Академический Документы
Профессиональный Документы
Культура Документы
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы:
Будете понимать проблемы RIP в крупномасштабных сетях
Ознакомитесь с характеристиками OSPF
Освоите типы сетей, поддерживаемые OSPF
Освоите процесс установления отношений соседства в OSPF
Освоите принципы и функции OSPF DR и BDR
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, с которыми сталкивается RIP в крупномасштабных сетях
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Изменения в крупномасштабных сетях
Сети расширяются. Штаб-квартира компании
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Существующие проблемы RIP в
крупномасштабных сетях
RTC
N1 N2
t1 t2 t3 t4
Время конвергенции N1
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение проблем RIP
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Протокол маршрутизации по состоянию
канала OSPF
Отделяет распространение информации маршрутизации от расчета маршрута.
Использует алгоритм маршрутизации с предпочтением кратчайшего пути (SPF).
Использует суммарный показатель cost канала в качестве критерия при выборе
маршрута.
LSDB
синхронизация
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Рабочий процесс OSPF
Шаг 3: расчет
оптимальных маршрутов.
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, с которыми сталкивается RIP в крупномасштабных сетях
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Router ID
Каждый маршрутизатор OSPF имеет уникальный идентификатор Router ID,
который однозначно идентифицирует маршрутизатор в пределах
автономной системы (AS).
Кто я такой и кто другие?
Каждый маршрутизатор в LSDB
должен быть идентифицирован.
LSDB
синхронизация
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обнаружение соседей и установление отношений
соседства – пакет Hello
Пакет Hello выполняет следующие функции:
Обнаружение соседей: маршрутизатор OSPF может отправить пакет Hello для
обнаружения соседних маршрутизаторов.
Установление отношений соседства: два маршрутизатора OSPF согласовывают
параметры в пакетах Hello для установления отношений соседства.
Поддержание отношений соседства: маршрутизаторы OSPF используют
механизм Keepalive для постоянной проверки достижимости соседних устройств.
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс установления отношений соседства в
OSPF
RTA RTB
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обнаружение соседей и установление отношений
соседства – ручное конфигурирование
OSPF позволяет маршрутизаторам устанавливать отношения соседства при
помощи одноадресных пакетов Hello.
Если в сети не поддерживается многоадресная рассылка, то отношения
соседства необходимо устанавливать вручную.
1.1.1.1 2.2.2.2
RTA RTB
ospf 1 ospf 1
peer 2.2.2.2 peer 1.1.1.1
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, с которыми сталкивается RIP в крупномасштабных сетях
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Информация о состоянии канала
Информация о канале включает:
Тип канала
IP-адрес интерфейса и маску подсети
Соседние маршрутизаторы, использующие этот же канал
Пропускная способность канала (cost)
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Широкая поддержка канального уровня
Существует множество протоколов канального уровня, и их рабочие механизмы
различаются.
При адаптации различных протоколов канального уровня к конкретным сценариям
необходимо учитывать сферу применения каждого из них в сети.
FR
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Тип сети – сеть «точка-точка»
Только два маршрутизатора подключены друг к другу.
Поддерживаются широковещательные и многоадресные рассылки.
10.1.12.2
10.1.12.1
RTA RTB
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Тип сети – широковещательная сеть
Два или более маршрутизаторов подключены через общие носители.
Поддерживаются широковещательные и многоадресные рассылки.
RTA RTB
10.1.1.1 10.1.1.2
Ethernet
10.1.1.3 10.1.1.4
RTC RTD
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Тип сети – сеть NBMA
Два или более маршрутизаторов RTA
10.1.123.1
Широковещательные и многоадресные
рассылки не поддерживаются.
FR
RTB RTC
Полносвязная сеть FR
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Тип сети – сеть «точка-многоточка»
Сеть «точка-многоточка» RTA
10.1.123.1
сетей «точка-точка».
Поддерживаются широковещательные и
многоадресные рассылки.
FR
RTB RTC
Частично связанная сеть FR
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
OSPF cost
Cost интерфейса = эталонная пропускная способность/пропускная способность
интерфейса
Следовательно, cost может быть изменена двумя способами:
Конфигурирование cost непосредственно в режиме настройки интерфейса.
Изменение эталонной пропускной способности. Такое изменение должно выполняться на
всех маршрутизаторах для обеспечения согласованности выбора маршрута.
Loopback 1
192.168.3.3/24
G1 G2 G3 G4
RTA RTB RTC
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, с которыми сталкивается RIP в крупномасштабных сетях
Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Заголовок пакета OSPF
Протокол номер 89
0 7 15 31
Router ID
Area ID
Authentication
Authentication
Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Типы пакетов OSPF
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Функциональные требования к пакетам
OSPF
Задействованы 2 маршрутизатора,
отправляющие LSA друг другу для
Синхронизация LSA
синхронизации. Синхронизация LSA происходит
быстро и потребляет меньше ресурсов.
Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, с которыми сталкивается RIP в крупномасштабных сетях
Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Синхронизация LSDB в OSPF (1)
RTA RTB
(5) DD(Seq=Y+1)
Exchange > Loading Exchange > Full
Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Синхронизация OSPF LSDB (2)
RTA RTB
(6) LS Request
Loading Full
(7) LS Update
Loading > Full Full
(8) LSAck
Full Full
Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Машина состояний соседей OSPF
Down
ExStart 2-way
Negotiation Done 2-way Hello Received
Exchange
Exchange Done
Full Loading
Loading Done
Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Заголовок LSA
LSA несут информацию OSPF о состоянии каналов.
0 15 23 31
Link State ID
Advertising Router
LS sequence number
LS checksum Length
Стр. 35 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, с которыми сталкивается RIP в крупномасштабных сетях
Стр. 36 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблемы в MA Networks
Управление nx(n-1)/2 смежностей затруднено.
Ненужная лавинная рассылка повторяющихся LSA – пустая трата ресурсов.
RTA RTB
RTC RTD
Стр. 37 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Роль DR и BDR
Сокращение числа смежностей.
Сокращение трафика OSPF.
RTA RTB
Псевдоузел
RTC RTD
Стр. 38 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Выбор DR и BDR
Правила выбора: выбор DR/BDR происходит среди интерфейсов.
Приоритет имеет интерфейс с наивысшим приоритетом маршрутизатора.
Если интерфейсы имеют равный приоритет маршрутизатора, то приоритет имеет
интерфейс с наибольшим значением router ID.
RTA (DR) RTB (DRother) Не подходит для
того, чтобы стать
DR или BDR
100 0
10.1.1.1 10.1.1.2
95 200
10.1.1.3 10.1.1.4
Не обязательно станет
DR/BDR, даже несмотря
на наивысший приоритет
маршрутизатора
RTC (BDR) RTD (DRother)
Стр. 39 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Отношения соседства и смежности
«Точка-точка» Да
«Точка-многоточка» Да
Стр. 40 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Что из представленного ниже является пакетами OSPF?
А. Hello
Б. Database Description
Г. Link State DD
Стр. 41 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Маршрутизация внутри области OSPF
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение
Данный курс заключается в том, как OSPF вычисляет внутризоновые
маршруты, в том числе как использовать Router-LSA и Network-LSA для
описания информации о топологии и маршрута, а также как построить SPT
(shortest path tree).
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы узнаете:
Содержание Router-LSA и его функции
Содержание Network-LSA и его функции
Алгоритм SPF (shortest path first)
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Router-LSA
2. Network-LSA
3. Расчет SPF
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Router-LSA, описывающий интерфейс
«точка-точка»
RID 1.1.1.1 RID 3.3.3.3
10.1.13.0/24
RTA RTC
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Router-LSA, описывающий сеть MA или NBMA
RID 2.2.2.2
RTB
DR
10.1.235.0/24
RID 3.3.3.3 RID 4.4.4.4
RTC RTE
2. Network-LSA
3. Расчет SPF
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Network-LSA, описывающий сеть MA или
NBMA
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
LSDB в области OSPF
10.1.12.0/24
10.1.24.0/24
10.1.13.0/24
10.1.235.0/24 RTD
10.1.45.0/24
RTC RTE
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Router-LSA
2. Network-LSA
3. Расчет SPF
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Алгоритм SPF
Этап 1: Создание дерево SPT.
Создать SPT на основе информации о
топологии в Router-LSA и Network-LSA.
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание SPT (1)
<RTA>display ospf lsdb router self-originate
Общая стоимость Родительский
Кандидат
Type : Router кандидата узел
Ls id : 1.1.1.1
10.1.12.2 1 1.1.1.1
Adv rtr : 1.1.1.1
* Link ID: 10.1.12.2 3.3.3.3 48 1.1.1.1
Data : 10.1.12.1
Link Type: TransNet
Metric : 1
* Link ID: 3.3.3.3
Data : 10.1.13.1 1.1.1.1 RTA
Link Type: P-2-P 1
Metric : 48
* Link ID: 10.1.13.0
Data : 255.255.255.0 DR: 10.1.12.2
Link Type: StubNet
Metric : 48
Priority : Low
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание SPT (2)
2.2.2.2 RTB
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание SPT (3)
<RTA>display ospf lsdb router 2.2.2.2 Общая стоимость Родительский
Кандидат
кандидата узел
Type : Router
Ls id : 2.2.2.2 3.3.3.3 48 1.1.1.1
Adv rtr : 2.2.2.2
10.1.235.2 1+0+1 2.2.2.2
* Link ID: 10.1.12.2
Data : 10.1.12.2 4.4.4.4 1 + 0 + 48 2.2.2.2
Link Type: TransNet
Metric : 1
* Link ID: 10.1.235.2
Data : 10.1.235.2
Link Type: TransNet 1.1.1.1 RTA
Metric : 1 1
* Link ID: 4.4.4.4
Data : 10.1.24.2 DR: 10.1.12.2
Link Type: P-2-P 0
Metric : 48
* Link ID: 10.1.24.0 2.2.2.2 RTB
Data : 255.255.255.0 1
Link Type: StubNet
Metric : 48
DR:10.1.235.2
Priority : Low
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание SPT (4)
Общая стоимость Родительский
кандидат
кандидата узел
3.3.3.3 48 1.1.1.1
<RTA>display ospf lsdb network 4.4.4.4 1 + 48 2.2.2.2
10.1.235.2
3.3.3.3 1+0+1+0 10.1.235.2
DR: 10.1.235.2
0 0
3.3.3.3 5.5.5.5
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание SPT (5)
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание SPT (6)
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Расчет оптимального маршрута
Сбор информации о маршрутизации из LSA всех узлов SPT.
Начиная с корня, в той же последовательности, в которой они были
добавлены в SPT. * Link ID: 10.1.13.0
Data : 255.255.255.0
Link Type: StubNet
① Metric : 48
RTA Priority : Low
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Просмотр таблицы маршрутизации OSPF
<RTA>display ospf routing
Total Nets: 5
Intra Area: 5 Inter Area: 0 ASE: 0 NSSA: 0
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример конфигурирования OSPF для
одной области
ospf 1 router-id 1.1.1.1 ospf 1 router-id 2.2.2.2
area 0 area 0
network 10.1.12.0 0.0.0.255 network 10.1.12.0 0.0.0.255
network 10.1.13.0 0.0.0.255 network 10.1.24.0 0.0.0.255
network 10.1.235.0 0.0.0.255
RTA RTB
10.1.12.0/24
10.1.24.0/24
10.1.13.0/24
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Просмотр статуса соседа OSPF
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какие типы канала могут быть описаны Router-LSA?
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Межобластная маршрутизация OSPF
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение
По мере роста сети, с увеличением структурной сложности маршрутизаторы
потребляют больше ресурсов памяти и ЦП для расчета маршрутов.
Кроме того, растет и коэффициент отказов сетей. Если в области возникает
неисправность, то все маршрутизаторы в этой области должны пересчитать
маршруты. Это может налагать тяжелое бремя на маршрутизаторы и
ухудшать стабильность сети.
Как работает протокол OSPF для решения проблем, вызванных чрезмерно
большой областью?
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы узнаете:
Процессы передачи межобласных маршрутов
Способ предотвращения межзобласной маршрутной петли
Способ конфигурации виртуальных каналов
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Вычисление межобластного маршрута
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Деление областей
Внутренний
маршрутизатор
Пограничный
областный
маршрутизатор (ABR)
RTA
Область 1 Область 2
RTB RTC
Область 0
RTD RTE
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Передача межобластного маршрута
192.168.1.0/24
carried in a Type 3
LSA and advertised in
Area 0
192.168.1.0/24 192.168.1.0/24
carried in a Type 1 carried in a Type 3
LSA and advertised LSA and advertised in
in Area 1 Area 2
RTA
192.168.1.1/24 192.168.2.1/24
RTB RTC
Область 1 Область 0 Область 2
RTD RTE
192.168.2.0/24
carried in a Type 1
192.168.2.0/24 LSA and advertised in 192.168.2.0/24
carried in a Type 3 Area 0 carried in a Type 1
LSA and advertised in LSA and advertised in
Area 1 Area 2
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Network-Summary-LSA
<RTB>display ospf lsdb summary 192.168.1.0
OSPF Process 1 with Router ID 2.2.2.2
Area: 0.0.0.0
Link State Database
Type : Sum-Net //Type 3 LSA
Ls id : 192.168.1.0 //Destination network segment address
Adv rtr : 2.2.2.2 //ID of the router that generates the LSA
Ls age : 86
Len : 28
Options : E
seq# : 80000001
chksum : 0x7c6d
Net mask : 255.255.255.0 //Subnet mask
Tos 0 metric: 1 //Cost value
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вычисление межобластного маршрута
1 1 1
RTA RTE
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Вычисление межобластного маршрута
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Генерация межобластной маршрутной
петли
RTA
Область 0
RTB RTC
192.168.1.0/24
advertised in Area 1
Область 1 Область 2
Область 3
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Предотвращение межобластной
маршрутной петли
Магистральная область и немагистральная область
Правила передачи Type 3 LSA Магистральная область
Область 0
Не-магистральная
область
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Неправильное проектирование области
OSPF
RTA
Область 1
RTD RTB RTC RTE
Область 0 Область 2
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Виртуальные каналы
RTA
Область 1
RTD RTB RTC RTE
Область 0 Область 2
[RTB-ospf-1]ospf 1 [RTC-ospf-1]ospf 1
[RTB-ospf-1]area 1 [RTC-ospf-1]area 1
[RTB-ospf-1-area-0.0.0.1]vlink-peer 3.3.3.3 [RTC-ospf-1-area-0.0.0.1]vlink-peer 2.2.2.2
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Может ли один Network-Summary-LSA описать несколько маршрутов?
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Внешняя маршрутизация OSPF
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы узнаете:
Функции AS-External-LSA и ASBR-Summary-LSA
Методы вычисления внешних маршрутов OSPF
Причину субоптимальных внешних маршрутов
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Вычисление внешнего маршрута
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Импорт внешних маршрутов
Company
CompanyBB
Area 0
Area 1 Area 2
RTD RTB RTC RTE
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
AS-External-LSA
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
ASBR-Summary-LSA
Area: 0.0.0.1
Link State Database
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Расчет внешнего маршрута
10.1.60.0/24 cost=1
RTA
(ASBR)
RTD RTB 10.1.60.0/24
(ABR) Стоимость = 1
RTB RTC
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Вычисление внешнего маршрута
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Типы внешних маршрутов
Внутренняя стоимость AS +
Внешний маршрут типа 1
внешняя стоимость AS
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Вычисление внешнего маршрута
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Причина субоптимальных внешних
маршрутов
Перераспределение
.2 маршрутов RIP в OSPF
OSPF
RTB
RTA RIP
.1
RTC
10.1.123.0/24
.3
192.168.3.0/24
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Адрес переадресации
Перераспределение маршрутов RIP в OSPF Type 5 LSA, сгенерированный RTB:
Type : External
Ls id : 192.168.3.0
.2 Adv rtr : 2.2.2.2
OSPF Ls age : 273
Len : 36
RTB Options : E
.1
RTA RIP seq# : 80000001
Chksum : 0x470b
RTC Net mask : 255.255.255.0
TOS 0 Metric: 1
10.1.123.0/24 E type :2
.3 Forwarding Address : 10.1.123.3
Tag :1
Priority : Low
192.168.3.0/24
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. На каком типе маршрутизаторов генерируется AS-External-LSA? Каковы функции
AS-External-LSA?
3. Какие два типа внешних маршрутов предоставляет OSPF? Какой тип маршрутов
имеет более высокий приоритет?
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Специальные области OSPF и прочие
функциональные особенности
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение
Маршрутизаторы OSPF должны сохранять базы данных состояния каналов (LSDB),
содержащие внутриобластную, межобластную и внешнюю информацию маршрутизации. По
мере расширения сети растут количество или размер LSDB. Если в одной из областей OSPF
не нужно предоставлять транзитные услуги для прохождения трафика, то маршрутизаторам
в этой области не нужно сохранять информацию о состоянии каналов за пределами этой
области.
OSPF сокращает количество LSA в сети путем деления его автономной системы (AS) на ряд
областей. Однако, возможна лавинная рассылка слишком большого количества LSA в
немагистральных областях, что создаст непосильную нагрузку на маршрутизаторы нижнего
ценового сегмента, расположенные в таких областях. Для дальнейшего сокращения
количества LSA и размеров таблицы маршрутизации была предложена пара специальных
областей OSPF.
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы будете:
Понимать особенности специальной области OSPF
Понимать сценарии применения виртуальных каналов OSPF
Ознакомлены с принципом суммирования маршрута OSPF
Ознакомлены с механизмом обновления OSPF
Понимать механизм аутентификации OSPF
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Тупиковая область и полностью тупиковая область
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Транзитная область и конечная область
Внешняя сеть
Транзитная область
Конечная область
RTA
Область 0
RTD RTB RTC РТЕ
Область 1 Область 2
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Тупиковая область
Тупиковая область
RTA
Область 1 Область 2
Область 0
ospf 1 RTD RTB RTC RTE
area 1
stub
Type 4 LSA
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Таблица маршрутизации OSPF в
тупиковой области
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Полностью тупиковая область
Полностью
тупиковая область RTA
Область 1 Область 2
Область 0
ospf 1 RTD RTB RTC RTE
area 1 ospf 1
stub area 1
LSDB в RTD stub no-summary
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Таблица маршрутизации OSPF в
полностью тупиковой области
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Тупиковая область и полностью тупиковая область
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблемы, возникающие в тупиковых и
полностью тупиковых областях
RTA
Область 1 Область 2
Область 0
RTD RTB RTC RTE
Тупиковая/полность
ю тупиковая область
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
NSSA и Totally NSSA
Внешняя
сеть
ospf 1
area 1 RTA
nssa Область 1 Область 2
Область 0
RTD RTB RTC RTE
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Примеры LSDB в NSSA и totally NSSA
OSPF Process 1 with Router ID 2.2.2.2 OSPF Process 1 with Router ID 2.2.2.2
Link State Database Link State Database
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Резюме LSA
Объявляющий
LSA Type Содержание LSA Границы объявления
маршрутизатор
Router-LSA Информация о топологии и
Маршрутизатор OSPF Локальная область
(Type 1) маршрутизации
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Суммирование маршрута между
областями
RTA
172.16.0.0/24
172.16.1.0/24
Область 1
172.16.2.0/24
172.16.3.0/24
172.16.4.0/24 Область 0
172.16.5.0/24
172.16.6.0/24 RTD RTB RTC
172.16.7.0/24
ospf 1
area 1
abr-summary 172.16.0.0 255.255.248.0
Type LinkState ID AdvRouter
Sum-Net 172.16.0.0 2.2.2.2
Sum-Net 172.16.1.0 2.2.2.2
Sum-Net 172.16.2.0 2.2.2.2
Type LinkState ID AdvRouter
Sum-Net 172.16.3.0
Sum-Net 172.16.4.0
2.2.2.2
2.2.2.2
8 vs 1 Sum-Net 172.16.0.0 2.2.2.2
Sum-Net 172.16.5.0 2.2.2.2
Sum-Net 172.16.6.0 2.2.2.2
Sum-Net 172.16.7.0 2.2.2.2
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Суммирование внешнего маршрута
172.17.0.0/24 172.17.4.0/24
172.17.1.0/24 172.17.5.0/24
172.17.2.0/24 172.17.6.0/24
172.17.3.0/24 172.17.7.0/24
RTA ospf 1
Область 1 asbr-summary 172.17.0.0 255.255.248.0
Область 0
RTD RTB RTC
AS External Database
Type LinkState ID AdvRouter
External 172.17.0.0 1.1.1.1 AS External Database
External 172.17.1.0 1.1.1.1 Type LinkState ID AdvRouter
External 172.17.2.0 1.1.1.1 8 vs 1 External 172.17.0.0 1.1.1.1
External 172.17.3.0 1.1.1.1
External 172.17.4.0 1.1.1.1
External 172.17.5.0 1.1.1.1
External 172.17.6.0 1.1.1.1
External 172.17.7.0 1.1.1.1
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Тупиковая область и полностью тупиковая область
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Периодическое и инициируемое
обновление LSA
Периодическое обновление:
Каждый LSA обновляется раз в 1800 секунд, иначе срок его действия истечет по
прошествии 3600 секунд.
Инициируемое обновление:
При изменении состояния канала маршрутизатор немедленно отправляет пакет
Link State Update (LSU).
LSU
192.168.1.0/24
LSAck
RTA RTB
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Тупиковая область и полностью тупиковая область
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Риски безопасности
Нормальный
трафик
RTA RTB
База
Финансовый
данных
отдел
Ненормальный
трафик Вводимый ложный
маршрут
Несанкционированное
устройство
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Аутентификация обеспечивает
безопасность
ospf 1
area 0
authentication-mode md5 1 cipher abc
Нормальный
трафик
RTA RTB
Финансовый База
отдел данных
Аутентификация
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Комплексный сценарий OSPF
На следующем рисунке представлена топология сети предприятия. Базовое конфигурирование OSPF выполнено, но администратор сети по-
прежнему сталкивается со следующими проблемами:
Связь между головным офисом и филиалами А и Б работает нормально, но все они не могут связаться с удаленным офисом В.
В связи с низкой производительностью устройств в филиале А должна быть снижена нагрузка по вычислению маршрутов и хранению
состояний каналов. Кроме того, имея в виду будущее расширение сети, для этой области должна быть предусмотрена возможность
импорта внешних маршрутов.
Должна быть обеспечена безопасность информации маршрутизации в удаленном офисе В из-за частых визитов туда гостей.
Помимо внешней cost, при импорте внешних маршрутов в RTA также необходимо учитывать внутреннюю cost OSPF.
RTA Область 0
Головной офис
10.1.123.0/24
10.1.24.0/24 10.1.35.0/24 10.1.56.0/24
Область 3
Область 1 RTB RTC Область 2
Удаленный
RTD Филиал А Филиал Б RTE RTF
офис В
Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование OSPF (1)
ospf 1
area 2
vlink-peer 5.5.5.5
ospf 1
area 2
RTA Область 0 vlink-peer 3.3.3.3
Головной офис
10.1.123.0/24
10.1.24.0/24 10.1.35.0/24 10.1.56.0/24
ospf ospf
area 1 area 1
nssa nssa no-summary
Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование OSPF (2)
ospf 1
import-route rip 1 type 1
RTA Область 0
Головной офис
10.1.123.0/24
10.1.24.0/24 10.1.35.0/24 10.1.56.0/24
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какие специальные области определены в OSPF?
Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Принципы и конфигурации IS-IS
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы:
Освоите принципы и конфигурации IS-IS
Познакомитесь с различиями между IS-IS и OSPF
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Принципы IS-IS
3. Конфигурации IS-IS
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Применение
CE
CE
PE
ER ER
OSPF
IS-IS+BGP PE
CS CS
PE PE
PE
CE
CE
SW SW SW
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Происхождение
OSI
Уровень
приложений
Уровень TCP/IP
представления
Уровень Уровень
сеансов приложений
Транспортный Транспортный
TP0-TP4 OSPF TCP
уровень уровень
Сетевой Сетевой
CLNP IS-IS IP
уровень уровень
Канальный Канальный
ES-IS ARP
уровень уровень
Физический Integrated Физический
уровень IS-IS уровень
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Расчет маршрута
Этот процесс
Установление отношений соседства аналогичен
таковому в OSPF
Hello
Синхронизация LSDB
LSDB LSDB
LSP1 LSP3
LSP2 LSP4
------- -------
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Структура адреса
Набор протоколов Протокол IP IP-адрес OSPF Area ID+Router
TCP/IP ID
OSI Протокол Адрес IS-IS NET-
CLNP NSAP идентификатор
NSAP
IDP DSP
NET это особый тип адреса NSAP (SEL = 00). При конфигурировании
IS-IS на маршрутизаторе необходимо учитывать только NET. Например:
49.0001. 0000.0000.0001.00
Area ID System ID N-SEL
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Типы маршрутизаторов
Маршрутизаторы IS-IS подразделяются на три типа:
Маршрутизатор Level-1: хранит только Level-1 LSDB.
Маршрутизатор Level-2: хранит только Level-2 LSDB.
Маршрутизатор Level-1-2: маршрутизатор по умолчанию относится к этому типу, хранит
Level-1 и Level-2 LSDB.
При создании смежности
Level-1 убедитесь, что
оба маршрутизатора
используют одинаковый
area ID.
Одна Разные
область области
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пакет приветствия
P2P
Point-to-Point IIH
Тип сети «точка-точка»
L1 LAN IIH
Mac:0180-c200-0014
Broadcast
или
L2 LAN IIH
Mac:0180-c200-0015
Тип сети – широковещательная
сеть коллективного доступа
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Установление отношений соседства
Handshake в двух направлениях
RTA RTB
SYS ID 0000.0000.0001 SYS ID 0000.0000.0002
point-to-point IIH
Состояние: up
point-to-point IIH
Состояние: up
ISO10589 определяет подтверждение установления связи в двух направлениях, в то
время как RFC3373 для P2P определяет подтверждение в трех направлениях.
Виртуальный
маршрутизатор
(псевдоузел)
Level-1 DIS Level-1
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Носители информации о состоянии
каналов
LSP PDU: используется для обмена информацией о
состоянии канала. TLV
Реальный узел LSP Структура пакета
IS-IS
Псевдоузел LSP (существует только в
широковещательных каналах)
TYPE LENGTH VALUE
SNP PDU: используется для сохранения и
синхронизации LSDB, содержит сводные данные.
CSNP (используется для синхронизации LSP)
PSNP (используется для запроса и подтверждения LSP)
Пакеты IS-IS подразделяются на два типа: Level-1 и Level-2. MAC-адреса назначения всех
пакетов IS-IS в сетях MA являются MAC-адресами многоадресной рассылки:
Адрес Level-1: 0180-C200-0014
Адрес Level-2: 0180-C200-0015
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обмен информацией о состоянии канала
RTA RTB RTA
P2P RTC
RTB
CSNP ① DIS MA
A.00-00
② PSNP
A.00-00
CSNP ① LSP
LSP ③ C.00-00
A.00-00
A.00-00 ② C.00-01
④ B.00-00
PSNP
Интервал попыток B.01-00
A.00-00
повторной передачи истек C.00-00 Фрагмент LSP
LSP ⑤ Повторная C.00-01 PSNP
A.00-00 передача PSNP
LSP ③ A.00-00
⑥ PSNP B.00-00
A.00-00
A.00-00 ④ B.01-00
B.00-00
B.01-00
CSNP отправляются в сети P2P только Псевдоузел LSP
единожды. То есть, CSNP отправляется сразу Только DIS многоадресно рассылает CSNP
после установления отношений соседства. в сети MA с интервалом по умолчанию 10 с
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Алгоритмы маршрутизации
Расчет cost маршрута IS-IS:
Значение cost интерфейса по
RTE умолчанию равно 10.
RTA
RTC
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Иерархия сети и домен маршрутизации
Область 49.0002
Область 49.0004
L1
L1/2 L1/2
L2 L2
Область 49.0001 Магистраль
L2 L2
Область 49.0005
L1
L1/2 L1/2 L1
L1
Область 49.0003 L1 L1
Магистральная область
Соседство L1 Соседство L1 L1/2 Хранит L2 LSDB
L1
L1
Хранит L1 LSDB
RTA
Область 49.0001
Область 49.0002 получает доступ к Области 49.0001
Маршрутизатор Level-1-2 RTA добавляет конкретные
маршруты к Области 49.0001 в Level-2 LSDB.
Маршрутизатор Level-2 вычисляет конкретные маршруты к
Области 49.0001 с помощью расчета SPF.
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Принципы IS-IS
3. Конфигурации IS-IS
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Различия между IS-IS и OSPF
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Термины
Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Принципы IS-IS
3. Конфигурации IS-IS
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования к конфигурации маршрутов
IS-IS
192.168.1.0/24;
192.168.2.0/24;
192.168.3.0/24;
Level-1 Level-2
Область 49.0001 RTB import1
G0/0/0
RTA RTD RTE
G0/0/1
G0/0/1 G0/0/0 G0/0/0
G0/0/0
G0/0/0
S1/0/0
S1/0/0
Область 49.0002
RTC
Как показано на рисунке, для обеспечения доступности маршрутов все маршрутизаторы в сети заказчика должны
использовать IS-IS. Все процессы IS-IS используют идентификатор процесса, равный 100. RTA является DIS области
49.0001. Сеть между RTD и RTE должна быть P2P. RTE импортирует прямые маршруты 192.168.X.X и запрашивает у
RTA доступ к Области 49.0002 по оптимальному пути.
Основываясь на вышеуказанном, выполните правильное конфигурирование, чтобы удовлетворить требования заказчика.
Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование маршрута IS-IS (1)
isis 100 isis 100
network-entity network-entity
49.0001.0000.0000.0001.00 49.0001.0000.0000.0002.00
is-level level-1 #
# interface GigabitEthernet0/0/0
interface GigabitEthernet0/0/0 isis enable 100
isis enable 100
isis dis-priority 120 level-1
Level-1 Level-2
Область 49.0001 RTB import1
G0/0/0
RTD RTE
G0/0/1
G0/0/1 G0/0/0 G0/0/0
G0/0/0
G0/0/0
S1/0/0
RTA
S1/0/0
Область 49.0002
RTC 192.168.1.0/24;
192.168.2.0/24;
isis 100 192.168.3.0/24;
network-entity
49.0001.0000.0000.0003.00
#
interface GigabitEthernet0/0/0
isis enable 100
Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование маршрута IS-IS (2)
isis 100 isis 100
network-entity network-entity
49.0002.0000.0000.0004.00 49.0002.0000.0000.0005.00
is-level level-2 is-level level-2
# #
interface GigabitEthernet0/0/0 interface GigabitEthernet0/0/0
isis enable 100 isis enable 100
isis circuit-type P2P isis circuit-type P2P
Level-1 Level-2
RTB import1
Область 49.0001 G0/0/0
RTD RTE
G0/0/1
G0/0/1 G0/0/0 G0/0/0
G0/0/0
G0/0/0
S1/0/0
RTA
S1/0/0
Область 49.0002
RTC 192.168.1.0/24;
192.168.2.0/24;
192.168.3.0/24;
Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование маршрута IS-IS (3)
isis 100
network-entity 49.0001.0000.0000.0002.00
import-route isis level-2 into level-1
#
interface GigabitEthernet0/0/1
isis enable 100
Level-1 Level-2
RTB import1
Область 49.0001 G0/0/0
RTD RTE
G0/0/1
G0/0/1 G0/0/0 G0/0/0
G0/0/0
G0/0/0
S1/0/0
RTA S1/0/0
Область 49.0002
RTC 192.168.1.0/24;
192.168.2.0/24;
192.168.3.0/24;
isis 100
network-entity 49.0001.0000.0000.0003.00
import-route isis level-2 into level-1
# isis 100
interface Serial 1/0/0 import-route direct
isis enable 100
Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какие типы маршрутизаторов IS-IS существует?
Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Принципы и конфигурации BGP
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы:
Поймете принципы BGP
Освоите основные атрибуты и приложения BGP
Познакомитесь с применимостью агрегирования маршрутов BGP
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор BGP
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Основные функции MPLS
AS 65000
AS 65001
IGP IGP
BGP
AS 65002 AS 65003
BGP
BGP
IGP, такие как OSPF, IS-IS и RIP, используются в AS для расчета и обнаружения
маршрутов.
BGP используется между AS для осуществления передачи и управления маршрутами.
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Характеристики BGP
AS 65001 AS 65002
BGP
AS 65003
BGP
Как показано на рисунке, два маршрутизатора BGP могут установить отношения соседства
между несколькими маршрутизаторами.
Для реализации контроля и выбора маршрута в соответствии с требованиями в BGP
задаются и переносятся по маршрутам различные атрибуты.
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор BGP
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обнаружение соседей BGP
1.1.1.1 2.2.2.2
RTA RTB
TCP SYN
TCP ACK+SYN
TCP ACK
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Тип соседства BGP – EBGP
AS 200 AS 300
RTD RTE
EBGP EBGP
RTB RTC
RTA
AS 100 OSPF
RTD RTE
EBGP EBGP
RTB RTC
RTA
AS 100 OSPF
EBGP EBGP
10.1.24.0/24 10.1.35.0/24
router id 3.3.3.3
.2 .3
bgp 100
IBGP peer 10.1.35.5 as-number 300
RTB RTC peer 10.1.12.2 as-number 100
2.2.2.2 3.3.3.3
.2 RTA .3
10.1.12.0/24 10.1.13.0/24
.1 .1
AS 100 OSPF
1.1.1.1
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Оптимизация конфигурации отношений
соседства BGP
AS 200 AS 300 router id 5.5.5.5
bgp 300
peer 10.1.35.3 as-number 100
RTD RTE
4.4.4.4 5.5.5.5
.4 .5
EBGP EBGP
10.1.24.0/24 10.1.35.0/24
.2 .3 router id 3.3.3.3
bgp 100
IBGP peer 10.1.35.5 as-number 300
RTB RTC peer 2.2.2.2 as-number 100
2.2.2.2 3.3.3.3 Peer 2.2.2.2 connect-interface
loopback 0
.2 RTA .3
10.1.12.0/24 10.1.13.0/24
.1 .1
AS 100 OSPF
1.1.1.1
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Установление отношений соседства BGP
1.1.1.1 2.2.2.2
RTA RTB
Idle Idle
Connect TCP SYN Connect
TCP ACK+SYN
TCP ACK
OpenSent
Сообщение Open
OpenComfirm
Сообщение Keepalive OpenComfirm
Established
Update, Keepalive, Route-refresh, Notification
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор BGP
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Режим генерации маршрутов BGP –
Network (1)
router id 3.3.3.3
bgp 200
peer 10.1.23.2 as-number 100
RTC
3.3.3.3
router id 2.2.2.2
.3 AS 200 bgp 100
peer 10.1.23.3 as-number 200
ipv4-family unicast
EBGP network 10.1.12.0 255.255.255.0
10.1.23.0/24 network 100.0.0.0 255.255.255.0
network 100.0.1.0 255.255.255.0
.2
AS 100
100.0.0.0/24
.2 100.0.1.0/24
RTB
2.2.2.2
OSPF .1
Область 0 1.1.1.1 RTA
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Режим генерации маршрутов BGP –
Network (2)
<RTC>display bgp routing-table
AS 100
100.0.0.0/24
.2
RTB 100.0.1.0/24
2.2.2.2
OSPF .1
Область 0 1.1.1.1 RTA
Для проверки того, получает ли RTC объявляемые BGP маршруты, выполните на RTC команду display.
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Режим генерации маршрутов BGP – Import
(1)
router id 3.3.3.3
bgp 200
RTC peer 10.1.23.2 as-number 100
3.3.3.3
.3 AS 200
router id 2.2.2.2
bgp 100
EBGP peer 10.1.23.3 as-number 200
10.1.23.0/24 ipv4-family unicast
import-route direct route-policy import
.2 import-route static route-policy import
import-route ospf 1 route-policy import
#
AS 100 route-policy import permit node 10
.2 100.0.0.0/24 if-match ip-prefix import
RTB 100.0.1.0/24 #
2.2.2.2 ip ip-prefix import index 10 permit 10.1.12.0 24
ip ip-prefix import index 20 permit 100.0.0.0 24
ip ip-prefix import index 30 permit 100.0.1.0 24
OSPF .1
Область 0 1.1.1.1 RTA
Команда import импортирует маршруты в таблицу маршрутизации BGP на основе запущенного
протокола маршрутизации (RIP, OSPF или IS-IS). Эта команда также позволяет импортировать
непосредственно подключенные и статические маршруты.
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Режим генерации маршрутов BGP – Import
(2)
<RTC>display bgp routing-table
AS 100
100.0.0.0/24
.2 100.0.1.0/24
RTB
2.2.2.2
OSPF .1
Область 0 1.1.1.1 RTA
Для проверки того, получает ли RTC импортированные в BGP маршруты, выполните на RTC
команду display.
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор BGP
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сообщение BGP Update
Маршруты BGP генерируются либо в режиме network, либо в режиме import. Они
инкапсулируются в сообщения Update и объявляются соседним узлам. BGP объявляет
маршрутную информацию только после установления отношений соседства.
Сообщения Update используются для объявления доступных маршрутов и вывода
недоступных. Сообщение Update содержит следующую информацию:
Network Layer Reachability Information (NLRI): объявляет IP-префикс и длину префикса.
Атрибут path: обеспечивает обнаружение петель и контролирует выбор оптимального маршрута.
Withdrawn route: описывает префикс и длину префикса недостижимого отзываемого маршрута.
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Правила объявления маршрутов BGP (1)
<RTD>display bgp routing-table
Network NextHop MED LocPrf PrefVal Path/Ogn
*>i 100.0.0.0/24 10.1.12.1 0 100 0 100i
*i 10.1.13.1 0 100 0 100i
*> 200.0.0.0 0.0.0.0 0 0 i
OSPF
EBGP
AS 100 RTC AS 300
200.0.0.0/24
AS 200
<RTE>display bgp routing-table
Network NextHop MED LocPrf PrefVal Path/Ogn
*> 100.0.0.0/24 10.1.45.4 0 200 100i
*> 200.0.0.0 10.1.45.4 0 0 200i
Правило объявления маршрутов BGP №1: объявлять соседним узлам только оптимальные маршруты.
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Правила объявления маршрутов BGP (2)
<RTC>display bgp routing-table
EBGP IBGP
AS 100 AS 200
EBGP 10.1.24.0/24
RTD
AS 300
<RTD>display bgp routing-table
RTB
AS
100
100.0.0.0/24
IBGP
RTC
RTA 10.1.13.0/24
<RTC>display bgp routing-table
Network NextHop MED LocPrf PrefVal Path/Ogn
*>i 100.0.0.0/24 10.1.13.1 0 100 0 i
Правило объявления маршрутов BGP №3: оптимальный маршрут, полученный через IBGP,
другим соседним узлам IBGP не объявляется.
Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Правила объявления маршрутов BGP (4)
Моя таблица маршрутизации не содержит
маршрута к 100.0.0.0/24 и я не знаю, как
достичь 100.0.0.0/24, так что я отбрасываю
пакеты с недостижимым адресом назначения.
OSPF AS 200
RTC
RTB RTD
IBGP
EBGP EBGP
RTA
100.0.0.0/24 RTE
AS 100 AS 300
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обработка информации маршрутизации
BGP
Обновление информации,
полученной от соседнего узла BGP
Выбор маршрута
Local_RIB
Обновление информации,
отправленной соседнему узлу BGP
IP_RIB
После получения сообщения Update от соседнего узла BGP, маршрутизатор BGP при помощи алгоритма выбора
маршрута определяет оптимальный маршрут для каждого префикса.
Маршрутизатор сохраняет выбранный оптимальный маршрут в локальную таблицу маршрутизации BGP (Local_RIB) и
затем передает его в локальную таблицу IP-маршрутизации (IP_RIB) для определения необходимости ее установки.
Маршрутизатор инкапсулирует выбранный действующий оптимальный маршрут в сообщение Update и отправляет его
соседнему узлу BGP.
Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор BGP
Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблемы выбора маршрута BGP
100 Мбит/с
AS 2 AS 4 AS 5
50 Мбит/с 50 Мбит/с
AS 1 AS 3 AS 6 AS 7
Как показано на рисунке, в AS 7 есть пользовательский сегмент сети 100.0.0.0/24, и она объявляет его
каждой AS через BGP. Каждая AS может узнать маршрут к 100.0.0.0/24. Однако при передаче маршрута
возникают следующие проблемы:
AS 3 может получить маршрут к 100.0.0.0/24 от AS 4 и AS 6, но канал между AS 3 и AS 4 имеет более высокую
пропускную способность. Как обеспечить, чтобы AS 3 получал доступ к сегменту сети 100.0.0.0/24 через AS 4?
Между AS 1, AS 2 и AS 3 существует петля топологии. Таким образом, при передаче пакетов может возникнуть
петля. Как предотвратить это?
Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Различные атрибуты BGP
Origin Local_Pref
AS_Path Atomic_aggregate
Next_hop
Aggregator MED
Community ……
Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Атрибуты BGP – Origin
AS 100 2.2.2.2 OSPF
EBGP
200.0.0.0/24
RTB
RTA
1.1.1.1 4.4.4.4
3.3.3.3
RTD
EBGP
RTC
AS 200
RTA EBGP AS 2 AS 4
1.1.1.1 EBGP EBGP
EBGP
AS 1
EBGP
RTC RTD
AS 3 AS 5
Как показано на рисунке:
RTA в AS 1 может узнать маршрут 100.0.0.0/24 от RTB и RTC. Как RTA выбирает оптимальный
маршрут?
Между RTA, RTB и RTC, а также между RTB, RTC, RTD и RTE существуют петли топологии. Из-за
этого в процессе передачи маршрутов BGP могут возникать петли маршрутизации. Как BGP
предотвращает петли?
Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Атрибуты BGP – Next_hop
2.2.2.2 OSPF RTC OSPF
3.3.3.3
EBGP
RTB
IBGP IBGP
100.0.0.0/24 200.0.0.0/24
RTA RTD
1.1.1.1 4.4.4.4
AS 100 AS 200
Стр. 34 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Атрибуты BGP – Local_Preference
2.2.2.2
OSPF
200.0.0.0/24
RTA RTB
RTD
1.1.1.1 4.4.4.4
3.3.3.3
AS 100 AS 200
RTC
Атрибут Local_Pref имеет силу только между соседними узлами IBGP и не объявляется
другим AS. Этот атрибут указывает на приоритет BGP маршрутизатора и определяет
оптимальный маршрут для трафика, покидающего AS.
Стр. 36 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Атрибуты BGP – MED
AS 100
IBGP OSPF 6.6.6.6
RTF
EBGP
50 Мбит/с
3.3.3.3 5.5.5.5
RTC RTE
AS 200 AS 300
Атрибут Multi-Exit-Discriminator (MED) передается только между двумя соседними AS. AS,
получающая этот атрибут, не объявляет его другим AS. Он определяет оптимальный
маршрут для трафика, поступающего в AS.
Стр. 37 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Атрибуты BGP – Community
RTA
AS 10 1.1.1.1
RTC RTD
10.1.10.0/24 3.3.3.3 4.4.4.4
EBGP EBGP
Community 10:12
AS 11 RTB EBGP
2.2.2.2 AS 12 AS 13
10.1.11.0/24
Community 11:12
Стр. 38 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор BGP
Стр. 40 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Правила выбора маршрутов BGP
После того, как маршрутизатор BGP объявляет маршрут в соседних узлах, каждый соседний узел выбирает оптимальный маршрут:
Если данный маршрут является единственным маршрутом к месту назначения, то соседний узел выбирает его как оптимальный маршрут.
При наличии нескольких маршрутов к одному пункту назначения соседний узел выбирает маршрут с наивысшим приоритетом в качестве оптимального.
Если существует несколько маршрутов к одному пункту назначения, и они имеют равный приоритет, то соседний узел сравнивает атрибуты этих маршрутов для
выбора оптимального.
Как правило, при выборе оптимального маршрута маршрутизатор BGP сравнивает атрибуты в следующей последовательности:
Отбрасывает маршруты с недостижимыми следующими ретрансляционными участками.
Предпочитает маршрут с наибольшим значением PrefVal. Атрибут PrefVal является авторским атрибутом Huawei и действителен только для устройств, на которых
он сконфигурирован.
Предпочитает маршрут с наибольшим значением Local_Pref.
Предпочитает следующие маршруты в порядке убывания их приоритета: вручную агрегированный маршрут, автоматически агрегированный маршрут,
импортированный с помощью команды network маршрут, импортированный с помощью команды import маршрут, полученный от одноранговых узлов маршрут.
Предпочитает маршрут с кратчайшим AS_Path.
Предпочитает маршрут с атрибутом Origin в следующей последовательности: IGP, EGP и Incomplete.
Из маршрутов, полученных от одной AS, предпочитает маршрут с наименьшим значением MED.
Предпочитает маршрут EBGP маршруту IBGP.
Предпочитает маршрут с наименьшей метрикой IGP в пределах AS.
Предпочитает маршрут с самым коротким Cluster_List.
Предпочитает маршрут с наименьшим Originator_ID.
Предпочитает маршрут, объявленный маршрутизатором с наименьшим значением Router_ID.
Предпочитает маршрут, полученный от соседнего узла с наименьшим значением IP-адреса.
Стр. 41 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Влияние PrefVal на выбор маршрута BGP
OSPF 2.2.2.2
200.0.0.0/24
RTB
RTC
RTA RTD
1.1.1.1 4.4.4.4
AS 100 AS 200
3.3.3.3
EBGP IBGP
AS 100 200.0.0.2/24 200.0.0.3/24
RTA
1.1.1.1
EBGP 200.0.0.0/24
IBGP
RTC
3.3.3.3
EBGP
RTB
2.2.2.2
AS 100 AS 200
Стр. 44 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Влияние метрики IGP внутри AS на выбор
маршрута BGP
2.2.2.2
OSPF
200.0.0.0/24
RTA
1.1.1.1 RTB
RTC RTD
4.4.4.4
AS 100 AS 200
200.0.0.0/24
RTB
RTA
1.1.1.1
RTC RTD
4.4.4.4
AS 100 3.3.3.3
<RTA>display bgp routing-table
RTA получает доступ к сегменту сети 200.0.0.0/24 в пределах AS 200 через RTB, а
исходящим интерфейсом будет интерфейс в 10.1.12.1.
Стр. 46 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример конфигурирования политики
маршрутизации BGP
RTB RTE
OSPF 2.2.2.2 5.5.5.5 OSPF
200.0.0.0/24
(Community 300:200)
RTA RTD
1.1.1.1 4.4.4.4
IBGP
IBGP
RTG
7.7.7.7
100.0.0.0/24
(Community 300:100)
RTC RTF
AS 100 3.3.3.3 AS 200 6.6.6.6
AS 300
В AS 300 есть два сегмента пользовательской сети. Когда пользователи из AS 100 получают
доступ к этим двум сегментам сети, нагрузка трафиком должна быть сбалансирована между
RTB и RTC. Когда пользователи из AS 200 получают доступ к этим двум сегментам сети,
нагрузка трафиком должна быть сбалансирована между RTE и RTF.
Стр. 48 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор BGP
Стр. 51 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обзор агрегирования маршрутов BGP
BGP передает маршрутную информацию между AS. По мере роста числа AS и увеличения
масштабов каждой из них таблица маршрутизации BGP становится очень большой, что
приводит к следующим двум проблемам:
Хранение таблицы маршрутизации занимает много памяти, а передача и обработка информации
маршрутизации потребляют много ресурсов пропускной способности.
Частое обновление и отзыв маршрутов влияют на стабильность сети.
Агрегирование маршрутов BGP предназначено для решения этих двух проблем. Далее
описывается агрегирование маршрутов BGP, включая:
Необходимость агрегирования маршрутов BGP: для решения проблем сетей BGP
Конфигурирование агрегирования маршрутов BGP
Проблемы, вызванные агрегированием маршрутов BGP.
Стр. 52 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Необходимость агрегирования маршрутов
BGP
AS 100 RTA
10.1.8.0/24
10.1.9.0/24
10.1.10.0/24 RTC RTD
10.1.11.0/24
EBGP
AS 200 RTB
AS 300 AS 400
10.1.12.0/24
10.1.13.0/24 AS клиента
10.1.14.0/24
10.1.15.0/24
AS 100 и AS 200 каждая имеет по четыре сегмента пользовательской сети. AS 300 подключена к AS 400,
AS клиента. В AS 400 установлен дешевый маршрутизатор, RTD, с низкой производительностью.
Поэтому требуется, чтобы RTD мог получать доступ к сетевым сегментам в AS 100 и AS 200, но при этом
не получал множество отдельных маршрутов. Как выполнить это требование?
Стр. 53 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Агрегирование маршрутов BGP –
статические маршруты
RTA RTB
10.1.8.0/24 1.1.1.1 2.2.2.2
10.1.9.0/24 10.1.12.0/24
10.1.10.0/24
10.1.11.0/24
EBGP
AS 100 AS 200
bgp 100
peer 10.1.12.2 as-number 200
#
ipv4-family unicast
undo synchronization
peer 10.1.12.2 enable
network 10.1.8.0 255.255.252.0
ip route-static 10.1.8.0 255.255.252.0 NULL 0
Стр. 55 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Агрегирование маршрутов BGP –
агрегирование вручную
Стр. 56 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблемы, вызванные агрегированием
маршрутов BGP – петли
2. AS 200 агрегирует отдельные 3. AS 400 переадресует полученный
маршруты, полученные от AS 100 и AS агрегированный маршрут в AS 300.
300, в 10.1.0.0/16. Когда AS 200 AS 300 проверяет атрибут AS_Path
объявляет агрегированный маршрут в данного маршрута и не находит свой
AS 400, этот маршрут не несет атрибуты локальный AS number, поэтому он
AS_Path отдельных маршрутов. принимает этот маршрут. В
результате может возникнуть петля.
10.1.0.0/16
(200)
AS 200 AS 400
10.1.0.0/16
(200 {100 300})
AS 200 AS 400
Стр. 58 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какие из следующих атрибутов являются well-known mandatory атрибутами BGP?
А. Origin
Б. AS_Path
В. Next_hop
Г. Local_preference
Б. TCP 179
В. TCP 80
Стр. 60 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Основы технологии многоадресной
IP-рассылки (IP-Multicast)
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение
Существует три основных метода передачи трафика в IP-сетях по типу «точка-многоточка»,
это - одноадресная рассылка (unicast), широковещательная рассылка (broadcast) и
многоадресная рассылка (multicast). Если применяется одноадресная рассылка, то
количество данных, передаваемых в сети, пропорционально количеству пользователей,
которым требуются данные. Несколько копий одного и того же содержимого отправляются
разным пользователям, что приводит к увеличению нагрузки на источник информации и
пропускной способности. Если применяется широковещательная рассылка, хосты, которые
не требуют данных, тоже получат данные, что угрожает информационной безопасности и
вызывает штормы на локальном сегменте сети.
Однако появление многоадресной рассылки решает вышеуказанную проблему. Источник
многоадресной рассылки должен отправить только одну копию данных, которая затем
копируется и отправляется сетевым узлом предполагаемому получателю.
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы:
Познакомитесь с характеристиками сетей «точка-многоточка»
Освоите основную архитектуру многоадресной рассылки
Узнаете формат адресов многоадресной рассылки
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Разработка и создание сетей «точка-многоточка»
2. Обзор многоадресной рассылки
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Традиционные сети «точка-многоточка»
Провайдер предоставляет услуги на основе каждого пользователя.
Данные, полученные разными пользователями, могут отличаться от данных,
предоставляемых провайдером услуг.
Клиент B
Сервер
Клиент A Клиент C
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Новые сети «точка-многоточка»
Провайдер предоставляет услуги на основе групп пользователей.
Данные, полученные пользователями в одной группе, ничем не отличаются
от данных, предоставляемых провайдером услуг.
Онлайн-
трансляция
Видеоконференция
Веб-ТВ
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Одноадресная рассылка (unicast) – тип сетей
«точка-многоточка»
Проблемы: Прямая трансляция
началась в 21:00
Направляются одни и те же данные,
расходуется много трафика.
Потребляется большое количество ресурсов
устройства и ресурсов пропускной
способности.
Не может обеспечить качество передачи
данных
Неприемник 4 приемника
4 приемника
3 неприемника
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Широковещательная рассылка (broadcast)
- тип сетей «точка-многоточка»
Проблемы: Прямая трансляция
началась в 21:00
Ограничение область применения
Не может обеспечить информационную
безопасность
Не может реализовать платную услугу
для конкретных пользователей.
4 Приемника
4 Приемника Неприемник
3 Неприемника
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Многоадресная рассылка (multicast) - тип
сетей «точки-многоточка»
Преимущества: Прямая трансляция
началась в 21:00
Не направляются одни и те же данные,
экономит трафик.
Экономит ресурсы устройств и пропускную
способность сети
Обеспечит высокую безопасность
Реализует платную услугу для конкретных
пользователей.
4 Приемника 4 Приемника
Неприемника 3 Неприемника
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Разработка и развертывание сетей «точка-многоточка»
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Основная архитектура многоадресной
рассылки
Источник
Из источника
Генерация данных
многоадресной рассылки
многоадресной рассылки
к маршрутизатору
Клиент Клиент
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Из источника многоадресной рассылки к
маршрутизатору
Как источник многоадресной рассылки инкапсулирует данные?
Как определить IP-адрес адресата
Как определить MAC-адрес адресата
Источник
Данные
1.
многоадресной рассылки
DIP: ??
192.168.1.0/24
SIP:192.168.1.1
SMAC:68-F7-28-42-6D-0D
.254 .253
DMAC: MAC ??
RTA RTB
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
IP-адрес многоадресной рассылки
IP-адреса многоадресной рассылки представляет собой групповой адрес хостов, а не адрес конкретного
хоста. Если хост присоединяется к группе многоадресной рассылки, то это означает, что хост хочет
получать пакеты данных, предназначенные для IP-адреса многоадресной рассылки.
Диапазон Описание
Постоянные групповые адреса, зарезервированные
224.0.0.0—224.0.0.255
для протоколов маршрутизации
224.0.1.0—231.255.255.255
Any-source временные групповые адреса
233.0.0.0—238.255.255.255
Source-Specific
232.0.0.0—232.255.255.255
временные групповые адреса
239.0.0.0—239.255.255.255 Any-source временные групповые адреса
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Mac-адрес многоадресной рассылки
Разница между многоадресными и одноадресными MAC-адресами:
XXXX XXX1 XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сопоставления между IP- и MAC-адресами
многоадресной рассылки
Многоадресные IP-адреса и MAC-адреса необходимо сопоставлять друг с
другом автоматически.
Младший значащий 23 бита MAC-адреса являются младшим значащим 23
битом IP-адреса многоадресной рассылки.
IP-адрес многоадресной
1110 XXXX.X XXX XXXX.XXXX XXXX.XXXX XXXX рассылки
23 бита
Mac-адрес многоадресной
01--00--5E--0 XXX XXXX.XXXX XXXX.XXXX XXXX рассылки
23 бита
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблема, вызванная сопоставлением
адресов
При сопоставлении между многоадресным IP-адресом и MAC-адресом
возникает проблема о том, что 32 многоадресных IP-адреса сопоставляются
одному многоадресному MAC-адресу.
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Что такое многоадресная IP-рассылка?
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Принципы и конфигурации IGMP
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение
В многоадресной связи источник посылает данные многоадресной рассылки
на определенный многоадресный адрес. Чтобы пересылать многоадресные
пакеты данных получателям, многоадресный маршрутизатор,
подключенный к сетевому сегменту получателей, должен знать, какие
получатели присутствуют в сетевом сегменте, и убедиться, что получатели
присоединились к определенной группе.
Протокол управления группами Интернет (Internet Group Management
Protocol, IGMP) - это протокол в наборе протоколов TCP/IP, который
используется для создания и поддержания группового членства между
получателями и соседними маршрутизаторами многоадресной рассылки.
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы:
Ознакомитесь с основными рабочими механизмами и конфигурациями IGMP.
Освоите различия между тремя версиями IGMP
Поймете механизм IGMP snooping
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требования к получателям многоадресной рассылки
6. Конфигурация IGMP
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Как происходит получение данных
многоадресной рассылки
Какой информацией необходимо обмениваться
между получателями и маршрутизатором?
Получатели должны указать группы, к которым
они хотят присоединиться. Маршрутизатор Какие группы имеют
получатели?
Маршрутизатор должен знать, какие группы
имеют получатели.
G1 G2
Какие проблемы возникают, если информация
сконфигурирована вручную?
Невозможность обновления в реальном Я хочу присоединиться
Я хочу присоединиться к группе G2.
времени к группе G1.
Низкая гибкость
Огромная рабочая нагрузка и высокая
вероятность ошибок
Клиент A Клиент B Клиент C
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требования к получателям многоадресной рассылки
6. Конфигурация IGMP
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Протокол управления группами Интернет
- IGMP
Протокол IGMP работает между хостами и маршрутизаторами
многоадресной рассылки.
Протокол IGMP предоставляет следующие функции:
Для хостов: послать сообщение о членстве маршрутизаторам с использованием
протокола IGMP
Для маршрутизаторов: поддержать групповое членство с помощью протокола
IGMP
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Рабочий механизм IGMPv1
Общее сообщение запроса и ответ (General Query and Response)
Механизм подавления отчетов - отсроченный ответ
сеть
многоадресной
① RTA периодически отправляет рассылки
общее сообщение запроса всем
хостам в подсети (224.0.0.1).
RTA
①
Ethernet ③ После того, как Клиент C
② После получения общего обнаружит сообщение IGMP
сообщения запроса, хост ② ② отчета, отправленное Клиентом
отправляет сообщение IGMP отчета, A из той же группы G1, он
чтобы объявить желания больше не будет отправлять
объединения. сообщения IGMP отчета.
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Объединение групп для IGMPv1
Хост запрашивает присоединение к группе.
Сеть
многоадресной
рассылки
RTA
Ethernet
Клиент D отправляет отчет о
членстве IGMP, чтобы
объявить желание
присоединиться к группе G3.
Отчет для G3
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Выход из группы для IGMPv1
Выход из группы без отправки сообщений выхода
Сеть
многоадресной
рассылки
Маршрутизатор периодически
отправляет общее сообщение запроса.
RTA
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Выборы генераторов запросов для
IGMPv1
Выборы генераторов запросов зависят от протокола маршрутизации
многоадресной рассылки.
Сеть
многоадресной
рассылки
RTA RTB
Генерирующий запросы Не генерирующий запросы
Ethernet
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требования к получателям многоадресной рассылки
6. Конфигурация IGMP
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Улучшение IGMPv2 по сравнению с IGMPv1:
механизм выхода из группы
② RTA (генерирующий
запросы) посылает Сеть
специальное сообщение многоадресной
запроса в группу G2. рассылки
RTA RTB
Генерирующий не генерирующий
запросы запросы
Посылает специальное (2)
сообщение запроса дважды Ethernet
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Улучшение IGMPv2 по сравнению с IGMPv1:
механизм выборов генераторов запросов
Независимый механизм выборов генераторов запросов
RTA RTB
Генерирующий Генерирующий
запросы запросы
VS
192.168.1.1/24 Выигрывает тот, у кого
192.168.1.2/24
наименьший IP-адрес.
IGMPv2 реализует
выборку запроса на
основе сообщений
General Query.
Клиент A
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сравнение пакетов IGMPv1 с IGMPv2
0 7 15 31
Версия Тип Не используется Контрольная сумма
IGMPv1 Групповой адрес
0 7 15 31
Макс. время
Тип Контрольная сумма
ответа
IGMPv2 Групповой адрес
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требования к получателям многоадресной рассылки
6. Конфигурация IGMP
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Новые требования в модели SSM
Источник A Источник B
1.1.1.1 2.2.2.2
RTA RTB
RTC
Клиент A не будет
IGMPv3 Передача многоадресного потока
получать данные из
источника A в группе G1. из Источника A в группу G1
Передача многоадресного потока
из Источника B в группу G1
Клиент A
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Рабочий механизм IGMPv3
Маршрутизатор периодически
отправляет общие сообщения
запроса в 224.0.0.1.
RTC
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Различия между версиями IGMP
Специальный запрос
Не поддерживается Поддерживается Поддерживается
групп
Специальный запрос
Не поддерживается Не поддерживается Поддерживается
источников и групп
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требования к получателям многоадресной рассылки
6. Конфигурация IGMP
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблемы с передачей данных
многоадресной рассылки на L2
Лавинная рассылка данных многоадресной рассылки на L2 приводит к :
Трате сетевых ресурсов Источник
Риску безопасности
Сеть
многоадресной
рассылки
Данные многоадресной
рассылки отправляются
Коммутатор
хостам, не входящим в группу.
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Рабочий механизм IGMP Snooping
После включения IGMP snooping на коммутаторах коммутаторы передают
сообщения только на свой порт маршрутизатора.
RTA
Mac-адрес Интерфейсы 2 3 4
0100.5e01.0203 0134 ②
Запрос
Отчет
Клиент A Клиент B Клиент C
Пакет многоадресной рассылки
Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требования к получателям многоадресной рассылки
6. Конфигурация IGMP
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация IGMP
multicast routing-enable
interface G0/0/1
ip address 192.168.1.1 255.255.255.0
igmp enable
igmp version 2
RTA
G0/0/1 IGMPv2
192.168.1.0/24
Клиент A
Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проверка конфигурации IGMP
<RTA>display igmp interface
Interface information of VPN-Instance: public net
GigabitEthernet0/0/1(192.168.1.1):
IGMP is enabled
Current IGMP version is 2
IGMP state: up
IGMP group policy: none
IGMP limit: -
Value of query interval for IGMP (negotiated): -
Value of query interval for IGMP (configured): 60 s
Value of other querier timeout for IGMP: 0 s
Value of maximum query response time for IGMP: 10 s
Querier for IGMP: 192.168.1.1 (this router)
Total 1 IGMP Group reported
Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. В IGMPv1, когда последний член выходит из группы, как долго будет ждать
маршрутизатор, прежде чем удалить список группы многоадресной рассылки?
Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Принципы и конфигурации PIM
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы узнаете:
Требования к многоадресной рассылке
Принципы и конфигурации PIM-DM
Принципы и конфигурации PIM-SM
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требования к отправке пакетов многоадресной рассылке
3. Ограничения PIM-DM
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Как маршрутизатор переадресует пакеты
многоадресной рассылки
Маршрутизатор пересылает пакеты
многоадресной рассылки, основываясь на
следующей информации: Источник
Есть ли в сегментах сети получатели?
К какой группе должны подключиться
Сеть
получатели? многоадресной
рассылки
Настройка предыдущей информации вручную
может привести к следующим проблемам:
Клиент C
Клиент A
Невозможность обновления в реальном времени (G1)
(G1)
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требования к многоадресной рассылке
3. Ограничения PIM-DM
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обзор PIM-DM
PIM-DM использует режим "push" для переадресации пакетов
многоадресной рассылки.
Ключевая задача PIM-DM:
Установите дерево кратчайшего пути (SPT).
Рабочие механизмы PIM-DM:
Обнаружение соседних узлов
Лавинная рассылка (Flood) и обрезка (prune)
Обновление состояния
Прививка (graft)
Утверждение (assert)
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обнаружение соседних узлов PIM-DM
Обнаружение соседних узлов, используя сообщения Hello:
Hello
Hello
Маршрутизатор с
наивысшим приоритетом
или самым большим IP-
адресом становится DR. Клиент A
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Настройка SPT в сети PIM-DM
Лавинная рассылка (Flood)
Лавинно рассылает
Проверка RPF полученный пакеты RTA
многоадресной Источник
рассылки.
Обрезка (Pruning)
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обновление состояния
Периодическое обновление состояния обрезки.
RTA Источник
Клиент A Клиент C
(G1) (G1)
Клиент B Обновление состояния
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Механизм прививки (graft)
Позволяет новым членам группы быстро получать пакеты многоадресной
рассылки.
RTA Источник
Клиент A ① Клиент C
(G1) (G1) Отчет IGMP
Прививка/Прививка ACK
Клиент B (G1)
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Механизм утверждения (assert)
Предотвращает появление одинаковых пакетов многоадресной рассылки.
Сеть
Многоадресной
рассылки
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация PIM-DM
multicast routing-enable
interface G0/0/0 multicast routing-enable
pim dm interface G0/0/0
interface G0/0/1 pim dm
pim dm interface G0/0/1
G0/0/2
interface G0/0/2
Источник pim dm
pim dm RTA
G0/0/1
G0/0/0
PIM-DM
G0/0/0
G0/0/0 G0/0/2 G0/0/0
RTB RTC RTD
То же самое, что G0/0/1 G0/0/1 То же самое, что G0/0/1
и конфигурация и конфигурация
RTD. G0/0/0 RTA.
RTE
Клиент B
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проверка конфигурации PIM-DM
<RTD>display pim routing-table
VPN-Instance: public net
Total 1 (*, G) entry; 1 (S, G) entry
(192.168.0.1, 239.255.255.250)
Protocol: pim-dm, Flag: ACT
UpTime: 00:00:09
Upstream interface: GigabitEthernet0/0/0
Upstream neighbor: 10.1.14.1
RPF prime neighbor: 10.1.14.1
Downstream interface(s) information:
Total number of downstreams: 1
1: GigabitEthernet0/0/1
Protocol: pim-dm, UpTime: 00:00:09, Expires: -
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требования к многоадресной пересылки
3. Ограничения PIM-DM
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ограничения PIM-DM
PIM-DM применяется к кампусным сетям с плотно распределенными
членами групп.
Ограничения PIM-DM:
В сети с разреженно распределенными членами группы периодическое
распределение трафика многоадресного рассылки будет оказывать
большое давление на сеть.
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требования к многоадресной пересылки
3. Ограничения PIM-DM
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обзор PIM-SM
PIM-SM осуществует пересылки пакетов многоадресной рассылки с
помощью режим "Pull".
Ключевые задачи PIM-SM:
Установите дерево точек объединения (RPT, rendezvous point tree), также
называемое общим деревом.
Установите дерево кратчайшего пути (SPT).
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Точка объединения (RP)
RP - это корневой узел RPT.
Весь трафик многоадресной рассылки на совместном дереве пересылается
на получателей через RP.
Все маршрутизаторы PIM в сети должны знать местоположение RP.
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Настройка RPT
Источник
RP
③
②
Сообщение (*, G)
генерируется на
маршрутизаторах в RPT.
Отчет IGMP
①
Сообщение (*, G) Join
Клиент A Клиент B RPT
Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
DR получатели и DR источника
DR источника
PIM-SM
Источник
RP
DR получатели
Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Настройка SPT
DR источника
Источник
①
⑤ ④
⑥
②
④
⑤
③
RP
RPT
Первый пакет многоадресной рассылки
③
Сообщение Register/Register stop
Сообщение (*, G) Join
SPT
После установки дерева кратчайшего пути SPT пакеты многоадресной рассылки отправляются на
RP по пути SPT.
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Записи (*, g) и (S, g)
Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Переадресация PIM-SM
Есть ли потенциальные проблемы с маршрутом пересылки, состоявшим из
SPT и RPT?
Источник
RP
Не оптимальный
путь пересылки
SPT
Клиент A RPT
Клиент B
Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Механизм переключения (Switchover)
② Настройка нового
SPT Источник
RP
③ Обрезка ветвей на
общем дереве
① Когда DR получателя
обнаруживает, что скорость
принятых пакетов многоадресной
рассылки превышает пороговое RPT
значение, он отправляет
сообщение (S, G) Join к источнику SPT
многоадресной рассылки. Клиент A Клиент B Сообщение (S, G) Join
Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация PIM-SM
multicast routing-enable
interface G0/0/0
pim sm Источник
interface G0/0/1
pim sm RTA multicast routing-enable
pim G0/0/0 interface G0/0/0
static-rp 4.4.4.4 pim sm
G0/0/0 G0/0/1 interface G0/0/1
pim sm
G0/0/1 G0/0/2 interface G0/0/2
G0/0/1
То же самое, что
То же самое, что G0/0/2
и конфигурация
и конфигурация G0/0/0 G0/0/0 RTB
RTB
RTE RTF
То же самое, что G0/0/1 То же самое, что
G0/0/1
и конфигурация и конфигурация
RTA RTA
Клиент A Клиент B
Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проверка конфигурации PIM-SM
<RTF>display pim routing-table
VPN-Instance: public net
Total 1 (*, G) entry; 0 (S, G) entry
(*, 224.1.1.1)
RP: 4.4.4.4
Protocol: pim-sm, Flag: WC
UpTime: 00:00:20
Upstream interface: GigabitEthernet0/0/0
Upstream neighbor: 10.1.46.4
RPF prime neighbor: 10.1.46.4
Downstream interface(s) information:
Total number of downstreams: 1
1: GigabitEthernet0/0/1
Protocol: igmp, UpTime: 00:00:20, Expires: -
Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Комплексный эксперимент многоадресной
рассылки
RP
SWA
RTC RTF
Клиент B
RTD Клиент C
Как показано на рисунке, разверните протокол PIM-SM в сети и укажите RTB в качестве статической точки объединения
RP.
Настройте протокол IGMPv2 в сети на стороне пользователей и примите меры для минимизации потребления ресурсов
и повышения безопасности сети
RTD подключен к сети VIP-пользователей. Клиент в этой сети должен получать данные многоадресной рассылки сразу
после присоединения к группе 238.1.1.1.
Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация PIM-SM (1)
multicast routing-enable multicast routing-enable
interface g0/0/0 interface g0/0/0
pim sm pim sm
interface g0/0/1 interface g0/0/1
pim sm То же самое, что и
конфигурация pim sm
interface g0/0/2 pim
pim sm RTA
static-rp 2.2.2.2
pim
static-rp 2.2.2.2
RP
RTB
G0/0/0 G0/0/0 G0/0/0 G0/0/1
G0/0/1 G0/0/2
G0/0/2
RTA G0/0/1 RTE Клиент A
Источник A
RTC G0/0/0
multicast routing-enable G0/0/1 G0/0/0 SWA
G1/0/0 G0/0/1
interface g0/0/0
pim sm G0/0/2
RTF
interface g0/0/1 G0/0/0
Клиент B
pim sm
interface g0/0/2 G0/0/1 То же самое, что
pim sm и конфигурация
interface g1/0/0 RTD Клиент C RTE
pim sm
pim
То же самое, что
static-rp 2.2.2.2
и конфигурация
RTE
Стр. 34 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация PIM-SM (2)
interface g0/0/1
igmp enable
igmp version 2 igmp-snooping enable
pim hello-option dr-priority 100 vlan 10
igmp-snooping enable
RP
RTB
G0/0/0 G0/0/0 G0/0/0 G0/0/1
G0/0/1 G0/0/2
G0/0/2
RTA G0/0/1 RTE Клиент A
Источник A
RTC G0/0/0
interface g0/0/1
igmp static-group 238.1.1.1
Стр. 35 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Что такое дерево распределения многоадресной рассылки? Какие типы включены
в него?
Стр. 36 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Управление маршрутом
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы:
Освоите метод контроли поведения трафика и доступности в сети
Освоите метод регулировки маршрутов сетевого трафика
Ознакомитесь с проблемами, вызванными импортом маршрута и их решениями
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требование к контролю поведения трафика
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требование к контролю поведения трафика
1. Контроль доступности трафика.
Для повышения безопасности сети
некоторые отделы не имеют права доступа Финансовый
Маркетинговый
друг к другу. отдел
отдел
OSPF
Отдел
НИОКР
Штаб-квартира
Отдел
документации
2. Регулировка маршрутов сетевого трафика.
Для дальнейшей оптимизации сети,
возможно, потребуется регулировать
Маркетинговый пути сетевого трафика.
отдел
10 м 10 м
OSPF Штаб-квартира
Финансовый
отдел 5м 10 м
Бездействующий канал
связи
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требование к контролю поведения трафика
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Контроль доступность сетевого трафика
Вопрос: Как контролировать доступность сетевого трафика.
Финансовый
Маркетинговый
отдел
отдел
RTC OSPF
RTB Отдел
НИОКР
Штаб-квартира
RTA
RTD
Отдел
документации
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 1: Политика маршрутизации
Финансовый
отдел
Маркетинговый RTC OSPF
отдел
RTB Отдел
НИОКР
Штаб-квартира RTA
RTD
Отдел
документации
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример применения ACL (1)
ACL классифицирует пакеты по разным типам, основываясь на информации в пакетах.
acl 2001
rule 0 permit source 1.1.0.0 0.0.255.255
1.1.1.1/32
1.1.1.1/32
1.1.1.0/24
1.1.1.0/24
1.1.0.0/16
1.1.0.0/16
1.0.0.0/8
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример применения ACL (2)
acl 2001
rule 0 permit source 1.1.1.1 0
rule 1 deny source 1.1.1.0 0
rule 2 permit source 1.1.0.0 0.0.255.0
rule 3 deny source any
1.1.1.1/32 1.1.1.1/32
1.1.1.0/24 1.1.0.0/16
1.1.0.0/16
1.0.0.0/8
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример применения ACL (3)
acl 2001
rule 0 permit source 1.1.1.0 0
1.1.1.1/32 1.1.1.0/24
1.1.1.0/24 1.1.1.0/25
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример применения IP-Prefix List (1)
IP-Prefix List может сопоставлять как префикс IP-адреса, так и длину маски.
IP-Prefix List не может фильтровать IP-пакеты, но может фильтровать только информацию
маршрутизации.
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример применения IP-Prefix List (2)
1.1.1.1/32 1.1.1.0/24
1.1.1.0/24
"greater-equal 24 less-equal 24"
1.1.1.0/25 означает, что длина маски
составляет 24.
1.1.0.0/16
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Инструмент Filter-Policy
Filter-Policy может фильтровать полученные или объявленные маршруты RIP, OSPF и BGP.
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Инструмент политики маршрутизации
(Route-Policy)
Route-policy - это мощный инструмент. Он может использоваться вместе с другими инструментами, такими как ACL,
список префиксов IP-адресов и фильтр путей AS (As-Path-Filter).
Route-Policy:
route-policy route-policy-name { permit | deny } node node
if-match {acl/cost/interface/ip next-hop/ip-prefix}
apply {cost/ip-address next-hop/tag}
Route-policy состоит из нескольких узлов, которые имеют отношение «или». Каждый узел имеет несколько
пунктов if-mach и apply, а пункты if-mach имеют отношение «и».
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример применения политики
маршрутизации
Table-1 acl 2001
Network Cost NextHop rule 0 permit source 1.1.3.0 0.0.0.255
1.1.2.0/24 4687 34.34.34.2 acl 2002
4687 13.13.13.1 rule 0 permit source 13.13.13.1 0
1.1.3.0/24 4687 34.34.34.2
route-policy RP deny node 10
4687 13.13.13.1
if-match ip-prefix Pref1
1.1.3.0/25 1 34.34.34.2 route-policy RP permit node 20
1 13.13.13.1 if-match ip-prefix Pref2
5.5.5.5/32 4687 34.34.34.2 route-policy RP permit node 30
4687 13.13.13.1 if-match acl 2001
6.6.6.6/32 4687 34.34.34.2 if-match ip next-hop acl 2002
4687 13.13.13.1 apply cost 21
route-policy RP permit node 40
if-match ip-prefix Pref3
apply cost 11
route-policy RP permit node 50
#
ip ip-prefix Pref1 index 10 permit 5.5.5.5 32
ip ip-prefix Pref1 index 20 permit 1.1.2.0 24
Table-2 ip ip-prefix Pref2 index 10 deny 6.6.6.6 32
Network Cost NextHop ip ip-prefix Pref3 index 10 permit 1.1.3.0 24
1.1.3.0/24 4687 34.34.34.2 greater-equal 25 less-equal 25
21 13.13.13.1
1.1.3.0/25 11 34.34.34.2
21 13.13.13.1
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация политики маршрутизации (1)
acl 2000
rule 5 deny source 10.1.1.0 0.0.0.255
rule 10 permit source any
ospf 1
filter-policy 2000 import
10.1.2.0
Отдел
НИОКР
Штаб-квартира RTB RTA
Отдел
RTD документации
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация политики маршрутизации (2)
acl 2000
rule 5 deny source 10.1.1.0 0.0.0.255
rule 10 permit source any
ospf 1
filter-policy 2000 import
Финансовый
Маркетинговый RTC OSPF отдел
отдел
10.1.2.0 Отдел
НИОКР
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация политики маршрутизации (3)
<RTC>dis ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 14 Routes : 14
<RTD>dis ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 15 Routes : 15
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требование к контролю поведения трафика
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 2: Маршрутизация на основе
политик (1)
На основе настроенной пользователем политики: использует инструмент фильтрации трафика.
Отдел
НИОКР
RTB RTA
Штаб-квартира
Отдел
RTD документации
acl 3000
rule 0 deny ip source 10.1.5.0 0.0.0.255 dest 10.1.2.0 0.0.0.255
int g0/0/1
traffic-filter inbound acl 3000
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 2: Маршрутизация на основе
политик (2)
[RTC]dis ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 16 Routes : 16
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требование к контролю поведения трафика
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Регулировка маршрутов сетевого трафика
На этапе дальнейшей оптимизации сети, возможно, потребуется регулировать маршруты сетевого
трафика.
RTB
Маркетинговый
отдел
10 м 10 м
OSPF Штаб-квартира
Финансовый 5м 10 м
отдел RTA RTD
Бездействующий канал
RTC связи
Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 1: Политика маршрутизации
display ip routing-table
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.1.3.0/24 OSPF 10 3 D 12.1.1.2 GigabitEthernet 0/0/0
RTB
Marketing
department 10M(cost 1)
20 persons 10M(cost 1) Headquarters
G0/0/0
OSPF
G0/0/1
Financial 5M(cost 2) 10M(cost 1)
RTD
10.1.3.0
department RTA
10 persons
RTC
int g0/0/0
ospf cost 2
display ip routing-table
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.1.3.0/24 OSPF 10 4 D 12.1.1.2 GigabitEthernet 0/0/0
OSPF 10 4 D 12.1.3.2 GigabitEthernet 0/0/1
Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ограничение решения 1
Чтобы в полной мере использовать пропускную способность канала, маршрут трафика выглядит
следующим образом: от отдела маркетинга до штаб-квартиры - RTA-RTB-RTD, а маршрут от
финансового отдела до штаб-квартиры - RTA-RTC-RTD.
RTB
Маркетинговый
отдел
10 м 10 м
20 человек Штаб-квартира
OSPF
5м 10 м
Финансовый RTA RTD
отдел
10 человек
RTC
Как показано на рисунке, решение 1 не может удовлетворить это требование, поскольку пакеты
пересылаются по адресу назначения. Он не может отвечать требованиям исходного адреса, адреса
назначения или пересылки на уровне приложений.
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требование к контролю поведения трафика
Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 2: Маршрутизация на основе
политик (1)
Маршрутизация основана на исходном адресе. То есть next hope
трафика из отдела маркетинга является RTB, а next hope трафика из
финансового отдела - RTC.
RTB
Маркетинговый
отдел
20 человек 10 м 10 м Штаб-квартира
OSPF
10.1.3.0
Финансовый 5м 10 м
отдел RTA RTD
10 человек
RTC
Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 2: Маршрутизация на основе
политик (2)
[RTA]acl 3000
rule 5 permit ip source 10.1.1.0 0.0.0.255 dest 10.1.3.0 0.0.0.255
traffic classifier huawei-control1
if-match acl 3000
traffic behavior huawei-control1
redirect ip-nexthop 12.1.1.2
traffic policy huawei-control1
classifier huawei-control1 behavior huawei-control1
int g0/0/2
traffic-policy huawei-control1 inbound
[RTA]acl 3001
rule 5 permit ip source 10.1.2.0 0.0.0.255 dest 10.1.3.0 0.0.0.255
traffic classifier huawei-control2
if-match acl 3001
traffic behavior huawei-control2
redirect ip-nexthop 12.1.3.2
traffic policy huawei-control2
classifier huawei-control2 behavior huawei-control2
int g4/0/0
traffic-policy huawei-control2 inbound
Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 2: Маршрутизация на основе
политик (3)
<RTA>dis ip routing-table
Route Flags: R - relay, D - download to fib
-------------------------------------------------------------------------
Routing Tables: Public
Destinations : 19 Routes : 20
Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Различия между политикой маршрутизации и
маршрутизацией на основе политик (PBR)
Политика маршрутизации Маршрутизация на основе политик
Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Требование к контролю поведения трафика
Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Регулировка маршрутов сетевого трафика
- несколько протоколов
В предыдущем примере четыре маршрутизатора работают по одному протоколу. Если они запустят
разные протоколы, что будет дальше?
① ospf 1
import-route rip 1 type 1
RTB
Маркетинговый отдел
20 человек
③ 10.1.3.0/24 150 3 10M
Штаб-квартиры
RTA
RTD
Финансовый отдел
10 человек
5M
④ 10.1.3.0/24 150 4
Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Другие проблемы, вызванные применением
нескольких протоколов - суб-оптимальный
маршрут
② import rip ② isis 1
import-route rip 1
RTC
Lo0:2.2.2.2
RTA
12.12.12.1
RTD
RTB
S0
⑤ [RTB]display ip routing-table
Destination/Mask Proto Pre Cost NextHop
Interface
2.0.0.0/8 ISIS 15 84 12.12.12.1 Serial0
Стр. 34 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 1: Маршруты фильтрации
isis 1
import-route rip 1
Lo0:2.2.2.2
RTB 24.24.24.2
acl 2001
rule 5 deny source 2.0.0.0 0.255.255.255
rule 10 permit
isis 1
filter-policy 2001 import
display ip routing-table
Destination/Mask Proto Pre Cost NextHop Interface
2.0.0.0/8 RIP 100 1 24.24.24.2
Serial1
Стр. 35 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 2: настройка приоритетов
протокола
isis 1
import-route rip 1
RTC
RTA RTD
Lo0:2.2.2.2
RTB 24.24.24.2
isis 1
preference 150
display ip routing-table
Destination/Mask Proto Pre Cost NextHop
Interface
2.0.0.0/8 RIP 100 1 24.24.24.2
Serial1
Стр. 36 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Другие проблемы, вызванные применением
нескольких протоколов – петля (Loop)
⑦import isis
RTC
RTB
RTD
②
Dest. ASE 150 2
RTE
RTA
Lo0:2.2.2.2/32 ④import ospf
①import direct cost 2
Стр. 37 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 1: Маршруты фильтрации
acl 2001
rule 0 deny source 2.0.0.0 0.255.255.255
rule 1 permit
ospf 1
import-route isis 1 route-policy RP1
route-policy RP1 permit node 10
if-match acl 2001
RTC
RTB
RTD
RTE
Lo0:2.2.2.2/32
RTA
isis 1
import-route ospf 1
ospf 1
import-route direct cost 2
Стр. 38 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 2: Настройка приоритетов
протокола
isis 1
preference 160
ospf 1
RTC import-route isis 1
display ip routing-table
Destination/Mask Proto Pre Cost NextHop
Interface
2.2.2.2/32 O_ASE 150 2 12.12.12.1
Serial0
RTB RTD
RTE
12.12.12.1
isis 1
import-route ospf 1
RTA Lo0:2.2.2.2/32
ospf 1
import-route direct cost 2
Стр. 39 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Можно ли использовать список префиксов IP для фильтрации IP-пакетов?
Стр. 40 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Принципы и конфигурации Eth-Trunk
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение
По мере увеличения количества услуг, развернутых в сетях, пропускная способность одного физического канала связи
не может удовлетворить потребности в трафике для полнодуплексных каналов связи P2P. С целью увеличения
пропускной способности действующие интерфейсные платы могут быть замены интерфейсными платами с более
высокой пропускной способностью, однако это приведет к пустой растрате ресурсов устройства и повысит затраты на
модернизацию. Если добавлены дополнительные каналы для подключения устройств, каждый интерфейс 3-го уровня
должен быть сконфигурирован с IP-адресом, что приводит к неэффективному расходованию IP-адресов.
Eth-Trunk (технология агрегирования каналов) - это технология привязки, которая позволяет объединять несколько
независимых физических интерфейсов в единый логический интерфейс с высокой пропускной способностью. Нет
необходимости заменять интерфейсные платы, и не приводит к неэффективному расходованию IP-адресов. В этом
курсе давайте разберем технологию Eth-Trunk подробно.
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы узнаете:
Основные принципы Eth-Trunk
Конфигурации Eth-Trunk
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Основные принципы Eth-Trunk
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблемы с сетью
Пропускная способность одного физического
канала связи не может удовлетворить
потребности в трафике всей кампусной сети.
Если действующие интерфейсные платы
замены интерфейсными платами с более
высокой пропускной способностью, это
Выход кампусной сети приведет к пустой растрате ресурсов
устройства, Если добавлены
дополнительные каналы, необходимо
назначить им IP-адреса, что приводит к
неэффективному расходованию IP-адресов.
Уровень ядра
Уровень доступа
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Концепция Eth-Trunk
RTA
Eth-Trunk RTB
Eth-Trunk - это привязывающая технология, позволяющая объединять несколько физических интерфейсов Ethernet в
единый логический интерфейс.
Режимы Eth-Trunk:
Балансировка нагрузки вручную
LACP
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Балансировка нагрузки вручную
RTA RTB
Eth-Trunk
Устаревшее оборудование не
поддерживает протокол LACP.
Пользовательская Пользовательская
сеть1 Сеть 2
Если, в случае когда на крайне мере одно из двух устройств не поддерживает протокол LACP, можно использовать
режим балансировки нагрузки вручную для увеличения пропускной способности и повышения отказоустойчивости сети.
В режиме балансировки нагрузки вручную, все каналы связи, присоединяющиеся к Eth-Trunk, пересылают данные.
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Режим LACP
RTA RTB
Eth-Trunk
Активные каналы
Резервные каналы
Пользовательская Пользовательская
сеть сеть
Режим LACP также называется режимом M:N, где M каналов связи активны и пересылают данные, а N каналов связи
неактивны и используются в качестве резервных.
Как показано на рисунке, есть две активные каналы связи, то есть эти два канала связи могут пересылать данные. Еще
существует один резервный канал связи, он не пересылает данные. Только при сбое активных каналов связи канал
резервирования начинает пересылать данные.
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Выбор активных каналов в режиме LACP
RTA 1 3 RTB
Устройство с более высоким 2 2 Устройство с более низким
приоритетом системы приоритетом системы
3 1
Приоритет интерфейса Приоритет интерфейса
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Задержка приоритетного прерывания
обслуживания LACP
RTA Порт 1 10 RTB
Eth-Trunk Порт 1
Порт 2 20 Порт 2
Активное
Порт 3 30 Порт 3
RTA RTB
Порт 1 Eth-Trunk Порт 1
Порт 2 Порт 2
Активное
Порт 3 Порт 3
Но затем неисправности порта 1 устранены. Если
включена задержка приоритетного прерывания
обслуживания LACP, порт 1 переключается в активное
состояние после этого периода времени.
RTA Порт 1 RTB
Eth-Trunk Порт 1
Порт 2 Порт 2
Активное
Порт 3 Порт 3
Активные каналы
Резервные каналы
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Балансировка нагрузки интерфейсов
Eth-Trunk
При настройке балансировки нагрузки для интерфейсов Eth-Trunk не только можно установить её на основе IP-адресов
пакетов данных или на основе пакетов данных, но и можно установить вес балансировки нагрузки для членов-
интерфейсов.
Для интерфейсов Eth-Trunk, чем больше удельный вес член-интерфейса, тем больше нагрузка на его.
Балансировка нагрузки
Описание
интерфейсов
Когда пакеты используют один и тот же IP-адрес
Балансировка нагрузки на
или MAC-адрес источника и назначения, пакеты
основе потоков
передаются по одному и тому же каналу.
Балансировка нагрузки на
Пакеты передаются по различным каналам связи.
основе пакетов
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс конфигурирования интерфейсов
Eth-Trunk
Создание Eth-Trunk
Балансировка нагрузки
вручную
Конфигурирование режима
агрегирования каналов
LACP
Добавление
членов-интерфейсов
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование режима балансировки
нагрузки вручную
Eth-Trunk
Процедура:
Создайте Eth-Trunk.
Сконфигурируйте рабочий режим Eth-Trunk.
Добавьте член-интерфейс к интерфейсу Eth-Trunk.
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование режима LACP
RTA G0/0/1 G0/0/1 RTB
G0/0/2 G0/0/2
Активное
G0/0/3 G0/0/3
Eth-Trunk
Активные каналы
Резервные каналы
Процедура:
Создайте Eth-Trunk.
Настройте рабочий режим Eth-Trunk.
Добавьте интерфейсы-члены к интерфейсу Eth-Trunk.
(Необязательно) Настройте приоритет системы LACP.
(Необязательно) Установите верхний предел для количества активных интерфейсов.
(Необязательно) Настройте приоритет интерфейса LACP.
(Необязательно) Включите задержку приоритетного прерывания обслуживания LACP и установите время задержки.
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Принципы Eth-Trunk
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования к конфигурации Eth-Trunk
G1/0/0 G1/0/0
Уровень ядра R1 R2
G1/0/1 G1/0/1
192.168.12.0/24
G0/0/0 G0/0/1 G0/0/0 G0/0/1
192.168.1.254 192.168.2.254
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация устройств уровня ядра
Чтобы показать конфигурацию устройств уровня ядра в качестве примера используется маршрутизатора R1.
Создайте интерфейсы Eth-Trunk и сконфигурируйте для них IP-адреса.
interface Eth-Trunk1
Undo portswitch // Переключите интерфейс на интерфейс 3-го
уровня. Description "Core-R1 to Aggregate-SW3 "// Описание
для администраторов узнать устройство на другой стороне
интерфейса.
ip address 192.168.1.254 255.255.255.0
#
interface Eth-Trunk2
undo portswitch
description "Core-R1 to Core-R2"
ip address 192.168.12.1 255.255.255.0
Добавьте физические интерфейсы к Eth-Trunk.
interface GigabitEthernet0/0/0
eth-trunk 1
interface GigabitEthernet0/0/1
eth-trunk 1
#
interface GigabitEthernet1/0/0
eth-trunk 2
interface GigabitEthernet1/0/1
eth-trunk 2
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация устройств уровня агрегации (1)
Чтобы показать конфигурацию устройств уровня агрегации в качестве примера используется коммутатор SW3.
Создайте интерфейсы Eth-Trunk. Поскольку устройства уровня агрегации должны взаимодействовать на 2-ом
уровне, их интерфейсы не должны быть сконфигурированы с IP-адресом.
interface Eth-Trunk1
description “Aggregate-SW3 to Core-R1“
//Описание для администраторов узнать устройство на
другой стороне интерфейса.
#
interface Eth-Trunk2
description “Aggregate-SW3 to Aggregate-SW4“
#
interface Eth-Trunk3
description "Aggregate-SW3 to Access-SW5“
#
interface Eth-Trunk4
description "Aggregate-SW3 to Access-SW6“
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация устройств уровня агрегации (2)
Чтобы показать конфигурацию устройств уровня агрегации в качестве примера используется коммутатор SW3.
Добавьте физические интерфейсы к Eth-Trunk.
interface Ethernet0/0/1
eth-trunk 1
interface Ethernet0/0/2
eth-trunk 1
#
interface Ethernet0/0/3
eth-trunk 2
interface Ethernet0/0/4
eth-trunk 2
#
interface Ethernet0/0/5
eth-trunk 3
interface Ethernet0/0/6
eth-trunk 3
#
interface Ethernet0/0/7
eth-trunk 4
interface Ethernet0/0/8
eth-trunk 4
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация устройств уровня доступа (1)
Чтобы показать конфигурацию устройств уровня доступа в качестве примера используется коммутатор SW5.
Создайте Eth-Trunk. Поскольку устройства уровня доступа должны взаимодействовать на 2-ом уровне, их интерфейсы
не должны быть сконфигурированы с IP-адресом.
interface Eth-Trunk1
description "Access-SW5 to Aggregate-SW3"
//Описание для администраторов узнать
устройство на другой стороне интерфейса.
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация устройств уровня доступа (2)
После завершения предыдущей конфигурации выполните следующую команду для просмотра информации о
конфигурации интерфейсов Eth-Trunk:
display eth-trunk
Eth-Trunk1's state information is:
WorkingMode: NORMAL Hash arithmetic: According to SIP-XOR-DIP
Least Active-linknumber: 1 Max Bandwidth-affected-linknumber: 8
Operate status: up Number Of Up Port In Trunk: 2
---------------------------------------------------------------------
-----------
PortName Status Weight
Ethernet0/0/1 Up 1
Ethernet0/0/2 Up 1
Выполните команду display interface Eth-Trunk для проверки подробной информации о конфигурации Eth-Trunk.
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какие режимы агрегирования каналов включают в Eth-Trunk?
A. Режим балансировки нагрузки вручную
B. Режим LACP
B. 4096
C. 32768
D. 65535
Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Расширенные возможности
коммутаторов
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение
MUX VLAN (Multiplex VLAN) обеспечивает механизм управления сетевыми ресурсами с
использованием VLAN. MUX VLAN обеспечивает изоляцию на втором уровне, позволяющую
сотрудникам предприятия связываться друг с другом и изолировать посетителей.
Изолированность второго уровня может быть реализована путем добавления различных
интерфейсов к различным VLAN, но ресурсы VLAN теряются. Изоляция портов может
изолировать порты одной и той же VLAN, обеспечивая безопасное и гибкое сетевое
решение.
В сети, требующей высокой безопасности, на коммутаторе можно включить безопасность
порта, чтобы предотвратить подключение устройств с несанкционированными MAC-
адресами к сети. Когда число полученных MAC-адресов достигает лимита, коммутатор не
получает новых MAC-адресов. Коммутатор разрешает связь только устройствам, которые
узнали MAC-адреса.
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Objectives
По окончании данного курса Вы узнаете:
Сценарий применения и конфигурацию MUX VLAN
Сценарий применения и конфигурацию изоляции порта
Сценарий применения и конфигурацию безопасности порта
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
1. MUX VLAN
2. Изоляция порта
3. Безопасность порта
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сценарий применения MUX VLAN
Трафик доступа сервера
Серверы напрямую подключаются к Трафик доступа пользователя
коммутатору агрегации, а ресурсы
серверов разделяются. Уровень
Предприятие хочет изолировать ядра
связь посетителей в одной и той же
VLAN и связь различных отделов.
Как выполняется это требование?
Уровень Сервер
агрегации
Уровень Уровень
доступа доступа
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Основные понятия MUX VLAN
Сконфигурируйте VLAN в качестве
Principal VLAN.
Устройства в Principal VLAN могут
взаимодействовать с устройствами
Сконфигурируйте VLAN как Group во всех VLAN MUX VLAN.
VLAN.
Устройства в Group VLAN могут Уровень Сконфигурируйте VLAN как
взаимодействовать с устройствами в ядра Separate VLAN.
Principal VLAN. Устройства в одной Устройства в Separate VLAN
VLAN могут взаимодействовать друг с могут взаимодействовать с
другом, но не могут взаимодействовать VLAN: 40 устройствами только в Principal
с устройствами в другой Group VLAN или VLAN. Услуги в Separate VLAN
Separate VLAN. Уровень Сервер изолированы от услуг в других
агрегации VLAN, а услуги в Separate VLAN
также изолированы.
Уровень Уровень
доступа доступа
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация MUX VLAN
VLAN: 40
SWB Сервер
SWC SWD
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
1. MUX VLAN
2. Изоляция порта
3. Безопасность порта
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сценарий применения изоляции портов
Уровень
Уровень доступа
доступа
VLAN 10 VLAN 10
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Основные понятия изоляции портов
Уровень Уровень
доступа доступа
Группа
VLAN 10 изоляции VLAN 10
портов 1
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация изоляции порта
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
port-isolate enable group 1
#
interface GigabitEthernet0/0/2
SWA
port link-type access <SWC>display port-isolate group 1
port default vlan 10 The ports in isolate group 1:
port-isolate enable group 1 GigabitEthernet0/0/1 GigabitEthernet0/0/2
…… GigabitEthernet0/0/3 GigabitEthernet0/0/4
SWB
SWC SWD
Группа
изоляции
VLAN 10 портов 1 VLAN 10
G0/0/1 G0/02 G0/0/3 G0/0/4 G0/0/1 G0/02 G0/0/3 G0/0/4
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
1. MUX VLAN
2. Изоляция порта
3. Безопасность порта
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сценарий применения безопасности порта
Уровень
Как защитить устройство
ядра
агрегации от атак Как защитить устройство
несанкционированных доступа от атак
пользователей? несанкционированных
пользователей?
Уровень
агрегации
Уровень Уровень
доступа доступа
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Реализация безопасности порта
Пользовательский
MAC VLAN
интерфейс
1 54-89-98-3F-24-E5 20
2 54-89-98-8A-13-EE 20
Уровень 3 54-89-98-76-42-C4 20
Задайте максимальное число ядра
пользователей доступа. Когда 4 54-89-98-97-45-20 20
неавторизованный пользователь
подключается к интерфейсу,
интерфейс отклоняет доступ.
Уровень
агрегации
Уровень Уровень
доступа доступа
1 4 4
1
2 3
2
VLAN 10 3 VLAN 20
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Типы защищенных MAC-адресов
Безопасность порта изменяет динамические MAC-адреса, полученные на интерфейсе, на
безопасные MAC-адреса (включая динамические и статические защищенные MAC-адреса и
Sticky MAC). Данная функция не позволяет несанкционированным пользователям
связываться с коммутатором с помощью этого интерфейса, повышая безопасность
устройства.
Тип Определение Описание
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Действие, которое необходимо принять после того, как
количество безопасных MAC-адресов превысит лимит
Действие после того, как количество защищенных MAC-адресов достигает предельного значения
Действие Описание
Отбрасывает пакеты с несуществующим MAC-адресом источника
restrict
и генерирует аварийный сигнал. Это действие рекомендуется.
Только отбрасывает пакеты с несуществующим MAC-адресом
protect
источника, но не генерирует аварийный сигнал.
Устанавливает состояние интерфейса на error-down и генерирует
аварийный сигнал. По умолчанию интерфейс в состоянии error-
shutdown
down может быть восстановлен только с помощью команды restart
в режиме интерфейса.
Если коммутатор получает пакеты с несуществующим MAC-адресом после того, как количество
безопасных MAC-адресов достигает предельного значения, коммутатор считает, что пакеты
отправляются от несанкционированного пользователя и принимают сконфигурированное действие на
интерфейсе. По умолчанию коммутатор отбрасывает пакеты и генерирует аварийный сигнал в такой
ситуации.
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация безопасности порта
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10 interface GigabitEthernet0/0/1
port-security enable port link-type access
port-security mac-address sticky port default vlan 20
port-security mac-address sticky RTA port-security enable
5489-983F-24E5 vlan 10 …
… Конфигурация других интерфейсов
Конфигурация других интерфейсов аналогична и не упоминается здесь.
аналогична и не упоминается здесь.
SWA
SWB SWC
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проверка конфигурации безопасности
порта
Выполните следующую команду для проверки привязанных MAC-адресов на SWB:
<SWB>display mac-address sticky
MAC address table of slot 0:
--------------------------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID VSI/SI
MAC-Tunnel
--------------------------------------------------------------------------------------------------
5489-988a-13ee 10 - - GE0/0/2 sticky -
5489-983f-24e5 10 - - GE0/0/1 sticky -
--------------------------------------------------------------------------------------------------
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Для MUX VLAN, в которой VLAN может взаимодействовать с устройствами во всех
VLAN?
А. Principal VLAN
Б. Separate VLAN
В. Group VLAN
Г. Subordinate VLAN
Г. Защищенный MAC-адрес
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Принципы и конфигурации RSTP
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы узнаете:
Принципы работы RSTP
Сходства и различия между RSTP и STP.
Конфигурации RSTP в типичных сценариях применения
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Ограничения STP
2. Усовершенствование RSTP
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблема 1: Коммутаторы запускают STP в
сценариях инициализации
Продолжительность от инициализации до полной конвергенции составляет не
менее 30 с.
Root-коммутатор
SWA
Коммутаторы с поддержкой STP
В начале коммутаторы посылают
DP DP ожидают тайм-аута таймеров, чтобы
и контролируют BPDU и
определить все собранные BPDU, а
вычисляют связующее дерево.
затем выполнить расчет STP.
RP RP
Заблокированный порт
DP
SWB SWC
Прослушивание Чтобы предотвратить возникновение петель, STP должен долго ждать
(BPDU могут быть отправлены на каждый узел), чтобы убедиться, что
15 с состояние порта всей сети определено. Затем STP переходит в состояние
Получение Пересылки.
Получение
Перед входом в состояние Пересылки STP создает таблицу MAC-адресов
15 с на основе принимаемого пользовательского трафика. По истечении
Пересылка времени действия таймера STP переходит в состояние Пересылки.
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблема 2: Коммутатор имеет
заблокированный порт, и корневой порт
отключается
Прямой канал связи между SWC и SWA переходит в состояние Down. Блокированный порт переключается
на корневой порт и переходит в состояние пересылки. Этот процесс требует не менее 30 с.
Root-
SWA коммутатор Чтобы информация об изменении топологии
распространялась по всей сети и все
DP DP устройства полностью меняли топологию,
новый корневой порт должен дождаться
тайм-аута таймеров, а затем перейти в
состояние пересылки.
RP RP
SWC
DP Заблокированный
порт
SWB
Заблокированный порт становится новым корневым
портом и находится в состоянии блокировки. Он
переходит в состояние пересылки после двух
интервалов задержки пересылки.
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблема 3: Коммутатор имеет заблокированный
порт, и корневой порт отключается
Прямой канал связи между SWB и SWA отключается. Блокированный порт SWC переключается на
назначенный порт и переходит в состояние пересылки. Этот процесс требует около 50 с.
Root-коммутатор
SWA
③ Когда срок действия BPDU, буферизованных на порту, истекает,
конвергенция сети выполняется снова. Порт переходит в состояние
DP DP пересылки после двух интервалов задержки пересылки (30 с).
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблема 4: Коммутаторы STP-включено
подключаются к пользовательским терминалам
Время, в течение которого канал связи между коммутатором и пользовательским
терминалом переходит в состояние пересылки, составляет 30 с.
Root-
SWA коммутатор
DP DP
PCA PCB
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблема 5: Изменение топологии STP
Когда топология меняется, пакеты BPDU TCN отправляются на корневой мост. Восходящий мост,
получающий BPDU TCN, пересылает BPDU TCA. После того, как BPDU TCN достигает корневого моста,
корневой мост посылает TC BPDU для уведомления устройств об удалении записей MAC-адресов. Эта
реализация сложна, и ее эффективность низка.
Root-
SWA
коммутатор
DP DP
RP RP
SWB SWC
DP DP
DP
TCN
RP RP RP
TCA
TC
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ограничение STP - роли портов
Корневой
порт
32768.
00e0-fc16-ee43 32768.
00e0-fc22-715а
Назначенный
SWA порт SWB
Корневой мост
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ограничение STP - состояния портов
Состояния портов
Действие
STP
Отключение
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Ограничения STP
2. Усовершенствование RSTP
Роли портов и состояния портов
Быстрая конвергенция
Обработка изменений топологии
Функции защиты
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Классификация ролей порта
RSTP добавляет две роли порта: резервный порт и альтернативный порт.
Корневой
32768. порт 32768.
00e0-fc16-ee43 00e0-fc22-715a
Назначенный
SWA порт SWB
Корневой С точки зрения пересылки трафика
мост Корневой пользователя, альтернативный порт
Альтернативный предоставляет путь от назначенного
порт порт коммутатора к корневому.
SWC
32768.
00e0-fc41-4259 С точки зрения пересылки трафика
E0/1 E0/2 Резервный порт пользователя, резервный порт,
используемый в качестве резервной
копирования назначенного порта,
Назначенный HUB обеспечивает резервный путь от
порт Корневой
корневого коммутатора к leaf-
коммутатору.
порт
32768.
00e0-fc41-43b9 SWD
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Классификация состояний портов
RSTP удаляет два состояния портов в STP.
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Ограничения STP
2. Усовершенствование RSTP
Роли портов и состояния портов
Быстрая конвергенция
Обработка изменений топологии
Функции защиты
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 1: механизм предложения или
соглашения (1)
Принципы механизма приложения и соглашения
Состояния
Отбрасывание
портов
SWA SWB
Приоритет моста 0 ① BPDU с битом предложения 1 Приоритет моста 4096
Состояния
④ После приема пакетов BPDU с битом Пересылка
портов
предложения 1 порт переходит в состояние
пересылки. Роль порта RP
Бит
Сброс
соглашения 1
Характеристики: использование механизмов подтверждения и синхронизации,
поэтому нет необходимости использовать таймеры для обеспечения бесперебойной
работы сети.
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 1: Механизм предложения или
соглашения (2)
ROOT
Этап 1 SWA
DP DP
P P
P P
DP DP
SWB P DP
SWC
DP
P
Этап 2 Этап 3
ROOT ROOT
SWA SWA
DP DP
DP DP
A A
RP RP RP RP
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 1: Механизм предложения или
соглашения (3)
Принципы выбора STP и RSTP аналогичны: выбор корневого коммутатора,
корневого порта некорневого коммутатора, назначенного порта, а также
альтернативного порта и резервного порта по очереди.
RSTP добавляет механизм предложения или соглашения. Во время
согласования существует механизм подтверждения, поэтому коммутаторы с
поддержкой RSTP могут пересылать BPDU, не завися от таймеров для
обеспечения топологии сети без петель. Коммутаторам с поддержкой RSTP
необходимо учитывать только время пересылки BPDU и расчета топологии
без петель (обычно в течение нескольких секунд).
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение проблемы 2: Быстрое
переключение корневого порта
Прямой канал связи между SWC и SWA отключается. Альтернативный порт
переключается на корневой порт и переходит в состояние пересылки в
течение нескольких секунд.
Root-
SWA коммутатор Чтобы ускорить время конвергенции, после отказа старого
корневого порта новый корневой порт должен немедленно
DP DP перейти в состояние пересылки при отсутствии петель.
Альтернативный порт может немедленно перейти в состояние
пересылки, поскольку это требование учитывается при выборе.
RP RP
DP AP
SWC
SWB
①Немедленно становится
новым корневым портом и
переходит в состояние
пересылки.
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение проблемы 3: обработка
субоптимальных BPDU
Прямой канал связи между SWB и SWA отключается. Альтернативный порт
SWC переключается на назначенный порт и переходит в состояние
пересылки в течение нескольких секунд.
Root-
③ При получении BPDU с более Коммутатор
высоким приоритетом SWB SWA ④ После получения
немедленно переопределяет роли SWC пакета соглашения Коммутаторы с поддержкой RSTP не
порта. SWB изменяет назначенный DP DP он немедленно зависят от времени ожидания таймеров
порт на корневой порт и отправляет переходит в состояние для обработки субоптимальных BPDU.
BPDU с битом соглашения 1. пересылки. Вместо этого они отправляют
оптимальные BPDU на удаленную
сторону, ускоряя конвергенцию
RP RP топологии.
③Соглашение
SWB SWC
DP AP
①Предложение
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 4: граничный порт
В RSTP интерфейс коммутатора, подключенный к терминалу, может
немедленно перейти в состояние пересылки.
SWB SWC
DP BP
Граничный порт Граничный порт
Сконфигурируйте порт,
подключенный к
терминалу, в качестве
граничного порта.
PCA PCB
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Ограничения STP
2. Усовершенствование RSTP
Роли портов и состояния портов
Быстрая конвергенция
Обработка изменений топологии
Функции защиты
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение 5: обработка изменений топологии
SWD SWG
Пересылка SWE SWF
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблемы, вызванные изменениями
топологии
SWA ④ Таблица MAC-адресов SWA
MAC-адрес
Root-коммутатор Порт
назначения
DP
DP Mac-адрес PCA E1
⑤ SWA пересылает
E1 Е2 ... ...
трафик
⑦ Таблица MAC-
③ SWC пересылает адресов коммутатора
⑥ Трафик LAN A LAN B записывает
трафик
отбрасывается неверный порт.
RP SWC
RP
② Таблица MAC-адресов SWC
E1 E1
SWB
LAN C MAC-адрес
Порт
Е2 DP AP Е2 назначения
Mac-адрес PCA E1
Граничный порт Граничный порт
... ...
① PCB получает
доступ к PCA
PCA PCB
Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обработка изменений топологии (1)
SWA
Root-коммутатор
E1 Е2
PCA PCB
Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обработка изменений топологии (2)
SWA
Root-
коммутатор После того, как коммутатор получает
BPDU с полем TC равным 1, он
E1 E2 очищает MAC-адреса, полученные с
других не пограничных портов, за
исключением не пограничного порта,
который принимает пакеты.
LAN A LAN B
PCA PCB
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обработка изменений топологии (3)
Таблица MAC-адресов SWA
SWA Mac-адрес назначения Порт
Root- Mac-адрес LANA E1
коммутатор Mac-адрес LANB Е2
Mac-адрес LANC E1
E1 E2 Mac-адрес PCA E1
Mac-адрес PCB Е2
... ...
LAN A LAN B
SWB
E1 E1
LAN C
E2 E2
Новый TC
Граничный Граничный
корневой порт
порт порт
PCA PCB
Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обработка изменений топологии (4)
SWA
Root-коммутатор
E1 Е2
Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Ограничения STP
2. Усовершенствование RSTP
Роли портов и состояния портов
Быстрая конвергенция
Обработка изменений топологии
Функции защиты
Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Защита пакетов BPDU (1)
SWA
Root-коммутатор ⑤ Пересчет связующего дерева
DP DP
⑤ Пересчет
связующего дерева
SWB RP
RP
DP AP SWC
Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Защита пакетов BPDU (2)
SWA
Root-коммутатор
DP DP
Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Защита корневого моста (1)
② Получая пакеты RST BPDU высокого
приоритета, SWA пересчитывает
связующее дерево и проигрывает роль
SWA корневого коммутатора. В результате,
Root- топология сети неправильно меняется.
коммутатор
DP DP
① Хакер соединяет
коммутатор с наивысшим
приоритетом сети.
Новый root-
коммутатор
Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Защита корневого моста (2)
Когда порт получает высокоприоритетные
SWA пакеты RST BPDU, он переходит в состояние
О Отбрасывание и не пересылает пакеты.
Root-коммутатор Если порт не получает пакеты RST BPDU с
более высоким приоритетом в течение
DP DP определенного периода времени, он
переходит в состояние Пересылки.
RP
SWB RP RST BPDU
AP DP
Включение
SWC защиты корня
Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Защита пакетов TC BPDU (1)
SWA
Root-
Коммутатор получает большое количество
пакетов BPDU TC в течение короткого коммутатор
периода времени и часто удаляет свои DP
MAC-записи и записи ARP. В результате, DP
коммутатор сильно нагружен, что угрожает
стабильности сети.
SWB RP
RP
DP AP SWC
Граничный порт
②TC BPDU
③ Коммутатор часто удаляет
записи MAC-адресов.
① Хакер соединяет ПК с
граничным портом для
непрерывной отправки
фальшивых BPDU.
Стр. 34 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Защита пакетов TC BPDU (2)
SWA
Root-коммутатор
DP
Количество раз, которое DP
коммутатор обрабатывает
пакеты TC BPDU за заданный
период времени, может быть
установлено. Коммутатор
будет обрабатывать только SWB RP RP
указанное количество раз.
DP AP SWC
Граничный порт
Конфигурирование защиты
TC BPDU
изменений топологии
①Хакер соединяет ПК с
граничным портом для
непрерывной отправки
фальшивых BPDU.
Стр. 35 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Ограничения STP
2. Усовершенствование RSTP
Стр. 36 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования к конфигурации RSTP
SWA
G0/0/1 G0/0/2
G0/0/1 G0/0/2
Стр. 37 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процедура конфигурации RSTP
stp enable
stp mode rstp
SWA stp root primary
G0/0/1 G0/0/2
G0/0/2
G0/0/1
SWB SWC
Стр. 38 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проверка конфигурации RSTP (1)
Проверьте информацию STP по SWA.
<SWA>display stp
-------[CIST Global Info][Mode RSTP]-------
CIST Bridge :0 .4c1f-cc5f-55e4
Config Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
CIST Root/ERPC :0 .4c1f-cc5f-55e4 / 0
CIST RegRoot/IRPC :0 .4c1f-cc5f-55e4 / 0
CIST RootPortId :0.0
BPDU-Protection :Disabled
CIST Root Type :Primary root
Стр. 39 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проверка конфигурации RSTP (2)
Проверьте информацию STP на SWB.
Стр. 40 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Сколько состояний порта определяет RSTP?
A. 2
B. 3
C. 4
Стр. 41 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Принципы и конфигурации MSTP
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы узнаете:
Ограничения одного связующего дерева
Рабочий механизм MSTP
Конфигурации MSTP
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Ограничения одного связующего дерева
2. Принципы MSTP
3. Конфигурация MSTP
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ограничения одного связующего дерева -
Некоторые пути VLAN недоступны
Разрешение на
передачу пакетов
DP из VLAN. RP
SWA SWB
Root-коммутатор DP DP
VLAN2 VLAN2
Этот путь отключен,
VLAN3 и путь VLAN 3
недоступен.
RP AP
Отбрасывание
DP DP
SWC
VLAN2 VLAN3
LAN A LAN B
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ограничения одного связующего дерева -
трафик не может быть сбалансированным
нагрузки
Создание Создание
интерфейса L3 интерфейса L3
для VLAN 2 для VLAN 3
DP RP
SWA SWB
Root-коммутатор DP DP
VLAN2
Этот путь отключен,
и трафик не может
VLAN3
быть сбалансирован.
RP AP
Отбрасывание
DP DP
SWC
VLAN2 VLAN3
LAN A LAN B
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ограничения одного связующего дерева -
субоптимальный путь L2
Создание Создание
интерфейса интерфейса
L3 для VLAN 2 L3 для VLAN 3
DP RP
SWA SWB
Root-коммутатор DP DP
VLAN2
субоптимальный
VLAN3 путь VLAN 3
RP AP
Отбрасывание
DP DP
SWC
VLAN2 VLAN3
LAN A LAN B
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Ограничения одного связующего дерева
2. Принципы MSTP
3. Конфигурация MSTP
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
MSTI преодолевает ограничения одного
связующего дерева
DP RP
SWA RP DP
SWB
DP DP DP
DP
AP RP
RP
AP
MSTI 1 -> VLAN 2 MSTI 2 -> VLAN 3 и VLAN 4
DP DP
SWC
VLAN2 VLAN3
VLAN4
LAN A LAN B
Область MST может содержать несколько связующих деревьев, каждое из которых является MSTI.
MSTI независимы друг от друга, и процесс расчета каждого MSTI аналогичен процессу расчета
RSTP.
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Ограничения одного связующего дерева
2. Принципы MSTP
3. Конфигурация MSTP
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования к конфигурации MSTP
MSTP может быть использован для балансировки нагрузки трафика доступа в Интернет для ПК с
различных виртуальных локальных сетей VLAN. В сетях VLAN с 1 по 10 сопоставляются MSTI 1, а в
сетях VLAN с 11 по 20 - MSTI 2.
Конфигурация
stp enable
похожа на
stp mode mstp
конфигурацию SWA
stp region-configuration
region-name RG1
instance 1 vlan 1 to 10
SWA GE0/0/2 GE0/0/2
instance 2 vlan 11 to 20 SWB
active region-configuration GE0/0/1 GE0/0/1
GE0/0/1
GE0/0/1
SWC GE0/0/2
SWD
GE0/0/2
G0/0/3 G0/0/3 Конфигурация
Конфигурация похожа на
похожа на конфигурацию
конфигурацию SWA
SWA PC1 PC2
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процедура конфигурирования MSTP
SWA SWB
GE0/0/2 GE0/0/2
GE0/0/1
GE0/0/1
interface GigabitEthernet0/0/2 interface GigabitEthernet0/0/2
stp instance 2 cost 200000 stp instance 1 cost 200000
GE0/0/1 GE0/0/1
SWC SWD
GE0/0/2 GE0/0/2
G0/0/3
G0/0/3
interface GigabitEthernet0/0/3 interface GigabitEthernet0/0/3
stp edged-port enable stp edged-port enable
PC1 PC2
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проверка конфигурации MSTP (1)
Проверьте состояние порта на SWA.
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проверка конфигурации MSTP (2)
Проверьте состояние порта на SWC.
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Опишите ограничения одного связующего дерева.
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Принципы и конфигурации MPLS
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы узнаете:
Принципы работы MPLS
Установку MPLS
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор MPLS
2. Установка LSP
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обзор MPLS
Прикладной
уровень
Уровень
Блок PDU презентации Данные
Уровень сеанса
Транспортный TCP/UDP
Сегмент уровень заголовок Данные
Бур Физический
уровень 0101110101000010000101000101010
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Базовая структура MPLS
Заголовок Заголовок
IP-пакет MPLS IP-пакет MPLS IP-пакет IP-пакет
LSP (Label Switched Path): путь, по которому IP-пакеты передаются в сети MPLS.
FEC (Forwarding Equivalent Class): группа пакетов, обрабатываемых таким же
образом. В сети MPLS все пакеты с одним и тем же адресом назначения
принадлежат одному и тому же FEC.
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Архитектура MPLS
Протокол маршрутизации IP
RIB
(Routing Information Base)
Плоскость управления
LDP
(Label Distribution Protocol)
LIB
(Label Information Base)
FIB
(Forwarding Information Base)
Плоскость переадресации
LFIB
(Label Forwarding Information Base)
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Структура пакетов MPLS
Сеть MPLS
OSPF Area 0
IP-сеть IP-сеть
Заголовок второго IP-
уровня
Заголовок MPLS
заголовок
Данные Поток данных
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор MPLS
2. Установка LSP
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Режимы установки LSP
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Статический LSP
100.1.1.1/32 100.1.1.1/32 100.1.1.1/32 100.1.1.1/32
Out Label=100 Out Label=200 Out Label=300 Out Label=Null
In Label=Null In Label=100 In Label=200 In Label=300
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Динамический LSP
100.1.1.1/32 100.1.1.1/32 100.1.1.1/32 100.1.1.1/32
Out Label=1027 Out Label=1026 Out Label=1025 Out Label=Null
In Label=Null In Label=1027 In Label=1026 In Label=1025
Динамический LSP использует LDP для назначения FEC, распределения меток, установки и
обслуживания LSP.
Характеристики динамического LSP:
Конфигурация сети проста, удобна в управлении и обслуживании.
LSP динамически устанавливаются на основе записей маршрутизации. Динамические LSP могут
адаптироваться к изменениям в топологии сети, отражая статус сети в режиме реального времени.
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обнаружение соседей LDP
10.1.12.1 10.1.12.2
RTA RTB
TCP (SYN)
TCP (ACK+SYN)
TCP (ACK)
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Установление отношений соседства LDP
10.1.12.1 10.1.12.2
RTA RTB
Hello
Discovery Hello
SYN
ACK+SYN
TCP
ACK
Initialization
Initialization+Keepalive
Session
Keepalive
Address
Address
Advertisement Label Mapping
Label Mapping
Notification
Notification
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Режимы объявлении метки
Объявить Объявить
RTA метку после RTB метку после RTC Объявить RTD
Ingress Transit Transit метку после Egress
получения получения получения
запроса запроса запроса
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Режимы управления распределением меток
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Режимы сохранения меток
OSPF Area 0 100.1.1.1/32 100.1.1.1/32
Label=1026 Label=1025
100.1.1.1/32 100.1.1.1/32
Label=1028 Label=1027
RTC
Сеть MPLS
В таблице маршрутизации RTB имеет два пути к RTE (100.1.1.1/32): RTB > RTD > RTE
(оптимальный) и RTB > RTC > RTD > RTE. После получения RTB метки для 100.1.1.1/32 от
RTC, он обрабатывает метку следующим образом:
Режим Liberal: RTB сохраняет метку, полученную от RTC.
Режим Conservative: RTB не сохраняет метку, полученную от RTC.
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс установки LDP LSP
100.1.1.1/32 100.1.1.1/32 100.1.1.1/32 100.1.1.1/32
Out Label=1027 Out Label=1026 Out Label=1025 Out Label=Null
In Label=Null In Label=1027 In Label=1026 In Label=1025
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс переадресации данных MPLS
100.1.1.1/32 100.1.1.1/32 100.1.1.1/32 100.1.1.1/32
Out Label=1027 Out Label=1026 Out Label=1025 Out Label=Null
In Label=Null In Label=1027 In Label=1026 In Label=1025
Сеть MPLS
Поток данных
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
PHP (Penultimate Hop Popping)
RTD — последний переход к
Понятно.
100.1.1.1/32 100.1.1.1/32 100.1.1.1/32. Удалите
100.1.1.1/32
Out Label=1027 Out Label=1026 метку перед отправкой
Out Label=3
In Label=Null In Label=1027 пакета к RTD. Специальная
In Label = 1026
метка 3 означает действие pop-up.
Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Сколько битов имеет поле метки (Label) в метке MPLS?
А. 10
Б. 20
В. 30
Г. 40
Б. 5
В. 0
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Принципы и конфигурации MPLS VPN
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы узнаете:
Традиционные модели VPN
Основные принципы работы MPLS VPN
Базовую конфигурацию MPLS VPN
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Принципы работы MPLS VPN
Предпосылка и модели VPN
Преимущества MPLS VPN
Принципы работы MPLS VPN
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Предпосылка (1)
Client2 Client2
Сеть
оператор B
Поток VPN
Выделенные линии имеют следующие характеристики:
Частные линии, высокая безопасность и физическая изоляция между различными пользователями
Дорогостоящие
Недостаточное использование, что приводит к излишним затратам полосы пропускания
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Предпосылка (2)
Операторская сеть
Client1 Client1
Client2 Client2
Туннель
Новые технологии разделения полосы пропускания включают ретрансляцию кадров (FR) и X.25. Эти
технологии поддерживают логическую изоляцию, чтобы установить специальный туннель по всей
общественной сети для связи между двумя сайтами.
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Корпоративные пользователи могут
получить доступ к операторской сети
RTA RTF
Операторская сеть
Штаб-квартира Client1 Филиал Client1
RTE
RTC RTD RTE
RTB RTG
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Модель VPN - Overlay VPN
CE1 CE3
Операторская сеть
VPN1 VPN1
RTE
PE1 P PE2
CE2 CE4
VPN2 VPN2
Туннель
Поток данных
Overlay VPN имеет следующие характеристики:
Протоколы маршрутизации позволяют клиентским устройствам обмениваться информацией маршрутизации, но оператор не знает архитектуру сети
клиентов.
Типовые протоколы:
Второй уровень: Ретрансляция кадров
Третье уровень: GRE и IPSec
Прикладной уровень: SSL VPN
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
VPN модель - Peer-to-Peer VPN (1)
CE1 CE3
VPN1 VPN1
RTE
PE1 P PE2
CE2 CE4
Операторская сеть
VPN2 VPN2
Поток данных
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
VPN модель - Peer-to-Peer VPN (2)
PE1 PE3
CE1 CE
3
VPN1 VPN1
RTE
CE2 P CE4
Поток данных
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Принципы работы MPLS VPN
Предпосылка и модели VPN
Преимущества MPLS VPN
Принципы работы MPLS VPN
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Причины генерирования MPLS VPN
VPN1 VPN1
172.16.1.1/32
RTE
PE1 P PE2
CE2 CE4
Операторская сеть
VPN2 VPN2
172.16.1.1/32
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Перекрытие адресного пространства
VPN1 VPN1
172.16.1.1/32
RTE
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение конфликта локального маршрута (1)
PE1 Таблица маршрутизации PE3
CE1 VPN1 CE3
VPN1 VPN1
Таблица глобальной
маршрутизации
CE2 Таблица маршрутизации CE4
PE2 VPN2 PE4
VPN2 VPN2
Выделенный режим PE
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение конфликта локального маршрута (2)
VPN1 VPN1
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Различать конфликтующие маршруты при
объявлении маршрутов
CE1 CE3
PE1 P PE2
CE2 CE4
VPN2: 172.16.1.1/32 VPN2
VPN1 172.16.1.1/32 172.16.1.1/32 VPN1
172.16.1.1/32 RD=1:1 RD=1:1 172.16.1.1/32
VPN2 172.16.1.1/32 172.16.1.1/32 VPN2
172.16.1.1/32 RD=2:2 RD=2:2 172.16.1.1/32
VRF VPNv4 routing-table VPNv4 routing-table VRF
Перед тем, как маршрут VPN будет объявлен в глобальную таблицу маршрутизации, на маршрут будет
привязан глобально уникальный идентификатор, позволяющий отличать конфликтующие частные
маршруты. Данный идентификатор называется идентификатором маршрута (RD).
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Импорт маршрута VPN в сценарии Hub-
Spoke
RDS может различать конфликтующие
маршруты. Как можно импортировать
CE1 конфликтующие маршруты из различных
IEC 11 филиалов в VRF штаб-квартиры?
CE2 Штаб-квартира
Магистральная сеть оператора
IEC 22 IEC 11
172.16.1.1/32
RD=1:1
VPN штаб-квартиры
Филиал 2 172.16.1.1/32
172.16.2.1/32
172.16.2.1/32 RD=2:2
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение импорта маршрутов VPN в
сценарии Hub-Spoke
CE1 IEC 11 IEC 33
Export=1:1 Import=1:1, 2:2
Import=3:3 Export=3:3
PE1 P PE2
Филиал 1 CE3
172.16.1.1/32
CE2 Штаб-квартира
IEC 22 Магистральная сеть оператора
Export=2:2
Import=3:3 172.16.1.1/32
VPN
RD=1:1; Export=1:1
Филиал 2 штаб-квартиры
172.16.2.1/32 172.16.2.1/32 172.16.1.1/32
RD=2:2; Export=2:2 172.16.2.1/32
RT (route target) используется для правильного импорта маршрутов в VPN. Существуют два
типа атрибутов VPN Target: Import Target и Export Target, используемые для импорта и
экспорта маршрутов VPN соответственно.
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Оптимизация импорта маршрутов в
сценарии Hub-Spoke
CE1 Export=12:3
Import = 3:12 (Загрузка) Import=12:3
Export = 3:12
PE1 P PE2
CE3
Филиал 1: 172.16.1.1/32
Филиал 2: 172.16.2.1/32
CE2
Export=12:3 Магистральная Штаб-квартира
Import = 3:12 сеть оператора
При использовании RBT для импорта маршрутов в VPN должны соблюдаться следующие условия:
Локальный Export Target = Удаленный Import Target
Локальный Import Target = Удаленный Export Target
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение конфликтующих маршрутов при
переадресации данных
CE1 ping 172.16.1.1 CE3
CE2 CE4
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вложение метки MPLS
Метка 1026
распределяется по
CE1 маршрутам от VPN1. ping 172.16.1.1 CE3
PE1 P PE2
VPN1 VPN1
172.16.1.1/32
CE2 CE4
VPN1 VPN1
172.16.1.1/32 172.16.1.1/32; Label:1026
VPN2 VPN2
172.16.1.1/32 VPN2 VPN2
172.16.1.1/32 172.16.1.1/32; Label:1027 Данные
Маршрутизатор
VRF VPNv4 routing-table
Link Lager header Outer MPLS Label Inner MPLS Label Layer 3 header Layer 3 payload
Label Stack
Вложение меток может решить проблему конфликтующих маршрутов при переадресации данных.
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Принципы работы MPLS VPN
Предпосылка и модели VPN
Преимущества MPLS VPN
Принципы работы MPLS VPN
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Рабочий процесс MPLS VPN
CE1 CE3
VPN1 VPN1
VPN2 VPN2
Маршрутизатор
Данные
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обмен информацией о маршруте между
устройствами CE и PE
CE1 AS 500 CE3
OSPF Area 0
10.1.34.0/24 10.1.56.0/24
VPN1 VPN1
AS 100 AS 300
PE1 P PE2
CE2 CE4
Магистральная сеть оператора
VPN2 VPN2
AS 200 AS 400
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
VPN Route Injection в MP-BGP
CE1 AS 500 CE3
3.3.3.3 5.5.5.5
PE1 P PE2
VPN1 VPN1
172.16.1.1/32
CE2 CE4
OSPF Area 0
Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Распределение меток общественных сетей
CE1 AS 500 CE3
OSPF Area 0
3.3.3.3 4.4.4.4 5.5.5.5
VPN1 LDP LDP VPN1
PE1 P PE2
CE2 CE4
FEC=PE1 FEC=PE1 FEC=PE1
In/Out Label In/Out Label In/Out Label
VPN2 3/NULL 10303 NULL/1030 VPN2
Протокол MPLS работает в сети оператора для распределения меток общественных сетей и
установления туннелей для реализации переадресации данных VPN по сети.
Устройства PE запускают протокол MP-BGP для распределения меток частной сети на
маршрутах VPN. Устройства PE правильно перенаправляют данные в соответствующие VPN
на базе меток частной сети.
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
MP-BGP Route Injection в VPN
CE1 IEC 500 CE3
OSPF Area 0
3.3.3.3 5.5.5.5
VPN1 VPN1
172.16.1.1/32,RD=1:1; VPN1
RT=1:1(Export);Label=1026; 172.16.1.1/32
VPN2 VPN2
172.16.1.1/32,RD=2:2; VPN2
RT=2:2(Export);Label=1027; 172.16.1.1/32
VPNv4 routing-table VRF
PE2 получает маршрут VPNv4 от PE1.
PE2 проверяет атрибуты расширенного сообщества в маршруте.
PE2 сравнивает значение Export Target атрибутов расширенного сообщества с значением Import Target
локальной VPN.
Если два значения одинаковы, PE2 импортирует маршрут VPNv4 в таблицу маршрутизации VPN.
Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Переадресация данных с устройства CE на
устройство PE
CE1 AS 500 CE3
OSPF Area 0
1030 1027 172.16.1.1
VPN1:172.16.1.1/32 VPN1
VPN2:172.1.1.1/32
LFI Label=1027
VPN2:172.16.1.1/32 B NH=PE1 VPN2
FEC=PE1
VRF2 routing-table Out Label:1030
IF:G0/0/0
CE4 передает пакет данных в PE2. PE2 ищет таблицу маршрутизации VPN2, чтобы
определить, что пакет должен быть переадресован на основе меток. PE2 затем ищет
следующий переход (next hop) и исходящий интерфейс, и инкапсулирует пакет с помощью
MPLS на основе распределенной метки.
Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Переадресация данных на устройствах
общественной сети
IEC 500
CE1 CE3
FEC=PE1 FEC=PE1 FEC=PE1
In/Out Label In/Out Label In/Out Label
3/NULL 1030/3 NULL/1030
VPN1:172.16.1.1/32 VPN1
VPN2:172.16.1.1/32 VPN2
Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Переадресация данных с устройства PE на
устройство CE
CE1 AS 500 CE3
1027 172.16.1.1
VPN1:172.16.1.1/32 VPN1
VPN1 Label=1026;
VPN2:172.16.1.1/32 172.16.1.1/32 Next-hop=CE1; VPN2
VPN2 Label=1027;
172.16.1.1/32 Next-hop=CE2;
После получения пакета, содержащего только метку частной сети, PE1 ищет
следующий переход, основанный на метке частной сети, и передает пакет
соответствующему пользователю VPN.
Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Принципы работы MPLS VPN
Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример конфигурации MPLS VPN
AS100
CE1
AS 500
AS300
OSPF Area 0
10.1.34.0/24 10.1.45.0/24 10.1.56.0/24 CE3
172.16.1.1/32
VPN 1 (филиал 1)
G1/0/0 G0/0/0 G0/0/1 G0/0/0 G0/0/1 G0/0/0
AS200
PE1 P PE2
CE2 172.16.3.1/32
Магистральная сеть оператора VPN3 (штаб-квартира)
172.16.2.1/32
VPN 2 (филиал 2)
Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование устройств
пользовательской стороны
bgp 100
peer 10.1.13.3 as-number 500
ipv4-family unicast
network 172.16.1.1 255.255.255.255
peer 10.1.13.3 enable
AS100
CE1
AS 500
OSPF Area 0 AS300
172.16.1.1/32 10.1.34.0/24 10.1.45.0/24 10.1.56.0/24 CE3
VPN 1 (филиал 1)
G1/0/0 G0/0/0 G0/0/1 G0/0/0 G0/0/1 G0/0/0
AS200
PE1 P PE2
CE2 172.16.3.1/32
Магистральная сеть оператора VPN3 (штаб-квартира)
Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование IGP на магистральной
сети
AS100
CE1
AS 500
OSPF Area 0 AS300
PE1 P PE2
172.16.1.1/32 10.1.34.0/24 10.1.45.0/24 10.1.56.0/24 CE3
VPN 1 (филиал 1)
G1/0/0 G0/0/0 G0/0/1 G0/0/0 G0/0/1 G0/0/0
AS200
CE2 172.16.3.1/32
VPN3 (штаб-квартира)
172.16.2.1/32
VPN 2 (филиал 2)
router id 3.3.3.3 router id 4.4.4.4 router id 5.5.5.5
ospf 1 ospf 1 ospf 1
area 0.0.0.0 area 0.0.0.0 area 0.0.0.0
network 4.4.4.4 0.0.0.0 network 5.5.5.5 0.0.0.0
network 3.3.3.3 0.0.0.0
network 10.1.34.0 0.0.0.255 network 10.1.45.5 0.0.0.255
network 10.1.34.0 0.0.0.255 network 10.1.45.0 0.0.0.255
Стр. 34 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование экземпляров VPN
AS100
interface GigabitEthernet0/0/1
CE1 ip binding vpn-instance VPN3
CE2
AS 500 172.16.3.1/32
VPN3 (штаб-квартира)
ip vpn-instance VPN3
ipv4-family
ip vpn-instance VPN1 route-distinguisher 3:3
ipv4-family vpn-target 3:12 export-extcommunity
route-distinguisher 1:1 vpn-target 12:3 import-extcommunity
vpn-target 12:3 export-extcommunity
vpn-target 3:12 import-extcommunity
interface GigabitEthernet0/0/0
#
ip binding vpn-instance VPN1
ip vpn-instance VPN2
#
ipv4-family
interface GigabitEthernet0/0/1
route-distinguisher 2:2
ip binding vpn-instance VPN2
vpn-target 12:3 export-extcommunity
vpn-target 3:12 import-extcommunity
Стр. 35 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование MP-BGP
AS100
AS 500
Стр. 36 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование MPLS
CE1
AS 500
OSPF Area 0 AS300
AS100 10.1.34.0/24 10.1.45.0/24 10.1.56.0/24 CE3
VPN 1 (филиал 1)
VPN 2 (филиал 2) G1/0/0G0/0/0 G0/0/1 G0/0/0
G0/0/1G0/0/0
AS200
CE2 172.16.3.1/32
VPN3 (штаб-квартира)
Стр. 37 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какие из следующих вариантов являются технологиями модели overlay VPN?
А. IPSec VPN
Б. SSL VPN
В. Peer-to-Peer VPN
Г. GRE
Стр. 38 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Принципы и конфигурации DHCP
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы будете:
Понимать принципы и конфигурации DHCP
Понимать принципы и конфигурации ретрансляций DHCP
Хорошо ориентироваться в угрозах безопасности для DHCP и соответствующих
механизмах защиты
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Происхождение DHCP
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблемы при ручной настройке
параметров сети
При традиционном конфигурировании сетевых параметров пользователи хоста
должны вручную настроить параметры, включая IP-адрес, маску сети, адрес шлюза
и адрес DNS-сервера.
Это может вызывать следующие проблемы:
Высокие требования к пользователям хостов
IP-адрес
Неправильные конфигурации Шлюз?
Низкая гибкость
Недостаточное использование ресурса IP-адреса DNS?
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Предложение концепции DHCP
Традиционно параметры сети настраиваются статически и вручную.
Поскольку число пользователей растет, а местоположения пользователей
больше не фиксированы, традиционный метод конфигурирования не
удовлетворяет требованиям. DHCP был введен, чтобы позволить
устройствам динамически и правильно распределять IP-адреса хостам.
По сравнению со статическим конфигурированием в ручном режиме DHCP
обладает следующими преимуществами:
Высокая эффективность
Высокая гибкость
Простое управление
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Происхождение DHCP
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Базовый рабочий процесс DHCP (1)
Широковещательный
Клиент DHCP домен уровня 2 DHCP-сервер
Этап Обнаружения
Этап
Когда несколько серверов DHCP Предложения
отправляют сообщения DHCP Offer с
предложениями клиенту DHCP, клиент DHCP-сервер проверяет, может ли он
DHCP принимает только первое выделить IP-адрес, указанный на этапе
полученное сообщение предложение
Этап
Предложения Если это так, он отвечает
DHCP Offer. Затем клиент DHCP Запроса сообщением DHCP ACK, указывающим,
рассылает сообщение DHCP Request,
что IP-адрес успешно выделен. Если
которое уведомляет все DHCP-серверы о
том, что он выбрал IP-адрес, нет, он отвечает сообщением DHCP
предложенный одним из DHCP-серверов. NAK, указывающим, что назначение IP-
адреса не выполнено.
Этап Подтверждения
Если клиент DHCP получает
сообщение DHCP ACK, он
использует выделенный IP-адрес.
Если клиент DHCP получает
сообщение DHCP NAK, он не может
получить IP-адрес и снова
переходит на этап Обнаружения.
Базовый процесс получения IP-адреса
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Базовый рабочий процесс DHCP (2)
Широковещательный
Клиент DHCP DHCP-сервер
домен уровня 2
T1
Когда срок аренды достигает
50% (T1) клиент DHCP
направляет сообщение DHCP
Request DHCP-серверу для
запроса продления аренды.
T2
Сервер DHCP сбрасывает
Если от DHCP-сервера не получен таймер аренды IP-адреса и
ответ, когда срок аренды достигает отправляет сообщение DHCP
87,5% (T2), клиент DHCP рассылает ACK клиенту DHCP.
сообщение DHCP Request с
запросом на продление аренды.
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация DHCP
G0/0/0
SWA PCA
DHCP-
сервер
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Происхождение DHCP
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Зачем нужна ретрансляция DHCP?
По мере расширения сети пользователи сети могут оказаться в разных сегментах сети.
DHCP-сервер
RTA
Клиент A SWA
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Происхождение DHCP
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Основной рабочий процесс ретрансляции
DHCP
Агент ретрансляции
Клиент DHCP DHCP DHCP-сервер
Сообщение DHCP ACK / NAK Сообщение DHCP ACK / NAK (одноадресная передача)
(одноадресная передача)
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование ретрансляции DHCP
G0/0/0
G0/0/0 G0/0/1
Агент
DHCP-сервер SWA PCA
ретрансляции
DHCP
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Происхождение DHCP
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Угрозы безопасности DHCP
Сетевые атаки являются распространенным явлением, и атаки DHCP не исключение.
Например, большое количество пользователей предприятия может внезапно потерять
доступ к Интернету. По результатам проверки терминалы этих пользователей не получают
IP-адреса, тогда как все IP-адреса пула адресов DHCP-сервера были выделены. Это может
свидетельствовать о произошедшей атаке DHCP Starvation.
При разработке DHCP факторы безопасности не были полностью учтены, существует
множество уязвимостей, делающих DHCP уязвимым для атак. Атаки DHCP на реальные сети
можно подразделить на:
Атаки DHCP Starvation
Атаки с поддельного DHCP-сервера
Атаки посредника на DHCP
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Атаки DHCP Starvation
Принцип атаки: Злоумышленники непрерывно запрашивают большое количество IP-адресов у DHCP-
сервера, пока все IP-адреса пула адресов DHCP-сервера не будут исчерпаны. В результате сервер
DHCP не может назначить IP-адреса авторизованным пользователям.
Анализ уязвимостей: Когда сервер DHCP выделяет IP-адреса пользователям, он не может отличить
авторизованных пользователей от неавторизованных.
Атакующий изменяет значение поля CHADDR,
передаваемого в сообщениях DHCP, чтобы непрерывно
запрашивать большое количество IP-адресов.
ПК злоумышленника
DHCP Offer, CHADDR=A, IP ADD=1.1.1.1
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Атака с поддельного DHCP-сервера
Принцип атаки: Поддельный DHCP-сервер предоставляет клиентам неверные параметры,
такие как IP-адреса и адреса шлюза, поэтому клиенты не могут получить доступ к сети.
Анализ уязвимостей: Когда клиент DHCP получает сообщения DHCP от DHCP-сервера, он не
может различить, отправляются ли эти сообщения поддельным или авторизованным DHCP-
сервером.
Поддельный DHCP-сервер
предоставляет клиентам неверные Поддельный
параметры, такие как IP-адреса и DHCP-сервер
адреса шлюза
DHCP Offer,
Server IP ADD=192.168.0.1,
Your IP ADD=192.168.0.3
DHCP Ack,
Server IP ADD =192.168.0.1,
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Атаки посредника на DHCP
Принцип атаки: При помощи механизма ARP злоумышленник заставляет ПК А и DHCP-сервер предполагать о
сопоставлении IP-S с MAC-B и IP-A с MAC-B соответственно. В этом случае IP-пакеты, которыми обмениваются ПК A и
DHCP-сервер, транслируются злоумышленником.
Анализ уязвимостей: По сути, атака посредника на DHCP представляет собой вид спуфинг-атак по IP или MAC-адресу.
Злоумышленник использует сопоставление между неправильными IP-адресами и MAC-адресами, подделывая DHCP-
сервер и клиентов.
Злоумышленник ПК Б
(посредник)
Направление, в котором ПК А отправляет (MAC-B, IP-B) Направление, в котором DHCP-сервер
IP-пакеты для DHCP-сервера отправляет IP-пакеты для ПК A
При помощи механизма ARP злоумышленник При помощи механизма ARP злоумышленник
заставляет ПК А предполагать соответствие заставляет DHCP-сервер предполагать
между IP-S и MAC-B. соответствие между IP-A и MAC-B.
ПК А DHCP-сервер
(MAC-A, IP-A) (MAC-S, IP-S)
Коммутатор
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
История DHCP Snooping
DHCP Snooping введен для повышения безопасности сети и предотвращения атак DHCP.
DHCP Snooping не является стандартной технологией и не имеет унифицированных
стандартов и правил. Различные производители сетевых устройств реализуют DHCP
Snooping по-разному.
DHCP Snooping развертывается на коммутаторах и эквивалентен межсетевому экрану между
клиентами DHCP и DHCP-сервером.
Поддельный
Развертывание DHCP snooping DHCP-сервер
ПК
злоумышленника
ПК Коммутатор DHCP-сервер
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Предотвращение атак DHCP Starvation с
помощью DHCP Snooping
Злоумышленник постоянно
запрашивает IP-адреса.
ПК Коммутатор DHCP-сервер
MAC=B
Коммутатор сравнивает исходный MAC-адрес и
значение поля CHADDR в сообщении запроса
DHCP и пересылает сообщение, если два
значения совпадают.
Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Предотвращение атак с поддельного
DHCP-сервера с помощью DHCP Snooping
DHCP-сервер
Сообщения
DHCP Response
Сообщения
DHCP Response
ПК Коммутатор Поддельный
DHCP-сервер
Коммутатор отклоняет
сообщения DHCP Response, Доверенный интерфейс
полученные из ненадежного Ненадежный интерфейс
интерфейса.
Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Предотвращение атак посредника на DHCP
с помощью DHCP Snooping
Злоумышленник ПК Б
(посредник) Злоумышленник отправляет сообщение ARP Request
(с IP-A в качестве исходного IP-адреса и MAC-B в
(MAC-B, IP-B) качестве исходного MAC-адреса), чтобы DHCP-сервер
Коммутатор проверяет IP-адреса и MAC-адреса источника в предполагал соответствие между IP-A и MAC-B.
сообщении ARP Request. Если сопоставление между исходными
IP-адресами и MAC-адресами не соответствует записи в таблице
привязки DHCP Snooping, то коммутатор отклоняет сообщение
×
ARP Request.
DHCP-сервер
ПК А (MAC-S, IP-S)
(MAC-A, IP-A)
Коммутатор
Таблица привязки DHCP Snooping
MAC IP Период аренды VLAN-ID ...
MAC-A IP-A ... ... ...
MAC-B IP-B ... ... ...
... ... ... ... ...
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сопряжение DHCP Snooping с IPSG
Злоумышленник ПК Б
(MAC-B, IP-B)
Злоумышленник использует IP-адрес
Основываясь на таблице ПК А для отправки пакета атаки.
привязки DHCP Snooping,
коммутатор проверяет
×
корректность пакета.
ПК А DHCP-сервер
(MAC-A, IP-A) (MAC-S, IP-S)
Коммутатор
Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какое из следующих сообщений клиент DHCP отправляет DHCP-серверу для
запроса продления аренды?
А. DHCP Discover
Б. DHCP Offer
В. DHCP Request
Г. DHCP ACK
Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Принципы и конфигурации
зеркалирования
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение
Во время техобслуживания сети потребуется получить и проанализировать
пакеты в некоторых условиях. Например, если вы обнаружите
подозрительные пакеты атак, необходимо получить и проанализировать
пакеты, не затрагивая переадресацию пакетов.
Технология зеркалирования дублирует пакеты зеркального порта на порт
наблюдения, не затрагивая обработку пакетов на устройствах.
Администраторы могут анализировать скопированные пакеты с помощью
устройства мониторинга данных для сетевого мониторинга и устранения
неполадок.
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы узнаете:
Принципы зеркалирования
Конфигурирование функции зеркалирования
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Предпосылка зеркалирования
2. Содержание зеркалирования
3. Конфигурация зеркалирования
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сбор данных
Мониторинг услуг в
режиме реального
времени
Анализ и обнаружение
Цели сбора данных
неисправностей
Оптимизация сетевого
трафика
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Метод сбора данных
Физический сбор через разветвитель
SNMP
Сеть
NMS
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Предпосылка зеркалирования
2. Содержание зеркалирования
3. Конфигурация зеркалирования
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обзор зеркалирования
Определение
Функция зеркалирования дублирует пакеты указанного порта
(порта источника или зеркального порта) в другой указанный порт (порт
назначения или порт наблюдения).
Функция
Получение полных пакетов для анализа сети.
Преимущества
Сбор данных является удобным и не влияет на существующую сеть.
Осуществляется сбор данных в реальном времени, обеспечивая надежную
передачу данных.
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Роли зеркалирования
Зеркальный порт
Общий порт
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Предпосылка зеркалирования
2. Содержание зеркалирования
3. Конфигурация зеркалирования
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования к конфигурации
зеркалирования локального порта
Офисный SW1
Eth2/0/1
участок 1
Eth2/0/3
Router Устройство
Eth2/0/2
мониторинга
Офисный SW2
участок 2
На предприятии пользователи в офисных участках 1 и 2 подключаются к Router через Eth2/0/1 и Eth2/0/2
соответственно. Устройство мониторинга подключено к Eth2/0/3 Router для анализа и мониторинга
данных. Для обеспечения информационной безопасности предприятие хочет контролировать все
пакеты, отправленные из офисных участков 1 и 2 через устройство мониторинга.
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация зеркалирования
локального порта
SW1
Офисный
участок 1 Eth2/0/1
Eth2/0/3
Eth2/0/2
Router Устройство
мониторинга
Офисный SW2 #
участок 2 observe-port interface Ethernet2/0/3
#
interface Ethernet2/0/1
mirror to observe-port inbound
#
interface Ethernet2/0/2
mirror to observe-port inbound
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования к конфигурации
зеркалирования трафика
RTA
Eth2/0/0 IP-сеть
HostA Eth2/0/1
Устройство
мониторинга
HostB
Маркетинговый
отдел
HostC
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Реализация конфигурации
зеркалирования трафика
RTA
Eth2/0/0 IP-сеть
HostA Eth2/0/1
Устройство #
мониторинга observe-port interface Ethernet2/0/1
HostB #
acl number 2000
rule 5 permit source 192.168.1.10 0
#
Маркетинговый traffic classifier c1 operator or
отдел if-match acl 2000
#
HostC traffic behavior b1
mirror to observe-port
#
Зеркальный порт traffic policy p1
classifier c1 behavior b1
Локальный порт наблюдения #
interface Ethernet2/0/0
Поток пакетов traffic-policy p1 inbound
Скопированный поток пакетов
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Каковы роли в зеркалировании?
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Обзор eSight
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы:
Будете понимать происхождение eSight
Освоите процедуры установки и удаления eSight
Освоите процесс запроса лицензий eSight
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Введение в eSight
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования к управлению корпоративной
сетью: растущее число устройств
Экспоненциальное увеличение
количества устройств
Рост (%)
Время
С увеличением количества устройств управление сетью становится все более сложным. Требуется
больше обслуживающего персонала, а расходы на техобслуживание растут. Предприятиям срочно
нужна платформа управления сетью, позволяющая обслуживающему персоналу с легкостью управлять
большим количеством устройств.
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования к управлению корпоративной сетью:
унифицированное управление устройствами разных
производителей
Зона головного узла Зона головного узла Зона доступа к
внешней сети Интернет магистрали WAN
Зона
офисов
Зона обслуживания
управления сетью
После развертывания сетевых устройств конкретного поставщика в сети необходимо установить систему управления сетью
(NMS) этого поставщика для управления устройствами, так как NMS от определенного поставщика может управлять только
устройствами этого поставщика. Кроме того, интерфейсы операций и поля NMS отличаются друг от друга. Для обеспечения
эффективного управления устройствами всей сети требуется стандартный универсальный протокол управления сетью.
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение Huawei eSight для эксплуатации и
обслуживания предприятия
eSight – это система эксплуатации и обслуживания следующего поколения, разработанная для кампусных сетей и
филиалов предприятий. Она реализует унифицированное управление ресурсами предприятия, услугами и
пользователями. eSight обладает следующими характеристиками:
Упрощенная система, установка на основе мастера настройки, без клиентского приложения, управление сетями в
любое время из любого места через браузер.
Индивидуальные решения для заказчиков.
Унифицированное управление устройствами нескольких производителей, стандартный протокол управления сетью
SNMP, получивший широкое признание.
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Простой протокол сетевого управления
SNMP – это протокол уровня приложений, определяющий передачу
управляющей информации между NMS и агентом.
Управляемая
система
1
Выполнение MIB
операций 2
1
SNMP
Агент Информирование
1 2
NMS Управляемый 1 2
объект
5 6
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс обмена пакетами SNMP
Управляемое
NMS устройство
Get-Request
Response
Get-Next Request
Response
Set-Request
Response
Trap
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Настройка SNMP на маршрутизаторе
Начало
Обязательное Опциональное
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Базовая конфигурация SNMP на
маршрутизаторе
G0/0/0
IP сеть
Маршрутизатор
172.16.50.253
[Router] snmp-agent
[Router] snmp-agent sys-info version v2c
[Router] snmp-agent community read public mib-view iso-view
[Router] snmp-agent community write private mib-view iso-view
[Router] snmp-agent mib-view iso-view include iso
[Router] snmp-agent target-host trap-paramsname trapnms v2c securityname
adminnms
[Router] snmp-agent target-host trap-hostname nms address 172.16.50.253
trap-paramsname trapnms
[Router] snmp-agent trap enable
[Router] snmp-agent trap source GigabitEthernet0/0/0
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Введение в eSight
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Знакомство с установочным CD-ROM
Функции:
Поддержка операционных систем Windows и SUSE Linux.
Поддержка автоматической установки.
Поддержка английского и китайского языков.
Использует архитектуру B/S без установки клиента.
Процесс установки не связан с лицензией. Лицензия должна импортироваться
пользователями после установки.
Производительность:
Установочный CD-ROM каждого издания не превышает 850 Мбайт.
Установка может быть завершена в течение 10 минут.
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Введение в eSight
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс установки
Huawei предоставляет две схемы установки eSight.
Схема предварительной установки: операционная
система и система eSight предварительно
устанавливаются на сервере eSight, доставляемом
на объект.
Новая установка: если сервер был самостоятельно
приобретен клиентом или система eSight должна
быть переустановлена, то обратитесь к процессу
установки, описанному в блок-схеме.
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
Масштабы управления Минимальная конфигурация сервера Рекомендуемая конфигурация Операционные системы База данных
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО
План установки
Перед установкой eSight убедитесь, что IP-адрес, имя хоста и пароль сконфигурированы правильно,
чтобы можно было правильно и быстро установить eSight.
Имя хоста и IP-адрес: можно менять имя хоста и IP-адрес в зависимости от фактической ситуации.
Имя пользователя и пароль: исходными именем пользователя и паролем eSight являются admin и
Changeme123 соответственно. При первом входе в eSight Вам будет предложено изменить пароль.
Разбиение жесткого диска: диск C используется для установки операционной системы, а диск D
используется для установки базы данных и eSight.
Путь установки: D:\eSight, его можно изменить при необходимости.
Часовой пояс: при поставке eSight на объект измените часовой пояс и время в соответствии с
расположением объекта.
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО
Server IP Address: определяет IP-адрес текущего сервера по умолчанию. Если сервер имеет несколько IP-
адресов в выпадающем списке, то выберите маршрутизируемый IP-адрес.
Server Port: номер порта по умолчанию – 8080. Если порт 8080 уже используется, то измените номер порта.
Installation Directory: задает каталог установки eSight, пользователи могут его изменить.
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО
Наличие основных
функциональных компонентов
обязательно, они будут выбраны
по умолчанию.
Компоненты услуг
являются
опциональными.
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО
Установка завершена
Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО
Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО
Установка сертификата
Введите
http://eSight server IP address:port 3
number.
2 4
Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО
2 4
5
6
1. Адресная строка
2. Главное меню
3. Область статистики
4. Общая информация и кнопки
5. Область индикаторов аварийной сигнализации
6. Портлеты заказных настроек
Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО
Описание лицензии
Файл лицензии представляет собой файл авторизации, созданный специальным
инструментом шифрования в соответствии с контрактом, подписанным между
пользователем и Huawei, и информацией о сервере, на котором установлен eSight.
После получения файла лицензии, пользователь должен вручную загрузить его в
eSight и активировать разрешение на использование eSight.
Пользователи могут использовать eSight в течение 90 дней без файла лицензии.
После этого пробного периода при попытке пользователя войти в систему на экране
возникнет страница обновления лицензии, а вход в систему не будет выполнен.
В течение пробного периода eSight может управлять 60 NE, а возможности
управления компонентами WLAN, MPLS VPN, SLA, IPSec VPN, NTA и Secure Center
ограничены 10.
Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО
Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО
Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО
Получение ESN
В главном меню выберите System > Administration > License Management.
Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО
Стр. 34 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО
Стр. 35 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка Начало Вход в Регистрация
к установке установки систему ПО
Стр. 36 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Введение в eSight
Стр. 37 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Удаление eSight
Чтобы остановить службу eSight, выберите Пуск > Все программы > eSight > eSight
Console и нажмите Stop в появившемся диалоговом окне.
Чтобы удалить eSight, выберите Пуск > Все программы > eSight > Uninstall eSight.
2
1
Стр. 38 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Удаление завершено
Стр. 39 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Введение в eSight
Стр. 40 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Режим одноузлового сервера
eSight AppBase работает в режиме браузера/сервера и обеспечивает
одновременный доступ нескольких веб-браузеров.
Чтение / запись
Служба приложений eSight
База данных
Стр. 41 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Режим иерархического развертывания
eSight также поддерживает иерархическое
управление, позволяющее головному офису
контролировать сети в филиалах.
В режиме иерархического развертывания
eSight professional
NMS верхнего уровня может добавлять в
систему NMS нижнего уровня и
обеспечивать ссылки на NMS нижнего eSight professional
Стр. 42 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Интеграция с OSS
eSight может интегрироваться с Системами
поддержки операций (OSS) верхнего уровня и OSS
Стр. 43 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Если пароль пользователя admin утерян, то для восстановления пароля по
умолчанию пользователю придется переустановить eSight.
Б. 60 дней
В. 90 дней
Г. 120 дней
Стр. 44 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Основные функции eSight
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы будете:
Знакомы с основными функциями eSight
Владеть функционалом основных функций eSight
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Управление безопасностью
2. Управление ресурсами
4. Управление производительностью
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Как реализовать управление
безопасностью сети?
Отвечает за эксплуатацию
и обслуживание сетевых
устройств в городах А и Б
eSight
Мониторинг аварийных Мониторинг аварийных
сигналов A сигналов Б
Город A Город Б
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание политики безопасности
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание роли (1)
Сопоставить административный домен с ролью, с тем чтобы роль могла
управлять определенными объектами в домене.
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание роли (2)
Присвоить роли права управления, с тем чтобы роль получила права на
оперирование подконтрольными объектами.
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание пользователей – задание имени
пользователя и пароля
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание пользователей - задание роли
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание пользователей -конфигурирование
политик управления доступом
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Настройка политики учетной записи
Правильно подобранные ограничения по длине имени пользователя и политики
входа пользователей могут повысить безопасность доступа к eSight. Политика
учетной записи применяется ко всем пользователям, поэтому она должна
устанавливаться администратором безопасности.
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Управление безопасностью
2. Управление ресурсами
4. Управление производительностью
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Управление ресурсами
Функция управления ресурсами позволяет добавлять устройства в eSight и
выполнять такие операции, как запросы, мониторинг и конфигурирование
этих устройств, централизованным образом.
NE Ресурсы
Подсеть
Аппаратная Аппаратная
комната А комната Б
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Добавление устройств
eSight поддерживает три способа обнаружения ресурсов.
Способ 1: добавление по одному (по IP-адресу)
10.135.59.18
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Добавление по одному
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Автоматическое обнаружение
Поддерживается
несколько сегментов сети.
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Импорт устройств
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Управление физическими ресурсами
Физические ресурсы включают устройства и физические объекты устройств,
такие как шасси, платы, субплаты и порты.
Физический
объект
1. Переключение на топологию
2. Изменение примечаний
3. Просмотр сведений о ресурсах
4. Удаление
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Групповое управление
Можно создать группу и добавить в нее NE из различных подсетей, она
будет считаться одним объектом. Объект (группа NE) можно закрепить за
пользователем, что улучшает эффективность управления несколькими
устройствами.
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Управление безопасностью
2. Управление ресурсами
4. Управление производительностью
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Управление
аварийными сигналами
Функция управления аварийной сигнализацией позволяет eSight
отслеживать состояние устройств в режиме реального времени и получать
сигналы об отказах устройств, чтобы помочь администраторам
своевременно обнаруживать и устранять неисправности сети.
Запрос и обработка
Функции управления аварийных сигналов
Установка правил
аварийными
сигналами
мониторинга
аварийных сигналов
Установка удаленных
уведомлений об
аварийных сигналах
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Запрос и обработка аварийных сигналов
Мониторинг аварийных сигналов на панели аварийной сигнализации
На панели аварийной сигнализации в правом верхнем углу страницы Current Alarms
отображается количество неснятых и снятых аварийных сигналов четырех уровней аварийной
сигнализации, что позволяет пользователям быстро получать информацию об обработке
аварийных сигналов.
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Задание правил
мониторинга аварийных сигналов
Создание правил удаленных уведомлений.
Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Установка удаленных
уведомлений об аварийных сигналах
Установка режима удаленных уведомлений.
Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Управление безопасностью
2. Управление ресурсами
4. Управление производительностью
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обзор управления производительностью
Каждому ресурсу назначаются счетчики производительности, позволяющие измерять его
производительность. eSight осуществляет всесторонний мониторинг характеристик
производительности управляемых ресурсов, а также взаимосвязей между
производительностью ресурсов и обеспечивает всеобъемлющий анализ общих
характеристик производительности ресурсов. Это позволяет администраторам осознавать
состояние сети и осуществлять оптимизацию сети с целью обеспечения оптимального
рабочего состояния.
Принципы управления производительностью:
Счетчик и шаблон счетчиков
Порог срабатывания счетчика
Задача сбора данных о производительности
Объект измерений
Период сбора
Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Блок-схема управления
производительностью
Управление характеристиками производительности
eSight
1 Шаблон мониторинга 2 Задача мониторинга
Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание шаблона мониторинга (1)
Создание шаблона мониторинга.
Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание шаблона мониторинга (2)
Добавление счетчиков.
Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание шаблона мониторинга (3)
Задание пороговых значений.
Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание шаблона мониторинга (4)
Создание шаблона завершено.
Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание задачи мониторинга (1)
Создание задачи мониторинга.
Отображает максимальное
количество задач и счетчиков,
поддерживаемых eSight, количество
созданных задач сбора и счетчиков.
Стр. 34 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание задачи мониторинга (2)
Стр. 35 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание задачи мониторинга (3)
Стр. 36 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание задачи мониторинга (4)
Стр. 37 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Создание задачи мониторинга (5)
Создание задачи мониторинга завершено.
Стр. 38 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Просмотр данных о производительности –
домашняя страница
Расширение критериев
запроса в стиле Ebay
Стр. 39 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Просмотр данных о производительности –
обзор подробностей
Стр. 40 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Просмотр данных о производительности в
реальном масштабе времени
Стр. 41 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Просмотр данных об истории
производительности
Стр. 42 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какие из следующих методов обнаружения ресурсов поддерживаются eSight?
A. Добавление по одному
B. Автоматическое обнаружение
C. Импорт устройств
D. По модели устройств
Стр. 43 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Функции Agile Controller
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По завершении этого раздела Вы сможете:
Понимать проблемы, стоящие перед традиционными сетями
Овладеть основными функциями и возможностями Agile Controller
Знакомиться с процессом конфигурирования Agile Controller
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, стоящие перед традиционными сетями
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Для повышения мобильности требуется
последовательный опыт обслуживания
Традиционная сетевая ситуация:
Требования к традиционным сетям
повышение мобильности
В 2011 году поставки интеллектуальных терминалов
впервые превысили производительность ПК.
В 2015 году количество проданных планшетов достигло
Управление проводным и беспроводным
326 млн., а смартфонов превысило 1 млрд. (50% рынка доступом
мобильных телефонов). Большинство умных терминалов В эпоху мобильности сосуществуют проводные и
используются офисными работниками.
беспроводные сети. Пользователи могут иметь
Вычислительные устройства — годовой объем продажа мобильные и фиксированные терминалы, а доступ к
Смартфоны проводной и беспроводной сети должен управляться
500
единообразно.
Объем продаж (ед.: млн.)
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Низкая эффективность ручного обслуживания,
требуется гибкая корректировка политики
Традиционная сетевая ситуация Требования к традиционным сетям
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Различные режимы доступа, неэффективная
единая точка защиты
Традиционная сетевая ситуация Требования к традиционным сетям
Эффективная единая точка защиты Ⅹ Неэффективная единая точка защиты
Внешняя атака
WAN/Интернет WAN/Интернет
Традиционная
внешняя атака
Атака
беспроводного
перехвата
Атака
мобильной
сети
Атака
мобильного
AP AP AP терминала
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Agile Controller — мозг на интеллектуальных
сетях кампуса
AR L2 SW AR L2 SW Доступ в Интернет Компонент Функция
Обеспечивает управление политиками на основе 5W1H и
Диспетчер
Сеть Сеть поддерживает несколько режимов аутентификации, таких как
управления
филиалов филиалов MAC-адрес, 802.1X, портал и аутентификация шлюза контроля
доступом
доступа к безопасности (SACG).
Обеспечивает самостоятельную регистрацию и управление
Центр ресурсов WAN/Интернет Диспетчер
гостевыми учетными записями, а также поддерживает
безопасности гости
настройку и доставку страниц портала и подталкивание.
Предоставляет матрицу политик на основе групповой
Выход NGFW/SVN политики безопасности для обеспечения высокого качества
Свободный
услуг VIP-пользователей и позволяет сетевым ресурсам
диспетчер
мигрировать в зависимости от местоположения
мобильности
пользователей, обеспечивая последовательную политику и
Уровень пользовательский опыт.
LSW
ядра Виртуализирует физические устройства для защиты моделей
Диспетчер
Agile и местоположения физических устройств и перенаправляет
цепочек услуг
Controller различный трафик услуг на разные узлы прекращения услуг.
Уровень LSW Собирает журналы безопасности и события, идентифицирует
NGFW агрегации активы и зоны с высоким риском с помощью корреляционного
Компонент анализа больших данных и оценивает тенденции
безопасности безопасности всей сети. Это помогает клиентам быстро
Уровень идентифицировать сетевые риски, чтобы они могли
доступа принимать превентивные меры защиты от рисков.
LSW AP AP LSW Обеспечивает разнообразные политики безопасности для
Диспетчер
предотвращения доступа к сети незащищенных терминалов и
безопасности
терминалов, которые не соответствуют политике
терминалов
безопасности предприятий.
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Архитектура продукта Agile Controller
Сторона
сервера
Менеджер услуг Контроллер услуг Центр управления
(SM) (SC) (MC)
Устройства
доступа к сети
Брандмауэр AR Коммутатор AP
Пользовательская
сторона
Клиент Веб-портал Встроенный клиент 802.1X
(Windows/Linux/MAC/Android/iOS)
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Панорама программного обеспечения Agile
Controller
Agile Controller
Свободный Диспетчер
Компонент
диспетчер Диспетчер гости безопасности
безопасности
мобильности терминалов
Диспетчер цепочек
Диспетчер управления доступом
услуг
Сетевые ресурсы
Информация о Информация о
Топология сети пользователе местоположении Права
Физическая сеть
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, стоящие перед традиционными сетями
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Архитектура диспетчера управления доступом
к Agile Controller
Agile Controller
SM Менеджер услуг
HTTPS
SC
AuthServer Portal RADIUS NetworkServer
COPS/Portal/RADIUS
Физическая сеть
EAP/HTTP
Терминал
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Управление доступом в сети кампуса
Домен предварительной
аутентификации
Активный
Выход кампуса Сервер Agile Controller
Домен изоляции
Финансовой сервер,
Уровень сервер маркетинга, и сервер
доступа исследований и разработок
Отдел исследований
и разработок Тупые терминалы Маркетинговый отдел Финансовые отделы
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Полное управление доступом, применимое к
нескольким типам сетей
Аутентификация MAC-адресов
Сервер аутентификации аутентифицирует терминалы на основе их MAC-
MAC-адрес адресов.
Тупой VLAN1
терминал Она применима к тупым терминалам, таким как IP-телефоны и принтеры.
Аутентификация 802.1X
Клиенты, устройства и серверы аутентификации обмениваются
аутентификационными сообщениями с использованием EAP.
802.1X
Она поддерживает связь с Huawei коммутаторами всей серии,
Офисная маршрутизаторами, устройствами WLAN и коммутаторами 802.1X.
VLAN2
область
SSID1
Аутентификация портала
Аутентификация портала также называется веб-аутентификацией.
Portal Пользователи могут вводить имена пользователей и пароли на странице веб-
аутентификации для аутентификации идентификационных данных.
Она поддерживает связь с Huawei коммутаторами всей серии,
маршрутизаторами и устройствами WLAN.
Гостевая
зона
SSID2 Аутентификация SACG
SACG Брандмауэр USG подключается к маршрутизатору или коммутатору в
байпасном режиме и управляет доступом терминала через маршрутизацию
на основе политик.
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Модель доступа Agile Controller
Правило авторизации
Условие Результат
авторизации авторизации
Беспроводной
Организация
Операционн
Устройство
ые системы
Проводной
Поставщик
Сегмент IP
Windows
доступа
Аккаунт
SSID
Тип
Отдел
Роль
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, стоящие перед традиционными сетями
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сценарии определения гостя и доступа
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Панорама гостевой аутентификации
Система
Сотрудник BSS
Коммутатор
Коммутатор
Аутсорсинг
сотрудника
AP Коммутатор Система CRM
уровня ядра
Система ERP
AC
Гость
AP Почтовая
система
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Управление гостей полного жизненного цикла
Приложение учетной записи Аутентификация пользователя Аудит и дерегистрация
Проводной ASG
ПК Коммутатор
Сеть
Гость
Беспроводной
Телефон AC
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, стоящие перед традиционными сетями
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Логическая архитектура свободной
мобильности
Подсистема
Подсистема политик
аутентификации и
услуг
Agile Controller авторизации
Определение
Синхронизация
глобального
групповой информации
Плоскость Группы Сервер
Администратор Сервер политик
управления услугами аутентификации:
Запрос Выполнение
Аутентификация санкционировать Сообщать IP-адреса
информации о групповых
ID группы пользователей
пользователе политик
Аутентификация
и доступ
Межкомпонентная связь
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сценарии применения свободной мобильности
Сервер Интернет-
Agile Controller Общий сервер Веб-сервер
отчетов ресурсы
ЦОД Пограничный
брандмауэр DC
Область выхода
Брандмауэр границы и Интернета
основной брандмауэр
контролируют
взаимодействие Пограничный
пользователя через точки Брандмауэр брандмауэр Пограничный
аутентификации. WAN WAN кампуса брандмауэр
Основной Интернета кампуса
филиала
брандмауэр
Точка аутентификации,
ближайшая к пользователям,
может контролировать связь
между локальными SVN
пользователями. Коммутатор C Коммутатор A Коммутатор B
Пользователи могут
получить права доступа к
сети в любом месте Аутсорсинг Финансовый VIP Аутсорсинг
сотрудников Финансовый Финансовый
доступа. отдел сотрудников отдел отдел
Филиал Кампус
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Основные концепции свободной мобильности
Матрица политики
Группа Приоритет
безопасности А C пользователя
Свободная
мобильность
Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процедура развертывания свободной
мобильности
Шаг 3: Система
автоматически
работает.
Шаг 2: определение
и развертывание
групповых политик.
Шаг 1: определение
групп безопасности.
1. Аутентификация: когда пользователь
пытается получить доступ к сети, Agile
Controller аутентифицирует личность
пользователя.
1. Определение групповых политик 2. Авторизация: Agile Controller
на Agile Controller. соответствует политикам авторизации,
Политика опыта (приоритет основанным на условиях 5W1H и
1. Определение групп пересылки группы пользователей добавляет пользователей к
безопасности на Agile VIP). соответствующим группам
Политика прав (определение
Controller. безопасности. Устройства выполнения
2. Добавление участников в возможности межгруппового политики затем динамически
группы безопасности. доступа). добавляют IP-адреса пользователя в
Динамические группы 2. Развертывание групповых указанные группы безопасности.
безопасности: конкретные политик. 3. Выполнение: на основе
пользователи, описанные Взаимодействие между Agile сопоставлений между IP-адресами и
в политиках авторизации. Controller и устройствами группами безопасности, сохраненными
Статические группы выполнения политик. локально и на Agile Controller, сетевые
безопасности: Автоматическое распределение устройства идентифицируют группы
фиксированные IP-адреса групп безопасности и групповых источника и назначения в пакетах, а
или сегменты сети. политик от Agile Controller до точек затем сопоставляют и выполняют
выполнения политики. групповые политики.
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, стоящие перед традиционными сетями
Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Техническая архитектура сервисной цепочки
устройство
устройство 2 (устройство Huawei), а также протоколов Telnet и SNMP
(коммутатор) Повторное закачивание
Перенаправление
(устройство третьей стороны).
Сервисное
устройство 3 Трафик услуг перенаправляется через два туннеля GRE с
Повторное
закачивание Третье стороннее использованием политико-маршрутизации (PBR).
устройство
Цепочка
услуг
Туннель GRE
Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сценарии применения цепочки услуг
Брандмауэр
Антивирусное
ЦОД Оркестрационное устройство
устройство
Устройство
управления
поведением в
Цепной узел режиме онлайн
Уровень агрегации
Уровень доступа
Уровень применения
Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процедура цепочки услуг
Оркестрационное устройство Оркестрационные устройства и сервисные
устройства взаимосвязаны на уровне 3.
Agile Controller управляет оркестрационными
устройствами и сервисными устройствами и
ЦОД получает информацию о устройстве через XMPP.
Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обработка неисправности туннеля GRE (1/2)
1. Обработка неисправности туннеля GRE в исходящем направлении коммутатора
Сервисное
Коммутатор
устройство
Икс
Икс Сервисное
Коммутатор
отбрасывать устройство
Устранение неисправностей
Механизм Keepalive туннеля GRE: по умолчанию этот механизм включен в туннеле GRE.
Устранение неисправностей туннеля GRE: чтобы повысить надежность цепочек услуг,
сконфигурируйте коммутатор на сброс или прямую пересылку пакетов при сбое в туннеле GRE.
Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обработка неисправности туннеля GRE (2/2)
2. Обработка неисправности туннеля GRE в входящем направлении коммутатора
Agile Controller
1
X Сервисное
X устройство 1
2
Нормальная переадресация трафика
Коммутатор
Переадресация трафика при сбое туннеля GRE
3
Сервисное X Неисправность туннеля
4
устройство 2
X Отключение канала
Если туннель 2 не работает, трафик достигает сервисного устройства 1 через туннель 1 и затем отбрасывается.
Agile Controller может решить эту проблему.
Когда коммутатор обнаруживает сбой в туннеле GRE, он передает неисправность Agile Controller через интерфейс XMPP.
Затем Agile Controller отключает интерфейс на другом конце туннеля GRE и отменяет конфигурации туннелей GRE 3 и 4. Затем
коммутатор отбрасывает полученный трафик или пересылает трафик после поиска в таблице маршрутизации в соответствии с
заданными политиками.
Стр. 34 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, стоящие перед традиционными сетями
Стр. 35 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сценарии применения объединенной
безопасности
Угроза O&M
Партнер
Угадайте пароль входа в систему
Нарушение O&M (обход хоста
Филиал
Сторонний сервер бастиона)
управления доменом
Журналы основных активов не
Сервер журнала регистрируются в течение
Область O&M
Сервер
длительного периода времени
Хост
FW бастиона
FW FW
ASG
VPN
шлюз
Local: FW Базовая FW
сеть
Сервисный
сервер
FW
Local: FW Домен
предварительной
FW аутентификации 2
Домен
предварительной
Угрозы доступа в Интранет FW
аутентификации 1
Домен
предварительной
Распространение компьютерных
вирусов Электрон
аутентификации
Сетевые и сервисные угрозы
Web ная почта
Атака терминальной сети DMZ
Применение
DDoS/DoS атака на сервере
Атака на адрес Атака на проникновение сервера
Региональная сетевая атака Недостаточность ресурсов пограничного
Атака на коммутатор брандмауэра
Стр. 36 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Общая архитектура решения для
объединенной безопасности
Общесетевая/региональная /тенденция
безопасности ключевых активов
Тенденция
безопасности Управление
Региональное Управление Оценка угрозы
событиями
безопасности управление активами
Интерфейс Интерфейсы
syslog SNMP и ODBC
Устройства
безопасности
Источники Сетевые устройства
журнала База Управление
ХостA Сканер
Устройства Сетевые Центр данных терминалами
безопасности устройства политики
Стр. 37 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Компоненты и использование решений
Agile Controller: мозг решения. Диспетчер объединенной
безопасности собирает и обрабатывает журналы,
ассоциирует события безопасности, отображает
Agile Controller
тенденции в области безопасности и запускает ответные
меры безопасности.
Устройства отчетов
журнала Устройства Сетевые Центр
Системы Журнал отчетов устройств: генераторы журналов
третьей
безопасности устройства политики
стороны
безопасности, такие как сетевые устройства и устройства
безопасности. Они сообщают журналы Agile Controller
через связанные интерфейсы.
Стр. 38 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, стоящие перед традиционными сетями
Стр. 39 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Текущая ситуация и тенденции развития
управления безопасностью терминала
До 2001 года антивирусные и антишпионские программные технологии использовались для
управления безопасностью терминала. По мере развития технологий и диверсификации угроз
безопасности события безопасности терминала происходят часто. В результате пользователи не
Повсеместная доверяют антивирусному программному обеспечению и опасаются, что антивирусное
Терминальная зрелость безопасности
безопасность
терминала и программное обеспечение может устареть.
глобальных предприятий
управление
опытом работы с
терминалом
В период с 2001 по 2009 год для замены простой антивирусной защиты были разработаны
Защита
терминалов единые решения для обеспечения безопасности терминала, включающие управление
All-in-one
доступом, безопасность терминала, а также управление и контроль поведения терминала.
Защита от Текущий После 2009 года, когда число пользователей мобильного офиса быстро растет, область
вирусов
этап
управления безопасностью терминала расширилась от управления только ПК до единого
управления на повсеместно распространенных терминалах, включая интеллектуальные
терминалы и IP-устройства. Управление безопасностью терминала больше не зависит от
I: До 2001 года II. 2001-2009 III. 2009
событий, а сосредоточено на упреждающей защите, комплексном предотвращении и
улучшенном опыте.
Стр. 40 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Техническая архитектура безопасности
терминала
МС Администратор MC Многоуровневая модель
управления
Стр. 41 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проверка безопасности терминала обеспечивает
соответствие безопасности терминала
Стр. 42 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, стоящие перед традиционными сетями
Стр. 43 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример конфигурации Agile Controller
Домен предварительной аутентификации Домен изоляции Домен после аутентификации
(1) (3)
(2)
Уровень агрегации
Уровень доступа
Стр. 44 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Планирование IP-адресов кампуса
В следующей таблице описывается планирование IP-адресов кампуса.
Пункт Данные
(1) IP-адрес 172.16.1.254 и VLAN 10 для GigbitEthernet 0/0/1 на коммутаторе уровня ядра
(2) IP-адрес 172.16.2.254 и VLAN 20 для GigbitEthernet 0/0/2 на коммутаторе уровня ядра
(3) IP-адрес 172.16.3.254 и VLAN 30 для GigbitEthernet 0/0/3 на коммутаторе уровня ядра
(4) IP-адрес 172.16.4.254 и VLAN 40 для GigbitEthernet 0/0/4 на коммутаторе уровня ядра
IP-адрес 172.16.4.253 для SM и SC
(5) IP-адрес 172.16.5.254 и VLAN 50 для GigbitEthernet 0/0/5 на коммутаторе уровня ядра
IP-адрес DHCP-сервера: 172.16.5.253
(6) IP-адрес 172.16.6.254 и VLAN 60 для GigbitEthernet 0/0/6 на коммутаторе уровня ядра
IP-адрес 172.16.5.253 для патча-сервера и антивирусного сервера
(7) IP-адрес 172.16.7.254 и VLAN 70 для GigbitEthernet 0/0/7 на коммутаторе уровня ядра
IP-адрес 172.16.7.253 для сервера отдела R&D
IP-адрес 172.16.7.252 для сервера маркетингового отдела
IP-адрес 172.16.7.251 для сервера финансового отдела
Стр. 45 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Планирование организационной структуры
В следующей таблице приведена организационная структура предприятия.
Пункт Под-пункт Данные
Отдел исследований и разработок
Отдел Отдел маркетинга
Планирование
организации Финансовый отдел
Режим управления
Коммутатор 802.1x
доступом
Домен предварительной
Сетевые ресурсы в гостевой VLAN
аутентификации
Домен изоляции Домен изоляции: переключение на 60 VLAN
Планирование
домена Домен после аутентификации
Домен после Сотрудники отдела R&D получают доступ к серверу своего отдела.
аутентификации Сотрудники отдела маркетинга получают доступ к серверу своего отдела.
Сотрудники финансового отдела получают доступ к серверу своего отдела.
Аккаунт Kelly (отдел R&D), Larry (маркетинговый отдел) и Tony (финансовый отдел)
Планирование Исходный пароль Администратор@123
аккаунта
Режим управления
Режимы управления доступом отделов, к которым принадлежат аккаунты
доступом
Стр. 46 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Схема конфигурации (1/2)
Схема конфигурации на стороне коммутатора выглядит следующим образом:
Настройте шаблон сервера RADIUS.
Настройте схему аутентификации и схему учета.
Настройте домен по умолчанию.
Включите ретрансляцию DHCP. Динамическое переключение VLAN требует поддержки DHCP-сервера. Когда
интерфейс переключается на другую VLAN, сервер DHCP назначает интерфейсу IP-адрес из другого сегмента сети.
Интерфейс может быть добавлен в новую VLAN.
Включите аутентификацию 802.1X.
Создайте VLAN и настройте IP-адреса для VLAN.
Включите функцию 802.1X на интерфейсах и добавьте их в VLAN.
Включите прозрачную передачу пакетов аутентификации 802.1X на коммутаторах L2.
Сохраните конфигурации.
Стр. 47 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Схема конфигурации (2/2)
Схема конфигурации на стороне SM выглядит следующим образом:
Добавьте группу коммутаторов. На практике может быть несколько коммутаторов, на которых выполняется
управление доступом 802.1X. Группа коммутаторов — это набор коммутаторов, реализующих аутентификацию
802.1X и требующих централизованного управления.
Добавьте домен изоляции.
Добавьте домен после аутентификации.
Примените домен изоляции и домен после аутентификации к отделам. Если конечный пользователь не проходит
проверку безопасности, SC переключает конечного пользователя в домен изоляции. Если конечный пользователь
проходит проверку безопасности, SC переключает конечного пользователя в домен после аутентификации. Таким
образом, обеспечивается изоляция сети и авторизация доступа к сети.
Добавьте устройства, которым требуется доступ к сети через аутентификацию MAC-адреса. Включите
аутентификацию для устройств, на которых не может быть установлен AnyOffice, или выполните аутентификацию
802.1X.
Стр. 48 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация коммутатора (1/6)
Настройте шаблон сервера RADIUS.
<Quidway> system-view
[SwitchA] radius-server template template1
# Установите IP-адрес сервера аутентификации на IP-адрес SC, а номер порта
аутентификации -на 1812.
[Quidway-radius-template1] radius-server authentication 172.16.4.253 1812
# Установите IP-адрес учетного сервера на IP-адрес SC, а номер порта
аутентификации - на 1813.
[Quidway-radius-template1] radius-server accounting 172.16.4.253 1813
# Установите для общего ключа аутентификации RADIUS значение Admin @ 123.
# При настройке коммутаторов 802.1X на SM убедитесь, что ключ аутентификации и
учетный ключ совпадают с общим ключом аутентификации RADIUS.
[Quidway-radius-template1] radius-server shared-key cipher Admin@123
[Quidway-radius-template1] quit
# После создания шаблона сервера RADIUS, проверьте конфигурацию шаблона. Проверьте
IP-адрес, номер порта и ключ сервера RADIUS.
[Quidway] display radius-server configuration template template1
Стр. 49 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация коммутатора (2/6)
Создание схемы аутентификации и схемы учета acco.
[Quidway] aaa
[A-aaa] authentication-scheme auth
# Установите режим аутентификации и учета на RADIUS. После завершения настройки
проверьте ее.
[A-aaa-authen-auth] authentication-mode radius
[A-aaa-authen-auth] quit
[Quidway-aaa] display authentication-scheme
[Quidway-aaa] accounting-scheme acco
[Quidway-aaa-accounting-acco] accounting-mode radius
[Quidway-aaa-accounting-acco] quit
[Quidway-aaa] display accounting-scheme
Стр. 50 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация коммутатора (3/6)
Примените шаблон сервера RADIUS template1, схему аутентификации auth и схему учета
acco в домене по умолчанию.
[Quidway-aaa] domain default
# Применить шаблон сервера RADIUS template1.
[Quidway-aaa-domain-default] radius-server template1
# Примените схему аутентификации auth.
[Quidway-aaa-domain-default] authentication-scheme auth
# Примените схему учета acco.
[Quidway-aaa-domain-default] accounting-scheme acco
[Quidway-aaa-domain-default] quit
[Quidway-aaa] quit
# Проверьте конфигурацию AAA и убедитесь, что применяемая схема аутентификации, схема учета и шаблон
сервера RADIUS верны.
[Quidway] display domain name default
Настройте сервер RADIUS в качестве сервера авторизации. Затем сервер RADIUS может
дать указание коммутатору изменить интерфейсные VLAN на основе статуса
аутентификации конечных пользователей.
[Quidway] radius-server authorization 172.16.4.253 shared-key cipher Admin@123
Стр. 51 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация коммутатора (4/6)
Включите функцию DHCP.
[Quidway] dhcp enable
Создайте VLAN 10, 20, 30, 40, 50, 60 и 70 и сконфигурируйте IP-адреса для интерфейсов VLAN.
[Quidway] vlan batch 10 20 30 40 50 60 70
Сконфигурируйте IP-адрес 172.16.1.254 для VLANIF 10 и включите ретрансляцию DHCP для обеспечения того, чтобы
устройства в VLAN 10 могли получать IP-адреса от сервера DHCP на другом сегменте сети.
[Quidway] interface Vlanif 10
[CE12800-1-PE1-Vlanif10] ip address 172.16.1.254 255.255.255.0
[SwitchC-Vlanif10] dhcp select relay
[Quidway-Vlanif10] dhcp relay server-ip 172.16.5.253
[Quidway-Vlanif10] quit
# Конфигурация для VLAN 20 и VLAN 30 аналогична и не описана здесь.
Стр. 52 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация коммутатора (5/6)
Включите аутентификацию 802.1X на интерфейсе коммутатора, подключенного к хостам терминалов, и
добавьте интерфейс к соответствующей VLAN.
Стр. 53 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация коммутатора (6/6)
Коммутаторы агрегации L2 и доступа расположены между пользователями и коммутаторами,
на которых включена аутентификация 802.1X. Чтобы гарантировать, что пакеты
аутентификации 802.1X от пользователей могут проходить через коммутаторы L2, выполните
следующие конфигурации на коммутаторах агрегации и доступа (например, S5700HI):
<HUAWEI> system-view
[HUAWEI] sysname LAN Switch
[SwitchC] l2protocol-tunnel user-defined-protocol dot1x protocol-mac 0180-c200-0003
group-mac 0100-0000-0002
# Для group-mac нельзя установить один из зарезервированных многоадресных MAC-адресов
(от 0180-C200-0000 до 0180-C200-002F) или другие специальные MAC-адреса.
[LAN Switch] interface gigabitethernet 0/0/1
# Выполните следующие конфигурации на всех интерфейсах коммутатора L2, подключенного к
сетям верхнего уровня и пользователям.
[LAN Switch-GigabitEthernet0/0/1] l2protocol-tunnel user-defined-protocol dot1x enable
[LAN Switch-GigabitEthernet0/0/1] bpdu enable
[SwitchA-GigabitEthernet0/0/1] quit
Стр. 54 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация SM (1/2)
Войдите в Agile Controller с помощью учетной записи администратора.
Добавьте группу коммутаторов.
Выберите Resource > Device > Device Management.
# Выберите Device Group > Access Control из навигационного дерева, и нажмите и установите параметры группы
коммутаторов.
Стр. 55 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация SM (2/2)
# При добавлении устройства установите IP-адрес в значение
172.16.4.254. При использовании аутентификации RADIUS,
установите ключ Authentication/Accounting в Admin @ 123.
Нажмите OK.
# Выберите Access Control, выберите Huawei-S5720 и нажмите,
чтобы переместить Huawei-S5720 для переключения группы
Switch_Core.
Стр. 56 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Добавление результатов авторизации —
домены изоляции
# Выберите Policy > Permission Control > Authentication&Authorization > Authorization
Result. Нажмите Add и сконфигурируйте VLAN 60 в качестве домена изоляции.
# Установите параметры результата авторизации, как показано на рисунке справа.
Стр. 57 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Добавление результатов авторизации —
Домены после аутентификации (1/2)
# Серверы всех отделов добавляются в одну и ту же VLAN.
Чтобы предоставить сотрудникам отдела доступ только к
серверам отдела, установите динамические списки ACL на
Agile Controller для управления разрешением доступа.
Установите ACL 3001, 3002 и 3003, чтобы сотрудники
отделов исследований и разработок, маркетинга и
финансов могли получать доступ только к серверам
соответствующих отделов соответственно.
Стр. 58 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Добавление результатов авторизации —
Домены после аутентификации (2/2)
# Выберите Policy > Permission Control > Authentication&Authorization >
Authorization Result. Нажмите Add и сконфигурируйте различные домены
после аутентификации для разных отделов. На правой рисунке показаны
настройки домена после аутентификации отдела исследований и
разработок. Настройки доменов после аутентификации для
маркетинговых и финансовых отделов аналогичны, за исключением ACL.
# На следующем рисунке показаны сконфигурированные результаты
авторизации для доменов после аутентификации отделов исследований
и разработок, маркетинга и финансов.
Стр. 59 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Добавление правил аутентификации
# Выберите Policy > Permission Control >
Authentication&Authorization > Authentication Rule. Нажмите Add и
сконфигурируйте разные правила аутентификации для разных
отделов. На правом рисунке показана конфигурация правила
аутентификации для отдела исследований и разработок.
Конфигурации правил аутентификации для отделов маркетинга
и финансов аналогичны и не описаны здесь.
# На следующем рисунке показаны настроенные правила
аутентификации для отделов исследований, маркетинга и
финансов.
Стр. 60 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Добавление правил авторизации —домены
изоляции
# Выберите Policy > Permission Control > Authentication&Authorization >
Authorization Rule. Нажмите Add и настройте правило авторизации. Коммутатор
изменяет VLAN, к которой интерфейс, подключенный к терминалу, относится к
VLAN 60 (домен изоляции), если во время проверки безопасности терминала не
обнаружено серьезных нарушений терминала. Настройте разные правила
авторизации для разных отделов. На правом рисунке показана конфигурация
правила авторизации для изолированного домена отдела исследований и
разработок. Конфигурации правил авторизации для отделов маркетинга и
финансов аналогичны и не описаны здесь.
# На следующем рисунке показаны настроенные правила авторизации для
изолированных доменов отделов исследований, маркетинга и финансов.
Стр. 61 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Добавление правил авторизации -
Домены после аутентификации
# Выберите Policy > Permission Control > Authentication&Authorization > Authorization
Rule. Click Add and configure an authorization rule. Коммутатор изменяет VLAN, к
которой интерфейс, подключенный к терминалу, относится к VLAN 70 (домен после
аутентификации), если не обнаружено серьезного нарушения терминала во время
проверки безопасности терминала. Настройте разные правила авторизации для
разных отделов. На правом рисунке показана конфигурация правила авторизации
для домена после аутентификации отдела исследований и разработок.
Конфигурации правил авторизации для отделов маркетинга и финансов
аналогичны и не описаны здесь.
# На следующем рисунке показаны настроенные правила авторизации для отделов
исследований, маркетинга и финансов.
Стр. 62 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Добавление устройств, требующих байпасной
аутентификации MAC-адресов (1/2)
Выберите Resource > Terminal > Terminal List. Выберите Device Group и нажмите
Add. Создайте группу устройств с именем группы устройств принтера.
# Выберите группу устройств принтера. На вкладке Device Group List нажмите Add и
установите название группы устройств на Printer.
Стр. 63 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Добавление устройств, требующих байпасной
аутентификации MAC-адресов (2/2)
Стр. 64 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Добавление устройств, требующих байпасной
аутентификации MAC-адресов — аутентификация и
авторизация
# Выберите Policy > Permission Control > Authentication&Authorization >
Authentication Rule. Нажмите Add. Сконфигурируйте правило аутентификации,
чтобы позволить Agile Controller разрешить доступ к сети с использованием
пакетов байпасной аутентификации MAC-адресов.
# Выберите Policy > Permission Control > Authentication&Authorization >
Authorization Rule. Нажмите Add. Сконфигурируйте правило авторизации для
включения коммутаторов в группу устройств, чтобы разрешить доступ к сети с
использованием пакетов байпасной аутентификации MAC-адресов.
# Необходимо отказать в запросах на байпасную аутентификацию MAC-
адресов от устройств, не входящих в группу устройств терминалов принтера.
Выберите Policy > Permission Control > Authentication&Authorization >
Authorization Rule. Нажмите Add и сконфигурируйте правило авторизации,
чтобы запретить доступ к сети от устройств, не входящих в группу устройств
принтера.
Стр. 65 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проверка конфигурации
Когда клиент 802.1X в операционной системе
Windows используется для аутентификации
идентификационных данных, выберите Enable IEEE
802.1X.
Стр. 66 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какие домены аутентификации поддерживают Agile Controller?
А. Домен предварительной аутентификации
В. Домен изоляции
Г. Домен аутентификации
Стр. 67 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Модели обслуживания QoS
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение
Непрерывное развитие сети и увеличение масштаба сети и типов трафика
вызывают увеличение трафика в Интернете и риск перегрузки трафика. При
возникновении перегрузки трафика услуги сталкиваются с длительными
задержками или даже с потерей пакетов. В результате услуги ухудшаются или даже
становятся недоступными. Поэтому срочно требуется решение для устранения
перегрузки трафика на IP-сети. Наилучшим способом устранения перегрузки
трафика является увеличение полосы пропускания сети, хотя это нереально из-за
высоких расходов на строительство сети.
Технология QoS (качества обслуживания) используется для решения проблемы. С
ограниченной полосой пропускания эта технология использует гарантированную
политику для управления сетевым трафиком и предоставления различных услуг.
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы узнаете:
Факторы, влияющие на QoS
Модели услуг QoS
Внедрение модели DiffServ
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы качества традиционной сетевой связи
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблемы традиционной сетевой связи E2E
WAN
Заблокированная
точка
10 Мбит/с
E1 E1
Филиал Штаб-квартира
предприятия предприятия
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы качества традиционной сетевой связи
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования к качеству сети различных услуг
Для обеспечения качества связи необходимо выполнить требования к сети
различных услуг.
Полоса Коэффициент
Тип трафика Задержка Джиттер
пропускания потери пакетов
Голос Низк. Высок. Высок. Низк.
Видео Высок. Высок. Высок. Низк.
FTP Средн., высок. Низк. Низк. Высок.
Электронная
почта, просмотр Низк. Низк. Низк. Средн., высок.
веб-страниц HTTP
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Полоса пропускания сети
BWmax = 256kbps
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Задержка сети
Привет!
(через 2 с) Вы (Через 2с) Привет!
меня слышите? (Через 4с) Это
Майк?
Задержка Задержка Задержка
Задержка Задержка сериализации
сериализации сериализации
передачи передачи
Так долго?
IP network
Задержка
Задержка Задержка передачи
Задержка Задержка Задержка Задержка
обработки очереди обработки очереди обработки очереди
Задержка
передачи
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Джиттер
Завтра на объект клиента Завтра на объект клиента
пойду я, а не он. пойду не я?....а он.
IP-сеть
Time Пойду
D1 = 50 мс
я Пойду
D2 = 50 мс
, не
D3 = 10 мс
а D4 = 40 мс я?
не
D5 = 90 мс
он а
D6 = 90 мс
он.
Джиттер происходит потому, что задержки E2E каждого пакета отличаются друг от друга.
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Потеря пакетов
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы качества традиционной сетевой связи
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Модель BE
В сети, где используется модель BE (Best-Effort), можно увеличить полосу
пропускания сети и модернизировать сетевые устройства для улучшения качества
сетевой связи.
Увеличить полосу пропускания сети: Обновить сетевое устройство:
E1 E1
E1 E1
Производительность переадресации
Поток данных Поток данных пакетов улучшается почти 10 раз, а
2 Мбит/с 2 Мбит/с память улучшается почти 15 раз.
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Модель IntServ
Устройства запускают некоторые протоколы для обеспечения качества связи
ключевых услуг.
ОК ОК ОК ОК
Преимущество: модель IntServ может обеспечивать полосу пропускания и задержку для конкретных
услуг.
Недостаток: осуществление является сложным. Если трафик не отправляется, полоса пропускания
занята исключительно. Использование полосы пропускания является низким. Все узлы должны
поддерживать и запускать RSVP.
Модель IntServ редко используется.
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Модель DiffServ
Поскольку реализация модели IntServ является сложной, а использование полосы
пропускания низко, модель DiffServ (Differentiated Service) используется для обеспечения
качества связи ключевых услуг.
③ Отправить пакеты в буферные очереди на
① Классифицировать пакеты при
основе значений CoS и реализовать
входе в сеть и отметить приоритет
дифференцированных услуг на основе
пакетов.
механизма планирования между очередями.
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сравнение между тремя моделями услуг
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какие из следующих вариантов являются моделями QoS?
А. Модель BE
Б. Модель IntServ
В. Модель DiffServ
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Классификация трафика и маркировка
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение
По мере развития сетей расширяются типы трафика услуг. Перед
предоставлением дифференцированных услуг требуются устройства для
классификации и идентификации трафика услуг.
Данный курс в основном описывает, как устройство классифицирует и
маркирует полученный трафик, и реализует команды конфигурирования.
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы узнаете:
Базы классификации пакетов
Процессы маркировки пакетов
Конфигурацию классификации и маркировки
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Процесс классификации пакетов
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Необходимость классификации пакетов
Для предоставления дифференцированных услуг, устройство должно
классифицировать трафик, входящий в домен DiffServ, на основе правил.
⑥ ⑤ ④ ③ ② ①
⑥ ⑤ ① Правило 1
④ ② Правило 2
③ Правило 3
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Основа классификации пакетов
Технология классификации пакетов может передавать различные типы пакетов на
основе типов каналов и приоритетов QoS в пакетах.
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Поле 802.1p в пакетах VLAN и поле EXP в
пакетах MPLS
Label
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Поле IP Precedence в пакетах IPv4
Поле приоритета IP в IP-пакетах определяет приоритет и диапазон
значений от 0 до 7.
ToS (1 Byte)
7 6 5 4 3 2 1 0
ToS(1 Byte)
7 6 5 4 3 2 1 0
7 6 5 4 3 2 1 0
DSCP Зарезервировано
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Поле DSCP в пакетах IPv4 (2)
Значения DSCP могут быть выражены следующим образом:
Значение: целое число от 0 до 63.
Ключевое слово идентифицирует значение DSCP.
CS7
CS
Приоритет в порядке
CS6
EF EF
убывания
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
DSCP/ IP-Precedence/ 802.1p/ EXP
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ограничения простой классификации трафика
На практике существуют более сложные классификационные требования:
② Требование 2: Услуга передачи
① Требование 1: Трафик с ПК директора
файлов FTP также требует
должен быть преференциально
определенного преференциального
перенаправлен.
перенаправления.
Директор
Сервер FTP
Финансовый
отдел
Штаб-квартира Филиал
предприятия предприятия
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования к конфигурации классификации
пакетов
Директор Сервер
FTP
Финансовый
отдел
Штаб-квартира Филиал
предприятия предприятия
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование классификации пакетов
Директор
3333-3333-3333 Граничный Узел DS
узел DS
Финансовый
отдел RTA
SWA
Граничный Сервер
узел DS FTP
SWB
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Процесс классификации пакетов
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс маркировки пакетов
Директор
3333-3333-3333 Граничный
Узел DS
узел DS
802.1p=1
Финансовый 802.1p=5 RTA
отдел
802.1p=3
SWA 802.1p=2
Сервер
SWB
FTP
Граничный
узел DS
① Комплексная классификация ② Простая классификация ③ Комплексная классификация и
трафика и маркировка трафика и маркировка маркировка трафика
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Процесс классификации пакетов
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование маркировки пакетов
traffic behavior manager
remark 8021p 1
traffic behavior voice
remark 8021p 5
traffic behavior video
Директор remark 8021p 3
3333-3333-3333
G0/0/0 Узел DS
G0/0/1
802.1p=1
ФинансовыйG0/0/2 RTA
отдел 802.1p=5
802.1p=3
G0/0/3 SWA 802.1p=2
G0/0/0 Сервер
SWB
FTP
int g0/0/0
traffic policy a1 traffic-policy a1 inbound
classifier manager behavior int g0/0/1
manager traffic-policy a1 inbound
classifier voice behavior voice int g0/0/2
classifier video behavior video traffic-policy a1 inbound
int g0/0/3
traffic-policy a1 inbound
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какие бывают режимы классификации пакетов?
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Управление перегрузками и их
предотвращение
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение
Когда сеть испытывает периодические перегрузки возникает необходимость
переадресации ключевых пакетов с более высоким приоритетом, для чего
требуется управление перегрузками. Для распределения пакетов по
очередям применяются технологии очереди и алгоритмы планирования.
Если очередь переполнена всплеском и неключевыми пакетами, то все
последующие ключевые пакеты, направленные в нее, будут отброшены.
Управление перегрузками не достигнет эффекта. В этом случае необходимо
использовать предотвращение перегрузок.
Как осуществляется управление перегрузками и предотвращение
перегрузок? Как они конфигурируются на практике?
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы:
Будете понимать реализацию управления перегрузками
Познакомитесь с общими алгоритмами планирования очереди
Познакомитесь с недостатками отбрасывания последнего элемента (tail drop) и
методом их преодоления
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Управление перегрузками
Возникновение перегрузок и способы решения
Общие алгоритмы планирования очереди
Внедрение управления перегрузкой
2. Предотвращение перегрузок
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Возникновение перегрузки
1. Когда трафик связи между штаб-квартирой и филиалом
превышает выходную пропускную способность штаб-
квартиры, возникает перегрузка на RTA.
10 Мбит/с
Перегрузка
Филиал
RTA предприятия
2 Мбит/с
2. Качество связи с чувствительными к
задержкам голосовыми и видео услугами
Штаб-квартира не может быть гарантировано, поэтому
FTP сервер требуется управление перегрузками.
предприятия
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Реализация управления перегрузкой (1/2)
...
...
802.1p=3
SWA RTA
Номер
802.1p LP
очереди
- 0 0 Отправка пакетов в разные очереди в
зависимости от сопоставления локальных
1 1 1
приоритетов и номеров в очереди.
2 2 2
3 3 3
- 4 4
5 5 5
- 6 6
- 7 7
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Реализация управления перегрузкой (2/2)
...
...
2. Общие алгоритмы планирования очереди
Очередь 5 включают FIFO, PQ, WRR, WFQ и CBQ.
Голос Голос
...
...
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Управление перегрузками
Возникновение перегрузок и способы решения
Общие алгоритмы планирования очереди
Внедрение управления перегрузкой
2. Предотвращение перегрузок
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
FIFO
Срочное
Второй приоритет
Несрочное
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
PQ
Высший
Планирование очереди
Классификация
Высший
Обычный
Низкий
Срочное
Второй приоритет
Несрочное
Очередь Б вес 2 А
5 2 Б 3 5 2 7 4 1
В
Очередь В вес 1
9 6 3
Достоинство: Weight Round Robin (WRR) предотвращает проблему, связанную с тем, что очереди с
низким приоритетом могут не попасть в план отправок.
Недостаток: пакеты распределяются в зависимости от количества. В этом случае пакеты разных
размеров распределяются не на справедливой основе, а требовательные к задержке услуги могут быть
отправлены несвоевременно.
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
WFQ
Пакеты, отправляемые с
этого интерфейса Очередь 1 вес 1
…
Очередь N-1 вес N-1
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
PQ + WFQ
Очередь 7
По
этого интерфейса
Очередь 5
Отправленные пакеты
Очередь 4
Очередь 3
WFO
Очередь 2
Классификация Интерфейс
Очередь 1
Последовательность
планирования
Очередь 0
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
CBQ
EF 1
...
EF
Пакеты IP или MPLS EF N
Отправленные пакеты
AF 1
...
AF
AF N
Интерфейс
BF 1 Планирование
Классификация
...
BF
BF N
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сравнение алгоритмов планирования
Тип Достоинство Недостаток
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Управление перегрузками
Возникновение перегрузок и способы решения
Общие алгоритмы планирования очереди
Внедрение управления перегрузкой
2. Предотвращение перегрузок
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования к управлению перегрузками
(PQ+WFQ)
10 Мбит/с 10 Мбит/с
Филиал
G0/0/0 предприятия
RTA
Штаб-квартира
предприятия
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Реализация управления перегрузками
(PQ+WFQ)
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Управление перегрузками
2. Предотвращение перегрузок
Tail drop: недостатки их устранение
Конфигурирование WRED
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Традиционная обработка после
заполнения очереди
6 5 4 3 2 1
2. Когда очередь переполнена, все 1. Очередь переполнена.
последующие пакеты, отправляемые в
очередь, будут отбрасываться.
TCP соединение
10 Мбит/с
RTA
Штаб-
квартира 1. При перегрузке и переполнении
предприятия очереди пакеты в конце очереди
отбрасываются. Филиал
предприятия
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Недостатки tail drop: глобальная
синхронизация TCP (2/2)
3. Пакеты TCP acknowledgement, отправленные сервером,
2. Интенсивный трафик. В отбрасываются из-за перегрузки. Следовательно, отправитель не
результате очередь заполняется и получает TCP acknowledgement и считает, что возникла
применяется tail drop. перегрузка сети. Соответственно, сокращаются как размер окна
TCP, так и трафик.
Трафик
Время
4. Перегрузка сети устранена. Отправитель может
1. TCP-соединения получить пакеты TCP acknowledgement и считает,
переходят в состояние что перегрузки сети нет. Соответственно, TCP-
медленного запуска. соединения переходят в состояние медленного
запуска. Процесс повторяется.
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение: RED
Во избежание глобальной синхронизации TCP некоторые пакеты отбрасываются случайным образом до
заполнения очередей. Скорость передачи некоторых соединений TCP можно снизить, чтобы
максимально предотвратить глобальную синхронизацию TCP. Такое случайное отбрасывание пакетов
называется Random Early Detection (RED).
Трафик
Вероятность
отбрасывания Кривая вероятности
отбрасывания
100%
Фактическая
длина очереди
Нижний порог Верхний порог Максимальная
отбрасывания отбрасывания длина очереди
1. Когда длина очереди меньше 2. Если длина очереди варьируется от нижнего порога
минимального порогового до верхнего порога отбрасывания, то последующие Время
4. Глобальная синхронизация TCP может по-
значения отбрасывания, пакеты пакеты отбрасываются случайным образом. Чем прежнему случаться, но использование канала
не отбрасываются. длиннее очередь, тем больше вероятность значительно улучшится.
отбрасывания.
Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Недостатки tail drop #2: TCP Starvation
1. Очередь заполнена.
2. Большое количество пакетов TCP,
отправляемых в очередь и находящихся в
«хвосте» очереди, отбрасываются. В результате
уменьшаются размер окна и трафик TCP. Однако
трафик UDP не снижается и может занять
очередь, вызывая TCP Starvation.
Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Недостатки tail drop #3: отбрасывание без
различения
1. Очередь заполнена.
2. Tail drop может привести к
пересылке большого количества
неключевых данных, в то время как
значительная часть ключевых
данных будет отброшена.
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение: WRED
Технология WRED задает политики отбрасывания пакетов данных с различными приоритетами или в
различных очередях, позволяя различать и отбрасывать трафик.
Вероятность отбрасывания
Кривая вероятности отбрасывания
100%
Максимальная
вероятность
отбрасывания 30%
WRED позволяет устранить три недостатка tail drop. Это значительно улучшает использование
пропускной способности канала.
Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Управление перегрузками
2. Предотвращение перегрузок
Tail drop: недостатки их устранение
Конфигурирование WRED
Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования конфигурирования WRED
Менеджер Узел DS
dscp E1
Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Реализация конфигурации WRED
Тип трафика Значение DSCP LP Очередь Tail drop
Менеджер 8 1 1 (WFQ)
[RTA]drop-profile manager
wred dscp
dscp 8 low-limit 50 high-limit 70 discard-percentage 10
drop-profile ftp
wred dscp
dscp 16 low-limit 70 high-limit 90 discard-percentage 10
drop-profile video
wred dscp
dscp 24 low-limit 60 high-limit 80 discard-percentage 20
qos queue-profile qos-Huawei
queue 1 drop-profile manager
queue 2 drop-profile ftp
queue 3 drop-profile video
interface E1
qos queue-profile qos-Huawei
Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Каковы два шага реализации управления перегрузками?
Б. TCP Starvation
Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Политики ограничения трафика и
формирование трафика
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение
Часто происходит перегрузка сети. Если трафик услуг, отправляемый
пользователями, не ограничен, разрыв трафика многих пользователей
усугубит перегрузку сети. Для использования ограниченных сетевых
ресурсов и предоставления более качественных услуг, необходимо
ограничить пользовательский трафик.
Политики ограничения трафика и формирование трафика — это тип
стратегии управления потоком, которая ограничивает использование
трафика и его ресурсов путем мониторинга трафика.
На этом разделе описываются различия между политиками ограничения
трафика, формированием трафика и методами конфигурирования.
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По завершении данного курса Вы сможете:
Ознакомиться с характеристиками политик ограничения трафика и
формирования трафика
Освоить настройку политик ограничения трафика и формирования трафика
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Политики ограничения трафика и формирование трафика
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Политики ограничения трафика
Настройте политики ограничения трафика на traffic behavior voice
входящем интерфейсе выходного маршрутизатора car cir 800 (Настройка) Пакеты, скорость которых превышена,
предприятия, чтобы ограничить скорость общего могут быть отброшены или приоритет
трафика и обеспечить минимальную пропускную
traffic behavior video Скорость пакетной пакетов уменьшен до их
способность различного трафика. car cir 2000 (Загрузка) передачи входящего переадресации.
traffic behavior data интерфейса на RTA
car cir 1200 (Настройка)
RTA RTB
1200 Гбит/с
Политики
Арендатор ограничения трафика Дата
800 Гбит/с
Голос
Пропускная способность LAN арендатора намного Голос 800kbps
выше, чем пропускная способность ISP. В этом
случае большой объем трафика отбрасывается Видео 2000kbps
Время
без разбора на входе интернет-провайдера (ISP). Дата 1200kbps
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Формирование трафика
Настройте формирование трафика на исходящем traffic behavior voice Скорость пакетной передачи
интерфейсе выходного маршрутизатора предприятия, gts cir 800 (Ошибка) исходящего интерфейса на RTA
чтобы обеспечить пропускную способность различных traffic behavior video (трафик данных используется в
типов трафика и оптимизировать использование качестве примера)
gts cir 2000 (Загрузка)
пропускной способности. traffic behavior data
gts cir 1200 (Загрузка)
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сравнение политик ограничения трафика с
формированием трафика
Тип ограничения
Преимущество Недостаток
скорости
Вызывают высокий
коэффициент потери пакетов.
Политики Ограничивают скорость
Когда канал свободен,
ограничения различных типов пакетов
пропускная способность не
трафика и пересчитывает пакеты.
может быть полностью
использована.
Сброс меньшего Вызывают дополнительные
Формирование количества пакетов и задержки и дрожание и
трафика полное использование требуют дополнительных
пропускной способности. ресурсов буфера устройств.
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Каковы различия между политиками ограничения трафика и формированием
трафика?
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Обзор информационной безопасности
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы узнаете:
Необходимость информационной безопасности
Методы обеспечения информационной безопасности
Проблемы безопасности и рисков, с которыми сталкиваются сети
Методы решения проблем безопасности, с которыми сталкиваются сети
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Зачем нам нужна информационная безопасность?
4. Безопасность сети
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель информационной безопасности: защита
информационных активов предприятия
Для предприятий информационные активы необходимы для поддержания
непрерывного функционирования и управления предприятием. Например, доклад о
состоянии рынка, данные исследований, план и решение, а также информация о
конкуренции могут повлиять на деятельность предприятий по различным аспектам.
Информатика
конкуренции
предприятий
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Зачем нам нужна информационная безопасность?
4. Безопасность сети
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обеспечение защиты информационных активов
ЦРУ (CIA)
Конфиденциальность
Частные данные не должны раскрываться
несанкционированным лицам.
Целостность
Доступность
Информация и процедура не могут
быть получены путем преднамеренного
I А Системы должны своевременно
или непреднамеренного предоставлять услуги и не
несанкционированного должны отказывать
манипулирования. уполномоченным пользователям.
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Модель конфиденциальности и утечки
Модель утечки
Отправитель Получатель
Подслушиватель
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Модель целостности и фальсификации
Модель
фальсификации
Отправитель Получатель
Неавторизованный пользователь
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Модель доступности и Anti-sabotage
Противодиверсионная
модель
Отправитель Получатель
Атакующий
4. Безопасность сети
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Что угрожает информационной безопасности?
Риск Конфиденциальность Целостность Доступность
Стихийные бедствия ● ●
Неисправность аппаратного
● ● ●
обеспечения
Дефект программного обеспечения ● ● ●
Не авторизованный доступ ● ●
DoS ●
Утечка данных ● ●
Подделка и спуфинг ● ●
Прослушивание ●
Компьютерный вирус ● ●
Троянский конь ● ●
Бэкдор и trap ● ● ●
Электромагнитное излучение ●
Кража ● ● ●
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обеспечение информационной безопасности с
помощью технологий информационной безопасности
Службы Услуги
Услуги целостности Услуги доступности
безопасности конфиденциальности
Технология
Технологии Технология Технология
симметричного
безопасности открытого ключа брандмауэра
ключа
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Достаточно ли только обеспечения технологии
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обеспечение информационной безопасности
посредством управления информационной
безопасностью
Факторы Технические
управления факторы
Человеческие
факторы
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Три типичных метода реализации для
управления информационной безопасностью
Используется Характеристики
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Управление рисками в системе управления
информационной безопасностью
Определение охвата Определение руководящих
ISMS принципов ISM
Определение метода
Идентификация рисков Оценка риска
оценки рисков системы
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание управления информационной
безопасностью
Поле управления системой управления информационной безопасностью (ISO/IEC 27001-2013)
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Управление информационной безопасностью —
поддомен управления (1/2)
Поле управления Поддомен управления
A.5 Политика информационной безопасности A.5.1 Руководство по управлению информационной безопасностью
A.6.1 Внутренняя организация
A.6 Организация информационной безопасности
A.6.2 Мобильные устройства и удаленная работа
A.7.1 Перед назначением
А.7 Безопасность людских ресурсов A.7.2 При назначении
A.7.3 Окончание и изменение назначения
A.8.1 Ответственность за активы
A.8 Управление активами A.8.2 Классификация информации
A.8.3 Обработка носителей
A.9.1 Требования к услугам контроля доступа
A.9 Контроль доступа A.9.2 Управление доступом пользователей
A.9.3 Пользовательская ответственность
A.10 Криптология A.10.1 Контроль паролей
A.11.1 Зона безопасности
A.11 Физическая и экологическая безопасность
A.11.2 Устройства
A.12.1 Правила и ответственность операции
A.12 Операционная безопасность
A.12.2 Предотвращение вредоносных программ
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Управление информационной безопасностью —
поддомен управления (2/2)
Поле управления Поддомен управления
A.12.3 Резервное копирование
A.12.4 Журналы и наблюдение
A.12 Операционная безопасность A.12.5 Управление программным обеспечением
A.12.6 Управление технической уязвимостью
A.12.7 Рассмотрение аудита информационной системы
A.13.1 Управление безопасностью сети
A.13 Безопасность связи
A.13.2 Передача информации
A.14.1 Требования к безопасности информационных систем
A.14 Приобретение, разработка и
A.14.2 Безопасность в процессе разработки и поддержки
техническое обслуживание системы
A.14.3 Данные тестирования
A.15.1 Информационная безопасность в отношениях с поставщиками
A.15 Отношения с поставщиками
A.15.2 Управление поставками услуг
A.16 Управление инцидентами в
A.16.1 Управление и улучшение инцидентов информационной безопасности
области безопасности информации
A.17 Информационный аспект A.17.1 Непрерывность информационной безопасности
управления непрерывностью услуг A.17.2 Резервирование
A.18.1 Соблюдение законов и правил
A.18 Соответствие
A.18.2 Оценка безопасности информации
Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Зачем нам нужна информационная безопасность?
4. Безопасность сети
Почему сеть сталкивается с проблемами безопасности?
С какими рисками безопасности сталкивается сеть?
Как решить проблемы безопасности сети?
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Стек протокола TCP/IP — риски безопасности
IPv4
Отсутствие
конфиденци
ального
гарантийног
о механизма
TCP/IP
(IPv4)
Отсутствие
Отсутствие
механизма
механизма
проверки
проверки
источника
целостности
данных
Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Зачем нам нужна информационная безопасность?
4. Безопасность сети
Почему сеть сталкивается с проблемами безопасности?
С какими рисками безопасности сталкивается сеть?
Как решить проблемы безопасности сети?
Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Общие риски безопасности стека протокола
TCP/IP
Уязвимость и атака на переполнение буфера
Атака веб-приложений, вирусы и троянские Прикладной
лошади уровень
Повреждение
устройства,
перехват Физический уровень
Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Физический уровень — перехват каналов
Физическое сетевое устройство:
Концентратор
Ретранслятор
Беспроводная сеть
Слушатель
Предотвращение перехвата каналов:
Замените концентраторы и ретрансляторы в сети коммутаторами.
Примените усовершенствованную систему аутентификации и шифрования в
беспроводной сети, чтобы злоумышленники не смогли восстановить исходную
информацию даже после получения передаваемых сигналов.
Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Канальный уровень — MAC Spoofing
При MAC Spoofing атакующие изменяют свои собственные MAC-адреса на
адреса надежных систем.
Защита от MAC Spoofing:
Сконфигурируйте статические записи на коммутаторе для привязки MAC-
адресов к определенным портам.
F0-DE-F1-33-7F-DA E0
E1
«Я тоже»: F0-DE-F1-33-7F-DA
Злоумышленник
Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сетевой уровень — атака Smurf
192.168.1.3
192.168.1.1
192.168.1.4
Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Транспортный уровень — TCP Spoofing
Несанкциони
рованное
подключение
Хост A
Атакующий SYN Сек АКК
хост C 1 11000 0
Ложный пакет с C на A
SYN ACK seq ack
ACK сл АКК
1 1 54002 11001
1 11001 54003
Ложный пакет от B до A
Хост B
Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Транспортный уровень — атака UDP Flood
UDP
Атакующий Сервер
Стр. 34 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Уровень приложения — атака переполнения
буфера
Наиболее распространенный метод в поведении атаки
программного обеспечения. stack
Может быть реализовано локально или удаленно.
Атака переполнения буфера использует высокие рабочие
разрешения для атаки кодов на основе уязвимостей памяти во
время реализации программного обеспечения (например,
операционная система, сетевая служба и программная
библиотека). Data
Возможные уязвимости связаны с операционной системой и
архитектурой, они могут быть обнаружены только Code
злоумышленниками, обладающими знаниями и технологиями.
Стр. 35 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Зачем нам нужна информационная безопасность?
4. Безопасность сети
Почему сеть сталкивается с проблемами безопасности?
С какими рисками безопасности сталкивается сеть?
Как решить проблемы безопасности сети?
Стр. 36 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Структура системы безопасности OSI
Функциональный OSI TCP/IP
уровень Прикладной
уровень
Уровень
представления Прикладной
уровень
Сеансовый уровень
Транспортный Транспортный
уровень уровень
Уровень сети
Сетевой уровень Интернет
Канальный уровень
Уровень доступа к
сети Механизмы
Физический уровень безопасности
Услуга
аутентификации
данных
Механизм целостности
доступа
Механизм контроля
Механизм шифрования
подписи
Механизм цифровой
маршрутом
аутентификации
Механизм коммутации
Механизм совместимости
Механизм управления
Механизм заполнения
потока услуг
оформления
Механизм нотариального
Контроль
доступа
Целостность
данных
Конфиденциальн
ость данных
Невозможность
отказа от
авторства
Стр. 37 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Взаимосвязь между службами безопасности и
механизмами безопасности
Механизм
Цифровая Контроль Целостнос Коммутация Анализ Управление Нотариальное
Шифрование
подпись доступа ть данных аутентификации анти-трафика маршрутом заверение
Услуга
Аутентификация
● ● ●
объекта
Контроль
● ●
доступа
Конфиденциальн
● ● ●
ость данных
Целостность
● ● ●
данных
Невозможность
отказа от ● ● ●
авторства
Стр. 39 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Взаимосвязь между функциональными уровнями
и механизмами безопасности
OSI Физический Канальный Сетевой Транспортный Сеансовый Уровень Прикладной
Механизм уровень уровень уровень уровень уровень представления уровень
Шифрование ● ● ● ● ● ●
Цифровая подпись ● ● ● ●
Контроль доступа ● ● ●
Целостность данных ● ● ● ●
Коммутация
● ● ●
аутентификации
Анализ анти-трафика ● ●
Управление маршрутом ●
Нотариальное
● ●
заверение
Стр. 40 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Уровни протокола безопасности
Уровень Целевой Протокол
Реализация политики безопасности
протокола объект безопасности
SET Шифрование информации, идентификация идентичности, цифровая подпись и аутентификация целостности данных
Транспортный Конечный SSL/TLS Шифрование информации, аутентификация идентичности и аутентификация целостности данных
уровень процесс SOCKS Контроль доступа и проникновение брандмауэра
Уровень сети
Хост IPsec Шифрование информации, аутентификация идентичности и аутентификация целостности данных
Интернет
PAP Аутентификация
CHAP Аутентификация
WPA Шифрование информации, идентификация идентичности, контроль доступа и аутентификация целостности данных
Стр. 41 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Технология информационной безопасности —
сетевая безопасность
Безопасность сети
Безопасность
сетевого Устройство сетевой безопасности Безопасность сетевой архитектуры
протокола
безопасная зона
резервирования
проектирование
доступом к сети
IP-адрес сети и
Конфигурация
Безопасность
безопасности
взаимосвязи
Архитектура
коммутации
управления
маршрутов
устройств
Политика
открытой
системы
системы
Сетевая
VLAN
Бранд Другие устройства
сети
IDS
мауэр сетевой безопасности
Аудит
Аутентификация
безопасности: Контроль Проверка Физическая
Предотвращение и безопасность
Предотвращение доступа целостности безопасность:
Передача и Система аудита вредоносного Сетевой данных:
вторжений хоста и границ:
безопасность сетевой кода: контроль Интеллектуальны
приложения: Система
данных: безопасности, Предотвращение доступа: Система й контроль
Антивирусный аутентификации
система аудита вторжений Система управления доступа,
VPN шлюз и Брандмауэр цифрового
услуг и система IDS/IPS и хоста усиления безопасностью видеонаблюдение
антивирусное ПО сертификата на
аудита хоста терминалов и питание UPS
базе PKI
журналов
Стр. 44 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Каковы три атрибута, которые больше всего касаются информационной
безопасности?
А. Конфиденциальность
Б. Целостность
В. Доступность
Г. Аутентификация
Стр. 46 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Технологические основы
брандмауэров Huawei
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение
Английское слово «Файрвол» («Огненная стена») впервые было использовано в
сфере строительства. Функция файрвола состоит в том, чтобы изолировать огонь,
предотвращая его распространение из одной области в другую. В области связи
файрвол, иначе именуемый брандмауэром, обычно используется для
целенаправленной логической изоляции сетей. Конечно, эта изоляция применяется
разумно. Она блокирует сетевые атаки, в то же время позволяя пакетам с данными
проходить насквозь.
Как использовать брандмауэры для защиты сетей от атак и вторжений? Как скрыть
внутренние сети предприятия? Этот курс ответит на все эти вопросы.
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы:
Усвоите основные знания о брандмауэрах и настройках политики
безопасности
Усвоите принципы NAT и конфигурирование
Поймете принцип и конфигурацию защиты от атак
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Базовые знания о брандмауэрах
Зачем нам нужны брандмауэры?
История развития брандмауэра
Продукты-брандмауэры Huawei
Зона безопасности
Политика безопасности
2. NAT
3. Защита от атак
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Зачем нам нужны брандмауэры?
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сравнение брандмауэров с коммутаторами
и маршрутизаторами
Маршрутизатор
Контролируемая
Организация соединений
брандмауэром
и переадресация
переадресация
Обеспечение межсетевого
пакетов
взаимодействия
Защита от атак,
вирусов
и троянов
блокирование
Коммутатор
Агрегация LAN
2/3 уровня с быстрой
переадресацией пакетов
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Разница между брандмауэрами и
маршрутизаторами в управлении безопасностью
Брандмауэр Маршрутизатор
В результате возникшей необходимости в
Общая информация На основе маршрутизации сетевых пакетов.
обеспечении безопасности.
«Блокировать» любые недопустимые
Цель «Обеспечивать» связь по сети и передачу данных.
пакеты данных.
Фильтрация информационных потоков
Основная
приложений на основе фильтрации ACL на основе простой фильтрации пакетов.
технология
пакетов с отслеживанием состояния.
Политика Конфигурация по умолчанию может Конфигурация по умолчанию не полностью
безопасности защитить от определенных атак. учитывает требования безопасности.
Количество правил и правил NAT,
Влияние на используемых при фильтрации пакетов с Фильтрация пакетов оказывает большое влияние на
производительность отслеживанием состояния, незначительно ресурсы процессора и памяти маршрутизатора.
влияет на производительность.
Возможность Брандмауэры предоставляют возможности Обычные маршрутизаторы не предоставляют
защиты от атак защиты от атак на уровне приложений. возможности защиты от атак на уровне приложений.
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Базовые знания о брандмауэрах
Зачем нам нужны брандмауэры?
История развития брандмауэра
Продукты-брандмауэры Huawei
Зона безопасности
Политика безопасности
2. NAT
3. Защита от атак
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
История развития брандмауэров
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Базовые знания о брандмауэрах
Зачем нам нужны брандмауэры?
История развития брандмауэра
Продукты-брандмауэры Huawei
Зона безопасности
Политика безопасности
2. NAT
3. Защита от атак
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Продукты-брандмауэры Huawei
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Базовые знания о брандмауэрах
Зачем нам нужны брандмауэры?
История развития брандмауэра
Продукты-брандмауэры Huawei
Зона безопасности
Политика безопасности
2. NAT
3. Защита от атак
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Зачем нам нужны зоны безопасности?
ДМЗ
Доверенные
Серверная
зона
Менеджер Ненадежные
Отдел
маркетинга
Брандмауэр
Маркетинг Отдел
Производственный
исследований
и разработок отдел
Исследования Производство
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Зона безопасности
Зона безопасности
Сеть
Интерфейс
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Назначение интерфейсов зонам безопасности
Зона
безопасности Б
1
Зона безопасности A Зона
4 безопасности В
2
Брандмауэр
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Зоны безопасности по умолчанию: Доверенная,
ДМЗ и Ненадежная
ДМЗ
1 Как указать
Доверенная сам 4 Ненадежная
2 брандмауэр?
Брандмауэр
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Локальная зона
ДМЗ
1
Доверенная Локальная: 4 Ненадежная
2
Брандмауэр
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Зона безопасности, степень доверия и уровень
безопасности
Зона Уровень
Описание
безопасности безопасности
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Интерзона безопасности, политика безопасности
и направление пакетов
Исходящий Исходящий
ДМЗ
50
Входящий Входящий
Входящий Исходящий
Входящий Входящий
Доверенная Локальная: Ненадежная
85 100 5
Исходящий Исходящий
Брандмауэр
Входящий
Исходящий
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример конфигурации зоны безопасности
Доверенная Ненадежная
Хост A Сервер
Брандмауэр
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Команды настройки зоны безопасности
Доверенная Ненадежная
Хост А Сервер
Брандмауэр
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Базовые знания о брандмауэрах
Зачем нам нужны брандмауэры?
История развития брандмауэра
Продукты-брандмауэры Huawei
Зона безопасности
Политика безопасности
2. NAT
3. Защита от атак
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пакетная фильтрация по умолчанию
Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Команды настройки политики безопасности
Доверенная Ненадежная
Хост А Сервер
Вопрос: Почему ПК и сервер могут обмениваться
данными после настройки политики безопасности
для пакетов, следующих с ПК на сервер?
Брандмауэр
Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Технология фильтрации пакетов
ПК Брандмауэр Веб-сервер
1.1.1.1 2.2.2.2
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проверка состояния и механизм сеансов
ПК Веб-сервер
Брандмауэр 2.2.2.2
1.1.1.1
1. ПК получает доступ
к веб-серверу.
2. Разрешить пакет.
2 год.
Создать сеанс.
3. Веб-сервер
отвечает ПК.
4. Сравнить сеанс.
4 Разрешить
год. пакет.
Если действие разрешено, межсетевой экран с отслеживанием состояния обрабатывает все пакеты,
принадлежащие одному соединению, как поток данных (сеанс).
Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Информация из пяти блоков в записях сеансов
Запись сеанса:
http VPN:public --> public 1.1.1.1:2049 --> 2.2.2.2:80
Пять блоков
Информация в записи сеанса из пяти блоков может однозначно
определять связь между сторонами.
В брандмауэрах время до удаления сеанса называется временем старения
сеанса.
Один сеанс указывает на связь между сторонами связи. Коллекция
нескольких сеансов называется таблицей сеансов.
Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Политика безопасности
192.168.1.0/24
ДМЗ
10.1.1.0/24
Входящий
Доверенная Х Ненадежная
√ Исходящий
Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Интегральный детектор безопасности содержания
Предотвращение Фильтрация
Антивирус
вторжений URL
Обычные
обнаружение
обнаружение
обнаружение
обработка
обработка
обработка
продукты UTM ...
Вторжение
Обработка по
предотвращению вторжений
Интегрированное
Вирус
обнаружение
Антивирусная программа
NGFW URL :
Фильтрация URL
...
...
Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Логика конфигурации политики безопасности
NGFW
Интегрированная политика безопасности
Политика 1
Состояние Действие
Соответствующая
Зона безопасности | Зона назначения | Адрес источника (регион) | Адрес назначения (регион) Разрешить/ последовательность
| Пользователь | Сервис | Приложение | Диапазон времени Запретить
Профиль
Политика 2
Состояние Действие
Зона безопасности | Зона назначения | Адрес источника (регион) | Адрес назначения (регион) Разрешить/
| Пользователь | Сервис | Приложение | Диапазон времени Запретить
Профиль
...
Политика N
Состояние Действие
Зона безопасности | Зона назначения | Адрес источника (регион) | Адрес назначения (регион) Разрешить/З
| Пользователь | Сервис | Приложение | Диапазон времени апретить
Профиль
Состояние Действие
Разрешить/
Любое
Запретить
Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Многоканальный протокол
FTP-клиент FTP-сервер
SYN
IP 192.168.1.2 SYN ACK IP 10.1.1.2 TCP три подтверждения
Порт хххх Порт 21 установки связи для
ACK контрольного соединения
...
Обмен именем пользователя/паролем
...
PORT Command (IP 192.168.1.2 Port yyyy)
SYN
IP 192.168.1.2 IP 10.1.1.2 TCP три подтверждения
Порт yyyy SYN+ACK Порт 20 установки связи для
ACK передачи данных
LIST Command
Передача данных
Контрольное соединение
...... Соединение данных
xxxx/yyyy Случайный порт
Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Server-map и ASPF
FTP-клиент FTP-сервер
SYN
TCP три подтверждения
IP 192.168.1.2 IP 10.1.1.2
SYN+ACK SYN+ACK установки связи для
Порт хххх Порт 21 контрольного
ACK ACK
соединения
... ...
Обмен именем пользователя/паролем Обмен именем пользователя/паролем
... ...
PORT Command (IP PORT Command
192.168.1.2 Port yyyy) Создание (IP 192.168.1.2 Port yyyy)
server-map. Обмен PORT command.
PORT Command OK PORT Command OK
Брандмауэр обнаруживает данные уровня приложений в пакетах, автоматически получает информацию и создает записи сеанса для
обеспечения нормальной связи. Эта функция называется ASPF, а созданные записи сеанса называются записями server-map.
Стр. 35 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Запись server-map
FTP-клиент FTP-сервер
10.2.0.254/24 1.1.1.254/24
# Настройка ASPF.
firewall interzone untrust dmz
detect ftp
Автоматическая генерация записи server-map.
display firewall server-map
Type: ASPF, 1.1.1.254 -> 10.2.0.254:2097, Zone:---
Protocol: tcp(Appro: ftp-data), Left-Time:00:00:10
Vpn: public -> public
Последующие пакеты соответствуют сеансу.
display firewall session table
ftp VPN: public --> public 10.2.0.254:2095 +-> 1.1.1.254:21
ftp-data VPN: public --> public 1.1.1.254:20 --> 10.2.0.254:2097
Стр. 37 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Базовые знания о брандмауэрах
2. NAT
Пользователи частной сети, получающие доступ к Интернету
Пользователи Интернета, получающие доступ к серверам интрасети
3. Защита от атак
Стр. 38 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пользователи частной сети, получающие доступ
к Интернету
Доверенная Политика Ненадежная
Сервер
Хост A Source NAT
Интрасеть
192.168.1.0/24
Брандмауэр
Стр. 39 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Два режима преобразования Source NAT
Режим Source
Описание Сценарий
NAT
Не так много частных пользователей, которым нужен
доступ к Интернету. Количество доступных публичных
Переводятся только
NAT No-PAT адресов практически совпадает с максимальным
IP-адреса.
количеством пользователей, одновременно
получающих доступ в Интернет.
Стр. 40 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
NAT No-PAT
Пул адресов
Доверенная Начальный адрес 1.1.1.2 Ненадежная
Конечный адрес 1.1.1.10
Интрасеть
192.168.1.0/24
Таблица Server-Map
Направление Протокол S-IP [New-S-IP] D-IP Зона
Прямое Любой 192.168.1.2[1.1.1.2] Любой -
Направление Протокол S-IP D-IP [New-D-IP] Зона
Обратное Любой Любой 1.1.1.2[192.168.1.2] -
Таблица сеансов
Протокол S-IP: S-Port [New-S-IP: New-S-Port] D-IP: D-Port
HTTP 192.168.1.2:1025[1.1.1.2:1025] 3.3.3.3/80
Брандмауэр
Хост src IP 192.168.1.2 src IP 1.1.1.2 Веб-сервер
192.168.1.2 src Port 1025 Source NAT src Port 2048 3.3.3.3
dst IP 3.3.3.3 dst IP 3.3.3.3
dst Port 80 dst Port 80
Таблица сеансов
Протокол S-IP: S-Port [New-S-IP: New-S-Port] D-IP: D-Port
Http: 192.168.1.2:1025[1.1.1.2:2048] 3.3.3.3/80
Стр. 42 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример настройки NAPT
Доверенная Ненадежная
ПК A Политика Source NAT
GE1/0/1 GE1/0/2
Интрасеть 10.1.1.1/24 1.1.1.1/24
10.1.1.0/24 1.1.1.254/24
NGFW Маршрутизатор
Статическая маршрутизация
ПК Б
Стр. 44 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Команды настройки NAPT
Доверенная Политика Source NAT Ненадежная
IP-адрес 10.1.1.X/24 ПК А
Маска
255.255.255.0 GE1/0/1 GE1/0/2
подсети
Шлюз по Интрасеть 10.1.1.1/24 1.1.1.1/24
10.1.1.1
умолчанию 10.1.1.0/24 1.1.1.254/24
Маршрутизатор
NGFW
Статическая маршрутизация
ПК Б
Стр. 45 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Базовые знания о брандмауэрах
2. NAT
Пользователи частной сети, получающие доступ к Интернету
Пользователи Интернета, получающие доступ к серверам интрасети
3. Защита от атак
Стр. 46 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пользователи Интернета, получающие доступ к
серверам интрасети
ДМЗ Ненадежная
Сервер Хост А
NAT Server
Брандмауэр
Интрасеть
Брандмауэр
Таблица Server-Map
Направление Протокол S-IP D-IP: D-Port [New-D-IP: New-D-Port]
Прямое TCP Любой 1.1.1.10:80[192.168.1.2:80]
Таблица сеансов
Протокол S-IP: S-Port D-IP: D-Port [New-D-IP: New-D-Port
Http: 7.7.7.7/3535 1.1.1.10:80[192.168.1.2:80]
Стр. 48 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример конфигурации NAT Server
Веб-сервер FTP-сервер
10.2.0.7/24 10.2.0.8/24
GE1/0/2 GE1/0/1
10.2.0.1/24 1.1.1.1/24 1.1.1.254/24
ДМЗ
Статическая
10.2.0.0/24
маршрутизация
NGFW Маршрутизатор
ДМЗ Недоверенная
Статическое отображение (NAT Server)
Стр. 51 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Команды настройки NAT Server
Веб-сервер FTP-сервер
10.2.0.7/24 10.2.0.8/24
GE1/0/2 GE1/0/1
10.2.0.1/24 1.1.1.1/24 1.1.1.254/24
ДМЗ
Статическая
10.2.0.0/24 маршрутизация
NGFW Маршрутизатор
ДМЗ Недоверенная
Статическое отображение (NAT Server)
Стр. 52 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Базовые знания о брандмауэрах
2. NAT
3. Защита от атак
Сценарии применения защиты от атак
DDoS-атаки и защита
Однопакетные атаки и защита
Стр. 53 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сценарии применения защиты от атак
Обычный пользователь Почтовый сервер
Брандмауэр
Интрасеть
× предприятия
ПК
• DDoS-атака
• Атаки сканирования и прослушивания сети
• Атака зараженным пакетом
• Атака специальным пакетом Веб-сервер
Злоумышленник
2. NAT
3. Защита от атак
Сценарии применения защиты от атак
DDoS-атаки и защита
Однопакетные атаки и защита
Стр. 55 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
DDoS-атака
Исходное
Злоумышленник положение
для атаки Цель атаки
Управляющий трафик
Ботнет
Трафик атаки
Зараженный хост
Стр. 56 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Команды настройки для защиты от атак SYN
Flood и UDP Flood
Функция Команда
Установка Установка частоты дискретизации трафика DDoS. anti-ddos statistic sampling-fraction sampling-fraction
параметров защиты
от атак DDoS Установка задержки запуска или остановки защиты от атаки anti-ddos defend-time start-delay start-delay end-delay end-delay
Установка времени устаревания таблицы мониторинга IP-адреса источника. anti-ddos source-ip detect aging-time time
Настройка глобальной защиты от SYN flood атак. anti-ddos syn-flood source-detect [ alert-rate alert-rate ]
Настройка защиты
от SYN Flood
Настройка защиты от атак SYN Flood на основе интерфейса. anti-ddos syn-flood source-detect [ alert-rate alert-rate ]
Настройка глобальной защиты от Настройка динамического режима anti-ddos udp-fingerprint-learn offset offset fingerprint-length
UDP Flood. обучения по отличительным меткам. fingerprint-length
Стр. 57 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Базовые знания о брандмауэрах
2. NAT
3. Защита от атак
Сценарии применения защиты от атак
DDoS-атаки и защита
Однопакетные атаки и защита
Стр. 58 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Защита от однопакетных атак
Однопакетные атаки
Стр. 59 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Рекомендации по конфигурированию защиты от
однопакетных атак
Рекомендуется Рекомендуется
включить отключить
Стр. 60 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Команды настройки защиты от однопакетных
атак
Функция Команда
Стр. 61 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Как определить степень доверия зоны безопасности в брандмауэре?
Стр. 62 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Принципы и конфигурации VRRP
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы узнаете:
Основные принципы VRRP
Активное/резервное переключение VRRP
Основные конфигурации VRRP
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Предпосылка и обзор VRRP
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ограничения единичного шлюза
RouterA
192.168.1.254 192.168.1.254
Для реализации резервного копирования шлюза могут быть развернуты несколько шлюзов.
Однако может возникнуть некоторые проблемы. IP-адреса конфликтующих шлюзов, и хосты
часто используют различные egress.
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обзор VRRP
VRRP выполняет виртуализацию нескольких IP без изменения сети и
использует IP-адрес виртуального маршрутизатора в качестве адреса
шлюза по умолчанию для резервного шлюза.
Версии протокола: VRRPv2 (часто используемый) и VRRPv3
VRRPv2 применяется только к сетям IPv4, в то время как VRRPv3
применяется как к сетям IPv4, так и к IPv6.
Пакеты VRRP
Пакеты объявления: IP-адрес назначения — 224.0.0.18, MAC-адрес
назначения — 01-00-5e-00-00-12 и номер протокола — 112.
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Базовая архитектура VRRP
RouterA RouterB
Master Backup
Priority 150 Priority 100
Virtual Router
vrrp vrid1
Eth0/0/0: Eth0/0/0: 10.1.1.2 Virtual IP Address:10.1.1.254/24
10.1.1.1 Virtual MAC :0000-5e00-0101
HostA HostA
Gateway:10.1.1.254 Gateway:10.1.1.254
IP address:10.1.1.3/24 IP address:10.1.1.3/24
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Машина состояния
Initializ
e
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Предпосылка и обзор VRRP
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Рабочий процесс переключения активного/
резервного VRRP
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Активное/резервное переключение VRRP (1/2)
При неисправности устройства Master активное/резервное переключение устройства
является следующим.
VRRP VRRP
prority 150;ip add1.1.1.1 prority 100;ip add1.1.1.2
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Активное/резервное переключение VRRP (2/2)
При восстановлении исходного устройства Master активное/резервное переключение
выглядит следующим образом:
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Неисправность VRRP
RouterA RouterB
Master Backup
HostA
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Объединение VRRP
RouterA Route rB
Master Backup
VRRP
Восходящий канал находится в
состоянии Down, но главные (Master) и
резервные пакеты обмена обычно не
выполняются. Следовательно, доступ
хоста является ненормальным.
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Предпосылка и обзор VRRP
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Рабочий процесс балансировки нагрузки VRRP
Вы можете настроить различные
Традиционно, весь трафик
группы VRRP таким образом,
перенаправляется Master в чтобы RouterB стал master новой
режиме «активный/резервный». группы VRRP для загрузки
Master перегружен. баланса трафика.
RouterA RouterB
vrid1
Master Backup Он свободен.
vrid1
virtual ip :10.0.0.10 virtual ip :10.0.0.10
Master Backup
vrid2 vrid2
virtual ip :10.0.0.11 virtual ip :10.0.0.11
Backup Master
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Предпосылка и обзор VRRP
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация VRRP
Режим «активный/резервный» Режим распределения нагрузки
RouterC RouterC
RouterA RouterB
vrid1 virtual ip :10.0.0.10 vrid1 virtual ip :10.0.0.10
RouterA RouterB Master Backup
vrid1 virtual ip :10.0.0.10 vrid1 virtual ip :10.0.0.10 vrid2 virtual ip :10.0.0.11 vrid2 virtual ip :10.0.0.11
Master G0/0/0 G0/0/0 Backup Backup G0/0/0 G0/0/0 Master
G0/0/1 G0/0/1
G0/0/1 G0/0/1 ip address:10.0.0.2
ip address:10.0.0.1
ip address:10.0.0.1 ip address:10.0.0.2
Configure RouterA.
Configure RouterA. interface GigabitEthernet0/0/1
interface GigabitEthernet0/0/1 ip address 10.0.0.1 255.255.255.0
ip address 10.0.0.1 255.255.255.0 vrrp vrid 1 virtual-ip 10.0.0.10
vrrp vrid 1 virtual-ip 10.0.0.10 vrrp vrid 1 priority 120
vrrp vrid 1 priority 120 vrrp vrid 1 preempt-mode timer delay 20
vrrp vrid 1 preempt-mode timer delay 20 vrrp vrid 1 track interface GigabitEthernet0/0/0 reduce 30
vrrp vrid 1 track interface GigabitEthernet0/0/0 vrrp vrid 2 virtual-ip 10.0.0.11
reduce 30
Configure RouterB.
Configure RouterB. interface GigabitEthernet0/0/1
interface GigabitEthernet0/0/1 ip address 10.0.0.2 255.255.255.0
ip address 10.0.0.2 255.255.255.0 vrrp vrid 1 virtual-ip 10.0.0.10
vrrp vrid 1 virtual-ip 10.0.0.10 vrrp vrid 2 virtual-ip 10.0.0.11
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 20
vrrp vrid 2 track interface GigabitEthernet0/0/0 reduce 30
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какое из следующих описаний о VRRP master являются неверным?
А. VRRP master периодически отправляет пакеты VRRP.
Б. VRRP master использует виртуальный MAC-адрес для ответа на пакеты ARP Request с
виртуальным IP-адресом.
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Принципы и конфигурации BFD
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы узнаете:
Принципы BFD
Основные конфигурации BFD в общих сценариях применения
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Принципы MSTP
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Неисправность в сценарии применения 1
Почему сосед не
подключается ко
мне?
Соседи OSPF
RTA SWB SWC RTD
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Неисправность в сценарии применения 2
RTC
Неисправность оборудования или
канала между RTB и RTC. Как
RTB
RTA Первичный выход
передается трафик пользователя?
SWB
SWA Первичный VRRP
PC-A PC-C
PC-B
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Метод обнаружения неисправностей
Быстрое Низкая
Аппаратное обнаружение
обнаружение универсальн
неисправност
ей ость
Медленная
Обнаружение Общее сходимость
пакетов
приветствия приложение Зависимость
от протокола
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Описание BFD
BFD — это унифицированный механизм обнаружения, используемый для
быстрого обнаружения двунаправленного соединения сетевых каналов или
IP-маршрутов. Предоставляет услуги для приложений верхнего уровня.
BFD использует сеансы для обнаружения неисправностей и уведомляет
соответствующий модуль протокола о неисправностях.
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Режим установления сеанса BFD и механизм
обнаружения
Периодическая отправка
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Установление сеанса BFD
RTA RTB
DOWN DOWN
INIT INIT
UP UP
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Рабочий процесс BFD
OSPF neighbor
OSPF ①
⑤
OSPF
② BFD neighbor ④
BFD BFD
Link neighbor
③
RTA RTB
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Функции объединения
Объединение включает модули обнаружения, Track и приложения.
Модуль Модуль
приложений обнаружения
VRRP
Статическая
маршрутизация Модуль
Модуль
Track
BFD
PBR
Резервное
копирование
интерфейсов
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Принципы MSTP
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования к конфигурации BFD for OSPF
OSPF neighbor
G0/0/1 G0/0/1
Компания использует два коммутатора второго уровня для подключения двух удаленных
друг от друга департаментов. На RTA и RTD включен OSPF и установлены отношения
соседства OSPF для обеспечения их доступности на сетевом уровне.
RTA и RTD поддерживают BFD. Необходимо использовать BFD для OSPF. При
возникновении неисправности на канале между RTA/RTD и коммутатором второго уровня
или между коммутаторами, например, состояние канала является Down, BFD может быстро
обнаружить неисправность и уведомить OSPF.
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процедура конфигурирования BFD for OSPF
# #
bfd bfd
# #
ospf 1 ospf 1
area 0.0.0.0 area 0.0.0.0
network 10.0.12.1 0.0.0.0 network 10.0.12.2 0.0.0.0
bfd all-interface enable bfd all-interface enable
OSPF neighbor
G0/0/1 G0/0/1
RTA SWB SWC RTD
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования к конфигурации BFD for VRRP
RTC
Требования
RTB SWA и SWB создают группу VRRP,
RTA Первичный
выход
и SWB является первичным. Когда
канал между каналом RTB и RTC
SWB
неисправен, SWB может быстро
SWA Первичный
VRRP обнаружить неисправность и
VRRP
переключить шлюз на шлюз
резервного копирования. Затем
SWC
SWA становится первичным.
PC-B
PC-A PC-C
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процедура конфигурирования BFD for VRRP
#
RTC bfd
#
RTB
bfd 1 bind peer-ip 10.0.24.2 source-ip
10.0.45.5 auto
commit
RTA Первичный
выход #
bfd
#
SWB bfd 1 bind peer-ip 10.0.45.5 source-ip
Первичный 10.0.24.2 auto
VRRP commit
SWA #
interface Vlanif100
ip address 10.0.12.2 255.255.255.0
vrrp vrid 1 virtual-ip 10.0.12.254
VRRP vrrp vrid 1 priority 200
vrrp vrid 1 track bfd-session
session-name 1 reduced 100
SWC
#
interface Vlanif100
ip address 10.0.12.1 255.255.255.0
PC-B vrrp vrid 1 virtual-ip 10.0.12.254
PC-A PC-C
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования процедуры BFD for Static Routes
G0/0/1
ISP1
RTA RTB
G0/0/1
Кампусная
сеть
G0/0/2
G0/0/1 ISP2
RTC
Требования
RTA — это выход сети кампуса, подключенный к ISP1 и ISP2. Обычно маршрут по умолчанию
направляет на ISP1, а маршрут на ISP2 — резервное копирование. Когда маршрут по умолчанию к
ISP1 недоступен, трафик может быть быстро переключен на маршрут к ISP2.
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процедура конфигурирования BFD for Static
Routes
#
bfd
#
bfd 1 bind peer-ip 10.0.12.1 source-ip
10.0.12.2 auto commit
G0/0/1 ISP1
RTA
RTB
Кампусная
G0/0/1
сеть RTC
G0/0/2
G0/0/1 ISP2
#
bfd
#
bfd 1 bind peer-ip 10.0.12.2 source-ip 10.0.12.1 auto
commit
#
ip route-static 0.0.0.0 0.0.0.0 10.0.12.2 track bfd-session 1
ip route-static 0.0.0.0 0.0.0.0 10.0.13.2 preference 100
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования к конфигурации BFD for BGP
BGP neighbor
Loopback0:1.1.1.1 Loopback0:2.2.2.2
Network
RTA RTB
Требования
Между МRTA и RTB устанавливают отношения соседства IBGP через промежуточную сеть.
RTA и RTB поддерживают BFD. BFD for BGP необходимо использовать. При неисправности
канала между RTA/RTB и устройством промежуточной сети или внутреннего канала
промежуточной сети, BFD может быстро обнаружить неисправность и уведомить BGP.
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процедура конфигурирования BFD for BGP
BGP neighbor
Loopback0:1.1.1.1 Loopback0:2.2.2.2
Network
сети
RTA RTB
<RTA>display bfd session all
---------------------------------------------------
Local Remote PeerIpAddr State Type InterfaceName
------------------------------------------------------
8192 8192 2.2.2.2 Up D_IP_PEER -
------------------------------------------------------
Total UP/DOWN Session Number : 1/0
# #
bfd bfd
# #
bgp 65500 bgp 65500
peer 2.2.2.2 as-number 65500 peer 1.1.1.1 as-number 65500
peer 2.2.2.2 connect-interface LoopBack0 peer 1.1.1.1 connect-interface LoopBack0
peer 2.2.2.2 bfd enable peer 1.1.1.1 bfd enable
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Функция BFD Echo
Функция BFD Echo
RTA RTB
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Параметры BFD по умолчанию и метод
регулировки
Значение по
Параметр Замечания
умолчанию
Глобальный BFD Отключено Необходимо включить глобальную BFD.
Значение корректируется по мере
Интервал отправки 1000 мс
необходимости.
Значение корректируется по мере
Интервал приема 1000 мс
необходимости.
Рекомендуется сохранить значение по
Множитель локального обнаружения 3
умолчанию.
Значение корректируется по мере
Время WTR (Wait to Restore) 0
необходимости.
Задержка перед тем, как состояние Значение корректируется по мере
0
сеанса BFD становится UP необходимости.
Приоритет пакетов BFD 7 (самый высокий) Рекомендуется сохранить данное значение.
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Сколько состояний существует для установления сеанса BFD?
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Обзор SDN
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы:
Ознакомитесь с преимуществами SDN
Освоите концепцию и архитектуру SDN
Будете понимать пути эволюции SDN в традиционных сетях
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Концепция и архитектура SDN
2. Преимущества SDN
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Управление и переадресация данных в
традиционных сетях
Традиционные сети используют распределенную архитектуру управления,
где каждое устройство имеет независимые плоскости управления и данных.
C/D C/D
D Уровень
Уровень плоскости
C/D C/D C/D управления управления
D
Таблица
маршрутизации
C
C/D
C/D Уровень
Планирование плоскости
данных данных
Сетевое
устройство
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Традиционная сетевая архитектура
Плоскость администрирования, плоскость управления и плоскость данных традиционной сети:
Плоскость администрирования: управление устройствами (SNMP) OSS
Плоскость управления: протоколы маршрутизации (IGP, BGP)
Плоскость данных: таблица переадресации (FIB)
Сервер APP
Клиент
Сервер NMS
NMS
Таблица
переадресации
Сеть Nexthop
10.1.0.0/24 10.1.0.2
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ограничения традиционных сетей
Традиционные сети имеют следующие ограничения:
Отсутствие гибкости в регулировке маршрутов прохождения трафика
Сложная реализация протоколов, сложные эксплуатация и обслуживание
Медленные обновления услуг
NMS
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обзор SDN
SDN – программно-конфигурируемые сети
В 2006 году профессор Nick McKeown из Стэнфордского университета и его команда
выработали концепцию OpenFlow и использовали эту технологию для реализации
сетевой программы, что привело к появлению SDN.
Три основных особенности SDN:
Разделение переадресации и управления
Централизованное управление
Открытые интерфейсы
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Архитектура сети SDN
SDN превращает традиционную распределенную сетевую архитектуру
управления в централизованную.
Трехслойная сетевая архитектура SDN:
Уровень Приложение
администрирования
и приложений API
Контроллер
Уровень SDN
управления
OpenFlow
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Интерфейсы в архитектуре SDN
Northbound-интерфейс (NBI)
Southbound-интерфейс (SBI)
Приложение
1. NBI
(RESTful)
Контроллер
SDN 2. SBI
3. Интерфейс
(OpenFlow/BGP/PCEP/Netconf)
east/west-bound
(BGP)
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Принципы работы SDN
Сбор информации о ресурсах сетевых элементов Анализ и отчет по трафику
Платформа приложений
в реальном времени
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
OpenFlow: идея и функции
Две роли:
Контроллер OpenFlow: управляет коммутаторами OpenFlow, вычисляет маршруты,
поддерживает состояние сети/устройств и передает правила потоков коммутаторам
OpenFlow.
Коммутатор OpenFlow: принимает инструкции и информацию о потоке от контроллера
OpenFlow и возвращает информацию о состоянии.
Коммутаторы OpenFlow выполняют переадресацию и обработку данных на основе таблиц
потоков и правил потоков.
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Модель коммутации сети OpenFlow
Данная модель упрощает базовую передачу данных (коммутаторы и
маршрутизаторы), определяет открытый интерфейс прикладного
программирования (API) для таблиц потоков и при помощи контроллера
управляет всей сетью.
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Концепция и архитектура SDN
2. Преимущества SDN
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ускорение инноваций сетевых услуг
Программируемость и открытость SDN ускоряют развитие услуг и
инновации. Новые услуги можно быстро предоставить посредством
создания программного обеспечения.
Приложения
виртуализации
Пользователи определяют
маршруты обслуживания на
платформе виртуализации в NBI
зависимости от своих
потребностей.
Сетевая ОС
OpenFlow
Физическая
сеть
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Упрощение сетей
Архитектура SDN упрощает сети и устраняет необходимость во многих протоколах IETF.
Использование меньшего количества протоколов в сети облегчает обучение, снижает
затраты на эксплуатацию и обслуживание сети, повышает эффективность развертывания
услуг. Это преимущества централизованного управления, а также разделения управления и
переадресации в сетевой архитектуре SDN.
Контроллер
Коммутатор OF Коммутатор OF
Коммутатор OF
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Допуск устройств white-box
В архитектуре SDN будет возможно использование сетевых устройств white-box («белых ящиков»), если
стандартизированы интерфейсы, используемые между контроллерами и ретрансляторами, такие как
хорошо проработанный протокол OpenFlow. К тому времени возникнут специализированные поставщики
микросхем переадресации или контроллеров OpenFlow, а модель развития сменится с вертикальной
интеграции на горизонтальную.
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Автоматизация услуг
В архитектуре SDN контроллер управляет всей сетью. Контроллер SDN автоматически
завершает развертывание сетевых сервисов, таких как L2VPN и L3VPN, и защищает
специфические внутренние реализации, что позволяет автоматизировать сетевые услуги без
необходимости использования других систем.
Traditional network architecture SDN architecture
Distributed control Centralized control
Control plane
Forwarding plane
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Оптимизация маршрута трафика
В традиционных сетях оптимальные маршруты прохождения трафика выбираются на основе
протоколов маршрутизации. Однако оптимальные маршруты могут оказаться перегружены, в
то время как другие будут простаивать. В сети SDN контроллер SDN интеллектуально
регулирует маршруты трафика в зависимости от нагрузок трафиком, улучшая использование
сетевых ресурсов.
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Концепция и архитектура SDN
2. Преимущества SDN
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Метод 1: эволюция SDN только для системы
коммутации
Для DCI используются несколько оптических линий. Управление трафиком DCI
Система сталкивается со следующими проблемами:
Tencent Общий коэффициент загруженности пропускной способности остается низким, однако
некоторые каналы бывают перегружены (средняя загруженность пропускной способности
составляет 30%, годовая стоимость пропускной способности свыше 2 миллиардов юаней).
Tencent планирует увеличить использование пропускной способности до 50%.
Существующий распределенный режим вычисления маршрутов приводит к таким
проблемам, как неоптимальные маршруты прохождения трафика.
Контроллер Эволюция SDN только для системы коммутации означает реализацию централизованного
управления расчетом маршрута в сетевой системе коммутации локального домена.
PCE+
Контроллер SDN оптимизирует маршруты
2
прохождения трафика на основе
использования сетевых ресурсов.
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Метод 2: эволюция SDN только для услуг
Модель цепочки услуг центра
обработки данных
Контроллер SDN
Прогнозирование Адм-е
и планирование Адм-е
Пул ресурсов VAS на основе политик VXLAN.
цепочки
Ускорение для услуг услуг FW DPI
FW SLB DPI WAN
OpenFlow Port 5+
VLAN 5
OFHS
VNI 102
101
VNI
VNI 100
VNI 103
Port 1 + Port 3 +
VLAN 1 VLAN ID
Вход сети Выход сети Вход сети Выход сети
арендатора арендатора арендатора арендатора
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Каковы ограничения традиционных сетей?
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Обзор VXLAN
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы:
Будете понимать проблемы, стоящие перед сетями центров обработки данных
(ЦОД)
Ознакомитесь с основными принципами VXLAN
Освоите базовые конфигурации VXLAN на основе SDN
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, стоящие перед сетями ЦОД
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Основные понятия и особенности ЦОД
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Традиционная структура сети ЦОД
ЦОД структурируется по
Уровень
ядра
сервисным функциям.
Уровень
В традиционной сети ЦОД агрегации
используется стандартная
трехуровневая архитектура.
Уровень
доступа
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, стоящие перед сетями ЦОД
Требования по малой задержке вычислительных узлов
Широкое применение технологий виртуализации
Автоматизация обслуживания сетей и услуг
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблема 1: требования по малой задержке
вычислительных узлов
Уровень
ядра Трафик должен переадресовываться
коммутаторами на нескольких
уровнях.
Уровень Большое количество виртуальных
агрегации машин должны иметь доступ друг к
другу.
Огромная задержка горизонтального
(«восток-запад») трафика.
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, стоящие перед сетями ЦОД
Требования по малой задержке вычислительных узлов
Широкое применение технологий виртуализации
Автоматизация обслуживания сетей и услуг
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблема 2: широкое применение технологий
виртуализации
До виртуализации После виртуализации
Приложение
Приложение
Приложение
Приложение
Приложение
Приложение
Приложение
Приложение
Приложение
Приложение
Приложение
Приложение
Приложение Приложение Приложение
Linux
Linux
Linux
Linux
Linux
Linux
Win
Win
Win
Win
Win
Win
Windows Linux Linux
Технология
виртуализации
Объединение ресурсов
Уровень виртуализации Уровень виртуализации Уровень виртуализации
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблемы, вызванные динамической миграцией VM в
традиционной трехуровневой сетевой архитектуре
V V V
M M M
Уровень 3
Уровень 2 Уровень 2
Сервер 1 Сервер 2
При динамической миграции виртуальной машины
предоставление услуг, запущенных на этой виртуальной
машине, не должно прерываться. Пользователи не
знают о миграции.
Миграция виртуальной машины требует
достижимости уровня 2.
Изменения IP-адресов виртуальных машин приведут
Границы миграции VM 1 Границы миграции VM 2 к прерыванию предоставления услуг.
Конфигурации серверов, на которых развернуты
виртуальные машины, необходимо изменить.
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Современное решение: упрощение топологии
CSS
V V V
M M M
«Сплющенная»
сеть
iStack iStack
Cluster Switch System (CSS) и технологии
iStack используются для упрощения
топологии сети.
Серверы развертываются в «сплющенной»
сетевой архитектуре.
Виртуальные машины развертываются в
Границы миграции виртуальных машин большой сети 2 уровня, так что во время
миграции IP-адреса виртуальных машин
менять не нужно.
Кластер VM Влияние на услуги отсутствует, что
позволяет осуществить гибкую миграцию.
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблемы современного решения
Резкое увеличение количества MAC-адресов создает огромную нагрузку на
устройства доступа.
В изолированной среде с большим количеством арендаторов ресурсы VLAN
устройств недостаточны.
Сеть уровня 2 имеет большой охват, что влияет на эффективность сетевого
взаимодействия.
Традиционное решение применимо к крупному объединению уровня 2
внутри ЦОД.
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Крупное объединение уровня 2 между
несколькими ЦОД – VXLAN
Традиционный ЦОД: услуги и ресурсы Облачный ЦОД: услуги и ресурсы
ограничены одним физическим ЦОД развертываются свободно
Сеть
Сеть доставки
доставки информации
информации PE1# (L3) PE2
PE1# (L3) PE2
L2 туннели
Один логический
ЦОД 1 ЦОД 2 ЦОД 1 ресурс
ЦОД 2
объединение
VXLAN
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, стоящие перед сетями ЦОД
Требования по малой задержке вычислительных узлов
Широкое применение технологий виртуализации
Автоматизация обслуживания сетей и услуг
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблема 3: быстрое внедрение инноваций
услуг, автоматическое предоставление услуг
Традиционный ЦОД: сеть и услуги разделены, Облачный ЦОД: ассоциация услуг и сети
длительное время подключения услуг для автоматизации развертывания
Не может
удовлетворить
А Б
А В
Б В
Распределенные Независимые
ресурсы ЦОД ресурсы каналов
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Cloud Data Center Network Solution
Множество
арендаторов
VXLAN
Overlay
VXLAN overlay-решение
виртуализации сетей
на основе SDN
Централизованное
управление
записями
SDN
Автоматизация
обслуживания
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, стоящие перед сетями ЦОД
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Типичная сетевая архитектура VXLAN
Презентация
AC 3-я облачная услуг/уровень
Orchestration платформа
комбинирования
Уровень
Контроллер SDN сетевого
контроллера
VXLAN GW1
FusionCompute CE CE
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Логическая архитектура VXLAN
Контроллер SDN
OpenFlow API
Система
арендаторов
NVE
Система
арендаторов
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Шлюз VXLAN
NVE:
Интернет
В настоящее время как развернутое на серверах
программное обеспечение, такое как OVS, так и
установленные в качестве коммутатора аппаратные
устройства, такие как CE6850, могут играть роль
NVE. После того, как на устройстве уровня 2 с
Сеть VLAN установлен соответствующий программный
не-VXLAN пакет или аппаратный модуль, это устройство
может функционировать как программный или
VXLAN GW1 аппаратный NVE. NVE – это шлюз VXLAN уровня 2,
обеспечивающий преобразование между VXLAN,
Туннель VTEP VLAN и MAC-адресом.
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Стандартные понятия NVO3
Наименование Описание
VNID
VNID уникально идентифицирует виртуальную сеть.
(Virtual Network Identifier)
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Основные технологии NVO3 в отрасли
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Инкапсуляция пакетов VXLAN
VXLAN – это стандартная технология NVO3, определенная IETF.
При помощи инкапсуляции MAC-in-UDP она инкапсулирует пакеты уровня 2 с использованием
протоколов уровня 3.
Для обеспечения миграции виртуальных машин в большой сети уровня 2 центра обработки данных и
удовлетворения требований множества арендаторов она поддерживает 24-битный VNI ID.
MAC MAC VLAN VLAN Ethernet
DA SA Type ID Type
Флаги VXLAN
Резерв VNI Резерв
(00001000)
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс инкапсуляции данных VXLAN
Транзит Внутренний
MAC
s2
VTEP IP
Внешний
MAC
VNI
s1
s3
A B
VTEP IP Внешний MAC
остается меняется с
неизменным на каждым
Данные A B этом маршруте прыжком
Данные A B
Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Коммуникационный процесс VXLAN – vSwitch
(1/2)
Создание туннелей через vSwitch.
VM1 MAC1 IP1 VNI 1 VTEP1 IP Host1 IP
Agile Controller
(опционально)
OpenFlow Packin
DMAC: 0xFFFF
SMAC: MAC1
2 DIP: IP3
Полезная нагрузка
SIP: IP1
SIP: IP3
Полезная нагрузка 3 DIP: IP1
SMAC: MAC3
DMAC: MAC1
OpenFlow
Packout
Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Коммуникационный процесс VXLAN – vSwitch
(2/2)
VM1 MAC1 IP1 VNI 1 VTEP1 IP Host1 IP
Agile Controller
Полезная нагрузка
DIP: VTEP2 IP
SIP: VTEP1 IP
DMAC: MAC3
SMAC: MAC1
DIP: IP3
SIP: IP1
DMAC
SMAC
VNI
VM1 MAC1 VNI 1 Local VM1 MAC1 VNI 1 VTEP1
6
Полезная нагрузка
DMAC: MAC3 SIP: IP1
SMAC: MAC1 VTEP1 VTEP2 7
DIP: IP3
5 vSwitch vSwitch
DIP: IP3 SMAC: MAC1
SIP: IP1 VM1 VM2 VM3 VM4
DMAC: MAC3
Полезная нагрузка
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Коммуникационный процесс VXLAN – ToR
DMAC: NetMac
DMAC: VM4 MAC
ToR1 ToR2 Полезная нагрузка
SMAC: NVE1 MAC
SMAC: VM1 MAC NVE1 DIP: NVE2 IP NVE2 SIP: VM1 IP
1 3
VLAN: X (добавлен vSwitch) SIP: NVE1 IP DIP: VM4 IP
DIP: VM4 IP VNI: 1 VLAN: Y (добавлен ToR2)
SIP: VM1 IP DMAC: VM4 MAC SMAC: VM1 MAC
Полезная нагрузка SMAC: VM1 MAC DMAC: VM4 MAC
DIP: VM4 IP
SIP: VM1 IP
Полезная нагрузка
Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Проблемы, стоящие перед сетями ЦОД
Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение VXLAN на основе SDN
BGP EVPN
NETCONF
RR
Структура
Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Организация сети VXLAN на базе SDN
Планирование
Адреса IP-соединений 20.1.1.0/30 – 20.1.1.16/30
Agile Controller Lp1
Контур обратной связи 1.1.1.1 – 5.5.5.5
5.5.5.5
Протокол маршрутизации OSPF GE1
Southbound-протокол NETCONF
20.1.1.16/30
Контроллер Agile Controller-DCN
Ретранслятор CE12800/CE6850 коммутатор
FP4 GE5
GE1 GE4
20.1.1.0/30 20.1.1.12/30
VLAN10 FP2
VLAN10
Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование интерфейсов
interface GE1
undo shutdown SNC
Lp1
ip address 20.1.1.18 30
5.5.5.5
interface GE1 interface LoopBack1
undo shutdown GE1
ip address 5.5.5.5 32
ip address 20.1.1.1 30
interface GE2 20.1.1.16/30
undo shutdown
ip address 20.1.1.4 30
interface LoopBack1 GE5
ip address 1.1.1.1 32
FP4#
GE1 GE4
20.1.1.0/30 20.1.1.12/30
Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурирование протоколов
AC-DCN
sysname FP1 AC-DCN:
snmp-agent trap enable //Активация функции отправки пакетов trap на Задание правил сканирования, включая сегмент
шлюзе. IP-сети, параметры SNMP V3 и параметры
ssh user client@huawei.com service-type snetconf NETCONF.
//конфигурирование NETCONF на устройствах Добавление устройств в AC-DCN. GE1 Lp1
assign forward nvo3 service extend enable
//Конфигурирование функции-расширения Network Virtualization over Layer 3 5.5.5.5
(NVO3) на шлюзах
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 20.1.1.0 0.0.0.3
network 20.1.1.4 0.0.0.3
GE5
FP4
GE1 GE4
20.1.1.0/30 20.1.1.12/30
VLAN10 FP2
VLAN10
Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сетевые приложения VXLAN
Уровень представления WEB-портал/Портал приложений
услуг
RESTful API
Уровень
комбинирования Cinder Nova Neutron
Модуль/Драйвер
RESTful API
Уровень
сетевого Контроллер SDN
контроллера NETCONF
VXLAN VXLAN
FW1 FW2
L3GW1 L3GW2
Сетевая GW, подключенный через
инфраструктура Сеть L3
TOR NVE
VXLAN/VLAN
GW
TOR2 NVE3
TOR1 NVE2
OVS NVE
NVE1 L2SW
vSwitch
Серверы vSwitch Традиционная
VM1 VM2 VM3 VM4
сеть VLAN
Сервер-1 Сервер-2
Стр. 35 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какие из следующих методов конфигурирования поддерживаются VXLAN?
А. Через программное обеспечение для виртуализации
В. Через SNMP
Стр. 36 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Обзор NFV
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы сможете:
Понять основные концепции NFV
Понять архитектуру NFV
Описывать связь между NFV и SDN
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Основная концепция NFV
2. Архитектура NFV
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Требования предприятия/оператора/домашних
пользователей
Услуги, контролируемые CPE
Операторы
предоставляют
только каналы связи
Граница
Частное облако Дом Общедоступное
предприятия DCI облако
Предприятие
Домашние Корпоративные
услуги услуги
Постоянные инвестиции в
Высокая TCO Долгий ТТМ Слишком много устройств новые услуги
Нет поддержки
Высокая TCO Для увеличения пропускной Крупные
Не применимы способности необходимы Сложная миграция
многоэкранных приложений и новые потребности вне дома инвестиции в IT для МСП
новые устройства
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Что такое NFV?
Виртуализация сетевых функций (NFV) это сетевая архитектура, использующая
технологию IT-виртуализации для осуществления виртуализации функций
физических сетевых узлов в программные модули. Эти программные модули могут
быть связаны на основе потоков услуг для предоставления услуг связи
предприятиям.
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Преимущества NFV
Сокращает затраты на оборудование и энергию за счет объединения сетевых устройств и
максимально экономного использования IT-ресурсов.
Сокращает сроки внедрения (TTM) сетевых услуг, помогая операторам значительно увеличить
скорость развития сети.
Позволяет использовать сетевые устройства разных версий и арендаторов в единой сети,
позволяет одной платформе обслуживать разные приложения, пользователей и арендаторов, а
также позволяет операторам распределять общие ресурсы по разным услугам и группам
клиентов.
Предоставляет точные услуги, зависящие от географического положения и групп пользователей,
позволяет быстро масштабировать услуги по мере необходимости.
Обеспечивает более широкие и разнообразные экосистемы, предоставляет открытые средства
виртуализации разработчикам программного обеспечения, продавцам и исследовательским
институтам для стимулирования инноваций и развития услуг, помогает увеличить доход при
снижении рисков.
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Основная концепция NFV
2. Архитектура NFV
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сущность NFV: пересмотр архитектуры сетевых
устройств
Функциональный уровень
Комплексные приложения
vEPC vMSE Приложения от Быстрые инновации услуг
разных сторон
Video
MME SGW PGW SBR SA App App App
Opt.
Интеллектуальное управление
Среда со многими
поставщиками
Всевозможные уровни
производительности и
характеристики
Гибкая виртуализация сетевых функций
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Открытые интерфейсы NFV
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
NFV упрощает эксплуатацию сети
Корпоративные Региональные Национальные
Граница доступа/MAN
пользователи сети сети
WoC
FW
Платформа NFV vEdge
ONT
NAT
NG-FW
vRGW vSTB vAR CDN IPTV
NAT WOC
NPM
Домашние пользователи
Облако
ONT
STB
ONT
STB VoIP
MAN
IP routing Интернет
PVR/Disk
Smartcard NAT
MW Client DHCP
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение NFV для сети предприятия
Улучшенный AR
Существующая
Узел доступа
сеть
Сеть
FW
FW DPI VPN QoS WOC
оператора
МСП напрямую приобретают сторонние услуги в
обход операторов.
Операторы не получают доход.
МСП сталкиваются со сложной, дорогостоящей
эксплуатацией и обслуживанием устройств и услуг.
Очень простой AR
vAR
Развернуты
Узел доступа
vAR
Сеть
оператора
Операторы предоставляют услуги для
предприятий из облака.
Приносит операторам огромный
потенциальный доход.
Упрощает эксплуатацию и обслуживание
сетей МСП. Новинка!
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Основная концепция NFV
2. Архитектура NFV
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Связь между NFV и SDN
• NFV не зависит от SDN, но функция SDN по разделению
управления и переадресации позволяет повысить
производительность сети NFV.
• SDN также позволяет использовать универсальное
оборудование для поддержки контроллера SDN и виртуальных
коммутаторов.
• Вывод: NFV является основной архитектурой развития
мобильных сетей. SDN будет применяться в особых сценариях.
Организация по стандартизации Open Networking Forum (ONF) Рабочая группа ETSI NFV
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решения NFV на основе SDN
IP
vCPE vSTB Управление
SRC EPC SBC
RNC Controller GGSN DPI
RRU BSC (incl. Gi-LAN) BRAS ... FW Self-owned 3rd-party
ETH ETH SGSN PE CDN Маршрутизатор Biz, e.g. IPTV apps,
Маршрутизатор
Коммутатор Коммутатор IaaS/SaaS…
Cloud OS Cloud OS
Аппаратное обеспечение
Аппаратное обеспечение
ONT
A V ... WDM Metro/BB WDM
CloudEdge:
DSL PON
Cloud OS
Программно-определяемый шлюз, NFV Сервисное облако:
MxU Аппаратное обеспечение
собственные и сторонние услуги
CloudDSL/OLT: MANO: администрирование и комбинирование
ONT
Программно-определяемый доступ
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Что такое OPEX?
А. Стоимость технического обслуживания
В. Операционные расходы
Б. Капитальные затраты
В. Разовые расходы
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Планирование сети
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цели
По окончании данного курса Вы узнаете:
Содержание планирования сети
Метод планирования сети
Правильное выполнение планирование сети
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор планирования сети
2. Фон проекта
3. Цели проекта
5. Примеры проекта
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Позиционирование
Улучшение План
Проектирование
Цикл
Эксплуатация
Реализация
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Планирование сети и проектирование сети
Планирование
И
проектирование
Планирование: Проектирование:
Основное внимание Основное внимание уделяется
уделяется исследованиям технологическому внедрению.
потребностей и внешним Отвечает требованиям сети,
условиям для внедрения. подтвержденным при
планировании с
использованием различных
технических методов.
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цели планирования сети
Технологическая
Выбрать технологический план.
направленность
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Метод планирования сети
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор планирования сети
2. Фон проекта
3. Цели проекта
5. Примеры проекта
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Фон проекта
Фон и характеристики
отрасли
Отрасль, к которой принадлежит
проект, его общие ориентиры и
решения
Общий обзор
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Организационная структура заказчика
Инженерная сторона
Заказчик Корпоративный CXO Корпоративный CXO
Конечный пользователь
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Определение сферы охвата проекта
Сфера охвата:
Географический диапазон
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Этапы и цикл
Инициация Подписание Окончательная
проекта контракта приемка
Поставка,
Обсуждение с Усовершенствование Пробная эксплуатация
Планирование Проектирование Заказ Реализация
клиентами решения операция и
техобслуживание
Диаграмма Гантта
Диаграмма сортирует деятельность по времени после деления плана работы и сочетает
деятельность с точками времени в графике.
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Комплексный объект
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Управление внешними рисками
Политика и
правила
Риски проекта относятся
к ряду неопределенных
факторов, влияющих на
Финансы Социальная прогресс, эффективность,
Сетевой среда прибыль и цели проекта.
проект
Внешние риски, как
правило, не
контролируются
Стихийные проектной группой.
Координация бедствия
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор планирования сети
2. Фон проекта
3. Цели проекта
5. Примеры проекта
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цели проекта
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Бюджеты проекта
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Состав расходов
Совокупная стоимость владения (TCO) =
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Получение первоначального ценового
предложения
Затраты на покупку устройства:
Получение ценового предложения устройств Huawei от CSP или ASP
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор планирования сети
2. Фон проекта
3. Цели проекта
5. Примеры проекта
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Анализ технологических требований
Производительность Доступность
Расширяемость Осуществимость
Сетевые функции
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Анализ характеристик трафика услуг
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Выделенная сеть и общественная сеть
Выделенная Общественная
сеть сеть
Безопасность
Низкая стоимость
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Модули сети
Указывать модули,
Модульная требуемые в сетевой
архитектуре
Указывать уровни,
Иерархическая используемые в сетевой
архитектуре
Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор планирования сети
2. Фон проекта
3. Цели проекта
5. Примеры проекта
Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сценарий 1
Однажды руководитель департамента компании сетевой интеграции
назначает сетевой проект Ван и Сон. Г-н Ван берет на себя роль инженера,
а г-н Сонг берет на себя ответственность менеджера по продажам.
Вопрос 1: Что может сделать г-н Ван на следующем этапе?
Вопрос 2: Что должен подготовить г-н Ван для проекта?
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сценарий 2
Г-н Ван встречается с менеджером по продажам для обследования проекта.
Вопрос 1: Какие вопросы должен подготовить г-н Ван? У кого можно узнать
ответы?
Вопрос 2: Некоторые вопросы, возможно, не имеют конкретных ответов, как с
этими справляются?
Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какие из следующих вариантов будут решены во время планирования сети?
А. Определение технического решения
Б. Инженерная граница
В. Сфера охвата
Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Проектирование сети
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
После завершения данного раздела Вы сможете:
Понимать распространенные типы сетей
Понимать каждый уровень проектирования сети
Понимать распространенные продукты и технологии
Ознакомиться с преимуществами и недостатками распространенных протоколов
Ознакомиться с комплексными приложениями каждого технологического модуля
Освоить методологию построения сети
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обзор проектирования сети
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проектирование сети
Проектирование физической
Проектирование WAN
Проектирование VPN
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ключевые пункты проектирования сети
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор
2. Проектирование физической структуры сети
Типичная топология
Выбор устройства
Выбор носителя
Идентификатор сети
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Типичная архитектура мелкомасштабной сети
Характеристики
Малое число
пользователей
Только одно место
расположения
Не иерархическая
Простые требования
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Типичная архитектура сети среднего масштаба
Характеристики
Средний масштаб
Применяется чаще всего
Несколько
Зона серверов функциональных
областей
Зачатки иерархической
архитектуры
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Типичная архитектура крупномасштабной сети
ISP1 ISP2
Характеристики
Широкая область охвата
IPSEC VPN SSL VPN
Управление сетью Выходная сеть Сеть удаленного доступа Большое число
пользователей
Сложные требования к
сети
Магистральная сеть WAN Всесторонние
функциональные модули
ЦОД
Богатые сетевые иерархии
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Иерархическая сеть – трехуровневая
архитектура
Уровень ядра
Уровень агрегации
Уровень доступа
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Иерархическая сеть – двухуровневая
архитектура
Уровень доступа
Уровень ядра
Уровень доступа
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Распространенные топологии сети
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример: топология кампусной сети
Университету необходимо создать кампусную сеть для охвата таких зон, как
учебные корпуса, общежития и столовые, а также филиалы и аппаратные
комнаты.
Как определить масштаб кампусной сети
Как разработать архитектуру кампусной сети
Как выбрать топологию кампусной сети
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор
2. Проектирование физической структуры сети
Типичная топология
Выбор устройства
Выбор носителя
Идентификатор сети
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Классификация сетевых устройств
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Архитектуры коммутаторов
Процессор Память
Матрица
Процессор коммутации
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Существенные моменты при выборе
коммутатора
- Тип: коммутатор с фиксированной конфигурацией/модульный
коммутатор
- Функционал: коммутатор уровня 2/уровня 3
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Фиксированные коммутаторы Huawei
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Модульные коммутаторы Huawei
S7700:
Три модели данной серии обеспечивают 3, 6 или 12 слотов для
S9700:
Три модели данной серии обеспечивают 3, 6 или 12 слотов для
интерфейсных плат.
Одно шасси обеспечивает до 576 портов 10GE и 96 портов 40GE,
и беспроводной контроль.
Поддерживает технологию Cluster Switch System (CSS).
S12700
Три модели данной серии обеспечивают 3, 6 или 12 слотов для
интерфейсных плат.
Одно шасси обеспечивает до 576 портов 10GE и 96 портов 40GE,
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Существенные моменты при выборе
маршрутизатора
Тип: фиксированный/модульный/кластерный
Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Маршрутизаторы серии AR
AR1200:
Многоядерный процессор, неблокирующая архитектура
коммутации
Интеграция услуг, таких как маршрутизация, коммутация, 3G/LTE,
WLAN и безопасность; сетевые возможности «Все-в-одном»
Хорошо проработанный механизм QoS
LPU с возможностью горячей замены
AR2200:
Многоядерный процессор, неблокирующая архитектура коммутации
Четыре слота SIC, два слота WSIC и два слота XSIC
Интеграция услуг, таких как маршрутизация, коммутация, 3G/LTE, WLAN
и безопасность
Хорошо проработанный механизм QoS, LPU с возможностью горячей
замены
AR3200:
Разделенные уровни переадресации и управления,
резервирование MPU 1:1
Четыре слота SIC, два слота WSIC и четыре слота XSIC
Интеграция услуг, таких как маршрутизация, коммутация, 3G/LTE,
WLAN и безопасность
Встроенный механизм QoS, LPU с возможностью горячей замены
Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Маршрутизаторы серии NE
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Документация по продукту
Корпоративные сетевые продукты Huawei
http://e.huawei.com/en/allproduct
Маршрутизаторы Huawei
http://e.huawei.com/en/products/enterprise-networking/routers
Коммутаторы Huawei
http://e.huawei.com/en/products/enterprise-networking/switches
Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример: Выбор сетевого устройства кампуса
Университет планирует создать сеть для общежитий. Есть восемь зданий
общежития, каждое из которых имеет шесть этажей. На одном этаже
имеется четыре блока, в каждом из которых по пять комнат с шестью
студентами в каждой.
Как выбрать устройства доступа для общежитий
Как выбрать устройства агрегации для общежитий
Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор
2. Проектирование физической структуры сети
Типичная топология
Выбор устройства
Выбор носителя
Идентификатор сети
Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Распространенные типы носителей
Беспроводное
соединение
Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Структурирование кабельной проводки в здании
Кабельная подсистема в здании:
Горизонтальная подсистема: от
информационных панелей к аппаратным
комнатам на этаже (при помощи витых
пар)
Вертикальная подсистема: от
аппаратных комнат на этаже к
центральному аппаратному залу (при
помощи оптоволокна)
Подсистема рабочей области: от
терминалов к информационным панелям
(при помощи сетевых перемычек)
Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Структура кабельной проводки центра обработки
данных
Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Инженерные инструменты и тестирование
Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Телефонные и коаксиальные кабели
Подключение по
Тестирование телефонного
телефонному кабелю
Кабеля петлевым методом
Стр. 35 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор
2. Проектирование физической структуры сети
Типичная топология
Выбор устройства
Выбор носителя
Идентификатор сети
Стр. 36 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Идентификатор устройства
Идентификатор
устройства
Уникальный идентификатор
устройства в сети <Huawei> system-view
Физическая метка и логическое
Вход в системный режим, возврат в режим
имя устройства.
Унифицированное правило и обзора пользователя при помощи Ctrl + Z.
именование [HUAWEI] sysname HQ-CS-HW-S7706-1
Содержание
Позиция установки устройства
Роль устройства
Модель устройства
Логический номер
Стр. 37 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Идентификатор линии
Идентификатор
линии
[~HUAWEI] интерфейс гигабитного Ethernet 0/0/0
Уникальный идентификатор линии в
[Huawei]description To- HQ-CS-HW-S7706-1-GE1/1/1
сети
Физическая метка и описание портов
устройства
Единое правило и именование
Содержание:
Имя локального устройства
Имя однорангового устройства
Идентификатор сопряженного
устройства
Роль канала
Логический номер
Стр. 38 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример: Планирование идентификаторов
устройства и канала в кампусной сети
Кампусная сеть имеет большое количество устройств и линий, для
диагностики и управления устройствами и линиями она нуждается в
унифицированных правилах именования. Разработка правил именования
устройств и линий.
Правило именования устройств
Правило именования линий
Стр. 39 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор
2. Проектирование физической структуры сети
Стр. 40 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Выбор LAN
Важные параметры
Скорость 100 Мбит/с 1 Гбит/с 10 Гбит/с 40 Гбит/с
Тип порта Медный кабель Оптическое волокно
MTU 1500 Jumbo-кадр
Прочие PoE/стекирование/маршрутизация
функции
Стр. 41 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Распространенные топологии локальной сети
Уровень ядра
Топология «Двойная
Звезда»
Уровень агрегации
Топология «Звезда»
Уровень доступа
Расширение сети
Масштабируемость портов
Стр. 42 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Дизайн VLAN
Распределение
идентификаторов
Диапазон: 1-4094
Метод Непрерывность
назначения Масштабируемость
По порту
Принцип По MAC-адресу
присвоения
На основе
По службам IP-подсети
По локализации По протоколу
По безопасности По политике
Расширение масштаба VLAN
Стр. 43 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Протокол STP
STP/RSTP/MSTP Конфигурация по умолчанию
STP: базовая версия. Коммутаторы Huawei
используют протокол MSTP.
RSTP: улучшена скорость
конвергенции. Один коммутатор принадлежит
одному региону.
MSTP: внедрены понятия
региона и экземпляра. Все VLAN сопоставлены с
экземпляром 0.
Стр. 44 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Настройки STP
Существенные Позиции корневого моста и заблокированного порта
моменты
Блокировка порта не
применима.
Коммутаторы, находящиеся в
Применима блокировка одинаковой позиции, не могут
порта. быть заблокированы.
Стр. 45 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сетевая петля уровня 2
Теоретически:
STP может предотвратить возникновение петель. На практике:
Петли все-таки могут возникать.
Стр. 46 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Технологии предотвращения возникновения
петель
Прочие технологии
предотвращения петель
Смарт-канал
– SEP
Оптимизация RRPP
STP Новая
Защита корня технология
– Защита шлейфа – TRILL
– Защита BPDU Предотвращение
петель
Граничный порт
Стр. 47 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Дизайн сетевой безопасности 2 уровня
Стр. 48 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Типичный пример
В кампусной сети коммутаторы доступа и коммутаторы агрегации
подключаются на уровне 2. Шлюзы пользователя размещаются на
коммутаторах агрегации. Коммутаторы агрегации и ядра соединены на
уровне 3. Чтобы изолировать широковещательные домены, создайте
решение для назначения VLAN для сети 2 уровня.
Стр. 49 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор
2. Проектирование физической структуры сети
Стр. 50 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Характеристики WAN
Сложные эксплуатация и
техническое обслуживание
Стр. 51 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Выбор технологии WAN
А
DDN/E1/POS/MSTP Сеть передачи DWDM
на базе SDH B OTN
WAN
Сеть с Технология
D
коммутацией
Сеть с
каналов C
коммутацией
пакетов
Стр. 52 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Протокол уровня 2 для WAN
Стр. 54 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Технологии замены WAN
• Гарантированная • Неуправляемая
пропускная способность пропускная способность
• Дороговизна • Экономически выгодная
• Контролируемые QoS • Неуправляемые QoS
• Высокая надежность • Низкая надежность
• Высокий уровень • Высокий уровень
безопасности безопасности
Стр. 55 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Технология доступа к сети
Доступ к линии Обеспечение связи между сетями пользователей и
связи с абонентом магистральными сетями операторов
Стр. 56 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Типичный пример
Кампусная сеть должна подключаться к образовательной сети, точки
доступа к которой расположены в том же городе. Расстояние по прямой
между двумя сетями составляет около 10 км. Предполагаемая требуемая
пропускная способность около 1 Гбит/с. Какие технологии линий могут быть
использованы в данном случае?
Стр. 57 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор
2. Проектирование физической структуры сети
Стр. 58 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Правила распределения IP адресов
Стр. 59 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Конфигурация IP адресов
Стр. 60 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Идентификация границ маршрутизации
Точки внимания
- Стоимость устройства
- Стоимость пропускной
способности
- Безопасность
- Удобство обслуживания
Стр. 61 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Выбор протокола маршрутизации
Классификация Протокол Алгоритм Описание
RIP DV Простая, стоимость числа
IGP переходов, V1 и V2
OSPF LS Иерархическая, стоимость
пропускной способности, быстрая,
без петель
IS-IS LS Аналогично OSPF
Стр. 63 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проблемы проектирования OSPF
Зона 0 Зона 0
Зона 1
Зона 1
Стр. 64 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Типичный пример - границы маршрутизации и
протоколы маршрутизации
В кампусной сети должны быть развернуты протоколы маршрутизации,
чтобы функционировать в качестве несущих маршрутов. Вопросы:
Какие протоколы маршрутизации Вы хотите выбрать?
Где находится граница между сетью маршрутизации уровня 3 и сетью
коммутации 2 уровня?
Что такое дизайн протокола маршрутизации?
Стр. 65 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Типичный пример - распределение IP-адресов
Решение по распределению IP-адресов
Из-за масштаба кампусной сети рекомендуется сегмент сети 10.0.0.0/8. (Если определены
сегменты образовательной сети, используйте соответствующие.) В этом случае сегменты
сети разделены по принципу «одна комната на VLAN».
Стр. 66 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор
2. Проектирование физической структуры сети
Стр. 67 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Технология доступа к выходу сети
Внутрикорпоративная
сеть
Стр. 68 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Архитектура сети с одним выходом
Брандмауэр
NAT
Тип трафика
Внутрикорпоративная
Внутренние ПК имеют доступ к внешним
сеть серверам
Внутренние серверы предоставляют
WWW внешние услуги
Стр. 69 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Архитектура сети с одним оператором и многими
выходами
Обеспечение
резервирования
Стр. 70 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Архитектура сети с многими операторами и
многими выходами - исходящий трафик
Условия подключения
Два адреса подключения
ISP1 ISP2
Два пула адресов
Стр. 71 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Архитектура сети с многими операторами и
многими выходами - трафик доступа к серверу
Маршрутизация NAT
IP-адрес сервера статически
сопоставляется с адресами
ISP1 ISP2
двух адресных пулов
Стр. 72 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Архитектура сети с многими операторами и
многими выходами – режим Peer-to-Peer
Стр. 73 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример проекта
Кампусная сеть подключается к образовательной посредством одного
канала, а внутренние серверы предоставляют услуги для образовательной
сети. Разработайте архитектуру выхода сети для кампусной сети.
Стр. 74 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор
2. Проектирование физической структуры сети
Стр. 75 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Определение высокой доступности
Стр. 76 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Резервирование компонентов и устройств
Резервирование
MPU компонентов на
устройствах
Модули питания
Модуль
питания Вентиляторные модули
SFU
MPU
SFU
Резервирование
устройств при
проектировании сети
Вентиляторные
модули Стекирование
Кластер CSS
Стр. 77 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Резервирование каналов
Многоканальный протокол PPP
Увеличение пропускной способности
Многоканальный
протокол PPP
Фрагментация и повторная сборка данных
Многоканальная балансировка нагрузки и
резервное копирование
Eth-Trunk
Eth-Trunk
Связывание каналов
Балансировка нагрузки и резервное
копирование
Связывание каналов между устройствами
E-Trunk
Стр. 78 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример проекта
После оценки инженерным персоналом и проектной группой кампусной сети
школы обе стороны пришли к единому мнению о том, что требования к
надежности сети у различных компонентов различны. Например, доступ в
общежитиях требует низкой надежности, в то время как на уровнях
агрегации и ядра требуется высокая надежность. Спроектируйте сеть по
этим требованиям.
Стр. 79 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Протоколы и механизмы повышения доступности
Стр. 80 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор
2. Проектирование физической структуры сети
Стр. 81 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Безопасность сети
Уязвимости интернет-приложений,
Ограничения переполнение буфера, вирусы, трояны и т.д.
протоколов TCP/IP
Нет проверки источника TCP-спуфинг, атаки TCP DoS,
сканирование портов и т.д.
данных
Стр. 82 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Система сетевой безопасности
Интранет
Безопасность внутренней сети: верификация, проверка и
фильтрация проходящего трафика, принятие необходимых
мер защиты на сетевых устройствах.
Стр. 83 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Технологии безопасности
Технологии безопасности сети 3 уровня
ACL
Безопасность ARP
uRPF
Брандмауэр
Стр. 84 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Безопасность границ сети
Стр. 86 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Эволюция брандмауэров
Фильтрация Прокси-сервер Обнаружение Брандмауэр следующего
пакетов приложений состояния UTM
поколения NGFW
Стр. 87 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Безопасность в интрасети
Удаленные Конфиденциальные
сотрудники информационные
ресурсы
Сотрудники
Основные
на месте
информационные
ресурсы
Гости
Восстано Общие
Внешние вление информационные
неавторизованн ресурсы
ые пользователи
Стр. 88 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Параметры безопасности доступа к интрасети
Режим контроля
SACG, хост-брандмауэр и контроль доступа 802.1x
доступа
Корпоративная сеть
Домен пост-
аутентификации
Доступ Service server 1 Service server 2 Домен
филиала изоляции
Патч-
Базовая сервер
сеть
SVN
Доступ SM
партнеров SACG SACG2
SACG1 SC
802.1X
Домен
Доступ удаленных офисов предварительной
Брандмауэры аутентификации
Агент безопасности внутренных
сотрудников (постоянный)
хоста
Удаленный
Локальный доступ
доступ Прокси безопасности для гостей и
партнеров (временный)
Стр. 89 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Знакомство с брандмауэрами Huawei
USG6300/6500:
Предназначен для малых и средних предприятий и сетевых организаций.
Обеспечивает интегрированную безопасность и управление.
Предоставляет 4-8 интерфейсов высокой плотности GE. Два расширенных слота поддерживают
интерфейсы 10GE.
Обеспечивает интегрированную защиту, традиционные функции брандмауэра, VPN,
предотвращение вторжений и антивирус.
Идентифицирует более 6000 приложений и обеспечивает контроль доступа с высокой точностью.
USG6600:
Брандмауэр 10GE, предназначенный для предприятий среднего и крупного размера и ЦОД
следующего поколения.
Устанавливается в стандартную 19-дюймовую стойку с высотой 1U до 3U.
Предоставляет электрические интерфейсы 1000M, оптические интерфейсы 1000M или оптические
интерфейсы 10GE, а также поддерживает карты с технологией байпас.
Обеспечивает интегрированную защиту, объединяет многие функции и имеет возможность
идентификации более 6000 приложений.
Поддерживает виртуализацию служб безопасности.
USG9000:
Брандмауэр Тбит/с, предназначенный для провайдеров облачных услуг и ЦОД крупных масштаба.
Поддерживает до 160 Гбит/с сервисных карт, пропускную способность 1,44 Тбит/с и 1,44 млрд.
одновременных соединений.
Поддерживает интерфейсы GE, 10GE, 40GE и 100GE и использует распределенную структуру.
Обеспечивает интегрированную защиту и интегрирует функции брандмауэра, IPS, VPN и анти-
DDoS.
Обеспечивает превосходную надежность и доступность 99,999%.
Стр. 90 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Другие продукты Huawei безопасности границ
сети
NIP6000:
Это система предотвращения вторжений следующего поколения,
предназначенная для сетей предприятий, кампусов и операторов связи.
Эффективно защищает от распространенных атак, включая червей,
троянских коней и SQL-инъекций.
Определяет несколько приложений, включая основные P2P, IM, онлайн-игры
и социальные сети.
Извлекает файлы из протоколов передачи и анализирует их.
Поддерживает потоковую модель самообучения.
ASG2000:
Является профессиональным онлайн-продуктом корпоративного класса для
управления поведениями в сети
Идентифицирует более 1200 основных приложений и фильтрует 85 млн. URL.
Предоставляет профессиональные аудиторские отчеты и поддерживает
более 30 видов отчетов.
Поддерживает распределенное развертывание.
USG2000BSR: USG6000V:
Предназначен для малых предприятий и Является NFV- и облачным мультисервисным шлюзом.
интегрирует функции безопасности, Поддерживает от 1 до 8 процессоров.
маршрутизации, коммутации и беспроводной связи. Поддержка резервирования по схеме «1+1»или «N+1».
Поддерживает режимы доступа: FE, GE, E1/CE1, Поддерживает до 500 арендаторов.
последовательный, ADSL2 + и 3G.
Стр. 91 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример проекта
Выберите устройства для подключения к кампусных и образовательных
сетей.
В кампусных сетей серверы, размещенные в аппаратных залах, содержат
конфиденциальную информацию и требуют высокая степень безопасности.
Как устроена сеть?
Стр. 93 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор
Стр. 94 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение VPN
Снижение
Туннелирование
затрат
Шифрование и Гибкость
расшифровка
Аутентификация Безопасность
данных Широкое
применение
Аутентификация Отсутствие
идентичности QoS
Технологические
Компоненты VPN
особенности VPN
Стр. 95 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сценарий применения VPN
Штаб-квартира
Удаленный Интернет
офис
Филиал
Путешествующий
сотрудник Партнеры
Стр. 97 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Функция и применение IPSec VPN
Интернет
Филиал Штаб-квартира
предприятия
IPSec - это структура безопасности сети, определенная
AH ESP IETF, включает в себя компоненты AH, ESP и IKE, и может
быть сконфигурирована с различными режимами
шифрования и аутентификации по необходимости, чтобы
Обмен ключами в Интернете (Ike) обеспечить конфиденциальность, целостность,
подлинность и антивоспроизведение.
Стр. 98 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Функция и применение SSL VPN
Интернет
Удаленные Штаб-квартира
пользователи предприятия
HTTP • Использование стандартных • По умолчанию SSL VPN
браузеров и не требуется клиентское поддерживает ограниченные
программное обеспечение.
SSL • Работает на уровне приложений, не
приложения.
• После установки подключаемых
требуя NAT и обеспечивая более
TCP тонкий контроль. модулей можно подключить к сети
• Простота эксплуатации и SSL VPN больше устройств на
техобслуживания. уровне приложений и сети.
IP
Стр. 99 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Функция и применение MPLS VPN
П РЕ2 СЕ2
СЕ1 РЕ1 Внутренние метки определяют VPN,
где находятся данные.
• VPN реализуются на базе MPLS, BGP или LDP и классифицируются на VPN уровня 2
и уровня 3.
• Реализация VPN основана на сетях операторов, и VPN прозрачны для сетей клиентов.
• MPLS VPN не обеспечивает функции шифрования и аутентификации.
• Операторы разделяют VPN на основе портов доступа.
Стр. 100 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Линейка продуктов Huawei VPN
IPSec VPN:
IPSec VPN не требует специальных устройств и поддерживается
общими маршрутизаторами и брандмауэрами. Обратите внимание на
количество подключений и приобретите требуемую лицензию.
Необходимо сконфигурировать программное обеспечение IPSec VPN
клиента, которое работает на ПК при развертывании Access VPN.
Другие VPN:
Стр. 101 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример проекта
Университет имеет штаб-квартиру и филиалы, расположенные в разных
городах. Разработка экономически эффективного сетевого решения для
обмена данными между штаб-квартирой и филиалами.
Некоторые преподаватели колледжа хотят войти в сеть кампуса, когда они
дома или в командировке. Какое решение вы принимаете?
Стр. 102 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор
Стр. 103 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Знакомство с WLAN
Комбинация компьютерных сетей и технологий
WLAN
беспроводной связи
2013
802.11ac
2003 1 Гбит/с Прочие
1999
802.11g беспроводные сети
54 Мбит/с
1997 802.11a Bluetooth
802,11 54 Мбит/с
2 Мбит/с 2009 WiMAX
802.11n
600 Мбит/с LTE
1999
802.11b …
11 Мбит/с
Стр. 104 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Беспроводная сеть Fat AP
Стр. 105 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Беспроводная сеть Fit AP+AC
Стр. 106 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Продукты Huawei для беспроводных сетей
Точки доступа
в помещении
AP5010SN AP6010SN
AP3010DN AP5010DN AP6010DN AP7110DN AP7110SN
Точки доступа
вне
помещения AP6510DN AP6610DN
Распределенные
точки доступа в AP6310SN
помещении
Контроллеры
БЛВС AC6605 ACU
AC6005
Стр. 107 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор
Стр. 108 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Знакомство с ЦОД корпоративных сетей
Обеспечивает IP-инфраструктуру для ключевых сервисных
ЦОД систем предприятий.
Функции основного центра управления данными для предприятий
Комплексное решение
Система
электроснабжения
Аппаратный зал
Система охлаждения
Кабельная система
Серверы
Сетевая система
Стр. 109 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Традиционная сеть ЦОД
Характеристики сети ЦОД
Небольшое географическое охват
Требование к высокой пропускной
способности
Требование к высокой надежности
Стр. 110 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Новая технология сетей ЦОД - TRILL
Проблемы традиционных
сетей ЦОД
Блокированные каналы и низкий
уровень использования
Медленная конвергенция
Сложная архитектура и низкая
эффективность рассылки
Стр. 111 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Новая технология сетей ЦОД - FCoE
Традиционная архитектура сетей ЦОД Архитектура конвергентной
сети ЦОД
LAN
Фронтальная
сеть
Сеть
конвергенции
Кластер
серверов
SAN
Кластер серверов
Задняя сеть и
Дисковый массив
Стр. 112 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Новая технология сетей ЦОД - Виртуализация
Проблемы и вызовы
Затраты на инвестицию и использование ресурсов
Централизованный доступ пользователей и
сложность O&M
Централизованная передача услуг и изоляция
безопасности
Решение
Виртуализация устройств: виртуализированные
устройства работают независимо
Виртуализация услуг: протокол нескольких
экземпляров (multi-instance)
Виртуализация канала: VPN уровня 2 или уровня 3
Стр. 113 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Новая технология сетей ЦОД - VXLAN
Сети 2-го и 3-го уровня Проблемы и вызовы
Облачные вычисления, виртуальные машины,
расширение емкости и миграция, а также
Туннель непрерывность обслуживания
VXLAN
L2-сеть с большом масштабом
Граница
NVE
Решение VXLAN
Доступные IP-маршруты: ECMP
Большой масштаб: 16M виртуальных сетей
Быстрая конвергенция, предотвращение
петель и гибкое развертывание
Стр. 114 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Будущий центр обработки данных - SDN
Текущая сетевая Архитектура SDN
архитектура
Контроллер
C/D C/D
C/D C/D
C/D
C/D C/D
D
Стр. 115 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Коммутаторы Huawei для сетей ЦОД
Коммутаторы серии CloudEngine X800:
Коммутаторы серии CE5800 обеспечивают гигабитный доступ с высокой плотностью
и поддерживают uplink-порты 40GE.
Коммутаторы серии CE6800 обеспечивают высокоплотный доступ 10GE и
поддерживают uplink-порты 40GE.
Коммутаторы серии CE7800 обеспечивают высокую плотность доступа 40GE.
Коммутаторы поддерживают IETF TRILL для создания L2-сетей большого масштаба с
512 узлами.
Они поддерживают технологии iStack и устройства в стеке до 16.
Они поддерживают FCoE, DCBX и VXLAN.
Некоторые модели поддерживают OpenFlow и OPS.
Стр. 117 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример проекта
Университет планирует построить центральный аппаратный зал, где все
серверы колледжей (около 1 000) централизованы для единого управления.
Количество серверов будет увеличиваться в будущем. Как спроектирована
сеть в аппаратном зале?
Стр. 118 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор
Стр. 119 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Концепция сетевого администрирования
Сетевое администрирование включает мониторинг, тестирование,
конфигурирование, анализ, оценки и контроль сетевых ресурсов.
Внутриполосное Внеполосное
управление управление
Данные управления Данные управления передаются
передаются по каналам услуг. по независимым каналам.
Классификация
Стр. 120 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
NMS
Основные NMS основаны на Simple Network Management Protocol (SNMP).
Большинство продуктов NMS предоставляют веб-интерфейсы и управление
на основе GUI.
NMS MIB
Агент
SNMP
HTTP
IP сеть
Управляемая система
Стр. 121 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
NMS Huawei -eSight
No. Функция
Установка на основе мастера-и
1 Управление пользователями
облегченная система
2 Управление журналами
3 Управление ресурсами
Настраиваемое управление сторонними
4 Управление топологией
устройствами
5 Управление аварийной сигнализацией
6 управление производительностью
Без клиентского терминала, управление сетями в любое 7 Физические ресурсы
время и в любом месте, используя только браузер 8 Управление отчетами
9 24 настраиваемое управление устройством
10 Управление конфигурационными файлами
Инструмент интеллектуального
Мультисервисное управление, визуальное 11
конфигурирования
управление информацией
12 Управление WLAN
13 Управление SLA
14 Управление MPLS VPN
15 Управление подчиненными NMS
16 Управление функциями одного элемента сети
17 Главная страница системы Portal
18 Разгрузка и резервные копии данных
19 Управление пакетами адаптации элементов сети
Стр. 122 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Различия в продуктах eSight
Профессиональная
Пункт Компактная версия Стандартная версия
версия
Масштаб управления 60 узлов 5,000 узлов 20,000 узлов
Сети небольшого размера, требующие Сети среднего и крупного размера, требующие Сети супер-большого размера,
Ориентированный на маркет только управления устройствами с основные прикладные платформы, гибкие требующие иерархическое
низкой ценой решения и компоненты продаж управление
Количество текущих
20,000 20,000 20,000
тревог
Количество
--- 1,5 млн. 1,5 млн.
Объем исторических тревог
хранения Количество журналов 1,000,000 1,000,000 1,000,000
Количество записей о
--- 60,000,000 60,000,000
производительности
Стр. 123 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пример
Сконфигурируйте NMS для сети кампуса.
Стр. 124 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор
Стр. 125 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Значение технологического решения
Базовый план
проекта
Заключение Цели реализации
проекта на более позднем
Заключение ранней этапе
Веха развития стадии
Граница между планирования и
этапом проектирования
планирования и
проектирования и
более поздним
этапом реализации
проекта
Стр. 126 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1 История проекта
Результаты обследования на этапе планирования
2 Требование к проекту
Топология
Проектирование физической
3 Подобности решения структуры сети
Проектирование логической
структуры сети
Инженерный интерфейс
Соответствующие Расписание
4 инженерные проблемы
Организация
Перечень закупок
5 устройства
Стр. 127 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Соответствующие файлы технологического
решения
Инженерное предложение
Вексель Ответственность и
1 обязательства
Отказ от ответственности
Квалификация предприятия
3 Сертификат
Квалификация персонала
Прочие связанные
4 документы
Стр. 128 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какие из следующих схем кабельной проводки являются популярными в ЦОД?
А. TOR
Б. DOD
В. EOR
Г. NSF
Б. Вертикальная подсистема
В. Подсистема доступа
Стр. 129 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Реализация сети
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цели
По окончании данного курса Вы узнаете:
Процесс поставки проекта
Процесс реализации рискованных операций
Стандарты обслуживания инженера
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Процесс поставки проекта
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Важность процесса реализации проекта
Определение процесса поставки проекта:
Процесс поставки проекта определяет требования к управлению реализацией
проекта и управлению операциями, обеспечивая реализацию проекта на основе
указанного процесса.
Стартовое Проверка с
Подписание Проектирование
совещание по распаковкой
контракта проекту решения
Отклонено заказчиком
Проверка
устройств при
включении
питания
Тренинг по Ввод в эксплуатацию
Проверка качества Установка
техническому программного
устройства
обслуживанию обеспечения
Приемка
проекта
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс поставки проекта — стартовое
совещание проекта
После подписания контракта следует провести совещание с заказчиком
проекта:
Уточнить требования заказчика на основе решений о тендере.
Подтвердить план и продолжительность проекта.
Определить собственников и участников проекта от обеих сторон.
Определить правила управления проектами.
Подтвердить условия установки устройства.
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс поставки проекта — проектирование
решения
Создать решение по реализации на основе требований заказчика. Решение
должно включать:
Фон и цели проекта.
Объем инженерных работ и распределение ответственности.
График и расстановка сотрудников.
Подробную процедуру конфигурирования и реализации.
Миграцию услуг и приемо-сдаточные испытания.
Обеспечение качества и контроль рисков.
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс поставки проекта — проверка товаров
Следующая информация должна быть
подтверждена после поставки товара:
Количество упаковочных ящиков совпадает с
количеством, указанным в логистической
документации.
Количество устройств совпадает с количеством,
указанным в упаковочном листе.
Количество и модель устройства совпадают с
количеством и моделью, указанными в списке
продуктов.
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс поставки проекта — процесс DOA
Неработоспособный при поступлении (DOA):
Устройство физически нетронуто при поступлении, но не работает должным образом сразу после включения или в
течение 48 часов с момента включения питания.
Процесс DOA:
Инженер на объекте в первое время вызывает горячую линию обслуживания Huawei для оказания помощи от
центра технической поддержки (TAC).
TAC определяет, является ли это вопрос DOA.
Инженер отправляет отчет о проблеме товаров в TAC и получает помощь для завершения последующих процессов.
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс поставки проекта — проверка среды
установки устройства
Huaw
ei
Состояние шкафа
(Размеры, прокладка кабелей,
состояние заземления устройства)
Статус распределения питания
(Напряжение, потребляемая
мощность)
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс поставки проекта — установка
устройства
Подготовка инструментов
Установка монтажных
кронштейнов
Установка устройства в
шкаф Установка плавающих
гаек и направляющих
Установка устройства в
шкаф
Установка вентиляторов и
модулей питания
Установка модулей и плат
Установка сервисных плат
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс поставки проекта — проверка
аппаратного обеспечения
Перед включением устройства выполните следующие проверки:
Проверьте аппаратное обеспечение устройства на основе контрольного перечня
(checklist).
Выполните проверки безопасности системы питания.
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс поставки проекта — ввод в
эксплуатацию одного узла
Проверка состояния индикаторов
display xxx
Подача заявление на лицензию (Версия, мощность, ESN, состояние платы и т.д.)
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс поставки проекта — ввод в
эксплуатацию нескольких узлов
Ввод в эксплуатацию
услуг
Ввод в эксплуатацию
высокой
доступности Тесты на трафика услуг
Тесты на управление
Ввод в эксплуатацию доступом
Тесты на переключения
соединения пути
Тесты на QoS
Тесты на горячее
Тесты на соединение резервирование двойного
основного канала связи узла
Тесты на взаимодействия
протоколов второго
уровня
Тесты на взаимодействия
маршрута третьего
уровня
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс поставки проекта — миграция сети
Наиболее важным шагом является оценка риска.
Решение
Реализация отката
Цель миграции миграции
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс поставки проекта — обучение по
техническому обслуживанию
Обучение по организации Обучение по регулярному Обучение по устранению
сети и конфигурации техобслуживанию неисправностей в
экстренных случаях
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс поставки проекта — приемочная
проверка
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Процесс поставки проекта
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Описание рискованных операций
Определение
Рискованная операция — это любая операция, которая может повлиять на
работоспособность устройства, сервисную работу или функцию мониторинга системы
управления сетью (NMS).
Цель
Для регулирования инженерного поведения инженеров, повышения качества поставки и
предотвращения аварий.
Идентификация
Если инженер на объекте не может определить, является ли операция рискованной,
инженер должен своевременно консультироваться с инженерами службы в местном
представительстве.
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс реализации рискованных операций
Проектирование
решения Получение авторизации Реализация и обратная связь
01 разрабатывает 07 представляет
решение по решение и подает 11 завершает операции и
реализации заявку на авторизацию представляет заказчику
заказчика сервисный отчет
02 выполняет
Инженер внутреннее
03 получает
авторизацию на
09 получает
уведомления об
13 представляет
измененную
рассмотрение
решения управление операции и поддержку информацию и дает
на месте от Huawei обратную связь по
(при необходимости) результатам операции
05 получает техническую
авторизацию
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс реализации рискованных операций
— разработка решения
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс реализации рискованных операций
— получение авторизации
Авторизация на управление:
на основе ситуации проекта инженер отправляет электронное письмо менеджеру
проекта Huawei для получения авторизацию на управление.
Техническая авторизация:
Инженер отправляет техническое решение техническим специалистам Huawei по
электронной почте для подачи заявки на авторизацию. Решение должно быть
представлено для рассмотрения не менее чем за 3 дня до реализации.
Авторизация заказчика:
Отдел заказчика, ответственный за проектирование, утверждает операцию
письменно или через электронную почту.
Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс реализации рискованных операций
— процесс операции
Опасные
операции
Отправить
Отправить Отправить Отправить
Завершить решение Подписаться уведомление по
уведомление по SMS- SMS-
после согласования на месте электронной
электронной почте уведомление уведомление
почте
До 7 дней До 24 ч До 1 ч За 1 ч За 24 ч
До 10 мин
Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Процесс поставки проекта
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Стандарты информационной безопасности
— безопасность информации заказчика
Организационная Система Технические
Рабочий план
структура управления материалы
Право
собственности Разглашение
у заказчика запрещено
Возврат во время
после Продажа
санкционированного запрещена
использования
Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Стандарты информационной безопасности —
информационная безопасность устройств заказчика
Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Стандарты информационной безопасности —
напоминания заказчику о информационной безопасности
О удалении
учетной
записи
О внедрении
О обновлении
после
пароля
рассмотрения
Напомнить
О
О защите
резервировании
журнала
данных
Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Стандарты информационной безопасности —
безопасность проекта
Этап подготовки проекта:
Информация о участниках проекта, проектировании сайта, планировании сети, и сайте.
План проекта, бюджет проекта.
Этап реализации проекта:
Версия, связанная с проектом, скрипт конфигурирования и информация о вводе в эксплуатацию.
Соблюдать правила управления аппаратной и надлежащим образом хранить приобретенное
оборудование.
Выйти из функцию удаленного входа и удалите тестовую учетную запись.
Этап приемки проекта: Сфера охвата
Возвращать тестовые инструменты и отчеты о результатах тестирования. информационной
безопасности
Передавать документы, отчеты о сохранившихся проблемах и учетную запись
проекта
и пароли соответствующем персоналу.
Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Правила этикета и повседневного поведения
Вежливое
Благообразная обращение по
внешность телефону
Хорошие манеры
Уместность речи
Коммуникация
Проверка
правильности
Серьезное
информации в
отношение к
электронном
совещаниям
письме перед
отправкой.
Стр. 34 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Стандарты поведения на объекте — подготовка
перед отъездом
Быть
Заранее пунктуальными
подтвердить
установочную
среду Подготовить
решение,
инструменты,
запасные части
и т.д.
Стр. 35 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Стандарты поведения на объекте — реализация
услуг
Стандарты прав:
Войти в аппаратную без разрешения или взять с собой запрещенные статьи запрещены.
Не отвлекать от работы.
Не эксплуатировать устройства других поставщиков, не связанные с проектом.
Стандарты эксплуатации:
Сфера действия не может выходить за сферой, утвержденные заказчиком.
Стараться не работать с устройствами в часы пик.
Во время работы необходимо принимать антистатические меры для предотвращения повреждения
устройств.
Стандарты отношения:
Отвечать на запросы заказчиков терпеливо.
Терпимо относиться к критике, даже если негативные последствия не вызваны вами.
Стр. 36 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Стандарты поведения на объекте — завершение
услуги
Передача Вежливое
Подтверждение
лицом к лицу прощание
Стр. 38 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Каковы основные этапы процесса поставки проекта?
Стр. 39 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Техническое обслуживание сети
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Цели
После окончании данного курса Вы узнаете:
Задачи регламентного техобслуживания
Использование программного обеспечения управления сетью для обслуживания
сетей
Основные методы обновления программного обеспечения устройства
Форматы отчетов о регламентном техобслуживании
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Содержание
1. Обзор регламентного техобслуживания
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Сетевая операция — обзор
Задачи во время работы сети
включают регламентное
техобслуживание и устранение
неисправностей.
Регламентное техобслуживание
проводится регулярно, как и
планировалось.
Устранение неисправностей
обусловлено событиями.
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Регламентное техобслуживание
Регламентное техобслуживание — это профилактическая мера.
Он проводится регулярно, когда сеть работает нормально для обнаружения и
устранения дефектов или неисправностей сетевых устройств. Это обеспечивает
долговременную, надежную, стабильную и надежную работу сети.
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Регламентное техобслуживание — содержание и
методы
Наблюдение на месте
Выполните наблюдение за аппаратной рабочей средой.
Удаленная операция
Проверьте состояние работы программного обеспечения.
[AR3260]display current-configuration
[V200R003C00]
#
sysname AR3260
#
snmp-agent local-engineid 800007DB03000000000000
snmp-agent
#
clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load portalpage.zip
#
drop illegal-mac alarm
#
set cpu-usage threshold 80 restore 75
#
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Регламентное техобслуживание — Checklist
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Проверка рабочей среды устройства
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Проверка основной информации о устройстве
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Проверка состояния рабочего состояния
устройства
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Проверка информации интерфейса
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Проверка услуг
Сконцентрируйтесь на функциях или протоколах, связанных с такими сервисами, как многоадресная передача,
OSPF и BGP.
При обнаружении каких-либо проблем запишите их и сообщите об этом соответствующему персоналу. Если
происходит исключение, анализируйте его и выясните причину.
Рекомендуется проверять услуги еженедельно или ежемесячно.
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Резервирование программного обеспечения и
конфигураций
Резервный сервер
Уровень ядра
• Конфигурационный файл
Уровень агрегации • Файл версии ПО
• Файл лицензии
Уровень доступа
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Содержание
1. Обзор регламентного техобслуживания
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Система управления сетью (eSight)
Уровень ядра
• Управление аварийной
сигнализацией
Уровень агрегации • Управление
производительностью
• Управление
конфигурационными файлами
• Отчеты об управлении сетью
Уровень доступа
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Функции eSight
Управление производительностью
Управление аварийной
сигнализацией
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Содержание
1. Обзор регламентного техобслуживания
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Обновление ПО — необходимость
Новые версии поддерживают новые функции или новые аппаратные модули.
Разработаны новые функции.
Улучшено удобство использования.
Стабильность выше.
Новые аппаратные модули требуют новых версий программного обеспечения.
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Подготовка к обновлению программного
обеспечения
Подготовка к обновлению
Оценка возможности обновления
программного обеспечения
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Оценка осуществимости обновления
программного обеспечения
Оценка Оценка
Оценка рисков
необходимости осуществимости
Возможно ли обновление?
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Получение файлов программного обеспечения и
руководств по обновлению
Путь для загрузки файла
Продукты
Модели продукта
Соответствующие документы
Версии и патчи
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Планы обновления и отката
План обновления включает в себя следующее:
Время обновления и операционное окно (продолжительность прерывания услуги)
Объект и инструмент обновления (включая соответствующие сценарии)
Оперативный персонал и техническая поддержка (отдел ответственности)
Метод проверки (до и после обновления)
Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Содержание
1. Обзор регламентного техобслуживания
Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Отчет о регламентном техобслуживании
Краткое описание
Отчет о профессиональном Приложение
регламентного Отчет NMS
техобслуживания осмотре (опционально)
Отчет о регламентном
техобслуживании сети
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Вопросы
1. Какие заявления о функциях технического обслуживания сети являются
правильными?
А. Регламентное техобслуживание — это профилактическая мера.
Г. Техническое обслуживание сети требует как технических мер, так и систем управления.
Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены
Спасибо!
www.huawei.com
Обзор устранения неисправностей
сети
Введение
Для большинства модернизированных предприятий огромное значение
имеет стабильное функционирование сетевой инфраструктуры. Прерывание
обслуживания в связи с неисправностями сети может привести к потере
выходных данных, потере прибыли и повреждению репутации. Поэтому
устранение неисправностей необходимо для модели PDIOI (Планирование,
проектирование, внедрение, эксплуатация и совершенствование).
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цели
По окончании данного курса Вы узнаете:
Процесс устранения неисправностей структурированной сети
Методы устранения неисправностей сети на основе путей, через которые
проходит сервисный трафик
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. PDIOI и устранение неисправностей сети
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Что такое неисправность сети?
Неисправность сети возникает при сбое определенной сетевой функции по
некоторым причинам и при поражении сетевых сервисов.
Для сетевого пользователя любой симптом, влияющий на услуги, может
быть определен как неисправность сети.
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Тип неисправности сети
Признаки Временное
Аварийные Сбой Прерывание Потеря Исключение Нестабильность Исключение
Петля прерывание
Тип сигналы услуги услуги пакетов протокола протокола маршрута
услуги
Аппаратное
обеспечение √ √ √
Конфигурация √ √ √ √
Организация сети √ √ √ √ √ √ √ √
Производительность √ √ √ √ √
Программное
обеспечение √ √
соединения √ √ √
Прочее √ √ √ √ √
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
PDIOI и устранение неисправностей сети
Функционировать
Регулярное техобслуживание
Устранение неисправностей
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. PDIOI и устранение неисправностей сети
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Поднимание вопросов
Если сетевое устранение неисправностей выполняется на основе интуиций
или опыта, это может вызвать следующие проблемы:
Трудности в коллективном сотрудничестве
Отсутствие обзорных документов по устранению неисправностей
Необеспечения непрерывности обнаружения и устранения неисправностей
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс устранения неисправностей
структурированной сети
Сообщить о неисправности
Идентифицировать и анализировать
неисправности
Проверить Нет
исправлена или восстановлена Восстановить сетевые услуги
ли неисправность
Да
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процесс устранения неисправностей
неструктурированной сети
Сообщить о неисправности
Х Идентифицировать и анализировать
неисправности
Проверить Нет
исправлена или восстановлена Восстановить сетевые услуги
ли неисправность
Да
Устранить неисправность
Х Выполнить конечные работы
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Отчет о неисправности
В понедельник утром поступил звонок о неисправности от сотрудника, "Я не
могу получить доступ к Интернету на своем компьютере. пожалуйста,
устраните неисправность как можно скорее. "
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сообщение о неисправности: проверка
неисправности посредством упреждающей связи
Имя, отдел, должность, разряд, и ответственная область,
Отчет о местоположение ПК (включая комнату, этаж, и использование
неисправности беспроводного или проводного доступа), веб-сайт, доступ к
которому осуществляется при возникновении неисправности
Частота
Является ли неисправность неожиданной, случайной или частой
неисправности
Пользовательские операции на терминале до и после
Операция неисправности, например, изменяется ли IP-адрес или сервер
пользователя имен доменов (DNS), и установлен ли программный брандмауэр
или программное обеспечение управления безопасностью
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сообщение о неисправности: предполагая
причины
Вопрос:
Почему следует узнать должность, разряд и должностные обязанности
пользователя?
Ответ:
На предприятии пользователи различных разрядов могут иметь различные
права доступа к сети. Кроме того, пользователи одного и того же разряда работы
могут иметь только права доступа к сетевым услугам, связанным с их
соответствующими работами.
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Причина проверки неисправности
Описание неисправности пользователя может быть нечетким, и точка
отказа может быть ошибочной. Поэтому для проверки неисправности
требуется опытный инженер.
Х Сервер
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проверка неисправности
Четыре ключевых элемента проверки неисправностей:
Субъект
Признаки
Время
Местоположение
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сбор информации
Какая информация собирается
Способ сбора
Требования к авторизации
Оценка рисков для сбора информации
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Идентификация и анализ неисправности
Идентификация и анализ
Информация о неисправности
неисправности
Информация о техническом
обслуживании
Экспорт списка причин
История изменений
Опыт команды
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Экспорт списка причин
Возможная причина 3
Возможная причина 4
Исключенные причины
...
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Оценка сложности устранения неисправностей
Экспорт списка причин
Х
Проверка причин по одной
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Оценка сложности устранения неисправностей:
создание временной среды
Экспорт списка причин
Х
Проверка причин по одной
Корневая причина
Возможная причина 2 для проверки
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Устранение неисправности
Устранение неисправностей
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Устранение неисправности: выполнение
конечной работы
Выполнение конечной работы
Пострадавшие стороны
Идентифицировать и анализировать
неисправность
Проверить Нет
исправлена или восстановлена Восстановить сетевые услуги
ли исправность
Да
Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. PDIOI и устранение неисправностей сети
Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Эталонная модель TCP/IP и устранение
неисправностей сети
Прикладной уровень
Транспортный уровень
Сетевой уровень
Физический уровень
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Теории устранения неисправностей, основанные
на пути трафика услуг
Финансовая Производственная
Услуга OA Другие
услуга услуга услуги
Сеть
Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подтверждение пути трафика услуг: сетевой
уровень
Путь 1
IP- Заголов
заголовок ок TCP Данные Путь 2
Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подтверждение пути трафика услуг: уровень
канала передачи данных
Путь 1
Путь 2
Прикладной уровень
Транспортный уровень
Сетевой уровень
Физический уровень
Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Восходящий метод
Прикладной уровень
Транспортный уровень
Сетевой уровень
Физический уровень
Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сравнение конфигураций
[R1]display isis 1 brief
Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Замена сущностей
Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Устранение неисправностей по частям
Анализ конфигурационных файлов сетевых устройств по частям:
Конфигурация Содержание
Часть управления Имена маршрутизаторов, пароли, услуги, журналы и т.д.
Часть интерфейса Адреса, инкапсуляция, затраты, аутентификация и т.д.
Часть протокола Статические маршруты, протокол маршрутизации (RIP),
маршрутизации протокол OSPF, протокол BGP, импорт маршрутов и т.д.
Политика маршрутизации, маршрутизация на основе
Часть политики
политик, конфигурации безопасности и т.д.
Часть доступа Вход Telnet и т.д.
Часть других
Конфигурации качества обслуживания (QoS) и т.д.
приложений
Стр. 34 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Устранение неисправностей по сегментам
Стр. 35 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. В конце работ процесса структурированного устранения неисправностей сети,
какие из следующих сторон должны быть уведомлены?
А. Пострадавшие стороны
Стр. 36 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Устранение распространенных
неисправностей сети
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение
При возникновении сбоя сети, сложнее обнаружить неисправность и
определить причину сбоя, чем устранить неисправность. Изучив этот курс,
вы поймете методы устранения неисправностей в сети. Вы также научитесь
быстро обнаруживать неисправности, выяснять причины сбоя и устранять
проблемы для восстановления сетей.
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы узнаете:
Методы устранения распространенных неисправностей сети
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Основные ошибки конфигурации 4. Неисправности IP-услуг
Ошибка входа в Telnet 5. Недостатки надежности
Ошибка входа в SSH 6. Ошибки безопасности
2. Неисправности локальной сети (LAN) 7. Неисправности
3. Неисправности протокола управления сетью
IP-маршрутизации
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ошибка входа в Telnet
RTA 10.0.12.0/24 RTB
.1 .2
g0/0/0 Х g0/0/0
Маршрут между клиентом и сервером Telnet не доступен. В результате TCP-соединение не может быть
установлено между клиентом и сервером.
Число пользователей, подключенных к серверу, достигло верхнего предела.
Список управления доступом (ACL) связан в режиме пользовательского терминала виртуального типа (VTY).
Telnet не настроен как разрешенный протокол в режиме пользовательского интерфейса VTY. Например,
сконфигурирована команда протокола входящего ssh.
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ошибка входа Telnet — процесс устранения
неполадок
display acl acl-number
rule permit source source-ip-address soucer-wildcard
Нет Связан ли
Может ли клиент Да Число пользователей Нет Разрешен ли Да Правильно ли Да
ACL в режиме Telnet в режиме
пропинговать достигает верхнего пользовательского настроен режим
пользовательского
сервер Telnet предела интерфейса VTY аутентификации
интерфейса VTY
Нет Да Да Нет Нет
Да Да Да Да Да
Конец
Обратитесь за
технической
поддержкой.
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Основные ошибки конфигурации 4. Неисправности IP-услуг
Ошибка входа в Telnet 5. Недостатки надежности
Ошибка входа в SSH 6. Ошибки безопасности
2. Неисправности локальной сети (LAN) 7. Неисправности управления
3. Неисправности протокола сетью
IP-маршрутизации
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ошибка входа в SSH
RTA 10.0.12.0/24 RTB
.1 .2
g0/0/0 Х g0/0/0
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ошибка входа в SSH — процесс устранения
неполадок
display ssh user-information display acl acl-number
protocol inbound { ssh | all } ssh client first-time enable
Клиент не ssh user authentication-type rule permit source
может войти на display ssh server status
сервер SSH display rsa local-key-pair display user
display ssh server status public ssh server compatible-ssh1x
stelnet server enable display user-interface maximum-vty enable
rsa local-key-pair create
Да Да Нет
Нет Нет Нет Нет Нет
Настройте Увеличение числа Измените ACL для Включите
Включите сервис Настройте VTY Настройте пару пользователей, Настройте
параметры разрешения IP- начальную
SSH. для поддержки ключей на которым совместимость
аутентификации разрешено войти адреса клиента аутентификацию
SSH сервере версий SSH
пользователя SSH в систему VTY SSH на клиенте SSH
Конец
Обратитесь за
технической
поддержкой.
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Основные ошибки конфигурации 4. Неисправности IP-услуг
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сбой VLAN
SWA SWB
g0/0/1 g0/0/1
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сбой VLAN — процесс устранения неполадок
Настройте Настройте
Устранение коммутатор для Измените Измените
правильные IP- Отключите
неисправностей повторного неправильные неправильные
адреса для изучения MAC- изоляцию порта
на интерфейсах конфигурации записей ARP
терминалов адресов
Да Да Да Да Да Да
Конец
Обратитесь за
технической
поддержкой.
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Основные ошибки конфигурации 4. Неисправности IP-услуг
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сбой MSTP
№ Процедура
Организация
сети 1 Настройте режим MSTP.
2 Настройте регион MST и активируйте настройку.
RG1
E0/0/2 E0/0/2 (Необязательно) Настройте корневой мост и
SWA SWB 3
резервный корневой мост.
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сбой MSTP — процесс устранения
неисправностей
display stp region-configuration
Услуги display current-configuration
прерываются
из-за изменения
топологии display stp
MSTP display stp stp converge normal
Да Да Да Да
Конец
Обратитесь за
технической
поддержкой.
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Основные ошибки конфигурации 4. Неисправности IP-услуг
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Петли
SWA SWA
E0/0/1
SWB
E0/0/1
SWB
SWC
Х SWD
Х
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Петли -процесс устранения неполадок
Сервисы display interface brief
прерываются
из-за
широковещательного
шторма interface interface-type interface-number
loopback-detect enable
Определены ли
Да Да Определены ли Да
интерфейсы, в Устройство, в
интерфейсы, в
которых происходит котором находится
которых
широковещательный петля
происходит петля
шторм
Нет Нет Нет
Найдите
интерфейсы, в Определите
Правильно
которых происходит устройство, в
подключите
широковещательный котором
кабеля
шторм произошла петля
Да Да Да
Конец
Обратитесь за
технической
поддержкой.
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Основные ошибки конфигурации 4. Неисправности IP-услуг
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Roadmap устранение неполадок в соседских
отношениях OSPF (1/2)
Следующие поля в пакетах Hello должны совпадать,
когда установлена связь с соседом OSPF.
Сбой соседских отношений OSPF):
32 бита
8 8 8 8
Таблица данных соседей OSPF пуста.
Версия Тип Длина пакета Сосед OSPF остается в состоянии Init.
Заголовок пакета OSPF
Идентификатор маршрутизатора
Идентификатор зоны
Сосед OSPF остается в состоянии 2-Way.
Контрольная сумма AuType Сосед OSPF остается в состоянии Exstart
Аутентификация
или Exchange.
Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Roadmap устранение неполадок в соседских
отношениях OSPF (2/2)
Down Маршрутизатор не получает от соседа пакет Hello.
Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сбой соседских отношений OSPF -процесс
устранения неполадок
Ненормальные
смежные отношения
OSPF display ospf peer brief
Исправность
Нет Исправность
Нет Исправность
Нет Нет Исправность
Нет Исправность
Нет
Исправность
устранена? устранена? устранена? устранена? устранена? устранена?
Да Да Да Да Да Да
Конец
Обратитесь за
технической
поддержкой.
Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Карта по устранению неполадок сбоя OSPF
Intra-area
Соседний маршрутизатор не объявляет некоторые или все маршруты..
OSPF не включен на интерфейсе.
Интерфейс отключен
Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ошибка маршрута OSPF Intra-area — процесс
устранения неполадок
display ospf interface GigabitEthernet 0/0/0
display ospf lsdb router
Сосед OSPF не
рекламирует display ospf lsdb router
маршруты display current-configuration | begin ospf
Включить OSPF на
Устранение
интерфейсе, принимающем
неисправностей 2 уровня
объявлениемаршрута
Исправность Исправность
устранена? Нет устранена? Нет
Да Да
Конец
Обратитесь за
технической
поддержкой.
Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ошибка маршрута OSPF Intra-area — процесс
устранения неполадок
ABR не может суммировать маршруты.
ABR не может
Area 1 Area 0 суммировать
маршруты
Loopback0
1.1.1.1/32 Loopback0
3.3.3.3/32 Команда abr-summary Да
сконфигурирована на
ABR ABR
Нет
E0/0 E0/0 E0/1 E0/0
Правильно
сконфигурируйте
10.1.1.1/30 .2 10.2.1.1/30 .2 команду abr-summary
на ABR
RTA RTB RTC
Исправность
устранена? Нет
Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ошибка маршрута вне области OSPF и процесс
устранения неполадок
Area 1
Area 0 NSSA
RTA RTB RTC RTD
10.1.1.0/24 10.2.1.0/24 10.3.1.0/24
.1 .2 .1 .2 .1 .2
маршрутизатор
Неисправност Команда route-policy Да Изменение Да
ь маршрута Исправность
автономной системы сконфигурирована на команды Конец
устранена?
из зоны OSPF ASBR route-policy
(ASBR) не рекламирует Нет Нет
Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Основные ошибки конфигурации 4. Неисправности IP-услуг
Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сбой отношения соседства IS-IS и план
устранения неисправностей
49.0001.0000.0000.0001.00 49.0002.0000.0000.0002.00 49.0002.0000.0000.0003.00
RTA RTB RTC
Loopback0 Loopback0
G0/0/0 G0/0/0 G0/0/1 G0/0/1
1.1.1.1/32
.1 X .2 .1 X .2
3.3.3.3/32
12.12.12.0/30 23.23.23.0/30
L2 L1/2 L1
IS-IS обычно не может получать и отправлять hello-пакеты из-за При установлении отношения соседства Level-1, ID зоны
неисправности устройства низкого уровня или канала. устройства на обоих концах канала не соответствуют.
Устройства на обоих концах канала имеют одинаковый ID IP-адреса соответствующих интерфейсов на двух
системы. маршрутизаторах находятся на разных сегментах сети.
Level IS-IS устройств на обоих концах канала не соответствуют.
Стр. 34 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ошибки соединений с соседними объектами
IS-IS — процесс устранения неполадок
display isis interface display current-configuration configuration isis | include is-level
display current-configuration configuration isis display current-configuration interface interface-type interface-number | include isis circuit-level
network-entity (process ID) is-level
isis circuit-level
IP-адреса
Интерфейсы Да Да Да Системные ID Да Уровни IS-IS Да Соответствуют Да
Интерфейсы в интерфейсов на
IS-IS в устройств устройств ли у устройств
состоянии Up? одном и том же соответствуют? ID зоны?
состоянии Up? одинаковы?
сегменте сети?
Нет Нет Нет Нет Нет Нет
Да Да Да Да Да Да
Конец
Обратитесь за
технической
поддержкой.
Стр. 35 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Основные ошибки конфигурации 4. Неисправности IP-услуг
Стр. 37 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Отказы связи BGP узлов и схема действий при
устранении неполадок
bgp 100
router-id 1.1.1.1
peer 2.2.2.2 as-number 100
AS100 AS200
peer 2.2.2.2 connect-interface loopback0
RTB RTC
S0 IBGP S0 S1 EBGP S1
RTA
10.1.1.1 10.1.1.2 10.2.2.1 10.2.2.2
Стр. 38 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Неисправности соединений BGP узлов —
процесс устранения неполадок
ping –a source-ip-address –s packetsize host
Конец
Обратитесь за
технической
поддержкой.
Стр. 39 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Основные ошибки конфигурации 4. Неисправности IP-услуг
5. Недостатки надежности
6. Ошибки безопасности
7. Неисправности управления
сетью
Стр. 41 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Неисправности сервера DHCP
SWA
3 (Необязательно) Статически сконфигурируйте службу DNS для клиентов DHCP. Любой IP-адрес из глобального адресного пула и
4 (Необязательно) Статически сконфигурируйте службу NetBIOS для клиентов DHCP. IP-адрес интерфейса VLANIF сервера DCHP
5
(Необязательно) Сконфигурируйте персонализированные настройки DHCP для находятся на разных сегментах сети.
глобального пула адресов.
Стр. 42 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Неисправности сервера DHCP - процесс
устранения неполадок
display current-configuration | include dhcp enable display ip pool
display ip pool name ip-pool-name
Клиенту не dhcp enable display ip pool name ip-pool-name
удается
получить IP- Ping VLANIF dhcp select global display user
адрес dhcp select interface display user-interface maximum-vty
Да
Соединение между
Имеет ли
клиентом и Включен ли Настроен метод IP-адреса в глобальном Да
Да Да Да Клиент получает Нет Да адресный пул
сервером DHCP на адресном пуле и IP-
получения IP- IP-адрес из пула какой-нибудь
нормальное? сервере? адрес интерфейса в
адреса для адресов одном и том же доступный
клиента? интерфейса? сегменте сети? IP-адрес
Нет Нет
Нет Нет
Нет
Устраните Включить Настроить метод
неисправность DHCP на получения IP- Настроить IP- Перенастроить
соединения адреса в одном и адресный пул
сервере адреса для
клиента том же сегменте
сети
Конец
Обратитесь за
технической
поддержкой.
Стр. 43 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Основные ошибки конфигурации 4. Неисправности IP-услуг
5. Недостатки надежности
6. Ошибки безопасности
7. Неисправности управления
сетью
Стр. 45 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Неисправности ретрансляции DHCP
SWB
G0/0/1
№ Процедура
DHCP-сервер
1 Настройте ретрансляцию DHCP в интерфейсе.
G0/0/1
2 Настройте целевую группу серверов DHCP.
SWA Ретрансляция
DHCP Свяжите интерфейс агента ретрансляции
3
dhcp enable DHCP с группой серверов DHCP.
G0/0/2 #
dhcp server group dhcpgroup1 (Необязательно) Настройте агент
dhcp-server 100.10.10.1 0 4 ретрансляции DHCP на отправку сообщений об
# освобождении DHCP.
interface Vlanif100
(Необязательно) Настройте политики
ip address 20.20.20.1 255.255.255.0
5 обработки сообщений Option82 для агента
PC1 dhcp select relay
dhcp relay server-select dhcpgroup1 ретрансляции DHCP.
Клиент DHCP #
interface Vlanif200
ip address 100.10.20.1 255.255.255.0
Соединение между клиентом DHCP и сервером DHCP IP-адрес сервера DHCP не настроен у агента
неисправно. ретрансляции DHCP.
DHCP не активен глобально. В результате функция DHCP Конфигурация прочих устройств на линии связи неверна
не начинает действовать.
Функция ретрансляции DHCP отключена. В результате
функция ретрансляции DHCP не начинает действовать.
Стр. 46 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Ошибки ретрансляции DHCP — процесс
устранения неполадок
ping -a source-ip-address destination-ip-address
Да Да Да Да Да
Конец
Обратитесь за
технической
поддержкой.
Стр. 47 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Основные ошибки конфигурации 4. Неисправности IP-услуг
6. Ошибки безопасности
7. Неисправности управления
сетью
Стр. 49 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Нестабильность группы резервирования VRRP
RTA
VRRP VRID 1
Виртуальный
IP-адрес: .1 .1
192.168.1.0/24
10.1.1.100/24 10.1.1.111/24
GE2/0/0 GE1/0/0
.2
GE0/0/1 172.16.1.1/24
Основное GE1/0/0
GE0/0/3 GE3/0/0
GE0/0/2 10.1.1.0/24 GE2/0/0
Резервное
Хост SWA .2 RTC
GE2/0/0
GE1/0/0
192.168.2.0/24
.2 .1
№ Задача
RTB interface GigabitEthernet2/0/0
Настройте базовые функции Протокола избыточных
1 ip address 10.1.1.1 255.255.255.0
виртуальных маршрутизаторов (VRRP).
vrrp vrid 1 virtual-ip 10.1.1.111
Настройте связь между VRRP и обнаружением vrrp vrid 1 priority 120
2 двунаправленной передачи (BFD) для реализации быстрого vrrp vrid 1 preempt-mode timer delay 20
переключения между основным/резервным VRRP.
Стр. 50 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Резервное копирование группы VRRP —процесс
устранения неполадок
debugging vrrp packet reset counters interface
Нестабильность display interface interface-type interface-number
группы
резервирования
VRRP vrrp vrid timer advertise ping
display vrrp
Нет
Может ли резервное Интервал Связь между Отменяется ли Отменяется ли
устройство
Нет отправки Нет устройствами в
Да передача пакетов Да передача пакетов Нет Трафик пакетов Нет
на интерфейсе VRRP, VRRP
нормально получать пакетов VRRP резервной группе резервного отправленных на
пакеты оповещения? VRRP нормальная? ограничен?
короткий? устройства? процессор?
Да Нет Да Да
Да Да Да
Конец
Обратитесь за
технической
поддержкой.
Стр. 51 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Основные ошибки конфигурации 4. Неисправности IP-услуг
6. Ошибки безопасности
7. Неисправности управления
сетью
Стр. 53 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Наличие двух основных устройств в резервной
группе VRRP
RTA
VRRP VRID 1
Виртуальный IP-адрес:
10.1.1.111/24 .1 1
192.168.1.0/24
10.1.1.100/24
GE2/0/0 GE1/0/0
2
GE0/0/1 172.16.1.1/24
Основное GE1/0/0
GE0/0/3 10.1.1.0/24 GE3/0/0
GE0/0/2 GE2/0/0
Основное
Хост SWA .2 RTC
GE2/0/0 GE1/0/0
№ Задача 192.168.2.0/24
.2 .1
1 Настройте базовые функции VRRP.
Стр. 54 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Наличие двух основных устройств в резервной
группе VRRP — процесс устранения неполадок
Наличие двух
основных устройств в
резервной группе debugа
VRRP display stp brief
ping
display vrrp statistics
display this
Да
Конфигурации Да Может ли резервное Нет Заблокирован ли Нет Соединение между Да Принимаются ли
устройствами в
устройств в группе устройство получать резервный
резервной группе VRRP
недопустимые пакеты
VRRP одинаковы? пакеты оповещения VRRP? интерфейс VRRP? нормальное? оповещения VRRP
Нет Да Нет
Да Да Да
Обратитесь за
Конец технической
поддержкой.
Стр. 55 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Основные ошибки конфигурации 4. Неисправности IP-услуг
7. Неисправности управления
сетью
Стр. 57 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пользователи внутренней сети не могут получить
доступ в Интернет
10.3.0.1/24 1.1.1.1/24
GE1/0/3 GE1/0/1
Пользователь Доверие Недоверие
внутренней
сети
Х
Неверная конфигурация шлюза на ПК, Неверная конфигурация политики
используемом пользователем внутренней сети. безопасности в NGFW.
Стр. 58 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пользователи внутренней сети не могут получить
доступ в Интернет - процесс устранения неполадок
display ip routing-table
ip route-static
Внутренний
пользователь не
может получить display ip interface brief
display security-policy rule rule-name display firewall session aging-time
доступ в display zone
Интернет firewall session aging-time session-type aging-time
add interface interface-
type interface-number
Да Да Да Да Да Да
Конец
Обратитесь за
технической
поддержкой.
Стр. 59 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Основные ошибки конфигурации 4. Неисправности IP-услуг
7. Неисправности управления
сетью
Стр. 61 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пользователи Интернет не могут получить
доступ к внутренней сети
10.2.0.1/24 1.1.1.1/24
GE1/0/2 GE1/0/1
DMZ Недоверие
Внутренняя сеть
X
Неверная конфигурация шлюза на сервере Настройка маршрутизации в NGFW неверна.
внутренней сети. Настройка политики безопасности в NGFW
На сервере внутренней сети отключены службы. неверна.
Стр. 62 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Пользователи Интернет не могут получить
доступ к внутренней сети - устранение неполадок
Интернет-
пользователь не
может получить
доступ к display ip interface brief display ip routing- display security-policy rule rule-
внутренней сети display zone table name
add interface interface-type interface-number ip route-static
Правильно ли Правильно ли
Конфигурация Включены ли Конфигурация Конфигурация
шлюза на сервере Да сервисы на Да интерфейсов и зоны Да Да настроена Да настроена Да
маршрутизации в политика маршрутизация на
внутренней сети сервере безопасности в
NGFW верна? безопасности в маршрутизаторе
верна? внутренней сети? NGFW верна?
NGFW? ISP?
Нет Нет Нет Нет Нет Нет
Конец
Обратитесь за
технической
поддержкой.
Стр. 63 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Основные ошибки конфигурации 4. Неисправности IP-услуг
7. Неисправности управления
сетью
SNMP-хосты не могут
подключиться к NMS
NMS не может принять аварийные
сигналы SNMP
Стр. 65 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
SNMP-хосты не могут подключиться к NMS
NMS1
10.1.1.1/24
GE1/0/0
10.1.2.1/24
Х
Маршрутизатор
NMS2
10.1.1.2/24
№ Задача snmp-agent
snmp-agent sys-info version v2c
1 Настройте базовые функции для SNMPv2c. acl 2001
rule 5 permit source 10.1.1.2 0.0.0.0
(Необязательно) Контролируя права NMS rule 6 deny source 10.1.1.1 0.0.0.0
2
управляйте устройством. snmp-agent mib-view dnsmib include 1.3.6.1.4.1.2011.5.25.194
(Необязательно) Настройте SNMP-хост для snmp-agent community write adminnms2 mib-view dnsmib acl 2001
3 snmp-agent target-host trap-paramsname trapnms2 v2c securityname adminnms2
отправки аварийных сигналов в NMS.
snmp-agent target-host trap-hostname nms2 address 10.1.1.2 trap-paramsname
(Необязательно) Настройте на SNMP-хосте trapnms2
4
функционал расширенного кода ошибки. snmp-agent trap queue-size 200
snmp-agent trap life 60
snmp-agent trap enable
snmp-agent sys-info contact call Operator at 010-12345678
Стр. 66 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
SNMP-хосты не могут подключиться к NMS —
процесс устранения неполадок
SNMP-хост не может
подключиться к NMS display logbuffer
Да Может ли NMS Да
Могут ли хост и NMS
ping получать SNMP
пинговать друг друга?
пакеты?
Нет Нет
Неисправность Неисправность
устранена? устранена?
Нет Нет
Да Да
Конец
Обратитесь за
технической
поддержкой.
Стр. 67 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Основные ошибки конфигурации 4. Неисправности IP-услуг
7. Неисправности управления
сетью
SNMP-хосты не могут
подключиться к NMS
NMS не может принять аварийные
сигналы SNMP
Стр. 69 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
NMS не может принять аварийные сигналы
SNMP
NMS1
10.1.1.1/24
GE1/0/0
10.1.2.1/24
Маршрутизатор
NMS2
Х
10.1.1.2/24
snmp-agent
№ Задача snmp-agent sys-info version v2c
acl 2001
1 Настройте базовые функции для SNMPv2c. rule 5 permit source 10.1.1.2 0.0.0.0
rule 6 deny source 10.1.1.1 0.0.0.0
(Необязательно) Контролируя права NMS snmp-agent mib-view dnsmib include 1.3.6.1.4.1.2011.5.25.194
2 управляйте устройством. snmp-agent community write adminnms2 mib-view dnsmib acl 2001
snmp-agent target-host trap-paramsname trapnms2 v2c securityname adminnms2
(Необязательно) Настройте SNMP-хост для
3 отправки аварийных сигналов в NMS.
snmp-agent target-host trap-hostname nms2 address 10.1.1.2 trap-paramsname
trapnms2
(Необязательно) Настройте на SNMP-хосте snmp-agent trap queue-size 200
4 функционал расширенного кода ошибки. snmp-agent trap life 60
snmp-agent trap enable
snmp-agent sys-info contact call Operator at 010-12345678
Потери пакетов. В результате NMS не может получить Модуль служб на хосте не генерирует аварийные
аварийный сигнал. сигналы, или формат генерируемых сигналов неверен.
Конфигурация SNMP-хоста неверна. В результате аварийные
сигналы не могут быть переданы.
Стр. 70 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
NMS не может принять аварийные сигналы
SNMP — процесс устранения неполадок
NMS не может
принять сигналы
SNMP display snmp-agent trap all
snmp-agent trap enable feature-name trap-name lay logbuffer
Конец
Обратитесь за
технической
поддержкой.
Стр. 71 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Что из нижеперечисленного может вызвать неисправность отношения соседства
BGP?
А. ACL настроен для фильтрации пакетов, порт назначения которых — порт 179 TCP.
Стр. 72 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Примеры сценариев устранения
неполадок сети
Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Введение
Данная презентация содержит рекомендуемый график обучения, схемы
топологии для сценариев и описание неисправностей, которые необходимо
проверить для устранения неполадок в сети.
Приложение в конце содержит ответы на случаи устранения неполадок,
файлы топологии на платформе графического моделирования
корпоративных сетей (eNSP) и конфигурации точек отказа в сценариях
сценариев. Учителя и стажеры могут использовать их в качестве
справочного материала.
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы узнаете:
Навыки гибкого использования методов устранения неполадок сети на основе
практики
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Устранение неполадок и последовательность классов
4. Приложение
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Примеры сценариев устранения неполадок сети:
меры предосторожности
Учитель предлагает несколько отчетов о неисправности для обсуждения.
Акцент должен быть сделан на освоении процесса и методов устранения неполадок
посредством практики, а не устранения многих неисправностей за короткий период времени.
Операции по устранению неполадок должны быть разрешены, а соответствующие документы
должны быть созданы. Убедитесь, что каждая операция по устранению неполадок
соответствует процессу и записана.
Цель устранения неисправностей заключается не в том, чтобы выполнить
самостоятельное устранение неисправностей на месте, а в том, чтобы быстро
определить место неисправности, используя четкий план. Если вы обнаружите
неисправность на устройстве и не сможете устранить ее, немедленно обратитесь к старшим
инженерам, поставщикам услуг или поставщикам (учителям в аудитории) за технической
поддержкой.
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Примеры сценариев устранения неполадок сети:
последовательность классов
• Учитель описывает цели, ввод (топологии, симптомы, групповое обсуждение и процессы и методы устранения неполадок) и вывод (групповые резюме,
отчеты об устранении неполадок, включая процессы и резюме поиска и устранения неисправностей) сценариев.
Контекст • Учитель показывает, как устранить неисправность.
30 мин
• Руководитель группы (один человек): направляет план устранения неполадок, обобщает и сообщает результаты.
• Члены группы: анализируют методы устранения неполадок, запускают устройства, записывают процесс поиска и устранения неисправностей, методы и результаты и
Группирование создают отчет.
10 мин
• Каждая группа выполняет поиск и устранение неисправностей в соответствии с процессом устранения неполадок в структурированной сети, записывает
Деление фактический процесс и создает отчет.
группы • 15-минутный перерыв.
80 мин
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Устранение неполадок и последовательность классов
4. Приложение
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Контекст: архитектура корпоративной сети
Кластер
серверов
Уровень
агрегации
Уровень
доступа
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Контекст: Сервер1 Сервер2 Сервер3
архитектура сети
ISP1 ISP2
ISP1 ISP2
Кластер серверов
Уровень
АР1 АР2 LSW5
ядра
DHCP-
Уровень
CSW1 CSW2 сервер
агрегации
LSW6
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Контекст: Сервер1 Сервер2 Сервер3
схема VLAN
ISP1 ISP2
ISP1 ISP2
АР2
АР1 1006 LSW5
VLAN 200X
1007 .20/30 192.168.3.X/30
VLAN 100X 1001 1004 .24/30
192.168.2.X/30 .4/30 .16/30 1008
1003 2001
1002 .28/30
.12/30 Trunk .4/30
.8/30)
1009 DHCP-сервер
CSW1 Trunk CSW2.32/30
Trunk Trunk
LSW6
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Контекст: Сервер1 Сервер2 Сервер3
схема MSTP
ISP1 ISP2
ISP1 ISP2
LSW6
VLAN 10 20 VLAN 30 40
Экземпляр 10 Экземпляр 20
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Контекст: Сервер1 Сервер2
.2
Сервер3
схема IP-адреса
.2 .2
200.1.1.X/24 200.1.2.X/24 200.1.3.X/24
GW: 200.1.1.1 GW: 200.1.2.1 GW: 200.1.3.1
.1 .1 .1
100.1.3.X/24 .1 .1
GW: 100.1.3.1 100.1.4.X/24
ISP1 ISP2GW: 100.1.4.1
Internet
.2
.2
ISP1 ISP2
.1 .1
100.1.1.X/24 100.1.2.X/24
GW: 100.1.2.1
.2GW: 100.1.1.1 .2 VLAN 200X
LB0: 192.168.0.1/32 LB0: 192.168.0.2/32
.1 .0/30 .2 .22 192.168.3.X/30
AR1 .26
AR2 LSW5
.10.18 .30 1006 2001
.6 .14 .34 .20/30 LB0: 192.168.0.5/32 .4/30 LB0: 192.168.0.7/32
1007 .21 .5 .6
1001 1004 .24/30
.16/30 .25 .1
.4/30 1002 1003 1008
VLAN 100X .8/30 .12/30 .28/30
192.168.2.X/30 .5 .9 .13 .17 1009 DHCP-сервер
CSW1 CSW2 .32/30 .29 .2 Telnet-сервер
LB0: 192.168.0.3/32 .1 .2 LB0: 192.168.0.4/32 .33 .9
.2 .2 .2 SSH-клиент
.1 .1 .1 LB0: 192.168.0.6/32
LSW6
.3 .3 .3
.3
LSW1 LSW2 LSW3 LSW4
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Контекст: схема Сервер1 Сервер2 Сервер3
маршрутов Интранет
ISP1 ISP2
ISP1 ISP2
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Контекст: схема Сервер1 Сервер2 Сервер3
выходного маршрута
ISP1 ISP2
ISP1 ISP2
Основной канал Резервный канал
Cost 1 Статический маршрут Статический маршрут Cost 2
AR1 AR2
LSW5
OSPF
Зона0 OSPF
Зона101
CSW1 DHCP-сервер
CSW2
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Контекст: Сервер1 Сервер2 Сервер3
моделирование WAN
RIP v2
ISP1 ISP2
Статический Статический
маршрут маршрут
DHCP-сервер
CSW1 CSW2
LSW6
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Контекст: Сервер1 Сервер2 Сервер3
схема VRRP
ISP1 ISP2
ISP1 ISP2
LSW6
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Контекст: Сервер1 Сервер2 Сервер3
схема DHCP
ISP1 ISP2
ISP1 ISP2
1006
AR1 AR2 .20/30 LSW5 VLAN 200X
1007 192.168.3.X/30
VLAN 100X 1001 .24/30
1004 1008
192.168.2.X/30 .4/30 2001
1002 1003 .16/30 .28/30
.12/30 Trunk .4/30
.8/30
1009
DHCP-
CSW1 Trunk .32/30 сервер
Trunk Trunk CSW2
LSW6
Ретранслятор Ретранслятор Ретранслятор Ретранслятор
DHCP DHCP DHCP DHCP
LSW1 LSW2 LSW3 LSW4
DHCP-
клиент ПК1 ПК2 ПК3 ПК4 ПК5 ПК6 ПК7 ПК8
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Контекст: Сервер1 Сервер2 Сервер3
.2 .2 .2
E 0/0/1
.3 E 0/0/1 .3
.3 E 0/0/2 .3 E 0/0/2
E 0/0/2 E 0/0/2 E 0/0/1 E 0/0/1
LSW1 LSW2 LSW3 LSW4
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Устранение неполадок и последовательность классов
4. Приложение
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сценарий 1: неисправности, подлежащие
проверке
В выходные дни компания сменила двух новых Интернет-провайдеров и
провела линейную коммутацию. Не исключено, что сетевой администратор
выполнил другие операции в сети.
В понедельник утром вы получили телефонный звонок от сотрудника,
который жаловался на невозможность доступа в Интернет (Сервер1) через
терминал (ПК7).
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сценарий 2: неисправности, подлежащие
проверке
В воскресенье администратор сети провел техническое обслуживание
устройства и обнаружил, что пользователь ПК5 не может получить доступ в
Интернет (Сервер1), когда кабель между LSW3 и CSW2 был отключен.
После обслуживания сети в воскресенье пользователи сообщили о
медленном подключении к Интернету. Пожалуйста, найдите корневую
причину и устраните неисправность.
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Устранение неполадок и последовательность классов
4. Приложение
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Приложение
Описание Список
Устранение
Отчеты об устранении неполадок сети
неполадок в отчетах
(шаблон)
стажеров
Конфигурации точек Файлы топологии на eNSP (с обычными
сбоя (справка для сетями, предварительно настроенными)
учителей на
разработку Основные конфигурации сети и настройки
сценариев точки сбоя
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какое из следующих заявлений о проверке неисправностей в процессе устранения
неполадок структурированной сети является верным?
А. Сосредоточьтесь на том, как устранять неисправность лучше, независимо от того,
находится ли она в пределах или за пределами вашей ответственности.
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Оптимизация сети
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы будете узнавать:
Содержание профессиональной службы оптимизации сети
Принципы оптимизации сети
Основные методы для повышения безопасности сети
Основные методы для улучшения опыта пользователей
Содержание решения по оптимизации сети
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор оптимизации сети
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обзор оптимизации сети
Целью оптимизации сети является повышение производительности сети,
безопасности сети и опыта пользователей сети.
Оптимизация сети включает:
Оптимизацию аппаратного обеспечения
Оптимизацию программного обеспечения
Расширение сети
Обновление технологии
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Принципы оптимизации сети
Анализ требований
требования
Требования к новым услугам и Оптимизация сетевой
функциям Базовая архитектуры
Необходимость
оптимизация Настройка протокола
оптимизации сети
Унифицированное исправление сети маршрутизации
проблем в существующей сети Оптимизация конфигурации
Осуществимость
внедрения
Требования законов и правил Оптимизация
Услуги передачи данных
качества
Голосовые/видео услуги
обслуживания
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Профессиональная услуга по оптимизации сети
В отличие от общих услуг оптимизации сети, услуга по оптимизации сети (NOS),
предоставляемая Huawei (или другими поставщиками услуг), представляет собой
комплексную услугу с использованием профессиональных инструментов
оптимизации сети. Для того чтобы помочь предприятиям максимизировать свою
прибыль и повысить уровень удовлетворенности клиентов, предоставляются
следующие функции:
Повышение производительности услуг
Повышение доступности и производительности сети
Повышение производительности
Снижение расходов
Передача знаний
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание услуги по оптимизации сети
Требования Передача
заказчиков к сетевых
квалификации знаний
Оценка и
Оценка Проверка Оценка и
Требования к рекомендация
жизненного работоспособ оптимизация
NE-уровню программного
цикла ности сети конфигураций
обеспечения
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор оптимизации сети
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Повышение безопасности сети
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Оптимизация безопасности управления
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Оптимизация безопасности границ
Уровень
Оптимизация безопасности границ
ядра Цель: предотвращение и
уменьшение числа атак из
Уровень
агрегации внешних сетей, что приводит к
рискам для интрасети
Уровень Местоположение: сетевая граница
доступа
Методы: защита от атак,
фильтрация пакетов и аппаратные
брандмауэры
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Оптимизация управления доступом
Уровень
ядра
Оптимизация управления доступом
Цель: обеспечение безопасности
Уровень
агрегации
доступа к основным услугам
Местоположение: устройства на
Уровень каждом сетевом уровне
доступа
Методы: фильтрация пакетов и
независимые брандмауэры
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Оптимизация безопасности доступа
Уровень
Оптимизация безопасности доступа
ядра Цель: реализация защищенного
управления доступом
Уровень
агрегации пользователя
Местоположение: устройства на
Уровень уровне доступа
доступа
Методы: управление доступом к
сети (NAC), привязка пользователя
и изолированность портов
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Оптимизация мониторинга сети
Система управления сетью (NMS)
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор оптимизации сети
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Улучшение опыта пользователей сети
Обеспечение QoS
Голосовые услуги в реальном времени
Уровень Надежные ключевые данные пользователя
ядра Идентификация и ограничение
ненормального трафика
Уровень
...
агрегации
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор оптимизации сети
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Добавление функции сети — доступ WLAN
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор оптимизации сети
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Решение по оптимизации сети
Решение по
оптимизации сети
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какие из следующих источников являются источниками требований по
оптимизации сети?
А. Персонал по обслуживанию сети обобщает проблемы и моменты, которые необходимо
улучшить в течение длительного срока эксплуатации сети, и предлагает предложения по
унифицированному исправлению.
Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com
Сетевая миграция
Стр. 1 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Цель
По окончании данного курса Вы будете узнавать:
Определение миграции сети
Стандартную процедуру миграции
Общие сценарии миграции
Стр. 2 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор миграции
2. Процедура миграции
Стр. 3 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Изменение корпоративных сетей
Сети, являющиеся основой корпоративных услуг, которые постоянно развиваются и меняются.
Расширение Реконструкция
емкости 2-го выхода
уровня
ER ER ER ER
CS CS CS CS CS
SW SW SW SW SW SW SW SW
Как мы можем обеспечить плавный переход услуг, когда сети обновляются, расширяются и
реконструируются непрерывно постоянно?
Стр. 4 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Методы техобслуживания сети
Устройство имеет жизненный цикл. Каналы постоянно меняются.
Стр. 5 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обзор миграции
Если технические операции миграции
могут повлиять на работу служб в Рискованный
Сеть
Стр. 6 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Трудности миграции
Стр. 7 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор миграции
2. Процедура миграции
Стр. 8 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Процедура миграции
Этап подготовки:
Обследование проекта, анализ требований, оценка рисков, подготовка проекта и
утверждение проекта
Этап реализации:
Подготовка к миграции, миграция и проверка услуг
Этап закрытия:
Посещаемость сайта и приемка проекта
Стр. 9 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Анализ состояния сети
Сеть компании A работает уже много лет. С развитием услуг, трафик, передаваемый основным
выходным маршрутизатором, увеличивается, а срок службы маршрутизатора близок к сроку
службы устройства, указанного компанией A. Поэтому компания А запрашивает замену старого
маршрутизатора на уровне ядра двумя высокопроизводительными маршрутизаторами.
CS
CS CS CS
SW SW SW SW SW SW
Стр. 10 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Обследование проекта
Компания B отвечает за построение и техническое обслуживание сети Компании А. При
получении запроса на реконструкцию сети от Компании А компания B назначает эксперта
сети Тома для посещения сайта и проведения анализа и обследований.
Том общается с владельцем сети компании A, инженерами по техническому обслуживанию,
техническим контактным лицом поставщика услуг Интернета (ISP) и представителями
поставщиков и собирает информацию о сети (включая топологию, конфигурации, версии,
типы трафика и дорожные пути) на месте.
Технический Технический Представители
руководитель заказчика руководитель ISP поставщиков
Топология Версия
Стр. 11 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Анализ проекта
После одной недели исследований, Том анализирует потребности заказчиков на основе
своего богатого инженерного опыта:
Необходимость: основной выходной маршрутизатор работает в течение длительного времени и
выполняет все больше и больше услуг. Поэтому его необходимо заменить, а сеть нуждается в
реконструировании.
Осуществимость: после общения с представителями поставщиков о технических деталях миграция
считается осуществимой на основе личного опыта и исторических случаев.
Анализ рисков: замена основного выходного маршрутизатора предполагает переключение услуг,
что может привести к прерыванию услуг.
Качественный анализ проекта: архитектура сети, особенно основной выход, будет значительно
изменена. Поэтому, он определяется как проект реконструкции сети.
Техническое позиционирование: реконструкция основного выхода может привести к большим
рискам для услуг, работающих во всей сети. Поэтому он определяется как проект миграции.
Стр. 12 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Выбор проекта
Том предлагает две проекта миграции для последующих обсуждений с
заказчиками. Старый
Старый
Старый
Новый
Вакантные
Удалено
Новый
Новый
Стр. 13 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Оценка рисков
Подробный анализ и оценка миграционных рисков:
Стр. 14 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Совещание по вопросам коммуникации и
координации
Поставщик Интернет-провайдер
Надзиратель
Стр. 15 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка проекта
Проект миграции
Обследование Исполнение
Приемка проекта
проекта проекта
Стр. 16 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Проверка и рассмотрение проекта
Определение проекта
Стр. 17 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка миграции (1/2)
Устройство Включение питания для тестирования
Аппаратное Плата Проверка работоспособности
обеспечение Кабели Тестирование подключения
Инструменты Инструменты ввода в эксплуатацию (ПК и программное обеспечение для ввода в эксплуатацию,
такие как CRT)
Инструменты мониторинга (инструмент мониторинга услуг, платформа мониторинга трафика и
инструмент анализа сети)
Стр. 18 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Подготовка миграции (2/2)
Список участников (сторона А, сторона В и надзиратель)
Подготовка Обязанности участников (персонал по внедрению, Персонал по
персонала тестированию и персонал по мониторингу)
Контактные данные участников
Стр. 19 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Утверждение и реализация
Проект миграции должен быть подписан заказчиком после его общего утверждения.
Форма заявки на изменение должна быть представлена до каждой конкретной
операции.
Форма заявки на изменение должна содержать подпись конкретного владельца,
уполномоченного заказчиком.
Все сотрудники должны быть уведомлены по электронной почте, телефону или
SMS до каждого изменения миграции.
Критический!
Стр. 20 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Реализация: миграция по сегментам
Небольшая
миграция 1
Децентрализация
Небольшая
миграция 2
Большая
миграция Небольшая Упрощенное
миграция 3
..
.
Один за другим
Небольшая
миграция N
Стр. 21 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Реализация: дорожная карта миграции
Том делит миграцию на три этапа:
② ② ①
② Переключение услуг
②
①
①
③
Стр. 22 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Реализация: процедура миграции (1/4)
Снимок до миграции
Перед миграцией необходимо записать состояние объекта операции (включая интерфейс,
линию, протокол и информацию о трафике), а также резервное копирование
конфигурационных файлов.
Миграция
Выполнение команд конфигурирования или физических операций.
Необходимо указать время выполнения каждого шага.
Стр. 23 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Реализация: процедура миграции (2/4)
В этом примере переключение услуг этапа 2 является ключевой точкой. Этот этап может
быть выполнен следующим образом:
1. Снимок (8 июня 2016 г., 02:30 – 02:35)
② Переключение услуг
<RTC>display ip routing-table #Check route
information.
G0/0/0
<RTC>display time-range all #Check the configured
RTA RT time range information.
RTC <RTC>display log all #Check user operation records.
B <RTC>display device #Check device component status
information.
RTD РТЕ <RTC>display version #Check device version
information.
<RTC>display ospf peer #Check device neighbor
information.
<RTC>display acl all #Check access control
information.
…
Стр. 24 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Реализация: процедура миграции (3/4)
2. Миграция (8 июня 2016 г., 02:35 – 02:40)
[RTA]ip route-static 0.0.0.0 0.0.0.0
② Переключение pos2/0/0
услуг #Configure a default route to the Internet
G0/0/0
on RTA.
RTA RT [RTA-ospf-1]default-route-advertise cost 5
#Configure RTA to advertise the default
RTC B route to the Open Shortest Path First (OSPF)
routing domain.
RTD РТЕ 3. Проверка (8 июня 2016 г., 02:40 – 02:45)
<RTD>display ip routing-table #Check route
information.
<RTD>display ospf lsdb ase 0.0.0.0
#Check the default routes in the OSPF
database.
Стр. 25 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Реализация: процедура миграции (4/4)
② Переключение
4. Миграция (8 июня 2016 г., 02:45 – 02:50)
услуг [RTC-ospf-1]undo default-route-advertise
#Cancel the default route advertised by RTC
G0/0/0
to the OSPF routing domain.
RTA RTB
Стр. 26 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Откат
Определение
Откат — это восстановление статуса до изменения.
Сценарий
При сбое миграции или одного шага необходимо выполнить откат.
Требование
Для каждой небольшой процедуры миграции последним пунктом должна быть
инструкция отката.
Стр. 27 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Время отката
Общий
откат
? Откат по
этапу
Сделать предварительное
Инструкция отката должна быть
заключение на основе Выполнить откат во времени.
включена в проект миграции.
условия на месте.
Стр. 28 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Сбой отката
Обычно при сбое миграции сеть может быть возвращена к исходному
состоянию.
Если сбой миграции вызван форс-мажорными обстоятельствами и откат не
может быть выполнен, то аварийный план реагирования может быть
выполнен.
Аварийный план реагирования должен быть включен в проект миграции.
Аварийный план реагирования должен содержать следующие условия:
перегрузка программного обеспечения системы, замена запасных частей на
месте и вызов устройства.
Стр. 29 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Тестирование
Тестирование рабочего Тестирование статуса Тестирование услуг
состояния сети сетевых услуг заказчика
Тестирование
Проверка состояния Тестирование услуг
возможности подключения
работы устройства. верхнего уровня заказчика.
услуг.
Проверка состояния Тестирование
Соблюдение стабильности.
протокола. производительности услуг.
Стр. 30 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Посещаемость сайта
После завершения миграции и прохождения тестирования услуг заказчика,
сеть входит в специальный период наблюдения. В течение этого периода
инженеры, как правило, размещаются на объекте заказчика и наблюдают
рабочее состояние сети для предотвращения сбоев.
Стр. 31 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Приемка миграции
Стр. 32 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Содержание
1. Обзор миграции
2. Процедура миграции
Стр. 33 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Общий сценарий миграции: обновление
устройства
Старый
Вакантные
L M S S L M S S L
P P F F P P F F P
U U U U U U U U U
Вентилятор Вентилятор
Новый
L
P L
U P
Расширение U Обновление версии ПО
Замена платы
емкости платы
Стр. 35 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Общий сценарий миграции: настройка сетевой
системы
192.168.x.x 172.16.x.x 10.20.x.x 10.30.x.x
Изменение
IP-адреса
10.10.x.x 10.10.x.x
ASBR РЕ
ASBR РЕ
RR
Изменение IP
протокола RR
ASBR РЕ
OSPF RR
BGP
ASBR РЕ РЕ
ASBR
Стр. 36 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Общий сценарий миграции: оптимизация
производительности сети
Оптимизация QoS
Дифференцированные
Беспорядочная услуги для обеспечения
конкуренция трафика ключевых услуг
в точке агрегации
FW FW FW FW
Оптимизация услуг
CS CS CS CS
SW SW SW SW SW SW
Стр. 37 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Заключение миграции
Фокус на
потребностях
заказчиков
Руководство: Гарантия:
процесс управления авторитетная
проектами сертификация
Стр. 38 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Вопросы
1. Какие методы можно использовать при проверке и пересмотре проекта миграции?
Стр. 39 Copyright © Huawei Technologies Co., Ltd., 2019. Все права защищены.
Спасибо!
www.huawei.com