Функции коммутаторов D-Link 3-его уровня и примеры их использования Часть I – Одноадресная IP- маршрутизация

Содержание IP-маршрутизация Теоретические основы Статическая маршрутизация RIP OSPF Приложения: Доступ к Internet через устройство с NAT Приложения: Приложения с общим доступом к серверам Приложения: Приложения с общим доступом к серверам Приложения: Перенаправление DHCP/BootP Приложения: Работа во многих подсетях

Поведение коммутатора L3 при включённой IP-маршрутизации 1/3 1.Таблица FDB: Хранит информацию о соответствии VLAN, порта и MAC- адреса. Используется для аппаратной коммутации уровня 2. 2.ARP-таблица: Хранит соответствие IP и MAC-адреса локальных узлов. Используется для взаимодействия с локальным узлом. 3. Таблица IPFDB: Хранит IP-адрес назначения и информацию по его соответствию конкретному порту. Используется для аппаратной IP-маршрутизации (коммутации L3). 4.Таблица маршрутизации: Хранит информацию о маршрутизации на другие подсети. Используется для аппаратной IP-маршрутизации на удалённые подсети.

Поведение коммутатора L3 при включённой IP-маршрутизации 2/3 PC /24 Шлюз PC /24 Шлюз Сервер /24 Шлюз PC /24 Шлюз Сеть 1Сеть 2Сеть 3 Сеть DGS-3324SR Получение Передача Поведение ASIC

Поведение коммутатора L3 при включённой IP-маршрутизации 3/3 Задача: Понаблюдать за поведением коммутатора L3 на примере PC1 пингует сервер 1.PC1 посылает ARP-запрос на предмет обнаружения своего шлюза и добавляет его в свою ARP- таблицу. 2.PC1 посылает пакет ICMP непосредственно своему шлюзу. 3.Коммутатор уровня 3 производит следующие действия при получении пакетов от PC1: ARP-этап: Добавить MAC-адрес PC1 в таблицу FDB Добавить соответствие IP/MAC для PC1 в ARP-таблицу Переслать ARP-ответ PC1 Этап маршрутизации: (получен ICMP-пакет от PC1) Сначала коммутатор L3 проверяет есть ли IP-адрес назначения в таблице ipfdb Затем коммутатор L3 проверяет есть ли подсеть назначения в таблице маршрутизации Коммутатор L3 проверит разрешены ли входящие пакеты правилами ACL 4. Если адрес назначения не обнаружен в таблице ipfdb, но эта подсеть есть в таблице маршрутизации Локальный интерфейс: Коммутатор L3 сначала перенаправит пакет на адрес назначения посредством операций на CPU и добавит этот адрес в таблицу ipfdb. Следующий пакет на тот же адрес будет перенаправлен аппаратно через микросхемы контроллеров портов. Удалённый интерфейс: Коммутатор L3 перенаправит пакет напрямую удалённому маршрутизатору через микросхемы контроллеров портов. Если же адреса назначения нет ни в таблице ipfdb, ни в таблице маршрутизации, коммутатор L3 передаст пакет CPU для проверки. Если у коммутатора нет информации как поступать с такими пакетами, CPU его отбросит.

IP-маршрутизация 1/3 Задача: Различные IP-интерфейсы могут маршрутизироваться на отдельном устройстве can routed без задействования какого-либо протокола L3. Принцип: Коммутатор L3 создаст 4 локальных маршрута в таблице маршрутизации. Пакеты в разные подсети будут передаваться на основании таблицы маршрутизации x/24 Шлюз: x/24 Шлюз: Серверы x/24 Шлюз: x/24 Шлюз: Сеть1Сеть2Сеть3 Сеть4.254 DGS-3324SR

Процедура настройки DGS-3324SR 1. Удалите порты из VLAN default для добавления в другие VLAN-ы. config vlan default delete 1:1-1:24 2. Создайте VLAN, добавьте в него порты и затем создайте IP-интерфейс в этом VLAN. create vlan v101 tag 101 config vlan v101 add untagged 1:1-1:6 create ipif net /24 v101 state enabled create vlan v102 tag 102 config vlan v102 add untagged 1:7-1:12 create ipif net /24 v102 state enabled create vlan v103 tag 103 config vlan v103 add untagged 1:13-1:18 create ipif net /24 v103 state enabled create vlan v104 tag 104 config vlan v104 add untagged 1:19-1:24 create ipif net /24 v104 state enabled Save 3. Проверьте, правильно ли настроены IP-интерфейсы. show vlan show ipif На PC клиента: 1. В ручную задайте IP-адрес и маску подсети в соответствующей IP-подсети. 2. Шлюз = IP-интерфейс DGS-3324SR. IP-маршрутизация 2/3

IP-маршрутизация 3/3 Тест: 1. PC в Сети1 пингует шлюз ( ), другие интерфейсы DGS-3324SR ( , и т.д.) и PC из других сетей. 2. PC в Сети2 пингует шлюз ( ), другие интерфейсы DGS-3324SR ( , и т.д.) и PC из других сетей. 3. Тоже самое и для PC из Сети3 и Сети4.

Статический маршрут – Static Route

Статическая и динамическая маршрутизация Статические записи добавляются в таблицу маршрутизации вручную Преимущества статической маршрутизации: –Простота в использовании –Надёжность –Эффективность Недостатки статической маршрутизации: –Отсутствие масштабируемости –Не адаптирована к ситуациям потери связности по определённым каналам Динамические записи в таблице маршрутизации распознаются и обновляются посредством Протоколов маршрутизации. Два основных типа: –Distance Vector Protocols (Дистанционно-векторные протоколы) RIP: Routing Information Protocol (v1 или v2) –Link State Protocols (Протоколы по состоянию канала) OSPF: Open Shortest Path First

R1: Network Mask Gateway Hops Пример статической таблицы маршрутизации R2: Network Mask Gateway Hops R3: Network Mask Gateway Hops R4: Network Mask Gateway Hops R5: Network Mask Gateway Hops R1 R2R3R4R5 Подсеть 10 Подсеть 13.2Подсеть 13.1 Подсеть 11Подсеть 12 Подсеть 16 Подсеть 15 E0: / 8 E0: / 8E0: / 8E1: / 8E0: / 8E1: / 8E0: / 8E1: / 8 E1: / 16E2: / 16 E1: /8 Схема сети Таблица маршрутизации R5 также могла бы быть такой: Network Mask Gateway Таблицы маршрутизации на каждом маршрутизаторе/ коммутаторе L3 должны быть следующими:

Стандартные компоненты таблицы маршрутизации Стандартными компонентами таблицы маршрутизации являются: –Destination Network Address (Адрес сети назначения): Сетевая часть IP-адреса сети назначения –Subnet Mask (Маска подсети): используется для разделения IP-адреса на адрес подсети и адрес узла –IP-адрес следующего маршрутизатора, на который маршрутизатор перенаправляет трафик в адрес указанной подсети –Интерфейс, с которым проассоциирован маршрут –Локальный маршрут (подключённая подсеть) или маршрут, полученный при помощи протокола маршрутизации

Статическая маршрутизация: пример 1/3 Задача: Чтобы коммутаторы DGS-3324SR могли взаимодействовать друг с другом, Вы должны сконфигурировать статические маршруты на обоих устройствах: 1.Сети, подключённые к DGS-3324SR_1 (Сеть2 и Сеть3) имеют доступ к сетям, подключённым к DGS-3324SR_2 (Сеть4 и Сеть5) 2.Сети, подключённые к DGS-3324SR_2 (Сеть4 и Сеть5) имеют доступ к сетям, подключённым к DGS-3324SR_1 (Сеть2 и Сеть3) Принцип: Пакеты с адресом назначения «удалённая сеть» будут передаваться в соответствии со статическим маршрутом на «удалённый коммутатор» и затем в «удалённую подсеть». Сеть x Шлюз Сеть x Шлюз Сеть x Шлюз Сеть x Шлюз Сеть x Шлюз Сеть x Шлюз DGS-3324SR_1 DGS-3324SR_2

Процедура настройки DGS-3324SR_ 1 (верхний) 1. Создайте VLAN-ы и IP-интерфейсы: config vlan default delete 1:1-1:24 create vlan v101 tag 101 config vlan v101 add untagged 1:1-1:8 create ipif net /24 v101 state enabled create vlan v102 tag 102 config vlan v102 add untagged 1:9-1:16 create ipif net /24 v102 state enabled create vlan v103 tag 103 config vlan v103 add untagged 1:17-1:24 create ipif net /24 v103 state enabled 2. Создайте статические маршруты: create iproute / create iproute / Для проверки таблицы маршрутизации используйте команду: show iproute Статическая маршрутизация: пример 2/3

Процедура настройки DGS-3324SR_ 2 (нижний) 1. Создайте VLAN-ы и IP-интерфейсы: config vlan default delete 1:1-1:24 create vlan v101 tag 101 config vlan v101 add untagged 1:1-1:8 create ipif net /24 v101 state enabled create vlan v104 tag 104 config vlan v104 add untagged 1:9-1:16 create ipif net /24 v104 state enabled create vlan v105 tag 105 config vlan v105 add untagged 1:17-1:24 create ipif net /24 v105 state enabled 2. Создайте статические маршруты: create iproute / create iproute / Для проверки таблицы маршрутизации используйте команду: show iproute Тест: 1.Сеть5 (на нижнем коммутаторе) имеет доступ к Сети2 и Сети3 (на верхнем коммутаторе). 2.Сеть2 (на верхнем коммутаторе) имеет доступ к Сети4 и Сети5. Статическая маршрутизация: пример 2/3

Статическая маршрутизация: дополнительный пример Задача: Чтобы коммутаторы DGS-3324SR взаимодействовали друг с другом, Вы должны сконфигурировать статические маршруты на обоих устройствах: 1.Сети, подключённые к DGS-3324SR_1 (Сеть1 и Сеть2) имеют доступ к сетям, подключённым к DGS-3324SR_2 (Сеть3) и DGS-3324SR_3 (Сеть4) 2.Сеть, подключённая к DGS-3324SR_2 (Сеть3) имеет доступ к сетям, подключённым к DGS-3324SR_1 (Сеть2) и DGS-3324SR_3 (Сеть4) Принцип: Пакеты с адресом назначения «удалённая сеть» будут передаваться в соответствии со статическим маршрутом на «удалённый коммутатор» и затем в «удалённую подсеть». DGS-3324SR_3 Сеть x Шлюз Сеть x Шлюз DGS-3324SR_1 Сеть x Шлюз Сеть x Шлюз DGS-3324SR_2 Сеть x Шлюз Сеть x Шлюз

Routing Information Protocol (RIP)

RIP (Routing Information Protocol) RIP является Interior Gateway Protocol (IGP) – протоколом маршрутизации внутреннего шлюза, дистанционно векторным протоколом маршрутизации Он использует пакеты UDP Broadcast для обмена маршрутной информацией, IP-адрес сети и целочисленное расстояние до этой сети. RIP хранит только лучшие маршруты (с меньшей метрикой) к сети назначения. Обмен маршрутной информацией происходит каждые 30 секунд Непосредственно подключённая сеть имеет метрику 1, недоступная сеть - 16 Есть две версии этого протокола: RIP v1 (RFC 1058) и RIP v2 (RFC 1723) RIP v1 использует Классовую адресацию. RIP v2 использует Бесклассовую схему маршрутизации и аутентификацию апдейтов таблицы маршрутизации Если в топологии есть сети, разбитые на подсети (например, сеть 10.x.x.x с маской ), RIP v1 не может быть использован, нужно применять RIPv2.

RIP: пример 1/3 Сеть x Шлюз Сеть x Шлюз Сеть x Шлюз Сеть x Шлюз Сеть x Шлюз Сеть x Шлюз DGS-3324SR_1 DGS-3324SR_2 Задача: Сконфигурировать RIP на обоих коммутаторах так, чтобы: 1.DGS-3324SR_1 мог изучать сети (Сеть4 и Сеть5), подключённые к DGS-3324SR_2. 2.DGS-3324SR_2 мог изучать сети (Сеть2 и Сеть3), подключённые к DGS-3324SR_1. Пример: Статические маршруты подходят только для сетей с простой топологией. Если в сети много подсетей, задать все статические маршруты будет тяжело. Использование RIP позволяет коммутаторам L3 изучать таблицы маршрутизации друг друга АВТОМАТИЧЕСКИ.

Процедура настройки DGS-3324SR_1 (верхний): 1.Создайте VLAN-ы и IP-интерфейсы для Сети1, Сети2 и Сети3, как в предыдущем примере. 2.Включите RIP и разрешите этот протокол на соответствующих или на всех интерфейсах: enable rip config rip all state enabled Илиconfig rip ipif net1 tx_mode v2_only rx_mode v2_only state enabled (и также для других интерфейсов) Процедура настройки DGS-3324SR_2 (нижний): Создайте VLAN-ы и IP-интерфейсы для Сети1, Сети4 и Сети5, как в предыдущем примере. 2. Включите RIP и разрешите этот протокол на соответствующих или на всех интерфейсах: enable rip config rip all state enabled Или config rip ipif net1 tx_mode v2_only rx_mode v2_only state enabled (и также для других интерфейсов) RIP: пример 2/3

Тест: На верхнем коммутаторе введите команду show iproute, чтобы проверить были ли Сеть4 и Сеть5 изучены по протоколу RIP. На нижнем коммутаторе введите команду show iproute, чтобы проверить были ли Сеть2 и Сеть3 изучены по протоколу RIP. Пропингуйте сети на удалённом коммутаторе. RIP: пример 3/3

RIP: дополнительный пример Задача: Сконфигурируйте RIP на обоих коммутаторах так, чтобы: 1.DGS-3324SR_1 мог изучить сети (Сеть3 и Сеть4). 2.DGS-3324SR_2 мог изучить сети (Сеть2 и Сеть4). 3.DGS-3324SR_3 мог изучить сети (Сеть1 и Сеть3). Пример: Статические маршруты подходят только для сетей с простой топологией. Если в сети много подсетей. То задать все статические маршруты будет тяжело. Использование RIP позволяет коммутаторам L3 изучать таблицы маршрутизации друг друга АВТОМАТИЧЕСКИ. Сеть x Шлюз Сеть x Шлюз DGS-3324SR_1 Сеть x Шлюз Сеть x Шлюз DGS-3324SR_2 Сеть x Шлюз Сеть x Шлюз DGS-3324SR_3

Open Shortest Path First Protocol (OSPF)

OSPF OSPF – Протокол Open Shortest Path First, протокол открытия кратчайшего пути первым. Протокол по состоянию канала; Interior Gateway Protocol (IGP) – протокол маршрутизации внутреннего шлюза. Протокол OSPF v.2 описан в RFC OSPF Version 2 Во время инициализации в сети или изменения топологии (маршрутной информации), маршрутизатор генерирует сообщение о состоянии канала, которое представляет собой список состояний каналов этого маршрутизатора. Алгоритм состояния канала: 1. Создаётся «Новая база данных топологии» рассылкой многоадресных сообщений. 2. После того, как база данных каждого маршрутизатора готова, каждый маршрутизатор строит своё дерево кратчайших маршрутов для всех подсетей с использованием алгоритма Dijkstra. Затем адреса подсетей, соответствующие стоимости маршрутов и адреса следующих маршрутизаторов на пути к подсетям назначения добавляются в таблицу IP-маршрутизации. 3. Если происходят какие-либо изменения в топологии, об этом сообщается в пакетах состояния канала, и алгоритм Dijkstra используется для пересчёта кратчайших путей опять.

OSPF Area – OSPF зона Топология зоны не «видна» снаружи зоны Маршрутизатор с несколькими интерфейсами может находиться в нескольких зонах Каждая зона характеризуется 32-х битным ID зоны (Area ID) и состоит из некоторого количества сетевых сегментов и маршрутизаторов. Магистралью является Area Area ID – это не IP-адрес, несмотря на то что выглядит очень похоже Каждая зона имеет свою базу данных состояния каналов, состоящую из пакетов LSA, описывающих как маршрутизаторы и сегменты сети соединены между собой.

Типы зон OSPF Магистральная зона также называется Зона 0 (Area 0) Все зоны должны быть подключены к Area 0 (исключением является виртуальный канал) Area 0 является точкой связи всех других зон Магистральная зона используется в качестве транзитной в сети Area 0 эквивалентна уровню ядра в сетевой топологии Магистральная зона (Area 0 ) Area 1 Area 2

Типы зон OSPF Тупиковая зона Stub Area имеет только одну точку выхода, пакеты входят в зону и выходят из неё через ABR. Area 1 «видит» информацию о всех подсетях Area 0 в своей таблице маршрутизации, но не маршруты E из AS 100. Instead a ABR inserts a Default Route into the Stub Area Маршрутизация из Stub Area во внешний мир осуществляется с использованием Маршрута по умолчанию, Через тупиковые зоны не должны проходить виртуальные каналы. В тупиковых зонах не должно быть ASBR, они должны иметь только один ABR. Замечание: Тупиковые зоны – STUB AREAS Area 0Area 1 Тупиковая ASBR Представляется маршрут по умолчанию Маршруты E1 или E2 ABR Маршрут по умолчанию Default Route позволяет не использовать много внешних маршрутов External Routes путём замены их на один по умолчанию Суммарные LSA Магистраль

Типы маршрутизаторов OSPF Router

Маршрутизаторы, которые имеют соединения больше, чем с одной зоной называются пограничными - Border Routers (BR). Пограничные маршрутизаторы выполняют функцию распространения необходимой маршрутной информации между зонами. IR: Маршрутизатор, который всеми своими интерфейсами «смотрит» в одну зону называется внутренним - Internal Router. ABR: Маршрутизатор, к которому подключено несколько зон называется пограничным маршрутизатором зоны - Area Border Router. ASBR: Маршрутизаторы, являющиеся шлюзами в другие сети (возможно использующие другие протоколы маршрутизации) называются пограничными маршрутизаторами автономной системы - Autonomous System Border Routers (ASBR). Типы маршрутизаторов OSPF

Основные операции, выполняемые алгоритмом состояния канала Обмен маршрутной информацией –Каждый маршрутизатор периодически высылает описание всех своих подключений к соседним маршрутизаторам. –Маршрутизаторы являются соседними, если они подключены напрямую через одну сеть. –Маршрутизатор посылает LSA каждому из своих соседей. LSA содержит список всех интерфейсов, заданную стоимость - cost каждого линка и заданную пару cost-TOS. Маршрутизируемая область –LSA распространяются по всему домену маршрутизации (routing domain). Доменом маршрутизации может быть вся AS – Autonomous System (автономная система) или ограниченная зона внутри одной AS. –Зоны конфигурируются заданием area_ID для каждого интерфейса маршрутизатора. Если area_ID одинаков для всех портов маршрутизатора, маршрутизатор находится в одной зоне.

Основные операции, выполняемые алгоритмом состояния канала База данных состояний каналов – Каждый маршрутизатор в домене поддерживает идентичную, синхронизируемую копию базы данных, состоящую из информации о состоянии каналов. – Маршрутизатор, находящийся в нескольких зонах, поддерживает отдельную базу данных для каждой зоны. Дерево кратчайших маршрутов – Каждый маршрутизатор использует определённый алгоритм при обработке базы данных для создания дерева кратчайших маршрутов. – Это дерево содержит кратчайшие маршруты к каждому маршрутизатору и каждой подсети, которые доступны другим маршрутизаторам в топологии. При расчёте дерева каждый маршрутизатор считает себя корнем топологии. Таблица маршрутизации – Полученные таким образом деревья определяют суммарную стоимость маршрута к подсети назначения и следующему маршрутизатору. Эти деревья используются как основа для создания таблицы маршрутизации.

Если одна зона должна соединяться с другой не через Area 0, используется VIRTUAL LINK – виртуальный канал. Виртуальные каналы используются для создания логических соединений Logical Link между зонами, не подключённых напрямую к Area 0. В этом примере, Зоны 46,48 используются как транзитные (наподобие туннеля) между Зонами 11,45 и Area 0. Виртуальные каналы используются в двух случаях: (1) Для объединения зон, не имеющих прямого соединения с магистралью. (2) Для создания магистрали, в случае потери связности в Area 0. Виртуальный канал должен быть установлен между двумя ABR, которые находятся в одной зоне, причём один из них должен иметь подключение к магистрали. Виртуальные каналы Router

Агрегирование – это объединение нескольких маршрутов в одном представлении (сообщении). Это обычно производится на ABR – границах между разными зонами. Агрегирование OSPF Router

Сравнение OSPF и RIPv2 1. При использовании OSPF, отсутствует ограничение в 15 переходов, как при RIP. 2. OSPF использует IP Multicast для рассылки сообщений о состоянии каналов. 3. OSPF обладает лучшей сходимостью, чем RIP. 4. OSPF предоставляет средства балансировки нагрузки. 5. OSPF позволяет разбить сеть на логические сегменты, в которых маршрутизаторы могут быть поделены на зоны, что позволяет ограничить распространение сообщений о состоянии каналов по все сети. 6. OSPF имеет более совершенные средства аутентификации. 7. OSPF позволяет распознавать внутри AS внешние маршруты.

OSPF – Одна зона: пример 1/2 Задача: Сконфигурировать OSPF на обоих коммутаторах так, чтобы: 1.DGS-3324SR_1 мог изучать сети (Сеть4 и Сеть5), подключённые к DGS-3324SR_2. 2.DGS-3324SR_2 мог изучать сети (Сеть2 и Сеть3), подключённые к DGS-3324SR_1. Принцип: OSPF основывается на принципе зон, OSPF может разделить большую сеть на несколько зон. Маршрутизаторы в одной зоне могут изучать таблицы маршрутизации друг друга. Топология зоны не видна снаружи зоны. Area Сеть x Шлюз Сеть x Шлюз Сеть x Шлюз Сеть x Шлюз Сеть x Шлюз Сеть x Шлюз DGS-3324SR_1 DGS-3324SR_2

Настройка DGS-3324SR_1 (верхний): 1.Создайте VLAN-ы и IP-интерфейсы для Сети1, Сети2 и Сети3, как в предыдущем примере. 2.Включите OSPF и разрешите этот протокол на соответствующих или на всех интерфейсах: enable ospf config ospf ipif net1 state enabled Илиconfig ospf all state enabled (остальные настройки OSPF остаются по умолчанию) Настройка DGS-3324SR_2 (нижний): Создайте VLAN-ы и IP-интерфейсы для Сети1, Сети4 и Сети5, как в предыдущем примере. Включите OSPF и разрешите этот протокол на соответствующих или на всех интерфейсах: enable ospf config ospf ipif net1 state enabled Илиconfig ospf all state enabled (остальные настройки OSPF остаются по умолчанию) Тест: 1.На верхнем коммутаторе введите команду show iproute для того, чтобы проверить были ли Сеть4 и Сеть5 изучены по протоколу OSPF. 2.На нижнем коммутаторе введите команду show iproute для того, чтобы проверить были ли Сеть2 и Сеть3 изучены по протоколу OSPF. 3.Пропингуйте сети на удалённом коммутаторе. OSPF – Одна зона: пример 2/2

OSPF – Одна зона: дополнительный пример Задача: Сконфигурировать OSPF на обоих коммутаторах так, чтобы: 1.DGS-3324SR_1 мог изучать сети (Сеть3 и Сеть4). 2.DGS-3324SR_2 мог изучать сети (Сеть2 и Сеть4). 3.DGS-3324SR_3 мог изучать сети (Сеть1 и Сеть3). Принцип: OSPF основывается на принципе зон, OSPF может разделить большую сеть на несколько зон. Маршрутизаторы в одной зоне могут изучать таблицы маршрутизации друг друга. Топология зоны не видна снаружи зоны. Сеть x Шлюз Сеть x Шлюз DGS-3324SR_1 Сеть x Шлюз Сеть x Шлюз DGS-3324SR_2 Сеть x Шлюз Сеть x Шлюз Магистраль Area DGS-3324SR_3

OSPF – Три зоны: пример 1/3 Задача: Сконфигурировать OSPF на обоих коммутаторах так, чтобы: 1. DGS-3324SR_1 мог изучать сети (Сеть4 и Сеть5), подключённые к DGS-3324SR_2. 2. DGS-3324SR_2 мог изучать сети (Сеть2 и Сеть3), подключённые к DGS-3324SR_1. Принцип: Коммутаторы в примере функционируют как ABR. Они обмениваются таблицами маршрутизации сначала внутри каждой зоны, а затем через ABR с другими зонами. DGS-3324SR_1 DGS-3324SR_2 Зона Зона Зона Магистраль Сеть x Шлюз Сеть x Шлюз Сеть x Шлюз Сеть x Шлюз Сеть x Шлюз Сеть x Шлюз

Настройка DGS-3324SR_1 (верхний): 1.Создайте VLAN-ы и IP-интерфейсы для Сети1, Сети2 и Сети3, как в предыдущем примере. 2.Включите OSPF и разрешите этот протокол на соответствующих или на всех интерфейсах: enable ospf config ospf all state enabled 3.Создайте новую зону ( ) и включите соответствующий интерфейс: create ospf area type normal config ospf ipif net2 area state enabled config ospf ipif net3 area state enabled 4.Проверьте установки: show ospf OSPF – Три зоны: пример 1/3

Настройка DGS-3324SR_1 (нижний): 1.Создайте VLAN-ы и IP-интерфейсы для Сети1, Сети4 и Сети5, как в предыдущем примере. 2.Включите OSPF и разрешите этот протокол на соответствующих или на всех интерфейсах: enable ospf config ospf all state enabled 3.Создайте новую зону ( ) и включите соответствующий интерфейс: create ospf area type normal config ospf ipif net4 area state enabled config ospf ipif net5 area state enabled 4.Проверьте установки: show ospf Тест: 1. На верхнем коммутаторе введите команду show iproute для того, чтобы проверить были ли Сеть4 и Сеть5 изучены по протоколу OSPF. 2. На нижнем коммутаторе введите команду show iproute для того, чтобы проверить были ли Сеть2 и Сеть3 изучены по протоколу OSPF. 3. Пропингуйте сети на удалённом коммутаторе. OSPF – Три зоны: пример 1/3

Задача: Сконфигурировать OSPF на трёх коммутаторах в трёх зонах так, чтобы: DGS-3324SR_1 мог изучать Сеть2 и Сеть3. DGS-3324SR_2 мог изучать Сеть3. DGS-3324SR_3 мог изучать Сеть2. OSPF – Три зоны: дополнительный пример A0 Зона A2 Зона A1 Зона DGS-3324SR_3 Router_ID DGS-3324SR_2 Router_ID DGS-3324SR_1 Router_ID Сеть x/24 Сеть x/24 Сеть x/24 Сеть x/24 Сеть x/24 PC B: Шлюз: PC C: Шлюз: PC A: Шлюз:

OSPF – Виртуальный канал: пример 1/3 Зона Зона Зона Задача: Сконфигурировать OSPF на трёх коммутаторах в трёх зонах так, чтобы DGS-3324SR_3 мог изучать сети (Сеть1 и Сеть2), подключённые к DGS- 3324SR_1. Пример: DGS-3324SR_3 не подсоединён напрямую к магистрали (зона ). Таким образом, в этом примере необходима настройка виртуального канала. DGS-3324SR_3DGS-3324SR_1 DGS-3324SR_2 Сеть x/24 Сеть x/24 Сеть x/24 Сеть x/24 Виртуальный канал Сеть x/24

Настройка DGS-3324SR_1 (левый): 1.Создайте VLAN-ы и IP-интерфейсы для Сети1, Сети2 и Сети3, как в предыдущем примере. 2.Включите OSPF и разрешите этот протокол на соответствующих или на всех интерфейсах: enable ospf config ospf all state enabled config ospf router_id Создайте новую зону ( ) и включите соответствующий интерфейс: create ospf area type normal config ospf ipif net3 area state enabled config ospf router_id Настройка DGS-3324SR_2 (средний): 1. Создайте VLAN-ы и IP-интерфейсы для Сети3 и Сети4, как в предыдущем примере. 2. Включите OSPF и разрешите этот протокол на соответствующих или на всех интерфейсах: enable ospf config ospf all state enabled config ospf router_id Создайте новые зоны ( ) и ( ) и включите соответствующие интерфейсы: create ospf area type normal create ospf area type normal config ospf ipif net3 area state enabled config ospf ipif net4 area state enabled OSPF – Виртуальный канал: пример 2/3

Тест: На левом коммутаторе введите команду show iproute для того, чтобы проверить была ли Сеть4 изучена по протоколу OSPF. На среднем коммутаторе введите команду show iproute для того, чтобы проверить были ли Сеть1 и Сеть2 изучены по протоколу OSPF. Настройка DGS-3324SR_2 (правый): 1.Создайте VLAN-ы и IP-интерфейсы для Сети1, Сети2 и Сети3, как в предыдущем. 2.Включите OSPF и разрешите этот протокол на соответствующих или на всех интерфейсах: enable ospf config ospf all state enabled 3. Создайте новую зону ( ) и включите соответствующий интерфейс: create ospf area type normal config ospf ipif net4 area state enabled config ospf router_id Проверьте установки: show ospf 5.Создайте виртуальный канал на правом и левом коммутаторах: На левом create ospf virtual_link На правом create ospf virtual_link Тест: На правом коммутаторе введите команду show iproute для того, чтобы проверить были ли Сеть1 и Сеть2 изучены по протоколу OSPF, на левом сделайте тоже самое для того, чтобы проверить были ли Сеть4 и Сеть5 изучены по протоколу OSPF. Пропингуйте сети на удалённом коммутаторе. OSPF – Виртуальный канал: пример 3/3

OSPF – Виртуальный канал: дополнительный пример Зона Зона Задача: Сконфигурировать OSPF в пяти зонах так, чтобы DGS-3324SR_3 мог изучать сети (Сеть1 и Сеть2) и DGS-3324SR_1 мог изучать сети (Сеть5 и Сеть6). Пример: DGS-3324SR_3 не подсоединён напрямую к магистрали (зона ). Таким образом, в этом примере необходима настройка виртуального канала. DGS-3324SR_3DGS-3324SR_1 DGS-3324SR_2 Сеть x/24 Сеть x/24 Сеть x/24 Сеть x/24 Виртуальный канал Зона Сеть x/24 Сеть x/24 Сеть x/24 Зона Сеть x/24 Зона

OSPF- Агрегирование: пример 1/3 Задача: Сконфигурировать OSPF на трёх коммутаторах в трёх зонах так, чтобы: 1. DGS-3324SR_3 мог получить суммированный маршрут от DGS-3324SR_1. 2. DGS-3324SR_1 мог получить суммированный маршрут от DGS-3324SR_3. Пример: Суммированный маршрут поможет снизить количество записей в таблице маршрутизации и «стабилизировать» статус таблицы маршрутизации на магистрали. Если один маршрут из AREA исчезнет, это не повлияет на магистраль и AREA Зона Зона Зона DGS-3324SR_2 DGS-3324SR_3 DGS-3324SR_1 Сеть x/24 Сеть x/24 Сеть x/24 Сеть x/24 Сеть x/24 Сеть x//24 Сеть x/24 Сеть x/24 Сеть x/24

Настройка DGS-3324SR_1 (верхний): 1.Создайте VLAN-ы и IP-интерфейсы для Сети1, Сети5 и Сети15, как в предыдущем примере. 2.Включите OSPF и разрешите этот протокол на соответствующих или на всех интерфейсах: enable ospf config ospf all state enabled config ospf router_id Создайте новые зоны ( ), ( ) и включите соответствующие интерфейсы: create ospf area type normal create ospf area type normal config ospf ipif net5 area state enabled config ospf ipif net15 area state enabled Настройка DGS-3324SR_2 (правый): 1. Создайте VLAN-ы и IP-интерфейсы для Сети1, Сети12 - Сети15, как в предыдущем примере. 2. Включите OSPF и разрешите этот протокол на соответствующих или на всех интерфейсах: enable ospf config ospf all state enabled config ospf router_id Создайте новую зону ( ) и включите соответствующий интерфейс: create ospf area type normal config ospf ipif all area state enabled OSPF- Агрегирование: пример 2/3

Настройка DGS-3324SR_3 (левый): 1.Создайте VLAN-ы и IP-интерфейсы для Сети2 - Сети5, как в предыдущем примере. 2.Enable OSPF, and enable the associated Interface or enable all. enable ospf config ospf all state enabled config ospf router_id Create new Area ( ) and enable the associated Interface create ospf area type normal config ospf ipif all area state enabled Настройка OSPF-агрегирования: 1.На левом, create ospf aggregation /16 lsdb_type summary 2.На правом, create ospf aggregation /16 lsdb_type summary Тест: На правом коммутаторе введите команду show iproute для того, чтобы проверить был ли изучен суммированный маршрут с левого коммутатора по протоколу OSPF. На левом коммутаторе введите команду show iproute для того, чтобы проверить был ли изучен суммированный маршрут с правого коммутатора по протоколу OSPF. Пропингуйте сети на удалённом коммутаторе. OSPF- Агрегирование: пример 3/3

Примеры применения

Применение: Доступ в Internet с использованием NAT-устройства 1/3 Задача: Каждый PC во каждой подсетях (или «разрешённых» подсетях) имеет доступ к Internet через один Интернет-шлюз (NAT-устройство) с ADSL/Кабельным модемом или через один Proxy-сервер. Принцип: При заданном на DGS-3324R default route, пакеты с адресом назначения в Internet будут маршрутизироваться в сторону NAT-устройства и затем в Internet. Ответные пакеты будут переданы в соответствующую подсеть в соответствии с таблицей маршрутизации NAT-устройства (статические маршруты или изученные по протоколу RIP). Серверы x/24 Шлюз Internet Интернет-шлюз x/24 Шлюз x/24 Шлюз x/24 Шлюз Сеть1 Сеть2 Сеть3Сеть4.254 DGS-3324SR Широкополосный доступ xDSL, CableModem, ETTH

Настройка DGS-3324SR: 1.Создайте IP-подсети в соответствии с предыдущим примером Basic IP Route. 2.Создайте маршрут по умолчанию для того, чтобы Интернет-трафик перенаправлялся на Интернет-шлюз: create iproute default Если Интернет-шлюз поддерживает протокол RIP, включите RIP на DGS- 3324SR на том же интерфейсе: config rip ipif all tx_mode v2_only rx_mode v2_only state enable enable rip Настройка Интернет-шлюза (NAT-устройства) или Proxy-сервера: 1.Если поддерживается RIP, включите RIP на LAN-интерфейсе. 2.Если RIP не поддерживается, добавьте статические маршруты к подсетям (Сеть2 и Сеть3, но не Сеть4), которым разрешён доступ к Internet mask mask (Сети4 не разрешён доступ к Internet, поэтому не добавляем статичаский маршрут к Сети4). Настройка клиентского PC: 1. DNS = DNS-адрес ISP Тест: PC в Сети2 имеет доступ к Internet через Интернет-шлюз. PC в Сети3 имеет доступ к Internet через Интернет-шлюз и т. д. Применение: Доступ в Internet с использованием NAT-устройства 1/3

Применение: Серверные приложения с разделяемым доступом 1/4 Сервера с разделяемым доступом (Почтовый сервер, Файловый сервер, Сервер доступа к Internet) должны быть доступны из всех групп, но доступ между группами должен быть запрещён (из соображений производительности и/или безопасности). Решение L2: 802.1q Asymmetric VLAN или Traffic Segmentation Решение L3: Коммутатор L3 + ACL для ограничения доступа между группами. Коммутатор L3 Серверы V2V3V4

Задача: Только Сеть4 ( x) - Серверы должна быть доступна из Сети2, Сети3, Сети4. Сеть2, Сеть3, Сеть4 не должны иметь доступа друг к другу x/24 Шлюз x/24 Шлюз Серверы x/24 Шлюз x/24 Шлюз Сеть1 Сеть2 Сеть3 Сеть4.254 DGS-3324SR Применение: Серверные приложения с разделяемым доступом 2/4

# Создайте профиль и правила доступа # разрешить доступ из всех подсетей к x create access_profile ip destination_ip_mask profile_id config access_profile profile_id 1 add access_id 1 ip destination_ip port 1:1 permit config access_profile profile_id 1 add access_id 2 ip destination_ip port 1:7 permit config access_profile profile_id 1 add access_id 3 ip destination_ip port 1:13 permit config access_profile profile_id 1 add access_id 4 ip destination_ip port 1:19 permit # разрешить подсетям x, x и x доступ каждой к самой себе create access_profile ip source_ip_mask destination_ip_mask profile_id 2 config access_profile profile_id 2 add access_id 1 ip source_ip destination_ip port 1:1 permit config access_profile profile_id 2 add access_id 2 ip source_ip destination_ip port 1:7 permit config access_profile profile_id 2 add access_id 3 ip source_ip destination_ip port 1:13 permit config access_profile profile_id 2 add access_id 4 ip source_ip destination_ip port 1:19 permit #### Здесь добавьте все остальные подсети # запретить всё остальное create access_profile ip source_ip_mask profile_id 3 config access_profile profile_id 3 add access_id 1 ip source_ip port 1:1 deny config access_profile profile_id 3 add access_id 2 ip source_ip port 1:7 deny config access_profile profile_id 3 add access_id 3 ip source_ip port 1:13 deny config access_profile profile_id 3 add access_id 4 ip source_ip port 1:19 deny Правила: 1.Если IP-адрес назначения = x, разрешить 2.Если IP-адрес источника = x, разрешить 3.Если IP-адрес назначения = x и IP-адрес источника = x, разрешить 4.Если IP-адрес назначения = x и IP-адрес источника = x, разрешить 5.Если IP-адрес назначения = x и IP-адрес источника = x, разрешить 6.Запретить всё остальное Применение: Серверные приложения с разделяемым доступом 3/4

Тест: 1.PC в Сети1 ( x), Сети2, Сети3 имеют доступ к Сети4 ( x). 2.Сеть1, Сеть2, Сеть3 не имеют доступа друг к другу. Применение: Серверные приложения с разделяемым доступом 4/4

Применение: Пример DHCP/Bootp Relay 1/2 Задача: Для того, чтобы позволить клиентам использовать ресурсы сети без дополнительных настроек Вы можете настроить функцию DHCP relay на коммутаторе L3. Клиенту нужно только изменить IP-настройки с manual на «Получить IP-адрес автоматически». Компьютеры в Сети1, Сети2 или Сети3 могут получать IP-адреса автоматически от DHCP-сервера в Сети4. Принцип: Коммутатор L3, получив пакет DHCP discover от клиента, перенаправит его на DHCP-сервер. Серверы x/24 Шлюз DHCP-сервер: Internet Интернет-шлюз x/24 Шлюз x/24 Шлюз x/24 Шлюз Сеть1 Сеть2 Сеть3 Сеть4.254 DGS-3324SR

Настройка DGS-3324SR: 1.Создайте IP-подсети в соответствии с предыдущим примером BasicIPRoute: enable bootp_relay config bootp_relay add ipif net config bootp_relay add ipif net config bootp_relay add ipif net Настройка DHCP-сервера (например, WinNT4 или Win2000 Advanced Server): 1.Проинсталлируйте и включите службу DHCP Server Service 2.Создайте пулы адресов Scope для различных подсетей. Настройка клиентского PC: 1.В настройках TCP/IP выберите: Получить IP-адрес автоматически. Тест: 1.PC в Сети1 может автоматически получить IP-адрес из диапазона x (а также соответствующую маску подсети, шлюз, и DNS) от DHCP-сервера PC в Сети2 может автоматически получить IP-адрес из диапазона x от DHCP-сервера Применение: Пример DHCP/Bootp Relay 1/3

Применение: Multi-netting 2/3 Задача: PC в Сети1, Сети2, … Сети5 могут пинговать друг друга (между multi-netting IP-интерфейсами) и могут пинговать PC10 (другой обычный IP-интерфейс). Пример: Эта функция аналогична функции Multi-Home на маршрутизаторе. Эта функция полезна, когда коммутатор L3 ставится на замену маршрутизатора, на котором настроена функция multi-home. Максимум 5 IP-интерфейсов могут быть привязаны к одному VLAN, и трафик из разных подсетей будет маршрутизироваться в пределах одного VLAN. DGS-3324SR PC Шлюз PC Шлюз PC Шлюз u u PC Шлюз Коммутатор L2 Неуправляемый или управляемый, с одним VLAN default, без тегированных портов DGS-3324SR Порты 9-24, Default VLAN, нетегированные, System Ipif = /8 Порты 1-8 VLAN = multinet, нетегированные, Сеть1: /24 Сеть2: /24 (secondary) Сеть3: /24 (secondary) Сеть4: /24 (secondary) Сеть5: /24 (secondary) Коммутатор L2: Неуправляемый или управляемый (DES-3226S, DES- 3526) только с default VLAN, нет тегированных Uplink-портов.

## Коммутатор L3: DGS-3324SR reset config config vlan default delete 1-8 create vlan multinet tag 2 config vlan multinet add untagged 1-8 create ipif net /24 multinet state enable create ipif net /24 multinet secondary state enable create ipif net /24 multinet secondary state enable create ipif net /24 multinet secondary state enable create ipif net /24 multinet secondary state enable ## Коммутатор L2: Неуправляемый или управляемый коммутатор с настройками по умолчанию: нетегированный Uplink-порт, только VLAN default. Применение: Multi-netting 3/3

Multi-netting: дополнительный пример Задача: PC в Сети1, Сети2, … Сети5 PC могут пинговать друг друга (между multi-netting IP- интерфейсами) и могут пинговать PC10 (другой обычный IP-интерфейс). Пример: Компания использует статические IP-адреса из диапазона x/24 для доступа во внутреннюю сеть. В то же время она хочет перейти на использование DHCP для назначения IP-адресов с пулом адресов x/24. Для того, чтобы избежать ситуации, когда некоторые сотрудники не были проинформированы в плане смены сетевых настроек с «manual IP» на «Получить IP-адрес автоматически с DHCP- сервера» и продолжает использовать статический IP-адрес. Настройка Multi-netting на коммутаторе L3 позволит этим пользователем получить доступ к Intranet. DGS-3324SR PC Шлюз PC Шлюз Intranet-сервер Шлюз DGS-3324SR Порты 9-24, Default VLAN, нетегированные, System Ipif = /8 Порты 1-8 VLAN = multinet, нетегированные, Сеть1: /24 Сеть2: /24 (secondary) Сеть3: /24 DHCP-сервер Шлюз

Спасибо!