По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Перед тем как начать чтение этой статьи, советуем ознакомиться с материалом про расчет пути по алгоритму Bellman - ford.
Алгоритм диффузного обновления (Diffusing Update Algorithm -DUAL) - один из двух обсуждаемых здесь алгоритмов, изначально предназначенных для реализации в распределенной сети. Он уникален тем, что также удаляет информацию о достижимости и топологии, содержащуюся в конечном автомате алгоритма. Другие обсуждаемые здесь алгоритмы оставляют удаление информации на усмотрение реализации протокола, а не рассматривают этот аспект работы алгоритма внутри самого алгоритма.
К 1993 году Bellman-Ford и Dijkstra были реализованы как распределенные алгоритмы в нескольких протоколах маршрутизации. Опыт, полученный в результате этих ранних реализаций и развертываний, привел ко "второй волне" исследований и размышлений о проблеме маршрутизации в сетях с коммутацией пакетов, что привело к появлению вектора пути и DUAL.
Поскольку DUAL разработан как распределенный алгоритм, лучше всего описать его работу в сети. Для этой цели используются рисунки 8 и 9. Чтобы объяснить DUAL, в этом примере будет прослеживаться поток A, изучающего три пункта назначения, а затем обрабатываются изменения в состоянии доступности для этих же пунктов назначения. В первом примере будет рассмотрен случай, когда есть альтернативный путь, но нет downstream neighbor, второй рассмотрит случай, когда есть альтернативный путь и downstream neighbor.
На рисунке 8 изучение D с точки зрения A:
A узнает два пути к D:
Через H стоимостью 3.
Через C стоимостью 4.
A не узнает путь через B, потому что B использует A в качестве своего преемника:
A - лучший путь B для достижения D.
Поскольку B использует путь через A для достижения D (пункта назначения), он не будет анонсировать маршрут, который он знает о D (через C) к A.
B выполнит split horizon своего объявления D на A, чтобы предотвратить образование возможных петель пересылки.
A сравнивает доступные пути и выбирает кратчайший путь без петель:
Путь через H помечен как преемник.
Возможное расстояние устанавливается равным стоимости кратчайшего пути, равной 3.
A проверяет оставшиеся пути, чтобы определить, являются ли какие-либо из них downstream neighbors:
Стоимость C составляет 3.
A знает это, потому что C объявляет маршрут к D со своей локальной метрикой, равной 3.
A сохраняет локальную метрику C в своей таблице топологии.
Следовательно, A знает локальную стоимость в C и локальную стоимость в A.
3 (стоимость в C) = 3 (стоимость в A), поэтому этот маршрут может быть петлей, следовательно, C не удовлетворяет условию выполнимости. C не помечен как downstream neighbors.
Downstream neighbors в DUAL называются возможными преемниками. Предположим, что канал [A, H] не работает. DUAL не полагается на периодические обновления, поэтому A не может просто ждать другого обновления с достоверной информацией. Скорее A должен активно следовать альтернативному пути. Таким образом, это диффузный процесс обнаружения альтернативного пути. Если канал [A, H] не работает, учитывая только D:
A проверяет свою локальную таблицу на предмет возможных преемников (Downstream neighbors).
Возможных преемников нет, поэтому A должен найти альтернативный путь без петель к D (если он существует).
A отправляет запрос каждому соседу, чтобы определить, есть ли какой-либо альтернативный путь без петель к D.
В C:
Преемником C является E (не A, от которого он получил запрос).
Стоимость E ниже, чем стоимость A для D. Следовательно, путь C не является петлей.
C отвечает со своей текущей метрикой 3 на A.
В B:
А - нынешний преемник Б.
Посредством запроса B теперь обнаруживает, что его лучший путь к D потерпел неудачу, и он также должен найти альтернативный путь.
Обработка B здесь не расписывается, а предоставляется выполнить самостоятельно.
B отвечает A, что у него нет альтернативного пути (отвечает бесконечной метрикой).
A получает эти ответы:
Путь через C - единственный доступный, его стоимость 4.
A отмечает путь через C как его преемника.
Других путей к D нет. Следовательно, нет подходящего преемника (downstream neighbor).
На рисунке 9 пункт назначения (D) был перемещен с H на E. Это будет использоваться во втором примере.
В этом примере есть возможный преемник (downstream neighbor).
Изучение D с точки зрения A:
A узнает два пути к D:
Через H стоимостью 4.
Через C стоимостью 3.
A не узнает никакого пути через B:
У B есть два пути к D.
Через C и A стоимостью 4.
В этом случае B использует как A, так и C.
B выполнит split horizon свого объявления D на A, потому что A помечен как преемник.
A сравнивает доступные пути и выбирает кратчайший путь без петель:
Путь через C отмечен как преемник.
Возможное расстояние устанавливается равным стоимости кратчайшего пути, равной 3.
A проверяет оставшиеся пути, чтобы определить, являются ли какие-либо из них downstream neighbors:
Стоимость H составляет 2.
2 (стоимость в H) = 3 (стоимость в A), поэтому этот маршрут не может быть петлей. Следовательно, H удовлетворяет условию выполнимости.
H отмечен как возможный преемник (downstream neighbors).
Если канал [A, C] не работает, просто рассматривая A:
A проверит свою таблицу локальной топологии на предмет возможного преемника.
Возможный преемник существует через H.
A переключает свою локальную таблицу на H как лучший путь.
Распространяющееся обновление не запускалось, поэтому пути не были проверены или пересчитано.
Следовательно, допустимое расстояние изменить нельзя. Он остается на 3.
A отправляет обновление своим соседям, отмечая, что его стоимость достижения D изменилась с 3 до 4.
Как вы можете видеть, обработка, когда существует возможный преемник, намного быстрее и проще, чем без него. В сетях, где был развернут протокол маршрутизации с использованием DUAL (в частности, EIGRP), одной из основных целей проектирования будет ограничение объема любых запросов, генерируемых в случае отсутствия возможного преемника. Область запроса является основным определяющим фактором того, как быстро завершается двойной алгоритм и, следовательно, как быстро сходится сеть.
На рисунке 10 показан базовый законченный автомат DUAL.
Вещи, входящие в route gets worse (ухудшение маршрута), могут представлять собой:
Отказ подключенного канала или соседа
Получение обновления для маршрута с более высокой метрикой
Получение запроса от текущего преемника
Получение нового маршрута от соседа
Обнаружен новый сосед, а также маршруты, по которым он может добраться
Получение всех запросов, отправленных соседям, когда маршрут ухудшается
Начиная с ISE 2.2, PassiveID - это функция для сбора информации о сопоставлении пользователя с IP-адресом с развертыванием 802.1 X или без него.
PassiveID собирает информацию из среды Microsoft AD с помощью MWMI или агента AD, а также через порт SPAN на коммутаторе. Он также может собирать аутентификационную информацию через syslogs, агент сервера терминалов Citrix и пользовательский API. Конфигурация очень проста и требует всего лишь нескольких щелчков мыши.
Прежде всего, включите службу PassiveID. Перейдите Администрирование → Система → Развертываниеи измените узел сервера политики.
Выберите пункт "Включить Пассивную Службу Идентификации" и нажмите кнопку "Сохранить".
Вы можете проверить состояние PassiveID процессов с помощью команды:
Теперь можно добавить источник провайдера. Перейдите в раздел Рабочие Центры → PassiveID → Провайдеры и нажмите кнопку "Добавить".
Примечание: есть и другие поставщики, такие как агенты, SPAN, syslog и так далее. В этой статье будет использоваться только подключение к Active directory.
Помните: прежде чем добавлять Active directory, вы должны:
Убедитесь, что вы правильно настроили DNS-сервер, включая настройку обратного поиска для клиентской машины из ISE.
Синхронизируйте настройки часов для серверов NTP.
Скомпилируйте "Добавить имя точки" и "Active Directory Domain", а затем нажмите на кнопку "Применить".
Появится всплывающее окно. Нажмите кнопку "Да".
Введите учетные данные для AD и нажмите кнопку "ОК".
Примечание: убедитесь, что у вас есть учетные данные администратора домена Active Directory, необходимые для внесения изменений в любую из конфигураций домена AD.
Выберите меню PassiveID справа и нажмите на кнопку "Добавить DCs".
Появится всплывающее окно. Выберите ваш хост DC и нажмите кнопку "ОК".
Выберите только что отмеченный домен и нажмите кнопку "Редактировать".
Появится всплывающее окно. Введите данные (имя пользователя и пароль) в поля Username/Password и нажмите кнопку "Сохранить".
Выберите домен и нажмите на кнопку "Config WMI", чтобы инициировать подключение WMI.
Через несколько секунд всплывающее окно возвращает результат:
Как только регистрация пройдет нормально, ISE начнет отслеживать в AD события входа в систему Windows. Чтобы просмотреть краткую сводку информации о PassiveID, нажмите на ссылку "Dashboard".
Чтобы просмотреть любой сеанс, полученный с помощью PassiveID, нажмите на ссылку "PassiveID", и кликните по ссылке "Live Sessions".
Примечание: если вы настроили RADIUS, вы увидите эти сеансы, а также те, которые были изучены с помощью PassiveID. Сеансы, созданные с помощью PassiveID, будут иметь опцию "Show Actions" (синий) вместо "Show CoA Actions" (красный).
А теперь, что мы можем сделать? PassiveID является вехой для других двух функций Cisco ISE:
Easyconnect: он обеспечивает аутентификацию на основе портов, аналогичную 802.1 X, но более простую в реализации. Он узнает о проверке подлинности из Active Directory и обеспечивает отслеживание сеансов для активных сетевых сеансов.
PxGrid: он позволяет совместно использовать контекстно-зависимую информацию из каталога сеансов Cisco ISE с другими сетевыми системами; он также может использоваться для обмена данными политики и конфигурации между узлами, такими как совместное использование тегов и объектов политики между Cisco ISE и сторонними поставщиками, а также для других обменов информацией
Сетевые устройства Huawei обычно поставляются неконфигурированными по умолчанию, поэтому, для использования устройства необходимо сначала настроить некоторые из его основных функций.
1. Настройка имени хоста
В интерфейсе командной строки имя хоста (имя устройства) заключено в угловые скобки (...) или квадратные скобки ([...]). Имя хоста по умолчанию - Huawei, но это имя следует изменить, чтобы лучше различать несколько устройств. Чтобы изменить имя хоста, используйте команду sysname host-name. В следующем примере показано, как изменить имя хоста на Huawei-AR-01.
system-view
Enter system view, return user view with Ctrl+Z.
[Huawei] sysname Huawei-AR-01
[Huawei-AR-01]
2. Настройка системного времени
По умолчанию устройства Huawei используют Coordinated Universal Time (UTC). Чтобы указать другой часовой пояс для устройства, выполните команду сlock timezone time-zone-name {add | minus} offset. Вы можете назвать часовой пояс в параметре time-zone-name и указать, является ли смещение часового пояса к UTC положительным (add offset) или отрицательным (minus offset). Обратите внимание, что {...} указывает на то, что один из вложенных параметров должен быть выбран. Например, если вы хотите установить часовой пояс устройства как Пекинское время, выполните следующую команду:
[Huawei-AR-01] clock timezone BJ add 08:00
После установки часового пояса выполните команду clock datetime HH:MM: SS YYYY-MM-DD для установки времени и даты. Параметр HH:MM:SS задает время в 24-часовом формате, а YYYY-MM-DD-дату. (Устройства Huawei поддерживают только 24-часовой формат.) Например, чтобы установить время и дату 18: 30 10 марта 2019 года, выполните следующую команду:
[Huawei-AR-01] clock datetime 18:30:00 2019-03-10
3. Задание IP-адреса на устройстве
Для входа в систему, вы можете использовать Telnet . Однако Telnet требует, чтобы на интерфейсе устройства был установлен IP-адрес. Для присвоения IP-адреса, выполните команду ip-address {mask | mask-length} в интерфейсном виде. Параметры ip-address и mask задают IP-адрес и маску подсети соответственно в десятичной системе счисления, а mask-length задает число последовательных "1"в двоичной системе счисления маски подсети. В следующем примере показано, как установить IP-адрес 10.1.1.100 и маску подсети 255.255.255.0 для интерфейса управления Ethernet 1/0/0:
<Huawei-AR-01> system-view
[Huawei-AR-01] interface ethernet 1/0/0
[Huawei-AR-01-Ethernet1/0/0] ip address 10.1.1.100 255.255.255.0
Длина двоичной записи маски подсети равна 24 (255.255.255.0 эквивалентна двоичному значению 11111111.11111111.11111111.00000000), поэтому в этом примере вы можете заменить 255.255.255.0 на 24.
4. Конфигурации интерфейса пользователя
Если вы входите в устройство через консольный порт, отображается консольный пользовательский интерфейс. При входе в систему через Telnet отображается пользовательский интерфейс терминала виртуального типа (VTY). Чтобы реализовать управление пользователем через консольный порт, например, установить User Layer равным 2, можно выполнить следующие команды:
system-view
[Huawei] user-interface console 0
[Huawei-ui-console0] user privilege level 2
Другие пользователи также могут войти в устройство, даже тогда когда вы находитесь в нем. Каждый пользователь имеет отдельный пользовательский интерфейс (количество поддерживаемых интерфейсов VTY варьируется в зависимости от устройства), поэтому для дифференциации нескольких пользовательских интерфейсов устройство реализует нумерацию пользовательских интерфейсов.
Нумерация интерфейса пользователя.
Когда пользователь входит в устройство, устройство выделяет пользователю самый низкий пронумерованный простой пользовательский интерфейс в соответствии с используемым методом входа в систему. Пользовательские интерфейсы нумеруются либо относительно, либо абсолютно.
НОтносительная нумерация
Формат нумерации - тип пользовательского интерфейса + номер. Как правило, устройство имеет один консольный порт (некоторые устройства могут иметь больше) и 15 пользовательских интерфейсов VTY (5 пользовательских интерфейсов VTY включены по умолчанию). При использовании относительной нумерации порты отображаются следующим образом:Консольный пользовательский интерфейс: CON 0Пользовательские интерфейсы VTY: первый пользовательский интерфейс VTY - это VTY 0, второй VTY 1 и т. д.
Абсолютная нумерация
Абсолютное число однозначно идентифицирует пользовательский интерфейс. Абсолютные и относительные числа находятся в взаимно однозначном отображении. Пользовательский интерфейс консоли имеет относительное число CON 0 и абсолютное число 0. Пользовательский интерфейс VTY имеет относительное число в диапазоне от VTY 0 до VTY 14 и абсолютное число в диапазоне от 129 до 143.Чтобы проверить пользовательские интерфейсы, поддерживаемые устройством, выполните команду display user-interface. Например:
В выходных данных команды столбец Idx показывает абсолютные числа, а столбец Type-относительные числа.
Проверка подлинности пользователя.
Для гарантированного входа авторизованным пользователям, устройство поддерживает проверку подлинности паролем и проверку подлинности AAA. Так же можно входить и без проверки подлинности.
Проверка подлинности паролем
Этот режим используется по дефолту и требует от пользователей ввода правильного пароля для входа в систему. Если пароль не настроен, вход в систему будет запрещен.
Проверка подлинности ААА
Этот режим требует правильного сочетания имени пользователя и пароля. Использование комбинации имени пользователя и пароля повышает безопасность по сравнению с проверкой подлинности паролем. Кроме того, пользователи дифференцированы и не влияют друг на друга во время проверки подлинности. Проверка подлинности AAA обычно используется для входа по Telnet из-за ее повышенной безопасности.
Отсутствие проверки подлинности
Этот режим не выполняет проверки подлинности пользователей и не рекомендуется. Отсутствие проверки подлинности позволяет пользователям входить в систему напрямую без каких-либо учетных данных.Механизм проверки подлинности пользователя проверяет логин пользователя. По дефолту после входа пользователя на устройство с помощью Telnet ему присваивается Layer0.
Пример: настройка пользовательских интерфейсов VTY
Во время ввода устройства в эксплуатацию многие пользователи могут войти на устройство для настройки сервисов. Чтобы ограничить число пользователей, которые могут войти в систему через Telnet, до 15, настройте 15 пользовательских интерфейсов VTY. Затем, чтобы разрешить пользователям настраивать службы, установите User Layer равным 2.
Установите максимальное число пользовательских интерфейсов VTY равным 15.
Выполните команду пользовательского интерфейса user-interface maximum-vty number . Укажите number равным 15.
system-view
[Huawei] user-interface maximum-vty 15
Войдите в режим интерфейса пользователя VTY
Запустите команду пользовательского интерфейса vty first-ui-number [last-ui-number]. Укажите first-ui-number как 0 и last-ui-number как 14 (относительные номера пользовательских интерфейсов VTY). Обратите внимание, что [...] указывает, что вложенный параметр является необязательным; однако в этом примере этот параметр необходим для ограничения числа разрешенных пользователей.
[Huawei] user-interface vty 0 14
[Huawei-ui-vty0-14]
Установите уровень пользователя 2 для пользовательского интерфейса VTY.
Запустите команду user privilege level level. Укажите level равным 2.
[Huawei-ui-vty0-14] user privilege level 2
Установите режим проверки подлинности пользователя на AAA для пользовательского интерфейса VTY.
Запустите команду authentication-mode {aaa | none | password}
[Huawei-ui-vty0-14] authentication-mode aaa
Настройте user name и password, используемые при аутентификации AAA. Выйдите из пользовательского интерфейса VTY и выполните команду aaa, для перехода в режим AAA. Запустите local-user user-name password cipher password для настройки user name и password (cipher указывает, что указанный password зашифрован). После выполните telnet local-user-name-service-type для настройки типа службы Telnet.
После завершения настройки необходимо ввести имя пользователя (admin) и пароль (admin@123), прежде чем отобразится командный интерфейс.