Настройка пулов статических IP-адресов в структуре VMM
- Чтение занимает 4 мин
В этой статье
Важно!
Поддержка этой версии Virtual Machine Manager (VMM) прекращена. Рекомендуем перейти на VMM 2019.
В этой статье описывается, как настраивать пулы статических IP-адресов для логических сетей и сетей виртуальных машин в сетевой структуре System Center Virtual Machine Manager (VMM).
При настройке логической сети необходимо настроить пул статических IP-адресов, если вы не используете DHCP. В некоторых случаях потребуется создать пулы IP-адресов только в логической сети, тогда как в других — создать пул в логической сети и в сети виртуальных машин.
- Пул в логической сети и сети виртуальных машин
- Пул только в логической сети. Если вы используете виртуальную ЛС или не используете изоляцию, можно применить протокол DHCP или создать пулы IP-адресов только в логической сети. Они автоматически станут доступны в сетях виртуальных машин.
- Импортированные пулы адресов. Если вы используете внешние сети через консоль поставщика, ваши пулы IP-адресов будут импортированы из системы поставщика и вам не потребуется создавать их в VMM.
Создание пула статических адресов для логической сети
В разделе Логические сети и пулы IP-адресов
щелкните логическую сеть и выберите Главная > Создать > Создать пул IP-адресов.В мастере создания пула статических IP-адресов > Имя укажите имя и описание. Убедитесь, что указана правильная логическая сеть.
В поле Сетевой сайт выберите использование существующего веб-сайта и выберите IP-подсеть или создайте новый сайт.
- Для существующего сайта выберите сайт и IP-подсеть, на основе которых нужно создать пул.
- Для нового сайта укажите имя сайта, IP-подсеть для назначения сайту и (при необходимости) сведения о виртуальной ЛС. Выберите группы узлов, которые смогут получать доступ к этому сайту и логической сети.
Если применяется виртуализация сети, пул можно использовать для поддержки многоадресной или широковещательной рассылки. Для этого щелкните Создать пул IP-адресов многоадресной рассылки и выберите IP-подсеть, которую вы хотите использовать. При использовании многоадресной или широковещательной рассылки обратите внимание на следующие аспекты.
- В логической сети должна быть включена виртуализация сети.
- Параметры протокола IP для сети виртуальных машин должны соответствовать параметрам протокола IP для базовой логической сети. Параметры протокола не будут отображаться в консоли VMM после их создания. Чтобы просмотреть их, вам потребуется выполнить команду
- После настройки этого компонента пакеты многоадресной и широковещательной рассылок в сети виртуальных машин будут использовать IP-адреса из пула адресов многоадресной рассылки. Каждая подсеть в сети виртуальных машин будет потреблять один IP-адрес из пула многоадресной рассылки.
В поле Диапазон IP-адресов введите начальный и конечный адрес для пула. Они должны содержаться в подсети. В поле Виртуальные IP-адреса и зарезервированные IP-адреса
В разделе Шлюз щелкните Вставить, если вы хотите указать один или несколько шлюзов по умолчанию и метрику. Адрес шлюза по умолчанию должен находиться в том же диапазоне подсети, что пул IP-адресов, но не обязательно должен быть частью пула.
В разделе DNS укажите сведения о DNS, включая DNS-серверы, DNS-суффикс по умолчанию для подключения и список суффиксов поиска DNS.
В разделе WINS щелкните Вставить, если вы хотите ввести IP-адрес WINS-сервера. Также можно выбрать включение NetBIOS через TCP/IP. Эта конфигурация не рекомендуется, если диапазон адресов состоит из общедоступных адресов.
В разделе Сводка проверьте параметры и нажмите кнопку Готово. Когда задание перейдет в состояние Завершено, проверьте пул в разделе Логические сети и пулы IP-адресов.
Настройка пула IP-адресов в сети виртуальных машин
- Щелкните Виртуальные машины и службы > Сети виртуальных машин >
Главная > Показать > Сети виртуальных машин > Сеть виртуальных машин. - В разделе Сети виртуальных машин и пулы IP-адресов щелкните сеть виртуальных машин, затем Создать > Создать пул IP-адресов.
- В мастере создания пула статических IP-адресов > Имя укажите имя и описание. Убедитесь, что указана правильная логическая сеть. Убедитесь, что выбрана правильная сеть виртуальных машин и подсеть.
- В поле Диапазон IP-адресов введите начальный и конечный адрес для пула. Можно создать несколько пулов IP-адресов в одной подсети, однако их диапазоны не должны перекрываться. В разделе
- В разделе Шлюз щелкните Вставить, если вы хотите указать один или несколько шлюзов по умолчанию и метрику. Адрес шлюза по умолчанию должен находиться в том же диапазоне подсети, что пул IP-адресов, но не обязательно должен быть частью пула.
- В разделе DNS укажите сведения о DNS, включая DNS-серверы, DNS-суффикс по умолчанию для подключения и список суффиксов поиска DNS. Для виртуальных машин, которые предполагается присоединить к домену Active Directory, для настройки основного DNS-суффикса рекомендуется использовать групповую политику. Это позволит гарантировать, что, если для виртуальной машины на основе Windows задана регистрация IP-адресов в основном DNS-суффиксе, DNS-сервер, основанный на Windows, будет выполнять динамическую регистрацию IP-адреса. Дополнительно использование групповой политики позволяет создать пул IP-адресов, охватывающий несколько доменов. В этом случае, возможно, не потребуется указывать отдельный основной DNS-суффикс.
- В разделе WINS щелкните Вставить, если вы хотите ввести IP-адрес WINS-сервера. Также можно выбрать включение NetBIOS через TCP/IP. Эта конфигурация не рекомендуется, если диапазон адресов состоит из общедоступных адресов.
- В разделе Сводка проверьте параметры и нажмите кнопку Готово. Когда задание перейдет в состояние Завершено, проверьте пул в разделе Логические сети и пулы IP-адресов.
Освобождение неактивных адресов из пула статических адресов
Неактивные адреса можно освободить. В этом случае VMM возвращает адрес в пул статических IP- или MAC-адресов, после чего адрес считается доступным для повторного назначения. Адрес считается неактивным в следующих случаях.
- Узел, которому статический IP-адрес был назначен в процессе развертывания на компьютере без ОС, исключается из области управления VMM. При удалении узла все статически назначенные виртуальным машинам IP- и MAC-адреса также помечаются как неактивные.
- Виртуальная машина переходит в состояние «Отсутствует», поскольку она была удалена не с помощью VMM.
Освобождение IP-адресов
- Чтобы освободить адреса в пуле в логической сети, в области Логические сети и пулы IP-адресов разверните логическую сеть и щелкните пул IP-адресов.
- Чтобы освободить адреса в пуле в сети виртуальных машин, в области Логические сети и пулы IP-адресов разверните сеть виртуальных машин и щелкните пул IP-адресов.
Щелкните Главная > Свойства > Неактивные адреса и выберите неактивные IP-адреса, которые нужно освободить.
Дальнейшие действия
Создание сети виртуальных машин
В чем отличие «белого» и «серого» IP-адреса? – Keenetic
Все IP-адреса протокола IPv4 делятся на публичные/глобальные/внешние (их называют «белые») — они используются в сети Интернет, и частные/локальные/внутренние (их называют «серые») — используются в локальной сети.
Публичные «белые» IP-адреса
В сети Интернет используются именно публичные глобальные адреса. Публичным IP-адресом называется IP-адрес, который используется для выхода в Интернет. Публичные (глобальные) IP-адреса маршрутизируются в Интернете, в отличие от частных адресов.
Наличие публичного IP-адреса на вашем роутере или компьютере позволит организовать собственный сервер (VPN, FTP, WEB и др.), удаленный доступ к компьютеру, камерам видеонаблюдения, и получить к ним доступ из любой точки глобальной сети.
TIP: Примечание: Все публичные серверы и сайты в сети Интернет используют «белые» IP-адреса (например, сайт google.com — 172.217.22.14, DNS-сервер Google — 8.8.8.8, сайт yandex.ru — 213.180.204.11, DNS-сервер Яндекс.DNS — 77.88.8.8).
Все публичные IP-адреса в сети Интернет уникальны и не могут повторяться.
Для домашних пользователей провайдер может предоставлять всего один или несколько публичных IP-адресов (как правило, это платная услуга).
Маршрутизатор (роутер, интернет-центр) позволяет устройствам домашней сети использовать для выхода в Интернет один публичный IP-адрес, установленный на WAN-интерфейсе устройства, через который осуществляется подключение к Интернету. Именно этот внешний публичный IP-адрес может быть использован для доступа из Интернета к компьютеру домашней сети, но для этого необходимо использовать проброс портов на роутере (пример приведен в статье: «Переадресация портов»).
В связи с тем что «белых» IP-адресов существует ограниченное количество, а рост числа пользователей Интернета увеличивается, интернет-провайдеры всё чаще используют частные («серые») IP-адреса, назначаемые абонентам.
Частные «серые» IP-адреса
Частные внутренние адреса не маршрутизируются в Интернете и на них нельзя отправить трафик из Интернета, они работают только в пределах локальной сети.
К частным «серым» адресам относятся IP-адреса из следующих подсетей:
- От 10.0.0.0 до 10.255.255.255 с маской 255.0.0.0 или /8
- От 172.16.0.0 до 172.31.255.255 с маской 255.240.0.0 или /12
- От 192.168.0.0 до 192.168.255.255 с маской 255.255.0.0 или /16
- От 100.64.0.0 до 100.127.255.255 с маской подсети 255.192.0.0 или /10; данная подсеть рекомендована согласно rfc6598 для использования в качестве адресов для CGN (Carrier-Grade NAT)
Это зарезервированные IP-адреса. Такие адреса предназначены для применения в закрытых локальных сетях, распределение таких адресов никем не контролируется.
Напрямую доступ к сети Интернет, используя частный IP-адрес, невозможен. В этом случае связь с Интернетом осуществляется через NAT (трансляция сетевых адресов заменяет частный IP-адрес на публичный). Частные IP-адреса в пределах одной локальной сети должны быть уникальны и не могут повторяться.
NOTE: Важно! Если ваш интернет-провайдер предоставляет вам IP-адрес из вышеприведенного списка, то вы не сможете настроить подключение из Интернета к компьютерам и серверам вашей домашней сети (кроме VPN-сервера SSTP и файлового облачного сервера WebDAV), т.к. частные IP-адреса не маршрутизируются (не видны) в сети Интернет. При необходимости доступа к компьютерам вашей домашней сети из Интернета нужно обратиться к интернет-провайдеру для получения публичного «белого» IP-адреса.
Но тем не менее, с «серым» IP-адресом вы можете настроить удаленный доступ к веб-конфигуратору интернет-центра и ресурсам (сервисам) домашней сети или интернет-центра через наш сервис доменных имен KeenDNS. Например, доступ к устройству с веб-интерфейсом — сетевому накопителю, веб-камере, серверу, или к интерфейсу торрент-клиента Transmission, работающего в интернет-центре.
Что касается безопасности в Интернете, то использование «серого» IP-адреса более безопасно, чем использование «белого» IP-адреса, т.к. «серые» IP-адреса не видны напрямую в Интернете и находятся за NAT, который также обеспечивает безопасность домашней сети. При использовании «белого» IP-адреса необходимы меры для обеспечения дополнительной безопасности компьютера или сервера (например, использование межсетевого экрана для блокирования портов и протоколов, которые не используются сервером; применение сегмента сети DMZ для отделения общедоступных сервисов от локальной сети и т.п.).
Полный список описания сетей для протокола IPv4 представлен в документе RFC6890.
Как проверить, является ли мой IP-адрес «белым»?
Чтобы самостоятельно проверить, является ли ваш IP-адрес публичным «белым», можно воспользоваться сервисом myip.ru, myip.com (или любым подобным). Вам будет показан IP-адрес, под которым был произведен запрос на сайт; если он совпадает с IP-адресом, выданным интернет-провайдером на WAN-интерфейсе интернет-центра, значит, вам выдан публичный «белый» IP-адрес. Например:
IP-адрес на WAN-интерфейсе интернет-центра можно посмотреть в его веб-конфигураторе. На стартовой странице «Системный монитор» в разделе «Интернет» нажмите «Подробнее о соединении». В поле «IP-адрес» вы увидите адрес интернет-центра, используемый для выхода в Интернет.
В нашем примере IP-адреса совпадают и этот адрес не входит в диапазон частных подсетей, значит внешний WAN IP-адрес интернет-центра является публичным «белым».
Если вы увидите, что IP-адреса не совпадают, и внешний WAN IP-адрес Keenetic в веб-конфигураторе принадлежит к одному из диапазонов частной сети, значит роутер имеет «серый» IP-адрес.
IP-адресация и создание подсетей для новых пользователей
Введение
В этом документе приведена основная информация, необходимая для настройки маршрутизатора для IP-маршрутизации, в том числе сведения о повреждении адресов и работе подсетей. Здесь содержатся инструкции по настройке для каждого интерфейса маршрутизатора IP-адреса и уникальной подсети. Приведенные примеры помогут объединить все сведения.
Предварительные условия
Требования
Рекомендуется иметь хотя бы базовое представление о двоичной и десятичной системах счисления.
Используемые компоненты
Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.
Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.
Дополнительные сведения
Если определения помогают вам, воспользуйтесь следующими терминами словаря, чтобы начать работу:
Адрес — Уникальный ID-номер, назначенный одному узлу или интерфейсу в сети.
Подсеть — это часть сети, в которой совместно используется определенный адрес подсети.
Маска подсети — 32-битная комбинация, используемая для того, чтобы описать, какая часть адреса относится к подсети, а какая к узлу.
Интерфейс — сетевое подключение.
Если уже имеются адреса в Интернете, официально полученные из центра сетевой информации InterNIC, то можно приступать к работе. Если подключение к Интернету не планируется, настоятельно рекомендуется использовать зарезервированные адреса, как описано в документе RFC 1918.
Изучение IP-адресов
IP-адрес — это адрес, который используется для уникальной идентификации устройства в IP-сети. Адрес состоит из 32 двоичных разрядов и с помощью маски подсети может делиться на часть сети и часть главного узла. 32 двоичных разряда разделены на четыре октета (1 октет = 8 битов). Каждый октет преобразуется в десятичное представление и отделяется от других октетов точкой. Поэтому принято говорить, что IP-адрес представлен в десятичном виде с точкой (например, 172.16.81.100). Значение в каждом октете может быть от 0 до 255 в десятичном представлении или от 00000000 до 11111111 в двоичном представлении.
Ниже приведен способ преобразования двоичных октетов в десятичное представление: Самый правый бит (самый младший разряд) октета имеет значение 20.Расположенный слева от него бит имеет значение 21.И так далее — до самого левого бита (самого старшего разряда), который имеет значение 27. Таким образом, если все двоичные биты являются единицами, эквивалентом в десятичном представлении будет число 255, как показано ниже:
1 1 1 1 1 1 1 1 128 64 32 16 8 4 2 1 (128+64+32+16+8+4+2+1=255)
Ниже приведен пример преобразования октета, в котором не все биты равны 1.
0 1 0 0 0 0 0 1 0 64 0 0 0 0 0 1 (0+64+0+0+0+0+0+1=65)
В этом примере показан IP-адрес, представленный в двоичном и десятичном форматах.
10. 1. 23. 19 (decimal) 00001010.00000001.00010111.00010011 (binary)
Эти октеты разделены таким образом, чтобы обеспечить схему адресации, которая может использоваться как для больших, так и для малых сетей. Существует пять различных классов сетей: от A до E (используются буквы латинского алфавита). Этот документ посвящен классам от A до C, поскольку классы D и E зарезервированы и их обсуждение выходит за рамки данного документа.
Примечание: Также обратите внимание, что сроки «Класс A, Класс B» и так далее используется в этом документе, чтобы помочь упрощать понимание IP-адресации и выделения подсети. Эти термины фактически уже не используются в промышленности из-за введения бесклассовой междоменной маршрутизации (CIDR).
Класс IP-адреса может быть определен из трех старших разрядов (три самых левых бита первого октета). На рис. 1 приведены значения трех битов старшего разряда и диапазон адресов, которые попадают в каждый класс. Для справки показаны адреса классов D и Е.
Рисунок 1
В адресе класса A первый октет представляет собой сетевую часть, поэтому пример класса A на рис. 1 имеет основной сетевой адрес 1.0.0.0 – 127.255.255.255. Октеты 2,3 и 4 (следующие 24 бита) предоставлены сетевому администратору, который может разделить их на подсети и узлы. Адреса класса A используются в сетях с количеством узлов, превышающим 65 536 (фактически до 16777214 узлов!)!.
В адресе класса B два первых октета представляют собой сетевую часть, поэтому пример класса B на рис. 1 имеет основной сетевой адрес 128.0.0.0 – 191.255.255.255. Октеты 3 и 4 (16 битов) предназначены для локальных подсетей и узлов. Адреса класса B используются в сетях с количеством узлов от 256 до 65534.
В адресе класса C первые три октета представляют собой сетевую часть. Пример класса C на рис. 1 имеет основной сетевой адрес 192.0.0.0 – 223.255.255.255. Октет 4 (8 битов) предназначен для локальных подсетей и узлов. Этот класс идеально подходит для сетей, в которых количество узлов не превышает 254.
Маски сети
Маска сети позволяет определить, какая часть адреса является сетью, а какая часть адреса указывает на узел. Сети класса A, B и C имеют маски по умолчанию, также известные как естественные маски:
Class A: 255.0.0.0 Class B: 255.255.0.0 Class C: 255.255.255.0
IP-адрес в сети класса A, которая не была разделена на подсети, будет иметь пару «адрес/маска», аналогичную: 8.20.15.1 255.0.0.0. Чтобы понять, как маска помогает идентифицировать сетевую и узловую части адреса, преобразуйте адрес и маску в двоичный формат.
8.20.15.1 = 00001000.00010100.00001111.00000001 255.0.0.0 = 11111111.00000000.00000000.00000000
Когда адрес и маска представлены в двоичном формате, идентификацию сети и хоста выполнить гораздо проще. Все биты адреса, для которых соответствующие биты маски равны 1, представляют идентификатор сети. Все биты адреса, для которых соответствующие биты маски равны 0, представляют идентификатор узла.
8.20.15.1 = 00001000.00010100.00001111.00000001 255.0.0.0 = 11111111.00000000.00000000.00000000 ----------------------------------- net id | host id netid = 00001000 = 8 hostid = 00010100.00001111.00000001 = 20.15.1
Изучение организации подсетей
Подсети позволяют создавать несколько логических сетей в пределах одной сети класса А, В или С. Если не использовать подсети, то можно будет использовать только одну сеть из сети класса A, B или C, что представляется нереалистичным.
Каждый канал передачи данных в сети должен иметь уникальный идентификатор сети, при этом каждый узел в канале должен быть членом одной и той же сети. Если разбить основную сеть (класс A, B или C) на небольшие подсети, это позволит создать сеть взаимосвязанных подсетей. Каждый канал передачи данных в этой сети будет иметь уникальный идентификатор сети или подсети. Какое-либо устройство или шлюз, соединяющее n сетей/подсетей, имеет n различных IP-адресов — по одному для каждой соединяемой сети/подсети.
Чтобы организовать подсеть в сети, расширьте обычную маску несколькими битами из части адреса, являющейся идентификатором хоста, для создания идентификатора подсети. Это позволит создать идентификатор подсети. Пусть, например, используется сеть класса C 204.17.5.0, естественная сетевая маска которой равна 255.255.255.0. Подсети можно создать следующим образом:
204.17.5.0 - 11001100.00010001.00000101.00000000 255.255.255.224 - 11111111.11111111.11111111.11100000 --------------------------|sub|----
Расширение маски до значения 255.255.255.224 произошло за счет трех битов (обозначенных «sub») исходной части узла в адресе, которые были использованы для создания подсетей. С помощью этих трех битов можно создать восемь подсетей. Оставшиеся пять битов идентификаторов хоста позволяют каждой подсети содержать до 32 адресов хостов, 30 из которых фактически можно присвоить устройствам, поскольку идентификаторы хостов, состоящие из одних нулей или одних единиц, не разрешены (это очень важно, запомните это). С учетом всех изложенных факторов были созданы следующие подсети.
204.17.5.0 255.255.255.224 host address range 1 to 30 204.17.5.32 255.255.255.224 host address range 33 to 62 204.17.5.64 255.255.255.224 host address range 65 to 94 204.17.5.96 255.255.255.224 host address range 97 to 126 204.17.5.128 255.255.255.224 host address range 129 to 158 204.17.5.160 255.255.255.224 host address range 161 to 190 204.17.5.192 255.255.255.224 host address range 193 to 222 204.17.5.224 255.255.255.224 host address range 225 to 254
Примечание. Существует два метода обозначения этих масок. Первый: поскольку используется на три бита больше, чем в обычной маске класса C, можно обозначить эти адреса как имеющие 3-битовую маску подсети. Вторым методом обозначения маски 255.255.255.224 является /27, поскольку в маске задано 27 битов. Второй способ используется с методом адресации CIDR. При использовании данного способа одна из этих сетей может быть описана с помощью обозначения префикса или длины. Например, 204.17.5.32/27 обозначает сеть 204.17.5.32 255.255.255.224. Если применяется, записи префикса/длины используются для обозначения маски на протяжении этого документа.
Схема разделения на подсети в этом разделе позволяет создать восемь подсетей, и сеть может выглядеть следующим образом:
Рис. 2
Обратите внимание, что каждый из маршрутизаторов на рис. 2 подключен к четырем подсетям, причем одна подсеть является общей для обоих маршрутизаторов. Кроме того, каждый маршрутизатор имеет IP-адрес в каждой подсети, к которой он подключен. Каждая подсеть может поддерживать до 30 адресов узлов.
Из этого можно сделать важный вывод. Чем больше битов используется для маски подсети, тем больше доступно подсетей. Однако чем больше доступно подсетей, тем меньше адресов узлов доступно в каждой подсети. Например, в сети класса C 204.17.5.0 при сетевой маске 255.255.255.224 (/27) можно использовать восемь подсетей, в каждой из которых будет содержаться 32 адреса узлов (30 из которых могут быть назначены устройствам). Если использовать маску 255.255.255.240 (/28), разделение будет следующим:
204.17.5.0 - 11001100.00010001.00000101.00000000 255.255.255.240 - 11111111.11111111.11111111.11110000 --------------------------|sub |---
Поскольку теперь имеются четыре бита для создания подсетей, остаются только четыре бита для адресов узлов. В этом случае можно использовать до 16 подсетей, в каждой из которых может использоваться до 16 адресов узлов (14 из которых могут быть назначены устройствам).
Посмотрите, как можно разделить на подсети сеть класса B. Если используется сеть 172.16.0.0, то естественная маска равна 255.255.0.0 или 172.16.0.0/16. При Расширение маски до значения выше 255.255.0.0 означает разделение на подсети. Можно быстро понять, что можно создать гораздо больше подсетей по сравнению с сетью класса C. Если использовать маску 255.255.248.0 (/21), то сколько можно создать подсетей и узлов в каждой подсети?
172.16.0.0 - 10101100.00010000.00000000.00000000 255.255.248.0 - 11111111.11111111.11111000.00000000 -----------------| sub |-----------
Вы можете использовать для подсетей пять битов из битов оригинального хоста. Это позволяет получить 32 подсети (25). После использования пяти битов для подсети остаются 11 битов, которые используются для адресов узлов. Это обеспечивает в каждой подсети 2048 адресов хостов (211), 2046 из которых могут быть назначены устройствам.
Примечание. В прошлом существовали ограничения на использования подсети 0 (все биты подсети равны нулю) и подсети «все единицы» (все биты подсети равны единице). Некоторые устройства не разрешают использовать эти подсети. Устройства Cisco Systems позволяют использование этих подсетей когда ip subnet zero
команда настроена.
Примеры
Упражнение 1
После ознакомления с концепцией подсетей, примените новые знания на практике. В этом примере предоставлены две комбинации «адрес/маска», представленные с помощью обозначения «префикс/длина», которые были назначены для двух устройств. Ваша задача — определить, находятся эти устройства в одной подсети или в разных. С помощью адреса и маски каждого устройства можно определить, к какой подсети принадлежит каждый адрес.
DeviceA: 172.16.17.30/20 DeviceB: 172.16.28.15/20
Определим подсеть для устройства DeviceA:
172.16.17.30 - 10101100.00010000.00010001.00011110 255.255.240.0 - 11111111.11111111.11110000.00000000 -----------------| sub|------------ subnet = 10101100.00010000.00010000.00000000 = 172.16.16.0
Рассмотрение битов адресов, соответствующие биты маски для которых равны единице, и задание всех остальных битов адресов, равными нулю (аналогично выполнению логической операции И между маской и адресом), покажет, к какой подсети принадлежит этот адрес. В рассматриваемом случае устройство DeviceA принадлежит подсети 172.16.16.0.
Определим подсеть для устройства DeviceB:
172.16.28.15 - 10101100.00010000.00011100.00001111 255.255.240.0 - 11111111.11111111.11110000.00000000 -----------------| sub|------------ subnet = 10101100.00010000.00010000.00000000 = 172.16.16.0
Следовательно, устройства DeviceA и DeviceB имеют адреса, входящие в одну подсеть.
Пример упражнения 2
Если имеется сеть класса C 204.15.5.0/24, создайте подсеть для получения сети, показанной на рис. 3,с указанными требованиями к хостам.
Рис. 3
Анализируя показанную на рис. 3 сеть, можно увидеть, что требуется создать пять подсетей. Самая большая подсеть должна содержать 28 адресов узлов. Возможно ли это при использовании сети класса C? И если да, то каким образом следует выполнить разделение на подсети?
Можно начать с оценки требования к подсетям. Чтобы создать пять подсетей, необходимо использовать три бита из битов узла класса C. Два бита позволяют создать только четыре подсети (22).
Так как понадобится три бита подсети, для части адреса, отвечающей за узел, останется только пять битов. Сколько хостов поддерживается в такой топологии? 25 = 32 (30 доступных). Это отвечает требованиям.
Следовательно, можно создать эту сеть, используя сеть класса C. Пример назначения подсетей:
netA: 204.15.5.0/27 host address range 1 to 30 netB: 204.15.5.32/27 host address range 33 to 62 netC: 204.15.5.64/27 host address range 65 to 94 netD: 204.15.5.96/27 host address range 97 to 126 netE: 204.15.5.128/27 host address range 129 to 158
Пример VLSM
Следует обратить внимание на то, что в предыдущих примерах разделения на подсети во всех подсетях использовалась одна и та же маска подсети. Это означает, что каждая подсеть содержала одинаковое количество доступных адресов узлов. Иногда это может понадобиться, однако в большинстве случаев использование одинаковой маски подсети для всех подсетей приводит к неэкономному распределению адресного пространства. Например, в разделе «Пример упражнения 2» сеть класса C была разделена на восемь одинаковых по размеру подсетей; при этом каждая подсеть не использует все доступные адреса хостов, что приводит к бесполезному расходу адресного пространства. На рис. 4 иллюстрируется бесполезный расход адресного пространства.
Рис. 4
На рис. 4 показано, что подсети NetA, NetC и NetD имеют большое количество неиспользованного адресного пространства. Это могло быть сделано преднамеренно при проектировании сети, чтобы обеспечить возможности для будущего роста, но во многих случаях это просто бесполезный расход адресного пространства из-за того, что для всех подсетей используется одна и та же маска подсети .
Маски подсетей переменной длины (VLSM) позволяют использовать различные маски для каждой подсети, что дает возможность более рационально распределять адресное пространство.
Пример VLSM
Если имеется точно такая сеть и требования, как в разделе «Пример упражнения 2», подготовьте схему организации подсетей с использованием адресации VLSM, учитывая следующее:
netA: must support 14 hosts netB: must support 28 hosts netC: must support 2 hosts netD: must support 7 hosts netE: must support 28 host
Определите, какую маску подсети следует использовать, чтобы получить требуемое количество узлов.
netA: requires a /28 (255.255.255.240) mask to support 14 hosts netB: requires a /27 (255.255.255.224) mask to support 28 hosts netC: requires a /30 (255.255.255.252) mask to support 2 hosts netD*: requires a /28 (255.255.255.240) mask to support 7 hosts netE: requires a /27 (255.255.255.224) mask to support 28 hosts * a /29 (255.255.255.248) would only allow 6 usable host addresses therefore netD requires a /28 mask.
Самым простым способом разделения на подсети является назначение сначала самой большой подсети. Например, подсети можно задать следующим образом:
netB: 204.15.5.0/27 host address range 1 to 30 netE: 204.15.5.32/27 host address range 33 to 62 netA: 204.15.5.64/28 host address range 65 to 78 netD: 204.15.5.80/28 host address range 81 to 94 netC: 204.15.5.96/30 host address range 97 to 98
Графическое представление приведено на рис. 5:
Рис. 5
На рис. 5 показано, как использование адресации VLSM помогает сохранить более половины адресного пространства.
Маршрутизация CIDR
Бесклассовая междоменная маршрутизация (CIDR) была предложена в целях улучшения использования адресного пространства и масштабируемости маршрутизации в Интернете. Необходимость в ней появилась вследствие быстрого роста Интернета и увеличения размера таблиц маршрутизации в маршрутизаторах сети Интернет.
CIDR переезжает от традиционных классов IP (Класс A, Класс B, Класс C, и так далее). IP-сеть представлена префиксом, который является IP-адресом, и каким-либо обозначением длины маски. Длиной называется количество расположенных слева битов маски, которые представлены идущими подряд единицами. Так сеть 172.16.0.0 255.255.0.0 может быть представлена как 172.16.0.0/16. Кроме того, CIDR служит для описания иерархической структуры сети Интернет, где каждый домен получает свои IP-адреса от более верхнего уровня. Это позволяет выполнять сведение доменов на верхних уровнях. Если, к примеру, поставщик услуг Интернета владеет сетью 172.16.0.0/16, то он может предлагать своим клиентам сети 172.16.1.0/24, 172.16.2.0/24 и т. д. Однако при объявлении своего диапазона другим провайдерам ему достаточно будет объявить сеть 172.16.0.0/16.
Дополнительные сведения о маршрутизации CIDR см. в документах RFC 1518 и RFC 1519 .
Специальные подсети
31-разрядные Подсети
30-битная маска подсети допускает четыре IPv4 адреса: два адреса узла, одна сеть с нулями и один широковещательный адрес с единицами. Двухточечное соединение может иметь только два адреса узла. Нет реальной необходимости иметь широковещательные и нулевые адреса с каналами «точка-точка». 31-битная маска подсети допускает ровно два адреса узла и исключает широковещательные и нулевые адреса, таким образом сохраняя использование IP-адресов до минимума для двухточечных соединений.
См. RFC 3021 — Using 31-bit Prefixes on IPv4 Point-to-Point Links.
Маска 255.255.255.254 или/31.
Подсеть/31 может использоваться в реальных двухточечных соединениях, таких как последовательные интерфейсы или интерфейсы POS. Однако они также могут использоваться в широковещательных интерфейсах, таких как интерфейсы Ethernet. В этом случае убедитесь, что в этом сегменте Ethernet требуется только два IPv4 адреса.
Пример
192.168.1.0 и 192.168.1.1 находятся на подсети 192.168.1.0/31.
R1(config)#int gigabitEthernet 0/1
R1(config-if)#ip address 192.168.1.0 255.255.255.254
% Warning: use /31 mask on non point-to-point interface cautiously
Предупреждение печатается, так как gigabitEthernet является широковещательным сегментом.
32-разрядные Подсети
Маска подсети 255.255.255.255 (a/32 subnet) описывает подсеть только с одним IPv4 адресом узла. Эти подсети не могут использоваться для назначения адресов сетевым каналам связи, поскольку им всегда требуется более одного адреса на канал. Использование/32 строго зарезервировано для использования на каналах, которые могут иметь только один адрес. Примером для маршрутизаторов Cisco является интерфейс обратной связи. Эти интерфейсы являются внутренними и не подключаются к другим устройствам. Таким образом, они могут иметь подсеть/32.
Пример
interface Loopback0
ip address 192.168.2.1 255.255.255.255
Приложение
Пример конфигурации
Маршрутизаторы A и B соединены через последовательный интерфейс.
Маршрутизатор А
hostname routera ! ip routing ! int e 0 ip address 172.16.50.1 255.255.255.0 !(subnet 50) int e 1 ip address 172.16.55.1 255.255.255.0 !(subnet 55) int s 0 ip address 172.16.60.1 255.255.255.0 !(subnet 60) int s 0 ip address 172.16.65.1 255.255.255.0 (subnet 65) !S 0 connects to router B router rip network 172.16.0.0
Маршрутизатор В
hostname routerb ! ip routing ! int e 0 ip address 192.1.10.200 255.255.255.240 !(subnet 192) int e 1 ip address 192.1.10.66 255.255.255.240 !(subnet 64) int s 0 ip address 172.16.65.2 (same subnet as router A's s 0) !Int s 0 connects to router A router rip network 192.1.10.0 network 172.16.0.0
Таблица количество узлов/подсетей
Class B Effective Effective # bits Mask Subnets Hosts ------- --------------- --------- --------- 1 255.255.128.0 2 32766 2 255.255.192.0 4 16382 3 255.255.224.0 8 8190 4 255.255.240.0 16 4094 5 255.255.248.0 32 2046 6 255.255.252.0 64 1022 7 255.255.254.0 128 510 8 255.255.255.0 256 254 9 255.255.255.128 512 126 10 255.255.255.192 1024 62 11 255.255.255.224 2048 30 12 255.255.255.240 4096 14 13 255.255.255.248 8192 6 14 255.255.255.252 16384 2 Class C Effective Effective # bits Mask Subnets Hosts ------- --------------- --------- --------- 1 255.255.255.128 2 126 2 255.255.255.192 4 62 3 255.255.255.224 8 30 4 255.255.255.240 16 14 5 255.255.255.248 32 6 6 255.255.255.252 64 2 *Subnet all zeroes and all ones included. These might not be supported on some legacy systems. *Host all zeroes and all ones excluded.
Дополнительные сведения
Настройка трансляции сетевых адресов: Начало работы
Содержание
Введение
Предварительные условия
Требования
Используемые компоненты
Условные обозначения
Краткое описание работ по конфигурации и развертыванию NAT
Определение трансляции сетевых адресов внутри и вне интерфейсов
Пример: Разрешение доступа в Интернет внутренним пользователям
Настройка NAT для разрешения доступа в Интернет внутренним пользователям
Настройка NAT для разрешения доступа в Интернет внутренним пользователям с помощью функции перегрузки
Пример: Разрешение доступа к внутренним устройствам из Интернета
Настройка NAT, разрешающая доступ из Интернета к внутренним устройствам
Пример: Переадресация трафика TCP на другой TCP-порт или адрес
Настройка NAT для того, чтобы перенаправить трафик TCP на другой порт или адрес TCP
Пример: Использование NAT во время сетевых переходов
Настройка NAT для использования при сетевых переходах
Пример: Использование NAT в перекрывающихся сетях
Проверка работы NAT
Заключение
Дополнительные сведения
В данном документе описывается настройка трансляции сетевых адресов (NAT) в маршрутизаторах Cisco для использования в стандартных сетевых сценариях. Целевая группа данного документа – это пользователи, только начавшие работу с NAT.
Примечание. В данном документе под Интернет-устройством понимается устройство в любой внешней сети.
Требования
Чтобы использовать данный документ, необходимо знание терминов, использующихся в связи с NAT. Некоторые определения можно найти в документе NAT: Локальные и глобальные определения.
Используемые компоненты
Сведения, содержащиеся в данном документе, относятся к следующим версиям программного и аппаратного обеспечения:
Сведения, представленные в данном документе, были получены на тестовом оборудовании в специально созданных лабораторных условиях. При написании данного документа использовались только данные, полученные от устройств с конфигурацией по умолчанию. При работе с реально функционирующей сетью необходимо полностью осознавать возможные последствия выполнения команд до их применения.
Условные обозначения
Дополнительные сведения об условных обозначениях см. в разделе Технические советы Cisco. Условные обозначения.
При настройке NAT иногда сложно определить, с чего начать, особенно если пользователь только начал работу с NAT. Данное руководство поможет определить, чего ждать от NAT и каким образом провести его настройку.
Определите NAT внутри и вне интерфейсов.
Определите, чего вы пытаетесь достичь с помощью NAT.
Чтобы выполнить описанные выше действия, настройте NAT. На основании изменений на этапе 2 необходимо определить, какие функции использовать из представленных далее:
Проверка работы NAT.
В каждом из следующих примеров настройки NAT выполняются этапы 1-3 данного краткого руководства. В этих примерах описаны некоторые стандартные сценарии, по которым Cisco рекомендует развертывание NAT.
Первый этап развертывания NAT — определение внутренних и внешних интерфейсов NAT. Самым простым способом будет определить внутреннюю сеть как «inside», а внешнюю – как «outside». В то же время термины «внутренний» и «внешний» также являются условными. На следующем рисунке показан пример.
Возможно, вы хотите предоставить доступ в Интернет внутренним пользователям, но у вас нет достаточного количества допустимых адресов. Если все взаимодействия с Интернет-устройствами возникают из внутренних устройств, то нужен один допустимый адрес или пул допустимых адресов.
На следующем рисунке показана схема простой сети с внутренним и внешним интерфейсами маршрутизатора:
В этом примере NAT нужен затем, чтобы разрешить определенным внутренним устройствам (первым 31 из каждой подсети) создать связь с устройствами снаружи, преобразуя их недопустимый адрес в допустимый адрес или пул адресов. Пул задан как диапазон адресов от 172.16.10.1 до 172.16.10.63.
Теперь можно приступить к настройке NAT. Для выполнение описанных выше действий используйте функцию динамического NAT. При динамической трансляции сетевых адресов таблица трансляции в маршрутизаторе исходно является пустой и начинает заполняться после того, как трафик для трансляции проходит через маршрутизатор. (В отличие от функции статического NAT, где трансляция настраивается статически и помещается в таблицу трансляции без присутствия трафика).
В этом примере можно настроить NAT для трансляции каждого внутреннего устройства на уникальный допустимый адрес или для трансляции всех внутренних устройств на один допустимый адрес. Второй метод известен как перегрузка. Пример настройки каждого метода приведен ниже.
Настройка NAT для разрешения доступа в Интернет внутренним пользователям
Маршрутизатор NAT |
---|
interface ethernet 0 ip address 10.10.10.1 255.255.255.0 ip nat inside !--- Определяет Ethernet 0 с помощью IP-адреса в качестве внутреннего интерфейса NAT. interface ethernet 1 ip address 10.10.20.1 255.255.255.0 ip nat inside !--- Определяет Ethernet 1 с помощью IP-адреса в качестве внутреннего интерфейса NAT. interface serial 0 ip address 172.16.10.64 255.255.255.0 ip nat outside !--- Определяет serial 0 с помощью IP-адреса в качестве внешнего интерфейса NAT. ip nat pool no-overload 172.16.10.1 172.16.10.63 prefix 24 ! !--- Определяет пул NAT под названием "no-overload" с помощью ряда адресов !--- 172.16.10.1 - 172.16.10.63. ip nat inside source list 7 pool no-overload ! ! !--- Указывает на то, что адреса источников любых пакетов, полученных на внутреннем интерфейсе, !--- допускаемых в списке доступа 7, !--- преобразованы в адрес "no-overload" !--- вне пула NAT. access-list 7 permit 10.10.10.0 0.0.0.31 access-list 7 permit 10.10.20.0 0.0.0.31 !--- Список доступа 7 открывает доступ пакетам с адресами источника от !--- 10.10.10.0 до 10.10.10.31 и от 10.10.20.0 до 10.10.20.31. |
Примечание. Cisco настоятельно рекомендует не настраивать списки доступа, упоминаемые в командах NAT, с помощью команды permit any. Использование команды permit any может привести к тому, что NAT будет потреблять слишком большое количество ресурсов маршрутизатора, что вызовет проблемы с сетью.
В приведенной выше конфигурации следует отметить, что только первые 32 адреса из подсети 10.10.10.0 и первые 32 адреса из подсети 10.10.20.0 разрешены списком доступа 7 Таким образом, выполняется преобразование только этих исходных адресов. Внутренняя сеть может содержать другие устройства с другими адресами, которые не транслируются.
Последнее, что нужно сделать — это убедиться в надлежащей работе NAT.
Настройка NAT для разрешения доступа в Интернет внутренним пользователям с помощью функции перегрузки
Маршрутизатор NAT |
---|
interface ethernet 0 ip address 10.10.10.1 255.255.255.0 ip nat inside !--- Определяет Ethernet 0 с помощью IP-адреса в качестве внутреннего интерфейса NAT. interface ethernet 1 ip address 10.10.20.1 255.255.255.0 ip nat inside !--- Определяет Ethernet 1 с помощью IP-адреса в качестве внутреннего интерфейса NAT. interface serial 0 ip address 172.16.10.64 255.255.255.0 ip nat outside !--- Определяет serial 0 с помощью IP-адреса в качестве внешнего интерфейса NAT. ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24 ! !--- Определяет пул NAT под названием "ovrld" с помощью одиночного IP-адреса !--- 172.16.10.1. ip nat inside source list 7 pool ovrld overload ! ! ! ! !--- Указывает на то, что адреса источников любых пакетов, полученных на внутреннем интерфейсе, !--- допускаемых в списке доступа 7, будут транслированы в !--- адреса, вне пула NAT под названием "ovrld". !--- Трансляции будут перегружены, что позволит нескольким внутренним устройствам !--- транслироваться на один и тот же допустимый IP-адрес. access-list 7 permit 10.10.10.0 0.0.0.31 access-list 7 permit 10.10.20.0 0.0.0.31 !--- Список доступа 7 открывает доступ пакетам с адресами источника от !--- 10.10.10.0 до 10.10.10.31 и от 10.10.20.0 до 10.10.20.31. |
Заметьте, что выше во второй конфигурации пул NAT «ovrld» имеет диапазон только из одного адреса. Ключевое слово overload, используемое в команде ip nat inside source list 7 pool ovrld overload, позволяет NAT транслировать несколько внутренних устройств на один адрес в пуле.
Еще одной формой данной команды является команда ip nat inside source list 7 interface serial 0 overload, которая настраивает NAT для перегрузки по адресу, присвоенному последовательному интерфейсу 0.
После настройки перегрузки в маршрутизаторе накапливается достаточное количество данных протоколов высокого уровня (к примеру, номера портов TCP или UDP) для обратной трансляции глобального адреса на правильный локальный адрес. Определения глобального и локального адреса см. в NAT: Локальные и глобальные определения.
Последним действием является проверка работы NAT в должном порядке.
Может понадобиться обеспечить информационный обмен между устройствами внутренней сети и устройствами в Интернете, при котором соединение инициируется внешним устройством, например обмен сообщениями электронной почты. Для устройств в Интернете типично отправлять почту на почтовый сервер, находящийся во внутренней сети.
Настройка NAT, разрешающая доступ из Интернета к внутренним устройствам
В этом примере в первую очередь происходит определение внутренних и внешних интерфейсов NAT, как показано на сетевой диаграмме выше.
Во-вторых, определяется, что внутренние пользователи могут создавать связь с внешними устройствами. Необходимо, чтобы внешние устройства могли устанавливать связь только с внутренним почтовым сервером.
Третий этап — настройка NAT. Чтобы завершить начатый процесс, можно настроить статический и динамический NAT вместе. Дополнительная информация о настройке, описанной в данном примере, содержится в документе Одновременная настройка статического и динамического NAT.
Последним действием является проверка работы NAT в должном порядке.
Наличие веб-сервера во внутренней сети – это еще один пример, когда для устройств в Интернете может оказаться необходимым инициировать взаимодействие с внутренними устройствами. В некоторых случаях внутренний веб-сервер может быть настроен для взаимодействия с веб-трафиком через порт TCP, а не порт 80. К примеру, внутренний веб-сервер может устанавливать соединение через порт TCP 8080; в этом случае можно использовать NAT для перенаправления трафика, предназначенного для порта TCP 80 к порту TCP 8080.
После определения интерфейсов, как показано на схеме сети выше, NAT может перенаправлять внешние пакеты, предназначенные для адресов от 172.16.10.8:80 до 172.16.10.8:8080. Для этого можно транслировать номер порта TCP с помощью команды «static nat». Пример конфигурации приведен ниже.
Настройка NAT для того, чтобы перенаправить трафик TCP на другой порт или адрес TCP
Маршрутизатор NAT |
---|
interface ethernet 0 ip address 172.16.10.1 255.255.255.0 ip nat inside !--- Определяет Ethernet 0 с помощью IP-адреса в качестве внутреннего интерфейса NAT. interface serial 0 ip address 200.200.200.5 255.255.255.252 ip nat outside !--- Определяет serial 0 с помощью IP-адреса в качестве внешнего интерфейса NAT. ip nat inside source static tcp 172.16.10.8 8080 172.16.10.8 80 !--- Команда статического NAT, которая задает, чтобы все пакеты, полученные внутренним !--- интерфейсом с IP-адресом источника 172.16.10.8:8080, были преобразованы в !--- 172.16.10.8:80. |
Учтите, что описание настройки статической команды NAT указывает, что все пакеты, полученные внутренним интерфейсом с адресом источника 172.16.10.8:8080, будут преобразованы в 172.16.10.8:80. Это также подразумевает, что все пакеты, полученные внешним интерфейсом с адресом назначения 172.16.10.8:80, будут преобразованы в 172.16.10.8:8080.
Последним действием является проверка работы NAT в должном порядке.
Развертывание NAT может потребоваться для переадресования устройств сети или при замене одного устройства другим. Например, если все устройства в сети используют определенный сервер и этот сервер необходимо заменить новым сервером с новым IP-адресом, то перенастройка всех сетевых устройств, использующих новый адрес сервера, займет определенное время. Однако можно использовать NAT для настройки устройств, использующих старые адреса, чтобы транслировать их пакеты для связи с новым сервером.
После определения интерфейсов NAT, как показано выше, NAT может транслировать внешние пакеты, направленные на адреса старого сервера (172.16.10.8), и направлять их на новый адрес сервера. Обратите внимание, что новый сервер относится к другой сети LAN и устройства, находящиеся в этой сети или достижимые через нее (устройства из внутренней части сети), следует настроить на (по возможности) IP-адрес нового сервера.
Для этого можно использовать статическое преобразование сетевых адресов (NAT). Пример конфигурации приведен ниже.
Настройка NAT для использования при сетевых переходах
Маршрутизатор NAT |
---|
interface ethernet 0 ip address 172.16.10.1 255.255.255.0 ip nat outside !--- Определяет Ethernet 0 с помощью IP-адреса в качестве внешнего интерфейса NAT. interface ethernet 1 ip address 172.16.10.64 255.255.255.0 ip nat inside !--- Определяет Ethernet 1 с помощью IP-адреса в качестве внутреннего интерфейса NAT. interface serial 0 ip address 200.200.200.5 255.255.255.252 !--- Определяет интерфейс serial 0 с помощью IP-адреса. Этот интерфейс !--- не участвует в NAT. ip nat inside source static 172.16.50.8 172.16.10.8 !--- Указывает на то, что IP-адреса источников 172.16.50.8 любых пакетов, полученных на внутреннем интерфейсе, !--- будут преобразованы в 172.16.10.8. |
Обратите внимание на то, что команда внутреннего источника NAT в данном примере также подразумевает, что адрес назначения пакетов, полученных на внешнем интерфейсе, 172.16.10.8, будет преобразован в адрес 172.16.50.8.
Последним действием является проверка работы NAT в должном порядке.
Перекрытие сетей возникает, когда внутренним устройствам присваиваются IP-адреса, уже используемые другими устройствами в Интернете. Также перекрытие происходит, когда сливаются две компании, использующие в своих сетях IP-адреса RFC 1918 . Эти две сети должны общаться, желательно без необходимости переадресации своих устройств. Дополнительная информация о настройке NAT для этой цели содержится в документе Использование NAT в перекрывающихся сетях.
После настройки NAT убедитесь, что он работает, как нужно. Это можно сделать несколькими способами: с помощью сетевого анализатора, команд show или debug. Подробный пример проверки NAT содержится в документе Проверка работы и устранение основных неисправностей NAT.
В примерах в данном документе содержится краткое руководство, которое поможет настроить и развернуть NAT. К действиям, описанным в руководстве, относится следующее:
Определение NAT внутри интерфейсов и за их пределами.
Определение, чего вы пытаетесь достичь с помощью NAT.
Настройка NAT для выполнения задачи, сформулированной на этапе 2.
Проверка работы NAT.
В каждом из вышеуказанных примеров были использованы различные формы команды ip nat inside. Для этого также можно использовать команду ip nat outside, не забывая о порядке работы NAT. Примеры настройки с помощью команд ip nat outside содержатся в документе Пример настройки с использованием команды ip nat outside source list и ip nat outside source static.
Также в примерах выше представлено следующее:
Действие | команды |
---|---|
ip nat inside source |
|
Команда ip nat outside source |
|
Вопросы и ответы по Amazon VPC
Вопрос: Что такое VPC по умолчанию?
VPC по умолчанию – это логически изолированная виртуальная сеть в облаке AWS, которая автоматически создается для аккаунта AWS при первом выделении ресурсов Amazon EC2. Если инстанс будет запущен без указания идентификатора подсети, он запустится в VPC по умолчанию.
Вопрос: Каковы преимущества VPC по умолчанию?
При запуске ресурсов в VPC по умолчанию клиенты получают преимущества использования расширенных сетевых возможностей Amazon VPC (EC2‑VPC) и простоту эксплуатации облака Amazon EC2 (EC2‑Classic). Это позволяет менять группы безопасности на лету, выполнять фильтрацию исходящих данных с помощью групп безопасности, использовать несколько IP‑адресов и несколько сетевых интерфейсов без необходимости явно создавать VPC и запускать инстансы в рамках VPC.
Вопрос: Для каких аккаунтов доступно VPC по умолчанию?
Если аккаунт AWS был создан 18 марта 2013 г. или позднее, запускать ресурсы можно в облаке VPC по умолчанию. Ознакомьтесь с этим сообщением на форуме, чтобы узнать список регионов, в которых доступен набор возможностей облака VPC по умолчанию. Аккаунты, созданные до указанной даты, могут также использовать облака VPC по умолчанию в любых поддерживаемых регионах, где ранее не запускались инстансы EC2 или не выделялись ресурсы сервисов Elastic Load Balancing, Amazon RDS, Amazon ElastiCache или Amazon Redshift.
Вопрос: Как определить, настроен ли мой аккаунт на работу с облаком VPC по умолчанию?
Консоль Amazon EC2 отображает платформы, на которых можно запускать инстансы в выбранном регионе, а также наличие доступа к VPC по умолчанию в этом регионе. Убедитесь в том, что регион, который вы планируете использовать, выбран в навигационной панели. В панели управления консоли Amazon EC2 найдите пункт «Supported Platforms» (Поддерживаемые платформы) в разделе «Account Attributes» (Атрибуты аккаунта). Если в нем указаны два значения, EC2‑Classic и EC2‑VPC, можно запускать инстансы на любой из этих платформ. Если указано только одно значение, EC2‑VPC, запускать инстансы можно только на платформе EC2‑VPC. Идентификатор VPC по умолчанию будет указан в разделе «Account Attributes» (Атрибуты аккаунта), если аккаунт настроен на использование VPC по умолчанию. Чтобы получить описание поддерживаемых платформ, можно также использовать API EC2 DescribeAccountAttributes или интерфейс командной строки.
Вопрос: Нужны ли какие‑либо специальные знания об облаке Amazon VPC, чтобы использовать VPC по умолчанию?
Нет. Для запуска инстансов EC2, а также других ресурсов AWS в облаке VPC по умолчанию и управления ими можно использовать Консоль управления AWS, интерфейс командной строки AWS EC2 или API Amazon EC2. Сервис AWS автоматически создаст VPC по умолчанию и подсеть по умолчанию в каждой из зон доступности региона AWS. VPC по умолчанию подключается к интернет‑шлюзу, а инстансы автоматически получают публичные IP‑адреса, как и в случае с EC2‑Classic.
Вопрос: Какие различия существуют между инстансами, запущенными на платформах EC2‑Classic и EC2‑VPC?
См. раздел «Differences between EC2‑Classic and EC2‑VPC» Руководства пользователя EC2.
Вопрос: Обязательно ли создавать VPN‑подключение, чтобы использовать VPC по умолчанию?
Нет. VPC по умолчанию получает доступ в Интернет, а все инстансы, запущенные в подсетях по умолчанию в рамках VPC по умолчанию, автоматически получают публичные IP‑адреса. При желании к VPC по умолчанию можно добавить VPN‑подключение.
Вопрос: Можно ли создавать другие VPC и использовать их совместно с VPC по умолчанию?
Да. Чтобы запустить инстанс в VPC, отличном от доступного по умолчанию, необходимо указать в процессе запуска инстанса идентификатор подсети.
Вопрос: Можно ли создавать дополнительные подсети в VPC по умолчанию, например частные подсети?
Да. Чтобы запускать инстансы в подсетях, отличных от доступных по умолчанию, необходимо инициировать их запуск с помощью консоли или опции —subnet в интерфейсе командной строки, API или SDK.
Вопрос: Сколько облаков VPC по умолчанию мне доступно?
Клиенту предоставляется по одному облаку VPC по умолчанию в каждом из регионов AWS, где атрибут Supported Platforms имеет значение EC2‑VPC.
Вопрос: Какой диапазон IP‑адресов принадлежит VPC по умолчанию?
CIDR VPC по умолчанию – 172.31.0.0/16. Подсети по умолчанию используют CIDR /20 в рамках CIDR VPC по умолчанию.
Вопрос: Сколько подсетей по умолчанию доступно в облаке VPC по умолчанию?
Для каждой из зон доступности в облаке VPC по умолчанию создается одна подсеть по умолчанию.
Вопрос: Можно ли назначить какое‑либо из имеющихся VPC в качестве VPC по умолчанию?
В настоящий момент нет.
Вопрос: Можно ли назначить какую‑либо из имеющихся подсетей подсетью по умолчанию?
В настоящий момент нет.
Вопрос: Можно ли удалить VPC по умолчанию?
Да, VPC по умолчанию можно удалить. После удаления можно создать новое облако VPC по умолчанию непосредственно из консоли VPC или с помощью интерфейса командной строки (CLI). Это создаст новое VPC по умолчанию в конкретном регионе. При этом предыдущее VPC, которое было удалено, не восстанавливается.
Вопрос: Можно ли удалить подсеть по умолчанию?
Да, подсеть по умолчанию можно удалить. После удаления можно создать новую подсеть по умолчанию в зоне доступности с помощью интерфейса командной строки или SDK. При этом будет создана новая подсеть по умолчанию в указанной зоне доступности. При этом удаленная подсеть не восстанавливается.
Вопрос: У меня есть действующий аккаунт EC2‑Classic. Как получить облако VPC по умолчанию?
Самый простой способ получить облако VPC по умолчанию – создать новый аккаунт в регионе, где активировано облако VPC по умолчанию, или использовать существующий аккаунт в регионе, где вы ранее не были представлены, когда атрибут Supported Platforms для этого аккаунта в этом регионе имеет значение EC2‑VPC.
Вопрос: Я хочу активировать VPC по умолчанию для действующего аккаунта EC2. Это возможно?
Да. Однако мы можем активировать VPC по умолчанию для действующего аккаунта только в том случае, если у аккаунта нет ресурсов EC2‑Classic в данном регионе. Кроме того, требуется завершить в данном регионе работу всех выделенных ресурсов Elastic Load Balancing, Amazon RDS, Amazon ElastiCache и Amazon Redshift, не имеющих отношения к VPC. После того как аккаунт будет настроен на работу с VPC по умолчанию, все запуски ресурсов, выполняемые в будущем, включая инстансы, запускаемые сервисом Auto Scaling, будут происходить в облаке VPC по умолчанию. Чтобы запросить настройку существующего аккаунта на работу с VPC по умолчанию, перейдите в раздел «Account and Billing» (Аккаунт и счета), выберите «Service: Account -> Category: Convert EC2 Classic to VPC» (Сервис: аккаунт > Категория: преобразование EC2 Classic в VPC) и сформируйте запрос. Мы проверим запрос, существующие сервисы AWS, наличие EC2‑Classic и предоставим руководство по дальнейшим шагам.
Вопрос: Какое воздействие оказывает VPC по умолчанию на аккаунты IAM?
Если аккаунт AWS использует облако VPC по умолчанию, все аккаунты IAM, связанные с аккаунтом AWS, используют то же VPC по умолчанию, что и аккаунт AWS.
Технология преобразования сетевых адресов NAT
Одной из проблем в развитии сетей является ограниченное количество существующих IPv4 адресов — их около 4,3 миллиарда. С повсеместным распространением интернета и взрывообразным ростом количества пользователей, стало очевидно, что этого недостаточно. Возникла потребность в инструменте, способном решить эту проблему (по крайней мере до момента, когда будут внедрены IPv6) — и одним из таких инструментов стала технология NAT (Network Address Translation).
Что такое NAT
При проектировании сетей обычно применяются частные IP-адреса 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16. Их используют внутри сети площадки или организации для поддержания локального взаимодействия между устройствами, а не для маршрутизации во всемирной сети. Чтобы устройство с адресом IPv4 могло обратиться к другим устройствам или ресурсам через интернет, его частный адрес должен быть преобразован в публичный и общедоступный. Такое преобразование — это главное, что делает NAT, специальный механизм преобразования приватных адресов в общедоступные.
Поддержка NAT в сочетании с приватными IPv4 адресами стала эффективным способом сохранения общедоступных адресов IPv4. Механизм дает возможность многочисленным устройствам, каждое из которых имеет собственный приватный адрес, использовать единый общедоступный адрес IPv4. Дополнительным плюсом NAT является повышение уровня безопасности и конфиденциальности сети, за счет того, что он скрывает приватные адреса IPv4.
Маршрутизатор NAT можно настроить с одним или несколькими общедоступными IPv4-адресами, которые называют пулом NAT. При отправке трафика устройством из внутренней сети во внешнюю сеть, маршрутизатор преобразует его внутренний IPv4-адрес в один из адресов, входящих в состав пула. В результате действия такого механизма весь, исходящий из сети трафик внешние устройства «видят» с общедоступным адресом IPv4, который можно назвать NAT IP адресом.
Действие маршрутизатора NAT осуществляется на границе тупиковой сети, получившей название Stub-сети. Она связана с соседней сетью одним соединением, имеет один вход и один выход. При установлении связи между устройствами внутри и снаружи Stub-сети пакет отправляется пограничному маршрутизатору, который исполняет процесс NAT. В результате этого процесса внутренний приватный адрес устройства преобразуется в публичный наружный адрес, поддающийся маршрутизации.
Терминология NAT
В соответствии с принятой терминологией NAT внутренняя сеть понимается как набор сетей, которые подлежат терминологии. Под внешней понимают все другие сети.
Чтобы определить, что такое NAT-адрес, нужно учитывать его нахождение в частной сети или в интернете, а также тип трафика (входящий или исходящий). В зависимости от этих факторов устанавливаются следующие четыре обозначения:
- Inside local address (внутренний локальный) — видимый во внутренней сети адрес источника, собственный локальный адрес устройства.
- Inside global address (внутренний глобальный) — видимый из внешней сети адрес источника. При передаче трафика, например, с локального компьютера на веб-сервер, его Inside local address преобразуется маршрутизатором во внутренний глобальный адрес.
- Outside local address (внешний локальный) — видимый из внешней сети адрес получателя. Присвоенный хосту глобально маршрутизируемый адрес IPv4.
- Outside global address (внешний глобальный) — видимый из внутренней сети адрес получателя. Часто совпадает с локальным внешним адресом.
Нужно учитывать, что терминология NAT всегда строится с позиции устройства с транслируемым адресом.
Типы NAT
Для понимания, что такое NAT в сети, необходимо разобраться с классификацией трансляции. В частности, по способу сопоставления адресов, бывают такие типы трансляции NAT:
- Static NAT — статическая адресная трансляция. Предусматривает сопоставление между глобальными и локальными адресами «один к одному».
- Dynamic NAT — динамическая адресная трансляция. Сопоставление адресов осуществляется по принципу «многие ко многим».
- Port Address Translation (NAT Overload) — трансляция с использованием портов. Предусматривается многоадресное сопоставление.
Рассмотрим подробнее, что такое каждый из этих типов NAT.
Статический NAT
Этот тип NAT использует принцип «один к одному» при сопоставлении локальных и глобальных адресов. Настройки сопоставлений, установленные сетевым администратором, остаются неизменными. При отправке сетевыми устройствами трафика в интернет выполняется преобразование их внутренних локальных адресов в настроенные администратором глобальные внутренние адреса. Для внешних сетей устройства, которые работают во внутренней сети со статическим NAT, имеют общедоступные адреса IPv4.
Static NAT Type — это то, что хорошо подходит для веб-серверов, а также для устройств, которым необходим доступный из интернета согласованный адрес. Реализация статистического NAT требует наличия числа общедоступных адресов, достаточного для удовлетворения общего числа одновременных пользовательских сеансов.
Пример статической NAT таблицы:
Static NAT Table | |
Inside Local Address | Inside Global Adress |
192.168.1.2 | 208.165.17.5 |
192.168.1.3 | 208.165.17.6 |
192.168.1.4 | 208.165.17.7 |
Динамический NAT
Тип динамического NAT работает с пулом публичных адресов, которые назначаются на основе принципа «первым пришел, первым обслужен». При запросе внутренним устройством доступа к интернету динамическим NAT производится назначение из пула общедоступного адреса IPv4. Как и в случае со статическим, для динамического типа NAT необходимо достаточное число общедоступных адресов, чтобы удовлетворить совокупное число одновременных пользовательских сеансов.
Пример динамической NAT таблицы:
Dinamic NAT Table | |
Inside Local Address | Inside Global Adress |
192.168.1.2 | 208.165.17.5 |
Available | 208.165.17.6 |
Available | 208.165.17.7 |
Available | 208.165.17.8 |
Port Address Translation (PAT)
Это наиболее распространенный тип NAT. При использовании Port Address Translation NAT подключение осуществляет трансляцию нескольких приватных адресов на один или несколько общедоступных. Этот принцип используется в большинстве маршрутизаторов, которые устанавливаются дома у частных абонентов. Адрес назначается провайдером маршрутизатором. При этом одновременный доступ к интернету могут получать несколько домашних пользователей.
Применение PAT позволяет сопоставлять несколько адресов с одним или несколькими. Это возможно благодаря отслеживанию каждого приватного адреса по номеру порта. После начала сеанса TCP/IP устройство генерирует номер порта источника TCP или UDP, что позволяет идентифицировать сеанс. При получении пакета от клиента NAT-маршрутизатором, он однозначно идентифицирует перевод NAT, используя номер собственного исходного порта. Схема PAT гарантирует использование разных портов TCP устройствами для каждого сеанса. При поступлении ответа от сервера при этом типе NAT номер порта источника уже используется как номер порта получателя. Это позволяет маршрутизатору однозначно правильно передавать пакеты.
Маршрутизатор выполняет обработку каждого пакета и определяет устройство, с которого он выслан, используя номер порта. Адресом источника (Source Address) в этой схеме будет локальный адрес устройства с добавлением номера порта, который был назначен TCP/IP. Адресом назначения (Destination Address) при использовании TAP будет внешний локальный адрес с добавлением номера служебного порта, например, порта службы 80: HTTP. При ответе веб-сервера производится обратная трансформация адресов.
Часто на маршрутизаторе порты клиента изменяются, поскольку ранее назначенные порты могут закрепляться за другими работающими сеансами. В процессе NAT сессии PAT стремится сохранить исходный порт источника. Если же этот порт уже занят, выполняется назначение первого из доступных номеров. Поиск свободного номера начинается с начала группы портов 0–511, 512–1023 или 1024–65535. В случае если свободных портов не остается и имеется больше одного внешнего адреса в пуле адресов, PAT переходит на новый адрес для поиска исходного порта источника.
Между традиционным NAT и PAT есть существенные отличия. NAT осуществляет перевод IPv4-адреса на основе принципа «один к одному» между приватными и общедоступными IPv4-адресами. С другой стороны, PAT трансформирует и адрес, и номер порта. Перенаправление входящих пакетов в NAT интернете выполняется на заданный хостом IP-адрес источника. В схеме PAT предусматривается только один или небольшое число публично открытых адресов IPv4, поэтому перенаправление входящих данных осуществляется на основе NAT таблицы маршрутизатора.
Преимущества и недостатки NAT
Понимая, как работает NAT, можно выделить комплекс серьезных преимуществ, которые предоставляет этот механизм при организации сетей. В том числе к основным плюсам относятся такие свойства Network Address Translation:
- Сохранение зарегистрированной схемы адресации благодаря разрешению на приватизацию внутренних сетей. При использовании PAT возможно использование для внешних соединений одного общедоступного адреса IPv4 внутренними хостами. Эта схема требует малого количества внешних адресов для поддержки значительного числа внутренних хостов.
- Повышение гибкости коммуникации с интернетом. Обеспечение надежных сетевых подключений достигается благодаря многочисленным пулам адресов, пулам балансировки нагрузки и резервному копированию.
- Поддержка согласованной работы внутренних схем сетевой адресации. Если сеть не использует NAT и приватные адреса IPv4, то для изменения общей схемы адресов приходится проводить переадресацию всего комплекса хостов. Это может значительно повышать стоимость переадресации. При использовании NAT обеспечивается возможность сохранения действующей частной схемы адресов, что позволяет намного легче вносить изменения в общедоступную схему адресации. На практике это означает, например, возможность смены провайдера компании без внесения изменений в собственные внутренние клиенты.
- Поддержание высокого уровня сетевой безопасности. При использовании NAT частные сети не транслируют свою внутреннюю топологию и адреса, что повышает их надежность. При этом нужно учитывать, что NAT не является заменой решений сетевой безопасности, например, брандмауэра.
Особенностью NAT является организация прямого взаимодействия хостов в интернете с устройством, поддерживающим Network Address Translation, а не с фактическим хостом в локальной сети.
Тут выявляются некоторые недостатки механизма, в том числе:
- Определенное снижение производительности сети из-за увеличения задержке переключения при трансформации в пакетах каждого IPv4-адреса. Снижение производительности может быть чувствительным для VoIP и других протоколов реального времени.
- Потеря сквозной адресации, необходимой для работы ряда приложений и протоколов. Если приложение использует не квалифицированное доменное имя, а физические адреса, то пакеты не попадают к получателям через NAT-маршрутизатор. В некоторых случаях проблема устраняется при помощи статических сопоставлений NAT.
- Потеря сквозной трассировки IPv4. Из-за множества изменений адресов пакетов осложняется трассировка, определение и устранение неполадок.
- Осложнение работы IPsec и других протоколов туннелирования в результате изменения значений в заголовках, что затрудняет проверки целостности.
- Возможность нарушения работы stateless протоколов или служб, которые требуют инициирования TCP-соединений из внешней сети, если NAT-маршрутизатор не настроен для их поддержки.
В то же время NAT остается эффективным и удобным механизмом, применяемым для организации работы сетей с использованием адресов IPv4.
Подпишитесь на рассылку Смарт-Софт и получите скидку на первую покупку
За подписку мы также пришлем вам white paper «Основы кибербезопасности в коммерческой компании».
Email*
Подписаться
Адрес выбыл в известном направлении – Газета Коммерсантъ № 225 (6705) от 06.12.2019
Как стало известно “Ъ”, незадолго до прекращения деятельности по распределению IP-адресов Российский научно-исследовательский институт развития общественных сетей (РосНИИРОС) перевел внушительный их массив в пользу чешской компании с российскими корнями. По данным регистратора RIPE NCC, Reliable Communications получила от РосНИИРОС примерно 490 тыс. IPv4-адресов. На рынке такой пул оценивается в $9,8–12,25 млн.
РосНИИРОС, в сентябре объявивший о прекращении деятельности локального интернет-регистратора (Local Internet Registry, LIR), за полгода до этого переписал несколько сотен тысяч этих адресов на чешскую компанию Reliable Communications s.r.o., рассказал собеседник “Ъ”, знакомый с ситуацией. Факт передачи пула IP-адресов подтверждается записями в реестре RIPE NCC — регионального интернет-регистратора.
Reliable Communications s.r.o. получила от РосНИИРОС примерно 490 тыс. IPv4-адресов, подсчитал “Ъ”.
Reliable Communications s.r.o., согласно чешскому реестру юридических лиц, учреждена в 2014 году, а в 2018-м получила статус LIR, свидетельствуют данные RIPE NCC. По последним данным, 50% в чешской компании принадлежат Алексею Солдатову, еще 50% — структуре Private Equity Center s.r.o., принадлежащей Алексею Шкиттину. Эта структура также владеет российским ООО «Релком Групп», которое предлагает ряд услуг, в том числе продажу IPv4-адресов.
Алексей Солдатов, совладелец Reliable Communications s.r.o.,— полный тезка одного из пионеров рунета Алексея Солдатова, совпадает и дата рождения. Алексей Солдатов возглавлял вычислительный центр ИАЭ им. И. В. Курчатова, в котором зарождался советский и российский интернет и на базе которого возникла компьютерная сеть «Релком», позднее ставшая акционерным обществом.
С 2008 по 2010 год господин Солдатов занимал пост замглавы Минкомсвязи, он отказался от комментариев по телефону. В «Релком Групп», преемнике АО «Релком», не ответили “Ъ”. «РосНИИРОС должен был ликвидироваться в мае 2019 года, с момента начала ликвидации весь LIR замораживается и передается в общий пул RIPE NCC. Учитывая эту ситуацию, руководство РосНИИРОС приняло решение передать клиентов и адреса другим LIR»,— сообщил “Ъ” Алексей Шкиттин. IP Адреса переданы по стандартной процедуре трансфера, предусмотренной соглашением с RIPE NCC, утверждает он.
IPv4-адреса — ценный ресурс, учитывая их исчерпание в RIPE NCC 25 ноября. На вторичном рынке стоимость одного адреса составляет $20-$25. Таким образом, весь пул IP-адресов, полученный Reliable Communications s.r.o. от РосНИИРОС, может стоить $9,8–12,25 млн.
Учрежденный в 1992 году РосНИИРОС долгое время был почти монополистом по многим вопросам, связанным с интернетом. Позднее институт начал передавать полномочия другим структурам, в числе которых Ru-Center и компания MSK-IX (контролируется структурой «Ростелекома»). В сентябре институт объявил, что с 1 ноября прекращает деятельность как LIR (см. “Ъ” от 27 сентября).
После передачи адресов и прекращения деятельности РосНИИРОС в качестве LIR его бывшие клиенты, среди которых госструктуры, оказались вынуждены платить за использование IPv4 по более высоким тарифам, утверждает собеседник “Ъ”.
Этот факт подтвердил источник “Ъ” в одной из таких компаний, сама она отказалась от официальных комментариев. Условия, на которых состоялась передача, неизвестны, это могла быть и продажа. Кроме того, как слышал собеседник “Ъ” в интернет-отрасли, по документам РосНИИРОС якобы предоставлял «провайдеро-независимые блоки IP-адресов», тогда как на деле они продолжали быть закрепленными за LIR, то есть РосНИИРОС. Именно поэтому клиенты вынуждены платить Reliable Communications s.r.o. «аренду» за их использование, поясняет собеседник “Ъ”. Другие источники “Ъ” в интернет-отрасли слышали об этой ситуации.
По рынку давно ходила информация о скором закрытии LIR РосНИИРОС, и было неясно, что делать с его клиентами, рассказывает исполнительный директор Общества защиты интернета Михаил Климарев: «Передача в чешский LIR как бы решает эту проблему, но, с другой стороны, ситуация выглядит не очень красиво по отношению к клиентам». Оценка переданного пула адресов в $9,8–12,25 млн «несколько лукавая», считает он: вряд ли провайдер сможет продать адреса по рыночным ценам.
Дмитрий Шестоперов
Почему сформировался вторичный рынок ключевых элементов сети
Читать далее
Пул адресов DHCP
Пулы адресов DHCP включают пулы общих и расширенных адресов.
Структура общего пула адресов
База данных общего пула адресов организована в виде дерева. Корень дерева — это пул адресов для естественных сетей, ветви — это пулы адресов для подсетей, а листья — это адреса, статически привязанные к клиентам. Для пулов адресов того же уровня ранее настроенный пул имеет более высокий приоритет выбора, чем новый.
В самом начале подсети наследуют параметры сети, а клиенты наследуют параметры подсети.Поэтому общие параметры, например адрес DNS-сервера, должны быть настроены на самом высоком (сетевом или подсетевом) уровне дерева.
После установления отношения наследования новая конфигурация на более высоком уровне (родительском) дерева будет:
Унаследовано, если более низкий уровень (дочерний) не имеет такой конфигурации, или
Переопределено, если нижний уровень (дочерний) имеет такую конфигурацию.
ПРИМЕЧАНИЕ: Пулы расширенных адресов на DHCP-сервере независимы друг от друга, и между ними не существует отношений наследования. Срок аренды IP-адреса не наследуется. | ||
Принципы выбора пула адресов
Сервер DHCP соблюдает следующие принципы выбора пула адресов при назначении IP-адреса клиенту:
Если есть пул адресов, в котором IP-адрес статически привязан к MAC-адресу или идентификатору клиента, DHCP-сервер выберет этот пул адресов и назначит статически привязанный IP-адрес клиенту.Для настройки этого пула адресов см. «Настройка статического распределения адресов».
Если принимающий интерфейс имеет ссылку на расширенный пул адресов, DHCP-сервер назначит IP-адрес из этого пула адресов. Если в пуле адресов нет IP-адреса, DHCP-сервер не сможет назначить адрес клиенту. Для настройки такого пула адресов см. «Настройка динамического распределения адресов для расширенного пула адресов».
В противном случае DHCP-сервер выберет наименьший общий пул адресов, который содержит IP-адрес принимающего интерфейса (если клиент и сервер находятся в одной подсети), или наименьший общий пул адресов, который содержит IP-адрес. указывается в поле giaddr запроса клиента (если агент ретрансляции DHCP находится между ними).Если в пуле адресов нет IP-адреса, DHCP-сервер не сможет назначить адрес клиенту, поскольку он не может назначить клиенту IP-адрес из родительского пула адресов. Для настройки такого пула адресов см. «Настройка динамического распределения адресов».
Например, на DHCP-сервере настроены два общих пула адресов: 1.1.1.0/24 и 1.1.1.0/25. Если IP-адрес интерфейса, получающего запросы DHCP, — 1.1.1.1/25, DHCP-сервер выберет IP-адреса для клиентов из пула адресов 1.1.1.0 / 25. Если в пуле адресов нет IP-адреса, DHCP-сервер не сможет назначить адреса клиентам. Если IP-адрес интерфейса, получающего запросы DHCP, — 1.1.1.130/25, DHCP-сервер выберет IP-адреса для клиентов из пула адресов 1.1.1.0/24.
ПРИМЕЧАНИЕ: Сохраняйте IP-адреса для динамического распределения в подсети, где находится интерфейс DHCP-сервера или агента ретрансляции DHCP, чтобы избежать неправильного назначения IP-адресов. | ||
Пул адресов DHCP
Каждый пул адресов DHCP имеет группу назначаемых IP-адресов и параметров конфигурации сети. Сервер DHCP выбирает IP-адреса и другие параметры из пула адресов и назначает их клиентам DHCP.
Механизмы назначения адресов
Настройте следующие механизмы назначения адресов по мере необходимости:
Распределение статических адресов —Вручную привяжите MAC-адрес или идентификатор клиента к IP-адресу в пуле адресов DHCP.Когда клиент запрашивает IP-адрес, DHCP-сервер назначает IP-адрес в статической привязке клиенту.
Динамическое выделение адресов —Укажите диапазоны IP-адресов в пуле адресов DHCP. После получения запроса DHCP сервер DHCP динамически выбирает IP-адрес из соответствующего диапазона IP-адресов в пуле адресов.
Существует два метода указания диапазонов IP-адресов в пуле адресов:
Метод 1 — укажите основную подсеть в пуле адресов и разделите подсеть на несколько диапазонов адресов, включая общий IP-адрес. диапазон и диапазоны IP-адресов для классов пользователей DHCP.
После получения запроса DHCP сервер DHCP находит класс пользователя, соответствующий клиенту, и выбирает IP-адрес в диапазоне адресов класса пользователя для клиента. Класс пользователя может включать несколько правил сопоставления, а клиент соответствует классу пользователя, если он соответствует любому из правил. В представлении пула адресов вы можете указать разные диапазоны адресов для разных классов пользователей.
DHCP-сервер выбирает IP-адрес для клиента, выполняя следующие шаги:
DHCP-сервер сравнивает клиента с классами пользователей DHCP в том порядке, в котором они настроены.
Если клиент соответствует классу пользователя, сервер DHCP выбирает IP-адрес из диапазона адресов класса пользователя.
Если соответствующий класс пользователя не имеет назначаемых адресов, DHCP-сервер сравнивает клиента со следующим классом пользователей. Если все соответствующие классы пользователей не имеют назначаемых адресов, DHCP-сервер выбирает IP-адрес из общего диапазона адресов.
Если клиент DHCP не соответствует ни одному классу пользователя DHCP, сервер DHCP выбирает адрес в диапазоне IP-адресов, заданном командой address range .Если диапазон адресов не имеет назначаемых IP-адресов или не настроен, присвоение адресов не выполняется.
ПРИМЕЧАНИЕ:
Все диапазоны адресов должны принадлежать основной подсети. Если диапазон адресов не находится в основной подсети, DHCP не может назначить адреса в диапазоне адресов.
Метод 2 —Укажите основную подсеть и несколько дополнительных подсетей в пуле адресов.
DHCP-сервер сначала выбирает IP-адрес из основной подсети. Если в основной подсети нет назначаемого IP-адреса, DHCP-сервер выбирает IP-адрес из дополнительных подсетей в том порядке, в котором они настроены.
Принципы выбора пула адресов
Сервер DHCP соблюдает следующие принципы выбора пула адресов для клиента:
Если существует пул адресов, в котором IP-адрес статически привязан к MAC адрес или идентификатор клиента, DHCP-сервер выбирает этот пул адресов и назначает клиенту статически привязанный IP-адрес и другие параметры конфигурации.
Если к принимающему интерфейсу применяется пул адресов, DHCP-сервер выбирает IP-адрес и другие параметры конфигурации из этого пула адресов.
Если пул статических адресов не настроен и пул адресов не применяется к принимающему интерфейсу, сервер DHCP выбирает пул адресов в зависимости от местоположения клиента.
Клиент в той же подсети, что и сервер. — DHCP-сервер сравнивает IP-адрес принимающего интерфейса с первичными подсетями всех пулов адресов.
Если совпадение найдено, DHCP-сервер выбирает пул адресов с самой длинной совпадающей основной подсетью.
Если совпадений не найдено, DHCP-сервер сравнивает IP-адрес с вторичными подсетями всех пулов адресов. Он выбирает пул адресов с самой длинной совпадающей вторичной подсетью.
Клиент на a другая подсеть , чем сервер — DHCP-сервер сравнивает IP-адрес в поле giaddr запроса DHCP с первичными подсетями всех пулов адресов. .
Если совпадение найдено, DHCP-сервер выбирает пул адресов с самой длинной совпадающей основной подсетью.
Если совпадений не найдено, DHCP-сервер сравнивает IP-адрес с вторичными подсетями всех пулов адресов. Он выбирает пул адресов с самой длинной совпадающей вторичной подсетью.
Например, два пула адресов 1.1.1.0/24 и 1.1.1.0/25 настроены, но не применяются ни к каким интерфейсам DHCP-сервера.
Если IP-адрес принимающего интерфейса 1.1.1.1/25, DHCP-сервер выбирает пул адресов 1.1.1.0/25. Если в пуле адресов нет доступных IP-адресов, DHCP-сервер не выберет другой пул, и присвоение адреса завершится ошибкой.
Если IP-адрес принимающего интерфейса — 1.1.1.130/25, DHCP-сервер выбирает IP-адреса для клиентов из пула адресов 1.1.1.0/24.
Рекомендуется убедиться, что первичная подсеть может быть сопоставлена, чтобы DHCP-сервер переключался на вторичные подсети только в том случае, если соответствующая первичная подсеть не имеет назначаемых IP-адресов.Если соответствует только вторичная подсеть, DHCP-сервер не выбирает IP-адрес из других вторичных подсетей, если соответствующая вторичная подсеть не имеет назначаемых адресов.
ПРИМЕЧАНИЕ: Чтобы обеспечить правильное распределение адресов, сохраните IP-адреса, используемые для динамического распределения, в подсети, где находится интерфейс DHCP-сервера или агента ретрансляции DHCP. если возможно. | ||
Пулы назначения адресов для управления абонентами | Руководство пользователя широкополосных абонентских сеансов
Пулы назначения адресов можно объединить в цепочку. для предоставления пулов резервных копий для назначения адресов.Выбран пул для подписчика, на основе RADIUS-сервера или соответствия сети, или какое-то другое правило называется совпадающим или совпадающим пулом для подписчика. Соответствующий пул может не быть первым (основным) пулом в цепочке. Когда нет доступных адресов для распределения из сопоставления или пул первичных адресов, маршрутизатор или коммутатор автоматически переходит к в другой пул адресов для поиска доступного адреса для выделения. Когда поиск нигде не обнаруживает доступных адресов, поиск останавливается, и адрес для абонента не выделяется.
Поведение поиска определяет не только то, как продвигается поиск по цепочке связанных пулов, но диапазоны адресов в каждом бассейн ищутся. В зависимости от того, где начинается поиск, ваша конфигурация, и были ли освобождены ранее выделенные адреса, поиск может продолжить работу в следующем связанном пуле адресов в цепочке или переместить обратно к первому пулу в цепочке.
Поиск доступного адреса начинается в пуле, который соответствует подписчику. Во многих случаях соответствующий пул также является первый пул в цепочке.Для некоторых подписчиков соответствующий пул дальше по цепочке. Например, вы можете настроить RADIUS сервер, чтобы указать второй пул цепочки, а не первый на основе некоторых критериев, которым он соответствует во время аутентификации. Для другой пример, вы можете указать разные диапазоны адресов для разных абонентские группы; соответствует ли конкретный пул подписчику затем зависит от того, какие пулы настроены для разных адресов диапазоны.
Следующие термины используются для объяснения деталей поиска. поведение:
lowAddress — наименьший адрес в заданном диапазоне в пределах адресный пул.
highAddress — Наивысший адрес в заданном диапазоне. в адресном пуле.
nextAddress — следующий адрес после последнего адреса. выделены в заданном диапазоне в пуле адресов. Это адрес ожидается, что будет выделен в следующий раз. Этот адрес, а также последний диапазон используется, сохраняется как отправная точка для поиска.
Например, предположим, что пул A имеет единственный диапазон, который включает следующие адреса: 192.0.2.1, 192.0.2.2, 192.0.2.3, 192.0.2.4. В этом случае 192.0.2.1 — это lowAddress, а 190.0.2.4 — highAddress. Если 192.0.2.2 был последним адресом, выделенным из этого пула, то nextAddress это 192.0.2.3.
Начиная с версии 18.1R1 ОС Junos, вы можете настроить связанные пулы для поиска одним из двух способов:
Непрерывное выделение адресов — это значение по умолчанию. поведение. Выполняется поиск по всем адресам в каждом диапазоне пула. В поиск начинается в сопоставленном пуле, затем переходит к первому пулу в цепочка и, при необходимости, продолжается последовательно через каждый связанный пул до последнего пула в цепочке.В каждом пуле все адреса во всех диапазоны ищутся на свободный адрес. Этот метод включает адреса быть назначенными непрерывно; каждый бассейн должен быть заполнен перед другим бассейн ищется.
Распределение несмежных (агрегированных) адресов — поведение когда настроен оператор
связанного пула-агрегации
. Изначально только определенные адреса (от nextAddress до highAddress) ищутся в каждом диапазоне сопоставленного пула. Тот же поиск выполняется в связанном пуле и, при необходимости, продолжается до каждый связанный пул последовательно с последним пулом в цепочке.Затем поиск возобновляется в первом пуле в цепочке (не обязательно подобранный пул). На этот раз все адреса во всех диапазонах ищутся во всех пулах до конца цепочки.
Это основная функциональность, но детали обоих поисков довольно сложные. На рисунке 1 показано поведение поиска по умолчанию.
Рисунок 1: По умолчанию Назначение адресов из связанных пулов адресовНапример, предположим, что существуют следующие условия:
Связанные пулы адресов A, B, C и D.Пул C совпадает.
Каждый пул имеет три диапазона адресов: r1, r2, r3. Последний использованный диапазон был r2 в каждом пуле.
Если свободный адрес не найден, поиск происходит следующим образом: C> A> B> C> D, затем останавливается.
Выполняется поиск пула C, nextAddress через highAddress в диапазон r2.
Поиск в пуле C, lowAddress через nextAddress в диапазон r2.
Выполняется поиск пула C, nextAddress через highAddress в диапазон r3.
Поиск в пуле C, lowAddress через nextAddress в диапазон r3.
Выполняется поиск пула C, nextAddress через highAddress в диапазон r1.
Поиск в пуле C, lowAddress через nextAddress в диапазон r1.
Были найдены все диапазоны и адреса в пуле C, поэтому поиск переходит к первому пулу в цепочке, A.
Выполняется поиск пула A, nextAddress через highAddress в диапазон r2.
Выполняется поиск пула A, lowAddress через nextAddress в диапазон r2.
Выполняется поиск пула A, nextAddress через highAddress в диапазон r3.
Выполняется поиск пула A, lowAddress через nextAddress в диапазон r3.
Выполняется поиск пула A, nextAddress через highAddress в диапазон r1.
Выполняется поиск пула A, lowAddress через nextAddress в диапазон r1.
Все диапазоны и адреса в пуле A были найдены, поэтому поиск переходит к следующему связанному пулу в цепочке B.
Этот процесс продолжается до тех пор, пока все адреса во всех диапазонах в все пулы были обысканы. Порядок поиска пула: C> A> B> C> D, тогда останавливается. В зависимости от того, где и находится ли адрес, соответствующий пул может быть просмотрен дважды. Это верно, если только соответствующий пул — это первый пул в цепочке. Например, если пул A — соответствующий пул в этом наборе условий, тогда полный поиск (при условии, что адрес не найден) будет A> B> C> D.
На рисунке 2 показано поведение поиска при включении оператора connected-pool-aggregation
.
Например, предположим, что существуют те же условия, что и для пример по умолчанию:
Связанные пулы адресов A, B, C и D. Сопоставлены пулы C.
Каждый пул имеет три диапазона адресов: r1, r2, r3. Последний использованный диапазон был r2 в каждом пуле.
Если свободный адрес не найден, поиск происходит следующим образом: C> D> A> B> C> D, затем останавливается.
Выполняется поиск пула C, nextAddress через highAddress в диапазон r2.
Выполняется поиск пула C, nextAddress через highAddress в диапазон r3.
Выполняется поиск пула C, nextAddress через highAddress в диапазон r1.
Все диапазоны в пуле C были найдены от nextAddress до highAddress, поэтому поиск переходит к следующему связанному пулу в цепочке, Д.
Выполняется поиск пула D, следующий адрес через высокий адрес в диапазон r2.
Выполняется поиск пула D, следующий адрес через высокий адрес в диапазон r3.
Выполняется поиск пула D, следующий адрес через высокий адрес в диапазон r1.
Все диапазоны в пуле D были найдены со следующего адреса до highAddress. Пул D — последний в цепочке, поэтому поиск перемещается к первому бассейну в цепочке, A.
Поиск в пуле A, lowAddress через highAddress в диапазон r2.
Поиск в пуле A, lowAddress через highAddress в диапазон r3.
Поиск в пуле A, lowAddress через highAddress в диапазон r1.
Все диапазоны и адреса в пуле A были найдены, поэтому поиск переходит к следующему связанному пулу в цепочке, B.
Поиск в пуле B, lowAddress через highAddress in диапазон r2.
Поиск в пуле B, низкий адрес через высокий адрес в диапазон r3.
Поиск в пуле B, низкий адрес через высокий адрес в диапазон r1.
Были найдены все диапазоны и адреса в пуле B, поэтому поиск переходит к следующему связанному пулу в цепочке, C.
Этот процесс продолжается до тех пор, пока все адреса во всех диапазонах в все пулы были обысканы. Порядок поиска пула: C> D> A> B> C> D, затем останавливается. В зависимости от того, где и находится ли адрес найден, все пулы могут быть просмотрены дважды, даже если соответствующий пул это первый пул в цепочке. Например, если пул A соответствует пул в этом наборе условий, то полный поиск (при условии адрес не найден) будет A> B> C> D> A> B> C> D.
Создание пула IP-адресов — SNRS
Последнее обновление среда, 06 янв.2021 г. | SNRSУдаленные клиенты
Удаленные клиенты
Удаленный пул с 10.0.1.100 по 10.0.1.150
Удаленный пул с 10.0.1.100 по 10.0.1.150
R1 (конфигурация) # локальный пул ip Remote-Pool 10.0.1.100 10.0.1.150
Создание пула локальных адресов необязательно, если вы используете внешний DHCP-сервер.
© 2007 Cisco Systems, Inc. Все права защищены.
Если вы используете локальный пул IP-адресов, вам необходимо настроить этот пул с помощью команды ip local pool.
Чтобы настроить локальный пул IP-адресов, который будет использоваться при подключении удаленного узла к двухточечному интерфейсу, выполните следующие действия.
Шаг 1 Создайте локальный пул и определите диапазон адресов для клиентов.
R1 (config) # ip local pool {default | poolname} [low-ip-address [high-ip-address]] [group-name-name] [размер кеш-памяти]
Описание синтаксиса
по умолчанию | Создает пул локальных IP-адресов по умолчанию, который используется, если не указан другой пул. |
имя пула | Имя локального пула IP-адресов |
низкий IP-адрес [высокий IP-адрес] | Первый и, необязательно, последний адрес в диапазоне IP-адресов |
группа название группы | (Необязательно) Создает группу пулов |
размер кеш-памяти | (Необязательно) Устанавливает количество записей IP-адресов в свободном списке, которые система проверяет перед назначением нового IP-адреса. Возвращенные IP-адреса помещаются в конец свободного списка.Перед назначением нового IP-адреса пользователю система проверяет количество записей с конца списка (как определено параметром размера кэша), чтобы определить, что для этого пользователя нет возвращенных IP-адресов. Диапазон размера кэша — от 0 до 100. Размер кэша по умолчанию — 20. |
4-312 Защита сетей с помощью маршрутизаторов и коммутаторов Cisco (SNRS) v2.0 © 2007 Cisco Systems, Inc.
Используйте команду ip local pool для создания одного или нескольких пулов локальных адресов, из которых назначаются IP-адреса при подключении однорангового узла.Вы также можете добавить другой диапазон IP-адресов в существующий пул. Чтобы использовать именованный пул IP-адресов на интерфейсе, используйте команду настройки интерфейса пула IP-адресов по умолчанию для однорангового узла. Имя пула также может быть назначено конкретному пользователю с помощью функций AAA RADIUS и TACACS.
Если именованный пул локальных IP-адресов не создан, пул адресов по умолчанию используется на всех двухточечных интерфейсах после выполнения команды локальной глобальной конфигурации ip address-pool local. Если явный пул IP-адресов не назначен, но использование пула запрашивается с помощью локальной команды ip address-pool, используется специальный пул с именем «default».
Необязательное ключевое слово группы и соответствующее имя группы позволяют связать пул IP-адресов с именованной группой. Любой пул IP-адресов, созданный без ключевого слова group, автоматически становится членом базовой системной группы.
Имя пула IP-адресов может быть связано только с одной группой. Последующее использование того же имени пула в группе пулов рассматривается как расширение этого пула, и любая попытка связать существующее имя пула локальных IP-адресов с другой группой пула отклоняется.Следовательно, каждое использование имени пула является неявным выбором связанной группы пула.
Примечание. Чтобы уменьшить вероятность случайного создания повторяющихся адресов, система позволяет создавать специальный пул с именем «default» только в базовой системной группе; то есть нельзя указать имя группы с именем пула «default».
Все пулы IP-адресов в группе пулов проверяются для предотвращения перекрытия адресов; однако никакие проверки не выполняются между любым членом пула группы и пулом, не входящим в группу.Спецификация именованного пула в группе пулов допускает существование перекрывающихся IP-адресов с пулами в других группах и с пулами в базовой системной группе, но не между пулами внутри группы. В противном случае обработка пулов IP-адресов не зависит от их членства в группе. В частности, эти имена пулов могут быть указаны в командах одноранговых узлов и возвращены в функциях RADIUS и AAA без специальной обработки.
пулов IP-адресов могут быть связаны с VPN. Эта ассоциация позволяет гибкие спецификации пула IP-адресов, которые совместимы с VPN и экземпляром маршрутизации и пересылки (VRF) VPN.
Пулы IP-адресов также могут использоваться с командами преобразования для одношаговых соединений vty-async и в некоторых функциях авторизации AAA или TACACS +.
пулов IP-адресов отображаются с помощью команды show ip local pool в режиме EXEC.
© 2007 Cisco Systems, Inc. Защищенное подключение 4-313
Продолжите чтение здесь: Настройка поиска групповой политики
Была ли эта статья полезной?
Устранение ошибки коммутатора и маршрутизатора Cisco «Пул DHCP-сервера исчерпан — пуст» — ошибка назначения IP-адреса клиента
В предыдущих статьях мы показали, как можно настроить маршрутизатор Cisco или коммутатор Catalyst для предоставления услуг DHCP-сервера сетевым клиентам.Обычно все работает без проблем, однако бывают случаи, когда сервер Cisco DHCP перестает назначать IP-адреса , и нам нужно разобраться в проблеме и решить ее как можно быстрее. Системные сообщения, такие как « POOL EXHAUSTED », « ASSIGNMENT FAILURE » и « address pool Guest-VLAN is empty », предоставляют некоторую базовую информацию, однако для определения реальной причины требуется дальнейшее расследование.
В небольших сетях обычно настроены службы DHCP на маршрутизаторах Cisco, в то время как в крупных сетях (с несколькими виртуальными локальными сетями) службы DHCP назначаются на свои магистральные коммутаторы уровня 3 (Catalyst 6500, 4500, 3750 и т. Д.).Хорошая новость заключается в том, что команды настройки и отладки идентичны как для коммутаторов Cisco Catalyst, так и для маршрутизаторов Cisco.
Отладка DHCP-сервера на коммутаторе Cisco Catalyst и маршрутизаторе Cisco
Первыми симптомами проблем с DHCP-сервером являются жалобы пользователей на то, что они не могут подключиться к сети, потому что у них нет IP-адреса, и именно здесь начинается самое интересное.
Предполагая, что в конфигурацию DHCP-сервера Cisco не было внесено никаких изменений, лучший способ устранить проблему — включить отладку на DHCP-сервере. debug ip dhcp events & debug ip dhcp server packets are полезные команды отладки, которые помогут нам определить, что происходит:
4507R + E # пакеты сервера debug ip dhcp
4507R + E # события сервера debug ip dhcp
6 ноября 13: 46: 26.742: DHCPD: отправка уведомления DISCOVER:
6 ноября 13: 46: 26.742: DHCPD: htype 1 chaddr 34bb.1f9b.17f9
6 ноября 13:46: 26.742: DHCPD: giaddr = 192.168.7.10
6 ноября 13:46:26.742: DHCPD: interface = Vlan7
6 ноября 13: 46: 26.742: DHCPD: идентификатор класса 426c61636b4265727279
6 ноября 13: 46: 26.742: DHCPD: out_vlan_id 0
6 ноября 13: 46: 26.742: DHCPD: отправка уведомления DISCOVER:
6 ноября 13: 46: 26.742: DHCPD: htype 1 chaddr 34bb.1f9b.17f9
6 ноября 13: 46: 26.742: DHCPD: giaddr = 192.168.7.10
6 ноября 13: 46: 26.742: DHCPD: interface = Vlan7
6 ноября 13:46: 26.742: DHCPD: идентификатор класса 426c61636b4265727279
6 ноября 13: 46: 26.742: DHCPD: out_vlan_id 0
6 ноября 13:46:26.742: DHCPD: подсеть [192.168.7.1,192.168.7.254] в пуле адресов Guest-WiFi-VLAN пуста .
6 ноября 13: 46: 26.742: DHCPD: отправка уведомления об ошибке назначения :
6 ноября 13: 46: 26.742: DHCPD: htype 1 chaddr 34bb.1f9b.17f9
6 ноября 13: 46: 26.742: DHCPD: удаленный id 020a0000c0a8070107000000
6 ноября 13: 46: 26.742: DHCPD: giaddr = 192.168.7.10
6 ноября 13: 46: 26.742: DHCPD: interface = Vlan7
6 ноября 13: 46: 26.742: DHCPD: идентификатор класса 426c61636b4265 ноября 727 6279
: 46: 26.742: DHCPD: out_vlan_id 0
6 ноября 13: 46: 26.742: DHCPD: отправка уведомления о ASSIGNMENT_FAILURE :
6 ноября 13: 46: 26.742: DHCPD: из-за: ПУЛ ИСЧЁТ
Ключевая информация, предоставленная нашей отладкой, — это , выделенное жирным шрифтом . Эта информация говорит нам, что наш пул адресов с именем Guest-WiFi-VLAN является пулом DHCP, где у нас есть проблема, потому что пул пуст , что означает, что у DHCP-сервера больше нет свободных IP-адресов для назначения новым клиентам.
Следующий шаг — понять, почему больше нет свободных IP-адресов. Распространенная причина заключается в том, что в конкретной VLAN, запрашивающей IP-адреса, больше клиентов, чем может назначить DHCP-сервер. Посмотрим, так ли это.
Сначала мы смотрим на настроенный диапазон IP-адресов для этой VLAN / пула. Обратите внимание, что наша гостевая VLAN назначена на VLAN7:
. 4507R + E # show run
… вывод опущен ….
!
ip dhcp исключенный-адрес 192.168.7.1 192.168.7.20
!
ip dhcp pool Guest-WiFi-VLAN
network 192.168.7.0 255.255.255.0
default-router 192.168.7.1
dns-server 8.8.8.8 8.8.4.4
lease 0 2
!
… вывод опущен Глядя на конфигурацию нашего DHCP-сервера, мы зарезервировали первые 20 IP-адресов из сети класса C 192.168.7.0, в результате чего осталось 234 доступных IP-адреса . В то же время наш DHCP-сервер настроен на предоставление 2-часовой аренды (аренда 0 2) для каждого IP-адреса.Это означает, что каждые 2 часа аренда DHCP автоматически возобновляется между DHCP-сервером и клиентом — при условии, что клиент все еще подключен к сети. Если клиент отключается от сети, когда наступает время обновления, назначенный IP-адрес затем освобождается сервером DHCP, перемещается обратно в пул DHCP VLAN и становится доступным для назначения другому клиенту.
Давайте проверим и посмотрим, скольким клиентам был назначен IP-адрес для VLAN7:
4507R + E # показать привязку ip dhcp | inc Vlan7
IP-адрес Идентификатор клиента / Аппаратный адрес Срок действия аренды Тип Состояние Интерфейс
192.168.7.81 019c.65b0.3760.e3 6 ноября 2014 г. 17:19 Автоматический активный Vlan7
192.168.7.92 012c.2997.58a3.b5 6 ноября 2014 г. 17:42 Автоматический активный Vlan7
192.168.7.134 0114.8fc6.bd62.f2 6 ноября 2014 16:41 Автоматическая активная Vlan7
Мы должны начать с объяснения того, что канал, используемый в команде show ip dhcp binding | inc Vlan7 помогает нам фильтровать вывод, который будет предоставлен, чтобы мы видели только ту информацию, которая включает слово Vlan7 .Если бы мы не включили | inc Vlan7 filter, командная строка будет возвращать информацию DHCP для других Vlan — при условии, что коммутатор был настроен для них как DHCP-сервер.
Результат неожиданно показывает нам, что у нас есть только 3 клиента , которым были назначены IP-адреса. Итак, вопрос теперь в том, куда делись все остальные IP-адреса 231 (234-3)?
Еще одна полезная команда для проверки использования пула DHCP — это команда show ip dhcp pool .Он обеспечивает общее использование пула вместе с общими адресами, арендованными и исключенными адресами:
4507R + E # show ip dhcp pool
Pool Guest-WiFi-VLAN:
Оценка использования (высокая / низкая): 100/0
Размер подсети (первая / следующая): 0/0
Всего адресов: 254
Арендованных адресов : 3
Исключенные адреса: 251
Ожидающее событие: нет
В пуле сейчас 1 подсеть:
Текущий диапазон IP-адресов индекса Арендованный / Исключенный / Всего
0.0.0.0 192.168.7.1 — 192.168.7.254 3/231/254
Здесь мы снова можем подтвердить, что из общего числа 254 IP-адресов 251 исключены, и 3 взяты в аренду . Обратите внимание, что исключенных адресов включает вручную исключенные и конфликтующие IP-адреса.
Столбец Текущий индекс показывает следующий IP-адрес, который будет назначен DHCP-сервером. При нормальной работе мы ожидаем увидеть IP-адрес в пределах 192.168.7.0, однако значение 0.0.0.0 означает, что больше нет доступных IP-адресов для аренды.
Следующим шагом будет проверка DHCP-сервера на возможные конфликты с помощью команды show ip dhcp конфликт — мы обязательно найдем что-нибудь здесь:
4507R + E # показать конфликт ip dhcp
IP-адрес Метод обнаружения Время обнаружения VRF
192.168.7.59 Ping 10 сентября 2014 06:17 AM
192.168.7.62 Ping 10 сентября 2014 г. 06:35
192.168.7.21 Gratuitous ARP 10 Sep 2014 09:58 AM
192.168.7.67 Gratuitous ARP 10 Sep 2014 10:54 AM
192.168.7.69 Gratuitous ARP 10 сентября 2014 12:08
192.168.7.96 Gratuitous ARP 10 сен 2014 12:11
192.168.7.100 Ping 10 сентября 2014 13:37
192.168.7.129 Gratuitous ARP 11 сентября 2014 02:13 AM
192.168.7.156 Gratuitous ARP 11 сентября 2014 02:19
192.168.7.164 Gratuitous ARP 11 сентября 2014 04:52
192.168.7.158 Gratuitous ARP 11 сентября 2014 г., 05:46
192.168.7.230 Gratuitous ARP 11 сентября 2014 16:35
192.168.7.236 Gratuitous ARP 11 сентября 2014 21:00
… вывод пропущен
Для экономии места нам пришлось удалить остальную часть вывода команды. Как ни странно, мы обнаружили, что все 231 IP-адрес были перечислены в таблице конфликтов dhcp . Как показано выше, IP-адреса перечислены по дате конфликта , причем более старые записи показаны первыми.
Общие сведения о таблице конфликтов DHCP и функциях DHCP-сервера Cisco
Перед тем, как сервер Cisco DHCP передает IP-адрес клиенту, он всегда передает ARP , а затем проверяет адрес , чтобы убедиться, что его никто не использует.
Когда DHCP-сервер Cisco обнаруживает конфликт, он помещает IP-адрес в таблицу конфликтов, указывая, что адрес был конфликтующим и как он пришел к такому выводу, как указано в столбце Метод обнаружения .
Если по какой-либо причине клиент, который уже использует IP-адрес, который собирается передать DHCP-сервер Cisco, не отвечает на эхо-запрос от DHCP-сервера, DHCP-сервер сдает IP-адрес в аренду, поскольку он не может выявить любые конфликтные проблемы.
Первое, что сделает клиент после завершения назначения IP-адреса, — это отправит бесплатное сообщение ARP со своим новым IP-адресом. Если ответ не получен, можно с уверенностью предположить, что никто другой его не использует.Однако, если он действительно получает безвозмездный ответ ARP , то он укажет, что другое устройство в сети уже использует этот адрес .
Предполагая, что получен беспричинный ответ ARP , клиент отправит сообщение DECLINE на DHCP-сервер , отклонив IP-адрес, который он только что назначил. Поскольку Cisco DHCP-сервер обнаружил два безвозмездных сообщения ARP и обнаружил конфликт, он переместит IP-адрес в свою таблицу конфликтов и назначит клиенту следующий доступный IP-адрес .
Очистка таблицы конфликтов IP-адресов DHCP
Когда DHCP-сервер обнаруживает конфликт IP-адреса до или сразу после его назначения клиенту, он автоматически удаляет IP-адрес из пула DHCP и перемещает его в таблицу конфликтов DHCP . Рассматриваемый IP-адрес останется там до тех пор, пока администратор не увидит и не очистит таблицу конфликтов DHCP .
Если конфликты DHCP происходят часто, это только вопрос времени, пока все доступные IP-адреса не будут перемещены в таблицу конфликтов DHCP , а пул DHCP будет оставлен пустым .
Мы можем очистить таблицу конфликтов DHCP с помощью команды clear ip dhcp conflict * . Это даст указание серверу DHCP очистить таблицу конфликтов и вернуть все IP-адреса в пул DHCP. Если у нас несколько VLAN и пулов, команда также повлияет на них:
4507R + E # очистить конфликт ip dhcp *4507R + E # показать конфликт ip dhcp
IP-адрес Метод обнаружения Время обнаружения VRF
4507R + E #
Выполнение команды show ip dhcp конфликт подтверждает, что в таблице больше нет IP-адресов.
Команда show ip dhcp pool теперь покажет все ранее конфликтующие IP-адреса, доступные для передачи нашим клиентам.
или
Управление трафиком — Пулы адресов
Вернуться к настройке управления трафиком
Отображает организованные группы хостов, а также IP-адреса и состояние агента для каждого хоста в каждом пуле. Когда создается пул адресов, также создается региональное правило для соответствия каждому пулу адресов.См. Раздел «Региональные правила» этого документа для получения дополнительной информации об этой функции.
При первом добавлении службы управления трафиком раздел «Пулы адресов» содержит глобальный пул без каких-либо хостов.
Добавление хоста в пулы адресов
1. Выберите Добавить адрес в этот пул | |
2. Выберите Добавить , чтобы добавить адрес первого хоста в диспетчер трафика. | |
3. Выберите Добавить , чтобы добавить адрес первого хоста в диспетчер трафика. | |
4. Используйте следующую информацию для заполнения формы пула адресов: Метка — Дополнительное поле, используемое для идентификации этого хоста в адресном пуле. Режим обслуживания — Выберите один из четырех вариантов. Нажмите для получения дополнительной информации
Статус — Значки отображают текущее состояние пула адресов. См. Таблицу состояния агента на странице «Управление трафиком — состояние». Адрес — Введите IP-адрес или CNAME хоста, который вы добавляете в пул. Вес — Выберите, сколько раз вы хотите, чтобы этот хост обслуживался от DNS из пула доступных хостов. Нажмите, чтобы увидеть пример Например: При весе 2 IP-адрес 172.30.1.1 будет обслуживаться DNS 2 раза из 5. Каждый IP-адрес 172.30.1.2, 172.30.1.3, 172.30.1.4 будет обслуживаться 1 раз из 5.
Состояние агента — Значки отображают текущее состояние пула адресов. См. Таблицу состояния агента на странице «Управление трафиком — состояние». | |
5. Выберите значок Сохранить , чтобы завершить добавление хоста в диспетчер трафика. | Сохранить Иконку: |
6. Выберите значок Отмена , чтобы закрыть форму без сохранения. | Значок отмены: |
Перейти к региональным правилам Просмотр
Настройка пулов статических IP-адресов в структуре VMM
- 5 минут на чтение
В этой статье
Важно
Эта версия Virtual Machine Manager (VMM) достигла конца поддержки, мы рекомендуем вам перейти на VMM 2019.
В этой статье описывается, как настроить пулы статических IP-адресов для логических сетей и сетей виртуальных машин в сетевой структуре System Center — Virtual Machine Manager (VMM).
Примечание
При создании пула статических IP-адресов в VMM не используйте диапазон IP-адресов (которым управляет пул) вне VMM в той же среде.
При настройке логической сети вам необходимо настроить пул статических IP-адресов, если вы не используете DHCP. В некоторых случаях вам потребуется создать пулы IP-адресов только в логической сети, а в других вам потребуется создать пул как в логической сети, так и в сети виртуальных машин:
- Пул в логической сети и сети виртуальных машин : если вы настраиваете логическую сеть для виртуализации сети, вам необходимо создать пулы IP-адресов в логической сети и сети виртуальных машин.
- Пул только в логической сети : Если вы используете VLAN или не используете изоляцию, вы можете использовать DHCP или создавать пулы IP-адресов только в логической сети. Они автоматически станут доступны в сети виртуальных машин.
- Импортированные пулы адресов : если вы используете внешние сети через консоль поставщика, ваши пулы IP-адресов будут импортированы от поставщика, и вам не нужно создавать их в VMM.
Создать пул статических адресов для логической сети
в Логические сети и пулы IP щелкните логическую сеть> Домашняя страница > Создать > Создать пул IP .
В Мастер создания пула статических IP-адресов > Имя укажите имя и описание. Убедитесь, что указана правильная логическая сеть.
В сетевом сайте выберите использование существующего сайта и выберите IP-подсеть или создайте новый сайт.
- Для существующего сайта выберите сайт и IP-подсеть, из которых будет создан пул.
- Для нового сайта укажите имя сайта, IP-подсеть для назначения сайту и информацию о VLAN, если это необходимо.Выберите группы узлов, которые могут получить доступ к этому сайту и логической сети.
Если вы используете виртуализацию сети, вы можете использовать пул для поддержки многоадресной или широковещательной рассылки. Для этого нажмите Создать пул IP-адресов многоадресной рассылки и выберите IP-подсеть, которую вы хотите использовать. Чтобы использовать многоадресную или широковещательную рассылку, обратите внимание, что:
- В логической сети должна быть включена виртуализация сети.
- Параметры протокола IP для сети виртуальных машин должны совпадать с параметрами протокола IP для базовой логической сети.Вы не можете просмотреть настройку протокола в консоли VMM после того, как вы его создали. Вам нужно будет запустить Get-SCVMMNEtwork -Name <сетевое имя виртуальной машины> | Формат — имя списка, тип изоляции, тип пула , чтобы увидеть его.
- После настройки этой функции многоадресные и широковещательные пакеты в сети виртуальной машины будут использовать IP-адреса из пула многоадресных IP-адресов. Каждая подсеть в сети виртуальных машин будет использовать один IP-адрес из пула многоадресной рассылки.
В диапазоне IP-адресов введите начальный и конечный адрес пула.Они должны находиться в подсети. В VIP и зарезервированные IP-адреса указывают диапазон IP-адресов, который вы хотите зарезервировать для VIP. VIPS используются во время развертывания службы на уровне служб с балансировкой нагрузки. VMM автоматически назначает виртуальный IP-адрес подсистеме балансировки нагрузки из диапазона зарезервированных виртуальных IP-адресов.
В шлюзе щелкните Вставить , если вы хотите указать один или несколько шлюзов по умолчанию и метрику. Адрес шлюза по умолчанию должен находиться в том же диапазоне подсети, что и пул IP-адресов, но не обязательно должен быть частью пула.
В DNS укажите информацию DNS, включая DNS-серверы, суффикс DNS по умолчанию для подключения и список суффиксов поиска DNS.
В WINS щелкните Вставьте , если вы хотите ввести IP-адрес WINS-сервера. Вы также можете выбрать, следует ли включать NetBIOS через TCP / IP. Это не рекомендуется, если диапазон адресов состоит из публичных адресов.
В сводке проверьте настройки и нажмите Готово .Когда задание отображается как Завершено , проверьте пул в логических сетях и пулах IP-адресов .
Настройка пула IP-адресов в сети виртуальных машин
- Щелкните ВМ и службы > Сети ВМ > Домашняя страница > Показать > Сети ВМ > Вкладка Сеть ВМ .
- В Сети виртуальных машин и пулы IP-адресов щелкните сеть виртуальных машин Создать > Создать пул IP .
- В Мастер создания пула статических IP-адресов > Имя укажите имя и описание. Убедитесь, что указана правильная логическая сеть. Убедитесь, что выбраны правильная сеть и подсеть виртуальной машины.
- В диапазоне IP-адресов введите начальный и конечный адрес пула. Вы можете создать несколько пулов IP-адресов в подсети, но диапазоны не должны перекрываться. В зарезервированные IP-адреса указывают любые диапазоны, которые вы хотите зарезервировать для других целей.
- В шлюзе щелкните Вставить , если вы хотите указать один или несколько шлюзов по умолчанию и метрику. Адрес шлюза по умолчанию должен находиться в том же диапазоне подсети, что и пул IP-адресов, но не обязательно должен быть частью пула.
- В DNS укажите информацию DNS, включая DNS-серверы, суффикс DNS по умолчанию для подключения и список суффиксов поиска DNS. Для виртуальных машин, которые присоединятся к домену Active Directory, мы рекомендуем использовать групповую политику для установки основного суффикса DNS.Это гарантирует, что, когда виртуальная машина под управлением Windows настроена на регистрацию своих IP-адресов с использованием основного суффикса DNS, DNS-сервер под управлением Windows будет регистрировать IP-адрес динамически. Кроме того, использование групповой политики позволяет иметь пул IP-адресов, охватывающий несколько доменов. В этом случае вам не нужно указывать единственный основной DNS-суффикс.
- В WINS щелкните Вставьте , если вы хотите ввести IP-адрес WINS-сервера. Вы также можете выбрать, следует ли включать NetBIOS через TCP / IP.Это не рекомендуется, если диапазон адресов состоит из публичных адресов.
- В сводке проверьте настройки и нажмите Готово . Когда задание отображается как Завершено , проверьте пул в логических сетях и пулах IP-адресов .
Освободить неактивные адреса из пула статических адресов
Вы можете деблокировать неактивные адреса. Когда вы делаете это, VMM возвращает адрес в пул статических IP- или MAC-адресов и считает его доступным для переназначения.Адрес считается неактивным, если:
- Хост, которому был назначен статический IP-адрес в процессе развертывания на «голом железе», удаляется из управления VMM. Когда вы удаляете хост, все IP и MAC-адреса, которые были статически назначены виртуальным машинам на хосте, также помечаются как неактивные.