Широкополосные решения позволяют обеспечить работников, работающих удаленно, высокоскоростным доступом к Интернету и внутренним сетям компании. Небольшие филиалы также могут осуществлять подключения с помощью этих технологий. В данной главе рассматриваются часто используемые решения широкополосного доступа, такие как кабельные, DSL и беспроводные подключения.
Примечание. Под удаленной работой понимаются различные способы организации рабочего процесса, при которых используется удаленное подключение сотрудника к рабочему месту посредством телекоммуникационных технологий.
С точки зрения интернет-провайдеров, протокол PPP обладает важными преимуществами в виде функций аутентификации, учета и управления соединением. Пользователям нравятся удобство и доступность подключений Ethernet. Однако у канала Ethernet нет встроенной поддержки протокола PPP. В итоге было найдено решение этой проблемы — протокол PPPoE (PPP over Ethernet — протокол передачи кадров PPP через Ethernet). В этой главе описана реализация протокола PPPoE.
Обеспечение безопасности представляет собой одну из важнейших задач при использовании в бизнесе Интернета для общего доступа. Для защиты данных, передаваемых через Интернет, применяются сети VPN. Сеть VPN образует туннель (частный канал связи) в общедоступной сети. Для защиты данных от несанкционированного доступа можно использовать шифрование в этом туннеле в Интернете, а также аутентификацию. Технология VPN предоставляет средства обеспечения безопасности для данных, передаваемых по этим соединениям. В этой главе описаны основные способы реализации сетей VPN.
Примечание. В основе механизма информационной безопасности сетей VPN лежит протокол IPsec, который и обеспечивает защиту при передаче данных через Интернет. Протокол IPSec не рассматривается в этом курсе.
GRE (Generic Routing Encapsulation) — это протокол туннелирования, разработанный компанией Cisco, который позволяет инкапсулировать пакеты протоколов разных типов внутри IP-туннелей. Благодаря этому создается виртуальный канал «точка-точка» до маршрутизаторов Cisco в удаленных точках поверх IP-сети. В этой главе рассматривается базовая реализация протокола GRE.
Протокол маршрутизации граничного шлюза (BGP) применяется для работы с трафиком, который передается между двумя автономными системами. В этой главе дается описание BGP-маршрутизации и реализации протокола BGP в сети, подключенной к единственному интерфейсу.
С каждым днем в вашем регионе расширяются возможности трудоустройства на удаленной основе. Вам предложили стать сотрудником, работающим удаленно в крупной корпорации. Новому работодателю требуются удаленные сотрудники, которым для выполнения работы нужен доступ к Интернету.
Изучите следующие типы широкополосных подключений к Интернету, доступные в вашем регионе:
Проанализируйте преимущества и недостатки всех вариантов широкополосного доступа, записанных при изучении, к которым могут относиться стоимость, скорость, безопасность и простота реализации или установки.
Цифровая абонентская линия позволяет обеспечить высокоскоростное соединение на основе имеющихся медных кабелей. DSL представляет собой одно из основных доступных решений для удаленных работников.
На рисунке показана схема распределения полосы пропускания в медном проводнике при использовании технологии ADSL. Область с подписью ТСОП (сеть общего назначения) соответствует диапазону частот голосовой телефонной связи. Область, обозначенная как ADSL, представляет диапазон частот, используемый восходящими и нисходящими сигналами DSL. Область, которая включает и область обычной телефонной сети, и область ADSL, представляет весь диапазон частот, поддерживаемый медной проводной парой.
Другой формой технологии DSL является симметричная DSL (SDSL). Все виды услуг DSL делятся на асимметричные (ADSL) и симметричные (SDSL), причем каждый тип имеет несколько разновидностей. ADSL обеспечивает более высокую пропускную способность нисходящих каналов, идущих по направлению к пользователю, по сравнению с восходящими каналами. SDSL обеспечивает одинаковую пропускную способность в обоих направлениях.
Различные типы DSL обеспечивают разную пропускную способность, иногда превышающую 40 Мбит/с. Скорость передачи данных зависит от фактической длины местной линии, а также от типа и состояния кабелей. Для удовлетворительного качества связи ADSL длина канала не должна превышать 5,46 км (3,39 мили).
Операторы связи развертывают DSL‑соединения в пределах местной линии. Подключение настраивается между парами модемов на обоих концах медного кабеля, связывающего телекоммуникационное оборудование клиента (CPE) с мультиплексором доступа к DSL (DSLAM). DSLAM — это устройство, расположенное в центральном офисе поставщика, собирающее подключения нескольких абонентов DSL. DSLAM часто встраивается в маршрутизатор агрегации.
На рисунке 1 показано оборудование, необходимое для обеспечения подключения DSL для малых и домашних офисов. Два важнейших компонента — это приемопередатчик DSL и мультиплексор DSLAM:
Микрофильтр (также именуемый DSL-фильтром) обеспечивает подключение аналоговых устройств, например телефонов и факсов, и является обязательным компонентом при использовании технологии DSL. На рисунке 2 показаны современные маршрутизаторы DSL и широкополосные маршрутизаторы агрегации. Преимущества DSL по сравнению с кабельной технологией заключается в том, что DSL не является коллективно используемой средой. Каждый пользователь имеет отдельное прямое подключение к DSLAM. Добавление пользователей не влияет на производительность до тех пор, пока подключение к Интернету DSLAM у интернета-провайдера, или подключение к Интернету, не достигает предельных значений нагрузки.
Благодаря технологическому прогрессу широкополосная беспроводная связь становится все более и более доступной, что достигается главным образом за счет следующих трех технологий:
Городские сети Wi-Fi
Многие муниципальные органы власти, зачастую в сотрудничестве с операторами связи, развертывают беспроводные сети. Некоторые из этих сетей предоставляют высокоскоростной доступ к Интернету бесплатно или по цене, значительно более низкой, чем цена других сервисов широкополосного доступа. Другие города резервирует свои сети Wi-Fi для официального использования, обеспечивая полиции, пожарным и служащим городской администрации удаленный доступ к Интернету и городским сетям.
Чаще всего городские беспроводные сети образуют ячеистую структуру на основе соединенных друг с другом точек доступа, см. рис. 1. Каждая точка доступа находится в зоне приема и может обмениваться данными как минимум с двумя другими точками доступа. Подобная ячеистая сеть обеспечивает прием и передачу радиосигналов на территории, которую она покрывает.
Сотовая/мобильная связь
Мобильные телефоны обмениваются данными с ближайшими вышками сотовой связи посредством радиосигналов. В мобильный телефон встроена небольшая радиоантенна. На стороне оператора связи применяются гораздо более крупные антенны, установленные на вышках, см. рис. 2.
Когда речь идет о сетях сотовой/мобильной связи, используются следующие три общепринятых термина:
В сотовых/мобильных широкополосных сетях применяются различные стандарты доступа, а именно: 2G (GSM, CDMA, TDMA), 3G (UMTS, CDMA2000, EDGE, HSPA+) и 4G (LTE). Подписка на сервисы мобильной связи не обязательно включает в себя подписку на сервисы мобильной широкополосной связи. Скорость доступа в сотовых сетях постоянно увеличивается. Например, технология LTE Category 10 поддерживает передачу данных на скорости до 450 Мбит/с в прямом направлении и до 100 Мбит/с в обратном.
Спутниковый Интернет
Спутниковые интернет-сервисы используются там, где невозможен наземный доступ к Интернету, а также для временных мобильных установок. Доступ к Интернету с помощью спутников предоставляется во всем мире, включая предоставление доступа к Интернету на кораблях в открытом море, на самолетах, находящихся в воздухе, и на транспортных средствах, перемещающихся по земле.
На рис. 3 изображена двусторонняя спутниковая система, при помощи которой абонент получает доступ в Интернет. Скорость передачи трафика в восходящем направлении приблизительно в десять раз ниже скорости загрузки (т. е. передачи в нисходящем направлении). Скорость загрузки составляет от 5 до 25 Мбит/с.
Важнейшее требование к установке антенны — это наличие хорошей видимости по направлению к экватору, где размещено большинство орбитальных спутников. Деревья и проливные дожди могут отрицательно влиять на прием сигналов.
Примечание. Технология WiMAX — это беспроводная технология, предназначенная для обеспечения мобильной и фиксированной связи. В некоторых регионах мира использование технологии WiMAX все еще оправдано. Щелкните здесь, чтобы прочесть о недавних инвестициях Intel Capital в технологию WiMAX. Однако в большинстве стран вместо WiMAX применяются системы на основе LTE (мобильные сети) и кабельный или DSL-доступ (фиксированные сети). Сети WiMAX, принадлежавшие оператору Sprint, были выведены из эксплуатации в начале 2016 года. Щелкните здесь, чтобы прочесть о взлете и закате WiMAX.
Каждое решение широкополосного доступа имеет свои преимущества и недостатки. Идеальный вариант — подключение оптоволоконного кабеля непосредственно к сети малого или домашнего офиса. В некоторых местоположениях поддерживается только один способ подключения: кабельный или DSL. В некоторых местоположениях поддерживаются только варианты широкополосной беспроводной связи для доступа к Интернету.
При наличии нескольких широкополосных решений необходимо провести анализ соотношения затрат и преимуществ для определения оптимального решения.
В процессе принятия решения необходимо учесть ряд следующих факторов:
Помимо изучения различных технологий, обеспечивающих широкополосный доступ в Интернет, также важно иметь представление об основном протоколе канального уровня, который используется интернет‑провайдером для установления подключения.
Один из наиболее распространенных протоколов канального уровня, используемых интернет-провайдерами, — это протокол PPP. PPP можно использовать на всех последовательных каналах, в том числе созданных с использованием модемов ISDN и модемов для коммутируемых аналоговых каналов. На сегодняшний день для передачи данных от пользователя dial-up к интернет-провайдеру с помощью аналоговых модемов чаще всего используется протокол PPP. На рисунке 1 показано классическое представление аналогового коммутируемого подключения по протоколу PPP.
Кроме того, интернет-провайдеры часто используют PPP в качестве протокола канального уровня для широкополосных подключений. Для этого имеется несколько причин. Во-первых, PPP поддерживает возможность назначения IP-адресов удаленным концам канала PPP. Если протокол PPP поддерживается, интернет-провайдеры могут использовать PPP для назначения каждому заказчику одного публичного адреса IPv4. Что еще более важно, PPP поддерживает аутентификацию CHAP. Интернет-провайдеры предпочитают использовать CHAP для аутентификации пользователей, поскольку во время аутентификации можно проверять учетные записи, чтобы определить, оплачены ли счета, прежде чем пользователь сможет подключиться к Интернету.
Эти технологии, обеспечивающие разные варианты поддержки PPP, пришли на рынок в следующем порядке:
1. Аналоговые модемы для коммутируемого подключения, которые могут использовать PPP и CHAP
2. ISDN для коммутируемого подключения, которые могут использовать PPP и CHAP
3. DSL, которая не создает канал «точка-точка» и не может поддерживать PPP и CHAP
Интернет-провайдеры высоко ценят протокол PPP благодаря возможностям аутентификации, учета и функций управления каналами, которые он предоставляет. Пользователям нравятся удобство и доступность подключений Ethernet. Однако каналы Ethernet изначально не поддерживают PPP. Протокол PPPoE решает эту проблему. Как показано на рисунке 2, PPPoE позволяет отправлять кадры PPP, инкапсулированные внутри кадров Ethernet.
Как показано на рисунке, маршрутизатор пользователя обычно подключается к модему DSL с помощью кабеля Ethernet. PPPoE создает туннель PPP по подключению Ethernet. Это позволяет отправлять кадры PPP интернет-провайдеру с маршрутизатора пользователя по кабельному подключению Ethernet. Модем преобразует кадры Ethernet в кадры PPP путем отделения заголовка Ethernet. Затем модем передает кадры PPP по сети DSL, принадлежащей интернет-провайдеру.
Благодаря возможности отправлять и получать кадры PPP с одного маршрутизатора на другой интернет-провайдер может продолжать использовать такую же модель аутентификации, как и при аналоговой связи и ISDN. Чтобы все это успешно заработало, требуется дополнительная настройка маршрутизаторов на стороне заказчика и интернет-провайдера, в том числе настройка протокола PPP, см. рис. 1. Для правильного выполнения настройки необходимо учесть следующее:
1. Для создания туннеля PPP в настройке используется интерфейс номеронабирателя (dialer). Интерфейс номеронабирателя является виртуальным интерфейсом. Настройка PPP размещается на интерфейсе номеронабирателя, а не на физическом интерфейсе. Интерфейс номеронабирателя создается с помощью команды interface dialer number . Пользователь может настроить статический IP-адрес, но с большей вероятностью интернет-провайдер автоматически назначит ему публичный IP-адрес.
2. Конфигурация CHAP PPP обычно определяет одностороннюю аутентификацию; то есть интернет-провайдер проверяет подлинность пользователя. Имя узла и пароль, настроенные на маршрутизаторе пользователя, должны совпадать с именем узла и паролем, настроенными на маршрутизаторе интернет-провайдера. Обратите внимание, что на рисунке имя пользователя и пароль CHAP совпадают с параметрами на маршрутизаторе интернет-провайдера.
3. Затем на физическом интерфейсе Ethernet, который подключается к модему DSL, настраивается команда pppoe enable, которая включает протокол PPPoE и связывает физический интерфейс с интерфейсом номеронабирателя. Интерфейс номеронабирателя соединяется с Ethernet-интерфейсом с помощью команд dialer pool и pppoe-client с использованием одного и того же номера. Номер интерфейса номеронабирателя не должен совпадать с номером пула номеронабирателя.
4. Для параметра MTU (максимальный размер передаваемого блока данных) должно быть установлено значение 1492 (вместо 1500 по умолчанию) для обеспечения соответствия заголовкам PPPoE.
Поупражняйтесь в настройке протокола PPPoE, пользуясь инструментом проверки синтаксиса на рис. 2.
Маршрутизатор интернет-провайдера настроен со следующими параметрами:
Настройте виртуальный интерфейс номеронабирателя 5 в следующем порядке:
R1(config)# interface dialer 5R1(config-if)# encapsulation pppR1(config-if)# ip address negotiatedR1(config-if)# ip mtu 1492R1(config-if)# dialer pool 5R1(config-if)# ppp chap hostname customer2222R1(config-if)# ppp chap password ConnectMeR1(config-if)# no shutdown*Jul 5 15:02:54.207: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, changed state to up*Jul 5 15:02:54.207: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to upНастройте подключение DSL к интернет-провайдеру в интерфейсе GigabitEthernet 0/0 в следующем порядке.
R1(config-if)# interface GigabitEthernet 0/0R1(config-if)# no ip addressR1(config-if)# pppoe enableR1(config-if)# pppoe-client dial-pool-number 5R1(config-if)# no shutdown*Jul 5 15:03:01.359: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to upR1(config-if)# endВведите краткую информацию о состоянии интерфейса.
R1# show ip interface briefInterface IP-Address OK? Method Status ProtocolGigabitEthernet0/0 unassigned YES NVRAM up up GigabitEthernet0/1 172.16.1.1 YES manual up up Dialer5 64.100.10.1 YES manual up up Virtual-Access1 unassigned YES unset up up Вы успешно настроили протокол PPPoE на маршрутизаторе R1 заказчика.
На рис. 1 показано, что клиентский маршрутизатор подключен к маршрутизатору интернет-провайдера через DSL-модем. На обоих маршрутизаторах настроен протокол PPPoE. На маршрутизаторе R1 выполняется команда show ip interface brief, позволяющая проверить адрес IPv4, который автоматически присваивается интерфейсу номеронабирателя маршрутизатором интернет-провайдера.
Как показано на рис. 2, команда show interface dialer на маршрутизаторе R1 позволяет проверить параметры MTU и инкапсуляции PPP на интерфейсе номеронабирателя.
На рис. 3 показана таблица маршрутизации на маршрутизаторе R1.
Обратите внимание: в таблице маршрутизации R1 задано два маршрута узла /32 для 10.0.0.0. Первый маршрут узла предназначен для адреса, назначенного интерфейсу номеронабирателя. Второй маршрут узла — это адрес IPv4 интернет-провайдера. Эти два маршрута узла устанавливаются протоколом PPPoE по умолчанию.
Как показано на рис. 4, команда show pppoe session позволяет отобразить информацию об активных сеансах PPPoE. В выходных данных показаны локальные и удаленные MAC-адреса Ethernet обоих маршрутизаторов. Для проверки MAC-адресов Ethernet следует выполнить команду show interfaces на каждом маршрутизаторе.
Если клиентский маршрутизатор и DSL-модем подключены надлежащими кабелями, причиной неправильной работы PPPoE, как правило, является:
Проверьте согласование PPP с помощью команды debug ppp negotiation. На рис. 1 показана часть вывода команды debug после активации интерфейса G0/1 маршрутизатора R1.
В процедуре согласования PPP существует четыре основных точек отказа:
Получив от интернет-провайдера подтверждение, что он использует CHAP, убедитесь, что имя пользователя и пароль CHAP верны. На рис. 1 показана конфигурация протокола CHAP на интерфейсе номеронабирателя dialer2.
Повторная проверка вывода команды debug ppp negotiation на рис. 2 показывает, что имя пользователя CHAP задано верно.
Если имя пользователя или пароль CHAP заданы неверно, то в выводе команды debug ppp negotiation содержится сообщение об ошибке аутентификации, см. рис. 3.
При доступе к некоторым веб-страницам через PPPoE могут возникать сбои. Когда клиент запрашивает веб-страницу, между клиентом и веб-сервером происходит трехстороннее рукопожатие TCP. Во время этого согласования клиент указывает свой максимальный размер сегмента TCP (MSS). TCP MSS — это максимальный размер фрагмента данных в сегменте TCP.
Узел определяет значение своего поля MSS путем вычитания размера заголовков IP и TCP из размера MTU для Ethernet. На интерфейсе Ethernet размер MTU по умолчанию равен 1500 байт. Если вычесть заголовок IPv4 размером 20 байт и заголовок TCP размером 20 байт, то размер MSS по умолчанию будет равен 1460 байт, как показано на рис. 1.
Значения MSS и MTU по умолчанию составляют соответственно 1460 и 1500 байт. Однако PPPoE поддерживает MTU только размером 1492 байта, чтобы иметь возможность разместить дополнительный заголовок PPPoE размером 8 байт, как показано на рис. 2.
Способ проверки размера блока передачи сообщений для протокола PPPoE в текущей конфигурации показан на рис. 3. Такое несоответствие между размером MTU для узла и для PPPoE может приводить к тому, что маршрутизатор будет отбрасывать пакеты размером 1500 байт и завершать сеансы TCP по сети PPPoE.
Команда ip tcp adjust-mss max-segment-size interface помогает предотвратить прерывание сеансов TCP за счет регулировки значения MSS в ходе трехстороннего квитирования TCP. В большинстве случаев оптимальное значение аргумента max-segment-size составляет 1452 байта. На рис. 4 показана данная конфигурация на интерфейсе LAN маршрутизатора R1.
Значение MSS для TCP равно 1452 плюс заголовок IPv4 размером 20 байт, заголовок TCP размером 20 байт и заголовок PPPoE размером 8 байт в сумме дают MTU размером 1500 байт, как показано на рис. 2.
Организациям требуются безопасные, надежные и недорогие способы соединения между собой нескольких сетей, которые позволят подключать филиалы и поставщиков к сети главного офиса корпорации. Кроме того, с учетом увеличения количества удаленных сотрудников предприятиям все чаще требуются безопасные, надежные и экономичные решения для подключения сотрудников, работающих в секторе SOHO (Small Office/Home Office — малый офис/домашний офис), а также в других удаленных местоположениях, к ресурсам корпоративных узлов.
Как показано на рисунке, при помощи соединений VPN организации устанавливают двухточечные частные сетевые соединения через сторонние сети, в том числе через Интернет. Туннель устраняет барьер, связанный с расстоянием, и позволяет удаленным пользователям получать доступ к сетевым ресурсам на центральном узле. VPN представляет собой частную сеть, которая создается с помощью туннелирования в публичной сети (как правило, в Интернете). VPN — это среда передачи данных со строгим контролем доступа, позволяющим устанавливать равноправные подключения в пределах определенного целевого сообщества.
Первые сети VPN представляли собой обычные IP-туннели, в которых проверка подлинности или шифрование данных не выполнялись. Например, разработанный в Cisco протокол тунеллирования GRE обеспечивает инкапсуляцию широкого круга пакетов сетевого уровня в IP-туннелях, однако протокол GRE не поддерживает шифрование. Благодаря этому создается виртуальный канал «точка-точка» до маршрутизаторов Cisco в удаленных точках поверх IP-сети.
В настоящее время под виртуальными частными сетями обычно понимают защищенную реализацию сети VPN с шифрованием (например IPsec VPN).
Для реализации сетей VPN требуется шлюз VPN. Шлюзом VPN может быть маршрутизатор, межсетевой экран или устройство адаптивной защиты Cisco ASA (Adaptive Security Appliance). ASA — это автономный межсетевой экран, который объединяет в пределах одного образа программного обеспечения функции межсетевого экрана, концентратора VPN, а также системы предотвращения вторжений.
Как показано на рисунке, в сети VPN применяются виртуальные подключения, которые проходят от частной сети организации через Интернет к удаленному узлу или компьютеру сотрудника. Информация, поступающая из частной сети, передается в защищенном режиме по публичной сети, что позволяет создать виртуальную сеть.
Ниже указаны преимущества сети VPN:
Сеть site-to-site VPN создается, когда устройства на обеих сторонах подключения VPN заранее знают настройки сети VPN (см. рисунок). Сеть VPN остается статической, и внутренние узлы не знают о существовании VPN. В межузловой сети VPN оконечные компьютеры отправляют и получают обычный трафик TCP/IP через шлюз VPN. Шлюз VPN отвечает за инкапсуляцию и шифрование исходящего трафика для всего трафика, поступающего с конкретного объекта. Затем шлюз VPN передает этот трафик через туннель VPN по Интернету в равноправный соседний шлюз VPN на стороне приема. При получении данных соседний шлюз VPN удаляет заголовки, расшифровывает содержимое и передает пакет в узел назначения по своей частной сети.
Межузловая сеть VPN представляет собой расширение классической сети WAN. Сети VPN типа «узел-узел» позволяют подключать друг к другу целые сети, например сеть филиала с сетью главного офиса компании. Ранее для подключения площадок между собой требовалась выделенная линия или подключение Frame Relay. Но так как сегодня большинство корпораций имеют доступ к Интернету, то вместо таких подключений можно использовать сети VPN типа «узел-узел».
В то время как межфилиальная сеть VPN используется для подключения целых сетей, сеть VPN удаленного доступа (remote access) соответствует потребностям удаленных и мобильных сотрудников, а также позволяет передавать трафик от потребителей к компаниям через экстранет. VPN удаленного доступа создается в тех случаях, когда информация о VPN не является статической, и может изменяться динамически, а сам канал может включаться и отключаться. Сети VPN удаленного доступа поддерживают клиент-серверную архитектуру, при которой VPN-клиенту (удаленному узлу) предоставляется защищенный доступ к корпоративной сети через VPN-сервер, находящийся на периметре сети, см. рисунок.
Они используются для подключения отдельных компьютеров, которым требуется безопасный доступ к корпоративной сети через Интернет. Удаленные сотрудники, как правило, получают доступ в Интернет через широкополосное подключение.
На оконечных устройствах мобильных пользователей может требоваться установка клиентского ПО для VPN. Например, на всех узлах может быть установлено ПО Cisco AnyConnect Secure Mobility Client. Когда узел пытается отправить любой трафик, клиентское ПО Cisco AnyConnect VPN инкапсулирует и шифрует этот трафик. Затем зашифрованные данные отправляются через Интернет на шлюз VPN на границе сети назначения. При получении данных шлюз VPN работает точно так же, как для сетей VPN типа «узел-узел».
Примечание. Клиентское ПО Cisco AnyConnect Secure Mobility Client, реализованное на основе предыдущих решений Cisco AnyConnect VPN Client и Cisco VPN Client, позволяет улучшить текущий уровень восприятия VPN на многих мобильных устройствах на базе ноутбуков и смартфонов. Данный клиент поддерживает протокол IPv6.
Динамическая многоточечная VPN-сеть (DMVPN) — это программное решение Cisco, обеспечивающее удобство, оперативность и масштабируемость при создании большого количества VPN. Она позволяет упростить настройку, а также легко и гибко соединять узлы в центральном офисе с узлами в филиалах. Такой тип соединения называется «звезда» (см. рис. 1).
Сети DMVPN позволяют филиалам осуществлять прямой обмен данными с другими филиалами, как показано на рис. 2.
Сети DMVPN создаются с помощью следующих технологий:
NHRP — это протокол разрешения и кэширования уровня 2, аналогичный протоколу ARP. NHRP создает распределенную базу данных соответствия публичных IP-адресов для всех «лучей» туннеля. Протокол NHRP использует архитектуру «клиент-сервер», основными элементами которой являются NHRP-концентратор, также именуемый сервером следующего перехода (NHS), и NHRP-лучи, также именуемые клиентами следующего перехода (NHC).
GRE (Generic Routing Encapsulation) — это протокол туннелирования, разработанный компанией Cisco, который позволяет инкапсулировать пакеты протоколов разных типов внутри IP-туннелей. Интерфейс туннеля mGRE позволяет одному интерфейсу GRE поддерживать несколько туннелей IPsec. При использовании mGRE динамически назначаемые туннели создаются через постоянную исходную точку туннеля в концентраторе, а динамически назначаемые точки назначения туннеля при необходимости создаются на «лучах». Это позволяет упростить конфигурацию и уменьшить ее размеры.
Как и другие типы VPN, DMVPN использует протокол IPsec для обеспечения безопасной передачи конфиденциальной информации через общедоступные сети, такие как Интернет.
Универсальная инкапсуляция при маршрутизации (Generic Routing Encapsulation, GRE) — один из примеров базового, незащищенного протокола создания туннелей для site-to-site VPN. GRE — это протокол туннелирования, разработанный компанией Cisco, позволяющий инкапсулировать пакеты протоколов различного типа внутри IP-туннелей. Благодаря этому создается виртуальный канал «точка-точка» до маршрутизаторов Cisco в удаленных точках поверх IP-сети.
GRE предназначен для управления процессом передачи многопротокольного и группового IP-трафика между двумя и более площадками, между которыми связь может обеспечиваться только по IP. Он может инкапсулировать пакеты протоколов различного типа в IP-туннеле.
Как показано на рисунке, интерфейс туннеля поддерживает заголовки для всех указанных ниже протоколов:
GRE — это протокол туннелирования, разработанный компанией Cisco, который позволяет инкапсулировать пакеты протоколов различного типа внутри IP-туннелей и создавать виртуальный канал «точка-точка» до маршрутизаторов Cisco в удаленных точках поверх IP-сети. Туннелирование IP с помощью GRE позволять расширять сеть через однопротокольную магистральную среду. Это обеспечивается путем соединения между собой различных многопротокольных подсетей в однопротокольной магистральной среде.
Протокол GRE обладает следующими характеристиками:
GRE используется для создания туннеля VPN между двумя узлами, как показано на рисунке 1. Для реализации туннеля GRE сетевой администратор должен сначала узнать IP-адреса конечных точек туннеля. После этого для настройки туннеля GRE следует выполнить следующую процедуру:
Шаг 1. Создайте туннельный интерфейс с помощью команды interface tunnel number;
Шаг 2. Укажите IP-адрес для интерфейса туннеля. Обычно это частный IP-адрес;
Шаг 3. Укажите IP-адрес источника туннеля;
Шаг 4. Укажите IP-адрес назначения туннеля;
Шаг 5. (Дополнительно) Укажите на интерфейсе туннеля в качестве используемого режима режим GRE Режим GRE является режимом по умолчанию для интерфейса туннеля в программном обеспечении Cisco IOS.
На рисунке 2 приведен пример базовой настройки туннеля GRE для маршрутизатора R1.
Настройка маршрутизатора R2 на рисунке 3 зеркальна по отношению к настройке R1.
Для минимальной настройки требуется указать адреса источника и назначения туннеля. Подсеть IP также необходимо настроить таким образом, чтобы обеспечить связь по IP через канал туннеля. Для обоих интерфейсов туннеля в качестве источника туннеля указан локальный интерфейс serial S0/0/0, а в качестве назначения туннеля — интерфейс serial S0/0/0 маршрутизатора, с которым устанавливается туннель. Обычно туннельному интерфейсу на обоих маршрутизаторах присваивается частный IP-адрес. Настройка протокола OSPF также позволяет обмениваться маршрутами через туннель GRE.
Описания отдельных команд для туннеля GRE приведены на рисунке 4.
Примечание. При настройке туннелей GRE может оказаться трудно запомнить, какие сети IP связаны с физическими интерфейсами, а какие — с интерфейсами туннеля. Следует помнить, что перед созданием туннеля GRE физические интерфейсы уже настроены. Команды tunnel source и tunnel destination работают с IP-адресами предварительно настроенных физических интерфейсов. Команда ip address на туннельных интерфейсах подразумевает адрес IP-сети (как правило, частной IP-сети), специально отведенной под туннель GRE.
Для наблюдения и устранения неполадок в туннелях GRE можно использовать несколько команд. Для определения работоспособности интерфейса туннеля используйте команду show ip interface brief, как показано на рисунке 1.
Чтобы проверить состояние туннеля GRE, выполните команду show interface tunnel. Протокол канального уровня в интерфейсе туннеля GRE активен до тех пор, пока существует маршрут до адреса назначения туннеля. Перед реализацией туннеля GRE между IP-адресами физических интерфейсов на противоположных сторонах потенциального туннеля GRE должна уже существовать связь по IP. Транспортный протокол туннелирования отображается в выходных данных, также показанных на рисунке 1.
Если OSPF также настроен на обмен маршрутами по туннелю GRE, то с помощью команды show ip ospf neighbor убедитесь, что через интерфейс туннеля установлены отношения смежности OSPF. На рисунке 2 видно, что адрес соседнего устройства OSPF находится в сети IP, созданной для туннеля GRE.
На рисунке 3 с помощью средства проверки синтаксиса (Syntax Checker) настройте и проверьте туннель GRE на маршрутизаторе R2, а затем на R1.
GRE считается VPN, так как это частная сеть, которая создается посредством туннелирования через публичную сеть. Благодаря инкапсуляции туннель GRE создает виртуальный канал «точка-точка» до маршрутизаторов Cisco в удаленных точках поверх IP-сети. Преимущества GRE заключаются в том, что его можно использовать для туннелирования трафика, отличного от IP, по сети IP, что делает возможным расширение сети путем подключения различных многопротокольных подсетей через однопротокольную магистральную среду. GRE также поддерживает процесс туннелирования групповой рассылки IP (IP multicast). Это означает, что в туннеле можно использовать протоколы маршрутизации, что позволяет обеспечивать динамический обмен данными о маршрутизации в виртуальной сети. Наконец, на практике часто создаются туннели GRE «IPv6 по IPv4», где IPv6 является инкапсулированным протоколом, а IPv4 — протоколом-транспортом. В будущем их роли, очевидно, поменяются местами, так как IPv6 становится стандартным протоколом IP.
Однако GRE не обеспечивает шифрования и никаких других механизмов безопасности. Поэтому данные, отправляемые по туннелю GRE, не защищены. Если требуется безопасная передача данных, то необходимо настроить сети VPN с IPsec или с SSL.
Проблемы в работе протокола GRE обычно возникают из-за перечисленных ниже ошибок настройки.
Выполните команду show ip interface brief на обоих маршрутизаторах, чтобы убедиться в том, что туннельный интерфейс активен и что IP-адреса туннельного и физического интерфейсов настроены правильно. Также убедитесь в том, что интерфейс источника на каждом из маршрутизаторов активен и что на этом интерфейсе правильно настроены IP-адреса, см. рис. 1.
Причиной проблемы может быть маршрутизация. На каждом маршрутизаторе должен присутствовать маршрут по умолчанию для передачи трафика в Интернет. Также на обоих маршрутизаторах должна быть правильно настроена динамическая или статическая маршрутизация. С помощью команды show ip ospf neighbor можно проверить отношение смежности соседей, как показано на предыдущей странице. Независимо от вида маршрутизации, можно пользоваться командой show ip route, которая позволяет убедиться в успешном прохождении трафика через сети между двумя маршрутизаторами, см. рис. 2.
RIP, EIGRP и OSPF — это протоколы внутренней маршрутизации (IGP). Интернет-провайдеры и их клиенты, например корпорации и крупные предприятия, обычно используют протоколы внутренней маршрутизации для маршрутизации трафика в своих сетях. Протоколы внутренней маршрутизации используются для обмена данными маршрутизации внутри корпоративной сети или автономной системы (AS).
Протокол BGP относится к классу протоколов внешней маршрутизации и обеспечивает обмен маршрутной информацией между автономными системами. Примерами таких систем могут служить сети интернет-провайдеров, корпоративные сети, сети контент-провайдеров (YouTube, Netflix и т. п.).
В протоколе BGP каждой автономной системе назначается уникальный 16-битный или 32-битный номер, который однозначно определяет ее в Интернете. На рисунке показан пример применения протоколов маршрутизации внутреннего шлюза (IGP).
Примечание. Также существуют частные номера автономных систем. Частные номера автономных систем не рассматриваются в рамках данного курса.
Протоколы внутренней маршрутизации используют специальный счетчик, например стоимость протокола OSPF, для определения оптимальных путей к сетям назначения. В протоколе BGP используется не один счетчик, как в протоколах внутренней маршрутизации. Маршрутизаторы BGP обмениваются несколькими атрибутами пути, включая список номеров автономных систем (для каждого перехода), которые нужны для доступа к сети назначения. Например, на рис. 1 автономная система 65002 может использовать автономные системы 65003 и 65005 для доступа к сети поставщика контента в автономной системе 65005. BGP является протоколом маршрутизации по вектору маршрутов.
Примечание. Путь по автономным системам — один из атрибутов, которые могут использоваться протоколом BGP для определения оптимального пути. Атрибуты пути и определение оптимального пути BGP не рассматриваются в рамках данного курса.
Обновления BGP инкапсулируются в TCP на порту 179. Таким образом, BGP наследует свойства TCP, связанные с соединением, что гарантирует надежную передачу обновлений BGP.
Протоколы внутренней маршрутизации используются для маршрутизации трафика внутри одной организации и управляются одной организацией. А BGP используется для маршрутизации между сетями, которыми управляют две разные организации. BGP используется автономной системой для объявления своих сетей (а в некоторых случаях — сетей, о которых эта автономная система узнала от других автономных систем) в Интернете.