1 глава

Интернет - это общедоступная всемирная сеть сетей. С ее помощью через взаимосвязанные компьютерные сети частные лица и предприятия могут воспользоваться совместным доступом к информации, ресурсам и службам. 

Первоначально Интернет предполагалось использовать исключительно для научных, образовательных и военных целей. В 1991 г. ситуация изменилась. Теперь к Интернету могут подключаться предприятия и частные лица. Интернет быстро разросся и превратился в глобальную сеть. Постоянно возникают новые технологии, упрощающие работу в Интернете и делающие ее более привлекательной. Пользователям Интернета доступны интерактивные приложения, позволяющие, например, работать с электронной почтой, просматривать веб-страницы, слушать музыку и смотреть видео в потоковом режиме, играть в игры в режиме онлайн и обмениваться мгновенными сообщениями.

В процессе непрерывного развития глобальной сети методы взаимодействия между людьми, общего доступа к информации и даже ведения коммерческой деятельности меняются. Расширяется аудитория и состав пользователей, использующих Интернет для обмена сообщениями, для рекламы, продажи и покупки продукции, для предоставления услуг. Многие компании, имеющие доступ в Интернет, используют его не только для общения, но также и для повседневной работы. Например, в Интернете ведется следующая деятельность:

электронная коммерция;
коммуникация;
совместная работа и обучение.



Как справиться со всеми изменениями и обеспечить бесперебойную работу служб, например, электронной почты, с учетом того, что количество устройств и технологий с выходом в Интернет постоянно растет? Ответ один: через стандартизацию сети Интернет.

Стандарт- это набор правил, определяющих последовательность выполнения определенных действий. Сетевые и Интернет-стандарты гарантируют, что все устройства будут подключаться к сети с использованием одного и того же набора правил. Применение стандартов позволяет различным типам устройств обмениваться информацией через Интернет. Например, стандартами определяется способ форматирования, приема и передачи сообщений электронной почты всеми устройствами. Сообщение электронной почты, отправленное с персонального компьютера одним человеком, другой человек может получить и прочитать на мобильном телефоне, если мобильный телефон и персональный компьютер используют одинаковые стандарты. 

Стандарт Интернет - результат сложных обсуждений, согласований и проверок по решению какой-либо задачи. Каждый этап разработки и утверждения нового стандарта фиксируется в нумерованном документе под названием RFC, что позволяет отслеживать его развитие.

Существуют тысячи Интернет-стандартов, помогающих определить правила обмена данными между подключенными к сети устройствами. Такие стандарты разрабатывают, публикуют и обновляют самые разные организации. Благодаря созданию и сохранению этими организациями стандартов, миллионы пользователей могут подключаться к Интернету с различных устройств, в том числе персональных компьютеров, мобильных телефонов, карманных компьютеров (КПК), МР3-плееров и даже телевизоров.


Независимо от типа устройства, используемого индивидуальным пользователем или компанией для подключения к Интернету, устройство должно быть подключено через поставщика услуг Интернета (ISP). ISP — это компания или организация, предоставляющая абонентам доступ в Интернет. В качестве абонента может выступать организация, частное лицо, правительственная организация и даже другой ISP. 

Помимо доступа в Интернет, некоторые ISP предоставляют абонентам услуги, которые перечислены ниже:

выделение оборудования - некоторые предприятия предпочитают, чтобы часть устройств внутренней сети предприятия физически находилась у ISP; 
веб-хостинг - ISP предоставляет сервер или прикладное программное обеспечения для хранения веб-страниц и содержимого веб-страницы предприятия; 
FTP - ISP предоставляет сервер и программное приложение для FTP узла компании. 
размещение приложений и мультимедиа - ISP предоставляет сервер и программное обеспечение, позволяющее компании передавать мультимедиа в потоковом режиме, например, музыку, видео или приложения, например онлайновые базы данных.
Voice over IP - используя услугу IP-телефонии, предприятия могут значительно сэкономить на международных и междугородних телефонных переговорах, особенно на внутренних звонках в географически удаленные офисы;
техническая поддержка - во многих компаниях нет своих технических специалистов, имеющих опыт по управлению большими внутренними сетями. Некоторые ISP за дополнительную плату обеспечивают техническую поддержку и консультации.
точка присутствия (POP) - компания имеет возможность подключаться к ISP через POP, используя различные технологии доступа. 



Чтобы получить доступ в Интернет, прежде всего, необходимо физическое подключение к ISP. Поставщики предлагают различные варианты подключения. Для дома и небольших компаний обычно используются следующие методы подключения.

Коммутируемый доступ.

Коммутируемый доступ - недорогая возможность, при которой используется любая телефонная линия и модем. Для подключения к ISP пользователь вызывает определенный номер телефона. Между оборудованием пользователя и оборудованием доступа в Интернет средствами телефонной сети создается временный канал связи, по характеристикам аналогичный каналу для организации телефонного соединения. Однако теперь этот канал используется для связи с сетью Интернет. Этот вариант отличает самая низкая скорость подключения и его обычно используют мобильные сотрудники или пользователи, находящиеся в местах, где нет других возможностей.

DSL

Цифровая абонентская линия или DSL, дороже чем удаленный доступ, но обеспечивает большую скорость соединения. При DSL-подключении также используется обычная телефонная линия. Однако теперь между оборудованием пользователя и оборудованием доступа в Интернет формируется выделенный информационный канал, не проходящий через коммутаторы телефонной сети. При этом способе подключения используется высокоскоростной модем, разделяющий цифровой сигнал от телефонного, и обеспечивает Ethernet соединение с узловым компьютером или LAN. 

Кабельный модем.

Кабельный модем данный тип соединения предлагается поставщиками услуг кабельного телевидения. Сигнал передается в дома и офисы по тому же коаксиальному кабелю, что и телевизионный сигнал. Специальный кабельный модем отделяет сигналы Интернет от других и имеет Ethernet-порт для подключения компьютера или ЛВС. 

Спутниковая связь.

Спутниковое подключение предоставляет поставщик услуг спутниковой связи. Компьютер пользователя подключается через Ethernet к спутниковому модему, передающему радио сигналы в ближайшей точке присуствия или POP в пределах сети спутника. 


Полоса пропускания измеряется в битах в секунду (бит/с). Большие полосы пропускания измеряются в килобитах в секунду (кбит/с), мегабитах в секунду (Мбит/с) или гигабитах в секунду (Гбит/с).

Существует три основных вида коммерческих подключений с широкой полосой пропускания.

Соединения T1 передают данные со скоростью до 1,544 Мбит/с. T1 - это симметричное соединение (то есть полоса пропускания при загрузке и выгрузке совпадает). Предприятиям среднего размера достаточно одного соединения T1. E1 - это европейский стандарт передачи данных со скоростью 2,048 Мбит/с. 
Соединения T3 передают данные со скоростью до 45 Мбит/с. Несмотря на то, что этот тип значительно дороже, чем соединения T1, крупным компаниям может понадобиться соединение по каналу T3 для обеспечения доступа большого количества сотрудников. Большие компании с несколькими офисами могут параллельно использовать каналы T1 и T3. E3 - это европейский стандарт передачи данных со скоростью 34,368 Мбит/с.
Городская сеть Ethernet (Metro Ethernet) предлагает широкий ассортимент высокоскоростных соединений, включая гигабитные каналы. Крупные компании, например банки, имеющие филиалы в одном и том же городе, используют городскую сеть Ethernet. Городская сеть Ethernet соединяет головной офис со всеми филиалами с использованием коммутируемой технологии. Такое подключение позволяет передавать большие объемы данных. Оно дешевле других высокоскоростных соединений.



Выбрав тип соединения, можно подключиться к ISP и получить доступ в Интернет. Индивидуальные компьютеры и бизнес-сети подключаются к ISP в точках присутствия (POP). POP расположены на краю сети ISP и обслуживают отдельные географические регионы. Они обеспечивают локальную точку подключения и аутентификацию (проверку пароля) для нескольких пользователей. У ISP может быть несколько точек присутствия POP, в зависимости от их мощности и размера обслуживаемого провайдером региона. 

Внутренняя сеть ISP реализована с помощью высокопроизводительных маршрутизаторов и коммутаторов, соединенных между собой высокоскоростными линиями связи. Многочисленные каналы соединяют точки POP для предоставления резервного маршрута, в случае если один из каналов будет перегружен трафиком или выйдет из строя. 


Сеть Интернет имеет иерархическую структуру. В верхней части этой иерархии находятся организации ISP. Через свои точки присутствия POP ISP подключаются к узлу обмена (обменнику) Интернет-трафиком, называемому также точкой обмена (IXP). В некоторых странах это называется точка доступа в сеть (NAP). IXP, или NAP, - это место, где соединяются несколько поставщиков услуг Интернета для получения доступа к сетям друг друга и обмена информацией. На данный момент в мире существует более 100 точек обмена. 

Основу Интернета составляет эта группа сетей, которыми владеют различные организации и которые объединены через IXP и подключения частного пиринга. 

Магистраль - это нечто вроде информационного шоссе, состоящее из высокоскоростных каналов, которые соединяют POP и IXP в крупных городах мира. Главная среда, используемая для магистральных подключений Интернета, представляет собой оптоволоконный кабель. Как правило, кабель прокладывается под землей и соединяет города на континенте. Оптоволоконные кабели прокладываются и по дну моря, соединяя ими континенты, страны и города.


ISP классифицируются по уровням, в зависимости от метода доступа к магистрали.

1-го уровня - ISP этого уровня представляют собой верхнюю ступень иерархии. ISP 1-го уровня - это огромные организации, непосредственно соединенные друг с другом в режиме частной одноранговой связи. Магистрали их сетей физически соединены друг с другом и образуют глобальную магистраль Интернет. ISP уровня 1 владеют внутрисетевыми маршрутизаторами, высокоскоростными каналами данных и другим оборудованием, необходимым для связи с аналогичными ISP. Им же принадлежат подводные кабели, соединяющие континенты.
2-го уровня - это следующая ступень с точки зрения доступа к магистрали. Это также очень большие организации, часто работающие в нескольких странах, но у них редко бывают сети, распространенные на весь континент или, хотя бы, межконтинентальные. Чтобы обеспечить своим клиентам доступ в глобальную сеть Интернет, ISP уровня 2 иногда платят ISP уровня 1 за передачу трафика в другие части света. Некоторые ISP уровня 2 обмениваются трафиком с другими ISP дешевле благодаря внешнему пирингу на IXP. Большая точка IXP может связывать сотни поставщиков услуг Интернета и обеспечивать доступ к многочисленным сетям через общее соединение. 
3-го уровня - ISP этого уровня - самые удаленные от магистральных соединений. Обычно они работают в крупных городах, предоставляя клиентам локальный доступ в Интернет. ISP уровня 3 платят поставщикам услуг Интернета уровней 1 и 2 за доступ в глобальную сеть и пользование Интернет-службами.



Сетевые средства позволяют создать схему различных соединений и наглядно представить связи сетей поставщиков услуг Интернета. Кроме того, они иллюстрируют скорость подключения к каждой точке.

Команда ping проверяет доступность конкретных IP-адресов. Команда ping направляет пакет эхо-запросов протокола ICMP (Протокол управляющих сообщений Интернета) пакет эхо-запросов в адрес назначения и ожидает пакет эхо-ответов от этого узла. ICMP - это Интернет-протокол, используемый для проверки соединений. Она определяет время, затраченное на передачу пакета и получение ответа. Выходные данные эхо-запроса показывают, что ответ получен успешно и отображает время передачи обоих пакетов. 

Чтобы воспользоваться функцией эхо-запроса, нужно ввести в интерфейс командной строки (CLI) маршрутизатора Cisco или в командную строку Windows следующую команду:

ping <ip адрес>

где <ip address> - это IP-адрес устройства назначения.

Например, ping 192.168.30.1.


Если пакет не дошел до адресата или дошел с большой задержкой, то как определить местонахождение неполадки или выяснить, через какие маршрутизаторы проходил пакет?

Средство traceroute отображает путь пакета от узла-источника к узлу назначения. Каждый маршрутизатор, через который проходит пакет, называется переходом. Средство "traceroute" отображает все переходы. Кроме того, оно вычисляет время между отправкой пакета и получением ответа от маршрутизатора на каждом переходе. 

При возникновении проблемы воспользуйтесь выходными данными утилиты traceroute для определения, какой из пакетов потерян или задержался. Кроме того, в них отображаются различные организации поставщиков услуг Интернета, через которые пакет должен пройти на пути от источника к адресату.

Средство Windows tracert работает так же. Кроме того, существует много программ визуализации traceroute, отображающих маршрут пакета в графической форме.


Для приема данных от конечных пользователей и предоставления услуг ISP нужно много устройств. Чтобы работать в передающей сети, он должен иметь возможность подключаться к другим ISP. Кроме того, ISP должен располагать оборудованием для обработки больших объемов трафика.

В частности, для предоставления услуг нужны следующие устройства.

Устройствами доступа, позволяющими конечным пользователям подключаться к ISP, являются такие устройства, как DSL Access Multiplexer (DSLAM) для соединений DSL, оконечная система линии кабельного модема (CMTS) для кабельных соединений, модемы для коммутируемых соединений, беспроводное оборудование для беспроводного доступа. 
Пограничные шлюзы -маршрутизаторы, позволяющие ISP подключаться и передавать данные ISP, IXP, или клиентам, представляющим собой крупные предприятия. 
Серверы для работы с электронной почтой, назначения сетевых адресов, распределения веб-пространства, FTP-хостинга и мультимедийного хостинга. 
Оборудование для поддержания требуемого качества электроэнергии с достаточным количеством резервных батарей для обеспечения непрерывной подачи энергии в случае отключения основного источника. 
Высокоэффективные воздушные кондиционеры для поддержания контролируемой температуры.



Поставщикам услуг Интернета, как и другим предприятиям, необходимо расширяться для получения дополнительных доходов. Для этого нужно приобретать новых абонентов и продавать больше услуг. Однако с увеличением количества пользователей увеличивается трафик в сети ISP.

Избыток трафика может со временем перегрузить сеть, вызвать сбои маршрутизаторов, потерю пакетов и большие задержки. В перегруженной сети веб-страницы загружаются по нескольку минут, а иногда сетевое соединение разрывается. В таком случае клиенты могут уйти к другому ISP.

Потеря клиентуры приводит к потере доходов. Поэтому очень важно, чтобы сеть, предоставляемая ISP, была надежной и масштабируемой. 

Масштабируемость - это характеристика сети, позволяющая ей изменяться и расти в будущем. Масштабируемые сети могут быстро расширяться, позволяя поддерживать новых пользователей и приложения без ухудшения качества услуг, предоставляемых существующим пользователям. 

Лучше всего масштабируются модульные устройства, где есть разъемы для дополнительных блоков. В разных модулях разное количество портов. В случае с маршрутизатором в корпусном исполнении модули различаются и в плане интерфейсов, так что к одному и тому же корпусу можно подключать разные устройства.


Организации поставщиков услуг Интернета состоят из многочисленных групп и отделов, отвечающих за бесперебойную работу сети и доступность услуг. 

Служба технической поддержки занимается всеми аспектами управления сетью, включая планирование и приобретение нового оборудования и систем, подключение новых абонентов, ремонт и обслуживание сети и консультирование пользователей по вопросам соединения с сетью.

Когда услуги ISP приобретает новый корпоративный пользователь, различные группы из службы технической поддержки совместно обеспечивают правильную обработку заказа и подготавливают сеть, чтобы как можно быстрее приступить к обслуживанию. 


У каждой группы есть свои роли и обязанности.

Отдел обслуживания клиентов принимает заказ и вносит требования клиента в базу данных регистрации заказов. 
Отдел планирования и снабжения определяет, достаточно ли имеющихся у нового клиента сетевых систем и оборудования или нужно установить новые. 
Отдел монтажа помогает подобрать системы и оборудование и устанавливает их на предприятии клиента.
Центр управления сетью (NOC) отслеживает и проверяет новые подключения и обеспечивает нормальную работу.
Служба технической поддержки получает от NOC уведомление о готовности системы, связывается с клиентом и помогает ему настроить пароли и другие необходимые данные учетной записи.



2 глава

Многие бизнес-процессы зависят от состояния связи с локальной сетью и Интернетом. Поэтому предприятия считают своей важнейшей задачей своевременное решение сетевых проблем.

Поставщики услуг Интернета предоставляют предприятиям доступ в Интернет, они же занимаются и проблемами со связью. Обычно сюда входит помощью в устранении неполадок оборудования клиента. Обычно техническую поддержку поставщика услуг Интернета предоставляет служба поддержки. Если проблема связана с доступом в Интернет или получением электронной почты, пользователь или предприятие, как правило, первым делом обращается в службу поддержки поставщика услуг Интернета.

Технические специалисты службы поддержки обладают знаниями и опытом в области устранения неполадок и восстановления связи. Они решают проблемы клиентов, помогают оптимизировать сеть и сохранить клиентуру. 

Хорошая команда специалистов работает быстро и эффективно к полному удовлетворению клиента. Предоставление услуг Интернета - область с высоким уровнем конкуренции. При плохом обслуживании клиенты могут уйти к другому поставщику услуг Интернета.


Обычно у поставщика услуг Интернета бывает три уровня технической поддержки:

уровень 1 - немедленная консультация младшего технического специалиста службы поддержки;
уровень 2 - обработка звонков более опытными специалистами; 
уровень 3 - проблемы, которые невозможно решить по телефону, требующие вызова технического специалиста на место.


Помимо поставщиков услуг Интернета существует много других средних и крупных организаций, у которых есть службы технической поддержки. Названия отделов могут отличаться, но трехуровневая иерархия встречается чаще всего. В службе поддержки может работать один человек, выполняющий все три вида задач. Бывают и полноценные центры обработки звонков со сложной системой маршрутизации и правилами передачи звонков на верхний уровень. Это зависит от размеров организации. Некоторые поставщики услуг Интернета передают функции службы поддержки стороннему центру обработки вызовов, предоставляющему услуги технических специалистов первого и второго уровня.


При первом обращении пользователя в службу поддержки звонок обычно направляется техническому специалисту первого уровня. Обычно он занимает должность нижнего уровня, дающую начинающим техническим специалистам ценный опыт. Технический специалист первого уровня решает многие проблемы пользователей.

Проблемы, не поддающиеся решению на первом уровне, передаются на второй уровень, где обычно занято меньше специалистов. У технических специалистов второго уровня квалификация выше, чем у специалистов первого уровня, но их сфера ответственности и обязанности примерно одинаковы. Эти агенты призваны решать более сложные проблемы, требующие больше знаний.


Многие крупные поставщики услуг дополнительно предоставляют услуги администрирования и ремонта сети клиента на месте. Организации, предоставляющие услуги администрирования, иногда называют поставщиками управляемых сервисов. Услуги администрирования могут также предоставляться поставщиками услуг Интернета, поставщиками телекоммуникационных услуг или другими организациями, специализирующимися на поддержке компьютеров и сетей. Поставщикам услуг Интернета, предоставляющим услуги администрирования, часто нужны технические специалисты, которые выезжают к клиентам для установки и обслуживания оборудования. Это техническая поддержка третьего уровня. 

Обычно поддержка третьего уровня предоставляется по соглашению об уровне обслуживания (SLA). SLA - это, примерно, то же самое, что и страховой полис. Такой договор гарантирует покрытие (или обслуживание) при возникновении неполадок компьютера или сети.


Технические специалисты службы поддержки могут осуществлять поддержку по телефону, электронной почте, через веб-страницу, в режиме чата или, возможно, на месте. Часто именно к ним, прежде всего, обращаются расстроенные и нетерпеливые клиенты. Пока проблема не решится, к техническим специалистам могут поступать звонки и письма с просьбой уточнить состояние вопроса и приблизительное время его решения.

Технический специалист должен уметь работать в ситуации, когда его часто отвлекают, эффективно и аккуратно выполнять несколько заданий одновременно. Постоянно находиться в хорошем настроении и работать на высоком уровне сложно. Техническому специалисту необходима исключительная коммуникабельность и навыки эффективного письменного и устного общения. Технический специалист должен уметь работать самостоятельно и в составе группы.

Важно, чтобы технический специалист умел быстро, эффективно и профессионально решать проблемы клиента. Технические специалисты должны вести себя в соответствии с принятой в компании философией обслуживания клиентов. Философия обслуживания клиентов — это этические нормы, принятые в рамках организации и соблюдаемые всеми, от высшего руководства до рядовых сотрудников.

Каждый раз, как технический специалист принимает звонок и приступает к устранению неполадки, он должен придерживаться базовых правил управления инцидентами. К управлению инцидентами относятся открытие уведомления о неисправности и следование стратегии решения проблем. При решении проблем используются блок-схемы устранения неисправностей, вопросы в формате шаблона и соблюдение процедур передачи вопросов на высший уровень.

Технический специалист использует инструкции службы поддержки для сбора информации и выявления наиболее существенных фактов, касающихся возникшей у клиента аварийной ситуации.


Кроме того, технический специалист службы поддержки должен уметь с радостью приветствовать клиента и придерживаться профессионального и вежливого тона в течение всего разговора. 

Навыки обслуживания и коммуникабельность особенно важны при работе с трудными клиентами и устранении сложных неисправностей. Технический специалист службы поддержки должен уметь успокаивать нервных клиентов и общаться с агрессивными людьми. 

Для работы технического специалиста службы поддержки крайне важно уметь открывать уведомления о неисправности и регистрировать информацию о происшествии. Если в службу поддержки поступает много звонков с жалобами на простую проблему или симптом, полезно узнать, как этот вопрос решался ранее. Кроме того, важно информировать клиента о том, как идет процесс устранения проблемы. Точная информация из уведомления о неисправности поможет правильно рассказать клиенту и другим сотрудникам поставщика услуг Интернета о состоянии проблемы.


Хотя многие неисправности могут быть устранены дистанционно, некоторые проблемы требуют посещения предприятия клиента для установки оборудования и устранения неполадок. Когда технический специалист приезжает к клиенту очень важно, чтобы он профессионально представлял свою организацию. Профессионал знает, как заставить клиента расслабиться и почувствовать доверие к его навыкам.

Особенно важно произвести хорошее впечатление при первом посещении клиента техническим специалистом. Клиент, прежде всего, обращает внимание на то, как выглядит и как одет технический специалист. Если технический специалист произведет плохое первое впечатление, впоследствии исправить его и завоевать доверие клиента будет очень сложно. Многие работодатели предоставляют униформу или вводят для своих выездных технических специалистов дресс-код.

Язык и поведение технического специалиста также отражают образ компании, которую он представляет. Возможно, клиент волнуется по поводу работы нового оборудования. Разговаривая с клиентом, технический специалист должен быть вежлив и уважителен и должен отвечать на все задаваемые вопросы. Если технический специалист не знает ответа на вопрос клиента или ему требуется дополнительная информация, он должен записать вопрос и как можно скорее на него ответить.


Если в службу поддержки сообщают о возникшей проблеме с подключением к сети, существует много методов диагностики. Один из самых распространенных - уровневое устранение неполадок. Для этого необходимо, чтобы сетевой технический специалист был знаком с теми действиями, которые выполняются при создании, доставке и интерпретации сообщений сетевыми устройствами и узлами. 

Перемещение данных по сети проще всего представить себе в виде семи уровней модели соединения открытых систем, которую обычно называют моделью OSI. Модель OSI делит обмен информацией в сети на несколько процессов. Каждый из них является небольшой частью большего задания. 

Например, на автомобильном заводе сборку машины выполняет не один человек. По мере того, как машина перемещается от станции к станции, специализированные группы добавляют к ней соответствующие компоненты. Сложная задача по сборке машины упрощается, если она разбита на легко управляемые и логичные задания. При этом упрощается и процесс поиска и устранения неисправностей. Если в процессе производства возникает проблема, нетрудно найти задание, при выполнении которого появился дефект, и затем устранить его.

Аналогичным образом, модель OSI можно использовать при поиске и устранении неполадок в сети как средство выявления уровня, на котором возник дефект.


Семь уровней модели OSI можно разделить на две группы: верхние и нижние уровни.

Верхними уровнями часто называют все, что находится выше уровня передачи модели OSI. Верхние уровни относятся к работе приложений и обычно реализуются только в программном обеспечении. Наивысший уровень, называемый прикладным уровнем, находится ближе всего к конечному пользователю.

Термин "нижний уровень" иногда используется применительно к любому уровню, лежащему ниже сеансового уровня. Совместное функционирование нижних уровней обеспечивает передачу данных. Физический уровень и уровень канала данных реализуются в аппаратном и программном обеспечении. Физический уровень ближе всего к физической среде передачи, или сетевым кабелям. Физический слой фактически помещает информацию в среду.

Конечные станции, например, клиенты и серверы, обычно работают на всех семи уровнях. Сетевые устройства работают только на нижних слоях. Концентраторы - это уровень 1, коммутаторы - уровни 1 и 2, маршрутизаторы - уровни 1, 2 и 3 и межсетевые экраны - уровни 1, 2, 3 и 4.


Используя модель OSI как основу для устранения неполадок, важно понимать, какие функции выполняются на каждом уровне и какая информация о сети доступна устройствам или программам, выполняющим эти функции. Например, в передаче сообщения электронной почты от клиента серверу задействовано много процессов. Модель OSI разделяет задачи отправки и получения электронной почты на более мелкие отдельные шаги, соответствующие семи уровням.

Шаг 1. На верхних уровнях создаются данные.

Когда пользователь отправляет сообщение, алфавитно-цифровые символы этого сообщения преобразуются в данные, которые можно передать по сети. Уровни 7, 6 и 5 отвечают за преобразование сообщения в формат, который воспринимает приложение, установленное на узле назначения. Этот процесс называется кодированием. Далее верхние уровни отправляют кодированные сообщения нижним для передачи по сети. При передаче сообщения на нужный сервер используются данные конфигурации, предоставленные пользователем. Проблемы, возникающие на уровне приложений, часто бывают связаны с ошибками в настройке пользовательских программ.


Шаг 2. На уровне 4 данные упаковываются для передачи.

Данные, из которых состоит сообщение электронной почты, упаковываются для передачи по сети на уровне 4. Здесь сообщение разбивается на более мелкие сегменты. К каждому сегменту добавляется заголовок с указанием номера порта  TCP или UDP, соответствующего нужному приложению на прикладном уровне. Функции уровня передачи указывают тип службы доставки. Электронная почта использует сегменты TCP, так что доставка пакета по назначению подтверждается. Функции уровня 4 реализуются на уровне программы, которая запущена на узле источника и назначения. Однако, поскольку в межсетевых экранах для фильтрации трафика часто используются номера портов TCP и UDP, возникающие на уровне 4 проблемы могут быть вызваны неправильной настройкой списков фильтрации в межсетевом экране.

Шаг 3. На уровне 3 добавляется информация об IP-адресе сети.

Данные электронной почты, полученные с уровня передачи, помещаются в пакет с заголовком, где указаны IP-адреса источника и адресата. Маршрутизаторы направляют пакеты адресату по соответствующему пути. Неправильно настроенный IP-адрес источника или адресата может вызвать проблемы на уровне 3. Поскольку маршрутизаторы тоже используют IP-адреса, проблемы могут быть вызваны и неправильной настойкой этих устройств.


Шаг 4. На уровне 2 добавляется заголовок уровня канала данных и концевая метка.

Каждое сетевое устройство, находящееся на пути от источника к адресату (в том числе и узел-отправитель), помещает пакет в кадр. В кадре находится физический адрес следующего непосредственно подключенного сетевого устройства канала. Для подключения к следующему устройству каждому устройству на выбранном сетевом пути нужны кадры. Коммутаторы и сетевые адаптеры используют данные кадра для доставки сообщения адресату. Неправильно выбранные драйверы сетевых адаптеров, интерфейсные платы или неполадки аппаратного обеспечения коммутаторов могут вызвать проблемы на уровне 2.

Шаг 5. На уровне 1 данные преобразуются в биты для передачи.

Для передачи по каналу кадр превращается в последовательность единиц и нулей (бит). Функция синхронизации позволяет устройствам разделять эти биты в процессе передачи. На пути от источника к адресату среда может меняться. Например, сообщение электронной почты может появиться в ЛВС Ethernet, пересечь оптоволоконную магистраль, последовательный канал сети WAN и, наконец, попасть в другую удаленную ЛВС Ethernet. Проблемы на уровне 1 могут быть связаны с плохо подключенными или неправильно выбранными кабелями, неработающими интерфейсными платами или электрическими помехами.

При поступлении на узел назначения процессы 1 - 5 выполняются в обратном порядке. Сообщение проходит все уровни снизу вверх и отображается в соответствующем приложении.


Будучи теоретической моделью, модель OSI определяет протоколы, аппаратное обеспечение и другие спецификации применительно к семи уровням.

Кроме того, модель OSI можно использовать как систематическую основу для поиска и устранения неисправностей в сети. При любом сценарии поиска и устранения неисправности базовая процедура решения проблем состоит из следующих шагов:

1. Определение проблемы.

2. Выявление причины неисправности.

3. Устранение неисправности.

Поиск и классификация альтернативных решений.
Выберите одно из альтернативных решений.
Используйте это решение.
Оцените это решение.


Если выбранное решение не устраняет неисправность, отмените все внесенные изменения и перейдите к другому возможному решению. Повторяйте перечисленные шаги до тех пор, пока проблема не будет решена.

Помимо процедур устранения основных неполадок, модель OSI можно использовать и как руководство по поиску и устранению неисправностей. При использовании уровневой модели возможны три различных подхода к поиску и устранению неисправности, которые технический специалист может использовать для локализации проблемы:

Восходящий метод - выявление неисправностей сети в восходящем порядке начинается с физических компонентов сети и заканчивается верхними уровнями модели OSI. Выявление неисправностей сети в восходящем порядке эффективно в тех случаях, когда есть подозрение, что неисправность произошла на физическом уровне.
Нисходящий метод - выявление неисправностей сети в нисходящем порядке начинается с пользовательских приложений и заканчивается нижними уровнями модели OSI. Этот подход базируется на предположении, что проблема связана с приложением, а не с сетевой инфраструктурой. 
Метод "Разделяй и властвуй" - метод "разделяй и властвуй" обычно используется более опытными специалистами по сетям. Такой специалист определяет предполагаемый уровень, ответственный за неисправность, и затем, в зависимости от получаемых результатов, движется вверх или вниз по уровням OSI.


Опираясь на модель OSI, технический специалист службы поддержки может опросить клиента, определить проблему и найти ее причину.


Обычно технический специалист пользуется стандартным контрольным списком или сценарием устранения неисправности. Часто такой сценарий опирается на восходящий подход к поиску и устранению неисправности. Это объясняется тем, что обычно физические проблемы проще всего диагностировать и устранять, а восходящий метод начинает именно с физического уровня.

Устранение неполадок на уровне 1

Технический специалист начинает с уровня 1. Не забывайте, что уровень 1 относится к физическому подключению сетевых устройств. Часто неполадки уровня 1 связаны с кабелями и электропитанием. Они являются причиной многих звонков в службу поддержки. В частности, регулярно встречаются следующие неполадки уровня 1:

отключено питание устройства;
шнур питания вынут из розетки;
ослабло соединение сетевого кабеля;
неверно выбран тип кабеля;
неисправен сетевой кабель;
неисправная точка беспроводного доступа;
неверные настройки беспроводного соединения, например, SSID.


Для устранения неисправности на уровне 1, прежде всего, убедитесь, что ко всем устройствам подведено нужное электропитание, и что все они включены. Хотя такая ситуация выглядит очевидной, клиенты, сообщающие о проблеме, регулярно забывают об устройстве, которое находится на пути от источника к адресату. При наличии СИД, отображающих статус подключения, нужно попросить клиента их проверить. Если вы находитесь на предприятии клиента, просмотрите все сетевые кабели и переподключите их, чтобы быть уверенным в надежном соединении. Если проблема связана с беспроводным соединением, убедитесь, что точка беспроводного доступа находится в рабочем состоянии, и что настройки беспроводного доступа выполнены корректно.

При удаленных консультациях специалист должен на каждом шаге подсказать клиенту, на что обратить внимание, и что нужно сделать при обнаружении неполадки. Если все возможные источники неполадки на уровне 1 проверены, переходите к уровню 2 модели OSI.


Устранение неполадок на уровне 2

На уровне 2 работают сетевые коммутаторы и адаптеры узлов. На этом уровне неполадки может вызвать неисправное оборудование, неправильно выбранные драйверы или неправильно настроенные коммутаторы. Удаленно решить проблему уровня 2 бывает сложно.

Правильность установки и работы сетевого адаптера может проверить местный технический специалист. Проблему поможет решить переключение сетевого адаптера или замена возможно неисправного адаптера исправным. Тот же процесс можно применить в отношении любого сетевого коммутатора.

Устранение неполадок на уровне 3

На уровне 3 техническому специалисту нужно проверить систему логической адресации в сети, например, схему IP-адресов. Если в сети используется IP-адресация, техническому специалисту рекомендуется проверить настройки устройства, например:

находятся ли IP-адреса в соответствующей сети;
правильно ли выбрана маска подсети;
правильно ли выбран шлюз по умолчанию;
прочие необходимые настройки, такие как DHCP или DNS.


В процессе устранения неполадок на уровне 3 следует использовать несколько сетевых средств. Назовем три наиболее распространенных инструмента, вызываемых из командной строки:

ipconfig - отображает IP-настройки стека протоколов TCP/IP компьютера;

ping - тестирует основные соединения в сети;

traceroute - определяет доступность пути между источником и адресатом.

Обычно большинство проблем с сетью решаются с помощью технологий на уровнях 1, 2 и 3.


Устранение неполадок на уровне 4

Если на уровнях 1 - 3 все работает нормально и ping IP-адреса удаленного сервера проходит нормально, нужно проверить верхние уровни. Например, если на пути установлен межсетевой экран, важно убедиться, что порт TCP или UDP открыт, и трафик к этому порту не заблокирован с помощью списка фильтрации. 

Устранение неполадок на уровнях 5 - 7

Техническому специалисту следует проверить конфигурацию приложения. Например, при устранении проблем с электронной почтой нужно убедиться, что в приложении введены правильные данные для отправки и получения почты. Кроме того, необходимо убедиться, что разрешение доменных имен функционирует нужным образом. 

Удаленные технические специалисты могут проверять верхние уровни с помощью других сетевых средств, например, анализатора пакетов, который позволяет просматривать сетевой трафик. Для просмотра конфигураций можно также использовать сетевые приложения, например, Telnet.


Количество и тип звонков в службу поддержки бывает самым разным. Чаще всего звонят по поводу электронной почты, конфигурации узла и подключения.

Проблемы с электронной почтой
Есть прием, нет отправки сообщений
Есть отправка, нет приема сообщений
Нет ни приема, ни отправки 
Невозможно отправить сообщение в ответ


Распространенная причина проблем с электронной почтой — неправильные настройки POP, IMAP или сервера SMTP. Лучше всего связаться с администратором электронной почты и проверить правильность имен сервера POP или IMAP и сервера SMTP. Иногда используется одно и то же имя сервера POP/IMAP и SMTP. Кроме того, нужно проверить правильность имени пользователя и пароля. Поскольку пароль обычно не отображается, целесообразно его еще раз аккуратно ввести.

При устранении таких неполадок по телефону важно тщательно проверить все пользовательские параметры конфигурации. Не все клиенты знакомы с терминологией и значениями различных параметров конфигурации. По возможности старайтесь подключать пользовательское устройство через программу удаленного управления. Это позволяет специалисту дистанционно выполнять для клиента необходимые настройки.


Проблемы конфигурации узлов

Часто встречающейся причиной невозможности доступа к Интернету или другим сетевым ресурсам является неверная настройка адресной информации узла. Это может быть ошибочный IP-адрес, маска подсети или шлюз по умолчанию. 

В тех средах, где информация об IP-адресах вводится вручную, существует вероятность того, что IP-конфигурация просто неверно введена. В средах, где узлы настроены на динамическое получение IP-адреса от сервера назначения, например, от сервера DHCP, этот сервер может дать сбой или стать недоступным из-за проблем в сети. 

Если узел настроен на динамическое получение адреса, и сервер назначения недоступен или недосягаем, операционная система автоматически присваивает локальному узлу локальный адрес канала. В качестве локальных адресов канала используются адреса IPv4 в блоке адресов от 169.254.0.1 до 169.254.255.254 (169.254.0.0 /16). Процесс локальной адресации случайным образом выберет IP-адрес в диапазоне 169.254.0.0/16. Но что помешает двум узлам получить один и тот же IP-адрес?

Когда процесс локальной адресации выбирает IP-адрес, он посылает запрос ARP с этим IP в сеть, чтобы проверить, не использует ли какое-либо другое устройство тот же самый адрес. Если никакого ответа не приходит, устройство получает этот IP-адрес, в противном случае выбирается другой IP-адрес и запрос ARP повторяется. Microsoft называет локальную адресацию каналов Automatic Private IP Addressing (APIPA).

Если в одной и той же сети несколько узлов получают локальные адреса каналов, приложения клиент-сервер и одноранговые работают между этими узлами нормально. Однако, поскольку локальная адресация каналов производится в частном адресном пространстве класса B, коммуникация вне локальной сети невозможна.

При поиске и устранении неисправностей в узлах с ручной и динамической конфигурацией используйте команду узла ipconfig /all, чтобы убедиться, что данный узел использует правильную IP-конфигурацию.


Проблемы с подключением клиента

Проблемы с подключением чаще всего возникают у неопытных пользователей, которые пытаются подключиться впервые. Впрочем, бывают они иногда и у уже подключенных клиентов. У новичков могут возникать проблемы с установкой оборудования, а также с настройками программного обеспечения. Подключенные пользователи сталкиваются с невозможностью открыть веб-страницу или подключиться к программе обмена мгновенными сообщениями или к электронной почте.

Связь может пропасть по разным причинам, например:

просрочка платежа за услуги;
отказ аппаратных средств;
поломка на физическом уровне;
неправильная настройка приложения; 
отсутствие дополнительного модуля приложения;
отсутствие приложений.


Часто неполадка возникает просто из-за неисправного кабеля или даже неправильно выбранного порта. Проблемы такого типа могут быть разрешены проверкой подключения кабеля или заменой кабеля.

Выявление других проблем, например, связанных с программным обеспечением, может оказаться более трудным. Одним из примеров является неверная загрузка стека  TCP/IP, из-за которой нарушается нормальная работа IP-протокола. Стек TCP/IP можно проверить с помощью адреса обратной связи. Адрес обратной связи — это специальный зарезервированный IPv4-адрес 127.0.0.1, который используют узлы для того, чтобы направить трафик самим себе. Адрес обратной связи позволяет создать ускоренный метод для приложений и услуг TCP/IP, при котором устройство осуществляет проверку связи на самом себе. 

Для проверки настройки TCP/IP на локальном узле можно послать эхо-запрос на адрес обратной связи. Если при этом не удается получить ответ, можно подозревать неправильную настройку или установку стека TCP/IP.

Адреса от 127.0.0.1 до 127.255.255.254 зарезервированы для целей тестирования. Любой адрес из этого блока даст обратную связь с локальным узлом. Ни один адрес из этого блока не должен появляться в какой-либо сети. Несмотря на то, что весь диапазон сетевых адресов 127.0.0.0/8 зарезервирован, обычно для тестирования методом обратной связи используется только один адрес 127.0.0.1. 


Когда к техническому специалисту службы поддержки уровня 1 поступает звонок, начинается процесс сбора информации. Существуют также специальные системы для хранения и извлечения соответствующей информации. Особенно важно правильно собрать информацию в случае, если потребуется эскалация звонка на уровень 2 или визит специалиста на место. 

Процесс сбора и регистрации информации начинается сразу же после того, как технический специалист ответил на звонок. После того, как клиент называет себя, технический специалист открывает файл с соответствующей информацией. Обычно для этого используется база данных. 

Информация преобразуется в уведомление о неисправности или отчет о событии. Данный документ может существовать в виде листа бумаги в архиве или файла в электронной системе, сопровождающей процесс от начала до конца. Все, кто работает над проблемой, должны фиксировать свои действия в уведомлении. При возникновении необходимости посетить клиента на месте уведомление можно превратить в рабочее задание и взять с собой.

После устранения неполадки метод решения записывается для справки в рабочее задание или уведомление, а также в документ в базе знаний для будущих ссылок.

Возможна такая ситуация, когда технический специалист службы поддержки уровня 1 получает звонок, по которому он не может сразу принять решение. В этом случае он обязан передать вызов на уровень 2 более квалифицированному лицу. Передача вызова специалисту более высокого уровня называется процессом эскалации вызова.

Технические специалисты службы поддержки обоих уровней 1 и 2 пытаются решить проблемы клиента по телефону, с помощью веб-интерфейса и, возможно, приложений для удаленного доступа к рабочему столу.


Если технические специалисты службы поддержки не в состоянии устранить неполадку дистанционно, часто приходится отправлять специалиста уровня 3 к клиенту. Это отдельный класс технических специалистов, которые выезжают на место и работают с физическим оборудованием. Технический специалист службы поддержки может назначить время, когда к клиенту подъедет специалист по ремонту, или договоренность о визите может входить в обязанности самого специалиста по ремонту. 

С целью устранения неполадки технический специалист просматривает уведомление о неисправностях и выясняет, что уже было сделано. Таким образом он получает некоторую первоначальную информацию и определяет, с чего начать. Кроме того, уведомление помогают техническому специалисту сразу взять с собой нужные инструменты и расходные материалы и впоследствии не отлучаться для этого с предприятия клиента.

Обычно такие технические специалисты работают непосредственно с сетью клиента, хотя бывают случаи, когда оборудование не удается отремонтировать на месте и приходится его везти к поставщику услуг Интернета.


Имеется следующие четыре шага, которые должен сделать технический специалист, прежде чем начинать любую диагностику или ремонт на предприятии клиента.

Шаг 1. Установить, кто является клиентом.

Шаг 2. Просмотреть уведомление о неисправности или рабочее задание (вместе с клиентом) и убедиться в правильности данных.

Шаг 3. Сообщить о текущем состоянии обнаруженных проблем и действиях, которые запланированы на сегодня.

Шаг 4. Получить от клиента разрешение притупить к работе.

Технический специалист должен сверить все пункты уведомления. Ознакомившись со всеми неполадками, технический специалист может приступить к работе. Он отвечает за проверку всех устройств и сетевых настроек и запуск всех необходимых средств. С целью выявления аппаратных неисправностей технический специалист может также оказаться вынужденным заменить сомнительное оборудование заведомо исправным. 


При выполнении любых операций по поиску и устранению неисправностей на предприятии клиента, особенно при установке нового или замене существующего оборудования, важно свести риск к минимуму, следуя зарекомендовавшим себя методикам безопасной работы. Многие работодатели проводят для сотрудников тренинги по безопасности.

Стремянки

При установке сетевых кабелей или сетевых точек беспроводного доступа в труднодоступных местах нужно использовать стремянки. Чтобы снизить риск падения лестницы или выскальзывания из рук оборудования во время подъема на лестницу, следует всегда, когда это возможно, работать вдвоем.

Высокорасположенные и опасные места

Иногда сетевое оборудование и кабели расположены высоко или в опасных местах, например, на стенах зданий, крышах или внутренних конструкциях, таких как шахты лифтов, недоступных со стремянок. Работы в таких местах следует проводить очень осторожно. Использование ремней безопасности снижает риск падения.

Электрическое оборудование

Если при монтаже аппаратного обеспечения возникает риск повреждения электрических линий или контакта с ними, свяжитесь с электриком и договоритесь с ним о мероприятиях по снижению риска поражения током. При соприкосновении с электрическим оборудованием можно получить серьезные травмы.

Загроможденное пространство

Сетевое оборудование часто устанавливается в узком и загроможденном пространстве. Обеспечьте достаточное освещение и вентиляцию рабочего места. Определите методику подъема, установки и демонтажа оборудования с минимальным риском.

Тяжелое оборудование

Сетевые устройства бывают большими и тяжелыми. При установке или перемещении на предприятии клиента тяжелого оборудования запланируйте привлечение соответствующих технических средств и обученного персонала.


После внесения изменений в настройку или установки нового оборудования специалист должен оценить результаты и убедиться, что неисправность устранена. Закончив работу, специалист сообщает клиенту о характере неисправности, примененном решении и любых последующих действиях. Перед тем, как посчитать проблему полностью решенной, специалист должен получить одобрение клиента. После этого он сможет закрыть уведомление о неисправности и документировать решение.

Копия документа остается у клиента. В документ вписывается жалоба, поступившая в службу поддержки, и действия по устранению неполадки. Технический специалист записывает конечное решение, и приемка клиентом отражается в уведомлении о неисправности. Кроме того, для дальнейших справок технический специалист записывает проблему и решение в документацию службы поддержки и список часто задаваемых вопросов и ответов.

Иногда выезжающий на место технический специалист может обнаружить сетевые проблемы, требующие обновления или перенастройки сетевых устройств. Они могут выйти за пределы первоначального уведомления о неисправности. Обычно о подобных проблемах сообщают клиенту и сетевым специалистам поставщика услуг Интернета.


3 глава

Когда небольшая компания быстро разрастается, возможностей первоначальной сети начинает не хватать. Сотрудники компании не всегда понимают, как важно спланировать обновление сети. Иногда для подключения новых пользователей просто добавляют сетевые устройства или используют устройства различного качества, от различных производителей, с различными технологиями подключения к сети. При добавлении каждого нового пользователя качество существующей сети может снижаться до такого уровня, что система перестает поддерживать имеющийся трафик.

Большинство небольших компаний начинает задумываться о перепланировании сети в соответствии с новыми требованиями только тогда, когда начинаются сбои. Для консультации, установки и помощи в обновлении сети можно пригласить поставщика услуг Интернета или поставщика услуг администрирования. 

Перед началом планирования обновления сети на место отправляется технический специалист, который выполняет проверку и документирует имеющуюся структуру сети. Кроме того, нужно исследовать и документировать физическое расположение помещений и определить, где установить новое оборудование.


Осмотр на месте установки предоставляет проектировщику сети важную информацию и является удачной начальной точкой проекта. Он показывает, что уже установлено, и позволяет более или менее точно определить, что потребуется. 

При осмотре на месте установки могут быть собраны следующие важные сведения: 

число пользователей и типы оборудования;
проектируемый рост;
текущее подключение к Интернету;
требования приложений;
существующая сетевая инфраструктура и физическая схема сети;
потребности в новых службах;
безопасность и охрана личной информации;
ожидаемая надежность и время бесперебойной работы;
бюджетные ограничения.


По возможности рекомендуется получить поэтажный план. Если его нет, технический специалист может начертить схему с размерами и расположением всех комнат. Кроме того, для определения общих требований к обновлению полезно составить список имеющегося аппаратного и программного обеспечения.

Торговый представитель может также приехать на место вместе с техническим специалистом и поговорить с клиентом. Торговый представитель может задать ряд вопросов, касающихся потребностей бизнеса в обновлении сетевого оборудования.


При проведении осмотра на месте технический специалист должен быть готов ко всему. Сети не всегда соответствуют строительным нормам и правилам, относящимся к электропроводке, зданиям или требованиям по безопасности, или каким-либо стандартам вообще. 

Иногда сети расширяют как придется, а в итоге получается смесь различных технологий и протоколов. Высказывая свое мнение о качестве существующей сети, техническому специалисту необходимо постараться не обидеть клиента. 

Придя на предприятие клиента, технический специалист должен тщательно осмотреть сеть и проверить настройки компьютера. Иногда выявляются очевидные проблемы, например, непомеченные кабели, низкий уровень физической безопасности сетевых устройств, отсутствие резервного питания или источников бесперебойного питания критически важных устройств. Эти обстоятельства отражаются в отчете по осмотру на месте установки наряду с другими требованиями, выявленными в процессе осмотра и общения с клиентом. 

После завершения осмотра на месте техническому специалисту необходимо совместно с клиентом просмотреть результаты и убедиться, что ничего не упущено и нет ошибок. Отчет, содержащий точные данные, является отличной основой для проектирования новой сети.


Как физическая, так и логическая топология сети должны быть задокументированы. Физическая топология - это схема реального расположения кабелей, компьютеров и других периферийных устройств. Логическая топология отражает путь данных по сети и места, где выполняются сетевые функции (например, маршрутизация). Специалист собирает эту информацию при осмотре на месте установки и использует ее для создания карты физической и логической топологии сети.

В проводной сети карта физической топологии включает в себя коммутационный отсек и проводку к отдельным станциям конечного пользователя. В беспроводной сети карта физической топологии включает в себя коммутационный отсек и точку доступа. Поскольку провода отсутствуют, в физической топологии указывается область покрытия беспроводного сигнала. 

Логическая топология проводной и беспроводной сети обычно совпадает. В нее входит система присвоения имен и адресации конечных станций уровня 3, шлюзов маршрутизатора и других сетевых устройств, независимо от физического расположения. На ней указаны местоположения, где выполняется маршрутизация, преобразование сетевых адресов и фильтрация межсетевого экрана.


Разработка логической топологии требует понимания взаимоотношений между устройствами и сетью, не зависящих от физической конфигурации прокладки кабелей. Существует несколько возможных топологических схем. Например, топологии типа звезда, расширенная звезда, частично-связанные и полносвязные сети.

Звездообразные топологии

В звездообразной топологии каждое устройство соединено единственным подключением с центральной точкой. Центральная точка обычно представляет собой коммутатор или точку беспроводного доступа. Преимущество звездообразной топологии состоит в том, что при отказе одного подключенного устройства остальные устройства продолжают нормально работать. Но если отказывает центральное устройство, например коммутатор, все подключенные устройства теряют связь. 

Расширенная звезда — это такая топология, при которой центральное устройство одной звезды соединяется с центральным устройством другой звезды, например, несколько коммутаторов связываются между собой или образуют цепочку.

Ячеистые топологии

Большинство центральных уровней в сети объединены либо в полносвязную, либо в частично-связанную ячеистую топологию. В полносвязной ячеистой топологии каждое устройство соединено с каждым другим устройством. Несмотря на то, что полносвязные топологии дают преимущества сети с полным резервированием, возможны сложности при их соединении и управлении, а также они требуют больших затрат. 

Для установок большего размера используется модифицированная частично--ячеистая топология. В частично-связанной ячеистой топологии каждое устройство соединено, по крайней мере, с двумя другими устройствами. Такая структура обеспечивает достаточную избыточность без той сложности, которая свойственна полносвязной ячеистой топологии.

При использовании резервных каналов посредством применения частично-- или полносвязных ячеистых топологий сетевые устройства всегда могут найти альтернативные маршруты для отправки данных в случае сбоя.


Помимо создания топологических карт существующей сети, необходимо получить дополнительную информацию об уже установленных узлах и сетевых устройствах. Эту информацию нужно занести в краткий инвентарный список. Специалист документирует также любое расширение, которое компания планирует в ближайшем будущем. 

Эта информация помогает разработчику сети определить потребности в новом оборудовании и оптимальную структуру сети с учетом запланированного расширения. 

Инвентарный список установленных устройств включает в себя следующее:

название устройства;
дату покупки;
информацию о гарантии;
местоположение;
марку и модель;
операционную систему;
данные о логической адресации;
шлюз;
метод подключения;
антивирусную защиту;
информацию о безопасности.



Обновление сети требует серьезного планирования. Как и в любом другом проекте, нужно определить потребности и спланировать процесс от начала до конца. Хороший план проекта помогает обнаружить все сильные и слабые места, возможности и риски (SWOT). В плане четко определяются задачи и порядок их решения.

Примеры хорошего планирования:

спортивные команды, следующие плану игры;
строители, работающие по чертежам;
церемонии и встречи, проходящие согласно повестке дня.


Сеть, представляющая собой смесь разнородных устройств, технологий и протоколов, обычно является результатом ошибок при первоначальном планировании. Такие сети часто простаивают, их трудно обслуживать и чинить.


Планирование обновления сети начинается после завершения осмотра на месте и составления отчета по результатам обследования. Существует пять четко определенных этапов.

Этап 1: сбор требований.

Собранная при осмотре и общении с клиентом информация анализируется, определяются требования к сети. Этот анализ проводит группа разработчиков поставщика услуг Интернета, которая составляет отчет об анализе.

Этап 2: выбор и конструирование.

Выбор устройств и кабелей на основе требований аналитического отчета. Создается нескольких вариантов конструкции и проводится регулярный обмен данными между участниками проекта. На этом этапе члены группы рассматривают сеть с точки зрения документации и оценивают возможные компромиссы по критериям производительности и стоимости. Именно на этом этапе могут быть выявлены и устранены все слабые места проекта.

На этом этапе также создаются и проверяются прототипы. Прототип является хорошим индикатором работы новой сети.

После одобрения проекта клиентом можно начинать внедрение новой сети.

Этап 3: реализация.

Если первые два этапа выполнены правильно, этап реализации, вероятнее всего, пройдет без сбоев. Если на ранних этапах что-то было пропущено, в фазе внедрения нужно устранить эти недочеты. Создание и использование графика внедрения, предусматривающего время на неожиданные происшествия, позволяет свести к минимуму перерывы в работе клиента. Для успеха проекта в процессе установки крайне важно постоянно общаться с клиентом.


Этап 4. Эксплуатация

Сеть вводится в эксплуатацию в так называемом производственном окружении. Считается, что до этого этапа она находится в режиме проверки или внедрения.

Этап 5. Проверка и оценка

После того, как сеть будет запущена в эксплуатацию, нужно проверить и оценить качество проекта и его реализации. Это рекомендуется делать в следующем порядке:

Шаг 1. Сравните опыт пользователя с приведенными в документах целями и оцените, подходит ли конструкция для работы. 

Шаг 2. Сравните запроектированные конструкции и затраты с реальными результатами развертывания. Эта оценка позволит применить в будущих проектах опыт, полученный при реализации данного проекта.

Шаг 3. Проследите за работой и зафиксируйте изменения. Важно, чтобы характеристики системы всегда полностью документировались и включались в отчет.

Тщательное планирование на каждом этапе — гарантия того, что проект будет успешно выполнен. В планировании часто принимают участие выездные технические специалисты, поскольку они занимаются всеми этапами обновления.


Выбирая оборудование и конструкцию новой сети, разработчик сети, прежде всего, осматривает имеющуюся сетевую инфраструктуру и кабели. К инфраструктуре относятся физическая среда, помещение дальней связи и существующие сетевые кабели. Телекоммуникационная комната или коммутационный отсек в небольшой сети, расположенной на одном этаже, обычно называется главным распределительным отсеком (MDF). 

Обычно MDF состоит из многих сетевых устройств, включая коммутаторы или концентраторы, маршрутизаторы и точки доступа. Именно здесь все сетевые кабели сходятся в одной точке. Часто в MDF находится точка доступа в сеть (POP) поставщика услуг Интернета, где локальная сеть подключается к Интернету через поставщика телекоммуникационных услуг. 

Если требуются дополнительные коммутационные отсеки, они называются промежуточными распределительными узлами (IDF). Обычно IDF меньше MDF и подключаются к MDF. 

У многих небольших компаний нет ни телекоммуникационной комнаты, ни отсеков. Сетевое оборудование может быть установлено на столе или другой мебели, а провода могут просто лежать на полу. Сетевое оборудование необходимо установить надежно. По мере роста сети телекоммуникационное помещение приобретает критически важное значение для безопасности и надежности сети.


Если имеющиеся кабели не соответствуют спецификации нового оборудования, нужно запланировать и установить новые. Состояние существующих кабелей можно быстро определить методом осмотра сети. При планировании установки сетевых кабелей нужно учитывать следующие четыре физические области:

рабочие места пользователей; 
телекоммуникационное помещение;
магистральная область;
область распределения.


Существует много разных типов кабелей, применяемых в сетевых средах, некоторые из них распространены больше, другие меньше.

Экранированная витая пара (ЭВП) — обычно используются кабели категорий 5, 5e или 6 с экраном из фольги, защищающей от внешних электромагнитных помех (ЭМП). В среде Ethernet максимальная длина такого кабеля не должна превышать 100 метров.
Неэкранированная витая пара (НВП) — обычно используются кабели категорий 5, 5e или 6 без дополнительного экрана, но более дешевые. Кабели не следует прокладывать рядом с источниками электрических помех. В среде Ethernet максимальная длина такого кабеля не должна превышать 100 метров.
Оптоволоконный кабель — не подвержен воздействию ЭМП, передает данные быстрее и дальше, чем медный кабель. В зависимости от типа оптоволокна максимальное расстояние передачи может достигать нескольких километров. Волоконная оптика может быть использована на магистральном уровне для высокоскоростных соединений.


Наряду с этими тремя обычно используемыми типами кабелей, в сетях применяют также и коаксиальные кабели. В ЛВС коаксиальные кабели обычно не применяются, но они широко используются с кабельными модемами в сетях сервис-провайдеров. Коаксиальный кабель имеет центральный медный проводник, несколько защитных слоев, включая поливинилхлорид (ПВХ), оплетку и пластиковое покрытие. Дальность передачи составляет несколько километров. Ограничения зависят от области применения. 


В мире есть несколько организаций, предоставляющих спецификации кабелей для ЛВС.

Компании Telecommunications Industry Association (TIA) и Electronic Industries Alliance (EIA) совместно разработали спецификации кабелей TIA/EIA для ЛВС. Две наиболее распространенных спецификаций TIA/EIA — стандарты 568-A и 568-B. Оба обычно предусматривают использование одинакового кабеля категории 5 или 6, но с разными цветовыми кодами терминалов. 

В сетях используются три разных типа кабелей "витая пара".

Прямой кабель — соединяет разные устройства, например, коммутатор и компьютер или коммутатор и маршрутизатор.
Перекрестный кабель — соединяет подобные устройства, например, два коммутатора или два компьютера.
Консольный кабель (или "инверсный") — соединяет компьютер с портом консоли маршрутизатора или коммутатора для настройки первоначальной конфигурации.


Другой тип кабеля, часто применяемый в сетях — последовательный кабель. Обычно таким кабелем маршрутизатор соединяется с портом Интернет. Это может быть разъем телефонной компании, кабельной компании или частной сети поставщика услуг Интернета.


При разработке проекта прокладки структурированных кабелей, прежде всего, нужно получить точный поэтажный план. На основании поэтажного плана специалист может найти места для возможной установки коммутационного отсека и прокладки кабелей, а также определить области, которые следует обходить из-за электрических помех.

После того, как технический специалист определит и утвердит местонахождение сетевых устройств, можно будет нарисовать будущую сеть на поэтажном плане. В документации нужно отразить следующие важные моменты.

Соединительный кабель — короткий кабель от компьютера до стенной панели на рабочем месте пользователя.
Горизонтальный кабель — кабель от стенной панели до промежуточного распределительного щита в области распределения.
Вертикальный кабель — кабель от промежуточного до главного распределительного щита в области магистрали организации.
Магистральный кабель — часть сети, по которой проходит основная часть трафика.
Положение коммутационного отсека — область, где собираются кабели, идущие к концентратору или коммутатору.
Система управления кабелями — лотки и жгуты, направляющие и защищающие кабели.
Система маркировки кабелей — система маркировки или схема идентификации кабелей.
Вопросы электроснабжения — розетки и прочие средства, обеспечивающие электропитание сетевого оборудования.



При планировании обновления сети группа поставщика услуг Интернета должна рассмотреть вопросы закупки нового оборудования и обслуживания нового и существующего оборудования. Обычно имеется два варианта получения нового оборудования.

Управляемый сервис — клиент получает оборудование от поставщика услуг Интернета по договору аренды или иному соглашению, а поставщик услуг Интернета отвечает за обновление и обслуживание оборудования.
Самостоятельное приобретение — клиент закупает оборудование и сам несет ответственность за обновление, гарантии и техническое обслуживание.


При приобретении оборудования всегда большое значение имеет цена. Тщательный анализ различных вариантов создает надежную основу для окончательного решения.

Если выбирается управляемый сервис, возникают расходы на аренду и обслуживание в соответствии с соглашением об уровне обслуживания (SLA). 

Покупая оборудование самостоятельно, клиент должен учесть его стоимость, гарантийное покрытие, совместимость с существующим оборудованием и расходы на обновление и обслуживание. Для определения экономической эффективности покупки все эти аспекты должны быть тщательно проанализированы.


Проанализировав требования, разработчики рекомендуют клиенту соответствующие сетевые устройства для подключения и поддержки работы новой сети.

В современных сетях используются различные устройства. У каждого есть определенные возможности контроля по управлению потоком данных в сети. Как правило, чем выше уровень устройства в модели OSI, тем разнообразнее его функции. Это означает, что устройство высшего уровня лучше анализирует трафик и передает его на основе информации, которая низкоуровневым устройствам недоступна. Например, концентратор уровня 1 может только передавать данные всем портам, а коммутатор уровня 2 фильтрует данные и передает их только порту, соединенному с адресатом (на основе MAC-адреса). 

По мере совершенствования коммутаторов и маршрутизаторов, разница между ними размывается. Остается одно простое отличие: Коммутаторы ЛВС обеспечивают связь внутри локальной сети организации, а маршрутизаторы связывают между собой локальные сети и необходимы в глобальных сетях.

Помимо коммутаторов и маршрутизаторов для ЛВС существуют и другие варианты подключения. Беспроводные точки доступа позволяют компьютерам и другим устройствам (например, ручным IP-телефонам) подключаться к сети без использования проводов или совместно пользоваться одним широкополосным соединением. Межсетевые экраны защищают от сетевых угроз и обеспечивают безопасность и контроль над сетью. 

Маршрутизаторы с интегрированными сетевыми службами (ISR) представляют собой сетевые устройства, которые объединяют функции коммутаторов, маршрутизаторов, точек доступа и межсетевых экранов.


Хотя связь на уровне доступа к сети обеспечивают и концентраторы, и коммутаторы, для подключения устройств к ЛВС лучше выбрать коммутаторы. Коммутаторы дороже концентраторов, но значительно эффективнее и, следовательно, выгоднее. Как правило, концентраторы используют только в небольших ЛВС, где не требуется высокая пропускная способность, или при ограниченном бюджете.

Выбирая коммутатор для конкретной ЛВС, нужно учесть несколько факторов. В частности, это:

скорость и типы используемых портов и интерфейсов;
расширяемость;
управляемость;
стоимость;


Скорость и типы портов и интерфейсов

При наличии устройств уровня 2, поддерживающих большую скорость, можно расширять сеть без замены центральных устройств. 

При выборе коммутатора важно определить количество и тип портов.

Разработчики сети должны тщательно продумать необходимое количество портов "витая пара" и оптоволоконных портов. Важно также учесть, сколько примерно портов понадобится для поддержки расширения сети.


Расширяемость

Сетевые устройства выпускаются в блочной и модульной конфигурации. В блочной конфигурации предусмотрено определенное количество портов или интерфейсов. У модульных устройств есть слоты расширения, позволяющие добавлять новые модули. Большинство модульных устройств поставляется с минимальным набором портов и слотов расширения.

Обычно к слотам расширения подключают оптоволоконные модули для устройств, первоначально оснащенных несколькими фиксированными портами "витая пара". Использование модульных коммутаторов — выгодный способ масштабирования ЛВС.

Управляемость

Простой недорогой коммутатор не имеет органов управления. Управляемый коммутатор, в котором используется набор функций Cisco IOS, позволяет управлять отдельными портами или коммутатором в целом. Система управления включает возможность изменять настройки устройства, увеличивать защищенность порта и отслеживать производительность.

Например, в управляемом коммутаторе можно включать и выключать порты. Кроме того, администраторы могут выбирать компьютеры или устройства, которым разрешено подключаться к порту.


Стоимость

Стоимость коммутатора зависит от его производительности и набора функций. Понятие производительности включает в себя количество и типы портов, а также общую пропускную способность. Кроме того, на стоимость влияют возможности сетевого управления, встроенные технологии безопасности и дополнительные, более совершенные, технологии коммутации.

При простой калькуляции стоимости каждого порта может с первого взгляда показаться, что выгоднее всего установить один большой централизованный коммутатор. Однако эту очевидную экономию могут снизить расходы на длинные кабели, которые придется использовать для подключения каждого устройства локальной сети к одному коммутатору. Данный вариант нужно сравнить со стоимостью нескольких меньших коммутаторов, для подключения которых к центральному коммутатору требуется небольшое число длинных кабелей.

Кроме того, преимущество развертывания нескольких небольших устройств вместо одного большого состоит в том, что сокращается размер домена возникновения сбоя. Домен сбоев — это область сети, на которую влияет неполадка конкретного сетевого устройства. 

Выбрав коммутаторы для ЛВС, нужно подобрать подходящий для клиента маршрутизатор.


Маршрутизатор - это устройство уровня 3. Он выполняет все функции устройств нижних уровней и выбирает оптимальный маршрут к адресату на основе информации уровня 3. Маршрутизаторы в первую очередь соединяют сети. Каждый порт подключен к своей сети и маршрутизирует пакеты между сетями. Маршрутизаторы могут разделять домены широковещательных рассылок и коллизий.

При выборе маршрутизатора необходимо подобрать его характеристики в соответствии с требованиями сети. В частности, при выборе маршрутизатора учитываются следующие факторы:

требуемый тип разъема;
доступные функции;
стоимость;


подсоединяемость.

Маршрутизаторы соединяют сети, в которых используются различные технологии. У них есть интерфейсы LAN и WAN. 

Интерфейсы LAN используются для подключения к среде ЛВС. Обычно в ней применяются кабели UTP, но есть и возможность добавить модули для использования оптоволоконных кабелей. В зависимости от серии или модели маршрутизатора, возможно наличие нескольких типов интерфейсов для подключения кабелей LAN и WAN.


Функции

Характеристики маршрутизатора должны соответствовать требованиям сети. Возможно, что по результатам анализа руководство предприятия может решить, что ему требуется маршрутизатор с определенными функциями. Помимо базовой маршрутизации, возможно выполнение следующих функций:

безопасность;
качество обслуживания (QoS);
голос через IP (VoIP);
преобразование сетевых адресов (NAT); 
протокол динамической настройки узлов (DHCP);
виртуальные частные сети (VPN).

Стоимость

При выборе межсетевых устройств нужно учесть требования бюджета. Маршрутизаторы могут быть достаточно дорогими, причем их стоимость может повышаться за счет дополнительных модулей, например, оптоволоконных. 

Маршрутизатор с интегрированными сетевыми службами (ISR) — это сравнительно новое устройство, выполняющее функции различного оборудования. До изобретения ISR для поддержки работы с данными, проводными и беспроводными системами, голосом и видео, межсетевыми экранами и VPN требовалось несколько устройств. ISR выполняет функции сразу нескольких устройств, необходимых небольшим и средним предприятиям и филиалам крупных организаций. С его помощью можно легко и быстро обеспечить сквозную защиту пользователей, приложений, сетевых конечных точек и беспроводных ЛВС. Кроме того, стоимость ISR меньше, чем при покупке соответствующих устройств по отдельности.


Первоначально небольшие сети для проводных и беспроводных пользователей создавались с использованием недорогих встроенных маршрутизаторов. Такие устройства разрабатывались для небольших сетей, обычно состоящих из нескольких проводных узлов и, возможно, четырех или пяти беспроводных устройств. Когда небольшое предприятие перерастает возможности существующих сетевых устройств, приходится покупать более сложное оборудование. В рамках данного курса примерами таких устройств являются маршрутизатор Cisco 1841 ISR и коммутатор Cisco 2960.

Маршрутизатор Cisco 1841 разработан для филиалов и средних предприятий. Будучи универсальным маршрутизатором начального уровня, он поддерживает различные варианты подключения. Это устройство с модульным дизайном и различными службами безопасности.


Ниже перечислены некоторые функции коммутаторов Catalyst 2960.

Коммутация начального корпоративного уровня с фиксированной конфигурацией, оптимизированная для развертывания на уровне доступа. 
Fast Ethernet и Gigabit Ethernet для настольных компьютеров.
Идеальное решение для небольших и средних предприятий и филиалов.
Компактные размеры для размещения вне коммутационных отсеков.


Эти коммутаторы могут обеспечить высокие скорости и высокую плотность коммутации, недоступные для небольших маршрутизаторов ISR со встроенной коммутацией. Они хорошо подходят для обновления сетей на основе концентраторов или небольших ISR. 

В серию интеллектуальных коммутаторов Ethernet Cisco Catalyst 2960 входят автономные устройства с блочной конфигурацией, позволяющие использовать Fast Ethernet и Gigabit Ethernet на настольных компьютерах.


Приобретение сетевых устройств и прокладка кабелей - это только начало процесса обновления сети. Сети, кроме того, должны быть надежными и доступными. Надежность может быть обеспечена установкой дублирующих компонентов, например, двух маршрутизаторов вместо одного. При этом образуются альтернативные пути передачи данных. Соответственно, если на одном маршрутизаторе возникают неполадки, данные могут достичь адресата по другому маршруту.

При повышении надежности повышается и доступность. Например, телефонным системам необходима доступность класса "пять девяток". Это означает, что система должна работать 99,999% времени. Телефонная система не может простаивать или быть недоступной более 0,001% времени.

Для повышения надежности сети обычно используются отказоустойчивые системы. В такие системы входят, например, источники бесперебойного питания (ИБП), дублирующиеся источники переменного тока, устройства с возможность горячей замены и дополнительные интерфейсные платы. Если одно из устройств отказывает, подключается дублирующая или резервная система, обеспечивающая минимальную потерю надежности. Отказоустойчивость может также предусматривать резервные каналы связи.


План IP-адресации

При планировании сети нужно предусмотреть схему логической адресации. Смена IP-адресации третьего уровня - это серьезная проблема обновления сети. Если в процессе обновления структура сети меняется, возможно, придется изменить схему IP-адресов и данные сети.

План должен включать все устройства, которым требуются IP-адреса, и предусматривать возможность будущего роста. IP-адреса нужны следующим узлам и сетевым устройствам:

компьютерам пользователей;
компьютерам администраторов;
серверам;
прочим оконечным устройствам, таким как принтеры, IP-телефоны и IP-камеры;
интерфейсам маршрутизаторов ЛВС;
интерфейсам (последовательным) маршрутизаторов сетей WAN.


Имеются и другие устройства, которым могут потребоваться IP-адреса для доступа и управления. Среди них:

автономные коммутаторы;
точки беспроводного доступа.


Например, когда в сеть добавляется новый маршрутизатор, каждый интерфейс этого маршрутизатора может быть использован для создания дополнительных сетей или подсетей. Для них понадобятся соответствующие IP-адреса и маски подсети. Иногда сети приходится присваивать совершенно новую систему адресации.

После завершения этапов планирования и конструирования процесс обновления входит в фазу внедрения, и начинается физический монтаж сети. 


4 глава

Один из самых важных аспектов межсетевой связи - схема логической адресации.

IP-адресация представляет собой метод идентификации узлов и сетевых устройств. По мере роста Интернета и увеличения числа подключенных к нему узлов схемы IP-адресации приходилось адаптировать к этому росту. 

Несмотря на то, что схемы IP-адресации претерпевали изменения, базовая структура IP-адресов для IPv4 остается неизменной. Чтобы отправлять и принимать сообщения в сети IP, каждому сетевому узлу необходимо иметь уникальный 32-битный IP-адрес. Поскольку людям тяжело читать и понимать большие двоичные числа, IP-адреса обычно отображаются в десятичном формате с точками в качестве разделителей. Каждый из четырех октетов такого числа преобразуется в десятичное число с разделителем. Например, IP-адрес:

11000000.10101000.00000001.01101010 

в десятичном представлении с точками имеет вид 192.168.1.106.


IP-адреса представляют собой иерархическую структуру. Это нечто вроде родословного древа, где вверху находятся родители, а внизу - дети. Для сети это означает, что часть 32-битного числа идентифицирует сеть (родительский элемент), а оставшиеся биты - узел (дочерний элемент). В начале существования Интернета подключение было нужно всего нескольким организациям, и сетям присваивались только первые 8 бит (первый октет) IP-адреса. Оставшиеся 24 бита использовались как адреса локальных узлов. 

Тогда это имело смысл, поскольку первоначально предполагалось, что в Интернет будет выходить несколько очень больших университетов, правительственных и военных организаций. Используя в сетевой части только 8 бит, можно создать 256 отдельных сетей, более чем по 16 миллионов узлов в каждой. Вскоре стало очевидно, что к Интернету будут подключаться другие организации и даже отдельные лица, проводящие исследования или общающиеся друг с другом. Понадобилось больше сетей, и пришлось создать способ увеличения числа сетевых номеров.


Для увеличения количества возможных сетей 32-битное адресное пространство было разделено на пять классов. В три из них, A, B и C, входят адреса, которые можно присвоить отдельным узлам или сетям. Остальные два класса, D и E, зарезервированы для многоадресных рассылок и экспериментов. 

До этого изменения маршрутизаторы проверяли только первые 8 бит IP-адреса сети. Однако сети класса B используют для идентификации сети первые 16 бит. В сетях класса C для идентификации используются первые 24 бита. С учетом этого добавления маршрутизаторы приходилось программировать таким образом, чтобы для идентификации сетей классов B и C они учитывали не только первые 8 бит.

Было принято решение использовать такой способ разделения сетей, при котором маршрутизаторы и узлы могли бы легко определять фактическое число бит ID сети (идентификатора сети). Класс сети определяется значениями первых нескольких бит IP-адреса, называемых старшими битами. Если первый бит равен 0, сеть принадлежит классу A, и первый октет представляет идентификатор сети. Если первый бит равен 1, маршрутизатор проверяет второй бит. Если его значение равно нулю, сеть относится к классу B, и маршрутизатор считает идентификатором сети первые 16 бит. Если первые три бита равны 110, сеть относится к классу C. В адресах класса C идентификатором сети являются первые 24 бита, или три октета. Разбиение исходной 8-битной сети на более мелкие сетевые классы позволило увеличить число доступных номеров сетей от 256 до более чем двух миллионов.


В дополнение к созданию различных классов инженерная группа по развитию Интернета (Internet Engineering Task Force – IETF) решила зарезервировать часть адресного пространства Интернет для частных сетей. Частные сети не имеют связи с публичными сетями. К адресам в частной сети нет доступа через Интернет. Благодаря этому многочисленные сети, размещенные в различных местоположениях, могут использовать одну и ту же схему частных адресов, не создавая конфликтов адресов.

Использование пространства частных адресов сократило число уникальных зарегистрированных IP-адресов, выделенных для организаций.

Один адрес класса A, 10.0.0.0 был зарезервирован для частных сетей. Кроме того, часть адресного пространства в классах B и C также была выделена для частных сетей.

На данный момент в большинстве сетей используется частная структура адресов. По умолчанию большинство пользовательских сетевых устройств получает частные адреса через DHCP. Маршрутизируемые в Интернете адреса присваиваются только устройствам, которые подключаются непосредственно к публичной сети.


В 1980-е и 90-е годы сети продолжали расти и подключаться к Интернету, при этом многие организации создавали сети, включающие сотни и даже тысячи узлов. Казалось бы, для организации с тысячами узлов вполне достаточно сети класса B, однако возникли некоторые проблемы.

Во-первых, эти тысячи узлов редко размещались в одном месте. В целях повышения безопасности и улучшения управляемости некоторые организации предпочли отделить свои подразделения друг от друга. Во-вторых, основным типом пакетов, направляемых в сеть, является широковещательный пакет. Широковещательные пакеты направляются всем узлам, подключенным к одной логической сети. Когда тысячи узлов одной и той же сети отсылают широковещательный трафик при ограниченной пропускной способности каналов связи, добавлении новых узлов влечет за собой существенное падение производительности сети.

Чтобы решить эти проблемы, организации, занимающиеся развитием Интернета, решили разделить свои сети на мини-сети или подсети, используя процесс, получивший название "разбиение на подсети" (subnetting). Как разделить одну IP-сеть на несколько сетей таким образом, чтобы каждая подсеть рассматривалась как отдельная сеть? 

Стандарт RFC 917 "Подсети в Интернете" определяет маски подсети как метод, используемый маршрутизаторами для изоляции части сети от IP-адреса. Когда маршрутизатор принимает пакет, он определяет соответствующий путь передачи этого пакета на основе IP-адреса узла назначения и масок подсетей, связанных с маршрутами из таблицы маршрутизации.

Маршрутизатор побитно считывает маску подсети слева направо. Если бит маски подсети установлен в 1, значение в данном местоположении является частью идентификатора сети. Значение 0 в маске подсети показывает, что значение в данном местоположении является частью идентификатора узла.


В иерархии исходных IP-адресов существует два уровня: сеть и узел. При схеме адресации на основе классов значения первых трех бит определяют принадлежность IP-адреса к классу А, В или С. После определения класса адреса становится ясно, сколько бит отведено для идентификатора сети и сколько — для ID узла (идентификатора узла). Для классов сетей по умолчанию используются следующие маски подсетей:

класс A 255.0.0.0;

класс B 255.255.0.0;

класс C 255.255.255.0.

При делении классовой сети на подсети в иерархию сети добавляется еще один уровень. Теперь их три: сеть, подсеть и узел. Как можно изменить маску подсети, чтобы обозначить новый уровень иерархии?

Сетевое адресное пространство одного класса A, B или C может быть разделено на несколько подсетей за счет использования бит из адресного пространства узла для задания идентификатора подсети. Рассмотрим, например, организацию, использующую адресное пространство класса C и имеющую два офиса в разных зданиях. Чтобы облегчить управление сетью, сетевые администраторы хотят иметь в каждом местоположении логически разделенные сети. Если взять два бита из адреса узла, то длина маски подсети увеличится с 24 бит по умолчанию до 26 бит или 255.255.255.192.

Когда биты заимствуются из узловой части адреса для идентификации подсети, на долю отдельных узлов остается меньше бит. Если два бита используются для идентификации подсети, в узловой части адреса остается только шесть бит. 


При традиционном классовом делении на подсети одно и то же число бит используется для определения идентификаторов всех создаваемых подсетей. При таком типе деления на подсети всегда получается фиксированное количество подсетей и фиксированное количество узлов в каждой подсети. По этой причине такой метод называется делением на подсети с фиксированной длиной. 

Решение о том, сколько бит узла выделить для идентификации подсети, является очень ответственным плановым решением. При планировании подсетей нужно учесть две вещи: количество узлов в каждой сети и количество локальных сетей. Из таблицы возможных подсетей в сети 192.168.1.0 видно, как выбор количества бит в идентификаторе подсети влияет на количество возможных подсетей и количество узлов в каждой из них. 

Необходимо помнить, что во всех сетях IPv4 два адреса узлов зарезервированы: все нули и все единицы. Адрес со всеми нулями в узловой части является недействительным адресом узла и обычно относится ко всей сети или подсети. Адрес со всеми единицами в узловой части используется как адрес широковещательной рассылки. Когда какая-то сеть разбивается на подсети, в каждой из этих подсетей имеются узловые адреса со всеми нулями и со всеми единицами, но эти адреса нельзя использовать в качестве адресов индивидуальных узлов.


При делении сети маршрутизатор должен использовать модифицированную, или изменяемую, маску подсети, позволяющую отличать подсети друг от друга. 

Маска подсети по умолчанию и изменяемая маска отличаются друг от друга тем, что маски подсетей по умолчанию изменяются только в границах октета. Например, маска подсети сети класса А по умолчанию - 255.0.0.0. Изменяемые маски забирают биты из идентификатора узла и прибавляют их к маске по умолчанию.

При создании изменяемой маски подсети, нужно, прежде всего, решить, сколько бит взять из идентификатора узла и добавить к маске подсети. Число бит, которые необходимо позаимствовать, чтобы получить нужное число подсетей, можно определить с помощью следующей формулы: 2^n, где n — это число заимствуемых бит. 

Если требуется три подсети, число бит подсети должно быть достаточным для создания трех уникальных адресов подсетей. 

Например, если начать с адреса класса C, такого как 192.168.1.0, остается только восемь бит, из которых можно заимствовать. Каждый бит принимает только два значения: 1 или 0. Чтобы создать три подсети, необходимо занять, по крайней мере, два из восьми бит. При этом можно подключить в общей сложности четыре подсети: 

00 - 1я подсеть,

01 - 2я подсеть,

10 - 3я подсеть

11 - 4я подсеть.

В приведенном выше примере были заимствованы два бита, 2^2 = 4 или 2 x 2 = 4, поэтому было создано четыре подсети. Если бы потребовалось от пяти до восьми подсетей, пришлось бы занять три бита (2^3 = 8 или 2 x 2 x 2).

Число бит, выбранных для идентификатора подсети, влияет как на количество возможных подсетей, так и на число узлов, которые могут входить в каждую подсеть.


В подсетях, организованных по классам, число бит, необходимых для идентификатора подсети, зависит от двух факторов: числа созданных подсетей и числа узлов в каждой подсети. 

При делении на подсети с использованием классов или с фиксированной длиной все подсети должны иметь одинаковый размер. Это означает, что максимальное число узлов, поддерживаемых каждой подсетью, одно и то же для всех созданных подсетей. Чем больше бит отдано для идентификатора подсети, тем меньше их остается для идентификаторов узлов. 

Для определения доступного числа идентификаторов узлов в зависимости от количества оставшихся для узлов бит можно использовать ту же формулу 2^n с небольшим изменением. Поскольку в каждой подсети два адреса узлов зарезервированы, т. е. адреса со всеми нулями или всеми единицами, формула для определения числа поддерживаемых узлов принимает следующий вид 2^n - 2.

После того, как определено, сколько бит отводится под адрес подсети, все устройства в сети уведомляются о разбиении маской подсети. При наличии маски подсети можно определить, к какой подсети относится IP-адрес, и разработать простую схему IP-адресации в классовых подсетях.


Разделение на подсети позволило решить многие проблемы, существовавшие в первоначальной схеме адресации на основе классов. С его помощью организации, владевшие адресом класса A, B или C, смогли разбить свое адресное пространство на локальные подсети меньшего размера для более эффективного присвоения адресов. Большое значение разделения на подсети заключается также в том, что оно помогает минимизировать трафик и усилить меры безопасности между сетями. 

Примером ситуации, которая могла бы потребовать разделения на подсети, является такая ситуация, когда первоначально созданная сеть становится недостаточной для клиента поставщика услуг Интернета. В этой сети первый небольшой интегрированный беспроводной маршрутизатор перегружен трафиком от проводных и беспроводных пользователей. В этой сети, в силу ее сравнительно небольшого размера, используется адресное пространство класса C. 

Одним из возможных решений проблемы перегрузки сети является добавление второго сетевого устройства, например, более крупного маршрутизатора с интеграцией служб (ISR). При добавлении нового устройства полезно с точки зрения повышения безопасности подсоединить проводных и беспроводных пользователей к различным локальным подсетям. В этом случае первоначальный беспроводной маршрутизатор можно использовать для подсоединения к единой сети беспроводных пользователей и обеспечения их безопасности. Концентраторы или коммутаторы, подсоединяющие проводных пользователей, можно напрямую связать с новым ISR, используя другую сеть. Маршрутизатор ISR и беспроводной маршрутизатор можно в свою очередь напрямую подключить к третьей сети. 

В этой новой сетевой конфигурации требуется, чтобы существующая сеть класса C была разделена, по крайней мере, на три подсети. При использовании классовых подсетей не менее двух бит должно быть выделено из узловой части адреса для удовлетворения требований клиента. Такая схема разбиения на подсети позволяет создать четыре отдельных сети, в каждой из которых доступно 62 адреса узлов (всего 64 возможных адреса минус два адреса со всеми нулями и всеми единицами).


В первоначальном проекте классовых подсетей требовалось, чтобы все подсети одной классовой сети имели один и тот же размер. Это было связано с тем, что маршрутизаторы не включали информацию о маске подсети в свои обновления маршрутизации. Маршрутизатор, запрограммированный на интерфейс с одним адресом и одной маской подсети, автоматически применял одну и ту же маску к другим подсетям данной сети в своей таблице маршрутизации. Это ограничение требовало планирования для масок подсетей фиксированной длины в схеме IP-адресации.

Однако маски подсетей фиксированной длины могут приводить к бесполезной растрате значительного числа IP-адресов. Например, рассмотрим организацию с одним веб-сайтом, которая имеет приблизительно 8000 узлов и три различных местоположения, в каждом из которых насчитывается соответственно 1000, 400 и 100 узлов. При маске подсети фиксированной длины каждая подсеть должна была бы поддерживать, по крайней мере, 8000 узлов, даже та, для которой достаточно всего 100 адресов.

Маски подсети переменной длины (VLSM) помогают устранить этот недостаток. Адресация VLSM позволяет рационально создавать адресное пространство в сетях различного размера. Это достигается путем разделения подсетей на подсети. С этой целью современные маршрутизаторы должны получать информацию о маршрутизации, которая включает IP-адрес сети и информацию маски подсети, которая показывает число бит, образующих сетевую часть IP-адреса. Технология VLSM позволяет экономить тысячи IP-адресов, которые при традиционном классовом делении на подсети были бы растрачены впустую. 

В дополнение к VLSM, в RFC 1519 была предложена и принята технология бесклассовой междоменной маршрутизации (CIDR). CIDR игнорирует классы сетей на основе значений старших бит. В технологии CIDR идентификация сетей базируется только на числе бит в сетевом префиксе, которое соответствует числу единиц в маске подсети. Например, IP-адрес, написанный в соответствии со стандартом CIDR, имеет вид 172.16.1.1/16, где /16 означает число бит в сетевом префиксе. 


Протоколы CIDR освободили маршрутизаторы от использования только старших бит для определения префикса сети. Устранение этого ограничения избавило от необходимости выделять зарегистрированные IP-адреса в виде класса адреса. 

До внедрения CIDR поставщик услуг Интернета, которому требовалось 3000 адресов узлов, мог запрашивать либо полное адресное пространство класса B, либо несколько сетевых адресов класса C для удовлетворения своих нужд. В случае адресного пространства класса B поставщик услуг Интернета понапрасну терял бы тысячи зарегистрированных адресов. При использовании нескольких адресов класса C было бы затруднительно проектировать сеть ISP таким образом, чтобы ни одна ее часть не требовала более 254 адресов узлов. Кроме того, таблицы маршрутизации, содержащие много адресов класса C, могут стать слишком громоздкими и трудно управляемыми. 

Игнорируя традиционные классы адресов, технология CIDR позволяет поставщику услуг Интернета затребовать блок адресов на основе того числа адресов узлов, которое ему фактически необходимо. Суперсети, создаваемые путем объединения группы адресов класса C в один большой блок, позволяют присваивать адреса более эффективно. Пример суперсети: 192.168.0.0/19. Использование первых 19 бит IP-адреса в качестве префикса сети позволяет этой суперсети содержать 8190 возможных адресов узлов. ISP может использовать суперсеть как одну большую сеть или разбить ее, если требуется, на множество мелких сетей.

В этом примере суперсети используется частный адрес 192.168.0.0 класса C. В реальной жизни в большинстве сетей, где используется частная адресация, применяются резервные адреса классов A или B и разбиение на подсети. Несмотря на то, что адресация на основе классов и использование масок подсетей фиксированной длины становятся все менее популярными, важно понимать, как эти методы адресации работают. Во многих устройствах все еще используется маска подсети по умолчанию, если не определена изменяемая маска подсети.


При делении сети на подсети каждая подсеть фактически представляет собой совершенно самостоятельную сеть. Поэтому, чтобы устройство из одной подсети могло обмениваться данными с устройством из другой подсети, необходим маршрутизатор, поскольку именно маршрутизаторы соединяют сети. 

Чтобы определить, сколько узлов должно быть в каждой подсети, необходимо учесть не только отдельные узловые устройства, но и интерфейс маршрутизатора или интерфейс шлюза. У каждого интерфейса маршрутизатора должен быть IP-адрес в той же подсети, к которой подключена сеть узла.

В некоторых случаях возникает необходимость соединить два маршрутизатора, например, при соединении устройства Linksys и маршрутизатора 1841 ISR. В этой конфигурации необходимо обеспечить, чтобы интерфейсам связанных друг с другом маршрутизаторов были присвоены IP-адреса в одной и той же сети или подсети. Здесь общий канал показывает, что к подсети 192.168.1.16/29 подключено два маршрутизатора с IP-адресами 192.168.1.17/29 и 192.168.1.18/29.


Маршрутизаторы необходимы для связи подсетей с внутренней сетью независимо от того, является ли диапазон IP-адресов общим или частным. Но если диапазон адресов является частным, маршруты для частных сетей нельзя прокладывать через публичный Интернет. Поэтому неясно, как же узловые устройства, использующие частную схему адресации, связываются через Интернет? Для устройства, соединяющего частную сеть с сетью поставщика услуг Интернета, должно быть разрешено преобразование сетевых адресов (NAT). 

NAT позволяет большой группе частных пользователей получать доступ в Интернет, совместно пользуясь одним или несколькими публичными IP-адресами. Эта система работает примерно так же, как телефонная система внутри компании. По мере того, как численность персонала компании растет, сотрудники перестают подключаться непосредственно к публичной телефонной линии. Вместо этого каждому сотруднику компании присваивается добавочный номер. Это возможно потому, что не все они одновременно пользуются телефоном. Использование частных добавочных номеров позволяет организации закупать у телефонной компании меньшее число внешних телефонных линий.

NAT работает примерно так же, как телефонная система компании. Одна из основных причин создания NAT - возможность сэкономить зарегистрированные IP-адреса. Кроме того, NAT обеспечивает безопасность компьютеров, серверов и сетевых устройств, блокируя непосредственный доступ в Интернет с реального IP-адреса узла.


Основное преимущество NAT состоит в том, что IP-адреса могут быть повторно использованы, и многие узлы одной ЛВС могут совместно пользоваться глобально уникальными IP-адресами. NAT работает прозрачно и помогает защитить пользователей частной сети от несанкционированного доступа из публичного домена. 

Кроме того, NAT скрывает частные IP-адреса от публичных сетей. Преимущество этой технологии состоит в том, что NAT во многом работает как список управления доступом, не позволяя внешним пользователям подключаться к внутренним устройствам. Ее недостатком является то, что для доступа легитимных внешних пользователей требуются дополнительные настройки.

Другой недостаток состоит в том, что NAT влияет на некоторые приложения, имеющие IP-адреса в своей полезной нагрузки сообщения, поскольку эти IP-адреса также должны преобразовываться. Это преобразование увеличивает нагрузку на маршрутизатор и снижает производительность сети. 


В процессе настройки NAT на маршрутизаторе используется несколько терминов, помогающих объяснить, как маршрутизатор реализует эту технологию.

Внутренняя локальная сеть относится к любой подключенной к маршрутизатору сети, которая является частью локально адресуемой ЛВС. Узлы внутренних сетей имеют свои IP-адреса, преобразуемые перед передачей внешним пунктам назначения.
Внешняя глобальная сеть — любая сеть, подключенная к маршрутизатору, которая является внешней по отношению к локальной сети и не допускает частных адресов, присвоенных узлам в локальной сети.
Внутренний локальный адрес — частный IP-адрес, настроенный на узле во внутренней сети. Этот адрес должен быть преобразован, прежде чем он покинет адресную структуру локальной сети.
Внутренний глобальный адрес — IP-адрес внутреннего узла, доступный для маршрутизации во внешней сети. Это преобразованный IP-адрес.
Внешний локальный адрес — адрес получателя пакета, пока он находится в локальной сети. Обычно этот адрес совпадает с внешним глобальным адресом.
Внешний глобальный адрес — публичный IP-адрес внешнего узла. Этот адрес выделяется из пространства глобальных маршрутизируемых сетевых адресов.



Адреса могут присваиваться динамически. Динамическое преобразование сетевых адресов позволяет узлам в частной сети, имеющим частные IP-адреса, подключаться к публичной сети, например, сети Интернет. Динамическое преобразование сетевых адресов происходит тогда, когда маршрутизатор присваивает внешний глобальный адрес из предварительно определенного адреса или пула адресов внутреннему устройству частной сети. 

Пока сеанс открыт, маршрутизатор отслеживает внутренние глобальные адреса и отправляет подтверждения инициирующим внутренним устройствам. Когда сеанс закрывается, маршрутизатор просто возвращает внутренний глобальный адрес в пул.


Одно из преимуществ использования NAT состоит в том, что отдельные узлы недоступны из Интернета напрямую. Но что делать, если один или несколько узлов внутри сети выполняют услуги, доступ к которым должен осуществляться через устройства, подключенные к Интернету, и устройства из локальной частной сети?

Один из способов обеспечения доступа к локальному узлу из Интернета состоит в том, чтобы присвоить этому устройству статическое преобразование адреса. Статические преобразования гарантируют, что частный IP-адрес отдельного узла будет всегда преобразовываться в один и тот же зарегистрированный глобальный адрес. Это означает, что никакой другой локальный узел не получит тот же самый зарегистрированный адрес.

Статическое NAT позволяет узлам из публичной сети подключаться к отдельным узлам из частной сети. Если устройство во внутренней сети должно быть доступно извне, используйте статическое NAT.

В случае необходимости статическое и динамическое NAT могут быть настроены одновременно.


Если зарегистрированный пул IP-адресов организации очень небольшой, или если у нее есть всего один IP-адрес, к публичной сети все равно могут одновременно подключаться несколько пользователей благодаря механизму, который называется перегрузкой NAT или преобразованием адресов портов (PAT). PAT преобразует несколько локальных адресов в один глобальный IP-адрес.

Когда узел источника отправляет сообщение узлу назначения, он использует сочетание IP-адреса и номера порта и таким образом отслеживает каждый отдельный сеанс связи с адресатом. В режиме PAT шлюз преобразует адрес локального источника и номер порта из пакета в один глобальный IP-адрес и уникальный номер порта выше 1024. Хотя каждый узел получает одинаковый глобальный IP-адрес, номер порта остается уникальным. 

Ответный трафик адресуется на преобразованный IP-адрес и номер порта узла. В таблице маршрутизатора находится список внутренних IP-адресов и номеров портов, которые преобразуются во внешние адреса. Ответный трафик направляется на соответствующий внутренний адрес и номер порта. Поскольку в наличии есть более 64 000 портов, маршрутизатору вряд ли не хватит адресов, как это могло бы случиться при динамическом преобразовании NAT.


Поскольку каждое преобразование специфично для локального адреса и локального порта, каждое подключение, при котором генерируется новый порт источника, требует отдельного преобразования. Например, 10.1.1.1:1025 нужно отдельно преобразовать из 10.1.1.1:1026. 

Преобразование действует только на время соединения, так что после завершения обмена данными пользователь не сохраняет данное сочетание глобального IP-адреса и порта. 

Пользователи из внешней сети не смогут установить надежное соединение с узлом сети, где используется PAT. Дело не только в том, что локальный или глобальный номер порта невозможно прогнозировать, но и в том, что шлюз даже не создает преобразование, пока внутренний узел не установит соединение.


Пользователи подключаются к Интернету из частных сетей, даже не подозревая о том, что маршрутизатор использует NAT. Вместе с тем, важный момент заключается в том, что преобразование NAT создает дополнительную нагрузку для поддержки преобразований IP-адреса и порта. 

Некоторые приложения увеличивают рабочую нагрузку маршрутизатора, поскольку включают в инкапсулированные данные IP-адрес. Маршрутизатору приходится заменять комбинации IP-адресов и портов источника в пакете и адреса источника в заголовке IP. 

Из-за того, что маршрутизатору приходится выполнять дополнительную работу, для внедрения NAT требуется хорошее планирование сети, тщательный подбор оборудования и правильная конфигурация.

Функция NAT теперь настолько часто используется в интегрированных сетевых устройствах для дома и небольших компаний, что некоторые полагают, будто для настройки нужно только установить соответствующий флажок. По мере расширения бизнеса и возникновения потребности в более сложных шлюзах и маршрутизаторах, настройка устройств для использования NAT усложняется.


Разделение сетей на подсети, частная IP-адресация и преобразование NAT разработаны для того, чтобы временно решить проблему нехватки IP-адресов. Эти методы, хотя и оказались полезными, не увеличили количество IP-адресов. В качестве ответа на дефицит адресов в 1998 году был предложен протокол IPv6, описанный в документе RFC 2460. 

Хотя первоначально таким образом предполагалось решить проблему нехватки IP-адресов IPv4, были и другие причины его появления. С момента первоначальной стандартизации IPv4 Интернет заметно разросся. При этом обнаружились преимущества и недостатки протокола IPv4, а также пути обновления и добавления новых возможностей.

Вот общий список улучшений, предложенных в IPv6:

расширение адресного пространства;
более совершенное управление адресным пространством;
упрощенное управление TCP/IP;
модернизация функций маршрутизации;
усовершенствованная поддержка многоадресных рассылок, безопасности и мобильности.


При разработке IPv6 предполагалось решить как можно больше таких проблем.


В IPv6 используются 128-битные IP-адреса, а возможный размер адресного пространства составляет 2^128. В десятичном выражении это, приблизительно, 3 с 38 нулями. Если адресное пространство IPv4 представить в виде маленького детского шарика, то пространство IPv6 — это нечто размером с планету Сатурн.

Работать со 128-битными числами сложно, поэтому в адресах IPv6 128 бит представлены в виде 32 шестнадцатеричных чисел, разделенных на восемь групп, в каждой группе 4 шестнадцатеричных числа, и разделителем между группами является двоеточие. Адреса IPv6 состоят из трех частей. Первые три блока адреса занимает глобальный префикс, присвоенный организации регистратором доменных имен в Интернете. Идентификаторы подсети и интерфейса присваивает администратор сети.

Сетевым администраторам потребуется какое-то время, чтобы приспособиться к новой структуре IPv6. До того, как IPv6 станет общепринятым стандартом, администраторам еще будет нужен способ более эффективного использования частных адресных пространств.


5 глава

Маршрутизаторы с интегрированными службами Cisco (ISR) являются одними из самых популярных сетевых устройств, используемых для поддержки растущих потребностей предприятий в средствах связи. ISR сочетает в себе маршрутизатор и коммутатор сети LAN, а также функции устройства, обеспечивающего безопасность, голосовую передачу и соединение с сетью WAN. Благодаря этому ISR идеально подходит для небольших и средних компаний и пользователей, администрируемых поставщиком услуг Интернета (ISP).

Дополнительный встроенный коммутационный модуль обеспечивает непосредственное подключение устройств локальной сети мелких компаний к 1841 ISR. Если количество узлов локальной сети превышает количество портов коммутатора, то при использовании этого встроенного коммутационного модуля дополнительные коммутаторы или концентраторы можно соединить в виде гирлянды, чтобы увеличить количество доступных портов локальной сети. Если коммутационный модуль не используется, то внешние коммутаторы подключаются к интерфейсам маршрутизатора ISR. 

Функция маршрутизатора ISR позволяет разбить сеть на несколько локальных сетей, используя подсети, и поддерживает подключение внутренних устройств локальной сети (LAN) к Интернету или сети WAN. 


Операционная система Cisco Internetwork Operating System (IOS) позволяет устройству Cisco отправлять и принимать сетевой трафик в проводной или беспроводной сети. Программа Cisco IOS предлагается пользователям в виде модулей, которые называются образами. Эти образы поддерживают различные функции для компаний любого размера.

Образ программы Cisco IOS начального уровня называется IP Base. Программа Cisco IOS IP Base предназначена для небольших и средних предприятий. Она поддерживает маршрутизацию между сетями. 

Другие образы программы Cisco IOS добавляют службы к образу IP Base. Например, образ под названием Advanced Security ("Расширенные функции обеспечения безопасности") обеспечивает расширенные возможности обеспечения безопасности путем организации частных сетей и межсетевых экранов. 

Существует много разных типов и версий образов Cisco IOS. Они разработаны для конкретных моделей маршрутизаторов, коммутаторов и ISR. 

Перед тем как приступить к заданию конфигурации, необходимо выяснить, какой образ и версия загружены в устройство.


К каждому проданному устройству ISR прилагаются кабели и документация, необходимая для включения и установки устройства. Новое устройство нужно распаковать и убедиться, что все необходимое аппаратное и программное обеспечение есть в наличии. 

К Cisco ISR 1841 прилагается следующее:

Консольный кабель с разъемами RJ-45 и DB-9
Модемный адаптер для портов DB-9 и DB-25
Силовой кабель
Регистрационная карта продукта, так называемая карта Cisco.com
Сведения о безопасности и соответствии маршрутизаторов Cisco 1841 требованиям законодательства
Краткое руководство к инструментальному средству "Менеджер маршрутизаторов и устройств безопасности (SDM)"
Краткое руководство к маршрутизатору с интегрированными службами (модулями) серии Cisco 1800



Для установки нового устройства Cisco 1841 ISR необходимы специальные инструменты и оборудование, которые есть у большинства поставщиков услуг Интернета и технических специалистов. В зависимости от модели устройства и заказанного дополнительного оборудования могут потребоваться дополнительные инструменты. 

Как правило, для установки нового устройства нужно следующее: 

ПК с программой эмуляции терминала, например, HyperTerminal
Кабельные хомуты и крестообразная отвертка номер 2
Кабели для интерфейсов WAN, LAN и USB


Может также потребоваться оборудование и устройства для подключения к WAN и службам связи с широкополосным доступом, например, модем. Кроме того, могут понадобиться коммутаторы Ethernet для подключения устройств локальной сети (LAN) или для расширения возможностей подключения к сети LAN, в зависимости от количества портов сети LAN и от того, имеется ли встроенный модуль коммутатора.


Перед началом установки обязательно нужно прочесть краткое руководство и другие прилагаемые к устройству документы. В документации содержатся важные сведения по безопасности и порядку выполнения операций для предотвращения случайного повреждения оборудования во время установки.

Включение устройства 1841 ISR производится следующим образом.

1. Надежно установите и заземлите шасси или корпус устройства.

2. Вставьте внешнюю карту флэш-памяти.

3. Подключите кабель питания.

4. Установите на ПК программу эмуляции терминала и подключите ПК к порту консоли.

5. Включите маршрутизатор.

6. Во время загрузки маршрутизатора на экране ПК будут появляться соответствующие сообщения.


Процесс загрузки маршрутизатора состоит из трех этапов.

1. Выполнение самотестирования при включении питания (POST) и запуск программы начальной загрузки.

Процесс POST выполняется практически на любом компьютере во время загрузки. Программа POST служит для тестирования аппаратного обеспечения маршрутизатора. После завершения программы POST загружается программа начальной загрузки. 

2. Поиск и загрузка программного обеспечения Cisco IOS.

Программа начальной загрузки находит Cisco IOS и загружает ее в ОЗУ. Файлы Cisco IOS могут находиться в одном из трех мест: флэш-память, сервер TFTP, или иное место, указанное в файле начальной конфигурации. По умолчанию программа Cisco IOS загружается из флэш-памяти. Для выполнения загрузки из других мест необходимо изменить параметры конфигурации.

3. Поиск и выполнение файла начальной конфигурации или переход в режим настройки.

После загрузки программы Cisco IOS программа начальной загрузки ищет файл начальной конфигурации в NVRAM. Этот файл содержит сохраненные ранее команды и параметры конфигурации, включая адреса интерфейса, сведения о маршрутизации, пароли и другие параметры конфигурации.

Если файл конфигурации не будет найден, маршрутизатор предложит пользователю перейти в режим настройки, чтобы приступить к заданию конфигурации.

Если файл начальной конфигурации найден, он будет скопирован в ОЗУ и на экране отобразится имя узла. Появление такого сообщения означает, что маршрутизатор успешно выполнил загрузку программы Cisco IOS и файла конфигурации.


Во избежание потери данных важно иметь четкое понимание различия между файлом начальной конфигурации и файлом текущей конфигурации.

Файл начальной конфигурации

Файл начальной конфигурации представляет собой сохраненный файл конфигурации, устанавливающий при каждом включении устройства определенные характеристики этого устройства. Этот файл хранится в энергонезависимой памяти (NVRAM), что обеспечивает его сохранение даже при отключении питания устройства.

При первом включении маршрутизатора Cisco этот файл загружает программу Cisco IOS в рабочую память или ОЗУ. Затем файл начальной конфигурации копируется из NVRAM в ОЗУ. Когда файл начальной конфигурации загружается в ОЗУ, он определяет начальную текущую конфигурацию.

Файл текущей конфигурации

Термин "текущая конфигурация" относится к текущему файлу конфигурации, выполняемому в ОЗУ устройства. В этом файле содержатся команды, определяющие принципы работы устройства в сети. 

Файл текущей конфигурации хранится в рабочей памяти устройства. Пока этот файл находится в рабочей памяти, можно вносить изменения в конфигурацию и в различные параметры устройства. Однако при каждом выключении устройства текущая конфигурация теряется, если не сохранить ее в файле начальной конфигурации. 

Изменения в конфигурации автоматически не сохраняются в файле начальной конфигурации. Необходимо вручную скопировать текущую выполняемую конфигурацию в файл начальной конфигурации.

При задании конфигурации устройства с помощью интерфейса командной строки (CLI) маршрутизатора Cisco для сохранения текущей конфигурации в файл начальной конфигурации следует воспользоваться командой copy running-config startup-config или сокращенным вариантом этой команды copy run start. Если для задания конфигурации устройства используется графический интерфейс пользователя Cisco SDM, то имеется возможность сохранения текущей конфигурации маршрутизатора в файл начальной конфигурации при каждом выполнении команды.


После успешной загрузки файла начальной конфигурации и загрузки маршрутизатора можно воспользоваться командой show version для проверки основных аппаратных и программных компонентов, которые используются в процессе загрузки, а также для устранения неисправностей. После выполнения команды show version выводятся следующие выходные данные:

Используемая версия программы Cisco IOS.
Версия программы начальной загрузки системы, которая хранится в памяти ОЗУ и которая использовалась для первоначальной загрузки маршрутизатора.
Полное имя файла образа Cisco IOS и его местонахождение, найденное программой начальной загрузки.
Тип центрального процессора маршрутизатора и объем ОЗУ. При обновлении программы Cisco IOS может потребоваться увеличение объема ОЗУ.
Количество и тип физических интерфейсов маршрутизатора.
Объем NVRAM. NVRAM служит для хранения файла начальной конфигурации.
Объем флэш-памяти маршрутизатора. Флэш-память используется для постоянного хранения образа Cisco IOS. При обновлении программы Cisco IOS может потребоваться увеличение объема флэш-памяти.
Текущее установленное значение конфигурационного регистра программы - шестнадцатеричное.


Конфигурационный регистр определяет процедуру загрузки маршрутизатора. Например, на заводе по умолчанию устанавливается значение конфигурационного регистра 0x2102. Такое значение указывает, что маршрутизатор будет пытаться загрузить программу Cisco IOS из флэш-памяти, а файл начальной конфигурации — из NVRAM. Значение конфигурационного регистра можно изменить, изменив тем самым место, где маршрутизатор будет искать образ Cisco IOS и файл начальной конфигурации в процессе загрузки. Если в скобках указано второе значение, то это — значение конфигурационного регистра, которое будет использовано при следующей перезагрузке маршрутизатора.


Иногда не удается осуществить успешную загрузку маршрутизатора. Такой сбой может быть вызван целым рядом факторов, включая повреждение или отсутствие файла Cisco IOS, неправильное местоположение образа Cisco IOS, задаваемое конфигурационным регистром, или недостаточный объем памяти для загрузки нового образа Cisco IOS. Если маршрутизатору не удается загрузить IOS, то он начинает загрузку в режиме мониторинга ПЗУ (режим ROMmon). Программа режима ROMmon представляет собой простой набор команд, который хранится в ПЗУ и служит для устранения сбоев при загрузке и восстановления работоспособности маршрутизатора, если отсутствует программа IOS.

Если загрузка маршрутизатора осуществляется в режиме ROMmon, то одним из первых действий при поиске причины сбоя является поиск допустимого образа во флэш-памяти с помощью команды dir flash:. Если образ найден, попробуйте загрузить его, введя команду boot flash:. 

rommon 1>boot flash:c2600-is-mz.121-5

Если при вводе этой команды выполняется нормальная загрузка маршрутизатора, то возможны две причины, по которым не удалось выполнить начальную загрузку образа Cisco IOS из флэш-памяти. Сначала проверьте значение конфигурационного регистра с помощью команды show version, чтобы убедиться в том, что задана правильная последовательность загрузки по умолчанию. Если задано правильное значение конфигурационного регистра, воспользуйтесь командой show startup-config, чтобы увидеть, указана ли команда bootsystem, исполняя которую маршрутизатор ищет образ Cisco IOS в другом месте. 


Существует два способа подключения сетевого устройства к компьютеру для настройки и мониторинга: внеполосное управление и внутриполосное управление.

Внеполосное управление

Для внеполосного управления необходимо, чтобы компьютер был подключен непосредственно к консольному порту или к вспомогательному порту (AUX) настраиваемого сетевого устройства. Подключение устройства к локальной сети при этом не требуется. Технические специалисты используют внеполосное управление при первоначальной настройке сетевого устройства, поскольку так не настроенное устройство не участвует в работе сети. Кроме того, этот способ используется в том случае, если связь с сетью плохо работает и к устройству невозможно подключиться удаленно. Для осуществления внеполосного управления необходимо, чтобы на ПК был установлен клиент эмуляции терминала.

Внутриполосное управление

Внутриполосное управление используется для мониторинга и внесения изменений в конфигурацию сетевых устройств при помощи сетевых подключений. Чтобы установить связь компьютера с устройством и выполнить задачи управления, нужно подключить к сети хотя бы один работающий сетевой интерфейс устройства. Для подключения устройства Cisco в режиме внутриполосного управления используется два протокола — либо Telnet, HTTP, либо SSH. Отслеживать работу устройства или менять его конфигурацию можно через веб-обозреватель или клиент Telnet.


Интерфейс командной строки (CLI) Cisco IOS — это текстовая программа, позволяющая вводить и исполнять команды Cisco IOS, и таким образом настраивать, отслеживать и обслуживать устройства Cisco. В Cisco CLI можно выполнять задачи внеполосного и внутриполосного управления. 

С помощью команд CLI можно изменять конфигурацию устройства и отображать текущий статус процессов в маршрутизаторе. С помощью CLI опытные пользователи могут сэкономить много времени при создании простых и сложных конфигураций. Почти у всех сетевых устройств Cisco интерфейс CLI примерно одинаков. После завершения последовательности операций при включении маршрутизатора и появлении на экране сообщения Router> можно использовать CLI для ввода команд Cisco IOS.

Специалисты, знающие команды CLI и умеющие их использовать, могут легко отслеживать и настраивать самые разные сетевые устройства. Для CLI разработана обширная справочная система, которая позволяет настраивать и отслеживать устройства.


Помимо интерфейса командной строки Cisco IOS, существуют и другие средства, помогающие настраивать маршрутизаторы или устройства ISR Cisco. Средство SDM — это веб-инструмент управления устройствами. В отличие от CLI, SDM можно применять только для задач внутриполосного управления.

SDM Express упрощает задание начальной конфигурации маршрутизатора. Базовая конфигурация маршрутизатора создается быстро и легко, в пошаговом режиме. 

Полный пакет SDM включает в себя расширенные возможности, например:

настройка дополнительных подключений к сетям LAN и WAN;
создание межсетевых экранов;
настройка VPN-подключений;
решение задач, связанных с безопасностью.


SDM поддерживает широкий диапазон выпусков Cisco IOS и поставляется бесплатно вместе со многими маршрутизаторами Cisco. SDM предустановлен во флэш-память ISR Cisco серии 1800. Если в маршрутизаторе установлено средство SDM, рекомендуется использовать его для задания начальной конфигурации маршрутизатора. Это делается путем подключения к маршрутизатору через имеющийся на нем сетевой порт.


Не все устройства Cisco поддерживают SDM. Кроме того, SDM поддерживает не все команды CLI. Соответственно, настройку устройства, начатую в SDM, иногда приходится заканчивать через CLI. Для обеспечения поддержки устройств Cisco важно уметь пользоваться обоими методами.


При добавлении в сеть нового устройства важно убедиться, что оно нормально работает. Одно неправильно настроенное устройство может вызвать сбой всей сети. 

Настройка сетевого устройства, например, маршрутизатора, может оказаться сложной задачей независимо от используемого средства задания конфигурации. Соответственно, при установке нового устройства обязательно нужно использовать оптимальные методы, гарантирующие правильность настройки и документирования.


Cisco SDM Express — это средство из пакета менеджера маршрутизаторов и устройств безопасности Cisco, упрощающее создание базовой конфигурации маршрутизатора. Перед использованием SDM Express подключите кабель Ethernet, идущий от платы NIC компьютера, к порту Ethernet, который указан в кратком руководстве к настраиваемому маршрутизатору или устройству ISR. 

В SDM Express предусмотрено восемь этапов создания базовой конфигурации маршрутизатора:

Обзор
Основная конфигурация
IP-адрес локальной сети (LAN)
DHCP
Интернет (WAN)
Межсетевой экран
Настройки системы безопасности
Резюме


Графический интерфейс SDM Express обеспечивает пошаговые инструкции для создания начальной конфигурации маршрутизатора. После создания конфигурации маршрутизатор будет доступен в локальной сети. Кроме того, у него может быть настроено соединение с сетью WAN, межсетевой экран и до 30 функций безопасности. 


На экране базовой конфигурации SDM Express представлены основные параметры настраиваемого маршрутизатора. Необходима следующая информация:

Host name (имя узла) — имя, которое присвоено настраиваемому маршрутизатору. 
Domain name for the organization (доменное имя организации) — примером доменного имени является cisco.com, однако доменные имена могут иметь и другие окончания, например, .org или .net.
Username and password (имя пользователя и пароль) — имя пользователя и пароль, служащие для доступа к SDM Express для настройки маршрутизатора и отслеживания его состояния. Пароль должен содержать не менее шести символов.
Enable secret password (включение секретного пароля) — то есть пароля, определяющего доступ пользователя к маршрутизатору для внесения изменений в конфигурацию с помощью интерфейса командной строки, программы Telnet или консольных портов. Пароль должен содержать не менее шести символов.



Параметры конфигурации сети LAN дают возможность обмена данными через интерфейс маршрутизатора с подключенной локальной сетью. 

IP Address (IP-адрес) — адрес интерфейса сети LAN в десятичном формате с разделением точками. Это может быть частный IP-адрес, если устройство установлено в сети, где используется преобразование сетевых адресов (NAT) или преобразование адреса и номера порта (PAT).


Этот адрес важно знать. При перезапуске маршрутизатора именно этот адрес используется для доступа к SDM Express, а не тот адрес, который указан в кратком руководстве.

Subnet mask (маска подсети) — определяет часть IP-адреса, которая относится к сети.
Subnet bits (количество битов подсети) — количество битов, используемых для определения сетевой части IP-адреса. Количество битов можно использовать вместо маски подсети.
Wireless parameters (Параметры беспроводного подключения) — по желанию. Это окно появляется при наличии беспроводного интерфейса у маршрутизатора, если в окне "Конфигурация интерфейса беспроводной связи" была нажата кнопка "Да". Здесь задается идентификатор SSID беспроводной сети.



Использование протокола DHCP является простым способом назначения IP-адресов устройствам, которые находятся в узле. DHCP динамически присваивает узлу сети IP-адрес при включении и отзывает его при отключении. Таким образом, ненужные узлам адреса можно использовать повторно. С помощью SDM Express маршрутизатор можно настроить как сервер DHCP, который будет назначать адреса разным устройствам, например, персональным компьютерам во внутренней локальной сети.

Для настройки устройства для DHCP установите флажок Enable DHCP Server on the LAN interface. Установка этого флажка позволяет маршрутизатору назначать частные IP-адреса устройствам в локальной сети. IP-адреса предоставляются узлам на один день.

Протокол DHCP использует диапазон допустимых IP-адресов. По умолчанию для допустимого диапазона адресов используется IP-адрес и маска подсети, введенные для интерфейса сети LAN. 

Начальный адрес является наименьшим в диапазоне IP-адресов. Начальный IP-адрес можно изменить, но он должен быть в той же сети или подсети, где находится интерфейс локальной сети.

Наибольший IP-адрес можно изменить, чтобы уменьшить размер пула. Он должен находиться в той же сети, что и начальный IP-адрес.


К дополнительным параметрам конфигурации DHCP относятся следующие: 

Domain name for the organization — это имя присваивается узлам в ходе настройки протокола DHCP.
Primary domain name server — IP-адрес основного сервера DNS. используется для разрешения URL-адресов и имен в сети. 
Secondary domain name server — IP-адрес вспомогательного сервера DNS, если он есть. Используется, если основной сервер DNS не отвечает.


Выбор параметра Use these DNS values for DHCP clients (использовать эти значения DNS для клиентов DHCP) позволяет серверу DHCP назначать клиентам DHCP выбранные настройки DNS. Этот параметр доступен, если в интерфейсе локальной сети был включен сервер DHCP.


Настройка соединения с Интернетом (с сетью WAN)

Для соединения сетей, разделенных большими географическими расстояниями, можно использовать последовательное соединение. Для подключения к таким сетям WAN необходим поставщик телекоммуникационных услуг (TSP). 

Обычно каналы последовательной связи медленнее каналов Ethernet и требуют дополнительной настройки. Перед установкой соединения определите необходимый тип подключения и тип инкапсуляции протоколов.

Инкапсуляция протоколов на обоих концах последовательного соединения должна быть одинаковой. Для некоторых типов инкапсуляции нужно настроить параметры проверки подлинности, например, имя пользователя и пароль. Возможны следующие типы инкапсуляции:

High-Level Data Link Control (HDLC)
Frame Relay
Протокол "точка-точка" (PPP).



В окне настройки соединения с сетью WAN предусмотрены дополнительные параметры сети WAN.

Список типов адресов (Address Type)

В зависимости от выбранного типа инкапсуляции существуют различные способы получения IP-адреса для последовательного соединения:

Static IP address — используется для типов инкапсуляции Frame Relay, PPP и HDLC. Для настройки статического IP-адреса введите IP-адрес и маску подсети.
IP unnumbered — устанавливает адрес последовательного интерфейса, соответствующий IP-адресу одного из работающих интерфейсов маршрутизатора. Он используется для типов инкапсуляции Frame Relay, PPP и HDLC.
IP negotiated — маршрутизатор автоматически получает IP-адрес по протоколу PPP.
Easy IP (IP Negotiated) — маршрутизатор автоматически получает IP-адрес по протоколу PPP.



Для настройки маршрутизатора можно использовать либо Cisco SDM Express, либо Cisco SDM. 

SDM поддерживает многие функции, поддерживаемые программой SDM Express; однако SDM обладает более широкими возможностями настройки. По этой причине многие пользователи после завершения базовой настройки конфигурации маршрутизатора с помощью SDM Express переходят на SDM. Например, применение NAT требует использования SDM. 

По умолчанию мастер основной настройки NAT задает параметры динамического преобразования NAT с помощью PAT. PAT обеспечивает совместное использование одного зарегистрированного IP-адреса, который назначен для соединения с сетью WAN, несколькими узлами внутренней локальной сети. Таким образом, узлы, имеющие внутренние частные адреса, могут иметь выход в Интернет.

Транслируются только те адреса узлов, которые попадают в диапазоны адресов, указанные в конфигурации SDM. Важно убедиться в том, что включены все диапазоны адресов, которым необходим доступ в Интернет.

Для настройки NAT требуется выполнить следующие шаги:

Шаг 1. Включение настройки NAT с помощью SDM.

Шаг 2. Перемещение в пределах мастера основной настройки NAT.

Шаг 3. Выбор интерфейса и задание диапазонов IP-адресов.

Шаг 4. Проверка конфигурации.


Настройка и мониторинг устройств с помощью Cisco IOS CLI сильно отличается от использования SDM. В CLI нет пошагового мастера; соответственно, требуется дополнительное планирование и опыт. 

Режимы команд CLI

В Cisco IOS поддерживается два уровня доступа к CLI: режим пользовательского доступа EXEC и режим привилегированного доступа EXEC. 

При включении маршрутизатора или другого устройства Cisco IOS по умолчанию устанавливается режим пользовательского доступа EXEC. В этом режиме в командной строке отображается следующее: 

Router>

Команды, которые можно выполнить в режиме пользовательского доступа EXEC, сводятся к получению информации о работе устройства и к диагностике с помощью команд show, а также утилит ping и traceroute.

Для ввода команд, которые меняют работу устройства, необходимы привилегированные права доступа. Чтобы переключиться в привилегированный режим EXEC, нужно ввести в командную строку enable и нажать клавишу Enter. 

Командная строка соответственно изменится. В режиме привилегированного доступа в ней отобразится:

Router#

Для выхода из режима привилегированного доступа и возврата в режим пользовательского доступа введите в командной строке disable или exit.

Вход в оба режима можно защитить паролем или комбинацией имени пользователя и пароля.


Для настройки устройства используются различные режимы задания конфигурации. Для настройки устройства Cisco IOS нужно сначала войти в привилегированный режим EXEC. Из режима привилегированного доступа EXEC пользователь может перейти в другие режимы настройки.

В большинстве случаев команды применяются к текущему файлу конфигурации, используя подключение к терминалу. Для использования этих команд пользователю нужно войти в режим глобальной конфигурации. 

Чтобы войти в режим глобальной конфигурации, введите команду configure terminal или config t. В этом режиме в командной строке отображается следующее:

Router(config)#

Введенные в этом режиме команды выполняются немедленно и могут отразиться на работе устройства. 

Из режима глобальной конфигурации администратор может войти в другие подрежимы. 

Для настройки интерфейсов сетей LAN и WAN используется режим конфигурации интерфейса. Для перехода в режим конфигурации интерфейса, введите, находясь в режиме глобальной конфигурации, команду interface [тип] [номер]. В этом режиме в командной строке отображается следующее:

Router(config-if)#

Еще один часто используемый подрежим — это подрежим задания конфигурации маршрутизатора, на который указывает следующее содержание командной строки:

Router(config-router)#

Этот режим служит для настройки параметров маршрутизатора.


В CLI Cisco IOS есть множество функций, которые помогают вызывать необходимые команды конфигурации. Наличие таких функций объясняет, почему специалисты по обслуживанию сетей предпочитают использовать Cisco IOS CLI для настройки маршрутизаторов.

При настройке устройств особенно полезной оказывается функция вызова контекстной справки. Если ввести в командную строку help или ?, то появится краткое описание справочной системы.

Router# help

Контекстно-зависимая справка позволяет получить предложения по выполнению тех или иных команд. Если известна не вся команда, а только ее несколько первых символов, введите их, вставив после известных вам символов знак ?. Обратите внимание на отсутствие пробела между символами команды и знаком "?".

Кроме того, для того чтобы получить список возможных параметров для определенной команды, введите часть этой команды, затем пробел, а после него знак "?". Например, если ввести команду configure, за которой следует пробел и знак "?", то будет выведен список возможных вариантов продолжения этой команды. Чтобы закончить строку команды, выберите один из вариантов. После завершения командной строки появится символ <cr>. Для ввода команды нажмите клавишу Enter. 

Если знаку "?" не соответствует ничего из содержимого справки, список будет пустым. Это означает, что введенная команда не поддерживается.


Иногда пользователи вводят команды с ошибкой. Если команда введена не полностью или ее не удается распознать, появится соответствующее сообщение CLI. Символом "%"отмечается начало сообщения об ошибке. Например, если введена команда interface без дополнительных параметров, то появится сообщение об ошибке, указывающее, что команда введена не полностью:

% Incomplete command ("Команда не завершена")

Используйте символ "?" для получения списка доступных параметров. 

Если команда введена неправильно, появится следующее сообщение:

% Invalid input detected ("Недопустимая команда")

Иногда трудно заметить ошибку в неправильно введенной команде. К счастью, в CLI есть индикатор ошибок. В том месте строки команды, где находится неправильный или нераспознанный символ, появляется знак вставки "^". Благодаря этому, пользователь может вернуться к нужному месту и определить правильную команду с помощью функции справки.


Кроме этого, в Cisco IOS CLI есть функция вызова ранее введенных команд. Эта функция особенно удобна при вводе длинных или сложных команд или записей.

Сохранение истории ввода команд включается по умолчанию, и система фиксирует 10 записей командных строк в буфере. Чтобы изменить количество командных строк, записываемых системой в течение сеанса, используйте команду terminal history size или history size . Максимальное количество командных строк — 256. 

Для вызова из буфера последней введенной команды нажмите клавиши Ctrl-P или клавишу со стрелкой, направленной вверх. Повторите процедуру для вызова следующих команд. Чтобы вернуться к более недавней команде из буфера, нажмите Ctrl-N или клавишу со стрелкой, направленной вниз. Повторяйте эту процедуру для последовательного вызова более новых команд.

CLI распознает частично введенные команды, находя первый неповторяющийся символ. Например, можно ввести "int" вместо "interface". Если введено сокращенное название, например "int", то при нажатии клавиши Tab запись команды будет автоматически дополнена до "interface". 

У большинства компьютеров есть дополнительные функции выбора и копирования с помощью различных функциональных клавиш. Предыдущую строку команды можно скопировать и вставить как текущую команду.


Cisco IOS CLI позволяет пользоваться командами показа для отображения информации о конфигурации и режиме работы устройства.

Специалисты по обслуживанию сети широко пользуются командами показа для просмотра файлов конфигурации, проверки состояния интерфейсов устройств и протекающих процессов, а также для контроля рабочего состояния устройств. Командами show можно пользоваться независимо от способа задания конфигурации устройства — CLI или SDM.

С помощью команды show можно отобразить состояние практически любого процесса или функции маршрутизатора. Наиболее известные команды show:

show running-config
show interfaces
show arp
show ip route
show protocols
show version



В исходную конфигурацию устройства Cisco IOS входит задание имени устройства и паролей, которые служат для контроля доступа к различным функциям устройства.

Одной из первых задач конфигурирования является присвоение устройству уникального имени. Эта задача решается в режиме глобальной конфигурации с помощью следующей команды:

Router(config)# hostname <имя>

При нажатии клавиши Enter имя узла по умолчанию — Router — меняется на новое присвоенное узлу имя. 

Следующим шагом конфигурирования является задание паролей для предотвращения несанкционированного доступа к устройству.

Для ограничения доступа к привилегированному режиму EXEC служат команды enable password и enable secret. Это не дает возможности изменять параметры настройки маршрутизатора пользователям, которые не имеют соответствующих прав доступа.

Router(config)# enable password <пароль>

Router(config)# enable secret <пароль>

Разница между этими двумя командами состоит в том, что команда enable password по умолчанию не является зашифрованной. Если после команды enable password вводится команда enable secret <пароль>, то команда enable secret имеет преимущество перед enable password.


К другим основным настройкам маршрутизатора относится настройка баннера, включение синхронного ведения журнала и отключение поиска домена.

Баннеры

Баннер — это текст, который видит пользователь при первоначальном входе в маршрутизатор. Настройка соответствующего баннера является частью продуманного плана обеспечения безопасности. Баннер должен как минимум содержать предупреждение относительно несанкционированного доступа. Никогда не устанавливайте баннер в виде приветствия для пользователя, не имеющего соответствующих прав доступа. 

Существует два типа баннеров: сообщение дня (MOTD) и информация для входа. Два отдельных баннера нужны для того, чтобы можно было заменить один из них, не затрагивая при этом все сообщение баннера целиком. 

Для настройки баннеров служат команды banner motd и banner login. Для обоих типов в качестве разделителя в начале и в конце сообщения используется символ "#". Этот символ позволяет пользователю задать баннер, состоящий из нескольких строк.

Если заданы оба баннера, то баннер входа в систему появляется после MOTD, но перед тем как вводить учетные данные для входа.

Синхронное ведение журнала 

Программа Cisco IOS часто посылает незапрашиваемые сообщения, например, об изменении состояния настраиваемого интерфейса. Иногда это происходить во время ввода команды. Такое сообщение не влияет на выполнение команды, но дезориентирует пользователя, который вводит команду. Для того чтобы во время ввода команды не появлялись незапрашиваемые сообщения, можно ввести команду logging synchronous в режиме глобальной конфигурации. 

Отключение поиска домена

По умолчанию при вводе имени узла в режиме включения маршрутизатор интерпретирует это как попытку пользователя подключиться к устройству через Telnet. Маршрутизатор пытается разрешить неизвестные имена, введенные в режиме включения, путем отправки их на сервер DNS. Это относится ко всем введенным словам, которые маршрутизатор не может распознать, включая неправильно введенные команды. Если это делать не нужно, то с помощью команды no ip domain-lookup можно отключить эту функцию, действующую по умолчанию.


Существует несколько способов подключиться к устройству и настроить конфигурацию. Один из них - подключение компьютера к порту консоли устройства. Этот тип подключения часто используется для задания начальной конфигурации устройства.

Установка пароля для доступа к консоли выполняется в режиме глобальной конфигурации. Указанные ниже команды предотвращают несанкционированный доступ к пользовательскому режиму с порта консоли.

Route(config)# line console 0

Router(config)# password <пароль>

Router(config)# login

Если устройство соединено с сетью, то к нему можно получить доступ через сетевое соединение. Такой вариант называется подключением через виртуальный терминал или подключением vty. Для виртуального порта (порта vty) нужно настроить пароль.

Route(config)# line vty 0 4

Router(config)# password <пароль>

Router(config)# login

Цифры 0 4 означают 5 одновременных внутриполосных подключений. Можно для каждого подключения задать свой пароль, указав номера конкретных подключаемых линий, например, line vty 0. 

Для проверки правильности задания паролей используйте команду show running-config. Пароли хранятся в файле текущей конфигурации, в формате незашифрованного текста. Можно включить шифрование всех паролей, которые хранятся в памяти маршрутизатора. Это создаст дополнительные сложности в случае несанкционированного доступа. Команда service password encryption, введенная в режиме глобальной конфигурации, обеспечивает шифрование всех паролей.

Следует помнить, что при изменении текущей конфигурации необходимо скопировать ее в файл начальной конфигурации. В противном случае при выключении устройства все изменения будут потеряны. Для копирования текущей конфигурации в файл начальной конфигурации используется команда: copy run start.


Для направления трафика из одной сети в другую интерфейсы маршрутизаторов настраиваются так, чтобы они могли участвовать в передаче данных в обеих сетях. Интерфейс, через который маршрутизатор подключается к сети, обычно имеет IP-адрес и маску подсети, назначенные из допустимого диапазона адресов для узла в подключаемой сети. 

Маршрутизатор может иметь различные типы интерфейсов. Чаще всего встречаются последовательный интерфейс и интерфейс Ethernet. При подключении к локальной сети используются интерфейсы Ethernet.

При подключении к сети WAN требуется последовательное соединение, которое обеспечивает ISP. В отличие от интерфейсов Ethernet, последовательным интерфейсам для контроля времени связи нужен сигнал часов (это называется частотой синхронизации). В большинстве сред этот сигнал поступает от оборудования для передачи данных (DCE), например, модема или CSU/DSU.

При соединении маршрутизатора с сетью ISP через последовательное подключение, необходимо оборудование CSU/DSU, если сеть WAN является цифровой. Если сеть WAN является аналоговой, то необходим модем. Эти устройства преобразуют данные, полученные от маршрутизатора, в форму, подходящую для передачи по глобальной сети, и наоборот — преобразуют данные, полученные из глобальной сети, в формат, допустимый для маршрутизатора. По умолчанию маршрутизаторы Cisco являются устройствами DTE, то есть оборудованием терминала данных. Поскольку время связи с маршрутизатором контролируют устройства DCE, тактовую частоту от устройства DCE принимают устройства Cisco DTE. 

Возможно непосредственно соединить два маршрутизатора вместе, используя последовательное подключение, хотя обычно так не делают. В этом случае не используется ни CSU/DSU, ни модем, и один из маршрутизаторов должен быть настроен как устройство DCE для генерации тактовой частоты. Если маршрутизатор подключен как устройство DCE, то частота синхронизации должна настраиваться для интерфейса маршрутизатора, чтобы он мог контролировать время соединения DCE/DTE.


Настройка интерфейса маршрутизатора должна производиться в режиме глобальной конфигурации. Интерфейс Ethernet настраивается примерно так же, как последовательный интерфейс. Одно из основных отличий состоит в том, что если последовательный интерфейс действует как устройство DCE, для него должна быть установлена частота синхронизации.

Для настройки интерфейса необходимо выполнить следующие шаги.

Шаг 1. Укажите тип интерфейса и номер его порта.

Шаг 2. Введите описание интерфейса.

Шаг 3. Настройте IP-адрес и маску подсети интерфейса.

Шаг 4. Задайте частоту синхронизации, если последовательный интерфейс настраивается как устройство DCE.

Шаг 5. Включите интерфейс.

Возможно, включенный интерфейс придется отключить для проведения обслуживания или устранения неисправности. В таком случае воспользуйтесь командой shutdown.

При настройке последовательного интерфейса в модели 1841, он характеризуется тремя цифрами в формате C/S/P, где C = номер контроллера, S = номер слота и P = номер порта. Модель 1841 имеет два модульных слота. Обозначение Serial0/0/0 говорит о том, что модуль последовательного интерфейса находится на контроллере №0, в слоте №0, и что интерфейс, который нужно использовать, является первым (№0). Второй интерфейс будет иметь обозначение Serial0/0/1. Последовательный модуль обычно устанавливается в слот №0, но его можно установить и в слот №1. В этом случае обозначение для первого последовательного интерфейса примет вид Serial0/1/0, а для второго — Serial0/1/1.

Для встроенных портов, например, для портов FastEthernet, в обозначении будет 2 цифры в формате C/P, где C = номер контроллера, а P = номер порта. Обозначение Fa0/0 соответствует контроллеру №0 и интерфейсу №0.


Маршрутизатор передает пакеты из одной сети в другую на основе IP-адреса узла назначения, указанного в пакете. Он проверяет таблицу маршрутизации и выясняет, куда передать пакет, чтобы он достиг сети адресата. На случай, если в таблице маршрутизации нет маршрута в нужную сеть, можно настроить путь по умолчанию. Маршрут по умолчанию используется только в том случае, если маршрутизатор не знает, куда отправить пакет.

Обычно маршрут по умолчанию проложен до маршрутизатора следующего перехода при выходе в Интернет. Для настройки маршрута по умолчанию необходимо знать IP-адрес маршрутизатора следующего перехода или интерфейс, который используется маршрутизатором для отправки трафика, если сеть назначения неизвестна. 

Настройка маршрута по умолчанию для Cisco ISR должна выполняться в режиме глобальной конфигурации.

Router(config)# ip route 0.0.0.0 0.0.0.0 <IP-адрес следующего перехода>

или

Router(config)# ip route 0.0.0.0 0.0.0.0 <тип интерфейса> <номер>


Для настройки маршрутизатора, чтобы он мог функционировать в качестве сервера DHCP, можно использовать Cisco IOS CLI. 

Использование маршрутизатора, настроенного в качестве сервера DHCP, упрощает управление IP-адресами в сети. При изменении параметров конфигурации IP-адресов администратор должен обновить настройки только одного центрального маршрутизатора. Настройка DHCP с помощью CLI несколько сложнее, чем с помощью SDM. 

Для настройки DHCP с помощью CLI необходимо выполнить восемь основных шагов.

Шаг 1. Создание пула адресов DHCP.

Шаг 2. Задание сети или подсети.

Шаг 3. Исключение определенных IP-адресов.

Шаг 4. Указание доменного имени.

Шаг 5. Задание IP-адреса сервера DNS.

Шаг 6. Задание шлюза по умолчанию.

Шаг 7. Указание срока аренды.

Шаг 8. Проверка конфигурации.


Преобразование NAT позволяет узлам, имеющим внутренние частные адреса, обмениваться данными в сети Интернет. При настройке NAT, по крайней мере, один интерфейс должен быть настроен как внутренний интерфейс. Внутренний интерфейс соединяется с внутренней частной сетью. Другой интерфейс — обычно это наружный интерфейс, используемый для выхода в Интернет — нужно настроить как внешний. Когда устройства во внутренней сети обмениваются данными через наружный интерфейс, соответствующие адреса передаются на один или несколько зарегистрированных IP-адресов.

Бывают ситуации, когда сервер, расположенный во внутренней сети, должен быть доступным через Интернет. Для этого нужно, чтобы у сервера был зарегистрированный адрес, который могут указывать внешние пользователи. Одним из способов предоставления внутреннему серверу такого адреса является настройка трансляции статических сетевых адресов. 

Статическое преобразование NAT гарантирует, что все присвоенные узлам из внутренней сети адреса будут преобразованы в одни и те же зарегистрированные IP-адреса. 

Настройка NAT и статического NAT в интерфейсе командной строки Cisco IOS выполняется в несколько этапов.

Шаг 1. Задание внутреннего интерфейса.

Шаг 2. Задание основного IP-адреса внутреннего интерфейса.

Шаг 3. Задание внутреннего интерфейса с помощью команды ip nat inside.

Шаг 4. Задание внешнего интерфейса.

Шаг 5. Задание основного IP-адреса внешнего интерфейса.

Шаг 6. Задание внешнего интерфейса с помощью команды ip nat outside.

Шаг 7. Определение трансляции статических адресов. 

Шаг 8. Проверка конфигурации.


Существует несколько команд в интерфейсе командной строки маршрутизатора для просмотра операций NAT с целью проверки и устранения неисправностей. 

Одной из наиболее полезных является команда show ip nat translations. Она служит для отображения подробных выходных данных в результате применения NAT. Эта команда отображает все заданные трансляции статических адресов и все трансляции динамических адресов, созданные в результате обработки трафика. Каждая трансляция идентифицируется протоколом, а также своим внутренним и внешним локальным и глобальным адресами.

Команда show ip nat statistics служит для отображения сведений об общем количестве активных трансляций, параметрах настройки NAT, количестве адресов в пуле и количестве выделенных адресов.

Кроме этого, команда show run позволяет просматривать настройки NAT. 

По умолчанию, если настроено динамическое преобразование NAT, срок действия преобразования истекает через 24 часа. Иногда бывает полезно очистить динамически преобразованные адреса до истечения 24 часов. В частности, это относится к тестированию конфигурации NAT. Для очистки динамически преобразованных адресов до истечения их времени действия служит команда clear ip nat translation * в режиме включения. Из таблицы будут удалены только динамические адреса. Статические адреса нельзя убрать из таблицы преобразований.


Настроив маршрутизатор, нужно сохранить текущую конфигурацию в файле начальной конфигурации. Кроме того, полезно сохранить копию файла конфигурации в другом месте, например, на сетевом сервере. Если в памяти NVRAM возникнет сбой или повреждение и маршрутизатор не сможет загрузить файл, можно будет использовать другую копию. Существует много способов сохранения файла конфигурации. 

Одним из способов сохранения файлов конфигурации на сетевом сервере является использование TFTP. Сервер с поддержкой TFTP должен быть доступен маршрутизатору через сеть. 

Шаг 1. Введите команду copy startup-config tftp. 

Шаг 2. Введите IP-адрес узла, где будет храниться файл конфигурации. 

Шаг 3. Введите имя для файла конфигурации или примите имя, предлагаемое по умолчанию.

Шаг 4. Подтвердите каждый свой выбор нажатием кнопки "Да". 

Можно также сохранить текущую конфигурацию на сервере TFTP с помощью команды copy running-config tftp.

Для восстановления резервной копии файла конфигурации у маршрутизатора должен быть настроен хотя бы один интерфейс, и у него должна быть возможность доступа к серверу TFTP по сети. 

Шаг 1. Введите команду copy tftp running-config. 

Шаг 2. Введите IP-адрес удаленного узла, где расположен сервер TFTP. 

Шаг 3. Введите имя файла конфигурации или оставьте имя по умолчанию. 

Шаг 4. Подтвердите имя файла конфигурации и адрес сервера TFTP.

Шаг 5. Используя команду copy run start, скопируйте текущую конфигурацию в файл начальной конфигурации, что гарантирует сохранение восстановленной конфигурации.

При восстановлении конфигурации можно скопировать файл tftp в файл начальной конфигурации. Однако при этом необходима перезагрузка маршрутизатора, чтобы произошла загрузка файла начальной конфигурации в текущую конфигурацию.


Другим способом создания резервной копии файла конфигурации является захват выходных данных команды show running-config. Для того чтобы сделать это в сеансе терминала, скопируйте указанные выходные данные, вставьте их в текстовый файл и сохраните этот текстовый файл. 

Для захвата конфигурации на экране HyperTerminal нужно выполнить следующие шаги.

Шаг 1. Выберите Передача. 

Шаг 2. Выберите Запись протокола в файл. 

Шаг 3. Задайте имя текстового файла, в котором будет сохранена захваченная конфигурация. 

Шаг 4. Выберите Начало, чтобы начать захват текста. 

Шаг 5.Команда show running-config показывает конфигурацию на экране. 

Шаг 6. Нажимайте клавишу пробела при каждом появлении поля "-More -" ("Дополнительно"). 

После того как отобразится вся конфигурация целиком, выполните следующие шаги, чтобы остановить процесс захвата.

Шаг 1.Выберите Передача. 

Шаг 2. Выберите Запись протокола в файл. 

Шаг 3. Выберите Остановить. 

После завершения захвата необходимо проверить файл конфигурации, чтобы удалить из него ненужный текст, например, такое сообщение системы Cisco IOS: "building configuration" ("Идет построение конфигурации"). Следует также добавить в конец каждого раздела интерфейса команду no shutdown. Последовательно выберите Файл > Сохранить, чтобы сохранить конфигурацию. Файл конфигурации можно редактировать в текстовом редакторе, например, в Notepad.

Резервную копию файла конфигурации можно восстановить в ходе сеанса HyperTerminal. Перед восстановлением файла конфигурации необходимо удалить из маршрутизатора все другие конфигурации, используя команду erase startup-config в режиме привилегированного доступа EXEC. Затем следует перезагрузить маршрутизатор, введя команду reload. 

Для копирования резервной копии файла конфигурации в маршрутизатор, выполните следующие шаги.

Шаг 1. Войдите в режим глобальной конфигурации маршрутизатора. 

Шаг 2. Выберите на экране HyperTerminal Передача > Send Text File. 

Шаг 3. Выберите имя резервной копии файла конфигурации. 

Шаг 4. Восстановите начальную конфигурацию с помощью команды copy run start


Одна из основных функций выездного сетевого специалиста — установка и обновление оборудования у пользователя на дому или на предприятии. Сетевые устройства, установленные у заказчика, называются телекоммуникационным оборудованием пользователя (CPE), и к ним относятся такие устройства как маршрутизаторы, модемы и коммутаторы.

Установка или обновление маршрутизатора может помешать работе предприятия. Многие компании ведут деловую переписку через Интернет или предоставляют услуги электронной коммерции, которые должны быть доступны в течение дня. Планирование установки или обновления является критическим этапом в обеспечении успешной работы. Кроме того, планирование позволяет исследовать разные возможности на бумаге, где можно просто и дешево исправить ошибки. 

Для планирования технический персонал ISP обычно организует встречи со своими корпоративными клиентами. Во время планирования технический специалист определяет, какая конфигурация маршрутизатора будет соответствовать потребностям клиента, а также оценивает, на какое сетевое программное обеспечение может повлиять новая установка или обновление.

Далее специалист работает с ИТ-персоналом заказчика, для того чтобы решить, какую конфигурацию маршрутизатора следует использовать, и чтобы разработать процедуру проверки конфигурации маршрутизатора. На основе этих данных технический специалист составляет контрольный список конфигурации.

В списке перечислены наиболее часто настраиваемые компоненты. Обычно он содержит объяснение каждого компонента и каждого настроечного параметра. Контрольный список конфигурации — это инструмент, гарантирующий, что при установке нового маршрутизатора все будет правильно настроено. Он полезен также при поиске и устранении неисправностей ранее настроенных маршрутизаторов. 

Существует множество разных форматов создания контрольного списка конфигурации, некоторые из которых очень сложны. Поставщик услуг Интернета должен убедиться, что у технических специалистов службы поддержки есть списки конфигурации маршрутизатора и что они умеют ими пользоваться.


Если требуется новое оборудование, то настройка и тестирование устройств обычно выполняется на стороне ISP, после чего оборудование устанавливается у клиента. Все неисправное оборудование можно немедленно заменить или отремонтировать. Если устанавливается маршрутизатор, то специалист по обслуживанию сети проверяет, чтобы маршрутизатор был полностью настроен и его конфигурация была проверена. 

Когда есть уверенность в правильности настройки маршрутизатора, собираются все кабели для соединения с сетью, силовые кабели, кабели управления, документация производителя, программное обеспечение производителя, документация о параметрах настройки и все средства, необходимые для установки маршрутизатора. Наличие необходимого для установки маршрутизатора оборудования проверяется по инвентарному списку. Обычно сетевой специалист подписывает список, указывая, что все проверено. Подписанный и снабженный датой инвентарный список прилагается к упакованному маршрутизатору перед отправкой.

После этого маршрутизатор готов для установки техническим специалистом клиента. Важно найти для установки такое время, чтобы нарушение нормальной работы организации было минимальным. В обычное рабочее время не всегда удается установить или обновить сетевое оборудование. Если для установки требуется отключение сети, сетевому специалисту, торговому представителю ISP и представителю заказчика нужно подготовить план установки маршрутизатора. Он позволяет свести перерывы в работе клиента в процессе установки нового оборудования к минимуму. Кроме того, в плане установки маршрутизатора указывается контактное лицо со стороны заказчика, а также действия, которые необходимо предпринять для получения доступа на территорию заказчика после окончания рабочего дня. Одним из компонентов плана установки является контрольный список установки, создание которого гарантирует правильность установки.


Специалист по обслуживанию сети со стороны заказчика устанавливает маршрутизатор в организации клиента в соответствии с планом и контрольным списком установки. При установке оборудования заказчика важно применять в работе профессиональные приемы. Это означает, что все сетевые кабели должны быть помечены и скреплены или пропущены по соответствующим каналам. Свободные концы необходимо смотать и закрепить так, чтобы они не мешали. 

Следует обновить документацию, включив в нее сведения о текущих настройках маршрутизатора, а на схемах сети нужно обозначить положение установленного оборудования и кабелей.

После успешной установки и проверки маршрутизатора сетевой специалист заполняет контрольный список установки. Затем представитель клиента проверяет этот заполненный список. Проверка установки маршрутизатора часто включает в себя демонстрацию правильности его настройки, а также демонстрацию того, что службы, зависящие от работы маршрутизатора, функционируют так, как нужно.

Если представитель заказчика удовлетворен правильностью установки и работы маршрутизатора, он подписывает контрольный список и указывает на нем дату. Иногда к контрольному списку добавляется официальный приемо-сдаточный документ. Такую процедуру часто называют заключительной фазой. Важно, чтобы представитель клиента подписал документы. После этого ISP сможет выставить счет за работу.


Установочная документация

Важно документировать весь процесс настройки и установки абонентского оборудования. В документацию включаются все сведения о конфигурации оборудования, схемы его установки и контрольные списки, позволяющие проверить правильность установки. Если необходима новая конфигурация оборудования, то документация на нее сравнивается с предыдущими настройками маршрутизатора, чтобы определить, как изменилась новая конфигурация (если она изменилась). Журналы регистрации работ используются для отслеживания изменений в конфигурации и доступе к оборудованию. Аккуратное ведение подобных журналов поможет при выявлении неисправностей.

Технический специалист должен начать документировать работы с момента установки маршрутизатора. Все кабели и оборудование необходимо правильно пометить и указать на схеме, чтобы упростить их идентификацию в будущем. 

При установке маршрутизатора специалист должен придерживаться пунктов контрольного списка установки и проверки. В этом контрольном списке перечислены задачи, которые необходимо выполнить на территории заказчика. Этот контрольный список поможет сетевому специалисту избежать ошибок и гарантирует эффективность и правильность установки. 

Копию готовой документации следует оставить заказчику.


Для обеспечения работы Интернет-служб новое абонентское оборудование нужно подключить к ISP. При обновлении клиентского оборудования иногда бывает необходимо обновить также тип подключения, который обеспечивает ISP.

Глобальные сети

Если компания или организация имеет подразделения или филиалы в разных местах, находящихся друг от друга на большом расстоянии, может оказаться необходимым прибегнуть к услугам поставщика телекоммуникационных услуг (TSP), чтобы связать между собой локальные сети этих подразделений или филиалов в разных местах. Сети, позволяющие связать между собой географически удаленные локальные сети, называются глобальными сетями (WAN).

Поставщики телекоммуникационных услуг используют большие региональные сети, охватывающие большие расстояния. Ранее TSP передавали голосовую информацию и данные через разные сети. Сейчас они все чаще предлагают абонентам услуги объединенных информационных сетей. 

Отдельные организации обычно арендуют каналы в сети поставщика телекоммуникационных услуг. В то время как сама организация следует политикам локальных сетей и занимается их администрированием на обоих концах канала связи, политики в пределах сети поставщика телекоммуникационных услуг контролирует ISP.

ISP продает своим клиентам разные типы соединений с WAN. Они различаются по типу используемых разъемов, полосе пропускания и цене. По мере роста у небольших компаний возникает потребность в расширенной полосе пропускания, которую обеспечивают более дорогие варианты подключения к WAN. Одним из видов деятельности ISP или компании среднего размера является оценка необходимого типа подключения к WAN.


Существует три типа последовательных подключений к WAN.

Точка-точка

Подключение типа "точка-точка" — это заранее определенный канал связи через сеть поставщика телекоммуникационных услуг (TSP). Он представляет собой выделенную цепь с фиксированной шириной пропускания, которая доступна в любой момент времени. Обычно такие каналы арендуются у поставщика телекоммуникационных услуг. Их часто называют выделенными линиями. Подключение типа "точка-точка", как правило, является самым дорогим видом соединения с сетью WAN, цена которого зависит от необходимой ширины полосы пропускания и расстояния между двумя связываемыми точками. Примером соединения "точка-точка" могут служить каналы T1 или E1.

Коммутация каналов

Соединение с коммутацией каналов, работающее аналогично телефонному вызову по телефонной сети. Чтобы позвонить другу, абонент поднимает трубку, устанавливает соединение и набирает номер. В конце разговора он кладет трубку и разрывает соединение. Примером подключения к WAN с коммутацией каналов может служить подключение ISDN или коммутируемое соединение.

Пакетная коммутация

При пакетной коммутации сети устанавливают соединение с коммутируемой сетью поставщика телекоммуникационных услуг. Этой сетью пользуется много клиентов. Вместо того чтобы резервировать физическую часть канала от источника к адресату, как это бывает при коммутации каналов, каждый клиент имеет свой собственный виртуальный канал. Это логический, а не физический путь от отправителя к получателю. Примером сети с коммутацией пакетов является Frame Relay.


В основном выбор зависит от ширины полосы пропускания и стоимости подключения к WAN. Небольшие компании не могут себе позволить наиболее дорогие варианты, например, SONET или ATM WAN. Обычно они выбирают более дешевые соединения DSL, кабельные или T1 соединения. Кроме того, более широкополосные подключения к WAN могут оказаться недоступными в географически изолированных местах. Если обслуживаемые офисы располагаются вблизи центра города, число вариантов подключения к WAN будет больше.

Другим фактором, влияющим на выбор типа подключения к WAN, является планируемое использование подключения. Организациям, предоставляющим услуги с помощью Интернета, может потребоваться более широкая полоса пропускания. Например, если компания занимается электронной коммерцией через свою веб-страницу, полоса пропускания должна соответствовать количеству внешних клиентов, посещающих ее веб-узел. С другой стороны, если управление веб-узлом для электронной коммерции осуществляет ISP, то компании не требуется большая ширина канала связи.

В некоторых компаниях на принятие решения влияет возможность заключения соглашения об уровне обслуживания (SLA) применительно к соединению с WAN. Обычно более дешевые соединения с WAN, например, коммутируемый доступ, DSL и кабельное подключение не подразумевают заключения соглашения об уровне обслуживания, в отличие от более дорогих вариантов.


При планировании обновления подключения к сети WAN нужно многое учесть. Поставщик услуг Интернета начинает с анализа потребностей клиента и рассмотрения возможных вариантов. Затем создается коммерческое предложение. В предложении учитывается существующая инфраструктура, потребности клиента и возможные варианты подключения к WAN. 

Существующая инфраструктура

Это — описание текущей инфраструктуры, которая используется в компании. Такое описание помогает клиенту понять, каким образом существующее соединение с WAN обеспечивает предоставление услуг для личного или корпоративного использования.

Потребности клиента

В этом разделе предложения описывается необходимость модернизации подключения к WAN для данного клиента. Здесь говорится о том, в чем существующее соединение с WAN не соответствует потребностям клиента. Сюда включается также перечень требований, которым должно соответствовать новое соединение с WAN, чтобы удовлетворялись текущие и будущие потребности клиента.

Варианты подключения к WAN

Это — перечень возможных вариантов подключения к WAN с указанием соответствующей ширины полосы пропускания, стоимости и других факторов, имеющих отношение к компании, получившей коммерческое предложение. Отмечается рекомендованный тип подключения и возможные варианты. 

Предложение по модернизации подключения к WAN направляется лицам, которые ответственны в компании за принятие решений. Они читают документ и рассматривают варианты. После принятия решения, представители ISP работают совместно с заказчиком, чтобы разработать график модернизации подключения к WAN и скоординировать этот процесс.


Настройка подключения к WAN зависит от необходимого типа подключения. Некоторые соединения с WAN поддерживают интерфейсы Ethernet. Другие поддерживают последовательные интерфейсы. 

Обычно при подключении к WAN по арендованной линии для соединения с сетью ISP используется последовательное соединение, а также требуется блок обслуживания канала и блок обслуживания данных (CSU/DSU). Связь оборудования ISP нужно настроить, чтобы оно могло обмениваться данными с клиентом через CSU/DSU. 

Для последовательного соединения важно на обоих концах канала задать одинаковую частоту синхронизации. Ее определяет устройство DCE, обычно CSU/DSU. Устройство DTE (обычно маршрутизатор) принимает задаваемую устройством DCE частоту синхронизации. 

По умолчанию в Cisco используется последовательная инкапсуляция HDLC. Ее можно изменить на PPP, более гибкий тип инкапсуляции, поддерживающий проверку подлинности удаленным устройством.


Хотя встроенный коммутирующий модуль устройства 1841 ISR достаточен для подключения небольшого количества узлов к локальной сети, при разрастании сети могут потребоваться более крупные и высокопроизводительные коммутаторы для поддержки дополнительных пользователей.

Коммутатор — это устройство, которое направляет поток сообщений от одного порта к другому, обрабатывая МАС-адрес получателя в пределах данного кадра. Коммутатор не поддерживает обмен трафиком между разными локальными сетями. В контексте модели OSI коммутатор работает на уровне 2. Уровень 2 — это канальный уровень.

Существует несколько моделей коммутаторов Ethernet, способных удовлетворить разные потребности пользователей. Коммутатор Ethernet серии Cisco Catalyst 2960 предназначен для сетей компаний и филиалов среднего размера.

Коммутаторы серии Catalyst 2960 представляют собой автономные устройства фиксированной конфигурации, которые не поддерживают модули или слоты для флэш-карт. Поскольку физическую конфигурацию изменить нельзя, коммутаторы фиксированной конфигурации должны выбираться исходя из необходимого количества и типа портов. Коммутаторы серии 2960 обеспечивают связь по протоколу 10/100 Fast Ethernet и 10/100/1000 Gigabit Ethernet. Эти коммутаторы используют программное обеспечение Cisco IOS и настраиваются с помощью сетевого помощника Cisco на основе графического интерфейса пользователя или интерфейса командной строки.


Все коммутаторы поддерживают как полудуплексный, так и полнодуплексный режим. 

В режиме полудуплекса он может либо получать, либо отправлять сообщения. В режиме полного дуплекса можно и отправлять, и принимать сообщения одновременно. 

Порт и подключенное устройство должны находиться в одинаковом режиме. Если режимы не совпадают, возникает несоответствие дуплексных режимов, избыточное количество коллизий и ухудшение качества связи.

Скорость и режим дуплекса можно либо задать вручную, либо порт коммутатора может выполнить автоматическое согласование. Автоматическое согласование позволяет коммутатору автоматически определить скорость и режим дуплекса устройства, подключенного к порту. У многих коммутаторов Cisco автоматический выбор включается по умолчанию. 

Для успешного выполнения автоматического согласования оно должно поддерживаться обоими устройствами. Если коммутатор находится в режиме автоматического согласования, а подключенное устройство не поддерживает этот режим, коммутатор будет использовать скорость этого устройства (10, 100 или 1000) и перейдет в полудуплексный режим. Если по умолчанию установить полудуплексный режим, то могут возникнуть проблемы в случае, когда для устройства, не поддерживающего автоматическое согласование, задан полнодуплексный режим. 

Если подключенное устройство не поддерживает автоматическое согласование, настройте режим дуплекса коммутатора вручную, в соответствии с настройками подключенного устройства. Параметр скорости настраивается сам, даже если подключенный порт не поддерживает автоматическое согласование.


Параметры коммутатора, включая скорость и параметры порта дуплекса, можно настроить с помощью интерфейса командной строки Cisco IOS. При настройке коммутатора с помощью интерфейса командной строки Cisco IOS интерфейс и структура команд очень похожи на соответствующие элементы маршрутизаторов Cisco. 

Как и в случае маршрутизаторов Cisco, для коммутаторов существует возможность выбора разных образов Cisco IOS. С коммутатором Cisco Catalyst 2960 поставляется образ программы, использующей IP-адреса. Этот образ обеспечивает коммутатору основные возможности коммутации, а также возможность предоставления базовых служб с использованием IP-адресов. Другие образы программ Cisco IOS дополняют базовые службы с использованием IP-адресов.


Коммутатор Cisco 2960 включается так же, как и Cisco 1841 ISR. 

Для включения коммутатора необходимо выполнить три основных шага.

Шаг 1. Проверка компонентов.

Шаг 2. Подключение кабелей к коммутатору.

Шаг 3. Запуск коммутатора.

После запуска коммутатора начинается его самотестирование при включении питания (POST). В ходе POST проводится серия проверок функций коммутатора. Индикаторы мигают. 

POST заканчивается, когда светоиндикатор SYST начинает быстро мигать зеленым цветом. Если в процессе POST происходит сбой, индикатор SYST становится желтым. Если коммутатор не может выполнить POST, необходимо отправить его для ремонта.

После завершения всех стартовых процедур можно приступать к настройке коммутатора Cisco 2960.


Существует несколько способов настройки коммутатора Cisco и управления им в локальных сетях. 

Cisco Network Assistant (Сетевой помощник Cisco)
Device Manager (SDM) (Диспетчер устройств Cisco)
Интерфейс командной строки Cisco IOS
Программа управления CiscoView
Программные продукты управления сетью SNMP


В некоторых из этих способов для подключения к коммутатору используется IP-адресация или веб-обозреватель, что требует наличия IP-адреса. В отличие от интерфейсов маршрутизатора, порты коммутатора не получают IP-адресов. Чтобы воспользоваться средством управления на базе IP или открыть сеанс Telnet для работы с коммутатором Cisco, нужно настроить для управления IP-адрес коммутатора. 

Если у коммутатора нет IP-адреса, следует подключиться непосредственно к порту консоли и использовать для настройки эмулятор терминала.


Настройка коммутатора Cisco Catalyst 2960 выполняется на заводе-изготовителе. Перед подключением к сети необходимо задать только основную информацию о безопасности.

Команды, служащие для задания на коммутаторе имени узла и паролей, являются теми же командами, которые используются для настройки ISR. Чтобы работать с коммутатором Cisco через средства управления на базе IP или Telnet, нужно настроить для управления IP-адрес.

Для того чтобы назначить коммутатору адрес, этот адрес должен быть назначен интерфейсу виртуальной локальной сети VLAN. В сети VLAN несколько физических портов могут быть объединены логически. По умолчанию существует только одна сеть VLAN, которая заранее настроена в коммутаторе — VLAN1, и она обеспечивает доступ к функциям управления. 

Чтобы создать IP-адрес интерфейса управления VLAN 1, нужно перейти в режим глобальной конфигурации.

Switch>enable

Switch#configure terminal

Далее, войдите в режим конфигурации интерфейса для VLAN 1.

Switch(config)#interface vlan 1

Задайте IP-адрес, маску подсети и шлюз по умолчанию для интерфейса управления. IP-адрес должен находиться в той же локальной сети, что и коммутатор.

Switch(config-if)#ip address 192.168.1.2 255.255.255.0

Switch(config-if)#exit

Switch(config)#ip default-gateway 192.168.1.1

Switch(config)#end

Сохраните конфигурацию с помощью команды copy running-configuration startup-configuration.


Подключение коммутатора к сети

Для подключения коммутатора к маршрутизатору используйте прямой кабель. Горящие светоиндикаторы на коммутаторе и на маршрутизаторе свидетельствуют об успешности подключения.

После соединения коммутатора и маршрутизатора проверьте, могут ли эти два устройства обмениваться сообщениями. 

Прежде всего, проверьте настройку IP-адреса. Используйте команду show running-configuration, чтобы убедиться в том, что IP-адрес интерфейса управления коммутатора сети VLAN 1 и IP-адрес непосредственно подключенного интерфейса маршрутизатора находятся в одной локальной сети.

Затем проверьте соединение с помощью команды ping. Отправьте с коммутатора команду ping на IP- адрес непосредственно подключенного интерфейса маршрутизатора. Повторите этот процесс с маршрутизатора, отправив команду ping на IP-адрес интерфейса управления, назначенный коммутатору сети VLAN 1.

Если эхо-запрос выполнить не удалось, проверьте подсоединения и конфигурацию еще раз. Убедитесь в том, что все кабели подключены правильно и надежно.

Когда между коммутатором и маршрутизатором установлен нормальный обмен данными, можно подключать к коммутатору с помощью прямых кабелей отдельные ПК. Эти кабели могут прямо подключаться к ПК или они могут являться частью структурированной кабельной системы, идущей к стенным розеткам.


Портами коммутатора могут служить местами несанкционированного входа в сеть. Для предотвращения этого коммутаторы поддерживают функцию, которая называется защитой портов. Эта функция ограничивает количество допустимых МАС-адресов на один порт. Порт не будет отправлять пакеты с исходными МАС-адресами, если они не входят в группу заданных адресов.

Существует три способа настройки безопасности порта.

Статический

МАС-адреса назначаются вручную, используя команду настройки интерфейса switchport port-security mac-address <mac-адрес>. Статические MAC-адреса хранятся в таблице адресов и добавляются в текущую конфигурацию.

Динамический

Динамически полученные сведения о MAC-адресах хранятся в таблице адресов. Количество полученных адресов можно контролировать. По умолчанию на один порт может быть получено не больше одного МАС-адреса. Полученные адреса удаляются из таблицы при выключении порта или при перезапуске коммутатора.

Связанный

Аналогичен динамическому, за исключением того, что адреса сохраняются еще и в текущую конфигурацию. 

По умолчанию безопасность порта отключена. Если включить функцию безопасности порта, эти приведет к неисправности при отключении порта. Например, если включить функцию безопасности порта в динамическом режиме и на один порт может быть получено не больше одного МАС-адреса, то первый полученный адрес становится безопасным. Если другая рабочая станция попытается получить доступ к порту с другим МАС-адресом, то произойдет нарушение безопасности. 

Нарушение безопасности происходит в любой из указанных ниже ситуаций: 

В таблицу адресов введено максимально возможное количество безопасных МАС-адресов, и какое-то устройство, адреса которого нет в таблице адресов, пытается получить доступ к интерфейсу. 
Адрес, полученный или настроенный на одном безопасном интерфейсе, можно видеть на другом безопасном интерфейса в той же самой сети VLAN.


Чтобы можно было активировать функцию безопасности порта, необходимо перевести порт в режим доступа с помощью команды switchport mode access.


Для проверки настроек безопасности порта для коммутатора или заданного интерфейса, воспользуйтесь командой show port-security interface interface-id. На экране отобразятся следующие выходные данные:

Максимально допустимое количество безопасных МАС-адресов для каждого интерфейса
Количество безопасных МАС-адресов данного интерфейса
Количество произошедших нарушений безопасности
Режим нарушения безопасности


Кроме этого, при вводе команды show port-security address отображаются безопасные МАС-адреса для всех портов, а при вводе команды show port-security отображаются настройки безопасности порта для коммутатора. 

Если включена функция безопасности порта для статического или связанного режима, то можно использовать команду show running-config для просмотра МАС-адресов, связанных с конкретным портом. Существует три способа удаления полученного МАС-адреса, который был сохранен в текущую конфигурацию: 

Использовать команду clear port-security sticky interface <№ порта> access для удаления всех полученных адресов. Затем следует выключить порт, введя команду shutdown. Наконец, нужно вновь включить порт с помощью команды no shutdown. 
Для отключения режима безопасности порта следует ввести с интерфейса команду no switchport port-security. После отключения вновь включите режим безопасности порта. 
Перезагрузите коммутатор.


Коммутатор будет перезагружаться только в том случае, если текущая конфигурация не сохранена в файл начальной конфигурации. Если же текущая конфигурация была сохранена в файл начальной конфигурации, то это исключает для коммутатора возможность повторного получения адресов при перезагрузке системы. Однако полученные MAC-адреса будут всегда связаны с конкретным портом до тех пор, пока не будет произведена очистка порта с помощью команды clear port-security или не будет отключен режим безопасности порта. Если это будет сделано, не забудьте пересохранить текущую конфигурацию в файл начальной конфигурации, чтобы коммутатор после перезагрузки не начал использовать исходные связанные МАС-адреса.

Если на коммутаторе есть неиспользуемые порты, рекомендуется отключить их. Отключение портов на коммутаторе выполняется просто. Переходя к каждому неиспользуемому порту, вводите команду shutdown. Если потом надо будет активировать этот порт, введите команду no shutdown с помощью соответствующего интерфейса.

Помимо включения режима безопасности порта и отключения неиспользуемых портов, существуют другие настройки безопасности коммутатора, которые позволяют устанавливать пароли на порты vty, применять баннеры входа в систему и зашифровывать пароли с помощью команды service password-encryption. Для указанных конфигураций используйте те же команды интерфейса командной строки Cisco IOS, которые применяются для настройки маршрутизатора.


Протокол обнаружения устройств Cisco (CDP) — это средство сбора информации, используемое коммутатором, ISR или маршрутизатором для обмена данными с другими непосредственно подключенными устройствами Cisco. По умолчанию CDP начинает работать при загрузке устройства. Затем это средство периодически отправляет подключенным устройствам сообщения, известные как объявления CDP. 

CDP работает только на уровне 2. Его можно использовать в разных типах локальных сетях, включая Ethernet и последовательные сети. Протокол уровня 2 позволяет определить статус непосредственно подключенного канала в отсутствие IP-адреса или при неправильно настроенном адресе. 

Два устройства Cisco, непосредственно подключенные к одной и той же локальной сети, называются соседними. Концепция соседних устройств важна для понимания выходных данных команд CDP.

CDP собирает следующую информацию:

Идентификаторы устройств — заданные имена узлов
Список адресов — адреса уровня 3, если они настроены
Идентификатор порта — непосредственно подключенный порт, например, последовательный порт 0/0/0
Список функций — одна или несколько функций, выполняемых устройством 
Платформа — аппаратная платформа устройства, например, Cisco 1841


В выходных данных команд show cdp neighbors и show cdp neighbors detail представлена информация, собираемая устройством Cisco от своих непосредственно подключенных соседей.

Для просмотра информации, собранной CDP, не требуется вход на удаленные устройства. Поскольку CDP собирает и отображает много информации о непосредственно подключенных соседних устройствах, не заходя на них, в сетях производственных предприятий его обычно отключают в целях безопасности. Кроме того, CDP использует часть полосы пропускания и может влиять на производительность сети. 


6 глава

В процессе развития внутренней сети предприятия может появиться необходимость разбиения сети на множество более мелких фрагментов, что обычно связано с решением организационных задач или с требованиями безопасности. Такое разделение сети реализуется с помощью создания нескольких подсетей. Разбиение на подсети подразумевает использование маршрутизатора, который управляет передачей данных из одной подсети в другую.

При передаче пакетов через сети от источника к назначению маршрутизатор использует таблицы, которые содержат сведения о сетях, подключенных локально, и интерфейсах, через которые осуществляется подключение. Каждый из интерфейсов подключен к разным IP-сегментам сети . 

Маршрутизатор принимает решение о маршрутизации на основе информации, хранящейся в таблице маршрутизации. В таблицах маршрутизации также содержатся сведения о маршрутах или путях, по которым маршрутизатор связывается с удаленными сетями, не подключенными локально. 

Эти маршруты могут назначаться администратором статически или выделяться маршрутизатору динамически, посредством другого маршрутизатора или программного протокола маршрутизации.


Каждый маршрутизатор принимает решения о направлении пересылки пакетов на основании таблицы маршрутизации. Таблица маршрутизации содержит набор правил. Каждое правило в наборе описывает шлюз или интерфейс, используемый маршрутизатором для доступа к определенной сети. 

Маршрут состоит из четырех основных компонентов: 

значение получателя;
маска подсети;
адрес шлюза или интерфейса;
стоимость маршрута или метрика маршрута.


Чтобы переслать пакет получателю, маршрутизатор извлекает IP-адрес получателя из пакета и находит соответствующее правило в таблице маршрутизации. Затем производится поиск соответствующего получателя в таблице маршрутизации. 

Значения получателей в таблице маршрутизации соответствуют адресам сетей получателей. Обратите внимание, что IP-адрес получателя в пакете состоит из двух частей — адреса подсети и адреса узла. Чтобы определить наличие маршрута к IP-адресу получателя в таблице, маршрутизатор должен найти соответствие между IP-адресом сети и одним из значений в таблице маршрутизации. Для этого маршрутизатор должен определить, какие биты IP-адреса относятся к адресу подсети, а какие — как адресу узла.

Маршрутизатор просматривает значения маски подсети в каждом из потенциальных маршрутов в таблице. Маршрутизатор применяет каждую из масок подсети к IP-адресу получателя в пакете и сравнивает полученный адрес сети с адресами отдельных маршрутов в таблице: при обнаружении совпадающего адреса пакет пересылается на соответствующий интерфейс или к соответствующему шлюзу; если адрес сети соответствует нескольким маршрутам в таблице маршрутизации, маршрутизатор использует маршрут с наиболее точным или наиболее длинным совпадающим фрагментом адреса сети; 

иногда для одной сети адресата существует несколько маршрутов с равной стоимостью: маршрут, используемый маршрутизатором, выбирается на основе правил протокола маршрутизации;

в отсутствие совпадающих маршрутов маршрутизатор направляет сообщение на шлюз, указанный в маршруте по умолчанию, если он настроен. В других случаях пакет просто игнорируется.


В маршрутизаторах Cisco содержимое таблицы маршрутизации можно просмотреть по команде IOS show ip route. В таблице маршрутизации могут содержаться маршруты нескольких типов:

Прямые маршруты

При включении питания маршрутизатора активируются настроенные интерфейсы. После выхода этих интерфейсов в рабочий режим маршрутизатор будет хранить адреса непосредственно подключенных локальных сетей в виде прямых маршрутов в таблице маршрутизации. В маршрутизаторах Cisco такие маршруты обозначаются в таблице маршрутизации префиксом C. Они автоматически обновляются при перенастройке или отключении маршрута.

Статические маршруты 

Сетевой администратор может вручную настроить статический маршрут в конкретную сеть. Статические маршруты не изменяются до тех пор, пока администратор не перенастроит их вручную. В таблице маршрутизации эти маршруты обозначаются буквой S.

Динамические (динамически обновляемые) маршруты

Динамические маршруты автоматически создаются и обновляются протоколами маршрутизации. Протоколы маршрутизации реализуются в программах, которые выполняются на маршрутизаторах и осуществляют обмен сведениями о маршрутизации с другими маршрутизаторами в сети. Динамически обновляемые маршруты обозначаются в таблице маршрутизации приставкой, характеризующей тип протокола, создавшего маршрут. Например, R обозначает протокол маршрутной информации (RIP).

Маршрут по умолчанию 

Для сетей, путь к которым отсутствует в таблице маршрутизации, используется шлюз, указанный в маршруте по умолчанию. Обычно маршруты по умолчанию указывают следующий маршрутизатор на пути к ISP. Если в подсети присутствует только один маршрутизатор, он автоматически выбирается для маршрута по умолчанию, поскольку обмен трафиком с локальной сетью в обоих направлениях может осуществляться только через него.

В таблицах маршрутизации отсутствует сквозная информация обо всем пути от исходной сети к сети назначения. В этой таблице содержатся только данные о следующем переходе по этому пути. Следующим переходом обычно является непосредственно подключенная сеть, сведения о которой находятся в таблице маршрутизации. 

При использовании статического маршрута следующий переход может быть любым IP-адресом, если он доступен для этого маршрутизатора. В итоге сообщение передается на маршрутизатор, непосредственно подключенный к узлу-адресату, после чего сообщение считается доставленным. Информация о маршрутизации между всеми промежуточными маршрутизаторами по этому пути представляется в виде сетевых адресов, а не определенных узлов. Только для последнего маршрутизатора адрес назначения в таблице маршрутизации указывает не на сеть, а на определенный узел.


Настройка статических маршрутов

Статические маршруты настраиваются сетевым администратором вручную. Настройка статического маршрута в маршрутизаторах Cisco состоит из следующих операций:

Шаг 1. Подключитесь к маршрутизатору по консольному кабелю.

Шаг 2. Откройте окно "HyperTerminal", чтобы подключиться к первому из маршрутизаторов, которые требуется настроить. 

Шаг 3. Войдите в привилегированный режим, набрав enable в приглашении Router1>. Обратите внимание, что символ ">" на время нахождения в привилегированном режиме изменяется на "#".

Router1>enable
Router1#

Шаг 4. Войдите в режим глобальной конфигурации.

Router1#config terminal
Router1(config)#

Шаг 5. Настройте статический маршрут, выполнив команду IOS ip route в следующем формате:

ip route [сеть_назначения] [маска_подсети] [адрес_шлюза]

или

ip route [сеть_назначения] [маска_подсети] [выходной_интерфейс]

Например, чтобы указать маршрутизатору Router1 путь к узлу в сети 192.168.16.0, администратор создает статический маршрут в маршрутизаторе Router1 при помощи следующей команды IOS в режиме глобальной настройки:

Router1(config)#ip route 192.168.16.0 255.255.255.0 192.168.15.1

или

Router1(config)#ip route 192.168.16.0 255.255.255.0 S0/0/0

Для установления двусторонней связи с сетью 192.168.16.0 администратор также настраивает статический маршрут на втором маршрутизаторе.

Поскольку статические маршруты настраиваются вручную, сетевые администраторы должны добавлять и удалять статические маршруты с учетом изменений в сетевой топологии. В небольших, редко перенастраиваемых сетях трудоемкость обслуживания статических маршрутов невелика. В крупной сети ручное ведение таблиц маршрутизации существенно повышает трудоемкость администрирования, поэтому динамические маршруты для них более целесообразны по сравнению со статическими.


Маршруты могут меняться весьма резко. Проблемы с кабелями и оборудованием могут привести к недоступности получателей через установленные интерфейсы. Маршрутизаторам необходим способ быстрого обновления маршрутов без участия администратора.

Для динамического управления информацией, поступающей с собственных интерфейсов и других маршрутизаторов, маршрутизаторы используют протоколы маршрутизации. Можно также настроить протоколы маршрутизации для управления маршрутами, заданными вручную. 

Динамическая маршрутизация позволяет исключить трудоемкую процедуру настройки статических маршрутов. Динамическая маршрутизация позволяет маршрутизаторам реагировать на изменения в сети и корректировать таблицы маршрутизации без вмешательства сетевого администратора. 

Протокол динамической маршрутизации определяет все доступные маршруты, помещает наилучшие маршруты в таблицу маршрутизации и удаляет маршруты, ставшие недействительными. Способ, которым протокол маршрутизации определяет наилучший маршрут к сети назначения, называется алгоритмом маршрутизации. Алгоритмы маршрутизации подразделяются на два класса: вектор расстояния и маршрутизация на основе состояния канала. Каждый из них предполагает использование различных методов для определения оптимального маршрута в сеть назначения. 

При каждом изменении топологии сети в результате изменения конфигурации или сбоя также требуется перестройка таблиц маршрутизации в точном соответствии с новой топологией. Состояние обновления всех маршрутизаторов в сети с учетом нового маршрута называется схождением маршрутизаторов.

Тип используемого алгоритма маршрутизации очень важен для динамической маршрутизации. Для обмена маршрутами между двумя маршрутизаторами необходимо, чтобы они оба использовали один протокол и, следовательно, один алгоритм маршрутизации.


Алгоритм маршрутизации на основе вектора состояния предусматривает периодическую пересылку копий таблицы маршрутизации между маршрутизаторами. для отражения изменений топологии. 

Алгоритм маршрутизации на основе вектора расстояния анализирует информацию, поступающую от других маршрутизаторов, в свете двух основных критериев:

расстояние – насколько удалена сеть от данного маршрутизатора;
вектор — в каком направлении следует пересылать пакеты для данной сети?


Расстояние в маршруте представляется стоимостью или метрикой, которая может характеризовать один из следующих параметров:

число переходов маршрута;
административные накладные расходы;
полоса пропускания;
скорость передачи;
вероятность задержек;
надежность.


Компонент вектора или направления в маршруте представляет собой адрес следующего перехода к сети, указанной в маршруте.

Аналогией для векторов расстояния могут быть дорожные знаки с указанием направлений на развязках автострад. Знак указывает направление к месту назначения и сообщает расстояние до него. По мере движения по автостраде появляется следующий знак, указывающий на то же место назначения, но расстояние становится короче. Если расстояния сокращаются, трафик следует по оптимальному маршруту.


Каждый маршрутизатор, использующий векторы расстояний, сообщает сведения о маршрутизации своим соседям. Соседние маршрутизаторы являются участниками сети с прямым подключением. Интерфейс, ведущий в каждую сеть с прямым подключением, имеет расстояние, равное 0. 

Каждый маршрутизатор получает таблицу маршрутизации с непосредственно подключенных соседних маршрутизаторов. Для примера, маршрутизатор R2 получает информацию с маршрутизатора R1. Маршрутизатор R2 увеличивает значение метрики (в данном случае – число переходов маршрута), отражая тот факт, что теперь путь к сети назначения стал на один переход длиннее. Затем маршрутизатор R2 рассылает новую таблицу маршрутизации своим соседям, включая маршрутизатор R3. Этот поэтапный процесс продолжается во всех направлениях между соседними маршрутизаторами. 

В конечном итоге каждый маршрутизатор получит от соседних маршрутизаторов информацию о других, более удаленных, сетях. Каждой записи сети в таблице маршрутизатора соответствует вектор накопленного расстояния, указывающий удаленность сети в данном направлении. 

Продолжая процесс определения в сети векторов расстояния, маршрутизаторы находят оптимальный путь к сетям, подключенным не напрямую, на основе накопленных метрик от каждого из соседей. Оптимальный путь — это путь с кратчайшим расстоянием или наименьшей метрикой.

Обновление таблиц маршрутизации также происходит при изменении топологии, например, при добавлении новой сети или выходе из строя маршрутизатора, в результате которого сеть становится недостижима. Как и при обнаружении сетей, обновление топологии происходит поэтапно и состоит в обмене копиями таблиц маршрутизации между маршрутизаторами.


Протокол маршрутной информации (RIP) — это протокол маршрутизации на основе векторов расстояния, который нашел широкое применение в тысячах сетей по всему миру. Впервые он был опубликован в рамках документа RFC 1058.

Основные характеристики RIP: 

RIP является протоколом на основе вектора расстояния;
использует число переходов в качестве метрики для выбора маршрута;
относит число переходов выше 15 к недостижимым маршрутам;
по умолчанию рассылает содержимое таблицы маршрутизации каждые 30 секунд.


Получив обновление таблицы маршрутизации с новым или изменившимся маршрутом, маршрутизатор отражает эти изменения в своей таблице маршрутизации. На каждом маршрутизаторе при добавлении маршрута в таблицу число переходов увеличивается на единицу. В качестве следующего перехода маршрутизатор использует адрес непосредственно подключенного маршрутизатора в локальной сети, с которого поступило обновление. 

Незамедлительно после обновления таблицы маршрутизации маршрутизатор начинает рассылать обновления маршрутизации, информируя об изменении другие маршрутизаторы в сети. Эти обновления, называемые обновление при изменении, рассылаются независимо от регулярных обновлений, рассылаемых маршрутизаторами, использующими протокол RIP.


Протокол RIP

Протокол RIP имеет простую логику и несложен в реализации. Эти преимущества принесли RIP широкую популярность.

Однако RIP обладает и недостатками:

допускается не более 15 переходов, т.е. сеть может содержать не более 16 последовательно соединенных маршрутизаторов;
непосредственно подключенным соседним маршрутизаторам периодически рассылаются полные копии всей таблицы маршрутизации – в крупных сетях каждое обновление может сопровождаться значительным всплеском трафика;
длительное схождение после изменений в крупных сетях.


В настоящее время существуют две версии RIP: RIPv1 и RIPv2. RIPv2 имеет ряд преимуществ по сравнению с RIPv1. RIPv1 обычно используется в тех случаях, когда оборудование не поддерживает RIPv2. Наиболее значимым различием двух версий протокола является поддержка бесклассовой маршрутизации в RIPv2 за счет включения маски подсети в обновления маршрутов. RIPv1 не предусматривает отправку масок подсетей в обновлениях и руководствуется масками, принятыми для различных подсетей по умолчанию.


Протокол EIGRP 

Усовершенствованный протокол внутренней маршрутизации между шлюзами (EIGRP) — это собственный усовершенствованный протокол маршрутизации Cisco с использованием вектора расстояния. EIGRP был разработан с целью преодоления ограничений других протоколов маршрутизации с вектором расстояний, таких как RIP. К этим ограничениям относятся использование числа переходов в качестве метрики и предел в 15 переходов. 

В EIGRP используется несколько метрик, включая значение полосы пропускания, настраиваемое вручную, и задержка при прохождении пакета по конкретному маршруту. 

Протокол EIGRP имеет следующие характеристики:

расчет стоимости маршрута на основе нескольких метрик;
возможности протоколов на основе вектора расстояния, связанные со следующим переходом и метрикой, объединены с дополнительными функциями баз данных и обновлений;
максимальное число переходов — 224.


В отличие от RIP, EIGRP не ограничивается использованием содержимого таблицы маршрутизации маршрутизатора. Для EIGRP создаются две дополнительные таблицы базы данных: таблица соседних маршрутизаторов и таблица топологии.

В таблице соседних маршрутизаторов хранятся данные о соседних маршрутизаторах в локальных сетях, подключенных напрямую. Эта таблица содержит такую информацию, как IP-адрес, тип и полоса пропускания интерфейса. 

EIGRP формирует таблицу топологии на основе извещений от соседних маршрутизаторов. Таблица топологии содержит все маршруты, объявленные соседними маршрутизаторами. Для расчета кратчайшего пути по сети к месту назначения в протоколе EIGRP применяется алгоритм диффузионного обновления (алгоритм DUAL). Рассчитанный путь помещается в таблицу маршрутизации. Таблица топологии позволяет маршрутизатору, на котором используется протокол EIGRP, определять оптимальный альтернативный маршрут при изменениях в сети. Если в таблице маршрутизации отсутствуют альтернативные маршруты, EIGRP опрашивает соседние маршрутизаторы для нахождения нового маршрута к месту назначения. 

В отличие от протокола RIP, предназначенного для небольших сетей, в которых число переходов между маршрутизаторами не превышает 15, протокол EIGRP наилучшим образом подходит для крупных более сложных сетей, объединяющих до 224 переходов и требующих быстрого схождения.


Протоколы на основе состояния канала

Маршрутизаторы, использующие алгоритм маршрутизации на основе вектора расстояния, располагают ограниченными сведениями об удаленных сетях и совсем не имеют информации об удаленных маршрутизаторах. Алгоритм маршрутизации, основанный на состоянии канала, ведет полную базу данных об удаленных маршрутизаторах и схеме их соединений.

В маршрутизации на основе состояния канала присутствуют следующие атрибуты: 

таблица маршрутизации — список известных маршрутов и интерфейсов;
Объявление о состоянии канала (LSA) — компактный пакет для обмена сведениями о маршрутизации между маршрутизаторами. LSA описывает состояние интерфейсов (каналов связи) маршрутизатора и содержит другие сведения, например IP-адрес каждого канала;
топологическая база данных — концентрирует информацию, извлеченную маршрутизатором из всех LSA;
алгоритм SPF (алгоритм кратчайшего пути) – расчет дерева SPF на основе информации из базы данных. Дерево SPF представляет собой карту сети с точки зрения конкретного маршрутизатора. Содержимое этого дерева используется при построении таблицы маршрутизации.


При получении LSA с других маршрутизаторов алгоритм SPF путем анализа информации в базе данных создает дерево SPF. Руководствуясь деревом SPF, алгоритм SPF вычисляет кратчайшие пути к другим сетям. При изменении базы данных о состоянии каналов связи, вызванном поступлением нового пакета LSA, алгоритм SPF повторно рассчитывает оптимальные пути и обновляет таблицу маршрутизации.


OSPF

Протокол предпочтения кратчайшего пути OSPF представляет собой открытый протокол маршрутизации на основе состояния каналов связи, описанный в RFC 2328. Его основными характеристиками являются:

использование алгоритма SPF для расчета пути к месту назначения с наименьшей стоимостью;
рассылка обновлений маршрутов только при изменении топологии; периодическая рассылка полной таблицы маршрутизации не производится;
ускоренная сходимость;
поддержка VLSM и изолированных подсетей;
аутентификация маршрутов.


В сетях с поддержкой OSPF маршрутизаторы обмениваются извещениями об изменениях состояния каналов связи, например, о появлении новых подсетей или о сбоях или восстановлении линий связи. 

При изменении топологии сети, например, все маршрутизаторы, на которых влияет данное изменение, рассылают остальным маршрутизаторам сети извещения LSA для обновления маршрутов. Все маршрутизаторы вносят соответствующие изменения в базы данных топологий, перестраивают деревья SPF для поиска кратчайшего пути к каждой сети и обновляют маршруты в своих таблицах маршрутизации.

Протокол OSPF более требователен к ресурсам маршрутизаторов, таким, как оперативная память и вычислительные мощности процессора, и является сложным сетевым протоколом, требующим от инженерного персонала углубленных знаний.


Каждый протокол маршрутизации использует свою систему метрик. Метрики, используемые в одном протоколе, не применимы в другом. Так как используются различные метрики, два различных протокола маршрутизации могут выбрать различные маршруты к одному и тому же получателю. Например, протокол RIP выбирает путь на основе наименьшего количества переходов сети, а протокол EIGRP руководствуется сведениями о наиболее широкой полосе пропускания каналов связи и наименьшим временем задержки. 

Метрики, используемые протоколами маршрутизации IP, могут основываться на следующих параметрах:

число переходов — количество маршрутизаторов, через которые предстоит пройти пакету;
полоса пропускания — "ширина" указанного канала связи;
загрузка — степень занятости канала трафиком;
задержка — время, которое требуется для передачи пакета по каналу;
надежность — вероятность возникновения сбоев связи, рассчитанная на основе статистики прошлых сбоев;
стоимость — определяется приложением Cisco IOS или сетевым администратором для выбора предпочтительного маршрута; стоимость может определять метрику, или комбинацию метрик, или политику. 


Один маршрутизатор может использовать несколько протоколов одновременно. Кроме того, при необходимости сетевые администраторы могут настраивать статические маршруты. Если в результате расчетов по двум различным алгоритмам имеется два различных маршрута к одному получателю, как маршрутизатор решает, какой из них использовать? 

В этой ситуации маршрутизатор использует параметр, который известен как административное расстояние (AD). Эта величина выражает степень доверия к источнику информации о маршруте. Чем ниже AD, тем больше можно доверять маршруту. Например, статическому маршруту присвоено значение AD, равное 1, а маршрут, рассчитанный по алгоритму RIP, имеет значение AD — 120; при получении двух различных маршрутов к одному получателю маршрутизатор выбирает маршрут с наименьшим значением AD. При наличии выбора между статическим маршрутом и маршрутом, рассчитанным по RIP, выбирается статический маршрут. Кроме того, маршрут в непосредственно подключенную сеть с AD, равным 0, имеет приоритет перед статическим маршрутом с AD, равным 1.


Иногда необходимо использовать несколько протоколов маршрутизации, например, при слиянии двух уже существующих сетей. Тем не менее, при проектировании новой сети рекомендуется использовать только один протокол маршрутизации для всей сети. Наличие одного протокола упрощает как сопровождение сети, так и поиск неполадок в ней. Выбор протокола маршрутизации может оказаться трудной задачей даже для опытных проектировщиков сетей. 

Статические маршруты бывают приемлемы для небольших сетей только с одним шлюзом в Интернет. В такой топологии динамическая маршрутизация требуется редко.

По мере роста организации и появления новых маршрутизаторов в топологии можно перейти к использованию протокола RIPv2, не требующему сложной настройки и успешно работающему в небольших сетях. RIP может применяться до тех пор, пока размер сети не превысит 15 маршрутизаторов.

В более крупных сетях широкое применение нашли протоколы EIGRP и OSPF, однако простых правил для выбора одного из них не существует. При выборе протокола следует рассматривать каждую сеть в отдельности, руководствуясь тремя основными критериями.

Простота управления. Какую информацию о собственном состоянии хранит протокол? Какие команды show доступны?
Простота настройки. Сколько команд в среднем требуется выполнить для настройки? Можно ли задать одинаковую конфигурацию сразу для нескольких маршрутизаторов в сети? 
Эффективность. Какую долю полосы пропускания отнимает протокол маршрутизации в установившемся режиме и каков верхний предел используемой полосы пропускания при схождении в результате крупных событий?



RIP — распространенный протокол на основе вектора расстояния, поддерживаемый большинством маршрутизаторов. Он наиболее целесообразен для небольших сетей с несколькими маршрутизаторами. Перед выполнением настройки протокола RIP в маршрутизаторе необходимо изучить состав сетей, которые будет обслуживать маршрутизатор, и интерфейсов маршрутизатора, подключаемых к этим сетям.

На рисунке изображено три маршрутизатора. Каждый из маршрутизаторов обслуживает отдельную частную локальную сеть, таким образом, имеется три локальные сети. Поскольку маршрутизаторы также соединены между собой отдельными сетями, общее число сетей равно шести.

В подобной топологии важно избежать ошибочного предположения о том, что маршрутизатор R1 соединен напрямую с 10.0.0.0/8 и 172.16.17.0/16. Для маршрутизатора R1 эти сети будут доступны после надлежащей настройки RIP. После настройки RIP маршрутизаторы R2 и R3 отправляют обновление таблицы, которая содержит сведения о доступности сетей 10.0.0.0/8 и 192.168.4.0/24 маршрутизатору R1.

Перед настройкой протокола RIP необходимо присвоить IP-адрес и активировать все физические интерфейсы, которые будут участвовать в маршрутизации. 

Настройка RIPv2 в самом базовом виде требует знания трех команд:

Router(config)#router rip

Router (config-router)#version 2

Router(config-router)#network [номер_сети]

Чтобы включить RIP на маршрутизаторе, введите команду router rip в глобальном режиме настройки. В режиме настройки маршрутизатора введите команду network, чтобы указать маршрутизатору состав сетей, участвующих в процессе маршрутизации RIP. Процесс маршрутизации связывает конкретные интерфейсы с номерами сетей и начинает отправку и прием обновлений RIP на этих интерфейсах.


По завершении настройки будет полезно сравнить рабочую конфигурацию с точной схемой топологии для сверки номеров сетей и IP-адресов интерфейсов. Это помогает обнаружить механические ошибки, допущенные при вводе данных. 

Проверить функционирование RIP в сети можно несколькими способами. Если конфигурация верна, то для проверки работоспособности маршрутизации можно отправить эхо-запросы командой ping на устройства в удаленных сетях. Успешное выполнение команды ping будет свидетельством работоспособности маршрутизации.

Другим методом проверки маршрутизации IP является ввод команд show ip protocols и show ip route в командной строке.

Команда show ip protocols предназначена для проверки конфигурации маршрутизации RIP, правильности настроек интерфейсов, которые должны отправлять и получать обновления RIP, а также проверки сетей, в которые происходит отправка обновлений.

Команда show ip route выводит таблицу маршрутизации, по которой можно проверить присутствие маршрутов, полученных соседними маршрутизаторами.

Команда debug ip rip позволяет проследить за извещениями о конкретных сетях в пересылаемых обновлениях маршрутов. Отладочные сообщения отражают работу маршрутизатора в реальном времени. Поскольку отладочный режим создает нагрузку на процессорные ресурсы и может повлиять на работу маршрутизатора, в реально эксплуатируемой сети его следует использовать с осторожностью.


Архитектура маршрутизации за годы существования Интернета эволюционировала в распределенную систему взаимосвязанных сетей. При сегодняшнем масштабе Интернета и многообразии составляющих его сетей ни одна организация не справится с управлением информацией обо всех маршрутах к каждому получателю в мире. 

Для преодоления этой сложности Интернет поделен на объединения сетей, называемые автономными системами (AS), контролируемые разными независимыми организациями и компаниями. 

AS представляет собой несколько сетей, для которых применяется единая внутренняя политика маршрутизации, в ведении одного административного органа. Идентификатором AS служит уникальный номер автономной системы (ASN). ASN в Интернете подчиняются правилам контроля и регистрации.

Самым распространенным примером AS является поставщик услуг Интернета (ISP). Большинство предприятий, подключенных к Интернету через поставщика услуг Интернета, входят в состав домена маршрутизации этого поставщика. AS администрируется ISP и содержит не только маршруты для собственных сетей, но и маршруты ко всем сетям корпоративных и других клиентов, подключенных к ISP.


Один и тот же номер ASN распространяется на все сетевые устройства в домене маршрутизации AS.

ISP A представляет собой автономную систему, чей домен маршрутизации включает в себя местное предприятие, напрямую подключенное к ISP для доступа в Интернет. Это предприятие не имеет отдельного ASN, а использует в данных о маршрутизации номер автономной системы ISP A (ASN 100). 

Также на иллюстрации показана крупная корпорация с офисами в Гонконге и Нью-Йорке. Поскольку эти офисы расположены в разных странах, каждый из них для доступа в Интернет подключается к местному поставщику услуг Интернета. Следовательно, корпорация пользуется услугами двух различных ISP. К какой AS и с каким номером ASN она будет принадлежать?

Наличие двух ISP — B и C, через которые компания подключена к Интернету, создает сложности с организацией маршрутов. Для трафика из Интернета нет информации, на основе которой можно было бы выбрать одну из AS, используемых глобальной корпорацией. Чтобы решить эту проблему, корпорация регистрирует собственную AS, которой присваивается ASN 400.


Протоколы внутренних шлюзов (IGP) используются для обмена сведениями о маршрутизации с автономной системой или отдельной организацией. Цель протокола внутренней маршрутизации – нахождение оптимального пути во внутренней сети. IGP реализуется внутренними маршрутизаторами, т.е. маршрутизаторами внутри организации. Примеры протоколов внутренних шлюзов — RIP, EIGRP и OSPF.

В отличие от IGP, протоколы внешних шлюзов (EGP) предназначены для обмена информацией между различными автономными системами. Поскольку разные автономные системы находятся в компетенции разных администраторов и могут использовать различные внутренние протоколы, то протокол, применяемый на межсетевом уровне, должен обеспечивать взаимодействие разнородных систем. EGP отвечает за преобразование информации о внешних маршрутах, делая возможной ее успешную обработку в каждой сети автономной системы.

Протоколы EGP выполняются на внешних маршрутизаторах, Внешние маршрутизаторы также называются граничными шлюзами.

В отличие от внутренних маршрутизаторов, которые обмениваются друг с другом информацией об отдельных маршрутах по протоколам IGP, внешние маршрутизаторы обмениваются информацией о путях к различным сетям, используя внешние протоколы. Назначение протоколов внешней маршрутизации — поиск оптимального пути через Интернет в виде последовательности автономных систем.

Самый распространенный внешний протокол маршрутизации в Интернете сегодня — протокол граничного шлюза (BGP). По оценкам 95% автономных систем используют BGP. Текущая версия BGP — четвертая (BGP-4), актуальное описание которой содержится в документе RFC 4271.


Каждая автономная система отвечает за информирование других автономных систем о сетях, которые через нее доступны. Обмен этими сведениями о достижимости осуществляется по протоколам внешней маршрутизации, которые реализуются выделенными маршрутизаторами – граничными шлюзами. 

Маршрутизация пакетов через Интернет осуществляется в несколько этапов

1. Узел-источник отправляет пакет, предназначенный для удаленного узла в другой автономной системе. 

2. Поскольку IP-адрес адресата пакета находится за пределами локальной сети, внутренние маршрутизаторы продолжают передавать пакет, выбирая маршруты по умолчанию, пока в итоге пакет не достигнет внешнего маршрутизатора на границе локальной автономной системы. 

3. Внешний маршрутизатор ведет базу данных по всем автономным системам, с которыми он связан. Эта база данных достижимости сообщает маршрутизатору, что путь к сети адресата проходит через несколько AS и что следующий переход проходит через напрямую подключенный внешний маршрутизатор на соседней автономной системе.

4. Внешний маршрутизатор направляет пакет на следующий переход, которым является внешний маршрутизатор в соседней автономной системе.

5. Пакет достигает соседней автономной системы, где внешний маршрутизатор обращается к собственной базе данных достижимости и пересылает пакет к следующей автономной системе в пути.

6. Процесс повторяется на каждой автономной системе до тех пор, пока внешний маршрутизатор автономной системы-адресата не распознает IP-адрес получателя пакета как относящийся к внутренней сети данной автономной системы. 

7. Конечный внешний маршрутизатор направляет пакет маршрутизатору на следующем внутреннем переходе, присутствующем в его таблице маршрутизации. С этого момента пакет обрабатывается так же, как любой локальный пакет и пересылается посредством внутренних протоколов маршрутизации через несколько внутренних переходов до узла-получателя.


Протоколы внешних шлюзов предоставляют много полезных функций для ISP. Внешние протоколы не только позволяют пересылать трафик через Интернет удаленным получателям, они также служат для ISP механизмом установки и реализации политик и локальных настроек, позволяющих оптимизировать пересылку транзитного трафика через ISP и исключить перегрузку внутренних маршрутов. 

Корпоративные клиенты требуют надежного предоставления услуг доступа в Интернет, и ISP стремятся обеспечить непрерывную работу Интернет-канала для этих клиентов. Для этого они предусматривают запасные маршруты и маршрутизаторы на случай отказа основного маршрута. При нормальной работе ISP сообщает другим автономным системам основной маршрут. Если этот маршрут прекращает функционировать, ISP рассылает по внешнему протоколу сообщение с обновлением маршрута, указывая запасной маршрут.


Передача сообщений в Интернете называется трафиком. Интернет-трафик может быть отнесен к одной из двух категорий.

Локальный трафик — трафик, пересылаемый внутри автономной системы и изначально возникший в ее пределах или адресованный получателю в пределах этой автономной системы. Аналогия – движение транспорта в пределах улицы.
Транзитный трафик — трафик, возникший за пределами автономной системы, который может пересылаться по сетям внутри автономной системы получателям за ее пределами. Аналогия — движение транспорта в пределах улицы.


Пересылка трафика между автономными системами надежно контролируется. Важно иметь возможность ограничения или запрета обмена определенными видами сообщений с автономной системой по соображениям безопасности или для предотвращения перегрузки.

Многие автономные системы не предназначены для транзитного трафика. Транзитный трафик может привести к перегрузке и выходу из строя маршрутизаторов, если их ресурсов окажется недостаточно для обработки большого объема трафика.


Когда ISP размещает маршрутизатор на объекте клиента, в качестве маршрута по умолчанию обычно настраивается статический маршрут к ISP. Однако иногда ISP требуется включить маршрутизатор в свою автономную систему и сделать его участником BGP. В этих случаях необходимо настроить маршрутизатор в помещении клиента, введя необходимые команды для активации BGP.

Первый шаг в активации BGP на маршрутизаторе состоит в настройке номера автономной системы. Это делается с помощью следующей команды:

router bgp [номер_автономной_системы]

Следующий шаг — идентификация маршрутизатора ISP, который будет выступать соседним узлом BGP для обмена информацией с маршрутизатором в помещении клиента (CPE). Соседний маршрутизатор идентифицируется следующей командой:

neighbor [IP_адрес] remote-as [номер_автономной_системы]

Клиентам ISP, имеющим собственные зарегистрированные блоки IP-адресов, может быть необходима возможность объявления маршрутов к своим внутренним сетям в Интернете. Для объявления внутренних маршрутов посредством BGP необходимо задать адрес сети. Формат команды, которая позволяет сделать это:

network [адрес_сети]

После установки оборудования в помещениях клиента и настройки протоколов маршрутизации клиент получает работающую локальную сеть и подключение к Интернету. После этого клиент становится полноправным участником других сервисов, предлагаемых ISP.

Для BGP обычно используются зарегистрированные IP-адреса, которые могут использоваться в маршрутизации и однозначно идентифицируют организацию. В очень крупных организациях для процессов BGP могут применяться частные адреса, как показано на рисунке. В Интернете запрещается применять BGP для объявления адресов частных сетей.


7 глава

После подключения к ISP предприятие или клиент могут выбрать необходимые им сервисы, предоставляемые ISP.

Поставщики услуг Интернета работают на нескольких рынках. Частные домашние пользователи составляют потребительский рынок. Крупные транснациональные корпорации составляют рынок крупных предприятий. Между ними существует несколько более узких рынков, например, малые и средние предприятия или крупные некоммерческие организации. Требования к сервисам на каждом из этих рынков различны. 

Растущие ожидания клиентов и обостряющаяся конкурентная борьба побуждают ISP предлагать своим клиентам новые сервисы, направленные на увеличение дохода и дифференциацию в конкурентной среде. 

Электронная почта, хостинг веб-сайтов, мультимедиа-трансляции, IP-телефония и передача файлов — важнейшие виды сервисов, которые ISP могут предоставлять всем клиентам. Эти услуги важны для потребительского рынка ISP и для предприятий малого и среднего бизнеса, не располагающих штатом квалифицированных специалистов для реализации собственных сервисов.


Многие организации, независимо от их размера, отмечают высокую себестоимость внедрения современных технологий или предпочитают выделять ресурсы для других направлений деятельности. ISP предлагают управляемые сервисы, позволяющие этим организациям пользоваться передовыми сетевыми технологиям и приложениями без крупных инвестиций в оборудование и поддержку.

Компании-абоненты управляемого сервиса поручают управление сетевым оборудованием и приложениями поставщику услуг в соответствии с условиями соглашения об уровне обслуживания (SLA). Некоторые управляемые сервисы одновременно являются размещаемыми: приложения физически находятся на объектах сервис-провайдера, а не у клиента. 

Различные схемы отношений между ISP и клиентами проиллюстрированы в следующих сценариях..

Сценарий 1. Собственное сетевое оборудование и сервисы клиента находятся целиком в его собственности и ведении. Этим клиентам от ISP требуется только надежное соединение с Интернетом.

Сценарий 2. ISP предоставляет клиенту соединение с Интернетом, но, кроме того, также владеет оборудованием на объекте клиента и управляет работой этого оборудования. ISP отвечает за настройку, обслуживание и администрирование оборудования по поручению клиента. Клиент отвечает за контроль состояния сети и приложений и получает регулярные сообщения о параметрах работы сети.

Сценарий 3 Сетевое оборудование находится в собственности клиента, но бизнес-приложения размещаются у ISP. Серверы, на которых работают эти приложения, в данном случае также находятся на объектах ISP. Эти серверы могут принадлежать клиенту или поставщику услуг Интернета, но их обслуживание осуществляет поставщик услуг Интернета. Серверы обычно размещаются на фермах серверов в центре управления сетью ISP и подключаются к сети ISP через высокоскоростной коммутатор.



Создание новых сервисов может быть сопряжено с некоторыми сложностями. Со стороны ISP необходимо не только четкое понимание потребностей клиентов, но и наличие необходимых возможностей и ресурсов для реагирования на эти потребности. С усложнением бизнес- и интернет-приложений все больше клиентов полагается на реализацию или сопровождение сервисов поставщиком услуг Интернета. 

ISP предоставляют сервисы клиентам на платной основе и гарантируют уровень обслуживания в SLA. Для соответствия ожиданиям сервисы, предлагаемые ISP, должны быть надежными и постоянно доступными для использования.

Надежность

Надежность можно рассматривать в терминах двух критериев: среднего времени наработки на отказ (MTBF) и средней продолжительности восстановления (MTTR). Изготовители оборудования определяют показатель MTBF по результатам производственных испытаний. Мерой надежности оборудования является отказоустойчивость: чем больше величина MTBF, тем выше отказоустойчивость. Продолжительность ремонта устанавливается в соответствии с гарантийными условиями или соглашениями об обслуживании.

Недоступность сети или сервисов в результате отказа оборудования отрицательно влияет на способность ISP выполнять условия SLA. Во избежание этого поставщик услуг Интернета может заключить дорогостоящие соглашения об обслуживании критически важного оборудования, гарантирующие оперативное принятие мер изготовителем или поставщиком. ISP также может приобрести дополнительное оборудование и сформировать резерв запасных частей на объекте. 

Доступность

Доступность обычно определяется как процент времени, в течение которого ресурс доступен. При идеальном коэффициенте доступности, равном 100%, система никогда не выходит из эксплуатации и не перестает реагировать на обращения. Для телефонной связи ожидаемый коэффициент доступности составляет 99,999%. Этот стандарт доступности называется "пять девяток". Допустимое время простоев при нем не превышает 0,001%. Поскольку ISP предлагают подобные сервисы для таких критически важных бизнес-применений, как IP-телефония и крупномасштабная розничная торговля, сервисы должны отвечать наиболее жестким требованиям клиентов. Поставщики услуг Интернета гарантируют доступность, активно укрепляя сетевые устройства и серверы с использованием технологий, предназначенных для повышения доступности. В избыточных конфигурациях при отказе одного устройства его функции автоматически передаются другому.


Сегодня клиенты ISP используют мобильные телефоны как телевизоры, ПК – как телефоны, а телевизоры – как интерактивные игровые станции с множеством различных возможностей для досуга. С развитием сетевых сервисов поставщики услуг Интернета вынуждены учитывать меняющиеся интересы клиентов. Конвергентные IP-сети позволяют предоставлять все сервисы по одной общей сети. 

Чтобы осуществлять поддержку нескольких пользовательских приложений, использующих TCP/IP для доставки данных, сотрудники ISP должны быть знакомы с принципами работы протоколов TCP/IP. 

Серверы ISP должны поддерживать несколько приложений, используемых различными клиентами. Для этого приложения должны использовать функции, предоставляемые двумя транспортными протоколами TCP/IP: TCP и UDP. Размещаемые приложения, используемые совместно, такие как веб-серверы и серверы электронной почты, также зависят от базовых протоколов TCP/IP в свете надежной доставки данных. Кроме того, все IP-сервисы опираются на использование серверов доменных имен, размещаемых у ISP, для привязки IP-адресации и URL-адресов, используемых пользователями для доступа к сервисам.


Клиенты и серверы осуществляют обмен информацией посредством определенных протоколов и стандартов IP. Протоколы TCP/IP могут быть представлены в виде четырехуровневой модели. Многие из основных сервисов, предоставляемых клиентам ISP, зависят от протоколов прикладного и транспортного уровней модели TCP/IP.

Протоколы прикладного уровня

Протоколы прикладного уровня определяют форматы и управляющие данные, необходимые для большинства распространенных функций обмена данными через Интернет. К подобным протоколам TCP/IP относятся:

служба доменных имен (DNS) — используется для преобразования имен Интернет-ресурсов в IP-адреса; 
протокол передачи гипертекста (HTTP) — используется для передачи веб-страниц из Интернета;
упрощенный протокол передачи почты (SMTP) – используется для передачи почтовых сообщений и вложений;
Telnet, — протокол эмуляции терминала, используется для предоставления удаленного доступа к серверам и сетевым устройствам;
протокол передачи файлов (FTP) — используется для интерактивного обмена файлами между системами.


Протоколы транспортного уровня

К различным типам данных могут предъявляться особые требования. Для некоторых приложений необходимо, чтобы сегменты передаваемых данных поступали в строго определенной последовательности, в которой они могут быть успешно обработаны. В других случаях для использования данных сначала необходимо принять их полностью. Иногда для приложения может быть допустима потеря незначительной части данных во время передачи по сети. 

В сегодняшних конвергентных сетях приложения с существенно различными требованиями к транспортному протоколу могут обмениваться данными в одной сети. Для различных протоколов транспортного уровня предусмотрены специальные правила, позволяющие устройствам учитывать различные требования к обработке данных.

Кроме того, многообразие приложений, обменивающихся данными по сети, изолировано от нижних уровней сети, задача которых – доставлять данные устройствам. Задача доставки данных требуемому приложению возложена на транспортный уровень.

Два основных протокола транспортного уровня — TCP и UDP.


Модели TCP/IP и OSI помимо многочисленных сходств имеют ряд различий. 

Сходства:

наглядное деление на уровни, отражающее взаимодействие протоколов и служб;
сопоставимые транспортные и сетевые уровни;
использование в задачах взаимодействия сетевых протоколов.


Различия: 

в модели OSI функции прикладного уровня TCP/IP поделены между несколькими различными уровнями. Все три верхних уровня модели OSI представляют те функции, которые в модели TCP/IP возложены на прикладной уровень;
в семействе протоколов TCP/IP не указываются протоколы для физического соединения сетей. Два нижних уровня модели OSI связаны с доступом к физической сети и доставкой двоичных данных между узлами в локальной сети. 


Модель TCP/IP основана на фактически разработанных протоколах и стандартах, а модель OSI представляет собой лишь теоретическое руководство по принципам взаимодействия протоколов.


Различные приложения имеют разные потребности. На транспортном уровне существует два протокола TCP/IP: TCP и UDP. 

TCP

TCP — надежный протокол с гарантированной доставкой. В TCP определены методы, используемые узлами для подтверждения получения пакетов, и требуется, чтобы исходный узел повторно отправлял пакеты, получение которых не было подтверждено. Протоколы TCP также предусматривают механизм обмена сообщениями между узлом-отправителем и узлом-получателем для установления сеанса связи. TCP принято сравнивать со сквозным каналом или постоянным соединением между узлами. Таким образом, TCP является протоколом с установлением соединения.

TCP связан с некоторыми накладными расходами на учет отдельных сеансов связи между всеми парами узлов и на обработку подтверждений и запросов повторной передачи. В ряде случаев задержки, обусловленные этими накладными расходами, неприемлемы для приложений. Для таких приложений более подходящим является протокол UDP.

UDP

UDP – очень простой, без установления соединения, протокол. Его преимуществом является доставка данных с низкими накладными расходами. UDP является протоколом транспортного уровня с негарантированной доставкой, так как он не обеспечивает проверку ошибок и не позволяет гарантированно обеспечить доставку или управление трафиком. Поскольку UDP – протокол транспортного уровня с негарантированной доставкой, датаграммы UDP могут поступать к получателю в произвольном порядке или полностью теряться. Приложения, использующие протокол UDP, допускают потерю части данных. Примером UDP-приложения являются радиотрансляции через Интернет. Потерянный фрагмент данных только незначительно отразится на качестве широковещательной рассылки.


В таких приложениях, как базы данных, веб-обозреватели и программы для электронной почты, доставляемые данные могут быть полезны, только если они доставлены получателю в своем исходном состоянии. Результатом потери части данных станут поврежденные или нечитаемые сообщения. При разработке этих приложений выбирается надежный протокол транспортного уровня. Дополнительная нагрузка на сеть, обусловленная реализацией требований надежности, считается приемлемой в интересах обеспечения устойчивой связи.

Протокол выбирается в зависимости от характера данных, которые пересылает приложение. Например, для сообщений электронной почты требуется подтверждение доставки, и потому используется протокол TCP. Клиент электронной почты отправляет сообщение по протоколу SMTP в виде потока байт до транспортного уровня. На транспортном уровне функции TCP делят поток на сегменты.

Байты (октеты) в каждом сегменте получают уникальные порядковые номера. Сегменты поступают на уровень межсетевого протокола (IP), где каждый сегмент помещается в пакет для передачи. Этот процесс называется инкапсуляцией. Со стороны получателя обработка происходит в обратном порядке: пакеты деинкапсулируются, вложенные в них сегменты передаются процессу TCP, который восстанавливает из сегментов поток байт, передавая его приложению – серверу электронной почты.


Прежде чем использовать TCP-соединение для обмена данными, два узла должны установить сеанс путем обмена сообщениями. Этот процесс происходит в три этапа.

На первом этапе узел-отправитель отправляет специальное сообщение SYN, которое открывает процесс установления сеанса TCP. Это сообщение служит двум целям:
указывает, что узел-отправитель намерен установить сеанс с узлом-получателем для отправки данных;
синхронизирует порядковые номера TCP между двумя узлами для того, чтобы каждый узел мог следить за отправляемыми и получаемыми фрагментами во время сеанса связи.


На втором этапе узел-получатель в ответ на сообщение SYN отправляет подтверждение синхронизации — сообщение SYN-ACK.

На последнем этапе, узел-отправитель получает SYN-ACK и возвращает сообщение ACK, завершая установление сеанса. После этого сегменты данных могут передаваться обычным образом.

Этот обмен сообщениями SYN, SYN-ACK и ACK между процессами TCP называется трехэтапным согласованием.


Когда узел отправляет сегменты сообщения узлу-получателю по протоколу TCP, процесс TCP на исходном узле запускает таймер. Таймер отсчитывает достаточное время для доставки сообщения узлу-получателю и получения подтверждения. Если за выделенное время узел-отправитель не получил подтверждения от адресата, срабатывает таймер, и источник считает сообщение утерянным. После этого часть сообщения, получение которой не было подтверждено, отправляется повторно.

В дополнение к механизмам подтверждения и повторной отправки протокол TCP также предусматривает процедуру повторной сборки сообщений на узле-получателе. Каждый сегмент TCP содержит порядковый номер. На узле-получателе процесс TCP хранит полученные сегменты в буфере TCP. Анализируя порядковые номера сегментов, процесс TCP следит за отсутствием разрывов в получаемых данных. Если данные поступают в искаженном порядке, процесс TCP может переупорядочить фрагменты в случае необходимости.


UDP – очень простой протокол. Поскольку в UDP отсутствует понятие соединения и не предусмотрены сложные механизмы повторной отправки, упорядочивания и квитирования, свойственные TCP, протокол UDP характеризуется существенно меньшими накладными расходами.

UDP часто называют ненадежным протоколом доставки, поскольку он не дает гарантии получения сообщения узлом-получателем. Из этого не следует, что приложения, использующие UDP, ненадежны. Это лишь означает, что функции обеспечения надежности не реализуются протоколом транспортного уровня и должны быть реализованы на других уровнях, где они требуются.

Несмотря на то, что UDP-трафик обычно составляет небольшую долю трафика в сети, UDP используется следующими важными протоколами прикладного уровня:

служба доменных имен (DNS);
упрощенный протокол управления сетью (SNMP);
протокол динамической настройки узла (DHCP);
протокол маршрутной информации (RIP);
упрощенный протокол передачи файлов (TFTP);
онлайн-игры.



Основная разница между протоколами TCP и UDP состоит в наборе функций, который содержит каждый из протоколов, а также в количестве накладных расходов при передаче данных. Просмотр заголовков пакетов каждого из протоколов — простейший способ изучения разницы между ними.

Каждый сегмент данных TCP содержит 20 дополнительных байт в заголовке пакета, в которой инкапсулированы данные уровня приложений. Это приводит к дополнительным накладным расходам, которые необходимы для поддержки механизма защиты от ошибок при передаче данных, который встроен в протокол TCP. 

Фрагменты данных в протоколе UDP называются датаграммами. Данные датаграммы отправляются без каких-либо гарантий на доставку, что требует только 8 дополнительных байтов в заголовке.


Задача управления несколькими одновременными процессами пересылки данных решается на транспортном уровне. Сетевые службы TCP и UDP следят за различными приложениями, обменивающимися данными через сеть. Чтобы иметь возможность различать сегменты и датаграммы отдельных приложений, в протоколах TCP и UDP предусмотрены поля заголовка, однозначно идентифицирующие приложения в ходе обмена данными.

В заголовке каждого сегмента или датаграммы указываются порты источника и адресата. Номера порта присваиваются различными способами в зависимости от того, является ли сообщение запросом или откликом. Когда приложение-клиент посылает запрос приложению-серверу, порт адресата в заголовке представляет собой номер порта, используемого приложением на сервере. Например, веб-обозреватель при обращении к веб-серверу использует протокол TCP и номер порта 80, поскольку порт TCP 80 по умолчанию выделен для веб-серверов. Многим распространенным приложениям присвоены номера портов по умолчанию. Серверы электронной почты, использующие протокол SMTP, обычно используют TCP-порт 25.

По мере поступления сегментов для определенного порта протокол TCP или UDP помещает эти сегменты в соответствующую очередь. Например, приложение выполняет запрос по протоколу HTTP, процесс TCP на веб-сервере помещает поступающие сегменты в очередь веб-сервера. Затем эти сегменты передаются HTTP-приложению с той скоростью, с которой приложение успевает их принимать. 

Сегменты, в которых указан порт 25, будут помещены в отдельную очередь для сервера электронной почты. Так протоколы транспортного уровня позволяют размещать серверам ISP несколько различных приложений и сетевых служб.


В любой операции через Интернет участвуют узел-отправитель и узел-получатель, которыми обычно являются клиент и сервер. Процессы TCP на отправляющем и принимающем узлах несколько различаются. Клиенты – активная сторона: они запрашивают подключения; серверы – пассивная сторона: они ожидают и принимают подключения. 

Процессам серверов обычно статически назначаются известные номера портов от 0 до 1023. Известные номера портов позволяют клиентским приложениям правильно выбирать порт адресата при обращении к сетевой службе. 

Клиентам также необходимы номера порта, однозначно идентифицирующие приложение - источник запроса. Номера портов источников динамически назначаются из диапазона 1024 – 65535. Такие порты играют роль обратного адреса запрашивающего приложения. Протоколы транспортного уровня отслеживают порт и приложение - источник запроса, чтобы отклик мог быть возвращен соответствующему приложению.


Совокупность номера порта на транспортном уровне и IP-адреса узла на сетевом уровне однозначно идентифицирует конкретный процесс приложения на конкретном физическом узле. Эта совокупность параметров называется сокетом. Пара сокетов, состоящая из IP-адресов и номеров портов источника и адресата, также уникальна и идентифицирует конкретную операцию обмена данными между двумя узлами.

Клиентский сокет имеет следующий вид (7151 — номер порта источника):

192.168.1.1:7151 

Сокет веб-сервера может иметь следующий вид:

10.10.10.101:80

Два сокета образуют пару: 

192.168.1.1:7151, 10.10.10.101:80

В результате создания сокетов становятся известны конечные точки соединения, и данные могут передаваться между приложениями на двух узлах. Сокеты позволяют различать несколько процессов, выполняющихся на клиенте, а также распознавать различные подключения к процессу сервера. 


Для обмена данными между двумя узлами по Интернету необходимо, чтобы каждый узел имел действительный IP-адрес. Однако численные IP-адреса, особенно сотни тысяч адресов серверов, доступных в Интернете, плохо подходят для запоминания человеком. Для использования людьми более практичны доменные имена, такие как cisco.com. В сетях предусмотрены системы именования, которые преобразуют имена ресурсов, пригодные для восприятия людьми, в машиночитаемые IP-адреса, которые могут использоваться для обмена данными по сети.

Пользователи, часто не подозревая этого, сталкиваются с системами именования ресурсов каждый день, посещая веб-сайты или отправляя сообщения по электронной почте. Системы именования ресурсов работают скрытно от пользователя, но являются неотъемлемой частью сетевой среды. Например, для входа на сайт Cisco Systems, Inc. следует открыть обозреватель и ввести http://www.cisco.com в поле адреса. Адрес www.cisco.com — сетевое имя, связанное с конкретным IP-адресом. Если набрать в обозревателе IP-адрес сервера, откроется та же самая веб-страница.

Системы именования сетевых ресурсов созданы для удобства пользователей и позволяют не запоминать сложные IP-адреса интересных им ресурсов.


На заре Интернета имена узлов и их IP-адреса были собраны в единственном файле HOSTS на сервере с централизованным управлением. 

Центральный файл HOSTS содержал привязку имен узлов к IP-адресам всех устройств, подключенных к Интернету в то время. Каждый пользователь мог загрузить файл HOSTS и использовать его для преобразования имен узлов в сети. При указании имени сетевого узла узел-отправитель обращался к загруженному файлу HOSTS и получал IP-адрес целевого устройства. 

На первых порах файла HOSTS было достаточно для описания ограниченного числа компьютеров, подключенных к Интернету. По мере роста сети стало расти и число узлов, нуждавшихся в преобразовании имен в IP-адреса. Регулярно обновлять файл HOSTS стало невозможно, и в итоге был предложен новый способ преобразования имен узлов в IP-адреса. Служба доменных имен (DNS) была создана специально для преобразования доменных имен в адреса. В DNS используется распределенное множество серверов для преобразования имен, связанных с численными адресами. Единый централизованный файл HOSTS перестал быть необходим.

Однако файл HOSTS все еще присутствует практически на всех компьютерах. Локальный файл HOSTS создается при установке TCP/IP на физическом узле. В процессе преобразования адреса в имя на компьютере файл HOSTS сканируется даже до обращения к более мощной службе DNS. Локальный файл HOSTS можно использовать для диагностики сбоев и для замены записей, настроенных на DNS -сервере.


Служба доменных имен (DNS) представляет собой систему разрешения имен узлов без недостатков, которые были свойственны файлу HOSTS. DNS имеет иерархическую структуру. Распределенная база данных привязок имен узлов к IP-адресам распространяется по множеству DNS-серверов во всем мире. В этом состоит отличие от файла HOSTS, все привязки в котором редактировались централизованно на одном сервере. 

Иерархическая структура DNS строится по именам доменов и подразделяется на небольшие управляемые зоны. У каждого DNS-сервера имеется отдельный файл с базой данных. Сервер управляет привязкой имен к IP-адресам только в небольшой части общей структуры DNS. Получив запрос на преобразование имени, не относящегося к собственной зоне DNS, DNS-сервер пересылает этот запрос на обработку другому DNS-серверу в соответствующей зоне. 

Система DNS является масштабируемой службой разрешения имен узлов, которая распределена по множеству серверов сети.


Система DNS состоит из трех компонентов:

Записи ресурсов и пространство доменных имен 

Запись ресурса — это запись в файле базы данных зоны DNS. Она идентифицирует тип узла, IP-адрес узла и параметры базы данных DNS. 

Пространство доменных имен – иерархическая структура именования, используемая при организации записей ресурсов. Пространство доменных имен состоит из различных доменов (групп) и записей ресурсов в каждой группе. 

DNS-серверы 

Эти серверы отвечают за ведение баз данных, в которых хранятся записи ресурсов и сведения о структуре пространства доменных имен. DNS-серверы начинают обработку запросов клиентов с поиска в пространстве доменных имен и записях ресурсов, хранящихся в файлах базы данных зоны. Если DNS-сервер не находит требуемой информации в базе данных зоны DNS, сервер обращается к дополнительным предопределенным DNS-серверам для обработки запроса преобразования имени в IP-адрес.

Преобразователи 

Преобразователь (resolver) – это приложение или функция операционной системы, выполняемая на DNS-клиентах и DNS-серверах. Если в запросе используется доменное имя, преобразователь обращается к DNS-серверу и преобразует это имя в IP-адрес. Преобразователь реализуется на стороне DNS-клиента и служит для создания запроса имени DNS, отсылаемого на DNS-сервер. Преобразователи также размещаются на DNS-серверах. Если DNS-сервер не располагает данными о запрашиваемой привязке имени к IP-адресу, он с помощью преобразователя передает запрос другим DNS-серверам.


В системе DNS используется иерархическая структура преобразования имен. Эта иерархия выглядит как перевернутое дерево с корнем наверху и ветвями, растущими вниз. 

Во главе иерархии находятся корневые серверы, которые располагают записями, позволяющими обратиться к серверам доменов верхнего уровня, которые в свою очередь содержат записи, указывающие на серверы доменов второго уровня. 

Различные домены верхнего уровня представляют либо определенный вид организации, либо страну происхождения. Примеры доменов верхнего уровня:

.au — Австралия 

.co — Колумбия 

.com — коммерческие или промышленные предприятия

.jp — Япония

.org — некоммерческие организации

Под доменами верхнего уровня находятся домены второго уровня, а под ними расположены домены более низких уровней.


Корневой DNS-сервер может не располагать точным адресом узла H1.cisco.com, но он имеет запись о домене верхнего уровня .com. Аналогично, на серверах домена .com также может отсутствовать запись узла H1.cisco.com, но обязательно будет иметься запись домена cisco.com. DNS-серверы в домене cisco.com имеют запись для узла H1.cisco.com и способны преобразовать адрес.

Именно эта иерархия децентрализованных серверов в системе DNS отвечает за хранение и ведение записей ресурсов. Записи содержат имена доменов, которые может преобразовать сервер, а также ссылки на альтернативные серверы, которые могут также обрабатывать запросы. 

Имя H1.cisco.com называется полным доменными именем (FQDN) или DNS-именем, поскольку оно точно характеризует конкретный компьютер в иерархическом пространстве имен DNS.


Если узлу требуется преобразовать имя DNS, он с помощью преобразователя обращается к DNS-серверу в собственном домене. Преобразователю известен IP-адрес DNS-сервера, к которому требуется обратиться — этот адрес был предварительно настроен в составе конфигурации IP узла. 

Получив запрос от клиентского преобразователя, DNS-сервер сначала проверяет локальные записи DNS, хранящиеся в его кэше. Если серверу не удается преобразовать имя в IP-адрес локально, сервер с помощью собственного преобразователя пересылает запрос другому DNS-серверу, адрес которого был предварительно настроен. Этот процесс продолжается до тех пор, пока не будет получен IP-адрес. Результат преобразования имени возвращается исходному DNS-серверу, который использует его для ответа на изначально отправленный запрос. 

В процессе преобразования имени DNS каждый DNS-сервера кэширует, или запоминает, получаемые им ответы на запросы. Кэширование информации позволяет DNS-серверу быстрее отвечать на последующие запросы преобразователя, проверяя наличие записей в кэше перед отправкой запросов на другие DNS-серверы.

DNS-серверы кэшируют информацию в течение ограниченного времени. Срок нахождения записей в кэше DNS-сервера должен быть ограничен, поскольку записи имен узлов могут время от времени изменяться. Наличие устаревшей информации в кэше DNS-сервера может привести к тому, что клиентам будут сообщаться неверные IP-адреса компьютеров.


В старых реализациях DNS все записи ресурсов для узлов добавлялись и обновлялись вручную. Однако рост сетей привел к необходимости следить за все большим числом узлов, и ручное управление записями ресурсов перестало быть практичным. Кроме того, при использовании DHCP требуется еще более частое обновление записей ресурсов в зоне DNS. Для упрощения обновления информации о зонах в протокол DNS был добавлен механизм динамического обновления, позволяющий системам обновлять свои записи в зоне DNS.

Динамические обновления дают возможность компьютерам DNS-клиентов регистрировать и динамически обновлять свои записи ресурсов на DNS-сервере при каждом изменении. Для использования динамического обновления DNS-сервер и DNS-клиенты (или DHCP-сервер) должны поддерживать функцию динамического обновления. Динамические обновления на DNS-сервере по умолчанию отключены и должны быть включены в явном виде. Поддержка динамических обновлений имеется в текущих версиях операционных систем.


DNS-серверы ведут базу данных зон для определенной части общей иерархии DNS. Записи ресурса хранятся в соответствующей зоне DNS.

Зоны DNS могут относиться к одной из двух категорий: зоны просмотра вперед и зоны просмотра назад. Другой способ классификации делит зоны просмотра вперед и назад на основные и дополнительные. Зоны различных типов выполняют разные функции в общей инфраструктуре DNS.

Зоны просмотра вперед

Зона просмотра вперед — стандартная зона DNS, используемая для преобразования полных доменных имен в IP-адреса. Этот тип зон наиболее часто используется при работе в Интернете. Для соединения с указанным в обозревателе адресом веб-сайта, например www.cisco.com, локальному DNS-серверу отсылается рекурсивный запрос для преобразования имени сайта в IP-адрес.

Зоны просмотра назад

Зона просмотра назад — особый тип зоны, позволяющий преобразовывать IP-адрес в полное доменное имя. Некоторые приложения используют обратный поиск для идентификации систем, которые активно с ними взаимодействуют. В Интернете существует полная DNS-иерархия обратного поиска, позволяющая преобразовать любой публично зарегистрированный IP-адрес. Во многих частных сетях реализованы собственные локальные зоны просмотра назад для идентификации компьютерных систем в пределах частной сети. Для обратного поиска имен по IP-адресам можно использовать команду ping -a [ip_адрес].

Основные зоны

Основной зоной DNS называется зона, которая может быть изменена. Когда необходимо добавить новую запись ресурса либо обновить или удалить существующую запись, требуется изменить основную зону DNS. Если на DNS-сервере есть основная зона, говорят, что такой сервер является полномочным для этой зоны DNS, так как в нем содержится ответ на DNS-запросы записей в данной зоне. Для заданного домена DNS может быть только одна основная зона DNS, однако могут быть основные зоны просмотра вперед или назад.

Дополнительные зоны

Дополнительная зона является резервной зоной только для чтения, которая поддерживается на DNS-сервере, отличном от того, на котором находится основная зона. Дополнительная зона является копией основной зоны, которая с помощью передачи зон получает от первичного сервера обновленную информацию о зоне. Поскольку дополнительная зона является копией зоны только для чтения, все обновления записей необходимо выполнить в соответствующей основной зоне. Дополнительные зоны могут быть для зон просмотра вперед или назад. В зависимости от требований к доступности зоны DNS может быть много дополнительных зон DNS, распределенных на нескольких DNS-серверах.


Существует несколько способов реализации DNS-решений.

Использование DNS-серверов ISP

ISP обычно применяют только кэширующие DNS-серверы. Эти серверы настроены так, чтобы все запросы для преобразования имен в адреса передавались корневым серверам в Интернете. Результаты кэшируются и используются при ответе на последующие запросы. Поскольку ISP имеют много клиентов, число кэшируемых запросов DNS будет высоким. Большой кэш снижает нагрузку на сеть за счет того, что пересылать запросы DNS корневым серверам требуется реже. Серверы, работающие только в режиме кэширования, не работают с официальной информацией зоны, т.е. их база данных не является основным источником данных о привязке имен к IP-адресам. 

Использование локальных DNS-серверов

Предприятие может поддерживать собственный DNS-сервер. Настройки клиентских компьютеров в сети будут указывать на локальный DNS-сервер, а не на DNS-сервер ISP. На локальном DNS-сервере могут содержаться официальные записи зоны для привязки имен к IP-адресам узлов в этой зоне. Те из полученных запросов, которые не могут быть обработаны DNS-сервером, передаются следующему серверу. Кэш локального сервера имеет небольшой объем по сравнению с кэшем DNS-сервера ISP, поскольку локальный DNS-сервер обрабатывает меньше запросов. 

Локальные DNS-серверы можно настроить так, чтобы запросы пересылались непосредственно корневому DNS-серверу. Однако некоторые администраторы настраивают локальный DNS-сервер на пересылку всех запросов вышестоящему DNS-серверу, например DNS-серверу ISP. Благодаря этому локальный DNS-сервер может пользоваться крупным кэшем DNS-сервера ISP, не проходя полной процедуры поиска от корневого сервера.


Потеря доступа к DNS-серверам сказывается на возможности использования внешних ресурсов. Если введенное пользователем доменное имя не удается преобразовать, ресурс становится недоступен. Поэтому организация, регистрирующая доменное имя в Интернете, должна указать не менее двух DNS-серверов. На этих серверах размещается база данных зоны DNS. Избыточная конфигурация DNS-серверов позволяет использовать для преобразования имен запасной DNS-сервер в случае отказа основного. Этот прием обеспечивает отказоустойчивость. Хотя требуются всего два сервера, при наличии ресурсов можно предусмотреть дополнительные DNS-серверы для укрепления защиты и более эффективной организации серверов. 

Несколько DNS-серверов с информацией о зоне целесообразно размещать в различных физических сетях. Например, первичные данные зоны DNS могут храниться на DNS-сервере в локальном помещении предприятия. Обычно ISP размещает дополнительный вторичный DNS-сервер у себя для гарантии отказоустойчивости. 

DNS — критически важная сетевая служба, поэтому для защиты DNS-серверов должны быть предусмотрены межсетевые экраны и другие меры безопасности. Отказ DNS не должен приводить к потере доступности других сетевых сервисов.


Помимо подключения к сети и доступа к службе DNS, предлагаемых всем клиентам, ISP предлагают ряд дополнительных сервисов, ориентированных на бизнес. Эти сервисы реализуются программным обеспечением, установленным на серверах. В их числе: 

размещение серверов электронной почты;
размещение веб-сайтов (веб-хостинг);
организация сайтов для электронной коммерции;
хранение и передача файлов;
форумы и веб-журналы;
потоковая передача аудио- и видеоматериалов.


Такое многообразие служб и приложений реализуется ISP на основе протоколов TCP/IP прикладного уровня. Наиболее распространенными из протоколов TCP/IP прикладного уровня являются HTTP, FTP, SMTP, POP3 и IMAP4. 

Некоторые клиенты предъявляют повышенные требования к безопасности, и для них разработаны защищенные протоколы прикладного уровня, такие как FTPS и HTTPS.


Протокол HTTP входит в состав семейства протоколов TCP/IP. Изначально он был разработан для загрузки веб-страниц с HTML-разметкой. Сейчас он используется для распределенной совместной работы с информацией. По мере развития появилось несколько версий протокола HTTP. Сейчас большинство ISP для размещения веб-сайтов использует протокол HTTP версии 1.1. В отличие от прежних версий, эта версия позволяет организовать несколько сайтов на одном веб-сервере и использовать постоянные соединения для поточной обработки нескольких запросов и откликов.

Протокол HTTP использует механизм "запрос-отклик". Протокол HTTP определяет типы сообщений, отправляемых клиентом (обычно веб-обозревателем) серверу при запросе веб-страницы. В протоколе также определены типы сообщений с откликом сервера.

Несмотря на исключительную гибкость, протокол HTTP не является защищенным. Сообщения запроса передаются серверу открытым текстом, который может быть перехвачен и прочитан. Отклики от сервера, обычно представляющие собой HTML-страницы, также передаются в незашифрованном виде. 

Для защищенного двустороннего обмена данными с веб-серверами в Интернете разработана защищенная модификация протокола HTTP (HTTPS). HTTPS позволяет использовать аутентификацию и шифрование для защиты данных, пересылаемых между клиентом и сервером. HTTPS определяют дополнительные правила передачи данных между прикладным и транспортным уровнями.


При соединении с HTTP-сервером для загрузки веб-страницы местонахождение сервера и конкретного ресурса указывается универсальным идентификатором ресурса (URL). В URL содержится следующая информация: 

используемый протокол; 
имя домена сервера, к которому производится обращение;
местонахождение ресурса на сервере, например http://example.com/example1/index.htm .


Многие приложения веб-серверов позволяют указывать URL-адреса в укороченной форме. Такие адреса получили широкое распространение благодаря тому, что их проще записывать, запоминать и обмениваться ими. При использовании короткого URL-адреса указанный адрес заменяется страницей ресурса по умолчанию. Если пользователь указал URL в короткой форме, например http://example.com, пользователю фактически передается страница по умолчанию: http://example.com/example1/index.htm .


HTTP поддерживает прокси-серверы, позволяющие клиентам устанавливать соединения с другими сетевыми устройствами через посредника. Прокси-сервер – это устройство в цепочке передачи данных, которое выступает сервером по отношению к клиенту и клиентом по отношению к серверу. 

Клиент подключается к прокси-серверу и запрашивает у него ресурс, расположенный на другом сервере. Прокси-сервер подключается к указанному серверу и получает у него запрошенный ресурс, который затем возвращает клиенту. 

Прокси-сервер может кэшировать полученную страницу или ресурс в течение настраиваемого периода времени. Благодаря кэшированию клиенты в дальнейшем смогут быстрее получать доступ к веб-странице, поскольку обращаться к серверу, на котором физически находится страница, не потребуется. Прокси-серверы используются по трем причинам:

Скорость — кэширование позволяет сделать ресурсы, запрошенные одним пользователем, доступными другим пользователям, не обращаясь повторно к серверу, на котором фактически находится страница.
Безопасность — прокси-серверы способны перехватывать компьютерные вирусы и другие вредоносные объекты, не пересылая их клиентам. 
Фильтрация — прокси-серверы могут просматривать входящие HTTP-сообщения и фильтровать контент неприемлемого или непристойного содержания.



В HTTP обмен сообщениями между клиентом и сервером осуществляется открытым текстом. Такие текстовые сообщения не защищены от несанкционированного перехвата. Для защиты данных, особенно конфиденциальной информации, многие ISP предлагают защищенные веб-сервисы, использующие протокол HTTPS (HTTP с протоколом SSL для шифрования на уровне сокетов). В HTTPS используется тот же процесс "запрос-отклик", что и в HTTP, но поток данных зашифровывается посредством SSL перед передачей по сети. 

При поступлении на сервер поток данных HTTP переходит с уровня TCP на прикладной уровень сервера, где он расшифровывается посредством SSL.

При использовании HTTPS сервер способен поддерживать меньшее число одновременных соединений, чем при использовании HTTP. HTTPS создает дополнительную нагрузку и требует более длительной обработки на сервере из-за необходимости шифрования и расшифровки трафика. Чтобы поддерживать производительность сервера на требуемом уровне, протокол HTTPS следует использовать только в случае необходимости, например при обмене конфиденциальной информацией.


FTP — протокол с установлением соединения, в котором обмен данными между процессами FTP-клиента и сервера осуществляется по TCP-соединению. Реализация FTP предусматривает разделение функций между интерпретатором протоколов (PI) и процессом передачи данных (DTP). При передаче файлов PI и DTP существуют параллельно как два взаимодействующих процесса. В результате протокол FTP требует установления двух соединений между клиентом и сервером: одно соединение используется для передачи управляющей информации и команд, а второе — для непосредственной передачи содержимого файлов.

Интерпретатор протокола (PI)

PI играет роль основного управляющего соединения между FTP-клиентом и FTP-сервером. Он устанавливает TCP-соединение и передает управляющую информацию серверу. К управляющей информации относятся команды, используемые, в частности, для перемещения по иерархии каталогов, переименования и переноса файлов. Управляющее соединение, или управляющий поток, остается открытым до закрытия пользователем. Процедура подключения пользователя к FTP-серверу состоит из пяти этапов:

Шаг 1. Пользовательский PI отправляет запрос соединения серверному PI на известный порт 21. 

Шаг 2. Серверный PI возвращает отклик, и соединение считается установленным. 

Шаг 3. После открытия управляющего TCP-соединения серверный PI начинает выполнять последовательность входа в систему. 

Шаг 4. Пользователь вводит учетные данные с помощью пользовательского интерфейса и проходит аутентификацию.

Шаг 5. После этого начинается процесс передачи данных.

Процесс передачи данных

DTP — отдельная функция передачи данных. Эта функция приводится в действие только в том случае, если пользователь в явном виде запрашивает передачу файлов на FTP-сервер или с FTP-сервера. В отличие от соединения PI, которое остается открытым постоянно, соединение DTP автоматически закрывается по завершении передачи файла.


FTP поддерживает установление соединений для передачи данных в двух режимах: активном и пассивном.

Активные соединения для передачи данных

В активном соединении для передачи данных клиент инициирует запрос к серверу и открывает порт для ожидаемых данных. Непосредственный процесс передачи данных начинается после того, как сервер подключится к клиенту на этом порту.

Пассивные соединения для передачи данных

В данном случае FTP-сервер открывает произвольный порт источника (с номером выше 1023). Сервер пересылает свой IP-адрес и номер этого произвольного порта FTP-клиенту в управляющем потоке. Затем сервер ожидает подключения к нему FTP-клиента, чтобы начать передачу файла.

Поставщики услуг Интернета обычно поддерживают пассивные подключения к своим FTP-серверам. Межсетевые экраны часто не допускают установления активных FTP-соединений с узлами во внутренней сети.


Один из основных сервисов, предлагаемых ISP — размещение серверов электронной почты. Электронная почта — это набор средств для доставки, хранения и извлечения электронных сообщений в сети. Сообщения электронной почты хранятся на серверах электронной почты в базах данных. Поставщики услуг Интернета часто устанавливают у себя серверы электронной почты, содержащие учетные записи множества клиентов. 

Клиенты электронной почты для отправки и получения сообщений обращаются к серверам электронной почты. Серверы электронной почты взаимодействуют с другими серверами электронной почты для обмена сообщениями между доменами. Почтовый клиент не соединяется непосредственно с другим почтовым клиентом для отправки сообщения. Оба клиента должны доверить транспортировку сообщений серверу электронной почты. Это верно даже в том случае, если оба пользователя находятся в одном домене. 

Клиенты электронной почты отправляют сообщения на сервер, указанный в настройках приложения. Получив сообщение, сервер проверяет, присутствует ли указанный в нем домен получателя в локальной базе данных сервера. Если домен отсутствует в базе данных, сервер отправляет запрос DNS для определения сервера электронной почты в домене получателя. Как только становится известен IP-адрес сервера электронной почты получателя, сообщение пересылается на соответствующий сервер.

Электронная почта может быть реализована с использованием трех самостоятельных протоколов: SMTP, POP3 и IMAP4. Процесс прикладного уровня, пересылающий сообщения от клиента на сервер или между серверами, реализует протокол SMTP. Клиент получает сообщения с сервера с помощью одного из двух протоколов прикладного уровня: POP3 или IMAP.


Функции, реализуемые упрощенным протоколом передачи электронной почты (SMTP), обеспечивают надежную и эффективную доставку сообщений. Для нормальной работы SMTP-приложения требуются, чтобы почтовые сообщения были правильно отформатированы, а на клиенте и на сервере должны быть загружены процессы SMTP.

В формате SMTP сообщение состоит из заголовка и тела сообщения. В то время как тело сообщения может содержать текст произвольной длины, заголовок должен содержать адреса электронной почты получателя и отправителя в правильном формате. Все другие элементы заголовка являются необязательными.

Когда клиент отправляет сообщение по электронной почте, процесс SMTP клиента подключается к процессу SMTP сервера на известном порту 25. Установив соединение, клиент пытается отправить по нему сообщение серверу. Как только сервер получит сообщение, он помещает его в очередь сообщений локальной учетной записи или пересылает другому серверу, выполняя такой же процесс установления SMTP-соединения. 

Целевой сервер электронной почты в момент доставки сообщения может оказаться недоступен или перегружен. На этот случай в SMTP предусмотрено временное хранение сообщений с последующей повторной отправкой. Периодически сервер проверяет очередь сообщений и пытается отправить их повторно. Если сообщение не удается доставить в течение установленного времени, оно возвращается отправителю с уведомлением о невозможности доставки.


Одним из обязательных полей в заголовке сообщения является адрес электронной почты получателя. Адрес электронной почты состоит из имени или псевдонима учетной записи, а также имени домена почтового сервера. Пример адреса электронной почты:

poluchatel@cisco.com . 

Символ "@" разделяет в адресе имя учетной записи и имя домена сервера. При отправке сообщения на адрес poluchatel@cisco.com имя домена отправляется DNS-серверу для получения IP-адреса сервера электронной почты, обслуживающего данный домен.

При отправке сообщения на адрес poluchatel@cisco.com имя домена отправляется DNS-серверу для получения IP-адреса сервера электронной почты, обслуживающего данный домен. Серверы электронной почты в DNS помечены индикатором записи MX. Индикатор записи MX обозначает тип записи ресурса, которая хранится на сервере DNS. Получив сообщение, сервер-адресат помещает его в почтовый ящик соответствующего пользователя. Местоположение почтового ящика определяется исходя из учетной записи, указанной в первой части адреса электронной почты. В данном случае это учетная запись "recipient". Сообщение остается в почтовом ящике до тех пор, пока получатель не подключится к серверу и не заберет сообщение.

Если сервер электронной почты получает сообщение для несуществующей учетной записи, он возвращает сообщение отправителю с уведомлением о невозможности доставки.


Протокол работы с почтовым ящиком версии 3 (POP3) позволяет рабочим станциям получать сообщения электронной почты с серверов электронной почты. При использовании POP3 сообщения загружаются клиентом с сервера и удаляются на сервере.

Сетевая служба POP3 на сервере пассивно ожидает запросов подключения клиентов к TCP-порту 110. Для использования этой сетевой службы клиент запрашивает TCP-соединение с сервером. После установки соединения сервер POP3 посылает приветствие. Затем клиент и сервер POP3 обмениваются командами и откликами, пока подключение не будет закрыто или прервано. 

Так как сообщения электронной почты загружаются клиентом и удаляются с сервера, это означает, что они не хранятся централизованно. По этой причине протокол POP3 нецелесообразен в решении для малого бизнеса с централизованным резервным копированием. 

Протокол POP3 подходит ISP, поскольку он снимает с ISP ответственность за хранение большого объема данных на серверах электронной почты.


Протокол доступа к сообщениям в Интернете (IMAP4) предусматривает другой метод извлечения почтовых сообщений с сервера. Его отличие от POP3 состоит в том, что при подключении пользователя к серверу IMAP в клиентское приложение загружаются только копии сообщений. Исходные сообщения остаются на сервере до тех пор, пока они не будут удалены вручную. Пользователи просматривают копии сообщений в клиентах электронной почты. 

Пользователи могут организовать на сервере иерархическую файловую структуру для упорядочения и хранения почты. Эта структура также дублируется клиентом электронной почты. Если пользователь решает удалить сообщение, оно синхронно удаляется из клиента и с сервера. 

Малым и средним предприятиям протокол IMAP предоставляет множество преимуществ. IMAP обеспечивает долгосрочное хранение почтовых сообщений на серверах электронной почты и их централизованное резервное копирование. Он также позволяет сотрудникам работать с сообщениями из любого места, используя различные устройства и клиентское ПО. Привычная для пользователя структура папок почтового ящика не зависит от того, каким образом пользователь обращается к почтовому ящику. 

Для ISP протокол IMAP, возможно, не является лучшим выбором. Могут потребоваться существенные затраты на приобретение и обслуживание крупных дисковых хранилищ для большого объема корреспонденции. Кроме того, если клиенты требуют регулярного резервного копирования своих почтовых ящиков, затраты ISP возрастут еще сильнее.


8 глава

Любое активное соединение с Интернетом делает компьютер потенциальной жертвой неправомерных действий. Вредоносное ПО — компьютерные вирусы, черви и шпионское ПО — может проникнуть на компьютер с электронной почты или может быть загружено с веб-сайта. Источниками проблем, вызывающих крупномасштабные отказы сетей поставщиков услуг, часто оказываются незащищенные настольные рабочие станции у клиентов поставщика. 

Если у поставщика услуг Интернета размещены веб-сайты или ресурсы электронной коммерции, на его серверах могут находиться конфиденциальные файлы с финансовыми данными или информацией о банковских счетах. Поставщик услуг Интернета должен обеспечить защиту хранящихся у него данных клиентов. 

Поставщики услуг Интернета играют весьма важную роль, предоставляя защиту абонентам домашнего и делового сектора. Предоставляемые ими средства безопасности также защищают серверы, расположенные в помещениях поставщика услуг. Клиенты часто обращаются к поставщикам услуг Интернета за помощью в укреплении безопасности локальных сетей и рабочих станций для защиты от несанкционированного вмешательства.

Существует множество мер, которые могут быть предприняты на локальных объектах и оборудовании ISP для защиты операционных систем, всех данных, хранящихся в системах, а также любых данных, пересылаемых между системами.


Если ISP предоставляет клиентам услуги размещения веб-серверов или электронной почты, то важно, чтобы ISP мог защитить хранящуюся информацию от атаки злоумышленников. Эта задача может быть осложнена тем, что поставщик услуг может использовать для хранения данных, принадлежащих нескольким клиентам, один сервер или серверный кластер.

Для предотвращения атак на уязвимые участки систем многие ISP предоставляют своим клиентам управляемые службы безопасности для настольных систем. Важная часть работы специалиста по технической поддержке на местах – защита клиентских компьютеров с использованием передовых практических рекомендаций. Специалист поставщика услуг Интернета по технической поддержке может предлагать следующие услуги в области безопасности:

помощь пользователям в составлении защищенных паролей для устройств;
защита приложений путем исправлений и обновлений ПО;
удаление лишних приложений и сетевых служб, создающих уязвимости;
предоставление доступа к приложениям и сетевым службам только тем пользователям, которым эти ресурсы необходимы;
настройка межсетевых экранов и антивирусов на настольных компьютерах;
сканирование ПО и сетевых служб для определения уязвимостей, которые должны быть устранены специалистом.



Весьма важно, чтобы поставщик услуг Интернета располагал средствами защиты информации своих клиентов от атаки злоумышленников. Среди общих мер и методик укрепления безопасности можно отметить следующие:

шифрование данных на жестких дисках серверов;
разграничение доступа к файлам и папкам на основе системы привилегий;
разрешение или запрет доступа конкретным учетным записям и группам пользователей;
разделение прав пользователей, которым разрешен доступ, на несколько уровней в зависимости от учетной записи или принадлежности к группе.


Одной из важных практических методик при присвоении прав доступа к файлам и папкам является принцип наименьших привилегий. Он предписывает предоставлять пользователю доступ только к тем ресурсам, которые необходимы ему для работы. Этот принцип также означает, что полномочия пользователя должны быть ограничены соответствующим уровнем, например, доступом только на чтение или только на запись. 


Аутентификация, авторизация и учет (AAA) — это три меры, с помощью которых системные администраторы могут препятствовать доступу злоумышленников к сети. 

Аутентификация означает проверку подлинности пользователей с помощью имени пользователя и пароля. Базы данных аутентификации обычно хранятся на серверах с использованием протоколов RADIUS или TACACS.

Авторизация предоставляет пользователю право на использование ограниченного набора ресурсов и на выполнение указанных задач. 

Учет позволяет отслеживать используемые приложения и продолжительность работы с ними. 

Например, авторизация подтверждает, что пользователь "student" существует, и разрешает ему вход в систему. Службы авторизации сообщают, что пользователь "student" может иметь доступ к узлу "serverXYZ" по протоколу Telnet. Учет регистрирует дату сеанса и продолжительность сеанса пользователя "student" с узлом "serverXYZ" — 15 минут.

Набор процедур AAA можно использовать с различными типами сетевых подключений. Для AAA необходима база данных, в которой будет вестись учет реквизитов, полномочий и статистики по учетным записям. Локальная аутентификация – простейшая форма AAA, в которой требуется вести только локальную базу данных на шлюзовом маршрутизаторе. Если аутентификация AAA применяется организацией для значительного числа пользователей, организации потребуется предусмотреть отдельный сервер с базой данных.


Кроме перечисленного ранее, для поставщика услуг Интернета актуальна задача защиты данных, обмен которыми осуществляется с серверами поставщика. По умолчанию данные передаются по сети открытым текстом, в незашифрованном виде. Такие данные в процессе передачи могут быть перехвачены злоумышленниками. Перехват транзитных данных может сделать бесполезными все остальные меры безопасности, применяемые в системах. Для защиты от перехвата существует ряд приемов.

Шифрование

Шифрование данных — это процесс кодирования, который защищает обмен данными между клиентом и сервером. Для многих протоколов передачи данных существуют защищенные аналоги, в которых используется шифрование. На практике рекомендуется использовать защищенную версию протокола всегда, когда между двумя компьютерами передаются конфиденциальные данные. 

Например, если для входа на веб-сайт электронной коммерции пользователь должен указывать имя пользователя и пароль, необходим защищенный протокол, чтобы защитить регистрационные данные пользователя от перехвата. Кроме того, шифрование требуется при передаче пользователями сведений о банковских счетах и кредитных картах. 

При обычном посещении публичных веб-сайтов защищать передаваемые данные не требуется. Использование защищенного протокола в этой ситуации приводит к увеличению время отклика и затрат вычислительных ресурсов.


Приложения используют множество сетевых протоколов. Некоторые из этих протоколов имеют защищенные версии.

Веб-серверы по умолчанию используют протокол HTTP. Этот протокол не является защищенным, и переход на протокол HTTPS, который предусматривает использование протокола SSL, позволяет защитить передаваемые данные. 
Серверы электронной почты используют различные протоколы, включая SMTP, POP3 и IMAP. При входе пользователя на сервер электронной почты протоколы POP3 и IMAP запрашивают имя пользователя и пароль для аутентификации. По умолчанию эти данные передаются в незащищенном виде и могут быть перехвачены. Для защиты POP3 можно использовать протокол защиты на уровне сокетов (SSL). Защита SMTP и IMAP4 достигается использованием защитных протоколов SSL или TLS (безопасность транспортного уровня).
Telnet-серверы — удаленное подключение к маршрутизатору или коммутатору Cisco по протоколу Telnet является незащищенным. Реквизиты аутентификации и команды, набираемые пользователем, передаются по протоколу Telnet в виде открытого текста. Для аутентификации и работы с устройством в защищенном сеансе необходимо использовать протокол SSH.
FTP-серверы используют протокол FTP, который также не является защищенным. При входе на FTP-сервер учетные данные передаются открытым текстом. FTP позволяет использовать SSL для защищенного обмена информацией аутентификации и данными. Существуют варианты FTP, использующие SSH.
Файловые серверы используют различные протоколы в зависимости от используемой операционной системы. Чаще всего протоколы файловых серверов не предусматривают защищенных модификаций.


Для сетевого уровня существует отдельный протокол безопасности на уровне IP (IPSec), который можно использовать для защиты любых протоколов прикладного уровня, применяемых для обмена данными. К ним относятся протоколы файловых серверов, не имеющие защищенных версий.


В дополнение к AAA и шифрованию данных ISP должен предусмотреть защиту от различных видов атак. ISP особенно уязвимы для атак, вызывающих отказ в обслуживании (DoS), поскольку ISP может обслуживать большое количество веб-сайтов для множества доменных имен систем, использующих или не использующих процедуру аутентификации. Сегодня принято различать три вида атак, вызывающих отказ в обслуживании.

DoS

Стандартные атаки с отказом в обслуживании (DoS) имеют место, когда сервер или сервис подвергаются атаке, препятствующей доступу обычных пользователей. Примерами стандартных DoS-атак являются: атака SYN, насыщение эхо-запросами, LAND-атака, атаки с израсходованием полосы пропускания и атаки с переполнением буфера.

DDoS

Распределенная атака, вызывающая отказ в обслуживании (DDoS), имеет место, когда одна цель атакуется с нескольких компьютеров. При этом злоумышленник имеет несанкционированный доступ к множеству компьютеров, обычно подключенных к Интернету, таким образом дистанционно управляя атакой. В DDoS-атаках обычно применяются те же методы, что и в DoS-атаках, отличие DDoS-атак состоит в том, что они осуществляются одновременно с множества компьютеров.

DRDoS

Распределенная рефлективная DoS-атака (DRDoS) имеет место, когда злоумышленник посылает фиктивный (подделанный) запрос на несколько компьютеров в Интернете, изменив адрес источника на адрес компьютера-цели. Системы, получившие этот запрос, отправляют отклики. Отклики всех систем на запрос направляются компьютеру, являющемуся целью атаки. Перенаправление вредоносных пакетов промежуточными системами затрудняет установление истинного источника атаки.


Поставщик услуг Интернета должен иметь возможность отфильтровывать сетевой трафик, например, трафик при атаках DoS, представляющий угрозу работе сети или серверов ISP. При этом может применяться фильтрация по номерам портов и спискам контроля доступа (ACL-спискам) для управление трафиком серверов и другого сетевого оборудования. 

Фильтрация по портам

Фильтрация по портам позволяет контролировать поток трафика в зависимости от конкретного TCP- или UDP-порта. Многие серверные операционные системы позволяют ограничивать доступ посредством фильтрации по портам. Кроме того, фильтрация по портам применяется сетевыми маршрутизаторами и коммутаторами для управления потоком трафика и защиты от несанкционированного доступа к устройству.

Списки контроля доступа

ACL-списки разрешают или запрещают пересылку определенного трафика по сети в зависимости от IP-адресов источника и/или получателя. ACL-списки также позволяют разрешить и запретить обмен трафиком с портами источника и/или адресата для конкретного протокола. Кроме того, с помощью ACL-списков можно управлять трафиком пакетов ICMP и обновления маршрутизации. Администраторы создают ACL-списки на сетевых устройствах, например маршрутизаторах, управляя перенаправлением и блокировкой различных типов пакетов.

ACL-списки являются только "передним краем обороны" – их недостаточно для защиты всей сети. Списки контроля доступа позволяют лишь ограничить доступ к сети. Они не защищают сеть от всех видов атак.


Межсетевой экран (брандмауэр) представляет собой оборудование или ПО в составе сети, которое ограничивает виды трафика, пересылка которого разрешена и определяет способы обработки трафика. 

ACL-списки входят в число средств, используемых межсетевыми экранами. ACL-списки входят в число средств, используемых межсетевыми экранами. Списки также позволяют контролировать разрешенные направления пересылки трафика. В сетях среднего размера объем контролируемого трафика и многообразие протоколов существенно усложняют структуру ACL-списков для межсетевых экранов. 

ACL-списки в межсетевых экранах указывают, какие виды трафика следует пересылать или блокировать. Межсетевые экраны непрерывно совершенствуются по мере развития новых возможностей и обнаружения новых угроз. 

Различные виды межсетевых экранов обладают различными функциями. Например, сетевой экран с динамическим анализом пакетов или с контролем состояния следит за непосредственным процессом обмена данными между узлом-источником и узлом-адресатом. Для этого межсетевой экран использует таблицу состояний. Разрешив передачу определенных потоков данных, межсетевой экран пропускает трафик, относящийся только к этим потокам. ПО межсетевого экрана включено в состав операционной системы Cisco IOS и позволяет пользователю превратить маршрутизатор в межсетевой экран сетевого уровня с динамическим анализом пакетов. 

Межсетевые экраны непрерывно совершенствуются по мере развития новых возможностей и обнаружения новых угроз. Чем больше функций выполняет межсетевой экран, тем больше времени занимает обработка пакетов.


Межсетевые экраны способны обеспечить защиту периметра сети, а также внутренних сегментов локальных сетей, например, ферм серверов. 

В сети ISP или предприятия среднего размера обычно применяется многоуровневая организация межсетевых экранов. Трафик, поступающий из ненадежной сети, сначала проходит через фильтр пакетов на пограничном маршрутизаторе. Разрешенный трафик проходит через граничный маршрутизатор во внутренний межсетевой экран, направляющий трафик в демилитаризованную зону (DMZ). В DMZ размещаются серверы, доступные пользователям из Интернета. При этом в DMZ пропускается только тот трафик, которому разрешен доступ к данным серверам. Межсетевые экраны ограничивают виды трафика, пропускаемого непосредственно в защищенную локальную сеть. Во внутреннюю сеть обычно допускается трафик, направляемый в ответ на конкретный запрос от устройства из внутренней сети. Например, если устройство в локальной сети запрашивает веб-страницу на внешнем сервере, межсетевой экран должен разрешить передачу веб-страницы во внутреннюю сеть. 

Некоторые организации применяют внутренние межсетевые экраны для защиты критических участков сети. Межсетевые экраны используются для ограничения доступа к сетям, требующим дополнительной защиты. Внутренние межсетевые экраны разделяют бизнес-ресурсы серверов и защищают их от пользователей в организации. Внутренние межсетевые экраны обеспечивают защиту от хакеров, атакующих систему изнутри и извне, а также непреднамеренных внутренних атак и вредоносного ПО.


Обязанностью ISP является предотвращение во всех возможных случаях вторжения в сети самого ISP и клиентов, оплативших управляемые сервисы. Для этого ISP часто используют два инструментальных средства. 

Система обнаружения вторжений (IDS)

Система обнаружения вторжений (IDS) представляет собой аппаратное или программное решение, пассивно наблюдающее за сетевым трафиком. Сетевой трафик не проходит непосредственно через устройство IDS. Устройство IDS следит за трафиком через сетевой интерфейс. Обнаружив вредоносный трафик, устройство IDS отправляет предупреждение заранее настроенной станции управления.

Система предотвращения вторжений (IPS)

Система IPS представляет собой активное физическое устройство или программное средство. Трафик входит через один интерфейс IPS и выходит через другой. Система IPS анализирует пакеты данных, непосредственно составляющие сетевой трафик и, в режиме реального времени, разрешает или запрещает прохождение пакетов в сеть.

Технологии IDS и IPS реализуются в сети посредством сенсоров. Сенсором IDS или IPS может являться любое из следующих устройств:

маршрутизатор с версией Cisco IOS, поддерживающей IPS;
специализированное устройство (оборудование), выполняющее функции IDS или IPS; 
сетевой модуль, установленный в устройстве адаптивной защиты (ASA), коммутаторе или маршрутизаторе.


Сенсоры IDS и IPS различным образом реагируют на события в сети, но оба класса устройств выполняют свою роль в сети.


IDS-решения предназначены для обеспечения реакции на вторжение. Такие системы обнаруживают вторжение по особым сигнатурам сетевого трафика (шаблонам) или по характерному поведению компьютеров. Они не препятствуют пересылке исходного трафика адресату, но позволяют отреагировать на происходящие действия. 

Правильно настроенная система IDS способна блокировать последующий вредоносный трафик, перенастраивая такие элементы сетевого оборудования, как устройства защиты и маршрутизаторы, в ответ на обнаружение вредоносного трафика. Важно учесть, что первоначальный вредоносный трафик к этому моменту уже доставлен через сеть получателю и не может быть заблокирован. Блокируется только последующий трафик. В этом отношении устройства IDS неспособны предотвратить некоторые типы вторжений.

IDS-решения часто размещаются на недоверяемом периметре сети, вне межсетевого экрана, где они могут анализировать виды трафика, поступающего на межсетевой экран, и определять характер атак. С помощью межсетевого экрана можно блокировать основную часть вредоносного трафика. IDS-решение может также размещаться в составе межсетевого экрана и следить за ошибками в настройке межсетевого экрана. При подобной конфигурации сенсора DNS все предупреждения будут выдаваться только для вредоносного трафика, пропущенного через межсетевой экран. Они будут указывать на то, что межсетевой экран настроен неверно.


IPS

В отличие от IDS-решений, предназначенных для реагирования, IPS-решения предназначены для профилактики вторжений. Они блокируют все подозрительные действия в реальном времени. IPS может анализировать практически всю информацию в пакете данных, относящуюся к модели OSI со 2-го по 7-й уровни. Обнаружив вредоносный трафик, система IPS способна немедленно его блокировать. Конфигурация IPS позволяет автоматически отсылать оповещения о вторжениях на станцию управления. Благодаря упредительному действию IPS-системы, блокируется как исходный, так и последующий вредоносный трафик. 

IPS реализуется специализированным устройством, а не программно. Чаще всего IPS-системы организуются в составе межсетевого экрана, поскольку они могут обследовать пакет данных полностью и, тем самым, подходят для защиты серверных приложений. Межсетевой экран обычно не проверяет пакет полностью, в отличие от IPS-системы. Межсетевой экран отбрасывает большинство запрещенных пакетов, но может пропускать некоторые вредоносные пакеты. IPS-системе требуется анализировать меньшее число пакетов, но проверять их содержимое полностью. Поэтому IPS-система способна незамедлительно блокировать новые атаки, которые не может предотвратить межсетевой экран и на предотвращение которых он не может быть настроен. Кроме того, IPS-система может предотвращать атаки, от которых межсетевой экран не может защитить вследствие принципиальных ограничений.


Некоторые ISP предлагают клиентам услуги по созданию точек беспроводного доступа для входа в беспроводные локальные сети (WLAN). Беспроводная сеть проста в реализации, но ошибки в ее настройке оборачиваются уязвимостями. Так как радиосигналы проходят через стены зданий, доступ к сети может быть получен из-за пределов офисного комплекса. Безопасность беспроводной сети может быть усилена путем изменения параметров по умолчанию, включением механизма проверки подлинности или включением фильтрации по MAC-адресам.

Изменение параметров по умолчанию

Параметры по умолчанию, такие, как SSID, имена пользователей и пароли на оборудовании точек беспроводного доступа должны быть изменены. Кроме того, широковещательная рассылка SSID должна быть отключена. 

Включение аутентификации

Аутентификация – это предоставление разрешения на вход в сеть по результатам проверки подлинности набора учетных данных. Ее цель — выяснить, является ли устройство, пытающееся установить соединение, доверенным устройством. Существует три метода аутентификации, которые доступны для использования:

Открытая аутентификация — любые клиенты могут получить доступ вне зависимости от каких-либо условий. Открытая аутентификация используется в беспроводных сетях общего пользования. 
Предварительно согласованный ключ (PSK) — технология, при которой требуется наличие предварительно настроенного ключа как на сервере, так и на клиенте. При подключении точка доступа отправляет случайную последовательность байтов клиенту. Клиент принимает эту строку, шифрует ее (или скремблирует), используя ключ, и отправляет ее обратно в точку доступа. Точка доступа получает зашифрованную строку и для ее расшифровки использует свой ключ. Если они совпадают, процесс проверки подлинности завершен успешно.
Протокол расширенной аутентификации (EAP) — предназначен для взаимной, двусторонней аутентификации и проверки подлинности пользователей. Если на стороне клиента установлено программное обеспечение EAP, клиент взаимодействует с внутренним сервером аутентификации, таким как сервер дистанционной аутентификации мобильного пользователя коммутируемой сети RADIUS. 


Включение фильтрации по МАС-адресам

Фильтрация по MAC-адресам не позволяет компьютерам, чьи MAC-адреса отсутствуют в списке разрешенных, подключаться к сети. Однако MAC-адрес может быть скопирован, поэтому, наряду с фильтрацией, важно реализовать другие меры безопасности, поэтому, наряду с фильтрацией MAC-адреса, важно реализовать другие меры безопасности.


Настройка шифрования передаваемых по беспроводной сети пакетов является важным аспектом безопасности. Существует три основных типа шифрования для беспроводных сетей. 

WEP – уровень безопасности, аналогичный проводным сетям (WEP), обеспечивает безопасность данных путем шифрования данных, которые передаются между узлами по беспроводной связи. Для шифрования в WEP используются предварительно согласованные ключи длиной 64, 128 и 256 битов, задаваемые в виде шестнадцатеричных последовательностей. Использование статических ключей для шифрования является основной уязвимостью данного протокола. Одинаковые ключи используются для всех устройств и для всех передаваемых пакетов. В Интернете существует множество средств для взлома WEP. WEP следует применять только для старых моделей оборудования, не поддерживающих более современных протоколов безопасности для беспроводных сетей. 
WPA – защищенный доступ к Wi-Fi (WPA), является более новым протоколом шифрования беспроводной связи, в котором использован усовершенствованный алгоритм шифрования, так называемый протокол TKIP (Temporal Key Integrity Protocol — протокол шифрования с использованием временных ключей). TKIP генерирует уникальный ключ для каждого клиента и осуществляет ротацию ключей по истечении настраиваемого периода времени. В протоколе WPA реализован механизм двусторонней аутентификации. Поскольку ключ одновременно имеется у клиента и точки доступа, он никогда не передается по сети.
WPA2 — вторая версия протокола защищенного доступа к WiFi (WPA2) представляет собой развитие WPA. В WPA2 применяется более защищенная технология шифрования — усовершенствованный стандарт шифрования (стандарт AES).



Независимо от уровней защиты сети все серверы остаются уязвимыми для атак, если сами не защищены должным образом. Серверы ISP особенно уязвимы, поскольку они обычно доступны из Интернета. Новые уязвимости серверов выявляются каждый день, и важнейшей задачей ISP является защита собственных серверов от известных и еще неизвестных уязвимостей во всех возможных случаях. Одним из решений этой задачи являются межсетевые экраны узлов.

Межсетевой экран узла – это ПО, которое выполняется непосредственно в операционной системе узла. Это программное обеспечение защищает узел от вредоносных атак, успешно преодолевших другие уровни защиты. Межсетевые экраны узлов контролируют как входящий, так и исходящий трафик. Эти межсетевые экраны могут выполнять фильтрацию по IP-адресу и номеру порта компьютера, обеспечивая дополнительную степень защиты по сравнению с обычной фильтрацией по портам.

Межсетевые экраны узлов обычно поставляются с настройками по умолчанию, которые блокируют весь входящий сетевой трафик. В набор правил межсетевого экрана добавляются исключения для разрешенных сочетаний входящего и исходящего трафика. При реализации межсетевых экранов на узлах важно, чтобы решения об открытии доступа к сетевым ресурсам, необходимым для выполнения рабочих задач, соотносились с требованием сделать приложения неуязвимыми для атак. Многие серверные операционные системы в стандартной конфигурации снабжены простым межсетевым экраном на основе узла с ограниченными возможностями. Кроме того, доступны многочисленные пакеты сторонних поставщиков. 

ISP используют межсетевые экраны узлов для ограничения доступа к некоторым сетевым службам, реализуемым сервером. Применяя подобные межсетевые экраны, ISP защищает свои серверы и данные своих клиентов от несанкционированного доступа через дополнительные открытые порты.


Межсетевые экраны, установленные на серверах ISP, обеспечивают защиту от различных видов атак и уязвимостей.

Известные атаки

Межсетевые экраны узлов распознают вредоносные действия по обновляемым шаблонам или признакам. Они обнаруживают известные виды атак и блокируют трафик на порту, подвергнувшемся атаке. 

Эксплуатируемые службы

Межсетевые экраны узлов защищают сетевые службы серверов, которые могут эксплуатироваться злоумышленниками, предотвращая доступ к соответствующим портам. Некоторые межсетевые экраны узлов могут дополнительно анализировать пакеты на предмет содержания вредоносного кода. Веб-серверы и почтовые серверы — основные жертвы эксплуатации сетевых служб злоумышленниками. Для их защиты подходят межсетевые экраны с анализом пакетов. 

Черви и вирусы

Черви и вирусы распространяются, используя уязвимости в сетевых службах и операционных системах. Межсетевые экраны узлов не позволяют такому вредоносному ПО получить доступ к серверам. Они также способны предотвратить распространение червей и вирусов, контролируя исходящий трафик с сервера.

"Черные ходы" и "троянские кони"

Программы, открывающие "черные ходы" и "троянские кони" позволяют злоумышленникам получить удаленный доступ к сетевым серверам. Этот вид ПО обычно отсылает хакеру сообщение, информирующее об успешном заражении. В дальнейшем программа работает как сетевая служба, через которую хакер может получить доступ к системе. С помощью ограничений для исходящего трафика межсетевые экраны узлов способны предотвратить отправку подтверждающего сообщения "троянским конем". Они также не допустят подключения злоумышленника к сетевым службам.


Помимо межсетевых экранов на узлах могут устанавливаться универсальные антивирусные пакеты ПО для защиты от всех видов нежелательного ПО в качестве усиленных мер защиты. Универсальные антивирусные пакеты ПО защищают компьютеры от вирусов, червей, шпионского ПО, вредоносного ПО, фишинга и даже спама. Многие ISP предлагают подобные универсальные антивирусные пакеты ПО своим клиентам в составе общего набора сервисов для информационной безопасности. Не все универсальные антивирусные пакеты ПО обладают равными возможностями по защите от угроз. ISP должен регулярно соотносить состав угроз, защиту от которых обеспечивает применяемый универсальный антивирусный пакет ПО, с результатами анализа уязвимостей в своей компании, и вырабатывать практические рекомендации.

Многие универсальные антивирусные пакеты ПО имеют возможность удаленного управления, включая систему уведомления администратора или специалиста по техническому обслуживанию о фактах заражений по электронной почте или по пейджеру. Незамедлительное уведомление соответствующих лиц позволяет существенно ограничить последствия заражения. Использование универсальных антивирусных пакетов ПО не уменьшает числа угроз, которым подвержена сеть, но уменьшает риск заражения.

В некоторых случаях заражения и атаки по-прежнему будут возникать и могут иметь чрезвычайно разрушительные последствия. Важно предусмотреть процесс управления инцидентами, состоящий в отслеживании всех случаев атак и выработке соответствующих решений для предотвращения их повторного возникновения. Управление инцидентами является обязательным для ISP, в ведении которых находятся данные клиентов, поскольку ISP берет на себя обязательства обеспечить конфиденциальность и сохранность данных, размещаемых по поручению клиентов. В частности, если в результате атаки на сеть ISP произойдет хищение нескольких тысяч номеров кредитных карт из размещенной у него базы данных, потребуется предупредить клиента о факте хищения для того, чтобы клиент смог оповестить владельцев кредитных карт.


Между ISP и пользователем обычно заключается договор, именуемый соглашением об уровне обслуживания (SLA). В нем четко излагаются ожидания и обязанности обеих сторон. Типовое соглашение SLA состоит из следующих разделов:

описание услуг;
расходы;
отслеживание и предоставление отчетов; 
решение проблем;
безопасность; 
прекращение обслуживания;
штрафы за временное отсутствие обслуживания;
доступность, характеристики и надежность.


SLA – важный документ, в котором явно изложен порядок сопровождения, контроля и обслуживания сети.


ISP отвечает за контроль и проверку аппаратных соединений. Эта ответственность распространяется на все оборудование в собственности ISP, а также оборудование на стороне клиента, контроль за состоянием которого ISP осуществляет по условиям SLA. Контроль и настройка могут выполняться как во внеполосном режиме, с прямым консольным подключением, так и во внутриполосном режиме, с подключением по сети. 

Внеполосное управление полезно для первоначальной настройки при недоступности устройства по сети или необходимости визуального обследования устройства. 

Многие ISP не имеют возможности осматривать все устройства или получать к ним физический доступ. Внутриполосные средства управления упрощают администрирование за счет того, что техническому специалисту больше не требуется физическое подключение. В этом отношении внутриполосное управление является предпочтительным вариантом при обслуживании серверов и сетевых устройств, доступных по сети. Кроме того, обычные инструментальные средства для внутриполосного управления предлагают дополнительные функции, недоступные при внеполосном управлении, например просмотр общей структуры сети. К традиционным протоколам внутриполосного управления относятся Telnet, SSH, HTTP и упрощенный протокол управления сетью (SNMP).

Существует множество встроенных инструментов, коммерческих и условно-бесплатных программ, использующих эти протоколы управления. В частности, возможен доступ по протоколу HTTP из веб-обозревателя. Некоторые приложения, например Cisco SDM, используют такой способ доступа для внутриполосного управления.


Установленное на предприятии клиента новое сетевое устройство нужно отслеживать из удаленного офиса ISP. Кроме того, время от времени приходится вносить изменения в конфигурацию, не выезжая на место.

Для внутриполосного подключения устройства с последующим мониторингом и администрированием можно использовать клиент Telnet и IP-соединение. Подключение по протоколу Telnet называется сессией виртуального терминала (VTY) или подключением к нему. Telnet — это протокол с архитектурой "клиент-сервер". На подключающемся устройстве должен быть запущен клиент Telnet. Для обслуживания подключений клиентов на принимающем устройстве, или сервере, должна быть загружена служба, которая называется демон протокола Telnet.

Большинство операционных систем поставляются с клиентом Telnet уровня приложений. На компьютере с ОС Microsoft Windows клиент Telnet может быть загружен из командной строки. Примерами другого программного обеспечения, которое может использоваться в качестве клиента Telnet, являются программы HyperTerminal, Minicom и TeraTerm. Такие устройства, как маршрутизаторы, содержат как клиент, так и демон протокола Telnet, и могут выступать как в роли клиента, так и сервера.

Как только соединение по протоколу Telnet установлено, пользователь может использовать любые функции сервера, которые разрешены для данного пользователя, как если бы он использовал интерфейс командной строки непосредственно на сервере. Если разрешено, пользователи могут запускать и останавливать процессы, настраивать оборудование и даже отключать систему.

Сеанс Telnet может быть инициирован со стороны маршрутизатора с интерфейсом CLI с помощью команды telnet и последующего указания IP-адреса или доменного имени сервера. Клиент Telnet может подключаться к нескольким серверам одновременно. При работе с маршрутизатором Cisco последовательность нажатий клавиш Ctrl-Shift-6 X переключает сеансы Telnet. Кроме того, сервер Telnet поддерживает одновременные подключения нескольких клиентов. При использовании маршрутизатора в роли сервера команда show sessions отображает список всех текущих сеансов.


Протокол Telnet поддерживает механизм аутентификации пользователей, однако не поддерживает шифрование передаваемых данных. В течение сеанса Telnet данные передаются в простом текстовом виде. Это означает, что данные могут быть легко перехвачены и распознаны, в том числе учетные данные, такие, как имя пользователя и пароль.

По соображениям безопасности в качестве альтернативного средства доступа к серверу необходимо использовать протокол Secure Shell (SSH). Протокол SSH предоставляет защищенный канал для удаленного входа и прочие сетевые службы. Кроме того, он обеспечивает повышенную, по сравнению с протоколом Telnet, защиту при аутентификации и поддерживает шифрование потока передаваемых данных. Сетевым специалистам следует всегда использовать протокол SSH в качестве альтернативы протоколу Telnet везде, где это возможно.

Существует две версии службы сервера SSH. Какая именно версия SSH используется, зависит от образа Cisco IOS, загруженного в устройство. Существует большое количество разнообразных клиентов SSH для персональных компьютеров. Клиент SSH должен поддерживать версию протокола SSH, которая используется сервером.


SNMP — протокол управления сетью, позволяющий администраторам собирать информацию о сети и сведения об относящихся к ней устройствах. Системная часть ПО для управления по SNMP доступна в таких инструментальных средствах, как CiscoWorks. В Интернете доступны для загрузки бесплатные версии CiscoWorks. ПО агента управления по протоколу SNMP нередко встроено в операционные системы серверов, маршрутизаторов и коммутаторов. 

SNMP состоит из четырех основных компонентов:

станция управления — компьютер с загруженным приложением управления SNMP, используемый администратором для мониторинга и настройки сети.
агент управления — ПО, установленное на устройстве, управление которым осуществляется по протоколу SNMP;
информационная база управления (MIB) — база данных сетевого устройства, содержащая сведения о его рабочих параметрах;
протокол управления сетью — протокол обмена данными между станцией управления и агентом управления.



Станция управления содержит приложения для управления по SNMP, используемые администратором для настройки сетевых устройств. На ней также хранятся данные об этих устройствах. Станция управления собирает сведения путем опроса устройств, запрашивая определенную информацию у агента. 

Задача агента – информировать станцию управления, отвечая на опросы. Когда станция управления опрашивает агента, агент извлекает статистику, накопленную в базе MIB.

Для агентов могут быть настроены прерывания. Перехватывание представляет собой событие, вызывающее отправку оповещения агентом. Для определенных элементов агента настраиваются пороговые или максимальные значения, которые должны выдерживаться, например, разрешенный объем трафика на определенном порту. При превышении порогового значения агент оповещает станцию управления. Это освобождает станцию управления от необходимости непрерывно опрашивать сетевые устройства. 

Станции управления и управляемые устройства различаются по идентификаторам сообществ (строками сообществ), которые разрешают доступ к устройствам. Строка сообщества на агенте SMNP должна совпадать со строкой сообщества на станции управления SMNP. Когда агенту необходимо отправить данные на станцию управления при возникновении запроса или перехватывании, первым шагом он проверяет станцию управления с помощью строки сообщества.


Важными составляющими контроля за состоянием сети являются хранение журналов устройств и их периодический анализ. Системный журнал (Syslog) — стандартный метод ведения журналов системных событий. Как и SNMP, протокол Syslog также является протоколом прикладного уровня. С его помощью устройства отсылают информацию демону syslog, который установлен и функционирует на станции управления.

Система syslog состоит из syslog -серверов и syslog-клиентов. Серверы получают журнальные сообщения от syslog-клиентов и обрабатывают их. Клиентами являются наблюдаемые устройства, которые формируют и отправляют журнальные сообщения на syslog-сервер.

Журнальные сообщения обычно состоят из идентификатора журнального сообщения, типа журнального сообщения, метки времени (дата, время), обозначения устройства, отправившего сообщение, и текста сообщения. В зависимости от того, каким сетевым устройством оно отправлено, сообщение syslog может содержать дополнительные элементы помимо перечисленных.


Программное обеспечение управления и контроля за сетью помогают ISP выявлять и решать проблемы, возникающие с сетью. Соответствующие программные средства также помогают устранять причины сбоев в работе сети, включая сбои от вредоносного ПО и действий злоумышленников, нарушение сетевых функций и другие проблемы, такие как выход из строя устройств. 

Независимо от причины сбоя ISP, размещающий у себя веб-сайты или почтовые ящики клиентов, должен гарантировать защиту от потерь веб-контента и электронной почты. Потеря данных на веб-сайте может стоить сотен или тысяч человеко-часов на восстановление контента, не считая убытков для бизнеса, вызванных простоем на время восстановления. 

Потеря сообщений электронной почты, хранящихся на сервере электронной почты ISP, может крайне негативно отразиться на бизнесе предприятия, использующего электронную почту в качестве основного средства для обмена информацией. Нормативное законодательство предписывает некоторым предприятиям хранить копии всей переписки по электронной почте, поэтому потеря данных абсолютно недопустима.

Важное значение приобретает резервное копирование данных. Задача специалиста по ИТ –— принять все меры к снижению риска потери данных и предусмотреть механизмы быстрого восстановления в случае их потери.


Стоимость решения, выбираемого ISP для резервного копирования данных, должна соотноситься с его эффективностью. Выбор резервного носителя усложняется наличием многих факторов, 

включая следующие:

объем данных; 
стоимость носителя;
рабочие характеристики носителя;
надежность носителя;
простота автономного хранения.


Существует множество видов резервных носителей, в том числе ленточные, оптические, носители на основе жестких дисков и твердотельные носители.


Магнитная лента остается одним из самых распространенных видов носителей для резервного копирования. Ленточные носители имеют большой объем и являются самыми недорогими носителями на рынке. Для резервного копирования крупных объемов данных, не помещающихся на один ленточный носитель, существуют автозагрузчики и ленточные библиотеки, которые автоматически заменяют ленты в ходе операции резервного копирования и позволяют сохранить данные на любом количестве ленточных носителей. Эти устройства весьма дороги и редко встречаются на малых и средних предприятиях. Однако при определенном объеме данных не остается альтернатив автозагрузчикам и библиотекам.

Ленточные носители склонны к выходу из строя, а накопители требуют регулярной чистки для поддержания в работоспособном состоянии. Причиной частого выхода из строя магнитных лент является механический износ. Ленты могут применяться ограниченное число раз, после чего должны выводиться из эксплуатации. Существуют различные форматы лент, например:

DDS (цифровые ленты для данных);
DAT (цифровые ленты для аудиозаписей);
DLT (цифровые ленты с линейной записью);
LTO (открытый стандарт ленточного носителя с линейной записью).


Эти стандарты различаются объемом и рабочими характеристиками.

Оптические носители

Оптический носитель широко используется при небольших объемах данных. CD-диски имеют объем 700 МБ, двухслойные односторонние DVD-диски вмещают до 8,5 ГБ, а объем дисков HD-DVD и Blu-Ray превышает 25 ГБ. ISP могут использовать оптические носители для передачи веб-контента своим клиентам. Кроме того, клиенты могут использовать их для передачи ISP контента при размещении его на сайте. Данные на оптическом носителе доступны на любом компьютере со встроенным накопителем CD или DVD.


Жесткие диски

Все большую популярность в системах резервного копирования приобретают жесткие диски благодаря низкой удельной стоимости хранения данных. Однако подобные системы непрактичны с точки зрения автономного хранения резервных копий. Крупные дисковые массивы, к которым относятся хранилища с прямым подключением (DAS), хранилища с подключением по сети (NAS) и сети хранения данных (SAN), не рассчитаны на транспортировку. 

Многие системы резервного копирования с использованием жестких дисков работают в тандеме с накопителями на магнитных лентах для автономного хранения. Использование жестких дисков и магнитных лент в многоуровневом резервном копировании обеспечивает оперативность доступа к данным, хранящимся локально на жестких дисках, и возможность долгосрочного архивирования.

Твердотельные носители

Твердотельный накопитель — это класс носителей, не имеющих движущихся частей. Примерами являются компактные накопители размером с почтовую марку объемом 1 ГБ, и модули размером с маршрутизатор, позволяющие хранить до 1000 ГБ (1 ТБ) данных. 

Твердотельные носители – лучший выбор, если требуется высокая скорость записи и извлечения данных. Применениями твердотельных систем являются ускорение баз данных, оперативное хранение и монтаж видеозаписей высокой четкости, извлечение данных и SAN-системы. Твердотельные устройства большого объема все еще чрезвычайно дороги, но в процессе совершенствования данной технологии ожидается падение цен на них.


После выбора резервного носителя выберите метод резервного копирования. Существуют три метода. 

Обычное (полное) резервное копирование 

При обычном (полном) резервном копировании все файлы сохраняются на резервном носителе и помечаются как скопированные. В этом случае для восстановления всех файлов требуется только самая последняя копия, что ускоряет и упрощает процесс восстановления. Однако, поскольку должны быть скопированы все данные, полное резервное копирование занимает значительное время.

Разностное резервное копирование

При разностном резервном копировании копируются только файлы, изменившиеся с момента последнего полного резервного копирования. В этом случае в первый день цикла резервного копирования должно выполняться полное резервное копирование. Сохраняются только файлы, созданные или измененные с момента последнего полного резервного копирования. Процесс разностного резервного копирования повторяется до выполнения очередного полного резервного копирования. Тем самым сокращается время, необходимое для выполнения процесса. Когда требуется восстановление данных, сначала восстанавливается последняя обычная резервная копия, после чего из последней разностной резервной копии восстанавливаются все измененные файлы.

Последовательное резервное копирование

Последовательное резервное копирование имеет одно важное отличие от разностного. Если при разностном копировании сохраняются файлы, измененные с момента последнего полного резервного копирования, то при последовательном копировании сохраняются только файлы, созданные или измененные с момента предыдущего последовательного копирования. Если последовательное резервное копирование выполняется ежедневно, на резервном носителе будут содержаться только файлы, созданные или измененные в соответствующий день. Последовательное резервное копирование — самый быстрый способ резервного копирования. Однако восстановление в этом случае занимает наибольшее время, поскольку требуется восстанавливать данные из последней полной резервной копии и всех последовательных.


Системы резервного копирования требуют регулярного обслуживания. Для успешного выполнения резервного копирования необходимо выполнять описанные ниже правила.

Смена носителей — в большинстве сценариев резервного копирования носители должны меняться ежедневно, чтобы существовала предыстория резервных копий. Если ленты или диски не заменяются ежедневно, возникает риск потери данных. Поскольку замена лент — ручная операция, при ее выполнении также возможны ошибки. Пользователям необходимо напоминать о смене носителей посредством календарей или планировщиков.
Анализ журналов резервного копирования — практически все программы для резервного копирования ведут журналы. Из них можно узнать, успешно ли выполнено резервное копирование и где возникли ошибки. Регулярный анализ журналов резервного копирования позволяет быстро выявлять вопросы, требующие внимания.
Пробное восстановление данных — регулярный анализ журналов не дает полной уверенности в успешном выполнении резервного копирования. Чтобы убедиться в пригодности резервной копии и работоспособности процедуры восстановления, следует время от времени выполнять пробное восстановление данных. Пробное восстановление подтверждает правильность организации резервного копирования. 
Профилактическое обслуживание накопителей — во многих системах резервного копирования используется специализированное оборудование. В системах резервного копирования на магнитные ленты для чтения и записи используются накопители на магнитных лентах. В результате загрязнения при работе механические узлы накопителя могут выйти из строя, поэтому накопитель следует регулярно чистить с помощью специальных чистящих кассет. Системы резервного копирования на жестких дисках периодически требуется дефрагментировать для повышения общей производительности системы.



В дополнение к процессу резервного копирования файлов сервера ISP обязан защитить настройки конфигурации и программное обеспечение Cisco IOS, которые используются в сетевом оборудовании ISP. Программное обеспечение сетевого оборудования Cisco и файлы конфигурации можно сохранять на сетевом сервере с помощью протокола TFTP и команды copy, дополненной некоторыми аргументами. Команда сохранения файла IOS весьма похожа на команду резервного копирования и сохранения работающего файла конфигурации. 

Для резервного копирования программного обеспечения Cisco IOS выполните перечисленные ниже действия. 

Шаг 1. Отправьте эхо-запрос на TFTP-сервер, который предназначен для сохранения файла, что подтвердит доступность сервера по сети. При этом воспользуйтесь командой ping. 

Шаг 2. Просмотрите сведения об образе IOS во флэш-памяти маршрутизатора. Воспользуйтесь командой show flash для просмотра имени файла образа IOS и его размере. Убедитесь, что на TFTP-сервере достаточно дискового пространства для сохранения данного файла. 

Шаг 3. Скопируйте образ IOS на сервер TFTP с помощью команды: 


Router# copy flash tftp


При выполнении команды копирования маршрутизатор запрашивает у пользователя имя файла-источника, IP-адрес TFTP-сервера и имя файла назначения.

Образы, сохраненные на TFTP-сервере, в дальнейшем могут быть использованы для восстановления или модернизации программного обеспечения Cisco IOS для сетевых маршрутизаторов и коммутаторов.

Процедура обновления файла образа IOS на маршрутизаторе сходна с процедурой резервного копирования на TFTP-сервер. Перед началом обновления или восстановления убедитесь в наличии достаточного свободного пространства во флэш-памяти маршрутизатора для размещения файла IOS с помощью команды "show flash".

Для обновления программного обеспечения Cisco IOS воспользуйтесь следующей командой:

copy tftp: flash:

При обновлении маршрутизатор запрашивает у пользователя IP-адрес TFTP-сервера и имя необходимого для обновления файла образа на сервере. Маршрутизатор может запросить у пользователя разрешение на очистку флэш-памяти, если свободного пространства на ней недостаточно для хранения как нового, так и старого образов. Процесс очистки флэш-памяти индицируется последовательностью символов "е". После загрузки нового образа он проверяется на целостность и после этого сетевое оборудование готова для использования с обновленным образом Cisco IOS.

Если образ IOS утерян и необходимо восстановление, следует применить отдельный процесс с использованием режима ROMmon.


Если маршрутизатор настроен в режиме загрузки с флэш-памяти, однако образ Cisco IOS стерт из флэш-памяти, поврежден или недоступен вследствие недостатка свободного пространства, выполните восстановление образа. Простейшим способом выполнения процедуры восстановления образа Cisco IOS является использование TFTP в режиме управляющей программы из ПЗУ (режим ROMmon). 

Передача TFTP в режиме ROMmon производится через указанный интерфейс локальной сети, по умолчанию через первый из доступных. Перед использованием TFTP в режиме ROMmon, пользователь должен установить несколько переменных среды, в том числе IP-адрес и воспользоваться командой tftpdnld для восстановления образа. 

Для настройки переменной среды ROMmon введите имя переменной, знак равенства "=", а затем значение переменной. Например, для установки IP-адреса в значение 10.0.0.1 введите команду "IP_ADDRESS=10.0.0.1" (без кавычек).

Необходимо указать следующие переменные среды: 

IP_ADDRESS — IP-адрес интерфейса локальной сети; 
IP_SUBNET_MASK — маска подсети интерфейса локальной сети; 
DEFAULT_GATEWAY — адрес шлюза по умолчанию для интерфейса локальной сети; 
TFTP_SERVER — IP-адрес TFTP-сервера; 
TFTP_FILE — имя файла образа Cisco IOS на сервере.


Воспользуйтесь командой set для просмотра и проверки значений переменных среды ROMmon. 

После установки значений переменных введите команду tftpdnld. После приема каждой датаграммы файла Cisco IOS отображается восклицательный знак "!". После завершения приема файла Cisco IOS текущее содержимое флэш-памяти стирается. Стирается не только текущий файл IOS, но и прочие файлы, которые могут оказаться на данный момент во флэш-памяти. Для сохранности данных файлов важно произвести их резервное копирование на TFTP-сервер на случай восстановления образа IOS. 

После возникновения подсказки режима ROMmon (rommon 1>) маршрутизатор может быть перезагружен с помощью команды reset или ввода команды i. Во время этой перезагрузки в маршрутизатор загружается обновленный образ Cisco IOS из флэш-памяти.


Резервное копирование данных — важная часть любого плана аварийного восстановления. План аварийного восстановления представляет собой документ, в котором подробно описывается методика оперативного восстановления работы систем и возобновления деятельности предприятия после аварии. Цель плана аварийного восстановления — обеспечить приемлемую реакцию предприятия к физическим и социальным последствиям аварии. К авариям относятся различные факторы — от разрушения сетевой структуры в результате стихийных бедствий до нападения злоумышленников на сеть. 

План аварийного восстановления может содержать такие сведения, как местонахождение запасных объектов для переноса серверов, способы переключения сетевых устройств и серверов, а также варианты организации связи в аварийных условиях. При составлении плана аварийного восстановления важно четко осознавать, какие сервисы представляют наибольшую важность для поддержания работоспособности систем. В аварийной ситуации может потребоваться функционирование следующих сервисов: 

базы данных;
серверы приложений;
серверы управления системами;
веб-сервисы;
хранилища данных;
каталоги.



Разрабатывая план аварийного восстановления, необходимо учитывать потребности организации. Кроме того, важно обеспечить необходимую поддержку для реализации плана аварийного восстановления. В этом отношении необходимы следующие мероприятия:

Оценка уязвимостей — должна быть изучена степень уязвимости критически важных бизнес-процессов и связанных с ними приложений в наиболее распространенных аварийных ситуациях. 
Оценка рисков — должен быть проанализирован риск возникновения аварийной ситуации, а также ее последствия и затраты для бизнеса. Задача оценки рисков включает в себя составление списка десяти наиболее существенных возможных аварий и их последствий, включая сценарий полного уничтожения ресурсов предприятия.
Информирование руководства — по результатам анализа проект аварийного восстановления должен быть утвержден высшим руководством. На обслуживание оборудования и запасных объектов для готовности к возможным авариям могут потребоваться существенные затраты. Высшее руководство должно осознавать возможные последствия любой аварийной ситуации. 
Формирование группы планирования — должна быть сформирована группа планирования для управления разработкой и реализацией стратегии и плана аварийного восстановления. При возникновении аварийной ситуации, независимо от ее характера, необходимо, чтобы все лица осознавали свои функции и обязанности.
Определение приоритетов — В каждом из сценариев аварии сетям предприятия, приложениям и системам должен быть присвоен уровень приоритета: критический, важный или несущественный.


Процесс планирования аварийного восстановления должен начинаться с участием высшего руководства с последующим вовлечением всех сотрудников, работающих с критически важными бизнес-процессами. Для успешного выполнения плана необходимо участие и содействие всех сотрудников.


Подтвердив необходимость плана аварийного восстановления и согласовав состав критически важных сервисов и приложений, следует приступить к непосредственной разработке плана. Разработка и внедрение плана состоит из следующих пяти этапов: 

Этап 1. Стратегия восстановления структуры сети.

Необходим анализ структуры сети. В плане аварийного восстановления должны быть учтены приведенные ниже аспекты, связанные со структурой сети.

Рассчитана ли сеть на устойчивость к крупномасштабным авариям? Обеспечение устойчивости предполагает организацию резервных каналов и наличие избыточности в структуре сети.
Доступность автономных серверов для поддержки таких приложений, как электронная почта и серверы базы данных.
Доступность резервных маршрутизаторов, коммутаторов и других сетевых устройств в случае аварии.
Местонахождение сервисов и ресурсов, необходимых для работы сети. Рассредоточены ли они территориально?


Этап 2. Учет и документирование.

Проведите инвентаризацию складских запасов во всех местах, всех устройств, всех поставщиков, используемых служб и контактных лиц. Должны быть проверены оценки затрат, полученные на этапе оценки рисков. 

Этап 3. Проверка.

Необходимо выработать методику проверки стратегии аварийного восстановления для подтверждения ее работоспособности. Следует организовывать учебные мероприятия по аварийному восстановлению для проверки актуальности и действенности разработанного плана. 

Этап 4. Утверждение и реализация.

План аварийного восстановления должен быть утвержден высшим руководством и заложен в бюджет.

Этап 5. Анализ.

После первого года применения следует проанализировать план аварийного восстановления.


9 глава

Один из самых важных навыков для сетевого специалиста – способность эффективно диагностировать сетевые проблемы. Специалисты, способные грамотно диагностировать сетевые проблемы, всегда пользуются спросом. Именно поэтому в сертификационных экзаменах Cisco оценивается способность выявлять и устранять проблемы с сетями.

При диагностике проблем многие технические специалисты используют сетевые модели OSI и TCP/IP для локализации причины проблемы. В логических сетевых моделях функции сетей распределяются по модульным уровням. С каждым уровнем модели OSI или TCP/IP связаны конкретные функции и протоколы. Знание характеристик, функций и устройств каждого уровня, а также понимание его взаимодействия с соседними уровнями, помогает техническому специалисту эффективно диагностировать проблему.

В этой главе модели OSI и TCP/IP рассматриваются как структура, в рамках которой строятся диагностические меры. Перед началом работы с этой главой следует повторить материал, посвященный моделям OSI и TCP/IP, в курсах CCNA Discovery: Сети для домашних пользователей и малых предприятий и CCNA Discovery: Работа на малых и средних предприятиях или у поставщиков услуг Интернета.


Эталонная модель OSI как средство поиска неисправностей

Эталонная модель OSI – это общий язык для сетевых специалистов и инженеров. Важно иметь четкое представление о функциях и сетевых устройствах, задействованных на каждом уровне модели OSI.

Верхние уровни (5 – 7) относятся к работе приложений и обычно реализуются только на программном уровне. Проблемы, локализованные на этих уровнях, зачастую вызваны ошибками конфигурации оконечного программного обеспечения на клиентах и серверах. 

Нижние уровни (1 – 4) в модели OSI решают задачи доставки данных. 

Сетевой уровень (уровень 3) и транспортный уровень (уровень 4), как правило, реализуются только на программном уровне. В дополнение к программным ошибкам на оконечных системах, ошибки конфигурации ПО на маршрутизаторах и межсетевых экранах оказываются причиной множества проблем, локализованных на этих уровнях. На уровне 3 могут иметь место ошибки с IP-адресацией и маршрутизацией.

Физический уровень (уровень 1) и канальный уровень (уровень 2) реализуются и аппаратно, и программно. Физический уровень наиболее близок к физической передающей среде, примером которой являются сетевые кабели, и отвечает за непосредственное помещение информации в среду. Большинство проблем на уровнях 1 и 2 вызывается неисправностью и несовместимостью оборудования. 


При использовании сетевых моделей существует три основных метода устранения неисправностей: 

сверху вниз 
снизу вверх 
"разделяй и властвуй"


Каждый метод исходит из многоуровневого строения сетей. Используя один из этих методов, можно последовательно проверить работоспособность всех функций на каждом уровне, пока проблема не будет локализована. 

"сверху вниз" – движение вниз с прикладного уровня. Проблема исследуется с точки зрения пользователя и приложения. Не работает только одно приложение или все приложения? Например, может ли пользователь при недоступности электронной почты обращаться к веб-страницам? Проявляются ли подобные явления на других рабочих станциях?

"снизу вверх" – движение с физического уровня к более высоким. На физическом уровне обследуются оборудование и проводные соединения. Надежно ли подключены кабели? Если оборудование снабжено индикаторами, горят ли индикаторы?

"разделяй и властвуй" – анализ обычно начинается с одного из промежуточных уровней, после чего обследуются вышестоящие или нижестоящие уровни. Например, диагностику можно начать с сетевого уровня, проверив конфигурацию IP. 

Благодаря своей структуре рассмотренные методы диагностики весьма удобны для начинающих. Многие опытные специалисты часто предпочитают структурированным подходам собственную интуицию и опыт,


Крайне сложно диагностировать любые проблемы с сетевыми подключениями, не имея схемы сети с указанием IP-адресов, IP-маршрутов и местоположения таких устройств, как межсетевые экраны и коммутаторы. Наличие схемы логической и физической топологии будет исключительно полезным для диагностики. 

Виды физической топологии сетей

Физическая топология сети описывает физическое расположение устройств, подключенных к сети. Для диагностики проблем на физическом уровне, например, связанных с кабелями и оборудованием, необходимо знать физическую схему соединения устройств. Физическая топология сети обычно несет в себе следующую информацию:

Типы устройств
Модели и изготовители устройств
Территориальное расположение
Версии операционных систем
Типы и идентификаторы кабелей
Конечные точки кабелей 


Логическая топология сети

Логическая топология описывает способ передачи данных по сети. Для обозначения сетевых элементов: маршрутизаторов, серверов, концентраторов, узлов и устройств безопасности используются условные обозначения. Логическая топология сети обычно несет в себе следующую информацию: 

идентификаторы устройств 
IP-адреса и маски подсетей
Идентификаторы интерфейсов
Протоколы маршрутизации
Статические и динамические маршруты
Протоколы канального уровня
Технологии глобальных сетей 



Для эффективной диагностики проблем, связанных с производительностью и сбоями сети, могут потребоваться другие средства в дополнение к схемам сетей.

Средства документирования и оценки базовых параметров сети

Инструментальные средства документирования и оценки базовых параметров сети доступны для операционных систем Windows, Linux и UNIX. Программный пакет CiscoWorks позволяет чертить схемы сетей, следить за актуальностью документации по программному и аппаратному обеспечению сети, а также измерять базовую нагрузку на полосу пропускания для минимизации затрат. Подобные программные средства обычно снабжены функциями контроля и формирования отчетов для характеризации базовых параметров сети.

Инструментарий системы управления сетью

Инструментальные средства системы управления сетью (NMS) отслеживают производительность сети. Они в графическом виде представляют физическую структуру сетевых устройств. При возникновении сбоя инструментальное средство поможет его локализовать и определить его причину: вредоносное ПО, действия злоумышленников или сбой устройства. Примерами распространенных средств управления сетью являются CiscoView, HP Openview, SolarWinds и WhatsUp Gold.

Базы знаний

Базы знаний поставщиков сетевых устройств стали незаменимыми источниками информации. Объединив возможности онлайновых баз знаний с поисковыми системами Интернета, сетевой администратор получает доступ к множеству ресурсов с описанием практического опыта.

Анализаторы протоколов

Анализатор протоколов декодирует различные уровни протоколов в записанном кадре и представляет полученные сведения в формате, более удобном для восприятия. Анализаторы протоколов могут перехватывать сетевой трафик для последующего анализа. Поток данных, полученный в результате такого перехвата, можно пропустить через фильтр для просмотра определенных видов трафика или для отбора трафика, соответствующего определенным критериям, например, всего трафика, исходящего от конкретного устройства. Такие анализаторы протоколов, как Wireshark, могут предоставлять подробную диагностическую информацию об обмене данными по сети. Например, анализатор протоколов позволяет просматривать информацию об установлении и завершении TCP-сеансов между двумя узлами.


Иногда сбои на нижних уровнях модели OSI не поддаются простому выявлению программными средствами. В таких случаях могут потребоваться аппаратные диагностические средства, такие как тестеры кабелей, мультиметры и анализаторы сетей. 

Тестеры кабелей

Тестеры кабелей – это специализированные переносные устройства, предназначенные для проверки различных кабелей для передачи данных. Тестеры можно использовать для обнаружения оборванных жил, неправильной разводки, коротких замыканий и жил, неправильно собранных в пары. Более интеллектуальные тестеры, к числу которых относятся рефлектометры временной области (TDR), способны обнаруживать расстояние до места обрыва жилы в кабеле. Тестеры кабелей также могут измерять протяженность кабеля.

Цифровые мультиметры

Цифровые мультиметры (DMM) – это приборы, которые непосредственно измеряют значения напряжения, тока, и сопротивления в электрических цепях. При диагностике сети мультиметры чаще всего проверяются для контроля напряжений питания и проверки поступления питания на сетевые устройства. 

Портативные анализаторы сетей

Подключив анализатор сети к коммутатору в определенной точке сети, инженер может определить среднюю и пиковую величину нагрузки на конкретном сегменте. Анализатор также можно использовать для выявления устройств, создающих наиболее активный сетевой трафик, для анализа сетевого трафика по протоколам и для просмотра подробных сведений об интерфейсе. Анализаторы полезны при диагностике проблем, вызванных вредоносным ПО и DoS-атаками.


За реализацию физического уровня и уровня канала данных отвечают как аппаратные, так и программные функции. При любом обмене данными по сети используются технологии этих двух уровней. Сетевой технический специалист должен быть в состоянии быстро локализовать и исправить проблемы, возникающие на этих уровнях.

Физический уровень, или уровень 1, отвечает за физические и электрические параметры передачи битов от одного узла к другому по физической передающей среде (проводной или беспроводной). Проблемы с сетью, возникающие на 1-м уровне, проявляются в виде нарушения связи или простого ухудшения производительности. 

Виды проблем, возникающих на 1-м уровне, непосредственно зависят от используемой технологии. Например, Ethernet представляют собой технологию множественного доступа. В протоколах Ethernet используется алгоритм, позволяющий определять отсутствие других сигналов в кабеле для начала передачи в эфир. Однако два устройства могут начать передавать данные одновременно, вызывая коллизию. При возникновении коллизии все устройства прекращают передавать данные. Затем каждое устройство возобновляет передачу по истечении некоторого произвольного промежутка времени. Поскольку протокол Ethernet способен обнаруживать коллизии и реагировать на них, технология передачи Ethernet часто называется методом множественного доступа с контролем несущей и обнаружением коллизий (CSMA/CD).

Тем не менее, избыток коллизий негативно сказывается на производительности сети. Коллизии могут стать существенной проблемой при коллективном использовании передающей среды. Например, в сетях с концентраторами, они сказываются сильнее, чем в сетях с коммутаторами. 


Уровень канала данных, или уровень 2, определяет формат представления данных для их передачи по сетевой среде. Он также регулирует порядок предоставления доступа к сети. На 2-м уровне обеспечивается соединение между программными функциями сетевого уровня и аппаратными функциями 1-го уровня для приложений как в локальной сети, так и в глобальной сети. Для эффективного разрешения проблем на 1-м и 2-м уровнях технические специалисты должны быть знакомы со стандартами кабелей, инкапсуляцией и структурой кадров. 

После проверки работоспособности 1-го уровня техническим специалистом необходимо определить, локализована ли проблема на 2-м уровне или на одном из более высоких уровней. Например, если узел может отправить эхо-запрос на локальный кольцевой адрес 127.0.0.1, но не может получить доступ ни к каким службам по сети, проблема может быть локализована на 2-м уровне в части обработки кадров или может заключаться в неверных настройках сетевой платы. Сетевые анализаторы и другие онлайновые средства способны обнаруживать источник проблемы на 2-м уровне. В некоторых случаях устройство самостоятельно обнаруживает возникновение проблемы на 2-м уровне и выдает предупреждающие сообщения на консоль.


Проблемы с сетью часто возникают после перезапуска устройства. Перезапуск может быть выполнен намеренно после обновления, но может произойти и случайно в результате сбоя питания. Прежде чем приступить к диагностике сбоев устройств и ошибок загрузки, необходимо изучить процесс запуска устройств на базе Cisco IOS. Процесс загрузки состоит из трех этапов:

1. Выполнение процедуры POST (самотестирование после включения питания) и загрузка программы начального запуска.

2. Обнаружение и загрузка ПО Cisco IOS.

3. Обнаружение и загрузка файла загрузочной конфигурации или вход в режим установки.

В ходе загрузки сетевых устройств Cisco полезно следить за сообщениями, которые появляются в это время на консоли. После загрузки программного обеспечения Cisco IOS технический специалист с помощью командной строки может убедиться, что оборудование и программное обеспечение полностью работоспособны.

Команда show version отображает версию операционной системы и сообщает, распознаны ли все интерфейсные устройства.

Команда show flash отображает содержимое флэш-памяти, включая файл образа Cisco IOS. Она также отображает объем флэш-памяти, используемый в настоящее время, и объем свободной памяти.

Команда show ip interfaces brief отображает рабочее состояние интерфейсов устройства и присвоенные им IP-адреса. 

Команды show running-configuration и show startup-configuration проверяют, распознаны ли все команды конфигурации во время перезагрузки.

Если устройство загружается с ошибками и нарушает функционирование сети, то его необходимо заменить заведомо исправным устройством, чтобы восстановить работу сетевых служб для конечных пользователей. После восстановления работы следует уделить время диагностике и ремонту отказавшего устройства.


После успешной загрузки маршрутизатора загораются зеленые светодиодные индикаторы. При возникновении ошибок в процессе загрузки устройства Cisco по умолчанию предпринимают определенные действия, пытаясь устранить ошибку. Например, устройства могут загрузиться в режиме ROMmon. Существует пять распространенных ошибок загрузки, с каждой из которых связана своя стратегия диагностики.

Устройство не проходит POST

Если устройство не прошло процедуру самоконтроля во время загрузки (POST), на консоль не будет выведено никакой информации. Кроме того, у разных устройств системные светодиодные индикаторы могут при этом гореть другим цветом или мигать. Описание светодиодных индикаторов можно найти в документации к устройству. Устройство, не подходящее POST, следует выключить, отсоединить от сети и извлечь из него все интерфейсные модули. Затем устройство следует перезагрузить. Если процедура POST снова не будет пройдена, устройству необходимо сервисное обслуживание. При успешном завершении процедуры POST без установленных интерфейсных модулей причиной сбоя может быть неисправность одного интерфейсного модуля. Чтобы найти неисправный модуль, отключите питание и по отдельности устанавливайте каждый модуль, всякий раз выполняя перезагрузку. Обнаружив неисправный модуль, замените его заведомо исправным и перезапустите устройство. 

Повреждение образа Cisco IOS во флэш-памяти

Если файл образа во флэш-памяти поврежден или отсутствует, загрузчик не сможет найти пригодный файл, содержащий Cisco IOS. Некоторые устройства на базе Cisco IOS снабжены образами с ограниченными функциональными возможностями, которые загружаются и выполняются в том случае, если во флэш-памяти и других указанных местах найти образ не удалось. Этот образ называется вспомогательным загрузчиком (boothelper). Образы вспомогательных загрузчиков не всегда обладают достаточными функциональными возможностями для успешного выполнения необходимых команд конфигурации и приведения устройства в рабочее состояние. В отсутствие вспомогательного загрузчика устройство входит в режим ROMmon. Команды ROMmon загружают требуемый образ Cisco IOS с сервера TFTP.


Неисправность или ошибка распознавания памяти

Если для распаковки образа не хватает памяти, устройство будет быстро выдавать на консоль серию ошибок или циклически перезагружаться. Устройство можно загрузить в режиме ROMmon, выдав команду Ctrl-Break во время запуска. В режиме ROMmon можно просмотреть состояние памяти командами. Для восстановления нормального функционирования устройства, вероятно, потребуется заменить память или расширить ее объем.

Невозможность распознания интерфейсных модулей

Неисправные или неправильно установленные интерфейсные модули могут быть неверно распознаны системой при прохождении POST и загрузке Cisco IOS. В этом случае список доступных интерфейсов, выдаваемый по команде "show version", не будет соответствовать составу физически присутствующих модулей. Для нового интерфейсного модуля следует убедиться, что он поддерживается установленной версией Cisco IOS, и в системе присутствует достаточно памяти для поддержки модуля. Чтобы определить, носит ли проблема аппаратный характер, обязательно следует выключить устройство, отсоединить его от электросети и повторно установить модуль в устройство. Если даже после повторной установки модуль не будет распознан при загрузке, его следует заменить заведомо исправным.

Повреждение или отсутствие файла конфигурации

В отсутствие работоспособного файла загрузки некоторые устройства Cisco запускают средство автоматической установки. Это средство рассылает широковещательный запрос TFTP для загрузки файла конфигурации. Другие устройства незамедлительно переходят в диалоговый режим задания начальной конфигурации – средство настройки или режим настройки. Устройства, снабженные средством автоматической установки, также могут перейти в режим настройки, если в течение пяти минут не поступит ответа от TFTP-сервера Для повторной загрузки или повторного создания конфигурации следует использовать TFTP или ручной режим настройки. Устройства не начинают передавать трафик до тех пор, пока не будет загружена работающая конфигурация.


Ошибки интерфейсов маршрутизатора обычно являются первым признаком нарушений кабельных соединений и связности сети на 1-м и 2-м уровнях. Диагностику этих проблем следует начать с просмотра статистики, накопленной на проблемном интерфейсе, с помощью команды show interfaces, а также с просмотра состояния интерфейсов командой show ip interface brief.

Выходные данные команды show ip interface briefсодержит сводку интерфейсов устройства, в которой указывается IP-адрес и состояние интерфейса.

Сообщение Up/up status означает, что устройство функционирует исправно как в части передающей среды, так и в части протокола 2-го уровня.
Сообщение Down/down status указывает, что имеет место проблема с подключением или передающей средой. 
Сообщение Up/down status указывает, что передающая среда подключена правильно, но протокол 2-го уровня не функционирует или неверно настроен.


К распространенным проблемам с кабелем или передающей средой, вызывающим состояние "down/down", относятся:

Плохо закрепленный кабель или чрезмерное натяжение кабеля – при нарушении одного контакта соединение перестает работать.
Неправильная концевая разделка – необходимо следить за соблюдением соответствующих стандартов и правильной разделкой кабеля в разъемах.
Повреждение разъема последовательного интерфейса – согнутые или выломанные контакты на интерфейсном разъеме.
Обрыв или короткое замыкание в кабеле – при наличии проблем в электрической цепи интерфейс не сможет детектировать сигналы.


К распространенным проблемам 2-го уровня, вызывающим состояние "up/down", относятся:

Неверная настройка инкапсуляции.
Количество сообщений проверки на активность, полученных на интерфейсе.



В некоторых случаях ошибки передающей среды не проявляются в достаточной мере, чтобы привести к выходу из строя соединения, но ухудшают производительность сети. Команда show interfaces предоставляет дополнительную информацию, которую можно использовать для диагностики подобных ошибок на уровне передающей среды. 

В выходных данных команды show interfaces можно обратить внимание на следующие показатели:

Чрезмерный шум – на Ethernet и последовательных интерфейсах присутствие большого числа ошибок CRC при невысоком числе коллизий означает наличие чрезмерно высокого шума. Ошибки CRC обычно свидетельствуют о проблемах с передающей средой или кабелем. Частыми причинами являются электрические наводки, плохо закрепленные или поврежденные разъемы, а также неверно выбранный тип кабеля. 
Высокое число коллизий – коллизии, как правило, возникают в полудуплексных Ethernet-соединениях и в коллективно используемой передающей среде. Чрезмерно высокое число коллизий также может быть следствием повреждения кабеля. 
Высокое число карликовых кадров – карликовые кадры (runt frames) чаще всего бывают вызваны неисправностью сетевой платы, но могут быть обусловлены и другими причинами, например, чрезмерно высоким числом коллизий.
Поздние коллизии – в правильно спроектированной и настроенной сети поздние коллизии не должны возникать никогда. Их основной причиной является чрезмерная протяженность кабелей. Также, возможно, не совпадают настройки дуплексного режима у разных устройств.



При диагностике проблем в локальной сети в центре внимания обычно оказываются коммутаторы, поскольку большинство пользователей локальной сети подключаются к ней через порты коммутатора. Многие команды show в Cisco IOS могут использоваться для сбора диагностической информации с маршрутизаторов. Кроме того, у каждого порта коммутатора есть светодиодный индикатор, показания которого весьма ценны для диагностики.

Приступая к диагностике проблем в локальной сети, следует в первую очередь убедиться, что порт коммутатора, к которому подключен пользователь, активен, а соответствующие светодиоды горят. Наличие физического доступа к коммутатору поможет сэкономить время – достаточно только взглянуть на светодиодные индикаторы порта, которые будут сообщать о состоянии подключения и возможных ошибках (если горят красные или оранжевые светодиоды). Убедитесь, что оба конца подключены.

Если светодиод соединения не горит, убедитесь, что кабель подключен с обоих концов, а порт для его подключения выбран правильно. Убедитесь, что оба устройства включены и на обоих не было ошибок загрузки. Смените используемый коммутационный кабель на заведомо исправный и убедитесь, что концевая разделка выполнена правильно с учетом выбранного способа подключения. Если светодиод по-прежнему не горит, проверьте, не отключен ли порт в интерфейсе администрирования. Просмотрите параметры настройки порта коммутатора, набрав команду show running-config interface:

Switch#sh run interface fastEthernet 4/2
!
interface FastEthernet4/2
shutdown
duplex full
speed 100
end


Даже если наличие соединения подтверждается горящим светодиодом, нельзя гарантировать, что кабель полностью работоспособен. Возможно такое повреждение кабеля, при котором нарушение работы будет эпизодическим. Обычно диагностировать эту ситуацию можно с помощью команд Cisco IOS show, позволяющих заметить аномально высокое число ошибочных пакетов или частое "мигание" порта (потерю и возобновление соединения).

Команды show version и show interfaces в коммутаторах предоставляют практически те же сведения, что и их аналоги в маршрутизаторах. Для просмотра сжатой статистики по ошибкам порта следует использовать команду show interface port counters errors.

Несовпадение режимов дуплекса более свойственно коммутаторам, чем маршрутизаторам. Многие устройства способны автоматически согласовывать скорость и режим дуплекса. Если устройство на канале настроено в режиме автоматического согласования, а на противоположной стороне соединения скорость и режим дуплекса заданы вручную, может иметь место несоответствие, приводящее к коллизиям и удалению пакетов. 

Просмотреть скорость и режим дуплекса порта, а также способ их настройки (ручная настройка / автосогласование) можно с помощью команды show interface port status. 

В случае несовпадения параметров между двумя устройствами Cisco, поддерживающими протокол обнаружения устройств Cisco (CDP), сообщения об ошибках CDP выдаются на консоль или в журнальный буфер обоих устройств. Протокол CDP полезен для обнаружения ошибок и сбора статистики по портам и всей системе для соседних устройств Cisco.

Для исправления ошибок, связанных с несовпадением дуплексных режимов, следует настроить оба устройства в режиме автоматического согласования скорости и режима дуплекса. Если автоматическое согласование не дает желаемых результатов, то на каждом устройстве следует настроить вручную скорость и режим дуплекса так, чтобы эти параметры совпадали.


Диагностика проблем с подключением к глобальной сети по последовательному каналу отличается от диагностики проблем с подключениями в локальной сети. Как правило, оборудование и передающая среда глобальной сети находятся в собственности и в ведении поставщика телекоммуникационных услуг (ПТУ). По этой причине техническим специалистам важно знать способ диагностики абонентского оборудования и порядок информирования TSP о результатах.

Большинство проблем с последовательными интерфейсами и линиями можно продиагностировать и исправить, используя информацию, доступную по команде show interfaces serial. В последовательных подключениях могут иметь место проблемы, вызванные ошибками пакетов, ошибками конфигурации, а также рассогласованием параметров инкапсуляции и синхронизации. Поскольку синхронизация в последовательных подключениях к WAN обычно возлагается на блок CSU/CDU или модем, то при диагностике последовательных подключений следует обратить внимание на эти устройства. При создании прототипа сети можно настроить в маршрутизаторе функции синхронизации для DCE, тем самым исключив необходимость в CSU или модеме.

Для успешной диагностики проблем с подключением к глобальной сети важно знать тип установленного модема или CSU/CDU, а также способ приведения подготовки устройства к испытаниям в кольцевом режиме.


В строке состояние интерфейса по команде show interfaces serial могут отображаться шесть возможных состояний:

Serial x is down, line protocol is down (DTE mode) – последовательная линия x отключена, протокол линии отключен (режим DTE) – последовательный интерфейс маршрутизатора не обнаруживает сигнал на линии. Маршрутизатор сообщает, что линия и протокол 2-го уровня находятся в отключенном состоянии.

Serial x is up, line protocol is down (DTE mode) – последовательная линия x включена, протокол линии отключен (режим DTE) – последовательный интерфейс не получает сообщений проверки активности, либо имеет место ошибка инкапсуляции. Маршрутизатор сообщает, что протокол 2-го уровня отключен.

Serial x is up, line protocol is down (DCE mode) – последовательная линия x включена, протокол линии отключен (режим DCE) – если маршрутизатор формирует тактовый сигнал при подключенном кабеле DCE, но тактовая частота не настроена, то маршрутизатор сообщает, что протокол 2-го уровня отключен.

Serial x is up, line protocol is up (looped) – последовательная линия x включена, протокол линии включен (закольцовывание) – канал часто переводится в кольцевой режим для проверки соединения. Если последовательный интерфейс получает обратно собственные сигнал, он сообщает о закольцовывании линии.

Serial x is up, line protocol is down (disabled) – последовательная линия x включена, протокол линии отключен (отключение) – высокая частота ошибок вынуждает маршрутизатор перевести линию в режим отключения протокола. Проблемы такого рода обычно вызваны оборудованием.

Serial x is administratively down, line protocol is down – последовательная линия x отключена администратором, протокол линии отключен – подобное сообщение означает, что интерфейс отключен администратором с помощью команды shutdown. Обычно в этом случае для восстановления работы интерфейса достаточно ввести команду no shutdown. Если команда no shutdown не восстановила работу интерфейса, проверьте сообщения на консоли на предмет ошибок с дублирующимся IP-адресом. Если существует дублирующийся IP-адрес, необходимо устранить проблему и повторно ввести команду no shutdown.

Serial x is up, line protocol is up – последовательная линия x включена, протокол линии включен – интерфейс работает в штатном режиме.



Сети 1-го уровня создаются путем объединения устройств с использованием физической передающей среды. Сетевые протоколы 2-го уровня зависят от оборудования. Ethernet-сеть не может работать по последовательному каналу, а сетевые адаптеры Ethernet не могут устанавливать соединения в последовательном режиме.

Протоколы 3-го (сетевого) уровня не ограничены конкретным типом передающей среды, что имеет место на 2-м уровне. Одни и те же протоколы 3-го уровня могут работать в сети Ethernet, беспроводной сети, по последовательному подключению и в других сетях 2-го уровня. Сети 3-го уровня могут иметь в своем составе узлы, подключенные с использованием технологий 1-го и 2-го уровней. Основными функциями, реализуемыми на 3-м уровне модели OSI, являются адресация и маршрутизация в сетях. Сети 3-го уровня называются логическими сетями, поскольку они создаются только программно.

Сегодня в большинстве сетей для обмена информацией между узлами используются протоколы TCP/IP. По этой причине при диагностике проблем на 3-м уровне первоочередное внимание уделяется ошибкам IP-адресации и работе протоколов маршрутизации.

Диагностика проблем на 3-м уровне сети требует четкого понимания границ сети и знания IP-адресации. Небрежно спланированные и настроенные схемы IP-адресации – причина значительного числа проблем с производительностью сетей. 


На 3-м уровне каждый пакет идентифицируется IP-адресами источника и получателя, которые соответствуют двум оконечным системам. В случае протокола IPv4 заголовок каждого пакета на 3-м уровне содержит 32-разрядный адрес источника и 32-разрядный адрес получателя.

IP-адрес идентифицирует не только отдельный узел, но и локальную сеть 3-го уровня, с которой узел может обмениваться данными. Простая IP-сеть может быть образована двумя связанными узлами, для которых настроены уникальные адреса с одинаковым префиксом сети и маской подсети. 

Для обмена данными по протоколу TCP/IP устройству необходимо иметь IP-адрес. Отдельные IP-сети 3-го уровня содержат несколько IP-адресов. Границы этих сетей определяются числом битов, содержащихся в префиксной части адреса. Простое правило: чем длиннее префикс IP-сети, тем уже диапазон IP-адресов, которым могут быть присвоены узлам соответствующей сети. 

Для диагностики проблем на 3-м уровне администратор должен уметь определять диапазон адресов узлов, принадлежащих каждой отдельной IP-сети. Диапазон адресов определяется числом и положением битов узла. К примеру, если в сети 192.168.1.0/24 для подсетей заимствуются три бита, то для адресов узлов остается пять битов. Таким образом, возникают восемь подсетей (2^3=8), каждая из которых может содержать до 30 узлов (2^5 - 2 = 30). 

В подсети 192.168.1.96/27 первому узлу соответствует адрес 192.168.1.97, а последнему узлу – адрес 192.168.1.126. Широковещательный адрес для этой подсети – 192.168.1.127. Это легко иллюстрируется двоичным представлением последнего октета:

(подсеть 011) 96 + (первый узел 00001) 1 = (01100001) или 97 в десятичной системе

(подсеть 011) 96 + (последний узел 11110) 30 = (01111110) 126 

(подсеть 011) 96 + (широковещательный адрес 11111) 31 = (01111111) 127

В этом примере используется адрес класса C. Такие же принципы действуют для адресов класса A и B. Следует помнить, что биты узла могут занимать сразу несколько октетов. 


При произвольном присвоении IP-адресов было бы сложно определить местонахождение источника и получателя по их адресам. Сегодня в большинстве сетей применяется иерархическая схема IP-адресации. Иерархические схемы IP-адресации обладают рядом преимуществ, включая уменьшение размера таблиц маршрутизации с уменьшением вычислительной сложности их обработки. Иерархическая IP-адресация также закладывает более четкую структуру сетевого окружения, упрощая документирование, диагностику и расширение сети. 

Однако при плохом планировании иерархической сети или недостаточно тщательном документировании возникают различные проблемы, такие как наложение подсетей и ошибки в настройке масок подсетей. Эти два фактора являются причиной большинства проблем с IP-адресацией и маршрутизацией в сетях. 

Наложение подсетей происходит в том случае, когда диапазоны IP-адресов двух разных подсетей перекрываются, приводя к появлению узлов с совпадающими адресами или одинаковых широковещательных адресов. Чаще всего наложение – следствие небрежного документирования сети, либо результат ошибки при вводе маски или префикса. Наложение подсетей не всегда влечет за собой полный выход из строя сети. Оно может оказать влияние только на несколько узлов, в зависимости от непосредственного местоположения конфликтующей маски подсети.


Программное обеспечение Cisco IOS позволяет настроить IP-адрес в перекрывающихся подсетях на двух различных интерфейсах. Однако маршрутизатор не разрешит активировать второй интерфейс. 

Для примера предположим, что на интерфейсе Fast Ethernet 0/0 маршрутизатора R1 настроены IP-адрес и маска подсети 192.168.1.0/24. Если для интерфейса Fast Ethernet 0/1 настроены IP-адрес и подсеть 192.168.1.0/30, появится сообщение об ошибке наложения адресов. При попытке активировать интерфейс командой no shutdown появится второе сообщение об ошибке. Трафик через интерфейс пересылаться не будет. В выходных данных команды show ip interface brief будет указано, что второй интерфейс (FastEthernet 0/1), настроенный для сети 192.168.1.0/24, неактивен. 

После изменения конфигурации важно всегда проверять состояние интерфейсов. Если интерфейс остается в состоянии отключения администратором даже после команды no shutdown, то может иметь место проблема с IP-адресацией.


Несмотря на то, что программное обеспечение Cisco IOS не допускает возможность настройки накладывающихся подсетей на нескольких интерфейсах одного устройства, оно не может предотвратить появление таких подсетей в результате ошибочной настройки разных устройств или узлов.

Неверно настроенная маска подсети может нарушить доступность сетевых служб для отдельных узлов сети. Ошибки настройки маски подсети также имеют многочисленные труднодиагностируемые проявления. 


Небрежное планирование распределения IP-адресов может вызвать ряд других проблем. Часто администратор недооценивает потенциал роста сети при проектировании подсетей, в результате чего схема IP-адресации не оставляет достаточного числа адресов для узлов каждой подсети. Одним из свидетельств переполнения подсети узлами является случай, когда узел не может получить IP-адрес у DHCP-сервера.

Если узел под управлением Microsoft Windows не может получить адрес у DHCP-сервера, он автоматически присваивает себе адрес в сети 169.254.0.0. В подобной ситуации можно проверить наличие свободных адресов на DHCP-сервере командой show ip dhcp binding.

Другим свидетельством недостатка IP-адресов является сообщение об ошибке узла, указывающее на существование дублирующихся IP-адресов. Если узел отключен в тот момент, когда истекает срок аренды его адреса у DHCP-сервера, адрес возвращается в пул DHCP и может быть назначен другому узлу. После повторного включения узел, первоначально арендовавший IP-адрес, запрашивает продление аренды своего прежнего IP-адреса. В сети Microsoft Windows оба узла сообщат о дублировании IP-адресов.


DHCP создает дополнительный уровень сложности при поиске и устранении проблем с сетью. Если узлы настроены для использования DHCP, но не могут подключиться к сети, следует проверить назначенные IP-адреса, используя команду Windows ipconfig /all. Если узлы не получают назначенные IP-адреса, необходимо исследовать конфигурацию DHCP. 

Независимо от того, настроена ли служба DHCP на отдельном сервере или на маршрутизаторе, первый этап диагностики должен состоять в проверке физических подключений. Если используется отдельный сервер, следует проверить, получает ли он сетевой трафик. Если служба DHCP настроена на маршрутизаторе, следует проверить работоспособность интерфейса с помощью команды маршрутизатора show interfaces. Если сетевой интерфейс узла отключен, то порт не будет пропускать никакой трафик, в том числе запросы DHCP. 

Далее следует убедиться, что DHCP-сервер настроен правильно и имеет доступные для аренды IP-адреса. Убедившись в правильности этих настроек, следует проверить наличие конфликтующих IP-адресов. Конфликты адресов возникают даже в том случае, если в пуле DHCP имеются доступные адреса. Они могут возникнуть, если на узле статически настроен адрес, входящий в диапазон адресов DHCP-пула.

Команда show ip dhcp conflict позволяет просмотреть все конфликты адресов, отмеченные DHCP-сервером. При обнаружении конфликта адрес удаляется из пула и не присваивается до устранения конфликта администратором. 

Если ни одно из перечисленных действий не помогло продиагностировать проблему, следует проверить, действительно ли проблема связана с DHCP. Для узла следует настроить статический IP-адрес, маску подсети и шлюз по умолчанию. Если рабочей станции не удается получить доступ к сетевым ресурсам, несмотря на наличие статически настроенного IP-адреса, то DHCP не является источником проблемы. В этом случае необходимо провести проверку сетевого подключения.


DHCP – широковещательный протокол, поэтому DHCP-сервер должен отвечать на широковещательные сообщения узлов. Поскольку маршрутизаторы обычно не пересылают через себя широковещательные сообщения, необходимо либо разместить DHCP-сервер в одной локальной сети с узлами, либо настроить маршрутизатор для ретрансляции широковещательных сообщений.

С помощью команды ip helper-address маршрутизатор можно настроить для пересылки всех широковещательных пакетов, включая DHCP-запросы, на конкретный сервер. Эта команда позволяет маршрутизатору заменять широковещательные адреса получателей в пакете на конкретный адрес одноадресного типа:

Router(config-if)# ip helper-address x.x.x.x

После выполнения настройки с помощью этой команды все широковещательные пакеты, включая запросы DHCP, будут пересылаться на IP-адрес сервера, заданный этой командой. 

При пересылке запросов адресов маршрутизатор выступает в качестве агента DHCP-ретрансляции. Если DHCP-ретранслятор не функционирует, узлы не могут получить IP-адрес. В случае если ни один узел не может получить IP-адрес на DHCP-сервере, расположенном в другой сети, следует проверить, правильно ли настроен вспомогательный адрес на маршрутизаторе.


Если узлам во внутренней сети назначены частные адреса, то для обмена данными с публичной сетью требуется NAT. Обычно первым признаком проблемы с NAT является то, что пользователи теряют доступ к узлам в Интернете. Существуют три вида трансляции адресов: статическая, динамическая и трансляция адресов портов (PAT). Два наиболее распространенных типа ошибок настройки относятся ко всем трем методам трансляции.

Неверное определение внутренних и внешних интерфейсов

Важно, чтобы внутренние или внешние интерфейсы для NAT были определены правильно. В большинстве реализаций NAT, внутренний интерфейс подключается к локальной сети, использующей частное пространство IP-адресов. Внешний интерфейс подключается во внешней сети, обычно – к поставщику услуг Интернета. Проверить эту конфигурацию можно с помощью команды show running-config interface.

Неверное назначение IP-адреса интерфейса или адресов пула

В большинстве реализаций NAT пул IP-адресов и записи статической трансляции NAT должны использовать IP-адреса в общей локальной IP-сети с внешним интерфейсом. В противном случае преобразование адресов выполняться будет, но определить маршрут к преобразованным адресам будет невозможно. Следует проверить конфигурацию, убедившись в том, что все преобразованные адреса доступны. Если настройки трансляции адресов предполагают использование адреса внешнего интерфейса в PAT, то следует убедиться, что адрес интерфейса находится в соответствующей сети, и что для него правильно настроена маска подсети.

Другая распространенная проблема проявляется в том, что при включенной NAT- или PAT-трансляции внешние пользователи не могут подключиться к внутренним устройствам. Если внешним пользователям необходим доступ к конкретным серверам во внутренней сети, следует убедиться в наличии настроенных статических преобразований.


Если правильность настройки NAT не вызывает сомнений, важно проверить работоспособность NAT. 

Одна из наиболее полезных команд для проверки работоспособности NAT – show ip nat translations. После просмотра существующих записей трансляции их следует удалить командой clear ip nat translation *. Необходимо помнить, что удаление всех записей трансляции на маршрутизаторе может помешать работе пользователей. Затем следует снова выполнить команду show ip nat translations. Если появились новые записи трансляции, то потеря доступа в Интернет вероятнее всего обусловлена другой проблемой. 

Необходимо проверить наличие маршрута в Интернет для преобразованных адресов. Команда traceroute определяет путь, выбираемый для преобразованных пакетов, и проверяет его корректность. Кроме того, по возможности следует выполнить трассировку маршрута к транслируемому адресу от удаленного устройства во внешней сети. Это поможет локализовать следующий объект для диагностики. На маршрутизаторе, на котором выходные данные команды трассировки прекращаются, может иметь место проблема с маршрутизацией.


Функции 3-го уровня состоят в адресации сетей и узлов, а также реализации протоколов для обмена пакетами между сетями. 

В большинстве сетей имеются различные типы маршрутов, включая сочетания статических, динамических маршрутов и маршрутов по умолчанию. Проблемы с маршрутизацией могут приводить к сбоям сетей и ухудшению производительности сетей. Эти проблемы могут быть вызваны ошибками при ручном вводе таблиц маршрутизации, ошибками в конфигурации и работе протокола маршрутизации, а также сбоями на нижних уровнях модели OSI.

Для диагностики проблем на 3-м уровне важно понимать принцип работы маршрутизации, включая способ настройки различных функций маршрутизации. 

Прежде чем продолжать изучение данной главы, рекомендуется повторить разделы курсов CCNA Discovery: Сети для домашних пользователей и малых предприятий и CCNA Discovery: Работа на малых и средних предприятиях или у поставщиков услуг Интернета, посвященные протоколам маршрутизации.


Частые изменения состояния сети могут быть вызваны разными причинами, в том числе:

сбоем интерфейса; 
разрывом соединения со стороны поставщика услуг Интернета;
перегрузкой доступной полосы пропускания;
ошибками в задании конфигурации администратором.


При изменении состояния сети возможна потеря маршрута, либо вставка неверного маршрута в таблицу маршрутизации.

Основным средством диагностики проблем с маршрутизацией на 3-м уровне является команда show ip route. Эта команда отображает все маршруты, по которым маршрутизатор пересылает трафик. Таблица маршрутизации состоит из записей маршрутов, получаемых из следующих источников:

непосредственно подключенные сети;
статические маршруты;
протоколы динамической маршрутизации.


Протоколы маршрутизации выбирают предпочтительные маршруты исходя из метрик. Сети, подключенные напрямую, имеют нулевую метрику, статические маршруты по умолчанию также имеют нулевую метрику, а динамические маршруты имеют различные метрики маршрутизации в зависимости от используемого протокола маршрутизации. 

Если в конкретную сеть имеется несколько маршрутов, в таблицу маршрутизации устанавливается маршрут с наименьшим административным расстоянием (AD). 

При всех подозрениях на проблемы с маршрутизацией следует проверять наличие ожидаемых маршрутов в таблице маршрутизации командой show ip route. 


Проблемы с подключенными маршрутами

Маршруты, подключенные напрямую, устанавливаются в таблице маршрутизации автоматически после настройки IP-адреса на интерфейсе и включении интерфейса командой no shutdown. Если напрямую подключенный маршрут не появляется в таблице, необходимо с помощью команды show interfaces или show ip interface brief убедиться, что назначен адрес и что интерфейс находится в активном состоянии (up/up).

Проблемы со статическими маршрутами и маршрутом по умолчанию

Если в таблице маршрутизации отсутствует статический маршрут или маршрут по умолчанию, причиной проблемы чаще всего является ошибка конфигурации. Статические маршруты и маршруты по умолчанию должны использовать либо выходной интерфейс, либо IP-адрес маршрутизатора на следующем переходе. Ошибки статической маршрутизации иногда возникают по той причине, что адрес следующего перехода не находится ни в одном диапазоне IP-адресов напрямую подключенных сетей. Следует проверить, правильно ли заданы операторы настройки и находятся ли выходные интерфейсы маршрутов в активном состоянии. 

Проблемы с динамической маршрутизацией

Существует весьма различные виды проблем, препятствующих регистрации динамических маршрутов в таблице маршрутизации. Поскольку протоколы динамической маршрутизации обмениваются таблицами маршрутизации со всеми прочими маршрутизаторами в сети, отсутствие одного маршрута может быть вызвано неверной настройкой одного или нескольких маршрутизаторов на пути к получателю. 


Ошибки таблицы маршрутизации обычно возникают при настройке новой сети или в случае недоступности сети, которая уже настроена. 

Если в таблице присутствуют маршруты, подключенные напрямую, то обращение к таблице маршрутизации и ее изменение происходят только при смене состояния подключенного интерфейса. Если же настроены статические или динамические маршруты, то таблица маршрутизации изменяется при указании новых маршрутов и при смене состояния выходного интерфейса, указанного в статическом или динамическом маршруте.

Протоколы динамической маршрутизации автоматически рассылают обновления другим маршрутизаторам в сети. Если включена динамическая маршрутизация, то маршрутизатор открывает и изменяет собственную таблицу маршрутизации всякий раз, когда от соседнего маршрутизатора поступает обновление с изменением маршрута. 

RIP – протокол динамической маршрутизации, используемый в локальных сетях малого и среднего масштаба. При диагностике специфических проблем RIP следует проверять операторы версий и конфигурации.

Всегда следует использовать одну и ту же версию протокола маршрутизации на всех маршрутизаторах. Несмотря на то, что протоколы RIPv1 и RIPv2 совместимы, RIPv1 не поддерживает бесклассовую маршрутизацию и маски подсети переменной длины (VLSM). Это может вызвать проблемы в том случае, если RIPv1 и RIPv2 настроены для работы в одной и той же сети. Кроме того, протокол RIPv2 автоматически распознает поступающие от соседних маршрутизаторов обновления версий RIPv1 и RIPv2, в то время как RIPv1 не распознает обновления версии RIPv2. 

Проблемы с маршрутизацией также возникают в том случае, если операторы задания сети неверны или отсутствуют. Оператор задания сети выполняет две функции:

он инструктирует протокол маршрутизации отправлять и принимать обновления по любым локальным интерфейсам, принадлежащим сети;
он включает указанную сеть в обновления маршрутизации, рассылаемые им соседним маршрутизаторам.


В случае ошибочного или пропущенного оператора задания сети достоверность обновлений нарушается, и интерфейс может оказаться неспособен отправлять или принимать обновления маршрутизации.


Существует много средств для устранения проблем с динамической маршрутизацией. 

Для проверки соединения используются утилиты TCP/IP, например, ping и traceroute. Для проверки соединения и выполнения изменений в конфигурации может использоваться протокол Telnet. Команды Cisco IOS show отображают моментальный снимок конфигурации или состояние конкретного компонента. В набор команд Cisco IOS также входят различные отладочные команды. 

Отладочные команды являются динамическими и предоставляют информацию о движении трафика и взаимодействии протоколов в реальном времени. Например, команда debug ip rip позволяет следить за динамикой обмена обновлениями маршрутов и пакетами RIP. 

Отладочные функции используют значительный объем процессорных ресурсов и способны вызвать замедление или прекращение нормальной работы маршрутизатора. По этой причине их следует использовать только для локализации неполадок, а не для мониторинга нормальной работы сети.


Уровень 4 (транспортный уровень) считается переходным от верхних к нижним уровням модели OSI. Этот уровень отвечает за транспортировку пакетов данных. Он предусматривает адресацию конкретных приложений путем указания номеров портов. Проблемы с сетью на 4-м уровне могут возникнуть на границе сети, где средства безопасности анализируют и изменяют трафик. Многие проблемы бывают вызваны межсетевыми экранами, настроенными на запрет прохождения трафика по номерам портов, даже если этот трафик необходимо переслать.

Уровень 4 поддерживает как UDP-, так и TCP-трафик. Некоторые приложения используют протоколы TCP, другие – протоколы UDP. Существуют приложения, использующие оба вида протоколов. При запрете трафика по номеру порта важно указывать конкретный запрещаемый протокол. Иногда инженеры, не владея точной информацией о протоколах, используемых конкретными приложениями, запрещают и TCP-, и UDP-трафик для определенных портов. Эта практика может привести к непреднамеренному запрету трафика, который должен пропускаться.

Кроме того, межсетевые экраны часто настраиваются так, что по умолчанию запрещается весь трафик, после чего трафик для конкретных приложений разрешается отдельными операторами. Если разрешенный трафик не указан в операторах межсетевого экрана или в сети установлено новое приложение без добавления соответствующих разрешений на межсетевом экране, то могут возникнуть проблемы с фильтрацией.

Свидетельством проблем на 4-м уровне часто являются жалобы от пользователей на недоступность определенных веб-сервисов, особенно связанных с передачей видео- и аудиоданных. 

Необходимо проверить, правильно ли на межсетевом экране указаны порты разрешенных и запрещенных приложений. Чтобы точнее определять, какие порты соответствуют различным приложениям, следует повторить материал о протоколах TCP, UDP и портах в курсах CCNA Discovery: Сети для домашних пользователей и малых предприятий и CCNA Discovery: Работа на малых и средних предприятиях или у поставщиков услуг Интернета.


Большинство протоколов верхних уровней предоставляют пользователям сетевые службы, обычно используемые для управления сетью, передачи файлов, распределенной работы с файлами, эмуляции терминалов и электронной почты. Протоколы этих уровней часто называются протоколами прикладного уровня TCP/IP, поскольку в модели TCP/IP прикладной уровень вбирает в себя три верхних уровня модели OSI.

Наиболее известными и чаще всего реализуемыми протоколами прикладного уровня TCP/IP являются: 

Telnet – позволяет пользователям устанавливать терминальные сеансы с удаленными узлами.
HTTP – поддерживает обмен текстом, графическими изображениями, звуковыми, видео и другими мультимедийными файлами во "Всемирной паутине".
FTP – реализует интерактивный обмен файлами между узлами по протоколу TCP.
TFTP – реализует обмен файлами по протоколу TCP на базовом уровне, обычно – между узлами и сетевыми устройствами.
SMTP – поддерживает доставку сообщений электронной почты на базовом уровне.
POP3 – служит для подключения к серверам электронной почты и загрузки электронной почты в клиентские приложения.
IMAP4 – позволяет клиентам электронной почты извлекать сообщения и сохранять электронную почту на серверах.
SNMP – собирает информацию с управляемых устройств.
NTP – информирует узлы и сетевые устройства о точном текущем времени.
DNS – связывает IP-адреса с именами, присвоенными узлам.
SSL – обеспечивает шифрование и безопасность для операций HTTP.
SSH – предоставляет защищенный доступ с удаленных терминалов к серверам и сетевым устройствам.



Локализация проблем на верхних уровнях может быть сопряжена с определенными сложностями, особенно в том случае, если в конфигурации клиента отсутствуют очевидные проблемы. Чтобы определить, действительно ли проблема в сети относится к функции верхнего уровня, следует начать с исключения простейших причин, относящихся к низкоуровневому соединению. 

В соответствии с методом диагностики "разделяй и властвуй" первым шагом должна стать проверка соединения на 3-м уровне.

Шаг 1. Отправьте эхо-запрос на шлюз по умолчанию. 

Шаг 2. Проверьте наличие сквозного соединения. 

Шаг 3. Проверьте конфигурацию маршрутизации.

Шаг 4. Убедитесь, что NAT функционирует правильно. 

Шаг 5. Проверьте правила фильтрации на межсетевом экране.

Если проблема имеет место в удаленной сети, проверить наличие сквозного соединения нельзя, поскольку не ко всем участкам соединения есть физический доступ. Поэтому возможна ситуация, когда даже при верной конфигурации локальных устройств остаются проблемы с удаленной сетью. Следует обратиться к ISP, чтобы проверить работоспособность сетевого подключения со стороны поставщика услуг. 

Если все эти шаги успешно выполнены и установлено, что сквозное соединение не является причиной проблемы, но оконечное устройство по-прежнему не работает требуемым образом, то проблема локализована на верхних уровнях.


Проблемы на верхних уровнях не позволяют предоставлять сетевые службы прикладным программам. Следствием проблемы на верхних уровнях может стать недоступность или невозможность использования ресурсов, даже при исправной работе нижних уровней. Сеть может быть полностью работоспособна с точки зрения пересылки данных, но эти данные не могут быть получены от приложений.

Проблемы с верхними уровнями, как правило, влияют всего на одно или несколько приложений. Специалистам службы поддержки нередко приходится иметь дело с пользователями, которым не удается получить электронную почту, хотя все остальные приложения функционируют нормально. 

Неверная настройка клиентских приложений – причина большинства проблем на верхних уровнях сети. Если неверно указан адрес сервера электронной почты или FTP-сервера, клиентское приложение не сможет отыскать и получить информацию. Если проблема распространяется сразу на несколько приложений, то на верхнем уровне ее причиной могут быть неполадки на DNS-сервере. 

Чтобы установить, правильно ли функционирует DNS-сервер и способен ли он преобразовывать адреса серверов, воспользуйтесь командой nslookup. Если DNS-сервер не функционирует, проверьте, правильно ли указан адрес DNS-сервера на узле. Если узлы получают информацию о DNS-сервере от DHCP-сервера, проверьте, правильно ли указан на DHCP-сервере IP-адрес DNS-сервера.

Если DNS-сервер исправен и доступен, проверьте систему на предмет ошибок конфигурации зон DNS. Проверяя файлы, следите за отсутствием опечаток в адресах и именах.


Верхние уровни отвечают за шифрование и сжатие. Несовпадение между способом шифрования или сжатия данных клиентом и способом интерпретации этих данных сервером может привести к неработоспособности или ухудшению работы приложений. 

Если проблема возникла на отдельном узле или рабочей станции, она может быть связана со способом интерпретации данных программным обеспечением узла. Функции верхнего уровня часто выполняются подключаемыми модулями веб-обозревателей, например, модулем Adobe Reader. Для правильного отображения веб-страниц необходимы текущие версии этих программ. 

Выбор неверного протокола для запроса данных может проявиться как недоступность веб-страницы. Например, для доступа к защищенной веб-странице с SSL-шифрованием в строке веб-обозревателя может быть необходимо указать протокол https://, а не http://.


Telnet – превосходный инструмент для диагностики проблем с функциями верхних уровней. Доступ к сетевым устройствам по протоколу Telnet позволяет техническому специалисту вводить команды для разных устройств, не находясь рядом с ними. Кроме того, возможность доступа к устройствам по протоколу Telnet означает, что между устройствами существует связь на низком уровне.

Вместе с тем, Telnet – незащищенный протокол. Все пересылаемые данные могут перехватываться и прочитываться. Если существует опасность несанкционированного перехвата пересылаемых данных, то взамен Telnet следует использовать протокол защищенной командной оболочки (SSH). SSH обеспечивает более безопасный способ работы с удаленными устройствами. 

В большинстве новых версий программного обеспечения Cisco IOS имеется SSH-сервер. В некоторых устройствах эта сетевая служба по умолчанию включена. В других устройствах SSH-сервер требуется включать вручную. 

Устройства на базе Cisco IOS также содержат SSH-клиент, который можно использовать для установления SSH-сеансов с другими устройствами. Точно так же можно использовать удаленный компьютер с SSH-клиентом для запуска защищенного сеанса командной строки. Во многих операционных системах клиентское программное обеспечение SSH по умолчанию не предусмотрено. Техническому специалисту может потребоваться приобрести, установить и настроить клиентское ПО SSH на компьютере.

Для повторения методики настройки и использовании SSH следует обратиться к материалу курса CCNA Discovery: Работа на малых и средних предприятиях или у поставщиков услуг Интернета.


Сертификация Cisco для технических специалистов начального уровня (CCENT) подтверждает владение навыками, необходимыми для работы в службах поддержки сетей на должностях, требующих начальной квалификации и дающих превосходные возможности для успешного старта карьеры в области сетей. Сертификация CCENT – это первый шаг к сертификации CCNA (сертифицированный Cisco младший сетевой специалист), ориентированной на поддержку сетей корпоративных филиалов среднего размера с более сложной структурой соединений. Для прохождения сертификации CCENT кандидат должен пройти экзамен ICND1 в сертифицированном экзаменационном центре компании Cisco.

Экзамен ICND1 (640-822) проверяет способность развертывать, эксплуатировать и диагностировать сеть небольшого филиала. Этот экзамен охватывает основы организации сетей:

Подключение к сети WAN
Основы безопасности и беспроводной связи
Маршрутизация и коммутация 
Модели TCP/IP и OSI
IP-адресация
Технологии глобальных сетей
Использование и настройка устройств с Cisco IOS
Настройка RIPv2, статических маршрутов и маршрутов по умолчанию
Реализация NAT и DHCP
Настройка несложных сетей


Прохождение сертификационного экзамена Cisco – непростая задача. Компания Cisco поддерживает сложность экзаменов серии CCNA, регулярно меняя экзаменационные требования. Некоторые кандидаты сдают экзамен с первого раза, другим требуется несколько попыток, кто-то не сдает его вовсе. Прилежная подготовка – лучший способ сдать экзамен с первой попытки.


Перед началом сертификационного экзамена важно уяснить для себя его цель. Целью сертификационных экзаменов Cisco является оценка знаний, навыков и способностей экзаменуемого в конкретной области специализации. В экзаменах используется сочетание приемов, позволяющих кандидату продемонстрировать свою готовность решать разные задачи в сетях. Экзамен может содержать вопросы с несколькими вариантами ответов, различные упражнения, а также задачи по настройке сети в имитируемом окружении. Все вопросы и задания связаны с конкретными рабочими задачами. На веб-сайте сертификации Cisco перечислены цели экзамена ICND1. 

Веб-сайт сертификации компании Cisco


Для выполнения большинства задач, связанных с сетями, необходимо оперировать усвоенными знаниями. Подобные знания состоят из фактов. При подготовке к сертификационному экзамену следует определить, какие факты связаны с каждой из его целей. Некоторым для ускорения запоминания будет удобно записать эти знания на бумажных карточках. Несмотря на то, что на экзамене некоторая часть вопросов связана со знанием основных фактов, для диагностики и решения сетевых проблем одного знания фактов мало.


При выполнении различных задач нужны весьма разнообразные навыки. Некоторые навыки весьма просты, например, подготовка и разделка кабеля с перекрестной коммутацией. Другие навыки требуют более серьезной подготовки, например, правильное использование механизма IP-подсетей. 

Для профессионального овладевания сетевыми навыками необходима практика. Лабораторные работы и упражнения с использованием Packet Tracer предоставляют структурированную систему отработки навыков. 

Сертификация Cisco состоит в оценке и проверке сетевых навыков кандидата на примере работы с сетевыми устройствами Cisco. По этой причине очень важно уделять время практике с программным обеспечением Cisco IOS. Во многих заданиях на экзамене требуется интерпретировать выходные данные команд Cisco IOS, в особенности – выходных данных различных команд группы show.


Способность планировать, организовывать, действовать и решать проблемы – важнейший фактор успеха для технического специалиста начального уровня. В условиях сертификационного экзамена эти способности оцениваются в заданиях по настройке и диагностике. При разработке экзаменов была поставлена цель воспроизвести реальные условия, в которых специалистам приходится работать с сетями. Эти условия реализованы на экзамене с помощью сценариев и моделей. 

Подготовка к заданиям, основанным на сценариях и моделях, не столь проста, как запоминание фактов и отработка конкретных навыков. В этих заданиях нужно уметь применять и факты, и навыки для решения проблемы или выполнения поставленных условий. 

Один из лучших способов развить собственные способности в части устранения неисправностей – начать с анализа знаний и навыков, необходимых для решения конкретных задач в сетях. Определив, какими сведениями необходимо владеть, представьте, что бы произошло, если бы этой информации не было. Подготовьте список возможных вариантов развития ситуации с указанием навыков, необходимых для локализации и устранения возможных проблем. Это может показаться сложным, но легко иллюстрируется несколькими примерами: 

Что бы произошло, если бы технический специалист по сетям не знал точное число адресов узлов, доступных с конкретной маской подсети? Как можно было бы диагностировать и устранять проблемы?
Какая проблема может возникнуть в сети с протоколом RIPv2, где между адресами источника и получателя имеется более 15 переходов? Как будет проявляться эта проблема? Как можно ее устранить?



Подготовка к сертификационному экзамену может потребовать значительных усилий. Требуется усвоить огромный объем информации, отработать множество навыков и сохранять стремление к успеху. Как и монтаж сети для клиента, подготовка к экзамену будет более успешной, если ее поделить на несколько небольших шагов: 

1. Подтверждение намерения.

2. Создание плана.

3. Отработка тестирования. 

Пройдя эти шаги, вы сможете уверенно начать готовиться к сдаче экзамена.


Первый шаг к получению сертификата Cisco – подтвердить свое намерение посвятить необходимое время и усилия подготовке к экзамену. Этому намерению должен быть отдан наивысший приоритет, поскольку подготовка поглотит время, ранее отводившееся для других занятий. 

Кроме времени, для подготовки к экзамену нужна концентрация внимания. Найдите у себя дома или в своем учебном заведении место, где вы можете долго и непрерывно заниматься подготовкой. Изучение и отработка навыков работы с сетями может стать чрезвычайно трудной, если от нее отвлекают посторонние факторы.

Не менее важным является наличие требуемого оборудования и ресурсов. Убедитесь, что у вас есть доступ к компьютеру, материалам онлайнового курса и программному обеспечению Packet Tracer. Обсудите с инструктором график лабораторного времени для отработки навыков на фактическом оборудовании. Определите, доступен ли в вашем районе удаленный доступ к лаборатории через Интернет.

Поставьте в известность друзей и родственников о том, что вы готовитесь к сертификации CCENT. Объясните им, что во время подготовки вам потребуются их участие и поддержка. Даже если они не знакомы с сетями, они будут в состоянии помочь вам в подготовке карточек и проверке ответов на практические вопросы. Как минимум они смогут уважительно отнестись к тому, что вы решили выделить время для непрерывного обучения. Если ваши однокурсники также готовятся к экзамену, будет полезным создать общий кружок по подготовке.


Подтвердив свое намерение выделить необходимое время для подготовки к экзамену ICND1, переходите к следующему шагу – разработке плана. План подготовки к сертификации будет содержать информацию о том, как именно вы собираетесь готовиться, ваш график подготовки и перечень ресурсов. 

Есть два способа подготовки к сертификационному экзамену: индивидуальный и групповой. Подготовка в учебной группе многим помогает лучше сосредоточиться на материале и не отставать от графика. 

Готовясь с напарником или в группе, важно иметь информацию о способах связи друг с другом, о расписании и месте проведения встреч и других важных моментах. Не будет лишним распределить различные обязанности между членами группы, например:

Приобретение и распространение учебных материалов
Планирование лабораторных занятий
Обеспечение доступности всех необходимых расходных материалов
Наблюдение за текущими успехами группы
Поиск ответов на вопросы


Готовясь в одиночку, координировать использование ресурсов проще, но даже в этом случае наличие проработанного плана не теряет своей важности.


Установите для себя реалистичный целевой срок сдачи экзамена, приняв во внимание количество времени, доступного каждую неделю для подготовки. 

Короткие интервалы имеющегося времени уделяйте запоминанию фактов, более длинные – отработке навыков. Приступив к лабораторной работе или упражнению по отработке навыков, будет неприятно обнаружить, что их не удастся завершить из-за нехватки времени. 

Структуру графика можно взять из учебного руководства по CCENT "31 день до экзамена CCENT" (31 Days to the CCENT) издательства Cisco Press. В этом руководстве отмечены цели каждого экзамена и указаны сведения, которые необходимо изучить. В нем содержатся ссылки на разделы и темы курсов CCNA Discovery: Сети для домашних пользователей и малых предприятий и CCNA Discovery: Работа на малых и средних предприятиях или у поставщиков услуг Интернета, которые необходимо повторить и отработать на практике.

Хороший способ подготовить график – отметить все свободное время в календаре. Затем каждый блок времени следует связать с определенной задачей, например: "изучить уровни модели OSI и их функции" или "пройти практику по подсетям". Когда все задачи распределены, можно определиться со сроком сдачи экзамена.


Определите, какие инструменты и ресурсы могут помочь вам в вашей подготовке. Экзамен ICND1 проверяет знания и навыки, полученные в этом курсе, в дополнение ко всем материалам курса CCNA Discovery: Сети для домашних пользователей и малых предприятий. Доступ к онлайновой учебной программе, лабораторным работам и упражнениям с использованием Packet Tracer чрезвычайно важен для успешной подготовки. 

Помимо этих инструментальных средств, на сайте по подготовке к сертификации Cisco CCNA имеются и другие вспомогательные ресурсы. Ссылка на Центр подготовки к сертификации Cisco CCNA:

Центр подготовки к сертификации CCNA

Издательство Cisco Press выпускает различные книги, посвященные задачам экзамена CCENT. Эти книги можно приобрести в книжном магазине Cisco Marketplace.

Книжный магазин Cisco Marketplace

Вооружившись всеми необходимыми материалами, важно их систематизировать. Повторение материалов и отработка навыков CCENT создадут лишние сложности, если будут проходить беспорядочно. Информацию легче вспомнить и использовать, если она была усвоена и отработана в систематизированном виде.


В формализованных условиях экзамена знания и навыки вспоминаются и реализуются несколько иначе, чем дома или в аудитории. Важно понимать формат экзамена и порядок его прохождения. 

Посетите экзаменационный центр
Перед сдачей экзамена посетите экзаменационный центр и посмотрите, как проходит экзамен. Спросите, как будет выглядеть экзамен в вашем случае. В некоторых центрах каждому экзаменуемому выделяется отдельный кабинет, в других сразу несколько человек одновременно сдают экзамены. Узнайте, что можно принести с собой в кабинет, а особенно – что запрещается проносить с собой. Чтобы найти ближайший экзаменационный центр, посетите веб-сайт сертификации Cisco.

Формат экзамена
Сертификационные экзамены проводятся в онлайновом формате, подобно экзаменам Сетевой академии. Есть, однако, несколько различий: 

Перед непосредственным началом экзамена могут быть заданы статистические вопросы. Важно правдиво на них отвечать. Статистические вопросы не влияют ни на содержание экзамена, ни на вашу окончательную оценку.
Сертификационные экзамены ограничены по времени. Оставшееся время отображается на экране, чтобы вы могли решить, сколько времени уделять каждому вопросу или задаче. 
В одном экзамене могут содержаться самые различные типы вопросов и задач.
Перейдя к следующему вопросу, вернуться к предыдущему уже нельзя.


Нельзя пропустить вопрос или отметить его для последующего повторного рассмотрения. Если вы не знаете ответ, лучше всего попробовать его угадать и перейти к следующему вопросу.


В сертификационных экзаменах Cisco используются следующие форматы тестов:

Один ответ из нескольких вариантов 
Несколько ответов из нескольких вариантов 
Перетаскивание вариантов ответа мышью 
Заполнение пустых полей 
Мини-тест 
Мини-симулятор 
Симулятор 


Перед сдачей экзамена ознакомьтесь с тем, как выглядят все форматы вопросов, в особенности мини-тесты, мини-симуляторы и симуляторы. Наличие этой практики поможет сосредоточиться на сути вопроса, а не на том, как правильно использовать инструментарий. Повторите самоучитель с веб-сайта подготовки к экзамену Cisco CCNA, пока вы полностью не овладеете всеми форматами вопросов и задач и работой с ними.


Хотя ничто не заменит реальный опыт сдачи экзамена, иногда бывает полезно попрактиковаться в сдаче репетиционных экзаменов. В Центре подготовки к экзаменам CCNA есть образцы тестов для экзамена ICND1 с вопросами, имеющими несколько вариантов ответа. Если вы готовитесь к экзамену с другими студентами, разработайте репетиционные вопросы и обменяйтесь ими друг с другом. Кроме того, имеются коммерческие сборники репетиционных экзаменов, доступные для продажи и загрузки через Интернет. 

Сертификация Cisco включает в себя задания, в которых имитируется работа маршрутизаторов и коммутаторов Cisco. При подготовке к экзамену ICND1 рекомендуется повторить все упражнения с Packet Tracer и лабораторные работы в этом курсе. Однако простого прочтения учебного курса и отработки лабораторных заданий может быть недостаточно для достаточной подготовки к комплексным заданиям, встречающимся на сертификационном экзамене. Важно уметь анализировать последствия ошибок в настройке или конфигурации устройства. Много полезных знаний можно получить, сымитировав ситуации с возникновением ошибок и наблюдая за изменением в выходных данных команд и работе устройства. Многие вопросы и задачи в сценариях экзамена ICND1 относятся к поиску и устранению проблем с сетью.