Обеспечивает управление политиками на основе 5W1H и
Диспетчер
Сеть Сеть поддерживает несколько режимов аутентификации, таких как
управления
филиалов филиалов MAC-адрес, 802.1X, портал и аутентификация шлюза контроля
доступом
доступа к безопасности (SACG).
Обеспечивает самостоятельную регистрацию и управление
Центр ресурсов WAN/Интернет Диспетчер
гостевыми учетными записями, а также поддерживает
безопасности гости
настройку и доставку страниц портала и подталкивание.
Предоставляет матрицу политик на основе групповой
Выход NGFW/SVN политики безопасности для обеспечения высокого качества
Свободный
услуг VIP-пользователей и позволяет сетевым ресурсам
диспетчер
мигрировать в зависимости от местоположения
мобильности
пользователей, обеспечивая последовательную политику и
Уровень пользовательский опыт.
LSW
ядра Виртуализирует физические устройства для защиты моделей
Диспетчер
Agile и местоположения физических устройств и перенаправляет
цепочек услуг
Controller различный трафик услуг на разные узлы прекращения услуг.
Уровень LSW Собирает журналы безопасности и события, идентифицирует
NGFW агрегации активы и зоны с высоким риском с помощью корреляционного
Компонент анализа больших данных и оценивает тенденции
безопасности безопасности всей сети. Это помогает клиентам быстро
Уровень идентифицировать сетевые риски, чтобы они могли
доступа принимать превентивные меры защиты от рисков.
LSW AP AP LSW Обеспечивает разнообразные политики безопасности для
Диспетчер
предотвращения доступа к сети незащищенных терминалов и
безопасности
терминалов, которые не соответствуют политике
терминалов
безопасности предприятий.
Архитектура продукта Agile Controller
Сторона
сервера
Менеджер услуг Контроллер услуг Центр управления
(SM) (SC) (MC)
Устройства
доступа к сети
Брандмауэр AR Коммутатор AP
Пользовательская
сторона
Клиент Веб-портал Встроенный клиент 802.1X
(Windows/Linux/MAC/Android/iOS)
Панорама программного обеспечения Agile
Controller
Agile Controller
Свободный Диспетчер
Компонент
диспетчер Диспетчер гости безопасности
мобильности терминалов
Диспетчер цепочек
Диспетчер управления доступом
услуг
Сетевые ресурсы
Информация о Информация о
Топология сети пользователе местоположении Права
Физическая сеть

 Управление доступом
 Управление гостями
 Свободная мобильность
 Цепочка услуг
 Объединенная безопасность
 Безопасность терминала
Архитектура диспетчера управления доступом
к Agile Controller
Agile Controller
SM Менеджер услуг
HTTPS
SC
AuthServer Portal RADIUS NetworkServer
COPS/Portal/RADIUS
Физическая сеть
EAP/HTTP
Терминал
Управление доступом в сети кампуса
Домен предварительной
аутентификации
Активный
Выход кампуса Сервер Agile Controller
Домен изоляции
Уровень ядра Резервный

Патч/антивирус/сервер
программного обеспечения
Домен после аутентификации
Уровень
агрегации
Финансовой сервер,
Уровень сервер маркетинга, и сервер
доступа исследований и разработок
Отдел исследований
и разработок Тупые терминалы Маркетинговый отдел Финансовые отделы
Полное управление доступом, применимое к
нескольким типам сетей
 Аутентификация MAC-адресов
 Сервер аутентификации аутентифицирует терминалы на основе их MAC-
MAC-адрес адресов.
Тупой VLAN1
терминал  Она применима к тупым терминалам, таким как IP-телефоны и принтеры.
 Аутентификация 802.1X
 Клиенты, устройства и серверы аутентификации обмениваются
аутентификационными сообщениями с использованием EAP.
802.1X
 Она поддерживает связь с Huawei коммутаторами всей серии,
Офисная маршрутизаторами, устройствами WLAN и коммутаторами 802.1X.
VLAN2
область
SSID1
 Аутентификация портала
 Аутентификация портала также называется веб-аутентификацией.
Portal Пользователи могут вводить имена пользователей и пароли на странице веб-
аутентификации для аутентификации идентификационных данных.
 Она поддерживает связь с Huawei коммутаторами всей серии,
маршрутизаторами и устройствами WLAN.
Гостевая
зона
SSID2  Аутентификация SACG
SACG  Брандмауэр USG подключается к маршрутизатору или коммутатору в
байпасном режиме и управляет доступом терминала через маршрутизацию
на основе политик.
Модель доступа Agile Controller
Правило авторизации
Условие Результат
авторизации авторизации
Режим Безопасность Динамический Группа Пропускная Атрибуты

Пользователь Терминал Местоположение Время VLAN ACL
доступа терминала ACL безопасности способность RADIUS
Идентификация
Беспроводной
Организация
Операционн
ые системы
Проводной
Поставщик
Сегмент IP
Windows
доступа
Аккаунт
SSID
Тип
Отдел
Роль

 Управление доступом
Сценарии определения гостя и доступа
Определение и характеристики доступа к

Типичные сценарии доступа гостей
сети корпоративных гостей
 Кто гости?  Крупные предприятия

 Неработающие на предприятиях  Типичные предприятия: Huawei, Lenovo и т. д.
 Клиенты, которые посещают предприятия  Типичный сценарий: клиенты получают доступ к
или аутсорсинг сотрудников из партнеров корпоративным сетям, общедоступным
 Потребители предприятий ресурсам предприятий или Интернету во время
 Общие люди общения и посещений.
 Какие характеристики у гостей?  Коммунальные услуги
 Доступ к сети с использованием  Типичные места: метро, аэропорты и т. д.
собственных терминалов  Типичный сценарий: люди получают доступ к
 Неконтролируемое сетевое поведение Интернету через сети, предоставляемые
 Неконтролируемый объем доступа к сети коммунальными службами.
 Потребительские предприятия
 Типичные предприятия: роскошные гостиницы,
кафе и т. д.
 Типичный сценарий: потребителям предприятий
необходимо получить доступ к Интернету.
Панорама гостевой аутентификации
Система
Сотрудник BSS
Аутсорсинг
сотрудника
AP Коммутатор Система CRM
уровня ядра
Система ERP
AC
Гость
AP Почтовая
система
Кто вы? Как получить доступ к сети? Какие у вас права?
Управление гостей полного жизненного цикла
Приложение учетной записи Аутентификация пользователя Аудит и дерегистрация
Регистрация Утверждение Распределение Аутентификация Аудит Дерегистрация
Проводной ASG
ПК Коммутатор
Сеть
Гость
Беспроводной
Телефон AC
Регистрация Утверждение Распределение Аутентификация Аудит и отмена регистрации

 Заявка  Автоматическое  SMS-сообщение  Аутентификация по имени  Аудит входа и выхода
сотрудников утверждение  Электронная пользователя и паролю пользователя
 Заявка гостей  Утверждение почта  Аутентификация по паролю  Аудит поведения в режиме
администраторами  Web  Изоляция прав с онлайн
 Утверждение использованием VLAN или  Автоматическая отмена
секретарями ACL регистрации после истечения
 Универсальная инкапсуляци срока действия аккаунта
я при маршрутизации (GRE)  Запланированное удаление
3-го уровня аккаунта

 Управление доступом
 Свободная мобильность
Логическая архитектура свободной
Подсистема
Подсистема политик
аутентификации и
услуг
Agile Controller авторизации
Определение
Синхронизация
глобального
групповой информации
Плоскость Группы Сервер
Администратор Сервер политик
управления услугами аутентификации:
Запрос Выполнение
Аутентификация санкционировать Сообщать IP-адреса
информации о групповых
ID группы пользователей
пользователе политик
Плоскость сетевого Точка Точка выполнения

устройства аутентификации политики
и доступ
Плоскость пользователя Пользовательски Статический

й терминал ресурс
Межкомпонентная связь
Трафик пользовательских услуг
Сценарии применения свободной мобильности
Сервер Интернет-
Agile Controller Общий сервер Веб-сервер
отчетов ресурсы
ЦОД Пограничный
брандмауэр DC
Область выхода
Брандмауэр границы и Интернета
основной брандмауэр
контролируют
взаимодействие Пограничный
пользователя через точки Брандмауэр брандмауэр Пограничный
аутентификации. WAN WAN кампуса брандмауэр
Основной Интернета кампуса
филиала
брандмауэр
Точка аутентификации,
ближайшая к пользователям,
может контролировать связь
между локальными SVN
пользователями. Коммутатор C Коммутатор A Коммутатор B
Пользователи могут
получить права доступа к
сети в любом месте Аутсорсинг Финансовый VIP Аутсорсинг
сотрудников Финансовый Финансовый
доступа. отдел сотрудников отдел отдел
Филиал Кампус
Основные концепции свободной мобильности
Матрица политики
Группа Приоритет
безопасности А C пользователя
Свободная
мобильность
Авторизация на Запрос сопоставления

E D
основе 5W1H IP-группы
Процедура развертывания свободной
Шаг 3: Система
автоматически
работает.
Шаг 2: определение
и развертывание
групповых политик.
Шаг 1: определение
групп безопасности.
1. Аутентификация: когда пользователь
пытается получить доступ к сети, Agile
Controller аутентифицирует личность
пользователя.
1. Определение групповых политик 2. Авторизация: Agile Controller
на Agile Controller. соответствует политикам авторизации,
 Политика опыта (приоритет основанным на условиях 5W1H и
1. Определение групп пересылки группы пользователей добавляет пользователей к
безопасности на Agile VIP). соответствующим группам
 Политика прав (определение
Controller. безопасности. Устройства выполнения
2. Добавление участников в возможности межгруппового политики затем динамически
группы безопасности. доступа). добавляют IP-адреса пользователя в
 Динамические группы 2. Развертывание групповых указанные группы безопасности.
безопасности: конкретные политик. 3. Выполнение: на основе
пользователи, описанные  Взаимодействие между Agile сопоставлений между IP-адресами и
в политиках авторизации. Controller и устройствами группами безопасности, сохраненными
 Статические группы выполнения политик. локально и на Agile Controller, сетевые
безопасности:  Автоматическое распределение устройства идентифицируют группы
фиксированные IP-адреса групп безопасности и групповых источника и назначения в пакетах, а
или сегменты сети. политик от Agile Controller до точек затем сопоставляют и выполняют
выполнения политики. групповые политики.

 Цепочка услуг
Техническая архитектура сервисной цепочки
 Agile Controller: завершает настройку логики услуг и

Agile Controller
сопоставление ошибок цепочки услуг.
 Оркестрационное устройство: идентифицирует
Развертывание трафик услуг и перенаправляет трафик на устройство

Ассоциация Развертывание
услуги отказов услуги услуг.
 Сервисное устройство: обрабатывает трафик услуг,
Перенаправление
перенаправленный на него.
Сервисное
устройство 1  Основные технологии:
Повторное закачивание
Оркестрационное Услуги развертываются с использованием протокола XMPP
Сервисное 
устройство 2 (устройство Huawei), а также протоколов Telnet и SNMP
(коммутатор) Повторное закачивание
(устройство третьей стороны).
Сервисное
устройство 3  Трафик услуг перенаправляется через два туннеля GRE с
Повторное
закачивание Третье стороннее использованием политико-маршрутизации (PBR).
Цепочка
услуг
Туннель GRE
Сценарии применения цепочки услуг
Agile Controller Цепочка услуг 1

Центр управления
сетью Выход кампуса Цепочка услуг 2
Брандмауэр
Антивирусное
ЦОД Оркестрационное устройство
поведением в
Цепной узел режиме онлайн
Уровень агрегации
Зона доступа гостей Внутренняя

Отдел A Отдел B
общественная зона
Уровень применения
Процедура цепочки услуг
Оркестрационное устройство  Оркестрационные устройства и сервисные
устройства взаимосвязаны на уровне 3.
 Agile Controller управляет оркестрационными
устройствами и сервисными устройствами и
ЦОД получает информацию о устройстве через XMPP.
Оркестрационное устройство  Сконфигурируйте соотношение ресурсов между

оркестрационными устройствами и сервисными
устройствами на Agile Controller и предоставьте
взаимосвязь сервисным устройствам.
ЦОД
 Создайте интерфейсы на устройствах для
установки туннелей GRE.
Оркестрационное устройство  Сконфигурируйте цепочки услуг на Agile Controller

и доставьте их на сервисные устройства.
 Создайте правила перенаправления трафика на
ЦОД оркестрационном устройстве. Трафик услуг,
соответствующий правилу, переадресуется по
соответствующей цепочке услуг.
Канал Цепочка услуг 1

Туннель GRE Цепочка услуг 2
Обработка неисправности туннеля GRE (1/2)
1. Обработка неисправности туннеля GRE в исходящем направлении коммутатора
Переслать Икс Сервисное

Сервисное
Икс
Икс Сервисное
отбрасывать устройство
 Устранение неисправностей
 Механизм Keepalive туннеля GRE: по умолчанию этот механизм включен в туннеле GRE.
 Устранение неисправностей туннеля GRE: чтобы повысить надежность цепочек услуг,
сконфигурируйте коммутатор на сброс или прямую пересылку пакетов при сбое в туннеле GRE.
Обработка неисправности туннеля GRE (2/2)
2. Обработка неисправности туннеля GRE в входящем направлении коммутатора
Agile Controller
XMPP over TCP
1
X Сервисное
X устройство 1
2
Нормальная переадресация трафика
Переадресация трафика при сбое туннеля GRE
3
Сервисное X Неисправность туннеля
4
устройство 2
X Отключение канала
 Если туннель 2 не работает, трафик достигает сервисного устройства 1 через туннель 1 и затем отбрасывается.
 Agile Controller может решить эту проблему.
 Когда коммутатор обнаруживает сбой в туннеле GRE, он передает неисправность Agile Controller через интерфейс XMPP.
 Затем Agile Controller отключает интерфейс на другом конце туннеля GRE и отменяет конфигурации туннелей GRE 3 и 4. Затем
коммутатор отбрасывает полученный трафик или пересылает трафик после поиска в таблице маршрутизации в соответствии с
заданными политиками.

 Объединенная безопасность
Сценарии применения объединенной
Угроза O&M
Партнер
 Угадайте пароль входа в систему
 Нарушение O&M (обход хоста
Филиал
Сторонний сервер бастиона)
управления доменом
 Журналы основных активов не
Сервер журнала регистрируются в течение
Область O&M
Сервер
длительного периода времени
Хост
FW бастиона
FW FW
ASG
VPN
шлюз
Local: FW Базовая FW
сеть
Сервисный
сервер
FW
Local: FW Домен
предварительной
FW аутентификации 2
Домен
Угрозы доступа в Интранет FW
аутентификации 1
Домен
 Распространение компьютерных
вирусов Электрон
аутентификации
Сетевые и сервисные угрозы
Web ная почта
 Атака терминальной сети DMZ
Применение
 DDoS/DoS атака на сервере
 Атака на адрес  Атака на проникновение сервера
 Региональная сетевая атака  Недостаточность ресурсов пограничного
 Атака на коммутатор брандмауэра
 Благодаря корреляционному анализу в сетевых журналах, диспетчер объединенной безопасности определяет

потенциальные проблемы безопасности сети и отображает проблемы безопасности сети для сетевых администраторов.
Общая архитектура решения для
объединенной безопасности
Общесетевая/региональная /тенденция
безопасности ключевых активов
Тенденция
безопасности Управление
Региональное Управление Оценка угрозы
событиями
безопасности управление активами
Уведомление о тревоге по SMS

Уведомление о тревоге по эл.
Проверка почте
Анализ Корреляционный Фильтрация Управление
исходных Ответ Ассоциация устройств -
событий анализ событий тегами данных блокировка трафика
Ассоциация устройств -
перенаправление трафика
Стандартные
данные
Сбор и Стандартизация Сжатие и хранение

обработка формата стандартных данных
журналов
Сжатие и хранение
оригинальных данных
Интерфейс Интерфейсы
syslog SNMP и ODBC
Устройства
Источники Сетевые устройства
журнала База Управление
ХостA Сканер
Устройства Сетевые Центр данных терминалами
безопасности устройства политики
Продукты, разработанные Huawei Сторонние продукты
Компоненты и использование решений
 Agile Controller: мозг решения. Диспетчер объединенной
безопасности собирает и обрабатывает журналы,
ассоциирует события безопасности, отображает
Agile Controller
тенденции в области безопасности и запускает ответные
меры безопасности.
Устройства для  Устройства для выполнения политики ассоциации:

выполнения относятся к устройствам, которые выполняют политики
политики
ассоциации блокировки или перенаправления трафика, если
происходит событие безопасности, например,
коммутаторы.
Устройства отчетов
журнала Устройства Сетевые Центр
Системы  Журнал отчетов устройств: генераторы журналов
третьей
безопасности устройства политики
стороны
безопасности, такие как сетевые устройства и устройства
безопасности. Они сообщают журналы Agile Controller
через связанные интерфейсы.

 Безопасность терминала
Текущая ситуация и тенденции развития
управления безопасностью терминала
 До 2001 года антивирусные и антишпионские программные технологии использовались для
управления безопасностью терминала. По мере развития технологий и диверсификации угроз
безопасности события безопасности терминала происходят часто. В результате пользователи не
Повсеместная доверяют антивирусному программному обеспечению и опасаются, что антивирусное
Терминальная зрелость безопасности
терминала и программное обеспечение может устареть.
глобальных предприятий
управление
опытом работы с
терминалом
 В период с 2001 по 2009 год для замены простой антивирусной защиты были разработаны
Защита
терминалов единые решения для обеспечения безопасности терминала, включающие управление
All-in-one
доступом, безопасность терминала, а также управление и контроль поведения терминала.
Защита от Текущий  После 2009 года, когда число пользователей мобильного офиса быстро растет, область
вирусов
этап
управления безопасностью терминала расширилась от управления только ПК до единого
управления на повсеместно распространенных терминалах, включая интеллектуальные
терминалы и IP-устройства. Управление безопасностью терминала больше не зависит от
I: До 2001 года II. 2001-2009 III. 2009
событий, а сосредоточено на упреждающей защите, комплексном предотвращении и
улучшенном опыте.
Тенденции развития безопасности терминала

Универсальные терминалы Полные функции Платформа Персонализированный
 Единое управление различными  Управление доступом+  Общесетевое  Приложение диспетчера
типами терминалов управление объединение и настольных ПК
безопасностью сотрудничество
 Единое управление  Пользовательские услуги
физическими и виртуальными  Пассивная защита +  Возможности открытой для настольных ПК
терминалами упреждающий контроль интеграции
Техническая архитектура безопасности
терминала
МС Администратор MC Многоуровневая модель
 Политики безопасности могут быть

цент

Язык

HCIP-Routing & Switching Training Material (RUS)

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

HCIP-Routing & Switching Training Material (RUS)

Загружено:

Авторское право:

Доступные форматы

Основы протокола OSPF

Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.

2. Основные принципы OSPF

 Требуется более высокая

RTA RTB RTD RTE

Характеристики RIP Проблемы

Проблемы RIP Решения

Медленная конвергенция и долгое

Недостаточное понимание топологии Маршрутизатор самостоятельно рассчитывает

Использование пропускной способности канала как

 Шаг 1: установление отношений соседства.

 Шаг 2: синхронизация LSDB.

2. Основные принципы OSPF

Router ID 1.1.1.1 Router ID 2.2.2.2

(1) Hello (Router ID:1.1.1.1 neighbor:null)

(2) Hello (Router ID:2.2.2.2 neighbor:null)

(3) Hello (Router ID:2.2.2.2 neighbor:1.1.1.1)

(4) Hello (Router ID:1.1.1.1 neighbor:2.2.2.2)

2. Основные принципы OSPF

Меня зовут 1.1.1.1

Меня зовут 2.2.2.2

подключены через виртуальный канал (VC).

представляет собой набор из множества

 Суммарный cost от RTA к подсети 192.168.3.0/24 = cost G1 + cost G3

2. Основные принципы OSPF

Заголовок Заголовок Данные

Version Type Packet Length

Checksum Auth Type

Тип Тип пакета Функция пакета

2 Database Description (DD) Обмен сводной информацией из LSDB.

Запрос определенной информации о

5 Link State Ack (LSAck) Подтверждение получения LSA.

 Подумайте, какую информацию содержат пакеты DD, LSR, LSU и LSAck и

Выполняемая функция Анализ реализации

Надежность Обеспечивается надежная синхронизация LSA.

2. Основные принципы OSPF

Router ID 1.1.1.1 Router ID 2.2.2.2

(1) DD(Seq=X, I, M, MS)

Exchange (3) DD(Seq=Y) ExStart > Exchange

(4) DD(Seq=Y+1, MS) Exchange

Router ID 1.1.1.1 Router ID 2.2.2.2

Hello Received Start

LS age Options LS type

2. Основные принципы OSPF

 Вопрос: как избежать того, что DR становится единственной точкой отказа?

Тип сети Устанавливается ли смежность

Широковещательная DR устанавливает смежности с BDR и DRothers

В. Link State Request

Д. Link State Advertisement

2. Какие типы сетей OSPF бывают?

<RTA>display ospf lsdb router self-originate

Type : Router //Тип LSA

* Link ID: 3.3.3.3 //Идентификатор соседнего маршрутизатора

<RTC>display ospf lsdb router self-originate

Type : Router //Тип LSA

Информация * Link ID: 10.1.235.2 //IP-адрес интерфейса назначенного маршрутизатора

 Вопрос: Где находится идентификатор сети или маска подсети?

<RTB>display ospf lsdb network self-originate

OSPF Process 1 with Router ID 2.2.2.2

Type : Network //Тип LSA

<RTA>display ospf lsdb

OSPF Process 1 with Router ID 1.1.1.1

 Этап 2: Расчет оптимального маршрута.