Материалы курса Cisco CCNA-4 часть 2

Сертификации R&S больше нет, но данная информация по-прежнему полезна.

Материалы курса Cisco CCNA-4 часть 2 ( четвертая часть курса CISCO CCNA R&S ), уроки 6 - 9.

Нужно знать всё про Syslog, SNMP и NetFlow, лучше больше чем есть в курсе. Обязательно знать этапы настройки туннеля GRE.

Много вопросов про PPPoE.

Урок 6 Решения широкополосного доступа

В организациях, использующих услуги удалённых работников и для связи между филиалами, применяются следующие три основные технологии удалённого подключения:

Широкополосные подключения — термином широкополосный обозначаются усовершенствованные системы связи, способные предоставлять услуги высокоскоростной передачи данных, голоса и видео через Интернет или по другим сетям. Передача осуществляется с помощью широкого круга технологий, включая DSL, FTTH (оптоволокно до дома), коаксиальные кабельные сети, беспроводную и спутниковую связь;
VPN через IPsec — это наиболее распространённый вариант для удалённых работников, совмещённый с удалённым доступом по широкополосному подключению, который обеспечивает установление защищённого подключения VPN через общедоступный Интернет. Этот тип соединения с сетью WAN обеспечивает гибкие и масштабируемые подключения (На самом деле кроме IPsec есть и другие способы передачи шифрованного трафика. Как минимум это OpenVPN и WireGuard. Но поскольку курс CISCO, тут только IPsec);
Технологии традиционных частных WAN 2 уровня — подключения этого типа лежат в основе многих решений для удалённого подключения и включают такие технологии, как Frame Relay, ATM и выделенные линии (Опять же Frame Relay и ATM давно устарели. Выделенные линии именно как физическое подключение тоже редко можно встретить. Сейчас выделенные каналы, логическое подключение через сеть ISP с гарантированной скоростью пропускания. Построено внутри ISP на основе MPLS, MP-BGP и QoS. Для абонента всё выглядит как кабель). Безопасность этих подключений зависит от оператора связи.

Наиболее распространёнными технологиями широкополосного доступа являются следующие три:

Кабель;
DSL;
Беспроводные широкополосные сети.

Кабельная сеть

Кабельная сеть может передавать сигналы по кабелю в любом направлении одновременно. Используются следующие частотные диапазоны:

Нисходящие — направление передачи радиочастотного сигнала, например телеканала и данных, от источника (или головного узла) к месту назначения (или абонентам). Передача от источника до места назначения называется путём передачи. Нисходящие частоты находятся в диапазоне от 50 до 860 МГц;
Восходящие — направление передачи радиосигнала от абонентов к головному узлу. Восходящие частоты находятся в диапазоне от 5 до 42 МГц.

Спецификация интерфейса сервиса передачи данных по кабелю (DOCSIS) — это международный стандарт, разработанный компанией CableLabs — некоммерческой научно-исследовательской ассоциацией в области кабельных технологий.

DOCSIS определяет требования 1-го и 2-го уровня OSI:

Физический уровень — для сигналов данных, которые может использовать оператор кабельной связи, DOCSIS определяет значения ширины канала, или пропускную способность каждого канала, например 200 кГц, 400 кГц, 800 кГц, 1,6 МГц, 3,2 МГц, 6,4 МГц. DOCSIS также определяет метод модуляции — способ использования радиочастотного сигнала для передачи цифровых данных;
Уровень MAC — определяет детерминированный способ доступа, множественный доступ с временным разделением каналов (TDMA) или синхронный множественный доступ с кодовым разделением (S-CDMA).

Для передачи восходящих и нисходящих сигналов цифрового модема по кабельной сети требуются два типа оборудования:

Система подключения кабельных модемов (CMTS) на головном узле оператора кабельной связи;
Кабельный модем на стороне абонента.

DSL

Технология DSL — это средство предоставления высокоскоростных подключений по установленным медным проводам (Было актуально примерно 2000-2010, сейчас вряд ли где-то можно найти).

Несколько лет назад компания Bell Labs определила, что для стандартного разговора по абонентскому каналу достаточно диапазона частот от 300 Гц до 3 кГц. В течение многих лет в телефонных сетях не используются частотные диапазоны выше 3 кГц. Развитие технологий позволяет DSL использовать расширенный диапазон частот от 3 кГц до 1 МГц для предоставления высокоскоростных сервисов передачи данных по обычным медным линиям.

Например, в технологии ADSL используется диапазон частот приблизительно от 20 кГц до 1 МГц.

Другой формой технологии DSL является симметричная DSL (SDSL).

Примечание. Различные типы DSL обеспечивают разную пропускную способность, иногда превышающую 40 Мбит/с. Для удовлетворительного качества связи ADSL длина канала не должна превышать 5,46 км (3,39 мили).

Два основных компонента — это приёмопередатчик DSL и DSLAM:

Приёмопередатчик (Трансивер)— подключает компьютер удалённого работника к DSL. Обычно роль приёмопередатчика выполняет модем DSL, подключённый к компьютеру с помощью кабеля USB или Ethernet. Более новые модели приёмопередатчиков DSL могут быть встроены в небольшие маршрутизаторы с несколькими коммутирующими портами 10/100, подходящие для домашнего использования;
DSLAM — DSLAM, размещённый в центральном офисе оператора объединяет подключения DSL отдельных пользователей в один канал с высокой пропускной способностью, подключённый к поставщику услуг Интернета, а, следовательно, и к Интернету.

Основное преимущество ADSL — это возможность предоставления услуг передачи данных наряду с голосовыми услугами обычной телефонной сети.

Существует два способа отделения ADSL от голосовой связи в помещении клиента: с помощью микрофильтра или с помощью разветвителя:

Микрофильтр — это пассивный низкочастотный фильтр с двумя концами. Один конец подключается к телефону, другой конец подключается к телефонной розетке;
Разветвитель обычной телефонной сети — это пассивное устройство, которое отделяет трафик голосовой связи, предназначенный для подключений обычной телефонной сети, и трафик данных, предназначенный для DSLAM.

Типы широкополосных беспроводных технологий

В число типов широкополосного доступа входят следующие:

Городские сети Wi-Fi (ячеистая сеть);
WiMAX (технология широкополосного доступа в микроволновом диапазоне);
Сотовая/мобильная связь;
Спутниковый Интернет.

В большинстве городских беспроводных сетей вместо топологии «Star» используется топология ячеистой сети (Mesh). Ячеистая сеть — это ряд взаимно подключённых точек доступа. Каждая точка доступа находится в зоне приёма и может обмениваться данными как минимум с двумя другими точками доступа.

WiMAX — это телекоммуникационная технология, созданная для передачи беспроводных данных на большие расстояния (802.16d до 30 километров, 802.16e 1,5-5 километров) различными способами, от одноранговых каналов до полностью мобильной сотовой связи.

Когда речь идет о сетях сотовой/мобильной связи, используются следующие три общепринятых термина:

Беспроводной Интернет — общепринятый термин для обозначения интернет-сервисов, доступных с мобильного телефона или любого устройства, основанного на той же технологии;
Беспроводные сети 2G/3G/4G — существенные изменения в беспроводных сетях компаний-производителей мобильных телефонов в ходе эволюции второго, третьего и четвертого поколений беспроводных мобильных технологий;
LTE (Long-Term Evolution) — более новая и быстрая технология, являющаяся частью технологии 4G.

Существует три способа подключения к Интернету с помощью спутников:

Односторонняя групповая рассылка — системы спутникового Интернета используются для распространения данных, аудио и видео, основанного на групповой IP-рассылке. При этом двусторонние интерактивные возможности не поддерживаются;
Односторонняя связь с наземным обратным каналом — системы спутникового Интернета используют традиционный коммутируемый доступ для отправки исходящих данных через модем и получают загружаемые данные со спутника;
Двусторонний спутниковый Интернет — передаёт данные из удалённых узлов через спутник на концентратор, который затем передаёт эти данные в Интернет. Спутниковые тарелки должны быть точно размещены для предотвращения помех от других спутников.

PPPoE

Как правило, интернет-провайдеры используют протокол канального уровня PPP (протокол точка-точка). PPP можно использовать на всех последовательных каналах, в том числе созданных с использованием модемов ISDN и модемов для коммутируемых аналоговых каналов. На сегодняшний день для передачи данных от пользователя dial-up к интернет-провайдеру с помощью аналоговых модемов чаще всего используется протокол PPP.

Кроме того, интернет-провайдеры часто используют PPP в качестве протокола канального уровня для широкополосных подключений. Для этого имеется несколько причин. Во-первых, PPP поддерживает возможность назначения IP-адресов удалённым концам канала PPP. Если протокол PPP поддерживается, интернет-провайдеры могут использовать PPP для назначения каждому заказчику одного публичного адреса IPv4. Что ещё более важно, PPP поддерживает аутентификацию CHAP. Интернет-провайдеры предпочитают использовать CHAP для аутентификации пользователей, поскольку во время аутентификации можно проверять учётные записи, чтобы определить, оплачены ли счета, прежде чем пользователь сможет подключиться к Интернету (Было популярно в начале 2000х как раз из-за простого и удобного подсчёта трафика. Сейчас везде безлимитрные тарифы и важно лишь ограничивать скорость доступа).

Эти технологии, обеспечивающие разные варианты поддержки PPP, пришли на рынок в следующем порядке:

Аналоговые модемы для коммутируемого подключения, которые могут использовать PPP и CHAP;
ISDN для коммутируемого подключения, которые могут использовать PPP и CHAP;
DSL, которая не создает канал точка-точка и не может поддерживать PPP и CHAP.

Однако каналы Ethernet изначально не поддерживают PPP. В итоге было найдено решение этой проблемы — протокол PPPoE (PPP over Ethernet — протокол передачи кадров PPP через Ethernet).

PPPoE создаёт туннель PPP по подключению Ethernet. Это позволяет отправлять кадры PPP интернет-провайдеру с маршрутизатора пользователя по кабельному подключению Ethernet. Модем преобразует кадры Ethernet в кадры PPP путём отделения заголовка Ethernet. Затем модем передает кадры PPP по сети DSL, принадлежащей интернет-провайдеру.

Настройка PPPoE

Для правильного выполнения настройки необходимо учесть следующее:

Для создания туннеля PPP в настройке используется интерфейс номеронабирателя (dialer). Интерфейс номеронабирателя является виртуальным интерфейсом. Настройка PPP размещается на интерфейсе номеронабирателя, а не на физическом интерфейсе. Интерфейс номеронабирателя создается с помощью команды:

interface dialer number 
Пользователь может настроить статический IP-адрес, но с большей вероятностью интернет-провайдер автоматически назначит ему публичный IP-адрес.

Конфигурация CHAP PPP обычно определяет одностороннюю аутентификацию, то есть интернет-провайдер проверяет подлинность пользователя. Имя узла и пароль, настроенные на маршрутизаторе пользователя, должны совпадать с именем узла и паролем, настроенными на маршрутизаторе интернет-провайдера.

Затем на физическом интерфейсе Ethernet, который подключается к модему DSL, настраивается команда:

pppoe enable

которая включает протокол PPPoE и связывает физический интерфейс с интерфейсом номеронабирателя. Интерфейс номеронабирателя связывается с интерфейсом Ethernet с помощью команд:

dialer pool
pppoe-client

с использованием одного и того же номера. Номер интерфейса номеронабирателя не должен совпадать с номером пула номеронабирателя.

Для параметра MTU (максимальный размер передаваемого блока данных) должно быть установлено значение 1492 (вместо 1500 по умолчанию) для обеспечения соответствия заголовкам PPPoE.

Итак, сначала настраивается виртуальный интерфейс dialer, затем на физическом интерфейсе включается PPPoE и там же физический интерфейс связывается с виртуальным командой pppoe-client.

Урок 7 Защита межфилиальной связи

VPN представляет собой частную сеть, которая создаётся с помощью туннелирования в публичной сети (как правило, в Интернете).

Для реализации сетей VPN требуется шлюз VPN. Шлюзом VPN может быть маршрутизатор, межсетевой экран или устройство адаптивной защиты Cisco ASA (Adaptive Security Appliance). ASA — это автономный межсетевой экран, который объединяет в пределах одного образа программного обеспечения функции межсетевого экрана, концентратора VPN, а также системы предотвращения вторжений.

Существуют сети VPN двух типов:

Site-to-site (межузловые или межфилиальные);
Remote access (удалённого доступа).

Введение в GRE

Универсальная инкапсуляция при маршрутизации (Generic Routing Encapsulation, GRE) — один из примеров базового, незащищённого протокола создания туннелей для site-to-site VPN. GRE — это протокол туннелирования, разработанный компанией Cisco, позволяющий инкапсулировать пакеты протоколов различного типа внутри IP-туннелей. Благодаря этому создаётся виртуальный канал «точка-точка» до маршрутизаторов Cisco в удалённых точках поверх IP-сети.

GRE предназначен для управления процессом передачи многопротокольного и группового IP-трафика между двумя и более площадками, между которыми связь может обеспечиваться только по IP. Он может инкапсулировать пакеты протоколов различного типа в IP-туннеле.

Интерфейс туннеля поддерживает заголовки для всех указанных ниже протоколов:

Инкапсулированный протокол, например IPv4, IPv6, AppleTalk, DECnet или IPX;
Протокол инкапсуляции (или несущий протокол), в данном случае GRE;
Протокол доставки, например IP, который передаёт данные протокола инкапсуляции.

Протокол GRE обладает следующими характеристиками:

Спецификации GRE определены в стандарте IETF (RFC 2784);
Во внешнем заголовке IP в поле протокола используется значение 47, указывающее на то, что за ним будет следовать заголовок GRE;
При инкапсуляции GRE для поддержки инкапсуляции любого протокола 3 уровня модели OSI в заголовке GRE используется поле "типа протокола" (protocol type);
Сам протокол GRE является протоколом без отслеживания состояния (stateless) и по умолчанию не содержит механизмов управления потоком;
Для защиты полезной нагрузки в протоколе GRE отсутствуют какие-либо стойкие механизмы безопасности;
Заголовок GRE вместе с заголовком IP туннелирования, указанным на рисунке, создаёт, по крайней мере, 24 байта дополнительной служебной информации для туннелированных пакетов.

Настройка туннеля GRE

Создайте интерфейс туннеля с помощью команды interface tunnel number.
Укажите IP-адрес источника туннеля.
Укажите IP-адрес назначения туннеля.
Укажите IP-адрес для интерфейса туннеля.

Шаг 5. (Дополнительно) Укажите на интерфейсе туннеля в качестве используемого режима режим GRE Режим GRE является режимом по умолчанию для интерфейса туннеля в программном обеспечении Cisco IOS.

Для определения работоспособности интерфейса туннеля используйте команду:

show ip interface brief

Для проверки состояния туннеля GRE используйте команду:

show interface tunnel

Если OSPF также настроен на обмен маршрутами по туннелю GRE, то с помощью команды:

show ip ospf neighbor

убедитесь, что через интерфейс туннеля установлены отношения смежности OSPF.

Примечание. Вместо IP адреса источника можно указать выходной интерфейс.

tunnel source interface

Примечание. Вместо IPv4 адреса туннеля можно указать IPv6 адрес, затем настроить, например, IPv6 EIGRP и на интерфейсе туннеля включить его (на 3725 работает). Так можно пробросить IPv6 через IPv4 инфраструктуру.

IPsec

IPsec — это стандарт IETF, который определяет способ настройки сети VPN в защищённом режиме с помощью протокола IP.

Основные особенности протокола IPsec:

IPsec — это структура открытых стандартов, независимая от алгоритмов;
IPsec обеспечивает конфиденциальность и целостность данных, а также аутентификацию источника;
IPsec действует как протокол сетевого уровня, защищая пакеты IP и проверяя их подлинность.

Сервисы безопасности IPsec

IPsec выполняют следующие важные функции:

Конфиденциальность (шифрование) — в сети VPN частные данные передаются по публичной сети. Поэтому ключевой задачей является обеспечение конфиденциальности данных. Для этого перед передачей данных по сети выполняется шифрование данных. Шифрование — это процесс кодирования всех данных, отправляемых с одного компьютера на другой, в ту форму, которую может декодировать только принимающий компьютер. В случае перехвата сообщения злоумышленник (хакер) не сможет его прочесть. IPsec предоставляет расширенные функции безопасности (например, криптостойкие алгоритмы шифрования);
Целостность данных — Получатель может убедиться, что данные были нормально переданы через Интернет и никак не были изменены. Важно не только обеспечить шифрование данных в публичной сети, но и убедиться, что они не были изменены в пути. В IPsec предусмотрен механизм проверки отсутствия изменений в шифрованной части пакета, во всём заголовке или в теле данных пакета. IPsec гарантирует целостность данных с помощью контрольных сумм (применяется простая проверка с использованием избыточности). При обнаружении искажений пакет удаляется;
Аутентификация — позволяет проверить, кто был источником отправленных данных. Это необходимо для защиты от атак, использующих спуфинг (подмену отправителя). Аутентификация позволяет гарантировать установление подключения к нужному партнеру по связи. Получатель может проверять подлинность источника пакета, сертифицируя источник информации. В IPsec используется технология обмена ключами по Интернету (Internet Key Exchange, IKE) для проверки подлинности пользователей и устройств, которые могут устанавливать связь независимо друг от друга. В IKE применяется аутентификация различного типа, в частности, используются имя пользователя и пароль, одноразовый пароль, биометрия, предварительно распространяемый общий ключ (Pre-Shared Key, PSK и цифровые сертификаты);
Защита от повторов — позволяет обнаруживать и отклонять повторные пакеты, а также предотвращать спуфинг. Благодаря защите от повторов можно убедиться, что пакет является уникальным и не дублированным. Пакеты IPsec защищаются путем сравнения порядкового номера полученных пакетов со «скользящим» окном на узле назначения или шлюзе безопасности. Пакет с порядковым номером, который следует перед скользящим окном, считается задержанным или дублированным. Задержанные и дублированные пакеты удаляются.

Алгоритмы шифрования

Симметричное шифрование

В алгоритмах шифрования, например AES, требуется общий секретный ключ для выполнения как шифрования, так и расшифровки.

Ниже указаны особенности симметричных алгоритмов:

Используется криптография на основе симметричных ключей;
При шифровании и расшифровке используется один и тот же ключ;
Обычно используется для шифрования содержимого сообщения;
Примеры: DES, 3DES и AES.

Асимметричное шифрование

При асимметричном шифровании для шифрования и расшифровки используются разные ключи. Знание одного из ключей не позволяет хакеру вычислить второй ключ и декодировать информацию.

Ниже указаны особенности асимметричных алгоритмов:

Используется криптография с открытым ключом;
При шифровании и расшифровке используются разные ключи;
Обычно применяется при управлении цифровыми сертификатами и ключами;
Примеры: RSA.

Целостность данных

Алгоритм Диффи-Хеллмана (DH) не является механизмом шифрования и обычно не используется для шифрования данных. Он позволяет обеспечивать безопасный обмен ключами, которые используются для шифрования данных. Алгоритмы DH позволяют двум сторонам установить общий секретный ключ, который используется алгоритмами шифрования и хеширования.

Для обеспечения целостности и проверки подлинности трафика сети VPN применяются алгоритмы хеширования.

Криптографическая стойкость алгоритма HMAC зависит от криптографической стойкости базовой функции хеширования, от размера и качества ключа, а также длины результата хеш-функции (в битах).

Существуют два наиболее распространённых алгоритма HMAC:

MD5 — используется 128-битовый общий секретный ключ. Сообщение произвольной длины и 128-битовый общий секретный ключ объединяются друг с другом и обрабатываются алгоритмом хеширования HMAC-MD5. В результате создаётся 128-битовый хеш-код. Хеш-код добавляется к исходному сообщению и перенаправляется на удалённую сторону;
SHA — в SHA-1 используется 160-битовый общий секретный ключ. Сообщение переменной длины и 160-битовый общий секретный ключ объединяются друг с другом и обрабатываются алгоритмом хеширования HMAC-SHA1. В результате создаётся 160-битовый хеш-код. Хеш-код добавляется к исходному сообщению и перенаправляется на удалённую сторону.

Примечание. В ОС Cisco IOS также поддерживаются 256, 384 и 512 битовые варианты SHA.

Аутентификация IPsec

Существуют два метода аутентификации собеседника:

PSK — секретный ключ, заранее известный двум пользователям, которые общаются по защищённому каналу. В методе предварительно распространённых общих ключей (PSK) используются криптографические алгоритмы с симметричным ключом. Ключ PSK вручную вводится на каждом из взаимодействующих узлов (пиров) и используется для аутентификации друг друга. На каждой стороне ключ PSK объединяется с другой информацией, что позволяет сформировать ключ аутентификации;
Подписи RSA — для аутентификации равноправных узлов выполняется обмен цифровыми сертификатами. Локальное устройство создаёт хеш-код и шифрует его с помощью своего закрытого ключа. Зашифрованный хеш-код (или цифровая подпись) прикрепляется к сообщению и перенаправляется удалённой стороне. На удалённой стороне зашифрованный хеш-код расшифровывается с помощью открытого ключа локальной стороны. Если расшифрованный хеш-код совпадает с расчётным значением, это означает, что подпись является подлинной.

Ещё одним методом аутентификации является алгоритм цифровой подписи (Digital Signature Algorithm, DSA).

Набор протоколов IPsec

Два основных протокола IPsec:

Аутентифицирующий заголовок (Authentication Header, AH) — AH представляет собой специальный протокол, применяемый в тех случаях, когда обеспечение конфиденциальности не требуется или запрещено. Он обеспечивает аутентификацию и целостность данных для пакетов IP, передаваемых между двумя системами. Однако AH не обеспечивает конфиденциальность (шифрования) данных в пакетах. Весь текст передаётся в открытом виде (без шифрования). Если используется только протокол AH (а другие механизмы не применяются), то он обеспечивает слабую защиту;
Протокол шифрования полезной нагрузки (Encapsulating Security Payload, ESP) — это протокол безопасности, который обеспечивает конфиденциальность и аутентификацию путем шифрования пакета IP. В процессе шифрования пакета IP скрываются данные и идентификаторы источника и назначения. В ESP проверяется подлинность внутреннего пакета IP и заголовка ESP. Аутентификация обеспечивает проверку подлинности источника данных и целостность данных. Хотя процедуры шифрования и аутентификации не являются обязательными в ESP, необходимо выбрать как минимум одну из них.

Существует четыре основных компоновочных блока структуры IPsec, которые необходимо выбрать:

Набор протоколов IPsec — при настройке шлюза IPsec для предоставления услуг безопасности необходимо выбрать, какие из протоколов IPsec будут использоваться. Можно выбрать как использование только ESP или только AH, так и совместное использование ESP и AH. На практике почти всегда используют варианты ESP или ESP+AH, так как сам AH не предоставляет функцию шифрование данных;
Конфиденциальность (если выбран вариант использования IPsec с протоколом ESP) — выбранный алгоритм шифрования должен наилучшим образом обеспечивать требуемый уровень безопасности: DES, 3DES или AES. Настоятельно рекомендуется применять AES (наивысший уровень безопасности обеспечивает схема AES-GCM);
Целостность — гарантирует, что содержимое не было изменено в процессе передачи. Для выполнения данной функции применяются алгоритмы хеширования. Можно выбрать MD5 и SHA;
Аутентификация — определяет способ проверки подлинности устройств на обоих концах туннеля VPN. Доступные варианты: PSK или RSA.
Группа алгоритмов DH (не выбирается) — определяет способ генерации общего секретного ключа между узлами. Существует несколько вариантов, но DH24 обеспечивает наивысший уровень безопасности.

Благодаря сочетанию этих компоновочных блоков обеспечиваются конфиденциальность, целостность и аутентификация сетей VPN на IPsec.

Примечание. Процесс настройки сетей IPsec VPN в рамках этого курса не рассматривается.

Типы сетей VPN для удалённого доступа

Существуют два основных способа развёртывания сетей VPN для создания удалённого доступа:

Secure Sockets Layer (SSL);
Протокол IPsec.

Сети VPN на основе SSL предлагают такие функции, как простое установление связи с настольных систем, не находящихся под управлением компании, минимальное сопровождение ПО настольных компьютеров или его полное отсутствие и веб-порталы, настраивающиеся под пользователя при его входе в систему.

Cisco SSL VPN

Cisco IOS SSL VPN представляет собой первое в своей отрасли решение SSL VPN на основе маршрутизатора.

Аппаратно-программный комплекс Cisco ASA поддерживает два основных режима развёртывания, применяемых в решениях Cisco SSL VPN, как показано на рисунке:

Cisco AnyConnect Secure Mobility Client с SSL — требуется клиент Cisco AnyConnect Client;
Cisco Secure Mobility SSL VPN без клиента (clientless) — требуется веб-браузер.

На аппаратно-программном комплексе Cisco ASA должна быть настроена поддержка SSL VPN туннелей.

Удалённый доступ IPsec

Решение Cisco Easy VPN состоит из трёх компонентов:

Cisco Easy VPN в режиме Server — маршрутизатор Cisco IOS или межсетевой экран Cisco ASA Firewall, работающий как начальное устройство в межфилиальных сетях VPN или сетях VPN удалённого доступа;
Cisco Easy VPN в режиме Remote — Маршрутизатор Cisco IOS или межсетевой экран Cisco ASA Firewall, работающий как удалённый клиент VPN;
Клиент Cisco VPN Client — приложение, которое поддерживается пользовательским ПК и используется для доступа к серверу Cisco VPN.

Сравнение IPsec и SSL

Протокол IPsec превосходит SSL по нескольким важным характеристикам:

Количество поддерживаемых приложений;
Стойкость шифрования;
Строгость аутентификации;
Общий уровень безопасности.

Урок 8 Мониторинг сети

Syslog

Самый распространенный способ получения системных сообщений, предоставляемый сетевыми устройствами, — это использование протокола под названием Syslog.

Syslog использует порт UDP 514 для отправки сообщений с уведомлением о событиях по сетям IP на средства сбора сообщений о событиях (для защищённого трафика TCP/UDP 6514, использует технологию TLS/DTLS соответственно).

Служба журналирования syslog предоставляет три основные возможности:

Сбор информации в журнал для мониторинга и отладки;
Выбор типа информации, сбор которой будет осуществляться;Определение получателей собранных сообщений Syslog.

На сетевых устройствах Cisco протокол Syslog начинает с отправки системных сообщений и вывода процесса debug в локальный процесс ведения журналов соответствующего устройства. Каким образом процесс ведения журналов управляет этими сообщениями и выводом, зависит от настроек устройства. Например, сообщения Syslog могут отправляться по сети на внешний сервер Syslog.

Кроме того, сообщения Syslog могут отправляться во внутренний буфер. Сообщения, отправленные во внутренний буфер, можно просматривать только через интерфейс командной строки устройства.

В число популярных назначений для сообщений Syslog входят следующие:

Буфер ведения журналов (ОЗУ в маршрутизаторе или коммутаторе);
Линия консоли;
Линия терминала;
Сервер Syslog.

Можно удалённо наблюдать за системными сообщениями путём просмотра журналов на сервере Syslog или путём доступа к устройству по протоколам Telnet, SSH или через порт консоли.

Формат сообщений Syslog

Устройства Cisco создают сообщения Syslog при определённых сетевых событиях. Во всех сообщениях syslog указывается уровень важности (severity level) и объект (facility).

Каждый уровень syslog имеет собственный смысл:

Уровень предупреждения (warning) — уровень критического состояния (emergency) — это сообщения о сбоях программного обеспечения или оборудования; эти типы сообщений говорят о том, что затронута работа устройства. Назначаемый уровень Syslog зависит от серьёзности проблемы;
Уровень отладки (debugging) — сообщения этого уровня содержат выходные данные, полученные в результате выполнения различных команд debug;
Уровень уведомления (notification) — сообщения уровня уведомления носят исключительно справочный характер, работоспособность устройств не затрагивается. На уровне предупреждения отображаются сообщения об изменении состояния интерфейса на активное или неактивное или о перезапуске системы.

Помимо указания уровня важности в сообщениях syslog также содержатся сведения об объекте. Объекты syslog (syslog facilities) — это идентификаторы сервисов, которые определяют и классифицируют данные о состоянии системы для отчетов об ошибках и событиях.

По умолчанию формат сообщений syslog в ПО Cisco IOS выглядит следующим образом:

seq no: timestamp: %facility-severity-MNEMONIC: description

Примечание. Наиболее распространенными сообщениями являются сообщения об изменении состояния каналов на активное и неактивное, а также сообщения, создаваемые устройством при выходе из режима настройки.

Если введена команда режима глобальной конфигурации:

service timestamps log uptime

для регистрируемых событий отображается время, прошедшее с момента последней загрузки коммутатора. В более полезной версии этой команды применяется ключевое слово datetime вместо ключевого слова uptime, в этом случае для каждого зарегистрированного события будут отображаться дата и время.

Для просмотра сообщений Syslog на рабочей станции в сети должен быть установлен сервер Syslog. Существуют различные бесплатные и условно-бесплатные версии syslog, а также платные корпоративные версии.

По умолчанию маршрутизаторы и коммутаторы Cisco отправляют на консоль сообщения журнала для всех уровней важности. На некоторых версиях IOS по умолчанию устройство также сохраняет сообщения журнала в буфер. Для включения этих двух параметров используйте команды:

logging console 
logging buffered

в режиме глобальной настройки соответственно.

Настройка Syslog

Шаг 1. Настройте имя узла назначения или IP-адрес сервера Syslog в режиме глобальной конфигурации:

logging ip_address

Шаг 2. Укажите, какие сообщения следует отправлять на сервер Syslog с помощью команды:

logging trap level

в режиме глобальной конфигурации. Например, чтобы отправлять только сообщения уровня 4 и ниже (0—4), используйте одну из следующих двух эквивалентных команд:

logging trap 4 
logging trap warning

Шаг 3. При необходимости настройте интерфейс источника с помощью команды:

logging source-interface interface

в режиме глобальной конфигурации. Таким образом, можно настроить, чтобы пакеты syslog содержали адрес IPv4 или IPv6 конкретного интерфейса независимо от того, какой интерфейс используется для отправки пакета с маршрутизатора.

Проверка Syslog

Для просмотра любых зарегистрированных сообщений используйте команду:

show logging

SNMP

SNMP (Simple Network Management Protocol, простой протокол управления сетями) был разработан, чтобы администраторы могли управлять узлами, такими как серверы, рабочие станции, маршрутизаторы, коммутаторы и устройства безопасности, в сети IP.

"Простой" скорее шутка разработчиков, протокол весьма непонятен, особенно при 1 знакомстве. Придётся потратить много времени чтобы разобраться с настройкой его 3 версии.

SNMP — это протокол уровня приложений, предоставляющий формат сообщения для обмена данными между диспетчерами и агентами. Система SNMP состоит из трёх элементов:

Диспетчер SNMP;
Агенты SNMP (управляемый узел);
Информационная база управления (MIB).

Диспетчер SNMP является частью системы управления сетями (network management system — NMS). Диспетчер SNMP запускает ПО для управления SNMP. Агент SNMP и MIB размещены на клиентах сетевого устройства. Агент SNMP отвечает за предоставление доступа к локальной базе объектов MIB, которая содержит сведения о ресурсах и активности.

SNMP определяет способ обмена информацией об управлении между приложениями управления сетями и агентами управления. SNMP использует UDP, номер порта 161/162, для получения и отправки информации по управлению.

Агент SNMP получает запросы по UDP 161. Менеджер получает уведомления (Traps и InformRequests) по UDP 162.

Принцип работы SNMP

Агенты SNMP, размещенные на управляемых устройствах, собирают и сохраняют информацию об устройстве и его работе. Агент хранит эти сведения локально в базе MIB. Затем диспетчер SNMP использует агент SNMP для доступа к сведениям, хранящимся в базе MIB.

Существует два основных запроса диспетчера SNMP — get и set. Запрос get используется системой управления сетью NMS для отправки на устройство запроса о получении данных. Запрос set используется системой управления сетью NMS для изменения переменных настройки в устройстве агента. Запрос set также может инициировать определённые действия с устройством. Например, запрос set может вызвать перезагрузку маршрутизатора, отправку конфигурационного файла или получение конфигурационного файла.

Агент SNMP отвечает на запросы диспетчера SNMP следующим образом:

Получение переменной MIB. Агент SNMP выполняет эту функцию в ответ на запрос GetRequest-PDU от системы NMS. Агент получает значение запрошенной переменной MIB и передаёт это значение системе NMS;
Установка переменной MIB. Агент SNMP выполняет эту функцию в ответ на запрос SetRequest-PDU от системы NMS. Агент SNMP изменяет значение переменной MIB на значение, определённое системой NMS. Ответ агента SNMP на запрос set включает новые параметры в устройстве.

Ловушки агента SNMP

NMS периодически проводит опрос агентов SNMP, размещенных на управляемых устройствах, запрашивая данные у устройства с помощью запроса get.

Периодический опрос SNMP имеет свои недостатки:

Во-первых, существует задержка между временем обнаружения события и временем отправки соответствующего уведомления (путём опроса) системой NMS;
Во-вторых, существует компромисс между частотой опроса и использованием пропускной способности.

Чтобы смягчить воздействие этих недостатков, агенты SNMP могут создавать и отправлять ловушки, сообщая системе NMS о некоторых событиях немедленно. Ловушки — это незапрашиваемые сообщения, предупреждающие диспетчера SNMP о каком-либо условии или событии в сети.

Версии SNMP

Существует несколько версий SNMP, включая следующие:

SNMPv1 — устаревший протокол управления сетями, используется модель безопасности на основе сообществ (community).
SNMPv2c — использует среду администрирования на базе строки сообщества (community).
SNMPv3 — обеспечивает защищённый доступ к устройствам с помощью аутентификации и шифрования пакетов в сети. Данная версия протокола включает следующие функции обеспечения безопасности: контроль целостности сообщений для защиты пакетов от искажения при пересылке, аутентификация для подтверждения достоверности источника сообщения и шифрование для предотвращения прочтения содержимого сообщения несанкционированным источником.

Во всех версиях используются диспетчеры SNMP, агенты SNMP и база MIB.

Cisco IOS поддерживает все три версии.

В отличие от SNMPv1, версия SNMPv2c предусматривает механизм массового извлечения записей и более подробное информирование станций управления об ошибках. SNMPv2c предусматривает расширенные коды ошибок для различных условий возникновения ошибок.

Примечание. SNMPv1 и SNMPv2c включают минимальный набор средств обеспечения безопасности. В частности, SNMPv1 и SNMPv2c не обеспечивают ни аутентификацию источника сообщения управления, ни шифрование.

SNMPv3 предусматривает как модели безопасности, так и уровни безопасности. Модель безопасности — это стратегия аутентификации, настроенная для пользователя и группы, в которой данный пользователь находится. Уровень безопасности характеризует допустимую степень безопасности в модели. Сочетание уровня безопасности и модели безопасности определяет, какой механизм безопасности будет использоваться при обработке пакета SNMP. Доступные модели безопасности — SNMPv1, SNMPv2c и SNMPv3.

Примечание. Сетевой администратор должен настроить агент SNMP для использования версии SNMP, поддерживаемой станцией управления. Поскольку агент может взаимодействовать с несколькими диспетчерами SNMP, можно настраивать программное обеспечение для поддержки связи с помощью SNMPv1, SNMPv2c или SNMPv3.

Строки сообщества

Для обеспечения функционирования SNMP система NMS должна иметь доступ к MIB. Для проверки подлинности запросов на доступ необходимо использовать ту или иную форму аутентификации.

В версиях SNMPv1 и SNMPv2c для контроля доступа к MIB используется модель строки сообщества (community string). Строки сообщества представляют собой незашифрованный пароль. Строки сообщества SNMP производят аутентификацию доступа к объектам MIB.

Существует два типа строк сообщества:

Только чтение (Read-only — ro) — предоставляет доступ к переменным MIB, но не позволяет менять эти переменные. Поскольку версия 2c предоставляет минимальную безопасность, многие организации используют SNMPv2c в режиме только для чтения;
Чтение и запись (Read-write — rw) — предоставляет доступ для чтения и записи ко всем объектам в MIB.

Чтобы просмотреть или настроить переменные MIB, пользователь должен указать тип соответствующей строки сообщества — для чтения или для записи.

Примечание. Незашифрованные пароли не считаются механизмом безопасности.

Идентификатор объекта информационной базы управления (MIB)

Переменные в MIB организованы иерархически. Переменные MIB позволяют программному обеспечению осуществлять наблюдение за сетевым устройством и контроль над ним. Фактически MIB определяет каждую переменную в качестве идентификатора объекта (OID). OID представляют собой уникальные управляемые идентификаторы в иерархии MIB. MIB организует OID на основе стандартов RFC, формируя иерархию OID, которая обычно представляется в виде дерева.

Дерево базы MIB для любого устройства включает несколько ветвей с переменными, общими для многих сетевых устройств, и несколько ветвей с уникальными переменными конкретного устройства или поставщика.

Некоторые общедоступные переменные определены в документах RFC. Большинство устройств используют эти переменные MIB. Кроме того, поставщики сетевого оборудования, такие как Cisco, могут определять собственные частные ветви дерева для добавления новых переменных, которые будут использоваться только для их устройств.

Немного про базу MIB

Management Information Base –достаточно непонятный элемент SNMP. Его нужно запомнить не вдаваясь в подробности почему так устроено. MIB - это иерархическая база данных, которая следует стандартам агентов и менеджеров SNMP.

Структуру MIB легче всего представить в виде перевёрнутого дерева. Каждая ветвь имеет порядковый номер начиная с ствола дерева - 1 и уникальную для этого уровня иерархии строку.

Чтобы обратиться к определённому узлу, нужно проследить путь к нему в базе MIB. Адрес содержит ряд цифр, разделённых точками. Такой адрес называется идентификатором объекта или OID. MIB организует OID на основе стандартов RFC.

MIB уже имеет стандартные ветки, которые может использовать любое устройство. Однако при внедрении SNMP в своё устройство поставщик оборудования может создавать свои собственные ветки.

OID для CISCO имеет вид 1.3.6.1.4.1.9, где:

.iso (1)
.org (3)
.dod (6)
.internet (1)
.private (4)
.enterprises (1)
.cisco (9)

Для навигации по дереву MIB можно воспользоваться CISCO SNMP Object Navigator (требуется регистрация) или справочником (//www.alvestrand.no/objectid/1.3.6.1.2.1.html).

Немного про SNMP Manager

Для простого ознакомления подойдёт программа PowerSNMP Free Manager, настройка на SNMP агент внутри программы прозрачна, добавляем сетевое устройство с настроенным агентом по IP адресу и вводим параметры доступа.

Настройки SNMP

Шаг 1. (Обязательно) Настройте строку сообщества и уровень доступа («только чтение» или «чтение и запись») с помощью команды:

snmp-server community string ro | rw

Шаг 2. (Дополнительно) Документально зафиксируйте местоположение устройства с помощью команды:

snmp-server location text

Шаг 3. (Дополнительно) Документально зафиксируйте системный контакт с помощью команды:

snmp-server contact text

Шаг 4. (Дополнительно) Ограничьте доступ по SNMP, разрешив его только узлам NMS (диспетчерам SNMP), которые разрешены списком контроля доступа, определите список контроля доступа, затем укажите ссылку на этот список контроля доступа с помощью команды:

snmp-server community string access-list-number-or-name

Эту команду можно использовать как для определения строки сообщества, так и для ограничения доступа SNMP с помощью списков контроля доступа. При желании шаги 1 и 4 можно объединить в один, сетевое устройство CISCO объединяет две команды в одну, если они вводятся по отдельности.

Шаг 5. (Дополнительно) Укажите получателя операций ловушки SNMP с помощью команды:

snmp-server host host-id [version{1 | 2c | 3 [auth | noauth | priv]}] community-string

Примечание. На самом деле эта команда имеет больше параметров и сложнее в использовании.

По умолчанию диспетчеры ловушек не определены.

Шаг 6. (Дополнительно) Включите ловушки на агенте SNMP с помощью команды:

snmp-server enable traps notification-types

Если в этой команде не определены типы уведомлений (notification-types), отправляются все типы ловушек.

Команда snmp-server enable traps включает большое число типов ловушек, лучше дополнительно указать эти типы, например:

snmp-server enable traps snmp

Этак команда включит следующие типы ловушек:

authentication linkdown linkup coldstart warmstart

Примечание. По умолчанию в SNMP не установлены ловушки. Без этой команды диспетчеры SNMP должны будут проводить опрос для получения всей существенной информации.

Режим работы ловушек и режим опроса агента - это два независимых процесса.

Проверка SNMP

Для проверки настройки SNMP используйте любые варианты команды:

show snmp

в привилегированном режиме:

show snmp group - просмотр групп
show snmp group - просмотр пользователей (v3)

Практические рекомендации по обеспечению безопасности

Рекомендуется использовать протокол SNMPv3, обеспечивающий аутентификацию и шифрование. Существует ряд других команд режима глобальной конфигурации, которые сетевой администратор может применять, чтобы воспользоваться преимуществами поддержки аутентификации и шифрования, предоставляемой протоколом SNMPv3:

snmp-server group groupname {v1 | v2c | v3 {auth | noauth | priv}} — создаёт новую группу SNMP на устройстве

Eсть 3 уровня безопасности SNMPv3:

auth - group using the authNoPriv Security Level (md5 аутентификация, без шифрования данных);
noauth - group using the noAuthNoPriv Security Level (без аутентификации и шифрования);
priv - group using SNMPv3 authPriv security level (md5 аутентификация, шифрования данных).

Так что единственным уровнем безопасности SNMPv3 с шифрованием является authPriv.

Общая таблица для всех версий SNMP:

Примечание. Настройка SNMPv3 выходит за рамки учебных программ CCNA v2. Настройка SNMPv3 рассмотрена в курсе CCNA R&S 6.0 Bridging Course.

NetFlow

NetFlow — это технология Cisco IOS, предоставляющая статистические данные о пакетах, проходящих через маршрутизатор или многоуровневый коммутатор Cisco. NetFlow представляет собой стандарт сбора операционных данных IP в IP сетях.

Исторически сложилось так, что протокол NetFlow был разработан потому, что специалистам по сетевым технологиям был необходим простой и эффективный способ для отслеживания потоков TCP/IP в сети, а возможностей протокола SNMP было недостаточно. Протокол SNMP предоставляет широчайший диапазон функций и возможностей управления сетями, в то время как NetFlow предназначен, прежде всего, для предоставления статистики о пакетах IP, проходящих через сетевые устройства.

Flexible NetFlow — это новейшая технология NetFlow. Flexible NetFlow расширяет возможности первоначального протокола NetFlow, позволяя настраивать параметры анализа трафика в соответствии с конкретными требованиями сетевого администратора. Технология Flexible NetFlow позволяет создавать более сложные настройки для анализа трафика и экспорта данных с помощью компонентов настройки, которые можно использовать повторно.

Основные цели сбора NetFlow

Учёт использования сетевых ресурсов (кто использует, какие ресурсы, с какой целью);
Отчётность и выставление счетов в соответствии с уровнем использования ресурсов;
Использование результатов измерений для более эффективного планирования сети, с согласованием распределения и развертывания ресурсов с требованиями заказчиков;
Использование информации для более эффективного структурирования и настройки набора доступных приложений и сервисов в соответствии требованиям пользователя и обслуживания клиентов.

Примечание. Не следует путать назначение и результаты NetFlow с Syslog. В то время как Syslog записывает всю возможную информацию, приходящую на сетевое устройство или выходящую с него для последующего анализа, NetFlow собирает только определённую статистическую информацию.

При разработке протокола NetFlow инженеры Cisco руководствовались двумя основными критериями:

Технология NetFlow должна быть абсолютно прозрачна для приложений и устройств в сети;
Для функционирования протокола NetFlow не обязательная его поддержка всеми устройствами в сети.

Выполнение этих технических условий обеспечило простоту развертывания NetFlow в самых сложных современных сетях.

Примечание. Несмотря на простоту развёртывания протокола NetFlow и его прозрачность для сетевых устройств и приложений, он потребляет дополнительную память на устройстве Cisco, поскольку сохраняет записанную информацию в кэше на устройстве. Размер кэша по умолчанию зависит от платформы, и администратор может изменить это значение.

Потоки NetFlow

NetFlow обрабатывает соединения TCP/IP для ведения статистического учёта, используя понятие потока. Поток (flow) — это однонаправленная последовательность пакетов между определённой системой-источником и определённым назначением.

Существует несколько поколений технологии NetFlow, каждое из которых отличается усовершенствованиями в области определения потоков трафика. Первоначально протокол NetFlow различал потоки с помощью сочетания из семи характеристик. Если значение одного из этих полей отличается от значения другого пакета, можно с уверенностью утверждать, что эти пакеты относятся к разным потокам:

IP-адрес источника;
IP-адрес назначения;
Номер порта источника;
Номер порта назначения;
Тип протокола уровня 3;
Маркировка ToS (тип обслуживания);
Логический входной интерфейс.

Flexible NetFlow поддерживает больше различных параметров в записях данных о потоках.

Настройка NetFlow

Поток NetFlow является однонаправленным. Это означает, что одно подключение пользователя к приложению существует в качестве двух потоков NetFlow, по одному для каждого направления.

Используйте команду интерфейса:

ip flow ingress

чтобы определить сбор данных NetFlow для наблюдения за входящими пакетами.

Используйте команду интерфейса:

ip flow egress

чтобы определить сбор данных NetFlow для наблюдения за исходящими пакетами.

Чтобы разрешить отправку данных NetFlow сборщику данных NetFlow, необходимо настроить на маршрутизаторе несколько элементов в режиме глобальной конфигурации.

IP-адрес и номер порта UDP сборщика NetFlow — используйте команду:

ip flow-export destination ip-address udp-port

Сборщик данных может иметь один или несколько портов по умолчанию для сбора данных NetFlow. С помощью программного обеспечения администратор может определять, какой порт или порты будут принимать данные NetFlow. Чаще всего для этого назначаются порты UDP 99, 2055 и 9996.

(Дополнительно) Версия NetFlow, которую следует использовать при форматировании записей NetFlow, отправляемых сборщику:используйте команду:

ip flow-export version version

NetFlow экспортирует данные в UDP в одном из пяти форматов (1, 5, 7, 8 и 9). Версия 9 — это наиболее универсальный формат экспорта данных, однако он не совместим с предыдущими версиями. Версия 1 — это версия, назначаемая по умолчанию, если не указана версия 5. Версию 1 следует применять, только если это единственная версия формата экспорта данных NetFlow, поддерживаемая программным обеспечением сборщика данных NetFlow.

(Дополнительно) Интерфейс источника, который будет использоваться в качестве источника пакетов, отправляемых сборщику — используйте команду:

ip flow-export source typenumber

В число обстоятельств, учитываемых при настройке NetFlow, входят следующие:

Новые модели маршрутизаторов Cisco, например маршрутизаторы серии ISR G2, поддерживают как NetFlow, так и Flexible NetFlow;
Новые модели коммутаторов Cisco, например коммутаторы серии 3560-X, поддерживают Flexible NetFlow, однако существуют модели коммутаторов Cisco, например коммутаторы Cisco серии 2960, которые не поддерживают ни NetFlow, ни Flexible NetFlow;
NetFlow потребляет дополнительный объём памяти. Если сетевое устройство Cisco имеет ограничения памяти, можно предварительно настроить размер кэша NetFlow, так чтобы в нем помещалось меньшее число записей. Размер кэша по умолчанию зависит от платформы;
Требования к ПО NetFlow для сборщика данных NetFlow могут различаться. Например, для ПО NetFlow Scrutinizer на узле Windows требуется 4 Гбайт ОЗУ и 50 Гбайт дискового пространства.

Примечание. Основное внимание в рамках данного курса уделяется настройке первоначального протокола NetFlow (в документации по продуктам Cisco он называется просто NetFlow) на маршрутизаторе Cisco. Настройка Flexible Netflow в рамках данного курса не рассматривается.

Проверка NetFlow

Чтобы просмотреть сводную статистику NetFlow, а также узнать, какой протокол использует максимальный объём трафика и между какими узлами этот трафик передаётся, введите команду:

show ip cache flow

в пользовательском или привилегированном режиме.

Урок 9 Отладка сети

Документирование сети

Чтобы сетевые администраторы могли выполнять мониторинг сети, а также отладку сети, они должны иметь полный набор точной и актуальной документации по сети. В состав этой документации входят:

Файлы настройки, в том числе файлы настройки сети и файлы настройки оконечных систем;
Диаграммы физической и логической топологии сети;
Базовый уровень производительности.

Диаграммы топологии сети:

Физическая топология;
Логическая топология.

Базовый уровень производительности

Целью наблюдения за сетью является отслеживание уровня производительности сети и его сравнение с ранее определёнными базовыми показателями.

Если базовые показатели отсутствуют, то нет никакого стандарта для определения оптимальных уровней сетевого трафика и уровней загруженности.

Интервала времени, а также объема собираемых сведений о базовых показателях должно быть достаточно для формирования типичной картины сети. Крайне важно наблюдать за ежедневными тенденциями сетевого трафика.

Как правило, для определения базовых показателей достаточным будет период длительностью от 2-х до 4-х недель.

Измерение базовых показателей не следует выполнять в периоды, когда в сети есть уникальные образцы трафика, так как в этом случае результаты измерения не будут точно отражать нормальную работу сети. Анализ сети с определением базовых показателей необходимо проводить на регулярной основе. Выполняйте ежегодный анализ всей сети или базовых показателей отдельных её частей поочередно. Анализ необходимо выполнять регулярно, чтобы узнать, какое влияние на сеть оказывают её рост, а также другие изменения.

Общие процедуры поиска и устранения неполадок

Примечание. Для устранения проблем следует общаться с пользователями и любыми сотрудниками, принимающими участие в процессе поиска и устранения неполадок. Информацию о разрабатываемом решении должны получить другие сотрудники отдела ИТ.

Сбор данных о симптомах

Шаг 1. Сбор информации — получение информации из заявок на устранение отказов, от пользователей или из оконечных систем, на которые воздействует проблема, с целью формирования определения данной проблемы.

Шаг 2. Определение ответственности — если проблема относится к области контроля организации, перейдите к следующему этапу. Если проблема выходит за границы области контроля организации (например потеря связи через Интернет за пределами автономной системы), обратитесь к администратору внешней системы до сбора информации о других симптомах.

Шаг 3. Уточнение (сужение) области — определите, на каком уровне сети существует проблема: на уровне ядра, распределения или доступа. На идентифицированном уровне проанализируйте существующие симптомы и используйте топологию сети, чтобы определить, какое оборудование является наиболее вероятной причиной проблемы.

Шаг 4. Сбор данных о симптомах из предположительно неисправных устройств — соберите информацию о симптомах аппаратных и программных ошибок из предположительно неисправных устройств с помощью многоуровневого подхода по поиску и устранению неполадок. Начните с наиболее вероятного неисправного элемента и, используя весь свой опыт и знания, попытайтесь определить источник неполадки — отказ оборудования или ошибка в настройке программного обеспечения.

Шаг 5. Документирование симптомов — иногда проблему можно устранить с помощью задокументированной информации о симптомах. Если это невозможно, перейдите к этапу изоляции в рамках общего процесса поиска и устранения неполадок.

Для сбора данных о симптомах сетевых проблем используйте следующие команды ОС IOS Cisco:

Примечание. Несмотря на то, что команда debugявляется важным средством сбора данных о симптомах, она создаёт объёмный трафик консольных сообщений, и она может существенно уменьшить уровень производительности сетевого устройства. По окончании процедуры не забудьте отключить режим отладки.

Использование многоуровневых моделей для поиска устранения неполадок

После сбора данных обо всех симптомах, если никакое решение не определено, администратор сети сравнивает признаки проблемы с логическими уровнями сети, чтобы изолировать и устранить проблему.

Методы поиска и устранения неполадок

Многоуровневые модели поддерживают три основных метода поиска и устранения неполадок в сетях:

Снизу вверх;
Сверху вниз;
Разделяй и властвуй.

Другой подход основан на сравнении рабочего и нерабочего состояний и последующем выявлении основных отличий, к которым относятся:

Настройки;
Версии программного обеспечения;
Свойства оборудования и других устройств.

Применение данного метода может позволить получить нужное решение, но без четкого выявления причины проблемы.

Еще одним методом поиска и устранения неполадок является замена компонентов. При нём, в числе прочего, предположительно неисправное устройство меняется на заведомо работающее.

Программные средства поиска и устранения неполадок

Средства системы управления сетями — Система управления сетями (NMS) включает в себя средства наблюдения на уровне устройств, настройки и средства для устранения неисправностей;
Базы знаний — Базы знаний поставщиков сетевых устройств, доступные в оперативном режиме, стали незаменимыми источниками информации;
Средства определения базовых показателей — Существует много средств для автоматизации процесса документирования сети и формирования базовых показателей, например, ПО SolarWinds LANSurveyor и CyberGauge;
Анализаторы протоколов на конечных устройствах — Анализатор протоколов декодирует различные уровни протоколов в записанном кадре и представляет полученные сведения в формате, более удобном для восприятия Wireshark;
Встроенная функция для захвата пакетов Cisco IOS — Встроенная функция для захвата пакетов Cisco IOS Embedded Packet Capture (EPC) представляет собой многофункциональное средство трассировки, поиска и устранения неполадок;

Средства поиска и устранения неполадок аппаратного обеспечения

В число распространённых средств поиска и устранения неполадок аппаратного обеспечения входят:

Модуль анализа сети – Модуль анализа сети (NAM) можно устанавливать в маршрутизаторы Cisco Catalyst серии 6500 и коммутаторы Cisco серии 7600;
Цифровые мультиметры – При отладке сети большинство мультиметров позволяют контролировать уровни напряжения питания и проверять поступление питания на сетевые устройства;
Тестеры кабелей – Тестеры кабелей можно использовать для обнаружения оборванных жил, кроссировки проводов, коротких замыканий и жил, неправильно собранных в пары. Эти устройства могут представлять собой недорогие тестеры обрывов, умеренно дорогие тестеры кабелей или дорогие рефлектометры для кабельных линий (time-domain reflectometer, TDR);
Анализаторы кабелей — Анализаторы кабелей представляют собой многофункциональные портативные устройства, которые используются для тестирования и сертификации медных и оптоволоконных кабелей на соответствие различным применениям и стандартам. Более сложные средства позволяют выполнять более сложную диагностику, например, определять расстояние до дефекта, который ухудшает уровень производительности (NEXT, RL), определять действия по исправлению, графически отображать поведение перекрёстных наводок и импеданса. К анализаторам кабелей обычно прилагается специальное ПО для ПК. После сбора полевых данных портативное устройство может выгрузить их на компьютер для создания текущих отчетов;
Портативные анализаторы сетей — это портативные устройства применяемые для поиска и устранения отказов в коммутируемых сетях и сетях VLAN. Подключив анализатор сети в любой точке сети, технический специалист может определить порт коммутатора, к которому подключено устройство, а также среднюю и пиковую нагрузку на данный порт. Анализатор также можно использовать для обнаружения настройки сети VLAN, определения основных источников трафика, анализа сетевого трафика и просмотра сведений об интерфейсах. Как правило, такое устройство может выводить данные на ПК, где установлено ПО для наблюдения за сетью, с целью последующего анализа и устранения неполадок.

Поиск и устранение неполадок на физическом уровне

Поиск и устранение неполадок канального уровня

Поиск и устранение неполадок сетевого уровня

Поиск и устранение неполадок на транспортном уровне

Поиск и устранение неполадок на транспортном уровне — NAT для IPv4

Примечание. Пакеты DHCPv6 от клиента IPv6 могут перенаправляться маршрутизатором с помощью команды ipv6 dhcp relay.

Поиск и устранение неисправностей на уровне приложений

Компоненты сквозного поиска и устранения неполадок

Если отсутствует сквозная связь, и администратор выбирает для отладки способ «снизу вверх», то он может выполнить следующие шаги:

Шаг 1. Проверить физическую связь в точке, где прекращается обмен данными в сети. Это относится, в том числе, и к кабелям и оборудованию. Проблема может быть связана с неисправным кабелем или интерфейсом, либо с неправильно настроенным или неисправным оборудованием.

Шаг 2. Проверить наличие несогласованных параметров дуплексной связи.

Шаг 3. Проверить адресацию на канальном и сетевом уровне в локальной сети. Сюда относятся таблицы ARP IPv4, таблицы соседних устройств IPv6, таблицы MAC-адресов и назначения сети VLAN.

Шаг 4. Убедиться, что выбран правильный шлюз по умолчанию.

Шаг 5. Убедиться, что устройства определяют правильный путь от источника к пункту назначения. При необходимости можно изменить информацию о маршрутизации.

Шаг 6. Убедиться, что транспортный уровень работает правильно. Для проверки подключений на транспортном уровне с помощью командной строки также можно использовать Telnet.

Шаг 7. Убедиться, что ни один из списков ACL не блокирует трафик.

Шаг 8. Убедиться, что параметры DNS правильны. Сервер DNS должен быть доступен.