1. Обобщенная структура территориально распределенной корпоративной сети Типовые методы объединения отдельных сетей офисов в единую кспд

70 как PAT может транслировать лишь один или несколько внешних адресов. Как показано на рисунке 2, хосты
10.0.0.2 и 10.0.0.3 посылают пакеты во внешнюю сеть, используя один IP-адрес 179.9.8.80 и разные порты.
Поскольку номер порта записывается двумя байтами, общее количество внутренних адресов, которые могут быть транслированы в один внешний адрес, при использовании PAT теоретически может достигать 65 536 для каждого IР-адреса. PAT пытается сохранить первоначальный порт источника. Если порт источника уже присвоен, то адресация PAT пытается найти первый доступный номер порта в соответствующей группе портов 0-511, 512-1023 или 1024-65535. Если в соответствующей группе нет доступных портов, и конфигурируется более одного IP- адреса, то PAT переходит к следующему IP-адресу и пытается вновь найти первоначальный порт источника. Это процесс продолжается до тех пор, пока PAT не исчерпает доступные порты и внешние IP-адреса.
62. Конфигурирование статической трансляции адресов NAT.
Под статической трансляцией понимается ручное конфигурирование адресов в просмотровой таблице. Для каждого внутреннего локального адреса при использовании статической NAT требуется внутренний глобальный адрес. Для того, чтобы сконфигурировать статическую трансляцию внутреннего адреса, требуется выполнить действия, описанные ниже.
1.Задать статическую трансляцию внутреннего локального адреса во внутренний глобальный адрес.
Router (config)#ip nat inside source static local-ip global-ip
2.Задать внутренний интерфейс и указать его, как принадлежащий к внутренней сети
Router (config)#interface type number
Router (config-if)#ip nat inside
3.Задать выходной интерфейс и указать его, как подсоединенный извне
Router (config)#interface type number
Router(config-if)#ip nat outside
Пример статической NAT-адресации: hostname GW
! ip nat inside source static 10.1.1.2 192.168.1.2
! interface Ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside
! interface Seria10 ip address 192.168.1.1 255.255.255.0 ip nat outside
! ip nat inside source static 10.1.1.2 192.168.1.2
Рисунок - Статическая NAT адресация.

71
63. Конфигурирование динамической трансляции адресов NAT.
При использовании динамической трансляции адресов преобразования адресов не существуют в
NAT-таблице до тех пор, пока маршрутизатор не получит данные, для которых такая трансляция требуется.
Динамические преобразования адресов являются временными и в конечном итоге устаревают и удаляются.
Для того, чтобы сконфигурировать трансляцию внутренних адресов, следует выполнить действия, описанные ниже.
1.Задать пул глобальных адресов, которые будут использоваться по мере необходимости.
Router (config)#ip nat pool имя нач-ip конеч-ip {netmask маска | prefix-length длина- префикса}
2.Создать стандартный список доступа для идентификации тех адресов, которые нужно будет транслировать.
Router (config)#access-list номер-списка permit источник [шаблон-источник]
3.Сконфигурировать динамический NAT на основе адресов источника
Router (config)#ip nat inside source list номер-списка-дост pool имя
4.Указать внутренний интерфейс
Router (config)#interface type number
Router (config-if)#ip nat inside
5.Указать внешний интерфейс
Router (config)#interface type number
Router(config-if)#ip nat outside
Список доступа должен определять только те адреса, которые следует транслировать. Следует помнить о том, что неявная команда deny all присутствует в каждом списке доступа. Недостаточно строгий список доступа может привести к непредсказуемым результатам. Рекомендуется не конфигурировать списки доступа, на которые ссылаются команды NAT с permit any (т.е. разрешить трансляцию для всех).
Использование permit any может привести к тому, что NAT будет потреблять слишком много ресурсов маршрутизатора, что может вызвать проблемы в сети.
Приведенные ниже команды конфигурируют соответствующие интерфейсы для выполнения внутренних и внешних функций.
Пример динамической NAT-адресации: ip nat pool nat-pool1 179.9.8.80 179.9.8.95 netmask 255.255.255.0 ip nat inside source list 1 pool nat-pool1
! interface fastethernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside
! interface Serial0/0 ip address 192.168.1.1 255.255.255.0 ip nat outside
!
Рисунок - Динамическая NAT-адресация.
В примере происходит трансляция всех адресов, проходящих через список доступа 1 (имеющие адрес источника от 10.0.0.0/16) в адрес из пула с именем nat-pool. Этот пул содержит адреса из диапазона от
179.9.8.80/28 до 179.9.8.95/28.

72
64. Перегрузка NAT/PAT, таблицы TCP/UDP портов.
Перезагрузка NAT
Одной из наиболее мощных функций NAT является способность использовать PAT. Это иногда называется NAT-адресацией "много-в-один" или перегрузкой адреса. При использовании перегрузки
(overloading) сотни узлов с частными адресами могут получать доступ к внешней сети (Internet), используя лишь один глобальный адрес. NAT-маршрутизатор отслеживает различные сеансы связи, устанавливая соответствие TCP и UDP номеров портов в таблице трансляции.
Нередко случается так, что имеющийся в распоряжении пользователя пул адресов NAT существенно меньше частного адресного пространства IP, подлежащего преобразованию. Например, для соединений с Internet часто используется только один открытый IP-адрес. Вариант NAT, известный как Port
Address Translation (PAT) или Network Address Port Translation (NAPT), позволяет в такой ситуации одновременно задействовать этот открытый IP-адрес для нескольких сетевых компонентов.
В случае PAT устройство NAT также вставляет в IP-пакет вместо адреса отправителя открытый IP- адрес. Чтобы можно было отличить IP-пакеты различных отправителей, оно заменяет (возможно, неоднозначный) порт TCP/UDP в заголовке TCP/UDP исходного пакета IP на другой, уникальный порт
TCP/UDP и вносит соответствующую запись в таблицу NAT. В последующем таблица NAT становится основой для обратного преобразования IP-адресов.
При таком преобразовании система должна заново рассчитать контрольную последовательность не только заголовка IP, но и заголовка TCP/UDP. После этого она создает новый заголовок TCP/UDP и IP и передает пакет IP соответствующему адресату. Для того, чтобы сконфигурировать перегрузку внутренних глобальных адресов, следует выполнить действия, описанные ниже.
1. Определить стандартный список доступа, разрешающий те адреса, которые должны транслирроваться
Router (config)#access-list номер-списка permit источник [шаблон-источник]
2. Сконфигурировать динамический NAT на основе адресов источников, указать список доступа, определенный на предыдущем этапе.
Router (config)#ip nat inside source list номер-списка-дост interface интерфейс overload
3. Задать набор глобальных адресов, которые будут использоваться для перезагрузки. Router
(config)#ip nat pool имя ip-адрес {netmask маска | prefix-length длина-префикса}
4. Задать трансляцию с перезагрузкой.
Router (config)#ip nat inside source list номер-списка-дост pool имя overload
5. Указать внутренний интерфейс
Router (config)#interface type number
Router (config-if)#ip nat inside
6. Указать внешний интерфейс
Router (config)#interface tуре number
Router(config-if)#ip nat outside
Пример перезагрузки NAT
1. Перезагрузка на интерфейсе.
Router(config)#access-list 1 permit 10.0.0.0 0.0.255.255
Router(config)#ip nat inside source list 1 interface serial0/0 overload
Router(config)#interface s0
Router(config-if)#ip nat outside
Router(config-if)#interface ethernet 0
Router(config-if)#ip nat inside
2. Перезагрузка с использованием пула.
Router(config)#access-list 1 permit 10.0.0.0 0.0.255.255
Router(config)#ip nat pool nat-pool2 179.9.8.20 netmask 255.255.255.240
Router(config)#ip nat inside source list 1pool nat-pool2 overload
Router(config)#interface s0
Router(config-if)#ip nat outside
Router(config-if)#interface ethernet 0
Router(config-if}#ip nat inside
нформация о трансляции
show ip nat translation Отображает активные сеансы трансляции адресов
show ip nat statistics
Отображает статистику трансляций

73
65. Основные параметры, характеризующие качество обслуживания трафика в
сетях IP.
В настоящее время все большую часть трафика в корпоративных IP-сетях составляет интерактивная информация, чувствительная к задержкам и гарантированной доставке. Максимальная задержка не должна превышать нескольких десятых долей секунды, причем сюда входит и время обработки информации на конечной станции. Вариацию задержки также необходимо свести к минимуму. Следовательно, устройства
IP-сети должны обладать возможностью дифференцированнного обслуживания различных типов сетевого трафика в зависимости от предъявляемых ими требований.
Протокол IP может обеспечить лишь негарантированную доставку данных (best- effort service).
Негарантированная доставка данных не предполагает проведения какого- либо различия между тысячами потоков информации в IP-сети. Следовательно, IP-сеть не может обеспечить никакой гарантии надежной доставки трафика приложений. Для разрешения этой проблемы было введено такое понятие, как качество обслуживания (Quality of Service - QoS) в сетях IP.
Необходимый сервис описывается многими параметрами, среди них самые важные:
• Bandwidth (BW) - полоса пропускания, описывает номинальную пропускную способность среды передачи информации (определяет ширину канала).
• Delay - задержка при передаче пакета.
• Jitter - колебание (вариация) задержки при передаче пакетов.
• Packet Loss - потери пакетов, определяет количество пакетов, отбрасываемых сетью во время передачи.

74
66. Сервисные модели реализации QoS, их достоинства и недостатки.
1. Best Effort Service
Сервис негарантированной доставки. Полное отсутствие механизмов QoS. Используются все доступные ресурсы сети без какого-либо выделения отдельных классов трафика и регулирования. Считается, что лучшим механизмом обеспечения QoS является увеличение пропускной способности. Это в принципе правильно, однако некоторые виды трафика (например, голосовой) очень чувствительны к задержкам пакетов и изменению скорости их прохождения. Модель «Best Effort Service» даже при наличии больших резервов допускает возникновение перегрузок в случае резких всплесков трафика. Поэтому были разработаны и другие подходы к обеспечению QoS.
2. Integrated Service (IntServ)
Integrated Service (IntServ, RFC 1633) - модель интегрированного обслуживания. Может обеспечить сквозное
(End-to-End) качество обслуживания, гарантируя необходимую пропускную способность. IntServ использует для своих целей протокол сигнализации RSVP. Позволяет приложениям выражать сквозные требования к ресурсам и содержит механизмы обеспечения данных требований. IntServ можно кратко охарактеризовать как резервирование ресурсов
(Resource reservation).
В соответствии с концепциями «Integrated Services» приложения могут выбирать для своих потоков данных любой из многочисленных контролируемых уровней качества обслуживания. Для этого к базовым IP-сервисам добавляются новые компоненты и механизмы. Обслуживание в реальном времени требует гарантий, и эти гарантии не могут быть обеспечены без резервирования. Протокол RSVP предусматривает, что ресурсы резервируются для каждого потока, требующего QoS, на каждом4 промежуточном маршрутизаторе на пути от отправителя к получателю с использованием сигнализации «из конца в конец». Это, в свою очередь, требует хранения на маршрутизаторах данных о состоянии каждого конкретного потока и, как следствие, подразумевает кардинальные изменения в общей модели
Internet. Кроме того, такое решение предлагает способ передачи требований приложения элементам сети, расположенным вдоль пути, и обмена служебной информацией QoS между сетевыми элементами и приложением.
Недостатки использования протокола RSVP следующие:
• требуется время на прокладку маршрута резервирования, что может быть критичным в больших корпоративных и глобальных сетях;
• дополнительная загрузка промежуточных маршрутизаторов информацией о характере передаваемого трафика.
3. Differentiated Service (DiffServ)
Differentiated Service (DiffServ, RFC 2474/2475) - модель дифференцированного обслуживания. Определяет обеспечение QoS на основе четко определенных компонентов, комбинируемых с целью предоставления требуемых услуг. Архитектура DiffServ предполагает наличие классификаторов и формирователей трафика на границе сети, а также поддержку функции распределения ресурсов в ядре сети в целях обеспечения требуемой политики пошагового обслуживания (Per-Hop Behavior - PHB). DiffServ разделяет трафик на классы, вводя несколько уровней QoS, и состоит из следующих функциональных блоков:
• граничные формирователи трафика
(классификация пакетов, маркировка,управление интенсивностью) и
• модули реализации PHB политики (распределение ресурсов, политика отбрасывания пакетов).
DiffServ можно кратко охарактеризовать как приоритезацию трафика (Prioritization). Механизмы DiffServ усовершенствуют протокол IP с целью преодолеть недостатки IntServ/RSVP и обеспечить масштабируемое избирательное обслуживание в Internet без необходимости запоминать состояние каждого потока и поддерживать сигнализацию. В отличие от RSVP, в случае DiffServ отправитель и получатель не обмениваются информацией о требованиях к качеству обслуживания, что исключает временные затраты на прокладку пути, присущие RSVP.
Механизмы DiffServ ограничиваются только установлением соответствия между услугами и различными уровнями «чувствительности» к задержкам и потерям, то есть не имеют дела с точными значениями или гарантиями.
Они не рассчитаны на обеспечение того или иного уровня обслуживания. Вместо этого они стараются обеспечить относительное упорядочивание агрегированных потоков, так что с одним из них «обращаться лучше», чем с другим, в зависимости от определенных правил обслуживания.
Масштабируемость архитектуры DiffServ достигается за счет объединения классификационных признаков трафика, при этом информация о типе трафика передается в заголовке IP-датаграммы. При этом сложные операции классификации, маркировки, определения правил обслуживания и формирования трафика выполняются только на границах сети или же на хостах.
4. Перспективы моделей QoS
Применяемые вместе IntServ и DiffServ могут способствовать внедрению IP- телефонии, видео по требованию и различных критически важных для предприятий немультимедийных приложений. IntServ позволяет хостам запрашивать конкретный объем ресурсов для каждого потока и использовать обратную связь для определения возможности выполнения запросов. DiffServ обеспечивает масштабируемость для крупных корпоративных сетей. В настоящее время предложена гибридная структура. Она предусматривает применение модели, в которой периферийные подсети поддерживают RSVP и IntServ. Эти подсети связаны промежуточными сетями DiffServ. Благодаря масштабируемости сетей DiffServ данная модель позволяет расширить диапазон действия сетей IntServ/RSVP. Промежуточные сети
DiffServ выглядят для сетей IntServ/RSVP как одно транзитное звено. Хосты, подключенные к периферийным сетям
IntServ/RSVP, передают через сети DiffServ запросы друг другу на резервирование ресурсов для каждого отдельного потока. Внутри периферийных сетей IntServ/RSVP применяется стандартная обработка протоколов IntServ/RSVP, а сигнальные сообщения RSVP передаются через сети DiffServ прозрачным образом. Устройства на границе между сетями IntServ/RSVP и сетями DiffServ обрабатывают сообщения RSVP и обеспечивают входной контроль с учетом наличия ресурсов внутри сети DiffServ.

75
67. Базовые функции (механизмы) QoS, краткая характеристика.
Базовые функции QoS заключаются в обеспечении необходимых параметров сервиса и определяются по отношению к трафику как:
• Packet Classification - классификация;
• Packet Marking - разметка;
• Congestion Management - управление перегрузками;
• Queuing - распределение по очередям;
• Scheduling - механизмы (алгоритмы) обработки очередей;
Каждый алгоритм разрабатывался для решения определённых задач и поэтому специфическим образом воздействует на качество обслуживания различных типов трафика в сети. Возможно комбинированное применение этих алгоритмов.

Предотвращение перегрузок;

Регулирование.
Функционально классификация и разметка чаще всего обеспечиваются на входных портах оборудования, а управление и предотвращение перегрузок – на выходных.
Чаще всего в маршрутизаторах и коммутаторах применяются следующие алгоритмы обработки очередей:

традиционный алгоритм FIFO;

приоритетное обслуживание (Priority Queueing), которое также называют

«подавляющим»;

взвешенные, в том числе настраиваемые очереди (Weighted Queueing ,Custom
Queueing);

взвешенное справедливое обслуживание (Weighted Fair Queueing, WFQ).
68. Классификация и маркировка кадров на уровне Layer 2 (Cos).
Классификация и разметка пакетов (Packet Classification and Marking)
Классификация пакетов (Packet Classification) представляет собой механизм соотнесения пакета к определенному классу трафика. Другой не менее важной задачей при обработке пакетов является маркировка пакетов (Packet Marking) - назначение соответствующего приоритета (метки).
В зависимости от уровня модели OSI эти задачи решаются по-разному.
Layer 2 Classification and Marking
Протокол Ethernet в чистом виде не поддерживает поле приоритета. Поэтому на Ethernet портах (Access Port) возможна лишь внутренняя (по отношению к коммутатору) классификация по номеру входящего порта и отсутствует какая-либо маркировка.
Более гибким решением является использование стандарта IEEE 802.1P, который разрабатывался совместно с 802.1Q. Иерархия отношений здесь следующая:
• 802.1D описывает технологию мостов и является базовой для
802.1Q и 802.1P.
• 802.1Q описывает технологию виртуальных сетей (VLAN).
• 802.1P обеспечение качества обслуживания.
В целом, включение поддержки 802.1Q автоматически дает возможность использования
802.1P. Согласно стандарту используются 3 бита в заголовке второго уровня, которые называются
Class of Service (CoS). Таким образом, CoS может принимать значения от 0 до 7.

76