2. Канальные среды
Варианты канальных сред
Полносвязная топология
802.3 Ethernet
Логическая топология "точка-точка"
Последовательный порт (PPP, cHDLC)
VPN_туннель с образованием интерфейса (PPP, IPIP, GRE)
Логическая топология NBMA
Frame Relay
DMVPN
Логическая топология "точка-многоточка"
802.11 Wi-Fi
Ethernet
Изобретен в 1974 году как толстый желтый коаксиал (ТЖК)
Синоним ТЖК - "домен коллизий"
Коммутаторы эмулируют ТЖК с разной степентю успешности
Полученные кадры клонируются во все интерфейсы, кроме некоторых
В одном ТЖК может быть сколько угодно абонентов
Кадр может быть получен несколькими абонентами (в ТЖК - всеми)
В юникастовом кадре нужно обязательно указывать адрес получателя
Есть мультикаст и бродкаст
Формат кадра Ethernet 802.3-2015:
Особенности работы IPoE
Служебные протоколы для IPoE
ARP для привязки IP-MAC
DHCP для настройки IP-интерфейса
ICMP Redirect для перенаправления транзитного трафика
Простое преобразование мультикастовых IP в MAC:
01-00-5E-00-00-00 + последние 23 бита мультикастового адреса IPv4
33-33-00-00-00-00 + последние 32 бита мультикастового адреса IPv6
Point-to-Point Protocol
Единственное требование к среде передачи данных - дуплексный режим
Протокол с множеством полезных особенностей:
Аутентификация узлов
Шифрование данных
Компрессия заголовков или данных
Multilink: работа по нескольким каналам с балансировкой
Multiclass: работа нескольких PPP-сессий по одному каналу
Топология "точка-точка"
Встроенные служебные протоколы
LCP - Link Control Protocol
NCP - Network Control Protocol (IPCP, IPV6CP, CDPCP, MPLSCP,...)
Формат кадра PPP:
Разновидность кадров HDLC:
Address = 0xFF; Control = 0x03 (unnumbered)
Поле Protocol:
c 0x0XXX до 0x3XXX: протоколы сетевого уровня (IP = 0x0021)
c 0x8XXX до 0xBXXX: NCP, протоколы управления сетью (IPCP = 0x8021)
c 0xCXXX до 0xEXXX: управляющие протоколы (LCP = 0xC021)
Проверка подлиности в PPP:
В LCP есть опциональный механизм проверки подлинности
Каждый из узлов может независимо заказать проверку подлинности соседа
Обычно "сервер" заказывает проверку подлинности "клиента"
Поддерживаются протоколы:
PAP - Password Authentication Protocol
CHAP - Challenge Handshake Authentication Protocol
EAP - Extensible Authentication Protocol, фреймворк для других протоколов
Принцип работы PAP:
Имя пользователя и пароль посылаются открытым видом
Уязвим к атаке повторного воспроизведения
Принцип работы CHAP:
Удаленный узел присылает одноразовый challenge
По сети передается не пароль, а хэш от пароля и challenge
Защищает от атак воспроизведения, однако требует знания открытого пароля
PPPoE:
Инкапсуляция PPP в Ethernet:
Эмуляция P2P-канала, поверх широковещательной сети с общим доступом
Аутентификация, авторизация, сжатие трафика и другие преимущества
Клиент обнаруживает PPPoE-сервер с помощью бродкаста
Остальной трафик ходит юникастом
Особенности работы IP over PPP:
IPCP для согласования IP-адресов
DHCP для дополнительных опций, маршрутов
Frame Relay
Изначально - коммутируемый L2-протокол для ISDN сетей
Коммутация кадров по заданным маршрутам с заданным качеством
Чем похоже на коммутацию в Ethernet:
Коммутационное решение принимается в зависимости от указанного адреса
Кадр переменной длины
Чем не похоже на Ethernet:
Frame Relay "заточен" под WAN, а не под LAN
Неполносвязанная топология, нет маршрута - нет связности
Нет мультикаста и бродкаста
Нельзя доставить кадр получателю, не зная его адрес
Адрес в кадре только один, и он может изменяться при коммутации
Таблица коммутации должна быть заполнена перед коммутацией
Процедура коммутации:
Permanent Virtual Circuit (PVC)
Услуга предоставляет постоянный маршрут между узлами
Требует одноразовой настройки правил коммутации DLCI
Switched Virtual Circuit (SVC)
Услуга, предоставляющая маршрут "по-требованию"
Требует и настройки, и установления\терминации маршрута по требованию
Адресация:
DLCI может быть переменной длины, при том не кратной байту
Чаще всего используются 10-битные DLCI
Значимое в пределах физической среды значение
При коммутации может и будет изменяться по некоторому правилу
Коммутация и состоит из правил "что на что меняем и куда отправляем"
Таблица коммутации Frame Relay:
Разрешение IP-адресов в DLCI:
ARP не может работать во Frame Relay - нет бродкаста и мультикаста
Выхода два: статические маппинги на все VC, либо Inverse ARP
Отправляет по известным, полученным в LMI, активным DLCI свой IP-адрес
Требует работающую сигнализацию и поддержку Inverse ARP всеми DTE
Особенности работы IP over Frame Relay:
InARP для преобразования DLCI в IP
ICMP Redirect для перенаправления транзитного трафика
GRE
Generic Routing Encapsulation
Передает "пассажирские" данные по "транспортной" сети
Тип инкапсуляции данных определяется полем Protocol Type (EtherType)
Вложение в IP, протокол = 47
DMVPN
Dynamic Multipoint VPN - решение Cisco для построения NBMA VPN
Инкапсуляция (m)GRE, нахождение Next Hop c помощью NHRP (RFC 2332)
Полносвязанная топология юникаста, специфическая работа мультикаста
Масштабируемая конфигурация, единый туннельный интерфейс
Требует выделенный узел (хаб) для работы NHRP
Споки регистрируются на хабе
Хаб ведет базу частных и публичных адресов споков и отдает их по запросу
Особенности мультикаста в DMVPN:
Мультикастовые маппинги настраиваются в DMVPN отдельно
Без специальной настройки мультикаст работать не будет
Мультикаст между споками не ходит
Можно настроить мультикаст между конкретным споком и хабом
На споке адрес хаба прописывается вручную
На хабе спок будет прописываться в качестве получателя копии мультикастовых адресов в момент регистрации спока на хабе по NHRP
Требуется учитывать при динамической маршрутизации
В OSPF нужно отказаться от LSA2, либо принудительно назначить хаб DR
В EIGRP нужно отключать правило Split Horizon и Next-Hop-Self
"Фазы" DMVPN:
Фазы - это не фазы, а режимы работы
Фаза 1:
Хаб отдает спокам динамические маршруты с next-hop-self
Весь трафик между споками ходит через хаб
Фаза 2:
Хаб отдает спокам динамические маршруты с частными Next Hop споков
Споки при необходимости запрашивают нужный публичный адрес по NHRP
Трафик между споками ходит напрямую, большие маршрутные таблицы
Фаза 3:
Хаб по EIGRP/BGP отдает спокам только маршрут по умолчанию
Если споки отправляют хабу пакеты, которые следует отправлять через другой спок, хаб отправляет сообщение NHRP Shortcut
Трафик между споками ходит напрямую, в таблицах только 0.0.0.0\0
Провайдерские VPN
Layer 2 MPLS VPN, транзит кадров Ethernet
VPWS - виртуальный канал "точка-точка"
VPLS - виртуальная коммутируемая среда
Layer 3 MPLS VPN, транзит IP-пакетов
Требуется динамический обмен маршрутов с провайдером
L2VPN:
Ethernet - "толстый желтый коаксиал"
Абоненты расположены компактно, отказ ТЖК вызывает отказ всей сети
Один провод, один широковещательный домен, один домен коллизий
Коммутаторы Ethernet эмулируют ТЖК
Привносят невиданные ранее отказы, в т. ч. "Brain Split"
Несколько проводов, единый широковещательный домен, расстояния больше 100 м
MAC Learning - ненадежный процесс
L2VPN позволяет вывести новый сорт граблей
Эмуляция междугороднего ТЖК. Разве что-то может пойти не так?
Почти неизбежное зло при миграции ВМ между датацентрами
802.11 Wi-Fi
Технология беспроводной LAN
Все узлы разделяют одну частоту, схема предотвращения коллизий CSMA/CA
Есть мультикаст и бродкаст
Режимы работы:
IBSS (independent Basic Service Set) - "Ad-Hoc"
BSS (Basic Service Net) - одна точка доступа
ESS (Extended Service Set) - несколько точек доступа
Формат кадра 802.11:
Кадры сложного формата
Существуют служебные кадры
Ассоциация\деассоциация
Схемы управления передачей и подтверждения доставки
Схемы управления энергосбережением и т. д.
Настройка DMVPN для IPv6
Настройка незначительно отличается на Hub и Spoke
Туннель можно строить поверх IPv4
Базовая диагностика DMVPN:
DMVPN - комплексная технология, диагностика должна включать:
Диагностику установления GRE туннеля
Диагностику NHRP
Диагностику мультикаста
Диагностику динамический маршрутизации в NBMA-среде
Для диагностики NHRP используется команда show ip nhrp
Last updated
