Блог Cisco в России и СНГ
Share

Маршрутизатор Cisco на границе сети или успехи слушателя Сетевой академии.

- February 25, 2014 12:36

Уважаемые коллеги, позвольте представить вашему вниманию авторский текст выпускника Сетевой академии Cisco Игоря Гаврилюка, который знакомит с новым виртуальным маршрутизатором Cisco Cloud Services Router (CSR 1000V) на примере домашнего использования.

Также данный материал показывает способности слушателей, которые готовы и хотят учиться, и может быть полезен тем, кто ранее не сталкивался, но хотел бы попробовать данный продукт в действии. В материале раскрыты основные вопросы по установке, настройке CSR 1000V в качестве PPPoE клиента, вопросы лицензирования и настройки минимальной защиты локального сегмента сети из интернет.

Дополнительно хотел бы отметить еще одну историю успеха нашего слушателя – http://www.cisco.com/web/RU/news/releases/txt/2013/11/112913b.html  и обратить внимание всех, что вы можете помочь кому то из своих знакомых пройти бесплатное обучение по курсу CCNA Routing and Switching, сейчас еще открыт набор на обучение – http://www.4disabled.ru/novosti/idet_nabor_v_cisco_academy .

***

Изучать сетевые технологии «по-взрослому» я начал с того момента, когда узнал о таком замечательном проекте как “Сетевая академия Cisco для людей с ограниченными возможностями здоровья”. Я благодарен всем людям, которые его организовали, поддерживают и находят силы и время этим заниматься.

1

Конечно, у меня и до этого был и компьютер, и Интернет, и мне было интересно, как и что работает, но все познания были какими-то разрозненными кусочками информации, без представления и понимания общей картины. Настройки я делал по каким-либо руководствам, в которых было написано: «впишите это туда, отметьте это и нажмите кнопку ОК» не очень то понимая, что конкретно для чего нужно. Сейчас все по-другому.

Во время обучения, для того чтобы лучше разобраться как работает та или иная технология я пользовался и программой моделирования сетей Packet Tracer, и удаленным доступом к стенду с реальным оборудованием, любезно предоставленным нам организаторами обучения. Это, конечно же очень помогало, но меня все время не оставляла мысль найти какой-то вариант, который позволил бы иметь ощущение реальности при работе с устройством и в тоже время чтобы я мог его крутить так как мне захочется и в любое время, когда мне захочется.

Я пробовал и GNS3, и IOU, при этом продолжая поиски. Так я узнал о таком продукте от CISCO как CSR 1000V (Cloud Services Router) – http://www.cisco.com/c/en/us/products/routers/cloud-services-router-1000v-series/index.html .

Небольшие выдержки из документации:
«Развернутый на виртуальной машине Cisco CSR 1000V с IOS XE обеспечивает точно такую же функциональность, как если бы IOS XE работала на традиционной аппаратной платформе Cisco. Cisco CSR 1000V содержит виртуальный Route Processor (RP) и виртуальный Forwarding Processor (FP) как часть своей архитектуры.»

Немного почитав, что это такое, для чего нужно и оценив предъявляемые требования решил попробовать его в действии. На одной из моих машин стоит гипервизор ESXi 5.1 от VMware, который я использую как площадку для всяческих экспериментов и который как нельзя лучше подходит для этого.

2

Сказано – сделано!

Установка.

На cisco.com скачиваю (требуется учетная запись) последнюю на то время версию iso-образа csr1000v-universalk9.03.11.00.S.154-1.S-std.iso. Доступен также OVA и BIN (для апгрейда), но решил устанавливать из ISO, чтобы самому создать VM в минимально необходимой конфигурации.

Используя vSphere Client перемещаю загруженный образ в папку на datastore1, в которой у меня хранятся все загрузочные образы.

3

После этого создаю виртуальную машину Version 8, типа Linux “Other 2.6x Linux (64-bit) setting”, с одним одноядерным vCPU, 2,5 GB RAM и диском в 8GB (это минимально рекомендуемые требования для работы с производительностью 250 Mbps, хотя на пробном периоде в 60 дней она составляет 50 Mbps максимум, и максимальным пакетом поддерживаемых технологий “Premium”), на которой будет работать CSR 1000V. Машина должна иметь минимум три сетевых адаптера типа VMXNET 3, CSR развернутый на VMware ESXi может иметь до 10 адаптеров. Далее монтирую загрузочный образ в CD-привод созданной машины и включаю ее.

Начинается процесс загрузки и установки, который продолжается не более 10 минут и не требует никакого участия.

По окончании распаковки и установки начнется загрузка самого CSR 1000V и через несколько секунд появляется запрос на использование диалога конфигурации, и если от него отказаться, то маршрутизатор выводит приглашение пользовательского режима EXEC.

После этого я выключил виртуальную машину, чтобы извлечь загрузочный образ из привода и перезагрузить маршрутизатор. После повторного включения VM и загрузки маршрутизатора производим начальные настройки (hostname, пароли vty и enable), настраиваем один из интерфейсов, который будет «смотреть» в LAN, для подключения по telnet. После этого я подключил к этому же интерфейсу одну из виртуальных машин на которой работает Windows XP с которой и буду подключаться используя Putty. Вот что после подключения мне вывела команда show version:

4

CSR 1000V в качестве PPPoE клиента.

Ну что же, маршрутизатор есть и можно приступать к экспериментам. Первое, что решил попробовать, это настроить его в качестве шлюза в Интернет. К провайдеру я подключен по технологии ADSL, поэтому пошел на Cisco Feature Navigator посмотреть, как у него обстоит дело с функционированием в качестве PPPoE Client. И вот, что мне выдал навигатор (почему-то версия 3.11 отсутствует):

5

Ну раз так, за дело. Еще немного подготовительных мероприятий в ESXi. К интерфейсу маршрутизатора, который будет смотреть в WAN я подключил физический адаптер хоста, на котором работает гипервизор и который в свою очередь подключен к ADSL модему. Вот так это выглядит в vSphere Client, ну а топология самая что ни на есть простая:

6

Теперь можно переходить к настройке CSR в качестве PPPoE клиента. Настраиваю внешний интерфейс и интерфейс Dialer, который будет инициировать подключение к провайдеру.

После настройки проверяю получил ли интерфейс Dialer IP-адрес от провайдера и его состояние. Состояние интерфейса UP/UP, но IP-адрес не присвоен. Вывожу более детальную информацию об интерфейсе Dialer и вижу что LCP закрыт. Делаю вывод, что что-то не так надо определить в чем проблема. Хотя и закрадывается сомнение, а может ли CSR вообще работать в роли PPPoE клиента.

7

Пробую включить отладку PPPoE из консоли виртуальной машины на которой работает CSR.

Вижу, что CSR посылает PADI провайдеру, но больше ничего не происходит. Решаю подключить машину на которой работает Windows XP к коммутатору vSwitch5, переведя коммутатор в режим Promiscuous для того чтобы видеть трафик на всех его интерфейсах и захватить трафик в между CSR и ISP при помощи Wireshark. Настраиваю в Wireshark фильтр, где MAC-источник – мой или MAC-назначения – мой и протокол PPPoED. Делаю захват и смотрю что получилось:

8

Здесь вижу немного больше. Вижу, что маршрутизатор отправляет бродкастом провайдеру PADI, концентраторы доступа провайдера отвечают мне множеством PADO, но маршрутизатор на них никак не реагирует. Почему?!

Думаю, продолжаю искать информацию и читаю документацию по CSR. Натыкаюсь на следующее:
«При первой загрузке CSR 1000V загружается в режиме, который ограничивает функциональность и производительность. Для того, чтобы получить полную функциональность соответствующего пакета технологий и производительность вам необходимо либо установить соответствующую лицензию, либо активировать пробный период.»

И это действительно так, и show version об этом говорит.

Ну что же, поскольку нам дают, совершенно бесплатно, 60 дней пробного периода, почему бы этим не воспользоваться. Активируем пробный период с пакетом технологий Premium – license boot level premium. Надо еще согласиться с условиями лицензионного соглашения, сохранить текущую (running) конфигурацию в начальную (startup) и перезагрузить маршрутизатор, чтобы изменения вступили в силу.

После этого вывод show version будет следующим:

9

и show platform hardware throughput level покажет максимальную пропускную способность для пробного периода.

Еще раз проверяю состояние интерфейсов . . ., и сейчас интерфейс Dialer1 уже имеет IP-адрес от провайдера. Прописываю маршрут по умолчанию и проверяю доступность «внешнего мира» – CSR 1000V настроен как PPPoE клиент и имеет доступ в Интернет, УРА!

Интернет для LAN и ZBF.

Что дальше? Ну если по порядку, то надо предоставить доступ в Интернет локальной сети, через CSR и настроить минимальную защиту. Настраиваю PAT и проверяю, что компьютер из LAN получил доступ в Интернет:

10

Теперь немного безопасности. Сначала определю зоны WAN и LAN, и интерфейсы Dialer1 и GigabitEthernet1, которые будут принадлежать соответствующей зоне. Схематично это будет выглядеть так:

11

12

Сейчас необходимо создать так называемые классмапы, в которых будет описан трафик, который будет отбираться для применения политик, которые будут описаны позже. Под итоговую классмапу, которая называется LANNET-PROT-CLASSMAP, будет попадать трафик протоколов или tcp, или udp, или icmp, отправленный с любого адреса в LAN.

13

Далее надо создать полисимапу в соответствии с которой будет инспектироваться трафик, определенный класмапой. Затем создать пару зон и указать, что полисимапа будет применяться к трафику, идущему из LAN в WAN. После всех этих действий трафик из LAN в WAN соответствующий указанным в классмапе условиям будет инспектироваться и обратный трафик будет разрешен. Трафик из WAN в LAN будет запрещен.

14

После этого я опять сделал захват пакетов, приходящих из Интернета и посмотрел, как на них реагирует маршрутизатор. Получилась такая картина: на приходящий на внешний интерфейс UDP трафик маршрутизатор отвечает «Destination unreachable» (ICMP тип 3, код 3), что говорит сканирующей системе, что порт закрыт; на входящие TCP-[SYN] отвечает TCP-[RST], что говорит о том, что попытка установить входящее соединение отклоняется.

15

Компьютер из LAN имеет доступ в Интернет.

И казалось бы все хорошо, но возникла еще одна небольшая проблема. Когда я открывал в браузере страницы, то некоторые открывались нормально, а некоторые грузились долго или вообще с ошибками. Мои подозрения сразу пали на размер передаваемых данных. Я проверил и это было действительно так. При согласовании TCP соединения в качестве размера MSS (Maximum Segment Size) передавалось значение 1460 bytes, при этом в IP-заголовке был выставлен бит «Don’t fragment». И если к этому значению добавить 20 байт TCP-заголовка и 20 байт IP-заголовка, то размер MTU получался 1500 байт, что было бы приемлемо для Ethernet, но не для PPPoE (1492). Поэтому маленькие пакеты передавались нормально, например, при установлении TCP-соединения, а большие при передаче данных терялись.

Для решения этой проблемы выполняю команду ip tcp adjustmss 1452 на интерфейсе к которому подключена локальная сеть. После этого маршрутизатор будет заменять значение MSS в TCP-заголовке и обмен данными будет происходить без потерь.

На этом первое знакомство с продуктом CSR 1000V от Cisco буду считать свершившимся. Впечатления самые хорошие.

В заключение про CSR 1000v.

Еще решил посмотреть сколько ресурсов необходимо VM на которой работает CSR. Чтобы через маршрутизатор шел трафик, на машине в LAN запустил одновременно и загрузку, и выгрузку файлов. Результаты получились вполне приемлемые: для полностью загруженного канала система показала себя достаточно экономно с точки зрения потребления системных ресурсов.

Теперь посмотрим какие технологии поддерживает CSR 1000V.

16

Как видно из таблички список довольно внушительный. Поэтому, как мне кажется, этот продукт от Cisco является полезным вариантом для начинающих и самосовершенствующихся сетевых инженеров, чтобы погрузится в детальное изучение и экспериментирование с маршрутизацией, безопасностью, мультикастом, VPN и т.д. Все упирается только в то, сколько экземпляров CSR одновременно позволят запустить ресурсы хостовой системы. И если это будет 5-7 экземпляров то это уже будет хорошая, домашняя лаборатория, к тому же после окончания пробного периода никакие из технологий активированного пакета не перестают работать, просто производительность будет снижена до 2,5 Mbps, чего будет вполне достаточно для экспериментов.

А вот так Cisco видит использование своего продукта в сети реально выполняющей свои задачи.

17

18

19

На этом все. Если вы читаете эти строчки, значит у вас хватило терпения изучить этот документ за что хочу поблагодарить вас. Когда я писал его, я не ставил целью показать, как надо или наоборот не надо настраивать ту или иную функцию устройства, это просто описание моих экспериментов или изысканий. Я нахожу их для себя интересными и полезными.

Еще раз благодарю за внимание!

Слушатель первого набора проекта «Сетевая академия Cisco для людей с ограниченными возможностями здоровья» Игорь Гаврилюк.

***

Дополнительно, приглашаем все заинтересованные компании присоединиться к Лиге ответственных работодателей: http://4responsible.ru/partners .

Tags:
Оставить комментарий

Share