Устройства в рамках небольшой сети - Зайцев Я - Флудилка
^ В верх

Зайцев.Я

Не стесняйтесь звонить даже за советом...


Войти
x
x

Новости

  • 1
  • 2
  • 3
  • 4
  • 5
Prev Next

Материалы по CCNA R&S

15-12-2015 Hits:3247 Новости Александр

Материлы по изучению CCNA Routing and Switching   Cisco Packet Tracer 6.2 for Windows Student Version   Видео материалы: ICND 1ч.   ICND 2ч.   ICND 3ч.   ICND...

Пишем программы для веба

04-12-2015 Hits:17633 Новости Александр

Пишем программы для веба Начиная писать программы для веба, многие начинающие программисты сталкиваются с такой ошибкой. Они рассматривают систему браузер-сервер, как...

Лабораторные работы

30-11-2015 Hits:5810 Новости Александр

 Лабораторные работы CCNA R&S   Теория - конечно очень нужная вещь , но без практики ни чего не запомнишь , ниже ссылки...

Добавляем звуки при наведении мыши или клике на меню

10-11-2015 Hits:15998 Новости Александр

Добавляем звуки при наведении мыши или клике на меню И так - всё просто , звук является частью дизайна и способность...

Обсуждение Virtumart 2

20-02-2015 Hits:4842 Новости Александр

 По моему мнению которое скорей всего субъективно - Virtumart 2 в отношении отображения цен сделан мягко говоря - коряво. И дабы...

www.radiobells.com #radiobells_script_hash

Флудилка

Обсуждение Joomla , Virtuemart 2 , Cisco IOS , Asterisk , PHP

  • Категории
    Категории Страница отображения списка категорий системы блогов сайта.
Добавлено : Дата: в разделе: Cisco CCNA 200-120

Устройства в рамках небольшой сети

Топология небольших сетей

Большинство компаний относятся к предприятиям малого бизнеса. Неудивительно, что в этом случае основная часть сетей относится к классу небольших сетей.

Проектирование небольших сетей, как правило, не вызывает трудностей. Количество устройств в сети и их типов существенно меньше по сравнению с большими сетями. Топологии небольших сетей включают обычно один маршрутизатор, а также один или несколько коммутаторов. Небольшие сети также могут содержать точки беспроводного доступа (могут быть встроены в маршрутизатор) и IP-телефоны. Для соединения с Интернетом в небольшой сети обычно предусматривается одно WAN-подключение, реализованное посредством DSL-соединения, кабеля или Ethernet-соединения.

QIP Shot Screen 127

Для управления небольшими сетями требуются преимущественно те же навыки, что и для управления большими сетями. Основная часть работы ориентирована на обслуживание, диагностику и устранение неисправностей существующего оборудования, а также на обеспечение безопасности устройств и данных в сети. Управление небольшой сетью осуществляется сотрудником компании или лицом, привлечённым компанией на контрактной основе, в зависимости от масштаба предприятия и его типа.

На рисунке изображена стандартная сеть малого предприятия.

Выбор устройств для небольшой сети

В целях соответствия требованиям пользователей даже для небольших сетей требуется планирование и проектирование. Планирование позволяет уделить должное внимание всем требованиям, расходам и способам внедрения.

QIP Shot Screen 128

В рамках внедрения небольшой сети необходимо в первую очередь учитывать тип промежуточных устройств при проектировании, которые будут использоваться для поддержки сети. При выборе типа промежуточных устройств нужно учесть ряд следующих факторов, как показано на рисунке.

Объём затрат

Объём затрат, как правило, является одним из важнейших факторов, определяющих выбор оборудования для сети малого предприятия. Стоимость коммутатора зависит от его производительности и функций. Под производительностью устройства подразумевается количество и типы портов, а также скорость внутренней коммутации. Кроме того, на стоимость влияют функции управления сетью, встроенные технологии безопасности и дополнительные расширенные технологии коммутации. Необходимо также учитывать и стоимость прокладки кабельной сети, необходимой для подключения всех устройств к сети. Другой ключевой элемент, влияющий на расчёт стоимости, — объём резервирования, требуемого в рамках сети. К этому элементу относятся устройства, количество портов на одном устройстве, а также медные или оптоволоконные кабели.

Скорость портов (интерфейсов) и их типы

Выбор количества и типа портов маршрутизатора или коммутатора имеет критическое значение. Необходимо учесть следующие моменты: 1) потребуется ли рассчитать количество портов исходя из текущих потребностей или перспектив роста; 2) потребуется ли применение медного кабеля UTP для различных скоростей передачи; 3) потребуется ли использовать одновременно и порты для медного кабеля, и порты для оптоволоконных кабелей.

В более новых моделях компьютеров предусмотрены встроенные сетевые адаптеры 1 Гбит/с. Некоторые рабочие станции и серверы уже оснащены портами 10 Гбит/с. Хотя при выборе устройств 2-го уровня, предназначенных для работы в условиях более высоких скоростей, объём затрат возрастает, это позволяет расширять сеть без замены центральных устройств.

Возможности расширяемости

Сетевые устройства выпускаются в блочной и модульной конфигурации. В блочной конфигурации предусмотрено определённое количество и тип портов или интерфейсов. У модульных устройств есть слоты расширения, позволяющие добавлять новые модули. Большинство модульных устройств оснащены фиксированными портами в базовом количестве, а также слотами расширения. Коммутаторы оснащены дополнительными портами для дополнительных соединений с магистральным каналом. Кроме того, поскольку маршрутизаторы можно использовать для подключения к разному количеству сетей различного типа, необходимо выбирать модули и интерфейсы в соответствии с конкретной средой. Необходимо учесть следующие моменты: 1) следует ли заказывать устройства с возможностью модернизации; 2) какой тип WAN-интерфейсов (если используются) требуется использовать для маршрутизаторов.

Функции и службы операционной системы

В зависимости от версии операционной системы сетевое устройство может поддерживать различные функции и службы, например:

  • Безопасность
  • QoS
  • VoIP
  • Коммутация 3-го уровня
  • NAT (преобразование сетевых адресов)
  • DHCP

Стоимость маршрутизаторов может быть достаточно высокой в зависимости от того, какие требуется использовать интерфейсы и функции. Дополнительные модули (например, оптоволоконный модуль) увеличивают стоимость сетевых устройств.

IP-адресация в рамках небольшой сети

В рамках развёртывания небольшой сети необходимо спланировать пространство для IP-адресации. Все узлы в пределах сетевого взаимодействия должны иметь уникальный адрес. Даже в небольшой сети адреса в пределах сети не должны назначаться в произвольном порядке. Схема IP-адресации должна быть спланирована, задокументирована и внедрена с учётом типа устройства, которому присваивается этот адрес.

Примеры различных типов устройств, которые учитываются при проектировании схемы IP-адресации:

  • Оконечные устройства пользователей
  • Серверы и периферийные устройства
  • Узлы, доступные из Интернета
  • Промежуточные устройства

Планирование и документирование схемы IP-адресации позволяет администраторам отслеживать устройства по типам. Например, если всем серверам назначается адрес узла в пределах диапазона 50-100, трафик сервера можно будет легко отследить по IP-адресу. Это особенно удобно, если устранять неполадки, связанные с сетевым трафиком, с помощью анализатора протоколов.

Кроме того, при использовании детерминированной схемы IP-адресации администраторы смогут более качественно контролировать доступ к ресурсам сети по IP-адресам. Это имеет особенно большое значение для узлов, предоставляющих ресурсы внутренним сетям, а также внешней сети. Такую роль выполняют веб-серверы или серверы электронной коммерции. Если адреса этих ресурсов не спланированы и не задокументированы, контроль над безопасностью и доступностью устройств существенно усложняется. Если серверу назначен произвольный адрес, этот адрес трудно заблокировать, и клиенты могут столкнуться с определёнными трудностями при поиске этого ресурса.

Для таких различных типов устройств необходимо выделить логический блок адресов в пределах диапазона адресов сети.

Резервирование в небольшой сети

Другим важным фактором при проектировании сети является обеспечение её надёжности. Работа даже малых предприятий зачастую в большой степени зависит от сети. Сбой в работе сети может повлечь значительные затраты. Чтобы обеспечить высокую степень надёжности, при проектировании сети необходимо учитывать резервирование. Резервирование способствует устранению точек отказа. Резервирование в сети осуществляется множеством различных способов. Его можно выполнить путём установки аппаратуры резервирования, однако также можно указать резервные сетевые каналы на критические области, как показано на рисунке.

QIP Shot Screen 129

Чем меньше сеть, тем ниже вероятность того, что резервирование будет реализовано с учётом экономии средств. Следовательно, самый распространённый способ резервирования предполагает использование резервных коммутационных соединений между несколькими коммутаторами в сети, а также между коммутаторами и маршрутизаторами.

Также в большинстве случаев серверы оснащены несколькими портами для сетевых адаптеров, которые обеспечивают возможность соединения с одним или несколькими маршрутизаторами. В небольшой сети серверы стандартно развёртываются как веб-серверы, файловые серверы или почтовые серверы.

Небольшие сети обычно предоставляют единую точку выхода в Интернет посредством одного или нескольких шлюзов по умолчанию. Если в топологии предусмотрен только один маршрутизатор, единственно возможный способ резервирования в рамках путей 3-го уровня доступен за счёт использования на маршрутизаторе нескольких внутренних интерфейсов Ethernet. Однако в случае сбоя в работе маршрутизатора вся сеть теряет соединение с Интернетом. В связи с этим малым предприятиям можно порекомендовать приобрести в качестве резервного соединения самый дешёвый пакет услуг у другого оператора связи.

Проектные решения для небольшой сети

Пользователи ожидают наличия немедленного доступа к своим сообщениям электронной почты, а также к файлам, которые они обновляют и которыми обмениваются. Чтобы обеспечить такую доступность, разработчик сети должен выполнить следующие действия.

Шаг 1. Обеспечить защиту файловых и почтовых серверов, имеющих центральное местоположение.

Шаг 2. Обеспечить защиту данного расположения от несанкционированного доступа с помощью физических и логических мер безопасности.

Шаг 3. Создать резервирование на серверной ферме, при котором в случае сбоя одного устройства не будут потеряны файлы.

Шаг 4. Выполнить настройку резервных путей к серверам.

QIP Shot Screen 130

Кроме того, в современных сетях зачастую используются различные типы видео- или голосовой информации по протоколу IP для связи с клиентами и бизнес-партнерами. Этот тип сошедшейся сети внедряется как интегрированное решение или как дополнительная форма неструктурированных данных, наложенных на IP-сеть. При проектировании сети администратор должен учитывать различные типы трафика и их обработку. Маршрутизаторы и коммутаторы в небольшой сети необходимо настроить для поддержки трафика в реальном времени (например, голосовые или видеоданные) отдельно от поддержки трафика других данных. Фактически при качественном проектировании сети трафик чётко классифицируется в соответствии с приоритетностью, как показано на рисунке. Классы трафика можно указать следующим образом:

  • передача файлов;
  • электронная почта;
  • голосовая передача;
  • Видео
  • обмен сообщениями;
  • переменные данные.
  • QIP Shot Screen 131

В конечном счёте целью нового проекта сети (даже небольшой) является повышение эффективности работы сотрудников и минимизация времени простоя сети.

Наиболее распространенные приложения используемые в небольшой сети

Полезность сети определяется полезностью используемых в ней приложений. Как показано на рисунке, на прикладном уровне существует два вида программ или процессов, обеспечивающих доступ к сети: сетевые приложения и службы уровня приложений.

Сетевые приложения

Приложения — это компьютерные программы, используемые для обмена данными по сети. Некоторые приложения конечных пользователей зависят от сети, то есть они применяют протоколы уровня приложений и могут осуществлять обмен данными непосредственно с нижними уровнями стека протоколов. В качестве примера такого типа приложений можно привести почтовые клиенты и веб-браузеры.

Службы уровня приложений

Другие программы могут прибегать к помощи служб уровня приложений при использовании сетевых ресурсов (например, передача файлов и временное хранение данных сетевой печати). Хотя эти службы прозрачны для сотрудников, они представляют собой программы, которые взаимодействуют с сетью и подготавливают данные для передачи. Для различных типов данных (текстовых, графических или видеоданных) требуются различные сетевые службы, обеспечивающие их надлежащую подготовку к обработке с помощью функций на нижнем уровне модели взаимодействия открытых систем (OSI).

QIP Shot Screen 132

Все приложения и сетевые службы используют протоколы, которые определяют применимые стандарты и форматы данных. Без использования протоколов в сети передачи данных недоступны распространённые способы форматирования и направления данных. Чтобы понять функции различных сетевых служб, необходимо ознакомиться с соответствующими протоколами, которые управляют работой этих служб.

Распространенные протоколы используемые в небольшой сети

Большая часть работы технического специалиста в рамках как большой, так и небольшой сети, так или иначе, связана с сетевыми протоколами. Сетевые протоколы поддерживают приложения и службы, используемые сотрудниками в небольших сетях. К наиболее распространённым сетевым протоколам относятся:

  • DNS
  • Telnet
  • IMAP, SMTP, POP (электронная почта)
  • DHCP
  • HTTP
  • FTP

QIP Shot Screen 133

Эти сетевые протоколы содержат основной набор инструментов сетевого специалиста. Каждый сетевой протокол определяет:

  • процессы по обе стороны сеанса передачи данных;
  • типы сообщений;
  • синтаксис сообщений;
  • значение информационных полей;
  • способы отправки сообщений и предполагаемый ответ;
  • взаимодействие с последующим более низким уровнем.

Политика безопасности многих компаний требует по возможности использовать безопасные версии этих протоколов. К таким протоколам относятся HTTPS, SFTP и SSH.

Приложения реального времени для небольшой сети

Помимо общих сетевых протоколов, описанных ранее, современные компании (даже малые предприятия), как правило, используют также приложения реального времени для обмена данными с клиентами и бизнес-партнерами. Для малых предприятий, возможно, использование корпоративного решения Cisco Telepresence будет неоправданным с финансовой точки зрения, однако для предприятий малого бизнеса доступны и другие, менее дорогостоящие приложения реального времени, как показано на рисунке 1.

QIP Shot Screen 134

Для приложений реального времени требуется больший объём планирования и специализированных служб (относительно других типов данных), обеспечивающих приоритетную передачу трафика голосовых и видеоданных. Иными словами, сетевой администратор должен обеспечить установку надлежащего оборудования в сети и настроить сетевые устройства в целях поддержки приоритетной передачи данных. На рис. 2 показаны элементы небольшой сети, которые поддерживают приложения реального времени.

QIP Shot Screen 135

Инфраструктура

Чтобы поддерживать существующие и предлагаемые приложения реального времени, инфраструктура должна соответствовать свойствам всех типов трафика. Разработчик сети должен установить, смогут ли существующие коммутаторы и кабельная система обслуживать добавляемый в сеть трафик. Кабельная система с поддержкой гигабитных передач должна проводить создаваемый трафик, не требуя изменений в инфраструктуре. Коммутаторы прежних образцов могут не поддерживать питание через Ethernet (PoE). Устаревшая кабельная система может не соответствовать требованиям пропускной способности. Для поддержки этих приложений коммутаторы и кабельную систему придётся модернизировать.

VoIP

Протокол VoIP применяется организацией, использующей стандартные телефоны. Протокол VoIP использует маршрутизаторы с поддержкой передачи голосовых данных. Такие маршрутизаторы преобразуют аналоговую речь из традиционных телефонных сигналов в IP-пакеты. После того как сигналы преобразованы в IP-пакеты, маршрутизатор отправляет их по соответствующим расположениям. Протокол VoIP отличается большей экономичностью, чем интегрированные решения IP-телефонии, однако качество обмена данными не соответствует стандартам таких решений. Решения для передачи голосовых и видеоданных по протоколу IP для малых предприятий могут быть реализованы, например, посредством Skype и версий Cisco WebEx, которые не являются корпоративными.

IP-телефония

В рамках IP-телефонии преобразование голосовых данных в IP-пакеты выполняется непосредственно IP-телефоном. При наличии интегрированного решения IP-телефонии установка в сети маршрутизаторов с поддержкой голосовых данных не требуется. IP-телефоны используют специализированный сервер для управления вызовами и отправки сигналов. Многие поставщики предлагают специализированные решения IP-телефонии для небольших сетей.

Приложения реального времени

Для эффективной передачи потокового мультимедиа сеть должна поддерживать приложения с чувствительной к задержкам передачей. Существует два протокола, удовлетворяющих этому требованию: транспортный протокол реального времени (RTP) и управляющий транспортный протокол реального времени (RTCP). Протоколы RTP и RTCP позволяют управлять и масштабировать сетевые ресурсы с помощью включения механизмов службы QoS. Механизмы службы QoS предоставляют эффективные средства для сведения к минимуму запаздывания в приложениях потоковой передачи в реальном времени.

Маштабирование небольшой сети

Расширение — естественный процесс для многих малых предприятий, поэтому используемые в них сети должны расти и развиваться соответственно. Сетевой администратор небольшой сети может действовать проактивно или реактивно в зависимости от предпочтений руководства компании, в которое зачастую входит и сам сетевой администратор. Желательно, чтобы сетевой администратор располагал достаточным временем для принятия взвешенных решений относительно расширения сети в соответствии с развитием компании.

Для масштабирования сети требуется наличие ряда элементов.

  • Сетевая документация — физическая и логическая топология
  • Реестр устройств — список устройств, использующих или образующих сеть
  • Бюджет — детализированный бюджет ИТ, включая бюджет на закупку оборудования на финансовый год.
  • Анализ трафика — необходимость документирования протоколов, приложений и служб, а также соответствующих им требований к трафику.

Эти элементы используются при принятии взвешенных решений в рамках масштабирования небольшой сети.

Анализ протоколов небольшой сети

Чтобы поддерживать и развивать небольшую сеть, необходимо хорошо разбираться в протоколах и сетевых приложениях, которые запускаются по такой сети. Хотя сетевой администратор небольшой сети будет иметь больше времени для анализа использования сети каждым из устройств с поддержкой сетевых функций, рекомендуется использовать более целостный подход для некоторых анализаторов протоколов на базе программного или аппаратного обеспечения.

Как показано на рисунке, анализаторы протоколов позволяют сетевым специалистам быстро составлять статистические отчёты о потоках трафика в сети.

При определении метода управления сетевым трафиком, особенно в условиях расширения сети, важно знать тип трафика, который передаётся через сеть, а также текущие потоки трафика. Если типы трафика неизвестны, определить трафик и его источник поможет анализатор протоколов.

 QIP Shot Screen 136

Для определения режимов потока трафика важно:

  • перехватить трафик в период пиковой загрузки, чтобы получить хорошее представление о различных типах трафика;
  • выполнить перехват в различных сегментах сети, так как некоторые типы трафика будут ограничены определёнными сегментами.

Информация, собранная средством анализа протоколов, анализируется на основе данных об источнике и получателе трафика, а также с учётом типа отправляемого трафика. Результаты анализа можно использовать при принятии решений об эффективном управлении трафиком. Этого можно добиться путём сокращения ненужных потоков трафика или изменения режима потоков, например за счёт перемещения сервера.

В отдельных случаях достаточно просто переместить сервер или службу в другой сегмент сети, чтобы повысить производительность сети и обеспечить соответствие требованиям в условиях роста сети. В других случаях для оптимизации производительности сети может потребоваться серьёзное вмешательство и перепроектирование сети.

Растущие требования к протоколам

Помимо понимания изменений в тенденциях трафика сетевой администратор также должен знать, как именно изменяется использование сети. Как показано на рисунке, у сетевого администратора небольшой сети есть возможность получать «снимки» ИТ-системы в динамике в отношении использования тех или иных приложений лично каждым из сотрудников. Такие снимки, как правило, содержат следующие сведения:

  • ОС и версия ОС
  • Приложения Non-Network
  • Сетевые приложения
  • Использование ЦП
  • Использование дискового пространства
  • Использование ОЗУ

Документирование снимков по сотрудникам в небольшой сети в динамике существенно повышает информированность сетевых администраторов о растущих требованиях к протоколам и связанных с ними потокам трафика. Например, некоторые сотрудники могут использовать сторонние ресурсы (например, социальные сети) в целях более качественного позиционирования компании в рамках маркетинговой стратегии. В самом начале своей работы в компании эти сотрудники, возможно, были менее ориентированы на рекламу в Интернете. В связи с подобным изменением в использовании ресурсов сетевому администратору может потребоваться соответствующим образом изменить политику выделения сетевых ресурсов.

Сетевой администратор несёт ответственность за отслеживание использования сети и требований к потокам трафика, а также за внедрение изменений сети в целях оптимизации производительности сотрудников по мере роста и развития сети и предприятия.

Категории угроз безопасности

Проводные и беспроводные компьютерные сети играют важнейшую роль в повседневной жизни. Физические лица и организации в равной степени зависят от своих компьютеров и сетей. Несанкционированное вторжение в сеть может привести к чрезвычайно затратным перебоям и потере важных результатов работы. Атака на сеть может иметь разрушительные последствия с потерей времени и средств в результате повреждения или хищения важной информации и ресурсов.

QIP Shot Screen 137

Злоумышленники могут получить доступ к сети, используя уязвимости программного обеспечения, атаки, аппаратные атаки, или путём подбора имени пользователя и пароля. Злоумышленники, которые получают доступ, изменяя программное обеспечение или эксплуатируя уязвимости в программном обеспечении, часто именуются хакерами.

Хакер, получивший доступ в сеть, сразу становится источником четырёх видов угроз:

  • хищение информации;
  • кража личной информации;
  • потеря данных или манипуляция данными;
  • прекращение обслуживания.

Для просмотра дополнительных сведений нажмите изображения на рисунке.

Даже в небольших сетях необходимо учитывать угрозы безопасности и уязвимости при планировании внедрения сети.

Физическая безопасность

При оценке безопасности сети или компьютера следует учесть возможность эксплуатации злоумышленниками уязвимостей программного обеспечения. Не менее значимую уязвимость представляет собой физическая безопасность устройств, как показано на рисунке. Злоумышленник может блокировать доступ к сетевым ресурсам, если они могут быть скомпрометированы на физическом уровне.

QIP Shot Screen 138

Существует четыре класса физических угроз.

  • Угрозы для аппаратного обеспечения — физическое повреждение серверов, маршрутизаторов, коммутаторов, кабелей и рабочих станций
  • Угрозы со стороны окружающей среды — предельные температуры (слишком высокие или слишком низкие) или крайние значения влажности (слишком низкая или слишком высокая)
  • Электрические угрозы — пики напряжения, недостаточное напряжение в сети (провалы напряжения), колебания напряжения (шум) и полное отключение питания
  • Эксплуатационные угрозы — ненадлежащее обращение с ключевыми электрическими компонентами (электростатический разряд), нехватка важных запасных деталей, неправильная прокладка кабелей и недостаточная маркировка

Некоторые из этих проблем необходимо решать посредством организационных политик. Другие проблемы решаются за счёт грамотного руководства и управления в организации.

Типы уязвимостей в системе сетевой безопасности

Три фактора, влияющие на сетевую безопасность: уязвимость, угроза и атака.

Уязвимость — степень незащищённости, свойственная каждой сети и устройству. К таким устройствам относятся маршрутизаторы, коммутаторы, настольные компьютеры, серверы и устройства безопасности.

Угрозы представляют заинтересованные пользователи, обладающие достаточными навыками, чтобы воспользоваться уязвимостями в системе безопасности. Такие лица предположительно будут постоянно находить новые уязвимости и возможности для вторжений в сети.

Угрозы реализуются с помощью разнообразных инструментов, сценариев и программ запуска атак на сети и сетевые устройства. Как правило, атакам подвержены такие сетевые устройства, как конечные точки: сервера и настольные компьютеры.

Существует три основных типа уязвимостей:

  • технологические (см. рис. 1);
  • QIP Shot Screen 139
  • конфигурационные (см. рис. 2);
  • QIP Shot Screen 140
  • политика обеспечения безопасности (см. рис. 3).
  • QIP Shot Screen 141

Все три типа уязвимостей могут быть причиной атак, включая атаки с использованием вредоносного кода и сетевые атаки.

Вирусы , черви и троянские программы

К атакам с использованием вредоносного кода относится несколько типов компьютерных программ, созданных с целью вызвать потерю или повреждение данных. Существует три основных типа атак с использованием вредоносного кода: вирусы, троянские программы и черви.

QIP Shot Screen 143

Вирус представляет собой вредоносную программу, присоединённую к другой программе с целью выполнения определённых нежелательных функций на рабочей станции. В качестве примера можно привести программу, присоединённую к файлу command.com (основной командный интерпретатор систем Windows); она удаляет определённые файлы и заражает остальные версии файла command.com, которые сможет обнаружить.

Троянская программа отличается только тем, что она написана таким образом, чтобы походить на другую, а на самом деле является инструментом атаки. В качестве примера троянской программы можно привести программное приложение, которое запускает простую игру на рабочей станции. Пока пользователь занят игрой, троянская программа отправляет по электронной почте копию самой себя на каждый из адресов в адресной книге пользователя. Другие пользователи получают игру и начинают играть в нее, таким образом распространяя троянскую программу по адресам в каждой адресной книге.

Вирусам, как правило, требуется механизм передачи, своего рода вектор, например ZIP-файл или любой другой исполняемый файл, присоединённый к сообщению электронной почты, который переносит код вируса из одной системы в другую. Ключевое отличие компьютерного червя от компьютерного вируса состоит в том, что для распространения вируса требуется взаимодействие с пользователем.

Черви — это независимые программы, которые атакуют систему и пытаются использовать определённые уязвимости в целевой системе. После успешного использования уязвимости червь копирует свою программу с атакующего узла в целевую систему, чтобы запустить цикл повторно. Червь имеет следующую структуру.

  • Активирующая уязвимость — червь устанавливает свою программу, используя известные уязвимости в системе, например, рассчитывает на наивность конечных пользователей, которые открывают непроверенные исполняемые файлы во вложениях электронной почты.
  • Механизм распространения — после получения доступа к узлу червь копирует свою программу на этот узел и выбирает новую цель.
  • Полезная нагрузка — после заражения узла червём злоумышленник получает доступ к этому узлу (зачастую — доступ с правами привилегированного пользователя). Злоумышленники могут использовать локальное вторжение, чтобы повысить права до уровня администратора.
  • Разведывательные атаки

  • Помимо атак с использованием вредоносного кода сети также могут стать целью различных сетевых атак. Сетевые атаки можно разделить на три основные категории.

    • Разведывательные атаки — несанкционированное обнаружение и сопоставление систем, служб или уязвимостей
    • Атаки доступа — несанкционированные неправомерные действия с данными, доступ к системе или использование прав пользователя
    • Отказ в обслуживании — отключение или повреждение сетей, систем или служб

    Разведывательные атаки

  • QIP Shot Screen 144
  •  

    Злоумышленники извне могут использовать инструменты Интернета, например программные средства nslookup и whois, которые позволяют легко определить пространство IP-адресов, назначенное определённой корпорации или юридическому лицу. После определения пространства IP-адресов злоумышленник может выполнить проверку связи с общедоступными IP-адресами, чтобы выявить активные адреса. Для автоматизации этого этапа злоумышленник может использовать инструмент эхо-тестирования адресов (например, fping или gping), которые систематически выполняют проверку связи со всеми сетевыми адресами в пределах заданного диапазона или подсети. Этот процесс можно сравнить с просмотром раздела телефонной книги и звонком на каждый из номеров, чтобы проверить, кто ответит.

Атаки доступа

Атаки доступа используют известные уязвимости в службах проверки подлинности, службах FTP и веб-службах в целях получения доступа к учётным записям в Интернете, конфиденциальным базам данных и другой конфиденциальной информации.

QIP Shot Screen 145

Атака доступа позволяет злоумышленнику получить несанкционированный доступ к данным, для просмотра которого у него нет прав. Атаки доступа можно разделить на четыре типа.

QIP Shot Screen 146

Один из самых распространённых типов атак доступа — атака через подбор пароля. Атаки через подбор пароля реализуются посредством использования анализатора пакетов для сбора учётных данных и паролей пользователей, передаваемых в виде легко читаемого текста.

QIP Shot Screen 147

Атаками через подбор пароля могут также называться многократные попытки входа на общий ресурс (например, сервер или маршрутизатор) для выявления имени пользователя, пароля или полных учётных данных. Такие многократные попытки называются словарными атаками или атаками методом грубой силы.

QIP Shot Screen 148

Атаки типа "Отказ в обслуживании (DoS-атаки)"

QIP Shot Screen 149

DoS-атаки широко распространены, и их последствия устранить труднее всего. Даже в пределах сообщества злоумышленников DoS-атаки считаются слишком банальными, и их использование не приветствуется, поскольку для их реализации требуется слишком мало усилий.

QIP Shot Screen 150

 

Однако ввиду простоты реализации DoS-атак и потенциально существенного вреда от них администраторы безопасности должны уделять таким атакам особое внимание.

QIP Shot Screen 151

DoS-атаки могут принимать различные формы. В конечном итоге такие атаки, потребляя системные ресурсы, мешают авторизованным пользователям использовать сервис.

QIP Shot Screen 152

QIP Shot Screen 153

Аутентификация , авторизация и учет

Такие службы по обеспечению сетевой безопасности, как аутентификация, авторизация и учёт являются базовой инфраструктурой, которая устанавливает средства контроля доступа на каком-либо сетевом устройстве. Сочетание служб аутентификации, авторизации и учёта — это метод, позволяющий контролировать вход разрешённых пользователей (аутентификация), какие действия они могут выполнять, находясь в сети (авторизация), а также следить за их действиями во время доступа к сети (учёт). Службы аутентификации, авторизации и учёта (AAA) обеспечивают более высокий уровень масштабируемости в отличие от консоли, AUX, VTY и команды аутентификации в привилегированном режиме.

Аутентификация

Пользователи и администраторы должны подтвердить свою личность. Аутентификация осуществляется с помощью комбинаций имени пользователя и пароля, метода идентификации типа «запрос-ответ», карт-маркёров и других способов. Например: «Я пользователь „student“. Мне известен пароль, подтверждающий, что я действительно пользователь "student"».

В небольшой сети зачастую используется локальная аутентификация. При локальной аутентификации каждое устройство использует собственную базу данных комбинаций имён пользователей и паролей. Однако при наличии большого числа учётных записей пользователей в локальной базе данных устройства управление этими учётными записями существенно осложняется. Кроме того, по мере роста сети и добавления дополнительных устройств в сеть поддержка локальной аутентификации, а также её масштабирование сильно затруднено. Например, при наличии 100 сетевых устройств все учётные записи пользователей необходимо добавить на все 100 устройств.

QIP Shot Screen 154

В более крупных сетях рекомендуется использовать внешнюю аутентификацию, так как она обеспечивает больше возможностей для масштабирования. Внешняя аутентификация позволяет всем пользователям проходить аутентификацию посредством внешнего сетевого сервера. Два наиболее распространённых варианта внешней аутентификации пользователей — RADIUS и TACACS+:

  • RADIUS представляет собой открытый стандарт с низким коэффициентом использования ресурсов ЦП и памяти. Этот стандарт используется различными сетевыми устройствами (например, коммутаторами, маршрутизаторами и беспроводными устройствами).
  • TACACS+ представляет собой механизм обеспечения безопасности, который позволяет использовать модульные службы аутентификации, авторизации и учёта. Этот стандарт использует службу TACACS+, запущенную на сервере безопасности.

Авторизация

После аутентификации пользователя службы авторизации определяют ресурсы, к которым у пользователя есть доступ, и операции, которые пользователю разрешено выполнять. Например, «Пользователь „student“ может осуществлять доступ к узлу serverXYZ, используя только Telnet».

Учёт

Записи учёта действий пользователя, включая объекты доступа, продолжительность доступа к ресурсу и все внесённые изменения. Учёт позволяет отслеживать использование сетевых ресурсов. Например, «Пользователь „student“ осуществил доступ к узлу serverXYZ с помощью Telnet продолжительностью 15 минут».

Концепция служб аутентификации, авторизации и учёта (AAA) похожа на использование кредитной карты. Кредитная карта определяет, кто может ею пользоваться, какую сумму можно потратить, а также ведёт учёт товаров, на которые пользователь тратит деньги, как показано на рисунке.

Межсетевые экраны

Помимо защиты отдельных компьютеров и серверов, подключённых к сети, необходимо контролировать прохождение трафика через сеть в различных направлениях.

Межсетевой экран — одно из наиболее эффективных средств безопасности для защиты пользователей сети от внешних угроз. Межсетевой экран разделяет две или более сети и осуществляет контроль проходящего между ними трафика, одновременно предотвращая попытки несанкционированного доступа. В межсетевых экранах используются различные методы определения разрешённого и запрещённого доступа к сети. Эти методы перечислены ниже.

  • Фильтрация пакетов — запрет или разрешение доступа на основе IP- или MAC-адресов.
  • Фильтрация по приложениям — запрет или разрешение доступа для конкретных типов приложений на основе номеров портов.
  • Фильтрация по URL-адресам — запрет или разрешение доступа к веб-сайтам на основе конкретных URL-адресов или ключевых слов.
  • Анализ пакетов с учётом состояний соединений (SPI) — входящие пакеты должны представлять собой легитимные отклики на запросы внутренних узлов. Не запрошенные пакеты блокируются, если они не разрешены в явном виде. SPI также предоставляет возможность распознавать и блокировать конкретные типы атак, например атаку «отказ в обслуживании» (DoS-атака).

Межсетевые экраны поддерживают один или несколько подобных механизмов фильтрации и блокирования. Кроме того, межсетевые экраны часто выполняют преобразование сетевых адресов (NAT). NAT переводит внутренние IP-адреса и их группы во внешние публичные IP-адреса, которые передаются по сети. При этом внутренние IP-адреса скрыты от внешних пользователей.

QIP Shot Screen 155

Решения для межсетевых экранов предоставляются в различных типах пакетов, как показано на рисунке.

  • Аппаратные межсетевые экраны— это выделенные устройства, называемые устройством защиты.
  • Серверные межсетевые экраны — это приложения межсетевого экрана, выполняемые в сетевой операционной системе (NOS), например UNIX, Windows или Novell.
  • Интегрированные межсетевые экраны — дополняет возможности существующего устройства (например маршрутизатора) функциями межсетевого экрана.
  • Персональные межсетевые экраны — размещаются на узлах и не рассчитаны на защиту локальной сети в целом. Они могут быть реализованы в ОС по умолчанию или установлены сторонним поставщиком.
  • Защита оконечных устройств

  • Безопасная сеть защищена настолько, насколько защищено её наиболее уязвимое звено. Наиболее значимыми угрозами, которые чаще всего обсуждаются в СМИ, являются внешние угрозы (например интернет-черви и DoS-атаки). Однако обеспечение безопасности внутренней сети не менее важно, чем защита периметра сети. Внутренняя сеть состоит из оконечных сетевых устройств (некоторые из них отображены на рисунке). Оконечное устройство, или узел, представляет собой отдельную компьютерную систему или устройство, которое выступает в роли сетевого клиента. К наиболее распространённым оконечным устройствам относятся ноутбуки, настольные и планшетные ПК, серверы и смартфоны. Если пользователи не обеспечивают безопасность своих оконечных устройств, никакие меры безопасности не гарантируют полной защиты сети.

  • QIP Shot Screen 156
  •  

    Защита оконечных устройств — одна из наиболее сложных задач сетевого администратора, поскольку в данном случае имеет значение человеческий фактор. Компании необходимо разработать и тщательно задокументировать соответствующие политики и ознакомить с ними сотрудников. Сотрудников необходимо обучить правильно использовать сеть. Политики зачастую подразумевают использование антивирусного обеспечения и меры предотвращения несанкционированного вторжения на узел. Комплексные решения для защиты оконечных устройств используют функции контроля доступа к сети.

    В рамках защиты оконечных устройств также требуется защита устройств 2-го уровня в рамках сетевой инфраструктуры, что позволяет предотвратить атаки 2-го уровня (например, спуфинг-атаки с использованием MAC-адресов, атаки с использованием переполнения таблиц MAC-адресов и атаки по типу «сетевой шторм»). Такая процедура называется минимизацией риска атаки.

  • Краткое описание методов защиты устройств

  • Часть системы безопасности сети обеспечивает безопасность фактических устройств, включая оконечные и промежуточные устройства (например сетевые устройства).

  • QIP Shot Screen 157
  •  

    При установке на устройство новой операционной системы настройкам безопасности присваиваются значения по умолчанию. В большинстве случаев этот уровень безопасности является недостаточным. В маршрутизаторах Cisco для обеспечения безопасности системы можно использовать функцию Cisco AutoSecure или операцию клиента SDM One-Step LockDown, как показано на рисунке. Существует ряд простых шагов, которые можно применить для большинства операционных систем:

    • Имена пользователей и пароли по умолчанию необходимо немедленно изменить.
    • Доступом к системным ресурсам должны обладать только лица, наделённые соответствующими правами.
    • Любые невостребованные службы и приложения при возможности необходимо отключить или удалить.

    Все устройства необходимо обновлять, устанавливая новые исправления безопасности по мере их появления. Зачастую устройства, полученные от производителя, до отгрузки хранились на складе в течение определённого периода, и поэтому на них не установлены актуальные исправления. Также важно перед внедрением устройства обновить всё программное обеспечение и установить все исправления безопасности.

Пароли

Для защиты сетевых устройств необходимо использовать надёжные пароли. Далее представлен ряд стандартных инструкций.

  • Используйте пароль длиной не менее 8 символов (предпочтительно 10 и более символов). Используйте длинные пароли (это влияет на их надёжность).
  • Выбирайте сложные пароли. Включайте в пароль комбинацию букв в верхнем и нижнем регистре, цифр, специальных символов и пробелов (если допускается их использование).
  • Избегайте использования паролей, созданных на основе повторений, обычных слов из словаря, последовательностей букв или цифр, имени пользователя, имён родственников и домашних животных, биографических данных (дата рождения, идентификационные номера, имена предков и другие данные, которые легко выяснить).
  • Допустите в пароле намеренную ошибку. Например, Ivanov = Ivonov = 1vOnov или Security = 5ecur1ty.
  • Периодически меняйте пароли. Если пароль был скомпрометирован случайно, в любом случае это оставляет злоумышленникам мало возможностей для его использования.
  • Не записывайте пароли на бумаге и не оставляйте их в легко доступных местах (например, на столе или на мониторе).

QIP Shot Screen 158

На рисунке показаны примеры надёжных и ненадёжных паролей.

Маршрутизаторы Cisco игнорируют начальные пробелы в паролях, но пробелы после первого символа учитываются. Таким образом, один из способов создать надёжный пароль — использовать пробел в пароле и задать фразу, состоящую из нескольких слов. Эта фраза называется парольной фразой. Парольную фразу зачастую проще запомнить, чем обычный пароль. Парольная фраза также имеет большую длину, чем простой пароль, и её сложнее подобрать.

Администраторы должны обеспечить использование в сети надёжных паролей. Для этого в целях проверки надёжности пароля можно использовать те же инструменты атаки методом грубой силы, которые используются хакерами.

Основные меры обеспечения безопасности

При внедрении устройств важно следовать всем инструкциям по безопасности, действующим в организации. К таким инструкциям относится присвоение имён устройствам таким образом, которое обеспечивает их простое и удобное документирование и отслеживание, однако обеспечивает при этом определённую степень безопасности. Не стоит сообщать в имени узла излишнюю информацию об использовании устройства. Также необходимо принять дополнительные основные меры безопасности.

Расширенная защита пароля

Самые надёжные пароли полезны ровно до тех пор, пока они никому не известны. Существует ряд действий, которые можно выполнить, чтобы обеспечить сохранность пароля в тайне. Использование команды глобальной конфигурации service password-encryption предотвращает несанкционированный доступ для просмотра паролей в виде обычного текста в файле конфигурации, как показано на рисунке. Эта команда выполняет шифрование всех незашифрованных паролей.

QIP Shot Screen 159

Кроме того, чтобы все настроенные пароли имели длину не менее заданного значения, следует использовать командуsecurity passwords min-length в режиме глобальной конфигурации.

Другой способ получения злоумышленниками паролей — простая атака методом грубой силы, то есть подбор паролей до тех пор, пока один из них не подойдёт. Для предотвращения атак такого типа можно заблокировать попытки входа на устройство после определённого количества неудачных попыток в заданный период времени.

Router(config)# login block-for 120 attempts 3 within 60

Эта команда блокирует попытки входа на 120 секунд, если в течение 60 секунд выполнено три неудачные попытки входа.

Баннеры

Сообщение баннера аналогично знаку «проход запрещён». Такие сообщения важны в рамках подачи иска в суд в отношении любого, кто осуществил неправомерный доступ в систему. Убедитесь в том, что сообщения баннера соответствуют политикам безопасности организации.

Router(config)# banner motd #message#

Тайм-аут по выполнению

Также рекомендуется задать значения тайм-аута по выполнению. Настроив тайм-аут по выполнению, вы тем самым сообщаете устройству Cisco о необходимости отключения пользователей с линии, если они неактивны в течение периода, заданного значением тайм-аута по выполнению. Значения тайм-аута по выполнению можно настроить на портах консоли, VTY и AUX.

Router(config)# line vty 0 4 

Router(config-vty)# exec-timeout 10

Эта команда отключает пользователей по истечении 10 минут.

Включение протокола SSH

Устаревшим протоколом для удалённого управления устройствами является Telnet. Этот протокол не является безопасным. Данные в пакете Telnet передаются в незашифрованном виде. Используя такие инструменты, как Wireshark, злоумышленник может «проанализировать» сеанс Telnet и получить информацию о пароле. По этой причине в целях обеспечения безопасного удалённого доступа настоятельно рекомендуется использовать на устройствах протокол SSH. Настройка поддержки протокола SSH для устройства Cisco выполняется в четыре этапа, как показано на рисунке.

QIP Shot Screen 160

Шаг 1. Убедитесь в том, что маршрутизатору присвоено уникальное имя узла, после чего настройте IP-доменное имя сети, используя командуip domain-name domain-name в режиме глобальной конфигурации.

Шаг 2. Необходимо создать односторонние секретные ключи, которые будут использоваться маршрутизатором для шифрования трафика по SSH. Ключ представляет собой объект, который фактически используется для шифрования и расшифровки данных. Для создания ключа шифрования используется команда crypto key generate rsa general-keys modulus modulus-size в режиме глобальной конфигурации. Конкретное значение отдельных фрагментов этой команды отличается достаточной сложностью и не рассматривается в рамках настоящего курса, однако в данный момент следует просто учитывать, что этот модуль определяет размер ключа, и его можно настроить в диапазоне от 360 до 2048 бит. Чем больше модуль, тем выше уровень безопасности ключа, но тем больше времени занимает шифрование и расшифровка данных. Минимальная рекомендуемая длина модуля — 1024 бит.

Router(config)# crypto key generate rsa general-keys modulus 1024

Шаг 3. Создайте локальную запись имени пользователя базы данных, используя команду username namesecret secret в режиме глобальной конфигурации.

Шаг 4. Разрешите использование входящих сеансов SSH для VTY при помощи команд строки VTY login local и transport input ssh.

Доступ к службе протокола SSH на маршрутизаторе теперь можно осуществлять посредством программного обеспечения клиента SSH.

Интерпритация результатов выполнения эхо-запросов

После внедрения сети сетевой администратор должен иметь возможность протестировать подключение к сети, чтобы подтвердить её работоспособность. Кроме того, сетевым администраторам рекомендуется задокументировать сеть

Команда Команды Команда

Команда ping предоставляет эффективный способ проверки подключения. Эту проверку зачастую называют проверкой стека протоколов, поскольку команда ping перемещается от 3-го уровня модели OSI ко 2-му уровню, а затем — к 1-му уровню. Команда «ping» использует для проверки подключения протокол ICMP.

QIP Shot Screen 161

Команда ping не всегда позволяет выявить характер проблемы, однако может помочь определить её источник, что является первым важным шагом на пути к устранению неполадок в случае сбоя сети.

Команда ping предоставляет метод проверки стека протоколов и конфигурации IPv4-адреса на узле, а также проверки подключения к локальным и удалённым узлам назначения, как показано на рисунке. Доступны также дополнительные инструменты, которые позволяют получить больше информации, чем команда ping, например Telnet или Trace. Позднее мы рассмотрим их более подробно.

Индикаторы команды ping в IOS

При запуске команды ping в IOS создаётся ряд индикаторов для каждого отправленного эхо-запроса ICMP. Ниже представлены самые распространённые индикаторы.

  • ! — указывает на получение сообщения эхо-ответа от протокола ICMP
  • . — показывает время, прошедшее в ожидании сообщения эхо-ответа от протокола ICMP
  • U - получено сообщение «Узел назначения недостижим»

«!» (восклицательный знак) означает, что проверка связи успешно завершена, а также подтверждает подключение на 3-м уровне.

«.» (точка) может указывать на проблемы, возникшие в ходе обмена данными. Этот индикатор указывает на проблемы подключения в какой-либо точке пути. Он также может указывать на то, что маршрутизатор на пути не содержал маршрута до точки назначения и не отправил сообщение «Назначение ICMP недоступно». Кроме того, он может указывать на то, что команда «ping» заблокирована системой безопасности устройства.

Индикатор «U» означает, что маршрутизатор на пути не содержал маршрут до адреса назначения или этот запрос команды «ping» был заблокирован, и в ответ на него отправлено сообщение «Узел назначения недостижим».

Тестирование логического интерфейса Loopback

Команда ping используется для проверки внутренней IP-конфигурации на локальном узле. Следует помнить, что этот тест выполняется с помощью команды ping на зарезервированном адресе (так называемом loopback-адресе (127.0.0.1)). Эта команда проверяет работоспособность стека протоколов от сетевого до физического уровня и обратно без фактической отправки сигнала в среду.

Команды «ping» вводятся в командной строке.

Для проверки loopback с помощью команды ping используйте следующий синтаксис:

C:\> ping 127.0.0.1

Ответ данной команды будет выглядеть примерно следующим образом:

Reply from 127.0.0.1: bytes=32 time<1ms TTL=128

Reply from 127.0.0.1: bytes=32 time<1ms TTL=128

Reply from 127.0.0.1: bytes=32 time<1ms TTL=128

Reply from 127.0.0.1: bytes=32 time<1ms TTL=128

Ping statistics for 127.0.0.1:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms

Результат свидетельствует о том, что четыре тестовых пакета по 32 байта были отправлены и возвращены узлом 127.0.0.1 менее чем за 1 мс. Аббревиатура TTL означает «Time-to-Live» (время существования) и определяет количество переходов, оставшихся у эхо-запроса до его сброса.

Расширенный эхо-запрос

Cisco IOS предоставляет «расширенный» режим команды «ping». Для перехода в этот режим необходимо ввести текст «ping» в привилегированном режиме, не указывая IP-адрес назначения. Затем серия строк представляется, как показано в примере ниже. При нажатии клавиши «Enter» принимаются указанные значения по умолчанию. В приведённом ниже примере показано, как принудительно задать для адреса источника эхо-запроса значение 10.1.1.1 (см. R2 на рисунке); адрес источника для стандартного эхо-запроса — 209.165.200.226. Таким образом, сетевой администратор может удалённо (из R2) подтвердить, что R1 содержит маршрут 10.1.1.0/24 в своей таблице маршрутизации.

QIP Shot Screen 162

R2# ping

Protocol [ip]:

Target IP address: 192.168.10.1

Repeat count [5]:

Datagram size [100]:

Timeout in seconds [2]:

Extended commands [n]: y

Source address or interface: 10.1.1.1

Type of service [0]:

Set DF bit in IP header? [no]:

Validate reply data? [no]:

Data pattern [0xABCD]:

Loose, Strict, Record, Timestamp, Verbose[none]:

Sweep range of sizes [n]:

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 36/97/132 ms

Выбор значения тайм-аута, превышающего значение по умолчанию, позволяет обнаружить возможные проблемы, связанные с задержкой. Если проверка связи выполнена успешно с использованием большего значения, это означает, что между узлами установлено подключение, однако задержка может вызывать проблемы в работе сети.

Обратите внимание, что при вводе «Y» в строке «Расширенные команды» предоставляются дополнительные параметры, которые рекомендуется использовать для устранения неполадок.

Базовый уровень сети

QIP Shot Screen 163

Одним из наиболее эффективных инструментов мониторинга и устранения неполадок с производительностью сети является настройка базового уровня сети. Базовый уровень представляет собой процедуру изучения сети с равными интервалами с целью подтверждения работы сети в соответствии с характеристиками, заложенными при её проектировании. Базовый уровень сети — это нечто большее, чем просто отчёт с детализацией о работоспособности сети в заданный момент времени. Эффективный базовый уровень производительности сети создаётся за определённый период времени. Измерение производительности за различные периоды (рис. 1 и 2) и с изменяемыми нагрузками позволяет составить более точную картину общей производительности сети.

QIP Shot Screen 164

Выходные данные, полученные в результате использования сетевых команд, предоставляют данные для внесения в базовый уровень сети.

Одним из способов создания базового уровня является копирование и вставка результатов из выполненной команды «ping», «trace» или любой другой соответствующей команды в текстовый файл. В такие текстовые файлы можно добавить метку времени и дату и сохранить их в архив для дальнейшего использования.

Эффективное использование сохранённой информации подразумевает сопоставление результатов в динамике (рис. 3). Следует рассмотреть такие объекты, как сообщения об ошибках и значения времени отклика между узлами. В случае значительного увеличения времени отклика может возникнуть проблема, связанная с задержкой.

QIP Shot Screen 165

Невозможно переоценить и важность своевременной разработки документации. Проверка соединения между узлами, проблемы, связанные с задержкой, и решение выявленных проблем позволяют сетевым администраторам максимально эффективно поддерживать работоспособность сети.

Корпоративные сети должны содержать расширенные базовые уровни, более широкие, чем можно описать в рамках данного курса. Для хранения и обслуживания данных базового уровня доступны профессиональные программные инструменты. В рамках данного курса рассматриваются только некоторые основные приёмы базовых уровней и обсуждается их назначение.

Практические рекомендации по процессам базового уровня представлены по этой ссылке.

QIP Shot Screen 167

Сбор выходных данных команды pingтакже можно выполнить из командной строки IOS, как показано на рисунке 4.

Интерпретация сообщений Tracert

Команда «trace» возвращает список переходов по мере маршрутизации пакета по сети. Форма команды зависит от точки выполнения команды. Для выполнения трассировки на компьютере с ОС Windows используется командаtracert. При выполнении трассировки с интерфейса командной строки (CLI) маршрутизатора необходимо использовать команду traceroute, как показано на рисунке 1.

QIP Shot Screen 168

Как и команды ping, команды traceвводятся в командную строку и принимают IP-адрес в качестве аргумента.

Предполагая, что команда будет запущена на компьютере Windows, можно использовать форму tracert:

C:\> tracert 10.1.0.2

Tracing route to 10.1.0.2 over a maximum of 30 hops

1 2 ms 2 ms 2 ms 10.0.0.254

2 * * * Request timed out.

3 * * * Request timed out.

4 ^C

Единственный успешный отклик получен от шлюза на маршрутизаторе A. Время ожидания для запросов трассировки в адрес следующего перехода истекло, а это означает, что маршрутизатор следующего перехода не отвечает. Результаты трассировки указывают на то, что сбой произошёл во внутренней сети за пределами ЛВС.

QIP Shot Screen 169

Получить выходные данные команды «traceroute» также можно из строки маршрутизатора, как показано на рисунке 2.

 

 
Поставьте свой рейтинг этой записи блога:
0

Комментарии

  • Никаких комментариев пока не было создано. Будьте первым комментатором.

Оставить комментарий

Гость
Гость Среда, 20 Сентябрь 2017