Меню

Сети широкополосного доступа сравнение



Типы подключение к Интернету – разбираем технологии доступа

В настоящее время большинство пользователей компьютеров ежедневно прыгают в Интернет, не задумываясь об используемых технологиях. Но, задумывались ли вы, какие типы интернет-соединений позволяют нам подключаться к интернету?

Давайте рассмотрим различные типы интернет-соединений, которые использовались на протяжении многих лет и сегодня. Мы увидим, как доступ к Интернету развивался с течением времени, и познакомимся с основами работы каждого метода.

Определение «интернет-провайдера»

Прежде чем мы начнем, важно знать, что такое интернет-провайдер (ISP). Хотя любой может использовать свой компьютер как автономное устройство или подключаться к другим компьютерам в локальной сети, вам необходимо пройти через поставщика услуг Интернета, чтобы подключиться к обширным ресурсам, доступным в Интернете.

Интернет-провайдер – это просто компания, которая предоставляет своим клиентам доступ в Интернет. Примеры могут включать Ростелеком, МТС, Билайн и т.д. Эти компании обладают обширной сетевой инфраструктурой, которая обеспечивает широкий и легкий доступ в Интернет.

Какие технологии использует ваш интернет-провайдер для подключения вас к Интернету, с годами многое изменилось и многое зависит от вашего региона.

Давайте рассмотрим некоторые из наиболее распространенных форм подключения к Интернету.

Типы проводного доступа в Интернет

Сначала мы рассмотрим проводные технологии доступа в Интернет. Обычно они позволяют вам выйти в Интернет из дома.

Кабельное подключение

Кабель – распространенный способ достпа к высокоскоростному Интернету. Здесь используется тот же тип медного кабеля, что и для услуг кабельного телевидения. Применяется стандарт, называемый DOCSIS (спецификация интерфейса службы передачи данных по кабелю), совместимый модем может сортировать телевизионные сигналы из сигналы данных Интернета, поэтому оба работают на одной линии.

Хотя кабель по-прежнему является распространенным методом широкополосной связи, у него появились серьёзные конкуренты среди более современных методов. Вы всё ещё можете ожидать стабильной скорости от кабельного Интернета, но это не самая мощная технология.

Оптоволоконное подключение

Оптоволоконное подключение к Интернету является одним из самых быстрых вариантов домашнего Интернета. Вместо традиционного кабеля используются световые сигналы для передачи информации.

На исходном конце передатчик преобразует электрические сигналы в свет. Затем этот свет отражается по специальному кабелю из стекла или пластика. Когда он достигает пункта назначения, принимающая сторона преобразует свет обратно в данные, которые ваш компьютер может использовать.

Как и следовало ожидать, свет распространяется намного быстрее, чем электричество, протекающее по проводам. К сожалению, волоконно-оптические сети не так распространены, как кабельные, а прокладка новых линий обходится дорого. Таким образом, этот тип подключения недоступен в некоторых регионах.

Мы используем термин «волокно до дома», чтобы описать этот тип доступа. Однако, оптоволоконный кабель используется и для многих других целей, например, для прокладки линий через океан. Волоконная оптика может эффективно передавать данные на гораздо большие расстояния, чем кабель, что делает его полезным в этих ситуациях.

DSL доступ в Интернет

DSL, что означает цифровая абонентская линия, использует существующие телефонные линии для передачи цифровых данных. Поскольку данные передаются с большей частотой, чем голосовые вызовы, вы можете одновременно пользоваться Интернетом и разговаривать по телефону.

С DSL вы устанавливаете физический фильтр, который разделяет голосовые сигналы и сигналы данных. Иначе во время разговора по телефону вы услышите пронзительное шипение.

Этот термин почти всегда относится к асимметричному DSL, это означает, что ваши скорости загрузки и выгрузки различаются. Это имеет смысл, поскольку большинство людей загружают из Интернета больше контента, чем выгружают туда.

DSL всё ещё предлагается сегодня, особенно в местах без надежной кабельной инфраструктуры. Это приемлемо, если вам не нужно быстрое соединение, но с сегодняшним Интернетом его возможностей часто оказывается недостаточно.

Коммутируемое соединение

Сейчас коммутируемое соединение – редкость, но о нём стоит кратко упомянуть, поскольку это был первый широко используемый метод доступа в Интернет.

Как и DSL, он использует телефонные линии для подключения к Интернету. Однако, в отличие от DSL, по линии может одновременно проходить только один тип сигнала. Модем с коммутируемым доступом преобразует цифровые сигналы с компьютера в аналоговые сигналы, которые проходят по телефонной линии, выполняя «телефонный звонок» на сервер провайдера.

Конечно, у этой настройки много ограничений. Аналоговый сигнал дозвона неэффективен по сравнению с цифровыми сигналами. И, что печально известно, телефонный звонок, когда вы были в сети, выкинул бы вас из интернета.

Звук коммутируемого соединения вызывает у многих ностальгию, но, по большей части, это технология соединения, оставшаяся в прошлом.

Типы мобильного и беспроводного доступа

Беспроводной доступ в Интернет за пределами дома становится всё более распространенным.

Давайте теперь посмотрим на типы беспроводных интернет-услуг.

Спутниковый Интернет

Спутниковый Интернет, как следует из названия, представляет собой беспроводное решение, использующее спутники на орбите. Это технология прямой видимости, поэтому вам нужен профессионал, чтобы установить антенну, прикрепленную к вашему дому, которая направлена на служебный спутник.

Как вы, наверное, знаете, чем дальше проходит сигнал, тем больше он ухудшается. Поскольку спутниковые антенны могут находиться на расстоянии более 60 000 км, они часто имеют большую задержку. Это ухудшает качество спутниковой связи для таких действий в реальном времени, как игры.

Другая проблема со спутниковым интернетом заключается в том, что он передаёт сигнал на большую территорию. Все, кто рядом с вами, использующие спутниковое соединение, должны совместно использовать полосу пропускания.

Это единственный вариант доступа в Интернет для многих людей в отдаленных районах, но мы не рекомендуем его, если у вас есть другие варианты.

Мобильный широкополосный доступ

Доступ в Интернет по беспроводной сети может иметь несколько различных форм.

Подобно спутниковому Интернету, беспроводная широкополосная связь для дома позволяет вам принимать сигнал от вашего интернет-провайдера без кабелей. Он не идеален, поскольку имеет те же недостатки, в том числе меньшую скорость и восприимчивость к помехам.

В большинстве случаев, когда мы говорим «мобильный интернет», мы имеем в виду технологии беспроводного доступа на мобильных телефонах. Смартфоны передают и принимают беспроводные радиоволны, что позволяет им передавать цифровые данные, а также голосовые вызовы.

Мобильный интернет также позволяет подключить ноутбук к сети практически в любом месте и может использоваться как альтернатива Wi-Fi в автомобиле. Провайдеры сотовых сетей продают USB-модемы и другие мобильные интернет-устройства, которые позволяют подключаться к сети вашего провайдера через мобильные технологии, такие как LTE. Это позволяет вам выходить в Интернет без подключения к сети Wi-Fi.

Теперь Вы понимаете

Мы изучили основы технологий подключения к Интернету, как проводных, так и беспроводных. Во многих случаях то, что вы используете, ограничено тем, что предлагается в вашем районе. Если вы не живете в очень удаленном месте, у вас, вероятно, есть кабельный или оптоволоконный доступ в Интернет дома и соединение LTE на вашем телефоне.

Источник

Беспроводной широкополосный доступ

В последнее время беспроводные сетевые технологии стремительно получают всё большее распространение. Постоянно расширяющийся спектр оборудования, усовершенствование стандартов и улучшение механизмов защиты позволяет применять беспроводные решения в корпоративный локальных сетях. Современное беспроводное оборудование соответствует высочайшим требованиям безопасности, устойчивости и обеспечивает высокую скорость передачи данных.

ПРИНЦИПЫ РАБОТЫ

Принцип ШБД заключается в том, что по радиоканалу базовой станции (БС) предоставляется возможность организовать передачу данных одновременно для нескольких абонентских станций (АС). При этом топология такой сети называется “точка — много точек”. Максимальное количество АС, обслуживаемых одной БС, определяется конкретной моделью и ПО фирмы-производителя (обычно до нескольких десятков АС). Пропускная способность радиоканала БС равномерно делится на число одновременно работающих в настоящий момент времени (активных) АС.

Если в текущий момент времени активна только одна АС, то она использует всю пропускную способность радиоканала БС, к которой она подключена. При необходимости, возможно ограничить доступ к БС только одной АС. Данная топология называется “точка-точка”. Для увеличения радиуса действия покрытия БС применяют специальные устройства – репитеры. Для исключения/уменьшения электромагнитного влияния соседних БС друг на друга применяют территориально-частотное планирование использования радиочастот.

ТЕХНИЧЕСКОЕ РЕШЕНИЕ

Широкополосный беспроводной доступ делится на следующие основные технологии: Wi-Fi, Pre-WiMAX и WiMAX. Технология Wi-Fi основана на семействе стандартов IEEE 802.11. Зона покрытия БС до 100м. Используется в основном внутри помещений (Интернет-кафе, музеи и т.п). Технология Pre-WiMAX основана на стандарте IEEE 802.16. Предназначена для построения распределенных сетей масштаба города, региона, сетей операторского класса (MAN-сети).

Зона покрытия БС порядка 10 км. Возможна организация связи вне зоны прямой видимости до 1-1,5 км (сильно зависит от реальных условий распространения электромагнитной волны). Оборудование различных производителей между собой несовместимо. Технология WiMAX основана на стандартах IEEE 802.16d (фиксированные абоненты) и IEEE 802.16e (мобильные абоненты). Основное назначение и характеристики совпадают с технологией Pre WiMAX. Основное отличие в следующем: основные функции реализованы на аппаратном уровне (“зашиты” в чипсет), а не на программном, как в Pre WiMAX. Оборудование различных производителей совместимо друг с другом.

ВОЗМОЖНОСТИ

Системы с топологией «точка-точка» и/или «точка – много точек», с шириной радиоканалов 1 МГц и более и пропускной способностью более 256 кбит/сек на радиоканал. Зона покрытия от одной БС может доходить до 50 км на открытом пространстве.

ПРИЕМУЩЕСТВА

Основным преимуществом систем ШБД является отсутствие кабельных линий так называемой “последней мили” на участке «абонент – точка доступа», так как используется радиодоступ. Если оборудование используется внутри помещения, то нет необходимости в получении решений Госкомиссии по радиочастотам (ГРКЧ) на использование частот.

Для организации связи на открытом пространстве задействованы частоты, свободные для коммерческого использования. Некоторые технологии позволяют организовать связь вне зоны прямой видимости, а некоторые позволяют организовать мобильность абонента. Система ШБД может быть относительно быстро развернута для использования и дешевле в эксплуатации по сравнению с кабельными сооружениями связи

Источник

Сайт ARNY.RU

Сертификации R&S больше нет, но данная информация по-прежнему полезна.

Материалы курса Cisco CCNA-4 часть 2 ( четвертая часть курса CISCO CCNA R&S ), уроки 6 — 9.

Нужно знать всё про Syslog, SNMP и NetFlow, лучше больше чем есть в курсе. Обязательно знать этапы настройки туннеля GRE.

Много вопросов про PPPoE.

Урок 6

Решения широкополосного доступа

В организациях, использующих услуги удалённых работников, применяются следующие три основные технологии удалённого подключения:

  • Широкополосные подключения — термином широкополосный обозначаются усовершенствованные системы связи, способные предоставлять услуги высокоскоростной передачи данных, голоса и видео через Интернет или по другим сетям. Передача осуществляется с помощью широкого круга технологий, включая DSL, FTTH (оптоволокно до дома), коаксиальные кабельные сети, беспроводную и спутниковую связь;
  • VPN через IPsec — это наиболее распространённый вариант для удалённых работников, совмещённый с удалённым доступом по широкополосному подключению, который обеспечивает установление защищённого подключения VPN через общедоступный Интернет. Этот тип соединения с сетью WAN обеспечивает гибкие и масштабируемые подключения;
  • Технологии традиционных частных WAN 2 уровня— подключения этого типа лежат в основе многих решений для удалённого подключения и включают такие технологии, как Frame Relay, ATM и выделенные линии. Безопасность этих подключений зависит от оператора связи.

Наиболее распространёнными технологиями широкополосного доступа являются следующие три:

  • Кабель;
  • DSL;
  • Беспроводные широкополосные сети.
Кабельная сеть

Кабельная сеть может передавать сигналы по кабелю в любом направлении одновременно. Используются следующие частотные диапазоны:

  • Нисходящие — направление передачи радиочастотного сигнала, например телеканала и данных, от источника (или головного узла) к месту назначения (или абонентам). Передача от источника до места назначения называется путём передачи. Нисходящие частоты находятся в диапазоне от 50 до 860 МГц;
  • Восходящие — направление передачи радиосигнала от абонентов к головному узлу. Восходящие частоты находятся в диапазоне от 5 до 42 МГц.

Спецификация интерфейса сервиса передачи данных по кабелю (DOCSIS) — это международный стандарт, разработанный компанией CableLabs — некоммерческой научно-исследовательской ассоциацией в области кабельных технологий.

DOCSIS определяет требования 1-го и 2-го уровня OSI:

  • Физический уровень — для сигналов данных, которые может использовать оператор кабельной связи, DOCSIS определяет значения ширины канала, или пропускную способность каждого канала, например 200 кГц, 400 кГц, 800 кГц, 1,6 МГц, 3,2 МГц, 6,4 МГц. DOCSIS также определяет метод модуляции — способ использования радиочастотного сигнала для передачи цифровых данных;
  • Уровень MAC — определяет детерминированный способ доступа, множественный доступ с временным разделением каналов (TDMA) или синхронный множественный доступ с кодовым разделением (S-CDMA).

Для передачи восходящих и нисходящих сигналов цифрового модема по кабельной сети требуются два типа оборудования:

  • Система подключения кабельных модемов (CMTS) на головном узле оператора кабельной связи;
  • Кабельный модем на стороне абонента.

Технология DSL — это средство предоставления высокоскоростных подключений по установленным медным проводам.

Несколько лет назад компания Bell Labs определила, что для стандартного разговора по абонентскому каналу достаточно диапазона частот от 300 Гц до 3 кГц. В течение многих лет в телефонных сетях не используются частотные диапазоны выше 3 кГц. Развитие технологий позволяет DSL использовать расширенный диапазон частот от 3 кГц до 1 МГц для предоставления высокоскоростных сервисов передачи данных по обычным медным линиям.

Например, в технологии ADSL используется диапазон частот приблизительно от 20 кГц до 1 МГц.

Другой формой технологии DSL является симметричная DSL (SDSL).

Примечание. Различные типы DSL обеспечивают разную пропускную способность, иногда превышающую 40 Мбит/с. Для удовлетворительного качества связи ADSL длина канала не должна превышать 5,46 км (3,39 мили).

Два основных компонента — это приёмопередатчик DSL и DSLAM:

  • Приёмопередатчик (Трансивер)— подключает компьютер удалённого работника к DSL. Обычно роль приёмопередатчика выполняет модем DSL, подключённый к компьютеру с помощью кабеля USB или Ethernet. Более новые модели приёмопередатчиков DSL могут быть встроены в небольшие маршрутизаторы с несколькими коммутирующими портами 10/100, подходящие для домашнего использования;
  • DSLAM — DSLAM, размещённый в центральном офисе оператора объединяет подключения DSL отдельных пользователей в один канал с высокой пропускной способностью, подключённый к поставщику услуг Интернета, а, следовательно, и к Интернету.

Основное преимущество ADSL — это возможность предоставления услуг передачи данных наряду с голосовыми услугами обычной телефонной сети.

Существует два способа отделения ADSL от голосовой связи в помещении клиента: с помощью микрофильтра или с помощью разветвителя:

  • Микрофильтр — это пассивный низкочастотный фильтр с двумя концами. Один конец подключается к телефону, другой конец подключается к телефонной розетке;
  • Разветвитель обычной телефонной сети — это пассивное устройство, которое отделяет трафик голосовой связи, предназначенный для подключений обычной телефонной сети, и трафик данных, предназначенный для DSLAM.
Типы широкополосных беспроводных технологий

В число типов широкополосного доступа входят следующие:

  • Городские сети Wi-Fi (ячеистая сеть);
  • WiMAX (технология широкополосного доступа в микроволновом диапазоне);
  • Сотовая/мобильная связь;
  • Спутниковый Интернет.

В большинстве городских беспроводных сетей вместо топологии «звезда» используется топология ячеистой сети (mesh). Ячеистая сеть — это ряд взаимно подключённых точек доступа. Каждая точка доступа находится в зоне приёма и может обмениваться данными как минимум с двумя другими точками доступа.

Читайте также:  Сравнение процессор для компьютера

WiMAX — это телекоммуникационная технология, созданная для передачи беспроводных данных на большие расстояния (802.16d до 30 километров, 802.16e 1,5-5 километров) различными способами, от одноранговых каналов до полностью мобильной сотовой связи.

Когда речь идет о сетях сотовой/мобильной связи, используются следующие три общепринятых термина:

  • Беспроводной Интернет — общепринятый термин для обозначения интернет-сервисов, доступных с мобильного телефона или любого устройства, основанного на той же технологии;
  • Беспроводные сети 2G/3G/4G — существенные изменения в беспроводных сетях компаний-производителей мобильных телефонов в ходе эволюции второго, третьего и четвертого поколений беспроводных мобильных технологий;
  • LTE (Long-Term Evolution) — более новая и быстрая технология, являющаяся частью технологии 4G.

Существует три способа подключения к Интернету с помощью спутников:

  • Односторонняя групповая рассылка — системы спутникового Интернета используются для распространения данных, аудио и видео, основанного на групповой IP-рассылке. При этом двусторонние интерактивные возможности не поддерживаются;
  • Односторонняя связь с наземным обратным каналом — системы спутникового Интернета используют традиционный коммутируемый доступ для отправки исходящих данных через модем и получают загружаемые данные со спутника;
  • Двусторонний спутниковый Интернет — передаёт данные из удалённых узлов через спутник на концентратор, который затем передаёт эти данные в Интернет. Спутниковые тарелки должны быть точно размещены для предотвращения помех от других спутников.
PPPoE

Как правило, интернет-провайдеры используют протокол канального уровня PPP (протокол точка-точка). PPP можно использовать на всех последовательных каналах, в том числе созданных с использованием модемов ISDN и модемов для коммутируемых аналоговых каналов. На сегодняшний день для передачи данных от пользователя dial-up к интернет-провайдеру с помощью аналоговых модемов чаще всего используется протокол PPP.

Кроме того, интернет-провайдеры часто используют PPP в качестве протокола канального уровня для широкополосных подключений. Для этого имеется несколько причин. Во-первых, PPP поддерживает возможность назначения IP-адресов удалённым концам канала PPP. Если протокол PPP поддерживается, интернет-провайдеры могут использовать PPP для назначения каждому заказчику одного публичного адреса IPv4. Что ещё более важно, PPP поддерживает аутентификацию CHAP. Интернет-провайдеры предпочитают использовать CHAP для аутентификации пользователей, поскольку во время аутентификации можно проверять учётные записи, чтобы определить, оплачены ли счета, прежде чем пользователь сможет подключиться к Интернету.

Эти технологии, обеспечивающие разные варианты поддержки PPP, пришли на рынок в следующем порядке:

  • Аналоговые модемы для коммутируемого подключения, которые могут использовать PPP и CHAP;
  • ISDN для коммутируемого подключения, которые могут использовать PPP и CHAP;
  • DSL, которая не создает канал точка-точка и не может поддерживать PPP и CHAP.

Однако каналы Ethernet изначально не поддерживают PPP. В итоге было найдено решение этой проблемы — протокол PPPoE (PPP over Ethernet — протокол передачи кадров PPP через Ethernet).

PPPoE создаёт туннель PPP по подключению Ethernet. Это позволяет отправлять кадры PPP интернет-провайдеру с маршрутизатора пользователя по кабельному подключению Ethernet. Модем преобразует кадры Ethernet в кадры PPP путём отделения заголовка Ethernet. Затем модем передает кадры PPP по сети DSL, принадлежащей интернет-провайдеру.

Настройка PPPoE

Для правильного выполнения настройки необходимо учесть следующее:

Для создания туннеля PPP в настройке используется интерфейс номеронабирателя (dialer). Интерфейс номеронабирателя является виртуальным интерфейсом. Настройка PPP размещается на интерфейсе номеронабирателя, а не на физическом интерфейсе. Интерфейс номеронабирателя создается с помощью команды:

Конфигурация CHAP PPP обычно определяет одностороннюю аутентификацию, то есть интернет-провайдер проверяет подлинность пользователя. Имя узла и пароль, настроенные на маршрутизаторе пользователя, должны совпадать с именем узла и паролем, настроенными на маршрутизаторе интернет-провайдера.

Затем на физическом интерфейсе Ethernet, который подключается к модему DSL, настраивается команда:

которая включает протокол PPPoE и связывает физический интерфейс с интерфейсом номеронабирателя. Интерфейс номеронабирателя связывается с интерфейсом Ethernet с помощью команд:

с использованием одного и того же номера. Номер интерфейса номеронабирателя не должен совпадать с номером пула номеронабирателя.

Для параметра MTU (максимальный размер передаваемого блока данных) должно быть установлено значение 1492 (вместо 1500 по умолчанию) для обеспечения соответствия заголовкам PPPoE.

Итак, сначала настраивается виртуальный интерфейс dialer, затем на физическом интерфейсе включается PPPoE и там же физический интерфейс связывается с виртуальным командой pppoe-client.

Урок 7

Защита межфилиальной связи

VPN представляет собой частную сеть, которая создаётся с помощью туннелирования в публичной сети (как правило, в Интернете).

Для реализации сетей VPN требуется шлюз VPN. Шлюзом VPN может быть маршрутизатор, межсетевой экран или устройство адаптивной защиты Cisco ASA (Adaptive Security Appliance). ASA — это автономный межсетевой экран, который объединяет в пределах одного образа программного обеспечения функции межсетевого экрана, концентратора VPN, а также системы предотвращения вторжений.

Существуют сети VPN двух типов:

  • Site-to-site (межузловые или межфилиальные);
  • Remote access (удалённого доступа).
Введение в GRE

Универсальная инкапсуляция при маршрутизации (Generic Routing Encapsulation, GRE) — один из примеров базового, незащищённого протокола создания туннелей для site-to-site VPN. GRE — это протокол туннелирования, разработанный компанией Cisco, позволяющий инкапсулировать пакеты протоколов различного типа внутри IP-туннелей. Благодаря этому создаётся виртуальный канал «точка-точка» до маршрутизаторов Cisco в удалённых точках поверх IP-сети.

GRE предназначен для управления процессом передачи многопротокольного и группового IP-трафика между двумя и более площадками, между которыми связь может обеспечиваться только по IP. Он может инкапсулировать пакеты протоколов различного типа в IP-туннеле.

Интерфейс туннеля поддерживает заголовки для всех указанных ниже протоколов:

  • Инкапсулированный протокол, например IPv4, IPv6, AppleTalk, DECnet или IPX;
  • Протокол инкапсуляции (или несущий протокол), в данном случае GRE;
  • Протокол доставки, например IP, который передаёт данные протокола инкапсуляции.

Протокол GRE обладает следующими характеристиками:

  • Спецификации GRE определены в стандарте IETF (RFC 2784);
  • Во внешнем заголовке IP в поле протокола используется значение 47, указывающее на то, что за ним будет следовать заголовок GRE;
  • При инкапсуляции GRE для поддержки инкапсуляции любого протокола 3 уровня модели OSI в заголовке GRE используется поле «типа протокола» (protocol type);
  • Сам протокол GRE является протоколом без отслеживания состояния (stateless) и по умолчанию не содержит механизмов управления потоком;
  • Для защиты полезной нагрузки в протоколе GRE отсутствуют какие-либо стойкие механизмы безопасности;
  • Заголовок GRE вместе с заголовком IP туннелирования, указанным на рисунке, создаёт, по крайней мере, 24 байта дополнительной служебной информации для туннелированных пакетов.

Настройка туннеля GRE
  1. Создайте интерфейс туннеля с помощью команды interface tunnel number .
  2. Укажите IP-адрес источника туннеля.
  3. Укажите IP-адрес назначения туннеля.
  4. Укажите IP-адрес для интерфейса туннеля.

Шаг 5. (Дополнительно) Укажите на интерфейсе туннеля в качестве используемого режима режим GRE Режим GRE является режимом по умолчанию для интерфейса туннеля в программном обеспечении Cisco IOS.

Для определения работоспособности интерфейса туннеля используйте команду:

Для проверки состояния туннеля GRE используйте команду:

Если OSPF также настроен на обмен маршрутами по туннелю GRE, то с помощью команды:

убедитесь, что через интерфейс туннеля установлены отношения смежности OSPF.

Примечание. Вместо IP адреса источника можно указать выходной интерфейс.

Примечание. Вместо IPv4 адреса туннеля можно указать IPv6 адрес, затем настроить, например, IPv6 EIGRP и на интерфейсе туннеля включить его (на 3725 работает). Так можно пробросить IPv6 через IPv4 инфраструктуру.

IPsec

IPsec — это стандарт IETF, который определяет способ настройки сети VPN в защищённом режиме с помощью протокола IP.

Основные особенности протокола IPsec:

  • IPsec — это структура открытых стандартов, независимая от алгоритмов;
  • IPsec обеспечивает конфиденциальность и целостность данных, а также аутентификацию источника;
  • IPsec действует как протокол сетевого уровня, защищая пакеты IP и проверяя их подлинность.
Сервисы безопасности IPsec

IPsec выполняют следующие важные функции:

  • Конфиденциальность (шифрование) — в сети VPN частные данные передаются по публичной сети. Поэтому ключевой задачей является обеспечение конфиденциальности данных. Для этого перед передачей данных по сети выполняется шифрование данных. Шифрование — это процесс кодирования всех данных, отправляемых с одного компьютера на другой, в ту форму, которую может декодировать только принимающий компьютер. В случае перехвата сообщения злоумышленник (хакер) не сможет его прочесть. IPsec предоставляет расширенные функции безопасности (например, криптостойкие алгоритмы шифрования);
  • Целостность данных — Получатель может убедиться, что данные были нормально переданы через Интернет и никак не были изменены. Важно не только обеспечить шифрование данных в публичной сети, но и убедиться, что они не были изменены в пути. В IPsec предусмотрен механизм проверки отсутствия изменений в шифрованной части пакета, во всём заголовке или в теле данных пакета. IPsec гарантирует целостность данных с помощью контрольных сумм (применяется простая проверка с использованием избыточности). При обнаружении искажений пакет удаляется;
  • Аутентификация — позволяет проверить, кто был источником отправленных данных. Это необходимо для защиты от атак, использующих спуфинг (подмену отправителя). Аутентификация позволяет гарантировать установление подключения к нужному партнеру по связи. Получатель может проверять подлинность источника пакета, сертифицируя источник информации. В IPsec используется технология обмена ключами по Интернету (Internet Key Exchange, IKE) для проверки подлинности пользователей и устройств, которые могут устанавливать связь независимо друг от друга. В IKE применяется аутентификация различного типа, в частности, используются имя пользователя и пароль, одноразовый пароль, биометрия, предварительно распространяемый общий ключ (Pre-Shared Key, PSK и цифровые сертификаты);
  • Защита от повторов — позволяет обнаруживать и отклонять повторные пакеты, а также предотвращать спуфинг. Благодаря защите от повторов можно убедиться, что пакет является уникальным и не дублированным. Пакеты IPsec защищаются путем сравнения порядкового номера полученных пакетов со «скользящим» окном на узле назначения или шлюзе безопасности. Пакет с порядковым номером, который следует перед скользящим окном, считается задержанным или дублированным. Задержанные и дублированные пакеты удаляются.
Алгоритмы шифрования

В алгоритмах шифрования, например AES, требуется общий секретный ключ для выполнения как шифрования, так и расшифровки.

Ниже указаны особенности симметричных алгоритмов:

  • Используется криптография на основе симметричных ключей;
  • При шифровании и расшифровке используется один и тот же ключ;
  • Обычно используется для шифрования содержимого сообщения;
  • Примеры: DES, 3DES и AES.

При асимметричном шифровании для шифрования и расшифровки используются разные ключи. Знание одного из ключей не позволяет хакеру вычислить второй ключ и декодировать информацию.

Ниже указаны особенности асимметричных алгоритмов:

  • Используется криптография с открытым ключом;
  • При шифровании и расшифровке используются разные ключи;
  • Обычно применяется при управлении цифровыми сертификатами и ключами;
  • Примеры: RSA.
Целостность данных

Алгоритм Диффи-Хеллмана (DH) не является механизмом шифрования и обычно не используется для шифрования данных. Он позволяет обеспечивать безопасный обмен ключами, которые используются для шифрования данных. Алгоритмы DH позволяют двум сторонам установить общий секретный ключ, который используется алгоритмами шифрования и хеширования.

Для обеспечения целостности и проверки подлинности трафика сети VPN применяются алгоритмы хеширования.

Криптографическая стойкость алгоритма HMAC зависит от криптографической стойкости базовой функции хеширования, от размера и качества ключа, а также длины результата хеш-функции (в битах).

Существуют два наиболее распространённых алгоритма HMAC:

  • MD5 — используется 128-битовый общий секретный ключ. Сообщение произвольной длины и 128-битовый общий секретный ключ объединяются друг с другом и обрабатываются алгоритмом хеширования HMAC-MD5. В результате создаётся 128-битовый хеш-код. Хеш-код добавляется к исходному сообщению и перенаправляется на удалённую сторону;
  • SHA — в SHA-1 используется 160-битовый общий секретный ключ. Сообщение переменной длины и 160-битовый общий секретный ключ объединяются друг с другом и обрабатываются алгоритмом хеширования HMAC-SHA1. В результате создаётся 160-битовый хеш-код. Хеш-код добавляется к исходному сообщению и перенаправляется на удалённую сторону.

Примечание. В ОС Cisco IOS также поддерживаются 256, 384 и 512 битовые варианты SHA.

Аутентификация IPsec

Существуют два метода аутентификации собеседника:

  • PSK — секретный ключ, заранее известный двум пользователям, которые общаются по защищённому каналу. В методе предварительно распространённых общих ключей (PSK) используются криптографические алгоритмы с симметричным ключом. Ключ PSK вручную вводится на каждом из взаимодействующих узлов (пиров) и используется для аутентификации друг друга. На каждой стороне ключ PSK объединяется с другой информацией, что позволяет сформировать ключ аутентификации;
  • Подписи RSA — для аутентификации равноправных узлов выполняется обмен цифровыми сертификатами. Локальное устройство создаёт хеш-код и шифрует его с помощью своего закрытого ключа. Зашифрованный хеш-код (или цифровая подпись) прикрепляется к сообщению и перенаправляется удалённой стороне. На удалённой стороне зашифрованный хеш-код расшифровывается с помощью открытого ключа локальной стороны. Если расшифрованный хеш-код совпадает с расчётным значением, это означает, что подпись является подлинной.

Ещё одним методом аутентификации является алгоритм цифровой подписи (Digital Signature Algorithm, DSA).

Набор протоколов IPsec

Два основных протокола IPsec:

  • Аутентифицирующий заголовок (Authentication Header, AH) — AH представляет собой специальный протокол, применяемый в тех случаях, когда обеспечение конфиденциальности не требуется или запрещено. Он обеспечивает аутентификацию и целостность данных для пакетов IP, передаваемых между двумя системами. Однако AH не обеспечивает конфиденциальность (шифрования) данных в пакетах. Весь текст передаётся в открытом виде (без шифрования). Если используется только протокол AH (а другие механизмы не применяются), то он обеспечивает слабую защиту;
  • Протокол шифрования полезной нагрузки (Encapsulating Security Payload, ESP) — это протокол безопасности, который обеспечивает конфиденциальность и аутентификацию путем шифрования пакета IP. В процессе шифрования пакета IP скрываются данные и идентификаторы источника и назначения. В ESP проверяется подлинность внутреннего пакета IP и заголовка ESP. Аутентификация обеспечивает проверку подлинности источника данных и целостность данных. Хотя процедуры шифрования и аутентификации не являются обязательными в ESP, необходимо выбрать как минимум одну из них.

Существует четыре основных компоновочных блока структуры IPsec, которые необходимо выбрать:

  • Набор протоколов IPsec — при настройке шлюза IPsec для предоставления услуг безопасности необходимо выбрать, какие из протоколов IPsec будут использоваться. Можно выбрать как использование только ESP или только AH, так и совместное использование ESP и AH. На практике почти всегда используют варианты ESP или ESP+AH, так как сам AH не предоставляет функцию шифрование данных;
  • Конфиденциальность (если выбран вариант использования IPsec с протоколом ESP) — выбранный алгоритм шифрования должен наилучшим образом обеспечивать требуемый уровень безопасности: DES, 3DES или AES. Настоятельно рекомендуется применять AES (наивысший уровень безопасности обеспечивает схема AES-GCM);
  • Целостность — гарантирует, что содержимое не было изменено в процессе передачи. Для выполнения данной функции применяются алгоритмы хеширования. Можно выбрать MD5 и SHA;
  • Аутентификация — определяет способ проверки подлинности устройств на обоих концах туннеля VPN. Доступные варианты: PSK или RSA.
  • Группа алгоритмов DH(не выбирается) — определяет способ генерации общего секретного ключа между узлами. Существует несколько вариантов, но DH24 обеспечивает наивысший уровень безопасности.

Благодаря сочетанию этих компоновочных блоков обеспечиваются конфиденциальность, целостность и аутентификация сетей VPN на IPsec.

Примечание. Процесс настройки сетей IPsec VPN в рамках этого курса не рассматривается.

Типы сетей VPN для удалённого доступа

Существуют два основных способа развёртывания сетей VPN для создания удалённого доступа:

  • Secure Sockets Layer (SSL);
  • Протокол IPsec.
Читайте также:  Встраиваемая индукционная панель бош сравнить

Сети VPN на основе SSL предлагают такие функции, как простое установление связи с настольных систем, не находящихся под управлением компании, минимальное сопровождение ПО настольных компьютеров или его полное отсутствие и веб-порталы, настраивающиеся под пользователя при его входе в систему.

Cisco SSL VPN

Cisco IOS SSL VPN представляет собой первое в своей отрасли решение SSL VPN на основе маршрутизатора.

Аппаратно-программный комплекс Cisco ASA поддерживает два основных режима развёртывания, применяемых в решениях Cisco SSL VPN, как показано на рисунке:

  • Cisco AnyConnect Secure Mobility Client с SSL — требуется клиент Cisco AnyConnect Client;
  • Cisco Secure Mobility SSL VPN без клиента (clientless) — требуется веб-браузер.

На аппаратно-программном комплексе Cisco ASA должна быть настроена поддержка SSL VPN туннелей.

Удалённый доступ IPsec

Решение Cisco Easy VPN состоит из трёх компонентов:

  • Cisco Easy VPN в режиме Server — маршрутизатор Cisco IOS или межсетевой экран Cisco ASA Firewall, работающий как начальное устройство в межфилиальных сетях VPN или сетях VPN удалённого доступа;
  • Cisco Easy VPN в режиме Remote — Маршрутизатор Cisco IOS или межсетевой экран Cisco ASA Firewall, работающий как удалённый клиент VPN;
  • Клиент Cisco VPN Client — приложение, которое поддерживается пользовательским ПК и используется для доступа к серверу Cisco VPN.
Сравнение IPsec и SSL

Протокол IPsec превосходит SSL по нескольким важным характеристикам:

  • Количество поддерживаемых приложений;
  • Стойкость шифрования;
  • Строгость аутентификации;
  • Общий уровень безопасности.

Урок 8

Мониторинг сети
Syslog

Самый распространенный способ получения системных сообщений, предоставляемый сетевыми устройствами, — это использование протокола под названием Syslog.

Syslog использует порт UDP 514 для отправки сообщений с уведомлением о событиях по сетям IP на средства сбора сообщений о событиях.

Служба журналирования syslog предоставляет три основные возможности:

  • Сбор информации в журнал для мониторинга и отладки;
  • Выбор типа информации, сбор которой будет осуществляться;Определение получателей собранных сообщений Syslog.

На сетевых устройствах Cisco протокол Syslog начинает с отправки системных сообщений и вывода процесса debug в локальный процесс ведения журналов соответствующего устройства. Каким образом процесс ведения журналов управляет этими сообщениями и выводом, зависит от настроек устройства. Например, сообщения Syslog могут отправляться по сети на внешний сервер Syslog.

Кроме того, сообщения Syslog могут отправляться во внутренний буфер. Сообщения, отправленные во внутренний буфер, можно просматривать только через интерфейс командной строки устройства.

В число популярных назначений для сообщений Syslog входят следующие:

  • Буфер ведения журналов (ОЗУ в маршрутизаторе или коммутаторе);
  • Линия консоли;
  • Линия терминала;
  • Сервер Syslog.

Можно удалённо наблюдать за системными сообщениями путём просмотра журналов на сервере Syslog или путём доступа к устройству по протоколам Telnet, SSH или через порт консоли.

Формат сообщений Syslog

Устройства Cisco создают сообщения Syslog при определённых сетевых событиях. Во всех сообщениях syslog указывается уровень важности (severity level) и объект (facility).

Каждый уровень syslog имеет собственный смысл:

  • Уровень предупреждения (warning) — уровень критического состояния (emergency) — это сообщения о сбоях программного обеспечения или оборудования; эти типы сообщений говорят о том, что затронута работа устройства. Назначаемый уровень Syslog зависит от серьёзности проблемы;
  • Уровень отладки (debugging) — сообщения этого уровня содержат выходные данные, полученные в результате выполнения различных команд debug;
  • Уровень уведомления (notification) — сообщения уровня уведомления носят исключительно справочный характер, работоспособность устройств не затрагивается. На уровне предупреждения отображаются сообщения об изменении состояния интерфейса на активное или неактивное или о перезапуске системы.

Помимо указания уровня важности в сообщениях syslog также содержатся сведения об объекте. Объекты syslog (syslog facilities) — это идентификаторы сервисов, которые определяют и классифицируют данные о состоянии системы для отчетов об ошибках и событиях.

По умолчанию формат сообщений syslog в ПО Cisco IOS выглядит следующим образом:

Примечание. Наиболее распространенными сообщениями являются сообщения об изменении состояния каналов на активное и неактивное, а также сообщения, создаваемые устройством при выходе из режима настройки.

Если введена команда режима глобальной конфигурации:

для регистрируемых событий отображается время, прошедшее с момента последней загрузки коммутатора. В более полезной версии этой команды применяется ключевое слово datetime вместо ключевого слова uptime, в этом случае для каждого зарегистрированного события будут отображаться дата и время.

Для просмотра сообщений Syslog на рабочей станции в сети должен быть установлен сервер Syslog. Существуют различные бесплатные и условно-бесплатные версии syslog, а также платные корпоративные версии.

По умолчанию маршрутизаторы и коммутаторы Cisco отправляют на консоль сообщения журнала для всех уровней важности. На некоторых версиях IOS по умолчанию устройство также сохраняет сообщения журнала в буфер. Для включения этих двух параметров используйте команды:

в режиме глобальной настройки соответственно.

Настройка Syslog

Шаг 1. Настройте имя узла назначения или IP-адрес сервера Syslog в режиме глобальной конфигурации:

Шаг 2. Укажите, какие сообщения следует отправлять на сервер Syslog с помощью команды:

в режиме глобальной конфигурации. Например, чтобы отправлять только сообщения уровня 4 и ниже (0—4), используйте одну из следующих двух эквивалентных команд:

Шаг 3. При необходимости настройте интерфейс источника с помощью команды:

в режиме глобальной конфигурации. Таким образом, можно настроить, чтобы пакеты syslog содержали адрес IPv4 или IPv6 конкретного интерфейса независимо от того, какой интерфейс используется для отправки пакета с маршрутизатора.

Проверка Syslog

Для просмотра любых зарегистрированных сообщений используйте команду:

SNMP (Simple Network Management Protocol — простой протокол управления сетями) — был разработан, чтобы администраторы могли управлять узлами, такими как серверы, рабочие станции, маршрутизаторы, коммутаторы и устройства безопасности, в сети IP.

«Простой» — скорее шутка разработчиков, протокол крайне сложен и непонятен, особенно при 1 знакомстве. Придётся потратить много времени чтобы разобраться с его настройкой.

SNMP — это протокол уровня приложений, предоставляющий формат сообщения для обмена данными между диспетчерами и агентами. Система SNMP состоит из трёх элементов:

  • Диспетчер SNMP;
  • Агенты SNMP (управляемый узел);
  • Информационная база управления (MIB).

Диспетчер SNMP является частью системы управления сетями (network management system — NMS). Диспетчер SNMP запускает ПО для управления SNMP. Агент SNMP и MIB размещены на клиентах сетевого устройства. Агент SNMP отвечает за предоставление доступа к локальной базе объектов MIB, которая содержит сведения о ресурсах и активности.

SNMP определяет способ обмена информацией об управлении между приложениями управления сетями и агентами управления. SNMP использует UDP, номер порта 161/162, для получения и отправки информации по управлению.

Агент SNMP получает запросы по UDP 161. Менеджер получает уведомления (Traps и InformRequests) по UDP 162.

Принцип работы SNMP

Агенты SNMP, размещенные на управляемых устройствах, собирают и сохраняют информацию об устройстве и его работе. Агент хранит эти сведения локально в базе MIB. Затем диспетчер SNMP использует агент SNMP для доступа к сведениям, хранящимся в базе MIB.

Существует два основных запроса диспетчера SNMP — get и set. Запрос get используется системой управления сетью NMS для отправки на устройство запроса о получении данных. Запрос set используется системой управления сетью NMS для изменения переменных настройки в устройстве агента. Запрос set также может инициировать определённые действия с устройством. Например, запрос set может вызвать перезагрузку маршрутизатора, отправку конфигурационного файла или получение конфигурационного файла.

Агент SNMP отвечает на запросы диспетчера SNMP следующим образом:

  • Получение переменной MIB. Агент SNMP выполняет эту функцию в ответ на запрос GetRequest-PDU от системы NMS. Агент получает значение запрошенной переменной MIB и передаёт это значение системе NMS;
  • Установка переменной MIB. Агент SNMP выполняет эту функцию в ответ на запрос SetRequest-PDU от системы NMS. Агент SNMP изменяет значение переменной MIB на значение, определённое системой NMS. Ответ агента SNMP на запрос set включает новые параметры в устройстве.

Ловушки агента SNMP

NMS периодически проводит опрос агентов SNMP, размещенных на управляемых устройствах, запрашивая данные у устройства с помощью запроса get.

Периодический опрос SNMP имеет свои недостатки:

  • Во-первых, существует задержка между временем обнаружения события и временем отправки соответствующего уведомления (путём опроса) системой NMS;
  • Во-вторых, существует компромисс между частотой опроса и использованием пропускной способности.

Чтобы смягчить воздействие этих недостатков, агенты SNMP могут создавать и отправлять ловушки, сообщая системе NMS о некоторых событиях немедленно. Ловушки — это незапрашиваемые сообщения, предупреждающие диспетчера SNMP о каком-либо условии или событии в сети.

Версии SNMP

Существует несколько версий SNMP, включая следующие:

  • SNMPv1 — устаревший протокол управления сетями, используется модель безопасности на основе сообществ (community).
  • SNMPv2c — использует среду администрирования на базе строки сообщества (community).
  • SNMPv3 — обеспечивает защищённый доступ к устройствам с помощью аутентификации и шифрования пакетов в сети. Данная версия протокола включает следующие функции обеспечения безопасности: контроль целостности сообщений для защиты пакетов от искажения при пересылке, аутентификация для подтверждения достоверности источника сообщения и шифрование для предотвращения прочтения содержимого сообщения несанкционированным источником.

Во всех версиях используются диспетчеры SNMP, агенты SNMP и база MIB.

Cisco IOS поддерживает все три версии.

В отличие от SNMPv1, версия SNMPv2c предусматривает механизм массового извлечения записей и более подробное информирование станций управления об ошибках. SNMPv2c предусматривает расширенные коды ошибок для различных условий возникновения ошибок.

Примечание. SNMPv1 и SNMPv2c включают минимальный набор средств обеспечения безопасности. В частности, SNMPv1 и SNMPv2c не обеспечивают ни аутентификацию источника сообщения управления, ни шифрование.

SNMPv3 предусматривает как модели безопасности, так и уровни безопасности. Модель безопасности — это стратегия аутентификации, настроенная для пользователя и группы, в которой данный пользователь находится. Уровень безопасности характеризует допустимую степень безопасности в модели. Сочетание уровня безопасности и модели безопасности определяет, какой механизм безопасности будет использоваться при обработке пакета SNMP. Доступные модели безопасности — SNMPv1, SNMPv2c и SNMPv3.

Примечание. Сетевой администратор должен настроить агент SNMP для использования версии SNMP, поддерживаемой станцией управления. Поскольку агент может взаимодействовать с несколькими диспетчерами SNMP, можно настраивать программное обеспечение для поддержки связи с помощью SNMPv1, SNMPv2c или SNMPv3.

Строки сообщества

Для обеспечения функционирования SNMP система NMS должна иметь доступ к MIB. Для проверки подлинности запросов на доступ необходимо использовать ту или иную форму аутентификации.

В версиях SNMPv1 и SNMPv2c для контроля доступа к MIB используется модель строки сообщества (community string). Строки сообщества представляют собой незашифрованный пароль. Строки сообщества SNMP производят аутентификацию доступа к объектам MIB.

Существует два типа строк сообщества:

  • Только чтение (Read-only — ro) — предоставляет доступ к переменным MIB, но не позволяет менять эти переменные. Поскольку версия 2c предоставляет минимальную безопасность, многие организации используют SNMPv2c в режиме только для чтения;
  • Чтение и запись (Read-write — rw) — предоставляет доступ для чтения и записи ко всем объектам в MIB.

Чтобы просмотреть или настроить переменные MIB, пользователь должен указать тип соответствующей строки сообщества — для чтения или для записи.

Примечание. Незашифрованные пароли не считаются механизмом безопасности.

Идентификатор объекта информационной базы управления (MIB)

Переменные в MIB организованы иерархически. Переменные MIB позволяют программному обеспечению осуществлять наблюдение за сетевым устройством и контроль над ним. Фактически MIB определяет каждую переменную в качестве идентификатора объекта (OID). OID представляют собой уникальные управляемые идентификаторы в иерархии MIB. MIB организует OID на основе стандартов RFC, формируя иерархию OID, которая обычно представляется в виде дерева.

Дерево базы MIB для любого устройства включает несколько ветвей с переменными, общими для многих сетевых устройств, и несколько ветвей с уникальными переменными конкретного устройства или поставщика.

Некоторые общедоступные переменные определены в документах RFC. Большинство устройств используют эти переменные MIB. Кроме того, поставщики сетевого оборудования, такие как Cisco, могут определять собственные частные ветви дерева для добавления новых переменных, которые будут использоваться только для их устройств.

Немного про базу MIB

Management Information Base –достаточно непонятный элемент SNMP. Его нужно запомнить не вдаваясь в подробности почему так устроено. MIB — это иерархическая база данных, которая следует стандартам агентов и менеджеров SNMP.

Структуру MIB легче всего представить в виде перевёрнутого дерева. Каждая ветвь имеет порядковый номер начиная с ствола дерева — 1 и уникальную для этого уровня иерархии строку.

Чтобы обратиться к определённому узлу, нужно проследить путь к нему в базе MIB. Адрес содержит ряд цифр, разделённых точками. Такой адрес называется идентификатором объекта или OID. MIB организует OID на основе стандартов RFC.

MIB уже имеет стандартные ветки, которые может использовать любое устройство. Однако при внедрении SNMP в своё устройство поставщик оборудования может создавать свои собственные ветки.

OID для CISCO имеет вид 1.3.6.1.4.1.9, где:

Для навигации по дереву MIB можно воспользоваться CISCO SNMP Object Navigator (требуется регистрация) или справочником (//www.alvestrand.no/objectid/1.3.6.1.2.1.html).

Немного про SNMP Manager

Для простого ознакомления подойдёт программа PowerSNMP Free Manager, настройка на SNMP агент внутри программы прозрачна, добавляем сетевое устройство с настроенным агентом по IP адресу и вводим параметры доступа.

Настройки SNMP

Шаг 1. (Обязательно) Настройте строку сообщества и уровень доступа («только чтение» или «чтение и запись») с помощью команды:

Шаг 2. (Дополнительно) Документально зафиксируйте местоположение устройства с помощью команды:

Шаг 3. (Дополнительно) Документально зафиксируйте системный контакт с помощью команды:

Шаг 4. (Дополнительно) Ограничьте доступ по SNMP, разрешив его только узлам NMS (диспетчерам SNMP), которые разрешены списком контроля доступа, определите список контроля доступа, затем укажите ссылку на этот список контроля доступа с помощью команды:

Эту команду можно использовать как для определения строки сообщества, так и для ограничения доступа SNMP с помощью списков контроля доступа. При желании шаги 1 и 4 можно объединить в один, сетевое устройство CISCO объединяет две команды в одну, если они вводятся по отдельности.

Шаг 5. (Дополнительно) Укажите получателя операций ловушки SNMP с помощью команды:

Примечание. На самом деле эта команда имеет больше параметров и сложнее в использовании.

По умолчанию диспетчеры ловушек не определены.

Шаг 6. (Дополнительно) Включите ловушки на агенте SNMP с помощью команды:

Если в этой команде не определены типы уведомлений ( notification-types) , отправляются все типы ловушек.

Команда snmp-server enable traps включает большое число типов ловушек, лучше дополнительно указать эти типы, например:

Этак команда включит следующие типы ловушек:

Примечание. По умолчанию в SNMP не установлены ловушки. Без этой команды диспетчеры SNMP должны будут проводить опрос для получения всей существенной информации.

Режим работы ловушек и режим опроса агента — это два независимых процесса.

Проверка SNMP

Для проверки настройки SNMP используйте любые варианты команды:

в привилегированном режиме:

Взаимодействие SNMPv1 и SNMPv2с

Wikipedia: На данный момент определено, что SNMPv2с несовместим с SNMPv1 в двух ключевых областях: форматы сообщений и операции протокола. Сообщения SNMPv2c используют отличные от SNMPv1 форматы заголовка и протокольных единиц данных (PDU).

Читайте также:  Сравнение тигра с хаммером
Практические рекомендации по обеспечению безопасности

Рекомендуется использовать протокол SNMPv3, обеспечивающий аутентификацию и шифрование. Существует ряд других команд режима глобальной конфигурации, которые сетевой администратор может применять, чтобы воспользоваться преимуществами поддержки аутентификации и шифрования, предоставляемой протоколом SNMPv3:

Eсть 3 уровня безопасности SNMPv3:

  1. auth — group using the authNoPriv Security Level (md5 аутентификация, без шифрования данных);
  2. noauth — group using the noAuthNoPriv Security Level (без аутентификации и шифрования);
  3. priv — group using SNMPv3 authPriv security level (md5 аутентификация, шифрования данных).

Так что единственным уровнем безопасности SNMPv3 с шифрованием является authPriv.

Общая таблица для всех версий SNMP:

Примечание. Настройка SNMPv3 выходит за рамки учебных программ CCNA v2. Настройка SNMPv3 рассмотрена в курсе CCNA R&S 6.0 Bridging Course.

NetFlow

NetFlow — это технология Cisco IOS, предоставляющая статистические данные о пакетах, проходящих через маршрутизатор или многоуровневый коммутатор Cisco. NetFlow представляет собой стандарт сбора операционных данных IP в IP сетях.

Исторически сложилось так, что протокол NetFlow был разработан потому, что специалистам по сетевым технологиям был необходим простой и эффективный способ для отслеживания потоков TCP/IP в сети, а возможностей протокола SNMP было недостаточно. Протокол SNMP предоставляет широчайший диапазон функций и возможностей управления сетями, в то время как NetFlow предназначен, прежде всего, для предоставления статистики о пакетах IP, проходящих через сетевые устройства.

Flexible NetFlow — это новейшая технология NetFlow. Flexible NetFlow расширяет возможности первоначального протокола NetFlow, позволяя настраивать параметры анализа трафика в соответствии с конкретными требованиями сетевого администратора. Технология Flexible NetFlow позволяет создавать более сложные настройки для анализа трафика и экспорта данных с помощью компонентов настройки, которые можно использовать повторно.

Основные цели сбора NetFlow
  • Учёт использования сетевых ресурсов (кто использует, какие ресурсы, с какой целью);
  • Отчётность и выставление счетов в соответствии с уровнем использования ресурсов;
  • Использование результатов измерений для более эффективного планирования сети, с согласованием распределения и развертывания ресурсов с требованиями заказчиков;
  • Использование информации для более эффективного структурирования и настройки набора доступных приложений и сервисов в соответствии требованиям пользователя и обслуживания клиентов.

Примечание. Не следует путать назначение и результаты NetFlow с Syslog. В то время как Syslog записывает всю возможную информацию, приходящую на сетевое устройство или выходящую с него для последующего анализа, NetFlow собирает только определённую статистическую информацию.

При разработке протокола NetFlow инженеры Cisco руководствовались двумя основными критериями:

  • Технология NetFlow должна быть абсолютно прозрачна для приложений и устройств в сети;
  • Для функционирования протокола NetFlow не обязательная его поддержка всеми устройствами в сети.

Выполнение этих технических условий обеспечило простоту развертывания NetFlow в самых сложных современных сетях.

Примечание. Несмотря на простоту развёртывания протокола NetFlow и его прозрачность для сетевых устройств и приложений, он потребляет дополнительную память на устройстве Cisco, поскольку сохраняет записанную информацию в кэше на устройстве. Размер кэша по умолчанию зависит от платформы, и администратор может изменить это значение.

Потоки NetFlow

NetFlow обрабатывает соединения TCP/IP для ведения статистического учёта, используя понятие потока. Поток (flow) — это однонаправленная последовательность пакетов между определённой системой-источником и определённым назначением.

Существует несколько поколений технологии NetFlow, каждое из которых отличается усовершенствованиями в области определения потоков трафика. Первоначально протокол NetFlow различал потоки с помощью сочетания из семи характеристик. Если значение одного из этих полей отличается от значения другого пакета, можно с уверенностью утверждать, что эти пакеты относятся к разным потокам:

  • IP-адрес источника;
  • IP-адрес назначения;
  • Номер порта источника;
  • Номер порта назначения;
  • Тип протокола уровня 3;
  • Маркировка ToS (тип обслуживания);
  • Логический входной интерфейс.

Flexible NetFlow поддерживает больше различных параметров в записях данных о потоках.

Настройка NetFlow

Поток NetFlow является однонаправленным. Это означает, что одно подключение пользователя к приложению существует в качестве двух потоков NetFlow, по одному для каждого направления.

Используйте команду интерфейса:

чтобы определить сбор данных NetFlow для наблюдения за входящими пакетами.

Используйте команду интерфейса:

чтобы определить сбор данных NetFlow для наблюдения за исходящими пакетами.

Чтобы разрешить отправку данных NetFlow сборщику данных NetFlow, необходимо настроить на маршрутизаторе несколько элементов в режиме глобальной конфигурации.

IP-адрес и номер порта UDP сборщика NetFlow — используйте команду:

Сборщик данных может иметь один или несколько портов по умолчанию для сбора данных NetFlow. С помощью программного обеспечения администратор может определять, какой порт или порты будут принимать данные NetFlow. Чаще всего для этого назначаются порты UDP 99, 2055 и 9996.

(Дополнительно) Версия NetFlow, которую следует использовать при форматировании записей NetFlow, отправляемых сборщику:используйте команду:

NetFlow экспортирует данные в UDP в одном из пяти форматов (1, 5, 7, 8 и 9). Версия 9 — это наиболее универсальный формат экспорта данных, однако он не совместим с предыдущими версиями. Версия 1 — это версия, назначаемая по умолчанию, если не указана версия 5. Версию 1 следует применять, только если это единственная версия формата экспорта данных NetFlow, поддерживаемая программным обеспечением сборщика данных NetFlow.

(Дополнительно) Интерфейс источника, который будет использоваться в качестве источника пакетов, отправляемых сборщику — используйте команду:

В число обстоятельств, учитываемых при настройке NetFlow, входят следующие:

  • Новые модели маршрутизаторов Cisco, например маршрутизаторы серии ISR G2, поддерживают как NetFlow, так и Flexible NetFlow;
  • Новые модели коммутаторов Cisco, например коммутаторы серии 3560-X, поддерживают Flexible NetFlow, однако существуют модели коммутаторов Cisco, например коммутаторы Cisco серии 2960, которые не поддерживают ни NetFlow, ни Flexible NetFlow;
  • NetFlow потребляет дополнительный объём памяти. Если сетевое устройство Cisco имеет ограничения памяти, можно предварительно настроить размер кэша NetFlow, так чтобы в нем помещалось меньшее число записей. Размер кэша по умолчанию зависит от платформы;
  • Требования к ПО NetFlow для сборщика данных NetFlow могут различаться. Например, для ПО NetFlow Scrutinizer на узле Windows требуется 4 Гбайт ОЗУ и 50 Гбайт дискового пространства.

Примечание. Основное внимание в рамках данного курса уделяется настройке первоначального протокола NetFlow (в документации по продуктам Cisco он называется просто NetFlow) на маршрутизаторе Cisco. Настройка Flexible Netflow в рамках данного курса не рассматривается.

Проверка NetFlow

Чтобы просмотреть сводную статистику NetFlow, а также узнать, какой протокол использует максимальный объём трафика и между какими узлами этот трафик передаётся, введите команду:

в пользовательском или привилегированном режиме.

Урок 9

Отладка сети
Документирование сети

Чтобы сетевые администраторы могли выполнять мониторинг сети, а также отладку сети, они должны иметь полный набор точной и актуальной документации по сети. В состав этой документации входят:

  • Файлы настройки, в том числе файлы настройки сети и файлы настройки оконечных систем;
  • Диаграммы физической и логической топологии сети;
  • Базовый уровень производительности.

Диаграммы топологии сети:

  • Физическая топология;
  • Логическая топология.
Базовый уровень производительности

Целью наблюдения за сетью является отслеживание уровня производительности сети и его сравнение с ранее определёнными базовыми показателями.

Если базовые показатели отсутствуют, то нет никакого стандарта для определения оптимальных уровней сетевого трафика и уровней загруженности.

Интервала времени, а также объема собираемых сведений о базовых показателях должно быть достаточно для формирования типичной картины сети. Крайне важно наблюдать за ежедневными тенденциями сетевого трафика.

Как правило, для определения базовых показателей достаточным будет период длительностью от 2-х до 4-х недель.

Измерение базовых показателей не следует выполнять в периоды, когда в сети есть уникальные образцы трафика, так как в этом случае результаты измерения не будут точно отражать нормальную работу сети. Анализ сети с определением базовых показателей необходимо проводить на регулярной основе. Выполняйте ежегодный анализ всей сети или базовых показателей отдельных её частей поочередно. Анализ необходимо выполнять регулярно, чтобы узнать, какое влияние на сеть оказывают её рост, а также другие изменения.

Общие процедуры поиска и устранения неполадок

Примечание. Для устранения проблем следует общаться с пользователями и любыми сотрудниками, принимающими участие в процессе поиска и устранения неполадок. Информацию о разрабатываемом решении должны получить другие сотрудники отдела ИТ.

Сбор данных о симптомах

Шаг 1. Сбор информации — получение информации из заявок на устранение отказов, от пользователей или из оконечных систем, на которые воздействует проблема, с целью формирования определения данной проблемы.

Шаг 2. Определение ответственности — если проблема относится к области контроля организации, перейдите к следующему этапу. Если проблема выходит за границы области контроля организации (например потеря связи через Интернет за пределами автономной системы), обратитесь к администратору внешней системы до сбора информации о других симптомах.

Шаг 3. Уточнение (сужение) области — определите, на каком уровне сети существует проблема: на уровне ядра, распределения или доступа. На идентифицированном уровне проанализируйте существующие симптомы и используйте топологию сети, чтобы определить, какое оборудование является наиболее вероятной причиной проблемы.

Шаг 4. Сбор данных о симптомах из предположительно неисправных устройств — соберите информацию о симптомах аппаратных и программных ошибок из предположительно неисправных устройств с помощью многоуровневого подхода по поиску и устранению неполадок. Начните с наиболее вероятного неисправного элемента и, используя весь свой опыт и знания, попытайтесь определить источник неполадки — отказ оборудования или ошибка в настройке программного обеспечения.

Шаг 5. Документирование симптомов — иногда проблему можно устранить с помощью задокументированной информации о симптомах. Если это невозможно, перейдите к этапу изоляции в рамках общего процесса поиска и устранения неполадок.

Для сбора данных о симптомах сетевых проблем используйте следующие команды ОС IOS Cisco:

Примечание. Несмотря на то, что команда debug является важным средством сбора данных о симптомах, она создаёт объёмный трафик консольных сообщений, и она может существенно уменьшить уровень производительности сетевого устройства. По окончании процедуры не забудьте отключить режим отладки.

Использование многоуровневых моделей для поиска устранения неполадок

После сбора данных обо всех симптомах, если никакое решение не определено, администратор сети сравнивает признаки проблемы с логическими уровнями сети, чтобы изолировать и устранить проблему.

Методы поиска и устранения неполадок

Многоуровневые модели поддерживают три основных метода поиска и устранения неполадок в сетях:

  • Снизу вверх;
  • Сверху вниз;
  • Разделяй и властвуй.

Другой подход основан на сравнении рабочего и нерабочего состояний и последующем выявлении основных отличий, к которым относятся:

  • Настройки;
  • Версии программного обеспечения;
  • Свойства оборудования и других устройств.

Применение данного метода может позволить получить нужное решение, но без четкого выявления причины проблемы.

Еще одним методом поиска и устранения неполадок является замена компонентов. При нём, в числе прочего, предположительно неисправное устройство меняется на заведомо работающее.

Программные средства поиска и устранения неполадок
  • Средства системы управления сетями — Система управления сетями (NMS) включает в себя средства наблюдения на уровне устройств, настройки и средства для устранения неисправностей;
  • Базы знаний — Базы знаний поставщиков сетевых устройств, доступные в оперативном режиме, стали незаменимыми источниками информации;
  • Средства определения базовых показателей — Существует много средств для автоматизации процесса документирования сети и формирования базовых показателей ПО SolarWinds LANsurveyor и CyberGauge;
  • Анализаторы протоколов на конечных устройствах — Анализатор протоколов декодирует различные уровни протоколов в записанном кадре и представляет полученные сведения в формате, более удобном для восприятия — Wireshark;
  • Встроенная функция для захвата пакетов Cisco IOS — Встроенная функция для захвата пакетов Cisco IOS Embedded Packet Capture (EPC) представляет собой многофункциональное средство трассировки, поиска и устранения неполадок;
Средства поиска и устранения неполадок аппаратного обеспечения

В число распространённых средств поиска и устранения неполадок аппаратного обеспечения входят:

  • Модуль анализа сети – Модуль анализа сети (NAM) можно устанавливать в маршрутизаторы Cisco Catalyst серии 6500 и коммутаторы Cisco серии 7600;
  • Цифровые мультиметры – При отладке сети большинство мультиметров позволяют контролировать уровни напряжения питания и проверять поступление питания на сетевые устройства;
  • Тестеры кабелей – Тестеры кабелей можно использовать для обнаружения оборванных жил, кроссировки проводов, коротких замыканий и жил, неправильно собранных в пары. Эти устройства могут представлять собой недорогие тестеры обрывов, умеренно дорогие тестеры кабелей или дорогие рефлектометры для кабельных линий (time-domain reflectometer, TDR);
  • Анализаторы кабелей — Анализаторы кабелей представляют собой многофункциональные портативные устройства, которые используются для тестирования и сертификации медных и оптоволоконных кабелей на соответствие различным применениям и стандартам. Более сложные средства позволяют выполнять более сложную диагностику, например, определять расстояние до дефекта, который ухудшает уровень производительности (NEXT, RL), определять действия по исправлению, графически отображать поведение перекрёстных наводок и импеданса. К анализаторам кабелей обычно прилагается специальное ПО для ПК. После сбора полевых данных портативное устройство может выгрузить их на компьютер для создания текущих отчетов;
  • Портативные анализаторы сетей — это портативные устройства применяемые для поиска и устранения отказов в коммутируемых сетях и сетях VLAN. Подключив анализатор сети в любой точке сети, технический специалист может определить порт коммутатора, к которому подключено устройство, а также среднюю и пиковую нагрузку на данный порт. Анализатор также можно использовать для обнаружения настройки сети VLAN, определения основных источников трафика, анализа сетевого трафика и просмотра сведений об интерфейсах. Как правило, такое устройство может выводить данные на ПК, где установлено ПО для наблюдения за сетью, с целью последующего анализа и устранения неполадок.
Поиск и устранение неполадок на физическом уровне

Поиск и устранение неполадок канального уровня

Поиск и устранение неполадок сетевого уровня

Поиск и устранение неполадок на транспортном уровне

Поиск и устранение неполадок на транспортном уровне — NAT для IPv4

Примечание. Пакеты DHCPv6 от клиента IPv6 могут перенаправляться маршрутизатором с помощью команды ipv6 dhcp relay .

Поиск и устранение неисправностей на уровне приложений

Компоненты сквозного поиска и устранения неполадок

Если отсутствует сквозная связь, и администратор выбирает для отладки способ «снизу вверх», то он может выполнить следующие шаги:

Шаг 1. Проверить физическую связь в точке, где прекращается обмен данными в сети. Это относится, в том числе, и к кабелям и оборудованию. Проблема может быть связана с неисправным кабелем или интерфейсом, либо с неправильно настроенным или неисправным оборудованием.

Шаг 2. Проверить наличие несогласованных параметров дуплексной связи.

Шаг 3. Проверить адресацию на канальном и сетевом уровне в локальной сети. Сюда относятся таблицы ARP IPv4, таблицы соседних устройств IPv6, таблицы MAC-адресов и назначения сети VLAN.

Шаг 4. Убедиться, что выбран правильный шлюз по умолчанию.

Шаг 5. Убедиться, что устройства определяют правильный путь от источника к пункту назначения. При необходимости можно изменить информацию о маршрутизации.

Шаг 6. Убедиться, что транспортный уровень работает правильно. Для проверки подключений на транспортном уровне с помощью командной строки также можно использовать Telnet.

Шаг 7. Убедиться, что ни один из списков ACL не блокирует трафик.

Шаг 8. Убедиться, что параметры DNS правильны. Сервер DNS должен быть доступен.

Источник