Vous êtes sur la page 1sur 290

Préface

Une entreprise d'entreprise en expansion exige beaucoup plus qu'un simple réseau
fondamental à travers lequel
La transmission de données est supportée. Les réseaux d'entreprises devraient soutenir
un nombre croissant de
Services qui intègrent l'intégration de technologies qui ne sont pas originaires de
paquets commutés
Réseaux. Le réseau de l'entreprise devrait fournir une panne et des menaces de réseau
de forme à haute résilience,
Botj interne et externe, ainsi que la croissance des performances grâ ce à la mise en
œuvre de solutions
Qui optimisent les données personnelles. Il est donc nécessaire de réaliser des
compétences pour la mise en œuvre
De technologies qui permettent à un réseau d'entreprise établi d'appliquer des services
et des solutions,
Complètent les réseaux d'entreprise en pleine croissance pour une application
d'application véritable.
Objectifs

À la fin de cette section, les stagiaires seront en mesure de:


Décrire l'architecture d'un réseau d'entreprise établi
Décrivez les considérations commerciales pour les réseaux d'entreprises
L'établissement d'une connectivité locale et d'un réseau via TCP / IP
Les protocoles constituent la base du réseau d'entreprise, mais
Ne représente pas une solution complète pour permettre à un réseau d'entreprise d'être
Prêt pour l'entreprise. À mesure que l'entreprise grandit, les exigences pour
Réseau sur lequel il est supporté. Cela comprend la mise en œuvre efficace
Des conceptions de réseau capables de soutenir une entreprise en expansion où
l'utilisateur
La densité peut croître dans un court laps de temps, où les opérations en tant que mobile
Le bureau peut constamment être reconnu, où les exigences technologiques croissantes
Doit être facilité, et le trafic généré est géré efficacement
Sans interruption des opérations du réseau de stockage.
Il est donc impératif qu'une compréhension claire de ses solutions
Peut être appliqué pour établir un réseau d'entreprise capable de soutenir
Besoins changeants de l'industrie. Le réseau de l'entreprise peut être divisé en belgique
Cinq domaines, y compris un réseau de base, un centre de données, une DMZ, un bord
d'entreprise et
Opérations et maintenance (O & M). La solution de réseau de campus de Huawei
Se concentre sur la zone de réseau principale. Le réseau central implémente une couche
à trois couches
L'architecture se compose d'un noyau, d'une agrégation et d'une couche d'accès.
Cette architecture à trois couches présente des avantages en matière de conception
multi-couches
Pour lequel chaque couche effectue des fonctions spécifiques, et établit une structure
stable
Topologie, pour simplifier l'expansion et la maintenance du réseau, avec une modularité
Conception facilitant l'allocation des fautes. Changements de topologie de réseau en un
Le département peut être amené à éviter d'affecter d'autres ministères.
Les réseaux d'entreprise Huawei doivent pouvoir fournir des solutions pour
Variété de scénarios, tels que l'accès aux utilisateurs dense, bureau mobile, VoIP,
Vidéoconférence et surveillance vidéo, accès depuis l'extérieur du campus
Le réseau et la sécurité réseau globale.
Les solutions d'entreprise Huawei doivent donc répondre aux exigences des clients sur
Les performances du réseau, l'évolutivité, la fiabilité, la sécurité et la gestion, tout en
Simplifiant également la construction du réseau.
Le réseau de l'entreprise est requis pour ne pas pouvoir établir une connectivité
Via une multitude de réseaux de fournisseurs de services de télécommunications, en
s'appuyant sur
L'exigence croissante pour le soutien des réseaux intégrés et convergents. Dans
En profitant de la nature omniprésente de la propriété intellectuelle, il est important que
Réseau d'entreprise soit capable de supporter tous les services nécessaires dans
Les industries basées sur les entreprises pour assurer l'accès aux ressources internes
Tout type de service, à tout moment et dans toute localisation.
Le maintien de l'efficacité de l'exploitation dans le réseau de l'entreprise exige que le
trafic
Le flux est très optimisé et la compression est nécessaire pour s'assurer que, dans le
Cas de défaillance d'un périphérique ou d'un lien, l'isolement des utilisateurs et des
ressources ne
se produire. Une conception redondante à deux nœuds est implémentée dans le cadre
d'une entreprise
La conception du réseau pour améliorer la fiabilité du réseau, mais un solde est requis
À considérer, car trop de nœuds redondants sont difficiles à prendre et
Augmenter les dépenses organisationnelles globales.
La sécurité réseau joue un rô le de plus en plus important dans le réseau de l'entreprise.
le
Le développement initial du PCT / IP n'a jamais été fait en raison de la question de la
sécurité dans
Et, par conséquent, les implémentations de sécurité ont progressivement été introduites
Tocombat des menaces croissantes pour les réseaux IP. Les menaces de sécurité sont
capables de
Provenant à la fois de l'intérieur et de l'extérieur du réseau de l'entreprise et
Par conséquent, des solutions pour s'attaquer aux deux types de menaces de sécurité
sont devenues
important. Les solutions de sécurité réseau de Huawei se sont développées pour couvrir
le terminal
La gestion de la sécurité, le contrô le de la sécurité des services et la défense contre les
attaques de réseau.
La croissance des réseaux intelligents aide à faciliter les opérations et
Maintenance (O & M) pour laquelle les solutions réseau Huawei fournissent des moyens
pour
Gestion intelligente de la consommation d'énergie, réseau rapide intelligent
Le déploiement et la maintenance intelligente du réseau.
À mesure que l'industrie continue d'évoluer, de nouvelles solutions d'entreprise de
nouvelle génération
Sont introduits, y compris la proéminence de la technologie cloudé fournissant un nuage
Solutions de service aux infrastructures, plates-formes, logiciels, etc., satisfaire les
besoins
De chaque client. En plus de cela, il faut le soutien de l'entreprise construite
Centres de données et dessins d'infrastructure permettant une expansion constante
dans
Afin de suivre le nombre croissant de services requis par les clients.
Cela implique la réalisation de technologies telles que la virtualisation et le stockage
Des solutions qui continuent à jouer un rô le agressif en
L'expansion de l'industrie industrielle dans le cloud est facilitée sur tous les niveaux de
service.
résumé
Quelle est la fonction d'une DMZ dans un réseau d'entreprise?
Qu'est-ce que le cœur de jeu dans le réseau de l'entreprise?
Avant-propos
Afin d'optimiser le débit des données, l'agrégation des liens permet la liaison de
mulpiple
Interfaces physiques dans un seul canal logique. Cela introduit efficacement des
solutions pour
Fournissant une meilleure utilisation des liens disponibles, ainsi qu'une résilience
étendue dans le cas où
É chec des liens individuels que nous devons produire. Les ingénieurs doivent avoir une
compréhension claire de
Conditions qui définissent le comportement de l'agrégation des liens et des compétences
et des connaissances pour l'application
, Pour s'assurer que des solutions d'agrégation de liens efficaces peuvent être appliquées
aux réseaux d'entreprise.
objectifs
À la fin de cette section, les stagiaires seront en mesure de:
Expliquer l'utilisation de l'agrégation des liens dans le réseau de l'entreprise
Décrivez les différents fors de l'agrégation de liens pris en charge.
Configurez les solutions d'agrégation de liens.
L'agrégation de lien se réfère à la mise en place d'un lien réseau qui agit comme un
Lien direct point-à -point, entre deux périphériques tels que les routeurs peering,
Commutateurs, ou un routeur et une combinaison de commutation à la fin du lien. Le
lien
L'agrégation comprend des liens qui sont considérés comme membres d'un réseau
Ethernet
Trunk, andbuild anassociation qui permet aux liens physiques de fonctionner comme
Lien logique unique. La fonctionnalité d'agrégation de liens prend en charge la haute
disponibilité par
Permettant au lien physique d'une interface membre de passer le trafic à un autre
Lien membre dans le cas où une interface particulière échoue. En regroupant les
Liens, la bande passante d'une interface réseau est combinée, égalant la somme des
Bande passante de toutes les interfaces, augmentation de la largeur de bande anormal
considérable
Pour le trafic sur le lien logique. L'agrégation de lien peut également implémenter une
charge
É quilibrer sur une interface de coffre. Cela permet à l'interface du coffre de se disperser
Trafic entre ses interfaces membres, puis transmettre le trafic sur le
Les liens des membres vers la même destination, minimisant ainsi la probabilité de
Encombrement du réseau.

L'agrégation des liens est souvent appliquée dans les zones du réseau
La connectivité rapide et le risque de congestion sont susceptibles de se produire. Ce
É quivaut généralement au réseau central où la responsabilité de la haute vitesse
Le basculement et le trafic de toutes les parties du réseau de l'entreprise
Se rassemble généralement avant d'être transmis aux destinations soit dans d'autres
Des parties du réseau, ou des destinations éloignées au-delà des limites de la
Réseau d'entreprise. L'exemple montre comment les commutateurs de base (SWA &
SWB) regroupent l'association de liens sur des liens de membres qui interconnectent les
deux
Les dispositifs de commutation de base, de sorte que la congestion ne se construit pas à
Un point critique dans le réseau.
L'agrégation de lien prend en charge deux modes de mise en œuvre, une charge
manuelle
Le mode d'équilibrage et le mode LACP statique. En mode d'équilibrage de charge,
membre
Les interfaces sont ajoutées manuellement à un groupe d'agrégation de liens (LAG). La
totalité de la
Les interfaces configurées avec l'équilibrage de charge sont définies dans un état de
transfert. le
AR2200 peut effectuer l'équilibrage de charge en fonction des adresses MAC de
destination,
Adresses MAC source, OR exclusif du MAC source et de destination
Les adresses IP, les adresses IP de destination ou les adresses exclusives de OR
Les adresses IP et la destination de l'adresse IP. Le mode d'équilibrage de charge manuel
ne fonctionne
Ne pas utiliser le protocole de contrô le de l'agrégation des liens (LACP), donc l'AR2200
Peut utiliser ce mode si le périphérique peer ne supporte pas le LACP.
En mode LACP statique, les périphériques aux deux extrémités d'un lien négocient
l'agrégation
Paramètres en échangeant des paquets LACP. Une fois la négociation terminée,
Les deux dispositifs déterminent l'interface active et l'interface inactive. Dans
Ce mode, il est nécessaire de créer tomemement un anneau et des membres
À cela. La négociation LACP détermine quelles interfaces sont actives et quelles
Sont inactifs. Le mode LACP statique est également appelé M: N mode, où M
Signifie les liens actifs des membres qui renvoient les données en mode équilibrage de
charge,
Et N représente ces liens inactifs mais fournissant une redondance. Si un actif
La liaison échoue, la transmission des données est basée sur le lien de sauvegarde avec
le plus haut
Priorité, et l'état de la liaison de sauvegarde devient actif. En LACP statique
Mode, certains liens peuvent fonctionner comme liens de sauvegarde, alors que tous les
membres
Les interfaces fonctionnent dans un état de transfert en mode d'équilibrage de charge
manuel, et
Représente la principale différence entre les deux modes.
En tant qu'interface logique pour la liaison de multiples interfaces physiques et de relais
Les données de la couche supérieure, une interface réseau doit s'assurer que tous les
paramètres de la
Les interfaces physiques (interfaces membres) aux deux extrémités de la liaison réseau
sont
cohérent. Ceci inclut le nombre d'interfaces physiques, la transmission
Les taux et les modes duplex des interfaces physiques et le contrô le du trafic
Modes des interfaces physiques, pour lesquels il convient de noter que le membre
Les interfaces peuvent accéder aux 2 interfaces orlayer 3. Lorsque la vitesse de
l'interface est
Pas cohérent, il est encore possible que le maillage du coffre fonctionne, mais le
Les interfaces fonctionnant avec un taux plus faible sont susceptibles de générer des
pertes d'expérience.
En outre, la séquence du flux de données doit être modifiée. Un flux de données peut
Ê tre considéré comme un groupe de cadres avec la même adresse MAC et IP
adresse. Par exemple, la connexion telnet ou ftp entre deux appareils peut
Considéré comme un flux de données. Si l'interface réseau n'est pas configurée, les
cadres
Qui appartiennent à un flux de données peuvent toujours atteindre leur destination dans
le bon ordre
Car les flux de données sont transmis sur une seule liaison physique. Quand le coffre
La technologie est utilisée, plusieurs liens physiques sont liés à la même liaison réseau,
Et les images sont transmises le long de ces liens physiques. Si le premier cadre est
Transmis sur un seul lien physique, et le second cadre est transmis sur
Un autre lien physique, il est possible que le second cadre puisse atteindre le
Destination plus tô t que la première image.
Pour éviter le désordre des cadres, un mécanisme de transfert de trame est utilisé pour
Assurez-vous que les images dans le même flux de données atteignent la destination
dans la bonne
séquence. Ce mécanisme différencie les flux de données en fonction de leur MAC
Adresses ou adresses IP. De cette manière, des cadres appartenant aux mêmes données
Les flux sont transmis sur le même lien physique. Après le transfert de trame
Le mécanisme est utilisé, les images sont transmises en fonction des règles suivantes:
Les cadres avec la même source MACaddresses sont transmis sur le même
Lien physique.
Les images portant la même adresse MAC de destination sont transmises
Même lien physique.
Les images avec les mêmes adresses IP source sont transmises sur la même
Lien physique.
Les images avec les adresses IP de destination sont transmises sur le même
Lien physique.
Cadres avec la même source et délimitation Les adresses MAC sont transmises
Sur le même lien physique.
Des images avec la même source et les adresses IP de destination sont transmises
Sur le même lien physique.
L'établissement de l'agrégation de liens est réalisé en utilisant l'interface Eth-trunk
Commande <trunk-id>. Cette commande crée une interface Eth-Trunk et
Permet d'accéder à la vue de l'interface Eth-Trunk. Le trunk-id est une valeur
Utilisé individuellement identifier le Eth-trunk, et peut être une valeur entière de 0
Jusqu'à 63. Si l'Eth-Trunk spécifié existe déjà , il est possible de directement
Entrez la vue de l'interface Eth-Trunk en utilisant la commande Eth-trunk de l'interface.
Un Eth-Trunk ne peut être supprimé que si Eth-Trunk ne contient aucun
Interfaces membres. Lors de l'ajout d'une interface à un Eth-Trunk, un membre
Les interfaces d'une couche 2 Eth-Trunk doivent être des interfaces de couche 2 et un
membre
Les interfaces d'une couche 3 Eth-Trunk doivent respecter 3 interfaces. AnEth-Trunk
can
Prend en charge un maximum d'interfaces membres. Une interface membre ne peut pas
Avoir un service ou une adresse MAC statique configurée. Interfaces ajoutées à un
Eth-Trunk devrait être des interfaces hybrides (le type d'interface par défaut). Une
interface EthTrunk ne peut pas avoir d'autres interfaces Eth-Trunk en tant
qu'intermédiaires.
L'interface AnEthernet peut être ajoutée uniquement à une interface ETH-Trunk.
Pour ajouter l'interface Ethernet à un autre Eth-trunk, l'interface Ethernet doit
Trompé par le Eth-Trunk actuel d'abord. Interfaces membres d'une anse-coffre
Doit parvenir au même type, par exemple, une interface Fast Ethernet et un Gigabit
L'interface Ethernet ne peut pas être ajoutée à la même interface Eth-trunk. Le pair
L'interface directement connectée à une interface membre du Eth-Trunk local doit
É galement ajouté à anEth-Trunk, sinon les deux extrémités ne peuvent pas
communiquer.
Lorsque les interfaces membres ont des taux différents, les interfaces avec des taux plus
bas
Peut être encombré et une perte de paquets peut se produire. Après une interface,
Ajouté à anEth-Trunk, l'apprentissage MACadress est exécuté par Eth-Trunk
Plutô t que les interfaces membres

Afin de configurer l'agrégation de liens de couche 3 sur un lien réseau Ethernet, il est
Nécessaire de transiter le coffre de la couche 2 à la couche 3 à l'aide de l'annulation
Commande de commutateur de ports sous l'interface logique Eth-trunk. Une fois
l'annulation
La commande de commutateur de ports a été exécutée, une adresse IP peut être
attribuée à
L'interface logique et les interfaces membres physiques qui doivent être
Associé à la liaison réseau Ethernet peut être ajouté.
En utilisant la commande eth-trunk <trunk-id> de l'interface d'affichage, il est possible
de
Confirmer la mise en œuvre réussie de l'agrégation des liens entre les deux
Dispositifs de peering. La commande peut également être utilisée pour collecter des
statistiques de trafic
Et localiser les défauts sur l'interface.
L'état actuel de l'Eth-trunk isset toUP, signalant que l'interface est
Fonctionnant normalement. Lorsque l'interface montre un décalage, cela indique qu'une
Une erreur s'est produite au niveau de la couche physique, alors qu'une baisse
administrative
L'erreur reflète que la commande d'arrêt a été utilisée sur l'interface. le
Une erreur spécifique en cas d'échec peut être constatée en inversant le statut
Des ports, pour lesquels tous les ports devraient afficher un état UP. Charge
L'équilibrage est pris en charge lorsque le poids de tous les liens est considéré comme
égal.
Résumé
Si un administrateur tente d'ajouter une interface Gigabit Ethernet et Fast Ethernet à la
même
Interface Eth-Trunk, qu'est-ce qui se produira?
Afin d'établir des liens de sauvegarde menber, quel mode d'agrégation de lien devrait-il
être utilisé?
Préface
Un réseau local virtuel (VLAN) représente une forme de réseau administratif qui définit
Un regroupement logique d'hô tes ou de périphériques de système final qui ne sont pas
limités à un emplacement physique et
Et peut être défini en fonction d'une large gamme de paramètres qui permettent une
plus grande flexibilité dans le
Manière que les groupes logiques sont définis. L'application de la technologie VLAN s'est
développée pour supporter plusieurs
Aspects du réseau d'entreprises en tant que moyen de gestion logique des flux de
données et d'isolement.
Objectifs
À la fin de cette section, les stagiaires seront en mesure de:
Expliquez l'application du marquage VLAN.
Décrivez les différents types de liens et caractéristiques du port
É tablir avec succès des VLAN basés sur un port
À mesure que les réseaux locaux se développent, le trafic augmente et les émissions
deviennent plus importantes
commun. Il n'y a pas de frontières réelles dans un tel réseau en expansion,
Entraînant des interruptions et une augmentation de l'utilisation du trafic.
Traditionnellement, le
Une autre option était de mettre en œuvre un dispositif de couche trois dans le local
Réseau pour générer des domaines de diffusion, mais ce faisant, plus
Les dépenses ont été engagées et le comportement de transmission de ces dispositifs n'a
pas
Fournir un débit suffisant pour les interrupteurs, conduire des toboggans
Attransit points entre les domaines de diffusion.
Le principe de la technologie VLAN a été introduit qui a permis l'isolement du trafic
À la couche de liaison de données. La technologie VLAN présente l'avantage
supplémentaire de la circulation
L'isolement sans limitation des limites physiques. Les utilisateurs peuvent être
physiquement
Dispersés, ils sont associés à un seul domaine de diffusion, logiquement
En isolant les utilisateurs d'autres groupes d'utilisateurs au niveau de la couche de
liaison de données. Today VLAN
La technologie est appliquée comme une solution à une variété de défis.
Les cadres VLAN sont identifiés à l'aide d'un en-tête de balise qui est inséré dans le
Cadre Ethernet comme moyen de distinguer une image associée à une
VLAN à partir de cadres d'un autre. Le format d'étiquette VLAN contient un protocole de
balise
Identifiant (TPID) et Information de contrô le des étiquettes associée (TCI). La TPID est
Utilisé pour identifier le cadre comme cadre marqué, qui ne fait que se référer
Format d'étiquette IEEE 802.1Q, pour lequel une valeur de 0x8100 est utilisée pour
identifier cette
format. Le TCI contient des champs associés au type de format d'étiquette.
Le point de code prioritaire (PCP) est une forme de champ de classification du trafic qui
est
Utilisé de manière différente une forme de parcours d'un autre afin de prioriser le trafic
Généralement basé sur une classification telle que la voix, la vidéo, les données, etc.
Représenté par une valeur de trois bits permettant une plage de 0 à 7, et peut être
Compris en fonction des principes généraux de classe de service 802.1p (CoS). le
L'indicateur d'admissibilité de baisse (DEI) représente une seule valeur de bit qui
n'existe pas
Un état True ofFalse pour déterminer l'éligibilité d'un cadre pour le rejet dans le
É vénement de la dérangement.
L'ID VLAN indique le VLAN avec lequel le cadre est associé,
Représenté à une valeur de 12 bits. Les valeurs d'ID de VLAN vont de 0x000 à
0xFFF et pour lequel les deux valeurs supérieures et inférieures sont réservées,
permettant
4094 possibles Combinaisons VLAN. Huawei VRP implémentation de VLANs
Utilise VLAN 1 comme le VLAN par défaut (PVID) basé sur les normes EEEE802.1Q.

Les liens VLAN peuvent être converties en deux types, un type de lien et un tronc
Type de lien. Le lien d'accès se réfère au lien entre un système final et un
Commutez le périphérique participant au marquage VLAN, le lien entre les terminaux
hô tes
Et les commutateurs sont tous des liens d'accès. Un lien tronçon se réfère au lien sur
lequel
Les cadres étiquetés VLAN sont susceptibles de se créer. Les liens entre les
commutateurs sont
Généralement compris comme étant des liens réseau.
Chaque interface d'un périphérique participant au marquage VLAN sera associée
Avec un VLAN. Le VLAN par défaut pour l'interface est reconnu comme le port
ID de VLAN (PVID). Cette valeur détermine le comportement qui est appliqué à
n'importe quel
Les trames étant reçues ou transmises sur l'interface.
Les ports d'accès sont associés aux liens d'accès, et les images reçues seront
A attribué une balise VLAN égale à l'ID VLAN de Port (PVID) de l'interface.
Les images transmises à partir d'une interface supprimeront généralement la balise
VLAN
Avant de transférer vers un système de fin de session qui n'est pas compatible avec
VLAN. A propos de l'étiquette et de la
Le PVID varie cependant, le cadre ne sera pas annoncé et donc rejeté.
Dans l'exemple, un cadre (non marqué) est dirigé vers l'interface du commutateur,
Qui peut être compris à propos de toutes les autres destinations.
Lors de la réception du cadre, le commutateur associe le cadre au VLAN 10
Basé sur le PVID de l'interface. Le commutateur peut identifier le port
Interfacez le PVID et prenez une décision quant à savoir si le cadre peut être
Transmis. Dans le cas de Host C, le PVID correspond à l'ID du VLAN dans le VLAN
Tag, pour lequel la balise est supprimée et le cadre transféré. Pour l'hô te B
Cependant, le cadre et le PVID diffèrent, et par conséquent le cadre est restreint
D'être transmis à cette destination.
Pour les ports réseau qui sont associés aux connexions réseau, l'ID de réseau local de
port (PVID)
Identifie les trames VLAN requises pour porter une étiquette VLAN avant
Envoi, et qui ne le sont pas. L'exemple montre une interface de coffre
Attribué avec un PVID de 10, pour lequel il fallait considérer que tous les VLAN sont
Autorisé à parcourir le lien de coffre. Seuls les cadres associés à VLAN 10will
Réputé sans la balise VLAN, basée sur le PVID. Pour tout autre VLAN
Frames, une étiquette VLAN doit être incluse avec le cadre et être validée par la
Avant que la trame ne soit transmise sur la liaison réseau. Cadres
Associé à VLAN 20 ont porté des images marquées sur la liaison réseau.
Hybrid représente le type de port par défaut pour les périphériques Huawei supportant
VLAN
Opération et fournit un moyen de gérer le processus de commutation d'étiquette
Associé à toutes les interfaces. Chaque port peut être considéré comme un taggé
Port ou port non balisé. Les ports qui fonctionnent comme des ports d'accès (non
étiquetés) et
Les ports qui utilisent des ports astrunk (marqués).
Les ports considérés comme non étiquetés recevront généralement des cadres non
marqués
Des systèmes de terminaux et peut être utilisé pour ajouter une étiquette au cadre en
fonction de
L'ID de port VLAN (PVID) du port. L'une des principales différences est l'hybride
La capacité du port permet de supprimer les tags VLAN des cadres qui
Différent du PVID de l'interface de port. Dans l'exemple, l'hô te D est connecté
À un port qui spécifie un numéro d'identification VLAN de port de 20, alors qu'il est en
même temps
Configuré pour permettre la suppression de la balise des images reçues du VLAN
10, permettant ainsi au trafic Host D de recevoir les deux VLAN 10 et 20.
Les ports hybrides qui sont étiquetés fonctionneront d'une manière similaire à celle d'un
coffre ordinaire
Interface, mais une grande différence existe. Cadres VLAN qui correspondent tous deux
Le PVID et sont autorisés par le port continueront à être étiquetés quand
Transmis.
L'affectation de VLAN peut être implémentée en fonction de l'une des cinq options
différentes
Méthodes, y compris le port basé, basé sur Mac, IPSubnet basé, basé sur protocole
Et les implémentations basées sur les politiques. La méthode basée sur le port
représente la
Méthode par défaut et la plus courante pour l'affectation de VLAN. En utilisant cette
méthode,
Les VLAN sont classés en fonction des numéros de port sur un dispositif de
commutation. le
L'administrateur réseau configure un ID de port VLAN (PVID), représentant le
ID de VLAN par défaut pour chaque port du périphérique de commutation. Lorsqu'un
cadre de données
Atteint un port, il est marqué avec le PVID si la base de données ne contient aucun VLAN
L'étiquette et le port est configuré avec un PVID. Si le cadre de données comporte un
VLAN
, Le périphérique de commutation n'ajoute pas de balise VLAN à la trame de données
même si
Le port est configuré avec un PVID.
En utilisant la méthode d'affectation d'adresse MAC, les VLAN sont classés en fonction de
Les adresses MAC des cartes d'interface réseau (NIC). Le réseau
L'administrateur configure les mappages entre les adresses MAC et VLAN
ID. Dans ce cas, lorsqu'un dispositif de commutation reçoit un cadre non marqué, il
Recherche la table MAC-VLAN pour qu'une étiquette VLAN soit ajoutée au cadre
Selon l'adresse MAC du cadre. Pour l'affectation basée sur IPsubnet,
Après réception d'un cadre non marqué, le commutateur Device addsa VLAN tag to
Le cadre basé sur l'adresse IP de l'en-tête du paquet.
Lorsque la classification VLAN est basée sur le protocole, les identifiants VLAN sont
attribués à
Les paquets reçus sur une interface selon le type de protocole (suite) et
Format d'encapsulation des paquets. L'administrateur réseau configure
Les mappages entre les types de protocoles et les ID de VLAN. La politique basée
L'affectation implémente une combinaison de critères d'attribution du VLAN
Tag, y compris l'adresse IPsubnet, le port et l'adresse MAC, dans laquelle tous les
critères doivent
Match avant que le VLAN ne soit attribué.

La mise en œuvre des VLAN commence par la création du VLAN sur le


commutateur. La commande vlan <vlan-id> est utilisée pour créer automatiquement le
VLAN sur
Le commutateur qui peut être compris pour exister une fois que l'utilisateur entre dans
le VLAN
Voir pour le vlan donné comme démontré dans l'exemple de configuration. le
VLAN IDranges de 1 à 4094 et où il est nécessaire de créer plusieurs
VLAN pour un commutateur, la commande vlan lança <vlan-id1 à vlan-id2> peut être
Utilisé lorsque les gammes de VLAN contigues doivent être converties et la commande
<14094> de vlan utilisée lorsque "& '" représente un espace entre non contigu
Gammes VLAN. Tous les ports sont associés au VLAN 1 comme VLAN par défaut par
Par défaut, et par conséquent la transmission n'est pas restreinte.
Une fois que les VLAN ont été créés, la création peut être vérifiée à l'aide de la
Afficher la commande vlan. La commande permet des informations sur tous les VLAN à
Ê tre spécifié, et si aucun paramètre n'est spécifié, de brèves informations sur tous
Les VLAN s'affichent. Les paramètres supplémentaires incluent l'affichage vlan <vlan-id>
Commande détaillée, utilisée pour afficher des informations détaillées sur un
VLAN, y compris l'ID, le type, la description et l'état du VLAN, le statut de
La fonction de statistiques de trafic, les interfaces dans le VLAN et le mode dans lequel
Les interfaces sont ajoutées au VLAN. L'affichage vlan <vlan-id> statistiques
Commande, permet la vue des statistiques du trafic sur les interfaces pour un
VLAN. La commande de résumé de l'affichage vlan fournit un résumé de tous
VLAN dans le système.
La configuration du type de lien de port est effectuée dans la vue d'interface pour
Chaque interface sur un commutateur actif VLAN. Le type de lien de port par défaut
onHuawei
Les dispositifs de commutation sont hybrides. La commande <type> du type link-type du
port est utilisée pour
Configurez le type de lien de port de l'interface où le type peut être défini comme
Accès, tronc ou hybride. Une quatrième option QinQ existe mais est considérée à
l'extérieur
De la portée de ce cours. Il convient également de noter que dans l'affichage affiché
Si aucun type de port n'est affiché, le type de lien par port hybride par défaut est
Configuré. Avant de changer le type d'interface, il est également nécessaire
La configuration VLAN par défaut de l'interface à laquelle l'interface appartient
Uniquement le VLAN 1 par défaut.
L'association d'un port avec un VLAN créé peut être réalisée en utilisant deux
Les méthodes de configuration, la première de celles-ci est d'entrer dans la vue VLAN et
Configurez l'interface à associer au VLAN à l'aide du port
Commande <interface>. Le deuxième moyen d'attribuer des ports aux VLAN
Implique l'accès à la vue de l'interface pour l'interface à ajouter à un VLAN
Et implémenter le port de commande par défaut <vlan-id> où le vlan-id se réfère à
Le VLAN auquel le port doit être ajouté.
La commande vlan d'affichage peut être utilisée pour vérifier les modifications
apportées à la
Configuration et confirmer l'association des interfaces de port avec les VLAN à
Dont les ports ont été affectés. Dans l'exemple d'affichage, les interfaces de port
Gigabit Ethernet 0/0/5 et Gigabit Ethernet 0/0/7 peuvent être identifiés comme étant
Associés aux VLAN 2 et 3 respectivement. La valeur UT identifie que la
Le port est considéré comme non marqué soit par l'attribution du type de lien de port en
tant que
Port d'accès ou comme port hybride non annoncé. L'état actuel du lien peut
É galement déterminé séparément (U) ordown (D).
L'attribution du type de liaison par port d'interfaces réseau permet au tronc de
Prend en charge la transmission de trames VLAN pour plusieurs VLAN entre
commutateurs,
Cependant, pour que les cadres deviennent compatibles avec l'interface du coffre, les
autorisations
Doit être appliqué. La commande portu-portugal du port-passe-vlan <vlan-id> est
utilisée pour
Définir l'autorisation pour chaque VLAN, où vlan-id se réfère aux VLAN à être
permis. Il est également nécessaire que le PVID pour l'interface réseau soit inclus
Dans la commande pour permettre le trafic non marqué sur le lien réseau.
L'exemple démontre la modification de l'ID de port local (PVID) par défaut
Pour l'interface à 10 et l'application de la perméation pour les VLAN 2 et 3 sur
Le lien réseau. Dans ce cas, toute image associée à VLAN 10 ne sera pas
Porté sur le coffre même si VLAN 10 est maintenant le VLAN par défaut pour le
Port de coffre-fort. Le port de commande port de passe-passe permet de transférer tout
ce qui permet d'autoriser
Tous les VLAN tentent de transporter le lien du coffre.

Les modifications apportées aux autorisations VLAN peuvent à nouveau être validées
Affiche vlan command, pour lequel l'application de VLAN sur le lien du coffre
Se reflètent. La valeur TG identifie que les VLAN ont été associés à un
Interface marquée sur un port réseau ou une interface de port hybride marquée. dans le
Exemple d'affichage, les VLAN 2 et 3 ont reçu la permission de
Interface marquée GigabitEthernet0 / 0/1, une interface qui est actuellement active.
La configuration du port hybride représente le type de port par défaut sur le port du
commutateur
Les interfaces et, par conséquent, le type de liaison de type port d'accès est
généralement uniquement
Nécessaire lors de la conversion du type de lien de port d'un accès ou d'un port de ligne
Type de lien. Chaque port peut toutefois nécessiter d'être associé à un port par défaut
VLAN ID (PVID) sur lesquels les cadres doivent être étiquetés ou
Non marqué. Le port hybride pvid vlan <vlan-id> commande la valeur par défaut
PVID à attribuer sur un port par port en suivant lequel il est également
Nécessaire d'associer le comportement d'expédition à un port donné.
Pour les ports qui doivent fonctionner comme des ports d'accès, cela permet d'utiliser le
port
Commande hybride sans marquage vlan <vlan-id>. Il convient de noter clairement que le
L'utilisation de cette commande à plusieurs reprises sous la même vue d'interface
résultera
Dans l'interface associée à tous les VLAN spécifiés, avec les associés
Les cadres VLAN ne sont pas marqués avant le renvoi. L'annulation du port hybride vlan
La commande peut être utilisée pour restaurer le paramètre VLAN par défaut o fVLAN1
et retourner
Au mode non marqué par défaut.
Pour les ports qui doivent fonctionner comme ports réseau, la commande virée hybride
vlan <vlanid> est utilisée. Il convient de noter clairement que l'utilisation de cette
commande
Plusieurs fois sous la même vue d'interface doit résulter en l'interface étant
Associé à tous les VLAN spécifiés, les cadres VLAN associés étant
É tiqueté avant la transmission. Dans l'exemple, l'interface de port hybride Gigabit
L'Ethernet 0/0/1 devrait afficher toutes les images associées aux VLAN 2
Et 3 avant que ces cadres ne soient transmis sur l'interface.
Par l'affichage de la commande vlan, les résultats du tagé et non marqué
La configuration du port hybride peut être vérifiée. Interface Gigabit Ethernet 0/0/7 a
A été établie comme une interface non identifiée VLAN 2, tandis que l'interface Gigabit
Ethernet 0/0/5 a été établi en tant qu'intermédiaire sans étiquette associée à
VLAN 3. Intermédiaires de plusieurs VLAN 2 et VLAN 3, cadres associés soit à
Le VLAN sera porté comme interface marquée sur l'interface Gigabit Ethernet 0/0/1.
Switch ports interfaces peuvent utiliser le port hybride non marqué vlan <vlan-id> [à
<Vlan-id>] pour appliquer le comportement non marqué sur une interface de port pour
VLAN multiples dans une commande de lot unique. Ce comportement permet hybride
Interfaces pour permettre l'expédition non marquée du trafic à partir de VLAN multiples
Système final donné. Tout le trafic renvoyé depuis le système final est associé à
Le PVID affecté au port et étiqueté respectivement.
Le port de commande hybride non marqué vlan 2 to3 sur interface Gigabit Ethernet
0/0/4 résultats dans l'interface appliquant le comportement non marqué VIN 2 et
VLAN 3. Cela signifie que tout trafic transféré d'un hô te associé à
Soit VLAN, à un système de fin associé à l'interface Gigabit Ethernet
0/0/4, peut être reçu avec succès.
La croissance de la convergence IP a vu l'intégration de multiples
Technologies qui permettent des services Internet haute vitesse (HSI), voix sur IP
(VoIP) et les services de télévision par protocole Internet (IPTV)
Transmis sur un réseau Ethernet et TCP / IP commun. Ces technologies
Proviennent de réseaux composés de différentes formes de comportement. VoIP
Provient de technologies de réseau à commutation de circuits qui impliquent
É tablissement d'un circuit fixe entre la source et la destination,
Qui a créé un chemin dédié, en veillant à ce que les signaux vocaux arrivent avec peu
Délai et ina première ordre de premier ordre.
Internet haute vitesse fonctionne dans un réseau à commutation de paquets impliquant
Contestation et transmission de paquets sans garantie de livraison ordonnée pour
Quel séquencement de paquet est souvent nécessaire. Garantir cela
Les technologies issues d'un concept de réseau à commutation de circuits sont capables
De fonctionnement sur les réseaux à commutation de paquets a généré de nouvelles
défis. Ce défi consiste à garantir que les services sont capables
De différencier les données vocales d'autres données. La solution implique le trafic VoIP
Ê tre isolé par différents VLAN et être affecté d'une priorité supérieure à
Assurer le débit de qualité vocale. Les VLAN spéciaux à voix vocale peuvent être
configurés sur
Le commutateur, qui permet au commutateur d'assigner un ID VLAN préconfiguré etun
Priorité élevée au trafic VIP.
La configuration du VLAN vocal implique la configuration d'un VLAN spécifié
En utilisant la commande enable-vlan <vlan-id>. Le VLAN vocal peut être
Associé à anyVLAN entre 2 et 4094. Le mode voice-vlan <mode>
La commande spécifie le mode de travail, par lequel une interface de port est ajoutée à
un
VLAN vocal. Cette émission par défaut apparaît automatiquement cependant peut aussi
Obtenu manuellement. Le masque voice-vlan mac-address <mac-address>
La commande <mask> permet aux paquets de voix provenant d'un téléphone IP d'être
Identifié et associé au VLAN vocal, basé sur l'organisation
Unique Identifier (OUI), permet de donner une plus grande priorité à la voix
circulation.
La commande d'affichage de l'état de la voix-vlan permet d'avoir une information VLAN
vocale.
Vu, y compris le statut, le mode de sécurité, le temps de vieillissement, et l'interface sur
Dont la fonction VLAN vocale est activée. Le statut détermine si
Le VLAN vocal est actuellement activé. Le mode sécurité peut exister
L'un des deux modes, soit normal, soit sécurisé. Le mode normal permet
Interface activée avec le VLAN vocal pour transmettre à la fois les données vocales et le
service
Données, mais reste vulnérable aux attaques par des paquets invalides. Il est
généralement utilisé
Lorsque plusieurs services (HSI, VoIP et IPTV) sont transmis à une couche 2
Réseau à travers une interface, et l'interface transmet à la fois les données vocales et
Données de service. Le mode de sécurité appliqué sur une interface activée avec la voix
VLAN vérifie si le MACaddress source de chaque paquet qui entre dans le
Le VLAN vocal correspond à l'OUI. Il est appliqué là où l'interface VLAN vocale
Transmet SEULEMENT les données vocales. Le mode de sécurité peut protéger le VLAN
vocal
Contre les attaques par des paquets invalides, mais les paquets de contrô le occupent
Certaines ressources système.
L'option Legacy détermine si l'interface peut communiquer avec
Les périphériques vocaux d'autres fournisseurs, où une interface activée le permet
la communication. Le mode Add-Mode détermine le mode de fonctionnement de la voix
VLAN. Mode Inauto Voice VLAN, une interface peut être automatiquement ajoutée à
Le VLAN vocal après que la fonction VLAN vocale est activée sur l'interface, et
Ajouter l'interface connectée à un périphérique vocal au VLAN vocal si la source
L'adresse MAC des paquets envoyés depuis l'appareil vocal correspond à l'OUI. le
L'interface est automatiquement supprimée si l'interface ne reçoit aucune facette
Les paquets de données du périphérique vocal dans le temps de vieillissement. Dans la
voix manuelle
Mode VLAN, une interface doit être ajoutée manuellement au VLAN vocal après la
La fonction VLAN vocale est activée sur l'interface
résumé
Si un lien de coffre a un PVID de 5 et que le port de commande est autorisé à transmettre
vlan 2 3, avec Vlan
Le trafic sera transporté sur le coffre?
Quelle action sera prise par un port d'accès avec un PVID de 2 lors de la réception d'une
image non marquée?
Préface
Dans les réseaux avec des numéros étendus, les périphériques sont parfois nécessaires
pour certains attributs
Sch comme la mise en œuvre ou la suppression d'un VLAN. La configuration manuelle de
chaque commutateur à
Reconnaître et soutenir le nouvel attribut peut conduire à une administration étendue et le
potentiel
Pour une erreur humaine. Le protocole générique d'enregistrement des attributs (GARP) est
destiné à humain à définir
L'architecture sur laquelle les attributs peuvent être propagés. L'application de GARP, avec
GVRP en soutien
De la technologie VLAN, est présentée comme une solution pour une administration
optimisée.
objectifs
À la fin de cette section, les stagiaires seront en mesure de:
Décrivez les caractéristiques de construction et de messagerie de GARP.
Configurer GVRP
Le protocole générique d'enregistrement des attributs (GARP) est l'architecture sur
Que l'enregistrement, le désenregistrement et la propagation des attributs entre
Les commutateurs sont désactivés. GARP n'est pas l'identité, mais au lieu de l'être
Les applications GARP telles que GVRP pour fournir un shell sur lequel les règles pour
L'exploitation est prise en charge. Interfaces associées à GARP
Les applications sont considérées comme des participants au programme GARP.
La principale application de GARP existe en permettant une plus grande efficacité dans
Gestion de multiples commutateurs dans les réseaux de medecins d'urgence. Ingeneral the
La maintenance de plusieurs interrupteurs peut devenir un lourd fardeau pour
Les administrateurs lorsque les détails de configuration du système, par exemple, doivent
être
Appliqué manuellement à chaque commutateur actif. GARP aide à automatiser ce processus
Pour toute application capable d'utiliser cette fonctionnalité. GARP en général
S'appuie sur le protocole de l'arborescence pour définir une topologie active pour
Propagation, cependant, le protocole GVRP ne peut fonctionner que dans le domaine de la
Arbre commun et intérieur (CIST).
Les PDU sont envoyées par un participant GARP et utilisent multicast MA Caddress 01-80-
C2-00-00-21 comme adresse MAC de destination. Lorsqu'un périphérique reçoit un
Paquet d'un participant GARP, l'appareil identifie le paquet selon
L'adresse MAC de destination du paquet et envoie le paquet au
Participant GARP correspondant (comme GVRP). GARP utilise des messages
Dans la PDU pour définir des attributs qui sont identifiés en fonction d'un attribut
Champ de type et une liste d'attributs.
La liste contient plusieurs attributs pour le type d'attribut spécifique et chaque
L'attribut est décrit à l'aide des champs longueur, événement et valeur de l'attribut. le
La longueur de l'attribut peut être de 2 à 255 octets, la valeur
Spécifie une valeur particulière pour l'attribut et l'événement peut être l'un d'un
Nombre d'événements spécifiques que le GARP prend en charge représenté par une valeur.
Ces événements incluent 0: Leave All event, 1: rejoignez l'événement vide, 2: JoinIn event,
3: Leave Empty event, 4: LeaveIn event et 5: événement vide.
Lorsqu'un participant GARP s'attend à ce que d'autres appareils enregistrent ses attributs,
Envoie les messages à d'autres appareils. Lorsqu'un participant GARP reçoit un
Rejoindre le message d'un autre participant, ou est configuré statiquement avec
Attributs, il envoie des messages Join à d'autres appareils pour permettre aux périphériques
de
Enregistrez les nouveaux attributs. Les messages joints sont classés dans JoinEmpty
Les messages et les messages JoinIn. JoinEmpty est utilisé pour déclarer un
Attribut non enregistré, tandis que les messages JoinIn sont utilisés pour déclarer un
Attribut enregistré.
Laisser des messages sont utilisés lorsqu'un participant GARP s'attend à ce que d'autres
appareils
Désenregistrer ses attributs, il envoie des messages à d'autres périphériques. Quand le
Le participant GARP reçoit un message de congé d'un autre participant ou d'un participant
De ses attributs sont désenregistrés de manière statique, il envoie également des messages
de congé pour
Autres appareils. Les messages de laisser sont classés dans les messages LeaveEmpty et
LeaveIn messages. Les messages LeaveEmpty sont utilisés pour désenregistrer un
Attribut non enregistré, alors que les messages LeaveIn désenregistreront un enregistrement
attribut
Tous les messages sont appliqués lorsqu'un participant GARP
Le participant souhaite demander à d'autres participants du GARP de désactiver toutes les
Attributs de l'expéditeur.
Les messages Join, Leave, andLeaving Tous les messages sont utilisés pour contrôler
l'enregistrement et
Désenregistrement des atouts. Grâce aux messages GARP, tous les attributs qui ont besoin
Les fichiers renvoyés sont envoyés à tous les périphériques compatibles GARP sur le même
réseau local.
GVRP est une application de GARP, et basée sur le mécanisme de travail de
GARP, GVRP maintient des informations d'enregistrement dynamiques VLAN dans un
périphérique
Etpropagate les informations d'enregistrement sur d'autres périphériques.
Une fois que GVRP est activé sur le commutateur, il peut recevoir l'enregistrement VLAN
Des informations provenant d'autres périphériques et mise à jour dynamique du VLAN local
Information d'inscription. Les informations d'enregistrement VLAN comprennent quel VLAN
Les membres sont sur le VLAN et à travers lesquels les interfaces de leurs paquets peuvent
être
Envoyé au commutateur. Le commutateur peut également envoyer l'enregistrement VLAN
local
Des informations sur d'autres appareils. En échangeant l'enregistrement VLAN
Informations, tous les périphériques sur le même réseau local maintiennent le même VLAN
information. Les informations d'enregistrement VLAN transmises par GVRP
Contient à la fois des informations d'enregistrement locales statiques qui sont configurées
manuellement
Et des informations d'enregistrement dynamique provenant d'autres appareils.
L'enregistrement peut être obtenu de manière statique ou dynamique pour un VLAN au sein
le dispositif. Un VLAN configuré manuellement est un VLAN statique et un VLAN
Créé via GVRP est un VLAN dynamique. Le mode d'enregistrement est
Exécuté dépend du mode d'enregistrement qui a été configuré.
Il existe trois modes d'enregistrement qui peuvent être définis, ce qui inclut la normale,
Modes d'enregistrement fixes et interdits
Dans le mode d'enregistrement normal, l'interface GVRP peut s'inscrire de manière
dynamique
Et désenregistrer les VLAN, et transmettre l'enregistrement VLAN dynamique
Des informations et des informations d'enregistrement VLAN statiques.
En mode fixe, l'interface GVRP est limitée de manière dynamique
Enregistrement et désenregistrement des VLAN et ne peut transmettre que la statique
Information d'inscription. Dans le mode d'enregistrement d'une interface réseau,
Fixe, l'interface permet uniquement les VLAN superposés manuellement, même si
Il est configuré pour permettre à tous les VLAN haut-parleurs.
En mode interdit, l'interface GVRP est désactivée de manière dynamique
L'enregistrement et l'enregistrement des VLAN et ne peuvent transmettre que des
informations sur
VLAN 1. Si le mode d'enregistrement d'une interface réseau est interdit, le
L'interface permet seulement le VLAN 1, même s'il est configuré pour permettre à tous les
VLAN
passer.
La configuration de GVRP repose sur l'attribut de protocole en premier lieu
Dans la vue système avant qu'elle puisse être appliquée à une vue d'interface. le
La commande gvrp est utilisée pour activer GVRP sur le périphérique. Une fois qu'une
interface a
Configuré pour fonctionner dans le cadre du VLAN, GVRP peut être appliqué à la
Interface à l'aide de la commande gvrp à l'interface-vue. L'enregistrement
Mode peut également être appliqué à l'aide de la commande <mode> d'enregistrement gvrp
Où le mode peut être normal, fixe ou interdit. L'enregistrement
Le mode est défini comme étant par défaut...
La vérification de la configuration pour GVRP implique la saisie de l'affichage gvrp status
commander. Cela permettra d'identifier simplement si GVRP a pu être identifié sur le
dispositif. La commande de statistiques gvrp d'affichage peut fournir un peu plus
Des informations concernant la configuration pour chaque interface (participant) qui est
Actuellement actif dans GVRP. De l'exemple, il est possible d'identifier les
L'état actuel de GVRP sur l'interface et le type d'enregistrement qui a
A été défini par rapport à l'interface.
résumé
Quel est le mode d'enregistrement par défaut utilisé par GVRP?
Ce qui est nécessaire pour permettre l'utilisation des informations VLAN sur les liens entre
Chacun des périphériques GVRP?
Avant-propos
La mise en œuvre de la technologie VLAN au sein d'un réseau d'entreprise établit
effectivement
Domaines de diffusion qui contrôlent la portée du trafic. Une des limites de la diffusion
Domaines est que la communication à la couche de lien est entravée entre les hôtes qui ne
font pas partie de la
Même VLAN.
Les interrupteurs de couche de liaison traditionnels prenant en charge les VLAN ne sont pas
capables de transmettre le trafic entre ces
Domaines de diffusion, et donc le routage doit être introduit pour faciliter la communication.
L'application du routage VLAN lors de l'utilisation de commutateurs de couche de liaison,
ainsi qu'un périphérique capable de routage
Le trafic VLAN est introduit, ainsi que les détails de la façon dont la couche trois
commutateurs est capable de former un réseau
Les opérations peuvent permettre des communications sur des domaines étendus définis
par VLAN.
objectifs
À la fin de cette section, les stagiaires seront en mesure de:
Expliquez le but du routage VLAN.
Expliquez comment le routage VLAN est atteint pour les commutateurs de couche 2 et de
couche 3.
Configurer le routage VLAN
Le principe général de la mise en œuvre de VLAN est d'isoler les réseaux en tant que
Des moyens de minimiser la taille du domaine de diffusion existant, mais
Ce faisant, de nombreux utilisateurs sont coupés d'autres utilisateurs dans d'autres
domaines VLAN
Et exigent que la troisième (IP) communication soit établie afin de
Ces domaines de diffusion pour rétablir la communication par le biais de
Routes. La mise en œuvre d'un changement de couche trois offre des moyens exceptionnels
pour
Supportant le routage VLAN tout en réduisant les coûts d'exploitation. Un de
Toutefois, les contraintes du routage VLAN sont la nécessité d'une adresse IP stricte
la gestion.
Généralement, cependant, le principe du routage VLAN s'applique à la petite échelle
Réseaux sur lesquels les utilisateurs appartiennent à différents segments de réseau et IP
Les adresses des utilisateurs sont rarement modifiées
Une fois que les VLAN sont configurés, les hôtes VLAN indifférents ne peuvent pas être
intégralement
Communiquer entre eux à la couche 2. Il faut donc faciliter
La communication par la création de routes entre les VLAN. Il y a
Généralement, deux méthodes principales par lesquelles cela se réalise, la première repose
sur la
Implémentation d'un routeur connecté au commutateur de couche 2. VLAN
La communication est acheminée à travers le routeur avant d'être transmise à la
Destination prévue. Cela peut se faire sur des liens physiques distincts, ce qui
Le gaspillage de port et l'utilisation de lien supplémentaire, ou encore la même interface
physique que
Montré dans l'exemple.
La deuxième méthode repose sur l'utilisation d'un commutateur de couche 3 capable de
Effectuer l'opération à la fois du commutateur et du routeur dans un seul périphérique
Comme un mécanisme plus rentable.
Afin de permettre une communication sur une seule interface de ligne, il est nécessaire de
Segmenter de manière logique le lien physique en utilisant des sous-interfaces. Chaque
sous-interface
Représente un lien logique pour la transmission du trafic VLAN avant d'être acheminé
Par le routeur via d'autres sous-interfaces logiques à d'autres destinations VLAN. Chaque
La sous-interface doit être attribuée à une adresse IP dans le même segment de réseau
Comme le VLAN qu'il a créé pour aussi bien que l'encapsulation 802.1Q pour permettre
Association VLAN car le trafic est acheminé entre les VLAN.
Il est également nécessaire de configurer le type du port Ethernet du commutateur qui
Se connecte au routeur en tant que type de lien Trunk ou Hybrid, et autorise les images
Pour les VLAN associés (VLAN 2 et VLAN 3 dans ce cas) à passer.
La liaison réseau entre le commutateur et le routeur doit être établie pour
Prise en charge du trafic pour plusieurs VLAN, via le port de type port type-tronc ou port
Commande hybride de type liaison, ainsi que le port tronçon allow-pass vlan 2 3 ou port
Hybride vlan 2 3 commande respectivement. Une fois que le coffre est établi, le
Les sous-interfaces VLAN doivent être implémentées pour permettre la transmission logique
de
Trafic entre les VLAN sur le lien du coffre
La sous-interface sur un routeur est définie dans la vue d'interface en utilisant le
Interface <interface-type interface-number.sub-interface number> commande
Où le numéro de sous-interface représente le canal d'interface logique au sein
L'interface physique. La commande dot1q termination vid <vlan-id> est utilisée
Pour effectuer deux fonctions spécifiques. Lorsqu'un port reçoit un paquet VLAN, il sera
Supprimez initialement la balise VLAN du cadre et avancez ce paquet via la couche
Trois routage.
Pour les paquets envoyés, l'étiquette addsa du port sur le cadre avant de l'envoyer
Hors, en fonction des VLAN et IPsettings respectifs pour le routeur
Interface logique. Enfin, la commande habilitation arp-broadcast est appliquée à chaque
Interface logique. Ceci est nécessaire car la capacité d'ARP à diffuser sur
Les sous-interfaces ne sont pas activées par défaut. Les émissions IfARP restent
désactivées sur
La sous-interface, le routeur rejettera directement les paquets. L'itinéraire vers la sous-
interface est généralement considéré comme une voie de fouille dans ces cas depuis la
Le paquet est perdu en toute indépendance. Les émissions IfARP sont activées sur la
Sous-interface, le système peut construire un paquet de diffusion ARP marqué
Et envoyer le paquet à partir de la sous-interface.
Suite à la configuration du routage VLAN entre VLAN 2 et VLAN 3, le
L'application ping peut être utilisée pour vérifier l'accessibilité. L'exemple montre
Comment Host A (192.168.2.2) dans VLAN 2 est capable d'atteindre Host B
(192.168.3.2) inVLAN 3. Le TTL reflète que le paquet hastraversed the
Routeur déchiffant la destination dans VLAN 2.
La mise en œuvre des commutateurs L3 entraîne des avantages pour le processus de
Routage VLAN qui n'est pas possible grâce à l'utilisation d'un routeur. L'un de ces
Caractéristiques est la possibilité de transférer le trafic VLAN avec très peu de retard en
raison de
Support de ce qui est connu en raison de la transmission de vitesse en ligne comme résultat
de la couche inférieure
Les chips ASIC qui permettent au trafic d'être diffusé en fonction du matériel plutôt que
Logiciel. Parallèlement, le fait qu'un seul appareil est utilisé sans coffre
Lien qui pourrait autrement faire face à la congestion sous de lourds trafic. VLAN
Le routage lors de l'utilisation d'un commutateur couche 3 repose sur la mise en œuvre du
VLAN
Interfaces (VLANIF). Si plusieurs utilisateurs sur un réseau appartiennent à des VLAN
différents,
Chaque VLAN nécessite un VLANIF qui agit comme une passerelle VLAN et doit donc
Associez-vous à une adresse IP pertinente au réseau du VLAN. Si un grand
Le nombre de VLAN existe cependant, cela peut correspondre à un grand nombre d'IP
Des adresses requises pour prendre en charge chaque VLANIF, ainsi que les hôtes qui
Font partie du VLAN avec lequel le VLANIF est associé. À travers le
VLANIF, le routage entre différents VLAN peut être pris en charge.
La configuration du routage VLAN sur un commutateur fonctionnant à la couche 3 exige que
Les VLAN soient créés initialement et les interfaces soient affectées à ceux-ci
VLANS respectifs. La configuration suit les principes de configuration de
VLAN couverts dans le cadre des principes VLAN. Cela implique de définir le port
Type de lien pour chaque port et le PVID qui est associé à chaque interface de port.
La configuration du routage VLAN est implémentée en créant des interfaces VLAN
Qui doivent fonctionner comme interfaces de passerelle pour chaque VLAN dans la couche
3
commutateur. La saisie de la vue VLANIF est réalisée via l'interface vlanif <vlan-id>
Commande, où le vlan-id fait référence au VLAN associé. L'adresse IP
Car l'interface devrait être dans le même segment de réseau que les hôtes. Cette IP
L'adresse doit représenter la passerelle pour les hôtes et prendre en charge l'inter-VLAN
la communication
résumé
Quel est le but de la commande dot1q termination vid <vlan-id>?
Ce qui doit être configuré sur le switch pour permettre le transfert du trafic VLAN vers le
Sous-interface configurée?
Avant-propos
Les réseaux locaux sans fil (WLAN) représentent une évolution naturelle du réseau Ethernet
fixe
En tant que solution aux demandes d'environnements commerciaux flexibles et mobiles.
WLAN applique la radio
Fréquence (RF) au réseau entreprise Ethernet, et géré principalement par des normes
Défini par l'organisation de normes IEEE. Une compréhension générale du WLAN nécessite
une connaissance de principe
De ces normes ainsi que les avantages que la technologie WLAN apporte au réseau de
l'entreprise. Ce
Section fournit un bref aperçu de la technologie WLAN et son application dans une
entreprise, en tant que
Une solution considérable pour fournir des avantages à une infrastructure de réseau
entreprise existante.
objectifs
À la fin de cette section, les stagiaires seront en mesure de:
Expliquez l'application de base du réseau sans fil dans le réseau de l'entreprise.
Décrivez les avantages que WLAN présente au réseau de l'entreprise.
Le réseau local sans fil (WLAN) est considéré comme un développement rapide
Future technologie de réseau, à laquelle de nombreux réseaux d'entreprise sont
progressivement
Transition vers, avec l'espoir que les réseaux Ethernet câblés utilisaient
Aujourd'hui, l'infrastructure de réseau primaire ne suffit pas pour toutes les entreprises
Sera finalement remplacé par les solutions WLAN, et fournira des solutions fiables
Accès omniprésent.
Les évolutions récentes de la technologie ont introduit un besoin de changement dans la
manière
Dans lequel fonctionnent les industries d'entreprise, comme une vague de tablette
informatique et
L'utilisation intelligente d'un appareil mobile ouvre la voie à Traiter votre propre périphérique
(BYOD)
Solutions, dans lesquelles les utilisateurs améliorent leur capacité de travail à travers des
services personnels
Dispositifs, pour lesquels, dans la plupart des cas, la connectivité Ethernet câblée n'est pas
prise en charge.
De plus, de nombreux nouveaux défis sont confrontés à des réseaux sans fil de
Soutenir une plus grande densité de dispositifs dans le réseau d'entreprise ainsi que
Fourniture d'un support basé sur les médias (voix et vidéo) sans perte de signal ou
périodique
Les pannes de connexion, et la fourniture de sécurité non intrusive.
Les réseaux sans fil continuent de jouer un rôle secondaire dans les réseaux câblés mais
Avec la poussée constante de changer la façon dont les réseaux d'entreprise supportent les
utilisateurs, il
S'attend à ce que le réseau sans fil continue de jouer un rôle de plus en plus dominant
Dans toutes les industries d'entreprise.
L'évolution des réseaux d'entreprise impliquant WLAN a subi trois
Phases générales depuis les années 1980, depuis le bureau fixe, pour soutenir les premiers
mobiles
Solutions de bureau grâce à l'utilisation de points d'accès autonomes (AP) qui ont fourni
Seulement une couverture limitée et une mobilité pour les utilisateurs, à une forme plus
centralisée de
WLAN impliquant la gestion de plusieurs clients (minces) AP par une centrale
manette.
La croissance des normes a également permis le soutien de différents services au départ
Ne supportant que le débit de données, mais la capacité de l'Ethernet
Le réseau filaire continue de se développer, il est généralement prévu que le réseau sans fil
soit
Capable de supporter les mêmes services. La capacité de soutenir les services
Tel que le trafic en temps réel pour la voix et la vidéo nécessite des quantités croissantes de
Bande passante à laquelle les nouvelles normes 802.11 sont développées pour supporter,
Absorbant une quantité de plus en plus large du spectre 2.4 GHz afin de
Faites-le.
Avec l'introduction de BYOD, les nouveaux défis au WLAN sont nécessaires pour assurer
La densité des périphériques est prise en charge avec une bande passante et une
connexion appropriées
Fiabilité pour les applications supportées, tout en défendant le réseau de l'entreprise
Contre les entités malveillantes, y compris les logiciels espions et la malware.
L'IEEE 802.11 représente le groupe de travail qui soutient le développement de
Toutes les normes LAN sans fil, originaires de 1997 avec des normes initiales qui
Travaillé dans une gamme de 2,4 GHz et des fréquences relativement basses de jusqu'à
2Mbps. L'évolution des normes a vu l'introduction du 802.11a et
Les normes 802.11b qui fonctionnaient sous les bandes de signalisation 5GHz et 2.4GHz
respectivement.
Chacune de ces normes fournit une variation de la portée du signal, et en raison de
La décoloration accrue du signal dans la bande de signal 5GHz, une forte adaptation a été
Vers 2,4 GHz, ce qui fournit généralement une plus grande gamme de transmission, comme
Ce qui permet de déployer des points d'accès hors-ligne (AP) sur un plus large
gamme.
Au fil du temps cependant, la bande de 2,4 GHz est de plus en plus encombrée,
Rendant l'interférence toujours plus probable en cas de transmission. Dans
En outre, un taux plus élevé nécessite une plus grande partie du spectre de fréquences
Pour lequel il a été de plus en plus difficile à conseiller, car
Bande de 2,4 GHz. Cela a vu ces dernières années une transition vers un moins encombré
Les gammes de fréquences de bande de 5 GHz pour des taux plus élevés peuvent être
configurées,
Cependant, le coût de la gamme de transmission, résultant de l'atténuation,
Affecte naturellement la bande de 5 GHz.
Solutions de déploiement de réseau sans fil sur des réseaux Ethernet existants
Applique couramment une architecture à deux couches qui peut être utilisée comme client
Exigences, avec un impact minimal sur la structure physique de l'entreprise
Campus.
Les contrôleurs d'accès (AC) sont déployés sur la couche centrale du réseau et
Opérer, dans ce qui est connu comme mode de dérivation, en tant que pratique générale. Ça
signifie
Que les contrôleurs d'accès qui gèrent les points d'accès ne sont pas directement
Connectés à chaque AP qu'ils gèrent, principalement pour permettre une connexion sans fil
La superposition de réseau à réaliser tout en minimisant les changements physiques
L'architecture réseau existante.
Chaque point d'accès (AP) dans un réseau local sans fil est conçu pour
Fournir un niveau de couverture qui englobe la zone environnante de
Campus d'entreprise établi. Un seul AP est considéré comme fini
Gamme qui peut varier en fonction d'un nombre d'agents et d'objets qui sont
Capable d'interférer avec la portée générale du signal, en imposant une plus grande
L'atténuation ou la réfraction des signaux.
La couverture sans fil est généralement étendue par la mise en œuvre de multiples
AP qui fonctionnent comme des cellules, avec des plages de cellules superposées pour
permettre aux utilisateurs de
Échappe efficacement entre chaque AP car l'utilisateur devient mobile dans la zone
Dans lequel la couverture est fournie. Tout bon déploiement sans fil devrait permettre
Couverture complète sur un campus entier avec éradication de zones grises
Ou des taches noires où la couverture WLAN peut soudainement baisser.
Un autre facteur important impliquant la couverture sans fil est la question de la sécurité.
Contrairement aux connexions Ethernet câblées, la portée d'un réseau sans fil peut
S'étendent au-delà des limites physiques du bâtiment ou du site où
Le réseau est destiné, permettant un accès potentiel aux ressources inconnues
Utilisateurs externes sans autorité, imposant ainsi un grand risque pour l'intégrité
Du réseau.
Plusieurs mécanismes de sécurité ont été conçus pour maintenir l'ensemble
L'intégrité de l'entreprise sans fil. La mise en œuvre de la sécurité périmétrique
Comme moyen de protéger les réseaux 802.11 contre les menaces telles que
Mise en œuvre d'AP et d'utilisateurs non autorisés, réseaux ad hoc et renommés
Ofservice (DoS) est un exemple d'une solution sans fil typique.
Un système de détection d'intrusion sans fil (WIDS) peut être utilisé pour détecter
Les utilisateurs non autorisés et les AP. Un système de prévention des intrusions sans fil
(WIPS)
Peut protéger un réseau d'entreprise contre un accès non autorisé par radio
Des périphériques réseau tels qu'un AP parasocentrique.
La sécurité d'accès utilisateur est une autre solution commune où l'authentification de lien,
L'authentification d'accès et le cryptage des données sont utilisés sous forme de réseau
Contrôle d'accès (NAC) pour assurer la validité et la sécurité de l'accès des utilisateurs sur
Réseaux sans fil, essentiellement la gestion de l'accès des utilisateurs en fonction de la
définition
Autorisations. La sécurité des services est une autre caractéristique qui peut également être
utilisée
Pour protéger les données de service des utilisateurs autorisés d'être interceptés par
Utilisateurs non autorisés pendant la transmission.
résumé
Quels avantages apportent le réseau local local sans fil à l'entreprise?
Quelles sont les principales préoccupations liées à un réseau sans fil?
Avant-propos
Serial a progressivement disparu ces dernières années dans de nombreuses parties de tous
les réseaux en faveur de
La technologie Ethernet, cependant, reste active en tant que technologie héritée dans un
grand nombre de
Réseaux d'entreprises aux côtés d'Ethernet. Serial a traditionnellement fourni des solutions
de communication
Sur de longues distances et reste donc une technologie de premier plan pour la
communication sur le réseau étendu (WAN)
Pour lequel de nombreux protocoles et technologies Wan existantes restent en service sur le
bord de l'entreprise.
  Une connaissance approfondie de ces technologies est requise pour supporter de
nombreux aspects de l'exploitation du WAN.
objectif
À la fin de cette section, les stagiaires pourront.
Expliquer comment se déroule une médaille de série
Configurer les protocoles de couche de liaison pour les liaisons série
Les connexions série représentent une forme de technologie d'attachement qui
Utilisé pour le soutien des transmissions WAN Area Network (WAN). le
La transmission des données sous forme de signaux électriques sur un lien série nécessite
encore une
Forme de signalisation pour contrôler les opérations d'envoi et de réception
Ethernet. Les connexions série définissent deux formes de signification qui peuvent être
utilisées
Pour la synchronisation des transmissions, appelées asynchrone et
Communication synchrone. La signalisation asynchrone fonctionne sur le principe
Des bits supplémentaires appelés asstart andstop bits avec chaque octet ou
Cadre pour permettre au noeud récepteur de se familiariser avec le cadre entrant, et ainsi
Réinitialiser périodiquement le délai entre les images pour s'assurer que les taux entre
La transmission et la réception sont maintenues. Le bit de départ est toujours représenté
Asa 0 bit value tandis que le bit d'arrêt représente une valeur de 1 bit. Un des principaux
Les préoccupations concernant cette méthode de signalisation sont les frais généraux
additionnels pour
Chaque cadre livré, avec les bits de démarrage et d'arrêt représentant un grand
Pourcentage du cadre global. Cette méthode est cependant communément
Associés à des technologies telles que le mode de transfert iso-synchronique (ATM), un
Forme de technologie de commutation de cellule qui génère des cadres de taille fixe
(cellules) de
53 octets comme un moyen de supporter une gigue inférieure en minimisant la file d'attente
Temps de traitement, rendant itideal pour la communication en temps réel tel que facture,
Mais a commencé à prendre de nouvelles technologies telles que la commutation MPLS
Et en raison de la perte de son avantage par rapport aux vitesses de traitement du cadre qui
Sont maintenant possibles avec les routeurs et les commutateurs.
Les connexions série synchrones reposent sur un mécanisme de synchronisation entre les
Dispositifs de repérage dans lesquels un côté (DCE) fournit l'horloge pour synchroniser
la communication. Ce chronométrage s'effectue par le biais de l'horloge
Des informations entre l'émetteur et le récepteur en tant que partie du signal de données.
Le contrôle de liaison de données de haut niveau (HDLC) est un protocole de liaison de
données orienté bit
Qui est capable de supporter des données synchrones et asynchrones
Transmissions. Un cadre HDLC complet se compose des champs de drapeau qui sont
Utilisé pour marquer le début et la fin d'un cadre HDLC, souvent comme 01111110, ou
01111111 quand un cadre doit être annulé et averti. Une adresse
Le champ prend en charge les situations multipoint où un ou plusieurs terminaux
secondaires
Communiquer avec un terminal principal dans une topologie multipoint (multipoint)
Connu sous le nom de connexions équilibrées, opposées aux plus couramment appliquées
Des connexions équilibrées (point à point). Le champ de contrôle définit le type de trame
À savoir l'information, la supervision ou non numéroté, et la séquence de vérification de la
structure
(FCS) pour assurer l'intégrité du cadre.
Sur les types de trame de champ de contrôle, seul le type de trame d'information est pris en
charge
Par les routeurs Huawei série ARG3 et est utilisé pour transporter des données.
L'information
Le type de trame porte les numéros de séquence N (S) et de récepteur N, de même que
Sondage et bits finaux (P / F) pour communiquer l'état entre le primaire et le
Stations secondaires. Les types de trames de supervision en HDLCare utilisés pour l'erreur
et
Le contrôle de flux et les types de trames non numérotés sont utilisés pour gérer le lien
Établissement par exemple entre les stations primaires et secondaires.
Établissement de HDLC comme protocole de couche de liaison sur des connexions série
Nécessite simplement que le protocole de lien soit associé au protocole de liaison hdlc
Commande sous la vue de l'interface pour l'interface série qui
protocole. La configuration du protocole de liaison doit être effectuée sur les deux
Interrogeant les interfaces qui sont connectées au réseau point à point avant
La communication peut être marquée.
Lorsqu'une interface n'a pas d'adresse IP, elle ne peut pas générer d'itinéraires ou de
renvoyer
Paquets. Le mécanisme de l'adresse IP non intégrée permet une interface sans
Une adresse IP supporte une adresse IP d'une autre interface. L'adresse IP
Un mécanisme sans nombre permet effectivement la conservation des adresses IP,
Et n'exige pas que l'interface occupe une adresse IP exclusive.
le temps. Il est recommandé que l'interface qui est attribuée comme interface
À partir duquel l'adresse IP non numérotée est endossée
Étant donné que ce type d'interface est plus susceptible d'être toujours actif et en tant que tel
Fournir une adresse disponible.
Lors de l'utilisation d'une adresse non numérotée, une route statique ou un routage
dynamique
Le protocole devrait se configurer pour que l'interface emprunte l'adresse IP
Peut générer un itinéraire entre les périphériques. Si un protocole de routage dynamique est
Utilisé, la longueur du masque de route appris doit être plus longue que celle du
Masque d'adresse IP du prêteur, car les routeurs de la série ARG3 utilisent le plus
longtemps
Regle de correspondance lors de la recherche de routes. Si une route statique est utilisée et
que l'IP
L'adresse du prêteur utilise un masque de 32 bits, la longueur du masque de route statique
Doit être supérieur à 32bits. Si une route statique est utilisée et l'adresse IP de la
Le prêteur utilise un masque inférieur à 32 bits, la longueur du masque de route statique doit
Celle-ci n'est plus celle du masque IP Adresse du prêteur.
Par l'intermédiaire de la commande d'interface IP d'affichage, un résumé de l'adresse
L'affectation n'est pas disponible. Dans le cas de l'attribution d'une adresse non numérotée,
le
La valeur de l'adresse s'affiche comme présente sur plusieurs interfaces, montrant
Que l'adresse IP a bien été empruntée à la boucle logique
Interface pour utilisation sur l'interface série physique.
Le protocole point à point (PPP) est un protocole de couche de liaison de données qui
Encapsule et transmet des paquets de couches réseau sur point-à-point (P2P)
des liens. PPP prend en charge la transmission de données point à point sur full-duplex
Liens synchrones et synchrones.
PPP est intégré au Serial LineInternet Protocol (SLIP). PPP prend en charge les deux
Liens synchrones et synchrones, tandis que d'autres protocoles de couche de liaison de
données
Tel que Frame Relay (FR) ne supporte que les liens synchrones. PPP est un
Protocole extensible, facilitant l'extension non seulement de l'IP mais aussi d'autres
Protocoles et est susceptible de prendre en charge la négociation des attributs de couche de
liaison.
PPP prend en charge plusieurs protocoles de contrôle réseau (NCP) tels que l'IP
Protocole de contrôle (IPCP) et protocole de contrôle de paquets inter-réseau
(IPXCP) pour négocier les différents attributs de la couche réseau. PPP fournit les
Protocole d’authentification par mot de passe (PAP) et Challenge Handshake
Protocole d'authentification (CHAP) pour l'authentification de sécurité réseau. PPP a
Aucun mécanisme de retransmission, réduction du coût du réseau et accélération
Transmission de paquets.
L'encapsulation PPP permet le multiplexage de différentes couches de réseau
Protocoles simultanément sur le même lien, mais dans les réseaux d'aujourd'hui, le
La capacité dePPP nécessite généralement une solution IPonly. La polyvalence de PPP
Pour accueillir une variété d'environnements est bien pris en charge par Link
Protocole de contrôle (LCP). Afin de créer des communications sur un lien point à point,
chaque extrémité de la liaison PPP doit d'abord envoyer des paquets LCP à configurer
Et testez le lien de données. Plus spécifiquement, le LCP a utilisé la tonalité et
l'établissement
Accord pour les options de format d'encapsulation, gérer le MRU des paquets,
Détecter un lien en boucle par des nombres magiques et déterminer des erreurs dans
Les termes des configurations incontrôlables, ainsi que le lien établi avec le terminal.
Authentification par les pairs sur le lien et la détermination du moment où un lien fonctionne
Correctement et quand il échoue représentent d'autres installations facultatives qui sont
Fourni par LCP.
Une fois que le lien a été établi et que les installations optionnelles ont été négociées
Tel que requis par le composant LCP de PPP, les paquets NCP doivent ensuite être
associés à
Choisissez et configurez un ou plusieurs protocoles de couche réseau. Typiquement basé
sur IP
Les protocoles de contrôle réseau permettent des fonctionnalités telles que la configuration
de l'adresse
(IPCP), et (van Jacobson) compressé TCP / IP.
Cette initiation et la fin d'un lien PPP commencent et se terminent avec les morts
phase. Lorsque deux dispositifs communicants détectent que le lien physique entre
Ils sont activés (par exemple, les signaux du transporteur sont détectés sur le plan physique
Lien), PPP va passer de la phase morte à la phase d'établissement. Dans le
Établissez la phase, les deux dispositifs effectuent une négociation LCP pour négocier les
Mode de fonctionnement en tant que liaison unique (SP) ou multi-liaison (MP), le maximum
Unité de réception (MRU), mode d'authentification, etc.
Si le mode d'authentification est défini, la phase d'authentification facultative sera
initié. PPP fournit deux modes d'authentification par mot de passe : PAP
Authentification et l'authentification CHCH. Deux modes d'authentification CHAP sont
Disponible : authentification CHAP unidirectionnelle et CHAP bidirectionnel
authentification. Authentification CHAP In unidirectionnelle, l'appareil sur une extrémité
Fonctionne comme le dispositif d'authentification, et le périphérique à l'autre extrémité
Fonctionne comme le périphérique authentifié. Dans l'authentification CHAP bidirectionnelle,
Chaque appareil fonctionne à la fois comme dispositif d'authentification et authentifié
dispositif. En pratique cependant, seule l'authentification CHAP unidirectionnelle est utilisée.
Après une authentification réussie, la phase du réseau débute, à travers
Quelle NCPnegotiation est effectuée pour sélectionner et configurer un protocole réseau
Et une couche réseau redoutable.
Paramètres. Chaque NCP peut être dans un état ouvert ou fermé à tout moment.
Après un NCPenters, l'état ouvert, les données de couche réseau peuvent être transmises
Sur le PPPlink.
PPPcan peut mettre fin à un lien à tout moment. Un lien peut être déterminé manuellement
par un
Administrateur ou être résilié en raison de la perte du transporteur, une authentification
Échec ou d'autres causes.
PPP adopte généralement une architecture HDLC comme cadre pour la transmission
Sur les connexions série. Les champs de drapeau sont adoptés pour indiquer le début et le
Fin d'un cadre PPP qui est identifiable à partir de la séquence binaire 01111110
(0x7E). Le champ d'adresse, bien qu'il soit présent, n'est pas appliqué au PPP tel que le
Cas avec HDLC et doit donc toujours contenir une valeur 11111111 (0xFF)
Ce qui représente une adresse 'All-Stations'. Le champ de contrôle est également fixé avec
un
Valeur de 00000011 (0x03) représentant l'information non numérotée
commander.
La séquence de vérification de trame (FCS) est généralement une valeur de 16 bits utilisée
L'intégrité du PPPframe. PPP définit en outre un protocole bit 8 ou 16
Domaine qui identifie le datagramme encapsulé dans le champ d'information de
paquet. Les exemples typiques peuvent inclure 0xc021 pour Link Control Protocol,
0xc023 pour le protocole d'authentification par mot de passe et 0xc223 pour le défi
Protocole d'authentification Handshake. Le champ Information contient le
Datagramme pour le protocole spécifié dans le champ Protocole.
La longueur maximale pour le champ Information (sauf le champ Protocole),
Est défini par l'unité de réception maximale (MRU), qui par défaut est de 1500 octets.
Lorsque la valeur 0xc021 est utilisée, les dispositifs communicants négocient par
Échange de LCPpackets pour établir un PPPlink.
Le format de paquet LCP porte un champ de type de code qui fait référence à divers
Types de paquets lors de la négociation PPP, pour lesquels des exemples communs
incluent
Configure-Request (0x01), Configure-Ack (0x02), Terminate-Request (0x05)
Etc. Le champ Données comporte différents types de support / longueur / valeur (TLV)
Pour la négociation, y compris MRU, les protocoles d'authentification, etc.
Dans le cadre de la négociation LCP, un certain nombre de types de paquets sont définis
Activez les paramètres afin d'y parvenir avant qu'une liaison de données PPP soit établie. Il
Est nécessaire que les deux dispositifs communicants négocient la couche de liaison
Des attributs tels que le MRU et le mode d'authentification. Afin d'y parvenir,
Différents types de paquets sont communiqués.
Le type de type de paquet Configure-Request permet l'initiation de la négociation LCP
Entre les dispositifs de peering et doit être transmis à ces moments. Tout
Le type de paquet Configure-Request envoyé doit correspondre, et peut-être fini
Donc à travers l'un des nombreux types de paquets de réponses. Où chaque
L'option de configuration reçue dans une Configure-Request est reconnaissable et tous
Les valeurs sont acceptables, un type Configure-Ackpacket sera transmis.
Où toutes les options de configuration reçues dans le type de paquet Configure-Request
Sont reconnus, mais certaines valeurs ne sont pas acceptées, un paquet Configure-Nak
Le type sera transmis et ne contiendra que les options de configuration non acceptées
Initialement reçu dans le type de paquet Configure-Request. A Configure-Reject
Est utilisé lorsque certaines options de configuration ont été reçues dans une Configure-
Request
Ne sont pas reconnaissables, et ils ne sont pas acceptés pour la négociation.
Certaines des options de configuration courantes qui sont négociées et transportées comme
Une partie du paquet LCP comprend le MRU, le protocole d'authentification pris en charge
par
Le pair d'émission aussi bien que le numéro magique.
Le numéro magique fournit une méthode pour détecter les liens en boucle et l'autre
Anomalies au niveau de la couche de liaison de données. Dans le cas où une Configure-
Request est
Reçu contenant un numéro magique comme option de configuration, le reçu
Magic-Number est utilisé pour comparer plusieurs requêtes de configuration reçues
Les messages envoyés au pair par comparaison du numéro magique. Si les deux
Les numéros magiques des messages Configure-Request reçus sont différents,
Alors le lien est compris comme un lien non relié en boucle pour lequel une requête
RequestAckcan a été transmise. Les deux nombres magiques sont égaux,
Il existe alors une possibilité que le lien ait été modifié et que le contrôle ultérieur
Doit être vérifié pour cette Configure-Request, et il est fait en supprimant un
Configure-Nak requiert une demande différente de Magic-Number.
La séquence d'événements menant à l'établissement de PPP entre deux
Les pairs sont initiés par l'envoi d'un paquet Configure-Request to the peering
dispositif. Après réception de ce paquet, le destinataire doit évaluer la configuration
Des options pour déterminer si le format de paquet correspond à. Dans le cas où tous
Les options de configuration reçues sont acceptables et reconnues, le destinataire
Répondre avec un Configure-Ackpacket
Suite à la transmission initiale de Configure-Request dans le cadre de PPP
Négociation, il est également possible de renvoyer un Configure-Nak, en particulier
Où toutes les options de configuration sont reconnues, mais certaines valeurs ne sont pas
accepté. Lors de la réception du Configure-Nakpacket, une nouvelle configuration-demande
Est généré et envoyé, mais les options de configuration peuvent généralement être
Modifié pour les spécifications dans le Configure-Nakpacket reçu.
Plusieurs instances d'une option de configuration peuvent être spécifiées par le Configure
Nakpacket pour lequel le pair devrait sélectionner une seule valeur à inclure dans
Le prochain paquet Configure-Request.
Pour la négociation PPP LCP dans laquelle une ou plusieurs options de configuration
Reçus dans une demande de configuration ne sont pas reconnus ou considérés non
Acceptable pour la négociation, un paquet Configure-Reject est transmis.
La réception d'un Configure-Reject valide indique que lorsqu'une nouvelle ConfigureRequest
est occupée, et toutes les options de configuration qui sont transmises avec
Le paquet Configure-Reject doit être supprimé des options de configuration
Pour être envoyé en tant que partie du paquet Configure-Request suivant.
L'établissement de PPP nécessite que le protocole de couche de liaison sur la série
Interface spécifiée. Pour les séries de routeurs ARG3, PPP est activé par défaut
Sur l'interface série. Dans le cas où l'interface n'est pas actuellement
PPP, la commande ppp du protocole de liaison est utilisée pour permettre le PPP à la
couche de liaison de données. La confirmation du changement de protocole d'encapsulation
sera
Incité, pour lequel l'approbation devrait être donnée comme démontré dans le
Exemple de configuration
Le protocole d'authentification par mot de passe (PAP) est une poignée de main
bidirectionnelle
Protocole d'authentification qui transmet des mots de passe en texte brut. BOUILLIE
L'authentification est effectuée lors de l'établissement du lien initial. Après le lien
La phase d'établissement est terminée, le nom d'utilisateur et le mot de passe sont répétés
Envoyé par le pair à l'authentificateur jusqu'à ce que l'authentification soit reconnue ou
La connexion est terminée. L'authentification PAP simule effectivement la connexion
Les opérations dans lesquelles les mots de passe en texte brut sont utilisés pour établir
l'accès à un
Hôte distant. Le périphérique authentifié envoie le nom d'utilisateur local et
Mot de passe pour l'authentificateur. L'authentificateur vérifie le nom d'utilisateur et
Mot de passe du périphérique authentifié contre une table utilisateur locale et envoie un
Réponse appropriée au périphérique authentifié pour confirmer ou rejeter
authentification.
Le protocole d'authentification Handshake Challenge (CHAP) est utilisé pour
Vérifie périodiquement l'identité de l'interception d'une poignée de main à trois voies. C'est
Fait lors de l'établissement du lien initial, et peut être répété périodiquement. le
Le principe de distinction de CHAP réside dans la protection donnée en évitant
Transmission de tout mot de passe sur le lien, s'appuyant sur un défi et
Processus de réponse qui ne peut réussir que si l'authentificateur et
Les périphériques authentifiés supportent une valeur appelée secret. Un
Un algorithme tel que MD5 est couramment utilisé pour hacher tout défi et
Réponse, afin d'assurer l'intégrité de la valeur et la valeur de hachage résultante, et
Est comparé à un résultat généré par l'authentificateur. Si la réponse à la fois
Et la valeur créée par la correspondance de l'authentificateur, le pair authentifié est
approuvé.
Le protocole de contrôle IP (IPCP) est responsable de la configuration, de l'activation et
Désactivant les modules de protocole IP aux deux extrémités du lien point à point. IPCP
Utilise le même mécanisme d'échange de paquets que le protocole Link Control Protocol
(LCP). Les paquets IPCP peuvent ne pas être échangés avant que PPP n'ait atteint le
Phase du réseau. Les paquets IPCP reçus avant cette phase sont atteints.
Devrait être jeté silencieusement. L'option de configuration de négociation d'adresse
Fournit un moyen de négocier l'adresse IP à utiliser à la fin locale de la
Lien, pour lequel une méthode définie de manière statique permet à l'expéditeur de la
demande de configuration d'indiquer quelle adresse IP est souhaitée. Lors de la
configuration de l'IP
Adresse un message Configure-Request est envoyé contenant l'adresse IP
Demandé d'être utilisé, suivi d'un Configure-Ack de l'appareil peering à
Affirme que l'adresse IP est acceptée.
Un périphérique local fonctionnant comme un client et ayant besoin d'être affecté à une
adresse IP
Dans la gamme de l'appareil distant (serveur) doit faire une demande pour une version
valide
Adresse en appliquant la commande ip address-ppp negotiate sur le physique
Interface avec laquelle le client est compatible avec le serveur. Grâce à cette méthode,
Le client peut récupérer une adresse valide. Ceci est applicable dans des scénarios tels que
Où un client accède à Internet via un fournisseur de serveur Internet (FAI)
Réseau, et à travers lequel il peut obtenir une adresse IP du FAI. Un
L'adresse est proposée au client lors de la réception d'une demande de configuration pour
laquelle
Aucune adresse IP n'a été définie. Le serveur PPP (RTB) répondra avec un
Configure-Nak qui contient les paramètres d'adresse IP suggérés pour RTA. UNE
Suivre le message Configure-Request avec une modification de l'adressage IP
Permet à l'IPCP (NCP) d'établir avec succès des protocoles de couche réseau.
L'établissement de l'authentification PAP nécessite qu'un pair fonctionne comme
Authentificateur afin d'authentifier un homologue authentifié. Le PPP PAP
L'authentificateur devrait définir le mode d'authentification, un nom d'utilisateur local
Et le mot de passe, et le type de service. Si un domaine est défini pour lequel le local
L'utilisateur appartient (tel que défini par AAA), le domaine d'authentification est également
attendu
À spécifier sous le mode d'authentification PAP.
Un homologue authentifié exige qu'un nom d'utilisateur d'authentification, et
Le mot de passe d'authentification doit être spécifié par rapport au nom d'utilisateur et
Mot de passe défini par l'authentificateur. Le ppp pap local-user <nom d'utilisateur>
Mot de passe {chiffrement | Simple} commande <mot de passe> est configurée sur le
Dispositif authentifié pour y parvenir.
Grâce aux commandes de débogage qui fournissent une sortie en temps réel des
événements
Relation avec des protocoles spécifiques, le processus de demande d'authentification peut
être
Vu. Comme indiqué dans l'exemple, une demande d'authentification PAP est
Exécuté à l'établissement d'authentification considéré comme réussi.
Dans l'authentification CHAP, le périphérique authentifié envoie uniquement le nom
d'utilisateur à
Le dispositif d'authentification. CHAP est considéré comme présentant une sécurité
supérieure depuis
Les mots de passe ne sont pas transmis sur le lien, en se fondant sur des valeurs hachées
Pour fournir des défis au périphérique authentifié en fonction de la configuration
Valeur de mot de passe sur les deux dispositifs de peering. Dans sa forme la plus simple,
CHAP peut
Être implémenté sur la base d'affectations d'utilisateurs locales comme avec PAP, ou peut
impliquer
Formes plus strictes d'authentification et de comptabilité réalisées via AAA
Et les serveurs d'authentification / comptabilité.
Comme démontré, la configuration de CHAP en fonction des utilisateurs définis localement
Nécessite une configuration limitée des paramètres locaux de l'utilisateur et l'activation de
Mode d'authentification PPPCHAP sur le périphérique d'authentification. Où les domaines
Existe, l'authentificateur peut également être nécessaire pour définir le domaine utilisé
Si différente du domaine par défaut.
Le débogage des processus d'authentification CHAP affiche les étapes impliquées
Avec l'authentification CHAP, provenant de l'écoute de l'interface pour tout
Des défis sont reçus suite à la négociation du LCP. Dans le cas où un
Le défi est envoyé, l'appareil authentifié doit fournir une réponse pour laquelle
Une valeur de hachage est générée, impliquant les paramètres d'authentification définis sur
le
Pare authentifié (mot de passe), que l'authentificateur va rapidement valider
Et fournir une réponse de succès ou d'échec à.
Résumé
Suite à une configuration d'une demande, quel type de paquet devrait-on recevoir avant que
la couche de liaison PPP ne puisse être établie avec succès?
Quel protocole est utilisé pour effectuer la négociation des adresses IP et pendant quelle
phase est-ce négocié?
Forewor
Préface
L'introduction de Frame Relay au cours des années 1990 a connu une croissance rapide de
sa mise en œuvre et de son adoption par de nombreuses entreprises. Au fil du temps,
cependant, les solutions absentes du transporteur, telles que Multicode Label Switching
(MPLS), ont été introduites, ce qui permet d'entretenir des opportunités de service avancées
pour les clients existants, car la technologie est progressivement mise en phase
en dehors. Frame Relay est avant tout une technologie de fournisseur de services, mais
l'administration de l'entreprise exige que les ingénieurs puissent établir une connectivité sur
les circuits virtuels de relais de trame au bord du réseau de l'entreprise, ainsi que connaître
le processus d'établissement des circuits pour identifier et résoudre les problèmes qui
peuvent survenir .
Objectifs
À la fin de cette section, les stagiaires seront en mesure de :
Décrivez la fonction du DLCI dans un réseau Frame Relay
Décrivez le processus de négociation de l'IMT
Configure Frame Relay en utilisant le mappage statique et dynamique.
Travailler à la couche de liaison de données de l'interconnexion du système ouvert (OSI)
Modèle, Frame Relay (FR) isa technique qui utilise des méthodes simples pour transmettre
Et échanger des données. Une caractéristique distincte de Frame Relay est qu'elle simplifie
Processus de contrôle d'erreur, confirmation et ré-transmission, contrôle de la circulation,
Et la prévention de la congestion par rapport à son protocole précédent X.25 sur le paquet
Changer de réseau, réduisant ainsi le temps de traitement. C'est important pour le
Utilisation efficace des canaux de transmission numérique à grande vitesse. Frame Relay
Les réseaux sont généralement indécoulés avec peu de manière de l'établissement de
Nouveaux réseaux Frame Relay en raison de l'émergence de technologies telles que
MPLS qui utilisent des réseaux IP pour fournir une vaste gamme d'options de service pour
Clients d'entreprise. Lorsque les réseaux Frame Relay sont actuellement gérés
Cependant, la capacité de support et de maintenance doit être couverte à la
Bord du client.
Frame Relay est une technologie de réseau à commutation de paquets qui émule le circuit
Des réseaux commutés grâce à la mise en place de circuits virtuels (VC)
Utilisé pour établir un chemin entre les dispositifs Frame Relay à chaque extrémité de la
réseau. Chaque VC utilise Data Link Connection Identifiers (DLCI) pour définir un
Frame Relay qui est mappé sur le réseau Frame Relay à un
Destination souvent fixe. Les périphériques utilisateurs sont appelés équipements de
terminal de données
(DTE) et représentent le point dans le réseau Frame Relay où le circuit est
Tous deux établis et résiliés. DTE établit des circuits virtuels avec Data
Équipement de terminaison de circuit (DCE) qui fournit le mécanisme d'horloge
Entre le réseau Frame Relay et le DTE au bord du client
réseau.
Frame Relay est un protocole de multiplexage statistique. Il offre plusieurs applications
virtuelles
Circuits (VC) sur une ligne physique unique. DLCIare appliqué pour différencier les VC.
Il est valide uniquement sur l'interface locale et l'interface directe connectée directement
Mais pas globalement valable. Ona Frame Relay network, le même DLCI différent
Les interfaces physiques n'indiquent pas le même VC.
Les DLCI ranges disponibles de 16 à 1022, parmi lesquels les DLCI 1007 à 1022
Sont réservés. Parce que le relais de trame VC est orienté vers la connexion, différent
Les DLCI locaux sont connectés à différents périphériques distants. Le DLCI local peut
Donc considéré comme "l'adresse FrameRelay" de l'appareil distant.
Le mappage d'adresse Frame Relay associe l'adresse de protocole pair à
L'adresse Frame Relay (local DLCI), de sorte que le protocole de couche supérieure puisse
Localisez le périphérique distant. Lors de la transmission de paquets IP sur Frame Relay
, Un routeur recherche le prochain chemin dans la table de routage d'abord, et
Alors il indique le DLCI correspondant dans une table de mappage d'adresse Frame Relay.
Cette table maintient les informations de cartographie entre IPaddress et
DLCI du prochain saut. La table de mappage des adresses peut être configurée
manuellement ou
Maintenu dynamiquement à l'aide d'un processus de découverte appelé ARP inverse.
Le VC peut être compris comme un circuit logique construit sur le réseau partagé
Entre deux périphériques réseau. Les CV peuvent être divisés en VC permanent
(PVC) et VC commandé (SVC).
Un PVC est un circuit "toujours en place" créé manuellement qui définit un chemin fixe vers
un
Une destination donnée, alors qu'un SVC est un VC qui peut être créé ou effacé
Automatiquement par la négociation, de la même manière qu'un appel téléphonique
Établi et résilié. Généralement cependant, seuls les PVC sont mis en œuvre
Pour Frame Relay.
Dans le PVC, les périphériques réseau et les périphériques utilisateurs ont besoin d'un
Conscience du statut actuel de chaque PVC. Le protocole qui surveille le
Le protocole PVC est appelé le protocole d'interface de gestion locale (LMI). L'IMT
Le protocole maintient le lien et l'état du film du Frame Relay via l'état
Paquets d'informations et paquets de données. Le module LMI a utilisé le tomanage
Le PVC, y compris l'ajout et la suppression du PVC, la détection du PVC
L'intégrité du lien, et l'état du PVC. Le système prend en charge trois protocoles d'IMT,
Il s'agit de l'IMT conforme à l'Annexe A de l'UIT-T Q.933, conformité à l'IMT
Avec ANSI T1.617 Annexe D et un protocole compatible non standard. UNE
Le message de demande d'état est utilisé pour interroger l'état du PVC et l'intégrité du lien,
Tandis qu'un message d'état est utilisé pour répondre au message de demande d'état, en
avisant
De l'intégrité du système et du lien PVC.
L'interface en mode DTE envoie périodiquement des messages d'enquête d'état à
Interface dans DCEmode. L'interface dans le mode DCE, après réception d'un statut
Message d'interrogation, répond avec un message d'état à l'interface en mode DTE.
L'interface en mode DTE détermine l'état du lien et l'état du PVC
Selon les messages d'état reçus. Si les interfaces dans DCE et DTE
Les modes peuvent normalement échanger des messages de négociation LMI, l'état du lien
Les modifications apportées à Upand et l'état du PVC changent pourActive résultant ayant
abouti
Négociation LMI.
La fonction principale de l'ARP inverse est de résoudre l'adresse IP de la télécommande
Périphérique connecté à chaque VC. Si l'adresse de protocole de la télécommande
Un périphérique connecté à un VC est connu, le mappage entre la télécommande
L'adresse de protocole et le DLCI peuvent être créés à la fin locale, ce qui peut éviter
Configurer le mappage d'adresse manuellement.
Lorsqu'un nouveau VC est trouvé, ARP inverse envoie un paquet de demande à la
télécommande
Fin de cette VC si l'interface locale est configurée avec l'adresse du protocole.
Ce paquet de demande contient l'adresse de protocole locale. Lorsque la télécommande
Le périphérique reçoit ce paquet de demande, l'adresse de protocole local peut être
Obtenu pour créer le cartographie d'adresse et un paquet de réponse ARP inversé
est envoyé. Le mappage d'adresse est donc créé à la fin locale. Si le statique
Le mappage est configuré manuellement ou le mappage dynamique est créé, l'inverse
Le paquet de demande ARP n'est pas envoyé à l'extrémité distante de ce VC
indépendamment de
Si l'adresse distante dans le mappage dynamique est correcte. Un inverse
Le paquet de demande ARP est envoyé à l'extrémité distante uniquement lorsqu'aucun
mappage n'existe. Si
Le récepteur du paquet de demande ARP inversé trouve le protocole distant
L'adresse est identique à celle du mappage local configuré, elle ne crée pas
La cartographie dynamique.
Les protocoles de routage tels que RIP et OSPF sont utilisés pour fournir les moyens de
Routage du trafic au niveau du réseau entre la source et la destination,
Tandis que le relais de trame fournit la technologie sous-jacente pour faciliter le lien de
données
la communication. Les interfaces de relais de trame peuvent naturellement impliquer
plusieurs
Circuits sur une seule interface physique. Les protocoles de couche réseau cependant
Implémentent généralement un horizon divisé qui n'autorise pas le routeur à envoyer
Les informations mises à jour via l'interface sur laquelle l'information est
Reçu, comme une défense contre les boucles de routage. Une des solutions possibles pour
Ce serait désactiver l'horizon divisé via le protocole de routage mais
Laisser l'interface sensible à la possibilité de routage des boucles. En utilisant
Plusieurs interfaces physiques pour connecter plusieurs nœuds adjacents est une autre
Alternative, exige cependant que le routeur ait plusieurs interfaces physiques,
Et augmente le coût général de la mise en œuvre.
Un moyen plus efficace de résoudre les problèmes découlant de la mise en œuvre de
L'horizon divisé sur les réseaux de relais de trame, consiste à appliquer des sous-interfaces
logiques à un
Interface physique unique. Les sous-interfaces Frame Relay peuvent être classées en
deux types.
Les sous-interfaces point à point sont utilisées pour connecter un seul périphérique distant.
Chaque
La sous-interface point à point peut être configurée avec seulement unPVC. Dans ce cas,
L'appareil distant peut être déterminé uniquement sans l'adresse statique
Cartographie. Ainsi, lorsque le PVC est configuré pour la sous-interface, le pair
L'adresse est identifiée.
Les sous-interfaces point à multipoint sont utilisées pour connecter plusieurs périphériques
distants.
Chaque sous-interface peut être configurée avec plusieurs PVC. Chaque PVC mappe les
Adresse de protocole de son appareil distant connecté. De cette façon, différents PVC
Peut atteindre différents appareils distants. Le mappage d'adresse doit être configuré
Manuellement ou configuré dynamiquement via la résolution d'adresse inverse
Protocole (InARP).
La configuration du mappage d'adresse dynamique pour le relais de trame PVC nécessite
Que le protocole de résolution d'adresse inverse (InARP) soit utilisé.
La mise en œuvre du mappage dynamique nécessite que le type de protocole de la couche
de liaison
Être configuré comme relais de trame en utilisant la commande link-protocol fr. Une fois
l'interface
Le protocole de la couche de liaison a été modifié, l'interface sur le bord du client
L'appareil doit être configuré sur DTE. Ceci par défaut sur les routeurs Huawei série ARG3
est
Set toDTE, et donc cela ne doit pas être défini sur une configuration principale.
Finalement, il faut que le mappage dynamique se produise, la commande fr inarp est
appliquée à l'interface.
En utilisant l'affichage en pvc-infocommand, il est possible de découvrir tout permanent
Circuits virtuels (PVC) associés à l'interface locale. Dans ce cas, un
Le PVC unique existe et le circuit est établi avec le support de l'inverse
Protocole ARP. La présence de paquets entrants et sortants sous forme que les
Le cartographie du relais de trame a été réussi à travers l'ARP inverse, et cela
Le trafic circule sur le circuit.
La commande gemap ip [destination-address [mask] dlci-number] configure
Un mappage statique en associant l'adresse de protocole d'un périphérique homologue avec
le
Adresse du relais de trame (valeur DLCI) de l'appareil local. Cette configuration aide
Les protocoles de couche supérieure localisent un périphérique homologue basé sur
l'adresse de protocole de
L'appareil homologue. Si le DCE est configuré avec un mappage d'adresse statique et le
DTE est activé avec la fonction de cartographie d'adresse dynamique, le DTE peut
Communiquer avec le DCE sans être configuré avec une adresse statique
Cartographie. Si le DTE est configuré avec un mappage d'adresse statique et le DCE
Est activé avec la fonction de cartographie d'adresse dynamique, l'ETTD et l'ETCD
Ne peuvent pas communiquer entre eux. Lorsqu'il est nécessaire que la diffusion
Les paquets doivent être transportés sur le PVC, le fr inarp [destination-address [mask]
Dlci-number] peut être inclus dans la commande.
L'état du PVC peut être déterminé à travers l'affichage fr pvc-info
commander. Chaque PVC qui a été créé est défini avec l'interface
Pour lequel le PVC est associé, le numéro DLCI local et aussi le courant
Statut du DLCI. Un PVC entièrement opérationnel peut être déterminé par un actif
Statut, alors qu'un PVC non opérationnel reçoit un statut inactif. L'usage
Le paramètre indique comment le PVC est obtenu. LOCAL indique que le PVC
Est configuré localement; UNUSED indique que le PVC est tiré de l'ETCD
côté
résumé
Si l'état du PVC est défini comme INACTIF, quelles mesures devraient être prises?
Quel est le sujet de l'ARP inverse dans Frame Relay?
Avant-propos
L'application de la technologie DSL s'appuie fortement sur l'infrastructure téléphonique
existante qui
Se trouve dans presque tous les foyers et bureaux à l'échelle mondiale, avec le
développement continu des nouveaux
Normes DSL permettant des taux allant jusqu'à 100 Mbps, l'application de DSL en tant que
technologie WAN pour
La maison et l'entreprise restent fermement valides. Les connexions DSL traditionnelles ont
été établies sur l'héritage
ATN, mais Ethernet a continué à apparaître comme la technologie sous-jacente sur laquelle
De nombreux services fournissent l'établissement de leurs réseaux, et donc la connaissance
des technologies PPPoE
Reste valorisé pour établir la connectivité DSL au niveau de l'entreprise.
Objectifs
À la fin de cette section, les stagiaires seront en mesure de:
Décrivez le processus d'établissement de la connexion PPPoE.
Configurer une session PPPoE
DSL représente une forme de technologie à large bande qui utilise des
Réseaux de téléphonie pour permettre la communication de données. La communication est
Facilité par un émetteur-récepteur distant ou un modem au client
Locaux, qui communique sur les lignes téléphoniques existantes vers une centrale
Unité d'émetteur-récepteur de bureau qui prend la forme de l'accès de ligne d'abonné
numérique
Multiplexeur (DSLAM) où le trafic est multiplexé sur un guichet haute vitesse ou
Réseau Ethernet avant d'accéder au serveur d'accès distant à large bande
(BRAS) ou le serveur PPPoA / PPPoE dans le réseau fournisseur de services.
La distance entre les deux émetteurs-récepteurs peut varier en fonction de la spécificité
Technologie DSL appliquée. Dans le cas d'un abonné numérique asynchrone
Line (ADSL), la distance s'élève à environ 18 000 pieds ou 5 460 mètres
Traditionnellement par rapport à un réseau ATM, alors qu'avec un Digital High Speed
Ligne d'abonné (VDSL2), les distances locales en boucle d'environ 1 500 mètres sont
Pris en charge avec la technologie fibre (FTTx) appliquée pour fournir une base Ethernet
Transmission backend au BRAS (serveur PPPoE).
PPPoE fait référence à l'encapsulation de PPP dans des trames Ethernet pour supporter un
Connexion sur les technologies haut débit vers une télécommande large bande PPPoE
Serveur d'accès (BRAS), situé dans le réseau fournisseur de services. C'est
Utilisé pour soutenir la procédure d'authentification et de comptabilité avant d'accéder à
Le réseau distant tel que l'Internet est fourni. Le routeur RTA fonctionne
En tant que client pour l'établissement de la session PPPoE avec le serveur PPPoE
Par lequel une connexion autorisée est établie pour l'accès à distance
Réseaux et ressources. Le modem DSL fournit la modulation et
Démodulation de signaux à travers l'infrastructure de fil téléphonique en cuivre qui
Existe traditionnellement dans les maisons et les bureaux
PPPoE a deux étapes distinctes, il y a d'abord une étape de découverte suivie de
Une étape de session PPP. Lorsqu'un client souhaite lancer une session PPPoE,
Doit d'abord effectuer la découverte pour laquelle quatre étapes sont impliquées et compter
sur
Quatre types de paquets individuels pour le processus de découverte. Il s'agit notamment de
PPPoE Active Discovery Initiation (PADI), PPPoE Active Discovery Offer
(PADO), PPPoE Active Discovery Request (PADR) et PPPoE Active
Types de paquets de protocole de confirmation de session de découverte (PADS). le
Le processus de terminaison de la session PPPoE utilise une découverte active PPPoE
Terminer (PADT) paquet pour la fermeture de la session PPPoE.
Dans la phase de découverte, lorsqu'un client (RTA) accède à un serveur en utilisant
PPPoE,
Le client est requis pour identifier le MACaddress Ethernet du serveur et
Établir un ID de session PPPoE. Lorsque la phase de découverte est terminée, les deux
Les pairs connaissent le PPPoE Session_ID et l'adresse Ethernet pair. le
PPPoE Session_ID et l'adresse Ethernet pair définissent le PPPoE unique
session. Le client diffusera un PPPoE Active Discovery Initiation (PADI)
paquet. Ce paquet contient les informations de service requises par le client.
Après avoir reçu ce paquet PADI, tous les serveurs en gamme comparent les données
demandées
Services aux services qu'ils peuvent fournir. Dans le paquet PADI, le
Destination_address est une adresse de diffusion, le Codefield isset to0x09, et
Le champ Session_ID débute à 0x0000.
Les serveurs qui peuvent fournir les services demandés envoient PPPoE Active
Offset Off (PADO) paquets. Le client (RTA) peut recevoir plus d'un
Paquet PADO des serveurs. L'adresse de destination est l'adresse unicast de
Le client qui a envoyé le paquet PADI. Le champ Code est défini sur 0x07 et le
Le champ Session_ID doit être remplacé par 0x0000.
Comme le paquet PADI est diffusé, le client peut recevoir plus d'un
Paquet PADO. Il examine tous les paquets PADO reçus et choisit
Un basé sur le nom AC (qui correspond au nom du concentrateur d'accès,
Et se réfère généralement à une valeur qui distingue un seul serveur de
Un autre), ou les services offerts par le paquet PADO. Le client regarde à travers
Les paquets PADO pour choisir un serveur et envoie une découverte active PPPoE
Demande (PADR) au serveur choisi. L'adresse de destination est définie
À l'adresse unicast du serveur d'accès qui a envoyé le PADO sélectionné
paquet. Le champ de code est défini sur0x19 et le champ ID de session est défini
sur0x0000.
Lors de la réception d'un paquet PADR, le serveur d'accès se prépare à commencer un
Session PPPoE. Il génère une ID de session unique pour la session PPPoE et
Réponses au client avec une confirmation de session PPPoE Active Discovery
(PADS). Le champ d'adresse de destination est l'adresse Ethernet unicast
Du client qui envoie le paquet PADR. Le champ code est défini sur 0x65 et le
L'ID de session doit être défini sur la valeur créée pour cette session PPPoE. le
Serveur génère un identificateur de session unique pour identifier la session PPPoE
Avec le client et envoie cet identifiant de session au client avec le PADS
paquet. Si aucune erreur ne se produit, le serveur et le client entrent dans la session PPPoE
étape.
Une fois la session PPPoE commencée, les données PPP sont envoyées comme dans tout
autre PPP
Encapsulation. Tous les paquets Ethernet sont unicast. Le champ ETHER_TYPE est défini
À 0x8864. Le code PPPoE doit être réglé sur0x00. Le SESSION_ID ne doit pas
Changement pour cette session PPPoE et doit être la valeur attribuée dans la
Étape de la découverte. La charge utile PPPoE contient un cadre PPP. Le cadre
Commence par le PPPProtocol-ID.
Dans le processus d'établissement de la session PPPoE, la négociation PPP LCP est
Exécuté, auquel cas l'unité de réception maximale (MRU) est négociée.
Ethernet a généralement une taille de charge utile maximale de 1500 octets, où le
L'en-tête PPPoE est de 6 octets et l'ID du protocole PPP est de 2 octets, le PPP
L'unité de réception maximale (MRU) ne peut pas dépasser 1492 octets puisque cela
Provoque probablement une fragmentation des paquets. Lorsque LCP se termine, le client et
Le concentrateur d'accès (serveur) arrête d'utiliser cette session PPPoE. Si le client
Doit commencer une autre session PPP, elle revient à la phase de découverte.
Le paquet PPPoE Active Discovery Terminate (PADT) peut être envoyé n'importe quand
Une fois qu'une session est configurée pour indiquer qu'une session PPPoE est terminée.
Ça peut
Être envoyé par le client ou le serveur d'accès. Le champ d'adresse de destination est un
Adresse Ethernet unicast. Le champ Code est défini sur 0xA7 et l'ID de la session
Doit être configuré pour indiquer que la session doit être terminée. Aucune étiquette n'est
requise dans le
Paquet PADT. Lorsqu'un paquet PADT est reçu, aucun trafic PPP ne peut être envoyé
Sur cette session PPPoE. Une fois qu'un paquet PADT est envoyé ou reçu, même
Les paquets de terminaison PPP normaux ne peuvent pas être envoyés. Un pair PPP devrait
utiliser le
Protocole PPP pour mettre fin à une session PPPoE, mais le paquet PADT peut être utilisé
Lorsque PPP ne peut pas être utilisé.
Trois étapes individuelles sont nécessaires dans la configuration d'un client PPPoE,
En commençant par la configuration d'une interface de numérotation. Cela permet de
Connexion à établir sur demande et connexion à une session
Déconnecté après avoir laissé le ralenti pendant une période de temps. La règle de
numérotation
La commande permet d'accéder à la vue de la règle de numérotation à partir de laquelle la
commande de numérotation peut affecter les conditions définitives pour lancer la connexion
PPPoE.
L'utilisateur du numéroteur choisit une interface de numéroteur sur laquelle se déclenche un
appel selon
Au nom d'utilisateur distant négocié par PPP. L'utilisateur du numéroteur permet la
numérotation
Centre de contrôle et indique le nom d'utilisateur final distant, qui doit être le
Identique au nom d'utilisateur PPP sur le serveur distant. Si le nom d'utilisateur
Le paramètre n'est pas spécifié lors de l'utilisation de la commande utilisateur undodialer, la
numérotation
La fonction du centre de contrôle est désactivée et tous les noms d'utilisateurs distants sont
Supprimé. Si ce paramètre est spécifié, seul le nom d'utilisateur spécifié est supprimé.
La commande du groupe de numérotation <nombre> dans l'AR2200E est utilisée pour lier
Interfaces physiques et interfaces de distributeur.
Les paramètres d'authentification PPP sont définis pour l'authentification du client
Connexion au serveur avec la commande ip ppp-negotiate pour
Négociation sur une interface, pour autoriser l'interface à obtenir une adresse IP de
L'appareil distant.
La deuxième étape implique l'établissement de la liaison de la session PPPoE de
Le groupe de numérotation à l'interface sur laquelle la négociation doit avoir lieu pour la
Paramètres de numérotation configurés. Le numéro de poche-client-numéro-nombre
<nombre>
La commande est utilisée pour y parvenir lorsque le nombre se réfère au faisceau
Numéro configuré en partie des paramètres du composeur.
Si la demande à la demande n'est pas spécifiée, la session PPPoE fonctionne en
permanence en ligne
mode. Si ce paramètre est spécifié, la session PPPoE fonctionne à la demande
mode de numérotation. L'AR2200 prend en charge le mode de déclenchement de paquets
pour la numérotation en ondemand. En mode en ligne permanent, l'AR2200 lance un PPPoE
Session immédiatement après l'apparition du lien physique. La session PPPoE
Persiste jusqu'à ce que la commande numéros de numérotation-débrochage client-client soit
utilisée pour
supprime-le. En mode en ligne déclenché, l'AR2200 n'initialise pas un PPPoE
Session immédiatement après l'apparition du lien physique. Au lieu de cela, l'AR2200
Déclenche une session PPPoE uniquement lorsque les données doivent être transmises sur
le lien.
Si aucune donnée n'est transmise sur le lien PPPoE dans l'intervalle spécifié par
La minuterie de numérotation en mode veille <secondes>, l'AR2200 termine la session
PPPoE. Quand
Les données doivent être transmises sur le lien PPPoE, l'AR2200 met en place
Une session PPPoE à nouveau.
La dernière étape nécessite qu'une route statique par défaut soit configurée pour permettre
Trafic pour lequel une destination de réseau n'est pas définie comme une correspondance
plus longue
Table de routage pour initialiser la session PPPoE via l'interface de numérotation.
La commande de numérotation de l'interface d'affichage est utilisée pour vérifier l'état actuel
de la
Configuration du numéroteur et permet la localisation des téléchargements sur une interface
de numérotation.
L'état actuel de dialer de UPidentifique que l'état physique de l'interface
Isactive, alors qu'un état DOWN confirme qu'il existe actuellement un défaut. le
L'état du protocole de ligne se réfère à l'état du protocole de la couche de liaison pour lequel
un état UP
Confirme la connexion active.
Un lien qui n'a pas d'adresse IP attribué à l'interface ou issu supprimé
Se révèle dans un état BAS, où la suppression peut être identifiée par
Amortissant l'interface principalement en raison d'un battement d'interface persistant. le
Hold timers représente le rythme cardiaque de la connexion de numérotation PPP après
PPP
La négociation de LCP transite vers Ouvert. L'adresse Internet est négociée
À partir du pool IP qui existe dans le serveur PPPoE, où aucune adresse n'est
Présent, le système affichera "traitement de protocole Internet: désactivé".
L'adresse IP est attribuée lorsqu'une connexion est négociée, c'est-à-dire par un ping
Demande au poolrange.
Le statut LCPnegotiation définit l'état actuel, où "initial" indique
Que la couche physique est défectueuse ou aucune négociation n'a été entreprise. Un
L'état "Ouvert" indique que le système a besoin d'un Configure-Ackpacket pour
Le périphérique homologue et a reçu un paquet Configure-Ack du pair
Dispositif, ce qui confirme que la couche de liaison fonctionne correctement.
La commande sommaire de la session pppoe-client d'affichage fournit des informations
Concernant les sessions PPPoE sur le protocole point-à-point sur Ethernet
(PPPoE), y compris l'état de la session et les statistiques. Deux exemples sont
Donné pour mettre en évidence la différence entre les états de session PPPoE. L identité
Représente l'ID PPPoE alors que l'ID du paquet et l'ID du Dialer sont liés à
Valeurs dans la configuration des paramètres du composeur.
L'interface définit l'interface sur laquelle la négociation côté client est
Réalisé. L'adresse MAC du client et du serveur PPPoE est également définie,
Cependant, le serveur-MAC n'est déterminé que lorsque la négociation est établie.
Le PPPoE dispose de quatre états possibles. L'état AnIDLE indique que le
La session PPPoE n'est actuellement pas établie et aucune tentative pour établir la
La connexion PPPoE a été établie.
Si l'état est PADI, cela indique que la session PPPoE se trouve à la découverte
Et un paquet PPPoE Active Discovery Initiate (PADI) a été envoyé. UNE
L'état PADR indique que la session PPPoE est au stade Découverte et
Le paquet PPPoE Active Discovery Request (PADR) a été envoyé. Enfin, un
UPstate indique que la session PPPoE a été établie avec su
Une grande partie de la mise en œuvre de PPPoE s'est concentrée sur un point-à-point
général
Connexion reflétant un environnement de laboratoire typique mais dans le monde réel
Applications, le client PPPoE représente souvent la passerelle entre un
Le réseau d'entreprise et le réseau étendu (WAN), auquel est externe
Les destinations et les ressources sont accessibles.
Le réseau interne d'une entreprise emploie souvent un réseau privé
Afin de conserver les adresses et ces adresses ne peuvent pas être utilisées
Pour établir une communication IP sur l'infrastructure du réseau public. Ce
Exige que l'AR2200 fournisse la traduction d'adresse réseau (NAT)
Fonctionner pour traduire des adresses IP privées en adresses IP publiques et est un
Caractéristique qui est communément appliquée pour faciliter les communications réseau
internes sur PPPoE.
Résumé
Pourquoi faut-il réduire la taille MTU / MRU des paquets PPPoE?
Quel est le but de la commande du faisceau de numérotation lors de l'établissement de la
connexion PPPoE?
Avant-propos
La croissance continue des réseaux IP en général a entraîné une pression de plus en plus
constante sur l'IPv4
L'espace d'adressage et la nécessité de prolonger l'épuisement jusqu'à ce que des solutions
à long terme soient fondées.
La traduction d'adresses réseau est devenue bien définie comme la solution existante et
largement mise en œuvre
Dans les réseaux d'entreprises. De nombreuses variantes de NAT ont été développées, ce
qui a permis de conserver le public
L'espace d'adressage tout en permettant une communication continue du réseau public.
Cette section présente le concept de
NAT avec des exemples de méthodes NAT communes appliquées, pour maintenir
l'interconnexion entre
Le réseau de l'entreprise et le domaine public.
Objectifs
À la fin de cette section, les stagiaires seront en mesure de:
Énumérez certaines des différentes formes de Natwork Address Translation.
Expliquer le comportement général de NAT
Configurer NAT pour répondre aux exigences de l'application
L'un des principaux enjeux auxquels est confronté le réseau en expansion a été le
L'épuisement progressif des adresses IP en raison de la demande croissante. le
Le schéma d'adressage IPv4 existant a lutté pour maintenir la constante
Croissance du nombre de dispositifs qui continuent à constituer l'IP publique
Réseau généralement reconnu comme Internet. L'adressage IPv4 a
Déjà confronté à l'épuisement de l'IANA, l'organisme de l'industrie qui est responsable de
La répartition de l'adressage à l'échelle mondiale.
Une solution improvisée était d'affecter une gamme d'adresses privées basées sur
Les classes d'adresses IP existantes qui pourraient être réutilisées. Cette solution a
Autorisé les domaines de réseau pour implémenter ces schémas d'adressage basés sur
La plage d'adresses privées, et en relation avec l'échelle du domaine de réseau.
Cela permet le trafic qui provient et se déroule pour les emplacements dans le même
Domaine à communiquer sans consommation d'adresses publiques évaluées.
Il existe cependant un problème pour faciliter la communication au-delà du privé
Domaine réseau où les destinations pour le trafic existent dans le domaine public ou
Dans un autre domaine privé au-delà de ce domaine public. Adresse réseau
La traduction est devenue la solution standard à ce problème permettant de finir
Stations destinées à acheminer le trafic via le domaine du réseau public à partir d'un réseau
privé
réseau
La traduction d'adresse réseau (NAT) utilise la limite généralement établie
Du routeur de passerelle pour identifier les domaines de réseau pour la traduction. Les
domaines sont
Considéré comme étant des réseaux privés internes ou des réseaux publics externes
Entre lequel NAT est effectué. Le principal principe réside dans la réception de
Trafic avec une adresse source qui se trouve dans le réseau privé et une destination
Adresse qui représente un emplacement au-delà du domaine du réseau privé.
Le routeur devrait implémenter NAT pour traduire l'adresse privée en un
Adresse publique pour permettre à l'adresse de destination publique de recevoir un retour
valide
L'adresse publique via laquelle les paquets reçus peuvent être répondu. NAT doit aussi
Créez une table de mappage dans la passerelle pour autoriser la passerelle pour déterminer
À quelle adresse de réseau privé adresse un paquet reçu de la
Un réseau public devrait être envoyé, nécessitant de nouveau une traduction d'adresse
Effectué le long du chemin de retour.
Un certain nombre d'implémentations de NAT sont possibles et sont susceptibles d'être
Appliqué à diverses situations différentes. Le NAT statique représente un mappage direct sur
un seul qui permet d'obtenir l'adresse IP d'un système final spécifique
Traduit dans une adresse publique spécifique. À grande échelle, l'un à l'autre
Le mappage de NAT statique ne fait rien pour atténuer la pénurie d'adresses,
Toutefois, il est applicable dans des cas tels que l'endroit où un hôte souhaiterait avoir
certains
Les privilèges associés à une adresse à laquelle l'hôte est associé de façon statique.
Ce même principe peut également s'appliquer aux serveurs souhaitant être atteints
Du réseau externe par une adresse publique spécifique.
Dans l'exemple donné, les paquets provenant de la source 192.168.1.1 sont destinés
Pour l'adresse du réseau public de1.1.1.1. La passerelle réseau RTA, construit un
Mappage entre l'adresse privée de192.168.1.1 et une adresse publique de
200.10.10.5 qui est attribué comme l'adresse source du paquet avant d'être
Transmis par la passerelle vers la destination prévue. Tout paquet de retour
Être envoyé en réponse à l'adresse de destination du 200.10.10.5 à laquelle le
La passerelle recevra et effectuera la traduction statique, avant de transmettre la
Paquet à l'hôte associé de 192.168.1.1. Le mappage statique des adresses
Ne requiert aucune gestion réelle de l'allocation d'adresse pour les utilisateurs, depuis
l'adressage est assigné manuellement.
Dynamic NAT fonctionne sur le principe des pools d'adresses par lesquels la fin interne
Les systèmes qui souhaitent transférer du trafic sur le réseau public sont capables de
Associée à une adresse publique d'un pool d'adresses. Systèmes finaux nécessitant
Communiquer avec les destinations dans le domaine du réseau public doit associer
Avec une adresse publique unique qui est accessible à partir de la portée publique
De la piscine.
Une adresse est attribuée à partir du pool d'adresses du serveur NAT à chaque extrémité
Le système tente de transférer du trafic vers une destination de réseau public. Le nombre
Des adresses IP appartenant au serveur NAT est bien inférieur au nombre de
Hôtes internes car tous les hôtes internes n'acceptent pas les réseaux externes à
le même temps. Ceci est généralement déterminé en fonction du nombre d'internes
Les hôtes qui accèdent aux réseaux externes aux heures de pointe.
L'exemple illustre un cas où deux hôtes internes génèrent des paquets
Destiné à la destination 1.1.1.1/24, dans lequel chaque hôte interne est affecté
Une adresse unique du pool d'adresses, pour permettre à chaque hôte d'être distingué
Dans le réseau public de l'autre. Une fois que la communication n'est plus
Requis sur le réseau public, le mappage d'adresse sera supprimé pour
Permettre à l'adresse publique d'être renvoyée au pool d'adresses.
En plus de la traduction d'adresses nombreuses à plusieurs trouvée dans Dynamic
NAT, la traduction de port d'adresse réseau (NAPT) peut être utilisée pour implémenter
Traduction simultanée d'adresses. NAPT permet à plusieurs adresses internes d'être
Mappé sur la même adresse publique. Il s'appelle également une adresse multi-personnes
Traduction ou multiplexage d'adresse. NAPT gère les adresses IP et les interfaces.
Les datagrammes de différentes adresses internes sont mappés aux interfaces avec
La même adresse publique et les différents numéros de port, c'est-à-dire les datagrammes
Partagent la même adresse publique.
Le routeur reçoit un paquet de demande envoyé par l'hôte sur le réseau privé
Pour accéder au serveur sur le réseau public. L'IP source du paquet
L'adresse est 192.168.1.1 et son numéro de port est 1025. Le routeur sélectionne un mode
d'inactivité
L'adresse IP publique et un numéro de port inactif du pool d'adresses IP et les ensembles
Vers le haut des entrées NAPT avant et arrière qui spécifient le mappage entre le
L'adresse IP source et le numéro de port du paquet et l'adresse IP publique
Et numéro de port. Le routeur traduit l'adresse IP source du paquet et
Numéro de port au public IP adresse et numéro de port en fonction de l'avance
Entrée NAPT, et envoie le paquet au serveur sur le réseau public. Après
La traduction, l'adresse IP source du paquet est 200.10.10.11, et son port
Le numéro est 2843.
Une IP facile est appliquée là où les hôtes sur les réseaux locaux à petite échelle exigent
Accès au réseau public ou à Internet. Les réseaux locaux à petite échelle sont
habituellement
Déployé où seuls quelques hôtes internes sont utilisés et l'interface sortante
Obtient une adresse IP publique temporaire via l'accès à distance. Le public temporaire
IPaddress est utilisé par les hôtes internes pour accéder à Internet. IPallows faciles
Les hôtes pour accéder à Internet en utilisant cette adresse publique temporaire.
L'exemple démontre le processus Easy IP. Le routeur reçoit un
Demande le paquet envoyé depuis l'hôte sur le réseau privé pour accéder à un
Serveur dans le réseau public. L'adresse IP source du paquet dans ce cas est
192.168.1.1, et son numéro de port est 1025. Le routeur s'installe en avant et
Inverser les entrées IP faciles qui spécifient le mappage entre l'IP source
L'adresse et le numéro de port du paquet et l'adresse IP publique et le port
Numéro de l'interface connectée au réseau public. Le routeur traduit
L'adresse IP source et le numéro de port du paquet à l'adresse IP publique
Andport number, andsends le paquet au serveur sur le réseau public.
Après la traduction, l'adresse IP source du paquet est 200.10.10.1, et son
Le numéro de port est 2843.
Après avoir reçu une réponse du serveur, le routeur interroge l'inverse
IPentry facile basé sur la destination IP du paquet IPderdress et le numéro de port.
Le routeur traduit la destination IP du paquet et le numéro de port vers
L'adresse IP privée et le numéro de port de l'hôte sur le réseau privé, et
Envoie le paquet à l'hôte. Après la traduction, l'IP de destination du paquet
L'adresse est 192.168.1.1, et son numéro de port est 1025.
NAT peut protéger les hôtes sur les réseaux privés des utilisateurs du réseau public.
Lorsqu'un
Le réseau privé doit fournir des services tels que les services WEB et
Les utilisateurs du réseau public, les serveurs sur le réseau privé doivent être accessibles
pour
Utilisateurs du réseau public à tout moment.
Le serveur NAT peut résoudre le problème précédent en transmettant le public
IPaddress et le numéro de port à l'IPaddress privé et le numéro de port basé
Sur le mappage préconfiguré.
Les entrées de traduction d'adresses du serveur NAT sont configurées sur le routeur,
Après quoi le routeur reçoit une demande d'accès envoyée par un hôte sur le
réseau public. Le routeur interroge l'entrée de traduction d'adresse basée sur le
L'adresse IP de destination du paquet et le numéro de port. Le routeur traduit le
L'adresse IP de destination du paquet et le numéro de port à l'adresse IP privée et
Numéro de port basé sur l'entrée de traduction d'adresse et envoie le paquet à
Le serveur sur le réseau privé. L'adresse IP de destination du paquet
Envoyé par l'hôte sur le réseau public est 200.10.10.5, et le port de destination
Nombre de 80. Une fois la traduction effectuée par le routeur, l'IP de destination
L'adresse du paquet est 192.168.1.1, et son numéro de port est 8080. Après
Recevoir un paquet de réponse envoyé par le serveur sur le réseau privé, le
Le routeur interroge l'entrée de traduction d'adresse basée sur l'IP source du paquet
L'adresse et le numéro de port. Le routeur traduit l'IP source du paquet
Adresse et numéro de port au numéro de port et port IP public basé sur
L'entrée de la traduction de l'adresse, et transmet le paquet à l'hôte sur le public
réseau. La source du paquet de réponse envoyé par l'hôte sur le privé
Le réseau est 192.168.1.1, et son numéro de port est 8080. Après la traduction par le
Routeur, l'adresse IP source du paquet est 200.10.10.5 et le port
Le numéro est de nouveau le port 80.
NAT statique indique qu'une adresse privée est statiquement liée à un public
Lorsque NAT est effectué. L'adresse IP publique instatic NAT est seulement
Utilisé pour la traduction de l'adresse IP privée unique et fixe d'un hôte. le
Natstatic [protocole {<tcp> | <udp>} global {<global-address> | current-interface
<Global-port>} dans {<host-address> <host-port>} vpn-instance <vpninstance-name>
netmask <masque> acl <acl-number> description <description
>] Est utilisé pour créer le NAT statique et définir les paramètres pour le
Traduction.
Les paramètres clés appliqués comme dans l'exemple sont le paramètre global à
Configurez les informations NAT externes, en particulier l'adresse externe, et
Le paramètre intérieur qui permet aux informations NAT internes d'être
Configuré. Dans les deux cas, l'adresse et le numéro de port peuvent être définis pour
Traduction. Le port mondial spécifie le numéro de port du service fourni
Pour un accès externe. Si ce paramètre n'est pas spécifié, la valeur du port global
Est 0. C'est-à-dire que tout type de service peut être fourni. Le port hôte spécifie le
Numéro de port de service fourni par le serveur interne. Si ce paramètre n'est pas
Spécifié, la valeur de host-port est identique à la valeur de global-port.
La configuration du NAT statique peut être visualisée via l'affichage nat static
commander. La commande affiche les informations de traduction d'adresse réseau
En ce qui concerne l'interface par laquelle la traduction d'adresse est
Interprété, les adresses globales et intérieures qui sont traduites avec
Les ports utilisés. Lorsque les ports ne sont pas définis, un résultat nul sera affiché.
La configuration pour la traduction peut être un protocole spécifique à TCP ou
Trafic du protocole UDP, auquel cas l'entrée du Protocole sera définie.
La configuration des traductions d'adresses réseau dynamiques implique
Mise en œuvre de la commande hors TVA. Il s'appuie sur le précédent
Configuration d'une liste de contrôle d'accès réseau utilisée pour spécifier une règle à
Identifiez le trafic spécifique auquel un événement ou une opération sera appliqué. le
Les détails concernant les listes de contrôle d'accès sont traités dans une unité ultérieure.
Une association
Est établi entre ces règles de liste de contrôle d'accès et le pool d'adresses NAT. Dans
De cette manière, les adresses spécifiées dans la liste de contrôle d'accès peuvent être
Traduit en utilisant le pool d'adresses NAT.
L'exemple montre comment la commande nat outbound a été
Associé à une liste de contrôle d'accès avec un identifiant de 2000 permettant le trafic
De la gamme de réseau 192.168.1.0/24 à traduire dans le cadre d'une adresse
Groupe appelé groupe d'adresses 1. Ceci définit une plage de pool de
200.10.10.11 à 200.10.10.16, dont les adresses internes utiliseront pour
Traduction d'adresse. Le paramètre de non-pat dans la commande signifie qu'aucun port
La traduction de l'adresse se produira pour les adresses dans le pool, donc chaque
L'hôte doit se traduire par une adresse globale unique.
Deux commandes d'affichage spécifiques permettront l'information détaillée concernant
La traduction d'adresse dynamique à vérifier. La commande display index group group
<index-group> permet la traduction générale de l'adresse réseau
Plage de piscine à déterminer. En outre, l'affichage de la commande de sortie nat
Fournira des détails spécifiques pour toute traduction dynamique d'adresse réseau
Configuration appliquée à une interface donnée. Dans l'exemple, il peut être compris
Que l'interface Serial1 / 0/0 est associée à une règle de liste de contrôle d'accès
Avec le groupe d'adresses 1 pour la traduction d'adresse sur le donné
interface. La sortie sans signature confirme que la traduction de l'adresse du port n'est pas
dans effet dans cette traduction d'adresse réseau.
La configuration IP facile est très similaire à celle de la dynamique
Traduction d'adresse réseau, en s'appuyant sur la création d'une liste de contrôle d'accès
Règle pour définir la plage d'adresse à laquelle la traduction doit être effectuée et
Application de la commande hors TVA. La principale différence est dans le
Absence de la commande du groupe d'adresses car aucun pool d'adresses n'est utilisé dans
le configuration d'IP facile. Au lieu de cela, l'adresse de l'interface sortante est utilisée pour
Représente l'adresse externe, dans ce cas, l'adresse externe
200.10.10.1 de l'interface serial1 / 0/0. En outre, il est nécessaire que le port
La traduction de l'adresse doit être effectuée, et l'absence de paramètre peut ne pas être
implémenté lorsqu'un groupe d'adresses n'existe pas. La nat sortie
2000 représente une liaison entre l'opération NAT et le contrôle d'accès
Liste la règle détaillant la plage d'adresse à laquelle la traduction s'appliquera.
La même commande de sortie d'affichage analogique peut être utilisée pour observer les
résultats
De la configuration hors sortie et vérifiez sa mise en œuvre correcte. le
La liaison de la liste de contrôle d'accès (ACL) peut être déterminée aussi bien que
L'interface (dans ce cas) pour la traduction sortante. La liste type de
Easy ip fait clairement comprendre quand Easy IP a réussi
Configuré.
Lorsqu'il est nécessaire de fournir un accès interne à des utilisateurs externes tels que
Le cas d'un serveur public faisant partie d'un réseau interne, le serveur NAT
La configuration peut être effectuée pour permettre la circulation destinée à une connexion
externe
L'adresse de destination et le numéro de port à traduire vers une destination interne
L'adresse et le numéro de port.
Le serveur nat [protocole {<tcp | | <udp>} global {<global-address> | Interface actuelle <port
global>} à l'intérieur de {<host-address> <host-port> vpn-instance
<Vpn-instance-name> acl <acl-number> description <description>] command
Permet d'effectuer la traduction interne externe, où le protocole
Identifie un protocole spécifique (TCP ou UDP selon le service) à
Être autorisé pour la traduction avec l'adresse globale, indiquant la
Adresse externe pour la traduction et l'adresse intérieure relative à l'interne
adresse du serveur.
Le numéro de port de l'adresse externe doit être défini et communément
Concerne un service spécifique tel que http (www) sur le port 80. En tant que moyen de
Améliorant encore davantage le blindage général des numéros de ports internes provenant
de l'extérieur
Menaces, un autre numéro de port peut être appliqué au réseau intérieur et
Traduit par les mêmes moyens que ceux utilisés pour la traduction d'adresses.
La commande display nat server détaille les résultats de la configuration pour vérifier la
Mise en œuvre correcte du serveur NAT. L'interface définit le point à
Dont la traduction se produira. Les adresses IP globales et internes et
Les numéros de port associés peuvent être vérifiés. Dans ce cas, l'adresse globale de
202.10.10.5 avec un numéro de port de 80 (www) sera traduit vers un intérieur
L'adresse du serveur 192.168.1.1 avec un numéro de port de 8080 comme supplémentaire
Sécurité contre les éventuelles attaques basées sur le port. Seul le trafic TCP qui est destiné
Pour cette adresse et ce port seront traduits.
Résumé
Quelle forme de traduction permettra à un serveur dans une DMZ d'être consulté à la fois de
manière externe et réseau interne??
Quelle est la fonction de la fonction PAT?
Avant-propos
Un grand nombre de réseaux d'entreprises s'appuient sur une solution de fournisseur de
réseau unique qui peut être dans certains csases protégés par un accord de niveau de
service (SLA), en tant que protection où les temps d'arrêt risquent de nuire de manière
critique au fonctionnement d'une entreprise; Et aussi où soutenir de multiples réseaux est
inutilement coûteux. Les approches traditionnelles impliquent des solutions de basculement
utilisant des technologies telles que le RNIS, mais des solutions jamais plus viables sous la
forme de technologies cellulaires fournissent des mesures de basculement efficaces dans le
cas où les réseaux primaires échouent. Cette section présente comment les solutions de
basculement du réseau cellulaire 2G et 3G peuvent être utilisées pour protéger le réseau de
l'entreprise.
Objectifs
À la fin de cette section, les stagiaires seront en mesure de:
Expliquez l'application des réseaux 2G et 3G en tant que solution de basculement
d'entreprise.
Expliquer le processus de mise en œuvre du basculement de l'interface cellulaire.
Les réseaux étendus sans fil (WWAN) sont devenus une partie centrale de la
L'infrastructure de communication mondiale, permettant l'évolution du mobile
Réseau pour lequel différents services d'appels et de données deviennent de plus en plus
Proéminent dans la vie quotidienne. Le WWAN est composé d'une multitude de
Technologies et normes permettant une voix et des données presque omniprésentes
Communication à l'échelle mondiale. La communication est généralement réalisée grâce à
Combiné communément appelé Station mobile (MS) ou utilisateur
Équipement (UE) pour réseaux 3G (UMTS) et 4G (LTE) respectivement,
Fournir une interface au réseau d'accès radio par lequel les services sont
accédé. Il convient de noter clairement que l'architecture, bien que
Similaire à la conception, n'est pas relié aux réseaux 3G et 4G mais atteint un certain niveau
De la superposition technologique. L'interconnexion entre les technologies fournit
Communication transparente où un réseau devient indisponible.
La communication s'effectue par une station de base qui fonctionne comme une cellule pour
une
Région donnée et permet de transmettre le trafic de voix et de données au noyau
Réseau pour le traitement.
Les communications seront présentées sur une passerelle commutée par circuit (appels) ou
Passerelle commutée par paquets (données) par l'intermédiaire de laquelle des signaux de
transmission portant
Les informations sont utilisées par le noyau pour le traitement des appels et des données.
Le réseau principal gère une gamme de services, et la gestion du processus.
Le noyau est composé de composants qui incluent des registres de localisation
Tenir des registres de tous les détails de la SIM autorisés à utiliser le réseau, le visiteur
Registres de localisation pour la localisation de suivi car l'utilisateur parcourt les régions, SIM
Authentification, enregistrement d'identité pour l'interdiction et le suivi (généralement volé)
Les combinés mobiles, les services tels que le messagerie électronique et la messagerie
multimédia
Les services de messagerie vocale et la facturation des clients.
Le soutien évolué de la commutation de paquets dans les réseaux mobiles a fourni un
Nouvelle voie pour les communications avec des travailleurs distants qui peuvent souvent
être
Stationné au-delà de la gamme d'un réseau d'entreprise existant et de tout réseau sans fil
Solutions qui peuvent être mises en œuvre. L'une des principales préoccupations a souvent
été
En ce qui concerne la vitesse et les services susceptibles d'être soutenus par
Solutions WWAN. À mesure que l'évolution du réseau mobile se poursuit, le support
Les vitesses continuent de croître, ce qui permet aux nouveaux services de devenir
disponibles permettant
Pour une véritable mobilité dans les entreprises.
L'intégration des technologies à commutation de paquets dans le réseau mobile a
A vu l'évolution à travers 2G (GSM), le bien connu 2.5G (GPRS) et
2.75G (EDGE) to3G (UMTS) pour lesquelles des évolutions sous la forme de HSPA et
HSPA + s'est produite, l'ancienne capacité de support d'environ
14Mbps et le dernier support de 168Mbps vers le bas. Une évolution continue de
Une plus grande capacité de services a entraîné des technologies 4G (LTE) avec
Capacité de transmission de données poussant la marque 1Gbps. Cela a permis la
Relation entre les réseaux mobiles et les réseaux d'entreprise. Utilisateurs à distance
Sont en mesure d'utiliser les réseaux de données mobiles pour accéder aux ressources de
l'entreprise
Et maintenir les communications via des canaux de données sans physique
Restriction de localisation.
Les réseaux d'entreprise peuvent utiliser les capacités de commutation de paquets de
Réseau 3G comme méthode de redondance grâce auquel le basculement du réseau peut
être
Pris en charge dans le cas où le service principal devient indisponible. Un de
Les limitations qui existent avec les solutions WAN sans fil sont les coûts associés
Limite l'utilisation en tant que solution «toujours sur», mais la continuité des activités est
Primordial, il peut permettre de maintenir les services pendant toute imprévisible
Temps d'arrêt. Les routeurs de la série Huawei AR2200 sont capables de supporter 3G
Les interfaces qui peuvent être utilisées comme une solution de basculement, en veillant à
ce que les données
Les coûts dépendent plus efficacement des coûts avant tout, mais en veillant à ce qu'un son
La solution de basculement peut être mise en œuvre lorsque cela est nécessaire de plus en
plus
Des technologies héritées favorables telles que le RNIS.
Le support des solutions WWAN sur le routeur AR2200series s'effectue grâce à
La mise en œuvre du matériel pris en charge, y compris l'interface 3G-HSPA + 7
Carte qui permet d'interagir avec les réseaux 2G et 3G. Le 3G-HSPA + 7
Carte d'interface fournit deux interfaces d'antenne 3G pour transmettre et recevoir 3G
Données de service. Une interface est l'interface principale, et l'autre est la
Interface secondaire avec capacité de support de 2G GSM / GPRS / EDGE et
Normes 3G WCDMA, HSPA et HSPA +. Les antennes Whip sont directement
Installé sur un routeur AR et est recommandé lorsqu'un routeur est un bureau
Installé ou monté sur le mur. Les antennes à distance à l'intérieur ont une ligne
d'alimentation de 3 m de long
Et sont recommandés lorsqu'un routeur AR est installé dans une armoire ou un rack

GSM CS: Upstream (Tx): 9.6kbit / s


En aval (Rx): 9.6kbit / s
GPRS / EDGE: Multi-slot Classe 12, Classe B (236,8 kbit / s)
WCDMA CS: Upstream (Tx): 64 kbit / s
En aval (Rx): 64 kbit / s WCDMA PS: en amont (Tx): 384 kbit / s
En aval (Rx): 384 kbit / s
HSPA: en amont (Tx): 5,76 Mbit / s
En aval (Rx): 14,4 Mbit / s
HSPA +: en amont (Tx): 5,76 Mbit / s
En aval (Rx): 21 Mbit / s
Une interface cellulaire 3G est une interface physique prenant en charge la technologie 3G.
Il
Fournit aux utilisateurs une solution WAN sans fil au niveau de l'entreprise. Après
La configuration des interfaces cellulaires 3G, de la voix, de la vidéo et des services de
données peut être
Transmis sur le réseau 3G, fournissant une variété de méthodes d'accès WAN
Pour les entreprises.
L'interface cellulaire 3G transmet des signaux radio et supporte PPP comme lien
Protocole de couche et une couche de réseau IP. L'adresse IP ppp-negotiate
La commande est utilisée pour permettre l'obtention d'une adresse IP pour le cellulaire
Interface à partir du périphérique distant dans le cas où le basculement peut se produire.
UNE
Le profil de paramètre est créé à l'aide du profil create <profile-number> {static
<Apn> | Dynamique} où le numéro de profil se réfère à un identifiant pour
Le profil.
Les options statiques et dynamiques permettent l'allocation dynamique ou statique
Affectation d'un nom de point d'accès (APN). Lorsqu'un modem 3G a un
Module d'identité d'abonné universel (USIM) installé, le mode wcdma
La commande peut être utilisée pour configurer un mode de connexion réseau WCDMA pour
Le modem 3G, où wcma-precedence permet à WCDMA d'être utilisé
Préférentiellement par rapport aux autres modes. Le modem 3G est connecté à l'USB
Interface de module.
Le centre de contrôle de numérotation (DCC) est implémenté pour permettre au lien de
Activez la connexion cellulaire. La commande de règle de numérotation déclenche la vue de
règle de numéroteur où les règles sont définies pour permettre le trafic d'IPv4
L'interface avec laquelle le groupe de composition est associé. La règle de numérotation
La commande <nombre> se réfère au numéro de groupe d'accès du numéroteur. Sous le
Interface cellulaire, le centre de contrôle de numérotation (DCC) est activé.
L'AR2200 prend en charge deux DCCmodes: DCC circulaire (C-DCC) et DCC à ressources
partagées (RS-DCC). Les deux modes s'appliquent à différents scénarios.
Le centre de contrôle de la cadran circulaire (C-DCC) s'applique aux sites à grande ou
moyenne échelle qui ont de nombreux liens physiques où, en tant que cadran par partage de
ressource
Le Centre de contrôle (RS-DCC) s'applique aux sites de petite ou moyenne taille qui
Ont quelques liens physiques, mais beaucoup d'interfaces connectées. Les deux se
terminent en
La communication peut adopter différents modes.
Si C-DCC est activé sur une interface physique, seule cette interface peut déclencher
Appels vers des extrémités distantes. Si C-DCC est activé sur une interface de numéroteur,
un ou plusieurs
Les interfaces peuvent déclencher des appels vers des extrémités distantes. Le groupe de
numérotation <nombre>
Associe le groupe d'accès au composeur créé sous la commande de la règle de
numérotation
Avec l'interface donnée. Le numéro de numéroteur <nombre> configure un numéroteur
Numéro pour appeler la télécommande
Le NAT est nécessaire pour autoriser les paquets générés avec une adresse source dans le
Plage d'adresses privées des utilisateurs internes à traduire à l'adresse publique
De l'interface cellulaire. Comme seule une adresse d'interface cellulaire existe, Easy IP
Est mis en place pour permettre à la gamme des utilisateurs internes de prendre pleinement
en charge un seul
Adresse d'interface via la traduction d'adresse de port.
Une ACL est utilisée pour identifier la plage de réseau privé pour laquelle la traduction à
L'adresse de l'interface publique se produira et sera liée à l'adresse réseau
Traduction, via la commande Easy IP nat outbound <acl-number>. UNE
La route statique par défaut est également créée pour générer un itinéraire via le cellulaire
0/0/0
Interface qui lancera la négociation PPP et permettra à une adresse publique
Affecté à l'interface cellulaire.
En fin de compte, l'intranet d'entreprise utilise un seul segment de réseau
192.168.1.0/24 et s'est abonné au multiple de division à code large bande
Accès (WCDMA), et le routeur utilise la fonction DCC pour se connecter
L'entreprise sur Internet. L'entreprise a obtenu APN3GNET et
Composer la chaîne * 99 # à partir d'un opérateur.
Suite à la configuration réussie des paramètres pour établir le
Réseau 3G grâce à la négociation circulaire DCC et PPP, une adresse IP
Être affecté à l'interface cellulaire. Les résultats de la connexion établie
Peut être vérifié via l'interface d'affichage commande cellulaire où l'état
De l'interface et l'adresse négociée peut être déterminée. Si aucune adresse IP
L'adresse est affectée à l'interface, peut-être en raison d'aucune activité de communication
Sur le lien ou l'échec lors de la négociation du lien, le système affichera "Internet
Protocole de traitement: désactivé ". L'état du modem est utilisé pour déterminer
Qu'il s'agisse d'un modem 3G connecté à l'interface cellulaire 3G.
L'affichage de la commande sortant nat peut encore être utilisé pour valider le
Configuration d'IP facile par rapport à l'établissement de la sauvegarde cellulaire
lien. La sortie vérifie que l'interface cellulaire met en œuvre Easy IP pour
La traduction de l'adresse, ainsi que la vérification du lien WAN externe
Adresse à laquelle les adresses internes (réseau privé) sont en cours de traduction.
De plus, l'ACL permet de vérifier la plage d'adresses à laquelle la
La traduction est applicable. L'ACL 3002 est implémenté dans ce cas et comme
Défini dans les règles ACL, le réseau 192.168.1.0/24 est la plage d'adresses qui est
Capable d'être traduit sur l'adresse cellulaire publique.
Résumé
Comment fonctionne le basculement du réseau cellulaire en cas de panne du réseau
primaire?
Avant-propos
De nombreuses technologies et protocoles dépendent des listes Contol d'accès (ACL) pour
une plus grande gestion et
L'application et le filtrage du trafic dans le cadre des mesures de sécurité ou des exigences
d'application.
La mise en œuvre d'ACL à l'appui d'autres technologies, et comme une forme de sécurité
sont nécessaires
Pour être compris, et en tant que telles, des formes communes de solutions ACL sont
introduites.
Objectifs
À la fin de cette section, les stagiaires pourront:
Décrivez la demande d'ACL dans le réseau de l'entreprise.
Expliquer le comportement décisionnel des listes de contrôle d'accès
Implémenter avec succès des listes de contrôle d'accès de base et avancées.
Une liste de contrôle d'accès (ACL) est un mécanisme qui implémente le contrôle d'accès
Pour une ressource système en énumérant les entités en fonction de paramètres spécifiques
qui
Sont autorisés à accéder à la ressource, ainsi que le mode d'accès qui est
accordé. En général, une ACL peut être comprise comme un moyen de filtrage, et
Peut être appliqué pour contrôler le flux de trafic ainsi que pour identifier le trafic vers lequel
Des opérations spéciales devraient être effectuées.
Une application commune implique une passerelle qui peut avoir un renvoi
Destination sur plusieurs réseaux, mais peut contenir une ACL qui gère
Quel trafic peut couler vers la destination. Dans l'exemple donné, le réseau
192.168.1.0/24 est généralement considéré comme capable d'accéder à l'externe
Réseau, dans ce cas Internet, alors que les hôtes représentés par les
Le réseau 192.168.2.0/24 ne peut pas transférer le trafic de la même manière, et
Entraînant ainsi une panne de transmission. Dans le cas du serveur A, le
L'inverse s'applique avec l'autorisation d'accès accordée par la passerelle vers
Réseau 192.168.2.0/24 mais restreint pour tous les hôtes qui font partie de
Réseau 192.168.1.0/24.
Lorsque le filtrage est effectué en fonction du trafic intéressant, il n'y a pas de général
Mais des opérations supplémentaires sont susceptibles d'être effectuées
Ce qui affecte les données actuelles. L'exemple montre un scénario où
Les données entrantes sont filtrées en fonction de certains critères tels que dans ce cas, le
IPaddress source et où une liste de contrôle d'accès est appliquée aux données,
Les actions associées sont prises. Des actions communes peuvent impliquer le changement
de
Paramètres dans le trafic IP acheminé pour les protocoles tels que les paramètres d'itinéraire
dans RIP
Et OSPF, ainsi que pour lancer des communications réseau cryptées pour
Trafic intéressant, comme cela est souvent appliqué dans le cadre de technologies telles que
Virtual
Réseaux privés (VPN).
Il existe trois types ACL généraux qui sont définis comme faisant partie de l'ARG3
Série, y compris les types de liste de contrôle d'accès basique, avancé et couche2. Un
basique
L'ACL correspond aux paquets en fonction d'informations telles que les adresses IP source,
Des drapeaux de fragments et des intervalles de temps, et est défini par une valeur dans la
gamme de
2000-2999. Une ACL avancée offre une plus grande précision
L'association de paramètres et les combinaisons de paquets basés sur des informations
telles que
Les adresses IP source et de destination, les numéros de port source et de destination,
Et les types de protocole.
Les ACL avancées sont associées à une plage de valeurs de 3000 à 3999. Enfin
L'ACL de la couche 2 qui correspond aux paquets basés sur la couche 2 basée sur les
paquets
Des informations telles que les adresses MAC, les adresses MAC de destination et
Types de protocole de couche 2. Le trafic est filtré en fonction des règles contenant le
Paramètres définis par chaque type d'ACL.
Les listes de contrôle d'accès fonctionnent selon le principe des règles ordonnées. Chaque
règle contient
Une clause de permis ou de refus. Ces règles peuvent se chevaucher ou entrer en conflit.
Une règle peut
Contiennent une autre règle, mais les deux règles doivent être différentes. L'AR2200 prend
en charge
Deux types d'ordre de correspondance : ordre de configuration et commande automatique. le
L'ordre de configuration indique que les règles ACL correspondent à l'ordre croissant de
Identifiant de règle, alors que l'ordre automatique suit le premier principe de profondeur que
Permet d'établir des règles plus précises en premier. L'ordre de configuration est utilisé
Par défaut et détermine les priorités des règles dans une ACL basée sur une règle
ID. Les priorités des règles peuvent résoudre tout conflit entre le chevauchement
règles. Pour chaque ID de règle, l'ACL déterminera si la règle s'applique. Si la
La règle ne s'applique pas, la prochaine règle sera considérée. Une fois qu'une
correspondance de la règle est
L'action de la règle sera mise en œuvre et le processus ACL cessera. Si
Aucune règle ne correspond au paquet, le système ne traite pas le paquet.
Dans l'exemple, les paquets provenant de deux réseaux sont soumis à un
ACL dans le RTA. Les paquets des réseaux 172.16.0.0 et 172.17.0.0 seront
Évalué en fonction de l'ordre de l'ID de la règle (configuration) par défaut. Où la règle
Découvre une correspondance pour le réseau en fonction d'un masque générique, la règle
sera appliquée. Pour le réseau 172.16.0.0, la règle 15 correspond à tous les paquets avec le
Adresse de 172.16.0.X où X peut se référer à n'importe quelle valeur binaire dans l'octet.
Non une règle spécifique correspondant au réseau 172.17.0.0 se trouve dans la liste de
contrôle d'accès et semer ne pas être soumis au processus ACL, mais dans l'intérêt de
Bonne pratique de conception ACL, une règle catch all a été définie dans la règle 20 à
Assurez-vous que tous les réseaux pour lesquels il n'existe pas de règle spécifiquement
définie sont autorisé à être transmis.
La création d'une liste de contrôle d'accès de base exige que l'administrateur commence
Identifiez la source de trafic à laquelle la LCA doit postuler. Dans l'exemple donné,
Cela se réfère aux emplacements sources contenant une adresse IP dans le
Gamme 192.168.1.0/24 pour laquelle tous les paquets contenant une adresse IP source
dans
Cette gamme sera rejetée par la passerelle. Dans le cas des hôtes qui composent
La gamme de réseau 192.168.2.0/24, le trafic est autorisé et aucune autre action n'est
Pris pour ces paquets. L'ACL de base est appliquée à l'interface Gigabit
Ethernet 0/0/0 dans la direction sortante, donc seulement les paquets qui rencontrent les
deux
Les critères d'interface et de direction seront soumis au traitement ACL.
La validation de la ACL de base configurée peut être obtenue grâce à
Affiche acl <acl-number> où le numéro acl se réfère à l'ACL de base
Numéro qui a été attribué à l'ACL configurée. La sortie résultante
Confirme les règles qui ont été créées pour refuser (supprimer) tous les paquets IP avec
L'adresse IP source dans la plage 192.168.1.0/24 et autorise l'adressage dans
La gamme 192.168.2.0/24.
Il convient également de noter que chaque règle reçoit automatiquement un numéro de règle
Dans le cadre de la création de la liste de contrôle d'accès. Le numéro de règle définit l'ordre
dans
Dont les règles sont traitées et mises en ordre de 5 par défaut dans Huawei
Routeurs de la série ARG3. Il y a une étape ACL entre les nombres de règles. Pour
Par exemple, si l'étape d'une ACL est définie sur5, les règles sont numérotées 5, 10, 15 et
ainsi de suite. Si
Une étape ACL est définie sur 2 et les nombres de règles sont configurés pour être
automatiquement
Généré, le système génère automatiquement des ID de règles à partir de 2. Le
Permet d'ajouter une nouvelle règle entre les règles existantes. C'est possible
Pour configurer le numéro de règle dans le cadre de la ACL de base, le cas échéant.
Les listes de contrôle d'accès avancées permettent le filtrage basé sur plusieurs paramètres
Prend en charge un processus de sélection d'itinéraire plus détaillé. Alors qu'une ACL de
base fournit
Le filtrage basé sur l'adresse IP source, l'ACL avancée sont capables de
Filtrage basé sur la source et la destination IP, source et port de destination
Numéros, protocoles du réseau et des couches de transport et des paramètres
Trouvé dans chaque couche, comme les classificateurs de trafic IP et les valeurs de drapeau
TCP
(SYN | ACK | FIN etc.).
Une ACL avancée est définie par une valeur ACL dans la plage de 3000-3999 comme
Affiché dans l'exemple, pour lequel les règles sont définies pour spécifier la restriction de
Paquets basés sur TCP qui proviennent de toutes les adresses sources dans la gamme de
192.168.1.1 à 192.168.1.255 où l'adresse IP de destination est 172.16.10.1
Et le port de destination est le port 21. Une règle similaire suit pour définir la restriction de
Tous les paquets basés sur IP provenant de sources de la gamme 192.168.2.0/24 vont de
Atteignant la destination unique de 172.16.10.2. Une règle de prise de toutes les règles peut
généralement
Être appliqué pour s'assurer que tout autre trafic est traité par la LCA, généralement
Par une déclaration de permis ou de refus pour tous les paquets basés sur IP.
La validation de l'ACL avancée configurée peut être corrigée à travers la
Affiche acl <acl-number> où le numéro acl se réfère à l'ACL avancée
Numéro qui a été attribué à la ACL configurée. La sortie résultante
Confirme que trois règles ont été créées sur tous les paquets TCP avec les
Adresse IP source dans la plage 192.168.1.0/24 destinée à 172.16.10.1 à partir de
Atteignant le port 21 (ftp) et de n'importe quelle adresse IP source dans la gamme de
192.168.2.0/24 pour atteindre l'adresse IP de destination de 172.16.10.2, alors que
Permettant tout autre trafic IP.
L'ACL peut également être appliquée à l'opération de traduction d'adresse réseau (NAT)
Afin de filtrer les filtres en fonction de IP adresses déterminer quelle interne
Les réseaux sont traduits par lesquels les pools d'adresses externes spécifiques devraient
Plusieurs pools existent. Cela peut se produire lorsqu'un réseau d'entreprise est un
Client à partir de plusieurs fournisseurs de services pour lesquels diverses
Les utilisateurs internes qui sont considérés comme faisant partie des différents réseaux /
sous-réseaux souhaitent
Être mis en ligne et transmis en fonction d'un groupe d'adresses spécifique, potentiellement
Se produisant sur les interfaces de liaison montante de routeur alternatives aux différents
services
Réseaux de fournisseurs.
Dans l'exemple donné, un exemple simplifié de ceci est créé lorsque les hôtes
Dans le réseau interne doivent être filtrés en fonction des règles ACL de base pour
Qu'une solution NAT dynamique est appliquée qui permet la traduction à une donnée
Adresse publique d'un certain groupe d'adresses. En particulier les hôtes provenant de
Le réseau 192.168.1.0/24 sera traduit en utilisant les adresses publiques dans le
Pool associé au groupe d'adresses 1, tandis que les hôtes du 192.168.2.0/24
Le réseau sera filtré en fonction du pool associé au groupe d'adresses 2.
Le numéro d'adresse <numéro d'acteur>> groupe d'adresses <numéro de groupe
d'adresses>
La commande est implémentée sous la vue de l'interface Gigabit Ethernet pour se lier
NAT dans le sens de sortie avec la LCA, et la plage d'adresses IP associée
Est référencé par le groupe d'adresses spécifié.
Résumé
La liste avancée de contrôle d'accès consiste à filtrer le trafic en fonction des attributs?
Une fois qu'une règle ACL correspond à une condition, quelles mesures sont prises?
Avant-propos
AAA définit une architecture de sécurité composée de fonctions référencées comme
Authentification
, Autorisation et comptabilité. Chacune de ces fonctions représente un composant modulaire
qui peut
Être une entreprise, et souvent géré par l'utilisation de protocoles basés sur le client et le
serveur tels que RADIUS
Et HWTACACS. Mise en œuvre de l'architecture AAA en tant que solution pour une
fonctionnalité améliorée
  Est introduit pour renforcer le cadre de sécurité global du réseau d'entreprise.
Objectifs
À la fin de cette section, les stagiaires seront en mesure de :
Décrivez les schémas de l'architecture de sécurité AAA
Configurez avec succès les programmes d'authentification et d'autorisation.
L'authentification, l'autorisation et la comptabilité (AAA) est une technologie qui est
Utilisé pour vérifier si un utilisateur a la permission d'accéder à un réseau, autorise
Exactement à quoi l'utilisateur est autorisé à accéder et fait des enregistrements concernant
Ressources réseau utilisées par un utilisateur. VRP est capable de supporter l'AAA
Services d'authentification et d'autorisation localement dans la série ARG3 de
Les routeurs, communément appelé serveur d'accès réseau ou NAS,
Cependant, les services comptables sont généralement pris en charge par un
Serveur de comptabilité AAA. L'exemple ici démontre comment les utilisateurs qui sont
Une partie du domaine Huawei est capable d'accéder aux ressources
Qui se trouvent dans le réseau de destination affiché. L'accès au réseau
Le serveur (NAS) fonctionne comme le périphérique de passerelle qui peut effectuer
l'authentification
Et l'autorisation des utilisateurs, ou prennent en charge l'authentification du serveur AAA et
Autorisation des utilisateurs. Dans le cas du serveur AAA, les utilisateurs qui sont
Authentifié et autorisé à accéder au réseau de destination peut également
Initier la comptabilité au sein du serveur AAA pendant la durée d'un utilisateur actif
session.
AAA prend en charge trois modes d'authentification. Non authentification complètement
Fait confiance aux utilisateurs et ne vérifie pas leur validité. Ceci est rarement utilisé pour
être évident
raisons de sécurité. L'authentification locale configure les informations de l'utilisateur, y
compris
Le nom d'utilisateur, le mot de passe et les atouts des utilisateurs locaux, sur un accès
réseau
Serveur (NAS). L'authentification locale présente des avantages tels que le traitement rapide
Et des coûts d'exploitation faibles. L'inconvénient de l'authentification locale est le
Stockage limité d'informations à cause du matériel. Authentification à distance
Configure les informations de l'utilisateur, y compris le nom d'utilisateur, le mot de passe et
les attributs
Sur le serveur d'authentification. AAA peut authentifier à distance les utilisateurs en utilisant
le
Authentification à distance Dial In User Service (RADIUS) ou Huawei
Le protocole du système de contrôle d'accès du contrôleur d'accès de terminal
(HWTACACS).
En tant que client, le NAS communique avec RADIUS ou HWTACACS
serveur.
Si plusieurs modes d'authentification sont utilisés dans un schéma d'authentification, ces
Les modes d'authentification prennent effet dans la séquence avec laquelle la configuration
Les modes ont été configurés. Si l'authentification à distance était configurée avant local
L'authentification et si un compte de connexion existe sur l'appareil local mais est
Indisponible sur le serveur distant, l'AR2200 considère que l'utilisateur utilise ce
Compte n'ayant pas réussi à être authentifié par l'authentification à distance, et
Par conséquent, l'authentification locale n'est pas effectuée. L'authentification locale serait
Utilisé uniquement lorsque le serveur d'authentification à distance n'a pas répondu. Si la non
authentification est configurée, elle doit être configurée comme dernier mode à prendre
effet
La fonction d'autorisation AAA est utilisée pour déterminer l'autorisation pour les utilisateurs
Pour accéder à des réseaux ou des dispositifs spécifiques, AAA soutient différents
Modes d'autorisation. En mode non autorisé, les utilisateurs ne sont pas autorisés.
L'autorisation locale autorise toutefois les utilisateurs en fonction des
Attributs des comptes utilisateur locaux configurés sur le NAS. Alternativement,
HWTACACS peut être utilisé pour autoriser les utilisateurs via un serveur TACACS.
Un mode d'autorisation si authentifié peut être utilisé lorsque les utilisateurs sont
Considéré autorisé dans le cas où ces utilisateurs pourraient être
Authentifié dans le mode d'authentification local ou distant. RAYON
L'autorisation autorise les utilisateurs après leur authentification à l'aide d'un RADIUS
Serveur d'authentification. Authentification et autorisation du RADIUS
Le protocole est lié ensemble, donc RADIUS ne peut pas être utilisé pour effectuer
uniquement
autorisation. Si plusieurs modes d'autorisation sont configurés dans un
Système d'autorisation, l'autorisation est effectuée dans la séquence dans laquelle la
Les modes de configuration ont été configurés. Si configuré, la non-autorisation doit être
Le dernier mode prend effet.
Le processus comptable peut être utilisé pour surveiller l'activité et l'utilisation de
Utilisateurs autorisés qui ont eu accès aux ressources du réseau. AAA
La comptabilité prend en charge deux modes de comptabilité spécifiques. Non comptable
peut être
Utilisé et fournit des services gratuits aux utilisateurs sans enregistrement d'utilisateurs, ou
Journaux d'activité.
La comptabilité à distance, d'autre part, prend en charge la comptabilité à l'aide du RADIUS
Serveur ou le serveur HWTACACS. Ces serveurs doivent être utilisés pour
Comptabilité de soutien en raison de l'exigence d'une capacité de stockage supplémentaire
Nécessaire de stocker des informations concernant les journaux d'accès et d'activité de
chaque
Utilisateur autorisé. L'exemple montre une représentation très générale de
Certaines des informations typiques qui sont communément enregistrées au sein de
l'utilisateur
Journaux comptables.
L'appareil utilise des domaines pour gérer les utilisateurs. Authentification, autorisation et
Les schémas comptables peuvent être appliqués à un domaine afin que le périphérique
puisse
Authentifier, autoriser ou charger des utilisateurs dans le domaine en utilisant les schémas.
Chaque utilisateur de l'appareil appartient à un domaine. Le domaine auquel un utilisateur
Appartenance est déterminée par la chaîne de caractères suffixe au nom de domaine
Délimiteur qui peut être @, |, ou%.
Par exemple, si le nom d'utilisateur est user @ huawei, l'utilisateur appartient à
Huawei domaine. Si le nom d'utilisateur ne contient pas un @, l'utilisateur appartient à
Le domaine par défaut nommé par défaut dans le système. Le périphérique hastwo par
défaut
Domaines: par défaut (domaine global par défaut pour les utilisateurs à accès commun) et
Default_admin (domaine par défaut global pour les administrateurs). Les deux domaines
Peut être mieux connu mais pas plus souple.
Si le domaine d'un utilisateur d'accès ne peut pas être obtenu, le domaine par défaut est
utilisé. Le domaine par défaut est utilisé pour les utilisateurs d'accès tels que l'accès NAC
utilisateurs. L'authentification locale est effectuée par défaut pour les utilisateurs de ce
domaine.
Le domaine default_admin est utilisé pour les administrateurs tels que
Les administrateurs qui se connectent en utilisant HTTP, SSH, Telnet, FTP et les terminaux.
Local
L'authentification est effectuée par défaut pour les utilisateurs de ce domaine. Le dispositif
Prend en charge un maximum de 32 domaines, y compris les deux domaines par défaut.
Le routeur AR2200 peut être utilisé comme un serveur d'accès réseau (NAS) inorder
Mettre en œuvre des systèmes d'authentification et d'autorisation. L'exemple
Démontre le processus typique nécessaire pour réussir
Mettez en œuvre les AAA locaux. Les utilisateurs pour l'authentification doivent être créés à
l'aide de
Utilisateur local <nom d'utilisateur> mot de passe [chiffrage \ simple] <mot de passe> niveau
de privilège
<Niveau>. Cette commande spécifie un nom d'utilisateur. Si le nom de l'utilisateur
Contient un délimiteur de nom de domaine tel que @, le caractère avant @ est le
Le nom d'utilisateur et le caractère derrière @ est le nom de domaine. Si la valeur est
Ne contient pas @, la chaîne de caractères entière est le nom d'utilisateur et le domaine
Le nom est le domaine par défaut.
Un schéma d'authentification est créé pour authentifier les utilisateurs et doit
Être créé avant qu'une configuration supplémentaire d'authentification puisse être définie
Réalisé. Le système d'authentification doit être défini comme local, rayon,
Hwtacacs ou aucun. À l'exception du paramètre none, l'autre
Les modes d'authentification peuvent être listés dans l'ordre dans lequel l'authentification doit
être
Tenté, par exemple, les hwtacacs de mode d'authentification locaux
La commande doit être utilisée, et si l'authentification HWTACACS échoue, l'AR2200E
Le routeur démarrera l'authentification locale. Le régime d'autorisation doit également être
Créé pour autoriser les utilisateurs (sauf dans le cas du support du serveur Radius), par
Création d'un système d'autorisation définissant le mode d'autorisation. le
La commande autorise-mode prend en charge les modes pour hwtacacs, local, si authentifié
et aucune autorisation.
La commande domain <domain-name> est utilisée pour créer un nouveau domaine, et
La mise en œuvre du système d'authentification <schéma d'authentification>
Et le système d'autorisation <régime d'autorisation> sous la vue de domaine
Appliquera les schémas d'authentification et d'autorisation à ce domaine.
La configuration du domaine AAA local et des schémas pour les deux
L'authentification et l'autorisation peuvent être vérifiées via le domaine d'affichage ou
Afficher les noms de domaine <nom de domaine>. Utilisation du domaine d'affichage
La commande fournit de brèves informations sur tous les domaines qui ont été
Créé, y compris le nom de domaine et un index de domaine utilisé pour
Référence chaque domaine créé.
La commande nom de domaine d'affichage <nom de domaine> fournit des spécificités
Détails de configuration en référence au domaine défini dans le paramètre domainname.
Avec le nom de domaine est l'état de domaine qui
Se présente comme Active orBlock, où le bloc se réfère à un domaine qui se trouve dans
Bloquant l'état et empêche les utilisateurs de ce domaine de pouvoir enregistrer.
Ceci est implémenté par un état facultatif [actif | Bloquer] commande
Mis en œuvre sous la vue de domaine AAA. Un domaine est en état actif après
Étant créé par défaut.
Le nom de l'authentification-nom associe le critère d'authentification créé au domaine; Il en
va de même pour le régime d'autorisation. le
Le système de comptabilité n'est pas configuré localement et donc une comptabilité
Le schéma n'a pas été associé au domaine créé et, en tant que tel, le
Le système de comptabilité par défaut est situé pour le domaine par défaut. Dans le cas où
La configuration non locale (c'est-à-dire RADIUS ou HWTACACS) est mise en œuvre pour
Soutenir les services AAA, ceux-ci seront associés au domaine sous le
Champs de modèle de serveur.
Objectifs
Quels sont les deux schémas AAA pris en charge lors de la configuration de VRP pour
prendre en charge le mode local?
Si aucun domaine n'est défini pour les utilisateurs, quelles mesures sont prises?
Avant-propos
Le développement préliminaire du protocole TCP / IP a fait très peu pour assurer la sécurité
de la communication entre
Dispositifs de peering. Au fur et à mesure que les réseaux évoluaient, la nécessité d'une plus
grande protection des données transmises.
Des solutions pour la protection des données ont été développées, à partir de laquelle IPsec
est apparue comme une architecture de sécurité
Pour la mise en œuvre de la confidentialité, de l'intégrité et de l'authentification de l'origine
des données, principalement
Grâce au soutien de protocoles sous-jacents, IPsec reste un cadre clé dans la protection des
données,
Qui a vu une intégration des composants IPsec adoptés dans la prochaine génération de
normes TCP / IP.
Objectifs
À la fin de cette section, les stagiaires seront en mesure de:
Expliquez les principes de base de l'architecture de sécurité IPsec.
Configurer IP peep entre deux périphériques
La sécurité du protocole Internet (IPsec) est une suite de protocoles définie par Internet
Engineering Task Force (IETF) pour sécuriser le protocole Internet (IP)
Communication par authentification et / ou cryptage de chaque paquet IP d'un
Session de communication. Deux parties communicantes peuvent crypter des données et /
ou
Authentifier les données provenant de l'IPlayer pour assurer la confidentialité des données,
L'intégrité et la disponibilité du service.
La confidentialité est le service de sécurité qui protège la divulgation typiquement
Données sur le niveau d'application, mais englobe également la divulgation de la
communication
Qui peut également être une préoccupation dans certaines circonstances. Circulation
La confidentialité est le service appliqué pour cacher la source et la destination
Les adresses, la longueur du message ou la fréquence de la communication.
IPsec prend en charge deux formes d'intégrité; Sans connexion et une forme de
L'intégrité des séquences. L'intégrité sans connexion est un service qui détecte
Modification d'un datagramme IP individuel, sans égard à la commande de la
Datagramme dans un flux de trafic. La forme de l'intégrité partielle de la séquence de fered
Dans IPsec, on appelle l'intégrité anti-replay, et il détecte l'arrivée du duplicata
Les datagrammes IP (dans une fenêtre contrainte). Cela contraste avec l'intégrité orientée
connexion, qui impose des exigences de séquençage plus strictes sur
Le trafic, par exemple, pour pouvoir détecter les messages perdus ou ré-ordonnés. Bien que
Les services d'authentification et d'intégration sont souvent cités séparément, en pratique, ils
Sont intimement connectés et presque toujours offerts en tandem.
La disponibilité, lorsqu'elle est considérée comme un service de sécurité, répond à la
sécurité
Préoccupations engendrées par les attaques contre des réseaux qui refusent ou se
dégradent
un service. Par exemple, dans le contexte IPsec, l'utilisation de mécanismes anti-replay
Dans les protocoles sous-jacents, en particulier AH et ESP, supporte la disponibilité pour
Empêcher les attaques que les utilisateurs malveillants initient en renvoyant les paquets
capturés.
IPsec utilise deux protocoles pour assurer la sécurité du trafic, l'en-tête d'authentification
(AH) et Encapsulating Security Payload (ESP). L'authentification IP
L'en-tête (AH) fournit une intégrité sans connexion, une authentification d'origine de données
et
Un service anti-relecture optionnel. La charge utile de sécurité encapsulante (ESP)
Le protocole peut assurer la confidentialité (cryptage) et le trafic limité
confidentialité.
ESP offre en option la confidentialité de la circulation. La force de la
Le service de confidentialité dépend en partie de l'algorithme de cryptage utilisé,
Pour lequel trois formes principales d'algorithme de cryptage sont possibles. ESP peut
Également fournir une authentification, mais la portée de l'authentification
Offert parESP est plus étroit que pour AH puisque l'en-tête IP externe (tunnel
Mode) et l'ESP header sont / ne sont pas protégés sous l'authentification ESP.
La norme de chiffrement des données avec le calage du bloc de chiffrement (DES-CBC) est
un
Algorithme de clé de secret symétrique qui utilise une taille de clé de 64 bits, mais est
Communément connu comme une clé de 56 bits, la clé ayant 56 bits significatifs; le moins
Un bit important dans chaque octet est le bit de parité. Son utilisation aujourd'hui est limitée
en raison de
Capacité de calcul pour effectuer des attaques de force brute dans un
Un intervalle de temps considérablement limité. Triple Data Encryption Standard (3DES) isa
Algorithme de cryptage de 168 bits qui implique l'anitération du processus DES avec
L'addition d'un vecteur d'initialisation (IV), une valeur utilisée pour dissimuler les modèles
Des données cryptées pour améliorer la confidentialité globale des données. L'Avancé
La norme de cryptage (AES) prend en charge le cryptage jusqu'à 256 bits en utilisant à
nouveau
CBC et IV pour une force supplémentaire d'encryption. L'énigme devient
En outre, plus complexe, le temps de traitement nécessaire pour atteindre
Cryptage et décryptage.
Une association de sécurité (SA) désigne une forme de connexion établie dans
Une direction unique par laquelle les services de sécurité pertinents pour le trafic sont
Défini. Les services de sécurité sont attribués à une SA sous la forme de AH, ou
ESP, mais pas deux. Si la protection basée sur AH andESP est appliquée à une circulation
, Deux (ou plus) SA sont créées pour accorder une protection au trafic
courant. Afin de sécuriser la communication bidirectionnelle entre deux hôtes, ou
Deux passerelles de sécurité, comme le montre l'exemple, deux associations de sécurité
(Une direction ineach) sont nécessaires.
Les SA d'IPsec sont établies soit en mode manuel, soit dans Interchange de clés Internet
(IKE). L'établissement de SA en mode manuel nécessite tous
Des informations telles que ces paramètres affichés dans l'exemple, ont été configurés
manuellement. Cependant, les SA établies en mode manuel ne vieilliront jamais.
L'établissement de SA en utilisant le mode de négociation IKE est plus simple que la
négociation IKE
L'information doit être configurée uniquement sur deux pairs et les SA sont créées
Et maintenu par la négociation d'IKE, pour laquelle la complexité existe
Principalement dans le processus automatisé de négociation IKE, et ce ne sera pas
Couvert en détail ici. La SA établie dans la négociation IKE a une durée de vie basée sur le
temps ou sur le trafic. Lorsque le temps ou le volume de trafic spécifié est
Atteint, une SA devient invalide. Lorsque la SA est sur le point d'expirer, IKE
Négocier une nouvelle SA.
Un moyen de transport SA est une association de sécurité entre deux hôtes. Dans IPv4, un
L'en-tête du protocole de sécurité du mode de transport apparaît immédiatement après l'IP
En-tête, toutes les options et avant tout protocole de couche supérieure (par exemple TCP
ou
UDP). En mode transport, les protocoles protègent principalement les personnes âgées
Protocoles de couche. Un en-tête AH ou ESP est inséré entre l'en-tête IP et
L'en-tête du protocole de couche de transport. Dans le cas de ESP, un mode de transport
SA
Fournit des services de sécurité uniquement pour ces protocoles de couche supérieure, et
non pour l'IP
En-tête ou tous les en-têtes d'extension précédant l'en-tête ESP. Dans le cas de
AH, la protection est également étendue aux parties sélectionnées de l'en-tête IP, comme
Ainsi que les options sélectionnées.
Dans le contexte IPsec, en utilisant ESP dans le mode tunnel, en particulier à un niveau de
sécurité
Gateway, peut fournir un certain niveau de confidentialité des flux de trafic. L'IP externe
L'adresse source de l'en-tête et l'adresse de destination identifient les points finaux de la
tunnel. La source d'en-tête IP interne et les adresses de destination identifient le
L'expéditeur original et le destinataire du datagramme, (à partir de cette perspective
Tunnel), respectivement.
L'en-tête IP interne n'est pas modifié sauf pour décrémenter le TTL et reste
Inchangé pendant sa livraison au point de sortie du tunnel. Aucun changement ne se produit
à IP
Des options ou des en-têtes d'extension dans l'en-tête interne pendant la livraison du
Daté encapsulé dans le tunnel. Un en-tête AH ou ESP est inséré
Avant l'en-tête IP d'origine, et un nouvel en-tête IP est inséré avant l'AH
Ou ESP.
L'exemple donné montre le mode tunnel IPsec pendant le paquet basé sur TCP
transmission. Si AH est également appliqué à un paquet, il est appliqué à l'en-tête ESP,
Charge utile de données, bande annonce ESP et données d'authentification ESP (ICV), si
les champs sont
présent.
La mise en œuvre d'un réseau privé virtuel IPsec (VPN) nécessite que
L'accessibilité de la couche réseau entre l'initiateur et le destinataire est vérifiée pour
Assurez-vous que la communication non IPsec est possible avant de construire n'importe
quel VPN d'IPSec.
Le trafic de Notall est requis pour être soumis à des règles d'intégrité ou de confidentialité,
Et, par conséquent, le filtrage du trafic doit être appliqué au flux de données pour identifier
Trafic intéressant pour lequel IPsec sera crédible. Un flux de données est une collection
Du trafic et peut être identifié par l'adresse source / masque, la destination
Adresse / masque, numéro de protocole, numéro de port source et port de destination
nombre. Lors de l'utilisation de VRP, les flux de données sont définis à l'aide de groupes
ACL. Une donnée
Le flux peut être une connexion TCP unique entre deux hôtes ou alltraffic entre
Deux sous-réseaux. La première étape pour configurer IPsec consiste à définir ces données
les flux.
Une proposition IPsec définit le protocole de sécurité, l'algorithme d'authentification,
Algorithme de cryptage et mode d'encapsulation pour que les flux de données soient
protégé. Les protocoles de sécurité AH et ESP peuvent être utilisés indépendamment ou
ensemble. AH supporte les algorithmes d'authentification MD5, SHA-1 et SHA-2. ESP
Prend en charge trois algorithmes d'authentification (MD5, SHA-1 etSHA-2) et trois
Algorithmes de cryptage (DES, 3DES et AES). IPsec prend également en charge les deux
Les modes de transport et d'encapsulation du tunnel. Pour transmettre le même flux de
données,
Les pairs sur les extrémités d'un tunnel de sécurité doivent utiliser le même protocole de
sécurité,
Algorithme d'authentification, algorithme de cryptage et mode d'encapsulation. À
Implémenter IPsec entre deux passerelles, il est conseillé d'utiliser le mode tunnel pour
Protéger la source actuelle et les adresses IP utilisées pour l'utilisation de la communication.
Une stratégie IPsec définit le protocole de sécurité, l'algorithme d'authentification,
Algorithme de cryptage, et mode d'encapsulation pour les flux de données en notant un
Proposition IPsec. Le nom et le numéro de séquence identifient de manière unique un IPSec
politique. Les stratégies IPsec sont classées dans les stratégies IPsec utilisées
manuellement
L'établissement de Sas et les politiques IPsec utilisées pour l'établissement de SA via IKE
négociation.
Pour configurer une politique IPsec utilisée pour établir manuellement des SA, définissez
Des paramètres tels que la clé et le SPI. Si le mode tunnel est configuré, l'IP
Les adresses pour deux points d'extrémité d'un tunnel de sécurité doivent également être
définies. Quand
La configuration d'une politique d'IPSec utilisée pour l'établissement de la négociation SAI
via IKE,
Des paramètres tels que la clé et le SPI n'ont pas besoin d'être définis tels quels
Généré par la négociation IKE automatiquement. Les politiques IPsec de la même
Le nom des différents nombres de séquence différentiels comprend un groupe de politiques
de l'IPSec.
Dans un groupe de politique d'IPsec, une politique de PEsec avec un nombre de séquence
plus petit a
Une priorité plus élevée. Une fois qu'un groupe de stratégie IPsec est appliqué à une
interface, tous
Les politiques IPsec dans le groupe sont appliquées à l'interface. Cela permet différentes
SA à utiliser pour différents flux de données.
La communication à la couche réseau représente la condition préalable initiale de
L'établissement de la connexion VPN IPsec. Ceci est pris en charge dans cet exemple
Grâce à la création d'une route statique indiquant la prochaine adresse de bus de RTB.
Il est nécessaire de mettre en œuvre des itinéraires statiques dans les deux sens pour
assurer
Communication bidirectionnelle entre les réseaux. Une ACL avancée a été créée
Pour identifier le trafic intéressant pour lequel le VPN IPsec sera lancé,
Par lequel l'ACL avancée est capable de filtrer en fonction de données spécifiques
Paramètres et choisiront de rejeter, de contourner ou de protéger le filtre
Les données.
La commande de proposition ipsec crée une proposition d'IPSec et apprend l'IPsec
Vue de la proposition. Lors de la configuration d'une politique d'IPSec, il est nécessaire de
déchirer
Une proposition IPsec pour spécifier le protocole de sécurité, l'algorithme de cryptage,
L'algorithme d'authentification et le mode d'encapsulation utilisé par les deux extrémités de la
Tunnel IPsec. Une nouvelle proposition IPsec créée à l'aide de la proposition ipsec
Command bydefault utilise le protocole ESP, l'algorithme de cryptage DES, MD5
L'algorithme d'authentification et le mode encapsulation tunnel. Ceux-ci peuvent être
Redéfini en utilisant diverses commandes sous la vue de la proposition IPsec. le
Transformer [ah | Ah-esp | Esp] permettront de transformer le transformateur actuel,
L'encapsulation-mode {transport | Tunnel} peut modifier les moyens utilisés pour
Encapsule les paquets.
L'algorithme d'authentification utilisé par le protocole ESP peut être utilisé en utilisant le
Esp authentification-algorithme [md5 | Sha1 | Sha2-256 | Sha2-384 | Sha2-512]
Andesp chiffrage-algorithme [des | 3des | Aes-128 | Aes-192 | Aes-256] pour
Affectation de cryptage ESP. Le protocole AH ah l'algorithme d'authentification
[Md5 | Sha1 | Sha2-256 | Sha2-384 | Sha2-512] permet à AHbased
L'authentification à assaillir.
La vérification des paramètres pour la proposition IPsec peut être réalisée par
La commande ipsec d'affichage ips nom [nom <proposition-nom>]. En conséquence, il est
Possibilité de voir les propositions sélectionnées ou toutes les propositions qui ont été
créées. le
Nom définit le nom donné à la proposition IPsec créée, tandis que le
Le mode d'encapsulation répertorie le mode actuel utilisé pour cela
Proposition, qui peut être soit transport ou tunnel. Transform se réfère à la
Des algorithmes sont appliqués là où cela peut être AH, ESP ou une combinaison de AH
Et les transformations ESP. Selon la transformation définie, les
Les algorithmes seront répertoriés.
Les paramètres du nom de la police et du numéro seq identifient une politique IPsec.
Les stratégies IPsec multiples avec le même nom de stratégie IPsec constituent un IPSec
Groupe de politique. Le groupe de règles AnIPsec contient un maximum de 16 politiques
PIP,
Et une politique IPsec avec le plus petit numéro de séquence a le plus haut
priorité. Une fois que le groupe de règles d'unIPSec est appliqué à une interface, toutes les
stratégies IPsec
Dans le groupe sont appliqués à l'interface pour protéger différents flux de données. Le long
de
Avec le nom de la politique et le numéro seq, la politique doit définir la création de
Saisissez ou négociez manuellement avec IKE.
Si la négociation IKE est utilisée, les paramètres doivent être définis à l'aide de la commande
ipsec-policytemplate, alors que les paramètres manuellement définis sont configurés comme
Montré dans l'exemple. La LCA créée est liée à la politique avec
La proposition créée. Les commandes à distance du tunnel local et du tunnel définissent
L'interface sur laquelle le tunnel IPsec va s'établir et se terminer. Une source
L'index des paramètres (SPI) est défini à la fois entrant et sortant.
Le SPI entrant sur l'endmust local est le même que le SPI sortant sur
La fin de la télécommande. Le SPI sortant sur l'endmust local est le même que le
SPI entrant sur la télécommande. Ce nombre a été utilisé pour chaque SA,
En gardant à l'esprit qu'une SA n'applique que dans une seule direction nécessitant donc un
SPI
Dans tous les sens à préciser. Enfin, les clés d'authentification doivent être définies
À nouveau à la fois entrant et sortant. La clé d'authentification sortante sur le
L'endommage local est le même que la clé d'authentification entrante sur la télécommande
fin. Lorsque la négociation IKE est utilisée, les clés SPI et authentification sont
Négocié automatiquement.
Suite à la création d'une politique et à la liaison de la proposition et de la LCA
La politique, la politique elle-même peut être appliquée à l'interface physique sur laquelle
Le trafic sera soumis au traitement IPsec. Dans l'exemple donné un IPsec
Tunnel doit être établi entre interface Gigabit Ethernet 0/0/1 de RTA
Et Gigabit Ethernet 0/0/1 de RTB. Sous la vue de l'interface, la politique ipsec
La commande est utilisée pour appliquer la stratégie créée à l'interface.
Une interface ne peut utiliser qu'un groupe de stratégie IPsec. Pour appliquer un nouvel
IPsec
Groupe de politique sur l'interface, le groupe de politique précédent doit être d'abord
Enlevé. Un groupe de politique IPsec qui établit une SA via IKE
La négociation peut être appliquée à plusieurs interfaces, alors qu'une politique IPsec
Le groupe qui établit une SA en mode manuel ne peut être appliqué qu'à un
interface. Lors de l'envoi d'un paquet à partir d'une interface, l'AR2200 correspond à la
Paquet avec chaque stratégie IPsec dans le groupe de stratégies IPsec. Si le paquet
correspond
Une politique IPsec, l'AR2200 encapsule le paquet selon la politique.
Sinon, le paquet est envoyé sans encapsulation.
Utilisation de la politique ipsec d'affichage [bref | Nom de la politique [numéro seq]]
Commande, une politique IPsec spécifique ou toutes les stratégies IPsec peuvent être
visualisées. le
Les paramètres de la politique IPsec affichés incluent le nom de la police et le
Numéro de séquence de la politique, habituellement utilisé pour distinguer la priorité de
Politiques dans un groupe où un nombre de séquence inférieur représente une plus grande
priorité. Les liens de stratégie tels que le nom de la proposition et la LCA qui est
Utilisé pour filtrer le trafic dans une politique s'affiche avec le local et distant
Les adresses de tunnels pour la politique IPsec.
Utilisation de la politique ipsec d'affichage [bref | Nom de la politique [numéro seq]]
Commande, une politique IPsec spécifique ou toutes les stratégies IPsec peuvent être
visualisées. le
Les paramètres de la politique IPsec affichés incluent le nom de la police et le
Numéro de séquence de la politique, habituellement utilisé pour distinguer la priorité de
Politiques dans un groupe où un nombre de séquence inférieur représente une plus grande
priorité. Les liaisons politiques telles que le nom de la proposition et la lettre de crédit
Utilisé pour filtrer le trafic dans une politique est affiché avec le local et le repos
Adresses tunnel pour la politique IPsec
résumé
Qu'entend-on par une Security Association (SA)?
Quelles sont les trois actions possibles qui peuvent être appliquées au trafic filtré IPSec?
Avant-propos
Les limitations dans IPsec VPN restreignent la capacité de parcourir les routes entre les
disparités
Des réseaux basés sur un site, et ne permettent que des solutions de route statique. GRE
fournit un
Mécanisme pour l'encapsulation de paquets d'un protocole en paquets d'un autre protocole.
le
L'application de GRE est en tant que telle implémentée comme une solution principale aux
limitations VPN IPsec,
Pour lesquels la connaissance du GRE est nécessaire pour compléter le savoir-faire existant
du VPN IPsec.
Objectifs
À la fin de cette section, les stagiaires seront en mesure de:
Expliquez comment le GRE peut être appliqué pour fournir diverses solutions.
Décrivez le comportement principal du GRE
Configurez GRE sur IPsec.
Les solutions rentables pour la communication privée entre réseaux ont utilisé
Des technologies telles que IPsec pour permettre aux réseaux publics partagés d'agir
comme un
Moyen pour combler l'écart entre les bureaux distants. Cette solution fournit
Transmission sécurisée aux charges utiles des paquets IP mais n'autorise pas le routage
Des protocoles tels que RIP et OSPF à transporter entre les deux tunnel
Points d'extrémité. Le GRE a été développé à l'origine comme un moyen de soutenir le
Transmission de protocoles tels que IPX via des réseaux IP, mais avec le temps
Le rôle primordial du GRE a été transféré vers le support du routage basé
Protocol tunneling.
Le GRE peut être appliqué dans un système autonome pour surmonter certains
Limitations trouvées dans les protocoles IGP. Les itinéraires RIP offrent par exemple une
limite de sauts de
15 sauts au-delà desquels toutes les routes sont soumises à la règle de l'infini. le
L'application du GRE dans de tels environnements permettra la création d'un tunnel
Sur lequel les mises à jour de routage peuvent être portées, permettant l'échelle d'une telle
distance
Le routage des vecteurs doit être augmenté de manière significative si nécessaire.
L'une des principales limitations de GRE est le manque de capacité à sécuriser les paquets
comme
Ils sont transportés dans un réseau public. Le trafic transporté dans un GRE
Le tunnel n'est pas soumis au cryptage car ces fonctionnalités ne sont pas prises en charge
par
GRE. Asa result Les solutions IPsec sont utilisées avec GRE pour permettre
Les tunnels GRE seront établis dans les tunnels IPsec pour étendre les fonctionnalités
Y compris l'intégrité et la confidentialité au GRE.
Après avoir reçu un paquet de l'interface qui est connecté au privé
Réseau, le paquet est livré au module de protocole de réseau privé pour
En traitement. Le module de protocole de réseau privé vérifie la destination
Champ d'adresse dans l'en-tête du paquet du réseau privé, recherche le message sortant
Interface dans la table de routage ou la table mobile du réseau privé, et
Détermine la façon d'acheminer ce paquet. Si l'interface sortante est le tunnel
Interface, le module de protocole réseau privé envoie le paquet au tunnel
module.
Après avoir reçu le paquet, le module tunnel encapsule d'abord le paquet
Selon le type de protocole du protocole de passagers et de la somme de contrôle
Les paramètres sont configurés pour le tunnel GRE actuel. C'est-à-dire le tunnel
Module ajoute un en-tête GRE au paquet. Itnext ajoute un en-tête IP selon
À la configuration. L'adresse source de cet en-tête IP est la source
Adresse du tunnel; L'adresse de destination de l'en-tête IP est la
L'adresse de destination du tunnel, suite à laquelle le paquet est livré au
IPmodule. L'IPmodule recherche l'interface sortante appropriée dans
La table de routage du réseau public en fonction de l'adresse de destination dans l'IP
En-tête et envoie le paquet. Le paquet encapsulé est alors transmis
Sur le réseau public.
Après avoir reçu le paquet de l'interface connectée au public
Réseau, l'interface de sortie analyse l'en-tête IP, détermine la
Destination du paquet et découvre que le champ Type de protocole est 47, indiquant
Que le protocole est GRE. L'interface de sortie délivre le paquet au module GRE pour le
traitement.
Le module GRE supprime l'en-tête IP et l'en-tête GRE et apprend
À partir du champ Type de protocole dans l'en-tête GRE que le protocole de passager est
Le protocole est exécuté sur le réseau privé, le module GRE délivre ensuite le
Paquet sur ce protocole. Le protocole lui-même gère le paquet comme avec n'importe quel
Paquet ordinaire.
L'authentification par clé indique l'authentification sur une interface tunnel. Ce
Le mécanisme de sécurité peut empêcher l'interface du tunnel de manière incorrecte
Identifier et recevoir les paquets à partir d'autres périphériques. Si le bit K dans le
L'en-tête GRE est réglé sur 1, le champ Clé est inséré dans l'en-tête GRE. Les deux
Le récepteur et l'expéditeur effectuent l'authentification des clés sur le tunnel.
Le champ Clé contient une valeur de quatre octets, qui est insérée dans le GRE
En-tête lors de l'encapsulation de paquets. Le champ Clé est utilisé pour identifier le trafic
Dans le tunnel. Les paquets du même flux de trafic ont le même champ de clé. Quand
Les paquets sont décapsulés, le tunnel définit les paquets de même
Trafic selon le champ clé. L'authentification ne peut être transmise que lorsque
Les champs clés définis sur les deux extrémités du tunnel sont cohérents, sinon les
Les paquets sont mis au rebut.
La fonction de détection de keepalive est utilisée pour détecter si le lien du tunnel est en
cours
L'état de conservation à tout moment, c'est-à-dire si le pair du tunnel est
accessible. Si le pair n'est pas accessible, le tunnel est interdit de prévenir
Des trous noirs se produisent. Une fois la fonction Keepalive activée, la fin locale de
Le tunnel GRE envoie périodiquement un paquet de détection keepalive au pair. Si
Le pair est accessible, le local reçoit un paquet de réponse du pair. le
La fonction keepalive fonctionnera aussi longtemps qu'au moins une extrémité est configurée
avec
La fonction keepalive, le pair n'a pas besoin d'avoir la fonction keepalive
activée. Si le pair reçoit un paquet de détection keepalive, il envoie une réponse
Paquet à la fin locale, indépendamment du fait qu'il soit configuré avec le
Fonction keepalive.
Une fois la fonction keepalive activée, la source d'un tunnel GRE crée une
Compteur, envoie périodiquement les paquets de détection Keepalive, et compte le
Nombre de paquets de détection. Le nombre augmente d'un après chaque
Détecteur de paquets de détection.
Si la source reçoit un paquet de réponse avant que la valeur du compteur n'atteigne le
Valeur prédéfinie, la source considère que le pair est accessible. Si la source
Ne reçoit pas de paquet de réponse avant que le compteur n'atteigne la valeur prédéfinie
Qui définit le nombre de tentatives, la source considère que le pair est
Inaccessible et procédera à la fermeture du tunnel.
L'établissement de GRE nécessite d'abord la création d'une interface tunnel.
Après avoir créé une interface tunnel, spécifiez GRE comme type d'encapsulation, définissez
L'adresse source du tunnel ou l'interface source, et définissez la destination du tunnel
adresse. En outre, définissez l'adresse du réseau de l'interface tunnel afin que
Le tunnel peut supporter les routes. Les itinéraires pour un tunnel doivent être disponibles
sur les deux
Les périphériques source et de destination afin que les paquets encapsulés avec GRE
puissent être
Transmis correctement. Un itinéraire passant par des interfaces tunnel peut être statique
Itinéraire ou une route dynamique.
Un autre point clé qui doit être pris en compte lors de la configuration
La phase est la MTU. Le GRE donne lieu à 24 autres octets de frais généraux
Appliqué aux en-têtes existants et à la charge utile, ce qui entraîne
Une fragmentation inutile se produit. Cela peut être résolu en ajustant le
Taille MTU en utilisant la commande mtu <mtu> pour permettre aux paquets de compenser
Les frais généraux supplémentaires créés. Un MTU de 1476 est considéré comme suffisant
Ajustement au MTU, pour réduire la charge supplémentaire sur l'interface
L'état de fonctionnement et les informations de routage pour l'interface du tunnel GRE
peuvent être
Observé suite à la création de l'interface tunnel. Un tunnel actif
L'interface peut être confirmée lorsque l'état actuel du tunnel et la couche de liaison (ligne)
L'état du protocole se présente à la fois comme UP. Tout ajustement à la MTU existante
Peut être identifié pour s'assurer que les frais généraux supplémentaires ne sont pas créés
en conséquence
De fragmentation. L'adresse Internet représente l'IP du tunnel configurée
Adresse à l'interface de sortie. La source du tunnel et les affichages de destination
Les adresses IP de l'interface physique qui sont utilisées, sur lesquelles
Le tunnel GRE est établi.
L'accessibilité des réseaux sur le tunnel GRE peut être déterminée en fonction de
La table de routage IP qui est visualisée à l'aide de la commande de table de routage ip
d'affichage.
Dans ce cas, il est possible d'identifier l'adresse réseau interne d'un réseau
Réseau local et sa capacité à atteindre l'adresse du réseau de destination d'un
Réseau distant sur une interface tunnel à base de GRE. L'adresse de destination
Fait référence à l'adresse réseau qui est atteinte sur le tunnel GRE, tandis que le
L'adresse du prochain chemin adresse l'adresse IP du tunnel à distance GRE
interface
La fonction keepalive peut être activée sur l'interface du tunnel GRE en spécifiant
La commande keepalive [période <période> [retry-times <retry-times>]], où
La période détermine le nombre de secondes prises avant chaque période de conservation
Envoyé, ceci par défaut est réglé sur une période de 5 secondes. Le nombre de fois pour
Lequel un keepalive sera envoyé est défini en utilisant les temps de tentative <retry-times>
Paramètre, qui par défaut est réglé sur 3 essais. Si le pair ne répond pas dans
Le nombre de tentatives définies, la communication entre les deux extrémités de la
Le tunnel sera considéré comme ayant échoué et le tunnel GRE se déroulera
Déchiré.
La commande du tunnel d'interface d'affichage peut encore être appliquée pour évaluer si
Le tunnel est encore actif suite à une perte de communication entre le GRE
Points d'extrémité du tunnel. Dans l'exemple, on constate que l'état de la couche de lien de
la
Le tunnel GRE a fait une transition vers un état descendant indiquant qu'une panne dans
La communication s'est produite. La fonction keepalive est actuellement activée et
Affiche une période de conservation de trois secondes entre chaque message envoyé.
Le nombre de tentatives a également été déterminé comme permettant une perte de
réponses
Jusqu'à trois fois
Résumé
Quelle est la principale application pour l'utilisation de GRE ?
Quelle est la dégradation entre l'adresse Internet et la source du tunnel dans la commande
du tunnel d'interface d'affichage ?
Avant-propos
Les solutions de cadres de gestion pour les réseaux TCP / IP ont été introduites au fur et à
mesure que le matériel et les logiciels augmentaient, afin de supporter la dégradation rapide
du réseau, SNMP a été initialement adapté à partir d'un protocole SGMP plus simple pour
servir de base à la gestion commune du réseau dans tout le système. SNMP a depuis révisé
les révisions de version, mais il reste le protocole standard pour la gestion du réseau.
Le cadre SNMP, ainsi que la base d'informations de gestion de soutien, servent de base à la
gestion du réseau, et sont présentés à l'appui d'une compréhension bien arrondie du cadre
de gestion de réseau pour TCP / IP.
Objectifs
À la fin de cette section, les stagiaires seront en mesure de:
Décrivez l'architecture SNMP et le comportement de messagerie.
Décrivez la fonction de la base d'information de gestion (MIB).
Configurer les paramètres et les pièges SNMP généraux
Le protocole de gestion de réseau simple (SNMP) est une gestion de réseau
Protocole largement utilisé dans le réseau TCP / IP. SNMP est une méthode de gestion
Éléments de réseau utilisant un poste de travail de la console réseau qui exécute un réseau
Logiciel de gestion.
SNMP peut être utilisé pour réaliser un certain nombre d'opérations de communication. le
Network Management Station (NMS) s'appuie sur SNMP pour définir des sources pour
Des informations sur le réseau et obtenir des informations sur les ressources réseau. SNMP
est également
Utilisé pour relayer des rapports sous la forme de messages de piégeage au NMS afin que
le
La station peut obtenir l'état du réseau en temps quasi réel, pour permettre au réseau
Administrateur pour prendre rapidement des mesures en cas de divergences
les échecs.
SNMP est largement utilisé pour gérer les programmes d'application, les comptes
d'utilisateurs et
Autorisations d'écriture / lecture (licences), etc., ainsi que le matériel qui
Comprend le réseau, y compris les postes de travail, les serveurs, les cartes réseau, le
routage
Les périphériques et les commutateurs. Généralement, ces dispositifs sont situés loin des
Bureau central où l'administrateur réseau est basé. Lorsque des défauts surviennent
Les périphériques, on s'attend à ce que l'administrateur du réseau puisse être averti
Automatiquement des fautes. SNMP fonctionne efficacement comme une communication
Entre les éléments du réseau et l'administrateur réseau / NMS.
Les éléments de réseau tels que les hôtes, les passerelles, les serveurs de terminaux, etc.
contiennent deux
Composants importants qui prennent en charge les fonctions de gestion de réseau
Demandé par les stations de gestion de réseau. L'agent de gestion
Réside sur l'élément de réseau pour récupérer (obtenir) ou modifier (définir)
Variables.
Les stations de gestion réseau (NMS) associent à des agents de gestion qui
Sont responsables de l'exécution des fonctions de gestion du réseau demandées
Par le SGN. La MIB stocke un certain nombre de variables associées à la
Élément de réseau, chacune de ces variables étant considérée comme une MIB
objet. L'échange de messages SMS dans IP ne nécessite que le support
De UDP comme un service de datagramme peu fiable pour lequel chaque message est
Représenté indépendamment par un datagramme de transport unique.
Une base d'informations de gestion (MIB) spécifie les variables maintenues par
Éléments de réseau. Ces variables sont les informations qui peuvent être consultées
Et fixé par le processus de gestion. Une MIB présente une structure de données,
La collecte de tous les objets gérés possibles sur le réseau. La MIB SNMP
Adopte une structure arborescente semblable à celle trouvée dans un système de noms de
domaine (DNS).
L'arbre de nommage d'objet comporte trois objets supérieurs: ISO, ITU-T (initialement
CCITT),
Et la branche des organisations communes. Selon l'ISO, il y a quatre objets
Dont le numéro 3 est l'organisation identifiée. Un sous-arbre des États-Unis
Département de la Défense dod (6) est défini sous l'organisation identifiée (3)
Sous lequel l'arborescence Internet (1) est située. L'objet sous Internet
Est mgmt (2). Ce qui suit mgmt (2) est MIB-II, à l'origine MIB jusqu'en 1991, lorsque la
nouvelle MIB-II a été définie. Le chemin d'arbre lui-même peut être défini comme une valeur
d'identificateur d'objet (OID) {1.3.6.1.2.1}.
SNMP définit cinq types d'unités de données de protocole (PDU), à savoir SNMP
Paquets, à échanger entre le processus de gestion et l'agent
processus. L'opération de demande de demande indique que le processus de gestion
Lit une ou plusieurs valeurs de paramètres à partir de la MIB du processus de l'agent. le
Get-next-request indique que le processus de gestion lit la prochaine
Valeur du paramètre dans l'ordre lexicographique à partir de la MIB du processus de l'agent.
La requête définie indique que le processus de gestion définit un ou plusieurs
Valeurs des paramètres dans la MIB du processus de l'agent. La reprise retourne
Une ou plusieurs valeurs de paramètres. Cette opération est effectuée par l'agent
processus. C'est la réponse aux trois opérations précédentes. Enfin, le piège
Fonction qui est activement envoyée par le processus de l'agent pour informer la direction
Processus d'événements importants ou critiques.
SNMPv1 est le protocole d'application original par lequel les variables d'un
La MIB de l'agent peut être jugée oralisée. L'évolution de SNMP impliquée non
Ne change que le protocole, mais aussi la MIB qui a été utilisée. Nouveaux objets
Ont été définis dans la MIB résultant de la MIB-II (ou MIB-2) étant définie, y compris
Par exemple sysContact. SysName, sysLocation, sysServices pour fournir
Les coordonnées, l'administration, l'emplacement et les informations sur le service
concernant
Nœud géré dans le groupe de système, andipRouteMask, ipRouteMetric5 et
Les objets ipRouteInfo sont inclus dans la partie de l'objet de la table IProute.
La transition vers la version 2 de SNMP comportait un nombre de
InSNMPv2c en cours d'élaboration, y compris l'introduction d'un nouveau type de PDU
La forme deGetBulkRequest-PDU pour permettre l'information de plusieurs objets à
Être récupéré dans une demande unique et la demande d'information, un gestionnaire
PDU de communication de gestionnaire, utilisée lorsqu'un gestionnaire envoie des
informations
De la vue anMIB à un autre responsable. Des objets spécifiques utilisent également des
compteurs comme
La syntaxe que la version inSNMP 1 représentait une valeur de 32 bits. Cela signifiait que
dans
Des objets donnés tels que le nombre d'octets d'interfaces, il était facile pour le compteur
Compléter un cycle complet des valeurs et de l'emballage, semblable au compteur
kilométrique
Mesure le kilométrage dans les véhicules.
En utilisant le compteur 32 bits, des octets sur une interface Ethernet transmettant à
10Mbps s'emballe en 57 minutes, à 100Mbps, le compteur s'enroule dans 5,7
Minutes, et à 1Gbps, il ne faudrait que 34 secondes avant que le comptoir ne soit pleinement
Cyclé. Les objets sont généralement interrogés (inspectés) toutes les 1 ou 5 minutes, et
Des problèmes surviennent lorsque les compteurs s'emballe plus d'une fois entre les
interrogations d'objets une vraie mesure ne peut être déterminée.
Pour résoudre ce problème, les nouveaux compteurs ont été définis dans SNMP version 2c
sous la forme de
Compteurs de 64 bits pour toutes les situations où les compteurs de 32 bits s'embalent trop
rapidement, ce qui
Traduit dans n'importe quelle interface qui compte plus de 650 millions de bits de
persécution.
Incomparaison, à l'aide d'un compteur 64 bits pour compter les octets sur un 1Tbps (1 000
Gbps) se déroulera dans moins de 5 ans, et il faudrait un taux de 81 000 000 Tbps
Connectez-vous à un compteur de 64 bits pour enrouler en 30 minutes.
L'une des principales améliorations apportées à SNMPv3 est en ce qui concerne la sécurité
des
Transmission d'informations d'objet MIB. Différentes menaces peuvent être identifiées.
Il s'agit notamment de la modification des informations d'objet d'une entité non autorisée
Pendant le transit, l'exécution d'opérations de gestion non autorisées par
Les utilisateurs se disputent comme un autre utilisateur autorisé; Écoute sur le message
Les échanges et la modification du flux de messages par des moyens tels que
Comme relecture de message.
SNMP améliore la sécurité en appliquant quatre mesures principales. Les données
L'intégrité est appliquée pour s'assurer que les données n'ont pas été modifiées dans un
De manière non autorisée, ni les séquences de données n'ont été modifiées dans une
mesure
Plus grand que peut se produire de manière non-malicieuse.
L'authentification d'origine de données est prise en charge pour garantir que l'identité
revendiquée de
L'utilisateur au nom duquel les données reçues ont été originaires est corroboré en utilisant
MD5 et SHA-1. La confidentialité des données est appliquée pour s'assurer que les
informations ne sont pas
Mis à disposition ou divulgué à des personnes, entités ou processus non autorisés.
En outre, les solutions pour une protection limitée au replay fournissent un moyen de
En veillant à ce qu'un message, dont le temps de génération soit en dehors d'un temps
spécifié
Fenêtre, n'est pas acceptée.
L'agent SNMP est un processus anagent sur un périphérique sur le réseau. Le SNMP
Agent maintient les périphériques réseau gérés en répondant aux demandes NMS
Et déclarer les données de gestion au SMN. Pour configurer SNMP sur un périphérique,
L'agent SNMP doit être activé, pour lequel la commande snmp-agent est
appliqué.
Le snmp-agentsys-infocommand définit l'information du système SNMP et est
Également utilisé pour spécifier la (les) version (s) de SNMP prises en charge, où
snmpagentsys-info version [[v1 | V2c | V3] * | Tout] est utilisé pour y parvenir, et
Il convient de noter que toutes les versions de SNMP sont prises en charge par défaut. le
Snmp-agenttrap enable command, active la fonction d'envoi de trappes à
Le NMS, après quoi l'appareil procédera à signaler tout paramètre configuré
Événements au SMN.
En outre, il est nécessaire de spécifier l'interface par laquelle les notifications de piège
sera envoyé. Ce devrait être l'interface qui pointe vers l'emplacement de la
NMS, comme dans l'exemple où le NMS est atteint via interface Gigabit
Ethernet 0/0/1.
Utilisation de l'affichage snmp-agent sys-infocommand affiche les informations de contact
Du personnel responsable de la maintenance du système, de l'emplacement physique de
L'appareil et la (les) version (s) SNMP actuellement prise en charge. L'information fournie
dans
L'exemple représente l'information typique du système par défaut trouvée dans
Huawei AR2200series, mais cela peut être modifié par l'utilisation de
Snmp-agent sys-info [contact | Emplacement | Version] paramètres à refléter
Les détails de contact et d'emplacement pertinents pour chaque périphérique individuel.
Résumé
Quelle version (s) de SNMP est / sont activées par défaut?
Quel est le port de destination utilisé par un agent pour transmettre des trappes à une station
de gestion de réseau?
Avant-propos
À mesure que les échelles du réseau et le nombre d'applications réseau entreprises
continuent de croître, de plus en plus de périphériques nécessitent un support, y compris les
routeurs multi-services, les passerelles de sécurité et le point d'accès WLAN (AP) qui
implémentent des services de communication et de collaboration dans des réseaux
décentralisés, comme une entreprise Les réseaux de campus et les réseaux de succursales,
un réseau d'entreprise est de plus en plus composé de dispositifs multi-fournisseurs. Chaque
périphérique peut avoir son propre système de gestion,
Créer un cauchemar pour les administrateurs système et réseau. Cette section présente la
plate-forme de gestion de réseau unifiée eSight comme une solution efficace de station de
gestion de réseau unifiée (NMS) pour la surveillance et la gestion de toutes les ressources
réseau et système.
Objectifs
À la fin de cette section, les stagiaires seront en mesure de:
Expliquez l'application de eSight dans le réseau de l'entreprise.
Décrivez les services fournis par eSight dans le cadre d'une solution complète de gestion de
réseau.
Le système eSight est développé par Huawei pour la gestion de l'entreprise
Réseaux tels que les réseaux d'entreprises, le campus, les succursales et les centres de
centres de données.
Il implémente une gestion unifiée - et une interaction intelligente entre -
Les ressources d'entreprise, les services et les utilisateurs. En outre, eSight peut gérer
Les périphériques de plusieurs fabricants, y compris les périphériques réseau de Huawei,
H3C, Cisco, etZTE, et ITdevices d'IBM, HP et Sun Microsystems.
Trois versions de eSight existent pour soutenir des réseaux d'entreprises de différentes
échelles
Et la complexité, appelée compacte, standard et professionnelle. le
Édition compacte offre la gestion des alarmes, la gestion de la performance,
Gestion de la topologie, gestion des fichiers de configuration, élément réseau (NE)
Gestion, gestion des liens, gestion des journaux, ressources physiques,
Étiquetage électronique, topologie IP, outils de configuration intelligente, périphérique
personnalisé
Gestion, gestion de la sécurité, gestion des accès au terminal, système
Outils de surveillance, outils de sauvegarde / restauration de base de données, outils de
collecte de panne et
Gestion de la MIB.
Outre les fonctions de l'édition compacte, l'édition standard offre
Prise en charge de la gestion WLAN, analyse du trafic réseau (NTA), niveau de service
Gestion de l'accord (SLA), gestion de la qualité de service (QoS), MPLS
Gestion VPN, gestion du tunnel MPLS, gestion VPN IPsec,
Gestion des rapports, LogCenter, Secure Center et SNMP alarme vers le nord
Interface (NBI). L'édition professionnelle fournit toutes les fonctions de la norme
Édition ainsi que gestion du centre de données nCenter, réseau hiérarchique
La gestion et la prise en charge de la mise en veille prolongée du cluster à deux nœuds
Linux.
ESight peut gérer les appareils de plusieurs fabricants, surveiller et analyser
Et gérer les services et les éléments du réseau. Le gestionnaire SLA par exemple
Diagnostique les liens réseau immédiatement ou à l'heure programmée via SLA
Tâches, ce qui facilite l'évaluation de la qualité du service réseau. Le réseau
Traffic Analyzer (NTA) analyse les paquets de trafic réseau basés sur le paquet
Source, destination, protocole et application, ce qui permet
Compréhension de la distribution du trafic de réseau. Le eSight LogCenter isa
Système unifié de gestion de service de sécurité développé par Huawei pour
Les entreprises de télécommunications et les clients de l'industrie. Caractérisé par une
intégration élevée
Et fiabilité, eSight LogCenter offre un élément de réseau complet (NE)
Gestion, analyse des services de sécurité et audit de sécurité sur Huawei
Produits de sécurité.
La gestion des pannes fournit des mesures telles que la navigation en temps réel d'alarme,
Opérations d'alarme, paramètres de règle d'alarme (règle de masquage d'alarme et son de
l'alarme
Réglage), et rappeler la notification d'alarme pour surveiller les exceptions sur le réseau
dans
temps réél. Cela aide l'administrateur du réseau à prendre des mesures opportunes pour
Récupérer le fonctionnement du réseau. La gestion des ressources permet aux
périphériques d'être
Divisés en différents sous-réseaux basés sur leurs emplacements réels sur le réseau,
Ainsi que classer les périphériques en groupes et effectuer des opérations par lot sur
Des périphériques dans un même groupe, ainsi que des configurations et des ressources de
requêtes telles que
Systèmes de périphériques, cadres, cartes, sous-cartes et ports. ESight offre le
Outil de base d'informations de gestion (MIB) qui peut lire, compiler, stocker et
Utilisez les fichiers .mib. ESight lit et surveille les données MIB via SNMP v1, v2c ou
V3, qui permet d'effectuer une gestion efficace du réseau. ESight Secure Center
Permet la gestion de politiques de sécurité à grande échelle pour les pare-feu Huawei ou
Les périphériques déployés dans les environnements UTM (Unified Threat Management).
ESight permet aux administrateurs d'assurer la sécurité des fichiers de configuration du
périphérique
En fournissant les fonctions de sauvegarde et de restauration de la configuration de
l'appareil
des dossiers. FTP fonctionne comme un service dans eSight et à partir duquel le service
FTP
Les paramètres sont configurés. Cela inclut des paramètres tels que le nom d'utilisateur
Et le mot de passe utilisé pour accéder au service FTP, l'emplacement dans eSight
Où les fichiers de configuration reçus sont stockés aussi bien que le type de service FTP
(FTP, SFTP et TFTP sont pris en charge) pour lesquels la valeur par défaut est FTP.
Le piège AnSNMP est défini dans l'élément réseau (NE), qui dans ce cas
Fait référence au routeur. Le NE définira les paramètres pour le piège SNMP
En utilisant la commande de validation snp-agent piège, et après quoi
Des paramètres peuvent être définis pour l'envoi de trappes au NMS cible, pour effectuer
des opérations périodiques
Sauvegarde de fichiers. ESight peut être configuré périodiquement (quotidiennement,
hebdomadaire ou mensuellement)
Effectuer une sauvegarde des fichiers de configuration des périphériques spécifiés dans une
sauvegarde
Tâche, à l'heure spécifiée. Il peut également être configuré pour déclencher une sauvegarde
sur le
La génération d'une alarme de changement de configuration de périphérique, ainsi que
l'exécution instantanée
Sauvegardes.
Dans le cadre de l'édition standard, le gestionnaire WLAN gère la connexion sans fil
Ressources, par exemple, les contrôleurs d'accès (AC) et les points d'accès (AP) et
Configurations de réseaux de campus sans fil, diagnostic de périphérique et réseau
Les défauts et affiche les ressources câblées et sans fil en vue topologique.
Le WLAN Manager est capable de livraison et de déploiement des services AP
À la fin, ce qui améliore l'efficacité du déploiement d'environ 90%
Par rapport au déploiement manuel. Un contrôleur d'accès (AC) est utilisé pour contrôler
Et gérer les points d'accès (AP) dans le réseau local sans fil. Avec la gestion de l'AC, il
Est possible de connecter un AP au WLAN et de confirmer les identités AP, ajouter un
AP en mode hors connexion et ajoutez ces AP dans une liste blanche pour permettre à l'AP
Autorisation de devenir active dans le WLAN.
Un AP non autorisé ou parasite peut être détecté en raison de l'absence de
Liste blanche, et être empêché de devenir actif dans le réseau sans fil, ou peut être
Autorisé en étant ajouté à la liste blanche. Détails concernant chaque AP et AC
Peut être observé à partir de eSight, y compris ACstatus, nom, type, adresse IP, AP
Le mode d'authentification, l'information de région et les statistiques de performance. Ce
Les informations sont communiquées via les données du service de gestion AC générées
Par chaque AC
Chaque AP génère des signaux de spectre radioélectrique susceptibles de
ingérence. Une fois que la fonction de spectre radioélectrique AP est activée sur les
appareils, les utilisateurs peuvent afficher les informations d'interférence du signal autour des
AP dans le système de gestion de réseau.
Les utilisateurs sont en mesure de juger de la qualité du canal et de l'interférence
environnante sources sur les diagrammes du spectre. Les tableaux de spectre comprennent
en temps réel, en profondeur, la qualité du canal, la tendance de la qualité de la chaîne et
les diagrammes de pourcentage de l'appareil.
En outre, les utilisateurs peuvent déployer des AP dans les régions, voir la couverture des
points chauds et détecter le signal de couverture des taches aveugles et des conflits
rapidement, de la même manière affichée dans l'exemple donné. Dans les régions où la
localisation est activée, la topologie actualise la dernière localisation des utilisateurs et des
périphériques non autorisés dans temps réél. Il est alors possible de voir l'emplacement du
point d'accès et le signal radio la couverture dans la topologie de localisation et les zones de
conflit de marque, ainsi que les AP pré-déployés, visualisez la couverture radio simulée et
révisez la radio actuelle la couverture après les AP est mise en ligne.
ESight Network Traffic Analyzer (NTA) permet aux utilisateurs de détecter des anomalies
Trafic en temps opportun en fonction de l'application en temps réel du réseau entier
La distribution du trafic et planifie les réseaux en fonction du trafic réseau à long terme
Distribution. En tant que tel, NTA peut implémenter une gestion de réseau transparente.
ESight NTA permet aux utilisateurs de configurer des périphériques, des interfaces, des
protocoles,
Les applications, les groupes IP, les groupes d'applications, les groupes d'interface, etc.
NTA fournit la fonction de tableau de bord de trafic et affiche le trafic en temps réel
Pour le réseau entier. Le tableau de bord offre des classements pour le trafic d'interface,
L'utilisation de l'interface, le trafic des périphériques, le trafic d'application, le trafic hôte, le
trafic DSCP,
Et le trafic de saisie, pour lequel il est possible de personnaliser le format d'affichage et
Afficher un contenu spécifique, en explorant l'analyse du trafic réseau
Des détails et génère des rapports de trafic détaillés.
Le eSight NMS permet d'afficher des informations de rapport dans un certain nombre de
Des formats pour la représentation du trafic et d'autres données d'analyse. Formats de
rapport
Tel que Pie, Chart, Table, Line, Graph et Region peuvent être pris en charge pour
Afficher les informations du rapport. Les types de résumé général sont également définis
Tel que résumé de l'application, sommaire de session, résumé de DSCP, source
Résumé de l'hôte, résumé de l'hôte de destination, et résumé de l'interface, cependant
Les conditions de filtrage peuvent également être appliquées pour filtrer le trafic par adresse
source,
Adresse de destination, demande etc.
Les informations peuvent être publiées en tant que rapport instantané ou périodiquement
Période définie par l'administrateur, après quoi l'état est affiché sur le
Page, et rapporte des statistiques de trafic détaillées, qui peuvent également être exportées
Rapport de lot, ou transmis comme courrier électronique.
Résumé
Quelles sont les trois éditions de la plate-forme de gestion de réseau eSight?
Avant-propos
Avec l'épuisement progressif de l'espace d'adressage IPv4, de nouvelles solutions pour
l'espace d'adressage continu étaient nécessaires. Des mesures temporaires sous la forme
de NAT ont été appliquées, mais des solutions à long terme ont été champs obligatoires.
L'architecture d'adressage IPv6 est un développement. La transition vers une architecture
IPv6, tout en étant progressif, nécessite une révision majeure de nombreux protocoles et
applications ainsi que normes. Le réseau IPv6 vise néanmoins à résoudre de nombreuses
limitations dans la suite TCP / IP actuelle.
Répondant notamment au besoin de mesures de sécurité intégrées et à la rationalisation des
protocoles à minimiser les frais généraux. Une connaissance approfondie de l'architecture
IPv6 est requise par les ingénieurs comme IPv6 continue d'évoluer en tant que partie
intégrante du réseau de l'entreprise.

Vous aimerez peut-être aussi