DDR backup |
Наиболее доступным способом организации резервных каналов повидимому является установление модемных соединений по коммутируемым телефонным линиям. К достоинствам этого способа следует отнести его дешевизну и практически повсеместную доступность. Однако из-за необходимости настройки модема и маршрутизатора появляется несколько точек возникновения ошибок, и соответственно несколько точек требующих контроля.
Всю настройку DialUp соединения можно разделить на несколько логических этапов: настройка линии, настройка модема и настройка интерфейса. Рассмотрим их в обратном порядке.
Обратный порядок настройки выбран не случайно, поскольку появление линии как логической сущности может зависеть например от настроек интерфейса.
interface Serial0 physical-layer async ip address 172.16.1.1 255.255.255.0 encapsulation ppp dialer in-band dialer idle-timeout 300 dialer string 124 dialer-group 1 async mode interactive no cdp enable ppp authentication chap !
Рассмотрим значение этих команд. Сначала мы настраиваем интерфейс как асинхронный, что приводит к появлению линии line 1. Присваиваем ему IP адрес и выбираем тип инкапсуляции. Команда dialer in-band говорит о том , что сигналинг в модемном соединении передается по одному каналу вместе с данными. Явно устанавливаем время до разрыва соединения в случае отсутствия данных. Следующая команда содержит номер телефона по которому будет осуществляться дозвон. Команда dialer-group 1 - имеет особое значение, так как именно она определяет появление какого трафика должно вызывать установление соединения. Например для установления соединения при появлении IP пакетов предназначенных для корпоративной сети 10.0.0.0/24 нужно использовать команды:
access-list 101 permit ip any 10.0.0.0 0.0.0.255 dialer-list 1 protocol ip list 101
Команда async mode interactive позволяет выбрать режим работы по PPP, SLIP или командного режима для этого интерфейса. Отключаем Cisco Discovery Protocol на этом интерфейсе. Наконец мы устанавливаем протокол аутентификации chap.
После настройки интерфейса можно перейти к настройке модема. Это можно сделать при помощи скриптов и разумеется документации к модему. Для определенности возьмем модем Courier V.Everething. У этого модема профайл ?1 подходит по настройкам для передачи данных. Одним из наиболее надежных вариантов настроек можно считать следующий:
chat-script RESET "" "AT&F1&w" "OK" ""
прописывает этот профайл в RAM при возникновении события RESET. Надо не забыть еще установить переключатели ответственные за автоответ (autoansver) и обработку AT команд в положение ON.
Второй полезный скрипт отвечает за процесс дозвона :
chat-script dial ABORT ERROR ABORT BUSY "" AT OK "ATDT \T" TIMEOUT 30 CONNECT
Настройка линии состоит из обычных команд контроля доступа, вызова ранее определенных скриптов и команд определяющих способ управления потоком.
line 1 login password cisco autoselect during-login script dialer dial script reset RESET modem InOut transport input all stopbits 1 speed 38400 flowcontrol hardware
Эти команды можно считать командами по умолчанию. Остановимся лишь на скорости линии - она должна как минимум в четыре раза превышать скорость на которой модемы могут соединиться. Для большинства современных модемов здесь можно ставить значение 115200.
Кроме перечисленного необходимо наличие маршрута к сети центрального офиса. Его можно задать командой:
ip route 10.0.0.0 255.255.255.0 s0 150
или назначить маршрут по умолчанию:
ip route 0.0.0.0 0.0.0.0 s0 150
Последнее число указывает административный вес маршрута. Его надо задавать при наличии процесса динамической маршрутизации и по значению оно должно быть больше чем административный вес динамического протокола маршрутизации. В этом случае в таблицу маршрутизации такой маршрут будет включен, когда пропадет динамический маршрут к сети назначения при падении основного канала.
Рассмотрим теперь собственно логику работы механизма резервирования канала.
При падении основного канала разрывается связь с маршрутизатором центрального офиса и из таблицы маршрутизации исчезает маршрут направляющий данные по основному каналу. Вместо него добавляется маршрут определенный для резервного канала, он не включался в таблицу раньше, поскольку имел больший административный вес т.е. был "хуже".
При появлении данных определенных списком доступа как интересные (interesting traffic), происходит инициализация и автодозвон модема по номеру определенному в команде dialer string.
После установления соединения канал остается в активном состоянии при отсутствии трафика в течении времени определенном командой dialer idle-timeout.
После разрыва соединения происходит отработка скрипта RESET и модем снова находится в состоянии готовности к дозвону.
По сути эта конфигурация без основного канала будет работать как Dial on Demand Routing - маршрутизация по требованию. Если основной и резервный каналы подключены к одному устройству, то аналогичный результат можно получить с помощью команды backup interface позволяющей поднимать резервный канал при падении или определенной загрузке основного канала.
Отметим что гораздо эффективнее будет работать Dialup в случае ISDN каналов. В технологии ISDN дозвон и установление соединения происходит за несколько десятых секунды. Кроме быстрого установления соединения технология ISDN обладает многими другими ценными качествами, например для ISDN канала можно настроить режим предоставления полосы пропускания по требованию (Bandwidth on Demand). Для ISDN технологии эти режимы работают наиболее эффективно.
Технология ISDN позволяет передавать голос и данные по одному В каналу но не одновременно т.е. передаются только данные или только голос при условии, что сервис провайдер разрешает использовать один и тот же канал, как для передачи голоса, так и для передачи данных. Стоимость каналов для передачи голоса и передачи данных может отличаться. Отметим, что многие производители выпускают оборудование способное маскировать передачу голоса под видом данных по ISDN каналу.
Приведенный вариант настройки резервного канала и описанные возможности по настройке коммутируемых соединений является лишь небольшой частью возможностей Legacy DDR - наследственных способов конфигурирования маршрутизации по требованию.
Эти способы предоставляют очень мощные средства настройки и огромное количество вариантов, но для обеспечения большей гибкости и масштабируемости были добавлены новые средства. Среди них стоит перечислить dialer interface, dialer profile и virtual profile. Как с помощью старых так и новых средств можно создавать различные схемы установления соединений в зависимости от количества физических интерфейсов и стоящих задач. Так можно выделить по одному физическому интерфейсу и телефонной линии на резервный канал для филиала. Однако в случае организации резервных каналов для большого числа филиалов это необоснованно, т.к. вероятность падения нескольких основных каналов одновременно во многих случаях мала. В данной ситуации можно обеспечить дозвон всех филиалов на один или несколько номеров, что позволит сэкономить средства и телефонные линии. Можно реализовать схемы при которых филиалы звонят в центр, или наоборот, центр звонит в филиалы. При необходимости передачи больших объемов данных и отсутствии высокоскоростных каналов, несколько каналов с меньшими скоростями можно объединить в один логический канал, причем не только в пределах одного физического устройства, что может служить не только для агрегирования каналов но и для балансировки нагрузки.
Данная конфигурация вполне может быть использована и для организации основного канала объединяющего центр с филиалом.
В этом примере остались не рассмотренными вопросы аутентификации и конфигурирования списков доступа для протокола IP. Аутентификацию по протоколу pap мы не будем рассматривать, как не обеспечивающую необходимый уровень защищенности.
Для успешной аутентификации по протоколу chap в конфигурацию необходимо добавить следующие команды :
В центре -
hostname center username filial1 password 0 cisco enable secret 0 cisco
в филиале -
hostname filial1 username center password 0 cisco enable secret 0 cisco
Прежде всего надо обратить внимание на то что пароли в центре и в филиале должны быть одинаковыми. По умолчанию для аутентификации используется имя маршрутизатора и пароль enable secret, однако это можно перенастроить. При аутентификации по протоколу chap пароль не передается по сети. Вместо этого передается некоторая величина - Magicnumber вычисленная на основании пароля и значении Chalange пришедшего от авторизующего маршрутизатора. Поскольку Magicnumber вычисляется по однонаправленному алгоритму MD5 , то даже перехватив Chalange и Magicnumber, вычислить пароль за приемлимое время без спецсредств не представляется возможным. С помощью этого пароля и известного ему значения Chalenge, авторизующий маршрутизатор тоже вычисляет значение Magicnumber и сравнивает его с пришедшим. Для успешной аутентификации оба значения должны совпадать.
Кроме этого в течении существования ppp сессии периодически проходит повторная аутентификация.
При подключении филиала к центру на маршрутизаторах логично включать двустороннюю аутентификацию, когда оба маршрутизатора идентифицируют друг друга.
Прежде чем перейти к рассмотрению примера фильтрации трафика, отметим что списки доступа (ACL Access Control Lists) являются универсальным средством для классификации трафика. Использование списков доступа при фильтрации трафика это лишь один из многих других способов их применения. Так например списки доступа могут использоваться при назначения большего приоритета определенным группам потоков, скажем голосового трафика, видео-трафика или приложений клиент-сервер использующих определенный TCP порт. Для выделения трафика от определенных хостов при тунелировании по криптованному каналу через интернет. Для перенаправления трафика по другому маршруту и т.д.
Спискам доступа посвящена очень хорошая статья в журнале "Сети и Системы Связи" 9(31), сентябрь 1998 г., "Списки доступа на маршрутизаторах Cisco" Питер Морриси, стр. 68.
Однако направляя читателя к этой статье, надо сделать некоторые коментарии и уточнения. По видимому изложенный в статье материал основан на возможностях версии Cisco IOS 10.3.(10). Это достаточно старая версия Cisco IOS. В настоящий момент статус General Deployment - т.е. рекомендуемой к использованию является версия 11.3 и уже вышла версия 12.0 для большинства платформ. Поэтому следует отметить следующие особенности обработки списков доступа. Список доступа как и раньше представляет собой набор условий "разрешить" "запретить" которые применяются к каждому пакету. Маршрутизатор сравнивает параметры пакета (адреса, порты и т.д.) с условиями в списке доступа. Первое же совпадение условия определяет - отбрасывается или принимается пакет. Поскольку маршрутизатор прекращает проверку условий после первого совпадения (т.е. список просматривается не до конца), порядок условий очень важен. Следовательно поместив в начало списка доступа наиболее часто встречающиеся условия можно существенно уменьшить нагрузку на маршрутизатор. Если ни одно условие не совпадает с параметрами пакета, то он отбрасывается.
Для списков доступа на вход сначала выполняется проверка на совпадение параметров пакетов с условиями списка доступа. Если пакет пропускается, то для него выполняется процесс маршрутизации. Если пакет отбрасывается, то по адресу источника пакета отправляется ICMP сообщение хост недоступен (Host Unreacheble). В случае списков доступа на выход, пакет сначала маршрутизируется и только потом его параметры сравниваются с соответствующим списком доступа. Приятным изменением синтаксиса является использование ключевых слов any и host в списках доступа а также имен портов и протоколов вместо их номеров. Так в новой нотации можно писать :
access-list 101 permit tcp any any eq smtp access-list 101 deny tcp any host 10.0.0.101 eq telnet
что раньше выглядело так:
access-list 101 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 25 access-list 101 deny tcp 0.0.0.0 255.255.255.255 10.0.0.101 0.0.0.0 eq 23
Особо следует остановиться на производительности маршрутизатора при использовании списков доступа. В статье Питера Мориси под "новой функцией скоростной пересылки данных" по видимому имеется в виду технология Fast Switching, увеличивающая скорость обработки примерно в шесть раз. Для IP трафика Fast Switching работает и со списками доступа практически на всех платформах. Отметим также, что Cisco IOS 10.3 Release Issues опубликованы на www.cisco.com 5 января 1996 года а Product Bulletin #797 касающийся поддержки стандартов в Cisco IOS 12.0 опубликован 19 октября 1998 года. Сама IOS 12.0 была доступна на веб сервере Cisco Systems немного раньше. По сути дела эти две версии програмного обеспечиния отделяют почти два года, и учитывая динамику развития данной отрасли говорить о производительности столь старой версии ПО не вполне корректно.
В предыдущей статье мы достаточно подробно остановились на списках доступа для протокола IPX. Однако в случае настройки маршрутизации по требованию нам потребуется несколько изменить конфигурацию.
Как и в случае с IP прежде всего требуется определить интересующий трафик.
Предполагая статическую маршрутизацию в центр
ipx route 348EC1C8 BBB1.00e0.1e42.a2cb floating-static
и статические записи для сервисов
ipx sap 4 NW411 348EC1C8.0000.0000.0001 451 2
файловый сервис
ipx sap 278 TERRANET_____________ 348EC1C8.0000.0000.0001 4006 2
сервис NDS
мы полностью фильтруем пакеты RIP и SAP.
access-list 901 deny rip any all any rip access-list 901 deny sap any all any sap
Чтобы исключить произвольную установку соединения нам также следует отфильтровать сепециальные пакеты которыми обмениваются серверы Netware передавая информацию о серийном номере лицензии (serialization packets).
access-list 901 deny any any all any 457
Далее разрешаем весь остальной трафик.
access-list 901 permit any any all any all
Добавив этот список доступа в команду dialer-list:
dialer-list 1 protocol ip list 101 dialer-list 1 protocol ipx list 901
Мы позволим маршрутизатору устанавливать соединения как при появлении IP трафика так и при появлении IPX трафика определенного списками доступа 101 и 901.
Отметим следующую особенность - интересующий трафик - это трафик вызываущий установление соединения. Но если мы хотим чтобы никакой другой трафик не попадал в соответствующий интерфейс то его надо отфильтровать на этом интерфейсе приписав ему например тотже список доступа что мы определили для интересующего трафика.
В предыдущей статье мы рассмотрели пример с использованием динамической маршрутизации по выделенным линиям. Для временных каналов по коммутируемым линиям или линиям ISDN тоже есть метод позволяющий использовать динамическую маршрутизацию. Этот метож называется Snapshot Routing и поддерживается для протоколов маршрутизации RIP и IGRP для IP, IPX RIP и SAP для IPX, RTMP для Appletalk, RTP для Vines, т.е. протоколов типа Distance Vector. Обычно широковещательные сообщения содержащие информацию о изменениях топологии сети передаются автоматически и через DDR каналы. Смысл Snapshot маршрутизации заключается в "замораживании" на некоторый период молчания (Quiet Period) на обоих концах канала, и передаче обычных обновлений в таблицах маршрутизации только в течении активного периода, который наступает либо по истечении периода молчания, либо начинается в момент связи, вызванный передачей полезного трафика, причем использование канала для обмена маршрутной информацией в такие моменты можно запретить. Поскольку длительность этих периодов может меняться в достаточно шиноких пределах, например, период молчания может принимать заначения от 5 минут до 65 дней, то очевидно, что для сетей со стабильной топологией этот вид трафика практически не будет занимать канал.
Этот метод маршрутизации имеет смысл исползовать при достаточно большом количестве филиалов, подключаемым по коммутируемым линиям. Это позволит использовать динимическую маршрутизацию, что существенно упрощает администрирование автоматически распространяя информациию об изменениях тополигии сети, скажем при подключении нового филиала или изменении структуры сети в центре. В случае частых изменений топологии можно разрешить передачу маршрутной информации при каждом соединении (этот режим включен по умолчанию).
Подчеркнем еще такой момент : этот метод не работает для протоколов маршрутизации типа Link State, поскольку, для их работы требуется обмен пакетами приветствия каждые 5 - 10 секунд, что будет вызывать поднятие канала. Поэтому протоколы NLSP, OSPF, IS-IS не используются на каналах с маршрутизацией по требованию. Данное замечание также относится и к протоколу гибридного типа EIGRP.
Мы постарались в этой статье рассмотреть вопросы маршрутизации и подключения, чтобы в последующих статьях сосредоточиться на решениях посвещенных безопасному подключению к интернет, передаче голосового трафика по протоколам IP и Frame-relay и рассмотреть механизмы обеспечения качества сервиса (QoS).
 © TerraNet webmaster@terranet.ru |
||
Тел: +7 (495) 787-52-90,155-43-37/29/43 факс: +7 (495) 155-43-37/29/43 |