0
gx6060
Staff member
- Nov 10, 2019
- 259
- 313
Компоненты сквозного поиска и устранения неполадок
Клиентский компьютер ПК 1 не может осуществить доступ к приложениям на сервере SRV1 или SRV2. На рисунке показана топология этой сети. ПК 1 использует SLAAC с EUI-64 для создания собственного глобального индивидуального IPv6-адреса. Для создания идентификатора интерфейса EUI-64 использует MAC-адрес Ethernet, вставляет значение FFFE в среднюю часть и переключает седьмой бит.
Если отсутствует сквозная связь, и администратор выбирает для отладки способ «снизу вверх», то он может выполнить следующие шаги:
Шаг 1. Проверить физическую связь в точке, где прекращается обмен данными в сети. Это относится, в том числе, и к кабелям и оборудованию. Проблема может быть связана с неисправным кабелем или интерфейсом, либо с неправильно настроенным или неисправным оборудованием.
Шаг 2. Проверить наличие несогласованных параметров дуплексной связи.
Шаг 3. Проверить адресацию на канальном и сетевом уровне в локальной сети. Сюда относятся таблицы ARP IPv4, таблицы соседних устройств IPv6, таблицы MAC-адресов и назначения сети VLAN.
Шаг 4. Убедиться, что выбран правильный шлюз по умолчанию.
Шаг 5. Убедиться, что устройства определяют правильный путь от источника к пункту назначения. При необходимости можно изменить информацию о маршрутизации.
Шаг 6. Убедиться, что транспортный уровень работает правильно. Для проверки подключений на транспортном уровне с помощью командной строки также можно использовать Telnet.
Шаг 7. Убедиться, что ни один из списков ACL не блокирует трафик.
Шаг 8. Убедиться, что параметры DNS правильны. Сервер DNS должен быть доступен.
В результате выполнения описанной выше процедуры будет установлена работающая связь между конечными устройствами. Если в результате выполнения описанной процедуры проблему устранить не удалось, то администратор сети может повторить указанные выше шаги или передать проблему старшему администратору.
Проблема со связью между конечными устройствами приводит к поиску и устранению неполадок
Обычно работа по поиску и устранению неполадок инициируется фактом обнаружения проблемы со связью между конечными устройствами. Двумя наиболее распространенными служебными программами, применяемыми для проверки наличия проблемы со связью между конечными устройствами, являются ping и traceroute.
Ping представляет собой, вероятно, наиболее известную служебную программу для проверки связи в сетях и всегда входит в состав ПО IOS Cisco. Она позволяет отправлять запросы для получения отклика с указанного адреса компьютера. Команда ping использует протокол уровня 3 (ICMP), который входит в стек протоколов TCP/IP. Ping использует пакеты эхо-запроса ICMP и эхо-ответа ICMP.
Если машина с указанным адресом получает эхо-запрос ICMP, то в виде отклика она отправляет пакет эхо-ответа ICMP. ICMP можно использовать для проверки связи как для IPv4, так и для IPv6. На выводе показано успешное выполнение команды ping с ПК1 на SRV1 по адресу 172.16.1.100.
Если машина с указанным адресом получает эхо-запрос ICMP, то в виде отклика она отправляет пакет эхо-ответа ICMP. ICMP можно использовать для проверки связи как для IPv4, так и для IPv6. На выводе показано успешное выполнение команды ping с ПК1 на SRV1 по адресу 172.16.1.100.
Как и ping команда, команда Cisco IOS traceroute может использоваться как для IPv4, так и для IPv6. Команда tracert используется в среде операционной системы Windows. При трассировке создается список переходов, IP-адреса маршрутизаторов и IP-адрес конечного пункта назначения, которые были успешно достигнуты при прохождении пути. Этот список предоставляет важные данные для проверки и устранения неисправностей.
Если данные достигают адресата, то в результате трассировки будет выведен список интерфейсов каждого маршрутизатора на пути. Если при передаче данных произошел сбой на любом из переходов пути, то становится известен адрес последнего маршрутизатора, от которого был получен отклик трассировки. Этот адрес указывает местоположение проблемы или ограничений безопасности.
Команда tracert показывает путь следования пакетов IPv4 к каждому пункту назначения.
Если данные достигают адресата, то в результате трассировки будет выведен список интерфейсов каждого маршрутизатора на пути. Если при передаче данных произошел сбой на любом из переходов пути, то становится известен адрес последнего маршрутизатора, от которого был получен отклик трассировки. Этот адрес указывает местоположение проблемы или ограничений безопасности.
Команда tracert показывает путь следования пакетов IPv4 к каждому пункту назначения.
При использовании этих служебных программ ПО IOS Cisco определяет тип адреса (IPv4 или IPv6) и использует соответствующий протокол для проверки связи. Выходные данные команды показывают ping команды traceroute and на маршрутизаторе R1, используемые для проверки подключения IPv6.
Шаг 1. Проверка физического уровня
Все сетевые устройства представляют собой специальные компьютерные системы. Эти устройства содержат как минимум ЦП, ОЗУ и область памяти для хранения данных, которые позволяют устройству загружать и обеспечивать функционирование операционной системы и интерфейсов. Это позволяет получать и передавать сетевой трафик. Если администратор сети обнаруживает проблему в определенном устройстве и устанавливает, что проблема может быть связана с оборудованием, то в первую очередь рекомендуется проверить работу стандартных компонентов. Наиболее часто используемые команды Cisco IOS для этой цели show processes cpu, show memory и show interfaces В этом разделе рассматривается команда show interfaces.
Если при поиске и устранении неполадок производительности предположительно неисправными оказывается оборудование, то для проверки интерфейсов, через которые проходит трафик, можно использовать команду show interfaces.
Потери во входных очередях — такие потери (и соответствующие счетчики проигнорированных и пропущенных пакетов) означают, что в некоторый момент времени на маршрутизатор поступило больше трафика, чем он способен обработать. Это не обязательно указывает на наличие проблемы. Такая ситуация может быть нормальной во время пиков трафика. Однако это может указывать на то, что ЦП не может своевременно обрабатывать пакеты, поэтому, если это значение является довольно большим, рекомендуется определить интервалы времени, когда эти счетчики увеличивают свои показания, а также каким образом это влияет на коэффициент использования ЦП.
Потери в выходных очередях — такие потери показывают, что потеря пакетов произошла из-за затора на интерфейсе. Наличие потерь на выходе является нормальной ситуацией для любой точки, где агрегированный входной трафик превышает выходной трафик. Во время пикового трафика удаление пакетов будет происходить в том случае, если трафик поступает на интерфейс быстрее, чем он может быть отправлен далее.
Однако, даже если такая ситуация считается нормальной, она будет приводить к удалению пакетов и появлению задержек в очередях, поэтому для приложений, зависящих от таких эффектов (например VoIP), могут возникать проблемы в виде снижения уровня производительности. Постоянная ситуация с отбрасыванием исходящих пакетов может указывать на необходимость внедрения усовершенствованного механизма очередей, который сможет обеспечить реализацию или изменение качества обслуживания.
Однако, даже если такая ситуация считается нормальной, она будет приводить к удалению пакетов и появлению задержек в очередях, поэтому для приложений, зависящих от таких эффектов (например VoIP), могут возникать проблемы в виде снижения уровня производительности. Постоянная ситуация с отбрасыванием исходящих пакетов может указывать на необходимость внедрения усовершенствованного механизма очередей, который сможет обеспечить реализацию или изменение качества обслуживания.
Входные ошибки — представляют собой ошибки, которые происходят при приеме кадра (например ошибки CRC). Большое количество ошибок CRC может указывать на проблемы с кабелями, на интерфейсах или на ошибки дуплексного режима (в сетях на базе Ethernet).
Выходные ошибки — представляют собой ошибки, например коллизии во время передачи кадров. В большинстве современных сетей на базе Ethernet полнодуплексная передача является нормой, а режим полудуплексной передачи применяется крайне редко. В полнодуплексном режиме передачи коллизии операций происходить не могут; поэтому, сами коллизии и, прежде всего, поздние коллизии часто указывают на проблемы несогласованности режима дуплекса.
Шаг 2. Проверка несоответствия параметров дуплексного режима
Другой распространенной причиной ошибок интерфейса является несогласованный режим дуплекса между обоими концами канала Ethernet. Во многих сетях на базе Ethernet соединения «точка-точка» в настоящее время являются нормой, а концентраторы и связанный с ними полудуплексный режим применяются редко. Это означает, что большинство каналов Ethernet сегодня работают в полнодуплексном режиме, и хотя коллизии ранее считались нормальным явлением в каналах Ethernet, в настоящее время коллизии часто указывают на сбой согласования параметров дуплекса, в результате чего канал работает в неправильном режиме дуплекса.
В стандарте IEEE 802.3ab Gigabit Ethernet говорится об обязательном применении автоматического согласования скорости передачи данных и режима дуплекса. Кроме того, хотя это не является строго обязательным, практически все сетевые платы Fast Ethernet также используют автоматическое согласование по умолчанию. В настоящее время на практике рекомендуется использовать автоматическое согласование скорости передачи и режима дуплекса.
Однако если согласование режима дуплекса по какой-либо причине не выполняется, то, возможно, необходимо будет выбрать вручную скорость передачи данных и режим дуплекса на обоих концах канала. Обычно это означает установку полнодуплексного режима на обоих концах подключения. Если при этом связь не устанавливается, то лучше установить полудуплексный режим на обоих концах, чем оставить несогласованный дуплексный режим.
Инструкции по настройке режима дуплекса:
- Рекомендуется применять функцию автоматического согласования скорости и режима дуплекса;
- Если автосогласование не работает, вручную установите скорость передачи и режим дуплекса на обоих концах канала;
- Каналы Ethernet «точка-точка» всегда должны работать в полнодуплексном режиме;
- Полудуплексный режим применяется редко, обычно только при использовании устаревших концентраторов.
В предыдущей ситуации администратору сети было необходимо добавить дополнительных пользователей в сеть. Для этого администратор установил второй коммутатор и подключил к нему первого пользователя. После добавления коммутатора S2 в сеть пользователи, подключенные к обоим коммутаторам, начали испытывать существенные проблемы с производительностью с точки зрения связи с устройствами в другом коммутаторе.
Администратор сети получает консольное сообщение на коммутаторе S2:
С помощью команды show interfaces fa 0/20 администратор сети проверяет интерфейс на S1, используемый для подключения к S2, и убеждается в том, что в нем установлен полнодуплексный режим.
Затем администратор проверяет другую сторону подключения (порт на S2). На выводе показано, что на этой стороне установлен полудуплексный режим.
Администратор выбирает для этого параметра значение duplex auto для автоматического согласования режима дуплекса. Так как для порта на коммутаторе S1 установлен полнодуплексный режим, на S2 также используется этот (полнодуплексный) режим.
Шаг 3. Проверка адресации в локальной сети
При диагностике проблем со сквозной связью полезно проверить сопоставления между IP-адресами назначения и адресами Ethernet на уровне 2 в отдельных сегментах. В IPv4 эту функцию выполняет протокол ARP. В IPv6 вместо протокола ARP применяется процесс обнаружения соседних устройств и ICMPv6. Таблица соседних устройств кэширует IPv6-адреса и их разрешенные физические адреса Ethernet (MAC).
Команда arp в Windows позволяет отображать и изменять записи в кэше ARP, используемые для хранения IPv4-адресов и их разрешенных физических адресов Ethernet (MAC). Как показано на рисунке, Windows-команда arp позволяет вывести список всех устройств, информация о которых в настоящее время находится в кэше ARP.
В состав сведений, отображаемых для каждого устройства, входят IPv4-адрес, физический адрес (MAC), а также тип адресации (статическая или динамическая).
Если сетевому администратору необходимо повторно заполнить кэш обновленными данными, его можно очистить с помощью команды arp -d консоли Windows.
Примечание: Команды arp в Linux и MAC OS X имеют похожий синтаксис.
В состав сведений, отображаемых для каждого устройства, входят IPv4-адрес, физический адрес (MAC), а также тип адресации (статическая или динамическая).
Если сетевому администратору необходимо повторно заполнить кэш обновленными данными, его можно очистить с помощью команды arp -d консоли Windows.
Примечание: Команды arp в Linux и MAC OS X имеют похожий синтаксис.
Команда Windows netsh interface ipv6 show neighbor позволяет вывести список всех устройств, информация о которых в настоящее время находится в таблице соседних устройств.
В состав сведений, отображаемых для каждого устройства, входят IPv6-адрес, физический адрес (MAC), а также тип адресации. Благодаря анализу таблицы соседних устройств администратор может проверить, соответствуют ли IPv6-адреса требуемым адресам Ethernet. Для link-local IPv6-адресов на всех интерфейсах маршрутизатора R1 вручную установлено значение FE80::1. Аналогичным образом, для интерфейсов на R2 установлен link-local адрес FE80::2, а на интерфейсах на R3 — link-local адрес FE80::3. Следует помнить, что link-local адреса должны быть уникальными только в пределах канала или сети.
Примечание: Для отображения таблицы соседних устройств для Linux и MAC OS X можно использовать команду ip neigh show.
В состав сведений, отображаемых для каждого устройства, входят IPv6-адрес, физический адрес (MAC), а также тип адресации. Благодаря анализу таблицы соседних устройств администратор может проверить, соответствуют ли IPv6-адреса требуемым адресам Ethernet. Для link-local IPv6-адресов на всех интерфейсах маршрутизатора R1 вручную установлено значение FE80::1. Аналогичным образом, для интерфейсов на R2 установлен link-local адрес FE80::2, а на интерфейсах на R3 — link-local адрес FE80::3. Следует помнить, что link-local адреса должны быть уникальными только в пределах канала или сети.
Примечание: Для отображения таблицы соседних устройств для Linux и MAC OS X можно использовать команду ip neigh show.
В выходных данных команды show ipv6 neighbors отображается пример таблицы соседей на маршрутизаторе Cisco IOS.
Примечание: Состояния соседних устройств для IPv6 являются более сложными, чем состояния в таблице ARP для IPv4. Дополнительные сведения приведены в документе RFC 4861.
Примечание: Состояния соседних устройств для IPv6 являются более сложными, чем состояния в таблице ARP для IPv4. Дополнительные сведения приведены в документе RFC 4861.
Если MAC-адрес назначения присутствует в таблице MAC-адресов коммутатора, коммутатор пересылает кадр только на порт устройства c этим MAC-адресом. Для этого коммутатор просматривает свою таблицу MAC-адресов. В таблице MAC-адресов перечислены MAC-адреса, подключенные к портам. Для отображения таблицы MAC-адресов на коммутаторе используйте команду show mac address-table. Пример таблицы MAC-адресов коммутатора показан на выводе.
Обратите внимание, что MAC-адрес ПК1 устройства в VLAN 10 был обнаружен вместе с коммутационным портом S1, к которому подключен ПК1. Следует помнить, что таблица MAC-адресов на коммутаторе содержит только информацию 2 уровня, включая MAC-адрес Ethernet и номер порта. Информация об IP-адресе отсутствует.
Обратите внимание, что MAC-адрес ПК1 устройства в VLAN 10 был обнаружен вместе с коммутационным портом S1, к которому подключен ПК1. Следует помнить, что таблица MAC-адресов на коммутаторе содержит только информацию 2 уровня, включая MAC-адрес Ethernet и номер порта. Информация об IP-адресе отсутствует.
Пример устранения неполадок, связанных с назначением VLAN
Другой проблемой, которую следует учитывать при диагностике связи между конечными узлами, является назначение сети VLAN. В коммутируемой сети каждый порт коммутатора относится к сети VLAN. Каждая VLAN считается отдельной логической сетью, и пакеты, адресованные станциям, не принадлежащим данной сети VLAN, должны пересылаться через устройство, поддерживающее маршрутизацию.
Если компьютер в одной сети VLAN передает широковещательный кадр Ethernet (например, ARP-запрос), то этот кадр получают все компьютеры в пределах этой сети VLAN, а компьютеры в других сетях VLAN данный кадр не получают. Даже если два компьютера находятся в одной и той же IP-сети, они не смогут взаимодействовать друг с другом, если подключены к портам, которые назначены двум разным сетям VLAN. Кроме того, если сеть VLAN, к которой относится порт, будет удалена, то порт станет неактивным. Все компьютеры, подключенные к портам, относящимся к сети VLAN, которая была удалена, не смогут взаимодействовать с остальными сетевыми устройствами.
Для проверки назначений сетей VLAN на коммутаторе можно использовать команду show vlan.
Анализ таблицы ARP на ПК1 с помощью команды Windows arp показывает, что в таблице ARP отсутствует запись для шлюза по умолчанию 10.1.10.1
Настройка маршрутизатора не изменялась, поэтому следует проверить сам коммутатор S1.
Из таблицы MAC-адресов для S1 видно, что MAC-адрес для маршрутизатора R1 относится к сети VLAN, отличной от сети VLAN для остальных устройств 10.1.10.0/24
Из таблицы MAC-адресов для S1 видно, что MAC-адрес для маршрутизатора R1 относится к сети VLAN, отличной от сети VLAN для остальных устройств 10.1.10.0/24
В ходе изменения кабельных соединений соединительный кабель для R1 был перемещен из порта Fa 0/4 в сети VLAN 10 в порт Fa 0/1 в сети VLAN 1. После того, администратор переключил порт Fa 0/1 коммутатора S1 на сеть VLAN 10, проблема была устранена. В таблице MAC-адресов теперь указана сеть VLAN 10 для MAC-адреса маршрутизатора R1 на порту Fa 0/1.
Шаг 4. Проверка шлюза по умолчанию
Если на маршрутизаторе нет более точного маршрута или если компьютер настроен с неправильным шлюзом по умолчанию, то связь между двумя оконечными устройствами в разных сетях не работает.
Hа ПК1 в качестве шлюза по умолчанию используется маршрутизатор R1. Аналогичным образом, R2 указан на маршрутизаторе R1 в качестве шлюза по умолчанию или шлюза «последней надежды». Если компьютеру необходим доступ к ресурсам за пределами локальной сети, то необходимо настроить шлюз по умолчанию. Шлюз по умолчанию является первым маршрутизатором на пути к пунктам назначения за пределами локальной сети.
Пример устранения неполадок с Ipv4 шлюзом по умолчанию
В этом примере R1 имеет правильный шлюз по умолчанию, который является IPv4 адрес R2. Однако для ПК 1 указан неправильный шлюз по умолчанию. Для ПК 1 в качестве шлюза по умолчанию должен быть указан маршрутизатор R1 10.1.10.1. Его необходимо настроить вручную (если информация об адресации IPv4 была настроена на ПК1 вручную). Если данные об адресации IPv4 были получены с сервера DHCPv4 автоматически, то необходимо проверить настройки сервера DHCP. Проблема настройки на сервере DHCP обычно затрагивает нескольких клиентов.
Таблица маршрутизации маршрутизатора R1
Выходные данные команды Cisco IOS show ip route используются для проверки шлюза по умолчанию R1.
На узле Windows команда route print используется для проверки наличия шлюза IPv4 по умолчанию, как показано в выходных данных команды.
Пример устранения неполадок шлюза IPv6 по умолчанию
В IPv6 шлюз по умолчанию можно настроить вручную либо с помощью автоматической настройки без сохранения состояния (SLAAC), либо с помощью DHCPv6. При использовании SLAAC маршрутизатор сообщает компьютерам шлюз по умолчанию с помощью специальных сообщений ICMPv6 Router Advertisement (RA). Шлюз по умолчанию в сообщении RA представляет собой link-local IPv6-адрес для интерфейса маршрутизатора. Если шлюз по умолчанию на компьютере настроен вручную, что очень маловероятно, то в качестве шлюза по умолчанию может быть указан глобальный IPv6-адрес или link-local IPv6-адрес.
Как показано в выходных данных команды, команда Cisco IOS show ipv6 route используется для проверки маршрута IPv6 по умолчанию на R1. R1 имеет маршрут по умолчанию через R2.
Команда Windows ipconfig используется для проверки того, что PC1 имеет шлюз IPv6 по умолчанию. В выходных данных команды PC1 отсутствует глобальный одноадресный адрес IPv6 и шлюз IPv6 по умолчанию. На ПК 1 активирован IPv6, так как он имеет link-local IPv6-адрес. Link-local адрес автоматически создается устройством. С помощью документации по сети администратор убеждается, что компьютеры в этой локальной сети должны получать информацию об IPv6-адресах от маршрутизатора с помощью SLAAC.
Примечание: В этом примере другие устройства в той же локальной сети, где применяется SLAAC, также будут испытывать проблему с получением информации об IPv6-адресах.
Примечание: В этом примере другие устройства в той же локальной сети, где применяется SLAAC, также будут испытывать проблему с получением информации об IPv6-адресах.
Выходные данные команды show ipv6 interface GigabitEthernet 0/0/0 on R1 показывают, что, хотя интерфейс имеет адрес IPv6, он не является членом группы многоадресной рассылки All-IPv6-Routers FF02::2. Это означает, что маршрутизатор не настроен как маршрутизатор IPv6. Следовательно, маршрутизатор не отправляет сообщения RA ICMPv6 с этого интерфейса.
R1 включен как маршрутизатор IPv6 с помощью команды ipv6 unicast-routing. Теперь команда show ipv6 interface GigabitEthernet 0/0/0 показывает, что R1 является членом multicast-группы All-IPv6-Routers (FF02::2).
Для проверки правильной настройки шлюза по умолчанию для ПК1 используйте команду ipconfig на ПК с ОС Microsoft Windows или команду netstat -r или ip route на ПК с Linux и MAC OS X. На рис. 6 ПК1 имеет глобальный индивидуальный IPv6-адрес и шлюз по умолчанию IPv6. Шлюз по умолчанию соответствует link-local адресу маршрутизатора R1 (FE80::1).
Шаг 5. Проверка правильного пути
При диагностике неполадок часто приходится проверять путь до сети назначения. На рисунке показана типичная топология, на которой имеется путь для передачи пакетов от ПК1 на SRV1.
Таблица IPv4-маршрутизации R1
Таблица IPv6-маршрутизации R1
Для заполнения таблиц маршрутизации IPv4 и IPv6 могут применяться следующие методы:
- Непосредственно подключенные сети;
- Локальный узел или локальные маршруты;
- Статические маршруты;
- Динамические маршруты;
- Маршруты по умолчанию.
Изучите следующие сценарии на основе диаграммы выше. Если адрес назначения в пакете:
- Не соответствует записи в таблице маршрутизации, то применяется маршрут по умолчанию. Если отсутствуют настроенные маршруты по умолчанию, то пакет отбрасывается.
- Соответствует одной записи в таблице маршрутизации, то пакет перенаправляется через интерфейс, определенный в данном маршруте.
- Соответствует нескольким записям в таблице маршрутизации, и записи маршрутизации имеют префикс одинаковой длины, то пакеты к этому пункту назначения могут распределяться среди маршрутов, указанных в таблице маршрутизации.
- Соответствует нескольким записям в таблице маршрутизации, и записи маршрутизации имеют префикс разной длины, то пакеты к этому пункту назначения перенаправляются из интерфейса, связанного с маршрутом с наиболее длинным совпадением префикса.
Если создается впечатление, что сетевой уровень работает должным образом, но пользователи по-прежнему не могут получить доступ к ресурсам, то сетевой администратор должен начать диагностику верхних уровней. Двумя самыми распространенными проблемами, влияющими на связь на транспортном уровне, являются настройки списков ACL и настройки NAT. Общим средством для тестирования функций транспортного уровня является служебная программа Telnet.
Внимание: Хотя Telnet можно использовать для проверки транспортного уровня, тем не менее по соображениям безопасности для удаленного управления устройствами и их настройки следует применять SSH.
Пример устранения неисправностей
Сетевой администратор устраняет проблему, когда они не могут подключиться к маршрутизатору по протоколу HTTP. Администратор выполняет команду R2, как показано в выходных данных команды.
R2 отвечает и подтверждает, что сетевой уровень и все уровни ниже сетевого уровня находятся в рабочем состоянии. Администратору известно, что проблема связана с уровнем 4 или выше, и он должен приступить к диагностике этих уровней.
Затем администратор проверяет, могут ли они Telnet к R2, как показано в выходных данных команды.
Администратор подтвердил, что службы Telnet работают на R2. Хотя приложение сервера telnet работает через свой общеизвестный номер порта 23 и клиенты Telnet подключаются к этому порту по умолчанию, на клиенте можно выбрать другой номер порта для подключения к любому порту TCP, который нужно проверить. Использование другого порта, отличного от TCP-порта 23, указывает, принято ли соединение (как указано словом «Open» на выходе), отклонено или истекло время ожидания. На основе любого из этих ответов можно сделать дальнейшие выводы о возможности связи.
Некоторые приложения (если они используют сеансовый протокол на базе ASCII) могут даже отображать баннер приложения. С сервера можно вызывать некоторые отклики путем ввода определенных ключевых слов, например при использовании протоколов SMTP, FTP и HTTP.
Например, администратор пытается установить Telnet на R2 с помощью порта 80.
Шаг 7. Проверка ACL
На маршрутизаторах могут быть настроены ACL, не позволяющие протоколам передавать информацию через интерфейс во входящем или исходящем направлении.
Для отображения содержимого всех списков контроля доступа для IPv4 используйте команду show ip access-lists, а содержимого всех ACL для IPv6, настроенных на маршрутизаторе, — команду show ipv6 access-list. Для отображения содержимого конкретного списка контроля доступа введите название или номер списка в качестве параметра для данной команды. Команды show ip interfaces и show ipv6 interfaces позволяют отобразить информацию об интерфейсах IPv4 и IPv6, указывающую, настроены ли какие-либо IP ACL на интерфейсе.
Пример устранения неисправностей
Для предотвращения атак спуфинга администратор сети решил создать ACL, благодаря которому трафик от устройств с сетевым адресом источника 172.16.1.0/24 не может входить на интерфейс S0/0/1 на маршрутизаторе R3, как показано на рисунке. Весь остальной трафик IP должен быть разрешен.
Однако вскоре после создания списка контроля доступа пользователи в сети 10.1.10.0/24 обнаруживают, что не могут подключиться к устройствам в сети 172.16.1.0/24, включая сервер SRV1.
Команда show ip access-lists показывает, что ACL настроен правильно, как показано в выходных данных команды.
Мы можем проверить, какой интерфейс имеет ACL применяется с помощью команды show ip interfaces serial 0/1/1 и команды show ip interfaces gig 0/0/0. Выходные данные показывают, что ACL никогда не применялся к входящему интерфейсу на Serial 0/0/1, но он был случайно применен к интерфейсу G0/0/0, блокируя весь исходящий трафик из сети 172.16.1.0/24.
После правильного размещения ACL IPv4 на входящем интерфейсе Serial 0/1/1, как показано в выводе команды, устройства могут успешно подключиться к серверу.
Шаг 8. Проверка DNS
Протокол DNS позволяет управлять системой DNS, представляющей собой распределенную базу данных, с помощью которой можно сопоставлять имена компьютеров с IP-адресами. После настройки DNS на устройстве IP-адрес можно заменить на имя компьютера для всех команд IP, например ping или telnet.
Для отображения информации о настройке DNS на коммутаторе или маршрутизаторе используйте команду show running-config. Если сервер DNS отсутствует, то соответствия между именами и IP-адресами можно ввести прямо в настройку коммутатора или маршрутизатора. Используйте команду ip host, чтобы ввести имя, которое будет использоваться вместо IPv4-адреса коммутатора или маршрутизатора, как показано в выходных данных команды.
Теперь назначенное имя можно использовать вместо IP-адреса, как показано в выходных данных команды.
Для отображения информации о сопоставлении имен и IP-адресов на ПК с ОС Windows используйте команду nslookup.
Last edited by a moderator: