В этом документе кратко рассмотрим пример связи двух маршрутизаторов Cisco напрямую, не используя модемов и другого телекоммуникационного оборудования (DCE) устройств.
В данном документе описана методика создания и настройки шифрованного туннеля (IPSec) между маршрутизатором Cisco и сервером на базе ОС FreeBSD, соединенных через незащищенную публичную сеть.
Многие, прочитав название поста, решат что автор, мягко говоря, некомпетентен. Однако, не спешите судить поспешно, вначале дочитайте данную заметку до конца :). В последнее время мне очень понравилось собирать информацию о недокументированных возможностях (в ряде случаев -- глюках) маршрутизаторов cisco. Иногда наденный материал настолько мне интересен, что я решаюсь запостить его сюда.
Захотелось вставить свои 5коп. в тему поднятия шифрованых IPSEC'ом тунелей между CISCO роутерами и FreeBSD, потому как тема описывалась уже не один раз, но в большинстве статей встречались неточности которые иногда просто противоречили здравому смыслу.
Ведение "лог" журналов это всегда компромисс, между сбором максимально возможного количества информации и таким её количеством которое Вы способны "переварить". Зачастую сетевой администратор начинает интересоваться лог файлами после возникновения серьёзных проблем с его сетевыми устройствами, ранее предупреждение о возможных проблемах есть первым и главным достоинством лог журналов. Многие сетевые администраторы оставляют стандартными настройки касающиеся сбора логов на своих маршрутизаторах, тем самым лишая себя возможности получать большое количество дополнительной полезной информации. В этом документе коснемся вопросов сбора "логов" с маршрутизаторов Cisco.
Начало 1980 гг. ознаменовалось резким ростом в области
применения сетей. Как только компании поняли, что сетевая технология
обеспечивает им сокращение расходов и повышение производительности, они
начали устанавливать новые и расширять уже существующие сети почти с
такой же скоростью, с какой появлялись новые технологии сетей и изделия
для них.
Перемещение информации между компьютерами различных схем
является чрезвычайно сложной задачей. В начале 1980 гг. Международная
Организация по Стандартизации (ISO) признала необходимость в создания
модели сети, которая могла бы помочь поставщикам создавать реализации
взаимодействующих сетей. Эту потребность удовлетворяет эталонная модель
"Взаимодействие Открытых Систем" (OSI), выпущенная в 1984 г.
После того, как стали понятными основные особенности принципа
деления на уровни модели OSI, можно приступить к обсуждению каждого
отдельного уровня и его функций. Каждый уровень имеет заранее заданный
набор функций, которые он должен выполнить для того, чтобы связь могла
состояться.
Существенным компонентом любой системы сети является оперделение
местонахождения компьютерных систем. Существуют различные схемы
адресации, используемые для этой цели, которые зависят от используемого
семейства протоколов. Другими словами, адресация AppleTalk отличается
от адресации TCP/IP, которая в свою очередь отличается от адресации
OSI, и т.д.
После того, как по адресам установили местоположение
компьютерных систем, может быть произведен обмен информацией между
двумя или более системами. В литературе по об'единенным сетям
наблюдается непоследовательность в наименовании логически
сгруппированных блоков информации, которая перемещается между
компьютерными системами. "блок данных", "пакет", "блок данных
протокола", "PDU", "сегмент", "сообщение" - используются все эти и
другие термины, в зависимости от прихоти тех, кто пишет спецификации
протоколов.
Без услуг нескольких основных организаций по стандартизации, в
области об'единенных сетей было бы значительно больше хаоса, чем его
имеется в настоящее время.
Маршрутизация включает в себя два основных компонента:
определение оптимальных трактов маршрутизации и транспортировка
информационых групп (обычно называемых пакетами) через объединенную
сеть. В настоящей работе последний из этих двух компонентов называется
коммутацией. Коммутация относительно проста. С другой стороны,
определение маршрута может быть очень сложным процессом.
Алгоритмы коммутации сравнительно просты и в основном одинаковы
для большинства протоколов маршрутизации. В большинстве случаев главная
вычислительная машина определяет необходимость отправки пакета в другую
главную вычислительную машину. Получив определенным способом адрес
роутера, главная вычислительная машина-источник отправляет пакет,
адресованный специально в физический адрес роутера (уровень МАС),
однако с адресом протокола (сетевой уровень) главной вычислительной
машины пункта назначения.
Алгоритмы маршрутизации можно дифференцировать, основываясь на
нескольких ключевых характеристиках. Во-первых, на работу
результирующего протокола маршрутизации влияют конкретные задачи,
которые решает разработчик алгоритма.
Маршрутные
таблицы содержат информацию, которую используют программы коммутации
для выбора наилучшего маршрута. Чем характеризуется построение
маршрутных таблиц? Какова особенность природы информации, которую они
содержат? В данном разделе, посвященном показателям алгоритмов, сделана
попытка ответить на вопрос о том, каким образом алгоритм определяет
предпочтительность одного маршрута по сравнению с другими.
Серийное изготовление мостов началось в начале 1980гг. В то
время, когда они появились, мосты о'единяли гомогенные сети, делая
возможным прохождение пакетов между ними. В последнее время об'единение
различных сетей с помощью мостов также было определено и
стандартизировано.
Большинство архитектур управления сети используют одну и ту же
базовую структуру и набор взаимоотношений. Конечные станции (managed
devices - управляемые устройства), такие как компьютерные системы и
другие сетевые устройства, прогoняют программные средства, позволяющие
им посылать сигналы тревоги, когда они распознают проблемы.
Цель управления неисправностями - выявить, зафиксировать, уведомить
пользователей и (в пределах возможного) автоматически устранить
проблемы в сети с тем, чтобы эффективно поддерживать работу сети.
Цель управления учетом использования ресурсов - измерение
параметров использования сети, чтобы можно было соответствующим образом
регулировать ее использование индивидуальными или групповыми
пользователями.
Цель управления защитой данных - контроль доступа к сетевым ресурсам в
соответствии с местными руководящими принципами, чтобы сделать
невозможными саботаж сети и доступ к чувствительной информации лицам,
не имеющим соответствующего разрешения.
ISO внесла большой вклад в стандартизацию сетей. Модель
управления сети этой организации является основным средством для
понимания главных функций систем управления сети. Эта модель состоит из
5 концептуальных областей:
Цель управления конфигурацией - контролирование информации о
сете- вой и системной конфигурации для того, чтобы можно было
отслеживать и управлять воздействием на работу сети различных версий
аппаратных и программных элементов.
LCP обеспечивает метод организации, выбора конфигурации,
поддержания и окончания работы канала с непосредственным соединением.
Процесс LCD проходит через 4 четко различаемые фазы:
Сеть Token Ring первоначально была разработана компанией IBM в
1970 гг. Она попрежнему является основной технологией IBM для локальных
сетей (LAN) , уступая по популярности среди технологий LAN только
Ethernet/IEEE 802.3.
Сети Token Ring и IEEE 802.5 в основном почти совместимы, хотя
их спецификации имеют относительно небольшие различия. Сеть Token Ring
IBM оговаривает звездообразное соединение, причем все конечные
устройства подключаются к устройству, называемому "устройством доступа
к многостанционной сети" (MSAU), в то время как IEEE 802.5 не
оговаривает топологию сети (хотя виртуально все реализации IEEE 802.5
также базируются на звездообразной сети).
Станции сети IBM Token Ring напрямую подключаются к MSAU,
которые могут быть об'единены с помощью кабелей, образуя одну большую
кольцевую сеть. Кабели- перемычки соединяют MSAU со смежными MSAU.
Кабели-лепестки подключают MSAU к станциям. В составе МSAU имеются
шунтирующие реле для исключения станций из кольца.
Сети Token Ring используют несколько механизмов обнаружения и
компенсации неисправностей в сети. Например, одна станция в сети Token
Ring выбирается "активным монитором" (active monitor). Эта станция,
которой в принципе может быть любая станция сети, действует как
централизованный источник синхронизирующей информации для других
станций кольца и выполняет разнообразразные функции для поддержания
кольца.
Стандарт на "Волоконно-оптический интерфейс по распределенным
данным" (FDDI) был выпущен ANSI X3Т9.5 (комитет по разработке
стандартов) в середине 1980 гг. В этот период быстродействующие АРМ
проектировщика уже начинали требовать максимального напряжения
возможностей существующих локальных сетей (LAN) (в oсновном Ethernet и
Token Ring).
Стандарт на "Волоконно-оптический интерфейс по распределенным
данным" (FDDI) был выпущен ANSI X3Т9.5 (комитет по разработке
стандартов) в середине 1980 гг. В этот период быстродействующие АРМ
проектировщика уже начинали требовать максимального напряжения
возможностей существующих локальных сетей (LAN) (в oсновном Ethernet и
Token Ring).
Стандарт FDDI определяет 100 Mb/сек. LAN с двойным кольцом и
передачей маркера, которая использует в качестве среды передачи
волоконно-оптический кабель. Он определяет физический уровень и часть
канального уровня, которая отвечает за доступ к носителю; поэтому его
взаимоотношения с эталонной моделью OSI примерно аналогичны тем,
которые характеризуют IEEE 802.3 и IЕЕЕ 802.5.
FDDI устанавливает применение двойных кольцевых сетей. Трафик по
этим кольцам движется в противоположных направлениях. В физическом
выражении кольцо состоит из двух или более двухточечных соединений
между смежными станциями.
FDDI поддерживает распределение полосы пропускания сети в
масштабе реального времени, что является идеальным для ряда различных
типов прикладных задач. FDDI обеспечивает эту поддержку путем
обозначения двух типов трафика: синхронного и асинхронного.
FDDI характеризуется рядом особенностей отказоустойчивости.
Основной особенностью отказоустойчивости является наличие двойной
кольцевой сети. Если какая-нибудь станция, подключенная к двойной
кольцевой сети, отказывает, или у нее отключается питание, или если
поврежден кабель, то двойная кольцевая сеть автоматически
"свертывается" ("подгибается" внутрь) в одно кольцо.
Система сети UltraNet, или просто UltraNet, состоит из семейства
высокоскоростных программ для об'единенных сетей и аппаратных изделий,
способных обеспечить совокупную пропускную способность в один гигабайт
в секунду (Gb/сек). UltraNet производится и реализуется на рынке
компанией Ultra Network Technologies.
Сетеые процессоры UltraNet обеспечивают связи между
концентраторами UltraNet и главными вычислительными машинами. Имеются
сетевые процессоры, которые поддерживают каналы High-Perfomance
Parallel Interface (HIPPI) (Высокопроизводительный параллельный
интерфейс), HSX (обеспечивается Cray), ВМС (обеспечивается IBM) и LSC
(обеспечивается Cray), а также шины VMEbus, SBus, HP/EISA bus и IBM
Micro Channel bus. Сетевые процессоры могут находиться либо в главной
вычислительной машине, либо в концентраторе UltraNet.
Адаптеры каналов связи соединяют и передают информацию между
двумя концентраторами UltraNet или между концентратором UltraNet и
роутерами Cisco Systems AGS+.
Бесспорной тенденцией развития сетей является увеличение
скорости связи. В последнее время с появлением интерфейса Fiber
Distributed Data Interface (FDDI) (Волоконно-оптический интерфейс по
распределенным данным) локальные сети переместились в диапазон
скоростей до 100 Mb/сек.
В конце 1980 гг. Internet (крупная международная сеть,
соединяющая множество иссследовательских организаций, университетoв и
коммерческих концернов) начала испытывать резкий рост числа главных
вычислительных машин, обеспечивающих TCP/IP. Преобладающая часть этих
главных вычислительных машин была подсоединена к локальным сетям (LAN)
различных типов, причем наиболее популярной была Ethernet.
Для того, чтобы организовать связь через канал связи с
непосредственным соединением, инициирующий РРР сначала отправляет
пакеты LCР для выбора конфигурации и (факультативно) проверки канала
передачи данных.
РРР использует принципы, терминологию и структуру блока данных
процедур HDLC (ISO 3309-1979) Международной Организации по
Стандартизации (ISO), модифицированных стандартом ISO 3309-1984/PDAD1
"Addendum 1:Start/stop Trasmission" (Приложение 1: Стартстопная
передача").
