По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Предыдущий материал из цикла про ARP в IPv4. Ждет вас по ссылке.
Как хост может узнать, следует ли пытаться отправить пакет хосту через сегмент, к которому он подключен, или отправить пакет на маршрутизатор для дальнейшей обработки? Если хост должен отправлять пакеты на маршрутизатор для дальнейшей обработки, как он может узнать, на какой маршрутизатор (если их несколько) отправлять трафик? Эти две проблемы вместе составляют проблему шлюза по умолчанию.
Для IPv4 проблему довольно легко решить, используя префикс и длину префикса. Рисунок ниже демонстрирует нам это.
Реализации IPv4 предполагают, что любой хост в пределах одной подсети IPv4 должен быть физически подключен к одному проводу. Как реализация может определить разницу? Маска подсети - это еще одна форма длины префикса, которая указывает, где заканчивается сетевой адрес и начинается адрес хоста. В этом случае предположим, что длина префикса равна 24 битам, или сетевой адрес равен /24. 24 указывает вам, сколько битов задано в маске подсети: 24 bits = 11111111.11111111.11111111.0000000
Поскольку в IPv4 используется десятичная запись маски, это также можно записать как 255.255.255.0. Чтобы определить, находится ли C на том же проводе, что и A, A будет:
Логическое умножение маски подсети с адресом локального интерфейса
Логическое умножение маски подсети с адресом назначения
Сравните два результата; если они совпадают, целевой хост находится на том же канале связи, что и локальный интерфейс
На рисунке ниже это продемонстрировано.
На рисунке выше показано четыре IPv4-адреса; предположим, что A должен отправлять пакеты в C, D и E. Если A знает, что длина префикса локального сегмента составляет 24 бита либо с помощью ручной настройки, либо с помощью DHCPv4, то он может просто посмотреть на 24 наиболее значимых бита каждого адреса, сравнить его с 24 наиболее значимыми битами своего собственного адреса и определить, находится ли пункт назначения на сегменте или нет. Двадцать четыре бита IPv4-адреса создают хороший разрыв между третьей и четвертой секциями адреса (каждая секция IPv4-адреса представляет собой 8 бит адресного пространства, в общей сложности 32 бита адресного пространства).
Любые два адреса с такими же левыми тремя секциями, что и у A, называемые сетевым адресом, находятся в одном сегменте; любой адрес, которого нет в сегменте. В этом случае сетевой адрес для A и C совпадает, поэтому A будет считать, что C находится в одном сегменте, и, следовательно, будет отправлять пакеты C напрямую, а не отправлять их на маршрутизатор. Для любого пункта назначения, который A считает вне сегмента, он будет отправлять пакеты на IPv4-адрес конечного пункта назначения, но на MAC-адрес шлюза по умолчанию. Это означает, что маршрутизатор, выступающий в качестве шлюза по умолчанию, примет пакет и переключит его на основе IPv4-адреса назначения. Как выбирается шлюз по умолчанию? Он либо настраивается вручную, либо включается в параметр DHCPv4.
А что насчет D? Поскольку сетевые части адресов не совпадают, A будет считать, что D находится вне сегмента. В этом случае A отправит любой трафик для D на свой шлюз по умолчанию, которым является B. Когда B получит эти пакеты, он поймет, что A и D достижимы через один и тот же интерфейс (на основе своей таблицы маршрутизации), поэтому он будет отправлять ICMP-перенаправление на A, говоря ему, что нужно отправлять трафик на D напрямую, а не через B.
IPv6 представляет собой более сложный набор проблем, которые необходимо решить при выборе шлюза по умолчанию, потому что IPv6 предполагает, что одно устройство может иметь много адресов IPv6, назначенных конкретному интерфейсу. Рисунок ниже демонстрирует это.
На рисунке выше предположим, что администратор сети настроил следующие политики:
Ни один хост не может подключаться к A, если у него нет адреса в диапазоне адресов 2001: db8: 3e8: 110 ::/64.
Ни один хост не может подключиться к D, если у него нет адреса в диапазоне адресов 2001: db8: 3e8: 112 ::/64.
Примечание: В реальном мире вы никогда не построили бы такую политику; это надуманная ситуация, чтобы проиллюстрировать проблему, поставленную в сети минимального размера. Гораздо более реальной проблемой такого же типа была бы одноадресная переадресация обратного пути (uRPF).
Чтобы эти политики работали, администратор назначил 110::3 и 112::12 хосту C и 111::120 хосту F. Это может показаться странным, но совершенно законно для одного сегмента иметь несколько подсетей IPv6, назначенных в IPv6; также совершенно законно иметь одно устройство с несколькими адресами. На самом деле, в IPv6 существует множество ситуаций, когда одному устройству может быть назначен диапазон адресов.
Однако с точки зрения длины префикса нет двух адресов, назначенных C или F, в одной подсети. Из-за этого IPv6 не полагается на длину префикса, чтобы определить, что находится в сегменте, а что нет. Вместо этого реализации IPv6 ведут таблицу всех подключенных хостов, используя запросы соседей, чтобы определить, что находится в сегменте, а что нет. Когда хост хочет отправить трафик из локального сегмента, он отправляет трафик на один из маршрутизаторов, о котором он узнал из объявлений маршрутизатора. Если маршрутизатор получает пакет, к которому, как он знает, другой маршрутизатор в сегменте имеет лучший маршрут (поскольку у маршрутизаторов есть таблицы маршрутизации, которые говорят им, какой путь выбрать к какому-либо конкретному месту назначения), маршрутизатор отправит сообщение перенаправления ICMPv6, сообщающее хосту использовать какой-либо другой маршрутизатор первого перехода для достижения пункта назначения.
В следующей статьей мы поговорим про пакетную коммутацию.
Предыдущая статья про установление и прекращение TCP соединения.
Списки управления доступом IPv4 (ACL) дают сетевым инженерам возможность запрограммировать фильтр в маршрутизатор. Каждый маршрутизатор на каждом интерфейсе как для входящего, так и для исходящего направления может включать разные ACL с разными правилами. Правила каждого ACL сообщают маршрутизатору, какие пакеты отбрасывать, а какие пропускать.
В этой лекции обсуждаются основы списков ACL IPv4 и, в частности, один тип ACL IP: стандартные нумерованные списки ACL IP. Стандартные нумерованные списки ACL используют простую логику, сопоставление только по полю IP-адреса источника и используют стиль конфигурации, который ссылается на ACL с помощью номера. Эта лекция призвана помочь сначала изучить этот более простой тип ACL. Следующая лекция, по теме "Расширенные списки управления доступом IPv4", завершает обсуждение описанием других типов списков контроля доступа IP. В других типах ACL используются функции, основанные на концепциях, которые вы изучаете в этой лекции, но с большей сложностью и дополнительными параметрами конфигурации.
Основы Access Control Lists IPv4
Access Control Lists IPv4 (IP ACL) дают системным администраторам возможность идентифицировать различные типы пакетов. Для этого в настройках ACL перечислены значения, которые роутер может видеть в заголовках IP, TCP, UDP и других. Например, ACL может соответствовать пакетам с исходным IP-адресом 1.1.1.1 или пакетам, чей целевой IP-адрес является некоторым адресом в подсети 10.1.1.0/24, или пакетам с портом назначения TCP-порта 23 (Telnet).
Access Control Lists IPv4 выполняют множество функций в роутерах Cisco, чаще всего используются в качестве фильтра пакетов. Системные администраторы могут включить Access Control Lists на роутере, чтобы эти списки управления находились на пути пересылки пакетов, проходящих через роутер. После его включения маршрутизатор определяет, будет ли каждый IP-пакет отброшен или разрешен для продолжения, как если бы ACL не существовал.
Однако списки ACL можно использовать и для многих других функций IOS. Например, списки ACL могут использоваться для сопоставления пакетов для применения функций качества обслуживания (QoS). QoS позволяет роутеру предоставлять одним пакетам лучшее обслуживание, а другим - худшее. Например, пакеты, содержащие оцифрованный голос, должны иметь очень низкую задержку, чтобы списки ACL могли соответствовать голосовым пакетам, а логика QoS, в свою очередь, пересылает голосовые пакеты быстрее, чем пакеты данных.
В этом первом разделе представлены списки управления доступом IP, используемые для фильтрации пакетов, с упором на эти аспекты списков управления доступом: расположение и направление включения списков управления доступом, сопоставление пакетов путем проверки заголовков и выполнение действий после сопоставления пакета.
Места и направление деятельности ACL
Маршрутизаторы Cisco могут применять логику ACL к пакетам в точке, в которой IP-пакеты входят в интерфейс, или в точке, в которой они выходят из интерфейса. Другими словами, ACL связывается с интерфейсом и направлением потока пакетов (входящий или исходящий). То есть ACL может применяться для входящего трафика к роутеру до того, как маршрутизатор принимает решение о пересылке (маршрутизации), или для исходящего, после того как маршрутизатор примет решение о пересылке и определит выходной интерфейс для использования.
Стрелки на рис. 1 показывают места, в которых вы можете фильтровать пакеты, идущие слева направо в топологии. Например, представьте, что вы хотите разрешить отправку пакетов хостом A на сервер S1, но отклонить пакеты, отправленные хостом B на сервер S1. Каждая линия со стрелкой представляет местоположение и направление, в котором маршрутизатор может применить ACL, фильтруя пакеты, отправленные хостом B.
Четыре линии со стрелками на рисунке указывают местоположение и направление потоков с интерфейсов роутера, используемых для пересылки пакета от хоста B к серверу S1. В данном конкретном примере эти интерфейсы и направление являются входящими на интерфейсе F0/0 маршрутизатора R1, исходящими данными на интерфейсе S0/0/0 роутера R1, входящими данными на интерфейсе S0/0/1 роутера и исходящими данными на интерфейсе F0/0 роутера R2. Если, например, вы включили ACL на порту R2 F0/1 в любом направлении, этот ACL не сможет фильтровать пакет, отправленный с хоста B на сервер S1, потому что интерфейс R2 F0/1 не является частью маршрута от B к S1.
Короче говоря, для фильтрации пакета необходимо включить ACL на интерфейсе, который обрабатывает пакет, в том же направлении, в котором пакет проходит через этот интерфейс. Если этот параметр включен, маршрутизатор обрабатывает каждый входящий или исходящий IP-пакет, используя этот ACL. Например, если он включен на R1 для пакетов, входящих на интерфейс F0/0, R1 будет сравнивать каждый входящий IP-пакет на F0/0 с ACL, чтобы решить судьбу этого пакета: продолжать без изменений или отбрасывать.
Следующая статья про соответствие пакетов в IP ACL.
Привет! Мы продолжаем рассказывать про OpenScape Voice и в этой статье расскажем про Deployment Service или DLS.
Сервер DLS предоставляет администратору возможность централизованного управления настройками телефонов и программных клиентов. При помощи DLS обеспечивается автоматизированное подключение телефонов к OpenScape Voice.
Подключение к консоли управления DLS
Для этого переходим во вкладку Configuration → Device Management, либо во вкладку Configuration → OpenScape Voice → General → Deployment Servers.
Для добавления нового сервера нажимаем кнопку Add и во вкладке General указываем название и IP адрес сервера, а во вкладке Advanced Settings указываем данные для аутентификации (порт, протокол, логин и пароль). Уже добавленные сервера находятся в таблице ниже. Для перехода в консоль управления DLS нажимаем на иконку в столбце DLS Management Panel.
Регистрация телефонов на сервере DLS
Для того чтобы работать с телефонами их нужно зарегистрировать, а для этого им необходимо сообщить IP адрес сервера DLS. Регистрация происходит автоматически при первом обращении телефона к серверу. Существует несколько способов настройки IP-адреса DLS на телефоне: получение IP адреса по DHCP (используются опции 43 Vendor Specific Info или 60 Vendor Class), поиск и регистрация телефона с DLS и настройка IP адреса из меню администратора на телефоне.
Поиск и регистрация телефона с сервера DLS
Перейдем во вкладку Deployment Service - IP Devices → IP Device Interaction → Scan IP Devices и нажмем New для того чтобы добавить конфигурацию нового сканера.
В строке IP Scanner укажем название для создаваемого сканера, а во вкладке IP Ranges укажем диапазон IP адресов и порт для сканирования (8085). Для одного сканера можно создать несколько зон поиска.
Во вкладке Configuration ставим галочку в пункте Send DLS address и прописываем IP адрес и порт в полях ниже. Нажимаем Save, после чего настройка сохраняется в базе для дальнейшего использования.
После произведенных действий нажимаем внизу на кнопку Scan IP Device для запуска сканера и ставим галочки в пунктах Scan IP Devices и Register IP Devices. Тут же выбираем, будет ли проводится повторная регистрация или же будут зарегистрированы только новые устройства. Затем нажимаем OK и ждем пока сканер закончит свою работу. Результаты поиска можно посмотреть во вкладке Scan Results.
Настройка IP адреса DLS из меню телефона
Также можно вручную указать IP адрес DLS сервера на самом телефоне. Заходим на его веб-интерфейс, и переходим во вкладку Administrator Pages → Network → Update Service (DLS) и указываем IP адрес и TCP порт, после чего нажимаем Save и наш телефон узнает о DLS.