Тема 12. Маршрутизация. Как работает маршрутизатор.
HTML-код
- Опубликовано: 7 июн 2024
- Что значит маршрутизация? Зачем нужна таблица маршрутизации? Как сравнивать маршруты и правило наибольшего совпадения (longest match). Как сравнивать источники маршрутов и их приоритет для разных вендоров. Пример таблиц Cisco, Juniper, Windows, Linux. А у хоста тоже есть таблица маршрутизации? Что такое default gateway? А что если у хоста есть маршруты не только к default gateway?
Тема 13. Архитектура и исполнение маршрутизаторов.
• Тема 13. Архитектура и...
Тема 11. Архитектура и исполнение коммутаторов.
• Тема 11. Архитектура и...
Домашняя работа PacketTracer 9. Статические маршруты (Тема 12 лекций).
• Домашняя работа Packet...
0:00 - Введение
1:20 - Маршрутизатор. Понятие межсетевого экрана
5:45 - Разница между коммутатором и маршрутизатором
7:08 - Пример маршрутизации. Схемы коммутации и маршрутизации
15:30 - Таблица маршрутизации
17:44 - Примерs таблиц маршрутизации Cisco, Windows, Juniper, Linux
30:27 - Подмена MAC адреса при маршрутизации
35:41 - Логика перенаправления пакета. Что делает маршрутизатор для чтения и отправки пакета?
39:56 - Источники для таблицы маршрутизации. Понятие административной дистанции
46:18 - Правило наибольшего совпадения (longest match)
50:23 - Пример выбора маршрута по самой длинной маске
53:10 - Что значит настройка IP адреса?
58:52 - Что если добавить собственный маршрут для хоста?
1:07:54 - L3 Коммутатор. Почему маршрутизацию между изолированными сетями лучше делать в коммутаторе?
1:15:30 - Примеры обозначений маршрутизаторов
Спасибо огромное за предоставленный материал. Подчерпнул много полезной информации ❤
Как всегда шикарная подача и полезная информация , мое почтение .
Спасибо за курс лекций!
Спасибо за отзыв!
Классная лекция!
Михе Бочарову привет! 😉
Спасибо за лекцию! Хотелось бы добавить небольшой комментарий по презентации. На 20-ой минуте вы рассказываете про то, как выглядят таблицы маршрутизации устройств из топологии, которую вы разбирали несколько минут назад. Что я заметил это то, что не очень удобно пытаться разобраться, что какой адрес означает без картинки топологии рядом. Чтобы действительно понять, пришлось открыть RUclips на двух вкладках и смотреть параллельно на топологию во второй и только тогда дошло, как устроена статическая маршрутизация
Спасибо! Вот по этому я всегда заставляю студентов при практиках иметь перед собой распечатанную схему соединений, а иначе в голове тяжело собрать картинку! Иногда полезно и просто рисовать маршруты прям на схеме.
Очень классно рассказываете для начинающих. Но, наверно, лучше не предлагать студентам включать в работающую сеть новые ненастроенные устройства ))
Видел много ситуаций, когда такие действия приводили к плохим последствиям.
Вероятно вы имеете ввиду пример с использованием двух сетей на одном интерфейсе компьютера, да опасность поймать в своей сети DHCP сервер или нового root по STP есть, но надо понимать что это лишь пример.
Если же говорить о обсуждении L2, мы уделяем максимальное внимание как включать всё чтоб ничего не положить, а в практиках по STP студенты каждый год кладут стенд петлями (переключают разные типы протоколов STP и ошибаются), аналогично со switch картами в маршрутизаторах, ну и иногда с LAG.
невероятнейший профессионал, так доходчиво объяснять материал... вот бы курсы платные вел, поучился бы
спасибо за отзыв! ну возможно когда-то и будут платные практики.
@@Networkisreachableя бы вписался на обучение 👍
@@anton_worobey Очень скоро будут анонсированы мои практики по Cisco.
Очень четко и ясно, спасибо
Пожалуйста!
Уважаемые зрители! Если видео лекции/практики оказалось полезным,
поддержите ролик лайком и комментарием, это поможет ознакомить
с ним большую аудиторию. Спасибо.
Анонсы, обсуждения, вопросы тут: t.me/nir_net
Для желающих поддержать канал boosty.to/nir_net
Всегда было интересно, как программисты микрософта додумались привязывать указание маршрутизатора по умолчанию и DNS- серверов к интерфейсу. Человеку, который начинает изучение сетей с Винды, это калечит понимание напрочь. По-моему, стоит отдельно разбирать со студентами этот бред Микрософта.
Ну мы и разбираем, во всех лекциях и практиках я обращаю внимание на этот момент, с шлюзом по умолчанию. Сам помню как также когда-то недоумевал, и пытаюсь прояснить эти моменты.
Доброго времени!!! Маршрутизация не включается и не выключается. Она всегда работает, как это не парадоксально звучит. "Пересылка трафика" - это ничто иное, как активация механизма приёма чужого трафика. В качестве эксперимента настраивал машину с одной сетевухой и смотрящую в одну сеть в качестве маршрутизатора. Работало
Рекомендую ознакомится с ключом windows IpEnableRouter, с параметром net.ipv4.ip_forward в linux, и командой ip routing на некоторых устройствах cisco.
@@Networkisreachable так я про эти параметры и говорю. Именно эти параметры и включают приëм чужих пакетов системой. По поводу параметра Cisco - это активация L3 на L2 устройствах
@@SsergeySav Что значит чужие пакеты?
@@Networkisreachable Кадр ломится на мак маршрутизатора, но IP адресованы не этой системе. Вот именно такие кадры по умолчанию отбрасываются. Маршрутизация - неотъемлем часть стека IP.
@@SsergeySav С логикой вашей тогда согласен. Даже просто хост маршрутизирует пакеты отсылая их по дефолту. Но вернемся к вышеназванным параметрам и пакету направляемому на неизвестный IP. Без установки этих опций будет работать хост как маршрутизатор? Или всё таки эту функцию (работы в качестве маршрутизатора) нужно включить?
извините, но разве в л2 кадре есть айпи назначения? и второй вопрос: используют ли коммутаторы арп?
В самом заголовке l2 кадра нет ip, но если он несет ip пакет то ip адрес будет указан уже в самом пакете. Arp будет использоваться л3 коммутатором, если в этом вилане у него svi интерфейс.
Скажите, пожалуйста, можно ли в примере с 1:07:17 использовать маску /31 чтобы в диапазон попали адреса .32 и .33, или в таком случае 10.60.0.32 это будет адрес сети и обратиться к узлу уже нельзя?
Можно ли подобные правила группировать каким-то иным способом (для уменьшения таблицы маршрутизации): если маршрут нужен будет не до 2, а до 10 устройств - потребуется 10 строк занять?
Вы верно подметили, чтоб ходить на 32 и 33 можно использовать маску /31. Когда вы отписываете маршрут, 32 - будет таким же адресом к которому можно обратиться не взирая что это адрес сети.
@@Networkisreachable Т.е. обращение к адресу сети работает немного по-разному в зависимости от места применения и задействованного оборудования? Задать IP адрес сети на узле нельзя (логично), но если адрес узла станет адресом сети в рамках некой команды, то обратиться к узлу можно.
Получается у масок два назначения:
1) деление диапазона адресов на постоянные подсети (эти настройки централизованные и определяют какие параметры IP, mask и GW задаются на узлах сети/подсети);
2) определение диапазона идущих подряд IP адресов в рамках некой команды/функции (на организацию сети не влияет, но обрабатывается сетевым оборудованием как и деление на постоянные подсети).
@@svetlanapogodina2199 Вы очень верно поделили их на эти две группы (как и было отмечено в лекции по адресации): 1.VLSM (это когда мы режем физические сети) и 2. CIDR когда мы используем маски чтоб адресовать пространство при маршрутизации.
И напомню что среди физических сетей существует пара исключений: loopback /32 (он же сеть и он же одинокий хост) , /31 (RFC 3021) многое сетевое оборудование умеет на линках точка-точка использовать такую сетку, в ней первый адрес он же сеть и он же первый хост. Остальные маски упускают первый адрес под номер сети.
@@Networkisreachable Спасибо большое за подробный ответ! Получается что если в маршруте нужно указать диапазон более 2 адресов - необходимо будет учитывать обычный принцип работы маски (когда первый адрес определен под адрес сети, а последний - под бродкаст)?
Извините, что по несколько раз одно и то же спрашиваю - хочу сразу разобраться, пока вопрос не забылся и не остался в памяти в неправильном понимании.
@@svetlanapogodina2199 нет, если вы пишете маршрут на х.х.0.8/29 то вы сможете сласть пакеты на адреса с 8 по 15ый. Физически возможно это сеть 0.0/24 и вам там ответят все 8 хостов (8-15, если они есть), а может это сеть 0.8/29 и тогда адрес 8 просто не будет занят хостом а 15 используется как бродкаст (реально будут существовать 9-14). А возможно физически в этом пространстве сетка 0.8/30 и 0.12/30 и реальные хосты там будут 9,10 и 13,14.
Используя запись в таблице маршрутизации вам вообще все равно что там за сети, главное чтоб вы это сами понимали при формировании маршрута. Можно сделать и иначе можно написать маршрут на сеть х.х.0.0/23, а там физически 0.0/24 и 1.0/24 по тому адреса 0.0, 0.255, 1.0, 1.255 не будут принадлежать хостам, но это и не важно.
35:41 вот на схеме в примере левый маршрутизатор называется “core” -смотрит ^в оба конца^; а правый b1 это что-то особенно означает или просто.
это просто названия, никакой нагрузки в данном примере они не несут.
Core , ядро или основной с английского. То есть в топологии он будет главным, грубо говоря.
не по теме урока но вопрос, в сети предприятия несколько локальных подсетей и доступ отсутствует между пк в разных подсетях при включенном брандмауэре, если выключить то доступ есть. нашёл вариант просто прописать входящее правило для всех протоколов и указать в области все подсети, тогда тоже всё работает при включенном брандмауэре, но будет ли тогда вообще смысл брандмауэра? это не становится равносильно его отключению?
Если протоколы указаны все и сегменты тоже все, то это равносильно его отключению. При использовании брандмауэра или фаервола внутри сети, вы должны точно понимать кого, куда и по каким протоколам пускать и не пускать. В случае корпоративной сети более логично выглядит настойка ACL для разных подсетей или выделение под эту задачу фаервола (если параметры фильтрации сложные или их очень много), иначе вам придётся накатывать через AD разные политики по брандмауэру для разных подсетей.
@@Networkisreachable перечитаю ваш комментарий когда посмотрю ваш курс) может больше пойму) а то предприятие практически с нуля разбирается во всём этом. Пару лет назад все сидели просто через 100мб неуправляемые коммутаторы в интернете разрабатывая оборудования для межконтинентальных ракет и ракетоносителей, а сейчас уже хотя бы тупо физически разделили локалку и интернет, кому нужен интернет ставят отдельный ПК... Vlan'ов штук 10-11 на 500+ ПК, оборудование заменили на 1gb, но в локалке брандмауэры выключены и контроль учётных записей тоже, сервера на 775 сокете некоторые, потихоньку и их обновляем, но до более менее приличной сети ещё долеко, почему то вариант нанять сетевого инженера не рассматривают. Я вообще пришёл ПК обслуживать, а теперь сервер файловый надо ставить и в домен всех загонять... Приходится разбираться. А брандмауэр лучше на отдельном маршрутизаторе настраивать? Чтобы ПК с разных подсетей работали нормально, или со своим штатным брандмауэром, или всё равно будет проблема с невидимостью ПК в разных подсетях. Нужен ли вообще брандмауэр если локальная сеть подключена физически отдельно от глобальной? (Понимаю что нужна, розетки то там сям свободные есть, спасает пока что отсутствие dhcp, но подобрать свободный ip можно перебором) столько вопросов... Ну и если на все вопросы будут ответы добавлю последний, адекватно физически разделять локалку и инет или это временный выход пока нормального сетевого экрана нет?
@@user-hf8rr8rt4i 1. Разделять глобальную сеть и локальную обязательно, но я очень сомневаюсь что у вас в одном сегменте живут компьютеры с белыми и серыми адресами. Скорее вы имеете ввиду разграничение сетей с выходом в интернет и без него, это уже зависит от политики безопасности для данного предприятия.
2. Разделения доступа из сети в сеть лучше делать на сетевом оборудовании (ещё лучше если в одной точке), т.к. как вы заметили, если включить пк не с AD, то он сможет ходить куда захочет.
3. Задача ограничения подключения к свободным портам решается методами port secutiry и 802.1х
4. IP адрес в сети без DHCP можно подобрать не перебором, а послушав пакеты wireshark. Кстати о птичках, DHCP тоже нужно защищать (dhcp snooping), и решить вопрос будет ли он на сетевой железке или на сервере.
@@Networkisreachable 1. Да, с выходом и без.
2. С доменом я так понимаю безопасность по выше?
3. Принял
4. Хорошо почитаю
Спасибо
@@user-hf8rr8rt4i Важно понять одно: брендмауэр пк, он экранирует только пк, но никак не влияет на безопасность сети в целом. И делает он это с доменом или нет, в зависимости от его настроек.
Задам наверное глупый вопрос, Вы говорите что на разных интерфейсах разные маки, это очевидно. То есть каждый маршрутизатор на каждом интерфейсе имеет разный мак-адрес? Это всегда так или только у определенных вендеров?
Всегда так,у всех вендоров. Встречал только иногда что все vlan int у L3 коммутаторов все имеют один мак.
Спасибо большое за ответ и за Ваши видео, очень хорошо объясняете и интересно!@@Networkisreachable
Чем отличаются МСЭ от прокси-серверов?
Это обсуждается вот в этом ролике ruclips.net/video/pf60znSIlg0/видео.html МСЭ использует технологию NAT, proxy это протокол позволяющий запрашивать страницы для вас из под своего соединения.
+Plus
А сколько примерно маршрутов в среднем содержится в таблице маршрутизации? Понятно, там содержатся не все маршруты интернета, потому что тогда бы процесс маршрутизации был слишком долгим, да и понятие шлюза по умолчанию не имело бы смысла.
в маленькой конторе - десятки маршрутов, в крупной - сотни, у провайдера тысячи (я о серых сетях), если это маршрутизаторы провайдеров фул вью то все маршруты интернета, их сейчас около 1млн. тут ещё нужно учитывать что если линков full view несколько то умножаем на количество, т.к. общая таблица будет содержать их всех.
@@Networkisreachable то есть, маршрутизаторам, которые содержат маршруты до всех хостов, шлюз по умолчанию не нужен?
В общем да, это обычно провайдерские маршрутизаторы с full view bgp таблицей маршрутизации.@@northern_man_
@@Networkisreachable спасибо за информацию
@@Networkisreachable Наконец-то понял, как сформулировать вопрос. Далёкие подсети, которые мы суммируем в таблице маршрутизации, обязательно должны быть соседними друг с другом, или они могут просто находиться "неподалеку друг от друга"? Или как это вообще работает?
Спасибо за лекции, очень помогает, смотрю все. Вот только сейчас задачка одна, хотелось бы ваш ответ услышать. Не понимаю там один момент.
Вопрос на хабр опубликовал. 1342670
Разобрали ваш вопрос.
@@Networkisreachable да, очень хороший преподаватель, спасибо