четверг, 13 апреля 2017 г.

Настройка selective qinq на коммутаторах MES

Данная функция позволяет на основе сконфигурированных правил фильтрации по номерам внутренних VLAN (Customer VLAN) производить добавление внешнего SPVLAN (Service Provider’s VLAN), подменять Customer VLAN, а также запрещать прохождения трафика.
!!! В режиме acl-only команды конфигурирования правил Selective Q-in-Q недоступны
!!! Наличие хотя бы одного правила Selective Q-in-Q на интерфейсе запрещает включение функции логирования широковещательного шторма на этом интерфейсе.
Рассмотрим несколько типовых примеров настройки Sqinq
1) Задача: пропустить vlan 31 без изменения, на остальные vlan, приходящие в порт 11 добавить метку 30
interface gigabitethernet1/0/11
switchport mode general
switchport general allowed vlan add 31 tagged
switchport general allowed vlan add 30 untagged
selective-qinq list ingress permit ingress_vlan 31
selective-qinq list ingress add_vlan 30
exit
!
interface gigabitethernet1/0/12
switchport mode trunk
switchport trunk allowed vlan add 30-31
exit
2) Для vlan 68,456,905 добавить метку 3. Для vlan 234,324,657 добавить метку 4 
interface gigabitethernet 1/0/1
switchport mode general
switchport general allowed vlan add 3,4 untagged
selective-qinq list ingress add_vlan 3 ingress_vlan 68,456,905
selective-qinq list ingress add_vlan 4 ingress_vlan 234,324,657
exit
3) Перемаркировка влан. Для входящего трафика vlan 856 -> vlan 3, vlan 68 -> vlan 4. Для исходящего трафика vlan 3 -> vlan 856, vlan 4 -> vlan 68
interface gigabitethernet 1/0/8
switchport mode general 
switchport general allowed vlan add 3-4 tagged
selective-qinq list ingress override_vlan 3 ingress_vlan 856 
selective-qinq list ingress override_vlan 4 ingress_vlan 68
selective-qinq list egress override_vlan 856 ingress_vlan 3
selective-qinq list egress override_vlan 68 ingress_vlan 4
exit
4) Для всего трафика приходящего на порт 11 добавить метку 30
interface gigabitethernet1/0/11
switchport mode general
switchport general allowed vlan add 30 untagged
selective-qinq list ingress add_vlan 30
exit
или
interface gigabitethernet 1/0/11 
switchport mode customer 
switchport customer vlan 30
exit

Как можно на входе Ethernet порта произвести добавление метки SPVLAN (Service Provider’s VLAN) ко всем VLAN?

Возможны два варианта настройки:
  1. с помощью режима порта «customer»
  2. c помощью Selective Q-inQ

1. Настройка с помощью режима порта «customer»
В данном примере описывается добавление метки SPVLAN 1906 ко всем на входе порта gigabitethernet 1/0/6:
  • interface gigabitethernet 1/0/6
  • switchport mode customer
  • switchport customer vlan 1906
  • exit
На выходе порта SPVLAN будет сниматься.
2. Настройка с помощью Selective Q-inQ
В данном примере описывается добавление метки SPVLAN 1906 ко всем VLAN на входе порта gigabitethernet 1/0/6:
  • interface gigabitethernet 1/0/6
  • switchport mode general
  • switchport general allowed vlan add all untagged
  • selective-qinq list ingress add_vlan 1906
  • exit
На выходе порта SPVLAN будет сниматься.

вторник, 11 апреля 2017 г.

Типы Network Address Translation (NAT)

В свое время, когда я пытался понять как работают различные типы NAT маршрутизаторов. С одной стороны количество статей на эту тему оказалось крайне мало. С другой стороны, исходя из того что было, понять их было крайне сложно. Попробую написать понятное объяснение с максимумом картинок и минимумом определений. Перевод оригинальной английской терминологии на русский язык резанул по ушам, поэтому решил ее оставить как есть.

Cone NAT

Внутренний адрес (192.168.0.2:2210) проецируются на внешний адрес (1.1.1.2:8801). Любой пакет посланный с 192.168.0.2:2210 будет послан через 1.1.1.2:8801. Любой пакет с внешнего хоста, посланный на адрес 1.1.1.2:8801 будет отправлен на 192.168.0.2:2210
Full cone nat
Full cone nat

Address-Restricted cone NAT или Restricted cone NAT.

Внутренний адрес (192.168.0.2:2210) проецируются на внешний адрес (1.1.1.2:8801). Любой пакет посланный с 192.168.0.2:2210 будет послан через 1.1.1.2:8801. Пакет с любого порта внешнего хоста, посланный на адрес 1.1.1.2:8801 будет отправлен на 192.168.0.2:2210 только в случае, если 192.168.0.2:2210 предварительно посылал пакет на этот внешний хост.
Address-Restricted cone NAT

Port-Restricted cone NAT

Внутренний адрес (192.168.0.2:2210) проецируются на внешний адрес (1.1.1.2:8801). Любой пакет посланный с 192.168.0.2:2210 будет послан через 1.1.1.2:8801. Внешний хост (1.1.1.30:1234) модет послать пакет на 192.168.0.2:2210 через 1.1.1.2:8801 только в случае если ранее 192.168.0.2:2210 слал пакет на 1.1.1.30:1234
Port-Restricted cone NAT

Symmetric NAT

Каждый пакет с определенного внутреннего IP адреса:порта на определенный внешний IP адрес:порт будет иметь после трансляции уникальный внешний адрес порт. Соответственно, пакет с одного и того-же внутреннего адреса:порта, но посланный на другой внешний хост или порт после трансляции будет иметь другой внешний адрес-порт. Внешние хосты могут послать обратный пакет только на те хосты:порты откуда они получили пакеты.
Symmetric NAT
Symmetric NAT
Еще одна, часто встречающаяся особенность NAT, так называемый port preservation, такой гибрид Port-Restricted и Symmetric NAT, будет рассмотрен в другой статье.