K A P I T O LA 14 Rozlehlé sítě WAN
Systém Cisco lOS podporuje mnoho protokolů sítí WAN (wide area network), které umožňují propojit lokální sítě se sítěmi LAN ve vzdálených lokalitách. Asi není potřeba zdůrazňovat, jak je v současnosti výměna informací mezi geograficky oddělenými lokalitami důležitá. Přesto by však nebylo zrovna ekonomické ani efektivní instalovat vlastní kabel a propojit všechny podnikové pobočky vlastními silami. Mnohem lepší způsob představuje pronájem stávající instalace, kterou již poskytovatelé služeb vlastní. Tím lze výrazně ušetřit.
Z toho tedy vyplývá, že v této kapitole budeme diskutovat různé typy připojení, technologií a zařízení, jež se používají v sítích WAN. Dostaneme se také k implementaci a konfiguraci protokolu HDLC (High-Level Data-Link Control), ppp (Point-to-Point Protocol), PPPoE (Point-to-Point Protocol over Ethernet), kabelového připojení, DSL a sítí Frame Relay. Kromě toho si představíme základy bezpečnostní koncepce sítí WAN, tunelování a sítí VPN.
Poznámka Do této kapitoly bychom sice jako jedno z řešení sítí WAN mohli zahrnout rozbor bezdrátových sítí, ale rozbor této problematiky naleznete v kapitole 12, která je plná podrobností o bezdrátových řešeních Cisco a jejich nasazení v podnikových sítích i venkovních metropolitních oblastech.
Nebudeme zde tedy analyzovat všechny typy podpory sítí WAN u zařízení Cisco - cílem této knihy je, abyste se dozvěděli vše potřebné k úspěšnému absolvování zkoušky CCNA. Zaměříme se proto na kabelové připojení, DSL, protokoly HDLC, ppp a PPPoE a sítě Frame Relay. Kapitolu uzavřeme obsáhlým úvodem do sítí VPN. Začněme však po pořádku od základů sítí WAN.
Úvod do rozlehlých sítí WAN
Jaký je tedy rozdíl mezi sítí WAN (wide area network) a lokální sítí (LAN)? Samozřejmě zde máme faktor vzdálenosti, ale bezdrátové sítě LAN (WLAN) mají v současnosti poměrně velký dosah. Co takhle šířka pásma? Opět to není rozhodující rozdíl - když si připlatíte, můžete v některých místech dostat poměrně rychlé linky. Kde tedy udělat dělicí čáru mezi oběma typy sítí? Sítě WAN se od sítí LAN liší hlavně tím, že zatímco infrastrukturu LAN obvykle vlastníte, infrastrukturu WAN si zpravidla pronajímáte od poskytovatele služeb. Po pravdě řečeno, moderní technologie zpochybňují i tuto definici, ale pro účely okruhů zkoušky Cisco se velice dobře hodí. Již jsme mluvili o datových linkách, které zpravidla vlastníte (Ethernet), ale nyní se budeme zabývat spoji, jež zpravidla nejsou majetkem vaší organizace - linky toho typu, které se obvykle pronajímají od poskytovatele služeb. Klíčem k pochopení technologií sítí WAN je znát různé používané termíny a typy připojení, pomocí nichž poskytovatelé služeb běžně propojují jednotlivé lokální sítě.
Definice pOjmů ze sítí WAN
Než se obrátíte na poskytovatele služeb s objednávkou typu služby WAN, rozhodně se vyplatí seznámit se s následujícími termíny, které poskytovatelé služeb normálně používají:
Koncové zařízení (CPE) (CPE - customer premises equipment) - vlastní odběratel služby a nachází se v jeho prostorách.
Demarkační bod - přesné místo, kde končí odpovědnost poskytovatele služeb a připojuje se koncové zařízení. Obvykle se jedná o zařízení v telekomunikační skříni, kterou vlastní a instaluje telekomunikační společnost. Zákazník odpovídá za kabelové připojení (rozšířený demarkační bod) z této skříně do koncového zařízení, což je zpravidla připojení k jednotce kanálových služeb a jednotce datových služeb (CSU/DSU) nebo rozhraní ISDN.
Místní smyčka - propojuje demarkační bod s nejbližší ústřednou.
Ústředna (CO) - tento bod spojuje síť zákazníka s přepínanou sítí poskytovatele. Je dobré vědět, že ústředna (CO - central office) se někdy označuje jako POP (point oj presence).
Placená síť (toll network) - trunková linka v rámci poskytovatele sítě WAN. Tato síť je kolekcí přepínačů a zařízení v majetku poskytovatele služeb Internetu (lSP).
Tyto termíny si rozhodně zapamatujte, protože jsou pro porozumění technologií WAN klíčové.
Typy spojení v síti WAN
Jak již pravděpodobně víte, sítě WAN mohou mít různé typy připojení. Představíme si nyní všechny typy připojení WAN, které jsou k dispozici na současném trhu. Obrázek 14. 1 znázor
ňuje různé typy připojení WAN, pomocí kterých lze propojit sítě LAN (terminálová zařízení - DTE) přes síť komunikačních zařízení - DCE.
Následuje seznam s vysvětlením různých typů připojení WAN:
Pronajaté linky - obvykle se označují jako připojení point-to-point nebo vyhrazené připojení. Pronajatá linka je předem ustavená komunikační trasa WAN, která směřuje od jednoho koncového zařízení přes přepínač komunikačního zařízení a poté ke koncovému zařízení ve vzdálené lokalitě. Koncové zařízení umožňuje sítím DTE kdykoli komunikovat bez jakýchkoli komplikovaných procedur, kterými je někdy nutné uvozovat přenos dat. Máte-li dostatek finančních prostředků, je tato varianta nejlepší, protože využívá synchronní sériové linky do rychlosti 45 Mb/s. U pronajatých linek se často používá zapouzdření HDLC a PPP, které si podrobně projdeme.
Přepínání okruhů - když zaslechnete termín přepínání okruhů (circuit switching), představte si telefonický hovor. Velkou výhodu představuje cena - platíte pouze za čas, kdy spojení skutečně využíváte. Před ustavením spojení mezi koncovými body nelze přenášet žádná data. Přepínání okruhů používá telefonní modemy nebo ISDN a slouží k datovým přenosům s malou šířkou pásma. Určitě vás napadá: "Modemy? Opravdu se mluví o modemech? Nejsou tato zařízení dnes už jen v muzeích"? Se všemi bezdrátovými technologiemi, které jsou dneska dostupné, kdo by ještě zůstával u modemů? Pravda je taková, že někteří uživatelé mají stále funkční linku ISDN (a někdo jistě sem tam používá analogový modem). Přepínání okruhů lze však použít i v některých novějších technologiích WAN.
Přepínání paketů - tato metoda přepínání v sítích WAN dovoluje sdílet šířku pásma s jinými firmami a tím ušetřit. Přepínání paketů (packet switching) lze přirovnat k síti, jejíž návrh připomíná pronajatou linku, ale účtuje spíše jako síť s přepínáním okruhů. Nižší náklady však pokaždé nejsou lepší - tato konfigurace má zásadní nevýhodu: potřebujete-li přenášet data trvale, měli byste na tuto možnost zapomenout. Místo toho si pořiďte pronajatou linku. Přepínání paketů se vyplatí jen v případě, že přenášíte data ve shlucích - nikoli trvale. Frame Relay a X.25 jsou technologie přepínání paketů s rychlostmi v rozsahu od 56 kb/s až do rychlosti linky T3 (45 Mb/s).
Poznámka Technologie MPLS (MultiProtocol Label Switching) využívá kombinaci přepínání okruhů a přepínání paketů, ale přesahuje rozsah této knihy. Přesto lze však doporučit, abyste se po absolvování zkoušky CCNA na technologii MPLS podívali. Proto se o ní krátce zmíníme.
Podpora sítí WAN
Společnost Cisco v praxi u svých sériových rozhraní podporuje protokoly HDLC, PPP a Frame Relay, což si můžete ověřit příkazem encapsu 1 a t i o n ? z libovolného sériového rozhraní (výstup se může lišit v závislosti na provozované verzi systému lOS):
Uvědomte si, že pokud by byl směrovač vybaven jinými typy rozhraní, zobrazily by se jiné možnosti zapouzdření, jako např. ISDN či ADSL. Pamatujte si také, že nelze konfigurovat zapouzdření Ethernet nebo Token Ring na sériovém rozhraní. Dále si definujeme v současnosti nejčastěji používané protokoly WAN: Frame Relay, ISDN, LAPB, LAPD, HDLC, PPP, PPPoE, kabelové připojení, DSL, MPLS a ATM. Pro vaši informaci, jediné protokoly sítě WAN, které jsou na sériovém rozhraní obvykle nakonfigurovány, jsou HDLC, PPP a Frame Relay. Nikde však není psáno, že bychom se u připojení WAN museli omezit jen na sériová rozhraní.
Poznámka Zbytek kapitoly bude věnován podrobnému výkladu o fungování kabelového připojení, DSL a základních protokolů sítí WAN. Kromě toho zde naleznete příslušné postupy konfigurace směrovačů Cisco. Vzhledem k jejich praktickému významu, ačkoli přesahují rámec posledních okruhů zkoušky CCNA, se budeme v této další sekci krátce zabývat i technologiemi ISDN, LAPB, LAPD, MPLS a ATM. Pokud se některé z těchto témat objeví v okruzích zkoušky, nemusíte se obávat. Aktualizované ínformace íhned naleznete na webu www . l a mml e . c om.
Frame Relay - je technologie přepínání paketů, která se objevila začátkem 90. let a jež poskytuje výkonnou specifikaci linkové a fyzické vrstvy. Do značné míry se jedná o následníka technologie X.25, s tou výjimkou, že odpadá většina metod sítí X.25 ke kompenzaci fyzických chyb. Výhoda sítě Frame Relay spočívá v tom, že může být ekonomičtější než linky typu point-to-point. Obvykle navíc funguje s rychlostmi 64 kb/s až 45 Mb/s (T3). Dalším kladem této sítě jsou funkce pro dynamickou alokaci šířky pásma a kontrolu zahlcení.
ISDN (Integrated Services Digital Network) - sada digitálních služeb, které přenášejí hlas a data pomocí stávajících telefonních linek. ISDN nabízí cenově výhodné řešení pro vzdálené uživatele, kteří vyžadují rychlejší připojení než pomocí analogových vytáčených linek. Představuje také dobrou volbu jako záložní linka pro jiné typy linek, jako jsou spojení Frame Relay či Tl.
LAPB (Link Access Procedure, Balanced) - byl vytvořen jako spojovaný protokol na linkové vrstvě pro použití v sítích X.25, ale lze jej uplatnit i jako jednoduchý transportní protokol na linkové vrstvě. Nevýhodou protokolu LAPB je jeho sklon ke značnému nárůstu režie, protože má přísné časové limity a postupy řízení toku.
LAPD (Link Access Procedure, D-Channel) - používá se u připojení ISDN na linkové vrstvě (vrstva 2) jako protokol pro kanál D (signalizační kanál). LAPD byl odvozen od protokolu LAPB (Link Access Procedure, Balanced) a jeho návrh zajišťuje zejména signalizační požadavky základního přístupu ISDN.
HDLe - protokol HDLC (High-Level Data-Link Control) byl odvozen od protokolu SDLC (Synchronous Data Link Control), který vyvinula společnost IBM jako protokol linkové vrstvy. Protokol HDLC funguje na linkové vrstvě a v porovnání s protokolem LAPB způsobuje velmi malou režii.
Jeho účelem nebylo zapouzdřit více protokolů síťové vrstvy v rámci jedné linky - hlavička protokolu HDLC neobsahuje žádnou identifikaci typu protokolu, který se v rámci zapouzdření HDLC přenáší. Vzhledem k tomu má každý dodavatel používající protokol HDLC svůj vlastní způsob identifikace protokolu síťové vrstvy. To znamená, že jednotlivé implementace protokolu HDLC jsou vázány na konkrétní zařízení.
ppp - protokol PPP (Point-to-Point Protocol) je velmi známý protokol, který slouží jako oborový standard. Všechny víceprotokolové verze protokolu HDLC jsou proprietární, takže lze propojení typu point-to-point mezi zařízeními různých dodavatelů vytvořit pomocí protokolu PPP. Tento protokol pomocí pole Network Control Protocol v hlavičce linkové vrstvy identifikuje protokol síťové vrstvy a umožňuje provozovat autentizaci a vícelinková připojení přes asynchronní i synchronní linky.
PPPoE (Point-to-Point Protocol over Ethernet) - zapouzdřuje rámce protokolu PPP do rámců Ethernet a obvykle se využívá spolu se službami ADSL. Poskytuje mnoho známých funkcí protokolu PPP typu autentizace, šifrování a komprese. Nevýhodou však je, že má menší maximální hodnotu MTU (maximum transmission unit) než standardní Ethernet. Není-li firewall správně nakonfigurován, může tento nenápadný atribut způsobit hodně potíží.
Protokol PPPoE je i nadále poměrně populární v USA. Jeho hlavní význam spočívá v tom, že přidává přímé připojení k rozhraním Ethernet a zároveň poskytuje podporu DSL. Často jej používají mnozí hostitelé u sdíleného rozhraní Ethernet k otevření relací PPP k různým umístěním prostřednictvím alespoň jednoho přemosťovacího modemu.
Kabelové modemy - v moderní síti HFC je obvykle 500 až 2 000 aktivních odběratelů dat připojeno k určitému segmentu kabelové sítě a všichni sdílejí šířku pásma v obou směrech. (Hybrid fibre-coaxial neboli HFC je termín používaný v oboru telekomunikací. Označuje síť, která zajišťuje širokopásmové připojení a zahrnuje optická vlákna i koaxiální kabel.) Skutečná šířka pásma internetové služby pomocí přípOjky kabelové televize (CATV) může být až 27 Mb/s pro stahování směrem k odběrateli a asi 2,5 Mb/s opačným směrem. Uživatelé mají obvykle k dispozici přístupovou rychlost 256 kb/s až 6 Mb/s. Přenosová rychlost dat značně kolísá v závislosti na poskytovateli.
DSL - pomocí technologie DSL (digital subscriber line) poskytují tradiční telefonní společnosti pokročilé služby (vysokorychlostní přenos dat a někdy i videa) po kroucených telefonních dvoulinkách z měděného drátu. Obvykle má nižší kapacitu pro přenos dat než sítě HFC a přenosové rychlosti mohou být omezeny délkou a kvalitou vodičů. DSL není kompletní řešení mezi koncovými body, ale spíše přenosová technologie na fyzické vrstvě, podobně jako vytáčené, kabelové nebo bezdrátové připojení. Připojení DSL se zavádějí na posledním úseku místní telefonní sítě - v místní smyčce. Připojení je zřízeno mezi dvojicí modemů na obou koncích měděného drátu, který vede od koncového zařízení zákazníka (CPE) do zařízení DSLAM (Digital Subscriber Line Access Multiplexer). Zařízení DSLAM je umístěno v ústředně poskytovatele a soustřeďuje připojení od více odběratelů DSL.
MPLS (MultiProtocol Label Switching) - mechanismus přenosu dat, jenž emuluje některé vlastnosti sítě s přepínáním okruhů v síti s přepínáním paketů. MPLS je mechanismus přepínání, který nastavuje paketům značky (čísla) a poté pomocí těchto značek pakety předává. Značky se přiřazují na hranici MPLS sítě a předávání v síti MPLS probíhá výhradně na základě značek. Značky obvykle odpovídají cestě k cílové adrese vrstvy 3 (což odpovídá směrování IP založenému na cílových umístěních). Mechanismus MPLS vznikl proto, aby umožnil předávat jiné protokoly než TCP/IP. Vzhledem k tomu probíhá přepínání značek v rámci sítě stejně bez ohledu na protokol vrstvy 3. Ve větších sítích mohou v důsledku značkování MPLS vyhledávat směrování pouze hraniční směrovače. Všechny směrovače v jádru sítě předávají pakety podle jejich značek, což urychluje předávání paketů po síti poskytovatele služeb. (Většina společností nyní nahrazuje své sítě Frame Relay sítěmi s mechanismem MPLS).
ATM (Asynchronous Transfer Mode) - vznikl s ohledem na časově citlivý provoz a poskytuje souběžný přenos hlasu, videa a dat. ATM používá místo paketů buňky, které mají pevnou délku 53 bajtů. Může také pracovat s isochronním taktováním (externím taktováním), které urychluje přenos dat. Pokud v současnosti používáte síť Frame Relay, obvykle se jedná o Frame Relay nad ATM.
Kabelové modemy a linky OSL
Než se pustíme do rozboru sériových zapouzdřených připojení používaných u směrovačů Cisco (HDLC, PPP a Frame Relay), budeme se zabývat kabelovými modemy a linkami DSL (včetně ADSL a PPPoE), které představují řešení pro připojení k sítím WAN. Lépe tak porozumíte rozdílům mezi síťovými připojeními pomocí technologie DSL a kabelových modemů. Služby DSL a kabelového Internetu mají hodně společného, ale přesto zde existují určité základní a klíčové rozdíly, které je potřeba si uvědomit:
Rychlost - většina uživatelů by řekla, že kabelový Internet je rychlejší než Internet pomocí DSL, ale v praxi kabelové přípOjky rychlostní závod vždy nevyhrávají.
Zabezpečení - DSL a kabelové připojení jsou založeny na různých modelech zabezpečení sítě a do nedávna v tomto ohledu kabelové připojení zaostávalo. Nyní je však situace vyrovnaná a obě technologie poskytují odpovídající bezpečnost, která splňuje požadavky většiny uživatelů. Termín "odpovídající" znamená, že obě alternativy jsou i nadále spojeny s velmi reálnými bezpečnostními riziky, ať už poskytovatelé služeb Internetu tvrdí cokoli!
Obliba - kabelový Internet je v USA rozhodně v popředí zájmu, ale připojení DSL se na něj začíná dotahovat.
Spokojenost zákazníků - zde platí opak - v USA vítězí DSL. Na druhou stranu asi málokdo je se svým poskytovatelem kompletně spokojen.
Obrázek 14.2 znázorňuje způsob, jakým lze ukončit připojení z modemu přímo v počítači nebo ve směrovači. Směrovač obvykle na daném rozhraní provozuje službu DHCP a také PPPoE. Vysokorychlostní internetové služby typu DSL i kabelového připojení jsou po celém světě k dispozici milionům domácností i firem, ale v některých oblastech je dostupná jen jedna technologie (někdy žádná z nich).
Určité rozdíly mezi linkami DSL a kabelovými modemy překvapivě nijak nesouvisejí se samotnými technologiemi, ale způsobují je konkrétní poskytovatelé služeb Internetu. I když se ostatní vlastnosti mohou shodovat, v závislosti na poskytovateli se značně liší parametry typu ceny, spolehlivosti a kvality podpory zákazníků při instalaci i provozu.
Kabelové modemy
Uveďme si několik termínů souvisejících s kabelovými sítěmi:
Headend - zde se přijímají, zpracovávají a formátují všechny kabelové signály. Signály se poté z bodu headend přenášejí po distribuční síti.
Distribuční síť - jedná se o relativně malé obslužné oblasti, které obvykle zahrnují 1 00 až 2 000 zákazníků. Jejich architektura je obvykle smíšená, s optickými vlákny i koaxiálními kabely neboli typu HFC. Optická vlákna přitom tvoří trunkovou část distribuční sítě. Optické vlákno tvoří zároveň připojení k bodu headend a optickému uzlu, který mění světlo na radiofrekvenční (RF) signály, jež se pak distribuují po koaxiálním kabelu v konkrétní obsluhované oblasti.
DOCSIS (data over cable service interface specification) - všechny kabelové modemy a podobná zařízení musí odpovídat tomuto standardu.
Obrázek 14.3 znázorňuje, kde se nacházejí různé typy sítí, a jak se právě uvedené termíny používají v síťových diagramech. Problém spočívá v tom, že poskytovatelé služeb Internetu často používají síť z optických vláken, která vychází z hlavního bodu headend kabelového operátora, někdy až do regionálních bodů headend, až do rozbočovače v lokalitě. Zde se nachází uzel optického vlákna, který obsluhuje různý počet domácností: od 25 až po 2 000 nebo více. (Všechny linky mají problémy, opravdu jsme si na kabelové připojení nezasedli.)
A je třeba myslet i na další komplikaci: Máte-li kabelové připojení, otevřete ve svém počítači okno příkazového řádku a zadejte příkaz i pconfi g, abyste zjistili svou masku podsítě.
Pravděpodobně se jedná a adresu třídy B typu /20 nebo /2 1. Jak již víte, znamená to 4 094 nebo 2 046 hostitelů pro jedno připojení ke kabelové síti. To není příliš dobrá zpráva. Termínem "kabelové připojení" v praxi míníme přenos pomocí koaxiálního kabelu. Kabelová televize nyní slouží jako ekonomický způsob šíření vysílání jeho odběratelům. Kabelové připojení dokáže přenášet hlas i data spolu s analogovým i digitálním videem, aniž by to předplatitele zruinovalo.
Průměrné kabelové připojení poskytuje maximální rychlost pro stahování 2 Mb/s. Pamatujte, že tuto šířku pásma musíte sdílet se všemi ostatními odběrateli. A jako by to nestačilo, je potřeba zohlednit i další faktory, jako jsou přetížené webové servery a staré známé zahlcení sítě. Sousedé, kteří si kontrolují poštu, však velký problém nepředstavují. Kde je tedy zakopaný pes? Pokud hrajete hry online, asi jste si již všimli delšího zpoždění v době špičkového zatížení sítě (což může být otázka virtuálního života a smrti!). Pokud někdo v sousedství odesílá velký objem dat (např. celou sérii nelegálních filmů Star Wars), může tím celé připojení prakticky zablokovat a zpomalit všem ostatním i pouhé prohlížení webu. Přístup kabelovým modemem může být rychlejší nebo snazší na instalaci než linky DSL, ale také nemusí. Parametry kolísají v závislosti na lokalitě a mnoha dalších faktorech. Obvykle je však dostupnější a mírně levnější, takže v závodě o prsa vyhrává. Nicméně, žádné obavy: není-li ve vaší čtvrti k dispozici kabelová síť, je linka DSL také dobrá - cokoli je lepší než vytáčené připojení!
Linky OSL (Digital Subscriber Line)
Na druhé místo podle obliby u zákazníků se řadí technologie DSL (digital subscriber line), které poskytuje vysokorychlostní přenosy dat prostřednictvím běžných měděných telefonních drátů. Technologie DSL vyžaduje telefonní linku, DSL modem (často je součástí nabízené služby), kartu Ethernet nebo směrovač s připojením Ethernet a společnost, která poskytuje službu v konkrétní lokalitě. Akronym DSL původně znamenal "digital subscriber loop", ale nyní se jeho význam posunul na "digital subscriber line". PřípOjky DSL patří do dvou kategorií v závislosti na poměru rychlostí k uživateli a od uživatele:
Symetrické DSL - rychlost připojení k uživateli a od uživatele je stejná, tj. připojení je symetrické.
Asymetrické DSL - data se mezi oběma konci sítě přenášejí odlišnými rychlostmi - rychlost k uživateli je obvykle vyšší.
Obrázek 14.4 znázorňuje typického domácího uživatele s přípojkou xDSL, což je technologie peřnosu dat po měděných dvoulinkách. Termín xDSL zahrnuje několik variant DSL, jako např. ADSL, HDSL (high-bit-rate DSL), RADSL (Rate Adaptive DSL), SDSL (Synchronous DSL), mSL (ISDN DSL) a VDSL (veryhigh-data-rate DSL)
Varianty DSL, které nepoužívají pásmo hlasových frekvencí (např. ADSL a VDSL), umožňují po linkách DSL přenášet datové i hlasové signály souběžně. Jiné metody (např. SDSL a mSL), které zabírají celý frekvenční rozsah, dovolují přenášet pouze data. Datová služba, kterou připojení DSL poskytuje, je mimochodem neustále aktivní. Rychlost služby DSL někdy závisí na vzdálenosti od ústředny - čím blíže, tím rychleji. Pokud jste dostatečně blízko, můžete v praxi dosáhnout rychlosti až kolem 6, 1 Mb/s!
ADSL
ADSL podporuje současný přenos hlasu a dat, ale jeho návrh poskytuje větší šířku pásma pro přenos k uživateli než naopak. Tato konfigurace je totiž výhodná pro domácí uživatele, kteří obvykle potřebují vyšší šířku pásma pro stahování dat typu videa, filmů a hudby, hraní her online, prohlížení webu a načítání e-mailů, které mohou obsahovat značně velké přílohy. ADSL poskytuje rychlost pro stahování od 256 kb/s do 8 Mb/s, ale data směřující od uživatele proudí rychlostí nejvýše kolem 1 Mb/s. Telefonní operátor poskytuje kanál pro analogové přenosy hlasu, které je možné bez problémů přenášet současně s daty ADSL po stejné kroucené telefonní dvoulince. V praxi se v závislosti na typu ADSL obvykle využívá stejné vedení nikoli pro dva, ale dokonce tři informační kanály. Proto lze používat telefonní linku a připojení ADSL zároveň a jednotlivé služby se vzájemně neovlivňují.
ATM je protokol linkové vrstvy, který se obvykle používá na připojení OSL vrstvy 1 od koncového zařízení, jež je zakončeno v tzv. zařízení OSLAM, což je přepínač ATM, který obsahuje karty rozhraní OSL, neboli ATU-C. Jakmile přípOjka AOSL dosáhne svého cíle u zařízení OSLAM, data přejdou po síti ATM do tzv. agregačního směrovače. Jedná se o zařízení vrstvy 3, kde poté vyprší platnost připojení IP odběratele. Nyní již víte, jak důležité je zapouzdření. Jak jste tedy již asi uhodli, je nezbytné pro všechny pakety IP přenášené po připojení ATM a OSL. Zapouzdření se realizuje jedním ze tří způsobů v závislosti na typu rozhraní a přepínači poskytovatele služby:
PPPoE - tuto metodu podrobněji rozebereme v další sekci.
Směrování RFC1483 - standard RFC1 483 popisuje dvě různé metody přenosu nespojovaného síťového provozu přes síť ATM: směrované protokoly a přemostěné protokoly.
PPPoA (Point-to-Point Protocol) over ATM - umožňuje zapouzdřit rámce protokolu PPP do paketů ATM AAL5 (ATM Adaptation Layer 5). Obvykle se využívá u kabelových modemů a služeb typu OSL a AOSL a nabízí běžné funkce protokolu PPP jako autentizaci, šifrování a kompresi. V praxi má menší režii než protokol PPPoE.
PPPoE
Protokol PPPoE (Point-to-Point Protocol over Ethernet) používaný se službami AOSL zapouzdřuje rámce protokolu PPP do rámců Ethernet a používá běžné funkce protokolu PPP typu autentizace, šifrování a komprese. Jak jsme již ale zmínili, představuje komplikaci v případě nesprávně nakonfigurovaného firewallu. Tento tunelovací protokol označuje protokol IP a jiné protokoly nad protokolem PPP pomocí atributů linky PPP, aby je bylo možné použít ke kontaktování jiných zařízení Ethernet a inicializaci připojení typu point-to-point k přenosu paketů IP.
Obrázek 14.5 představuje typické využití protokolu PPPoE u služby ADSL. Jak je zřejmé, relace ppp propojuje PC koncového uživatele se směrovačem a IP adresu počítače odběratele přiděluje směrovač pomocí protokolu IPCP. Protokol PPPoE dává vlastnímu softwaru s podporou protokolu PPP možnost spolupracovat s připojením, které nepoužívá sériovou linku, a zajišťuje kompatibilitu s paketově orientovaným síťovým prostředím typu Ethernet, a umožňuje vlastní připojení s přihlášením pomocí uživatelského jména a hesla kvůli účtování připojení k Internetu. Další faktor je v tom, že opačná strana IP adresy linky je k dispozici pouze pro ni a dostupná pro konkrétní období, kdy je připojení PPPoE otevřeno, takže je povoleno dynamické opakované využití IP adres.
Protokol PPPoE má fázi zjišťování a fázi relace PPP (viz standard RFC 25 1 6), které vypadají takto: Hostitel nejdříve zahájí relaci PPPoE, během níž musí spustit proces zjišťování, aby mohl najít nejlepší server splňující požadavky klientského počítače. Poté musí najít Ethernet MAC adresu partnerského zařízení a vytvořit ID relace PPPoE. Ačkoli tedy protokol PPP vymezuje partnerský vztah, je část zjišťování v zásadě vztahem typu klient/server. Než se pustíme do sériových připojení, musíme probrat ještě jednu záležitost - Cisco LRE.
Cisco LRE (Long Range Ethernet)
Řešení Cisco LRE (Long Range Ethernet) využívá technologii označovanou jako VDSL (Very High Data Rate Digital Subscriber Line), která zásadně rozšiřuje kapacitu služby Ethernet. Řešení LRE umožňuje dosáhnout těchto působivých výsledků: rychlosti od 5 do 15 Mb/s (úplný duplex) na vzdálenosti až 1 500 metrů při přenosu po stávající kabeláži typu kroucené dvoulinky! Technologie Cisco LRE tedy v zásadě poskytuje širokopásmovou službu po klasických telefonních linkách, digitálních telefonních kabelech a linkách pro přenos ISDN. Můžete také fungovat v režimech, které jsou kompatibilní s technologiemi ADSL. Pružnost je důležitá, protože poskytovatelům služeb dovoluje zpřístupnit LRE ve stavbách či budovách, kde je širokopásmový přístup již k dispozici, ale je potřeba jej zdokonalit, což je velmi zajímavé.
Fyzické zapojení sériové linky WAN
Je asi zřejmé, že chcete-li zajistit, že vše bude dobře fungovat, musíte před připojením sítě WAN znát několik faktů. V prvé řadě musíte rozumět typu implementace fyzické vrstvy WAN poskytované společností Cisco. Také je nutné, abyste měli přehled o různých používaných typech sériových konektorů WAN. Sériová připojení Cisco jsou naštěstí kompatibilní téměř se všemi typy služeb WAN. Běžné připojení WAN je vyhrazená pronajatá linka používající technologie HDLC, PPP a Frame Relay s rychlostmi, které mohou dosahovat až 45 Mb/s (T3). HDLC, PPP a Frame Relay mohou využívat stejné specifikace fyzické vrstvy. Rozebereme si nyní různé typy připojení a poté přejdeme k popisu protokolů sítí WAN, které jsou součástí okruhů zkoušky CCNA.
Sériové přenosy
Sériové konektory WAN používají sériové přenosy, kdy se po jediném kanálu přenáší bity jeden po druhém.
Poznámka Paralelní přenosy mohou předávat minimálně 8 bitů zároveň, ale všechny sítě WAN jsou založeny na sériových přenosech.
Směrovače Cisco používají speciální 60pinový sériový konektor, který je nutné získat od společnosti Cisco nebo dodavatele těchto zařízení. Společnost Cisco také nabízí nový a menší firemní sériový konektor, který má asi desetkrát menší velikost než 60pinový základní sériový kabel s označením "smart-serial". Před použitím tohoto kabelového konektoru je však nutné ověřit, zda je směrovač vybaven příslušným typem rozhraní. Typ konektoru na druhém konci kabelu závisí na poskytovateli služby a jeho konkrétních požadavcích na koncová zařízení. Můžete se setkat s několika různými typy zakončení:
• EIA/TlA-232 • EIA/TlA-449 • V.35 (používá se pro připojení k jednotce kanálových služeb a jednotce datových služeb) • EIA-530
Ujistěte se, zda máte přehled o těchto faktorech: Sériové linky se popisují pomocí frekvence neboli cyklů za sekundu (Hertz). Objem dat, která lze přenést na těchto frekvencích, se označuje jako šířka pásma (bandwidth). Šířka pásma je množství dat v bitech za sekundu, které může sériový kanál přenášet.
Terminálové zařízení DTE a komunikační zařízení DCE
Rozhraní směrovače standardně fungují jako terminálová zařízení (DTE - data terminal equipment) a připojují se ke komunikačnímu zařízení (DCE - data communication equipment), jako je jednotka kanálových služeb a jednotka datových služeb (CSU/DSU - channel service unit/data service unit). Jednotka kanálových služeb a jednotka datových služeb se poté připojuje k demarkačnímu umístění (demarc) a v tomto místě končí odpovědnost poskytovatele služby. Demarkační bod je většinou tvořen samičím konektorem RJ-45 (8pinový modulární konektor) umístěným v telekomunikační skříni. O demarkačních bodech jste již možná slyšeli. Pokud jste již někdy měli příjemnou povinnost oznámit problém svému poskytovateli služeb, obvykle vám sdělil, že testy linky až po demarkační bod proběhly úspěšně, takže problém musí spočívat ve vašem koncovém zařízení. Jinými slovy, řešení je na vás. Obrázek 14.6 představuje typické připojení terminálového, komunikačního a terminálového zařízení a zařízení použitých v síti.
Hlavní smysl sítě WAN je možnost propojení dvou sítí terminálových zařízení prostřednictvím sítě komunikačního zařízení. Síť komunikačního zařízení zahrnuje jednotku kanálových služeb a jednotku datových služeb, pokračuje kabeláží a přepínači poskytovatele a končí jednotkou kanálových služeb a jednotkou datových služeb na druhém konci. Komunikační zařízení sítě (jednotka kanálových služeb a jednotka datových služeb) poskytuje taktování pro rozhraní s připojením k terminálovému zařízení (sériové rozhraní směrovače). Jak jsme uvedli, síť komunikačního zařízení poskytuje taktování směrovače a jedná se o jednotku kanálových služeb a jednotku datových služeb. Máte-Ii neprodukční síť a používáte překřížený kabel typu WAN, a nemáte jednotku kanálových služeb a jednotku datových služeb, musíte zajistit taktování na konci kabelu s komunikačním zařízením pomocí příkazu e 1 oe k r ate, který jsme si předvedli v kapitole 4.
Poznámka Termíny jako EIAjTIA-232, 11.35, X.21 a HSSI (High-Speed Serial lnterface) popisují fyzickou vrstvu mezí terminálovým zařízenim (směrovač) a komunikačním zařízením (jednotka kanálových služeb a jednotka datových Služeb).
Protokol HDLC (High-Level Data Link Control)
Protokol HDLC (High-Level Data-Link Control) je oblíbený bitově orientovaný protokol linkové vrstvy, který je definován jako standard ISO. Specifikuje metodu zapouzdření dat u synchronních sériových datových linek pomocí znaků a kontrolních součtů rámců. HDLC je protokol typu point-to-point používaný na pronajatých linkách. Neumožňuje používat žádnou autentizaci. V bajtově orientovaných protokolech jsou řídicí informace kódovány pomocí celých bajtů. Oproti tomu bitově orientované protokoly používají k reprezentaci řídicích informací jednotlivé bity. K běžným bitově orientovaným protokolům patří SDLC, LLC, HDLC, TCP a IP.
Protokol HOLC se u směrovačů Cisco používá jako výchozí metoda zapouzdření na synchronních sériových linkách. Protokol HOLC od společnosti Cisco je proprietární - neumožňuje komunikovat s implementací HOLC žádného jiného dodavatele. Neobviňujte však z toho firmu Cisco - platí to pro všechny implementace protokolu HDLC. Obrázek 14.7 znázorňuje formát protokolu Cisco HDLC.
Jak je zřejmé z obrázku, poskytuje každý dodavatel vlastní metodu zapouzdření protokolu HOLC proto, že jiným způsobem zapouzdřuje více protokolů síťové vrstvy. Pokud by dodavatelé nedokázali zajistit přenos různých protokolů vrstvy 3 protokolem HOLC, mohl by protokol HOLC přenášet pouze jediný protokol. Tato proprietární hlavička je umístěna v datovém poli zapouzdření HOLe. Řekněme tedy, že máte pouze jeden směrovač Cisco a potřebujete připojit směrovač jiné značky, protože druhý směrovač Cisco je teprve objednán. Co uděláte? Nemůžete použít výchozí sériové zapouzdření HOLC, protože tato konfigurace by nefungovala. Místo toho zvolíte něco jako PPP, což je standard ISO pro identifikaci protokolů vyšší vrstvy. Oalší informace o kořenech a standardech protokolu PPP naleznete v dokumentu RFC 1 661. Popišme si nyní podrobněji protokol PPP a způsob připojení ke směrovačům pomocí zapouzdření PPP.
Protokol PPP (Point-to-Point Protocol)
Zastavme s e n a chvíli u protokolu PPP (Point-to-Point Protocol). Vzpomeňte si, že se jedná o protokol linkové vrstvy, který lze použít nad asynchronním sériovým (vytáčené připojení) nebo synchronním sériovým (lSON) médiem. Vytváří a udržuje linková připojení pomocí protokolu LCP (Link Control Protocol). Protokol NCP (Network Control Protocol) slouží k tomu, aby bylo možné u připojení typu point-to-point použít více protokolů síťové vrstvy (směrovaných protokolů).
Vzhledem k tomu, že výchozí zapouzdření u sériových linek Cisco představuje protokol HOLC, který hladce funguje, kdy a proč byste se rozhodli pro protokol PPP? Základním účelem protokolu PPP je přenos paketů vrstvy 3 po spojení typu point-to-point na linkové vrstvě a tento protokol není proprietární. Jestliže tedy nemáte pouze směrovače Cisco, musíte u sériových rozhraní nastavit protokol ppp - zapouzdření HDLC je specifické pro společnost Cisco. Navíc vzhledem k tomu, že protokol ppp dokáže zapouzdřit několik směrovaných protokolů vrstvy 3 a poskytovat autentizaci, dynamické adresování a zpětné volání, může se jednat o výhodnější řešení pro zapouzdření než protokol HDLe.
Obrázek 14.8 představuje sadu protokolů v porovnání s referenčním modelem OSI.
Tip -------------------------------------------- Pamatujte, že máte-Ii propojen směrovač Cisc o se směrovačem jiné znaČky pomocí sériového připojení, musíte nakonfigurovat protokol ppp nebo jinou metodu zapouzdření, jako je Frame Relay, protože výchozí nastavení HDLC nebude fungovat
V další sekci si rozebereme možnosti protokolu LCP a navazování relací PPP.
Možnosti konfigurace protokolu LCP (Link Control Protocol)
Protokol LCP (Link Control Protocol) poskytuje různé možnosti zapouzdření protokolu ppp včetně následujících:
Autentizace - tato možnost sděluje volající straně linky, aby odeslala informace identifikující uživatele. Dvě metody jsou PAP a CHAP.
Komprese - slouží ke zvýšení propustnosti připojení PPP, protože zajišťuje kompresi dat nebo datové části před vlastním přenosem. Protokol PPP dekomprimuje datový rámec na přijímajícím konci.
Detekce chyb - protokol PPP používá možnosti Quality a Magic Number, aby byla zajištěna spolehlivost datové linky bez smyček.
Multilink - od verze systému lOS 1 1 .1 je u linek PPP se směrovači Cisco k dispozici podpora funkce multilink. Díky této možnosti několik samostatných fyzických tras vystupuje jako jedna logická trasa na vrstvě 3. Například dvě linky Tl s funkcí multilink PPP by se z hlediska směrovacího protokolu vrstvy 3 objevily jako jediná trasa s šířkou pásma 3 Mb/s.
Zpětné volání ppp - protokol PPP lze nakonfigurovat tak, aby po úspěšné autentizaci zajistil zpětné volání. Zpětné volání PPP (PPP callback) může být užitečné, protože lze sledovat využití podle přístupových poplatků, pro účely účtování a z mnoha dalších důvodů. Při povoleném zpětném volání volající směrovač (klient) kontaktuje vzdálený směrovač (server) a provede autentizaci podle výše uvedeného popisu. (Aby bylo možné tuto funkci využít, musí být pro zpětné volání nakonfigurovány oba směrovače.) Po dokončení autentizace vzdálený směrovač připojení ukončí a následně inicializuje připojení od vzdáleného směrovače k volajícímu směrovači.
Poznámka Máte-Ii ve svém zpětném volání PPP zařízení Microsoft, uvědomte si, že Microsoft pOUŽívá vlastní typ zpětného volání označovaný jako Microsoft CBCP (Callback Control Protocol). Jeho podpora je k dispozici v systému lOS vydání 1 1 .3(2)T a novějších.
Fáze navazování připojení: Každé zařízení ppp odešle pakety LCP kvůli konfiguraci a testování linky. Tyto pakety obsahují pole s názvem Configuration Option, které umožňuje každému zařízení zjistit velikost dat, kompresi a autentizaci. Není-li pole Configuration Option dostupné, použije se výchozí konfigurace.
Fáze autentizace: V případě potřeby lze linku autentizovat pomocí protokolu CHAP nebo PAP. Autentizace probíhá před načtením informací protokolu síťové vrstvy. Je možné, že současně dojde ke zjištění kvality linky.
Fáze protokolu síťové vrstvy: Protokol PPP pomocí protokolu NCP (Network Control Protocol) umožňuje zapouzdřit a odesílat po datové lince PPP více protokolů síťové vrstvy. Každý protokol síťové vrstvy (např. IP, IPX či AppleTalk, což jsou směrované protokoly) ustavuje službu s protokolem NCP.
Autentizační metOdy v ppp
S linkami PPP lze použít dvě metody autentizace:
Protokol PAP (Password Authentication Protocol) - je z obou metod méně bezpečný. Hesla se odesílají nešifrovaně a autentizace PAP se provádí pouze při prvním navázání spojení. Když je linka PPP navázána poprvé, vzdálený uzel odesílá uživatelské jméno a heslo zpět původnímu směrovači, dokud není autentizace potvrzena. To není zrovna bezpečné.
Protokol CHAP (Challenge Handshake Authentication Protocol) - používá se při počátečním spuštění linky a při pravidelných kontrolách linky, aby bylo zajištěno, že směrovač stále komunikuje se stejným hostitelem.
Když protokol PPP dokončí svou počáteční fázi ustavení linky, odešle lokální směrovač vzdálenému zařízení požadavek výzvy. Vzdálené zařízení zašle hodnotu vypočítanou pomocí jednosměrné hešové funkce s názvem MDS. Lokální směrovač tuto hešovou hodnotu porovná se svou vlastní hodnotou. Pokud hodnoty neodpovídají, je spojení okamžitě ukončeno.
Konfigurace autentizačních mechanismů ppp
Po konfiguraci podpory zapouzdření PPP na sériovém rozhraní můžete nakonfigurovat autentizaci pomocí protokolu PPP mezi směrovači. Nejdříve je nutné nastavit hostitelský název směrovače, není-li již nastaven. Poté uveďte uživatelské jméno a heslo pro vzdálený směrovač, který se bude připojovat k vašemu směrovači:
Kontrola zapouzdření ppp
Když je nyní povoleno zapouzdření PPP, ukažme si, jak lze zkontrolovat jeho správnou funkci. Nejdříve se podívejme na obrázek ukázkové sítě. Obrázek 14. 10 znázorňuje dva směrovače propojené buď sériovou linkou typu point-to-point, nebo pomocí ISDN.
Sériové rozhraní je vypnuto a protokol LCP odesílá požadavky, ale nikdy nedostane žádnou odpověď, protože směrovač Podl R2 využívá zapouzdření HDLC. Chcete-li tento problém vyřešit, musíte přejít ke směrovači Podl R2 a nakonfigurovat na sériovém rozhraní zapouzdření PPP. Ještě jedna věc: i když jsou nakonfigurovaná uživatelská jména chybná, nezáleží na tom, protože příkaz ppp a uthent i cat i on cha p se v rámci konfigurace sériového rozhraní nepoužívá a příkaz pro uživatelské jméno není v této ukázce relevantní.
Poznámka Mějte vždy na paměti, že není možné mít na jedné straně linky protokol ppp a na druhé protokol HDLe - tyto protokoly nespolupracují!
Neshoda IP adres
Ošemetná situace z hlediska řešení problémů nastává, pokud máte u sériového rozhraní nakonfigurován protokol HDLC nebo PPP, ale IP adresy nejsou správné. Vše je zdánlivě v pořádku, protože u rozhraní se zobrazí, že jsou aktivní. Podívejte se na obrázek 14.13 a zkuste, jestli byste sami našli příčinu problému - dva směrovače jsou připojené k jiným podsítím: směrovač PodlRl s adresou lO.0. 1.1/24 a směrovač Pod l R2 s adresou 1 0.2. 1 .2/24.
Konfigurace protokolu PPPoE
Pokud máte směrovač s rozhraním, které podporuje protokol PPPoE, a směrovač je připojen k modemu DSL, můžete směrovač nakonfigurovat jako klienta PPPoE - ovšem za předpokladu, že vám poskytovatel služeb Internetu sdělil autentizační informace. Podívejte se na konfiguraci klienta PPPoE u směrovače. Takto vypadá situace pod fyzickým rozhraním:
globální konfigurace, ale v tomto nastavení jsme je nakonfigurovali přímo u logického rozhraní. Tato konfigurace je sice poměrně jednoduchá, ale funguje velmi dobře. Přesto si rovněž ukážeme, jak protokol PPPoE nastavit pomocí nástroje SDM.
Sítě Frame Relay
Frame Relay i nadále patří k nejoblíbenějším službám WAN zaváděným v uplynulém desetiletí, což má dobrý důvod - cenu. Málokterý návrhář sítě si totiž může dovolit ignorovat tak důležitý faktor, jakým jsou náklady. Sítě Frame Relay se standardně klasifikují jako jiné než všesměrové sítě s vícenásobným přístupem (NBMA - non-broadcast multi-access). To znamená, že se v síti nepřenášejí žádná všesměrová vysílání typu aktualizací protokolu RIP. Žádné obavy - vše si vysvětlíme. K podrobnostem se dostaneme zakrátko.
V základech sítí Frame Relay je technologie označovaná jako X.25. Tyto sítě v zásadě zahrnují komponenty technologie X.25, které zůstávají relevantní pro dnešní spolehlivé a relativně "čisté" telekomunikační sítě, zatímco vypouštějí již nepotřebné komponenty korekce chyb. Jsou výrazně složitější než jednoduché sítě s pronajatými linkami, které jsme si popsali v části o protokolech HDLC a PPP. Sítě s pronajatými linkami lze snadno modelovat, ale sítě Frame Relay se tomu poněkud vymykají. Mohou být zásadně složitější a všestrannější, takže se graficky často znázorňují jako "obláček". Dostaneme se k tomu za chvíli. Zatím si představíme koncepci sítí Frame Relay a ukážeme si, jak se liší od jednoduchých technologií s pronajatými linkami. Spolu s úvodem do této technologie získáte virtuální slovník nové terminologie, kterou pro úspěšné zvládnutí základů sítí Frame Relay budete potřebovat. Následně projdeme několik jednoduchých implementací sítí Frame Relay.
Úvod do technologií Frame Relay
Jako kandidát titulu CCNA musíte rozumět základům technologie Frame Relay a dokázat ji nakonfigurovat v jednoduchých scénářích. Nejdříve je nutné si uvědomit, že Frame Relay je technologie s přepínáním paketů. Z toho, co zatím víte, byste na základě této informace měli odvodit několik věcí:
• Při konfiguraci se nebudou používat příkazy encapsu 1 at i on hdl c ani encapsul a t i on ppp. • Síť Frame Relay nefunguje jako pronajatá linka typu point-to-point (ačkoli lze zajistit, aby tak vypadala a chovala se). • Síť Frame Relay je obvykle levnější než pronajaté linky, ale tyto úspory jsou vykoupeny určitými nevýhodami.
Proč tedy uvažovat o nasazení sítě Frame Relay? Podívejte se na obrázek 14.1 4, kde získáte představu o podobě sítí před příchodem technologie Frame Relay. Toto schéma porovnejte s obrázkem 14. 15. Je zřejmé, že nyní existuje pouze jedno připojení mezi směrovačem Corporate a přepínačem Frame Relay. To představuje značnou finanční úsporu.
Pokud byste například k ústředí firmy potřebovali připojit sedm vzdálených poboček a měli u směrovače jen jeden volný sériový port, můžete vzít na pomoc síť Frame Relay. Samozřejmě bychom měli zmínit, že se tím zároveň vytváří jediný bod selhání, což není příliš dobré. Technologie Frame Relay však umožňuje ušetřit, nikoli zlepšit odolnost sítě.
získáte informace o technologii Frame Relay, které potřebujete k přípravě na zkoušku CCNA.
Committed Information Rate (CIR)
Technologie Frame Relay poskytuje síť s přepínáním paketů, která je současně k dispozici mnoha různým zákazníkům. To je velmi výhodné, protože se tím náklady na přepínače rozkládají mezi mnoho klientů. Pamatujte však, že síť Frame Relay je postavena na předpokladu, že zákazníci nebudou přenášet data trvale ani všichni současně. Frame Relay funguje tak, že každému uživateli poskytuje část vyhrazené šíprostředky momentálně k dispozici. Poskytovatelé sítí Frame Relay tedy v praxi zákazníkům umožňují, aby si pořídili menší šířku pásma, než kterou skutečně použijí. U sítí Frame Relay existují dvě nezávislé specifikace šířky pásma: řky pásma a umožňuje také uživatelům překročit svou garantovanou šířku pásma, jsou-li telekomunikační
Přístupová rychlost - maximální rychlost, se kterou rozhraní Frame Relay dokáže přenášet data.
CIR - maximální šířka pásma dat, u které je garantováno doručení. Ve skutečnosti se jedná o průměrný objem, který poskytovatel služby dovolí přenést.
Jestliže jsou obě hodnoty stejné, je připojení Frame Relay velmi podobné pronajaté lince. Lze je však také nastavit odlišně. Uveďme si příklad: Řekněme, že si pořídíte přístupovou rychlost Tl ( 1,544 Mb/s) a CIR 256 kb/s. Při této konfiguraci je zaručeno doručení prvních 256 kb/s provozu, který odešlete. Vše nad tento rámec se označuje jako "shlukové přenosy" (burst), tedy přenosy, které překračují garantovanou rychlost 256 kb/s. Může se jednat o libovolný objem až do přístupové rychlosti Tl (pokud je hodnota uvedena ve smlouvě). Zkombinujete-li potvrzený shlukový přenos (základ pro konkrétní ClR) a nadměrný shlukový přenos, což se dohromady nazývá maximální rychlost shlukového přenosu (MBR - maximum burst rate), můžete se s představou dalšího provozu v praxi rozloučit. Pravděpodobně bude zahozen, ačkoli to ve skutečnosti závisí na úrovni předplatného u konkrétního poskytovatele služeb.
V dokonalém světě to vždy funguje hladce, ale pamatujte na jedno důležité slůvko záruka? Např. ve spojení zaručená rychlost - neboli konkrétně řečeno 256 kb/s? To znamená, že každý shlukový přenos dat nad rámec zaručené rychlosti 256 kb/s bude doručen na základě principu, který se označuje jako "nejlepší snaha". Nebo doručen být nemusí - jestliže telekomunikační vybavení nemá kapacitu pro přenos v době, kdy data vyšlete, budou rámce zahozeny a terminálové zařízení o tom dostane oznámení. Časování je zde klíčové - teoreticky lze vysílat data šestinásobnou rychlostí oproti garantované rychlosti 256 kb/s (rychlostí Tl), ale pouze za předpokladu, že má telekomunikační poskytovatel v daném okamžiku dostupnou kapacitu svého zařízení. Pamatujete si, jak jsme se zmínili o "překročení předplatného"? Zde se projevuje v praxi!
Poznámka CIR je rychlost v bitech za sekundu, se kterou přepínač Frame Relay souhlasí s přenosem dat.
Typy zapouzdření Frame Relay
Při konfiguraci Frame Relay u směrovačů Cisco je nutné tuto technologii nastavit jako zapouzdření na sériových rozhraních. Jak jsme již zmínili, protokoly HDLC či PPP nejsou se sítěmi Frame Relay kompatibilní. Při konfiguraci sítí Frame Relay se specifikuje zapouzdření Frame Relay (jak je patrné z následujícího výstupu). Oproti protokolům HDLC nebo PPP však technologie Frame Relay nabízí dva typy zapouzdření: Cisco a IETF (Internet Engineering Task Force). Následující výstup směrovače ukazuje tyto dvě odlišné metody zapouzdření, pokud je u směrovače Cisco zvolena možnost Frame Relay:
Výchozí je zapouzdření Cisco, pokud ručně nezadáte hodnotu i etf. Hodnota Cisco se používá při propojení dvou zařízení Cisco. Typ zapouzdření IETF zvolte tehdy, jestliže potřebujete pomocí sítě Frame Relay propojit zařízení Cisco se zařízením jiného dodavatele. Ať už vyberete libovolnou možnost, zkontrolujte, zda je zapouzdření Frame Relay na obou koncích stejné.
Virtuální okruhy
Sítě Frame Relay fungují na základě virtuálních okruhů, které se liší od vlastních okruhů používaných pronajatými linkami. Tyto virtuální okruhy spojují tisíce zařízení, která jsou připojena do "oblaku" poskytovatele. Síť Frame Relay vytváří virtuální okruh mezi dvěma terminálovými zařízeními, která jsou zdánlivě propojena okruhem, zatímco ve skutečnosti předávají rámce do velké a sdílené infrastruktury. Komplexitu přenosů v rámci oblaku nelze pozorovat, protože každý zákazník má přehled pouze o svém virtuálním okruhu. Navíc existují dva typy virtuálních okruhů - permanentní a přepínaný. Permanentní virtuální okruhy (PVC) se v současnosti používají zdaleka nejčastěji. Termín "permanentní" zde znamená, že telekomunikační firma vytvoří v rámci svého zařízení určité mapování, které zůstává v platnosti tak dlouho, dokud za ně zákazník platí. Přepínané (switched) virtuální okruhy (SVC) připomínají spíše telefonický hovor. Virtuální okruh je zřízen při požadavku na přenos dat a po dokončení přenosu je zrušen.
Poznámka Telekomunikační poskytovatelé v USA službu Frame Relay s využitím SVC v praxi nenabízejí. Používá se hlavně v privátních sítích Frame Relay.
Identifikátory DLCI (Data Link Connection Identifier)
Permanentní virtuální okruhy Frame Relay se pro terminálová zařízení identifikují pomocí identifikátorů DLCl (Data Link Connection ldentifier). Hodnoty OLCI obvykle přiřazuje poskytovatel služeb Frame Relay a tyto hodnoty umožňují na rozhraních Frame Relay rozlišit jednotlivé virtuální okruhy. Vzhledem k tomu, že na jednom vícebodovém rozhraní Frame Relay lze zakončit mnoho virtuálních okruhů, je k němu často přidruženo více identifikátorů OLCI. Uveďme si příklad. Předpokládejme, že máte centrálu firmy a tři pobočky. Pokud byste připojovali každou pobočku k centrále pomocí linky Tl, potřebovali byste na rozhraní směrovače v ústředí tři sériová rozhraní - jedno pro každou linku Tl. To je zřejmé. Řekněme, že však místo toho použijete privátní virtuální okruhy Frame Relay. Můžete mít každou pobočku připojenou pomocí linky TI k poskytovateli služeb a pouze jedinou linku Tl v ústředí. Na jediné lince Tl v centrále budou tři privátní virtuální okruhy, každý okruh pro jednu pobočku. Ačkoli je zde pouze jediné rozhraní a jediná jednotka kanálových služeb a jednotka datových služeb, fungují privátní virtuální okruhy jako tři samostatné okruhy. Vzpomeňte si na zmínku o finančních úsporách. Kolik by stála dvě dodatečná rozhraní Tl a dvojice jednotek kanálových služeb a jednotek datových služeb? Odpověď: Hodně! Proč tedy nepožádat šéfa, aby vám k platu přidal nějaké procento z ušetřených peněz? Než budeme pokračovat, definujeme inverzní ARP (lARP) a rozebereme, jak se používá s identifikátory DLCI v sít! Frame Relay. Opravdu se jedná o něco podobného jako ARP v tom, že mapuje identifikátor DLCI na IP adresu - lze to přirovnat k mapování MAC adres na IP adresy pomocí protokolu ARP. Protokol IARP sice nelze nakonfigurovat, ale je možné jej zakázat. Funguje u směrovače Frame Relay a pro síť Frame Relay mapuje identifikátor DLCI na IP adresu, aby síť Frame Relay dokázala najít trasu k přepínači. Mapování IP na DLCI lze zobrazit pomocí příkazu s h ow f rame - rel ay ma p. Pokud však v síti funguje směrovač jiné značky než Cisco, který protokol IARP nepodporuje, je nutné staticky definovat mapování IP na DLCI příkazem f ra me - re 1 ay ma p, což si zakrátko ukážeme.
Poznámka Inverzní ARP (IARP) slouží k mapování známého identifikátoru DLel na IP adresu_
Věnujme se nyní identifikátorům DLCI poněkud podrobněji. Jsou lokálně významné - globální význam vyžaduje, aby celá síť používala rozšíření LMI, která poskytují globální význam. Globální identifikátory DLCI proto obvykle naleznete pouze v privátních sítích. Identifikátor DLCI však nemusí být globálně významný, aby dokázal doručit rámec po síti. Vysvětleme si to: Když směrovač RouterA požaduje odeslání rámce směrovači RouterB, vyhledá mapování IARP nebo ruční mapování identifikátoru DLCI na IP adresu, kterou se pokouší kontaktovat. Na základě zjištěného identifikátoru DLCI poté odešle rámec s hodnotou DLCI, kterou nalezl v poli DLCI hlavičky FR. Vstupní přepínač poskytovatele obdrží rámec a vyhledá zjištěnou kombinaci identifikátoru DLCI a fyzického portu. Na základě přidružení k této kombinaci zjistí nový "lokálně významný" (tzn. mezi sebou samým a přepínačem dalšího přeskoku) identifikátor DLCI, který použije v hlavičce. Ve stejné položce tabulky nalezne odchozí fyzický port. To se děje po celé trase ke směrovači RouterB. V zásadě bychom tedy mohli říci, že identifikátor DLCI směrovače RouterA identifikuje celý virtuální okruh ke směrovači RouterB, i když může být každý identifikátor DLCI mezi každou dvojicí zařízení zcela jiný. Důležité je si uvědomit, že směrovač RouterA o těchto rozdílech neví. Proto je identifikátor DLCI významný jen lokálně. Zapamatujte si tedy, že identifikátory DLCI v praxi slouží pouze telekomunikačnímu poskytovateli, aby mohl "najít" druhý konec vašeho privátního virtuálního okruhu. Chcete-li si ujasnit, proč se identifikátory DLCI považují za lokálně významné, podívejte se na obrázek 14. 1 6. Na tomto obrázku se identifikátor DLCI 1 00 považuje za lokálně významný pro směrovač Router A a označuje okruh mezi směrovačem Router A a vstupním přepínačem Frame Relay. Identifikátor DLCI 200 poté označuje okruh mezi směrovačem RouterB a jeho vstupním přepínačem Frame Relay.
Poznámka Hodnoty DLCI identifikují logický okruh mezi lokálním směrovačem a přepinačem sítě Frame Relay_
Rozhraní LMI (Local Management Interface)
Rozhraní LMl (Local Management lnterface) je signalizační standard, jenž se používá mezi směrovačem a prvním přepínačem sítě Frame Relay, ke kterému je připojen_ Umožňuje předávat informace o provozu a stavu virtuálního okruhu mezi sítí poskytovatele a terminálovým zařízením (lokálním směrovačem). Sděluje informace o těchto faktorech:
Hodnoty keepalive: Ověřují, zda se přenášejí data_
Vícesměrové vysílání: Jedná se o volitelné rozšíření specifikace LMI, které dovoluje například efektivně distribuovat informace směrování a požadavky ARP po síti Frame Relay_ Vícesměrové vysílání používá vyhrazené identifikátory DLCI od 1019 do 1 022.
Globální adresování: Poskytuje identifikátorům DLCI globální význam a umožňuje, aby oblak Frame Relay fungoval přesně stejně jako síť LAN_
Stav virtuálních okruhů: Poskytuje stav identifikátorů DLCL Když není k dispozici žádný normální provoz LMI pro odeslání, používají se jako zprávy keepalive stavové dotazy a zprávy_
Pamatujte však, že LMI není komunikace mezi směrovači - jedná se o komunikaci mezi lokálním směrovačem a nejbližším přepínačem sítě Frame Relay. Je tedy docela dobře možné, že směrovač na jednom konci privátního virtuálního okruhu přijímá LMI, zatímco směrovač na druhém konci tohoto okruhu nikoli. Privátní virtuální okruhy samozřejmě nefungují, když jeden jejich konec není aktivní. (Komunikace LMI má totiž lokální povahu_) Existují tři různé typy formátů zpráv LMI: Cisco, ANSI a Q_933A. Různé použité typy závisejí na typu a konfiguraci přepínacích zařízení u telekomunikační společnosti. Je proto nutné, abyste při konfiguraci svého směrovače použili správný formát, který vám sdělí telekomunikační poskytovatel.
Poznámka Sítě Frame Relay 781 Počínaje verzí 11.2 systému 105 je typ LMI detekován automaticky. Rozhraní tam může určit typ LMI podporovaný přepínačem. POkud funkci a utomatické detekce nebudete používat, musíte u svého poskytovatele sítě Frame Relay zjistit, jaký typ je nutné nastavit.
Asi nepřekvapí, že standardní nastavení u zařízení Cisco je Cisco, ale někdy může být nutné zvolit ANSI či Q.933A v závislosti na informacích od poskytovatele služeb. V následujícím výstupu směrovače jsou uvedeny tři různé typy LMI:
Jak je zřejmé z tohoto výstupu, jsou podporovány všechny tři standardní formáty signalizace LMl. Uveďme si jejich popis:
Cisco - LMI definované skupinou "Gang of Four" (výchozí). Rozhraní LMI (Local Management Interface) vyvinuly roku 1 990 společnosti Cisco Systems, StrataCom, Northern Telecom a Digital Equipment Corporation a začalo se mu říkat "Gang-of-Four LMI" nebo také Cisco LMl.
ANSI - dokument Annex D, který je součástí standardu ANSI T1.617.
ITU-T (Q.933A) - dokument Annex A, který patří do standardu ITU-T a definuje se pomocí klíčového slova příkazu Q.933a.
Směrovače přijímají informace LMI od přepínače sítě Frame Relay poskytovatele na rozhraní se zapouzdřením rámců a aktualizují stav virtuálního okruhu do jednoho ze tří odlišných stavů:
Aktivní stav - vše funguje a směrovače si mohou vyměňovat informace.
Neaktivní stav - rozhraní směrovače je aktivní a spolupracuje s připojením do ústředny, ale vzdálený směrovač není aktivní.
Odstraněný stav - na rozhraní nejsou z přepínače přijímány žádné informace LMI, což může být způsobeno problémem mapování nebo výpadkem linky.
Řízení zahlcení v sítích Frame Relay
Pamatujete si na diskusi o rychlosti CIR? Z ní by mělo být zřejmé, že čím nižší rychlost CIR je nastavena, tím vyšší je riziko ztráty dat. Tomu se lze snadno vyhnout s využitím klíčové informace - kdy lze velké shluky dat přenášet a kdy nikoli! Nabízí se tedy otázka, zda je nějakým způsobem možné zjistit, kdy je sdílená infrastruktura telekomunikačního operátora volná a kdy je zahlcena. Pokud je to možné, jakým způsobem lze stav monitorovat? Právě na to se zaměříme v následujícím textu a ukážeme si, jak přepínač sítě Frame Relay informuje terminálové zařízení o potížích se zahlcením sítě. K dispozici jsou tři bity týkající se zahlcení, které mají odlišný význam:
Discard Eligihility (DE) - jak víte, když použijete shlukové přenosy (přenos paketů privátním virtuálním okruhem s vyšší rychlostí než CIR), je přípustné zahození všech paketů nad rámec CIR, pokud je síť poskytovatele v danou chvíli zahlcena. Vzhledem k tomu jsou nadměrné bity označeny v hlavičce Frame Relay bitem Discard Eligibility (DE). Když se ukáže, že je síť poskytovatele zahlcena, přepínač sítě Frame Relay zahodí pakety s prvním nastaveným bitem DE. Je-li tedy u šířky pásma nastavena nulová rychlost CIR, bude bit DE vždy zapnutý.
Forward Explicit Congestion Notification (FECN) - když síť Frame Relay zjistí zahlcení v oblaku, přepínač nastaví v hlavičce paketu Frame Relay bit Forward Explicit Congestion Notification (FECN) na hodnotu 1. Tím cílovému terminálovému zařízení oznámí, že trasa, kterou rámec právě absolvoval, je zahlcena.
Backward Explicit Congestion Notification (BECN) - když přepínač zjistí zahlcení sítě Frame Relay, nastaví v hlavičce paketu Frame Relay, který je určen pro zdrojový přepínač, bit Backward Explicit Congestion Notification (BECN) na hodnotu l. Směrovač je tím informován o zahlcení směrem vpřed. Směrovače Cisco však tuto informaci o zahlcení nevyužívají, dokud to po nich nepožadujete.
Poznámka Chcete-Ii se o této problematice dozvědět více, vyhledejte na webu společnosti Cisco termín "Frame Relay Traffic Shaping".
Řešení problémů pomocí řízení zahlcení v sítích Frame Relay Předpokládejme nyní, že si uživatelé stěžují na mimořádnou pomalost svého připojení Frame Relay k podnikové síti. Máte silné podezření na přetížení linky a proto ověříte řídicí informace o zahlcení sítě Frame Relay pomocí příkazu show frame - rel ay pvc. Dostanete tento výstup:
Požadované informace jsou na řádku BECN pkts 1 92, který sděluje lokálnímu směrovači, že při odesílání dat do podnikové sítě se objevuje zahlcení. BECN znamená, že je zahlcena trasa, kterou se rámec "vrací" k odesilateli.
Implementace a monitorování sítí Frame Relay
Jak jsme již uvedli, existuje mnoho příkazů a možností konfigurace sítí Frame Relay. Zaměříme se však pouze na ty, které skutečně potřebujete k přípravě podle okruhů zkoušky CCNA. Začneme u nejjednodušších variant konfigurace - dvou směrovačů, mezi nimiž je jediný privátní virtuální okruh. V dalších krocích si ukážeme složitější konfiguraci s použitím dílčích rozhraní a předvedeme si některé příkazy pro monitorování, jež jsou při kontrole konfigurace k dispozici.
Jediné rozhraní
Podívejme se nejdříve na jednoduchý příklad. Řekněme, že chceme připojit dva směrovače s jediným privátním virtuálním okruhem. Konfigurace bude vypadat následovně:
První krok určuje zapouzdření Frame Relay. Všimněte si, že jsme nenastavili konkrétní typ zapouzdření (Cisco nebo IETF), takže se uplatní výchozí typ Cisco. Pokud by byl druhý směrovač jiné značky než Cisco, zadali bychom IETF. V dalším kroku jsme přiřadili rozhraní IP adresu a poté zadali typ LMI jako ANSI (výchozí hodnota je Cisco) na základě informací, které jsme dostali od telekomunikačního poskytovatele. Na konec jsme přidali DLCI 101, což označuje požadovaný privátní virtuální okruh (údaj opět poskytl poskytovatel služeb Internetu). Předpokládá se, že na tomto fyzickém rozhraní je pouze jeden privátní virtuální okruh. To je vše - pokud jsou obě strany nakonfigurovány správně, okruh začne fungovat.
Tip ------ V praktickém cvičeni 14.3 naleznete úplný příklad tohoto typu konfigurace včetně pokynů, jak ze směrovače vytvořit vlastní přepínač sítě Frame Relay.
Dílčí rozhraní
Již jsme zmínili, že na jediném rozhraní může být více virtuálních okruhů a s každým z nich lze pracovat jako se samostatným rozhraním. Můžete to zajistit vytvořením dílčích rozhraní. Dílčí rozhraní si představte jako logické rozhraní, které je definováno softwarem lOS. Několik dílčích rozhraní sdílí jediné hardwarové rozhraní, ale pro účely konfigurace fungují tak, jako by se jednalo o samostatná fyzická rozhraní, což se označuje jako multiplexování. Chcete-li nakonfigurovat směrovač v síti Frame Relay tak, aby nebyly povoleny aktualizace směrování a nedocházelo tedy k potížím s rozdělením horizontu, stačí pro každý privátní virtuální okruh nakonfigurovat samostatné dílčí rozhraní. Každému dílčímu rozhraní bude přitom přiřazen jedinečný identifikátor DLCI a podsíť. Dílčí rozhraní se definují pomocí příkazu typu i nt s O . čí s l o dí I číh o rozh ran í. Nejdříve je potřeba nastavit zapouzdření na fyzickém sériovém rozhraní a poté je možné definovat dílčí rozhraní - obvykle jedno dílčí rozhraní na jeden privátní virtuální okruh. Uveďme si příklad:
Poznámka Pokud jste nakonfigurovali dílčí rozhraní, zkontrolujte, zda nemáte IP adresu v konfiguraci fyzického rozhraní!
Na každém fyzickém rozhraní lze nadefinovat mnoho dílčích rozhraní, ale pamatujte, že je k dispozici pouze asi tisíc dostupných identifikátorů DLCl. V předchozím příkladu jsme zvolili dílčí rozhraní 16, protože označuje číslo DLCI přiřazené tomuto privátnímu virtuálnímu okruhu poskytovatelem. K dispozici jsou dva typy dílčích rozhraní:
Dvoubodové spojení - používá se při připojení dvou směrovačů pomocí jediného virtuálního okruhu. Každé dvoubodové dílčí rozhraní vyžaduje svou vlastní podsíť.
Poznámka Dvoubodové dílčí rozhraní mapuje jedinou podsíť IP na identifikátor DLel a adresu a řeší potíže s rozdělením horizontu v sítích NBMA.
Vícebodové spojení - v této konfiguraci je směrovač uprostřed hvězdice virtuálních okruhů, které používají jedinou podsíť pro sériová rozhraní všech směrovačů připojených k přepínači sítě Frame Relay. Tuto implementaci obvykle naleznete u centrálního směrovače v tomto režimu a u periferních směrovačů na fyzickém rozhraní (vždy dvoubodové připojení) nebo ve dvoubodovém režimu dílčího rozhraní.
Dále si ukážeme příklad produkčního směrovače, na kterém funguje více dílčích rozhraní. V následujícím výstupu si všimněte, že číslo dílčího rozhraní odpovídá číslu DLCI. Není to povinné, ale v praxi to pomáhá při správě rozhraní:
Všimněte si, že není definován žádný typ LMI. To znamená, že směrovače buď používají výchozí hodnotu Cisco, nebo pracují s automatickou detekcí (je-Ii nainstalován systém Cisco lOS verze 1 1.2 nebo novější). Je také potřeba zdůraznit, že každé rozhraní mapuje na jediný identifikátor DLCI a definuje se jako samostatná podsíť. Pamatujte, že dvoubodová dílčí rozhraní řeší také potíže s rozdělením horizontu.
Monitorování sítí Frame Relay
Jakmile je nastaveno zapouzdření Frame Relay a funguje, používá se často několik příkazů pro kontrolu stavu rozhraní a privátních virtuálních okruhů. Jejich seznam zobrazíte příkazem s h ow f rame ?:
Nejčastěji se s příkazem show frame - relay zobrazují parametry lmi. pvc a map. Podívejme se nyní na nejpoužívanější příkazy a na informace, které poskytují.
Příkaz show frame-relay Imi
Příkaz show frame - rel ay 1 m i poskytuje statistiky provozu LMI v rámci výměny mezi lokálním směrovačem a přepínačem sítě Frame Relay. Uveďme si příklad:
Příkaz show frame pvc
Příkaz show frame pvc poskytuje seznam všech nakonfigurovaných privátních virtuálních okruhů a čísel DLCI. Uvádí stav každého připojení privátním virtuálním okruhem a také statistiky provozu. Informuje také o počtu paketů BECN a FECN, které směrovač přijal každým privátním virtuálním okruhem. Uveďme si příklad:
Ox400 a Ox41O udávají čísla DLCI nakonfigurovaná v rámci Frame Relay. Čísla jsou odlišná kvůli tomu, jakým způsobem jsou bity rozloženy v rámci.
Příkaz debug frame Imi
Příkaz debug frame 1 mi standardně zobrazí výstup konzol směrovačů (jako u libovolného příkazu debug). Informace poskytované tímto příkazem umožňují zkontrolovat a vyřešit problémy připojení Frame Relay, protože pomáhají určit, zda si směrovač s přepínačem vyměňují správné údaje LMI. Uveďme si příklad:
Řešení problémů v sítích Frame Relay
Řešení potíží v sítích Frame Relay není o nic těžší než v jiných typech sítí za předpokladu, že víte, co hledáte. Tím se budeme zabývat v následujících odstavcích. Projdeme si několik základních problémů, které se v konfiguracích Frame Relay často objevují, a ukážeme si postupy jejich řešenÍ. Jako první jsou na seznamu problémy se sériovým zapouzdřením. Jak jsme již uvedli, existují dva typy zapouzdření Frame Relay: Cisco a lETE Hodnota Cisco je výchozí a znamená, že je na obou koncích sítě Frame Relay připojen směrovač Cisco. Pokud na vzdáleném konci sítě Frame Relay funguje směrovač jiné značky než Cisco, musíte spustit zapouzdření IETF podle následující ukázky:
Jakmile ověříte, ž e s e používá správné zapouzdření, je nutné zkontrolovat mapování Frame Relay. Podívejte se například na obrázek 1 4.17.
Konfigurace vypadají docela dobře_ Dokonce se dá říci, že skvěle. V čem je tedy problém? Pamatujte si, že Frame Relay je standardně jiná než všesměrová síť s vícenásobným přístupem (NBMA - non-broadcast multi-access). To znamená, že se v rámci privátního virtuálního okruhu nepřenášejí žádná všesměrová vysílání. Vzhledem k tomu, že příkazy mapování nemají na konci řádku argument všesměrového vysílání, nebudou se tedy po privátním virtuálním okruhu přenášet všesměrová vysílání ani aktualizace RIP. Vyzkoušejme nyní konfiguraci sériového připojení WAN pomocí nástroje SDM, což by mělo být docela jednoduché
Připojení k síti WAN z nástroje SDM
Nyní si ukážeme, jak nastavit sériová připojení WAN pomocí nástroje SDM. K dispozici jsou pouze možnosti HDLC (výchozí), PPP a Frame Relay_ Směrovač může mít odlišné možnosti v závislosti na nainstalovaných rozhraních.
Vzhledem k tomu, že protokol HDLC již funguje, není u tohoto protokolu příliš ke konfigurování ani zobrazení. Mezi dvěma směrovači nakonfigurujeme protokol PPP, použijeme autentizaci a poté si ukážeme, jak nastavit Frame Relay na rozhraní směrovače pomocí nástroje SDM.
Konfigurace protokolu ppp a autentizace ze SDM
Nejdříve nakonfigurujeme sériovou linku WAN mezi směrovačem Corp a směrovačem R3 pomocí protokolu PPP s autentizací. V prvé řadě je nutné odstranit rozhraní ze seznamu Interfaces and Connections Tasks. Poté klepneme na kartu Edit Interface Connection a na tlačítko Delete. Pokud bychom to neudělali, rozhraní by se nezobrazilo jako dostupné pro konfiguraci z nástroje SDM. Snadno bychom to mohli provést z rozhraní příkazového řádku, ale to není naším cílem. Po vymazání konfigurace rozhraní klepneme na kartě Create Connection na tlačítko Create New Connection Create New Connection.
Žádné autentizační informace zde sice zadávat nemusíme, ale přesto to tentokrát uděláme. Pole Username je určeno pro název vzdáleného směrovače (R3) nebo libovolný údaj sdělený poskytovatelem služeb Internetu. Totéž platí pro heslo. (Vzpomeňte si na konfiguraci protokolu PPP, kterou jsme si ukázali u rozhraní příkazového řádku výše.) Poté klepneme na tlačítko Next. Zobrazí se okno se souhrnem konfigurace. Zde stačí klepnout na tlačítko Finish.
Přejdeme tedy ke směrovači R3 a implementujeme stejnou konfiguraci, kterou jsme si právě ukázali u směrovače Corp. Zadáme uživatelské jméno Corp a přiřadíme stejné heslo (tak, jak jsme si předvedli u konfigurace protokolu PPP z rozhraní příkazového řádku výše).
Následuje výstup rozhraní příkazového řádku u směrovače Corp poté, co byly nakonfigurovány oba směrovače:
Mohli bychom si myslet, že je konfigurace dokončena. Linky jsou nakonec nastaveny a vše funguje. Není to ale vše. Byli bychom u cíle, pokud bychom byli připojeni k poskytovateli služeb Internetu a neměli ve skutečnosti dvoubodové připojení typu Tl (které nyní simulujeme). V praxi by tedy poté autentizační příkazy sdělil poskytovatel služeb Internetu. Situace je však taková, že máme vyhrazené dvoubodové sériové připojení a konfigurace ppp s autentizací pomocí nástroje SDM nefunguje bez určitých úprav pomocí rozhraní příkazového řádku. Závěr si udělejte sami. (Konfigurace pomocí rozhraní příkazového řádku je opravdu snazší.) Následuje příklad nastavení, které není funkční, ačkoli byly oba směrovače nastaveny velmi jednoduše:
Konfigurace protokolu PPPoE ze SDM
Chceme-li nakonfigurovat protokol PPPoE pomocí nástroje SDM, potřebujeme nejdříve směrovač připojený k modemu DSL. Následně je potřeba nakonfigurovat rozhraní jako klienta stejně jako v předchozím příkladu. Pomocí nástroje SDM to u směrovače 87l W bude hračka. Po připojení ke směrovači z nástroje SDM odstraníme z tohoto nástroje rozhraní FastEthernet. Následně pod příkazem Interfaces and Connections v nabídce Tasks zvolíme možnost Create Connection.
Zde stačí klepnout na tlačítko Next. Na obrazovce Encapsulation zaškrtneme políčko Enable PPPoE Encapsulation a klepneme na tlačítko Next.
Konfigurace sítě Frame Relay ze SDM
Sériové připojení mezi směrovači Corp a R3 je nyní funkční a využívá protokol PPP. Kromě toho víte, jak nakonfigurovat protokol PPPoE. Ukážeme si tedy nyní, jak snadno lze pomocí nástroje SDM nastavit síť Frame Relay. Po odstranění konfigurace rozhraní z nástroje SDM (mimochodem, tato nutnost před každou novou konfigurací odstraňovat rozhraní je poněkud nepříjemná) můžeme vytvořit nové sériové připojení. Otevřeme průvodce lnterface Wizard a zvolíme možnost Frame Relay pro rozhraní SeriaI0/2/0 směrovače Corp.
Tato obrazovka poskytuje přehled konfigurace. Klepnutím na tlačítko Finish nahrajeme konfiguraci do směrovače. Podívejme se na rozhraní příkazového řádku, abychom přesně zjistili, co bylo odesláno do směrovače. V předchozím výstupu si všimněte, jak byla IP adresa z fyzického rozhraní přesunuta do dílčího rozhraní vytvořeného nástrojem SDM.
interface Serial O/2/0
description Pripojeni k R3$ FW_OUTSIDE$
Pokud by byl tento směrovač připojen k poskytovateli služeb Internetu a tento poskytovatel by měl správně nastavenou síť (je nutné zdůraznit slovo pokud), měl by privátní virtuální okruh začít fungovat. Pamatujte, že jsme použili typ LMI Cisco, takže by poskytovatel služeb Internetu musel používat přepínač Frame Relay značky Cisco. To není zrovna pravděpodobné. Většinou bychom zvolili nastavení ANSI LMI. Vytvořme nyní virtuální privátní síť mezi směrovači Corp a R3.
Virtuální privátní sítě
Termín virtuální privátní sítě (VPN) jste patrně již slyšeli vícekrát. Možná dokonce víte, co to je. Pro jistotu: síť VPN (virtual private network) umožňuje vytvářet privátní sítě v rámci Internetu, což poskytuje soukromí a tunelování jiných protokolů než TCP/IP. Sítě VPN se každodenně používají k zajištění konektivity vzdálených uživatelů a oddělených sítí prostřednictvím veřejného média typu Internetu namísto dražších trvalých spojů. Sítě VPN se rozdělují na jednotlivé typy podle role, kterou v organizacích plní. Existují tři různé kategorie sítí VPN:
Sítě VPN pro vzdálený přístup (remote access VPN) - umožňují vzdáleným uživatelům (např. pracovníkům z domova) bezpečné připojení k podnikové síti odkudkoli a kdykoli.
Sítě VPN mezi lokalitami (site-to-site VPN) neboli sítě VPN typu intranet - dovolují, aby společnost bezpečně připojila vzdálené pobočky k podnikové páteřní síti přes veřejné médium typu Internet. Není tedy nutné pořizovat dražší připojení sítě WAN typu Frame Relay.
Sítě VPN typu extranet - umožňují všem dodavatelům, partnerům a zákazníkům organizace, aby se připojili k podnikové síti omezeným způsobem za účelem komunikace typu B2B (business-to-business).
Určitě nyní toužíte se dozvědět více! A vzhledem k tomu, že sítě VPN jsou levné a bezpečné, nejspíš se již nemůžete dočkat, až si ukážeme postup jejich vytváření. Síť VPN lze zřídit více způsoby. První přístup využívá protokol IPSec, který zajišťuje služby autentizace a šifrování mezi koncovými body sítě IP. Druhá metoda je založena na tunelovacích protokolech, které vytvářejí mezi koncovými body sítě tunel. Uvědomte si, že tunel sám o sobě představuje prostředek zapouzdření dat nebo protokolů v rámci jiného protokolu, což je velice elegantní.
První metodu s protokolem IPSec si zakrátko ukážeme. Nejdříve si však musíme popsat čtyři nejčastěji používané tunelovací protokoly:
L2F (Layer 2 Forwarding) - proprietární tunelovací protokol společnosti Cisco. Jedná se o první tunelovací protokol této firmy, který vznikl kvůli virtuálním privátním vytáčeným sítím (VPDN - virtual private dial-up network). Sítě VPDN dovolují navázat zabezpečené připojení k podnikové síti pomocí vytáčeného připojení. Protokol L2F byl později nahrazen protokolem L2TP, který je s protokolem L2F zpětně kompatibilní.
PPTP (Point-to-Point Tunneling Protocol) - vytvořila společnost Microsoft k zabezpečenému přenosu dat ze vzdálených sítí do podnikové sítě.
L2TP (Layer 2 Tunneling Protocol) - vyvinuly společnosti Cisco a Microsoft jako náhradu protokolů L2F a PPTP. Protokol L2TP slučuje možnosti protokolů L2F i PPTP do jednoho tunelovacího protokolu.
GRE (Generic Routing Encapsulation) - další tunelovací protokol, jehož autorem je společnost Cisco. Tvoří virtuální dvoubodová spojení a umožňuje do tunelů IP zapouzdřit mnoho různých protokolů. Když jsme si nyní vysvětlili, co to jsou sítě VPN a jaké jejich různé typy jsou k dispozici, je čas se pustit do protokolu IPSec.
Úvod do protokolu IPSec v systému Cisco IOS
Jednoduše řečeno je protokol IPSec oborový standard sady protokolů a algoritmů, které slouží k zabezpečeným přenosům dat v sítích založených na protokolu IP a fungují na síťové vrstvě 3 modelu OSI. Všimněte si spojení "síť založená na protokolu IP". To je opravdu důležité, protože sám o sobě protokol IPSec neumožňuje šifrovat provoz jiných protokolů než IP. Když se tedy dostanete do situace, kdy musíte zašifrovat provoz jiných protokolů než IP, musíte pro tento provoz vytvořit tunel GRE a poté protokolem IPSec zašifrovat celý tunel!
Transformace protokolu IPSec
Transformace protokolu IPSec určuje jediný bezpečnostní protokol s jeho odpovídajícím bezpečnostním algoritmem. Bez těchto transformací by protokol IPSec nedokázal plnit svou funkci. Je důležité těmto technologiím porozumět. Proto se nyní budeme chvíli věnovat definici bezpečnostních protokolů a stručně si představíme podpůrné šifrovací a hešovací algoritmy, na kterých je protokol IPSec založen.
Bezpečnostní protokoly
Dva primární bezpečnostní protokoly používané v protokolu IPSec se nazývají AH (Authentication Header) a ESP (Encapsulating Security Payload).
AH (Authentication Header)
Protokol AH poskytuje autentizaci dat a hlavičky IP paketu pomocí jednosměrné hešové funkce. Tím zajišťuje autentizaci celého paketu. Funguje takto: Odesilatel generuje jedno-směrnou hešovou funkci a příjemce následně generuje stejnou hešovou funkci. Pokud se paket jakýmkoli způsobem změnil, nebude autentizován a místo toho bude zahozen. Protokol IPSec tedy v zásadě spoléhá na to, že protokol AH zaručí autenticitu. Protokol AH kontroluje celý paket, ale nenabízí žádné služby šifrování. To je rozdíl oproti protokolu ESP, který poskytuje pouze kontrolu integrity dat paketu.
ESP (Encapsulating Security Payload)
Protokol ESP poskytuje důvěrnost, autentizaci zdroje dat, nespojovanou integritu, službu ochrany proti opakovanému přehrání a omezenou důvěrnost toku dat díky blokování analýzy toku dat. To jsou téměř magické schopnosti! Protokol ESP má čtyři komponenty:
Důvěrnost - je zajištěna díky použití symetrických šifrovacích algoritmů jako DES nebo 3DES. Důvěrnost lze vybrat nezávisle na všech ostatních službách, ale vybraná hodnota musí být stejná u všech koncových bodů v síti VPN.
Autentizace zdroje dat a nespojovaná integrita - spojené služby, které jsou k dispozici v kombinaci s důvěrností, jež je také volitelná.
Služba ochrany proti opakovanému přehrání - je možné použít jen tehdy, je-li vybrána autentizace původu dat. Výběr ochrany proti opakovanému přehrání je založen na příjemci. To znamená, že služba je efektivní jen v případě, že příjemce kontroluje pořadová čísla. Pokud nevíte, oč jde: útok s opakovaným přehráním spočívá v tom, že hacker zachytí kopii autentizovaného paketu a poté ji přenese do zamýšleného umístění. Když se duplicitní a autentizovaný paket IP dostane do cílového umístění, může narušit službu a způsobit jiné nežádoucí účinky. Pole Sequence Number je určeno k tomu, aby bylo tomuto typu útoku možné zabránit.
Tok provozu - aby fungovala důvěrnost toku provozu, je nutné vybrat tunelovací režim. Tato funkce je nejúčinnější, je-li implementována jako bezpečnostní brána tam, kde prochází rušný provoz. V této situaci může maskovat skutečné vzory přenosu mezi zdrojem a cílem pro útočníky, kteří se pokoušejí narušit zabezpečení sítě.
Konfigurace sítí VPN a protokolu IPSec z nástroje SDM
K dispozici je mnoho různých metod konfigurace sítí VPN u směrovače. Zde si ukážeme přidání jednoduchého připojení sítě VPN mezi směrovače Corp a R3. Po klepnutí na položku VPN na panelu Tasks klepneme na možnost Site-to-Site VPN a zobrazí se karta Create Site to Site VPN.
Chtěli byste něco takového dávat dohromady sami bez pomoci geniálního znalce síťových technologií? Rozhodně nikoli! Kdysi to bylo nutné a rozhodně to není procházka růžovým sadem. Vzhledem k tomu, že nyní za nás nejtěžší konfiguraci dokáže snadno vytvořit nástroj SDM, proč toho nevyužít i jinak? Přidejme nastavení QoS!
Konfigurace technologie OoS (Ouality of Service) v rámci tunelu sítě VPN
Nyní rozumíme tomu, že zákaznické sítě mají efektivně splňovat požadavky aplikací i uživatelů - alespoň by měly být efektivní. Víme také, že kvůli kombinaci prudkého rozvoje Internetu, podnikových sítí intranet, které se rozmnožují jako králíci, spousty nových aplikací, jež nenasytně hltají šířku pásma, a kombinované zátěže hlasového, datového a obrazového provozu je infrastruktura sítí IP zatěžována na maximum. V zásadě si to uvědomujeme, když sítě nefungují dobře - příznakem je nízký výkon a značná nespolehlivost. Tím se dostáváme k technologii QoS. Věřte nebo ne, ale zavedení technologie QoS je v dnešním síťovém prostředí v praxi bezpečnější, ekonomičtější a dokonce i rychlejší. Proto si nyní ukážeme, jak technologii QoS nakonfigurovat u sériového spojení VPN, což je mimochodem ideální místo pro nastavení QoS v produkční síti. Tentokrát začneme u směrovače R3. Po připojení nástrojem SDM klepneme na tlačítko Configure a poté na panelu Tasks na položku Quality of Service.
NBAR (Network Based Application Recognition) je velmi výhodná funkce, protože dovoluje přesně identifikovat a klasifikovat kritické a optimalizační aplikace, např. aplikace typu ERP. Jakmile tyto aplikace klasifikujete, můžete jim zaručit minimální dostupnou šířku pásma. V zásadě se jedná o směrování založené na zásadách a jsou-li tyto podnikově kritické aplikace klasifikovány, lze jim zajistit minimální šířku pásma, směrování založené na zásadách a značkování kvůli speciálnímu zacházení. Klepneme na tlačítko Yes a na další obrazovce se zobrazí třída QoS i hodnota provozu v reálném čase a podnikově kritického provozu.
klepneme na tlačítko Finish, nástroj odešle konfiguraci do směrovače. V praxi je konfigurace značně obsáhlá, takže ji není možné v této knize otisknout. Nástroj SDM je velmi účinný a jak jsme si předvedli, značně pomáhá při obtížných úkolech konfigurace.
Shrnutí
V této kapitole jste se seznámili s rozdíly mezi následujícími službami sítí WAN: kabelovými sítěmi, DSL, HDLC, PPP, PPPoE a sítěmi Frame Relay. Dozvěděli jste se také, že po nastavení a zprovoznění libovolné z těchto služeb je možné využít sítě VPN. Je nutné, abyste rozuměli protokolu HDLC (High-Level Data-Link Control) a postupu ověření, zda je protokol HDLC povolen, pomocí příkazu s h ow i nterface. V této kapitole jste získali důležité informace o protokolu HDLC a také o použití protokolu PPP (Point-to-Point Protocol), pokud potřebujete více funkcí, než poskytuje protokol HDLC, nebo používáte dvě různé značky směrovačů. Protokol HDLC je totiž proprietární a neumožňuje propojit směrovače různých dodavatelů. V sekci o protokolu PPP jsme si rozebrali různé možnosti protokolu LCP a také dva dostupné typy autentizace: PAP a CHAP. Diskutovali jsme také podrobně sítě Frame Relay a dvě různé související metody zapouzdření. Zabývali jsme se také možnostmi LM!, mapami sítí Frame Relay a konfiguracemi dílčích rozhraní. Kromě popsaných termínů a funkcí sítí Frame Relay jsme si podrobně ukázali konfiguraci a kontrolu těchto sítí. Kapitolu jsme uzavřeli postupy konfigurace spojení WAN pomocí nástroje SDM. Následně jsme se věnovali sítím VPN a konfiguraci spojení VPN s protokolem IPSec. Zmínili jsme se také o použití technologie QoS v sítích WAN.
Klíčové poznatky ke zkoušce
Pamatujte si výchozí sériové zapouzdření u směrovačů Cisco - směrovače Cisco standardně u všech sériových linek používají proprietární zapouzdření HOLC (High-Level Oata-Link Control).
Seznamte se s různými zapouzdřeními Frame Relay - společnost Cisco používá u svých směrovačů dvě různé metody zapouzdření Frame Relay. Výchozí nastavení Cisco znamená, že směrovač je připojen k přepínači sítě Frame Relay značky Cisco. Hodnota IETF (Internet Engineering Task Force) se používá v případě, že je směrovač připojen k přepínači Frame Relay jiného dodavatele.
Pamatujte si, co v sítích Frame Relay znamená hodnota CIR - CIR je průměrná rychlost v bitech za sekundu, se kterou přepínač Frame Relay souhlasí s přenosem dat.
Pamatujte si příkazy pro kontrolu sítí Frame Relay - příkaz s h ow frame - re 1 ay 1 mi poskytuje statistiky provozu LMI v rámci výměny mezi lokálním směrovačem a přepínačem sítě Frame Relay. Příkaz s h ow frame pvc zobrazí seznam všech nakonfigurovaných privátních virtuálních okruhů a čísel OLCI
Pamatujte si protokoly linkové vrstvy PPP - tři protokoly linkové vrstvy se nazývají NCP (Network Control Protocol), který definuje protokoly síťové vrstvy, LCP (Link Control Protocol), což je metoda zřizování, konfigurace, údržby a ukončování dvoubodových spojení, a HDLC (High-Level Oata-Link Control), tj. protokol na vrstvě MAC, jenž zapouzdřuje pakety.
Pamatujte si různé typy sériových připojení WAN - nejčastěji se používají tato sériová připojení WAN: HOLC, PPP a Frame Relay.
Seznamte se s pojmem virtuální privátní síť - měli byste vědět, kdy a jak použít síť VPN mezi lokalitami.