Baixe o app para aproveitar ainda mais
Prévia do material em texto
Recomendações • Site de aprendizagem da Huawei • http://learning.huawei.com/en • Huawei e-Learning • https://ilearningx.huawei.com/portal/#/portal/EBG/51 • Certificação Huawei • http://support.huawei.com/learning/NavigationAction!createNavi?navId=_31 & lang = en • Encontre treinamento • http://support.huawei.com/learning/NavigationAction!createNavi?navId=_trai ningsearch & lang = en Mais Informações • APP de aprendizagem Huawei 版权所有 © 201 9 华为 技术 有限公司 Certificação Huawei HCIA- Roteamento e comutação INTERMEDIÁRIO Dispositivo e tecnologia de rede Huawei Huawei Technologies Co., Ltd. Copyright © Huawei Technologies Co., Ltd. 2019. Todos os direitos reservados. A Huawei possui todos os direitos autorais, exceto referências a outras partes. Nenhuma parte deste documento pode ser reproduzida ou transmitida de qualquer forma ou por qualquer meio sem o consentimento prévio por escrito da Huawei Technologies Co., Ltd. Marcas registradas e permissões e outras marcas registradas da Huawei são marcas registradas da Huawei Technologies Co., Ltd. Todas as outras marcas e nomes comerciais mencionados neste documento são propriedade de seus respectivos proprietários. Aviso prévio As informações neste manual estão sujeitas a alterações sem aviso prévio. Todos os esforços foram feitos na preparação deste manual para garantir a precisão do conteúdo, mas todas as declarações, informações e recomendações neste manual não constituem garantia de qualquer tipo, expressa ou implícita. Certificação Huawei HCIA-Routing & Switching Huawei Networking Technology e dispositivo Intermediário Versão 2.5 Sistema de Certificação Huawei Baseando-se em seu forte sistema de certificação e treinamento técnico e profissional e de acordo com os clientes de diferentes níveis de tecnologia de ICT, a certificação da Huawei está comprometida em fornecer aos clientes uma certificação profissional autêntica e atende à necessidade de desenvolvimento de engenheiros de qualidade capazes de apoiar Redes corporativas em face de uma indústria de TIC em constante mudança. O portfólio de certificação da Huawei para roteamento e comutação (R&S) é composto de três níveis para apoiar e validar o crescimento e o valor das habilidades e conhecimento do cliente em tecnologias de roteamento e comutação. O nível de certificação Huawei Certified Network Associate (HCIA) valida as habilidades e o conhecimento dos engenheiros de rede IP para implementar e oferecer suporte a redes corporativas de pequeno e médio porte. A certificação HCIA fornece uma base rica de habilidades e conhecimentos para o estabelecimento de tais redes empresariais, junto com a capacidade de implementar serviços e recursos dentro das redes empresariais existentes, para apoiar efetivamente as verdadeiras operações da indústria. A certificação HCIA abrange habilidades básicas para TCP / IP, roteamento, comutação e tecnologias de rede IP relacionadas, juntamente com produtos de comunicação de dados Huawei, e habilidades para operação e gerenciamento de plataforma de roteamento versátil (VRP). A certificação Huawei Certified Network Professional (HCIP-R & S) é destinada a engenheiros de rede corporativa envolvidos em projeto e manutenção, bem como a profissionais que desejam desenvolver um conhecimento profundo de roteamento, comutação, eficiência de rede e tecnologias de otimização. HCIP-R & S consiste em três unidades, incluindo implementação de roteamento empresarial e rede de comutação (IERS), melhoria do desempenho de rede empresarial (IENP) e implementação de projeto de engenharia de rede empresarial (IEEP), que inclui roteamento IPv4 avançado e princípios de tecnologia de comutação, segurança de rede, alta disponibilidade e QoS, bem como aplicação das tecnologias cobertas nos produtos Huawei. A certificação Huawei Certified Internet Expert (HCIE-R & S) é projetada para imbuir engenheiros com uma variedade de tecnologias de rede IP e proficiência em manutenção, para o diagnóstico e solução de problemas de produtos Huawei, para equipar engenheiros com competência profunda em planejamento, design e otimização de redes IP de grande escala. CONTEÚDO Link de agregação ................................................ .................................................. . 1 Princípios de VLAN ................................................ .................................................. ..14 Roteamento de VLAN ................................................ .................................................. ..... 43 Princípio e configuração de HDLC e PPP ........................................... .... 57 Princípio e configuração do PPPoE ............................................. ................. 85 Tradução do Endereço da Rede............................................... ........................... 105 Listas de controle de acesso ............................................... ............................................ 125 AAA ................................................. .................................................. ................... 139 Protegendo dados com VPN IPSec ............................................. ............................ 151 Encapsulamento de roteamento genérico ............................................... ........................ 168 Protocolo de gerenciamento de rede simples .............................................. .......... 184 Apresentando redes IPv6 ............................................... ............................... 197 Tecnologias de roteamento IPv6 ............................................... ............................... 214 Serviços de aplicativos IPv6-DHCPv6 ............................................. .................... 225 Princípio Básico MPLS ............................................... .......................................... 240 Princípio Básico SR ............................................... ................................................ 266 • A agregação de link refere-se à implementação de um link de tronco que atua como um link ponto a ponto direto, entre dois dispositivos, como roteadores de peering, switches ou uma combinação de roteador e switch em cada extremidade do link. A agregação de link consiste em links considerados membros de um tronco Ethernet e constroem uma associação que permite que os links físicos operem como um único link lógico. O recurso de agregação de link suporta alta disponibilidade, permitindo que o link físico de uma interface de membro alterne o tráfego para outro link de membro no caso de falha de uma interface específica. Ao agregar os links, a largura de banda de uma interface de tronco é combinada, igualando a soma da largura de banda de todas as interfaces membros, para permitir um aumento efetivo da largura de banda para o tráfego no link lógico. A agregação de link também pode implementar balanceamento de carga em uma interface de tronco. Isso permite que a interface de tronco disperse o tráfego entre suas interfaces de membro e, em seguida, transmita o tráfego pelos links de membro para o mesmo destino, minimizando assim a probabilidade de congestionamento da rede. • A agregação de link é frequentemente aplicada em áreas da rede corporativa onde a conectividade de alta velocidade e o potencial de congestionamento podem ocorrer. Isso geralmente equivale à rede central, onde reside a responsabilidade pela comutação de alta velocidade e onde o tráfego de todas as partes da rede corporativa geralmente se reúne antes de ser encaminhado para destinos em outras partes da rede ou para destinos remotos além dos limites da rede corporativa . O exemplo demonstra como os switches centrais (SWA e SWB) suportam a agregação de link sobre links membros que interconectam os dois dispositivos de switch centrais, como um meio de garantir que o congestionamento não se acumule em um ponto crítico da rede. • A agregaçãode links suporta dois modos de implementação, um modo de balanceamento de carga manual e modo LACP estático. No modo de balanceamento de carga, as interfaces de membro são adicionadas manualmente a um grupo de agregação de link (LAG). Todas as interfaces configuradas com balanceamento de carga são definidas em um estado de encaminhamento. O AR2200 pode realizar o balanceamento de carga com base em endereços MAC de destino, endereços MAC de origem, OR exclusivo dos endereços MAC de origem e destino, endereços IP de origem, endereços IP de destino ou OR exclusivo de endereços IP de origem e destino. O modo de balanceamento de carga manual não usa o protocolo de controle de agregação de link (LACP), portanto, o AR2200 pode usar esse modo se o dispositivo de mesmo nível não suportar o LACP. No modo LACP estático, os dispositivos nas duas extremidades de um link negociam os parâmetros de agregação trocando pacotes LACP. Após a conclusão da negociação, os dois dispositivos determinam a interface ativa e a interface inativa. Neste modo, é necessário criar manualmente um Eth-Trunk e adicionar membros a ele. A negociação LACP determina quais interfaces estão ativas e quais estão inativas. O modo LACP estático também é conhecido como modo M: N, onde M significa os links de membros ativos que encaminham dados em um modo de balanceamento de carga, e N representa esses links inativos, mas fornecendo redundância. Se um link ativo falhar, o encaminhamento de dados é alternado para o link de backup com a prioridade mais alta e o status do link de backup muda para ativo. No modo LACP estático, alguns links podem funcionar como links de backup, • • Como uma interface lógica para vincular várias interfaces físicas e retransmitir dados da camada superior, uma interface de tronco deve garantir que todos os parâmetros das interfaces físicas (interfaces de membro) em ambas as extremidades do link de tronco sejam consistentes. Isso inclui o número de interfaces físicas, as taxas de transmissão e modos duplex das interfaces físicas e os modos de controle de tráfego das interfaces físicas, para as quais deve ser observado que as interfaces de membro podem ser interfaces de camada 2 ou camada 3. Onde a velocidade da interface não é consistente, ainda é possível para o link de tronco operar, no entanto, as interfaces que operam em uma taxa mais baixa provavelmente experimentarão perda de quadros. Além disso, a sequência do fluxo de dados deve permanecer inalterada. Um fluxo de dados pode ser considerado um grupo de frames com o mesmo endereço MAC e endereço IP. Por exemplo, a conexão telnet ou FTP entre dois dispositivos pode ser considerada como um fluxo de dados. Se a interface do tronco não estiver configurada, os quadros que pertencem a um fluxo de dados ainda podem alcançar seu destino na ordem correta porque os fluxos de dados são transmitidos por um único link físico. Quando a tecnologia de tronco é usada, vários links físicos são vinculados ao mesmo link de tronco e os quadros são transmitidos ao longo desses links físicos. Se o primeiro quadro for transmitido por um link físico e o segundo quadro for transmitido por outro link físico, é possível que o segundo quadro alcance o destino antes do primeiro quadro. • • Para evitar a desordem de quadros, um mecanismo de encaminhamento de quadros é usado para garantir que os quadros no mesmo fluxo de dados cheguem ao destino na sequência correta. Esse mecanismo diferencia os fluxos de dados com base em seus endereços MAC ou endereços IP. Desse modo, os quadros pertencentes ao mesmo fluxo de dados são transmitidos pelo mesmo link físico. Depois que o mecanismo de encaminhamento de quadros é usado, os quadros são transmitidos com base nas seguintes regras: Quadros com os mesmos endereços MAC de origem são transmitidos pelo mesmo link físico. Quadros com os mesmos endereços MAC de destino são transmitidos pelo mesmo link físico. Quadros com os mesmos endereços IP de origem são transmitidos pelo mesmo link físico. Os quadros com os mesmos endereços IP de destino são transmitidos pelo mesmo link físico. Quadros com os mesmos endereços MAC de origem e destino são transmitidos pelo mesmo link físico. Quadros com os mesmos endereços IP de origem e destino são transmitidos pelo mesmo link físico. • • • • • • • O estabelecimento da agregação de links é obtido usando o comando interface Eth-trunk <trunk-id>. Este comando cria uma interface Eth-Trunk e permite que a visualização da interface Eth-Trunk seja acessada. O tronco-id é um valor usado para identificar exclusivamente o Eth-trunk e pode ser qualquer valor inteiro de 0 a 63. Se o Eth-Trunk especificado já existir, é possível entrar diretamente na visualização da interface EthTrunk usando o comando interface Eth-trunk. Um Eth-Trunk só pode ser excluído se o Eth-Trunk não contiver nenhuma interface de membro. Ao adicionar uma interface a um Eth-Trunk, as interfaces membro de um Eth-Trunk da camada 2 devem ser interfaces da camada 2 e as interfaces membro de um Eth-Trunk da camada 3 devem ser interfaces da camada 3. Um Eth-Trunk pode suportar no máximo oito interfaces de membros. Uma interface de membro não pode ter nenhum serviço ou endereço MAC estático configurado. As interfaces adicionadas a um Eth-Trunk devem ser interfaces híbridas (o tipo de interface padrão). Uma interface Eth-Trunk não pode ter outras interfaces Eth-Trunk como interfaces de membro. Uma interface Ethernet pode ser adicionada a apenas uma interface Eth-trunk. Para adicionar a interface Ethernet a outro tronco Eth, a interface Ethernet deve ser excluída do tronco Eth atual primeiro. As interfaces dos membros de um tronco Eth devem ser do mesmo tipo, por exemplo, uma interface Fast Ethernet e uma interface Gigabit Ethernet não podem ser adicionadas à mesma interface Eth-trunk. A interface de par diretamente conectada a uma interface de membro do Eth-Trunk local também deve ser adicionada a um Eth-Trunk, caso contrário, as duas extremidades não podem se comunicar. Quando as interfaces de membro têm taxas diferentes, as interfaces com taxas mais baixas podem ficar congestionadas e pode ocorrer perda de pacotes. Depois que uma interface é adicionada a um Eth-Trunk, o aprendizado do endereço MAC é realizado pelo Eth-Trunk em vez das interfaces dos membros. • • Para configurar a agregação de link da camada 3 em um link de tronco Ethernet, é necessário fazer a transição do tronco da camada 2 para a camada 3 usando o desfazer a mudança de porta comando sob a interface lógica Eth-trunk. Uma vez o desfazer a mudança de porta tiver sido executado, um endereço IP pode ser atribuído à interface lógica e as interfaces de membro físico que devem ser associadas ao link de tronco Ethernet podem ser adicionadas. • Usando o exibir interface eth-trunk <trunk-id> É possível confirmar a implementação bem-sucedida da Agregação de Link entre os dois dispositivos de peering. O comando também pode ser usado para coletar estatísticas de tráfego e localizar falhas na interface. O estado atual do tronco Eth é definido como UP, sinalizando que a interface está operando normalmente. Onde a interface mostra como inativo, isso sinaliza que ocorreu um erro na camada física, enquanto um erro administrativamente inativo reflete que o desligar comando foi usado na interface. O erro específico em caso de falha pode ser descoberto verificando o status das portas, para as quais todas as portas devem mostrar um status UP. O balanceamento de carga é suportado quando o peso de todos os links é considerado igual. • • Uma interface Fast Ethernet e uma interface Gigabit Ethernet não podem ser adicionadas à mesma interface Eth-trunk; qualquer tentativa de estabelecer links de membros de diferentes tipos resultará em um erro especificando que o tronco adicionou um membro de outro tipo de porta. Deve-se observar que o switch da série S5700 suportaapenas interfaces Gigabit Ethernet; no entanto, esse comportamento pode ser aplicado a outros modelos, incluindo o switch S3700. Apenas o modo LACP é capaz de suportar links de membros de backup e, portanto, deve ser usado se os links de backup forem necessários. • • À medida que as redes locais se expandem, o tráfego aumenta e as transmissões se tornam mais comuns. Não há limites reais dentro de uma rede em expansão, causando interrupções e aumento da utilização do tráfego. Tradicionalmente, a opção alternativa era implementar um dispositivo de camada três dentro da rede local para gerar domínios de broadcast, no entanto, ao fazer isso, despesas adicionais foram incorridas e o comportamento de encaminhamento de tais dispositivos não forneceu um rendimento tão eficiente quanto encontrado com switches, levando a gargalos em pontos de trânsito entre domínios de broadcast. • O princípio da tecnologia VLAN foi introduzido, permitindo o isolamento do tráfego na camada de enlace de dados. A tecnologia VLAN tem a vantagem adicional de isolamento de tráfego sem a limitação de limites físicos. Os usuários podem estar fisicamente dispersos mas ainda ser associado como parte de um único domínio de broadcast, isolando logicamente usuários de outros grupos de usuários na camada de enlace de dados. Hoje, a tecnologia VLAN é aplicada como uma solução para uma variedade de desafios. • Os quadros de VLAN são identificados usando um cabeçalho de tag que é inserido no quadro Ethernet como um meio de distinguir um quadro associado a uma VLAN de quadros de outra. O formato da tag VLAN contém um Tag Protocol Identifier (TPID) e informações de controle de tag (TCI) associadas. O TPID é usado para identificar o quadro como um quadro marcado, que atualmente se refere apenas ao formato de marca IEEE 802.1Q, para o qual um valor de 0x8100 é usado para identificar esse formato. O TCI contém campos que estão associados ao tipo de formato de tag. O ponto de código de prioridade (PCP) é uma forma de campo de classificação de tráfego que é usado para diferenciar uma forma de tráfego de outra, de modo a priorizar o tráfego geralmente com base em uma classificação como voz, vídeo, dados etc. Isso é representado por um três valor de bit que permite um intervalo de 0-7 e pode ser compreendido com base nos princípios gerais de classe de serviço (CoS) 802.1p. O indicador de elegibilidade de descarte (DEI) representa um valor de bit único que existe em um estado Verdadeiro ou Falso para determinar a elegibilidade de um quadro para descarte em caso de congestionamento. O ID da VLAN indica a VLAN à qual o quadro está associado, representada como um valor de 12 bits. Os valores de ID de VLAN variam de 0x000 a 0xFFF e para os quais os dois valores superior e inferior são reservados, permitindo 4094 combinações de VLAN possíveis. A implementação de VLANs da Huawei VRP usa VLAN 1 como VLAN padrão (PVID) com base nos padrões IEEE802.1Q. • • • Os links de VLAN podem ser classificados em dois tipos, um tipo de link de acesso e um tipo de link de tronco. O link de acesso refere-se ao link entre um sistema final e um dispositivo de switch que participa da marcação de VLAN, o link entre terminais host e switches são todos links de acesso. Um link de tronco refere-se ao link pelo qual os quadros marcados com VLAN provavelmente serão transportados. Os links entre switches são geralmente entendidos como links de tronco. • Cada interface de um dispositivo que participa da marcação de VLAN será associada a uma VLAN. A VLAN padrão para a interface é reconhecida como o ID da VLAN da porta (PVID). Este valor determina o comportamento que é aplicado a todos os quadros recebidos ou transmitidos pela interface. • As portas de acesso associadas aos links de acesso e os quadros recebidos serão atribuídos a uma tag VLAN igual ao ID da porta VLAN (PVID) da interface. Os quadros transmitidos de uma interface normalmente removerão a etiqueta VLAN antes de encaminhá-la para um sistema final que não reconhece VLAN. Se a tag e o PVID variarem, o quadro não será encaminhado e, portanto, descartado. No exemplo, um quadro (não marcado) é encaminhado para a interface do switch, que pode ser entendido como encaminhamento para todos os outros destinos. Ao receber o quadro, o switch irá associar o quadro à VLAN 10 com base no PVID da interface. O switch é capaz de identificar na interface da porta o PVID e decidir se o quadro pode ser encaminhado. No caso do Host C, o PVID corresponde ao VLAN ID na tag VLAN, para a qual a tag é removida e o quadro encaminhado. No entanto, para o Host B, o quadro e o PVID são diferentes e, portanto, o quadro não pode ser encaminhado para este destino. • • Para portas de tronco que estão associadas a links de tronco, o Port VLAN ID (PVID) identificará quais quadros de VLAN são necessários para transportar uma etiqueta de VLAN antes do encaminhamento e quais não são. O exemplo demonstra uma interface de tronco atribuída com um PVID de 10, para a qual deve ser assumido que todas as VLANs têm permissão para atravessar o link de tronco. Apenas os quadros associados à VLAN 10 serão encaminhados sem a tag VLAN, com base no PVID. Para todos os outros quadros de VLAN, uma etiqueta de VLAN deve ser incluída com o quadro e ser permitida pela porta antes que o quadro possa ser transmitido pelo link de tronco. Os quadros associados à VLAN 20 são transportados como quadros marcados pelo link de tronco. • Hybrid representa o tipo de porta padrão para dispositivos Huawei que suportam operação VLAN e fornece um meio de gerenciar o processo de troca de tag associado a todas as interfaces. Cada porta pode ser considerada uma porta com ou sem etiqueta. Portas que operam como portas de acesso (não marcadas) e portas que operam como portas de tronco (marcadas). As portas que são consideradas não marcadas geralmente receberão quadros não marcados dos sistemas finais e serão responsáveis por adicionar uma etiqueta ao quadro com base no ID de VLAN da porta (PVID) da porta. Uma das principais diferenças está na capacidade da porta híbrida de executar seletivamente a remoção de tags VLAN de quadros que diferem do PVID da interface da porta. No exemplo, o Host D está conectado a uma porta que especifica um Port VLAN ID de 20, enquanto ao mesmo tempo está configurado para permitir a remoção da etiqueta dos quadros recebidos da VLAN 10, permitindo assim que o Host D receba o tráfego de ambas as VLANs 10 e 20. As portas híbridas marcadas funcionarão de maneira semelhante a uma interface de tronco regular, mas existe uma grande diferença. Os quadros de VLAN que correspondem ao PVID e são permitidos pela porta continuarão a ser marcados quando encaminhados. • • • A atribuição de VLAN pode ser implementada com base em um de cinco métodos diferentes, incluindo implementações baseadas em porta, MAC, IP sub-rede, protocolo e políticas. O método baseado em porta representa o método padrão e mais comum para atribuição de VLAN. Usando este método, as VLANs são classificadas com base nos números das portas em um dispositivo de comutação. O administrador da rede configura um ID de VLAN de porta (PVID), que representa o ID de VLAN padrão para cada porta no dispositivo de comutação. Quando um quadro de dados atinge uma porta, ele é marcado com o PVID se o quadro de dados não transporta nenhuma etiqueta VLAN e a porta está configurada com um PVID. Se o quadro de dados transportar uma tag VLAN, o dispositivo de comutação não adicionará uma tag VLAN ao quadro de dados, mesmo se a porta estiver configurada com um PVID. Usando o método de atribuição de endereço MAC, as VLANs são classificadas com base nos endereços MAC das placas de interface de rede (NICs). O administrador da rede configura os mapeamentos entre endereços MAC e IDs de VLAN. Nesse caso, quando um dispositivo de comutação recebe um quadro não marcado,ele procura na tabela MAC-VLAN uma etiqueta VLAN a ser adicionada ao quadro de acordo com o endereço MAC do quadro. Para atribuição baseada em sub-rede IP, ao receber um quadro não marcado, o dispositivo de comutação adiciona uma etiqueta VLAN ao quadro com base no endereço IP do cabeçalho do pacote. Onde a classificação de VLAN é baseada no protocolo, os IDs de VLAN são alocados para pacotes recebidos em uma interface de acordo com o tipo de protocolo (suíte) e formato de encapsulamento dos pacotes. O administrador da rede configura os mapeamentos entre os tipos de protocolos e IDs de VLAN. A atribuição baseada em política implementa uma combinação de critérios para atribuição da etiqueta VLAN, incluindo a sub-rede IP, porta e endereço MAC, em que todos os critérios devem corresponder antes que a VLAN seja atribuída. • • • A implementação de VLANs começa com a criação da VLAN no switch. O comando vlan <vlan-id> é usado para criar inicialmente a VLAN no switch que pode ser considerada existente uma vez que o usuário entra na visualização da VLAN para a vlan fornecida, conforme demonstrado no exemplo de configuração. O ID de VLAN varia de 1 a 4094 e onde é necessário criar várias VLANs para um switch, o comando vlan batch <vlan-id1 to vlan-id2> pode ser usado onde intervalos de VLAN contíguos precisam ser criados e vlan batch & < 1-4094> comando usado onde “& '” representa um espaço entre intervalos de VLAN não contíguos. Todas as portas são associadas à VLAN 1 como a VLAN padrão por padrão e, portanto, o encaminhamento é irrestrito. • Depois que as VLANs foram criadas, a criação pode ser verificada usando o comando display vlan. O comando permite que informações sobre todas as VLANs sejam especificadas e, se nenhum parâmetro for especificado, uma breve informação sobre todas as VLANs será exibida. Parâmetros adicionais incluem o comando display vlan <vlan-id> verbose, usado para exibir informações detalhadas sobre uma VLAN especificada, incluindo o ID, tipo, descrição e status da VLAN, status da função de estatísticas de tráfego, interfaces na VLAN e modo no qual as interfaces são adicionadas à VLAN. O comando display vlan <vlan-id> statistics permite a exibição de estatísticas de tráfego em interfaces para uma VLAN especificada. O comando display vlan summary fornece um resumo de todas as VLANs no sistema. • A configuração do tipo de link de porta é realizada na visualização da interface para cada interface em um switch VLAN ativo. O tipo de link de porta padrão em dispositivos de switch Huawei é híbrido. o tipo de link de porta <tipo> O comando é usado para configurar o tipo de link de porta da interface onde o tipo pode ser definido como acesso, tronco ou híbrido. Existe uma quarta opção do QinQ, mas ela está fora do escopo deste curso. Também deve ser observado que, na configuração exibida, se nenhum tipo de porta for exibido, o tipo de link de porta híbrida padrão é configurado. Antes de alterar o tipo de interface, também é necessário restaurar a configuração de VLAN padrão da interface para que a interface pertença apenas à VLAN 1 padrão. • A associação de uma porta com uma VLAN criada pode ser conseguida usando dois métodos de configuração, o primeiro deles é entrar na visualização da VLAN e configurar a interface a ser associada à VLAN usando o porta <interface> comando. O segundo meio de atribuir portas a VLANs envolve acessar a visualização da interface para a interface a ser adicionada a uma VLAN e implementar o comando porta padrão <vlan-id> onde o vlan-id refere-se à VLAN à qual a porta deve ser adicionada. • O comando display vlan pode ser usado para verificar as alterações feitas na configuração e confirmar a associação das interfaces de porta com as VLANs às quais as portas foram atribuídas. No exemplo de exibição, as interfaces de porta Gigabit Ethernet 0/0/5 e Gigabit Ethernet 0/0/7 podem ser identificadas como associadas às VLANs 2 e 3, respectivamente. O valor UT identifica que a porta é considerada não marcada por meio da atribuição do tipo de link de porta como uma porta de acesso ou como uma porta híbrida não marcada. O estado atual do link também pode ser determinado como ativo (U) ou inativo (D). • A atribuição do tipo de link de porta de interfaces de tronco permite que o tronco suporte o encaminhamento de quadros de VLAN para VLANs múltiplas entre switches; no entanto, para que os quadros sejam transportados pela interface de tronco, as permissões devem ser aplicadas. O comando port trunk allow-pass vlan <vlan-id> é usado para definir a permissão para cada VLAN, onde vlan-id se refere às VLANs a serem permitidas. Também é necessário que o PVID para a interface de tronco seja incluído no comando para permitir que o tráfego não marcado seja transportado pelo link de tronco. O exemplo demonstra a alteração do padrão da porta VLAN ID (PVID) da interface para 10 e a aplicação da permissão para as VLANs 2 e 3 no link de tronco. Nesse caso, quaisquer quadros associados à VLAN 10 não serão transportados pelo tronco, embora a VLAN 10 agora seja a VLAN padrão para a porta do tronco. O comando porta trunk allow-pass vlan all pode ser usado para permitir que todas as VLANs atravessem o link do tronco. • As alterações nas permissões de VLAN podem ser monitoradas novamente por meio do comando display vlan, para o qual a aplicação de VLANs no link de tronco é refletida. O valor TG identifica que as VLANs foram associadas a uma interface marcada em um tronco ou interface de porta híbrida marcada. No exemplo de exibição, as VLANs 2 e 3 receberam permissão para atravessar a interface marcada Gigabit Ethernet 0/0/1, uma interface que está atualmente ativa. • A configuração de porta híbrida representa o tipo de porta padrão nas interfaces de porta do switch e, portanto, o tipo de link de porta de comando híbrido geralmente só é necessário ao converter o tipo de link de porta de um acesso ou tipo de link de porta de tronco. Cada porta, entretanto, pode precisar ser associada a uma porta VLAN ID (PVID) padrão sobre a qual os quadros devem ser marcados ou não marcados. O comando port hybrid pvid vlan <vlan-id> permite que o PVID padrão seja atribuído em uma base de porta a partir do qual também é necessário associar o comportamento de encaminhamento para uma determinada porta. Para portas que devem operar como portas de acesso, isso é obtido usando o comando port hybrid untagged vlan <vlan-id>. Deve-se notar claramente que o uso desse comando várias vezes na mesma visualização de interface deve resultar na interface sendo associada a todas as VLANs especificadas, com os quadros VLAN associados sendo desmarcados antes do encaminhamento. O comando undo port hybrid vlan pode ser usado para restaurar a configuração de VLAN padrão de VLAN1 e retornar ao modo não marcado padrão. • • Para portas que operam como portas de tronco, o porta híbrida marcada com vlan <vlan-id> comando é usado. Deve ser claramente observado que o uso desse comando várias vezes na mesma visualização de interface deve resultar na interface sendo associada a todas as VLANs especificadas, com os quadros de VLAN associados sendo marcados antes do encaminhamento. No exemplo, a interface de porta híbrida Gigabit Ethernet 0/0/1 deve marcar todos os quadros que estão associados às VLANs 2 e 3 antes que esses quadros sejam encaminhados pela interface. • Através de exibir vlan , os resultados da configuração da porta híbrida marcada e não marcada podem ser verificados. A interface Gigabit Ethernet 0/0/7 foi estabelecida como uma interface VLAN 2 não marcada, enquanto a interface Gigabit Ethernet 0/0/5 foi estabelecida como uma interface não marcada associada à VLAN 3. Em termos de VLAN 2 e VLAN 3, quadros associado a qualquer VLAN será transportado como um quadro marcado na interface Gigabit Ethernet 0/0/1. • Interfaces de porta de switch podem usar o porta híbridanão marcada vlan <vlan-id> [para <vlanid>] comando para aplicar o comportamento não marcado em uma interface de porta para várias VLANs em um único comando de lote. Esse comportamento permite que interfaces híbridas permitam o encaminhamento não marcado de tráfego de várias VLANs para um determinado sistema final. Todo o tráfego encaminhado do sistema final é associado ao PVID atribuído à porta e marcado respectivamente. • O comando porta híbrida não marcada vlan 2 a 3 na interface Gigabit Ethernet 0/0/4 resulta na interface aplicando comportamento não marcado para VLAN 2 e VLAN 3. Isso significa que qualquer tráfego encaminhado de um host associado a qualquer VLAN, para um sistema final associado à interface Gigabit Ethernet 0/0 / 4, pode ser recebido com sucesso. • O crescimento da convergência de IP viu a integração de várias tecnologias que permitem que serviços de Internet de alta velocidade (HSI), serviços de voz sobre IP (VoIP) e serviços de televisão por protocolo de Internet (IPTV) sejam transmitidos por uma rede Ethernet e TCP / IP comum . Essas tecnologias se originam de redes que consistem em diferentes formas de comportamento. VoIP se origina de tecnologias de rede comutada por circuito que envolvem o estabelecimento de um circuito fixo entre a origem e o destino, através do qual um caminho dedicado é criado, garantindo que os sinais de voz cheguem com pouco atraso e em uma ordem de sinal primeiro a entrar, primeiro a sair. A Internet de alta velocidade opera em uma rede comutada por pacotes envolvendo contenção e encaminhamento de pacotes sem garantia de entrega ordenada, para a qual o novo sequenciamento de pacotes é freqüentemente necessário. Garantir que as tecnologias originadas de um conceito de rede comutada por circuito sejam capazes de funcionar em redes comutadas por pacotes tem trazido novos desafios. Esse desafio se concentra em garantir que os serviços sejam capazes de diferenciar os dados de voz de outros dados. A solução envolve o tráfego de VoIP isolado por meio de diferentes VLANs e a atribuição de uma prioridade mais alta para garantir o rendimento da qualidade de voz. VLANs de voz especiais podem ser configuradas no switch, o que permite que o switch atribua um ID de VLAN pré-configurado e uma prioridade mais alta para o tráfego VoIP. • • A configuração da VLAN de voz envolve a configuração de uma VLAN especificada usando o voice-vlan <vlan-id> ativar comando. A VLAN de voz pode ser associada a qualquer VLAN entre 2 e 4094. O modo voice-vlan <modo> comando especifica o modo de trabalho, pelo qual uma interface de porta é adicionada a uma VLAN de voz. Isso é definido por padrão para ocorrer automaticamente, mas também pode ser feito manualmente. o voice-vlan mac-address <mac-address> mask <mask> O comando permite que os pacotes de voz originados de um telefone IP sejam identificados e associados à VLAN de voz, com base no Organizationally Unique Identifier (OUI), para permitir que uma prioridade mais alta seja dada ao tráfego de voz. • O comando display voice-vlan status permite que as informações de VLAN de voz sejam visualizadas, incluindo o status, modo de segurança, tempo de envelhecimento e a interface na qual a função de VLAN de voz está ativada. O status determina se a VLAN de voz está habilitada ou desabilitada. O modo de segurança pode existir em um dos dois modos, normal ou de segurança. O modo normal permite que a interface habilitada com VLAN de voz transmita dados de voz e dados de serviço, mas permanece vulnerável a ataques de pacotes inválidos. Geralmente é usado quando vários serviços (HSI, VoIP e IPTV) são transmitidos para uma rede da Camada 2 por meio de uma interface, e a interface transmite dados de voz e dados de serviço. O modo de segurança aplicado em uma interface habilitada com VLAN de voz verifica se o endereço MAC de origem de cada pacote que entra na VLAN de voz corresponde ao OUI. É aplicado onde a interface de VLAN de voz transmite SOMENTE dados de voz. O modo de segurança pode proteger a VLAN de voz contra ataques de pacotes inválidos, porém a verificação de pacotes ocupa certos recursos do sistema. A opção Legacy determina se a interface pode se comunicar com dispositivos de voz de outros fornecedores, onde uma interface habilitada permite essa comunicação. O Add-Mode determina o modo de trabalho da VLAN de voz. No modo VLAN de voz automática, uma interface pode ser adicionada automaticamente à VLAN de voz após a função de VLAN de voz ser habilitada na interface e adiciona a interface conectada a um dispositivo de voz à VLAN de voz se o endereço MAC de origem dos pacotes enviados do dispositivo de voz corresponde ao OUI. A interface é excluída automaticamente se não receber nenhum pacote de dados de voz do dispositivo de voz dentro do tempo de envelhecimento. No modo VLAN de voz manual, uma interface deve ser adicionada à VLAN de voz manualmente após a função de VLAN de voz ser habilitada na interface. • • O PVID em um link de tronco define apenas o comportamento de marcação que será aplicado na interface de tronco. Se o comando port trunk allow-pass vlan 2 3 for usado, apenas os quadros associados à VLAN 2 e VLAN 3 serão encaminhados pelo link de tronco. Uma porta de acesso configurada com um PVID de 2 marcará todos os quadros não marcados recebidos com uma etiqueta VLAN 2. Isso será usado pelo switch para determinar se um quadro pode ser encaminhado por meio de outras interfaces de acesso ou transportado por um link de tronco. • • O princípio geral da implementação de VLAN é isolar redes como um meio de minimizar o tamanho do domínio de transmissão existente, no entanto, ao fazer isso, muitos usuários são desligados de outros usuários em outros domínios de VLAN e exigem que a comunicação da camada três (IP) seja estabelecido para que esses domínios de broadcast restabeleçam a comunicação por meio de rotas alcançáveis. A implementação de um switch de camada três oferece um meio ideal para suportar o roteamento de VLAN enquanto reduz os custos operacionais. No entanto, uma das restrições do roteamento VLAN é a necessidade de gerenciamento estrito do endereço IP. Geralmente, entretanto, o princípio de roteamento VLAN é aplicável a redes de pequena escala nas quais os usuários pertencem a diferentes segmentos de rede e os endereços IP dos usuários raramente são alterados. • • Depois que as VLANs são configuradas, os hosts em diferentes VLANs não conseguem se comunicar diretamente entre si na camada 2. Portanto, é necessário facilitar a comunicação por meio da criação de rotas entre as VLANs. Em geral, existem dois métodos principais pelos quais isso é feito; o primeiro depende da implementação de um roteador conectado ao switch da camada 2. A comunicação da VLAN é então roteada através do roteador antes de ser encaminhada ao destino pretendido. Isso pode ser feito por meio de links físicos separados, o que leva ao desperdício de portas e à utilização extra de links, ou por meio da mesma interface física mostrada no exemplo. O segundo método depende do uso de um switch da camada 3 que é capaz de realizar a operação do switch e do roteador em um único dispositivo como um mecanismo mais econômico. • • Para permitir a comunicação em uma única interface de tronco, é necessário segmentar logicamente o link físico usando subinterfaces. Cada subinterface representa um link lógico para o encaminhamento do tráfego VLAN antes de ser roteado pelo roteador por meio de outras subinterfaces lógicas para outros destinos VLAN. Cada subinterface deve receber um endereço IP no mesmo segmento de rede que a VLAN para a qual foi criada, bem como o encapsulamento 802.1Q para permitir a associação de VLAN conforme o tráfego é roteado entre VLANs. Também é necessário configurar o tipo de porta Ethernet do switch que se conecta ao roteador como um tipo de link Tronco ou Híbrido e permitirque os quadros das VLANs associadas (VLAN 2 e VLAN 3 neste caso) passem. • • O link de tronco entre o switch e o roteador deve ser estabelecido para suporte de tráfego para VLANs múltiplas, por meio do comando port link-type trunk ou port link-type hybrid, bem como o port trunk allow-pass vlan 2 3 ou port hybrid vlan 2 3 comando respectivamente. Depois que o tronco é estabelecido, as subinterfaces de VLAN devem ser implementadas para permitir o encaminhamento lógico de tráfego entre VLANs no link de tronco. • A subinterface em um roteador é definida na visualização da interface usando o comando interface <interface-type interface-number.sub-interface number> em que o número da subinterface representa o canal de interface lógica dentro da interface física. O comando dot1q termination vid <vlan-id> é usado para executar duas funções específicas. Quando uma porta recebe um pacote VLAN, ela inicialmente removerá a etiqueta VLAN do quadro e encaminhará esse pacote por meio do roteamento da camada três. Para os pacotes que estão sendo enviados, a porta adiciona uma tag ao quadro antes de enviá-lo, de acordo com as respectivas configurações de VLAN e IP para a interface lógica do roteador. Finalmente, o comando arp-broadcast enable é aplicado a cada interface lógica. Isso é necessário porque a capacidade do ARP de transmitir em subinterfaces não está habilitada por padrão. Se as transmissões ARP permanecerem desabilitadas na subinterface, o roteador descartará os pacotes diretamente. A rota para a subinterface geralmente é considerada como uma rota de buraco negro nesses casos, uma vez que o pacote é efetivamente perdido sem deixar rastros. Se as transmissões ARP estiverem ativadas na subinterface, o sistema poderá construir um pacote de broadcast ARP marcado e enviar o pacote da subinterface. • • Seguindo a configuração do roteamento de VLAN entre VLAN 2 e VLAN 3, o aplicativo ping pode ser usado para verificar a acessibilidade. O exemplo demonstra como o Host A (192.168.2.2) na VLAN 2 é capaz de alcançar o Host B (192.168.3.2) na VLAN 3. O TTL reflete que o pacote atravessou o roteador para alcançar o destino na VLAN 2. • A implementação de switches L3 traz benefícios ao processo de roteamento de VLAN que não são possíveis com o uso de um roteador. Um desses recursos é a capacidade de encaminhar o tráfego de VLAN com muito pouco atraso devido ao suporte do que é conhecido como encaminhamento de velocidade de linha, como resultado de chips ASIC de camada inferior que permitem que o tráfego seja encaminhado com base em hardware em vez de software. Junto com isso está o fato de que um único dispositivo é usado sem nenhum link de tronco que pode enfrentar congestionamento sob cargas de tráfego pesadas. O roteamento VLAN ao usar um switch da camada 3 depende da implementação de interfaces VLAN (VLANIF). Se vários usuários em uma rede pertencerem a VLANs diferentes, cada VLAN exigirá uma VLANIF que atue como o gateway da VLAN e, portanto, deverá se associar a um endereço IP relevante para a rede da VLAN. No entanto, se houver um grande número de VLANs, isso pode corresponder a um grande número de endereços IP necessários para dar suporte a cada VLANIF, bem como aos hosts que fazem parte da VLAN com a qual a VLANIF está associada. Por meio da VLANIF, o roteamento entre diferentes VLANs pode ser suportado. • A configuração do roteamento de VLAN em um switch operando na camada 3 requer que as VLANs sejam inicialmente criadas e as interfaces sejam atribuídas às respectivas VLANS. A configuração segue os princípios de configuração de VLANs cobertos como parte dos princípios de VLAN. Isso envolve a definição do tipo de link de porta para cada porta e o PVID associado a cada interface de porta. • A configuração do roteamento de VLAN é implementada criando interfaces VLAN que devem operar como interfaces de gateway para cada VLAN dentro do switch da camada 3. A entrada na visualização VLANIF é feita por meio do interface vlanif <vlan-id> comando, onde o vlan-id refere-se à VLAN associada. O endereço IP da interface deve estar no mesmo segmento de rede dos hosts. Este endereço IP deve obrigatoriamente representar o gateway para os hosts e suportar a comunicação entre VLANs. • O comando dot1q termination vid <vlan-id> é usado para executar duas funções específicas. Quando uma porta recebe um pacote VLAN, ela inicialmente removerá a etiqueta VLAN do quadro e encaminhará esse pacote por meio do roteamento da camada 3. Para os pacotes enviados, a porta adiciona uma etiqueta ao pacote antes de enviá-lo, de acordo com as respectivas configurações de VLAN e IP da interface lógica do roteador. O switch deve ser configurado para permitir que os quadros transportados pelo meio do switch / roteador sejam marcados, seja por meio do uso do comando trunk ou usando interfaces híbridas marcadas. Além disso, o tráfego de VLAN deve ser permitido neste link usando o comando port trunk allow-pass vlan <vlan> ou port hybrid tagged vlan <vlan>. • • As conexões seriais representam uma forma de tecnologia legada que tem sido comumente usada para o suporte de transmissões de rede remota (WAN). A transmissão de dados como sinais elétricos por meio de um link serial novamente requer uma forma de sinalização para controlar o envio e o recebimento de quadros como encontrado na Ethernet. As conexões seriais definem duas formas de sinalização que podem ser utilizadas para a sincronização das transmissões, conhecidas como comunicação assíncrona e síncrona. A sinalização assíncrona funciona com base no princípio de enviar bits adicionais denominados bits de início e parada com cada byte ou quadro para permitir que o nó receptor esteja ciente do quadro de entrada e, assim, redefina periodicamente o tempo entre os quadros para garantir que as taxas entre a transmissão e a recepção são mantidas. O bit inicial é sempre representado como um valor de bit 0, enquanto o bit de parada representa um valor de 1 bit. Uma das principais preocupações com esse método de sinalização é a sobrecarga adicional como resultado de cada quadro entregue, com os bits de início e parada representando uma grande porcentagem do quadro geral. Esse método, entretanto, é comumente associado a tecnologias como o Modo de transferência assíncrona (ATM), uma forma de tecnologia de comutação de células que gera quadros de tamanho fixo (células) de 53 bytes como meio de suportar jitter inferior por meio da minimização dos tempos de processamento da fila, tornando-o ideal para comunicação em tempo real, como voz, mas começou a abrir caminho para tecnologias mais novas, como comutação MPLS e devido à perda de sua vantagem sobre as velocidades de processamento de quadros que agora são possíveis com roteadores e switches. Uma das principais preocupações com esse método de sinalização é a sobrecarga adicional como resultado de cada quadro entregue, com os bits de início e parada representando uma grande porcentagem do quadro geral. Esse método, entretanto, é comumente associado a tecnologias como o Modo de transferência assíncrona (ATM), uma forma de tecnologia de comutação de células que gera quadros de tamanho fixo (células) de 53 bytes como meio de suportar jitter inferior por meio da minimização dos tempos de processamento da fila, tornando-o ideal para comunicação em tempo real, como voz, mas começou a abrir caminho para tecnologias mais novas, como comutação MPLS e devido à perda de sua vantagem sobre as velocidades de processamento de quadros que agora são possíveis com roteadores e switches. Uma das principais preocupações com esse método de sinalização é a sobrecarga adicional como resultado de cada quadro entregue, com os bits de início e parada representando uma grande porcentagem do quadro geral. Esse método, entretanto, é comumente associado a tecnologias como o Modo de transferência assíncrona (ATM), uma forma de tecnologiade comutação de células que gera quadros de tamanho fixo (células) de 53 bytes como meio de suportar jitter inferior por meio da minimização dos tempos de processamento da fila, tornando-o ideal para comunicação em tempo real, como voz, mas começou a abrir caminho para tecnologias mais novas, como comutação MPLS e devido à perda de sua vantagem sobre as velocidades de processamento de quadros que agora são possíveis com roteadores e switches. com os bits de início e parada representando uma grande porcentagem do quadro geral. Esse método, entretanto, é comumente associado a tecnologias como o Modo de transferência assíncrona (ATM), uma forma de tecnologia de comutação de células que gera quadros de tamanho fixo (células) de 53 bytes como meio de suportar jitter inferior por meio da minimização dos tempos de processamento da fila, tornando-o ideal para comunicação em tempo real, como voz, mas começou a abrir caminho para tecnologias mais novas, como comutação MPLS e devido à perda de sua vantagem sobre as velocidades de processamento de quadros que agora são possíveis com roteadores e switches. com os bits de início e parada representando uma grande porcentagem do quadro geral. Esse método, entretanto, é comumente associado a tecnologias como o Modo de transferência assíncrona (ATM), uma forma de tecnologia de comutação de células que gera quadros de tamanho fixo (células) de 53 bytes como meio de suportar jitter inferior por meio da minimização dos tempos de processamento da fila, tornando-o ideal para comunicação em tempo real, como voz, mas começou a abrir caminho para tecnologias mais novas, como comutação MPLS e devido à perda de sua vantagem sobre as velocidades de processamento de quadros que agora são possíveis com roteadores e switches. As conexões seriais síncronas dependem de um mecanismo de relógio entre os dispositivos de peering em que um lado (DCE) fornece o relógio para sincronizar a comunicação. Esse relógio é mantido por meio do transporte de informações de relógio entre o emissor e o receptor como parte do sinal de dados. • • O controle de link de dados de alto nível (HDLC) é um protocolo de link de dados orientado a bits que é capaz de suportar transmissões de dados síncronas e assíncronas. Um quadro HDLC completo consiste nos campos Sinalizadores que são usados para marcar o início e o fim de um quadro HDLC, frequentemente como 01111110 ou 01111111 quando um quadro deve ser abortado e descartado repentinamente. Um campo de endereço oferece suporte a situações multiponto em que um ou vários terminais secundários se comunicam com um terminal primário em uma topologia multiponto (multidrop) conhecida como conexões não balanceadas, em oposição às conexões balanceadas mais comumente aplicadas (ponto a ponto). O campo de controle define o tipo de quadro como informação, supervisório ou não numerado, e o campo de sequência de verificação de quadro (FCS) para garantir a integridade do quadro. Dos tipos de quadro de campo de controle, apenas o tipo de quadro de informação é compatível com os roteadores da série Huawei ARG3 e é usado para transportar dados. O tipo de quadro de informação transporta números de sequência de envio N (S) e recebimento de N (R), bem como bits de pesquisa e final (P / F) para o status de comunicação entre as estações primárias e secundárias. Os tipos de quadro de supervisão em HDLC são usados para controle de erro e fluxo e os tipos de quadro não numerados são usados para gerenciar o estabelecimento do link, por exemplo, entre as estações primárias e secundárias. • • O estabelecimento de HDLC como o protocolo da camada de link em conexões seriais requer simplesmente que o protocolo de link seja atribuído usando o comando hdlc do protocolo de link na visualização da interface para a interface serial configurada para usar o protocolo. A configuração do protocolo de link deve ser realizada em ambas as interfaces de peering que estão conectadas à rede ponto a ponto antes que a comunicação possa ser alcançada. • Quando uma interface não tem endereço IP, ela não pode gerar rotas ou encaminhar pacotes. O mecanismo não numerado de endereço IP permite que uma interface sem um endereço IP peça emprestado um endereço IP de outra interface. O mecanismo não numerado de endereço IP permite efetivamente a conservação de endereços IP e não exige que uma interface ocupe um endereço IP exclusivo o tempo todo. Recomenda-se que a interface atribuída como a interface da qual o endereço IP não numerado é emprestado seja uma interface de loopback, pois é mais provável que esse tipo de interface esteja sempre ativa e, como tal, forneça um endereço disponível. Ao usar um endereço não numerado, uma rota estática ou protocolo de roteamento dinâmico deve ser configurado para que a interface que toma emprestado o endereço IP possa gerar uma rota entre os dispositivos. Se um protocolo de roteamento dinâmico for usado, o comprimento da máscara de rota aprendida deve ser maior do que a máscara de endereço IP do credor, porque os roteadores da série ARG3 usam a regra de correspondência mais longa ao pesquisar rotas. Se uma rota estática for usada e o endereço IP do credor usar uma máscara de 32 bits, o comprimento da máscara de rota estática deve ser menor que 32 bits. Se uma rota estática for usada e o endereço IP do credor usar uma máscara menor que 32 bits, o comprimento da máscara de rota estática deve ser maior do que o da máscara de endereço IP do credor. • • Por meio do comando display ip interface brief, um resumo da atribuição de endereço é gerado. No caso de atribuição de um endereço não numerado, o valor do endereço será exibido como estando presente em várias interfaces, mostrando que o endereço IP foi emprestado com êxito da interface de loopback lógica para uso na interface serial física. • O protocolo ponto a ponto (PPP) é um protocolo da camada de enlace que encapsula e transmite pacotes da camada de rede em enlaces ponto a ponto (P2P). O PPP suporta transmissão de dados ponto a ponto em links full-duplex síncronos e assíncronos. O PPP é baseado no protocolo SLIP (Serial Line Internet Protocol). O PPP oferece suporte a links síncronos e assíncronos, enquanto outros protocolos de camada de link de dados, como Frame Relay (FR), oferecem suporte apenas a links síncronos. O PPP é um protocolo extensível, facilitando a extensão não só do IP, mas também de outros protocolos e é capaz de suportar a negociação de atributos da camada de enlace. O PPP oferece suporte a vários protocolos de controle de rede (NCP), como o protocolo de controle IP (IPCP) e o protocolo de controle de intercâmbio de pacotes entre redes (IPXCP) para negociar os diferentes atributos da camada de rede. O PPP fornece o protocolo de autenticação de senha (PAP) e o protocolo de autenticação de handshake de desafio (CHAP) para autenticação de segurança de rede. O PPP não possui mecanismo de retransmissão, reduzindo o custo da rede e agilizando a transmissão de pacotes. • • O encapsulamento PPP fornece multiplexação de diferentes protocolos da camada de rede simultaneamente no mesmo link, entretanto, nas redes atuais, a capacidade do PPP geralmente requer uma solução apenas IP. A versatilidade do PPP para acomodar uma variedade de ambientes é bem suportada pelo Link Control Protocol (LCP). Para estabelecer comunicações por meio de um link ponto a ponto, cada extremidade do link PPP deve primeiro enviar pacotes LCP para configurar e testar o link de dados. Mais especificamente, o LCP é usado para negociar e estabelecer acordo para opções de formato de encapsulamento, gerenciar o MRU de pacotes, detectar um link de retorno por meio de números mágicos e determinar erros em termos de configurações incorretas de parâmetro, bem como encerrar um link estabelecido. Autenticação de pares no link, Depois que o link foi estabelecido e os recursos opcionais foram negociados conforme exigido pelocomponente LCP do PPP, os pacotes NCP devem ser enviados para escolher e configurar um ou mais protocolos da camada de rede. Os protocolos de controle de rede baseados em IP típicos permitem recursos como configuração de endereço (IPCP) e TCP / IP compactado (van Jacobson). • • Este início e término de um link PPP começa e termina com a fase morta. Quando dois dispositivos de comunicação detectam que o link físico entre eles está ativado (por exemplo, sinais de portadora são detectados no link físico), o PPP fará a transição da fase Morto para a fase Estabelecer. Na fase Estabelecer, os dois dispositivos realizam uma negociação LCP para negociar o modo de trabalho como link único (SP) ou multi-link (MP), a Unidade de Recepção Máxima (MRU), modo de autenticação etc. Se o modo de autenticação for definido, a fase opcional de autenticação será iniciada. O PPP fornece dois modos de autenticação de senha: autenticação PAP e autenticação CHAP. Dois modos de autenticação CHAP estão disponíveis: autenticação CHAP unidirecional e autenticação CHAP bidirecional. Na autenticação CHAP unidirecional, o dispositivo em uma extremidade funciona como o dispositivo de autenticação e o dispositivo na outra extremidade funciona como o dispositivo autenticado. Na autenticação CHAP bidirecional, cada dispositivo funciona como dispositivo de autenticação e dispositivo autenticado. Na prática, entretanto, apenas a autenticação CHAP unidirecional é usada. Após a autenticação bem-sucedida, a fase de rede é iniciada, por meio da qual a negociação NCP é realizada para selecionar e configurar um protocolo de rede e negociar a camada de rede. Parâmetros. Cada NCP pode estar em um estado Aberto ou Fechado a qualquer momento. Depois que um NCP entra no estado Aberto, os dados da camada de rede podem ser transmitidos pelo link PPP. O PPP pode encerrar um link a qualquer momento. Um link pode ser encerrado manualmente por um administrador ou devido à perda da operadora, falha de autenticação ou outras causas. • • • • O PPP geralmente adota uma arquitetura de quadro semelhante ao HDLC para a transmissão em conexões seriais. Os campos de bandeira são adotados para denotar o início e o fim de um quadro PPP que é identificável a partir da seqüência binária 01111110 (0x7E). O campo de endereço, embora presente, não se aplica ao PPP como é o caso do HDLC e, portanto, deve sempre conter um valor 11111111 (0xFF), que representa um endereço 'AllStations'. O campo de controle também é fixado com um valor de 00000011 (0x03) representando o comando de informação não numerado. A sequência de verificação de quadro (FCS) é geralmente um valor de 16 bits usado para manter a integridade do quadro PPP. O PPP define adicionalmente um campo de protocolo de 8 ou 16 bits que identifica o datagrama encapsulado no campo de informação do pacote. Exemplos típicos podem incluir 0xc021 para protocolo de controle de link, 0xc023 para protocolo de autenticação de senha e 0xc223 para protocolo de autenticação de handshake de desafio. O campo Informações contém o datagrama para o protocolo especificado no campo Protocolo. O comprimento máximo do campo Informações (sem incluir o campo Protocolo) é definido pela Unidade Máxima de Recebimento (MRU), cujo padrão é 1500 bytes. Onde o valor 0xc021 é implementado, os dispositivos de comunicação negociam trocando pacotes LCP para estabelecer um link PPP. O formato do pacote LCP carrega um campo de tipo de código que faz referência a vários tipos de pacote durante a negociação PPP, para os quais exemplos comuns incluem ConfigureRequest (0x01), Configure-Ack (0x02), Terminate-Request (0x05) etc. O campo Data carrega vários tipos de suporte / comprimento / valor (TLV) opções para negociação, incluindo MRU, protocolos de autenticação etc. • • • • Como parte da negociação LCP, vários tipos de pacote são definidos que permitem que os parâmetros sejam acordados antes que um link de dados PPP seja estabelecido. É necessário que os dois dispositivos de comunicação negociem os atributos da camada de enlace, como MRU e modo de autenticação. Para conseguir isso, vários tipos de pacotes são comunicados. O tipo de pacote Configure-Request permite o início da negociação LCP entre dispositivos de peering e deve ser transmitido nessas ocasiões. Qualquer tipo de pacote Configure-Request enviado deve ser respondido, e isso pode ser feito por meio de um dos vários tipos de pacote de resposta. Onde todas as opções de configuração recebidas em um Configure-Request são reconhecíveis e todos os valores são aceitáveis, um tipo de pacote Configure-Ack será transmitido. Onde todas as opções de configuração recebidas no tipo de pacote Configure-Request são reconhecidas, mas alguns valores não são aceitos, um tipo de pacote Configure-Nak será transmitido e contém apenas as opções de configuração não aceitas originalmente recebidas no tipo de pacote Configure-Request. Um Configure-Reject é usado quando certas opções de configuração recebidas em um Configure-Request não são reconhecíveis e, portanto, não são aceitas para negociação. • • • Algumas das opções de configuração comuns que são negociadas e transportadas como parte do pacote LCP incluem o MRU, o protocolo de autenticação suportado pelo par de envio, bem como o número mágico. O número mágico fornece um método para detectar links em loop e outras anomalias na camada de link de dados. No caso em que um Configure-Request é recebido contendo um Magic-Number como uma opção de configuração, o MagicNumber recebido é usado para comparar várias mensagens Configure-Request recebidas enviadas ao par por comparação com o Magic-Number. Se os dois números mágicos das mensagens de solicitação de configuração recebidas forem diferentes, então o link é entendido como um link sem loop para o qual uma confirmação de solicitação pode ser fornecida em resposta. Se os dois números mágicos forem iguais, no entanto, existe a possibilidade de que o link seja retornado e que mais verificações devem ser realizadas para este pedido de configuração, e é feito enviando um configurar-Nak para efetivamente solicitar um mágico diferente - Valor numérico. • • A seqüência de eventos que leva ao estabelecimento do PPP entre dois pares é iniciada pelo envio de um pacote Configurar-Solicitação ao dispositivo de peering. Ao receber este pacote, o receptor deve avaliar as opções de configuração para determinar o formato do pacote para responder. No caso de todas as opções de configuração recebidas serem aceitáveis e reconhecidas, o receptor responderá com um pacote Configure-Ack. • Após a transmissão inicial do Configure-Request como parte da negociação PPP, também é possível que um Configure-Nak seja retornado, em particular onde todas as opções de configuração são reconhecidas, mas alguns valores não são aceitos. Na recepção do pacote Configure-Nak, um novo Configure-Request é gerado e enviado, no entanto, as opções de configuração geralmente podem ser modificadas para as especificações no pacote Configure-Nak recebido. Várias instâncias de uma opção de configuração podem ser especificadas pelo pacote ConfigureNak para o qual o par deve selecionar um único valor para incluir no próximo pacote Configure-Request. • • Para a negociação PPP LCP na qual uma ou várias opções de configuração recebidas em um Configure-Request não são reconhecidas ou são consideradas não aceitáveis para negociação, um pacote Configure-Reject é transmitido. A recepção de um Configure-Reject válido indica que quando um novo Configure-Request for enviado, e todas as opções de configuração que são transportadas junto com o pacote Configure-Reject devem ser removidas das opções de configuração a serem enviadas como parte do seguinte Configure-Request pacote. • O estabelecimento do PPP requer que o protocolo da camada de enlace na interface serial seja especificado. Para a série deroteadores ARG3, o PPP é habilitado por padrão na interface serial. No caso em que a interface não está suportando PPP, o comando linkprotocol ppp é usado para habilitar o PPP na camada de enlace. A confirmação da mudança do protocolo de encapsulamento será solicitada, para a qual a aprovação deve ser dada conforme demonstrado no exemplo de configuração. • O protocolo de autenticação de senha (PAP) é um protocolo de autenticação de handshake bidirecional que transmite senhas em texto simples. A autenticação PAP é executada durante o estabelecimento do link inicial. Depois que a fase de estabelecimento do link for concluída, o nome do usuário e a senha são enviados repetidamente pelo par para o autenticador até que a autenticação seja confirmada ou a conexão seja encerrada. A autenticação PAP simula efetivamente as operações de login nas quais as senhas em texto simples são usadas para estabelecer o acesso a um host remoto. O dispositivo autenticado envia o nome de usuário local e a senha para o autenticador. O autenticador verifica o nome do usuário e a senha do dispositivo autenticado em uma tabela de usuário local e envia uma resposta apropriada ao dispositivo autenticado para confirmar ou rejeitar a autenticação. • O protocolo de autenticação de handshake de desafio (CHAP) é usado para verificar periodicamente a identidade do par usando um handshake de três vias. Isso é feito no estabelecimento do link inicial e pode ser repetido periodicamente. O princípio distintivo do CHAP está na proteção fornecida ao evitar a transmissão de qualquer senha pelo link, em vez de depender de um processo de desafio e resposta que só pode ser bem-sucedido se o autenticador e os dispositivos autenticados oferecerem suporte a um valor conhecido como segredo. Um algoritmo como o MD5 é comumente usado para fazer hash de qualquer desafio e resposta, para garantir a integridade do valor e do valor hash resultante, e é comparado a um resultado gerado pelo autenticador. Se a resposta e o valor criado pelo autenticador corresponderem, o par autenticado será aprovado. • O IP Control Protocol (IPCP) é responsável por configurar, habilitar e desabilitar os módulos do protocolo IP em ambas as extremidades do link ponto a ponto. O IPCP usa o mesmo mecanismo de troca de pacotes que o Link Control Protocol (LCP). Os pacotes IPCP não podem ser trocados até que o PPP alcance a fase de rede. Espera-se que os pacotes IPCP recebidos antes que esta fase seja alcançada sejam descartados silenciosamente. A opção de configuração de negociação de endereço fornece uma maneira de negociar o endereço IP a ser usado na extremidade local do link, para o qual um método definido estaticamente permite que o remetente da solicitação de configuração indique qual endereço IP é desejado. Após a configuração do endereço IP, uma mensagem ConfigureRequest é enviada contendo o endereço IP solicitado para ser usado, seguido por um Configure-Ack do dispositivo de peering para afirmar que o endereço IP é aceito. • Um dispositivo local operando como um cliente e precisando ser atribuído um endereço IP na faixa do dispositivo remoto (servidor) deve fazer uma solicitação de um endereço válido, aplicando o comando ip address-ppp negociate na interface física com a qual o cliente peers com o servidor. Por meio desse método, um cliente pode recuperar um endereço válido. Isso é aplicável em cenários em que um cliente acessa a Internet por meio de uma rede do Provedor de Servidor da Internet (ISP) e por meio da qual pode obter um endereço IP do ISP. Um endereço é proposto ao cliente ao receber uma solicitação de configuração para a qual nenhum endereço IP foi definido. O servidor PPP (RTB) responderá com um Configure-Nak que contém os parâmetros de endereço IP sugeridos para RTA. • O estabelecimento da autenticação PAP requer que um peer opere como autenticador para autenticar um peer autenticado. Espera-se que o autenticador PPP PAP defina o modo de autenticação, um nome de usuário e senha locais e o tipo de serviço. Se for definido um domínio ao qual o usuário local pertence (conforme definido pelo AAA), o domínio de autenticação também deverá ser especificado no modo de autenticação PAP. Um par autenticado requer que um nome de usuário de autenticação e uma senha de autenticação sejam especificados em relação ao nome de usuário e senha definidos pelo autenticador. A senha do usuário local do ppp pap <nome do usuário> {cipher | O comando simples} <password> é configurado no dispositivo autenticado para conseguir isso. • • Por meio de comandos de depuração que fornecem uma saída em tempo real de eventos em relação a protocolos específicos, o processo de solicitação de autenticação pode ser visualizado. Conforme exibido no exemplo, uma solicitação de autenticação PAP é executada para a qual o estabelecimento de autenticação é considerado bem-sucedido. • Na autenticação CHAP, o dispositivo autenticado envia apenas o nome do usuário ao dispositivo de autenticação. O CHAP é conhecido por oferecer maior segurança, já que as senhas não são transmitidas pelo link, em vez disso, depende de valores hash para fornecer desafios ao dispositivo autenticado com base no valor de senha configurado em ambos os dispositivos de peering. Em sua forma mais simples, o CHAP pode ser implementado com base nas atribuições do usuário local como no PAP, ou pode envolver formas mais rigorosas de autenticação e contabilidade obtidas através de AAA e servidores de autenticação / contabilidade. As demonstrated, the configuration of CHAP based on locally defined users requires limited configuration of local user parameters and the enablement of PPP CHAP authentication mode on the authenticator device. Where domains exist, the authenticator may also be required to define the domain being used if different from the default domain. • • A depuração dos processos de autenticação CHAP exibe os estágios envolvidos com a autenticação CHAP, originando-se da escuta na interface de quaisquer desafios recebidos após a negociação LCP. No caso de um desafio ser enviado, o dispositivo autenticado deve fornecer uma resposta para a qual um valor hash é gerado, envolvendo os parâmetros de autenticação definidos no par autenticado (senha), que o autenticador irá validar prontamente e fornecer uma resposta de sucesso ou falha para. • Um pacote Configure-Ack é necessário para permitir que a camada de link seja estabelecida com sucesso ao usar PPP como o modo de encapsulamento da camada de link. O Internet Protocol Control Protocol (IPCP) é usado para negociar os módulos do protocolo IP como parte do processo de negociação do NCP. Isso ocorre durante a fase de estabelecimento da rede PPP. • • DSL representa uma forma de tecnologia de banda larga que utiliza as redes de telefonia existentes para permitir a comunicação de dados. A comunicação é facilitada por meio de uma unidade transceptora remota ou modem nas instalações do cliente, que se comunica através das linhas telefônicas existentes para uma unidade transceptora de escritório central que assume a forma de Digital Subscriber Line Access Multiplexer (DSLAM), onde o tráfego é multiplexado em um alto velocidade ATM ou rede Ethernet antes de chegar ao servidor de acesso remoto de banda larga (BRAS) ou servidor PPPoA / PPPoE dentro da rede do provedor de serviços. A distância entre os dois transceptores pode variar dependendo da tecnologia DSL específica aplicada. No caso de uma Linha Assíncrona de Assinante Digital (ADSL), a distância se expande até cerca de 18.000 pés ou 5.460 metros tradicionalmente em uma rede ATM, enquanto com uma Linha de Assinante Digital de Muito Alta Velocidade (VDSL2), distâncias de loop local de apenas cerca de 1500 metros são suportados com tecnologia de fibra (FTTx) aplicada para fornecer transmissão back-end baseada em Ethernet para o BRAS (servidor PPPoE).• • PPPoE refere-se ao encapsulamento de PPP em frames Ethernet para suportar uma conexão por tecnologias de banda larga a um servidor de acesso remoto de banda larga PPPoE (BRAS), localizado dentro da rede do provedor de serviços. Isso é usado para oferecer suporte ao processo de autenticação e contabilidade antes que o acesso à rede remota, como a Internet, seja fornecido. O roteador RTA opera como o cliente para o estabelecimento da sessão PPPoE com o servidor PPPoE por meio do qual uma conexão autorizada é estabelecida para acesso a redes e recursos remotos. O modem DSL fornece a modulação e demodulação de sinais através da infraestrutura de fio telefônico de cobre que tradicionalmente existe em residências e escritórios. • O PPPoE tem dois estágios distintos, inicialmente há um estágio de Descoberta seguido por um estágio de Sessão PPP. Quando um cliente deseja iniciar uma sessão PPPoE, ele deve primeiro realizar a descoberta, para a qual estão envolvidos quatro estágios, e contar com quatro tipos de pacotes individuais para o processo de descoberta. Estes incluem os tipos de pacote de protocolo PPPoE Active Discovery Initiation (PADI), PPPoE Active Discovery Offer (PADO), PPPoE Active Discovery Request (PADR) e PPPoE Active Discovery Session-confirmation (PADS). O processo de término da sessão PPPoE utiliza um pacote PPPoE Active Discovery Terminate (PADT) para o fechamento da sessão PPPoE. • No estágio de descoberta, quando um cliente (RTA) acessa um servidor usando PPPoE, o cliente deve identificar o endereço MAC Ethernet do servidor e estabelecer um ID de sessão PPPoE. Quando o estágio de descoberta é concluído, ambos os pares conhecem o PPPoE Session_ID e o endereço Ethernet do par. O PPPoE Session_ID e o endereço Ethernet do par definem a sessão PPPoE exclusiva. O cliente transmitirá um pacote PPPoE Active Discovery Initiation (PADI). Este pacote contém as informações de serviço exigidas pelo cliente. Depois de receber esse pacote PADI, todos os servidores no intervalo comparam os serviços solicitados aos serviços que podem fornecer. No pacote PADI, o Destination_address é um endereço de broadcast, o campo Code é definido como 0x09 e o campo Session_ID é definido como 0x0000. • Os servidores que podem fornecer os serviços solicitados devolvem pacotes PPPoE Active Discovery Offer (PADO). O cliente (RTA) pode receber mais de um pacote PADO de servidores. O endereço de destino é o endereço unicast do cliente que enviou o pacote PADI. O campo Código é definido como 0x07 e o campo Session_ID deve ser definido como 0x0000. • Como o pacote PADI é transmitido, o cliente pode receber mais de um pacote PADO. Ele examina todos os pacotes PADO recebidos e escolhe um baseado no AC-Name (que significa o nome do Access Concentrator, e geralmente se refere a um valor que distingue exclusivamente um servidor de outro), ou os serviços oferecidos pelo pacote PADO. O cliente verifica os pacotes PADO para escolher um servidor e envia um pacote PPPoE Active Discovery Request (PADR) para o servidor escolhido. O endereço de destino é definido como o endereço unicast do servidor de acesso que enviou o pacote PADO selecionado. O campo de código é definido como 0x19 e o campo de ID da sessão é definido como 0x0000. • Ao receber um pacote PADR, o servidor de acesso se prepara para iniciar uma sessão PPPoE. Ele gera um ID de sessão exclusivo para a sessão PPPoE e responde ao cliente com um pacote de confirmação de sessão de descoberta ativa PPPoE (PADS). O campo de endereço de destino é o endereço Ethernet unicast do cliente que envia o pacote PADR. O campo de código é definido como 0x65 e o ID da sessão deve ser definido como o valor criado para esta sessão PPPoE. O servidor gera um identificador de sessão único para identificar a sessão PPPoE com o cliente e envia esse identificador de sessão ao cliente com o pacote PADS. Se nenhum erro ocorrer, o servidor e o cliente entram no estágio de Sessão PPPoE. • Assim que a sessão PPPoE começa, os dados PPP são enviados como em qualquer outro encapsulamento PPP. Todos os pacotes Ethernet são unicast. O campo ETHER_TYPE é definido como 0x8864. O código PPPoE deve ser definido como 0x00. O SESSION_ID não deve ser alterado para aquela sessão PPPoE e deve ser o valor atribuído no estágio de descoberta. A carga útil PPPoE contém um quadro PPP. O quadro começa com o ID do protocolo PPP. • No processo de estabelecimento da sessão PPPoE, a negociação PPP LCP é realizada, no ponto em que a unidade máxima de recepção (MRU) é negociada. A Ethernet normalmente tem um tamanho máximo de carga útil de 1500 bytes, em que o cabeçalho PPPoE tem 6 bytes e o ID do protocolo PPP tem 2 bytes, a unidade máxima de recepção PPP (MRU) não pode ser maior que 1492 bytes, pois isso provavelmente causará fragmentação do pacote. Quando o LCP é encerrado, o cliente e o concentrador de acesso (servidor) param de usar essa sessão PPPoE. Se o cliente precisar iniciar outra sessão PPP, ele retornará ao estágio de Descoberta. • O pacote PPPoE Active Discovery Terminate (PADT) pode ser enviado a qualquer momento após uma sessão ser configurada para indicar que uma sessão PPPoE foi encerrada. Pode ser enviado pelo cliente ou servidor de acesso. O campo de endereço de destino é um endereço Ethernet unicast. O campo Código é definido como 0xA7 e o ID da sessão deve ser definido para indicar a sessão a ser encerrada. Nenhuma tag é necessária no pacote PADT. Quando um pacote PADT é recebido, nenhum tráfego PPP pode ser enviado nesta sessão PPPoE. Depois que um pacote PADT é enviado ou recebido, mesmo os pacotes de terminação PPP normais não podem ser enviados. Um par PPP deve usar o protocolo PPP para encerrar uma sessão PPPoE, mas o pacote PADT pode ser usado quando o PPP não pode ser usado. • Três etapas individuais são necessárias na configuração de um cliente PPPoE, começando com a configuração de uma interface de discador. Isso permite que a conexão seja estabelecida sob demanda e uma conexão de sessão seja desconectada após permanecer ociosa por um período de tempo. O comando dialer-rule permite que a visão dialerrule seja acessada a partir da qual a regra dialer pode ser configurada para definir as condições para iniciar a conexão PPPoE. O usuário discador escolhe uma interface discadora na qual receberá uma chamada de acordo com o nome do usuário remoto negociado pelo PPP. O usuário discador ativa o centro de controle de discagem e indica o nome do usuário final remoto, que deve ser igual ao nome do usuário PPP no servidor final remoto. Se o parâmetro de nome de usuário não for especificado ao usar o comando undo dialer user, a função dial control center será desabilitada e todos os nomes de usuários remotos serão excluídos. Se este parâmetro for especificado, apenas o nome de usuário especificado será excluído. O comando dialer bundle <number> no AR2200E é usado para vincular interfaces físicas e interfaces de discador. Os parâmetros de autenticação PPP são definidos para autenticação da conexão do cliente com o servidor junto com o comando ip address ppp-negotte para negociação em uma interface, para permitir que a interface obtenha um endereço IP do dispositivo remoto. • • • A segunda etapa envolve o estabelecimento da ligação de sessão PPPoE do pacote do discador à interface sobre a qual a negociação deve ocorrer para os parâmetros do discador configurados. O comando pppoe-client dial-bundle-number <number> é usado para fazer isso, onde o número se refere ao número do bundle configurado como parte dos parâmetros do discador. Se on-demand não for especificado, a sessão PPPoE funcionará no modo online permanente. Se este parâmetro for especificado, a sessão PPPoE funcionará no modo de discagem sob demanda. O AR2200 suporta o modo de disparo de pacote para discagem sob demanda. No modo online permanente, o AR2200 inicia uma sessão PPPoE
Compartilhar