Online Documentation Server
 ПОИСК
ods.com.ua Web
 КАТЕГОРИИ
Home
Programming
Net technology
Unixes
Security
RFC, HOWTO
Web technology
Data bases
Other docs

 


 ПОДПИСКА

 О КОПИРАЙТАХ
Вся предоставленная на этом сервере информация собрана нами из разных источников. Если Вам кажется, что публикация каких-то документов нарушает чьи-либо авторские права, сообщите нам об этом.




  • Чехлы на диван
    Купить Osprey. Чехол на рюкзак Ultralight Pack Liner Osprey L Electric Lime
    pleddd.ru
  • Юридическое сопровождение строительства сайт
    yuristroi.ru

Незаменимые советы по маршрутизации

Оптимизация работы маршрутизаторов неизбежно связана с настройкой. Читайте статью и вы узнаете как выжать максимум из того, что у вас есть.

Джералд Мендес

Совет #1. Заприте черный вход через SNMP в маршрутизатор.
Совет #2. Возведите "огненную стену" прежде чем устанавливать соединение с Internet.
Совет #3. Создайте собственный испытательный стенд.
Совет #4. Используйте серверы BOOTP для удаленной загрузки маршрутизаторов.
Совет #5. Высвобождайте полосу пропускания посредством сжатия канала.
Совет #6. Выжимайте максимум из каналов с трансляцией кадров и SMDS.
Совет #7. Используйте вызовы по требованию или резервные каналы.
Совет #8. Установите фильтры для минимизации переговоров о протоколах.

Попытка построить и управлять компьютерной сетью без глубокого понимания потребностей пользователей, технических терминов и соответствующих правил сродни попытке построить дом без инструментов и чертежей. В обоих случаях финал легко предсказуем - ненадежное основание в конце концов не выдержит и вся структура рассыплется как карточный домик.

К сожалению, знание терминов и заклинаний часто не означает их понимания. Однако понимать их необходимо, если вы хотите иметь эффективно функционирующую сеть.

Ни одно устройство так не нуждается в твердом усвоении терминов и правил, как маршрутизатор. Этот тип оборудования связан с многочисленными протоколами и параметрами, неправильная установка которых чревата резким снижением эффективности сети. Следуя данным в статье советам вы сможете улучшить производительность сети и снизить расходы на оплату услуг владельца сети связи.

Совет #1. Заприте черный вход через SNMP в маршрутизатор.

По умолчанию в маршрутизаторах программное обеспечение агента SNMP позволяет любой рабочей станции со стеком TCP/IP изменить конфигурацию, добавить и удалить сервисы, просмотреть собранные маршрутизатором статистические данные. Сообщество SNMP (термин, определенный в стандарте SNMP) - это группа, имеющая доступ к маршрутизаторам с определенным уровнем привилегий (только для чтения или для чтения и записи). Доступ предоставляется в соответствии с IP-адресом запрашивающего доступ хоста.

В новых маршрутизаторах установленные изготовителем параметры разрешают доступ к маршрутизатору всем имеющим IP-адреса хостам с правом чтения-записи (через сообщество Public). Если бы такой структуризации не было, то вы не смогли бы войти в систему для осуществления начальной настройки.

Обязательным этапом при установке нового маршрутизатора является определение сообществ SNMP для каждого устройства, причем доступ разрешается только тем IP-адресам, которым это необходимо для выполнения их функций: модификации конфигурации или просмотра статистических данных. Создайте по крайней мере два новых сообщества - одно с правом чтения, а второе с правом чтения-записи.

Для защиты маршрутизатора удалите сообщество Public или видоизмените его таким образом, чтобы в данную группу включались только указанные IP-адреса и только с правом чтения.

Совет #2. Возведите "огненную стену" прежде чем устанавливать соединение с Internet.

Предположим, что ваша организация имеет или планирует соединение с Internet, в таком случае для защиты от хакеров и прочих, любящих совать свой нос в чужие дела, вам необходим брандмауэр. Брандмауэр состоит из форт-хоста и маршрутизатора, которые вместе обеспечивают надежную защиту. В то время как форт-хост регистрирует события на уровне приложений, маршрутизатор-брандмауэр анализирует сетевые IP-адреса отправителя и номера портов TCP (или UDP) с целью ограничения работы приложений преимущественно только сеансами, открытыми из сети (исключение - электронная почта).

Иногда злоумышленники пытаются проникнуть в сеть посредством отправки пакета с адресом, совпадающим с одним из внутренних адресов. Маршрутизатор раскрывает эту мистификацию посредством отбраковки пакетов, которые используют IP-адрес отправителя, принадлежащего внутренней сети.

Кроме того, марштрутизатор может управлять сеансами telnet, ftp, gopher и World Wide Web (WWW) благодаря анализу номеров портов TCP (или UDP). Асимметричные фильтры позволяют открывать сеансы из сети, и, таким образом, пользователи сети могут выйти на ресурсы Internet, в то время как внешние пользователи не могут войти в вашу сеть.

Если вы хотите поместить информацию в Internet для внешних пользователей, то мы настоятельно рекомендуем разместить общедоступную информацию на отдельном хосте с внешней стороны "огненной стены". Оснастите хост программным обеспечением сервера telnet, ftp, gopher и WWW.

Совет #3. Создайте собственный испытательный стенд.

Изменения в конфигурации маршрутизатора чреваты непредвиденными последствиями. Программные обновления, предлагаемые поставщиками маршрутизаторов, могут содержать недоделки или быть несовместимы с предыдущими версиями. Единственный способ защитить вашу организацию от неприятных неожиданностей состоит в приобретении двух дополнительных маршрутизаторов и рабочей станции исключительно для тестирования. Не обязательно приобретать дорогие модели - вполне достаточно таких, которые работают с полным комплектом программного обеспечения базового маршрутизатора.

Маршрутизаторы должны быть подсоединены по крайней мере к одной действующей локальной сети и иметь один порт глобальной сети для каждого типа используемых вами услуг связи (например, одно соединение с Frame relay и одно соединение ISDN). Если локальная сеть представляет комбинацию Ethernet, Token Ring, FDDI, то по крайней мере один из маршрутизаторов на испытательном стенде должен иметь интерфейс для названных технологий.

При появлении новых версий программного обеспечения маршрутизатора или управления по протоколу SNMP, загрузите его на машины испытательного стенда. Проверьте все конфигурации, используемые в вашей сети (например, AppleTalk поверх frame relay, IP поверх PPP, IPX поверх Switched Multimegabit Data Service (SMDS) и распределение нагрузки между двумя каналами PPP.

Если вы используете серверы Bootstrap Protocol (BOOTP) для удаленной загрузки маршрутизаторов (см. совет #4), то установите обновленное программное обеспечение и новый конфигурационный файл на сервер и попробуйте посредством удаленного доступа обновить маршрутизаторы на испытательном стенде.

Совет #4. Используйте серверы BOOTP для удаленной загрузки маршрутизаторов.

Администрация сети сталкивается с большими трудностями, когда приходится развертывать маршрутизаторы в офисах, где нет собственного технического персонала. Мало того, что таким маршрутизаторам необходимо время на начальную конфигурацию, им также необходимо периодически обновлять программное обеспечение и конфигурацию. Установка сервера BOOTP в главном офисе компании поможет разрешить многие проблемы технического обеспечения.

По команде BOOTP, данной администратором из центрального офиса, маршрутизатор отправляет BOOTP-пакет с запросом через глобальную сеть, который в конце концов достигает сервера в центральном офисе. Сервер отвечает передачей присвоенного маршрутизатору IP-адреса вместе с именами и путями конфигурационного и исполняемых программных файлов. (Файлы хранятся на жестком диске той же машины).

Затем маршрутизатор подает команду GET протокола tftp для получения вначале исполняемых программ и после этого - конфигурационного файла. Наконец, маршрутизатор завершает процесс загрузки новой версии программного обеспечения и новой конфигурации.

Внимание: этот подход следует использовать только когда весь процесс успешно завершен на испытательном стенде (см. совет #3). Если обновление по каким-либо причинам закончится неудачей, то маршрутизатор может стать недоступным и придется посылать кого-то из сотрудников для выяснения причин в удаленный офис.

Совет #5. Высвобождайте полосу пропускания посредством сжатия канала.

Если программное обеспечение маршрутизатора поддерживает сжатие канала - используйте это! Таким способом можно увеличить эффективную скорость каналов глобальной сети от 50 до 100 процентов без дополнительных затрат!

Поскольку алгоритмы сжатия основываются на определении повторяющихся комбинаций символов или бит, то увеличение эффективной скорости передачи существенным образом зависит от того, что за данные пересылаются по глобальной сети.

Сжатие практически не влияет на скорость при передаче уже сжатых файлов, таких как .GIF и .JPEG. При передаче же электронных таблиц выигрыш в скорости достигает 250 процентов.

Совет #6. Выжимайте максимум из каналов с трансляцией кадров и SMDS.

При использовании трансляции кадров или SMDS для установления глобальных соединений полосу пропускания линии доступа с каждого маршрутизатора в сеть владельца сети связи можно уплотнить за счет использования групповой адресации.

Большинство администраторов сетей, с которыми мне приходилось разговаривать, предпочитают рассматривать общедоступную сеть с трансляцией кадров или SMDS как набор логических каналов между отдельными парами маршрутизаторов и рассматривают ее как замену хаосу из каналов точка-точка. Подобное представление хорошо иллюстрирует то, как отдельные пакеты (а следовательно целые сообщения) передаются из одного города в другой, однако при такой постановке вопроса не учитываются реальные ограничения, связанные с использованием стандартного физического канала для всех соединений.

На рисунке 1 маршрутизатор А посылает пакет маршрутизатору B по протоколу маршрутной информации (Routing Information Protocol, RIP). Затем второй идентичный пакет посылается маршрутизатору С, третий - маршрутизатору D и так далее. Пакеты посылаются с интервалом в 30 секунд.

Сети Novell IPX идентифицируются пакетами Novell RIP, которые также посылаются по порядку каждому из узловых маршрутизаторов с интервалом в 30 секунд. Наконец, пакеты протокола извещений об услугах Novell Service Advertising Protocol (SAP) посылаются каждому из узловых маршрутизаторов.

Несмотря на то, что содержимое пакетов RIP или SAP полностью идентично, маршрутизатор A посылает каждый пакет пять раз, меняя только управляющий идентификатор канала передачи данных (Data Link Connection Identifier, DLCI) или адрес места назначения, который идентифицирует маршрутизатор в сетях с трансляцией кадров или SMDS. Маршрутизаторы AppleTalk посылают пакеты по протоколу управления таблицами маршрутов (Routing Table Management Protocol, RTMP - эквивалент RIP) каждые десять секунд.

Picture 1(1x1)

Рисунок 1.
Использование одноадресной передачи в сетях с трансляцией кадров или SMDS ведет к непродуктивному использованию пропускной полосы одиночной линии доступа при соединении маршрутизатора с сетью владельца сети связи.

Изображенная на Рис. 1 сеть с трансляцией кадров реализована с помощью соединений точка-точка между маршрутизаторами. Она не использует преимущества метода, известного как групповая адресация.

Picture 2(1x1)

Рисунок 2.
Использование групповых адресов позволяет сократить число передаваемых пакетов по протоколам Routing Information Protocol (RIP) и Service Advertising Protocol (SAP) в сетях с трансляцией кадров.

При помощи групповых адресов можно сократить число пакетов, посылаемых в общедоступную сеть с маршрутизатора A (Рис. 2). Маршрутизатор посылает одну копию каждого пакета в сеть с использованием специального DLCI- или SMDS-адреса места назначения, называемого групповым адресом (multicast или group adress).

Коммутатор владельца сети связи перепрограммируется таким образом, чтобы он мог понимать групповые адреса и посылать копии исходных пакетов каждому маршрутизатору, входящему в группу. Групповые адреса и адреса членов группы оговаривают с владельцем сети связи при установке сети с трансляцией кадров или SMDS.

Групповые адреса и групповая адресация были частью стандарта SMDS с самого начала, так что их реализация не должна вызвать проблем. Дело обстоит гораздо сложнее в случае трансляции кадров, поскольку стандарт на групповую адресацию был опубликован уже после того, как большинство поставщиков коммутаторов и маршрутизаторов выпустили соответствующие продукты. Несмотря на то, что многие реализации трансляции кадров поддерживают те или иные схемы групповой адресации, не все из них могут взаимодействовать между собой. Проверьте программное обеспечение маршрутизатора и узнайте коммутационную архитектуру средств связи с целью определения возможности использования групповой адресации в сети с трансляцией кадров.

Совет #7. Используйте вызовы по требованию или резервные каналы.

Большинство последних моделей маршрутизаторов позволяют устанавливать глобальные соединения при помощи коммутируемой связи. Появление такого рода возможностей было обусловлено ростом популярности базового интерфейса обмена ISDN. Эта услуга предоставляется большинством западных телефонных компаний с предоставлением коммутируемых каналов "точка-точка" на 64 Кбит/с.

(1x1)

Рисунок 3.
Маршрутизатор-концентратор сети с трансляцией кадров получает и передает дальше пакеты различным адресатам с DLCI по одному и тому же физическому каналу.

За последние несколько лет поставщики маршрутизаторов перешли к поддержке коммутируемой связи либо для обеспечения резервного канала на случай сбоя основного глобального канала (каналов), либо в качестве основного метода соединения маршрутизаторов, нуждающихся в соединении друг с другом только в течение некоторого времени (вызов по требованию).

Переход на резервный канал очень прост. Маршрутизатор осуществляет мониторинг первичных глобальных каналов с целью обнаружения периодических пакетов с приветствием HELLO от узлового маршрутизатора (в случае PPP-каналов) или ответов на запросы о статусе от коммутаторов сети с трансляцией кадров. Если маршрутизатор обнаруживает сбой основного канала (по отсутствию периодических сообщений), он пытается установить коммутируемое соединение с узловым маршрутизатором.

Вызов по требованию является эффективным методом обеспечения каналов между парами маршрутизаторов, когда пользователям связь необходима только в течение некоторого времени, а цена постоянного соединения слишком высока. Маршрутизатор с реализацией вызовов по требованию устанавливает коммутируемые соединения с узловым маршрутизатором (маршрутизаторами) в соответствии со следующими критериями:

  • появление данных в очереди на отправку в определенную сеть;
  • запланированное время для установления коммутируемого соединения;
  • набор команды CONSOLE администратором сети.

Позднее соединение разрывается при выполнении подобных условий.

Большинство организаций устанавливают коммутируемые соединения только по сети ISDN, хотя такие соединения возможно установить при помощи стандартного модема на 28.8 Кбит/с по обычной телефонной сети. Внимание: при использовании ISDN проконсультируйтесь о предоставляемых услугах у владельцев междугородней и городской сети связи всюду, где вы собираетесь установить коммутируемые соединения. Узнайте о доступности в этих местах BRI и выясните потенциальные проблемы несовместимости связного оборудования, с которыми вам придется столкнуться при установке каналов связи между конкретными парами географически удаленных точек.

Совет #8. Установите фильтры для минимизации переговоров о протоколах.

Сети AppleTalk, NetBIOS, NetWare и VINES существенно опираются на регулярную рассылку пакетов для определения местоположения таких ресурсов, как файловые серверы, принт-серверы и коммуникационные серверы. Подобные широковещательные пакеты рекомендуется отфильтровывать на маршрутизаторах, поскольку глобальная сеть функционирует в соответствии с совсем другими принципами, а кроме того они могут вызвать пробки в низкоскоростных каналах глобальной сети.

Фильтры широковещательных сообщений устанавливаются на маршрутизаторах в сети, где такие сообщения генерируются. Для маршрутизатора в сети станций AppleTalk пределы передачи широковещательных пакетов Zone Information Protocol (ZIP) или Name Binding Protocol (NBP) следует по возможности ограничить локальной сетью. Если в сети имеется 15-20 серверов NetWare, то частоту отправки широковещательных пакетов SAP по глобальной сети нужно ограничить интервалом в пять-десять минут (в отличие от ежеминутных рассылок таких пакетов в локальной сети).

Конкретные рекомендации по установке фильтров в маршрутизаторах можно дать только имея полную информацию об используемых протоколах, потребностях пользователей и местоположении вычислительных ресурсов.

И наконец, последний совет. Выбирайте оптимальные значения для максимального размера передаваемого блока данных (MTU).

MTU - размер наибольшего допустимого кадра в локальной сети или глобальном канале в октетах (или байтах). Если понять, что такое MTU, не составляет труда, то последствия выбора определенного размера предсказать гораздо сложнее: выбор подходящего значения MTU больше зависит от интуиции, нежели от расчета.

При выборе MTU лучше взять наименьшее из всех наибольших допустимых значений в каналах по пути прохождения пакета. При таком выборе маршрутизатору не придется разбивать один пакет на несколько, если размер пакета сетевого уровня в следующем канале должен быть меньше, чем в предыдущем. Дополнительные затраты на фрагментацию и сборку пакетов могут существенно сократить пропускную способность глобальной сети.

Однако выбор неоправданно заниженного значения ограничит пропускную способность между двумя конечными станциями или между двумя сетями одного и того же типа.

Фрагментация и сборка уместны, когда данные, сформированные в локальной сети с большими по размеру кадрами (FDDI или Token Ring), направляются в локальную сеть Ethernet, где длина пакета существенно меньше.

Некоторые протоколы обязывают выбирать максимальный размер пакета при конфигурации драйвера локальной сети на каждом хосте. Выбирайте значение так, чтобы пропускная способность была максимальна, а фрагментация минимальна.

Определение оптимального значения - часть искусства проектирования сети. Некоторые протоколы снимают проблему за счет использования очень маленьких MTU, которые подходят для всех известных типов сетей (обычно 576 байт) за счет сокращения пропускной способности.

Существуют протоколы для анализа пути между двумя узлами во время установления соединения. Они позволяют определить наибольшее значение MTU, при котором не потребуется производить фрагментацию кадров.

Задача усложняется, когда путь проходит по каналам глобальной сети, даже в случае каналов "точка-точка". Конфигурация маршрутизатора содержит параметр MTU для каждого интерфейса глобальной сети, один из которых необходимо установить. Весь фокус состоит в том, чтобы как можно большее число пакетов передавалось по глобальной сети без фрагментации и, в то же время, чтобы время задержки вследствие использования коротких пакетов было минимально.

Рассмотрим два сценария передачи файла в миллион байт. При первом сценарии файл передается с хоста А посредством 4000-байтных пакетов; при втором - он передается с хоста B посредством 500-байтных пакетов.

Так как маршрутизатор обрабатывает пакеты по мере поступления и каждый пакет приводит к небольшой, но ненулевой, задержке в интерфейсе с глобальной сетью, то хост A будет иметь преимущество при передаче от маршрутизатора к маршрутизатору на пути следования просто потому, что его пакеты длиннее. С другой стороны, если размер пакета в глобальной сети ограничен 500 байтами, то хост B получит преимущество вследствие дополнительных затрат времени на фрагментацию и сборку пакетов хоста A.

Наилучший способ выбора оптимальных значений MTU для интерфейсов маршрутизаторов и хостов состоит в определении часто используемых маршрутов передачи данных и настройке значений MTU на выбранных хостах и интерфейсов маршрутизаторов до тех пор, пока вы не добьетесь наилучшего результата.

ПЕРЕМЕНЫ И ПЕРЕСТАНОВКИ

Мы надеемся, что наши советы пойдут вам впрок. Возможно, воспользовавшись этими советами вы решите изменить некоторые процедуры, а может быть даже и реализовать новые программные возможности для маршрутизаторов или воспользоваться другими сервисами вашего сетевого провайдера.


Джеральд Мендес - главный консультант в DataComm Insights (Милл Валли, шт. Калифорния). С ним можно связаться через Internet по адресу: mendes@garnet.berkley.edu.


With any suggestions or questions please feel free to contact us