Протокол Multiple Spanning Tree Protocol (MSTP)

 

Multiple Spanning Tree Protocol (MSTP) протоколы RSTP протоколының дамуы болып табылады. Көптеген трафикті жіберу маршруттарын және трафиктің баланстауын құру арқылы кез-келген VLAN және VLAN тобына жеке байланыстырушы ағашты күйттеуге рұқсат береді.

MSTP протоколы коммутацияланатын желіні аудандарға MST (Multiple Spanning Tree (MST) Region) бөледі. Әр аудан бір-бірінің топологиясынан тәуелсіз көптеген байланыстырушы ағаш көшірмелерінен (Multiple Spanning Tree Instance, MSTI тұра алады.

Екі немесе одан да көп коммутаторлар бір ауданға MST кіруі үшін, олардың MST конфигурациясы бірдей болуы қажет, оның ішінде:

- MSTP ревизия нөмірі (MSTP revision level number);

- Регион аты (Region name);

- Байланыс ағашы көшірмесіне қосымша VLAN картсы (VLAN-to-instance mapping).

Коммутацияланатын желі ішінде көптеген MST-аудандар құрылуы мүмкін.

MSTP протоколы байланыстырушы ағаштардың келесі түрлерін анықтайды:

- Internal Spanning Tree (IST) ––бастапқы мәні бойынша әр MST-ауданында ерекше байланыстырушы ағаш көшірмесі бар. IST –ға 0 нөмірі тіркерілген (Instance 0). Ол аудан ішінде топологияны басқарады және BPDU кадрын қабылдай/жібере алады. Осы MST-ауданындағы коммутаторларда күйттелген барлық VLAN-дар, бастапқы мәні бойынша IST-да тіркелген;

- Common Spanning Tree (CST) – MST барлық аудандары мен SST көпірлерін өзіне біріктіретін және STP, RSTP, MSTP арқылы табылатын біртұтас байланыстырушы ағаш;

- Common and Internal Spanning Tree (CIST) –– әр MST-аудандағы CST және IST-ны біріктіретін біртұтас байланыстырушы ағашы;

- Single Spanning Tree (SST) Bridge –– тек ғана жалғыс байланыстырушы ағаш CST-ны қолдайтын көпір. Бұл байланыстырушы ағаш STP немесе RSTP протоколы арқылы жұмыс істейді.

MSTP-ны табу. MSTP-ны табу процессі желідегі тамырлы көпірді CIST (CIST Root) таңдаудан басталады. CIST Root ретінде желідегі барлық коммутаторлар арасындағы идентификатор мәні ең аз коммутатор таңдалады.

Келесі ретте әр ауданға аудандық тамырлы көпір CIST (CIST Region Root) таңдалады. Ол коммутатор осы ауданға кіретін барлық коммутаторлар арасындағы CIST тамырына дейін сыртқы жол бағасы ең аз коммутатор таңдалынады.

Егер ауданда жеке MSTI байланыстырушы ағашы болса, онда әр аудан үшін, басқаларға тәуелсіз, MSTI аудандық тамырлы көпірі (MSTI Regional Root) таңдалады. Тамырлы көпір ретінде осы MST-ауданға кіретін MSTI-дағы барлық коммутаторлардың арасында көпір идентификатор мәні ең коммутатор таңдалынады.

CIST және MSTI активті топологиясын табу үшін IEEE 802.1D-2004 стандартында жазылған фундаменталды алгоритм қолданылады.

 

Порттардың рольдері. CIST және MSTI активті топологиясын табу процессіне қатысатын MSTP протоколындағы порт рольдері STP және RSTP протоколындағы порттар роліне ұқсайды. MSTI-да қосымша мастер-порт (Master Port) ролі анықталған.

MSTP өту счетчигі. IST және MSTI байланыстырушы ағашы активті топологиясын табу үшін өту счетчигі (Hop count) механизмі қолданылады. Ол счетчик BPDU кадры жойылғанға дейінгі региондар ішіндегі құрылғылар арасындағы максималды өту мәнін анықтайды. Өту счетчигі мәні MSTI және CIST аудандық тамырлы көпір арқылы енгізіледі және BPDU кадрын қабылдайтын коммутатордың әр портын өткен сайын 1 санға азаяды. Счетчик мәні 0-ге тең болған соң BPDU кадры жойылады және портта сақталған ақпарат ескірген болып саналады.

Пайдаланушы өту счетчигі мәнін 1-ден 20-ға дейін қоя алады. Бастапқы мәні бойынша өту счетчик мәні 20-ға тең.

 

Жұмыс мақсаты: D-Link коммутаторларында байланыстырушы ағаш протоколдарының жұмыс істеуін түсіну және оқу.

 

Құрылғылар (2 жұмыс орнына):

- коммутатор DES-3200-10 – 2 дана;

- жұмыс станциясы – 4 дана;

- консольді кабель – 2 дана;

- Ethernet кабелі – 8 дана.

 

7.4. Ілгек пайда болғандықтан шақырылған кеңтарату дауылы кезіндегі желіні диагностикалау және мониторинг жасау

 

Задание 1. Практикалық жұмысты бастамас бұрын, келесі команда арқылы, коммутатордағы күйттеуді бастапқы мәні бойынша орнықтыру керек:

reset config

 

1-ші порт арқылы пакеттер туралы статистиканы қараңыз:

show packet ports 1

 

7.1 суретте көрсетілген суретті жинаңыз және Ethernet кабелі арқылы коммутатордың 1-ші және 7-ші порттарын қосыңыз.

ПК2 жұмыс станциясында ping командасын теріңіз және 1-ші тапсырма аяқталғанға дейін ол команданы тоқтатпаңыз:

ping 10.1.1.14 /t

 

1-ші порт арқылы пакеттердің статистикасын қайта қараңыз:

show packet ports 1

 

Не байқадыңыз? Кеңтаралымды дауыл пайда болды ма? Неге?

 

 

Сурет 7.1 – Кеңтаралымды дауылдың мониторингі мен диагностикасы үшін құрылғылардың қосылу сызбасы

 

Коммутатордың ЦПУ загрузкасын тексеріңіз:

show utilization cpu

 

Коммутатор порттарының загрузкасын тексеріңіз:

show utilization ports

 

Сызбада қолданылатын 1,2,7,8 порттардың загрузкасы қандай?

ПК1 және ПК2-лардағы ЦПУ загрузкасын тексеріңіз.

 

ПК1-де келесі команданы орындаңыз:

ping 10.1.1.13

 

Не байқадыңыз? Отчетке жазып алыңыз.

 

7.5 RSTP протоколын күйттеу

 

Тапсырма 2. 7.2 суретте көрсетілген сызбаны жинаңыз. Күйттеу кезінде ерекше белгіге дейін коммутатор арасын бір уақыт ішінде екі кабельмен қоспаңыз.

 

Сурет 7.2 – RSTP протоколын күйттеуге арнылған құрылғылардың қосылу схемасы

 

 

Практикалық жұмысты бастамас бұрын, келесі команда арқылы, коммутатордағы күйттеуді бастапқы мәні бойынша орнықтыру керек:

reset config

 

1-ші коммутаторды күйге келтіріңіз:

Коммутаторда байланыстырушы ағаш протоколын қосыңыз:

enable stp

 

Қазіргі байланыстырушы ағаш протоколының конфигурациясын тексеріңіз:

show stp

 

RSTP протоколы бастапқы мәні бойынша орнатылған. Олай болмаса, оны қосыңыз:

config stp version rstp

 

Коммутаторды тамырлық көпір ретінде таңдау үшін приоритет мәнін төмендетіңіз:

config stp priority 8192 instance_id 0

 

Өзгерістің орындалғанын тексеріңіз:

show stp instance 0

 

1-8 порттарды шекті етіп белгілеңіз:

config stp ports 1-8 edge true

 

Келесі порттар арасында байланыстырушы ағаш протоколын қосыңыз:

config stp ports 1-8 state enable

 

2-ші коммутаторды күйге келтіріңіз:

Байланыстырушы ағаш функциясын қосыңыз:

enable stp

 

Байланыстырушы ағаш протоколының қазіргі конфигурацмясын көріңіз:

show stp

 

RSTP протоколы бастапқы мәні бойынша орнатылған. Олай болмаса, оны қосыңыз:

config stp version rstp

 

1-8 порттарды шекті етіп белгілеңіз:

config stp ports 1-8 edge true

 

Келесі порттар арасында байланыстырушы ағаш протоколын қосыңыз:

config stp ports 1-8 state enable

 

7.2 суретінде көрсетілгендей 1 және 2 коммутаторларын өзара екі кабельмен қосыңыз.

 

RSTP күйттелуін, порттар жағдайын және олардың рольдерін екі коммутаторда да тексеріңіз:

show stp ports x,

мұндағы х-порт нөмірі;

 

Қай коммутатор тамырлы болып саналады?

Қай порттар жабылған болып санаады?

Жабылған порттардың ролі қандай?

 

ПК1-ден ПК2-ге және кері қарай ping командасын орындаңыз және 2-ші тапсырма аяқталғанға дейін оны тоқтатпаңыз:

На ПК1: ping 10.1.1.13 /t

На ПК2: ping 10.1.1.12 /t

 

Тамырлы порттан кабельді тартып алыңыз.

Ping тестімен не болады?

Сұраудың күту интервалы шамадан асты ма?

Жауап пайда болғанға дейін қанша уақыт тостыңыз?

Жабылған порттың жағдайын тексеріңіз, ендігі рөлі қандай?

 

Кабельді тамырлы портқа қайта қосыңыз.

Екі коммутаторда да байланыстырушы ағаш протокол версиясын RSTP-дан STP-ға келесі команда арқылы ауыстырыңыз:

config stp version stp

 

Тамырлы порттан кабельді тартып алыңыз.

Ping тестімен не болады?

Сұраудың күту интервалы шамадан асты ма?

Жауап пайда болғанға дейін қанша уақыт тостыңыз?

 

7.6 Тамырлы коммутаторға рұқсатсыз қосылудан қорғауды күйге келтіру

 

Тапсырма 3. 1-ші коммутаторда тамырлы коммутаторға рұқсатсыз қосылудан қорғау функциясын күйге келтіріңіз. Коммутаторларды байланыстырушы кабельдерді тартып алыңыз.

 

1-ші коммутатордың күйге келтіру:

restricted_role параметрін қосу арқылы 1-8 порттарына тамырлы коммутаторды қайта таңдаудан қорғау функциясын қосыңыз:

config stp ports 1-8 restricted_role true

2-ші коммутатордың күйге келтіру:

2-ші коммутатордың приоритет мәнін 1-ші коммутатордан төмен етіп белгілеңіз.

config stp priority 4096 instance_id 0

 

7.2 суретінде көрсетілгендей екі коммутатор порттарының арасын 1-ші кабельмен қосыңыз:

1-ші коммутаторда log-файлдарды қараңыз:

show log

 

Не байқадыңыз? Отчетке жазып алыңыз.

Қай коммутатор тамырлы болып саналады?

1-ші коммутатордың 2-ші портының ролі қандай?

1-ші коммутаторда кабельді 2-ші порттан 8-ші портқа ауыстырыңыз және log-файлды қараңыз.

Не байқадыңыз? Жазып алыңыз.

1-ші коммутатордың 8-ші портының ролі қандай?

 

7.7 Топологияны өзгерту туралы қате кадрларды қабылдаудан қорғауды күйге келтіру

 

Тапсырма 4. 1-ші коммутаторда топологияны өзгерту туралы қате кадрларды қабылдаудан қорғауды күйге келтіріңіз (TCN BPDU).

 

Коммутаторларды байланыстырушы кабельдерді жұлып алыңыз.

 

1-ші коммутаторды күйге келтіру:

Коммутатордың 1-4 порттарда қате кадрларды қабылдаудан сақтау TCN BPDU функциясын қосыңыз:

config stp ports 1-4 restricted_tcn true

 

2-ші коммутаторды күйге келтіру:

Коммутаторда приоритетті бастапқы мәні бойынша орнатыңыз:

config stp priority 32768 instance_id 0

 

Операцияның орындалғанын тексеріңіз:

show stp instance 0

 

7.2 суретте көрсетілгендей 1 және 2 коммутаторын 2 кабель арқылы қосыңыз.

Ethernet кабелі арқылы коммутатордың 5 және 7 порттарын жалғаңыз.

 

1 және 2 коммутаторда log-файлдарды қараңыз:

show log

 

Байқауларыңызды отчетке жазып алыңыз.

Коммутаторда қате кадрларды қабылдаудан сақтау TCN BPDU функциясын өшіріңіз:

config stp ports 1-8 restricted_tcn false

2-ші коммутатордың 5-пен 7-ші портты жалғаушы кабельді өшіріп, 1-ші коммутатордағы log-файлды қараңыз. Байқауларыңызды отчетке жазып алыңыз.

 

7.8 MSTP протоколын күйге келтіру

 

7.3 суретке сәйкес құрылғыларды байланыстырыңыз. Ерекше белгіге дейін коммутаторларды бір уақытта бірнеше кабельдермен жалғамаңыз.

 

Сурет 7.3 – MSTP протоколын күйге келтіру үшін құрылғыларды байланыстыру сызбасы.

 

Келесі команда арқылы коммутатор күйттеуін бастапқы мәні бойынша заводтық күйге ауыстырыңыз:

reset config

 

1-ші коммутаторды күйттеу:

Порттарды басқа VLAN-дарда қолдану ушін, бастапқы мәні бойынша VLAN-нан өшіріңіз:

config vlan default delete 1-8

 

VLAN v2 және v3 құрыңыз, құрылған VLAN-дарға меркерланбаған порттарды қосыңыз:

create vlan v2 tag 2

config vlan v2 add untagged 1-4

create vlan v3 tag 3

config vlan v3 add untagged 5-8

VLAN күйін тексеріңіз:

show vlan

 

Коммутаторда байланыстырушы ағаш протоколын қосыңыз:

enable stp

 

Коммутатор порттарында қазіргі байланыстырушы ағаш протоколының конфигуациясын тексеріңіз:

show stp ports

 

Байланыстырушы ағаш протоколының версиясын MSTP-ға ауыстырыңыз (бастапқы мәні бойынша RSTP қолданылады):

config stp version mstp

 

MST-ауданның аты мен ревизиясын беріңіз:

config stp mst_config_id name abc

config stp mst_config_id revision_level 1

 

MSTI және қосымша MSTI-ге VLAN картасын құрыңыз:

create stp instance_id 2

config stp instance_id 2 add_vlan 2

create stp instance_id 3

config stp instance_id 3 add_vlan 3

 

MSTI 2-де коммутатор тамырлы көпір ретінде белгіленуі үшін STP приоритетін белгілеңіз:

config stp priority 4096 instance_id 2

config stp priority 32768 instance_id 3

 

Келесі порттарды шеткі етіп орнатыңыз:

config stp ports 1-8 edge true

 

Келесі порттарда байланыстырушы ағаш протоколын қосыңыз:

config stp ports 1-8 state enable

 

2-ші коммутаторды күйге келтіріңіз:

Порттарды басқа VLAN-дарда қолдану ушін, бастапқы мәні бойынша VLAN-нан өшіріңіз:

config vlan default delete 1-8

 

VLAN v2 және v3 құрыңыз, құрылған VLAN-дарға меркерланбаған порттарды қосыңыз:

create vlan v2 tag 2

config vlan v2 add untagged 1-4

create vlan v3 tag 3

config vlan v3 add untagged 5-8

 

VLAN күйін тексеріңіз:

show vlan

 

Коммутаторда байланыстырушы ағаш протоколын қосыңыз:

enable stp

 

Жұмыс станциялар арасындағы байланысты тексеру үшін келесі команданы теріңіз: ping <IP-address>

- ПК1-ден ПК 3-ке;

- ПК2-ден к ПК4-ке.

 

Байқауларыңызды отчетке жазып алыңыз:

Байланыстырушы ағаш протоколының версиясын MSTP-ға ауыстырыңыз (бастапқы мәні бойынша RSTP қолданылады):

config stp version mstp

 

MST-ауданның аты мен ревизиясын белгілеңіз:

config stp mst_config_id name abc

config stp mst_config_id revision_level 1

 

MSTI және қосымша MSTI-ге VLAN картасын құрыңыз:

create stp instance_id 2

config stp instance_id 2 add_vlan 2

create stp instance_id 3

config stp instance_id 3 add_vlan 3

 

MSTI 3-те коммутатор тамырлы көпір ретінде белгіленуі үшін STP приоритетін орнатыңыз:

config stp priority 32768 instance_id 2

config stp priority 4096 instance_id 3

 

Келесі порттарды шеткі етіп белгілеңіз:

config stp ports 1-8 edge true

 

Келесі порттарда байланыстырушы ағаш протоколын қосыңыз:

config stp ports 1-8 state enable

 

7.3 суретте көрсетілгендей коммутаторды қосыңыз.

 

Жұмыс станциялар арасындағы байланысты тексеру үшін келесі команданы теріңіз: ping <IP-address>

- ПК1-ден ПК 3-ке;

- ПК1-ден ПК 2-ге;

- ПК1-ден ПК 4-ке;

- ПК3-тен ПК4-ке;

- ПК2-ден ПК4-ке.

 

Коммутатор порттарында байланыстырушы ағаш протоколының қазіргі конфигурациясын тексеріңіз:

show stp ports

 

VLAN v2 үшін қай порттар тамырлы және альтернативті?

VLAN v3 үшін қай порттар тамырлы және альтернативті?

VLAN v2 үшін қай порттар белгіленген?

VLAN v3 үшін қай порттар белгіленген?

 

7.9 №7 зертханалық жұмысқа арналған бақылау сұрақтары

Зертханалық жұмыс №8

Түйіндердің пайда болуынан қорғайтын LoopBack Detection функцияларын күйге келтіру

LoopBack Detection (LBD) функциясы OSI-дің моделінің 2-ші деңгейінде түйіндердің пайда болуынан қосымша қорғанысты қамтамасыз етеді. Осы функцияларды жүзеге асуының екі түрі бар:

- STP LoopBack Detection;

- LoopBack Detection Independent STP.

STP LoopBack Detection функциялары күйге келтірілген коммутатор, онымен жіберілген BPDU кадры басқа портқа қайтып келгенде, түйіндердің бар болуын анықтайды. Бұл жағдайда BPDU кадрының порт-жіберуші және порт-қабылдағыш автоматты түрде оқшауланады, және желі администраторына қызметтік пакет-мәлімдеме жіберіледі.

Порттар LBD Recover Timer таймерының аяқталғанына дейін оқшауланған күйде болады.

LoopBack Detection Independent STP функциясы түйіндердің бар болмауын анықтайтын STP хаттамасының түзетілуін қажет етпейді. Бұл жағдайда түйіннің бар болмауын порттын ECTP (Ethernet Configuration Testing Protocol) арнаулы қызметтік кадрын жіберуі арқылы анықтауға болады. Бұл порт ECTP кадрын қабылдаған жағдайда, таймерде көрсетілген уақытқа оқшауланады. Бұл атқарымның екі түрлі жұмыс режимі бар: Port-Based және VLAN-Based (LBD – дан бастап, v.4.00 версиясы).

Port-Based режимінде түйіндердің бар болуы анықталған жағдайда порттың автоматты түрде оқшалануы болады және одан ешқандай трафик жіберілмейді.

VLAN-Based режимінде топсаның бар болуы анықталған VLAN үшін ғана трафикті жіберу порты оқшауланған болады. Қалған трафиктер осы порт арқылы жіберілмейді.

Жұмыстың мақсаты: Port-Based және VLAN-Based режимдеріндегі LoopBack Detection Independent STP атқарымының жұмыс принципін түсіну.

Құрал-жабдық (2 жұмыс орнына):

- DES-3200-10 коммутаторы – 2 дана.;

- жұмыстық станция – 2 дана.;

- консольдық кабель – 2 дана.;

- Ethernet кабелі – 5дана.;

- басқарылмайтын коммутатор – 1 дана.

 

 

8.1 Port-Based режиміндегі LoopBack Detection Independent STP атқарымының түзетілуі.

 

Берілген тапсырмада қосылған сегменттегі түйіндердің бар болуын анықтаған жағдайдағы басқарылатын коммутатордың оқшаулануы қарастырылады. Тапсырманы орындау үшін 8.1. суретіндегі сұлбаны салыңыз.

Сурет 8.1. - STP порттарының негізінде LoopBack Detection Independent STP функциясын күйге келтіру сұлбасы.

 

Келесі команда арқылы коммутатор күйін бастапқы мәні бойынша заводтық күйге ауыстырыңыз:

reset config

 

LBD функциясын коммутаторда қосыңыз:

enable loopdetect

LBD функциясын коммутатордың барлық порттарында қосыңыз:

config loopdetect ports 1-8 state enabled

Түйіннің анықталу жағдайында, порт ажырайтындай Port-Based режимінде жағдай жасаңыз:

config loopdetect mode port-based

Порттың сөндірілу жағдайында трафик бірде-бір VLAN – да жіберілмейді. Порт оқшауланады.

 

LBD функциясының жағдайын тексеріңіз:

show loopdetect

Түйіні бар басқарылмайтын коммутаторды басқарылатын коммутаторға 8.1. суретте көрсетілгендей қосыңыз.

 

Басқарылатын коммутаторда топсаның бар-болмауын қараңыз:

show loopdetect ports

log-файлды тексеріңіз:

show log

 

Нені байқадыңыз? Жазып алыңыз.

 

Порттардың нагрузкасын тексеріңіз:

show utilization ports

Түйіні бар басқарылмайтын коммутаторды басқарылатын коммутатордан ажыратыңыз және коммутатордағы LBD функциясын өшіріңіз:

disable loopdetect

Порттардың нагрузкасын тексеріңіз:

show utilization ports

Топсасы бар басқарылмайтын коммутарды басқарылатын коммутаторға қосыңыз. Нені байқадыңыз? Есептемеге жазып алыңыз.

Топсасы бар басқарылмайтын коммутарды басқарылатын коммутатордан ажыратыңыз.

 

8.2 VLAN-Based режиміндегі LoopBack Detection Independent STP атқарымының түзетілуі.

 

Берілген тапсырмада басқарылатын коммутатордың топсаның бар болуы анықталған VLAN үшін ғана трафикті жіберу портының оқшаулануы қарастырылады. Басқа трафиктер осы порт арқылы жіберілуі керек.

Егер дестелердің жіберілуінде 25 коммутатордың біреуі өзі жіберген ECTP-кадрды алатын болса, онда өзі келген VLAN 3 трафигінің жіберілуі оқшауланады.

Тапсырманы орындау үшін 8.2. суретіндегі сұлбаны салыңыз.

 

Тапсырманы орындау алдында коммутатордың күйін бастапқы мән бойынша зауыттық күйге ауыстырыңыз:

reset config

1-ші коммутаторды күйге келтіру.

VLAN-дағы порттарды басқа VLAN-дарда қолдану үшін өшіріңіз:

config vlan default delete 3-8

Сурет 8.2 - VLAN негізінде LoopBack Independent STP атқарымының жұмысын зерттеу үшін құрал-жабдықтардың қосылу сұлбасы.

 

VLAN vlan2 және vlan3 құрыңыз:

create vlan vlan2 tag 2

create vlan vlan3 tag 3

 

Құрылған VLAN v2 и v3-ке маркаланбаған порттарды қосыңыз. 9-шы портты VLAN default- қа, v2 және v3-ке маркаланған күйде қосыңыз:

config vlan default add tagged 9

config vlan vlan2 add untagged 3-4

config vlan vlan2 add tagged 9

config vlan vlan3 add untagged 5-8

config vlan vlan3 add tagged 9

 

VLAN күйін тексеріңіз:

show vlan

 

LBD функциясын коммутаторда қосыңыз:

enable loopdetect

LBD функциясын коммутатордың барлық порттарында жандандырыңыз:

config loopdetect ports all state enabled

VLAN-Based режимін түйінді анықталуы жағдайында, түйін анықталған VLAN – ға трафикті жібере алмайтындай жағдай жасаңыз:

config loopdetect mode vlan-based

1-ші коммутаторды күйге келтіру:

Басқа VLAN-дарда қолдану үшін VLAN-дағы порттарды өшіріңіз:

config vlan default delete 3-8

VLAN vlan2 және vlan3 құрыңыз:

create vlan vlan2 tag 2

create vlan vlan3 tag 3

Құрастырылған VLAN v2 и v3 маркаланбаған порттарды қосыңыз. Маркаланған күйде 25-ші портты в VLAN default-қа, v2 және v3 қосаыңыз:

config vlan default add tagged 9

config vlan vlan2 add untagged 3-4

config vlan vlan2 add tagged 9

config vlan vlan3 add untagged 5-8

config vlan vlan3 add tagged 9

VLAN түзетулерін тексеріңіз:

show vlan

 

Коммутаторда LBD атқарымын ажыратыңыз:

disable loopdetect

8.2 сұлбасында көрсетілгендй 2 коммутаторға түйіні бар басқарылмайтын коммутаторды қосыңыз.1 және 2 коммутаторларда түйіннің бар болмауын қараңыз:

show loopdetect ports all

1 және 2 коммутаторлардың log-файлдарын тексеріңіз:

show log

Порттардың жүктелуін тексеріңіз:

show utilization ports

Нені байқадыңыз? Жазып алыңыз.

 

 

9 Зертханалық жұмыс №9. Каналды агрегациялау

 

Байланыс каналдарын агрегациялау (Link Aggregation) – ақпарат жіберу жоғарыжылдамдықты канады құруға және тұрақтылықты жоғарылатуға арналған, OSI моделінің каналды деңгейінде бірнеше физикалық порттарды бір логикалық магистралға біріктіру.

Бір агрегациядағы каналда барлық артық байланыстар жұмыс күйінде қалады, ал өтімші трафик, нагрузка балансына қол жеткізу үшін, олардың арасында таратылады.

Бір логикалық каналға кіретін кез-келген байланыс істен шыққанда, трафик басқа байланыстардың арасында бөлініп таратылады.

Агрегациялық каналға қосылған порттар агрегация тобының мүшесі (Link Aggregation Group) деп аталады. Топтағы порттардың біреуі мастер-порт (master port) ретінде жұмыс атқарады. Агрегациялық топта жұмыс істейтін барлық порттар бір режимде болу үшін мастер-порт конфигурациясы топтағы барлық порттарға таратылады.

Порттарды агрегациялық каналдарға біріктіру процессі кезіндегі ең маңызды кездердің бірі, трафикті тарату болып табылады. Әр сеанс үшін портты таңдау, таңдалған порттарды агрегациялау алгоритмі негізінде ғана жүреді.

D-Link коммутаторларында бастапқы мән бойынша mac_source (МАС-адрес источника) алгоритмі қолданылады.

D-Link коммутаторларының бағдарламалық қамтамасызданулары байланыс каналдарды агрегациялаудың екі типін қолданады: статикалық және динамикалық, IEEE 802.3ad (LACP) стандарты негізінде.

Каналдарды агрегациялаудың статикалық (бастапқы мәні бойынша осы әдіс қолднылады) режимі кезінде коммутатордағы барлық күйттеулерді администратор өз қолымен атқарады, агрегациялық топта ешқандай динамикалық өзгерістер болмайды.

Коммутаторлар немесе басқа да желілік құрылғылар арасында каналдардық дикамикалық агрегациясын іске ачыру үшін агрегациялық каналды басқару протоколы қолданылады – Link Aggregation Control Protocol (LACP). LACP протоколы бірнеше физикалық порттарды бір логикалық топқа біріктіретін басқару әдісі және LACP протоколының басқару кадрлары арқылы желілік құрылғыларға каналдар арасында автокелісім құруға мүмкіндік береді. LACP протоколы қосылған порттар екі режим бойынша жұмыс атқара алады: активнті (active) және пассивті (passive).

Активті жұмыс барысында порттар LACP протоколы басқарушы кадрларын қабылдайды және жібереді. Пассивті жұмыс режимі кезінде порттар LACP басқарушы кадрларын тек қабылдайды.

Зертханалық жұмыс істеу барысында iperf бағдарламасы қолданылады, ол коммутаторлар арасында байланыс каналдарында жасанды нагрузка үшін қажет.

 

Жұмыс мақсаты: D-Link коммутаторларында каналдар агрегациялауының динамикалық режимімен оқып танысу.

 

Құрылғылар (екі жұмыс орны үшін):

- коммутатор DES-3200-10 – 2 дана;

- жұмыс станциясы – 3 дана;

- консольді кабель – 2 дана;

- Ethernet кабелі – 7 дана.

 

Жұмысты атқару үшін 9.1 суретте көрсетілгендей құрылғыларды байланыстырыңыз. Коммутационды жүйеде ілгек пайда болмас үшін агрегациялық каналдардың күйттелуінсіз коммутатордың порттарын физикалық түрде бір-бірімен байланыстырмаңыз.

 

Келесі команда арқылы коммутатор күйін бастапқы мәні бойынша заводтық күйге ауыстырыңыз:

reset config

 

1-ші коммутаторды күйттеу:

Каналдарды агрегациялау тобын құрыңыз:

create link_aggregation group_id 1 type lacp

 

1-4 порттарды каналдарды агрегациялау тобына қосыңыз және 1-ші портты мастер-порт ретінде орнатыңыз:

config link_aggregation group_id 1 master_port 1 ports 1-4 state enabled

 

Сурет 9.1 – Каналдарды агрегациялау сызбасы

 

Порттарды пассивті режимде жұмыс істеуге күйттеңіз:

config lacp_port 1-4 mode passive

 

Күйттеудің орындалуын тексеріңіз:

show link_aggregation

 

Коммутатор порттарында LACP жұмыс режимін тексеріңіз:

show lacp_port

 

Каналдардың агрегациясының қазіргі режимін қараңыз:

show link_aggregation algorithm

2-ші коммутаторды күйттеу:

Каналдарды агрегациялау тобын құрыңыз:

create link_aggregation group_id 1 type lacp

 

1-4 порттарды каналдарды агрегациялау тобына қосыңыз және 1-ші портты мастер-порт ретінде орнатыңыз:

config link_aggregation group_id 1 master_port 1 ports 1-4 state enabled

 

Порттарды активті режимде жұмыс істеуге күйттеңіз:

config lacp_port 1-4 mode active

 

Күйттеудің орындалуын тексеріңіз:

show link_aggregation

 

Коммутатор порттарында LACP жұмыс режимін тексеріңіз:

show lacp_port

 

9.1 суретте көрсетілгендей коммутаторлар арасын 4 кабельмен қосыңыз.

Коммутаторлар байланыс каналдары арасында жасанды нагрузка құру үшін басқару жолының утилитасы iperf қолданылады.

Iperf (Windows үшін) клиенттік және серверлі бөліктерден тұратын кішігірім атқарушы файл болып табылады. Бағдарлама енгізуді қажет етпейді. Бағдарламаны іске қосу үшін iperf бағдарламасын екі компьютерге де көшіріп, алдымен серверлі бөлікті, одан кейін клиенттік бөлікті іске қосу керек.

Iperf қосу кезіндегі қолданылатын кілттер:

- s – сервер режимін қосады;

- c – клиент режимін қосады және сервер адресін жазады;

- i – жылдамдық жайлы шығу интервалын отчетке береді;

- t – тесттің ұзақтығы, секундпен;

- r – екі жақты тестілеу режимі;

- u – UDP протоколы бойынша тестілеу режимі;

- b10M – траффик генерациясы жолағын 10 Мбит/с-қа тең қылдырады;

- P5 – бір уақытта бес тестілік протоколды қосады.

 

Тапсырма. Сервер ролін атқаратын ПК-да iperf бағдарламасын іске қосыңыз. (командаға жол және кілттер көрсетілетін командалы жолдан қосылады):

iperf –s -u

 

9.2 суретте қорытындысы көрсетілген:

Сурет 9.2 – Сервер ролін атқаратын ПК-да iperf

бағдарламасын іске қосу

 

ПК1 және ПК2-де бағдарламаны іске қосыңыз (9.3 суретте шыққан мән көрсетілген):

iperf -c 192.168.1.9 -i 1 -t 1000 -r -u -b10M -P5

 

Сурет 9.3 – Клиент ролін атқаратын ПК-да iperf

бағдарламасын іске қосу

 

Тестілеу кезінде екі коммутатордағы да порттардың загрузкасын тексеріңіз.

show utilization ports

 

Не байқадыңыз? Каналдар арасында загрузка трафигі қайта таратыла ма? Жіберу кезінде бір уақыт аралығында қанша байланыс қатысады? Неліктен?

10 №10 зертханалық жұмыс. QoS-ты күйге келтіру

 

Трафик приотизациясы

 

IP протоколы негізіндегі пакеттік коммутационды желілер гарантиялық өткізу қабілетін қамтамасыздадырмайды, соның салдарынан трафик гарантиялы болып жеткізілмейді.

Пакеттердің келу интервалы мен реттілігі маңызды емес приложениелер үшін әр пакеттер арасындағы кешігу уақыты аса маңызды емес. Кешігу уақыты маңызды пакеттер үшін желіде сапалы сервис (Quality of Service, QoS) жасайтын механизмдердің болуы қажет.

Қазіргі желілердегі сапалы сервис функциясының негізі болып гарантиялы түрде және дифференциялы деңгейде желілік трафикті жеткізу болып табылады.

OSI моделінің каналды деңгейінде QoS-ты қамтамасыз ету үшін коммутаторлар IEEE 802.1р стандартын қолданады. IEEE 802.1р стандарты IEEE 802.1Q приоритет тегінің 3 жолдық битін қолдану арқылы кадр өңделуінің әдісін анықтайтын приоритеттің 8 деңгейі (0-ден 7-ге дейін, 7 – ең жоғарғысы) қолданылады.

Зертханалық жұмыста келесі мысал қарастырылады: «жіңішке» аймағы бар желіде ПК1 және ПК3 жұсыс станциялары арасында ping тесті жүргізіледі. Бұл трафикқа, басқа жұмыс станцияларындағы приложениялармен салыстырғанда жоғары өңдеу приоритетін қамтамасыз еткізу керек. Басқа станциялар iperf бағдарламасы арқылы коммутаторлар арасындағы байланыс каналдарындағы жасанды нагрузкасын құрады.

 

Жұмыстың мақсаты: трафик приоритизациялау функциясын оқу, D-Link коммутаторларында өткізу жолағын күйттеу туралы оқу. Приоритизация жұмыс тиімділігін зерттеу.

 

Құрылғылар (2 жұмыс орын үшін):

- коммутатор DES-3200-10 – 2 дана;

- жұмыс станциясы – 4 дана;

- консольді кабель – 2 дана;

- Ethernet кабелі – 5 дана.

 

Жұмысты бастаамас бұрын 10.1 суретте көрсетілген сызбаны жинау керек. Келесі команда арқылы коммутатордың күйттелуін заводта орнатылғандай бастапқы мәніне келтіру керек:

reset config

 

 

Сурет 10.1 – Трафик приоритизациясын оқуға арналған құрылғылардың қосылу сызбасы

1-ші коммутаторды күйттеу:

«Жіңішке» аймақты құру үшін, 9-шы портқа bandwidth_control функциясын күйттеу қажет. Ол ақпараттың жіберу мен қабылдау жылдамдығын 64 Кбит/с дейін шектейді:

config bandwidth_control 9 rx_rate 64 tx_rate 64

 

2-ші коммутаторды күйттеу:

«Жіңішке» аймақты құру үшін, 9-шы портқа bandwidth_control функциясын күйттеу қажет. Ол ақпараттың жіберу мен қабылдау жылдамдығын 64 Кбит/с дейін шектейді:

config bandwidth_control 9 rx_rate 64 tx_rate 64

 

1-ші тапсырма: Барлық компьютерлерге бір желі астынан IP-адреса белгілеу керек. ПК1 мен ПК3 және ПК2 мен ПК4 арасында шексіз ping тестін қосу керек.

Егер ПК1 мен ПК3 және ПК2 мен ПК4 арасында байланыс болса, 20-30 секундта жиналған статистиканы қарап, жауаптың орташа уақыты мен жоғалу шамасын анықтап, отчетке жазып алыңыз.

2-ші тапсырма: ПК1 мен ПК3 және ПК2 мен ПК4 арасында шексіз ping тестін қосыңыз.

Коммутаторлар арасында байланыс линиясында нагрузканы құру үшін iperf бағдарламасын қосыңыз.

- ПК2-де «-s» кілтімен (сервер ролінде):

iperf –s -u

 

- ПК4-те «-с IP-сервера -i 1 -t 10000 -r -u -b10M -P5» кілтімен (клиент ролінде):

iperf -c 10.1.1.12 -i 1 -t 1000 -r -u -b10M -P5

 

ping және iperf қосылған бағдарламаларды тоқтатпаңыз. Олардың көмегімен жиналған статистика келесі тапсырмаларды орындау үшін керек болады.

ПК2 және ПК4 үшін iperf бағдарламасы арқылы қойылған трафик орташа жылдамдығы туралы 20-30 секунд уақытта жиналған статистиканы жазып алыңыз.

ПК1 мен ПК3 және ПК2 мен ПК4 арасында жиналған статистиканы қарап, жауаптың орташа уақыты мен жоғалу шамасын анықтап, отчетке жазып алыңыз:

- ПК1-ден ПК3-ке;

- ПК3-тен ПК1-ге;

- ПК2-ден ПК4-ге;

- ПК4-тен ПК2-ге.

Байқағандарыңызды жазып алыңыз, 1-ші тапсырмада шыққан мәнмен салыстырыңыз.

 

3-ші тапсырма: Приоритизацияны күйттеңіз. Ол үшін ПК1 жұмыс станциясы қосылған 1-ші портқа приоритет мәнін 7 деп белгілеңіз:

config 802.1p default_priority 1 7

 

Пайдаланушы приоритеті мен өңдеу әдісі бастапқы мәні бойынша қалады.

ПК3 жұмыс станциясы қосылған 2-ші портқа приоритет мәнін бастапқы мәні бойынша 7 деп белгілеңіз:

config 802.1p default_priority 2 7

 

Порттардың приоритет мәнінің өзгеру негізінде, ол порттарға қосылған компьютерлердің трафик приоритеті 7-ге тең болды. Ол ПК-лар жіберген барлық кадрлар басқа приоритизация жүргізілмеген компьютерлердегі кадрлармен салыстырғанда ең жоғары приоритетке ие.

Коммутаторлардың 1-ші және 2-ші порттарындағы бастапқы мәні бойынша приоритет күйттеуін көріңіз:

show 802.1p default_priority

 

3-ші порттың бастапқы мәні бойынша приоритет деңгейі қандай?

802.1р пайдаланушы приоритеттерінің привязка картасын қараңыз:

show 802.1p user_priority

 

Байқауларыңызды жазып алыңыз.

 

Приоритизация қосқаннан кейін, трафиктің өту шартының қалай өзгергенің қараңыз. Өзгерді ма? Қаншаға? 1 және 2 тапсырманың қорытындысымен салыстырыңыз.

10.2 №10 зертханалық жұмысқа арналған бақылау сұрақтары

 

11 №11 зертханалық жұмыс. Рұқсатнама басқару тізімдері

 

11.1 Қауіпсіздікті қамтамасыз ету функциялары мен желіге рұқсатнаманы шектеу.

 

Кез-келген жүйелік администратор үшін негізгі мақсаттардың бірі компьютерлік желінің қауіпсіздігін қамтамасыз ету болып табылады. Бұл мәселені желіаралық экрандар шешеді, бірақ, «бірінші соққыны» көп жағдайда негізінен өзіне коммутаторлар алады, сондықтан, кейінгі заманғы коммутаторларда, қауіпсіздікті қамтамасыз ету үшін, кең функционалды мүмкіншіліктері бар. Бұл ретте әңгіме тек сыртқы шабуыл емес, керісінші, көп жағдайда желі ішіндегі әр түрлі шабуылдар туралы, оның ішінде: DHCP-серверді өзгерту, DoS, ARP Spoofing тпті шабуылдар, авторизацияланбаған рұқсатнама, т.б. Кейбір жағдайда коммутаторлар мұндай түрлі шабуылдардан желіні толық қорғай алмайды, бірақ ондай қауіптің пайда болуын шектей алады.

Рұқсатнама басқару тізімдері (Access Control List, ACL) өндеуші күштің төмендеуінсіз ақпаратты фильтрациялау құралы ретінде қаралады, себебі, ақпарат мазмұнының тексерілуі аппаратты деңгейде жүзеге асады. Ақпарат потогын фильтрациялау барысында желі администраторы желіде қолданылатын приложенияларды шектеуге, пайдаланушылардың желіге кіруін қадағалауға және олар қосылған құрылғыларды анықтауға мүмкіншілігі бар. Трафикті классификациялау және оның приоритетін қайта анықтау негізінде ACL QoS саясатын анықтау үшін қолданыла алады.

ACL ақпарат пакеттерінің параметрлерін тексеру шарттарының тізбегі ретінде қарастырылады. Хабарлама кіріс интерфейс арқылы өткенде, коммутатор ақпарат пакеттерінің параметрлерін фильтрация критерийлеріне сәйкестендіріп тексереді. Бұл критерийлер ACL-де анықталған және екі әрекеттің біреуін істейді: Permit (рұқсат беру) немесе Deny (рұқсат бермеу).

Рұқсатнама басқару тізімдері рұқсатнама профилінен (Access Profile) және ережелерден (Rule) тұрады. Рұқсатнама профилі ақпарат пакеттерінде тексерілетін фильтрация критерийінің типтерін анықтайды (MAC-адрес, IP-адрес, порт нөмірі, VLAN және т.б.), ал ережелерде олардың параметрлерінің мәні көрсетілген. Әр профиль көптеген ережелерден тұруы мүмкін.

 

Жұмыс мақсаты: Фильтрация критерийі ретінде MAC и IP-адрестерді қолданып, D-Link коммутаторларында рұқсатнама басқару тізімдерін күйге келтіріңіз.

 

Құрылғылар (бір жұмыс орны үшін):

- коммутатор DES-3200-10 – 2 дана;

- жұмыс станциясы – 2 дана;

- консольді кабель – 1 дана;

- кабель Ethernet – 3 дана.

 

11.2 IP-адрес бойынша пайдаланушылардың серверге кіруін шектеуді күйге келтіру

 

Тапсырма: 192.168.1.1/24-тен 192.168.1.63/24-ге дейін IP-адреске ие пайдаланушыларға серверге кіруге рұқсат беріңіз. Рұқсат етілген диапазонға кірмейтін желідегі басқа пайдаланушыларға серверге кіруге рұқсат бермеу.

11.1 суретте көрсетілгендей сызбаны жинаңыз.

Сурет 11.1 – IP-адрес бойынша рұқсатнама функцияларын күйге келтіруді оқуға арналған сызба

 

Тапсырмаға сәйкес үш ереже құру қажет:

- ереже 1: егер жіберушінің IP-адресі 192.168.1.1-ден 192.168.1.63 (192.168.1.0/26 желі асты) диапазон аралығына кірсе – рұқсат беру (permit);

- ереже 2: егер жіберушінің IP-адресі 192.168.0.0/24 желісіне жатса, бірақ рұқсат етілген адрестен диапазонына – рұқсат бермеу (deny);

- ереже 3: бастапқы мәні бойынша барлық түйіндерге рұқсат беру..

DES-3200-10 коммутаторы жұмыс істей алатын максималды профильдер саны 4-ке тең.

Тапсырманы орындауды бастамас бұрын коммутатор күйін бастапқы мән бойынша заводтағыдай күйге келтіру керек:

reset config

2-ші коммутаторды күйге келтіру:

Басқа VLAN-дарда қолдану үшін коммутатор порттарын бастапқы мәні бойынша VLAN-дардан өшіріңіз:

config vlan default delete 1-8

 

VLAN 2 құрып, оның құрамына керекті порттарды қосыңыз, оларды маркаланбаған қылдырып белгілеңіз. 9-ші портты маркаланған күйге келтіріңіз:

create vlan v2 tag 2

config vlan v2 add untagged 1-8

config vlan v2 add tagged 9

 

VLAN күйін тексеріңіз:

show vlan

 

1-ші коммутатор үшін күйге келтіруді қайталаңыз.

ПК1 және ПК2 арасында байланыстың болуын ping командасы арқылы тексеріңіз..

 

1-ші коммутаторды күйге келтіру:

IP-адрес бойынша трафикті фильтрациялайтын номер 5-інші рұқсатнама профилін құрыңыз:

create access_profile profile_id 5 profile_name 5 ip source_ip_mask 255.255.255.255

 

192.168.1.0/24 (1 мен 63 аралығында) желі астына кіруге рұқсатнама алу үшін 5 рұқсатнама профиліне арналған 1-ші ереже құрыңыз:

config access_profile profile_id 5 add access_id 1 ip source_ip 192.168.1.0 mask 255.255.255.192 port 25 permit

 

Құрылған ереже 192.168.1.0/24 IP-желі асты трафигін 9 порт арқылы өтуге рұқсат береді.

config access_profile profile_id 5 add access_id 2 ip source_ip 192.168.1.0 mask 255.255.255.0 port 9 deny

 

Құрылған ереже 192.168.1.0/24 желісіне кіретін трафикті 9 порт арқылы өтуге рұқсат бермейді, бірақ, рұқсат ету диапазонына кірмейді.

 

Ереже 3 бастапқы мән бойынша орындалады.

Құрылған профильдерді тексеріңіз:

show access_profile

 

Не байқадыңыз? Қанша профиль құрылды, онда қанша ереже бар?

11.1 суретте көрсетілгендей ПК1 жұмыс станциясын 2-ші коммутаторға қосыңыз (192.168.1.1/24 – 192.168.1.63/24 диапазон ішінен IP-адрес таңдаңыз).

Ping командасы арқылы сервермен 192.168.1.254/24 байланысты тестілеңіз.

Не байқадыңыз? Жазып алыңыз.

ПК1 жұмыс станциясының IP-адресін өзгертіңіз (192.168.1.64/24 – 192.168.1.253/24 диапазоны ішінен IP-адрес таңдаңыз).

Ping командасы арқылы сервермен 192.168.1.254/24 байланысты тестілеңіз.

Не байқадыңыз? Жазып алыңыз.

 

ACL профилін өшіріңіз:

delete access_profile profile_id 5

 

Ping командасы арқылы сервермен байланысты тексеріңіз.

ping 192.168.1.254

 

Шыққан командаларды отчетке жазып алыңыз.

 

11.3 МАС-адрес бойынша кадрларды фильтрациялауды күйге келтіріңіз.

 

Тапсырма: 11.2 суретте (00-50-ba-22-22-22 MAC-адресом) көрсетілгендей ПК3-тен коммутатордың кез-келген портына келетін кадрлар коммутатордың мақсаттық портына көшірілетіндей етіп профильді күйге келтіріңіз.

Тапсырманы орындау үшін келесі ережені құру керек: егер жіберуші МАС-адресі ПК3 МАС-адресімен (00-50-ba-22-22-22) сәйкес келсе, онда кадрларды мақсаттық портқа көшіру.

Тапсырманы орындауды бастамас бұрын коммутатор күйін бастапқы мән бойынша заводтағыдай күйге келтіру керек:

reset config

Командада көрсетілген МАС-адресті жұмыс станцияларының шын МАС-адрестеріне өзгертуге ұмытпаңыз.

 

5 рұқсатнама профилін құрыңыз:

create access_profile profile_id 5 profile_name 5 ethernet source_mac FF-FF-FF-FF-FF-FF

 

Сурет 11.2 – МАС-адрес бойынша фильтрация функциясын күйге келтіруді оқу үшін арналған құрылғыларды қосу сызбасы

 

ПК3-тен коммутатордың кез-келген портына келетін кадрлар коммутатордың мақсаттық портына көшірілетіндей етіп 5-ші рұқсатнама профиліне арналған ереже құрыңыз:

config access_profile profile_id 5 add access_id 1 ethernet source_mac 00-50-ba-22-22-22 mask FF-FF-FF-FF-FF-FF port all mirror

 

Құрылған профильді тексеріңіз:

show access_profile

 

Коммутаторда глобалды түрде порттарда зеркалдау функциясын қосыңыз:

enable mirror

 

Мақсаттық портты көрсетіңіз:

config mirror port 9

 

Фнкцияның күйге келуін тексеріңіз:

show mirror

 

11.1 суретте көрсетілгендей ПК1 және ПК2 жұмыс станцияларын қосыңыз.

 

ПК2 және ПК3 арасында байланыстың болуын ping командасы арқылы тексеріңіз.

ПК1 жұмыс станциясында Wireshark протокол анализаторын қосыңыз. Запустите на рабочей станции ПК1 анализатор протоколов Wireshark

Пакеттерді протокол анализаторы көмегімен анализдеңіз. Не байқадыңыз? Отчетке жазып алыңыз.

 

ПК3 жұмыс станциясын 8-ші портқа қосыңыз.

ПК2 және ПК3 арасында байланыстың болуын ping командасы арқылы тексеріңіз. Кері операция жүргізіңіз. Пакеттерді протокол анализаторы көмегімен анализдеңіз. Не байқадыңыз? Отчетке жазып алыңыз.

№11 зертханалық жұмысқа арналған бақылау сұрақтары