CCNA/CCNP - Адресация IPv4: правила деления на подсети

Работа с адресным пространством рассматривается во многих курсах, связанных с сетями, вне зависимости от вендора и от уровня сложности курса. Лично встречал выделение этой темы в отдельный блок как в Cisco CCNA, так и в CCNP, а так же в начальных курсах от Juniper. Тема является очень важной, поэтому ей всегда уделяется много внимания. Системный администратор, сетевой инженер да и вообще любой человек, так или иначе связанный с сетями, должен чувствовать себя в этой теме максимально комфортно и не испытывать сложности в вопросах адресации и subnetting'а.

Зачем? Вот лишь несколько примеров: оптимизация адресного пространства при маршрутизации, написание Access Control Lists (ACL), ручное и автоматическое суммирование адресов, гибкое деление имеющегося адресного пространства на части.

Попробуем разобраться, что к чему.

Инструкция по использованию системы NETSPACE для студентов сетевой академии Cisco (ТУСУР)

ПРОЛОГ (С кучей рекламы)

В славном Сибирском городе Томске есть замечательный университет - Томский Университет Систем Управления и Радиоэлектроники (ТУСУР). На базе этого учебного заведения совместно с компанией Cisco Systems создана сетевая академия, в которой студенты всех возрастов, профессий и статусов могут получить базовые знания для работы с сетями, а так же пройти подготовку к профессиональной сертификации по программам: CCENT, CCNA R&S, отдельно курсы 100-101 ICND1 и 200-101 ICND2, а так же старые версии курсов CCNA Discovery и CCNA Exploration и многое другое.

Ссылочки на разные интересности ниже:

Страничка Академии на сайте факультета дистанционного образования ТУСУР - здесь вы можете найти полный перечень читаемых в академии курсов, а так же необходимые контакты для связи с менеджерами Академии

Группа ВКонтакте

Группа на Facebook

И еще новость для тех, кто хочет сдать тот или иной экзамен в центре сертификации PearsonVUE: с недавних пор наша Академия имеет свой авторизованный центр тестирования PearsonVUE. Не нужно ехать в Новосибирск, трястись в автобусе или гнать на машине. Достаточно позвонить администраторам в Академию и узнать, когда можно прийти и сдать экзамен. Чудеса!

ВВЕДЕНИЕ

Итак, вы стали очным или дистанционным студентом одного из предлагаемых курсов. После заключения всех договоров вы пришли на первую лекцию (в случае, если вы очник) или же спокойно сидите и ждете, когда инструктор пришлет вам письмо на указанную вами почту (в случае, если вы "дистантник"). И вот вам сообщают, что в процессе обучения вы будете использовать специальный портал для работы, а именно CISCO NETSPACE. Ваша самостоятельная работа и тестирование будет проходить именно здесь. Поэтому лучше всего научится пользоваться этой системой сразу, а не после прохождения половины курса.

Вообще, компания Cisco позаботилась о том, чтобы новички могли легко влиться в работу. Для этого был создан интерактивный гайд по пользованию порталом. НО! Моя личная статистика показала, что его смотрят... В общем, никто его не смотрит. Поэтому я решил написать простейший гайд, с картинками и минимально необходимым описанием, чтобы всем было понятно.

Сразу хотел бы отметить, что описанное ниже не раскрывает всех возможностей портала (да я и сам их не знаю, чего уж там :) ), но описывает все, что необходимо знать для успешного обучения.

И да: ниже рассматривается англоязычный интерфейс.

Trust, but verify

Читаю книжку для подготовки к Cisco ARCH (John Tiso - Designing Cisco Network Service Architectures (ARCH). Тот еще ад. Но не в этом дело. Внезапно в главе 4 раздел Summary (стр. 204) нахожу такую забавную вещь:

Первый раз вижу русские выражения в зарубежной литературе. Аж прослезился.

CCNP SWITCH/CCDA Шпаргалки - STP Tools

Все время забываю эти определения, поэтому решил запомнить и записать раз и навсегда. 

Описание инструментов и опций от Cisco, помогающих в более гибкой настройке и управлении STP:

PortFast - роль порта, к которому подключен пользователь или иное конечное устройство. В случае включения на порту данной роли, порт будет функционировать без дополнительных задержек, связанных с процессом STP. Порт будет мгновенно переходить в режим передачи данных (forwarding state), пропуская такие режимы как listening и learning. С этой ролью непосредственно связаны две опции:

•  BPDU Guard: несмотря на включение PortFast, порт продолжает участвовать в процессе работы STP. Это может стать причиной возникновения петли, если к этому порту будет подключено устройство, участвующее в STP. BPDU Guard препятствует возникновению петель в таком случае, помещая порт в состояние errdisable state при обнаружение пришедшего на данный порт BPDU. Кроме помещения порта в режим errdisable, происходит оповещение через сообщение в логах.
• BPDU Filtering: данная функция предотвращает передачу BPDU через нетранковые порт с включенным PortFast. STP на данном линке выключается. Однако, не рекомендуется включать данную функцию на границе сети, т.к. это может привести к образованию петель (Sean R. Willkins - Designing for Cisco Internetwork Solution (DESGN) Foundation Learning Guide, Third Edition(2012), p.184)

CCNP ROUTE/TSHOOT Шпаргалки - OSPF: Состояния соседства

     После настройки OSPF в выводе команды show ip ospf neighbors можно понять, в каком состоянии находятся те или иные соседи. Всего существует 8 состояний между соседями. Означают они следующее:

CCNP Route Шпаргалки - OSPF: Типы LSA

     LSA (Link State Advertisement) - наименование структуры данных OSPF, которые содержат информацию о топологии сети.  LSA хранятся в в базе данных LSDB. Обмен этими единицами осуществляется с помощью Link State Update - сообщений.

     Различают 11 типов LSA, каждый из которых выполняет определенную функцию в процессе работы OSPF и используется для различных целей.

CCNP Route Шпаргалки - OSPF: Установление соседства. Совпадение параметров

     Параметры, передающиеся в OSPF Hello-сообщениях (Не все параметры могут быть отображены в Hello, все зависит от условий и правил, принятых в данной сети):

1. OSPF Router ID
2. Stub area flag
3. Специфические параметры интерфейса:

     - Hello interval

     - Dead interval

     - Subnet mask

     - List of neighbors reachable on the interface

     - Area ID

     - Router priority

     - Designated Router (DR) IP address

     - Backup DR (BDR) IP address

     - Authentication digest

CCNP Route Шпаргалки - EIGRP: Фильтрация маршрутов

     Существуют ситуации, когда нет необходимости распространять все маршруты сети во все её сегменты. При этом необходимо контролировать, какие маршруты проходят некоторую границу, которую установили при создании сети.

     Фильтрация маршрутов в протоколе маршрутизации EIGRP осуществляется с помощью команды distribute-list, ссылающейся на один из  трех инструментов:

     - Access Control List (ACL);

     - Prefix list;

     - Route map.

     Применение фильтров дает такие преимущества, как уменьшение размеров таблицы маршрутизации, уменьшение утилизации памяти, увеличение производительности маршрутизации, а так же увеличение защищенности сети за счет уменьшения объема служебного трафика.

Настройка VPN-сервера на маршрутизаторе Cisco

   Настройка VPN-сервера на маршрутизаторе Cisco достаточно проста, но есть некоторые нюансы, которые могут стать причиной долгих поисков проблем в стиле "все правильно сделал, но ничего не работает".

UPD: Если у вас IOS 15+ и клиентская ОС Windows 10 - здесь вы найдете более правильную инструкцию, учитывающую все изменения.

Cisco Wireless Controller 5508 - Настройка беспроводного доступа

   Пример настройки контроллера WLC5508 и точек беспроводного доступа. Собираемая схема:

   Задача: контроллер и точки доступа находятся в управляющем VLAN, DHCP-сервер для клиентов, подключающихся к беспроводной сети - в другом VLAN. Сами клиенты, подключившись к сети, попадают в свой отдельный VLAN. Клиенты должны подключиться к беспроводной сети, получить необходимые настройки со стороннего DHCP-Server'а и иметь возможность выхода в Internet.

DHCP Relay: Теория и практика настройки DHCP-Relay

   В рабочей практике столкнулся с необходимостью настройки такой вещи, как DHCP-Relay. Имея небольшой практический опыт, а так же теоретическую базу, которую получил во время подготовки к CCNA и его последующем преподавании, решил, что все просто. Собственно, настроил, как помнил и... ничего не заработало. Поэтому придется разобрать данную технологию чуть подробнее, и рассмотреть различные схемы, в которых используется DHCP-Relay.

CCNP SWITCH Шпаргалки - InterVLAN Routing/Маршрутизация трафика между VLAN

   Часть первая: Теория

   После того, как в сети внедрена технология Virtual Local Area Network (VLAN), необходимо сделать так, чтобы между различными VLAN осуществлялась маршрутизация трафика. Существует три способа настройки InterVLAN Routing'а:

1.  Самый простой способ: топология будет использовать коммутатор и маршрутизатор. Для каждого VLAN будет использоваться отдельный линк, по которому будет ходить трафик только от одного VLAN. Маршрутизатор настраивается таким образом, чтобы каждый из его интерфейсов находился в сети соответствующего VLAN.
2.  Использовать схему с коммутатором и маршрутизатором, причем для всех VLAN использовать только один линк. На стороне коммутатора необходимо настроить транк (trunk), на стороне маршрутизатора необходимо создать субинтерфейсы, нстроить инкапсуляцию и адресацию.
3. Использование MultiLayer Switch (MLS) (многоуровнего коммутатора). Данная схема примечательна тем, что маршрутизацию между VLAN можно осуществлять без использования маршрутизатора.

Cisco ASA 5525-X (K8 - no VPN-3DES-AES activation key) - Management Access/Настройка интерфейсов управления/Web-acces in Windows Vista/7

    На днях удалось посмотреть на межсетевой экран (МЭ) от Cisco - ASA 5525-X. С подробными характеристиками данного устройства можно ознакомиться на сайте производителя.

   Модель, которая была у меня в руках: ASA5525-K8. В связи с особенностями российского законодательства без проблем и дополнительных разрешений мы можем ввозить только K8 версии железок, что означает отсутствие возможности шифровать трафик стойкими криптографическими алгоритмами (AES/3DES). Поэтому наша ASA может работать только с DES (из описания модели):

Cisco ASA 5525-X Firewall Edition; includes firewall services, 750 IPsec VPN peers, 2 SSL VPN peers, 8 copper Gigabit Ethernet data ports, 1 copper Gigabit Ethernet management port, 1 AC power supply, Active/Active High Availability, 2 security contexts, DES license

 

Перед началом полноценной эксплуатации решили сделать базовую настройку МЭ, которая включала в себя в том числе и настройку удаленного доступа. Посмотрим, как отсутствие стойкого шифрования может повлиять на настройку удаленного доступа.

Cisco Wireless Controller 5508 - Типы портов/Port types

  Модель контроллера Cisco Wireless 5508 имеет множество портов, предназначенных для различных целей. Вид передней панели контроллера с указанием наименований портов представлен на рисунке ниже.

1 - Сервисный порт (Service port (RJ-45))                  5 - Console port (Mini USB Type B)
2 - Redundant port for future use (RJ-45)                      6 -  Заземление (grounding)
3 - Консольный порт (Console port (RJ-45))               7 - 8 портов SFP distribution system ports 1-8

4 - USB ports 0 and 1 (Type A)                                     8 - Слот для модулей расширения
Для чего используются порты типа 1, 2, 7?

Cisco Wireless Controller 5508 - Первый запуск. Включение Web-интерфейса

  После того, как беспроводной контроллер Cisco вытащен из коробки, можно приступать к его настройке. Процесс базовой настройки хорошо описан в гайде, а именно вот здесь. Поэтому добавить в принципе нечего.

  Существует возможность настройки как через CLI, так и через WEB-интерфейс. С CLI все понятно: вбиваем нужные команды и работаем. С GUI есть небольшой нюанс: после того, первоначальная настройка контроллера завершена, мы теряем WEB-доступ к устройству. Это происходит по той причине, что по умолчанию web-интерфейс отключен.

  Чтобы исправить это, необходимо подключиться к контроллеру консольным кабелем и ввести следующий набор команд:

Cisco выпустила новую линейку коммутаторов 2960-X

Cisco выпустила новые коммутаторы 2960-X, которые призваны заменить имеющиеся модели 2960. Общие характеристики модели представлены ниже: 

 Cisco Catalyst 2960-X switches feature:

• 24 or 48 Gigabit Ethernet ports with line-rate forwarding performance

• Gigabit Small Form-Factor Pluggable (SFP) or 10G SFP+ uplinks

• FlexStack Plus for stacking of up to 8 switches with 80 Gbps of stack throughput (optional)

• Power over Ethernet Plus (PoE+) support with up to 740W of PoE budget

• Reduced power consumption and advanced energy management features

• USB and Ethernet management interfaces for simplified operations

• Application visibility and capacity planning with integrated NetFlow-Lite

• LAN Base or LAN Lite Cisco IOS^® software features

• Enhanced limited lifetime warranty (E-LLW) offering next-business-day hardware replacement

Cisco Catalyst 2960-XR models also offer:

• Power resiliency with optional dual field-replaceable power supplies

• IP Lite Cisco IOS^® software with dynamic routing and Layer 3 features

С полными характеристиками можно ознакомиться, пройдя по ссылке.

Английский язык - LinguaLeo: Изучение языка в игровой форме

Интересный ресурс для изучения английского языка. Удобная система изучения слов, много материалов, различные виды тренировок. Бесплатных функций вполне достаточно для изучения.

Если заинтересовались, регистрируйтесь, проходя по ссылке ниже. Спасибо)

Регистрация в системе LinguaLeo

Mikrotik - No default configuration - Как подключиться к устройствам Mikrotik различных моделей без IP-адреса по известному MAC-адресу

   Так себе заметка, но все же! Вдруг окажется полезной.   

  Столкнулся с маршрутизатором Mikrotik Routerboard 2011UAS-2HnD-IN. Необходимо было провести некоторую настройку данного маршрутизатора. Поискав в интернете, обнаружил мануал по настройке нужных мне вещей. Первый шаг: сотрите текущую конфигурацию и не загружайте дефолтный конфиг. 

  Дефолтный конфиг содержит IP адрес (192.168.88.1), и некоторую настройку, которая позволяет подключиться к маршрутизатору по telnet или через WEB, и продолжить настройку.

  Что ж, подключаюсь по WEB, захожу на маршрутизатор, стираю конфиг и не загружаю дефолтный конфиг. И... теряю доступ к устройству на уровне L3. Что делать?

TCL-Scripts on Cisco IOS

  О том, что такое TCL, можно почитать здесь. Не секрет, что CLI Cisco имеет возможность работы с подобного рода скриптами. Использовать их можно для разных целей. При подготовке к экзамену CCNP ROUTE руководство по лабораторным работам рекомендует пользоваться tcl-скриптами для тестирования сети, выполняя с его помощью множество команд ping без необходимости постоянного набора этих команд в CLI.

   Для того, чтобы войти в режим написания скрипта, необходимо набрать команду tclsh в EXEC-моде.

Hardware/Железо - Контроллер беспроводной сети Cisco Wireless Controller 2504. Внутренности

  С завода пришел новый контроллер Cisco Wireless Controlller 2504. Спецификацию к данной железке можно посмотреть на сайте производителя.

  Не успели достать из коробки, как почти сразу пришлось контроллер разобрать: какая-то мелкая деталь болталась по всему корпусу. Решили не рисковать (вдруг что-то металлическое, поймаем "козу"), вскрыть и посмотреть. Оказалось, что это плохо закрепленный пластиковый крепеж с металлической пружинкой, который должен крепить радиатор к чипу процессора. Вроде ничего страшного, но как-то неприятно все равно.

Вернули крепеж на место, ну и заодно сфотографировали внутренности контроллера. 

 

CCNP Route Шпаргалки - EIGRP: Stuck in Active (SIA)

   Если топология представляет собой древовидную структуру, как на рисунке ниже, то может возникнуть следующая проблема.

Допустим, маршрутизатор Core инициировал поиск нового маршрута, и отослал соседям Query-запросы. Они в свою очередь разослали Query своим соседям и ждут ответа от них. Пока WAN_1 не получит ответы от всех своих соседей, он не отошлет Reply маршрутизатору Core. Время ожидания Reply-сообщения в EIGRP по умолчанию равно 3 минутам. Данное время называется active timer. Маршруты, для которых маршрутизатор так и не получил Reply-сообщение, переводится в состояние Stuck-in-Active.

CCNP Route Шпаргалки - EIGRP: Query/Reply-сообщения. Stub-router in EIGRP

Итак, когда протокол EIGRP сошелся и все необходимые маршруты были найдены, в таблице топологии можно увидеть следующую картину для маршрутов-successor'ров:

R2#sh ip eigrp topology

IP-EIGRP Topology Table for AS(100)/ID(10.1.2.9)

Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status

P 10.1.3.8/30, 1 successors, FD is 40640000
        via 10.1.203.3 (40640000/128256), Serial0/1

Состояние P (Passive) означает, что данный маршрут активен и работает, алгоритм DUAL не предпринимает никаких попыток по поиску каких-либо замен для маршрута.

Что же происходит, если EIGRP по каким-либо причинам удаляет имеющийся маршрут-successor, при этом Feasible Successor (FS) отсутствует?

CCNP Route Шпаргалки - EIGRP: Соседство и обновления (Neighborship & Updates)

   Во время работы протокол EIGRP генерирует полные и частичные обновления таблиц маршрутизации, которые он посылает на мультикастный адрес 224.0.0.10. Правила обмена этими сообщениями выглядят следующим образом:

CCNP Route Шпаргалки - EIGRP: аутентификация соседей

  Аутентификация в EIGRP позволяет аутентифицировать каждое сообщение. Использовать это можно, как я понимаю, для предотвращения внедрения ложных маршрутизаторов с запущенным EIGRP-процессом.

  Для аутентификации используется PSK (pre-shared key), который должен совпадать на всех маршрутизаторах, которые хотят установить соседство друг с другом. Алгоритм подписи сообщений - MD5.

  Если аутентификация не прошла, то есть подпись сообщения не проходит проверку, сообщения просто сбрасываются, и соседство между маршрутизаторами не устанавливается.

  Настройка аутентификации осуществляется в три шага:

EMC VNX5100 Alert Code: 0x7404 и 0x7409

Дано: свежеприехавший и свежераспакованный EMC VNX5100. Подключен по всем правилам к SPS'ам, включен в розетку.

Проблема: Health check в USM (Unisphere service manager) сообщает о наличии следующих ошибок:

Disk Processor Enclosure (Enclosure SPE) is faulted. Servers may have lost access to disk drives in this storage system.

Alert Code: 0x7409

Standby Power Supply (Enclosure SPE SPS A) is faulted. The storage system will disable write cache.

Alert Code: 0x7404


Standby Power Supply (Enclosure SPE SPS B) is faulted. The storage system will disable write cache.


Alert Code: 0x7404

642-813 Implementing Cisco IP Switching Networks - Материалы для подготовки

Успешно сдан экзамен Cisco SWITCH.
43 вопроса из них 3 лабораторных работы, два HotSpot-вопроса, множество Drag&Drop'ов.
Времени на все это дается 170 минут (т.к. сдавал на английском).

Для подготовки использовались следующие материалы:

CCNP SWITCH Шпаргалки - группирование интерфейсов в макро-группы

Cisco macro interface group

В случае, если на коммутаторе множество портов имеет одинаковые настройки, неудобно каждый раз использовать команду interface range. Можно сгруппировать эти интерфейсы под одним названием и вызывать их в случае необходимости. Как сделать:

Switch(config)# define interface-range macro-name type module/number [, type module/ number ...] [type module/first-number – last-number] [...] - определяем имя группы и интерфейсы, которые будут входить в эту группу

Для вызова группы используем команду:

Switch(config)# interface range macro macro-name