modul 1
VLSM
RIP Version 2
administratorzy sieci musza przewidziec
i zarzadzac fizycznym rozwojem sieci
projektanci sieci musza wybrac pule
adresow, ktore pozwalaja na rozwoj sieci
VLSM- Variable-length subnet mask jest
uzywana do stworzenia efektywnych
i rozszerzalnych schematow adresow
prawie kazde przedsiebiorstwo musi miec
zaimplementowane schemat adresowy IP
wiele organizacji wybiera TCP/IP jako
jedyny routed protocol w ich sieciach
VLSM jest jedna z modyfikacji, ktora
pozwolila polozyc most pomiedzy IPv4
i IPv6
scalable- kiedy siec jest scalable siec
moze rozrastac sie w sposob logiczny,
efektywny, po odpowiednich kosztach
hierarchiczny model sieci umozliwia
przyszly rozwoj sieci
hierarchiczny projekt sieci sklada sie
z trzech warstw:
access layer
distribution layer
core layer
access layer
punkt wejsciowy dla stacji roboczych i serwerow
w sieci, urzadzenia uzywane do tego to
switch i hub
funkcje access layer to takze filtrowanie
warstwy MAC, mikrosementacja
switche warstwy access layer dzialaja
na warstwie 2 modelu OSI, dostarczaja
uslugi tj czlonkostwo VLAN
warstwa dystrybucji pomiedzy warstwa access
oraz core
funckja tej warstwy jest zdefiniowanie
granicy gdzie manipulacja pakietami moze
miec miejsce
ta warstwa dzieli siec na domeny rozgloszeniowe
mozna tu ustawic access control lists
switche w tej warstie operuja w warstwie 2 i 3
funkcje warstwy dystrybucji w switched
network:
agregacja polaczen wiring closet
definicja domeny broadcast, multicast
routing VLAN
zabezpieczenia
switche warstwy distribution sa punktami
agregacyjnymi switchy warstwy access
switche operujace na warstwie 2 i 3
nazywane sa multilayer switche
mutilayer switche lacza w sobie funkcje
routera i switcha
warstwa core nie dokonuje manipulacji
pakietami
ma alternatywne sciezki, gdyby jakies
urzadzenie mialo awarie
core moze moze miec switche, ktore uzywaja
zarowno warstwy 2 jak i 3
VLMS- administrator moze uzywac long mask
w sieciach z paroma hostami
short mask- subnety z wieloma hostami
Powody dla ktorych zostal stworzony VLSM:
kryzys adresowania
IETF zidentyfikowalo dwa problemy w 1992
za mala ilosc nieprzypisanych adresow
IPv4 klasy B
gwaltowny wzrost wielkosci tablic routingu
aby zaimplementowac VLSM administrator sieci
musi uzyc protokolu routingu, ktory
obsluguje VLSM. Protokoly, ktore obsluguja
VLSM to-
OSPF- Open Shortest Path First
Integrated IS-IS
EIGRP- Enhanced Interior Gateway Routing
Protocol
RIPv2
static routing
VLSM pozwala organizacji na uzycie wiecej niz
jednej maski subnetu w tej samej sieci,
zwieksza to ilosc dostepnych adresow
nazywa sie to czesto sbnetowaniem subnetu
rozwiazania krotkoterminowe dotyczace
kryzysu adresow IP:
1985 subnetting
1987 variable length subnetting
1993 classless interdomain routing
private IP
NAT- Network Address Translation
normalnie nie uzywalo sie pierwszego
i ostatniego adresu
ale z powodu braku adresow zaczeto uzywac
pierwszego i ostatniego adresu
w polaczeniu z VLSM
polecenie no ip subnet-zero
wjylacza uzywanie subnetu zerowego
routery cisco wersji 12.0 uzywaja
subnetu zero od razu (by default)
!!po co w polaczeniach pomiedzy dwoma routerami
uzywac calych podsieci marnujemy wtedy
spora ilosc adresow
//mozna tak robic ale w malych sieciach
mozna uzyc VLSM, aby stworzyc podsiec
z 30-bitowa maska, ma ona wtedy tylko
dwa wazne adresy hostow, sa one wtedy
uzywane dla polaczen WAN pomiedzy routerami
oraz dla innych specjlanych przypadkow
!!adresy, w ktorych nie zostal uzyty
zaden host, jedynie one moga byc zsubnetowane
route aggregation
sieci bliso siebie oszczedzaja miejsce
w tabeli routingu
kazda siec potrzebuje odzielnego wprowadzenia
w tablicy routingu
route aggregation moze zmniejszyc wielkosc
tablicy routingu
uzycie CIDR (classless interdomain routing)
i VLSM zapobiega marnowaniu adresow
i umozliwia route aggregation albo summarization
!!bez summarization Internet backbobne routing
zalamalby sie w 1997
route summarization redukuje wielkosc tablic
routingu laczac (aggregating) sciezki do
wielu sieci w jeden supernet
aby mozliwy byl aggreagating nalezy
uzywac protokolu routingu, ktory jest classless
takich jak OSPF lub EIGRP
!!inne routery nie musza widziec jak jest
podzielona dana siec, na jakie subnety i VLSM
wystarczy ze widzi te bity, ktore sa wspolne
dla wszystkich, dlatego wazne zeby pewne
bity byly wspolne dla wszystkich subnetow
i VLSM
Wazne:
router musi znac szczegolowo numery subnetow
podlaczonych do niego
router nie musi informowac innych routerow
o kazdym subnecie, jezeli moze wyslac jedna
zagregowana sciezke zamiast wielu
router, ktory uzywa zagregowanych sciezek
ma mniej wejsc w swojej tablicy routingu
!!skonfigurowanie VLSM to skonfigurowanie
standardowego interfejsu
RIP v2
protokol uzywany wewnatrz AS (autonomous
system) to IGP (Interior Gateway Protocol)
protokol do transferu informacji pomiedzy
AS to EGP ( Exterior Gateway Protocol)
wady RIPv1
w swoich updatach nie przesyla informacji
odnosnie subnet mask
wysyla updaty jako broadcasty na
255.255.255.255
nie ma autentykacji
nie ma mozliwosci VLSM albo CIDR
cechy wspolne RIPv1 oraz RIPv2:
jest to protokol distance vector i uzywa
hop count jako metryki
uzywa holddown timers aby wyeliminowac
routing loops, z definicji wynosza one 180
sekund
uzywa split horizon aby wyeliminowac routing
loops
16 hops distance metryka nieskonczonej
odleglosci
w RIPv2 mamy classless routing, uzywa prefix
routingu, pozwala to na przeslanie informacji
o masce podsieci razem updatem sciezki
mozliwe jest authentication w RIPv2, moze
to byc czysty tekst albo MD5 (Message Digest5)
czysty tekst- default
cechy RIPv2:
aby uruchomic VLSM, RIP przesyla maske razem
z kazda sciezka, aby subnet byl dokladnie
zdefiniowany
uzywa czystego tekstu, jak i MD5 szyfrowania
zawiera next-hop route IP adres w swoim
routing update- router moze oglosci sciezke
i przekierowac do routera, ktory ma lepsza
sciezke na tym samym subnecie
uzywa external route tags- rozroznie sciezek
RIP i external
umozliwia multicast routing updates-
RIPv2 przesyla updaty nie po adresie
255.255.255.255 ale 224.0.0.9. To zmniejsza
ilosc przetwarzania wymagana przez hosty, ktore
nie uzywaja RIP
!!przez to ze jedyna metryka w RIPie jest
hop count router wybiera sciezke, ktora
ma najmniejszy hop count, nie oznacza to
to najszybszej sciezki
konfiguracja RIPv2:
wybranie protokolu routingu
przypisanie adresow IP bez przypisywania
subnetow
przypisanie adresu sieci lub subnetu do
interfejsu
po wprowadzeniu komendy network
nastepujaca nastepujace rzeczy:
update sa multicast poprzez interfejs
update sa przetwarzane, jezeli wejda
tym samym interfejsem
subnet, ktore jest bezposrednio do tego
interfejsu jest advertised
!!show ip protocols i show ip route
wyswietlaja informacje o protokolach
routingu i tablicach routingu
show ip interface brief- moze byc uzyty
do wylistowania informacji o interfejsie
show ip route- wyswietla informacje
o tablicy routingu, zawiera kod, ktory
mowi jak informacja zostala uzyskana
show running-config lub show ip protocols
dobre zeby zobaczyc czy protokol nie
jest zle skonfigurowany
debug ip rip- wyswietla update routingu
gdy sa wysylane i odbierane
no debug all
undebug all
powyzsze komendy wylaczaja caly debugging
!!clear ip route- czysci tablice routingu
modul2
link-state routing protocol
single-area OSPF
algorytm link-state- SPF (shorters path first)
SPF utrzymuje skomplikowana baze danych
informacji o topopogii sieci
distant-vector nie przechowuja zadnej
wiedzy o odleglych sieciach ani routerach
distance-vector-wieksze jest zuzycie lacza,
convergencja nie zachodzi za szybko, przez
co nastepuja zle decyzje odnosnie routingu
OSPF- najpopularniejszy protokol link-state
jest open-standard
distance vector uzywa prostszych metod do
wymiany informacji o sciezkach
cechy protokolow distance-vector:
kopiuje tablice routingu do sasiadow
update nastepuja w tych samych odstepach
czasu
RIP 1 i 2 uzywaja hop-count jako metryki
widzi siec z perspektywy sasiadow
wolno nastepuje konwergencja
jest wrazliwu na routing loops
latwy do skonfigurowania i administrowania
pochlania wiele lacza
cechy protokolow link-state
( przyklady to OSPF-Open Shortest Path First
IS-IS- Intermediate System to Intermediate-
-System)
uzywa shortest path
updaty sa wymuszane
wysyla pakiety link-state do wszystkich
routerow w sieci
wszystkie routery widza siec tak samo
szybka convergence
nie jest az tak narazony na routing loops
ciezej go skonfigurowac
wymaga wiecej pamieci i czasu procesora
niz distane-vector
funkcje protokolu link-state:
szybko reaguje na zmiany sieci
wysyla updaty tylko wtedy jezeli nastapila
zmiana w sieci
wysyla cykliczne updaty znane jako
link-state refreshes
uzywa mechanizmu hello, aby sprawdzic
czy sasiedzi sa dostepni
pakiety hello zawieraja informacje o sieciach,
ktore sa podlaczone do routera
cechy link-state
uzywaja paczek hello i LSA aby zbudowac
baze danych informacji o sieci
uzywaja algorytmu SPF aby przeliczyc
najkrotsza sciezke do danej sieci
przechowuja informacje dotyczace routingu
w routing table
!!protokoly link-state zostaly opracowane aby
wyeliminowac ograniczenia protokolow
distance-vector
link to to samo co interface na routerze
stan linka to to samo co opis interfejsu
i zwiazek z sasiednimi routerami
link-state database uzywana jest aby obliczyc
najlepsza sciezke poprzez siec
algorytmy routingu link-state
LSA- link state advertisment
to dzieki nim powstaje baza danych
odnoszaca sie do topologii sieci
algorytmy link-state maja nastepujace cechy:
sa znane jako SPF protokoly
utrzymuja skomplikowana baze danych
dotyczaca topologii sieci
opieraja sie na algorytmie Dijikstry
nie czeka sie na timery zeby siec sie converged
zalety protokolu link-state
uzywaja metryk kosztu, aby wybrac sciezki
poprzez siec. Metryka kosztowa odzwierciedla
mozliwosci danej sciezki
maja wlaczane update i LSA floods
kiedy wykryja zmiany w sieci, powoduje
to szybsza konwergencje
kazdy router ma pelny i zsynchronizowany
obraz sieci, dlatego rzadko wystepuja
tutaj routing loops
routery uzywaja najnowszych informacji
aby dokonac decyzji odnosnie routingu
baza danych link-state jej rozmiar moze
byc zminimalizowany przy wlasciwym
zaprojektowaniu sieci. Prowadzi to
do mniej skomplikowanych obliczen Dijksry
i szybszej konwergencji
kazdy router ma przynajmniej obraz
najblizszej sieci
protokoly link-state uzywaja CIDR i VLSM
wady protokolow link-state
wymagaja wiekszej ilosci pamieci i mocy
procesora
musza miec dokladny schemat sieci, hierarchiczny
aby moc rozbic ja na mniejszym
obszary, aby tablice topologii nie
byly za duze
administrator musi bardzo dobrze rozumiec
protokoly
pierwsza powodz LSA, przy rozpoznawaniu
sieci moze mocno obnizyc wydajnosc sieci
OSPF
//co to jest non-proprietary
OSPF mozna rozszerzac
OSPF dziala tylko na TCP/IP
terminologia OSPF
link- interfejs na routerze
link-state- stan interfejsu pomiedzy dwoma
routerami. Takze interfejs routera i jego
zwiazek z sasiednimi routerami
link-state database (topological database)-
list informacji o wszystkich routerach
w sieci
area- zestwa sieci i routerow, ktore maja
ta sama identyfikacje obszaru,
kazdy router w obszarze ma te same link-state
informacje. Router w obszarze nazywany
jest internal router
koszt- wartosc przypisana do linka, protokoly
link-state przypisuja koszt oparty
na przepustowosci lub szybkosci transmisji
to jest uzywany zamiast hops
routing table(forwarding database)- tablica
routingu jest generowana kiedy algorytm
jest uruchamiany na tablicy routingu.
Tablica routingu jest unikalna dla kazdego
routera
adjacency database- lista wszystkich sasiadow
routera, z ktorymi router nawiazal dwukierunkowa
komunikacje
jest unikalna dla kazdego routera
designated router(DR) i backup designated
router(BDR)- router, ktory jest wybrany
przez wszystkie routery w danym LANie
i reprezentuje wszystkie routery.
Kazda siec ma DR i BDR
RIP- male sieci
OSPF- duze sieci, mozliwosc rozbudowy
!!jezeli linki sa niestabilne, zalewanie
informacjami link-state moze doprowadzic do
niezsynchronizowanych ogloszen i blednych
decyzji routerow- problem link-state
OSPF- nazywany jest classless protokol
algorytm Dijkstry znany rowniez jako algorytm
SPF- uznaje on, ze siec to zestaw nodow
polaczonych linkami point-to-point
kazdy link ma koszt
kazdy nod ma nazwe
trzy typy sieci OSPF
interfejsy OSPF automatycznie rozpoznaja
trzy typy sieci:
broadcast multi-access czyli tj Ethernet
sieci point-to-point
Nonbroadcast multi-access (NBMA) tj Frame
Relay
czwarty typ point-to-multipoint moze
byc manualnie skonfigurowany na interfejsie
przez administratora
ile adjacency musi byc sformowanych
n*(n-1)/2- wzor
DR rozwiazanie problemu ilosci adjacency
wada DR to single-point-of failure
protokol hello
kiedy router zacznie proces routingu OSPF
na interfejscie, wysyla on pakiet hello
i dalej wysyla hello w regularnych
odstepach czasu
w warstwie 3 modelu OSI pakiety hello sa
adresowane na adres multicast 224.0.0.5
Ten adres to all OSPF routers
hello uzywane do nawiazania nowych adjacencies
i aby upewnic sie, ze sasiednie routery
ciagle funkcjonuja
hellos wysylane co 10 sekund
na broadcast multi-access i point-to-point
NBMA-30 sekund
pakiet hello jest maly, pole typu ma numer 1
pakiet hello niesie informacje o czasach hello
i dead interval times oraz router identification
routery musza sie zgadzac co do tego
aby formowac adjacencies
protokol Hello- zestaw zasad, ktore rzadza
wymiana paczek hello
router OSPF probuje nawiazac adjacency
z przynajmniej jednym sasiadem dla
kazdej sieci IP, do ktorej jest podlaczony
!!routery OSPF dokonuja wyboru DR i BDR jedynie
w multiaccess IP sieciach
LSU- link-state update
flooding process-powiadamia o zmianie w sieci
konfiguracja OSPF
routing w OSPF uzywa koncepcji area
area w OSPF moze miec przypisany
jakikolwiek numer od 0 do 65,535
pojedynczy obszar ma przypisane 0
area 0 w multi-area- backbone
!!adresy sieci w OSPF sa konfigurowane z
wildcard mask a nie subnet mask
wildcard mask- reprezentuje linki lub
adresy hostow, ktore moga byc reprezentowane
w tym segemencie
Polecenia w OSPF
router ospf process-id
czyli router ospf 1
network 10.64.0.0 0.0.0.255 area 0
numer procesu moze byc od 1 do 65535
wiele procesow moze byc uruchomione na
w OSPF
network address wildcard-mask area area-id
czyli
network 10.2.1.0 0.0.0.3 area 0
address- to moze byc adres sieci, subnetu,
albo adres interfejsu. Mowi routerowi, ktorych
linkow sluchac dla advertisment i
po ktorych nadawc ogloszenie do sieci
OSPF loopback interface
kiedy zaczyna sie proces OSPF, Cisco IOS
uzywa najwyzszego lokalnie aktywnego adresu IP
jako jego OSPF router ID. Jezeli nie ma
aktwynego interfejsu proces OSPF nie zacznie sie
jezeli aktywny interfejs nie bedzie dzialal
proces OSPF nie ma router ID i dlatego
proces przestaje funkcjonowac dopoki interfejs
sie nie podniesie
aby OSPF byl stabilny musi byc aktywny interfejs
caly czas. Loopback interfejs, ktory jest
logicznym interfejsem moze byc skonfigurowany
do tych celow
kiedy loopback interfejs zostal skonfigurowany
OSPF uzywa tego adresu jako router ID,
niezaleznie od wartosci
//co to znaczy najwzyszy adres
komendy do tworzenie loopback interfejsu
interface loopback number
ip address ip-address subnet-mask
ten interfejs powinien byc skonfigurowany
przy uzyciu maski 255.255.255.255
host mask- jeden host
no interface loopback 0 wylacza ten interfejs
dobra praktyka jest stosowanie tych
interfejsow na wszystkich routerach
priorytety routerow od 0 do 255
0 router nie zostanie wybrany jako DR
!!nawet jak doda sie routery z wyzszymi
wartosciami routery DR i BDR nadal zachowuja
swoje funkcje
konfiguracja priorytetu
interface fastethernet 0/0
ip ospf priority 50
end
show ip ospf interface- pokazuje priorytet
oraz inne wartosci
!!cost wiazany z czescia output interfejsu
wzor na cost to najczesciej 10^8/bandwith
ustawienie interface bandwith
interface serial0/0
bandwith 56
typowy koszt
56-kbps serial link- 1785
T1 1.544-Mbps serial link 64
E1 2.048-Mbps serial link 48
4-Mbps Token Ring 25
10 Mbps Ethernet 10
16 Mbps Token RIng 6
100 Mbps Fast Ethernet, FDDI 1
ustawienie kosztu
ip ospf cost number
autentykacja
z definicji router ufa, ze informacja
pochodzi z routera, ktory powinien wyslac
informacje, router ufa takze, ze informacja
nie zostala zmieniona podczas drogi
aby zagwarantowac to zaufanie routery moga
byc ustawione, aby autentykowac jeden
drugiego
kazdy interfejs moze wygenerowac haslo
dla uzytku przez inne routery
generacja takiego klucza to
ip ospf authentication-key password
(config-if)
nastepnie autentykacja musi zostac uruchomiona
area area-number authentication
(config-router)
klucz ten moze byc latwo podsluchany, wiec
najlepiej go zaszyfrowac
ip ospf message-digest-key key-id encryption-
-type md5 key
key-id to identyfikator i przyjmuje wartosc
z zakresu od 1 do 255
klucz to alfanumeryczna haslo przyjmujace
wartosc do 16 znakow
area area_id authentication message-digest
timery ospf
routery ospf musza miec takie same
hello intervals i dead intervals aby wymieniac
informacje
z definicji dead interval jest cztery razy
wiekszy niz hello interval, czyli router
ma 4 szanse wyslania hello zanim zostanie
ogloszony martwym
timery OSPF sa konfigurowana na interfejsie
broadcast networks- hello 10, a dead 40
nonbroadcast hello 30 dead 120
konfiguracja intervals
ip ospf hello-intervals seconds
ip ospf dead-intervals seconds
!!sa konfigurowana na interfejsie
default route
ip route 0.0.0.0 0.0.0.0
[interface|next-hop address]
(config)
//aby rozprowadzic informacje dotyczace
static route na inne routery
default-information originate
(config-router)
przyczyny nie nawiazanie przez routery
neighbor relationship
hellos nie sa wysylane przez obydwu sasiadow
hello i dead intervals nie sa takie same
interfejsy sa innych typach sieci
hasla autentykacji albo klucze sa rozne
w OSPF routingu wazne jest takze:
wszystkie interfejsy musza miec wlasciwe adresy
i maski podsieci
network area musi miec dobre wildcard mask
netwrok area musi umieszczac interfejsy
w odpowiednich obszarach
show ip protocols
//wyswietla parametry timerow, filtrow, metryk,
sieci i inne informacje dla calego routera
show ip route
//wyswietla sciezki znane routerowi i opisuje
jak je poznal. Jest to jedna z najlepszych
metod aby ustalic brak przerwanego polaczenia
pomiedzy routerem i reszta sieci
show ip ospf interface
//weryfikuje czy interfejs zostal skonfigurowany
w zamierzonym obszarze, czy zostal ustalony
adres loopback, czy interfejs z najwyzszym
adresem zostal wziety jako router ID, pokazuje
takze timer intervalsi pokazuje routera
adjacencies
show ip ospf
//pokazuje ile razy zostal uzyty algorytm
SPF, pokazuje takze link-state update, jezeli
nie nastapily zadne zmiany w topologii
show ip ospf neighbor detail
//pokazuje szczegolowa liste sasiadow tj.
ich priorytety, stan tj init, exstart, full
show ip ospf database
//pokazuje zawartosc topologicznej bazy danych
utrzymywanej przez router, pokazuje takze
ID routera oraz ID procesu OSPF
//sa rozne typy baz ??
komendy dobre podczas rozwiazywania problemow:
clear ip route *
//czysci wszystkie sciezki w routing table
clear ip route a.b.c.d
//czysci sciezki do a.b.c.d
debug ip ospf events
//pokazuje wszystkie zdarzenie OSPF
debug ip ospf adj
//pokazuje wydarzenie OSPF adjacency
modul 3
EIGRP
//o co chodzi z tym proprietary
bazuje na IGRP
moze uzywac CIDR oraz VLSM
EIGRP moze zastapic Novell RIP i AppleTalk
Routing Table Maintenance Protocol (RTMP)
EIGRP sluzy zarowno dla IPX jak i AppleTalk
z duza efektywnoscia
EIGRP- hybryda distance-vector oraz
link-state
EIGRP latwiej skonfigurowac niz OSPF
zawiera niektore z najlepszych cech
OSPF tj. partial updates oraz wykrywanie
sasiadow
EIGRP jest idealnym wyborem dla duzych,
uzywajacych wielu protokolow sieci,
bazujacych na routerach Cisco
Dlaczego najczesciej urzadzenie nie dziala:
komendy zostaly wprowadzone niewlasciwie
routery, switche lub inne urzadzenia sieciowe
zostaly zle skonfigurowane
access-listy zostaly zle stworzone lub
umieszczone w zlym miejscu
polaczenia fizyczne sa uszkodzone
EIGRP zaczeto uzytkowac w roku 1994
EIGRP ma lepsza konwergencje niz IGRP oraz
operuje bardziej wydajnie niz IGRP
IGRP i EIGRP sa ze soba kompatybilne
EIGRP ma wsparcie dla wielu protokolow, IGRP
nie
EIGRP i IGRP uzywaja innej kalkulacji metryki
EIGRP uzywa metryki 32 bitowej
IGRP 24 bitowej
IGRP dzieli lub mnozy przez 256 by wymieniac
informacje z IGRP
Liczenie metryki w IGRP i EIGRP
metric=[K1*bandwith +(K2*bandwith)/(256-load)+
+(K3*delay)]*[K5/reliability+K4)]
default K1=1, K2=0, K3=1, K4=0, K5=0
metric=bandwidth+delay
bandwidth for IGRP=(10000000/bandwidth)
bandwidth for EIGRP=(10000000/bandwidth)*256
delay for IGRP=delay/10
delay for EIGRP=delay/10*256
max hop count IGRP to 255
EIGRP 224
aby RIP i OSPF dzielily sie informacjami
wymagana jest skomplikowana konfiguracja
IGRP i EIGRP bez problemu dziela sie
informacjami o ile numer AS jest ten sam
sciezki nauczone przez router EIGRP od
routera IGRP sa wpisywane jako external
router IGRP nie robi takiego rozroznienia
EIGRP- sciezki EIGRP D
z IGRP D EX
terminologia EIGRP
EIGRP uzywa trzech rodzajow tablic do
przechowywanie infromacji o sieci
EIGRP przechowuje informacje dotyczace
topologii i sciezek w RAMie, aby miec szybki
do nich dostep
sciezki nauczone przechowywane sa w specyficzny
sposob i moga byc oznakowane, aby dodac inne
pozyteczne informacje
EIGRP utrzymuje nastepujace trzy tablice:
neighbor table
topology table
routing table
neighbor najwazniejsza tablica w EIGRP
zawiera ona adjacent routery
!!porownywalna jest z adjacency table
uzywana przez OSPF
jest taka tabela dla kazdego protokolu,
ktory wspiera EIGRP
kiedy router odkryje nowego sasiada adres
i interfejs sasiada jest wprowadzony do bazy
kiedy sasiad wysyla pakiet hello oglasza
holdtime
holditme- jak dlugo router traktuje sasiada jako
dostepnego i dzialajacego
//show ip eigrp neighbors
kiedy holdtime wyczerpie sie
DUAL (Diffusing Update Algorithm- jest to
algorytm distance vector EIGRP) jest informowany
o zmianie topologii i musi przeliczyc nowa
topologie
topology table jest zrobiona z EIGRP tablic
routingu w autonomicznym systemie
DUAL bierze informacje z tablicy neighbor
i topology tablicy i oblicza najnizszy
koszt sciezki do celu
//show ip eigrp topology
successor route- glowna sciezka, najlepsza
sciezka
pola w ablicy topology
FD (feasible distance)- najnizsza wyliczona
metryka do kazdego celu
Route source- numer identyfikacyjny, ktory
oryginalnie oglosil sciezke.
RD (reported distance)- dystans zraportowany
przez adjacent neighbor do specyficznego celu
interface information- interfejs poprzez
ktory mozna dostac sie do celu
route status- stan sciezki
moga byc passive czyli gotowe do uzycia
active- przetwarzana przez DUAL
EIGRP routing table przechowuje najlepsze
sciezki do celu
informacja ta jest uzyskiwana z topology
table
EIGRP utrzymuje tablice routingu dla kazdego
protokolu sieciowego
moze byc do 4 sciezek successor dla kazdego celu
kopia successor routes takze jest umieszczana
w tablicy topologii
FS (feasible successor) to sciezka zapasowa
one sa przechowywane jedynie w topology table
sciezki moga byc internal lub external
tag moze miec numer od 0-255
przewaga EIGRP nad prostymi protokolami
distance-vector
szybka konwergencja
wsparcie dla VLSM i CIDR
multiple network layer support
niezaleznosc od protokolow routed
DUAL gwarantuje szybka konwergencje
wszystkie routery zaangazowane w zmiane
moga sie zsynchronizowac w tym samym czasie
EIGRP nie przesyla calych tablic, lecz
jedynie czesciowe incremental updaty
EIGRP przesyla updaty tylko do tych routerow,
ktore tego potrzebuja, nie tak jak OSPF do
wszystkich
routery EIGRP uzywaja malych paczek
hello aby pozostac w kontakcie ze soba
PDM- protocol dependent modules
na EIGRP moze dzialac IP, IPX, AppleTalk poprzez
PDM
EIGRP moze redystrybutowac informacje
IPX-RIP i IPX SAP, aby podniesc ogolna sprawnosc
w efekcie EIGRP moze przejac funkje
tych dwoch protokolow
EIGRP moze przejac funkcje RTMP
technologie EIGRP
4 typy nowych technologii w EIGRP:
neighbor discovery and recovery
RTP- reliable transport protocol
DUAL finite state machine algorithm
protocol-dependent modules
EIGRP w przeciwienstwie do IGRP i RIP
nawiazuje stosunki ze swoimi sasiadami
adjacency jest nawiazywane pomiedzy sasiednimi
routerami, uzywaja malych pakietow hello
aby to osiagnac, z definicji co 5 sekund
dzieki temu mozliwe jest:
nauczenie sie nowych sciezek
zidentyfikowanie routerow, ktore sa nieosiagalne
lub nie dzialaja
ponowne odkrycie routerow, ktore wczesniej nie
dzialaly
RTP- Reliable Transport Protocol to protokol
warstwy transportowej, ktory gwarantuje
uporzadkowane dostarczenie pakietow EIGRP
do wszystkich sasiadow
wiadomo, ze ta powyzsza funkcja gwarantuje
TCP, jednak aby pozostac niezaleznym od
protokolow EIGRP uzywa RTP
EIGRP moze zarzadac od RTP reliable lub
unreliable uslugi, zalezy, czego wymaga
sytuacja
z RTP EIGRP moze multicast i unicast do
roznych peerow jednoczesnie, gwarantuje
to maksymalna efektywnosc
DUAL- centralny element EIGRP
przelicza sciezki
DUAL finite state machine- pelna nazwa DUAL
FSM- maszyna algorytmu
FSM- jak urzadzenie, program, zareaguje na
input
DUAL gwarantuje takze ze kazda sciezka nie
zawiera petli
EIGRP ma budowe warstwowa, modularna
cechy IP-EIGRP:
wysyla i odbiera pakiety, ktore niosa dane IP
powiadamia DUAL o nowych informacjach
routujacych IP
przechowuje rezulataty decyzji DUAL o
routingu
redystrybuuje informacje otrzymane od innych
IP-capable routing protokolow
Typy pakietow EIGRP
5 typow pakietow EIGRP:
hello
acknowledgment
update
query
reply
EIGRP wysylaja hellos w z gory ustalonych
ale mozliwych do skonfigurowania przerwach
hello
zdefiniowana hello interval zalezy od
bandwidth interfejsu
na sieciach IP routery EIGRP przesylaja hello
na multikast adres IP 224.0.0.10
tablica neighbor zawiera pole sequence number,
przechowuje ono numer ostatniego pakietu EIGRP
wyslanego przez sasiednie routery
zawiera takze pole Hold Time, ktore zapisuje
czas kiedy ostatni pakiet zostal odebrany
pakiety musza byc odbierane w Hold Time
interval aby miec stan passive
z definicji hold-time jest 3 razy hello-interval
w EIGRP routery nie musza miec takich samych
czasow hello i hold-time, w przeciwienstwie
do OSPF
pakiety acknowledgment, pakiety hello bez danych
sa unicast
hellos sa multicast
ack moga byc dolaczone do innych pakietow
update pakiety, kiedy odkryty jest nowy sasiad
unicast
update takze gdy router zauwazy zmiane
w topologii
wtedy mutlicast
//czym sie rozni mutlicast od unicast
pakiety query- gdy router potrzebuje
konkretnych informacji od jednego z sasiadow
reply pakiet- odpowiedz na query
query i reply- reliable
reply- unicast
query- multicast
frame relay- 60, 180 hello, hold
ethernet- 5, 15
algorytm EIGRP- DUAL
kazda tablica topologii zawiera nastepujace
informacje
protokol routujacy albo EIGRP
najnizszy koszt sciezki, nazwany feasible
distance (FD)
koszt sciezki, oglaszany przez sasiedni router,
nazwany reported distance
konfiguracja EIGRP
router eigrp autonomous-system-number
autonomous-system-number- musi byc taki sam
dla wszystkich routerow w sieci
network network-number
pamietac o bandwidth na interfejsie
bandwidth kbps
(config-if)
eigrp log-neighbor-changes
(config-router)
EIGRP automatycznie summarizes sciezki na
classful boundry
to granica, gdzie siecowy adres sie konczy,
zdefiniowany przez class-based adresowanie
summarization zmniejsza tablice routingu
no auto-summary wylacza summarization
(config-router)
na przyklad gdy sa nieciagle subnety
ip summary-address eigrp autonomous-system-
-number ip-address mask administrative distance
z definicji dystans administracyjny
summary route to 5, moze byc skonfigurowany
w przedziale od 1 do 255
komendy show w eigrp
show ip eigrp neighbors [type number]
[details]
//wyswietla neighbor tabele EIGRP, mozna uzyc
typu i inumeru, aby wyszczegolnic interfejs
show ip eigrp interfaces [type number |
| [ip-address]mask]]
//pokazuje informacje eigrp o kazdym interfejsie
show ip eigrp topology [ad-number |[ip address]
mask]]
//wyswietla wszystkich feasible successors
w topology table
show ip eigrp topology [active | pending |
zero-successors]
//wyswietla sciezki w topology table w zaleznosci
od slowa kluczowego
show ip eigrp topology all-links-
//wyswietla sciezki nie tylko
feasible successors
show ip eigrp traffic [as-number]
//wyswietla numery enhanced IGRP pakietow,
wyslanych i odebranych
debug eigrp fsm
//wyswietla EIGRP feasible successor aktywnosc,
zeby pomoc ustalic, czy updaty sciezek
sa instalowane i wymazywane przez proces
routingu
debug eigrp packet
//transmisja i odbior pakietow eigrp
neighbor table najwazniejsza tablica EIGRP
takze wysyla pakiety hello
hello wysylane z definicji co 5 sekund
Poprzez formowanie zwiazkow z sasiadami routery EIGRP:
dynamicznie ucza sie nowych sciezek, ktore sa do nich
dolaczane
identyfikuja routery, ktore nie dzialaja lub
staja sie niedostepne
na nowo odkrywaja routery, ktore staly sie unreachable
w tablicy neighbor znajdziemy nastepujace pola:
neighbor adress
hold time
SRTT- Smooth Round-Trip Timer
//jest to przecietny czas jaki zabiera wyslanie
i odebranie pakietow od sasiadow
ten timer jest uzywany do ustalenia RTO- Retransmit
Interval
Queue count (Q Cnt)- ile pakietow oczekuje w kolejce
jezeli oczekuje ich duzo oznacza to, iz mamy problem
z kongestia
Sequence Number (Seq No)- numer ostatniego pakietu
odebranego od sasiada
neighbor table zapewnie reliable, sequenced delivery
mozna powiedziec ze jest analogiczny do TCP
routery przechowuja informacje route i topology
w RAMie
Kroki w analizowaniu problemow z protokolami
routingu
Dokladnie opisac problem
//jakie sa objawy i jakie moga byc potencjalne przyczyny
Zebrac fakty, ktore moga pomoc zlokalizowac mozliwe
przyczyny
zadawac pytania uzytkownikom, kierownictwu
uzyc komend, show, debug
Rozwazyc mozliwe problemy na podstawie zebranych
faktow
//dzieki temu mozemy zawezic zbior potencjalnych
przyczyn
Sporzadzic plan postepowanie na podstawie
mozliwych przyczym. ktore nadal pozostaly
//zajac sie najbardziej prawdopodobna przyczyna
zmieniac po jednej zmiennej
Uruchomic plan i obserwowac czy problem zniknie
Sprawdzic rezultaty czy problem zostal rozwiazany
Jezeli nie sprawdzic kolejna mozliwa przyczyne
!!pamietac o udokomentowaniu problemu
Komendy show:
monitoruja zachowanie routera podczas poczatkowej
instalacji
czy siec operuje normalnie
isoluje miejsca problemowe: interfejsy, nody, kable,
aplikacje
mozna ustalic czy siec jest congested
ustala stan serwerow, klientow i innych sasiadow
komendy debug moga pomoc wyizolowac problemy
z protkolem oraz problemy konfiguracyjne
narzedzia sieci tj. traceroute, ping, telnet:
ping testuje polaczenie end-to-end
traceroute moze pokazac bottlenecks, lub zerwane
polaczenia
telnet- czy wlasciwie jest skonfigurowane
polaczenie end-to-end
rozwiazywanie problemow RIP
najczestszym problem w RIP jest VLSM,
uniemozliwia on oglaszanie sciezek
przez RIP
dzieje sie to poniewaz RIP nie obsluguje
VLSM
jezeli nie sa oglaszane sciezki w RIP
nalezy:
sprawdzic czy istnieja problemy
z polaczeniami w warstwie pierwszej
lub drugiej
czy skonfigurowany jest subnetting VLSM
czy RIPv1 i RIPv2 sa zle skonfigurowane
czy zle sa przypisane sieci
czy wychodzac interfejs nie dziala
czy interfejs oglaszanej sieci nie dziala
show ip protocols dostarcza informacji
o parametrach i stanie procesu routingu
debug ip rip
rozwiazywanie problemow IGRP
IGRP w przeciwienstwie do RIP:
moze byc uzywany w duzych sieciach
ma bardziej skomplikowana metryke
moze wykorzystywac wiele sciezek
jednoczenie i nie musza byc equal cost
Postepowanie przy nie dzialajacym
wlasciwie IGRP:
problemy z polaczeniami w warstwie
1 i 2
czy dobrze sa ustawione AS na
routerach IGRP
czy dobrze skonfigurowane polecenia
network
czy wychodzacy interfejs dziala
czy dziala interfejs oglaszanej sieci
debug ip igrp transactions
debug ip igrp events
Rozwiazywanie problemow EIGRP
problemy z polaczeniami w warstwie
1 i 2
czy dobrze sa ustawione AS na
czy link dziala lub czy jest congested
czy wychodzacy interfejs dziala
czy dziala interfejs oglaszanej sieci
czy uruchomiono sumaryzacje w sieciach
ktore nie sa ciagle
modul 4
//czy stwitch, router moze takze
wzmacniac sygnal tak jak reapeater
moze :)
z bridge wyeowoluowal switch
switche to urzadzenia warstwy 2,
uzywane sa do powiekszenia dostepnej
przepustowosci i zredukowania zatorow w sieci
( congestion )
mikrosegementy sa to segementy z tylko
jednym hostem
na samym poczatku w LANach uzywano Thick Ethernet
oraz Thin Ethernet
Thick Ethernet
ograniczony do 500 metrow zanim nastapi
degradacja sygnalu
co 500 metrow musi byc ustawiony repeater
ograniczenia co do ilosci i umiejscowieniu
stacji
drogi, duzy i ciezki do umieszczenia w budynkach
relatywnie latwo dodac nowego uzytkownika
dostaraczal 10 Mbps dzielonej przepustowosci
Thin Ethernet
185 metrow zanim sygnal zaniknie
co 185 metrow reapeter
tanszy i zajmuje mniej miejsca niz thick Ethernet
ciagle ciezko go umiescic w budynkach
aby dodac uzytkownika trzeba unieruchomic siec
hub urzadzenie warstwy pierwszej multi-port
reapeter czesto tez nazywany, ulatwil prace sieci
Thick i Thin
huby nie podejmuja decyzji gdzie przeslac dane
przez dodanie hubow wiecej uzytkownikow
ubiegalo sie o ta sama przepustowosc
!!urzadzenia warstwy drugiej sa bardziej
inteligentne niz te z warstwy pierwszej
decyzje odnosnie tego gdzie nalezy przeslac
ramke podejmuja na podstawie adresu MAC,
ktory znajduje sie w naglowku transmitowanej
ramki
bridge- urzadzenie warstwy drugiej uzywane
do segmentacji sieci, przesylaja ramki pomiedzy
dwoma segmentami, aby to robic bridge zna adresy
MAC urzadzen na kazdym podlaczonym segmencie
z tymi adresami bridge buduje bridging table
i na podstawie wpisow w tej tablicy blokuje
lub przesyla dalej ramki, powoduje to, ze kolizje
zdarzaja sie rzadziej i siec dziala efektywniej
switch to takze urzadzenie warstwy drugiej,
mozna powiedziec ze to multiport bridge,
podejmuja decyzje na podstawie MAC adresow
zawartych w transmitowanych ramkach, adresy
urzadzen podlaczonych do wszystkich portow
sa wprowadzone do switching table
switche tworza wirtualne obwody pomiedzy dwoma
polaczonymi urzadzeniami, ktore chca sie
skomunikowac
switche maja mozliwosc utworzenia rownoczenie
wielu takich wirtualnych polaczen przydzielajac
im odpowiednia przepustowosc
!!wada switcha jest iz forwarduja ramki broadcast
do wszystkich urzadzen w danym broadcast domain
powoduje to wolniejsze dzialanie sieci
routery dokonuja decyzji na podstawie grup
adresow sieciowych lub klas, w przeciwienstwie
do indywidualnych adresow MAC. Routery uzywaja
tablic routingu, aby umiescic tam adresy sieci,
ktore sa bezposrednio podlaczone do lokalnych
interfejsow i sciezki sieci nauczone od innych
routerow
Funkcje routerow:
przejrzenie danych warstwy trzeciej w pakiecie
wybor najlepszej drogi poprzez sieci
przeslanie danych do odpowiedniego wychodzacego
portu
Czynniki obciazajace przepustowosc sieci:
obecne systemy operacyjne pozwalaja wiele
rownoczesnych transkacji sieciowych, spowodowalo
to obciazenie lacz
struktura klient serwer
Czynniki mogace negatywnie wplynac na dzialanie
sieci:
dostarczanie ramek Ethernetowych ma charakter
rozgloszeniowy
CSMA/CD- pozwala jedynie jednej stacji
transmitowac dane w tym samym czasie
transmisje video, Internet moga powodowac
kongestie
latency- opoznienia
na poczatku Ethernet byl technologia half-duplex
srodowisko klient-serwer powoduje takze
ograniczenie lacza
przejscie z lacz 10 Mbs na lacza 100 Mbs zostalo
spowodowane przez nastepujace czynniki:
wielkie pliki video
pelnometrazowe pliki video
aplikacje multimedialne
wiecej uzytkownikow sieci
latency, delay- czas jaki zabiera ramce podroz
od zrodla do celu
opoznienia sa spowodowane tlumaczeniem impulsow
elektrycznych przez NIC
sama droga jaka musi pokonac sygnal
opoznienia sa dodane przez urzadzenia, ktore
znajduja sie na drodze sygnalu
2 routery moga wywolac wieksza latency niz
trzy switche
bit time- bazowa jednostka czasu, jest to czas
w jakim moze byc wyslany jeden bit
transmission time- czas pomiedzy rozpoczeciem
transmisji ramki i jej zakonczeniem
w 10Base-T
Bajty-Microsekundy
64-51.2
512-410
1000-800
1518-1214
bit-time 100 ns, minimum czasu do wyslania
1 bajta 800 ns (100ns*8)
attenuation- zanikanie sygnalu
repeatery rozszerzaja collision domain oraz
broadcast domain
//czyli w full-duplex nie ma CSMA/CD????
bridge podwyzsza latency o 10 do 30 procent
bridge- urzadzenie store-and-forward
bridge sprawdza destination adress field
i oblicza CRC ( cyclic redundancy chceck )
w polu Frame Chceck Sequence zanim przepusci
ramke dalej
jezeli docelowy port jest zajety bridge
przechowuje tymczasowo ramke dopoki port nie
jest dostepny
//chodzi tu o port logiczny czy fizyczny
router dodaje od 20 do 30 procent opoznienia
swtiching ogranicza kongestie w Ethernet,
Token Ring oraz FDDI
2 podstawowe funkcje switcha:
przelaczanie ramek- odebranie ramki i wyslanie
jej wlasciwym portem
zachowanie operacji switch- buduja tablice
forwardingu
switch dowiaduje sie lokacje urzadzenia, poprzez
zbadanie adresu zrodlowego
wysyla wszystkim portami, jezeli adres
jest broadcast, multicast lub nieznany
switching warstwy drugiej i trzeciej
routery i switche warstwy trzeciej
uzywaja warstwy trzeciej do switchingu
ramek
switche i mosty warstwy drugiej uzywaja
warstwy drugiej do przelaczania ramek
roznica w przelaczaniu ramek w warstwie drugiej
i trzeciej jest typ informacji w ramce, ktory
jest uzywany do rozpoznania odpowiedniego
interfejsu wyjsciowego
przelaczanie warstwy drugiej oparte jest
na adresie MAC, przelaczanie warstwy trzeciej
jest oparte na adresie warstwy network
lub adresie IP
istnieje niewielka roznica w przelaczaniu
ramek na switchach warstwy trzeciej i routerach
tablica switchingu miesci sie w CAM
( Content Adressable Memory)
//co to jest switched lub flat siec
//routed lub hierarchical network
hierarchical lub routed networks sa bardziej
elastyczne niz flat networks
przelaczanie w LANie moze byc sklasyfikowane
jako symetryczne lub asymetryczne w
zaleznosci od sposobu w jaki przepustowosc
lacza jest przypisana do portow
symetryczny switch w LANie dostarcza polaczen
pomiedzy portami z ta sama przepustowoscia
asymetryczny LAn switch zapewnia polaczenia
pomiedzy portami o roznej przepustowosci,
na przyklad kombinacja przepustowosci 10Mbps
i 100Mbps
asymetryczny switch dostarcza wieksza
przepustowosc na porcie idacym do serwera
memory buffering jest wymagane
w asymetrycznym switchu
ethernetowy switch moze uzywac techniki
buforowania do przechowywania i przesylania
ramek dalej
buforowanie moze byc uzywane gdy port
docelowy jest zajety
memory buffer to obszar pamieci, gdzie
switch przechowuje dane
memory buffer uzywa dwoch metod przesylania
dalej ramek- port-based memory buffering
oraz shared memory buffering
port-based
ramki sa przechowywane w kolejkach,
ktore sa przypisane do specjalnych
przychodzacych portow, ramka jest
transmitowana do wychodzacego portu
dopiero, gdy ramki przed nia zostana
przeslane na wychodzacy port
shared
przechowuje wszystkie ramki w jednym miejscu
ktory dziela wszystkie porty na switchu
pamiec potrzebna przez dany port jest
dynamicznie przypisywana
dwie metody swtichingu
store-and-forward
cut-through
store-and-forward
cala ramka jest odebrana zanim jest przesylana
dalej, adres docelowy i zrodlowy sa odczytane
i zastosowane sa filtry zanim ramka jest
przeslana dalej, cala ramka jest sprawdzana
czy sa bledy, lepsza jest detekcja bledow
cut-through
ramka jest przesylana dalej zanim zostanie
cala odebrana, minimalny warunek przeslania
to odczytanie adresu docelowego, jest
mniejsza latency, ale ciezej wykryc bledy
dwie formy switchingu cut-through
fast-forward
fragment-free
fast-forward
najmniejsza latency ze wszystkich, od razu
ramka jest przesylana dalej po przeczytaniu
adresu docelowego
fragment-free
filtruje fragmenty kolizyjne zanim przesle
dalej
fragmenty kolizyjne, najczestsze przypadki
bledow
w poprawnie dzialajacej sieci fragmenty
kolizyjne musza byc mniejsze niz 64 bajty
glowne cechy switchy:
izolacja ruchu pomiedzy segmentami
dostarczanie kazdemu uzytkownikowi wiekszej
ilosc lacza poprzez zmniejszenie collision
domains
adaptive cut-through to kombinacja
cut-through i store-and-forward
w tej metodzie switch uzywa cut-through
dopoki nie wykryje bledu
kiedy most jest wlaczony poraz pierwszy
wiadomosci broadcast sa transmitowane
proszac wszystkie stacje w lokalnym segmencie
o odpowiedz. Kiedy wszystkie stacje odpowiedza
bridge buduje tablice lokalnych adresow,
ten proces nazywany jest uczeniem sie
bridge i switche ucza sie w nastepujacy
sposob:
czytajac zrodlowy MAC adres kazdej odebranej
ramki
rejestrujac port na ktorym byl odebrany
MAC adres
kazdy adres zapisany w tablicy switchingu
ma przydzielony czas, jezeli ten adres
nie bedzie uzywany przez ten czas,
jest usuwany z tablicy switchingu
dzieki temu tablica switchingu jest aktualna
i funkcjonalna
wiekszosc switchy mam mozliwosc filtrowania
ramek na podstawie dowolnego pola warstwy
drugiej
!!mozna zaprogramowac switch by odrzucal ramki
z konkretnej sieci
switch moze takze filtrowac na podstawie
protkolu warstwy wyzszej
filtrowanie moze sobie takze radzic z pakietami
typu broadcast lub multicast
ignorowanie ramki to filtrowanie
kopiowanie ramki to forwarding
wiekszosc ethernetowych switchy ma teraz
mozliwosc filtrowania ramek typu multicast
i broadcast
VLAN-virtual local-area network
VLANy pozwalaja administratorowi sieci
na zablokowanie transmisji niepotrzebnych
ramek typu multicast i broadcast
broadcast storm- urzadzenie zle dziala
i bez przerwy wysyla ramki typu broadcast
dzisiejsze switche sa w stanie filtrowac
ramki na podstawie protokolu wartswy
network
switch, ktory uzywa zaawansowanych technik
filteringu to brouter
sa dwa podstawowe powody segmentowania LANu
izolacja ruchu pomiedzy segmentami
dostarczanie wiekszej przepustowosci
dla poszczegolnych stacji roboczych
3 rodzaje komunikacji w sieci:
unicast- jeden transmitujacy chce dotrzec
do jednego odbiorcy
mutlticast- jeden transmitujacy chce dotrzec
pewnej czesc segmentu
broadcasting- jeden transmitujacy, chce dotrzec
do wszystkich odbierajacych w sieci
kabel cross-over
switch-switch
hub-hub
router-router
workstation-workstation
router-pc
switch-hub
straight-through
switch-router
switch-workstation (lub serwer)
hub-workstation (lub serwer)
modul 5
dobra zaprojektowanie sieci daje jej prawidlowe
dzialanie plus mozliwosc jej rozwoju i ewolucji
zanim zaprojektuje sie sieci nalezy rozpoznac
nastepujace aspekty sieci:
warstwa dostepu- laczy koncowych uzytkownikow
z LANem
warstwa dystrybucji- zapewnia polaczenie
uzytkownika z LANem
warstwa core( najwazniejsza czesc)-
dostarcza najszybszego polaczenia pomiedzy
punktami dystrybucji
dla kazdej z powyzszych warstw wazny jest
inny rodzaj switcha
Na samym poczatku nalezy okreslic cele
LANu
cele sa unikalne dla kazdej organizacji
wymagania stawiane przed wiekszoscia LANow:
funkcjonalnosc-siec powinna odpowiednio
funkcjonowac, zapewnia polaczenia uzytkownik-
-uzytkownik, uzytkownik-aplikacja, z
odpowiednia predkoscia i niezawodnoscia
scalability(rozszerzalnosc)- siec powinna miec
mozliwosc rozwoju, siec powinna sie rozwijac,
ale bez zmian glownej funkcjonalnosci
adaptability(zdolnosc adaptacji)- siec powinna
miec mozliwosc implementacji technologicznie
urzadzen, nie powinny byc implementowane
urzadzenia, ktore uniemozliwiaja stosowanie
w przyszlosci nowych technologi
manageability(zarzadzalnosc)- siec powinna
byc tak zaprojektowana by mozna bylo nia
zarzadzac, monitorowac jej dzialalnosci, oraz
aby stabilnie dzialala
modernizacja starych LANow lub powstawanie
nowych jest zwiazane z powstaniem nowych
technologii tj ATM (Asynchronous Transfer
Mode)
Aby zmaksymalizowac wykorzystanie dostepnego
lacza i zapewnic LANowi najlepsze dzialanie
nalezy wziac pod uwage nastepujace czynniki:
funkcje wykonywanie przez serwery oraz
ich umiejscowienie
sprawy zwiazane z domenami kolizji
segmentacje
domeny broadcast(rozgloszeniowe)
//na rysunku co to jest HCC, VCC
!!na stronie 5.1.2 jest fajny projekt sieci
mozna wykorzystac przy projekcie sieci
sa dwa rodzaje serwerow
enterprise server- dostarczajacy uslug, ktorych
potrzebuje kazdy, tj. e-mail, DNS
workgroup server- jest to serwer, ktory
udostepnia specyficzne uslugi, niepotrzebne
wszystkim, tj dzielenie plikow
MDF- main distribution facility
centrum dystrybujace informacje, serce LANu
tutaj powinny znajdowac sie serwery enterprise
dane ktore sa przesylane do serwerow enterprise
nie powinna przechodzic przez inne sieci,
aczkolwiek nie zawsze jest to mozliwe
IDF- intermediate distribution facilities
tam powinny znajdowac sie serwery workgroup,
jak najblizej uzytkownikow, ktorzy potrzebuja
wlasnie tych uslug
w tym wypadku nie zakloca to pracy innych
uzytkownikow
!!switche warstwy 2 zlokalizowane zarowno
w MDF i IDF powinny miec przydzielone 100 Mbps
!!gdy nastapi kolizja wysylana ramka
jest niszczona i zostaje wyslany sygnal
zaklocajacy do wszystkich stacji w segmencie
Kroki potrzebne do stworzenia LANu:
zbierz informacje odnosnie oczekiwan
i wymagan odnosnie LANu
zaanalizuj wymagania i dane
zaprojektowac strukture i topologie
warstwy pierwszej, drugiej i trzeciej
udokumentuj logiczna i fizyczna implementacje
sieci
//jaka jest roznia pomiedzy topologia fizyczna
i logiczna
!!najwazniejszy w ogranizacji jest czlowiek,
to dla niego projektujemy siec, trzeba
dokladnie poznac wymagania przyszlych
uzytkownikow, upewnic sie, ktore zasoby
sa krytyczne dla organizacji
dostepnosc sieci:
przepustowosc
czas odpowiedzi
dostep do zasobow
konfiguracja gwiazdy i rozwinietej gwiazdy
to dominujaca topologa sieci w biznesie
fizyczny projekt okresla sposob, w jaki
polaczony sa rozne urzadzenia w sieci
logiczny projekt odnosci sie do przeplywu
danych w sieci, a takze nazw i schematow
uzywanych w sieci
!!jezeli chodzi o projektowanie sieci
to rozdzial 5 jest idealny 5.1.3 bardzo dobry
projektowanie topologii warstwy pierwszej
jedna z najwazniejszych spraw przy
projektowaniu sieci sa kable
!!na dzien dzisiejszy wiekszosc okablowania
jest oparta na technologii Fast Ethernet
uzywa full-duplex
Fast-Ethernet uzywa logicznej topologii bus
siec jest tak efektywna jak kable, ktorych
uzywa
problem z kablami to najczestszy problem
z sieciami
//co to znaczy horizontal cabling
HCC-horizontal cross-connect patch panels
//czy wiring closet to patch panel?
dwa wiring-closet- IDF
vertical cabling- backbone
Vcc- vertical cross-connect uzywany do
polaczenia roznych IDF do centralnego MDF
do tego celu najczesciej uzywany jest
swiatlowod, poniewaz przekracza 100 metrow
logiczny diagram to model topologii sieci, bez
wszystkich szczegolow odnosnie dokladnych
sciezek kabli
logiczny diagram- podstawowa mapa drogowa
sieci
zawiera nastepujace elementy:
wskazuje lokalizacje i identyfikacje wiring
closet MDF i IDF
dokumentuje ilosc i typ kabli potrzebnych
do podlaczenia MDF i IDF
dokumentuje ilosc dodatkowych kabli, ktore
sa dostepne aby zwiekszyc dostepne lacze
pomiedzy wiring closets
zawiera szczegolowa dokumentacje, gdzie
biegna kable, ich numery identyfikacyjne,
i port na ktorych kable sa zakonczone na HCC
i VCC
diagram logiczny jest kluczowym obiektem
by sprawdzic czy siec ma problemy
z polaczeniami
celem urzadzen warstwy drugiej jest
przelaczanie ramek na odpowiednie
porty, w zaleznosci od adresu MAC, sprawdza
bledy, redukuje kongestie w sieci
modul 6
!!hub jest gorszy od switcha, poniewaz
urzadzenia podlaczone do huba dziela ta sama
domene kolizji oraz ta sama przepustowosc
!!huby operuja jedynie w trybie pol-duplex
swtiche moga byc skofigurowana z linii komend
mozna nimi zarzadzac i je konfigurowac
takze przez przegladarke internetowa
catalyst switch
switch to wyspecjalizowane komputery, zawieraja
CPU, RAM oraz system operacyjny
catalyst switche maja porty do podlaczenia
hostow, jak i specjalne porty do konfiguracji
switcha
switche moga byc zarzadzane i konfiguracja
moze byc obejrzana poprzez port konsoli
switche czesto nie maja wylacznikow on/off
najczesciej po prostu wyciaga sie je z pradu
z przodu switcha znajduja sie nastepujace
diody:
system LED
RPS- Remote Powet Supply LED
Port Mode LED
Port Status LED
dioda systemowa pokazuje czy system ma
dostarczana moc i czy dobrze funkcjonuje
dioda RPS- pokazuje czy uzywane jest przenosne
zrodlo energii
dioda mode- stan przycisku mode, mowi o tym
jak interpretowana jest dioda portow
naciska sie przycisk mode tak dlugo, az ustawi
sie wlasciwy stan
stan- STAT
dioda port
brak koloru- brak polaczenia
zielony- dziala polaczenie
mrugajacy zielony- port wysyla lub odbiera dane
zmieniajacy sie zielony/burszynowy- blad
polaczenia
staly bursztynowy- port zostal zablokowany,
przez zablokowanie adresu, albo zablokowany
przez protokol spanning tree
UTIL
brak- kazda wylaczona dioda oznacza redukcje
przepustowosc o 50%
zielony- jezeli wszystkie diody sa zielone,
switch uzywa wiecej niz 50% przepustowosc
DUPLX
brak- port operuje w trybie pol-duplex
zielony- port pracuje w trybie pelny-duplex
SPEED
brak- port pracuje 10Mbps
zielony- port operuje 100 Mbps
mrugajacy zielony 1000 Mbps
kiedy kabel zasilajacy jest podlaczony
switch wykonuje POST
POST uruchamiany jest automatycznie by
sprawdzic czy switch dziala poprawnie
brak koloru, a kabel jest podlaczony, switch
przeprowadza POST
zielony- siwtch dziala poprawnie
bursztynowy- bledy
dioda port status takze zmienia sie podczas
POST. dioda ta jest przez 30 sekund bursztynowa
w tym czasie switch odkrywa topologie sieci
i szuka petli
jezeli switch ustanowil polaczenie pomiedzy
portem a komputerem to dioda port status
jest zielona
jezeli jest wylaczona oznacza to, ze nic nie
jest podlaczone
HyperTerminal moze byc uzyty do skonfigurowania
oraz sprawdzenia konfiguracji sieci
laczymy COM port komputera z portem konsolowym
switcha aby skonfigurowac switch
uzywamy kabla rollover
ustawienia portu COM: 9600 bps, 8 data bits,
no parity, 1 stop bit, hardware flow control
//System Configuration dialog??
znak zapytania uruchamia help
tryby switcha
tryb uzytkownika- z definicji
w trybie uzytkownika komendy:
zmieniajace ustawienia terminala
dokonuja podstawowych testow
wyswietla nie informacji systemowych
show version
dostarcza informacje o wersji software
i hardware
pokazuje, ktore moduly i software jest
uzytkowany
show flash- pokazuje informacje o flashu,
system plikow
show mac-address-table- pokazuje zawartosc
tablicy forwardingu MAC
show controllers ethernet-controller-
odrzucone ramki, uszkodzone ramki, aligment
errors, kolizje
enable- wejscie w tryb uprzywilejowany
configure- w trybie uprzywilejowanym
wejscie w inne tryby
haslo do trybu uprzywilejowanego-
- case sensitive
show running-config- pokazuje obecna
konfiguracje switcha
show post- sprawdzenie czy switch dokonal
testu POST
show vlan- weryfikuje konfiguracje VLAN
show interfaces- pokazuje stan interfejsow
i ich konfiguracje
konfiguracja switch
kiedy switch jest uruchomiony poraz pierwszy
ma ustawiona bazowa konfiguracje
hostname to Switch
brak hasel na konsoli i vty
!!switchowi moze byc przydzielony adres IP
w celach zarzadzania switchem
jest to konfigurowane na wirtulanym
interfejsie, VLAN 1, bazowo skonfigurowany
switch nie ma przypisanego adresu IP
port i interfejsy sa ustawione w bazowej
konfiguracji na auto-mode
wszystkie porty sa w VLAN1
VLAN1 jest zanany jako default managment
VLAN
katalog flash ma plik, ktory zawiera IOS image
plik env_vars, i podkatalog html
kiedy switch zostanie skonfigurowany
katalog flash bedzie takze zawieral plik
config.txt oraz baze danych VLAN
vlan.dat- plik bazy danych VLAN
show version- pokazuje ustawienia
konfiguracyjne oraz moze byc zweryfikowana
wersja IOS
w bazowej konfiguracji switch ma tylko
jedna domene broadcast domain i CLI
moze byc uzywany do zarzadzania i konfiguracji
switcha
uruchomiony jest Spanning Tree Protocol
pozwala to switch skonstruowanie
bez-petlowego rozszerzonego LANa
konfiguracja catalyst switch
nastepujace kroki spowoduje, ze nowa
konfiguracja kompletnie nadpisze stara:
wymazanie vlan.dat
wymazac zapasowy plik konfiguracyjny zwany
startup-config
zrestartowac switch komenda reload
catalyst 2950
//delete flash:vlan.dat
//erase startup-config
//reload
catalyst 1900
delete nvram
konfiguracja hostname i hasel:
//hostname ALSwitch
//line con 0
//password <dowolne>
//login
//line vty 0 15
//password <dowolne>
//login
przypisanie adresu IP oraz domyslnej bramy
catalyst 2950
//interface VLAN1
//ip address 192.168.1.2 255.255.255.0
//ip default-gateway 192.168.1.1
catalyst 1900
ip address 192.168.1.2 255.255.255.0
ip default-gateway 192.168.1.1
Bazowo VLAN1 jest VLAN za pomoca, ktorego
sie zarzadza
VLAN1 jest uzywany do zarzadzania wszystkimi
urzadzeniami w sieci
w sieci opartej na switchach (switch-based),
wszystkie urzadzenia powinny sie miescic
w zarzadzanym VLANie, wszystkie porty
z definicji naleza do VLAN1, najlepsza
praktyka jest usuniecie wszystkich portow
dostepu z VLAN1 i umieszczenie ich w innym
VLANie
pozwala to zarzadzac urzadzeniami w sieci,
nie obciazajac VLANu zarzadzajacego ruchem
sieciowym
porty fast-ethernet switcha sa bazowo
nastawione na auto-speed i auto-duplex
to pozwala interfejsom wynegocjowanie
tych ustawien, administratorzy sieci
moga recznie ustawic predkosc interfejsu
oraz wartosci duplex, jezeli to konieczne
//interface FastEthernet0/2
//duplex full
//speed 100
kiedy ustawiony jest adres IP i brama switcha
moze byc on osiagany poprzez przegladarke
internetowa, usluga HTTP moze byc wlaczona
lub wylaczona, adres portu moze byc wybrany
//configure terminal
//ip http server
//ip http port 80
switch moze byc zarzadzany poprzez GUI
//show mac-address-table w trybie
uprzywilejowanym pokazuje adresy, ktorych
nauczyl sie switch
//clear mac-adress-table
wyrzuca bledne mac-adresy
konfiguracja statycznych MAC adresow na
catalyst switch 2900
MAC adres moze byc na stale przypisany
do interfejsu
Cele przypisywania stalego MAC adresu do
interfejsu:
MAC adres nie zostanie automatycznie
usuniete ze switcha
dany serwer lub stacja robocza musi
byc podlaczona do portu i MAC adres jest znany
zwiekszone bezpiezenstwo
komendy uzywane do skonfigurowania statycznego
MAC adresu:
mac-address-table static <mac-adres hosta>
interface FastEthernet <numer ethernetu>
vlan <nazwa Vlanu>
usuniecie statycznego MAC adresu:
no mac-address-table static <adres mac>
interface fastethernet <numer ethernetu>
vlan <nazwa vlan>
zabezpieczenie portow catalyst switch 2950
switche maja usluge nazywana port security
jest mozliwe ograniczenie liczby adresow,
ktore moga byc nauczone poprzez interfejs
switch moze byc skonfigurowany by podjal
dzialania gdy ta ilosc jest przekroczona
bezpieczne MAC adresy moga byc skonfigurowane
statycznie
alternatywa jest ustawienie port security
na interfejsie switcha
liczba adresow na kazdy port moze byc
ograniczona do 1, pierwszy adres nauczony
przez switch automatycznie staje sie secure
adresem
zdjecie port security dokonuje sie poprzez
dodanie slowka no
//show port security moze sprawdzic status
portu
konfiguracja secure-port
//interface fa0/4
//switchport mode access
//switchport port-security maximum 1
//switchport port-security violation shutdown
wylacznie port gdy nastapi naruszenie
bezpieczenstwa
//na samym koncu nalezy uruchomic port
no shutdown
nastepujace rzeczy powinne byc skonfigurowane
na switchu po dodaniu go do sieci:
switch name
ip address switcha dla VLAN
domyslna brama
hasla line
przed przeniesieniem hosta z jednego switcha
lub portu na inny nalezy usunac konfiguracje
switcha, ktora moglaby spowodowac niepozadane
zachowania
administrator sieci powinien:
udekumentowac i zachowac operacyjne pliki
konfiguracyjne dla urzadzen sieciowych
dokonac backupu ostatnich plikow
konfiguracyjnych
na serwer lub dysk
modul 7
nadmiarowosc w sieciach jest bardzo wazna,
pozwala sieci dzialac w razie wystapienia
bledow,
nadmiarowe topologie chronia przed brakiem
dostepu do pewnych uslug, lub nie dzialaniem
calej sieci
downtime- moze byc spowodowany awaria
pojedynczego lacza, portu, urzadzenia
sieciowego
projektujacy siec musza czasami pogodzic
koszt stworzenia nadmiarowej sieci z jej
dostepnoscia
nadmiarowe topologie, oparte na switchach,
mostach sa podatne na burze rozgloszeniowe
(broadcast storms), wysylanie wielu ramek
(multiple frame transmissions), niestabilnosc
baz danych, zawierajacych MAC adresy
te problemy moga spowodowac, iz siec
nie bedzie nadawala sie do uzytku, z tego
powodu nadmiarowosc powinna byc uwaznie
planowana i monitorowana
nadmiarowa topologia moze doprowadzic
do powstania fizycznej topologii z petlami
fizyczne petle(loops) moga spowodowac powazne
problemy w przelaczanych sieciach (switched)
spanning-tree-protocol jest uzywany
w przelaczanych sieciach, by stworzyc
logiczna topologie wolna od petli, gdy
w fizycznej wystepuja petle
links, porty oraz switche, ktore nie sa czescia
active-loop-free topologii nie przelaczaja
ramek
sieci, ktore posiadaja nadmiarowe urzadzenia
oraz sciezki powoduja, ze siec przez
dluzszy okres pracuje nieprzerwanie
nadmiarowe topologie eliminuja krytyczny
punkt awarii
switche traktuja multicast jak broadcast
!!broadcast i multicast sa takze przesylane
przez wszystkie porty oprocz tego, z ktorego
przyszly
//co to bylo to ARP request, przypomniec sobie
//czy na wszystkie porty idzie jak jest
to warstwa druga
w nadmiarowej sieci jest mozliwe, by urzadzenie
odbieralo wiele ramek, odbiera wiele kopii
tej samej ramki, powoduje to niepotrzebne
zuzycie zasobow sieci
w topologiach nadmiarowych mozliwe jest
by switche posiadaly nieprawidlowe
informacje
!!w naglowku warstwy drugiej nie ma wartosci
TTL (time to live), taka ramka moze przebywac
w petli w nieskonczonosc
warstwa 3- ramka posiada TTL, kiedy osiagnie 0,
ramka jest wyrzucana
logiczna topologia eliminujaca petle nazywana
jest drzewem, uzywa topologii gwiazdy
lub rozszerzonej gwiazdy
duzo czasu zajmuje zaimplementowanie STP w
calej sieci
//jak dokladnie mozna zrobic, by topologia
fizyczna miala jedna forme, a logiczna inna
ethernetowe bridge i switche moga uzywa
protokolu Spanning-Tree IEEE 802.1d, tworzy
to wolne od petli srodowisko, uzywa najkrotszej
drogi(shortest path)
w protokole spanning tree niektore porty
sa blokowane
shortest path- opiera sie sumarycznym koszcie
linkow, koszt linka jest zalezny od szybkosci
linka
szybkosc polaczenia- koszt
10 Gbps-2(1)
1 Gbps-4(1)
100 Mbps-19(10)
10 Mbps-100(100)
protokol spanning-tree ustala root node zwany
root bridge
!!protokol spanning-tree tworzy topologie,
ktora ma jedna sciezke dla kazdego punktu
(node) w sieci, drzewo ma poczatek w root
bridge
nadwyzkowe sciezki, ktore nie sa czescia
shortest path tree sa blokowane
!!to wlasnie z powodu blokowania nadmiarowych
sciezek srodowisko wolne od petli jest mozliwe
ramki otrzymane ze zblokowanych linkow
sa wyrzucane
protokol spanning tree wymaga by urzadzenia
sie komunikowaly, by wykryc bridging loops
links, ktore spowoduja loop sa blokowane
switche wysylaja wiadomosci BPDU- pozwala
to na utworzenie wolnego od petli srodowiska
BPDU- Bridge Protocol Data Unit
BPDU sa ciagle wysylane na zblokowanych
sciezkach, powoduje to, iz gdy urzadzenie
przestaje dzialac algorytm spanning-tree
moze byc od nowa przeliczony
BPDU zawieraja informacje, ktore umozliwiaja
switchom wykonanie nastepujacych akcji:
wybranie jednego switcha, ktory bedzie
dzialal jako root protokolu spanning-tree
wyliczenie przez dany switch najkrotszej
sciezki z danego switcha do root switch
wybranie jednego, najblizszego root bridgowi
switcha na dany segment, on bedzie obslugiwal
cala komunikacje z danego segmentu
nazywa sie on designated switch
ustalenie jednego portu jako root portu-
to on zawiera sciezke do root bridge
wybrac porty, ktore sa czescia spanning-tree
sa to designated ports
siec sie ustabilizowala( converged)- jest
jeden spanning-tree na dana siec
w takiej sieci znajduja sie:
jeden root bridge na dana siec
jeden root port na kazdy switch, ktory
nie jest non-root bridge
jeden designated port na dany segment
nieuzywane lub non-designated ports
F- root ports i designated
B- blocking ports lub discarding
BPDU- Bridge Protocol Data Unit
Root BID- kto jest root bridge
Root Path Cost- jak daleko jest root bridge
Sender BID- jakie jest BID bridga wysylajacego
BPDU
Port ID- z jakiego portu zostalo na
bridge wyslane BPDU
BID- Bridge ID
8 bajtow
2 bajty- bridge priority
zasieg 0-65,535
default- 32,768
6 bajtow- MAC adres
default BPDU sa wysylane co 2 sekundy
kiedy switch jest wlaczany po raz pierwszy
uwaza on, ze to on jest root bridge, wysyla
w root ID i seneder ID swoj MAC adres
wszystkie switche otrzymuja te informacje
switche zastepuja adres root bridge tego
z mniejszym root ID
zmiany w jednej czesci sieci, nie sa
natychmiast znane w jej drugiej czesci z
powodu propagation delay
!!petle moga nastapic. gdy switch zby szybko
zmieni status portu
kazdy port uzywajacy protokolu spanning-tree
moze miec 5 stanow
disabled- wylaczony administracyjnie, lub
port nie wykona swojej funkcji
blocking- odbiera jedynie BPDU, wyjscie
z tego stanu moze zajac do 20 sekund
listening- port sprawdza czy sa inne sciezki
do root bridge, sciezka ktore nie jest
najmniej kosztowna wraca do stanu blocking,
15 sekund, dane nie sa przesylane dalej,
switch nie uczy sie MAC adresow, przetwarzane
sa BPDU
learning- dane nie sa przesylane. switch
uczy sie MAC adresow, przetwarzane sa BPDU
forwarding- dane sa przesylane, przetwarzane
BPDU, switch uczy sie MAC adresow
siec converged, jezeli wszystkie porty
sa w stanie forwarding lub blocking
max- convergence- 50 sekund
rapid spanning-tree protocol zdefiniowany
w IEEE 802.1w
cechy;
dokladniejsze wyjasnienie roli i stanow portow
definicje zestawu linkow, ktore moga
przechodzic do stanu forwarding szybko
w converged network switch moga generowac
BPDU niz opierac sie jedynie na root bridge
blocking zmieniona nazwa discarding
typy linkow:
point-to-point
edge-type
shared
dwa pierwsze przechodza do stanu forwarding
natychmiast
15 sekund konwergencja
modul 8
VLAN- logiczne zgrupowanie network stationg
i urzadzen
VLAN moga grupowac wedlug departamentow,
funkcji w pracy, nizaleznie od fizycznej
lokalizacji uzytkownikow
komunikacja pomiedzy VLANmi jest ograniczona
urzadzenia w danym VLANie komunikuja sie
jedynie z urzadzeniami w tym samym VLANie
router laczy VLANy
VLAN zwiekszaja scalability, security i
network managment
routery w topologiach VLAN dostarczaja
filtrowania rozgloszen, security i
traffic flow managment
!!VLAN umozliwia prawie kompletna niezaleznosc
od logicznych i fizycznych topologii
one collision domain, one broadcast domain
!!VLAN- domena rozgloszeniowa stworzona
przez jeden lub wiecej switchy
switch tworzy domene kolizji
VLAN pomaga zarzadzac domenami kolizji
VLANy moga byc zdefiniowane na grupach
portow, uzytkownikach, protokolach
switche i odpowiednie software
dostarczaja mechanizm do stworzenia VLANu
switch przesyla ramke do routera, jezeli
zaistnieja specyficzne warunki:
jezeli jest ramka rozgloszeniowa
jezeli celem jest jeden z MAC adresow na
routerze
implementacja VLANu na switchu powoduje:
switch przechowuje oddzielna tablice
bridgingu dla kazdego VLANu
!!port switcha moze byc przypisany do VLANu
porty przypisane do tego samego VLANu dziela
domene rozgloszeniowa
static membership- jezeli dany port jest
przypisny do danego VLANu, to gdy podlaczymy
dane urzadzenie do tego portu, urzadzenie
to automatycznie przyjmie ze nalezy do
danego VLANu
dynami VLAN:
przypisanie do danego VLANu za pomoca
scentralizowanej aplikacji zarzadzajacej
oparty ma MAC adresie, adresie logicznym,
typie protokolu
wykrywa gdy nierozpoznany uzytkownik dolacza
sie do sieci
zaley VLANow:
latwe przenoszenie stacji we VLANie
latwe dodawanie stacji
latwa zmiana konfiguracji LANu
latwa kontrola ruchu w sieci
zwiekszone bezpieczenstwo
VLAN na podstawie:
portow
MAC adresow
protokolow
VLAN przez porty:
uzytkownicy przypisani do VLANu w zaleznosci
od portow
latwo administrowac poprzez GUI
maxymalizuje bezpieczenstwo pomiedzy VLANami
pakiety nie przeciekaja do innych domen
latwo kontrolowalny
VLAN przez adresy MAC:
oferuje elastycznosc, lecz wymaga wiecej
pracy
wplywa na wydajnosc, scalability,
administracje
oferuje podobny proces dla warstw wyzszych
uzywanie routerow warstwy trzeciej
do polaczenia VLANow ma nastepujace zalety:
dodana jest zarzadzalnosc i zwiekszone
jest bezpieczenstwo
logiczne linki oszczedzaja fizyczne porty
routery kontroluja dostep do VLANow
do 255 VLANow moze byc skonfigurowanych
dla danego routera
zaznaczanie ramek (frame tagging)
ISL- Inter Switch Tagging
802.1Q
ISL- protokol Cisco
naglowek ISL kapsulkuje ramke LANu i dodane
jest pole VLAN ID w naglowku ISL
ramka jest przedluzona
802.1Q- modyfikowany jest naglowek
Kazdy VLAN musi miec przypisany do siebie
unikalny adres sieciowy warstwy 3 lub
subnet, to umozliwia routerowi przelaczanie
pakietow pomiedzy VLANami
!!celem VLANow end-to-end jest zachowanie
80 procent ruchu w VLANie
!!geograficzny VLAN- 20 procent ruchu pozostaje
w danym VLANie
statyczny VLAN to porty na switchu, ktore
sa recznie przypisane do VLANu
polecenia
//vlan database
//vlan numer
//exit
przypisanie vlanu do interfejsu
//interface fastethernet 0/9
//switchport access vlan vlan_numer
//show vlan
pokazanie informacji o vlanach
//vlan 3 name VLAN3
stworzenie vlana i nadanie mu nazwy VLAN#
//switchport mode access
przypisanie interfejsu do standardowego
VLANa
//show vlan id 2
pokazanie konkretnego VLANu
//show vlan name VLAN2
to samo dzialanie co powyzej
!!stworzony VLAN jest nieuzywane dopoki nie
zostanie zmapowany na porty
wszystkie porty ethernetowe sa standardowo
przypisane do VLAN1
//copy running-config tftp
Wyszukiwarka