Cisco CCNA 200-301 — guia completo

1. Introdução ao curso: Olá e bem-vindos a todos. Sou Ben Jacobson. E deixe-me primeiro parabenizá-lo por dar o melhor próximo passo e mais longe em sua carreira e assumir o controle de seu sucesso. Quer seja um profissional experiente à procura de re certificação ou apenas a começar a trabalhar na indústria. O novo CCN uma versão 2.0, garante que você tenha as habilidades necessárias para gerenciar as redes de hoje. Estamos vendo tópicos de exame como automação de rede, wireless e segurança combinados em um único exame como nunca vimos na Cisco antes. Naturalmente estará cobrindo tudo isso em um único curso. E estou muito entusiasmada para te trazer isto. Os últimos quatro meses para mim se reuniram em mais de 18 horas, claro trabalho ah, 100 perguntas práticas e uma dúzia de laboratórios ao vivo, incluindo tutorial para criar seu próprio laboratório virtual para que você possa executar através daqueles comigo . Diverti-me muito a apontar isto juntos, e espero que tenhas ainda mais a passar comigo. Muito obrigado novamente e eu vou te ver em breve 2. Componentes de rede 1 1: Olá e bem-vindos à CCN. Um curso nesta seção. Vamos ver componentes de rede, roteadores, switches e firewalls. Então, na verdade, antes de acabarmos falando sobre os componentes individuais da rede, ajuda a seguir em frente e aprender um pouco mais fundamentos aqui para que possamos realmente manter nossa conversa um pouco mais fluida. Mais uma descrevendo o que os diferentes componentes fazem. Ah, e como eles interagem com o tráfego de rede. Então o que eu gostaria de fazer primeiro é no caso de você não ter uma familiaridade com isso, vamos em frente e falar sobre o modelo do sistema operacional I. Agora, antigamente, quando o T C p I p estava apenas na sua infância, uh, que nós também tínhamos uma pilha de protocolos concorrentes diferente. Era a pilha do protocolo Theo S I. Ah, o sistema operacional I tem seu próprio esquema de endereçamento e métodos para roteamento e coisas como que assed faz TCP over i p e um protocolo de Internet que o protocolo OS I stack toe tinha este modelo que era o modelo modelo de ah do OS I usado para padrões desenvolvimento e como obter padrões diferentes para conversar uns com os outros. Um modelo funcional de comunicação agora como engenheiros de rede, geralmente nos preocupamos principalmente com as primeiras 4 camadas aqui camadas uma aqui na parte inferior e quatro aqui no transporte. E então, realmente, qualquer outra coisa é apenas maior do que para um monte de rede. Os engenheiros vão apenas fazer referência a esta seção inteira aqui como camada sete que tudo acaba residindo aqui na camada de aplicação. Agora, quando você está conversando com seus colegas e solucionando problemas, isso realmente ajuda a se sentir confortável em conceituar seus problemas. Em referência ao sistema operacional, eu modelo isso para dizer que é uma camada. Um problema é que você está olhando para um problema de cabeamento físico que você realmente não tem conectividade entre dois links ou isso e uma camada para emitir um problema de camada de link de dados. Você está falando sobre o problema de endereço Mac em ser capaz de. Eu tenho um problema nessa área ou com o seu cabeçalho Ethernet como um todo. Apenas o seu quadro Ethernet e falaremos sobre quadros e pacotes. Ah, um pouco mais no próximo slide aqui quando falamos sobre unidades de dados de protocolo. Mas aqui na Camada 3, seu problema de rede onde seus endereços I P residem na Camada 4, onde TCP e novo DP vivem quando você está abrindo uma porta em seu acionável que é na verdade, a inspeção de camada quatro que está acontecendo e que você está definindo uma regra para sua camada para inspeção e apenas falando um pouco assim. É certo que você pode entender que para ser capaz de conceituar isso e e manter suas conversas com seus colegas um pouco mais fluidas para as pessoas, diga a eles, Sim, estamos olhando para um problema de camada três aqui. Um problema de roteamento ou uma camada. Um problema. Sim, você está olhando para isso. Alguém tropeçou em um cabo quando ele foi desconectado. E aí está o problema de conectividade da camada 1. Então agora que você tem, ah, um pouco de compreensão aqui como usamos o modelo S. I em nossas operações diárias como engenheiros de rede. Vamos em frente e falar um pouco sobre quais protocolos vivem em cada uma dessas camadas e também o que sua unidade de dados fundamental é então aqui à esquerda, temos nossos protocolos que vivem em cada uma das camadas e as unidades de dados fundamentais que você usa para uma parte individual desses dados que aqui na camada física . Este é o lugar onde padrões como RJ 45 para seus conectores que se conectam com nossos cabos Ethernet e US $802.11 para conexão sem fio, os padrões que descrevem os padrões físicos aqui para 80 J. 11 e as freqüências que você tem permissão para transmitir e a que taxas e coisas desse tipo. E aqui sua unidade de dados de protocolo será o bit ou também um símbolo. Alguma vez falaste com o Teoh? Engenheiros elétricos analógicos ou pessoas trabalham com telefonia ou volta com modems animais que aqueles falaram muito em símbolos onde um em um sinal longo pode representar vários bits. Mas ainda assim, esta é a unidade de dados do protocolo, a unidade individual de dados nessa camada física. Agora, quando formos em frente, mova mais um aqui , camada dois, temos a camada de link de dados e ouvir. Nosso PTU é o quadro que é onde seu quadro Ethernet vive. Você sabe, quando você tem um ah, digamos que você tem apenas um roteador aqui e a linha saindo dele, e isso sai dessa direção que quando ele transmite as coisas para esta linha aqui Então primeiro você tem seu Internet frame, e logo atrás disso, você vai ter o seu I, p ou Oh, SPF para ICMP cabeçalho. Então vamos apenas dizer que você está trabalhando com I p aqui e, em seguida, logo atrás disso, ele vai ir em frente e dar-lhe a sua camada quatro informações, seu cabeçalho TCP ou cabeçalho UDP. E então aqui você terá seus dados de aplicativos que, novamente, como engenheiros de rede, nós simplesmente não nos importamos com o ano específico. Ah, que tudo pode ser apenas uma espécie de aplicação quando dito e feito isso, isso é apenas todos os dados da camada de aplicação. Então, em nossa camada três o I P i c e P O S P desta nossa unidade de dados de protocolo é um pacote. Então você acabaria dizendo que você tem um pacote I P, mas na camada quatro com seu TCP e UDP, você ou tem um Graham de dados aqui com UDP ou você acaba tendo um segmento TCP que é sua unidade de dados de protocolo na camada quatro. Então, agora que passamos por cima do modelo S I e que tipo de protocolos vivem em cada camada aqui e que podemos começar a falar um pouco mais sobre tópicos de engenharia de rede em termos de camadas sobre onde isso está realmente ocorrendo em que pedaço de todo o seu pacote de dados que realmente estavam falando estava inspecionando ou modificando em toda a rede. Então vamos em frente e falar sobre, você sabe, nossos componentes reais aqui e onde eles acabam interagindo com os dados em nossa rede. Então, primeiro comece o começo. Temos interruptores de camada dois, então com camada a que vai ser o seu quadro de eternidade que vive lá. Isso é o que uma camada para alternar se preocupa é endereços Mac e seu quadro Ethernet que as coisas que faz switches especificamente muito, muito melhor sobre hubs. Como você pode ver aqui com aquele H, uh, uh, o que torna os interruptores muito melhores é que eles separam nossos domínios de colisão . Agora, o que significa um domínio de colisão? Então, uh, imagine que este direito é que quando você tem seu computador, digamos que seu computador aqui, você tem um teclado e seu e-mail está bem e que você tem o seu computador e ele está fora no linha aqui, e então aqui você tem outro computador conectado à mesma linha e você tem outro computador aqui, você sabe, conectado à mesma linha ali. E isso vai para um roteador aqui. Ah, e que estes vão todos juntos e depois isto vai para a Internet. OK, mas para seus computadores individuais aqui, imagine isso direito. É que quando seu computador está falando com o roteador aqui, quando ele está transmitindo dados para a linha, realmente o que é é é o potencial elétrico. O Eso. Está enviando eletricidade para a linha aqui e toda essa linha. Basicamente, há um atraso de transmissão, ou Layton ver, devido ao tempo que leva para a própria eletricidade se propagar de uma extremidade da linha para a outra. Há um pequeno atraso a sua, mas ainda é a linha inteira, praticamente que está indo quente e, em seguida, ficando frio novamente quando ele transmite para fora para a linha aqui, certo, tudo bem, então isso seria significa que quando você tem vários computadores, whoops que quando você tem vários computadores aqui que estão todos na mesma linha que temos com esta seção aqui, onde nós temos um hub que está conectando-os, é como se essa coisa aqui Não é realmente “Ah, caixa”. É como se esse ar estivesse conectado aqui. É assim que o Hub funciona quando isso acontece. Quando eu digo que este computador aqui está transmitindo toda esta linha aqui e toda esta linha aqui tudo vai quente e depois vai frio, que há eletricidade fluindo lá. E depois há eletricidade, não a coisa toda. Então este computador e este computador, e mais especificamente, o roteador ou interruptor em nossa circunstância, você aqui em cima. Tínhamos o roteador e o R T aqui no computador que esse roteador não consegue diferenciar e não sabe quem está transmitindo quando há várias pessoas transmitindo, se esse cara tentar transmitir e esse cara tenta transmitir ao mesmo tempo, e esta linha simplesmente sobe e fica realmente quente de repente que tem duas vezes a tensão lá que seria de outra forma, então não pode diferenciar. E o que isso é chamado de colisão é que você tem uma colisão de dados. Ambos estão tentando transmitir ao mesmo tempo, causando colisão agora. , Hub, como temos aqui no meio, não faz nada sobre isso. Apenas age como se todos estivessem conectados. Ah, e se repete, não é? É qualquer coisa que vem a qualquer momento que esse potencial sobe, há eletricidade nesta linha. É isso? Encaminha isso para fora? Cada um deles, é como se estivessem fisicamente conectados. Uh, e com um interruptor, no entanto, não é? Na verdade, ele realmente leva isso. Ele leva em, e uma camada para mudar olha especificamente para a nossa camada para informação em nossos dados há que nós temos nossa eternidade, e então nosso i p aqui é que nós estamos olhando aqui para nossas informações Ethernet. Então seu Mac endereços e isso é o que um switch realmente faz. É a primeira coisa que se olha quando se tem um computador aqui a transmitir na linha para este interruptor? A primeira coisa que ele olha quando esses dados entram é que ele olha para o endereço Mac de origem é que ele se importa de onde isso veio para que ele agora sabe que o computador três vive aqui fora da porta quatro. Diz que seus pobres cinco é que ele vai saber assim que o computador três transmite um quadro para fora para a linha e o interruptor começa a olhar para ele e ver que esse quadro veio do computador três e o endereço Mac para o computador três. Então ele vai em frente e lembre-se que ele vive fora do Porto 4 aqui. A mesma coisa para o computador para ele saberá que ele vive fora da porta cinco assim que o computador transmite um quadro para fora para a linha. E isso é o que, Ah, Camada 2 switches. O trabalho principal é todo o seu trabalho. Aqui é realmente apenas o dedo do pé. Saiba quais computadores vivem de quais portas. Agora, em uma circunstância como esta, onde efetivamente temos três computadores vivendo na mesma porta, então ele vai realmente apenas lembrar de todos os olhos que como esses caras todos transmitem tráfego para fora na linha e que o switch aqui começa a aprender sobre isso, então ele vai seguir em frente e realmente lembrar que todos esses três computadores vivem aqui fora desta porta aqui. Então camada dois switches como você pode tipo de adivinhar, embora eles só interajam com o tráfego de rede até camada para é, é apenas realmente o nosso quadro Ethernet que está interagindo com eso que às vezes pode fazer camada para qualidade de serviço que é classe de serviço. Nossos C O S. Ou ele. Principalmente. principal trabalho é apenas para aprender o que Mac endereços viver fora de, quais portas e que sua principal função na rede A Sfar, como sua função de trabalho na rede é todo-agir como portas onde os dispositivos finais podem se conectar à rede. Existe realmente projetado apenas para a densidade de portas? Eles são um dispositivo de camada de acesso que vai acabar aprendendo um pouco mais sobre mais tarde no curso. Então, avançando através do sistema operacional I modelo aqui, nós temos switches de camada três. Agora, os switches de camada três são a mesma coisa, realmente, como uma camada para alternar. Mas agora, em vez de apenas ser capaz de interagir com o tráfego de rede na camada dois com nossos quadros Ethernet , eles também podem fazer roteamento em nossa camada três em nosso cabeçalho I p, ele pode rotear. Então agora realmente, o que nos faz mudar um interruptor é que eles usam um seis eso que é um s. Eu vejo seu circuito integrado específico de aplicação circuito tão integrado, certo? Você se lembra de ver aquele ar como esses caras pequenos que têm alfinetes saindo daqui e eles meio que vão parecer que eles são pequenos insetos ou algo assim, olhos que eles estão lá. Esses caras que são fabricados e eles são especificamente programados lá, como no nível do portal lógico aqui, especificamente programados para fazer Ah, uma tarefa específica. E isso é um circuito integrado doente e específico da aplicação. Eles não são generalizados tudo. Eles não sabem e eles são muito, muito otimizados para o trabalho que eles estão fazendo aqui. Então, fundamentalmente, eles fazem. A mesma coisa é uma camada para alternar. Eles aprendem quais endereços Mac entram em quais portas, e eles vão em frente e aprendem sobre elas. E fora isso, porém, eles também fazem. I p roteamento que eles são referenciados em nosso no futuro diagramas de Goddio. Eles se parecem com esse cara. Ah, que você vai acabar vendo sua rodada aqui como um roteador. Mas ainda assim eles também têm o ah, o símbolo sobre ele para um interruptor também. Para ir em frente e mostrar que é basicamente um roteador. Isso é um interruptor. Então eles interagem com nosso tráfego até a camada 3 no cabeçalho I P. Uh, e eles normalmente não são tão completos como roteadores dedicados, embora haja muitas coisas que o catalisador 35 50 não pode fazer. Ele não pode fazer o endereço de rede. Tradução. E eles também não costumam gostar de fins de vice-presidente. Uh, o P e eles também geralmente não gostam de VPN é que eles não têm o, uh, criptográfico um seis construído em seu. Normalmente, eles são destinados apenas para roteamento em, fazendo algumas coisas básicas mais tarde. Três tarefas, talvez, como qualidade de serviço. Agora roteadores. Estes são os nossos dispositivos dedicados de camada três e camada quatro que eles geralmente são melhores em fazer, especificamente roteamento. E quando as pessoas falam sobre roteamento, eles geralmente significam I p roteamento. Este é o arredondamento da camada três. Aqui é onde vive o seu endereço IP. Ah, então você é um 192.0 ponto 0.1. Deixe que seu I p aborde isso. É aí que vive na Camada 3 e que isso faz um bom roteamento. Ele mantém uma lista de onde certos endereços I P vivem e descobre como enviá-lo para lá . Vamos falar um pouco mais sobre especificamente como isso acaba trabalhando na tabela de roteamento e como ele escolhe uma rota para fazer quando tem vários disponíveis. Vamos acabar falando mais sobre essa camada mais tarde. Eles geralmente têm muito menos portas do que um switch. Será que estes ar não realmente acessar dispositivos camada? Isso acaba sendo algo que, , na borda da sua rede, ou pelo menos na borda da sua área ou segmento de rede, para ir em frente e fornecer roteamento entre as áreas em sua rede que eles são normalmente e eles fornecem mais serviços intensivos de CPU, coisas como extremidades VP ou camada para inspeções e paredes básicas de incêndio em coisas desse tipo . Mantendo o controle de suas conexões quando estamos fazendo o endereço. Tradução. Isso nos deixa em firewalls e sistemas de prevenção de intrusões. Eu PS Então ah, firewalls. O trabalho principal é permitir que algum acesso confiável à rede, alguma rede não confiável. Então, como exemplo aqui, quero dizer, você tem sua Internet, há uma nuvem nela e ela vem para cá e se conecta ao meu Will fogo. Eu não posso fazer troll fazenda. Tudo bem, bola de fogo e o seu firewall então entra e se conecta ao seu interruptor. Agora conecte-se a outros switches. O que você tem? Ok, que seja. Qualquer maneira de sair de sua rede Há estação de trabalho, outra estação de trabalho lá e para isso é sua rede confiável, certo? Este é o seu campus e que o seu campus precisa sair para a Internet. Acesso a essa área Bem, a Internet é realmente um lugar assustador, para ser honesto. Ah, é aí que muitas coisas ruins acontecem e que você precisa manter o entendimento que a Internet é muito pouco confiável, que não há confiança que você deve colocar na Internet que seu campus, embora você possa assumir, na maior parte, que esta é uma área confiável. Portanto, você quer que sua rede confiável seja capaz de acessar a rede não confiável, mas não o contrário. Esse é o principal trabalho de um fogo é o ato Toe. Permita que alguma rede confiável acesse alguma rede não confiável e não o contrário. Agora sistemas de prevenção de intrusões e firewalls de próxima geração. É assim que você vê muito disso aqui. N g f W olhos Como isso é abreviado seu firewall de próxima geração. Agora eles podem fazer a inspeção na camada de aplicação em, ser capaz de tomar medidas em suas informações de camada sete. Então isso vai ser coisas como você pode ter tráfego da Web que está indo especificamente para um destino. Ou você pode ter script Java nesse tráfego da Web ou algo parecido com aquele arquivo lá que você precisa ir em frente e fazer, digitalizando em algo onde ele realmente olha para essa camada de aplicativo e tomar alguma ação sobre ela. Agora, geralmente, seu I PS será baseado em assinatura ou baseado em anomalias. Agora, baseado em assinatura é onde ele vai em frente e verifica seu tráfego e talvez faz expressão regular . Comparação irá compará-lo com uma expressão regular ou mais frequentemente, vai tomar um hash dele. Eu vou em frente e fazer um MD cinco ou um xale um para ir em frente e hash juntos em um pequeno, tamanho fixo pedaço de dados que é relativamente único, com base no tipo de tráfego que é e que ele tem um banco de dados inteiro desses. Uma lista completa de, hum, de todas essas assinaturas e suas definições que este corresponde a este vírus ou este corresponde a este malware aqui que você não quer em sua organização, e que depois ele reúne os dados em seu pacote e descobre que corresponde a um desses. Então, como reconhece a assinatura, ela irá em frente e bloqueá-la ou permitir. O que você tem? E isso é diferente da detecção baseada em anomalias, onde base Anomalia é exatamente isso. Ele monitora seu tráfego por um determinado período de tempo, e você deixa que ele vá em frente e saiba qual é o tipo típico de tráfego que flui pela rede. E então quando algo se desvia dessa norma, é quando ele declara que um positivo sobre isso vai ser uma detecção lá. Estes são definitivamente dispositivos de ponta que normalmente variam entre a sua empresa, o seu escritório, seu campus e a Internet, mas podem ser colocados em qualquer lugar. Há uma diferença no nível de segurança que verá mais tarde. Você pode ser capaz de ter uma caixa física disso, mas realmente tem vários firewalls lógicos em Ser capaz de colocar esses firewalls entre um D, M Z e sua rede interna, ou entre departamento de contabilidade e departamento de marketing, ou em alguma área onde há uma diferença no nível de segurança em que você está indo de alguma rede confiável para alguma rede não confiável ou menos confiável. É aí que você pode chamá-lo também. Agora, o i ps inspeciona os dados da camada de aplicativo geralmente depois que ele já é filtrado por um dispositivo de fogo. Então estamos falando de design aqui, bem aqui onde tínhamos nossa internet e nosso firewall aqui. Normalmente os seus “I ps “vão bem aqui. Eso você vai acabar colocando em I ps na linha é a maneira comum de fazer em sistema de prevenção. Agora também há coisas chamadas I.D. I.D. S. Este é um sistema de detecção de intrusão sistema que muitas vezes esses são colocados fora. Ah, alguma interface aqui, e apenas todo o tráfego é espelhado porque ele estava apenas tentando detectar coisas. Ele não pode fazer nada sobre isso ou tomar qualquer ação saiu para o lado aqui só porque é que não está na linha. Mas quando em I ps está na linha aqui, ele pode realmente bloquear esse tráfego na linha se ele acaba detectando algo que é deve ser bloqueado. Agora, aqui em baixo, eu queria ir em frente e apontar como será a figura de um firewall em nossos diagramas. Vai parecer com esse cara aqui. Temos uma lupa que estão mostrando que inspecionando o tráfego em sua típica parede de tijolos fogo lá, bem como que isso é Estes são todos os GMS. Três ícones irão em frente e falar sobre isso um pouco mais tarde. Quando falarmos sobre a instalação do laboratório e como fazer isso funcionar. É uma maneira de virtualizar seu laboratório. E estes são os ícones embutidos com G. N s três Não. No final de cada uma dessas seções, eu gosto de passar por apenas algumas perguntas práticas. Apenas certifique-se de que você está prestando atenção para dar-lhe uma idéia de que tipo de perguntas pode acabar sendo feitas sobre esta informação aqui. Então, com a nossa primeira pergunta aqui, qual destes são a unidade de dados de protocolo na camada quatro fora do modelo OS I. É um segmento de página? Um pacote ou moldura? E lembrem-se, esta é a camada quatro aqui. Então, se você se lembra na camada dois nós tivemos a eternidade como nosso protocolo principal lá, e isso vai ser um quadro é nossa unidade de dados de protocolo na camada a camada três. Tínhamos um pacote. É um pacote I P. Agora camada quatro para TCP É chamado de segmento para UDP. Você tem um dado, Graham. Então aqui a resposta é o segmento B A agora, qual desses dispositivos não pode mover o tráfego entre domínios de transmissão? Agora, nós realmente não falamos sobre isso ainda aqui, e vamos falar em breve. Um pouco mais tarde no curso até eu quero ver, apenas no caso de você estar ciente do que isso é que um domínio de transmissão é uma sub-rede diferente . Agora vamos falar sobre isso um pouco mais, mas em sua sub-rede diga que você tem seu 192.168 0.1 ponto um barra 24. Isso significa que você sabe, temos endereços utilizáveis de 192.168 ponto 1.1 a 0.2 54 que esses são endereços de host utilizáveis . Quando você envia uma transmissão, ela deve ser ouvida por todos esses endereços. Cada um deles. Cada host receberá essa transmissão, e cada host tentará interpretá-la e olhar para ele e ver se é a informação que precisa para agir ou fazer qualquer coisa sobre não ir para um domínio de transmissão diferente e cada host tentará interpretá-la e olhar para ele e ver se é a informação que precisa para agir ou fazer qualquer coisa sobre não ir para um domínio de transmissão diferente significa que você está fazendo roteamento. Você precisa rotear entre sub-redes e você precisa rotear. Portanto, entre domínios de difusão e uma rota. Para tanto quanto o roteamento vai, um roteador faz. Rotear um switch de camada três, se você se lembrar, é a mesma coisa que uma camada para alternar. Mas também faz roteamento e, em seguida, um firewall. Normalmente, firewalls também são capazes de rotear. Eu realmente não faria qualquer sentido se fosse em Lee bloqueando tráfego e não capaz de rotear nada. Mas aqui. A coisa que não pode rotear é depois mudar. Então a resposta é C A camada para alternar. Espero que isso tenha sido informativo para você, e eu gostaria de agradecer por ver. 3. Componentes de rede parte 2: pontos de acesso controladores e pontos de extremidade neste vídeo estarão passando pela segunda metade fora dos pontos finais que você veria em sua rede no seu dia a dia de trabalho que controladores aqui referem ambos os controladores de rede como Cisco, DEA e também controladores sem fio, seus controladores LAN sem fio e pontos de acesso neste caso serão pontos de acesso sem fio . Então, pulando direto em nossos pontos de acesso sem fio, o que eles fazem? Fundamentalmente? Eles são acesso à rede sem fio para nossos endpoints. Eles são dispositivos de camada de acesso e realmente na extensão de sua camada de acesso que quando você tem seus switches principais e seu bloco de distribuição e seus switches de camada de acesso aqui, então este dispositivo é realmente uma extensão sem fio realmente aqui de seu acesso modo que seus computadores e endpoints possam ir em frente e se conectar à terra sem fio. Agora, eles operam no modo autônomo ou leve que normalmente quando você compra um ponto de acesso leve, ele realmente não tem a capacidade de operar sozinho. Mas, em autônomo, o tráfego entra na rede onde esse ponto de acesso se conecta e o ponto de acesso executa todas as ações necessárias para gerenciar a rede sem fio. Ele faz sua autenticação, e ele vai chegar ao seu servidor de raio. Se você tiver WP para empresa configurado e seu tráfego de rede entrar na rede onde esse dispositivo se conecta e quase sempre V aterrissar que pode ser marcado por agora com um ponto de acesso leve, no entanto, você vai acabam usando um controle e um controle sem fio A w l ver que Normalmente, estes operam em configuração de Mac dividido, onde o tráfego de rede realmente é encapsulado de volta para o controle sem fio antes de entrar na rede. E eu vou mostrar-lhe que um pouco mais no próximo slide aqui que os pontos de acesso que eles transmitem redes R F chamado de conjunto de serviços identificadores aqueles SS I ds ar. Todo mundo está familiarizado com isso. Tenho a certeza que quando fores ter com a tua mulher, eu e tu escolhemos o que queres que te chamem de bacon? Então vá em frente e conecte-se ao Bacon e nós vamos passar por isso um pouco mais detalhadamente adiante no curso quando cobrirmos nossos fundamentos F e na camada de seus pontos de acesso sem fio , use C. S. Agora,o que é isso certo? , Essa é a portadora de acesso múltiplo. Evitação de colisões. Agora, o que isso significa? Isso significa que quando você quer ir em frente, Europa aqui, direita e você quer ir em frente e transmitir para a rede ou dizer, na verdade, seu ponto de acesso quer ir em frente e transmitir algo para você. Se alguém vai em frente e ouvir, ele vai ouvir para ver se mais alguém está transmitindo. Se estiverem, ele vai em frente e espera uma certa quantidade de tempo antes de tentar ouvir para ver se alguém está transmitindo novamente. Se não estiver, ele enviará uma solicitação para você chamada de solicitação para enviar e, em seguida, seu dispositivo ou seu computador. O teu telemóvel. O teu tablet. O que você tem? Se ninguém mais está transmitindo, ele vai enviar de volta Ah pagando basicamente dizendo claro para enviar que ele faz um pequeno boom ping rápido 12 para ir em frente e certifique-se de que você pode transmitir de forma confiável e receber tráfego. E ele usa isso como uma conexão pseudo-confiável para dizer Sim, é seguro. Eu vou em frente e enviar isso para o pouco arquitetônico aqui é que como eu estava falando com seus pontos de acesso leves aqui que quando você se conecta em seu cliente sem fio e você vai em frente e você transmite aqui para ponto de acesso leve onde seu tráfego diz que você quer chegar aqui, certo, você está aqui, você é um dotty, e você quer ir em frente e fazer sua consulta DNS. Mande seu tráfego para fora. Agora, seu ponto de acesso leve aqui diz que este cara realmente conecta isso aqui que você é um ponto de acesso leve vai em frente e túneis que o tráfego usando cap WAP criptografa esse tráfego. Túneis isto aqui para o teu comando sem fios. Então seu tráfego, você sabe, na verdade passa por aqui através desta parte física. Pode passar por este caminho. Você pode ir para outro lugar, dependendo de como sua árvore de abrangência está agora, se esses dois links de camada de ar e, em seguida, ele vai para o seu controle sem fio e ele vai para a sua rede aqui no seu controle sem fio que este é onde o seu tráfego está realmente entrando, não por aqui com acesso leve, aponte um anel e divida-se para trás. Então, em uma arquitetura centralizada, usamos pontos de acesso leves e pontos de acesso lá, controlados aqui por um controle sem fio agora em uma arquitetura de infraestrutura autônoma. É aí que você tem seu ponto de acesso autônomo. Este é o lugar onde você não tem um controlador LAN sem fio, e seus pontos de acesso são operados de forma independente que eles não sabem realmente que o outro existe e eles não se importam. Eles só se veem como interferência. Considerando que se você usar um controle sem fio do que eles podem sentir um ao outro, estar atentos uns aos outros e ir em frente e ajustar a sua potência de transmissão e sua freqüência para garantir que eles não interferem uns com os outros ou pelo menos tentar interferir como minimamente quanto possível. Então isso é apenas uma breve visão geral de seus pontos de acesso no tipo de pontos de acesso que você pode ver seu verso autônomo, pontos de acesso leves e apenas uma visão geral super breve aqui de como eles realmente acabam funcionando. O controle sem fio vai entrar em um pouco mais de profundidade e que um pouco mais tarde e muito mais profundidade quanto à forma como o WiFi realmente funciona e nossos fundamentos F. Mas passando aqui para nossos controladores, o primeiro tipo de controlador que vamos cobrir é o controlador de terra sem fio que os controladores LAN wireless gerenciam a configuração e também muitas das tarefas para o seu acesso leve pontos como sua autenticação e seu gerenciamento de recursos de rádio, aquele em que ele escuta os outros pontos de acesso ao redor na área e vê se eles são parte deste controlador ou não, que possamos ir em frente ou grupo de controladores. Você pode realmente ter um cluster deles, ou um grupo deles que estão operando em conjunto e ir em frente e sentir se o ponto de acesso é parte disso. Então poderia fazer o gerenciamento de recursos de rádio. Como eu disse, boi é o ponto de entrada para sua rede. Isso pode ajudar muito em sua implantação para que você não precise ter e acabar com vilões que você possa ir em frente e ter seu ponto de acesso em qualquer lugar da rede. E você não precisa do vilão ao qual esses clientes sem fio estão se conectando para existir nessa parte da rede. Pode ser muito longe no vilão não precisa existir lá, e tudo voltará para o controlador e acabará entrando na rede lá, e é aí que você faz sua filtragem e sua segurança e seu controle de acesso. Como eu disse, ele faz a computação para o gerenciamento de recursos de rádio, e autentica usuários na rede que suas solicitações de autenticação tanto para a chave pré compartilhada e também raio ou L DAP ou tack atos estarão acontecendo a partir do seu controle sem fio aqui. O próximo tipo de controlador passará brevemente. O D.N.A. é D.N. o controlador de arquitetura de rede digital? Agora você pode não ter ouvido falar disso. Esta é, ah, solução que é muito, muito semelhante à rede definida por software. STN. E a TI controla os dispositivos em tempo real e faz o gerenciamento de rede baseado em políticas. Definir uma política para um dispositivo ou rede de quatro anos. Digamos que você quer um certo V Lin para manter uma quantidade mínima de Layton ver, ou que você quer definir uma banda com limite em um cliente específico ou coisas assim. Você pode fazer isso no Cisco D N A. Em dispositivos compatíveis e, em seguida, movendo Leslie para nossos endpoints. Agora, os nossos pontos finais. Estes são seus computadores, suas estações de trabalho, seus laptops, seus celulares, suas câmeras de segurança, servidores. Aqui temos uma fechadura para um hotel ou escritório. Seus telefones que agora podem ter uma videoconferência integrada em seus telefones. Quero dizer, este telefone aqui não tem videoconferência embutida. Ele não tem uma câmera nele, mas eles podem usar muito mais largura de banda do que encontramos anteriormente. E eles são os geradores e receptores de quase todo o tráfego em nossa rede. Como pensar que seu roteador real ou seu switch ou seu controlador não está realmente gerando tanto tráfego. São todos os seus endpoints, aqueles ar o que está usando todos os seus serviços de rede? E eles consomem serviços de rede, coisas como Power over Ethernet. Este é um serviço que sua rede fornece e que eles estão consumindo e eles podem ser conectados ou sem fio Agora, assim como nos slides anteriores. Vamos entrar em algumas perguntas de treino antes de partirmos primeiro. Que tipo de ponto de acesso é configurado e gerenciado centralmente? Agora eu sei que eu enfiei isso na sua cabeça um pouco aqui que pontos de acesso autônomos operam de forma independente e pontos de acesso leves são gerenciados centralmente. A resposta aqui seria um ponto de acesso leve. E, por último, quais destes não são uma característica do Cisco DNA? É uma conectividade de rede baseada em políticas, visibilidade de rede aprimorada ou status de parceiro com a rede baseada em políticas Cisco A conectividade é verdadeira. Visibilidade de rede aprimorada. Eu não disse isso explicitamente, mas ele fornece uma visibilidade muito maior sobre as operações de sua rede e como certos clientes ar utilizando sua rede e a integridade de seus dispositivos de rede e entender Maura sobre onde o tráfego está viajando especificamente em sua rede. Ele oferece o status de parceiro Francisco que foi jogado lá para ter certeza que você está prestando atenção. E isso não é um recurso da Cisco D. N A. Espero que isso tenha sido informativo para você, e eu gostaria de agradecer a você por visualizar. 4. Topologias de rede: desculpas em rede. Quando pousar nesta seção estará falando sobre a topologia geral diferente, como você verá em seu trabalho tanto na vitória a rede de área ampla e também em seu campus e escritórios menores também, e também no data center, O que, falando nisso, eu gostaria de falar primeiro sobre a coluna vertebral e o Lyft desculpas aqui. Agora, o pedido de desculpas é que você tem sua espinha aqui em cima e suas folhas aqui em baixo Todas as suas folhas estão conectadas a todas as suas espinhas. . No entanto, precisa de nenhum de seus espinhos estão realmente conectados entre si que você não tem conectividade ali mesmo entre seus espinhos individuais. Este é um pedido de desculpas muito rápido que garante que se você se esse cara aqui precisar falar com esse cara aqui, bem, ele vai explodir, bum bem ali. E se esse cara aqui explodir em chamas, ótimo, ele vai explodir, bum, bem ali. Grande redundância. Muito rápido. Desculpas. Mas é mais comum em data centers porque geralmente suas folhas precisam conversar umas com as outras, que em um ambiente de campus aqui, você terá seu computador aqui, e você Vou ter um computador aqui que esses dois caras geralmente não precisam falar um com o outro de vez em quando eles vão, mas geralmente não é assim. A velocidade entre as folhas não é algo que nos preocupa tanto. Agora vamos em frente e falar sobre nossas desculpas de vento um pouco aqui. O primeiro que eu gostaria de falar sobre ah ha sido falado é que no hub e falou? Isto é excelente. Você não tem tantos links. Você só tem o mínimo suficiente para ir em frente e obter conectividade total entre todos os seus sites. Você acaba com uma economia de custos, é claro, porque você tem o número mínimo de links necessários e é um gerenciamento simplificado. É realmente comum ainda e era muito mais que anteriormente para essas filiais aqui fora para chegar à Internet. Digamos que temos Internet aqui fora e conectado ao hub aqui que se este cara aqui dizer, este é o local 123 se o Office um precisasse sair para a Internet, vai passar através do nosso hub e sair para a Internet a partir daí e vendo com dois se ele precisava sair da Internet ir para baixo através do nosso hub e para fora para a Internet. Agora, se um precisasse falar com dois, então um iria através do Hub e segurava mais de 22 e foi assim que funcionou por um longo tempo. E isso ainda é muito comum porque é muito mais simples de gerenciar. Você tem um único ponto de gerenciamento aqui, seu hub. Você pode ir em frente e entrar em um firewall, e você pode fazer sua gestão lá. Você pode fazer um conjunto de conteúdo filtrando um conjunto de regras, e é lindo. Agora o problema é que você tem um gargalo. Tudo está neste hub aqui. Tem que ser um roteador grande e pesado para realmente ser capaz de lidar com isso, especialmente se você tem um negócio realmente intensivo de dados onde talvez esses caras precisam conversar uns com os outros realmente muitas vezes que esse hub pode ficar sobrecarregado ou pior, se você tem um monte de escritório para extensão extensão chamando acontecendo do que este cara , é melhor ser capaz de fazer isso com muito pouco tarde e ver para se certificar de que sua qualidade não é degradada e sua experiência não é apenas terrível . E você também tem um único ponto de falha aqui no Centro. Agora a coisa é, está tudo bem? Então você poderia ter, você sabe, realmente, um segundo dispositivo quase apagado um pouco disso aqui, e você poderia ir em frente e ter um segundo dispositivo aqui e tê-los conectados. Tem o interruptor vindo aqui para o seu interruptor. E esse interruptor é realmente o que está se conectando a esses caras, e isso parece uma bagunça. Mas você começa a idéia, e então é como, tudo bem, então se esse roteador físico pegar fogo e cair cru, então eles ainda têm conectividade. Mas realmente, o que você está preocupado não é com a falha física do roteador. É uma falha de sua conexão com a Internet ou sua conexão de rede de longa distância, que realmente quando você tem três linhas saindo assim, o que isso realmente significa. Você tem seu poste de utilidade aqui e diz que tem seu negócio bem aqui, certo? E que você tem essa mentira saindo para o seu poste e talvez de lá vá para o subsolo, Sri. Você tem seu escritório aqui e seu escritório aqui e seu escritório aqui , e ele se divide e vai para todos aqueles caras. Isso significa que você ainda tem uma linha física vindo aqui do seu escritório. Esse é o seu pequeno distractor aqui. Pequena retroescavadora. Só comida poderia cortar aquele cara ali. E bam! Toda a sua conectividade entre todas as suas localizações. Estão todos mortos na água. Ninguém pode falar com nada. Sua conectividade com a Internet está para baixo e você está moendo para uma parada que é realmente apenas um único ponto de falha e um pouco problemático ter apenas um hub puro e falar assim . Então, passando para o outro extremo aqui, vamos em frente e falar sobre nossa malha completa que com conectividade de malha completa. Agora, isso não significa necessariamente que você não teria apenas, você sabe, você sabe, talvez uma conexão com a Internet fora para ouvir que você ainda poderia. E então para sair para a Internet, eles ainda teriam que passar por esse cara. Mas digamos que todos eles têm suas próprias conexões com a Internet e estão todos conectados uns aos outros. Isso definitivamente prevê a quantidade máxima de redundância. Imagine que esse cara caia bem. Você ainda pode ir aqui e vir aqui. E é como se esse cara caísse, então dois grandes ainda podem ir aqui e ir até aqui e você ou você pode ir aqui, aqui, aqui. Se esse cara cair, então você ainda pode ter a quantidade máxima de redundância aqui. Mas, cara, você tem um monte de links que é ou você tem um monte de VPN dizer que esta é uma filial escritório filial, , filial, escritório, filial. Ou você tem um monte de VP termina saindo tudo um para o outro ou homens. Você tem um monte de links que quando você está comprando um serviço de rede de área ampla um Mpls VPL s. O que você tem de seu provedor de serviços que eles geralmente vão cobrar por esse tipo de conectividade que você vai acabar pagar mais e ter um custo mais alto Agora , também, se você tiver muitos locais, você pode estar gerenciando políticas em cada site individual. E se você tiver 40 destes 50 destes 100 de apenas filiais separadas , então você poderia ter apenas uma quantidade inviável de gestão. A sobrecarga administrativa lá poderia ser puramente proibitiva agora, como um pouco puramente acadêmico aqui, o número de ligações necessárias. A equação aqui é o que é usado para calcular que quando, a fim de fazer conectividade de malha completa, seu fim menos uma vez e mais para então Se eu tivesse oito escritórios, eu teria oito menos um vezes oito sobre, Então que seria sete vezes quatro, que seria 28 links, a fim de ter conectividade de malha completa para n é igual a oito. Agora vamos para o bom e feliz médium entre aqueles dois. Vamos em frente e falar sobre nossa malha parcial agora são conectividade de malha parcial tem o melhor dos dois mundos, Sério? É que você poderia ter, digamos um hub e falou com hubs duplos que você tem mais redundância do que apenas o hub e falou que se esse link cair, esse cara ainda tem conectividade ou se eles slink vai para baixo, ele ainda tem conectividade que fornece melhor redundância. Você vai ter menos links e, portanto, menos custo. E estes dois aqui são apenas um no mesmo. Você tem menos custo porque você tem menos gerenciamento de links Com isso, no entanto, pode ser um pouco complicado acompanhar como cada dispositivo está conectado e quem está conectado a quem. Isso pode ser um pouco difícil. Você vai ter que manter registros realmente bons em sua planilha do Excel para ter certeza de que isso está tudo junto. E alguns sites não têm conectividade redundante e uma malha parcial. Normalmente como esse cara aqui que ele não tem conectividade redundante . Isso pode ser um bom ah ah, bom pedido de desculpas para você, se você acabar achando que, tipo, este cara era seu hub como falou, falou, falou, falou, mas esse cara aqui e esse cara aqui precisava conversar muito, e você queria ter uma conexão direta entre eles para que ele não tivesse que passar pelo hub aqui o tempo todo. E é macacão, gerenciamento mais simplificado do que uma malha completa, então passamos para o nosso design de núcleo colapsado aqui . Então este é o tipo de rede que tudo quer tentar ser. Isto está a mudar-se para o nosso campus, onde não, temos uma rede de dois níveis. Temos a nossa camada de distribuição central e a nossa camada de acesso. E lembrem-se, isto é isto no campus. Isso não está em sua rede de área ampla agora, então isso está na verdade no seu escritório ou no seu grupo de escritórios. E isso é muito mais típico de pequenas e médias empresas para obter seu tribunal colapsado onde seu núcleo e camada de distribuição estão no mesmo núcleo colapsado aqui, e que você acaba tendo seus switches de distribuição redundantes e, em seguida, sair conectividade redundante para seus switches de camada de acesso. Isso é resiliente, e é escalável que você possa ficar realmente grande em uma rede de dois níveis aqui. Que não há nenhum tamanho definido definido que a Cisco definiu quando você é muito grande para usar uma rede de duas camadas e ainda é muito escalável, e ainda é muito resiliente e redundante aqui. Um desses caras aqui em cima, seus interruptores do núcleo podem explodir em chamas, e não importa. Todos os seus homens ainda têm conectividade através da sua área redundante. Aqui. Você pode acabar perdendo uma troca de acesso mais tarde. Sem problema. Vai acabar afetando aquelas pessoas. Isso realmente ajuda a limitar sua falha Domínio. Essa é uma palavra para lembrar para o exame. Que Ah, domínio de falha é o que define o efeito de forno largo que uma falha específica tem. Que se este interruptor aqui fosse para arder em chamas do que todos os dispositivos conectados a esse interruptor são os afetados, nada mais será. Esses caras aqui são afetados por causa dessa mudança aqui, como e se um desses caras aqui acabar pegando fogo, então bem, isso na verdade não tem muito domínio de falha porque ele falha com esse cara. Mas isso pode sobreviver a uma falha aqui entre os dois. Suba do que todos esses caras perdem conectividade. Esse é um domínio de falha bastante grande, porque eles não estão interligados assim. Ser capaz de ter outro método para se locomover no caso em que ambos os caras foram para arder em chamas. Agora, este é o nosso design de dois níveis, certo? Digamos que você fica realmente grande e chega ao ponto em que você está ficando sem portas e você realmente não vê como você pode adicionar em outro switch de distribuição. Digamos que gostas de adicionar outro tipo aqui? Boom. E você teve outro cara aqui boom! E que esse cara tem seus próprios interruptores aqui que estão conectados ali. E você muda aqui e um interruptor aqui e ele está conectado. E todos eles estão conectados. E esse cara Teoh se conectou a tudo. E você tem todos esses caras e que você ainda está achando o seu grande demais. Bem, isso é quando passamos para o nosso design tradicional de três níveis, onde vamos em frente e dividimos nosso núcleo e nossos blocos de distribuição aqui. tal forma que, se você realmente precisava obter isso dimensionado porque este é o máximo e escalabilidade, então você apenas agarra em outro bloco de distribuição aqui, veja? Boom! Esse cara acabou de ter um filho, e você acabou adicionando outro bloco de distribuição e acesso lá. E você pode continuar fazendo isso. Você poderia copiar esse osso. Aqui, aqui, aqui, aqui Normalmente, isso é o que acaba acontecendo quando você tem vários edifícios. É que este quarteirão aqui é um edifício. Este bloco aqui é outro edifício e então por diante e assim por diante eu vou continuar escalando assim e que estes podem ser alguns andares uma peça que este cara será como de um três e este Gobby quatro a seis e assim por diante. E eles terão todo o seu pessoal conectado àqueles interruptores lá. É realmente o máximo e a escalabilidade. E acrescenta redundância que cada uma dessas lágrimas tem papéis individuais que acabam sendo um sentimento que falará em breve. E nisso, é claro, é sempre bom lembrar. Isto é redundante. Isso se destina a conectividade redundante. Para é um é nenhum. O que eu quero dizer com isso? É quando você tem que gostar daqui, um desses já pode subir? Ótima. Você vai reprovar para esse cara se você só tiver um e dizer, tipo, esse cara está fora de cena. Ele nunca existiu. Então isso foi boom up, infligir Oh, Deus, lá se vai toda a nossa conectividade de edifícios. E quanto é que isso te custa o salário por hora de cada uma dessas pessoas? Bob na contabilidade e Alice sobre marketing. Todas essas pessoas recebendo 30 $40 por hora, e eles estão apenas sentados lá sem capacidade de fazer nada, custando a sua empresa milhares, talvez por minuto, para ir em frente e pagar todas essas pessoas para ficar por perto não fazendo nada porque você não tinha conectividade redundante em sua rede. E agora, devido a uma falha devido a tubos vazados devido ao seu elétrico, apenas tendo um pico que agora você acaba custando a sua empresa um monte de dinheiro Agora isso também ajuda a facilidade de compreensão, para realmente simplificar o seu rede em vez de apenas ter uma teia de aranha ou ninho de rato de conectividade, que as pessoas podem realmente envolver sua cabeça em torno do design de três camadas Tem sido em torno de um longo tempo e que isso realmente ajuda a entender e também isolar suas falhas e ganhar um bom isolamento total aqui que no caso de um desses interruptores aqui morre. Ótima. Você sabe que Onley este andar aqui está afetado. Se esse cara morrer, boom falha. Se esse cara morrer, boom falha tudo ainda cantarola sozinho. Agora, nessas camadas individuais, cada um tem seus próprios rolos para preencher em sua camada de acesso. Isso faz recursos como power over Ethernet e segurança de porta. Aqui também é onde você vai fazer sua limitação de taxa. E é aqui que você executa a árvore de abrangência em seu kit de ferramentas de árvore de abrangência como porta rápida ponte bpd. Você guarda rota do jardim para baixo. Aqui é também onde você iria implementar 0,1 X. E se você quiser fazer camada para mudar se você tivesse camada para baixo para o acesso em vez , uh, acesso roteado Er, eu sinto muito que se você tivesse camada Três abaixo do acesso a estas camadas de ar três ligações aqui e aqui e aqui dentro, e estes têm as suas próprias redes submarinas apontam para apontar uma barra 30 apenas aqui naquele link ali. Então você teria Onley ter vitela e comutação e camada para alternar aqui no acesso que você não tem nenhuma árvore de abrangência aqui na camada de distribuição. Agora isso é se você tinha uma camada de acesso roteado, e isso é o que é chamado quando você tem mais tarde três switches para baixo na camada de acesso para camada de acesso roteado. Isso não é isso está se tornando mais comum, mas não é totalmente onipresente ainda que há muitas pessoas que estão indo para este caminho só porque você pode obter um interruptor de camada três para quase nada, certo, que você pode Sair e obter um interruptor de 35 60 ou 35 50 camada 3 e quero dizer que eles são muito baratos. Mesmo um switch gigabit não tem nenhum problema que ah muitos departamentos I T estão agora atualizando. Mesmo quando você tem um número realmente grande de switches, o preço está apenas se tornando ao ponto onde você pode fazer isso facilmente e que faz sentido ir em frente e fazê-lo e simplifica, trazer spanning, árvore mesmo mais longe da sua rede, movendo-se para a próxima camada aqui, vamos falar sobre a camada de distribuição. É aqui que você tem a redundância e o balanceamento de carga, e é aí que você acaba fazendo a filtragem de pacotes e o acesso baseado em políticas. Isso é o que é implementado aqui na distribuição em vez de para baixo na camada de acesso . E a razão é porque é aqui que você está agregando todas as suas conexões juntas. é onde você resumir e enviar esse resumo rota até o bloco núcleo aqui que o núcleo não precisa se importar com todas essas redes submarinas que existem aqui neste armário da rede Joe Schmo no prédio 13 A que podemos ir em frente e enviar todos os 172 postos de trabalho. 172.16 0 barra 23 rota até o bloco central aqui sabendo que isso engloba um monte de rotas aqui em baixo. É aqui que você vai fazer o resumo e a agregação. E é também aqui que acontece o roteamento entre os vilões. Se você tem um design de acesso comutado, é aí que você tem camada para baixo até o acesso. Se você não tiver seus switches de camada três na camada de acesso ou simplesmente não configurar links de camada três aqui links roteados entre o acesso e o bloco de distribuição . Então você está roteando entre suas terras V está acontecendo aqui em cima na sua camada de distribuição que é isso que está fazendo você saber, cara aqui embaixo. Se ele está tomando vitela em seis e o cara aqui está vendo três e eles estão ambos conectados em que se você tem dois links aqui, ótimo, isso vai subir aqui e vai acabar sendo trocado para aqui e encaminhado para baixo para aquele outro vilão e o roteamento vai acontecer aqui. E, na verdade, mesmo que você só tenha um computador aqui embaixo no interruptor de costura que este é realmente um exemplo melhor disso e ele está conectado no atraso de quatro para seis ir em frente e falar com quatro. E eu preciso ir até aqui, ser encaminhado para aqui na camada de distribuição e voltar para baixo em fuga e que se você tiver um projeto de acesso ah comutado e aqui também é onde suas políticas de cura do Oeste são postas em prática. E é aqui que você tem sua redistribuição entre domínios de roteamento e seus protocolos acontecendo que normalmente isso acaba acontecendo na vitória exatamente onde você está executando um protocolo com seu provedor de serviços e, em seguida, você também está executando um protocolo de roteamento interno, e, em seguida, a maneira que acaba sendo lugares apontados, você geralmente tem seu próprio bloco de distribuição aqui, exatamente onde isso se conecta. Opa. Isso se conecta aos seus interruptores aqui e ali. Esses caras, você vai ter um roteador aqui, que isso se conecta à sua terra e que aqui é onde você vai avançar e redistribuir entre seu oh SPF aqui. Isso é interno e seu BG P aqui que está sendo executado externo agora movendo-se para o núcleo aqui, A única coisa real que nos preocupamos no núcleo é velocidade, velocidade e mais velocidade que queremos fazer pacote absolutamente mínimo Manipulação. Podemos fazer alguns Qs, mas isso é realmente sobre isso. A ideia é que isto seja redundante e tolerante a falhas. E para isso realmente apenas para estar na interconexão entre todos os blocos de distribuição que a idéia não é realmente ter nossa rede conta isso e apenas parar é o seu Nós vamos ter outro bloco de distribuição aqui e outro aqui e outro outro um Aqui. Outro aqui que estamos adicionando em mais edifícios estava adicionando mais seções para ir em frente e escalar nossa rede e realmente ser capaz de rotear entre todos esses blocos de distribuição. Então isso é realmente o núcleo está fazendo é torná-lo para que todos os blocos de distribuição não precisam ser todos conectados independentemente entre si como ter apenas uma área central. Podemos ir em frente e agregar essas conexões de blocos de distribuição e ter um núcleo central para conectá-los todos juntos. Agora mudando-se para o nosso pequeno escritório aqui e longe do nosso campus, vamos falar sobre o nosso SoHo, um pequeno escritório em casa. Normalmente, este é um único roteador que é único ou multi-homed. Agora vamos falar sobre isso por um momento. Na medida em que o homing significa é que você pode ter uma única casa, multi casa ou dupla casa onde se você tem dupla casa ou vamos primeiro falar sobre uma única casa Então você tem o seu roteador. Você tem o seu roteador de casa única Internet, Internet uma conexão de um eu s P. Agora dual homed é tipicamente onde você tem que conexões com um I S P e, em seguida, multi homed seria se você tiver pelo menos uma conexão com vários I E isso é o que você acabaria fazendo para redundância, é claro, claro, e usa comutação integrada ou externa para acesso à terra. Agora você pode obter seus módulos de comutação integrados para seu viés. O nosso, é claro. E vá em frente e conecte seus telefones e seus computadores todos na rede, como você precisaria aqui embaixo, como você pode ver, você tem seu roteador aqui e você está alternando aqui, e o roteador e o switch podem ser incorporados juntos. Em seus olhos são, e você terá seu top de teste em seu laptop e seu telefone. Você sabe, talvez você tenha um pequeno escritório de cinco pessoas lá que pode escapar com até 48 portas em seus olhos é que você realmente precisa que ele seja relativamente grande. Ou apenas estar olhando para usar um modelo fora de um firewall de roteador que não tem a capacidade de alternar módulo para usar um switch externo e que o externo usaria uma camada de acesso . seus switches de camada dois ou seus pequenos 35 anos cinquenta e 35 anos 60. Agora, assim como as outras seções. Vamos fazer algumas perguntas de treino antes de saltarmos aqui primeiro. Quais dos dois seguintes descrevem a camada de distribuição? É aqui que temos transporte de dados de alta velocidade? Que aplica políticas de rede, executa agregação de rede, concentra o acesso do usuário, fornece energia sobre Ethernet ou evita manipulação de dados agora transporte de dados de alta velocidade. Claro, queremos que todas as nossas camadas façam isso, mas realmente aquela em que isso está focado mais fortemente está na camada principal agora, aplicando políticas de rede que sim, nossa camada de distribuição. Aqui é onde temos nosso acesso baseado em políticas, e isso vai acabar sendo nossa primeira resposta aqui é ser, aplicar políticas de rede e executar agregação de rede. Sim, que é aqui que as nossas camadas de acesso agregaram o ar, e enviamos uma rota resumida para a nossa camada central. E quanto a concentrar o acesso do usuário, fornecer energia sobre Ethernet e evitar manipulação de dados esse cara e esse cara apenas para baixo em sua camada de acesso e evitar manipulação de dados. Isso descreve nossa camada principal novamente porque estamos pensando em nosso transporte de dados de alta velocidade . Então nossa segunda resposta aqui vai ser C que ele executa agregação de rede. E então em nossa última pergunta aqui, quantas conexões são necessárias para uma topologia de malha completa com oito nós agora aqui e vai ser igual a oito. Agora, você pode continuar. Vá em frente. 2345678 e vá. 1234567 e 123456 E continue fazendo isso. Ou você pode ir em frente e fazer oito menos um, quatro e menos um vezes e mais para isso isso seria vezes um sobre o qual este é sete vezes quatro, que é igual a 28 28. Aqui está nossa resposta, C. Espero que isso tenha sido informativo para você, e eu gostaria de agradecer-lhe por ver. 5. Cabeamento físico: cablagem de cobre e fibra nesta secção. Vamos analisar os cabos físicos que ligam toda a sua infraestrutura, seja no caminho interno ou internamente na sua organização. Ah, muitos engenheiros de rede passam muito tempo na linha de comando fazendo tudo em um conjunto lógico como todo o nosso equipamento se conecta logicamente e como todos os requisitos de conectividade lógica acabam ocorrendo e chegando todos juntos. Mas há muitas pessoas que não prestam muita atenção ao aspecto de cabeamento físico de nossa infraestrutura de rede e que você realmente precisa estar ciente de um dos requisitos físicos e limitações dos diferentes tipos de cabos que você estará usando, e também apenas para reconhecer os tipos de cabos que você verá no seu dia a dia de trabalho. Então, primeiro aqui, vamos em frente e falar um pouco sobre a diferença entre mídia compartilhada e ponto a ponto que, ponto a ponto, essas são suas conexões seriais. São estes aqui. Estas são as conexões que você acabaria recebendo de um provedor de serviços normalmente, e isso pode ser um T um ou outro tipo de velocidade e T um é 1,44 megabits por segundo. Isso é realmente o que encontrar. T um, não o conector. Às vezes ele vem em um RJ 45 como este, mas que os fios estão conectados um pouco diferente. Ou pode entrar em uma conexão serial como esta. E como uma nota em G. N s três e G indústria. A propósito, são G e três. Vamos repassar isso muito mais detalhadamente se você não viu o início deste curso com configuração de laboratório e configuração que vai sobre Ah, muitos G.M . Três. Você quer ir em frente e olhar através disso, pois é o que eu vou usar principalmente durante as palestras de laboratório e mostrar como estamos configurando nossa topologia lá. Este é o símbolo aqui para um roteador à parte mostrado nos vídeos anteriores. E isso aqui esta é a conexão que simboliza uma conexão serial que é uma conexão ponto a ponto. Isso, no entanto, você pode lembrar de alternar e você tem nossos computadores conectados. Agora, em mídia compartilhada, você acaba tendo uma rede de transmissão. Você também tem um domínio de colisão. Porque se isto aqui não fosse um interruptor e, em vez disso, fosse ah, hub. Ah, e todos esses computadores aqui compartilharam a mesma mídia porque, lembre-se, ah, Hub basicamente apenas conecta eles como se fossem um grande fio que se separava de quatro maneiras. Então todos eles são capazes de transmitir nesta mídia ao mesmo tempo. E isso é uma conexão de mídia compartilhada, enquanto que ponto a ponto em uma conexão serial aqui que os dois dispositivos sabem que é uma conexão ponto a ponto. E eles sabem que há apenas um outro dispositivo nesse link, então eles podem ir em frente e se comunicar de acordo. Então eu gostaria de listar alguns padrões aqui, tanto quanto a mídia terrestre. Aquele 100. Eu sinto muito. 1000 baseado em T. Este é o seu par trançado não blindado. Cobre. Este é o seu RJ 45 links. O chá base é que este é U T P par trançado sem blindagem. Considerando que o seu 1000 base ver X, Este é o seu co axial. Se você se lembra, vai parecer muito com TV a cabo. Eles vão entrar em sua casa para TV a cabo onde você não tem, você é um pequeno fio de cobre individual lá, e então você está protegendo tudo em torno dele, e ele vai chegar ao seu fim com um top de parafuso lá que está cravado no final. Para ser capaz de parafusar em seu dispositivo que a base c x o 1000 baseado C X que é gigabit para 1000 megabits eo C X é o seu co axial que este tem uma distância máxima de 25 metros antes que ele precisa ter um booster de algum tipo ou repetidor o seu unblinded par torcido seu você tp. Isso tem uma distância máxima de 100 metros, e isso é em gigabit mente você que muda um pouco se você estiver usando uma categoria diferente de cabo e você acabar com 10 gig conexão em vez de uma conexão gigabit. E só para dar a vocês um pequeno sentido anos longe dos tipos de mídia de fibra que estão lá fora. Nossa 1000 base L X, que esta é a sua fibra gigabit de longa distância. Isso pode ser em um único modo ou modo múltiplo. Vamos repassar isso um pouco mais em um momento. Mas o que isso significa é que o modo único é altamente projetado e altamente específico para apenas um comprimento de onda de luz laser em sua linha de fibra aqui. E por causa disso, eles o colocaram onde ele tem uma atenuação muito baixa, que ele não perde muito de seu poder ou qualquer um de seus dados por muito tempo. Então você pode obter longas distâncias fora desses cinco quilômetros. Aqui é onde você acaba vendo sua rede de acesso metropolitana, seu homem, ou também seu caminho, e conexões de seu I S P podem ter um transporte de fibra traseira que é fibra de modo único para ir em frente e obter aqueles longos distâncias antes que eles precisem ter outro repetidor lá para impulsionar esse sinal novamente. E então você é 1000 base S X eu uso este s como thes curto alcance que este é em Lee, sua fibra multi-modo. Esse modo multi é um tipo mais geral de fibra multi modo permite mais tipos de luz. Ele também pode permitir a partir de mais largura de banda para seus múltiplos comprimentos de onda de luz para ser transmitido ao mesmo tempo. E isso tem uma distância muito mais curta, entanto, porque é mais geral em sua não tão altamente sintonizado para apenas um comprimento de onda de luz. Você só pode obter um máximo de 550 metros fora de sua fibra multi modo, e isso é, claro, dependente do comprimento de onda da luz que você está usando que você vai precisar ir em frente e confira um livro ah para obter um lista completa de todos os comprimentos de onda. Eles estarão disponíveis, entanto, como eu entendo no exame aqui. diz respeito aos tópicos, eles não estão realmente procurando que você conheça todos os comprimentos de onda específicos e suas distâncias apenas para saber que multi modo e fibra de modo único existem, e a diferença geral entre eles se movendo para nosso próximo slide aqui que eu aprendi uma lista como os diferentes conectores de fibra olhar também ouvir uma tabela, tanto quanto a codificação de cores para seus diferentes tipos de cabos de fibra e aqueles conectores que aqui vemos um monte de fibra diferente conectores. Você pode não ver muitos desses. Normalmente você é o modo único. Você não vai ver muito isso só porque não é o que você está usando no data center. É muito mais caro. Os transceptores de modo único não são compatíveis com cabos multifossos e vice-versa que você precisa de um transceptor específico para este tipo de cabo, você precisa de um cabo específico. É muito caro que no geral, você só não vai ver isso muitas vezes a menos que você esteja em uma configuração de provedor. Quanto a quando isso faria sentido que você realmente precisa dessa distância e seu modo multi. Geralmente estas jaquetas, a jaqueta sendo a cor do Jack comendo no cabo aqui, isso vai ser laranja e você é o modo único. A maior parte vai acabar sendo amarelo que o seu conector real pode ser bege ou preto. Geralmente sobre isso acaba correspondendo ao seu comprimento de onda, seu 62 um meio micro metro e você está 50 micro metro. Agora isto acaba por te dar um pouco de nomenclatura aqui. Você realmente não precisa saber muito. E no geral,não espero que precise se lembrar desta mesa. E no geral, Mas eu acho que é uma coisa boa saber que a cor do cabo e o tipo de conector a cor do conector que você está olhando, como faras fibra vai, tem um significado aqui que ele está tentando dizer que tipo do cabo que ele é, sobre o que ele é usado, para que você possa ser capaz de reconhecer isso prontamente enquanto você está no data center ou no seu campus em seu armário de rede para que as pessoas saibam realmente o que você está olhando e ter um melhor sentido do que é que você precisa fazer e onde as coisas precisam se conectar. E nosso próximo slide aqui iria em frente e dar um pouco de uma corrida para baixo da diferença entre o modo único e o cabo multi modo que já disse Modo Único pode ter execuções de tabela mais longas. Vimos até cinco quilômetros de cabo. Pode ser executado antes de precisar de qualquer tipo de repetição ou reforço de sinal. Isso é uma longa distância. Isso é um par de milhas aqui, que você poderia apenas ter linha de fibra correndo no subsolo antes que ele precisa se conectar a qualquer coisa e ter esse sinal impulsionado Multi modo é muito, muito mais barato, Embora o próprio cabo é muito mais barato, os transceptores ar muito mais barato a menos que você realmente precisa da distância para o modo único, multi modo vai ser o caminho que você está indo para ir. Modo único. Como expliquei, só carrega um comprimento de onda individual. Ele é altamente ajustado para que um comprimento de onda para ter o mínimo de atenuação de dados ou atenuação de sinal possível para que ele não perca esse sinal como ele é transportado através e multi modo pode transportar vários comprimentos de onda ao mesmo tempo. Então aqui neste pequeno diagrama de Venn aqui que tem multi modo, desculpe, modo único e modo multi aqui e, em seguida, as propriedades comuns deles. Aqui no seu modo único, você geralmente tem um núcleo de nove micrômetros e você tem maior largura de banda e menor atenuação que você pode obter banda maior com fora do seu comprimento de onda com modo único por causa da menor atenuação. E é geralmente usado em redes de telecomunicações, suas redes provedoras e ambas as redes multimodo e modo único usam fibra de vidro . Eles podem ser simples ou duplex que se voltarmos um slide aqui, eu quero ir em frente e falar sobre esse cara então você vê como isso é dividido em dois aqui , que este vai ser um lado transceptor em um lado receber do outro. Eu sinto muito. Transmitir lado de um lado e um lado de recepção do outro que é dividido em dois cabos separados, o que é interessante. Você pode ter alguns problemas onde você tem uma unidade de ligação direcional acidentalmente com suas linhas de fibra porque um desses caras acaba se desconectando e o protocolo de linha permanece ativo e ele continua recebendo. Mas não é capaz de transmitir nada ou vice-versa. Então, voltando para aqui, é faixa inferior com por comprimento de onda em modo multi devido à maior atenuação. É usado em seus sistemas terrestres e de segurança. Redes de fibra em geral. Como eu disse, se você realmente não precisa da distância, a super longa distância que você vai sair do modo único, simplesmente não há necessidade de pagar o dinheiro extra. E então, finalmente, eu queria cobrir. Aqui estão alguns conceitos básicos de Power over Ethernet, na medida em que isso acaba indo nos tipos fora de padrões que temos disponíveis aqui em baixo. Então, energia sobre Ethernet. Se você nunca ouviu falar disso, o que é que você pode pegar seu mesmo RJ 45 seu cabo Ethernet normal que vimos aqui atrás . Esse cara e você podem transmitir energia sobre ele de modo que para suas câmeras de segurança, seus pontos de acesso ou seus roteadores, você pode ter apenas um cabo indo para ele. Você pode ter mais flexibilidade na medida em que você está colocando esses dispositivos porque você não precisa ter energia por perto. Para poder colocar o seu dispositivo lá, você pode apenas ter este cabo ligado. Eles estão se movendo de volta. Estes progrediram ao longo do tempo. Onde $802.38 f é o padrão mais antigo. 80 é mais recente e BT é muito novo nestes progrediram que como nossos dispositivos se tornaram mais complexos que, você sabe, agora estamos fazendo seus pontos de acesso sem fio de alta potência e você sabe, câmeras I P. Eu pago telefones, é claro, mas nossos telefones estão ficando mais complicados. Telefones de vídeo construídos na câmera exigem mawr em seu tipo de câmera I P aqui em seu ponto de acesso sem fio , com diferentes tipos de tecnologias sem fio saindo, eles precisam de mais potência de transmissão e, portanto, os padrões necessários para recuperar o atraso e para fornecer esse poder através de Ethernet aqui. Isso mostra a categoria de cabo que é necessária para ser compatível com esses padrões . Sabe, 2,3 a F saiu há um tempo. Você só precisa da Categoria 3 para poder fornecer que sua potência máxima recebida no dispositivo final caia com o gato três. Só porque não é tão bem protegido e perde muito desse poder através da distância da linha que com o gato cinco, você vai chegar muito mais perto disso. 15 watts aqui em 2,3 80 fornecem um máximo de 30 watts e Bt fornece um máximo de 60 watts. Agora, eu me lembraria disso. Não, esses padrões aqui, quais são as letras e quanta energia cada um fornece, posso quase garantir que isso surgirá em algum momento. poder macho sobre Ethernet pode ser fornecido em um interruptor como vemos aqui mesmo que este interruptor realmente injeta energia nessas linhas aqui muitas vezes, você verá que o seu interruptor P o E. Nem todas as portas são peewee, menos que seja um switch caro, caso em que você pode ter todas as suas portas capazes de P O E. E em sua configuração no Cisco, você pode fazê-lo como sua energia em linha. Você pode desligar o seu p o E aqui fazendo energia em linha. Nunca você pode configurá-lo para um perfil específico, ou você pode ir em frente e apenas tê-lo. Auto, Negociar isso com Power over Ethernet. A forma como isto acaba negociando. Digamos que você tem, ah cabo saindo daqui e indo para um ponto de acesso sem fio aqui que a maneira como isso acaba funcionando é que o dispositivo P.O.E P.O.E que está injetando P.O. P.O. Ou vai ser seu interruptor aqui, ou será um injetor que se separará, e irá fornecer uma pequena quantidade de energia aqui. Quando este dispositivo liga e traz a programação, eles pedem desculpa. Quando este dispositivo liga para ele, traz a linha irá fornecer uma quantidade muito, muito pequena de energia suficiente para que se este não é um dispositivo P o e, ele não irá danificá-lo. E então ele vai esperar uma pequena resposta de volta que há um pequeno chip neste cara que vai em frente e enviar uma resposta de volta dizendo que sim, eu sou p o E capaz. Por favor, me envie poder e o que ele faz para que isso vá em frente e comece a enviar energia suficiente para que eles possam negociar qual quantidade de energia que eles realmente precisam enviar para cá. E não será apenas negociando para um padrão aqui. Esses padrões dão uma quantidade máxima de watts que este cara aqui, nosso ponto de acesso P o E pode realmente extrair tanta energia quanto ele precisa ou tão pouca energia quanto ele precisa até a quantidade máxima permitida pelo padrão que é suportado. E com um injetor de peewee aqui, isso seria Deixe-me ir em frente e limpar isso um pouco aqui com o injetor de peewee . É que dizer que você tem o seu interruptor aqui ligado e seu interruptor não é um interruptor p o e. Então você tem seu ponto de acesso aqui, e você precisa de energia sobre Ethernet para o seu ponto de acesso. Mas onde quer que seja este ponto de acesso, não tem energia por perto. Ah, então vá em frente e coloque um injetor de peewee. Então este injetor é uma pequena caixa separada. Isso geralmente é do tamanho de como seu adaptador de energia do laptop, seu tijolo para isso, que isso leva na Internet de um lado, e então ele também se conecta a uma tomada elétrica e cospe sua Internet com energia sobre Ethernet do outro lado do que, isso é o que você usaria se você tiver um switch não p o E, mas você precisa conectar um dispositivo P o e. Eu já vi isso usado muitas vezes com telefones I P que em muitos escritórios pode ser um escritório mais antigo . Eles não colocaram um interruptor de energia sobre Ethernet. Ou talvez não haja pessoas suficientes lá onde pensassem que era justificado colocar um botão de xixi. Então eles vão em frente e colocam um monte de injetores peewee. Simplesmente simplifica você, mesmo apenas o número de cabos sentados em sua mesa. Você não precisa de um cabo de alimentação e um cabo Ethernet entrando. Você pode simplesmente ter o cabo Ethernet chegando e fornecer energia para o telefone e, em seguida geralmente do telefone, você sabe, que pode até ter um cabo saindo dele e indo para o seu laptop ou para o seu a partir daí e forneça a conexão de rede em seu computador. Obrigado por ficarem comigo aqui, pessoal. Agora, assim como os outros. Vamos fazer algumas perguntas de treino antes de partirmos. Primeiro, você tem uma conexão que precisa de conectividade gigabit a uma distância de 200 metros. Que tipo de cabo você deve usar pelo menor custo? Você tem cabo de 200 metros. Você precisa didio e precisa ser a opção mais barata e você pode se lembrar de Koko real. Este foi o nosso mais baixo que só tem um máximo de 25 metros. Isso não vai fazer para 200 par trançado não blindado seu Ethernet normal, seu conector RJ 45. Este tem um comprimento máximo de corrida de 100 metros, também muito curto para os nossos 200 metros aqui agora entre multi modo e fibra de modo único. Primeiro, apenas dizendo p o nós sabemos que isso não está ferido tem apenas certifique-se de que você está prestando atenção, multi modo e fibra de modo único. Sabemos que ambos têm um comprimento de corrida longo o suficiente para obter os nossos 200 metros, mas qual é a opção mais barata? A fibra multimodo vai ser as nossas opções mais baratas. O modo único fornece uma distância muito maior A largura de banda superior em uma frequência individual e a fibra de modo múltiplo é mais barata e é a nossa resposta correta aqui. Seja o próximo. Qual o padrão mínimo p o e será que o seu p o nós mudar precisa ser compatível com a fim usar um poder de razão É ponto de acesso sem fio, que requer 30 watts de eletricidade para operar? Isso vai ser 802.3 a f atitude? 11 um x 802.3 80 ou 802.3 bt agora estar aqui é apenas um padrão sem fio que não é um p o e padrão em tudo como para ter certeza que você está prestando atenção novamente. Então essa não vai ser a nossa resposta no 2.3 a. F. F. Você deve se lembrar que este foi o primeiro padrão para Power over Ethernet. Lembre-se, como uma nota rápida que Cisco saiu com sua própria implementação fora de energia sobre Ethernet chamado em linha de energia que era antes 802.3 um f apenas como um pequeno tidbit lá em energia de linha não existe mais switches don não suportá-lo mais como um padrão que ele está passando pelo padrão da indústria agora de um f a t B T. Então um F fornece um máximo de 15 watts de potência. Isso não é alto o suficiente para os nossos 30 watts. Ele pode ligar a Web, mas o WAP simplesmente não vai ser capaz de operar em sua capacidade máxima. 802,3 bt. Esse é o nosso mais novo padrão que está saindo. Isso é um máximo de 60 watts de potência, muita energia capaz de ser fornecida através de um cabo com esse padrão lá. Sim, esta seria uma resposta correta se você selecionasse isso, Mas realmente, não é a resposta mais correta que, embora isso forneça a quantidade de energia necessária , não é realmente a resposta que Estou procurando. A resposta é C 802.3 80 que fornece um máximo de 30 watts de potência em nossa resposta é C. Agora eu espero que isso tenha sido informativo para você, e eu gostaria de agradecer por visualizar 6. Solução de problemas de 1.4: camada um solução de problemas de colisões, erros e incompatibilidades mais tarde. Um. Esta é nossa interface física e nosso cabeamento físico que velocidade e duplex são algumas características de interface física que você encontrará em seus dispositivos de rede e seu comprimento de cabo . Como nos lembramos com par trançado não blindado você tp cabo em. Esse é o seu RJ 45 normal que normalmente tem um comprimento máximo de corrida de 100 metros e que você é co eixo, seu 1000 base ver X cabo acaba tendo um comprimento máximo de corrida de 25 metros. Agora, o que acontece quando você vai acima dos comprimentos aqui? Bem, você acaba com alguns problemas estranhos de talvez algumas colisões e talvez alguns erros em sua interface que nós confinamos em nossas estatísticas de interface e os contadores quando entramos em nosso dispositivo. Então vamos primeiro começar aqui com colisões, tanto quanto colisões quando você dar uma olhada nas estatísticas da interface, que vamos pouco mais tarde aqui que um dos encontros de estatísticas vai haver colisões. Agora, o que faz com que Thies esta transmissão seja uma incompatibilidade duplex. Agora, o que é duplex primeiro? Então, com duplex, se você tem, digamos que você tem seu switch aqui e você tem seu servidor aqui e você tem uma conexão entre os dois. Então full duplex significa que ambos os lados são capazes de transmitir ao mesmo tempo que este cara, nosso servidor, pode ir em frente e transmitir e este cara é switch pode ir em frente e transmitir ao mesmo tempo. Ambos os lados são capazes de receber esse tráfego ao mesmo tempo. Tudo é feliz, desde que ambos os lados concordem que a linha é realmente full duplex. Agora, half duplex é quando Onley um lado pode receber ou transmitir de cada vez que Onley o switch pode transmitir e o servidor recebe e aguarda que o switch seja feito. E então o servidor transmite suas informações e faz isso para frente e para trás. Como você pode imaginar, isso realmente retarda nossa conexão substancialmente. Mas nossos cabos ocasionalmente só são capazes de desligar. Dispositivos semi-duplex ou muito antigos só são capazes de desligar o half-duplex agora. Às vezes, você recebe um erro de negociação. Veja. Duplex, na maior parte, é algo que é negociado. Você pode entrar em sua interface e fazer sua interface. Uh, interfase gig zero slash zero e fazer duplex full e que vai em frente e estaticamente definir full duplex em sua interface. Normalmente, porém, isso vai ser duplex auto e que você vai negociar automaticamente entre os dois. Mas digamos que você tem full duplex definido estaticamente em um lado e half duplex. Digamos que você faça metade duplex do outro lado, que esse cara, o servidor, está configurado estaticamente para half duplex, e esse cara para alternar é considerado estaticamente para full duplex que isso pode causar colisões. Por quê? Porque quando você está Switch pensa que é em full duplex, certo? Ele pensa que pode transmitir, independentemente de o servidor estar transmitindo ou não. E, em seguida, quando o switch decide transmitir enquanto o servidor está transmitindo quando o servidor não está esperando isso porque ele está em 1/2 duplex por aqui. Assim que ele recebe a transmissão de dados lá e está em half duplex e está transmitindo ao mesmo tempo, isso é um boom de colisão feito que nós causamos uma colisão e lembre-se. Tudo bem, então no seu servidor, você provavelmente não será capaz. Teoh, encontre as estatísticas da interface em qualquer lugar e veja onde estão suas colisões. Mas digamos que isto não é um servidor. Digamos que em vez disso é um roteador aqui e que esses caras estão conectados e isso é half duplex e isso é full duplex e que esse cara está tentando transmitir, e é enquanto esse cara está transmitindo. Esse cara aqui vai esperar que se achar que só um Seiken transmitiu uma vez então você causa uma colisão e verá nas estatísticas da interface aqui que você pode causar colisões. A outra coisa que pode causar colisões é se o cabo executar é muito longo, que devido ao tempo de propagação, a quantidade de tempo que leva para que seu sinal se propague através de todo o comprimento do cabo aqui. Se esse cara diz, tipo, tipo, você sabe, 300 metros em vez de seus 100 que ele está realmente em um máximo off, então você pode causar colisões tardias que esse é o contador que você vai acabar vendo incremento quando você tem um cabo que é muito longo. Então, se em algum momento você abrir sua interface, você vai mostrar interface e você vê que você tem colisões tardias lá. Você pode apostar que provavelmente o seu problema é que seu cabo é muito longo e que você vai precisar adicionar um switch ou switch para um cabo de fibra ou algo ao longo dessas linhas para ir em frente e resolver isso, tanto quanto a nossa incompatibilidade duplex, os efeitos que você verá isso são apenas colisões padrão. Isso não causa colisões tardias, e é difícil encontrar isso às vezes o que vai acabar causando com isso é que porque você continua tendo isso de volta de um lado, está tentando transmitir do outro lado transmite, E então você tem um afastamento porque ambos estão transmitindo ao mesmo tempo e causar uma colisão é que você acaba com uma quantidade substancial de lentidão, tia. Pequenas quantidades de tráfego, pequenas quantidades de tráfego realmente não vai sofrer aqui. Ah, que você pode fazer pings e você não vai ver nenhum problema. Você verá a mesma quantidade de Layton ver, e você não verá nenhum problema lá. É em Lee quando você começa a ter ah muito de ida e volta que um lado quer transmitir enquanto o outro lado está transmitindo e você acaba com suas colisões. Agora, quanto a erros na sua interface. Ocorre um erro quando ah, dados de quadro ou as verificações não estão em conformidade com o padrão. Isto foi mesmo um encontro? Então, no seu cabeçalho você tem um pedaço de dados que é chamado de CRC o ciclista. Verificação de redundância. Agora, este item é geralmente somando e é um resumo dos dados que estão localizados aqui que você tem, você sabe, algum pagamento e que seu CRC é um cheque desses dados que quando você aplica um algoritmo ao seu carga aqui, que deve coincidir com o CRC que está lá. Se não acontecer, então você sabe que sua carga foi degradada durante a transmissão ou você é C. R c tem que classificar durante a transmissão ou que é a interface em si. Você tem seu roteador aqui transitando para o seu switch que talvez esta interface no roteador aqui, que isso não está realmente transmitindo os bits que o roteador quer que ele transmita, que ele está quebrado de alguma forma, ou que a interface do switch aqui que está quebrado de alguma forma e não está recebendo os bits que ele precisa. Aqui é onde você verá erros de entrada que isso indica problemas de interface na outra extremidade do cabo que quando você tem um erro de entrada, isso significa que este cara não está transmitindo corretamente um erro de saída, que é aqui que você tem problemas no seu lado do cabo, que do seu lado, quando você tem um erro de saída, que sua interface não está funcionando corretamente ou pode apenas ser sobrecarregado que isso acontece também. E o erro CRC de que isso, como eu disse, Onley, indica que seus dados foram degradados em algum momento durante a transmissão e recepção, que ou é o seu cabo ou a sua interface algo no meio ou em ambos os lados. Isso está tendo, ah, momento difícil aqui e isso está causando degradação de seus dados e nós vamos dar uma olhada. Em breve entrará na linha de comando. Vou mostrar-lhe onde esta informação está localizada e como encontrá-lo em suas estatísticas de interface e onde ela está localizada em seus contadores Agora, medida em que velocidade e duplex ir agora, lembre-se, este é um como eu disse, e isso faz parte de sua configuração de interface física no dispositivo, uma incompatibilidade quando você tem uma incompatibilidade duplex. Como dissemos, isso causa colisões E quando você está lidando com dispositivos Cisco, CDP também mostra um aviso de que aqui está uma captura de tela disso agora onde temos CDP. Esta é uma mensagem de nível quatro para incompatibilidade duplex Um duplex duplex incompatibilidades descobertas todas uma ethernet zero barra zero zero. Esse zero barra zero localmente não é full duplex com marketing pc, que é o que estamos conectados. Teoh em gigabit uma barra zero no PC de marketing que essa interface está configurada como full duplex. Esta é uma mensagem longa CIS gerada. Então, se você tem um coletor de cisto longo que está configurado para ir em frente e obter suas informações todas coletadas centralmente, você pode ver esta mensagem de log sis lá e que isso acabaria dizendo que você tem uma incompatibilidade duplex e você precisa ir para um lado ou outro e configurar estaticamente ou investigar por que a negociação automática não está acontecendo corretamente. Quanto à incompatibilidade de velocidade, vá. Então, primeira velocidade. Como isso é configurado? Primeiro você entra em sua interface, nós vamos interfase. Sem Ethernet, hein? Zero barra zero e que nós apenas fazer velocidade velocidade. Poderíamos fazer 100. Este é um megabits por 2 100 megabits, 10 megabits por 2 1000 ou auto. Agora, importa-se que isto é para gigabit, certo? 10 megabits 100 megabits. Se você tem 10 conexão gig, isso realmente só vai chegar com negociação automática. Não existe tal coisa como fazer uma conexão estática de 10 gigabit que você precisa apenas configurá-la como auto. E se estiver configurado corretamente em ambas as extremidades, ele aparecerá como uma conexão de 10 gigabit. Agora, se você tem este difícil codificado para dizer que é, você sabe, 100 megabits neste site e, em seguida, do outro lado você faz hard-codificado de velocidade 1000 na outra extremidade esta interface Digamos que você tem seu roteador e seu interruptor. Estão ligados entre si como 100 deste lado. 1000 deste lado. Isto não vai aparecer. A interface realmente não vai aparecer em tudo. Você não terá nenhuma comunicação entre os dois hard-coded, configuração de velocidade incompatível não irá trazer a interface. E eu vou mostrar-lhe sobre isso muito em breve aqui quando avançarmos e entrarmos no CLI. Então vamos fazer isso agora. Será a nossa primeira olhada aqui no G. N s três e como isso está configurado agora. Em seguida, traga o GNS três. Aqui está a interface. Se você quiser saber como configurar isso e fazer a árvore GNS funcionar, por favor, veja. Visite o início da Siri aqui sobre a configuração do laboratório e veremos como configurar tudo isso e onde obter as finais que você precisa. Mas aqui eu tenho R um roteador, e eu tenho interruptor de uma hora, e agora eles estão ambos ligados. Eu não fiz nenhuma configuração para eles. Eles estão ambos em seu padrão agora que são um aqui está conectado em Ethernet rápida zero tamanho zero e switch. Um está conectado na Internet zero barra zero. E, de fato, vamos em frente e colocar nossos rótulos de interface aqui para que possamos lembrar onde eles são agradáveis e fáceis. Então, primeiro, vamos em frente e saltar sobre o nosso roteador e ver o que está acontecendo lá. Então vamos em frente e pulamos aqui agora mesmo. Vamos mostrar ao vizinho do CDP que na verdade não temos vizinhos do CDP aqui agora. E eu me pergunto por que é isso. Vamos em frente e apenas habilitar e fazer um show. Ou sinto muito, vamos fazer um show em status. Eu sinto muito. Um show que eu p e breve. E, na verdade, temos apenas administrativo para baixo em todas as nossas interfaces agora. Isso significa que a interface está desligada. Eso terá de ir em frente e abrir para um não fechado na interface que foram conectados ao qual é rápido Ethernet zero barra zero e leste em zero barra zero na outra extremidade. Então vamos em frente e ir para o condenado ou ir para a interface rápido zero barra zero Nós vamos fazer Ah, sem chance. Vamos sair do modo de conflito. Aqui vemos a mudança de estado do pé para cima e isso eo alarme claro para o estado administrativo para baixo. Então isso é limpo que admin downstate e que agora ele mudou o estado do protocolo de linha para cima. Agora, isso está conectado a um interruptor na outra extremidade. Certo. Então, aqui no switch, isso tem a árvore de abrangência habilitada. Então nós vamos ter que passar por nossos estados de árvore abrangendo antes que essa interface realmente apareça em ambos os lados. Nisso, começamos a obter tráfego CDP entre eles para poder ver nossa mensagem de erro. Então vamos em frente e saltar de volta para o nosso aqui e ver se isso já surgiu. E tem que temos nossa incompatibilidade duplex CDP descoberto em rápido mesmo em 00 não é half duplex em fast, você acha que seus zeros foram full duplex nesta extremidade, e que na outra extremidade no switch é o que o nome do host é Ethernet 00 ou seja, half duplex na outra extremidade neste é apenas porque no Genesis três, a camada padrão para alternar imagem aparece com as interfaces como sendo half duplex por padrão, porque eles são apenas 10 interfaces megabit. Eles são semi-duplex, então ele é executado sobre sobre o interruptor aqui e vamos ver o que está acontecendo lá que nós vemos . Temos um punhado de mensagens de registro da irmã. Aqui vamos em frente e pressione enter e temos nosso sistema de mensagens aqui que vamos e fazer um show interface Ethernet 00 e isso é realmente bom. Vou esperar um momento antes de pressionar a barra de espaço para descer aqui. Vamos passar por esta seção e esta saída aqui que esta é a primeira vez que você pode estar vendo isso, que nós temos nossa interface aqui. Que é para cima. A interface física está ativa, o protocolo de linha está ativo. Normalmente, se você está lidando com Internet, você vai ver que você é físico. Interface e protocolo de linha estão sempre ligados, e caso contrário, você só vai ficar para baixo, para baixo. É muito raro que acabes por ver o teu protocolo de linha abaixo. Se você for Ethernet, interface está ativa. Normalmente você vê isso em algo como, uh, interfaces seriais onde você tem a capacidade de seu LPC estar inativo. Mas a sua interface física está ligada. Temos nosso endereço Mac fora da interface aqui e qual é o hardware. Temos a nossa MTU, a unidade máxima de transmissão. Nosso configurado uma banda com isso é um item configurado de largura de banda na interface. São 10 megabits, 10 megabits por segundo e o que o nosso atraso configurado é isso é usado na configuração do protocolo de roteamento , Aziz. Bem, como para rastreamento de interface também que você pode dio Ah, objeto de rastreamento para manter o controle deste e mover sobre o caso em que a transmissão de carga carregado confiabilidade carregado muda muito em tudo. E aqui temos nossas vidas de guardião. Esta é a coisa que eu quero ver. É a nossa auto duplex e velocidade automática. Agora só porque estamos no GNS três, ele está nos dizendo que nosso tipo de mídia é desconhecido em que Nós não temos qualquer controle de fluxo de entrada ou saída , mas isso tudo vai olhar aqui é nosso auto speed auto duplex. Agora, já que temos isso, vamos ver se temos alguma colisão acontecendo aqui. Se eu ir em frente e pressionar barra de espaço para descer mais uma vez, que na verdade não temos quaisquer colisões ainda. Podemos não ter tráfego suficiente entre os dois para termos colisões. O único tráfego que temos é apenas o CDP. Nós vamos ter algum tráfego de árvores abrangendo em segundo plano também. Mas isso é sobre tudo. Provavelmente não há o suficiente para ter causado colisões. Mas aqui nesta seção inferior, é aqui que você tem seus erros de entrada. Vocês são cheques da CRC. Seus overruns, seus runs seus gigantes agora são quadros que são muito pequenos aviões Giants que são muito grandes que se você tem, ah, ah, quadros grandes configurados em uma extremidade, mas não na outra. Você vai ter gigantes deste lado porque ele não está configurado para permitir quadros que são tão grandes. Mas aqui em baixo, temos nossos erros de saída, e nossas colisões também permitem que você saiba quantas redefinições de interface. As colisões tardias também estão listadas aqui. Então vamos voltar para o nosso roteador por um momento. Continuamos a receber mensagens deste lado. Vamos em frente e configurar. Sim, esqueci-me do T ali no final. Vamos configurar nossa interface. Nossa temporada rápida é que você é zero para half duplex, então vamos fazer interface rápido seu a barra zero. Ele vai metade duplex e vai terminar um estado de alteração para baixo estado de alteração para cima redefine sua interface quando você ir em frente e alterar seu duplex. Isso não é mais negociação automática. E vamos voltar para o nosso interruptor aqui. Se fizermos um show vizinho do CDP, certifique-se de que ainda estamos vendo nosso vizinho. Lá estamos nós. Isso é excelente. Se deixarmos isso aqui por um tempo, veremos que não vamos mais receber nossas mensagens de log da CIS que se voltarmos para nossa interface de show que aqui ainda estavam em velocidade automática e auto duplex. E então, se voltarmos para o nosso aqui e você mostrar interface rápido seu tamanho zero, eles ouvem que na verdade não quer fazer half duplex porque está em 100 megabits. Vamos passar por cima e você config t interface rápida sua barra zero Vamos fazer velocidade 10 e metade duplex e , em seguida, fazer uma interface show rápido sua barra zero como uma pequena nota quando você está dentro do modo de configuração. Para fazer um comando show no dispositivo IOS, você precisa incluir o comando do no início. Sua aba Auto complete não funciona quando você coloca o modo de configuração duradoura aqui, mas isso permite que você seja capaz de fazer um comando show sem fazer todo o caminho para fora que agora aqui estamos em 10 megabits Half duplex. Vamos terminar foi percenter algumas vezes. Sai daí e podemos voltar para o nosso interruptor 1. Agora que você já viu como fazer nossa configuração de velocidade e duplex sobre onde encontrar onde está listado, qual é a velocidade atual e configuração duplex, Vamos realmente muito rápido aqui. Mostre que fazemos um show, Roland para Ethernet tamanho zero zero. Eu sinto muito. Vamos apenas fazer um show, correr e ir para a nossa Internet zero barra zero Acontece que mostrar que nossos duplexes definidos como auto em que nossa velocidade não está listada aqui que por padrão sua velocidade será definida como auto também. E se saltarmos de volta para o roteador muito rápido e apenas fazer um show run aqui também, nós damos uma olhada no uso rápido em que zero barra zero eles Aqui temos nosso conjunto duplex toe, velocidade de meia hora definida para auto, dependendo do seu IOS versão e que tipo de vício você tem. Você pode ou não pode ver que duplex e speed auto estão aqui em. Ele pode não aparecer como um padrão de ser desligado, é por isso que é bom ir em frente e verificar sua configuração em execução. Verifique sua interface. Stets no DSI. Como tudo é assim que você ligar seu dispositivo aqui antes de assumir qual é a configuração atual. Então, já passamos por isso. Vamos voltar para o nosso power point brevemente aqui, e vamos passar para algumas últimas perguntas de treino antes de fecharmos para este vídeo. Primeiro, todos os funcionários estão reclamando. Acesso muito lento ao servidor de arquivos. Você não está vendo nenhuma perda de pacotes ou Layton incomum. Veja quando efetuar ping no servidor. O que provavelmente será o problema agora que falamos sobre isso brevemente, é que se você tem seu servidor aqui e você tem seu switch aqui e ele está conectado e você tem, digamos, half duplex aqui e full duplex sobre aqui, que você vai ter colisões quando há muito tráfego acontecendo. Mas quando há apenas um pouquinho de tráfego que você realmente não vai ver um monte de problemas, você vai acabar vendo que está tudo bem. Layton não vê perda de pacotes. Tudo seria OK que você realmente precisa ir para a interface e verificar para ver se isso é half duplex e verificar para ver em seu servidor suas roupas de cama. Servidor Windows Mac. O que você tem e ver se essa interface está configurada para duplex. Então, aqui ele vai estar em incompatibilidade duplex na conexão de servidores para o switch. Agora, vamos apenas esclarecer o que é essa terminologia nos interruptores. Link on up link é o que você usa para ficar mais alto em seu pedido de desculpas. Então isso seria assim Nós temos nosso interruptor aqui e nosso servidor aqui e que este interruptor se conecta aos nossos switches de distribuição aqui que se conectam aos nossos switches centrais aqui e esse cara e esse cara e esse cara. E lá vamos nós que estes aqui são o link para cima para subir mais alto em nossa topologia e que este ano seriam os servidores ligados para entrar na rede e que o problema aqui provavelmente seria uma incompatibilidade duplex na conexão de servidores para o interruptor que mesmo se você tem uma estação de trabalho ah aqui e uma pessoa trabalhando e eles estão tentando acessar o servidor, eles podem ver lentidão. Então isso acabaria realmente confirmando e reafirmando que a resposta é B uma incompatibilidade duplex na conexão dos servidores ao switch. E o segundo aqui. Qual contador de interface pode indicar uma execução de cabo que é muito longa? Nós conversamos sobre isso também que devido ao tempo de propagação para obter uma transmissão de uma extremidade do cabo para a outra, que 100 metros é a regra de ouro para par trançado não blindado Categoria cinco, Categoria seis cabo que Isso vai acabar causando problemas com colisões tardias. O inter aqui é Ver agora espero que este tenha sido informativo para você e eu gostaria de agradecer-lhe para ver. 7. Conceitos de 1.5 5 camer 2: lá para mudar os princípios em mais tarde para. Este é o lugar onde nosso quadro Ethernet existe. E primeiro, quero ir em frente e falar sobre o tipo de endereço que usamos na Camada 2. E então, a partir daí, vamos em frente e falar sobre quais switches de camada dois executam a definição de um switch e qual é o seu principal trabalho aqui e como ele difere de Ah, Hub. Então, primeiro, vamos falar sobre o endereço que usamos na Camada 2. Esse é o nosso endereço Mac. Isso é o endereço de controle M A C de acesso à mídia. Esta é a camada para endereço que usamos. É um endereço de 48 bits que é escrito em Hexi Decimal. Normalmente, está escrito com Coghlan entre cada dois personagens. Cisco vai em frente e escreve-o como um grupo de quatro personagens e um período quatro. Em um período e quatro, você verá isso escrito de maneiras diferentes, com base no fornecedor com o qual você está trabalhando e apenas na preferência. Mas, independentemente disso, é um endereço de 48 bits que consiste em 12 caracteres decimais Hexi. A unidade de dados de protocolo, mais tarde, é o nosso quadro. Então é aqui que você teria sua Ethernet livre aqui, e essa é a sua unidade de dados. Há transmissão de unidades de transmissão e endereços Mac multi-cast. Você realmente não precisa se preocupar com os intervalos multifundidos aqui para seus endereços da Camada 2 . É bom saber que seu endereço de transmissão é todo EFS. Eso você verá aqui em breve que irá em frente e fazer um laboratório e eu vou puxar tubarão arame aberto e mostrar-lhe que o endereço de transmissão é tudo EFS que especificamente um irá demonstrar AARP. Isso é um R P. O protocolo de resolução de endereço. Isto é o que é usado para traduzir endereços Mac em endereços I P ou realmente vice-versa é traduzir o seu endereço i p em quem possui esse endereço Mac ou qual endereço Mac possui esse endereço I p. Então, avançando um pouco agora que entendemos que temos nosso endereço Mac aqui, que é nossa camada para endereço, e isso é o que é usado para obter dados para o host correto em um domínio de transmissão ou em um segmento compartilhado . Então você pode falar sobre o que um interruptor faz e qual o papel que desempenha aqui, então eu vou mudar o propósito principal. Então eu tenho um interruptor aqui e nós temos quatro computadores PC um PC para PC três PC para, e o que um switch faz é primeiro, ele divide cada um desses links em seu próprio domínio de colisão. Lembre-se que falamos sobre o que é um domínio de colisão é que é um fio compartilhado, que é aqui que você pode transmitir e receber de cada lado. E isso porque estes estão todos espalhados em seus próprios domínios de colisão, que podemos obter uma largura de banda total entre dois, especialmente quando é full duplex que se este cara e este cara PC um dos B C três guerra para transmitir ao mesmo tempo não importa porque estes são seus próprios domínios de colisão separados. Quando isso coloca tensão na linha para ser capaz de transmitir esta linha aqui não tem um aumento na tensão ligado. Isso é realmente o que colisão não significa é agora o que ele faz ir. Isso é tudo isso? Assumindo que eles estão na mesma vitela em que falamos sobre as terras antes, que nós vamos assumir agora que este interruptor não está segregado em nenhuma terra V separada , nós só temos um vilão em toda esta área aqui então, assumindo que esse papel na mesma aldeia é que eles estão no mesmo domínio de transmissão. Agora, o que isso significa? Significa que um PC diz que ele vai em frente e envia em pedido AARP. Certo? E isso será enviado para todos os EFS para o endereço Mac. Então, um endereço de transmissão lá e o que isso faz é que diz que eu tenho este endereço I P. Diga que é 10.10 ponto n 0.1. Ele vai enviar o pedido AARP com um destino de todos EFS dizendo, poderia a pessoa ou poderia o computador que possui 10 pontos n ponto n 10.0.0.1? Por favor responda. Uh, e a resposta será como, Sim, Sim, eu tenho tendência, assistir assistir a uma vez. Meu endereço Mac é 10 dois-pontos, coluna zero c dois-pontos. Que seja, seja o que for Ah, e dê-lhe o endereço do Mac da máquina que possui esse endereço. Então, um trabalho principal de switches é saber qual dispositivo qual endereço Mac vive especificamente fora de Qual porta? De modo que quando o PC quatro envia em um quadro que é destinado para o endereço Mac fora do PC para que o interruptor, assumindo que ele sabe onde o PC dois vive. Que este interruptor vai enviar esse quadro no Lee para PC e não para qualquer uma das outras máquinas aqui em que ajuda você a manter sua largura de banda porque você não tem um monte de tráfego desnecessário inútil indo para outros dispositivos que não precisam vê-lo. E ajuda a manter a segurança para garantir que apenas os dispositivos para os quais o tráfego está destinado são aqueles que estão realmente recebendo esse tráfego. E ajuda a manter a segurança para garantir que apenas os dispositivos para os quais o tráfego está O switch procura a origem do endereço Mac dos quadros recebidos e é assim que aprende onde estão os dispositivos. É que quando o PC envia um quadro para o interruptor aqui, um dos atributos desse cabeçalho eternidade aqui vai ser o endereço Mac de origem, e que vai estar dentro do cabeçalho Ethernet. Então, quando esse quadro entra, o interruptor vai em frente e olha para cima em sua mesa de cam. A memória endereçável de conteúdo para ver se ele já sabe que esse endereço Mac vive fora dessa porta. Se isso acontecer, ele vai em frente e redefine o temporizador de envelhecimento para ele, e eu vou explicar isso um pouco mais em apenas um momento. Se não tiver a entrada em sua tabela. Já, ele vai em frente e cria um que diz Grande. Agora eu sei que o endereço Mac para PC duas vidas fora de pobres, também. Ellis é um esporte três, pobre, quatro, pobre cinco e a mesma coisa para PC um. Quando ele envia ah frame para o switch, ele vai olhar para o endereço Mac de origem no cabeçalho Ethernet e ver que o PC um vive fora da porta cinco. Ele vai escrever isso em sua mesa cam para que ele sabe quando PC quatro dizer, por exemplo, envia ah quadro em que é destinado para o endereço Mac do PC um. Ele irá Onley encaminhar que quadro para fora porta cinco e não qualquer uma das outras portas. Soas faras envelhecimento vai, Você sabe, quando um quadro entra no switch e ele aprende em que porta esse endereço Mac vive nele . Lee confia nessa informação por um certo período de tempo antes de decidir que isso pode não ser mais preciso. Por padrão. Essa quantidade de tempo é de cinco minutos ou 300 segundos que quando um quadro entra e ele descobre que o PC um está fora da Porta 5, ele saberá que o PC um está fora de uma porta cinco minutos, e quando recebe outro quadro, ele vai em frente e re definir esse temporizador de volta para cinco minutos novamente em. E então, dessa forma, é se houver cinco minutos de atividade, cinco minutos de nenhum quadro sendo atingido ou recebido com um endereço Mac de origem do PC um do que essa entrada na tabela é removida. Agora, o que acontece quando ele recebe um quadro destinado para PC um, e ele não sabe mais em que porta PC um vive. Bem, para ter certeza de que o switch entrega o quadro da melhor forma possível para ter certeza de que o dispositivo final realmente o recebe, ele faz. O que é chamado de inundação é que inunda o quadro de todas as suas portas e age como uma transmissão . E vamos olhar para isso um pouco mais no slide a seguir aqui. Assim, com fording quadro e inundação, quando o interruptor recebe ah frame e olha para a fonte primeiro e vai em frente e escreve isso em sua mesa de acampamento, a próxima coisa que ele olha é o destino. Então, como eu disse, se ele sabe onde esse destino mora. Se ele souber que vive fora de uma porta um ou de uma porta dois ou três, ele irá em frente e encaminhará essa porta para se certificar de que ele só vai para o dispositivo para o qual está destinado. Se ele não sabe, no entanto, no entanto, ou é uma transmissão, se é tudo EFS, então ele vai em frente e encaminhar isso para fora. Todos os portos, exceto o que veio em um. Este é realmente um conceito muito importante para lembrar é que eu vejo isso nos exames Cisco o tempo todo é quando um switch recebe um quadro para um endereço Mac de destino, que não está localizado na tabela de acampamento ou recebe um quadro de transmissão. Então, o que faz com ele? Ford está fora de todos os portos, exceto o porto em que entrou. Então vamos em frente e demonstrar isso. Apenas um pouco mais no laboratório aqui é que eu vou mudar para GM s três por apenas um momento e mostrar-lhe que temos a mesma configuração aqui PC um pc para pc três p c quatro e vamos em frente e definir isso como o 10 000 barra 24 Rede. Ainda não fiz nenhuma configuração nesses dispositivos, então vamos em frente e configurar nossos endereços I p e certificar-nos de que nossas portas estão abertas. E então vamos em frente e fazer um pequeno tubarão de arame rápido para mostrar o que o pedido da AARP responde. E parte do tráfego que está acontecendo aqui até agora primeiro em geral, PC um habilita o Condenado E. E, na verdade, apenas para mudar de volta por um momento aqui, apenas para mostrar que eu tenho tudo isso conectado a ela rapidamente Portas Ethernet 00 aqui, vamos em frente e movê-los para que sejam um pouco mais fáceis de ver. Lá vamos nós, então tudo está conectado ao rápido Ethernet 00 em cada um desses dispositivos. Então vamos voltar ao PC 1. Interface rápida. Seu zero realmente fazer um show do I p em breve, muito rápido e rápido. Seu zero está acima agora, mas não tem um endereço IP. Vamos em frente e faço o endereço. 10 001 24 bit minidisco e, em seguida, vamos saltar para PC para real rápido aqui habilitar show I e. Interface breve. Isto também é para cima. Vamos para a interface do condenado T. Ano rápido zero. Eu endereço P 10 00 para 24 bagunça bit e, em seguida, vamos em frente e saltar para PC três. Muito rápido aqui. Ativar? - Claro. Você sabe, breve. Na verdade, uma coisinha útil aqui é um monte de vezes que você vai ter um monte dessas interfaces que são todas não atribuídas. Eu gosto de ir em frente e não excluir não atribuído, e isso realmente não mostra nenhuma interface aqui porque eles estão todos em um assinado. Mas se excluirmos para baixo, então temos nossa única interface aqui que está ativa, mas não está atribuída. Vamos voltar ao nosso terminal de configuração, rosto deles mais rápido. Zero i p. endereço 10 003 Também 24 máscara bit. E, por último, vamos para o PC 4. Supostamente capaz de mostrar que respiro. E isso também subiu de 50 no ano passado. Zero i p endereço 10 004 24 máscara bit. Lá vamos nós. Então agora que temos isso acontecendo aqui, é realmente saltar para aqui para o nosso interruptor muito rápido e vamos ver se nossos vizinhos do CDP estão no ar. Vá em frente e ative mostrar vizinhos CDP. Ah, e lá estão eles PC 123 e quatro, todos mostrando para ser rápido o seu zero sobre isso e Ah, e Ethernet 00 é o seu um terça-feira ou três no lado local aqui? Então vamos em frente e saltar de volta para o GNS três e vamos fazer uma captura de tubarão arame. Não, eu não quero uma atualização. E vamos dar uma olhada bem rápido aqui no que está acontecendo? Isso aqui é bem rápido? Nós temos algum tráfego de árvores abrangendo que a árvore de abrangência acabará passando em muito mais detalhes mais tarde. Mas vamos dar uma olhada na interface dos tubarões de arame por um momento. Aqui está que primeiro temos aqui o número do pacote, o tempo este é o tempo relativo quanto a quando a captura foi iniciada. A Fonte. Endereço do Mac Endereço do Mac de destino. Agora, isso mostrará o endereço de nível mais alto disponível. Então, uma vez que estes são camada para quadros que estão passando e eles não têm endereços I P , então eles não estão mostrando um endereço. Caso contrário, eles iriam, mas eles estão mostrando um endereço Mac, e ele pode nem mesmo mostrar um endereço Mac se não houver um disponível para o tipo de tráfego que está passando por lá aqui, nós Tenho protocolo de tronco dinâmico para negociar um tronco. Você está abrangendo árvore na DSI DPR informações CDP aqui que isso é tudo bom e elegante, mas vamos em frente e tentar pendurar. Então estamos em P.C. P.C Um é o único que estamos fazendo isso. Capture contra aqui entre o PC um e o switch um. Vamos voltar ao PC 1 e dar uma olhada rápida na tabela AARP. Se eu mostrar que eu tenho relações públicas agora, ele sabe onde ele está. Mas isso é tudo porque nós não tentamos acessar nenhum dos outros endereços I P, então nós não sabemos onde eles estão ainda, mas nós vamos em frente e fazer Ping 10 002 É muito normal perder o 1º 1 enquanto esperamos pelo AARP. Responda. Se eu fizer um show que eu p r coloca show I p R. que sabemos que dez anos, ano ou dois é neste endereço Mac. Se saltarmos para PC para por alguns momentos aqui e fazer uma interface show rápido. Seus livros zero mostram interface rápido ano zero que vemos este endereço Mac aqui. Veja, um 010 B 310008 é o mesmo que o “America Address Here “, vê? A 010 B 310008 que. Esse é o endereço Mac dessa interface. Vamos para o nosso tubarão de arame. Vamos parar de capturar para que possamos voltar aqui para a área roxa, que vai ser onde nossos pings estão. E logo antes disso, temos nossos ARPs. Então nós temos nosso pedido AARP aqui. É quem tem 10.0 ponto zero ponto para dizer 10. Será que o seu não o seu um tem uma fonte. Mac, endereço aqui. Já reparaste aqui no mesmo endereço Mac daquele dispositivo e depois no seu destino ? Se abrirmos o quadro Ethernet aqui, o cabeçalho Ethernet, o destino é transmitido é tudo efs e que quando ele envia essa transmissão, eles aqui temos a nossa resposta que PC recebeu essa transmissão porque era Ford fora todos fora das portas do switch. Então isso foi encaminhado aqui e aqui e aqui e todas essas máquinas pc para PC três pc para todos recebidos que a transmissão, mas Onley pc para realmente tem que eu p endereço o 10 002 então apenas PC para estava interessado em ir em frente e responder para aquele braço. Então, se voltarmos a resposta AARP aqui vemos que o endereço Mac de destino é agora a fonte. Mac aborda os computadores, endereço Mac e a origem é PC para. Então agora o protocolo de resolução de endereço respondeu, Agora realmente tem a mesma informação novamente na resposta AARP real aqui como isso dá tanto o remetente Mac e Target Mac endereço. Mas nós poderíamos obter a mesma informação apenas a partir do quadro Ethernet aqui, é claro também. Agora eu espero que você entenda aqui que o interruptor se nós formos em frente e vamos fazer isso Vamos em frente e fazer uma captura aqui. Na P C 4. Deixe-me ver se consigo mover isto. Um pouco melhor é do PC um. Eu quero fazer isso. Eu quero ir em frente e pagar pc três. Lembre-se, estamos fazendo uma captura aqui do PC 4 para trocar um e do PC um. Nós ainda não sabemos onde o endereço Mac está fora pc três de 10 003 Então eu quero mostrar-lhe que a transmissão o pedido AARP não aparece aqui no PC quatro, mas que PC quatro não responde se vamos dor 10 003 Boom! Aqueles pings passaram e aqui acaba demorando um pouco. É Ah, o tubarão de arame está um pouco atrasado quando você está trabalhando no Genus Tree. No que diz respeito ao tráfego aqui também, é um pouco interessante e isso nunca surgiu. E se eu continuar pagando dezenas de anos aqui e Wire Shark não estiver trazendo nada para nós aqui que é ah decidindo simplesmente não nos dar o que queremos. Vamos em frente e parar com isso aqui. Se pararmos de capturar e começar a capturar jovens, vamos tentar isso mais uma vez, porque ping pc para Tudo certo. Então, há nossos pings lá para dio-claro são Vamos em frente e ping dez anos. Você tem três anos. Sim, ele é imediatamente conhecido e obteve uma resposta. Houve um ARP gratuito porque liberamos o dinheiro da AARP. Pediu para saber onde estava novamente. Você vai ter que acabar acreditando na minha palavra aqui que a transmissão é realmente forjada. Todas as interfaces aqui, exceto aquela em que veio como a transmissão sempre funcionará agora, assim como as outras seções. Vamos passar por algumas perguntas de treino antes de terminarmos aqui. Primeiro, Qual é a quantidade padrão de tempo que uma entrada ficará na mesa de acampamento sem um quadro recebido de você. Lembre-se de que o tempo de quantidade padrão é de cinco minutos, que é 300 segundos. A resposta aqui é C 300 segundos e, por último, por último, como é tratado um quadro de elenco exclusivo que é recebido para um destino desconhecido? Endereço do Mac. Agora esse quadro é tratado como uma transmissão. Se você se lembrar disso, o switch quer certificar-se de que o destino realmente recebe o quadro que está chegando para que ele vá em frente e force-o para fora de todas as suas portas, exceto para o único, e entrou em e isso é chamado de inundação, que o quadro é inundado para fora todas as portas. Espero que isso tenha sido informativo para você, e eu gostaria de agradecer-lhe a visualização. 8. 1.6 conceitos de IPv4 e configuração: lay ou três I p versão para conceitos e configuração movendo-se para cima de nossa camada dois endereços para nossos endereços camada três. Portanto, camada para é conectividade no mesmo domínio broadcast. E a camada três é onde podemos sair desse domínio de transmissão e obter outras redes. Essa camada três é onde o roteamento acontece. E aqui vamos falar sobre a versão mais comum do I P de Internet Protocol em que é versão para versão lançada, versão mais comum agora. E estamos chegando ao final de 2019 aqui que é 29 de setembro agora. Então vamos apenas ir em frente e saltar para a direita em apenas uma visão geral da versão I P para primeiro I p V quatro endereços são um campo de endereço de 32 bits lá, tipicamente representado em notação decimal pontilhada. Então você é 19 a 168 0,1 ponto um que esta é a notação decimal pontilhada. Isto aqui seria em notação binária na mesma coisa aqui embaixo para sua máscara em notação binária . Agora o seu submarino está mascarado. Vamos falar sobre o que exatamente isso é em apenas um momento aqui, mas sua máscara é representada em qualquer forma de sidra. C i. D E r. Esse formulário de roteamento entre domínios sem classe, que geralmente é uma barra e um número, que é o número de contínuos aqui embaixo. Ou poderia ser representado também em decimal pontilhada ou você vê o 255 255 00 Ah, e então isso seria a sua notação decimal pontilhada para sua máscara sub net. Então vamos falar um pouco sobre o que é uma máscara e as partes do seu I P v quatro endereço que o seu I P V quatro endereço inclui uma identificação de host e uma rede. Identifique, e sua máscara é o que define qual parte do seu endereço é o seu host. Identificar ar ar e qual parte é a sua rede? Identifique o ar, e ele faz isso por ter um certo número de contínuos que nesta circunstância aqui, então nossa máscara tem o mesmo comprimento. Tem 32 bits. Eu não posso desenhar uma linha reta que tem 32 bits de comprimento, e todos indicam que o bit correspondente no endereço é parte da rede. Identifique onde e que os zeros indicam que o bit correspondente para cima no endereço faz parte do host. Identificar onde? Então, neste caso aqui temos 24. Então esta seria uma máscara de 24 bits, que é o seu realmente comum a 55 livros ponto a 55 ponto a 55 0.0. Que esta seria a sua máscara de 24 bits porque todos os que estão aqui em cada porção de oito bits que estes papéis representando poderes de escrever eso este seria um. E isso seria para quatro, oito, 16 32 64 1 28 E adicionar todos eles em cada um desses lugares vai te dar 255 com 256 combinações possíveis porque começamos em zero. Então, a dizer se você tem um 192 Oops, 192.168 0.1 ponto para abordar e é uma barra 24 o que significa que temos um Vamos em frente e esclarecer alguns desses Reese tudo que você é uma série e que você tem uma máscara de 24 bits. Significa que o 1º 3 de outubro completo está aqui, e é assim que essas seções de oito bits são chamadas. É uma batida que o 1º 3 completo outubro é tão 19 para 1681 que aqueles são toda a rede. Identifique onde você está na rede 192.168 ponto um porque você tem uma máscara de barra 24 e que seu endereço de host na rede 192.168 ponto um é ponto para. É assim que um Ibv 4 e uma máscara funcionam. Agora isso fica um pouco estranho e um pouco confuso quando você começa a ter máscaras de rede que não terminam no limite de bits. Então o que eu quero dizer é que, digamos que você tem todos estes são até aqui neste cara é na verdade um zero, um zero e um zero. Então fica um pouco estranho. Então isso seria um corte 21. Então, se este ano, em vez de ser uma barra 24 era realmente uma barra 21 vamos ver se isso é mesmo um endereço válido . Então, a maneira que eu costumo fazer isso, vamos em frente e passar para o próximo slide é que nós a melhor maneira, na minha opinião, passar e mostrar o que realmente está acontecendo é escrevê-lo em binário. Então aqui temos 172 16,10 ponto cinco barra 21. Então o que está escrito em binário é este cara de topo bem aqui que este outubro em pontilhado decimal é 17 para este Octa e morreu. Decimal é 16. Porque temos 1248 16 em Lee. O 16 lugar tem um, e que somar isso acaba de te dar 16 e 10. Então temos 12488 mais dois. Então nós temos 10 aqui e depois aqui no 5124 Então um quatro e um dá-te cinco. Então é assim que você escreve seu endereço aqui em binário. E logo abaixo dela, temos nossa máscara, nossa máscara de 21 bits escrita em binário, onde o 1º 2 TOC são todos uns e o último TOC. Só temos cinco porque você tem 8 16 21. Então o que você faz aqui é uma lógica e operação, o que significa que se você tem Ah, um em cima e um na parte inferior no bit correspondente. Em seguida, o bit resultante será um. Se você tiver um zero na parte superior ou na parte inferior, o bit resultante será zero. Então aqui temos acaba sendo que você tem 10101100 etcetera. Movendo-se para baixo. E isso faz com que tudo fora, os zero bits em sua máscara sub net acabem dando todos os zeros em seu resultado aqui. Isso mostra o que sua rede identifica o ar. Então eu não mencionei no slide anterior aqui que em uma versão I p para sub net, você tem dois endereços especiais. Você tem um endereço de difusão na rede identificar onde a rede identifica o ar quando todos os bits do host no endereço são todos zeros. Então lembre-se dessas seções zero de sua máscara, nossos bits de postagem e uma seção de sua máscara são os bits de rede. Então os bits host quando todos eles são zero, que é a rede identificar ar, que é isso que temos aqui. E você acaba descobrindo isso com a lógica e a operação. Agora, se você definir toda a rede, eu sinto muito. Todos os hospedeiros bits dedos do pé em vez disso. Então, se isso fosse 11111111111 Então isso lhe dará o endereço de transmissão que um pacote ah destinado a este endereço onde todos os bits de host são uns. Isto vai para todos os anfitriões daquela rede sub no domínio de transmissão, está a enviar uma transmissão? Então, o que? Isso acaba nos dando é o nosso 2 55 aqui e, em seguida, Ah, 11 Uma vez que este seria 1248 sets 12 14 15 diz é 15. Então o nosso endereço de transmissão aqui será 172.16 ponto 15 ponto a 55 barra 21 que este é nosso endereço de transmissão para esta sub-rede. E esta é a nossa rede. Identificar são agora você pode ver que todos os endereços da da para que os endereços utilizáveis aqueles que você pode realmente dar aos seus dispositivos nesta sub-rede é qualquer coisa diferente de sua rede identificar ar e seu endereço de transmissão. Então é por isso que todas as suas redes têm X número de endereços menos dois. São seus endereços utilizáveis nessa rede. Então você seria capaz de usar até ponto 54 aqui em baixo, e o primeiro endereço que você será capaz de usar no passado aqui é 540.1. Então, ser 17216 81 é o seu primeiro utilizável. O último utilizável será de 1770 a 1615 a 54 agora. Como eu disse, isso é onde fica um pouco estranho é que seus endereços utilizáveis abrangem totalmente que todo o intervalo é. É uma vez a 16 8.1234 etcetera, até oito pontos para 55, em seguida, ele vai até 9.0 ah e 9.1234 etcetera até 2 55 e, em seguida 10.1234 etcetera, 2 para 55. Assim por diante e assim por diante. Até chegarmos a 15 ponto a 55 que esse é o nosso endereço de transmissão lá, que este engloba um número muito grande de redes e eu acho que a maneira fácil de encontrar passo para isso é obter o passo fora do seu último bit limite eso aqui. Uma vez que temos três zeros na nossa máscara de sujeito neste limite de bits aqui neste trancado, então isso vai dar um passo de oito que é onde o nosso último está. Então vamos em frente e racistas. Vou explicar que um pouco mais aqui é que, uh nós temos um a quatro oito. Então o que isso significa é que na telomerase 1 70 isto aqui em baixo também, bem rápido. O que isso significa é que na área de 172,16 aqui, então isso é, você sabe, este 1º 2 TOC. É que neste outubro isso vai ter um passo de oito. Então nosso primeiro 1 nossa primeira rede lá vai ser 0,0 ponto zero barra 21 que vai subir para 172 0,16 0,7 0,2 55 barra 21. Que esse é o endereço de transmissão desta rede e isso. Então é aí que o passo é que sua próxima rede começa em 172,16 ponto 8.0. O próximo é 172 0,16 ponto 16,0, e eles serão 0,24 estoque 0,32 ponto zero, etc. E esse é o pisar que o trancou. E é aí que você pode encontrar suas apeladas algumas perguntas de vez em quando sobre sub-rede onde ele pergunta, você sabe, noespaço de endereço de 17216 uh, espaço de endereço de 17216 uh, qual é a terceira barra 21 rede em qual seria o endereço de rede disso? Então você será capaz de saber que o 1º 1 é 10.0. O 2º 1 é 10.8. O terceiro 1 é 10.16, então 172 16 0 barra 21 é a terceira rede, a terceira barra 21 no espaço 172 16. E só para passar por isso mais uma vez aqui, vamos em frente e usar um comprimento de máscara diferente e um endereço diferente aqui é Vamos em frente e usar todo o espaço de 10 pontos. Se nós dio 10 ponto eu sinto muito, 10 ponto um 0.0 ponto zero barra 20 Então este é o endereço. O endereço da rede 4 barra 20. Agora, onde seria o passo? Então, corte 20 certo? Acabamos tendo 16 para o nosso 1º TOC. É assim que temos 12345678.12345678 ponto e isso é 16. 1234 E isso significa que você tem 1234 faz 1234 etcetera. Então nós temos um a quatro oito 16 que o nosso passo aqui vai ser 16. Então, se 10.1 ponto 0.0 é a nossa primeira rede barra 20 do que 10.1 ponto 16.0 é a nossa segunda barra 20 rede 10.1 ponto 32.0 barra 20 é a nossa terceira barra 20 rede. E então aqui você pode ver qual seria o endereço de transmissão desta rede. Você vai ser esse cara, realmente menos um. Então é 10.1 ponto 15 ponto a 55 barra 20 é o endereço de transmissão desta rede aqui. Agora vamos passar bem rápido. É este tópico no exame diz configurar e verificar I P v quatro endereço ing e sub netting é que eu quero passar por muito rápido e mostrar-lhe no IOS como configurar um I p v quatro endereço e verificar o que o I. P V quatro endereço é que o assinado para uma interface. E então também vamos em frente e fazer isso para uma interface virtual switch bem, apenas brevemente. Então vamos passar para a nossa mesma topologia que usamos no último vídeo pc 1234 Agora eu realmente deixei isso o mesmo que no último vídeo aqui, Então isso já deve ter o nosso endereço 10 001 barra 24 atribuído para ir em frente e habilitar. Você poderia mostrar um resumo de interface de pipe? Vamos excluir o não atribuído. Desculpe-me por termos o nosso endereço 10 001 I p atribuído lá. Agora, se vamos em frente e fazer mostrar I ke interface e, em seguida, apenas rápido 00 que vemos aqui nossos endereços de Internet 10 001 barra 24 para o endereço de transmissão é tudo muito cinco cinco que isso é realmente para a sua máscara é apenas 255 Quero dizer, Isso é apenas um endereço de transmissão universal, mas esse não é o endereço de transmissão desta sub-rede aqui. Mas a maneira que vamos em frente e configuramos isso é, se formos para config. Interface T rápido. 00 Nós fazemos I p endereço e aqui vai pedir o seu endereço i p e notação decimal pontilhada ou enfraquecer. Defina-o para obter 90 endereço via de HCP e apenas tê-lo. Obtenha-o dinamicamente. Eu não vou fazer isso. Vamos em frente e fazer não i p endereço e eu p endereço. E no caso de você não se lembrar aqui da configuração do laboratório, passamos brevemente no IOS para negar um comando e removê-lo de sua configuração , você coloca não no início, então não, eu p address remove o endereço i p dessa interface. Então nós fazemos eu p endereço 10 001 e, em seguida, ele vai pedir máscara sub net em notação decimal pontilhada . Podemos adicionar um endereço i p adicional para fazer este endereço I p. Estamos configurando um endereço I p secundário para que esta interface responda tanto neste endereço como em outro endereço. Não vamos fazer isso agora. Nós vamos e apenas atribuímos de volta. O 10 001 bom Do show i d interface livre e excluir o não atribuído que ainda temos nosso 10 001 Agora, real rápido para uma interface virtual switch, que é como uma interface LAN V no switch para saltar para mudar real rápido aqui interruptor central. Nesse pedido de desculpas, vamos habilitar. E, na verdade, primeiro, vamos fazer uma sensação de show para que só tenhamos o nosso V padrão aterrissagem aqui. Vamos passar por isso em mais profundidade um pouco mais tarde. Mas vamos em frente e criar um 1.000.000.000 e ir ver em cinco. Dê o nome do teste ls ir Zelasko interface visualização cinco. E agora podemos criar uma interface virtual switch e s v I e isso vamos em frente e assinar um endereço I P da mesma forma que você pode chamá-lo 10 00 10 também vai pedir uma sub-rede . Maskin pontilhada notação decimal é uma máscara de 24 bits irá em frente e pressione enter. A última coisa que percebi que não fomos para cá. Então é assim que você configura seu endereço I P e vamos repassar mais uma coisa em apenas um momento. A última coisa está no seu interruptor. Fazer um show I P interface breve e também excluir o nosso não-atribuído. Então temos a terra. Cinco interface tem o 10 00 10. Atualmente é administrativamente downs. Precisamos fazer um “não “, a fim de usar essa interface. Mas é assim que você configura um endereço I P em uma interface virtual de switch. Mas algo que percebi que não passamos foi como converter sua máscara de sub-rede em notação decimal pontilhada. Essa é a sua máscara sub-rede de 21 bits? O que é isso em decimal pontilhado? Sabemos que oito ao somar isso é 54, mas eu sinto muito para 55. Mas não sabemos como ir em frente e fazer esse cara. Bem, nós só precisamos somar os lugares aqui que quando você tem oito, vá em frente e diga que esse cara aqui é o lugar dos 28. O próximo é 64 32 16 8 4 para 1. Então nós apenas Adam todo acordado. Então, para uma máscara de 21 bits aqui, temos cinco no início, então temos 1 28 mais 64 mais 32 mais 16 mais 8. Eso venceu 28 64. Isso é 1 92, 1 92, mais 32. Isso é desculpa, eu tenho que ir em frente e ir. 192 e 32 sobre isso seria 2 para 4 e, em seguida, para 24 mais 16 vai nos dar 2 48 Eu sinto muito. Isso é para 40. E depois para 40 mais oito. Isso é o jeito manual de como você faz. Honestamente, o que você vai ter Teoh é um certo ponto onde você vai apenas lembrar o que o outubro é para certos links bit. Há O uma barra 21 é 48 na terceira oitava Ah, barra 20 seria para 40 na terceira. Trancou Ah, e etcetera que uma barra 19 será de 2 a 4 na terceira oitava, etc. Então, passando para o próximo slide aqui, vamos em frente e falar sobre privado versus público I P v quatro endereço ing. Ok, você deve estar bem ciente que estamos fora do público I p versão quatro endereços que nós simplesmente não temos mais nenhum e que este tem sido um grande susto que está acontecendo por um longo tempo, tanto quanto o que vai acontecer e tem sido um grande driver e push para migrar para a versão seis do IP. Então, primeiro endereços privados. Estes são endereços que não são ervas de rota na Internet. Eles não identificam exclusivamente um dispositivo na Internet, e é por isso que eles não são linha Dubel. Eles são intervalos que foram reservados como sendo permitido para qualquer pessoa usar em sua área privada . Eso dentro de sua organização não linha dupla na Internet, mas dentro de sua rede de acesso local, sua rede de área local, sua terra que você pode usar esses endereços. Existem três espaços de endereço nos intervalos de endereços I P privados. Primeira Classe A Classe B Classe C Classe A é 10 000 barra oito. É uma barra grande oito rede classe B espaço de endereço é o 1 72 16 00 barra 12 espaço de endereço. Ah, e isso está incorreto. Este é 16 não barra 12 redes que 16 barra 16 redes e espaço de endereço Classe C é o seu 19 para 16800 que inclui 256 barra 24 redes. Então este é 192.16800 barra 16 é todo o espaço e que quando você vai por classes de endereço, estes endereços estão na Classe C, o que significa que eles são cortados 24 redes. Se você estiver fazendo o roteamento completo da classe, falaremos um pouco mais sobre o roteamento completo e sem classe quando chegarmos a isso na próxima seção. Mas por agora, apenas saiba que o intervalo de endereços completo é o 1 a 1 60 00 barra 16 o 1 72 16 00 barra 12 como o espaço de endereço completo e o 10 000 barra oito é o espaço de endereço de classe completa A e que o espaço de endereço cheio de classe aqui significa que as redes completas de classe são barras 16 redes agora, assim como as outras seções, vamos passar por algumas perguntas práticas antes de terminarmos aqui. Primeiro, qual é a rede? Identifique o ar para o endereço I P 10.7 ponto 6.5 barra 21. Então vamos em frente e fazer isso por olhos passo ings que uma barra 21 rede. Então nós sabemos que o 1º 16 Então o 1º 2 de outubro vai ser o mesmo aqui porque isso é tudo em que vamos ter um passo na terceira oitava aqui, então 10 0,7 0,0 ponto zero barra 21. Que pisar com isso? Permita quatro So 21. Vamos em frente e temos 123456781234567812345 678 e, em seguida, oito zeros em 23456788 zeros. Então nós temos 1248 Então nosso passo vai ser por oito, então nossa próxima rede identificar ar de 10 0.7 ponto 0.0. A próxima rede identificar ar será 10 0.7 ponto 8.0. Então 10 765 está incluído neste intervalo aqui entre essas duas redes identificam IRS que este cara é a rede. Identificar ou 10 700 barra 21 é a rede. Identifique onde para este endereço. O 10 765 barra 21 então a resposta aqui seria Ver e em seguida é 1 72.14 ponto 10.5 um endereço público ou privado. Nós acabamos de passar por isso, mas apenas para ter certeza que o espaço de endereço privado I p que está nesta área geral é 172 0.16 ponto 0.0 barra 12. Esse é o espaço privado de endereço IP que está naquela área. Esse cara aqui não faz parte do espaço de endereço. Então este é um endereço público. A resposta aqui é um Agora espero que isso tenha sido informativo para você, e eu gostaria de agradecer-lhe para ver. 9. 1.7 endereços IPv6 e configuração: três i p Versão seis Conceitos e configuração. A chegada do I P. Versão 6 está iminente há muito tempo. Desde que as pessoas percebem que estávamos indo para ficar sem versão pública i p para endereços em um curto período de tempo, então I p versão seis foi empurrado para a vanguarda como dizendo Este é o futuro e onde precisamos migrar Teoh Now, Lembre-se, como você mencionou antes, ficamos muito bons na tradução de endereços de rede Net. E por causa disso, está realmente atrasada a migração do pé I p versão seis bastante e fez muitas pessoas se perguntarem se há realmente uma necessidade de mover o pé I p versão seis existe. Ele fornece um campo de endereço muito, muito maior, como veremos muito em breve aqui. E por causa disso, realmente precisamos saber qual é a aparência do endereço PV seis da noite e como trabalhar com eles e como configurá-los em nossos dispositivos. Então, muitas pessoas ficam um pouco intimidadas por eles. Vamos tentar remover um pouco desse manto assustador e entrar e ver como eles são e tentar trabalhar com eles aqui, então vamos começar logo em primeiro lugar. Um endereço I P. V seis é um campo de endereço de 128 bits. Isso é diferente do nosso I P versão quatro endereços, que são 32 bits. Lembre-se, eles são quatro seções de notação decimal pontilhada onde o decimal pontilhado representa um octeto de oito bits, enquanto que agora temos o que são chamados testes hexadecimais. Porque estes ar escrito em Hexi Decimal, temos quatro caracteres decimais Hexi, cada caractere representando quatro bits cada hex Tet representando 16 bits, e que nossos testes hexadecimais são separados por Coghlan e que é padrão notação para o seu endereço i p Versão seis. Agora eu p v seis endereços realmente com sub redes e sua máscara. Eles funcionam exatamente o mesmo que I p versão para endereços que sua máscara sub net ainda está escrito em notação de cidra. Ah, barra 64 realmente significaria que existem 64 em uma fileira e que é a sua máscara sub net e que cada um dos seus representa isso. Esse bit correspondente no endereço é a rede identificar ar em oposição ao host. Identificar funciona exatamente o mesmo que eu p versão para ele é apenas maior agora porque é muito maior. Nós realmente precisamos de algumas regras aqui para que nós não estamos tendo que escrever o endereço completo cada vez em um par de regras É que um você pode remover todos os zeros anteriores dentro de um inferno , stat.Então , para exemplo, no nosso segundo hexadecimal Ted aqui, como temos zero db oito aqui em baixo. Esta é a versão compactada. Nós não colocamos o nosso processo zero lá. Nós apenas removemos. Segundo, se tivermos uma seção de zeros contíguos, podemos uma vez endereço Pern, ir em frente e remover essa seção e substituí-la por apenas dois pontos. Agora, lembre-se, isso é apenas uma vez por seção e eu vou te mostrar em breve. Ora, isso é que precisamos saber quantos zeros existem. Se você tem uma seção de todos os zeros aqui dedo onde você tem que inferno stets de zeros e, em seguida dizer 4567 Se isso é realmente apenas 0000 e nós fomos para ir em frente e substituir isso com cólon cólon. Então não saberíamos se tivéssemos cólon aqui e cólon cólon aqui e removeríamos esse cara. Nós realmente não saberíamos se havia dois raios de zeros aqui ou se eles fossem conjuntos hexadecimais de zeros aqui. Pode ir de qualquer maneira. Então, por causa disso, podemos Onley fazer o truque do duplo cólon aqui uma vez por endereço. Então vamos falar um pouco sobre como eu P V seis endereços são atribuídos. Aqui na América do Norte, temos Aaron, que é o registro americano de números de Internet. Agora com I P V seis endereços. Porque há tantos, é provável que tudo tenha um endereço público de HPV seis. No entanto, existe um espaço de endereço privado, e este é o seu espaço local exclusivo. Falaremos sobre isso daqui a pouco, mas para que saibam que é F C 00, 7 cólon, 7 colons, 7 olhos. O espaço de endereço local exclusivo e que é o seu espaço de endereço privado é análogo ao nosso RFC 1918 i P V. espaço de endereço RFC 1918 i P V. Quatro. O 10 pontos barra 812168 barra 16 você é 172 16 barra 12 que é análogo a isso agora. O comprimento prefixo mais comum em I P v seis olhos vai ser a sua barra 64 que é o seu sub net. Seu prefixo No final, você está no formato de 64 insider no final aqui. Agora, para dar a vocês uma noção de quantos endereços existem lá fora. Ah, barra 64 é mesmo recomendado em links ponto a ponto que você está desperdiçando trilhões, grandes números de endereços, apenas principalmente porque é compatível com você. Eu 64 configuração de endereço sem estado que você pode gerar automaticamente o seu I P v seis endereço usando o seu Mac. Resolva o seu endereço Mac de 48 bits, e falaremos sobre isso daqui a pouco. Aqui é faras como isso é feito, mas é por isso que uma barra 64 é recomendado em um ponto a ponto Link é principalmente para facilidade de configuração e apenas dar-lhe um pouco de senso aqui. Então temos Aaron em você na América do Norte, e Aaron geralmente vai em frente e um sinal, e eu tenho um bloco de endereços. Este será comumente uma barra 16 ou barra 32 então você é I S P Se eles têm, você sabe, você sabe, Seo grande empresa que precisa de alguns endereços e empresa vem SP e diz, Sim, eu preciso de um bloco de I P V seis endereços. Eles vão em frente e oferecer-lhes geralmente um você sabe barra 48 atribuição de endereço. Agora, esta mente você deixa você com 16 bits off I p v seis sub-redes para sub-rede que se você quiser fazer barra 64 sub-redes em toda a sua organização, como é recomendado, então você tem 16 bits para atribuir barra 64 Sub-redes para agora. Isto não são apenas dispositivos individuais. Isto são redes submarinas de verdade. Isso é o que algo como 65.000 endereços ou 65.000 sub-redes disponíveis. Números enormes, números enormes. Então vamos falar sobre nossos tipos de endereços. Primeiro, temos nossos endereços de elenco de unidades globais os endereços aéreos do que começam com dois pontos 2001 , que é o seu alcance global de elenco de unidades. Vamos conversar. Nós conversamos sobre o que é um elenco de unidade em oposição a uma transmissão ou multicast, e vamos acabar falando apenas um momento aqui. Mas nós acabamos com a transmissão em i p versão seis que realmente há apenas uma maneira mais elegante de lidar com uma transmissão que é apenas um multi elenco que é dirigido a todos. Ou seja, tem um endereço multicast de destino de todos os nós fora da assinatura multi-cast que todas as notas devem estar escutando. O Teoh. Agora, como eu mencionei nosso espaço de endereço local exclusivo, este é o seu espaço de endereço privado. Isso é análogo ao nosso espaço de endereço RFC 1918 na versão I p. Para isso, este é o seu espaço de endereço privado I p e isso começa com F c 00 dois-pontos barra sete que é o seu espaço de endereço local exclusivo. Agora seu link Endereço local Seu link local é um endereço especial. Isso é muito parecido com o seu endereço Mac honestamente é porque seu link endereços locais em Lee para comunicação em seu segmento de rede, ele não pode ser roteado em tudo. Então, em sua camada para domínio, este é o endereço que você termina abusando que um roteador não irá rotear um endereço local de link e ele não é identificável na Internet não é identificável Teoh. Outras áreas em sua rede que é apenas para sua camada para domínio. Não é apenas romar doble em tudo. Temos um endereço formalizado de qualquer elenco. Agora, quaisquer endereços de elenco e endereços exclusivos globais ou lamento, endereços de transmissão de unidades globais são, na verdade, os mesmos que não há diferenciação entre eles. Há apenas uma definição formal para qualquer elenco Endereço ing em i p versão seis onde em i p versão quatro Foi realmente apenas um pouco de um hack para fazê-lo funcionar. Multi elenco I p Versão seis é muito, muito pesado em multi elenco. E vamos falar sobre alguns endereços multicast bem conhecidos um pouco mais tarde aqui e seu modificado You Why 64? Então isso é muito importante. Isso é com a versão 6? Há realmente um uso pesado de configuração automática sem estado. Quero dizer, você sabe, um I P versão 4 que nós tivemos você sabe, aqueles 169 endereços A P i. P. A. endereços que realmente significavam que as coisas não estão funcionando corretamente, Certo? Você realmente não pode usar esse endereço para fazer muita coisa, mas na versão 6, você pode realmente usar esse endereço. Você pode usar a configuração automática EU I 64 sem estado modificada para criar um endereço globalmente exclusivo . É para ir em frente e criar um endereço que você pode usar para rotear através da Internet e eu vou mostrar-lhe um pouco mais sobre isso mais tarde. Aqui vamos nós ao laboratório para saber como acabamos criando esse endereço. E eu vou mostrar a vocês a teoria aqui sobre como isso acaba sendo colocado juntos. Então, endereço privado versus público Nós falamos sobre o link endereço local aqui. Então isso começa com F E 80 Isso só é aplicável e só pode ser usado dentro de sua camada para domínio e não é linha doble em tudo. Seu endereço local link também usa o modificado você I 64 para ir em frente e ser criado aqui. Agora, isso é um pouco incorreto é então se nós temos nosso endereço Mac aqui, a maneira como seu e y 64 modificado funciona é que você pega os primeiros 24 bits. Então, as três primeiras seções aqui do seu endereço Mac dividem isso e encravam F f e e no meio e, em seguida, vá em frente e coloque suas 2ª 3 seções aqui do seu endereço Mac. E em cima disso, porém, porém, o sétimo bit da esquerda deve ser invertido. Então aqui, lembre-se destes ar Hexi Decimal. Certo? Então, cada personagem está representando quatro bits. Então nossa sétima parte da esquerda indo por ali. Então vai ser aqui. Vamos levar esta seção à direita. Vamos pegar esta seção. Então isso é 00000000 Então este pedaço aqui fica invertido dedo do pé um. Então o nosso primeiro personagem aqui ainda vai ser zero. Nosso segundo personagem aqui vai ser um para então aqui em vez de f e 80 dois pontos, dois pontos 0014 Aqui vai ser f e 80 dois pontos zero a 14 e que é modificado E Y 64. Agora você é um endereço local único que falamos. Este é o seu espaço de endereço privado. Isso começa com F C 00 cólon barra 7. Ele é globalmente exclusivo, mas usado apenas para comunicação local em sua organização do site ou pode ser globalmente exclusivo. Mas é apenas um espaço de endereço privado I p como eu disse análogo ao seu espaço de endereço RFC 1918 em. A razão pela qual eu continuo mencionando este ano é que eu não acho que eu mencionei isso em nosso vídeo I P V quatro em tudo. É isso? Eu vi esta pergunta muito em exames Cisco está perguntando, Você sabe o que é o RFC do espaço de endereço privado I p para I P versão para E é RFC 1918. Esta é realmente fácil, uma fruta muito baixa pendurada. Eu recomendaria apenas perfurar isso em seu cérebro se eu não fizer isso primeiro e certifique-se você se lembre que nossos endereços de elenco de unidades globais começam com 2001 cólon barra 16. Então 2001 é o que um espaço de endereço de conversão de unidade global começa com 2001 dois-pontos db oito barras 32 Este é um espaço de endereço especial reservado para documentação. Então eles não usaram apenas o nosso espaço de endereço privado, certo? Nosso local único. Eles decidiram criar um intervalo inteiro separado apenas por exemplo, documentação. Então, quando você lê white papers quando você lê nossos FC, quando você lê outra documentação, você vai ver este espaço de endereço 2001 dois-pontos db oito Ah lote. E a razão é porque é um intervalo reservado, por exemplo, documentação, e é apenas para ser usado para esse propósito Agora. tradução de endereço de rede existe. Você pode fazer a tradução de prefixo, mas é, ah, pouco discutível se ele vai ser usado em tudo que há endereços suficientes para que todos os seus dispositivos possam ter endereços públicos que são linhas duplas publicamente Eso. Não há muita necessidade de tradução de endereços de rede. Então vamos falar sobre qualquer versículo elenco multi elenco. Portanto, qualquer elenco é um dois mais próximo, enquanto multicast é um demais. Agora, o que isso significa? Vamos falar sobre isso muito brevemente aqui. Então, digamos, uh, aqui, você sabe, você tem seu computador sentado aqui na Internet conectado à Internet e você quer ir para o Google e que você vai para o Google. O Google tem um endereço disso por algum motivo, porque tem esse desvio nele. Eu não sei por que, mas então o Google, você sabe, para ser capaz de obter uma boa manutenção. Digamos que você tem mundo e América do Norte e do Sul, Europa, África porque eu posso perfurar é que o Google vai ter um servidor aqui e eles vãoter um servidor aqui. América do Norte e do Sul, Europa, África porque eu posso perfurar é que o Google vai ter um servidor aqui e eles vão E eles vão ter um servidor aqui, e isso faz com que todos tenham o mesmo endereço, certo? Todos eles têm o mesmo endereço i p e que dependendo de onde você está, você vai acabar indo para o fisicamente mais próximo. Ou realmente, ele vai para o seu logicamente mais próximo, qualquer que você chegar com o mínimo Layton, veja, qualquer resposta primeiro, por causa do formal, por causa do formal, qualquer elenco definição que está em I p Versão seis e I. P v quatro. Nós usamos B GP para obter qualquer trabalho Casto para que você possa ter servidores em todo o mundo que todos têm o mesmo endereço I p. Mas qualquer resposta primeiro ou que tenha sempre o menor custo é a que vai acabar sendo a única que você se conecta agora, tanto quanto multi-cast, isso é como uma freqüência de rádio que você sintonizaria corretamente ser capaz de receber o fluxo que está atravessando em que multi cast. Aqui estão alguns endereços multicast bem conhecidos que eu iria comprometer Thies para memória FF zero para Colin Colin um Este é basicamente a sua transmissão. Isso está saindo para todos I p v seis nós Seu FF zero a cólon cólon para isso está saindo do dedo do pé todos I P v seis roteadores todos os seus roteadores que r i p v seis capazes de ter I p v seis unidade de encaminhamento habilitado eles estarão sintonizando este endereço multi-cast FFC ou para Concho em cinco tudo Oh, SPF roteadores fritar pd seis ff zero a dois pontos A Tudo sim roteadores GRP para I p v seis memorizar thes são seus bem conhecidos que você definitivamente deve estar ciente de? Pode haver uma pergunta perguntando qual eu endereço multicast para um PV seis é o endereço que todos os roteadores oh SPF estarão ouvindo Teoh, e você precisará saber que é ff zero a dois pontos cinco. Seu intervalo de multicast geral, tanto quanto apenas endereços multicast para RPV seis que é seu FF 00 barra de dois pontos frios oito. Então vamos em frente e saltar para o laboratório por alguns momentos aqui e apenas começar a configurar alguns i P v seis endereços antes de saltarmos fora. Então aqui temos uma topologia bastante básica, apenas três roteadores. O que eu quero mostrar-lhe é o nosso modificado você I 64 criação de endereço e como isso pode acontecer com anúncios de roteador e solicitações de roteador. Então, o roteador para aqui é o que vai dar nossos anúncios de roteador. R um e R três provavelmente vão em frente e pedir isso com uma solicitação de roteador Enviando L A I p v seis Embalá-lo para o FF zero para Colin Colin para o todos I P V seis roteadores endereço multi cast dizendo qualquer I P v seis roteadores lá fora. Por favor, envie-me o seu anúncio de roteador e ele vai enviar-lhe o prefixo que ele pode usar para gerar que eu p v seis endereço usando modificado ey 64. Vou mostrar onde usa o endereço do Mac também. Eu tenho todos esses três caras ligados agora, e eu fiz zero configuração para eles. Então vamos em frente e obter roteador para configurado primeiro, e então vamos passar pela Rota um e Rota ou três. Então pulando bem no começo. Não, não queremos fazer nossa caixa de diálogo de configuração inicial. E isso é, ah, pendurado em nós um pouco aqui. Lá vamos nós. Isso segue o dispositivo do sistema relata um erro. Já vi isso muitas vezes aqui. Eu não encontrei nenhum problema com ele. Talvez eu precise substituir minha imagem por este roteador aqui, mas veremos. Então vamos em frente. E primeiro basta chamar isso de uma rota para o que é tão rápido seu zero primeiro, vamos em frente e fazer um não shut Eu estava dio iptv seis endereço Oops I PP seis Endereço eso atrás 2001 Colon desvio Colon Vamos fazer um também. Uma vez que este é entre o roteador um Browder para Colin. Colin para já que este é o roteador para nós vamos fazer uma barra 64 vai ser o endereço. E então vamos sair. E nós realmente precisamos ligar a TV seis roteamento aqui para que os comandantes obtiveram o I p V seis unidade elenco roteamento nunca ir para interfase rápida zero barra um e vamos I p v seis endereço 2001 cólon db oito cólon 23 Então isso entre roteador para e roteador três. O Colin. Colin também, também, já que estamos no roteador para cortar 64 e precisamos fazer um tiro sem e lá vamos nós. Então vamos passar para o Roteador 1 por um momento aqui. Então nós só temos roteador para configurado rápido 00 é 2001 chamando DB uma coluna 12 é o prefixo mais rápido é 2001 dois-pontos db oito cólon para três como o prefixo. Então vamos para o Roteador 1. Não, nós não queremos fazer nossa caixa de diálogo de configuração inicial. Aqui vamos nós. Hoax veio bastante um e rápido. Seu zero fazer I P v seis endereço. Agora aqui. Quero definir esta configuração do dedo do pé do pé do pé. Quero mostrar a vocês que ele vai configurar automaticamente um endereço local de link e, em seguida também usando o anúncio do roteador A o que seria o endereço de transmissão de unidade global que é usado para documentação, uma vez que está no intervalo de oito do banco de dados de dois pontos 2001 lá. Então vamos fazer configuração automática lá. Vamos em frente e acabar agora. Aqui. Eu vou ir em frente e fazer realmente vamos voltar para aquela interface e aqui. Estou feliz que você não está calado. Vou te mostrar rápido assim que isso aparecer. Lá vai ele. Agora, se fizermos um show I p v seis interface breve aqui. Temos a nossa ligação. Endereço local usando o nosso modificado para você I 64 para ir em frente e criar esse endereço. E aqui temos o nosso endereço CASS unidade global são 2001 chamando DB um endereço dois-pontos 12 usando nosso E Y 64 modificado para gerar esse endereço e apenas mostrar que aqui, se mostrarmos a interface rápido. Então nós temos nosso endereço é C A 01 195 a 0008 E aqui está Ah, veja 801 Então vamos em frente e passar por isso, realmente bem rápido aqui, olhos que vêem A e C oito. Então, se voltarmos para o nosso ponto de energia muito rápido para que eu possa desenhar isso, então veja, essa Hexi decimal está certa? É zero a nove e, em seguida, um a f. Então veja aqui, ABC, este vai ser o nosso 13. Então, se nós temos 1234 isso é 1248 Então, para obter 13 fora disso, nós temos aqui, aqui, aqui. Então eu sinto muito. Vês? Vai ser 1101 e, em seguida, um Isso foi correto. É um c A c A 01 Então um aqui vai ser 10. Então, para obter 10 aqui é 1010 Então nosso sétimo bit da esquerda direita precisa ser invertido. Então, 1234567 Boom. Esse cara precisa ser invertido um zero. Temos 11011 000 Então, se dividirmos isso, ainda temos nossa visão aqui. Mas agora esse cara só tem oito anos. Então eu tenho oito aqui, Então isso se transforma em C 801 em vez de ver um só quero mostrar a vocês como isso foi feito lá. Agora vamos em frente e rápido antes de terminarmos aqui. Pule para o Roteador 3. Eu quero fazer a mesma coisa, mas depois trazer o tubarão de arame bem rápido e mostrar-lhe como isso acontece. Opa. Não, não queremos passar pela configuração automática aqui. Podemos ir para o Roteador 3. Na verdade, será um pouco mais fácil se reiniciarmos o roteador aqui. Vamos em frente e fazer isso. Se formos até aqui e vamos você, recarregar e depois saltarmos de volta bem rápido. Tudo bem? Aqui estamos nós de volta que isso é reiniciado aqui. Então vamos pular a configuração automática agora. Gostaria que Termini Own roubasse? Sim, Perego já. Vamos em frente. Ativar t sit. O nosso nome de anfitrião é três. Nós vamos para a interface rápida zero barra um. Apenas certifique-se de que está correto. Muito rápido. Sim, Fast. Você é um. E depois vamos embora. Eu p endereço. Desculpe, eu p v seis endereço. Você vai fazer isso pelo menos uma vez. Configuração automática. Agora, antes de irmos em frente e fazermos um “não “aqui, quero começar uma captura bem ali entre R 2 e R 3. E como as interfaces fecharam agora, não temos muita coisa acontecendo. Então, se eu voltar para os nossos três bem rápido e fizer um não fechar e depois voltar para a nossa captura, receber solicitações e anúncios de nossos vizinhos e agora eu apenas parei a captura aqui . Quero mostrar-te o que se passava aqui. Na verdade, não recebemos uma solicitação de roteador. Acabamos de receber um anúncio de roteador aqui onde nosso roteador anunciava para todos os nós dizendo, que prefixo estamos aqui para que pudéssemos ir em frente e fazer nossa configuração automática sem estado . E então temos um anúncio de vizinho aqui. Uma vez que fizemos a nossa configuração automática, nós não anunciamos todos os nós dizendo: “ Aqui estou eu. Eu tenho este endereço I p versão seis. Agora vamos como os outros. Vamos passar por algumas perguntas de treino antes de terminarmos aqui primeiro. Qual é a representação mais compacta do seguinte I p v seis endereço 2001 Colin DB oito cólon zeros Colon Cafe Colin zero está chamando 1234 Então você se lembra de um? Nós já fizemos. Um pouco de compactação aqui é que tiramos o zero anterior desta tecnologia hexadecimal aqui. Então sabemos que podemos ir em frente e remover nossos zeros anteriores. Então isso já está feito em todas as nossas respostas aqui. Segundo, podemos ir em frente e remover um conjunto contíguo de zeros e substituí-lo pelo Coghlan uma vez por endereço. Eu também não disse isso explicitamente, mas você também pode remover zeros procedentes. Eu também não disse isso explicitamente, Caso contrário, quando eles são todos zeros, exceto o último zero, você precisa de um zero ainda lá porque você só poderia fazer sua compressão zero para substituí-lo por Coghlan duplo. Uma vez que este primeiro cara aqui, não funciona porque temos nosso Coghlan duplo duas vezes mais. Não sabemos quantos zeros existem em cada um desses espaços. Pode haver um conjunto de zeros aqui à esquerda, e poderia haver três Heck, stets de zeros aqui à direita. Nós apenas não sabemos em B, isso é apenas isso está correto de uma forma válida para corrigir este endereço, nós temos dois dois pontos aqui. Removemos nosso zero anterior aqui, e ainda temos todos os nossos zeros aqui, , então esta não é a representação mais compacta. Isso é D? Se formos para D, isso seria correto, mas estamos perdendo um feitiço, Ted. Tem o Colin duplo aqui, mas há um zero aqui. Estamos perdendo um teste hexadecimal. Isto não é um endereço completo. Que seria um endereço completo não é correto. Isso está dizendo que haveria mais um feitiço Ted fora zeros aqui na parte esquerda . Esse D é uma representação correta do endereço errado. Não é este endereço que está representando e veja esta será a nossa resposta correta aqui é que nós temos nossos 10 aqui são 10 aqui nós removemos estão precedendo zeros em cada um desses testes hexadecimais e visto com nosso DB oito, e que nós substituiu o segundo conjunto de zeros contínuos por dois pontos. Nem resposta é C. E, em seguida, qual destes I p versão seis endereços são um endereço local link gerado usando modificado E Y 64. Então, primeiro fora do link de aposta endereços locais. Esses são os nossos endereços F E 80. Então agora podemos nos livrar de B e D. Uma vez que aqueles não começam com f E 80 eles não são links endereços locais. Agora, medida em que A e C são deixados aqui, é que estamos procurando por um que foi gerado usando nosso modificado você I 64 método. Então o único aqui e a maneira que você pode dizer isso imediatamente é se ele tem f f f e e no meio é que como nós não sabemos o que o endereço Mac estava fora do dispositivo que estava gerando este link endereço local, nós realmente não podemos dizer para certeza se ver é um válido ou não. Mas nós sabemos que o método tem que ter f f f e e no meio. Então nós sabemos que a resposta aqui é um Espero que isso tenha sido informativo para você, e eu gostaria de agradecer por ver. 10. 1.8 comparando TCP e UDP: CP e UDP Conexão versículo orientada, protocolo Lis, TCP e UDP. Nossos protocolos que vivem na camada quatro lembram que a camada 1 direita, essa é a nossa camada física 2 é o nosso link de dados. Este é o lugar onde endereços Mac e coisas como AARP vivem camada três. Essa é a nossa rede é onde coisas como i p Internet Protocol vivem e, em seguida, camada quatro transporte que este é o lugar onde TCP e UDP vivem. Então TCP o protocolo de controle de transmissão e UDP é os dados do usuário Graham Protocol TCP grande diferença entre os dois TCP é orientada para conexão. UDP é listas de conexão vai falar sobre isso apenas um pouco mais em um pouco aqui. Então, primeiro, vamos para o TCP e uma introdução aqui. Então aqui à direita, temos nosso pacote de dados. Agora seu cabeçalho TCP tem entre 20 e 60 bytes de comprimento. Pode ser até 60, mas o tamanho mínimo é 20 e que aqui em baixo temos o que as partes do nosso cabeçalho são, e isso é muito bom para estar familiarizado com. Isso pode não ser necessário para o exame, mas é muito bom apenas estar familiarizado com o tipo de informação incluído no cabeçalho TCP, e isso ajudará a reforçar por que o UDP seria usado em algumas circunstâncias sobre TCP e vice Versa. Portanto, o TCP inclui, é claro, a importação de endereço de origem no endereço de destino Importar é o seu destino I P Endereço e Origem do Número da Porta. Endereço I P e número do porto thes. Ambos são seções de 16 bits do cabeçalho. Agora TCP inclui um número de seqüência que é gerado aleatoriamente pelo transmissor, e vamos rever isso em apenas um pouco aqui e inclui um número de confirmação de confirmação para ir em frente e reconhecer o número de seqüência. Que é assim que TCP é um protocolo orientado a conexão é que ele requer reconhecimentos é que requer o outro lado para reconhecer que ele realmente recebeu esse pacote anterior e que esse pacote, você sabe, tinha um cheque válido. Alguns s O que, tanto quanto estamos preocupados, poderíamos dizer que esse pacote foi recebido sem edição e foi Ok, Agora isso não fornece autenticação como eu p sec ou qualquer coisa assim. Isto é apenas um tipo básico de CRC. Verifique se isso foi recebido. Ah, e não degradados de alguma forma temos nossas bandeiras aqui. O nosso desejo de urgência é o reconhecimento. Nosso push reset, sincronizar e terminar. Tão urgente é dizer ao outro lado. Vá em frente e processe este pacote imediatamente. Não espere por estes dois. Buffer reconhece apenas dizer que este pacote é uma confirmação. Empurre os olhos também tipo de coisa muito semelhante. Tão urgente quanto diz ao protocolo de nível superior. Vá em frente e processe este pacote imediatamente e não espere pelos outros. Redefinir está redefinindo a conexão. Está dizendo que se você tivesse um pecado ack ack Se você tivesse aquele aperto de mão de três vias indo e você está recebendo seus dados indo para frente e para trás, redefinir para dizer Não, conexão não aberta mais. Vá em frente e feche que você terá que re inicializar e, em seguida, você tem o seu pecado para sincronizar. É seu pedido para sincronizar de um host para o outro, dizendo, Por favor, eu gostaria de sincronizar com você e o outro host pode responder de volta com um pecado e um ato dizendo Sim, eu quero sincronizar com você, e estou reconhecendo que recebi seu pedido de sincronização e Finn vai no final de sua conversa dizer que terminamos e isso está sendo fechado agora. tamanho da janela é que a maneira como uma janela funciona é que o TCP permite a transmissão fora de um monte de dados sem necessariamente ter que dar uma confirmação de volta. Isso é realmente ótimo. Quando você está em mais alto, Layton ver links que é oi, tarde e ver, mas não necessariamente alta perda, que você tem a capacidade de obter um monte de tráfego indo e para trás. Mas esse Layton ver o tempo que leva para que o tráfego passe de um host para outro host é um longo período de tempo. Então você não quer ter que enviar um monte de dados e, em seguida, esperar que a confirmação para voltar e, em seguida, ir em frente e enviar um monte de dados e, em seguida, esperar que a confirmação para voltar é que você pode apenas ter um tamanho de janela relativamente grande para onde você poderia enviar um monte de dados de vínculo , grupo, grupo, grupo muito acima do tamanho da sua janela. E então, naquele ponto que concordou com o tamanho, você enviará um rápido reconhecimento de volta, e então enviará outra janela de dados também, e isso pode ajudar nessa circunstância. Uh, agora, TCP tem uma janela deslizante tal que se você perder um desses se é ah, sra. um pacote em algum lugar naquela janela e você enviar uma resposta de volta e dizer “Não, eu não recebi isso. Seu reconhecimento não reconhece essa janela cheia. Em seguida, reduzirá significativamente o tamanho da janela e enviará apenas uma quantidade muito pequena de dados. E isso vai ficar cada vez maior, de modo que possa tirar proveito do seu link e não ter que ter a sobrecarga de enviar confirmações para frente e para trás. Agora, quanto às bandeiras aqui, como eu descrevi, isso é urgente? Isto é dizer, processar o pacote antes de quaisquer pacotes não urgentes dizendo, Vá em frente e processe Este primeiro, seu reconhecimento está dizendo, está confirmando um recebimento de um pacote com seu número de confirmação. Aqui, seu empurrão está processado. O pacote imediatamente. Não guarde isso. Redefina a conexão sua bandeira RST, seu pecado. Sincronize seu pecado e AC. Estes são os realmente comuns que você verá muito junto com o seu push e você está redefinido. Ah, e então sua barbatana vem no final de sua conversa que você não tem mais dados para enviar e que tudo isso está em suas bandeiras aqui. Estas são bandeiras de um bit que há apenas seis bits aqui. E se um desses bits estiver ligado, então indica que a bandeira está ativa lá e vamos dar uma olhada nisso quando dermos uma olhada em um tubarão de arame. Capture um pouco mais tarde aqui também. Eu queria passar por cima e eu mencionei isso o Syn Syn AC Act, um aperto de mão de três vias. E isso é realmente o que torna o TCP tão incrível. E ser orientado para a conexão é o fato que depende deste aperto de mão tridirecional. E a maneira como isso acaba funcionando é que você tem algum remetente, alguns inicializam er fora da conexão e algum receptor, e isso pode ser dois laptops. Este pode ser um servidor aqui, um servidor Web que tem o Google nele, e você está entrando em contato com o Google e você quer obter a página inicial do Google. O Eso. O que você vai fazer primeiro é enviar um pacote syn, um pedido de sincronização, e ele vai ter a bandeira de pecado naquele pacote. O Google vai receber isso e dizer: “ Sim ”. Estou, de facto, a ouvir aquele número da porta de destino que tinha lá. Vou mandar de volta uma CE de pecado. Eu vou aceitar isso. Vou enviar o meu próprio pecado, e vou reconhecer o seu pecado com o meu reconhecimento. Agora isto manda-o de volta para vamos voltar aqui para isto. Um momento para a porta de origem e endereço. Isso estava no seu pecado inicial. Eso então Isso é claro, Você como redes com tradução de endereço de rede é que você tem esse número de porta de origem . É assim que identifica o seu endereço interno para a tradução do endereço da porta. Mas passando por isso é que ele irá enviá-lo de volta para a porta de origem e endereço. Vamos enviá-lo syn AC. Você receberá que recebeu um reconhecimento ao seu pecado e também recebeu um pecado. Então você envia de volta um reconhecimento dizendo que sim, eu recebi com sucesso seu pedido de pecado. Agora você tem uma conexão aberta e você pode prosseguir com a transferência de dados que isso confirma comunicação bidirecional confiável dizendo e certificando-se de que um lado pode realmente ouvir o outro antes de começar a transmitir dados, e isso é o que o torna orientado para a conexão. E esta é a principal diferença entre TCP e UDP. Seus dados de usuário Graham Protocol, Seus dados de usuário Graham Protocol. Seu cabeçalho UDP tem apenas oito bits. Eu sinto muito. Oito bytes que você tem 16 bits para a porta de origem e endereço de porta de destino. Este é o endereço de origem Porta do endereço de destino Port Uh, e então você tem o comprimento do pacote UDP, que é um item de 16 bits aqui, e então você tem uma soma de verificação, e é isso. Você terá qualquer outra coisa, sem bandeiras. Nada disso que UDP é realmente apenas um cabeçalho de tamanho mínimo absoluto. T ser capaz de enviar um graham de dados para enviar dados lá fora em fluxo que isso tem muito, muito pouco sobrecarga. E então é aí que você gostaria de usar. UDP é se você realmente não se importa com a confiabilidade fora desse fluxo. Se você só quer enviar os dados lá fora e você realmente não se importa, necessariamente se o outro lado recebe ou não, porque você não quer a sobrecarga de ter que verificar isso e abrir uma conexão do que você usaria UDP Ah, grande lugar onde este é usado muito, muito comumente é em vo i p É que os pacotes individuais com seus pequenos bits fora áudio que está sendo transmitido para fora do seu servidor sobre o seu telefone aqui. Não consigo desenhar um telefone. Mas de qualquer maneira, para o seu telefone aqui que vai enviar isso com UDP e que todos eles passam por isso porque uma vez o mínimo de sobrecarga possível. Oito bytes, certo? Muito menos do que o mínimo de 20 bytes que vimos com TCP e até 60 mordidas. Se você acabar tendo mais informações lá agora, eu fiz ir em frente e capturar um tubarão de arame capturado aqui um pouco mais cedo do que eu queria mostrar como é o aperto de mão de três maneiras. Agora, isso realmente é tráfego indo entre meu servidor G N s três e meu laptop aqui. Que eu estou gravando isso e 2.1 10 é meu laptop e 2.80 é meu servidor GNS três. Agora aqui podemos ver lá em cima. Temos o nosso pacote de pecados. Podemos ver isso na coluna de informações, bem aqui. Mas também, se descermos aqui e perfurarmos um pouco, poderíamos ver que isso tem tese na bandeira definida e em Lee a bandeira do pecado. E depois o nosso próximo pacote. Isso tem Bem, na verdade, isso tem uma fonte I, p endereço e ah, fonte. Número da porta fora 56565 como nosso número de porta e nosso endereço de origem de 1 1901 sucesso ponto para 19010.0.1 10. E eu estava pegando isso aqui de cima. Mas também podemos ver isso aqui. A porta de origem e a porta de destino é 3080 E isso é TCP. Agora, quando aquele servidor da indústria JI receber que 0,80 recebe, ele vai enviar de volta seu Cenac. Então aqui em cima em nosso cabeçalho TCP, temos nossas sinalizadoras sin ac que podemos ver. Nossa bandeira do pecado é definida uma hora bandeira de reconhecimento é definida. Você pode descer aqui um pouco mais e isso é dizer aqui. Informações de especialistas. A conexão estabelecida. Reconheça o Cenac para a porta do servidor 3080 Dizendo que sim, estou ouvindo no 3080 Vamos em frente e completar este handshake. Você tem permissão para me enviar dados. Eso Então recebemos que de volta e enviar o nosso reconhecimento por esse pecado. Agora, vamos passar bem rápido. Quero mostrar-lhe os números de sequência aqui e os números de confirmação. É esse cara? Ele enviou-a. Aqui com um número de seqüência de zero. Este é um número de seqüência relativo. Aquele tubarão de arame acaba nos dando aqui para essa conversa em particular que podemos ver aqui. Aqui está a sequência. Número C cinco F 384 a.C. É um número muito grande. É no número arbitrário e aleatoriamente gerado aqui e que quando temos o nosso pecado ac aqui que o número de reconhecimento Isto está dizendo que ele está reconhecendo aquele cara Ah que podemos realmente ver aqui. Se formos para o nosso número de sequência aqui, você pode vê-lo. C cinco F 384 a.C. Nosso número de reconhecimento é incremental por um c cinco F 384 b d é que estamos reconhecendo que mais um Ah, e é nosso primeiro reconhecimento, que é um reconhecimento relativo sobre o número de seqüência. Aqui está também um número gerado aleatoriamente do outro lado que aqui é um eu sinto muito, um 58040 F em que envia isso de volta. Agora, eu realmente só quero mostrar a vocês o aperto de mão de três vias aqui, o syn syn ack ack. E a partir daqui, temos que empurrar AC e agir, e então ele está apenas enviando dados para frente e para trás. E aqui nós temos você sabe, nossos olhos de dados http, ele realmente enviou um http get requisições sobre o servidor aqui uma vez que tudo foi terminado. Mas assim como as outras seções, vamos passar por algumas perguntas práticas antes de terminarmos aqui. Primeiro em um servidor Web recebendo um pacote TCP com o sinalizador sin na porta 80. Qual sinalizador ou sinalizadores será definido no pacote de resposta. Agora, um servidor Web. Vamos supor aqui, isto é, uma vez que é um servidor Web que ele está ouvindo na porta TCP 80 causa que é para HT TP TP e também faz uma pequena nota. Você já deve saber disso, mas 443 TCP é https. Mas como ele está ouvindo na porta 80, então ele deve aceitar este pacote e começar a configurar esse handshake de três vias. Então ele vai enviar de volta um reconhecimento para aquele pecado que foi recebido. Ele vai enviar seu próprio pecado de volta também. Então teremos ambos ser sinalizadores de pecado e AC definidos. A resposta aqui será ver E, finalmente, você está configurando uma VPN de acesso remoto e deseja minimizar a quantidade de sobrecarga nos fluxos de dados. Qual protocolo você deve usar para a VPN, ou você deve escolher a VPN para usar? Agora? Nós tínhamos falado que TCP tem um tamanho mínimo de cabeçalho de 20 mordidas. UDP Onley tem um tamanho de cabeçalho de oito mordidas bem menor, certo? A resposta aqui para minimizar nossa sobrecarga será um UDP. Agora eu espero que isso tenha sido informativo para você e eu gostaria de agradecer por ver 11. Princípios sem fio: nesta seção, vamos passar por alguns dos fundamentos que 802 fez. 11 usa quatro comunicações sem fio e principalmente como diz respeito a apenas frequências de rádio e como elas interagem com o meio ambiente. O vamos obter muito mais na configuração em arquitetura, fora de uma implantação sem fio em um ambiente de rede um pouco mais tarde no curso. Mas aqui iria passar por princípios de radiofrequência que podemos entender um pouco mais sobre como a rede sem fio interage com o mundo ao nosso redor que a maioria dos engenheiros de rede se encontram estão realmente cientes de como o wireless funciona, que eles sabem como configurar. Ele tem essa idéia de colocar uma senha no roteador e coisas desse tipo. Mas eles realmente não entendem os tipos de fatores que você precisa levar em conta ao planejar uma implantação sem fio ou o posicionamento de um ponto de acesso sem fio. E esses são os tipos de coisas que vamos falar aqui. Então vamos começar em nosso slide. Aqui estão os princípios F, por isso, é claro, comunicação sem fio usa sinais de radiofrequência agora são sinais F são ondas eletromagnéticas . Você não precisa saber exatamente o que isso significa. Mas aqui eu tenho um gráfico mostrando onde estão as diferentes faixas de freqüência e os intervalos que estavam usando para nossa comunicação sem fio aqui. E essa é a faixa de 2,45 gigahertz é eu tenho certeza que você já viu isso antes quando você está configurando sem fio 2.4 e cinco olhos gigahertz onde nossa largura por extremidades de ocorrendo. E para ter um pouco de perspectiva que temos aqui em baixo. Nosso rádio FM TV, rádio A M estão aqui em baixo na faixa megahertz ligada. Então todo o caminho até aqui. Temos o nosso espectro de luz visível muito acima nas dores de terror e acariciar que dói. Pago um alcance dói e raio X e raio gama aqui na saída dói tipo de alcance. Espero que entenda o que é uma frequência. É um descritor de algo cíclico e dizendo quantos ciclos esse processo passa por Seu segundo que se dói é uma vez por segundo. Então, se você tem uma frequência de rádio ou ondas eletromagnéticas que se parecem com isso e do pico, é um pico. E a propósito, isso é chamado de julgamento. Isso é chamado de pico que de pico a pico. Se este é um segundo lábios um segundo, então este seria um machucado. Se isso, no entanto, não foi 11 milionésimo de um 2º 110,0 Eu realmente não sei quantos zeros fora de cima minha cabeça aqui no momento. Bem, milionésimo de segundo. Este seria um megahertz para o seu acontecimento um milhão de vezes por segundo. Então algo a ter em mente é que as frequências de rádio, as ondas têm perda de energia quando não há obstruções devido à perda do caminho livre. Quanto mais longe você estiver de um ponto de acesso, mais fraco será o sinal. Essa é a natureza da propagação das ondas eletromagnéticas. Há outras coisas que podem ficar no seu caminho. Eles são tais como lobos em outras obstruções que isso causa uma diminuição na amplitude? Especificamente, há uma perda de energia na obstrução que a energia é transferida para o calor na obstrução real em sua parede ou em seu gabinete, o que você tem e que a onda sai do outro lado com uma diminuição amplitude em que causa sinal degradado que você está recebendo dispositivo não é capaz de interpretar isso, bem como porque fora sinal decorado, havia algo que vamos falar pouco mais no próximo slide também é reflexão que reflexões são realmente algo realmente importante que têm maior jogo aqui do que você pode sequer perceber. Eles não causam uma mudança na amplitude, mas eles podem causar interferência de vários caminhos no O que isso significa? Como isso significa, digamos, temos o teto aqui em cima. Temos o nosso gabinete aqui e dizemos Tens aqui o teu portátil.” Direi que o laptop está um pouco mais alto, certo? Digamos que é realmente como aqui em cima e nós temos nosso laptop aqui. Então você tem seu ponto de acesso emanando suas ondas aqui, essas ondas vão subir até seu teto e refletir. Algumas delas refletirão e descerão. Algumas delas continuarão indo e acabarão como um sinal degradado do outro lado devido ao material absorvendo isso e parte dela aqui vai refletir aqui fora do seu gabinete . Ele vai vir aqui que vai refletir e ir para o seu dispositivo dessa maneira, e que agora você tem dois caminhos aqui que seu mesmo sinal estará tomando e dependendo quão longe eles estão, esses caminhos podem não ser exatamente o mesmo comprimento. E é aqui que o problema entra quando o sinal chega ao destino em momentos diferentes, dependendo de quando esse tempo está em relação à sua frequência, quão fora de fase ele está. Vamos falar um pouco mais sobre que fase luas em apenas um momento aqui e pagar como está fora de fase. Ele pode amplificar o sinal e fazer com que você fique melhor simples. Ou também pode causar uma diminuição significativa no sinal. Eles podem simplesmente cancelar um ao outro se eles estão completamente fora de fase, é por isso que você pode estar ao lado de alguém que tem um bom sinal no seu computador, por qualquer motivo que quase não tem sinal. Você pode estar à mercê do reflexo da interferência multipack aqui, então vamos falar um pouco mais sobre isso no próximo slide. É que com multi estofamento, como eu mostrei aqui, nós temos nosso obstáculo, nosso gabinete e nós temos nosso dispositivo receptor ou laptop, e o teto e que nós temos duas almofadas aqui, uma indo naquela direção e um indo naquela direção e que não vai entrar no teto é um pouco mais. E pode ser longo o suficiente para acabarmos fora de fase agora, esses gráficos aqui, isso mostra seu sinal certo, sua freqüência e que a linha do meio aqui é para dar a vocês um ponto de referência para como eles se alinham baseado no tempo, onde este é o tempo, o eixo X é o tempo, assim por diante no sinal de face é quando ele chega e ele não precisa necessariamente chegar ao mesmo tempo, mas precisa chegar em fase. Então, se ele chegar, você sabe, um comprimento de frequência passado sobre e na verdade é apenas fora por uma dor completa ou uma freqüência completa . Eles não estão feridos porque um segundo ou um ciclo que eles podem estar em fase. E quando eles são inveighs, esses caras adicionam juntos que eles adicionam juntos e você acaba com uma freqüência que é, ou um com um sinal que como o dobro da amplitude ou ambas as amplitudes somadas e acabam com uma melhor sinal. Uma amplitude melhor no seu sinal. Se estiverem 90 graus fora de fase. Então você vai acabar com alguma degradação lá que esses caras estão um pouco fora de fase que você acaba, você soma-os juntos. Então aqui, exatamente onde esta linha está se encontrando é que nós temos o comprimento do ano entre o acesso e o pico, e nós temos o comprimento aqui entre o acesso e o pico. Agora, isso então acaba na verdade que você acaba com um pouco melhor de um sinal, eles vão adicionar um pouco juntos. Mas a sensação de não ser tão bom, porque à medida que o seu tempo passa, digamos, como aqui onde temos um pouco negativo e aqui estamos um pouco no positivo que isso realmente apenas sobre cancela um ao outro ali e que você teria problemas em certos pontos durante o seu sinal aqui que isso causará alguma interferência. E se é 180 graus fora de fase, então eles estão completamente fora de fase e cancelar um ao outro fora que você tem toda a sua duração aqui e seu ano de vida total no positivo e negativo e eles vão apenas cancelar cada outros que, dependendo de quão fora de fase eles estão, você pode ter alguns problemas lá. E este gráfico aqui está apenas dando um tipo muito similar de informação lá que isso está mostrando que esses dois mais baixos são seus sinais refletidos. Estas são as suas primárias e você é refletida. E este maior aqui está mostrando qual seria o seu sinal resultante nesse caso, então passar para este conceito de interferência e sinal e agora introduzir uma nova palavra ruído é isso é algo que eu quero falar sobre nosso sinal e ruído e como estes são medidos e que tipos de unidades você vê para isso. Então o sinal R s s I é como isso é medido. É índice de força do sinal relativo, e é medido em decibel. Miller quer abreviado como D B M. Agora correias Desa são uma medição rítmica log e é medido em relação a Miller quer para o nosso RSS. Eu agora sou Sasae é um valor negativo e o mais próximo de zero é melhor. Eso se eu tiver um r s s i de 30 dbm negativo que é melhor do que um 40 DBM negativo e mesma forma, um 20 DBM negativo ou um valor sasae é melhor do que negativo e nossa relação sinal/ruído é calculada pelo nosso valor RSS I menos nosso piso de ruído em que é vai estar na mesma medida do nosso nível de ruído. Nós podemos ver aqui neste gráfico Nós temos um nível de ruído médio de talvez aproximadamente como aqui e que nós temos o nível de sinal médio de talvez como aqui e que nós temos nossa relação sinal/ruído. É esta área aqui que o comprimento que a distância entre os dois, que seria o nosso RSS I menos o nosso nível de ruído nos dará esse valor e que é o seu sinal para a relação de ruído que você verá em algumas aplicações quando você ir em frente e tentar Dê uma olhada. Há um aplicativo chamado Insider i N S s I d e r I como i e. R. R. Insider é um aplicativo que tenta mostrar-lhe as redes que estão ao redor e o que está interferindo com o que e quão forte é o seu sinal para que você possa obter um melhor sensação de onde a interferência vem principalmente de que isso lhe dará Ah valor fora do seu snr, seu sinal para o ruído. E é assim que é calculado que seguir um pouco em nossos padrões é que agora que entendemos um pouco mais sobre o sinal e como isso é medido, que é medido em decibéis, Iants. E algo a notar é que se você tem uma mudança nos decibéis, uma mudança decibéis fora dos decibéis re, outro que vira três decibéis, que é uma mudança de cerca de vezes. Dois eso se eu tiver um aumento de três decibéis. Então, se eu passar de negativo 30 dbm para negativo 27 DBM, então isso significa que minha força de sinal é agora aproximadamente duas vezes o que ele waas em 30. Esse negativo 27 é aproximadamente duas vezes a força do sinal do que é no negativo 30 e algo um pouco estranho para se acostumar. Mas é assim que funciona. Então nossos padrões sem fio, você sabe, tem havido muitos deles. Tenho certeza que você se lembra que temos 11 a B, g n e o mais novo A.C A.C E então sair em breve também é um X, sobre o qual não vamos falar aqui, mas eu queria passar por esses padrões um pouco pouco e mostrar-lhe que frequência eles operam. Em 811 A como um doador de cinco, cinco gigahertz frequência Heroes lançado em 1999 e, ao mesmo tempo, também foi lançado um 2 11 ser em 2.4 gigahertz. Nossa maior frequência tem menores quantidades de penetração. Não consegue atravessar objetos, assim como a nossa frequência mais baixa. Assim, também obtemos uma maior distância com a nossa frequência mais baixa. Mas como você pode ver aqui, estamos sacrificando nossa taxa de transferência máxima que não temos quase a quantidade de throughput disponível com nossa menor freqüência de 11 megabits com idade de 11 B, mas 54 com idade entre 11 A. A pouco mais tarde, lançamos um G 2011, que trouxe 54 megabits para o espectro de 2,4 gigahertz. Ser capaz de nos levar velocidades mais rápidas um pouco mais longe dos nossos pontos de acesso e depois avançar para cima. Tínhamos idade 11 en, que está disponível no G 110.4 e cinco gigahertz área, e que isso forneceu velocidades de até 600 megabits e, em seguida, um C dá-nos velocidade gigabit até 2.3 gigabits, e isso opera apenas em a gama de cinco gigahertz. Agora a faixa de 2,4 e cinco gigahertz é 2,4 faixa é a faixa de freqüência I S M e cinco gigahertz é U. N II é a abreviatura para a faixa de freqüência que é reservada para a comunicação sem fio nessa área. Agora eu, sm, fornece três frequências não sobrepostas e eles têm 22 megahertz de largura. Agora, o que isso significa? Então eu tenho certeza que você sabe que há um monte de canais disponíveis quando alguém diz que você mudaria isso do Canal 6 para 11 ou algo ao longo dessas linhas é que na verdade existem 14 canais de área de 2,4 gigahertz que têm 22 megahertz de largura. Neste gráfico aqui mostra onde se encontram esses canais. Na faixa IAS M, existem três não sobrepostas e são os canais 16 e 11 que estes são os três canais não sobrepostos. Aqueles ar onde você vai querer agrupar seus dispositivos e certificar-se de que eles estão transmitindo em 16 ou 11 para que eles não interfiram. Medo com outros pontos de acesso ou receba interferência com outros pontos de acesso. Quero dizer, claro, você poderia escolher o Canal 3, mas você vai ter interferência de qualquer coisa ao redor. Isso é transmissão e Canal Um ou Canal Seis. Você vai ter muita interferência lá em ter o potencial para um desempenho muito degradado porque você está usando o Canal 3 em vez de um, seis ou 11. E a maneira como você sabe que os controles sem fio acabam funcionando é que eles vão tentar e espalhar seus pontos de acesso para ter certeza de que eles estão alternando em um, seis e 11 para que se você não tem ponto de acesso, acesso ao ponto de acesso ponto, mesmo quarto e esse cara, certo que ele está transmitindo Canal 1. E esse cara está transmitindo o Canal 6 e esse cara está transmitindo no Canal 11 e então você diz que tem esse cara outro ponto de acesso aqui. Então nós adicionamos, além disso, boom, nós um ponto de acesso bem ali e ele vai em frente Rockets home broadcast Canal um direito , que você tenha interferência mínima entre seus pontos de acesso e que seu controle deve ser o único cuidando disso para você. Mas uma coisa boa para ter em mente no caso de você precisar configurar isso sozinho. Então, movendo-se um pouco para o nosso S S I d direito. Tenho certeza que você já ouviu um monte de pessoas falar sobre idéias SS ou você já viu isso antes, Configurado você mesmo e s i d. É, claro, o nome da sua rede sem fio. Ele equivale a um terreno V na rede com fio que a Cisco recomenda que você tenha um ss i. D. Sua visão. E não faz muito sentido ter várias idéias SS correspondentes a uma única terra porque normalmente suas idéias SS terão requisitos de segurança diferentes. E por que você iria querer requisitos de segurança diferentes para entrar no mesmo segmento de rede no mesmo vilão? Sua idéia SS pode ter entre dois e 32 caracteres, desde que definido no padrão. E algo para notar que eu vi surgiu em exames antes na camada dois WiFi $802. Levin usa C S M a C A. O que é isso? Isso é a detecção da portadora de múltipla colisão de acesso. Então isso significa que antes de cada ponto de acesso antes de cada estação transmitir, ele escuta e espera para ver se alguém mais está transmitindo. Primeiro, ele evita uma colisão porque não há nenhuma maneira de detectar uma colisão lá e que , na verdade , o que acaba dizendo é que envia uma solicitação para enviar para o destinatário. E, em seguida, se o destinatário acha que está tudo bem, ele vai enviar de volta uma clara para enviar uma mensagem para dizer, Você está OK, você pode enviar Vá em frente e obter sua transmissão através. Você tem esse tempo muito passo passo com o dedo do pé é que ele vai em frente e até mesmo dizer lá dentro naquele quadro quanto tempo que a estação de transmissão tem disponível para transmitir dentro E é assim que o WiFi funciona fundamentalmente é que permite incrementos muito pequenos de tempo a serem usados por cada estação na área que precisa transmitir e ir em frente e transmitir no incremento do tempo. Ótima. Agora é a vez que está feito e precisa permitir que outra pessoa transmita, e ele vai esperar até que haja um dedo aberto onde ele possa ir em frente e transmitir. É também por isso que aqui em uma área muito lotada com um monte de pontos de acesso diferentes e como essas idéias em torno de você pode obter um desempenho muito degradado, porque sua estação está tendo dedo do pé esperar um longo tempo antes que ele é permitido para transmitir. Então vamos falar um pouco sobre os tipos de criptografia usados com WiFi. O padrão de criptografia de fato agora é W P A e W p A. Para com WP um sendo desenvolvido um pouco porque T. Kip o Temporal Kee Integrity Protocol usa RC para Aziz, o algoritmo de criptografia que é encontrado para ser inseguro, que foi rachado em que WP um dois é realmente o único caminho a percorrer agora, e o Caminho mais Seguro e W. P A três está a caminho daqui e será lançado logo que o novo padrão de criptografia devido a preocupações de segurança. Com WP A para assim w P A. É um protocolo legado. Ele não é mais considerado seguro, e foi desenvolvido como um patch em certo sentido, para chorou por privacidade equivalente com fio que W E. P foi usado, mas era suscetível a muitos tipos diferentes de ataques e WP um aborda muitos deles , mas agora é considerado não mais seguro. A encriptação, ambas usadas antes do aperto de mão. Agora o aperto de mão de quatro vias. Você pode ter que saber isso. Eu estaria ciente do que é isso. Você realmente não precisa saber os detalhes de como isso funciona, que eles enviam um nonce, que é um número gerado aleatoriamente, e que eles vão em frente e derivam uma chave para usar entre os dois. Que o autenticador aqui é o seu controle sem fio. Esse cara aqui é seu ponto de acesso sem fio. Vamos falar mais sobre como isso acaba funcionando mais tarde no curso de que seus pontos de acesso leves realmente dependem do seu controle para fazer muitos aspectos de sua comunicação sem fio, uh, e que seu tráfego realmente entra no rede corporativa no controlador em oposição ao ponto de acesso. Falamos sobre isso mais tarde. Então, W P A. Dois usa A E s, o padrão avançado de criptografia, e que usa o algoritmo de criptografia CCMP, que é mais forte do que o RC para algoritmo de criptografia. Ele pode ser configurado como PS K. Essa é uma chave pré-compartilhada com VP A muito pessoal ou para usar 802.1 x com WP A para empresa, isso seria algo como autenticação de raio para ir em frente e ter isso incorporar com seu diretório ativo ou Outra. Qualquer outro mecanismo de diretório que você está usando para o gerenciamento de contas de usuário ir em frente e fazer sua equipe ou clientes autenticar na rede. Muito obrigado por se juntar a nós. Há como os outros. Vamos fazer algumas perguntas de treino antes de terminarmos aqui. Então, primeiro, se um sinal sem fio principal e refletido for recebido 180 graus fora de fase, o que acontecerá com o sinal recebido no dispositivo cliente? É A. O sinal será amplificado. Seja o sinal degradado, mas apenas uma pequena quantidade. Ou ver o sinal será completamente cancelado rapidamente. Só para lembrar, Aqui vamos nós em frente e dar uma olhada no nosso sinal. Vá assim. Mais uma. Aqui está que este seria eu realmente não posso desenhar muito bem. Mas isso seria 180 graus fora de fase, onde temos uma espiada aqui e um troll aqui que estes estão completamente fora de fase e acabarão cancelando uns aos outros. A resposta é C. E, finalmente, quais são os três canais não sobrepostos no espectro 2,4 gigahertz de você sabe a 11 . É um 15 e 10 para 6 e 11 16 e 11 ou 17 e 11? Isso é algo que você definitivamente precisa se lembrar. A resposta é 16 e 11 são nossos canais que não estão se sobrepondo no 2.4 eles prejudicam espectro. Espero que isso tenha sido informativo para você, e eu gostaria de agradecer por ver. 12. Virtualização 1.10 de 1.10: em fundamentos. Ao examinar os tópicos do exame para a nova CCN A, você notará que esse tópico em particular parece um pouco fora de lugar. A Cisco está nos pedindo para explicar os fundamentos da virtualização especificamente no que diz respeito às máquinas virtuais. Agora, isso não é necessariamente falar sobre virtualização de dispositivos de rede e máquinas virtuais nesse aspecto, mas apenas máquinas virtuais em geral. Mais especificamente, máquinas virtuais hospedadas em hardware mais genérico, que dispositivos de rede podem ser virtualizados, e falaremos um pouco sobre isso um pouco mais tarde aqui. Mas primeiro, vamos em frente e falar sobre o que uma máquina virtual realmente é e como ela difere da nossa arquitetura tradicional. Então, tradicionalmente, você tem essas máquinas físicas individuais executando um único sistema operacional. Geralmente isso é único propósito é que, se você tiver seu controlador de domínio com seus serviços DNS e talvez seu D HCP. Talvez se você pudesse dividir isso também. Mas você vai ter isso funcionando em uma única máquina. Então, na arquitetura tradicional, você teria uma única caixa física que executaria esses serviços. Isso acaba dando a você um monte de subutilização em organizações maiores quando você precisa de muitos controladores de domínio e muitos servidores D. Http e você tem máquinas separadas para muitos aplicativos diferentes que sua organização está executando, e você só pode ter um aplicativo em cada máquina porque você deseja separá-los para limitar a quantidade de conflito que eles acabam tendo um com o outro no sistema operacional. Você acaba com linhas e linhas de máquinas físicas que toda vez que você precisa girar uma nova máquina, você precisa enviar fisicamente alguém lá fora para colocar em rack e empilhar um novo dispositivo físico para configurar um novo sistema operacional. E para conseguir isso. Isso também acaba significando que as máquinas físicas são muitas vezes subutilizados, que quando você só tem ah, único propósito em seu dispositivo físico. Você pode espiar sua CPU em 10% ligado, e é isso, e talvez 30 quando ele está executando atualizações. Mas você acaba realmente sob a utilização de suas máquinas, e isso não parece muito bom para sua eficiência de seu negócio ou para o departamento I T agora em máquinas físicas. Claro, os EUA têm acesso direto ao hardware da máquina. O sistema operacional está interagindo diretamente com o processador e com os componentes da placa mãe. Ele está interagindo com sua memória no sistema operacional está lidando com seu próprio agendamento para esse hardware. E no que diz respeito ao sistema operacional, ele tem acesso total ao hardware disponível nessa máquina física para esse hardware físico . Como eu disse, isso limita as máquinas a um único propósito porque limita a máquina física a um único propósito. Porque você só poderia ter um sistema operacional sendo executado simultaneamente em sua máquina e isso causou uma subutilização significativa do servidor em relação aos dispositivos físicos. Agora passo para o estágio virtual ization. Assim, com a otimização virtual, você ainda tem um único sistema operacional que é executado em seu hardware. Mas este sistema de oferta X é ah, hiper viseira. O que é um dio-visor hiper Então ah, hyper visor irá em frente e apresentar hardware virtual para um sistema operacional convidado. Agora, o sistema operacional que está rodando em nossa hiperviseira diz que cada uma dessas caixas aqui, certo? Eles Cada um deles é um sistema operacional servidor Windows, apenas para dar um exemplo salvo. Deus sabe Server 2016 em execução em cada um destes no Boom aqui, aqui, aqui e aqui e que o servidor 2016 é faras. Ele está preocupado que esteja aqui na camada do sistema operacional. Ele acha que tem esse hardware físico disponível para ele, e vai em frente e agenda sua memória. Ele lida com suas tarefas de processador e agenda o processador e faz todas as tarefas do sistema operacional , como normalmente faria. Mas o que ele está interagindo é na verdade esse hardware virtualizado, essa máquina virtual que a hiperviseira está apresentando a ela. Então, o hipervisor realmente lida com o agendamento e o gerenciamento de recursos para o hardware físico, uh, e leva as instruções das máquinas virtuais e agenda que l para que o hardware físico seja capaz de reagir adequadamente. Agora isso permite algumas coisas bem interessantes, certo? É que por um que você pode alocar esses caras. Você pode fazer isso para que essas máquinas pensem que eles são enormes, ser um pouco fora. As peças podem ser maiores do que o todo. Mas isso causa alguns problemas. Claro que sim. Digamos que você acaba em Lee tendo, digamos que esta máquina física tem, sei lá, 32 gigabytes de memória, certo? E cada um desses seis caras, você acaba dando a cada um deles 16 gigabytes de memória, certo? Porque qualquer aplicativo que você está executando nesses sistemas operacionais convidados, não, nenhum lança um erro, dizendo que você não tem memória suficiente quando você tem menos de 16. Então vá em frente e dê a cada 1 16 e isso funciona, e tudo bem. Ah, mas você pode ter problemas onde, se eles começam como um todo, ocupando mais do que os 32 gigabytes físicos de memória Bem, você ficou sem memória e você está tentando lidar com o espaço que está fora do seu em alcance, e você poderia falhar ou hiper viseira crasher sistemas operacionais convidados. Ou você pode apenas sofrer problemas de desempenho significativos, dependendo de como você está hipervisor está configurado. Então, eu acho que disse que a hiperviseira apresenta os sistemas operacionais convidados com hardware virtualizado com máquinas virtualizadas. No que diz respeito a este sistema operacional convidado, ele tem máquina física completa disponível para ele. Tem uma certa quantidade de memória. Tem uma placa de vídeo. Ele tem ah, processador com X quantidade de núcleos que é capaz de certos conjuntos de instruções que tudo isso passou para o sistema operacional convidado, e o sistema operacional convidado não tem conhecimento geral de que ele está em uma máquina virtual que ele está em uma viseira hiper, então ele apenas age como normalmente faria. E a hiperviseira lida com essas instruções apropriadamente para que possa programá-las para que tudo funcione em uníssono. Eles vão aumentar significativamente a nossa utilização, certo? É que agora você passou deste hardware físico que pode Onley executar fora de uma única carga de trabalho . Em nossa arquitetura tradicional, você tem seu aplicativo em execução em seu único sistema operacional que está sendo executado em sua única máquina física e, em seguida, boom. Agora temos nossa única máquina física que pode executar muitos sistemas operacionais que são áreas de computação individuais, certo? Estes são todos separados uns dos outros na hiper viseira que estes atuam como máquinas físicas totalmente separadas. Eles não podem interagir uns com os outros no nível fora do sistema operacional que eles são totalmente separados. Eles não podem abordar a memória um do outro. Eles não podem acessar os dados uns dos outros a menos que você vá em frente e configurá-lo como tal, e a menos que você vá normalmente através da rede é que eles podem se comunicar uns com os outros . Você sabe, através da rede, certo? É onde talvez esse cara aqui esteja hospedando. Compartilhamento de arquivos. Talvez ele seja um servidor de arquivos. E talvez esse cara aqui seja um servidor de aplicativos que precisa acessar arquivos nesse servidor de arquivos. Então talvez ele faça isso através da rede, e neste caso, através da rede, pode estar no mesmo vilão. Assim, a conectividade de rede pode nunca deixar esta máquina física aqui. Que o tráfego de rede pode entrar no nosso hipervisor e depois ir direto com nossa rede virtual que estaria na hiperviseira. Agora, a rede virtual em uma hiperviseira não é algo que vamos abordar em nenhum detalhe. Tudo aqui que a Cisco é muito específica sobre esse tópico específico que estamos falando apenas de máquinas virtuais e nada específico do fornecedor. Eu faço lista aqui, VM onde, assim como o es ex i hiper viseira. Isso é apenas um exemplo. Há, é claro, soluções da Citrix. E então também, você sabe, hiper V da Microsoft. E há outros também que são código aberto e código fechado. Existem muitas opções para viseiras hiper que você pode fazer um pouco de pesquisa e encontrar um que se adapte às suas necessidades adequadamente, não. Embora este tópico do exame estivesse falando apenas sobre máquinas virtuais, eu quero falar um pouco mais sobre como a virtualização na rede parece, assim como a virtualização de rede faras alguns itens. E eu já vi essa pergunta surgir nos exames Cisco antes, é por isso que eu quero mencionar que esses são alguns exemplos de virtualização de rede, nossa terra virtual, pegando um switch físico e dividindo-o em vários switches virtuais. Basicamente, isso é essencialmente o que está acontecendo. Não é literalmente Há outras coisas que fazem isso, como contextos de dispositivos virtuais no nexus e no Cisco A s A para nossos contextos a s. Mas a terra virtual é um tipo de virtualização. Nossa areia virtual tem um terreno V para nossa rede de área de armazenamento, uma instância virtual de roteamento e encaminhamento, uma rede virtual privada sendo capaz de criptografar nossos dados e enviá-los através de alguma rede de sobreposição e acessá-los como se estivéssemos em que a mesma terra e estar em uma rede privada virtual ou porta virtual canal ruim virtual é o que permite multi-chassis ether canal trabalho dedo do pé . Vamos falar sobre isso um pouco mais tarde com qualquer um dos canais e basicamente o que é permite que você agrupe vários links juntos. Então você tem que mudar aqui e um interruptor aqui e você tem vários links entre si e você permite que você agrupá-los para que você obtenha maior largura de banda. Agora, o que o canal de porta virtual faz, é virtualizado isso Então, digamos que você tem Vamos em frente e apagar isso rapidamente. Digamos que você tem um interruptor aqui, um interruptor aqui e um interruptor aqui. E você tem dois links indo por aqui. E dois links indo para este caminho é que isso permite que você vá em frente e agrupe estes para que todos eles se pareçam com um único link um link virtual para, ah, spanning tree e dar-lhe multi-chassis qualquer canal. Mas então, é claro, que diz respeito à virtualização de dispositivos. Então, isso é realmente apenas virtualização de rede. Como a virtualização de dispositivos faras vai. Nós só gastamos um pouco de tempo falando sobre máquinas virtuais que está no hardware do servidor . Agora, algo que eu queria mencionar brevemente com máquinas virtuais é que a Cisco e outros fornecedores de rede fornecem máquinas virtuais de seus appliances que funcionam em hardware genérico . Você pode obter um novo a s, um V, que é um ensaio virtual executado em hardware genérico. Você não precisa do seu ensaio físico para poder ter um s a serviços e fornecer esses serviços ao seu data center. Você pode girar isso na nuvem, se quiser, no seu Azure ou na sua nuvem Google. Sua AWS pode ter seu serviço é fornecido por um S A nesse tipo de ambiente sem ter um dispositivo físico lá. O SS é o sistema de comutação virtual que está em nossos switches nexus e permite que você pegue vários switches nexus e faça com que eles atuem como um único switch lógico. Faça-os basicamente partilhar o cérebro e ter um único supervisor. Vá em frente e controle ambos os switches e falamos breve sobre s um dispositivo contextos que s um contextos permitem que você tome um único físico A s um direito. Se você realmente tem seu dispositivo físico, seu físico s a e corte-o em vários ensaios virtuais. Então, cada um age como seu. Separar A s A. E você pode alocar recurso é para cada um para que nenhum contexto possa ocupar. Toda a utilização da CPU pode ocupar todos os ciclos de relógio disponíveis em seu dispositivo, então um deles pode estar sendo martelado por algum ataque. E isso não afetará o resto do seu dispositivo físico e, em seguida, contextos de dispositivos virtuais na linha de comutação nexus que também permite que você pegue o seu único interruptor de nexus e dados que até em comutadores de nexus virtuais e realmente criar ah, máquina virtual completa, um switch de nexus virtual completo que tem suas próprias portas atribuídas a ela, seu próprio hardware disponível para usar tanto como uma máquina virtual. Mas é específico para um nexo e mesma coisa com um dispositivo de ensaio contatos em um contexto dizer . É muito parecido com uma máquina virtual, mas é um pouco diferente, entanto, na maneira como a Cisco lida com isso agora, assim como as outras seções, vamos passar por algumas perguntas práticas antes de terminarmos aqui primeiro, qual deles não é um benefício do uso de máquinas virtuais sobre máquinas físicas, uma maior utilização de hardware. E lembre-se desta pergunta, disse, que estes não são um benefício é ser diminuído. Sobrecarga administrativa. Veja maior largura de banda da rede ou D maior eficiência? R. Obtemos maior utilização de hardware, então isso é bom. Ser diminuição da sobrecarga administrativa. Eu não disse isso explicitamente, mas isso é verdade. Você tem gerenciamento muito mais fácil de suas máquinas quando você é capaz de gerenciar suas máquinas virtuais em vez de suas máquinas físicas, certo para suas máquinas físicas, você precisa ligar o shell em cada uma delas ou remoto ou caminhe fisicamente até lá e gerencie-o com suas máquinas virtuais. Normalmente, você pode se conectar ao seu host. Ou você pode ter um único software de orquestração ou gerenciamento e VM onde pode ser como o V center ah, onde você vai em frente e conecta seu centro V e gerencia vários hosts de VM, que cada um tem suas próprias máquinas virtuais no e ser capaz de gerenciar todas as suas máquinas a partir de um único painel de vidro e ser capaz de fazer isso de forma rápida e fácil. Ele tem diminuído a sobrecarga administrativa em. Nós tocamos brevemente também que a idéia de girar uma máquina virtual em vez de provisionamento. Uma nova máquina física tem suas próprias vantagens. Você pode criar modelos, você sabe, para suas máquinas virtuais e ser capaz de automatizar muito desse processo que há muitas tarefas administrativas que são reduzidas quando você usa a virtualização em vez de máquinas físicas. Então seja sim, é também um benefício. Agora veja o aumento da banda de rede com, uh, isso está em Lee falando sobre máquinas virtuais. Ele não tem qualquer influência real sobre a nossa largura de banda disponível. Então, veja não é apenas um benefício e D maior eficiência devido à diminuição da sobrecarga, você acaba obtendo maior eficiência e maior utilização de hardware que você obtém melhor eficiência do seu recurso é. Então a resposta aqui seria. Veja que isso não é um benefício do uso de máquinas virtuais. Você está aumentando a largura de banda da Leslie. Uma máquina virtual tem acesso direto ao hardware da máquina host. Verdadeiro ou falso, este deve ser muito rápido apenas para ter certeza de que você está prestando atenção. A resposta é falsa. Embora existam circunstâncias em que você pode fornecer acesso à máquina virtual ao seu hardware, você pode fornecer-lhe acesso direto a isso e passado através do seu hardware para a sua máquina virtual em geral. E, na maioria das vezes, ele não tem acesso direto ao hardware da máquina host que está usando hardware virtual . E então o hipervisor está cuidando do agendamento para esse hardware e fornecendo isso para o sistema operacional convidado. Agora, espero que isso tenha sido informativo para você, e eu gostaria de agradecer por ver. 13. Fundamentos de VLAN de 2.1: V aterrissa. Terras virtuais são realmente o primeiro sinal de virtualização que veio para a rede. Você sabe, antes de terras virtuais você acabou tendo um switch inteiro é apenas um domínio de transmissão. Então isso significava que você tinha roteadores em todos os lugares que se você tivesse dois computadores conectados ao mesmo switch, eles estavam no mesmo domínio de broadcast. Então, eles estavam no mesmo assunto que uma terra virtual permitia que você entrasse um switch de modo que diferentes portas nesse switch poderiam existir em diferentes domínios de transmissão. E que agora você poderia trocá-los também. Mas falaremos sobre isso no próximo vídeo. Primeiro, vamos em frente e apenas falar sobre o começo aqui fora da terra, a rede local. Então isso foi originalmente feito de apenas dois switches de camada dois, certo? É que você tinha esses portos aqui que estão todos no vermelho. Vilão. Não estão sentindo a rede vermelha do submarino lá. E então você tinha essas portas neste switch que estão todas na sub-rede verde lá e, em seguida sobre este cara à direita, você tinha todas essas portas que estão na sub-rede azul ali e que você precisava ter um roteador entre eles aqui, a fim de dividir e separar esses domínios de transmissão em cada lado dela. Isso realmente fez com que você juntasse sua equipe. Aqui é o departamento de contabilidade. E este é o departamento de marketing aqui. E este é o departamento de TI aqui e que você precisava ter todos os seus computadores I T conectados ao interruptor e todos os seus computadores de contagem conectados o interruptor em seus computadores de marketing aqui. E você não tinha liberdade para mover um desses caras para cá porque agora ele estaria conectado a um interruptor de contabilidade e ele acabaria na rede de submarinos de contabilidade lá que você não poderia misturar isso e apenas você designou o porto para estar sub-rede diferente porque você teve que passar pelo roteador. Aquela mudança foi uma mudança de contabilidade. Todo esse switch era um switch de marketing, e todo esse switch era um switch de I t e que você não podia contornar isso, que estes eram apenas um domínio de transmissão. Então, suba no palco a terra virtual. O vilão nos permite colocar este interruptor e dividi-lo em vários domínios de transmissão . Ele meio que o divide em vários switches lógicos. Agora, isso não é como os contextos de dispositivos virtuais em Ah, nexus switch onde ele realmente é sua própria tabela de roteamento e coisas assim que isso só permite que você tome. Você sabe, então você tem um par de portos aqui que estão na rede vermelha sub e então deixe-me pegar minha outra cor aqui. Então você também tem um par de portos aqui que ar em sua rede verde sub. E então, se formos até aqui, você também tem um par de portas que estão na sua sub-rede azul que todos podem ser misturados no mesmo switch aqui. Porque agora você pode separar diferentes portas em um domínio de transmissão diferente que quando uma transmissão vermelha chega por aqui, está em Lee indo para fora as portas vermelhas. E se uma transmissão verde saísse, ela só sairá dos portos verdes e assim por diante que isso chegará em breve. Agora você realmente tem um V lan para o seu departamento é que você tem em contabilidade V Terra e um marketing V lan. E se você quiser mover um computador aqui deste switch para este switch aqui, ótimo, ótimo, você poderia apenas colocá-lo em uma porta e colocar essa porta em qualquer vitela em que você precisa que o computador faça parte. E aí vai você. Permitiu muito mais liberdade para você ser capaz de situar seu escritório como você quisesse. E, honestamente, isso simplifica muito mais as coisas também. Na minha opinião, que ao invés de ter um dispositivo físico inteiro dedicado a uma sub-rede, você pode dividi-lo. E isso permite muito mais liberdade aqui. E faz sentido mais lógico, na minha opinião. Então vamos falar sobre os intervalos de vilões que você pode ter em dispositivos Cisco. Portanto, existem terras 4096 V que você pode usar de zero a 4095. Há alguns reservados Villa e um é um padrão violento que você não pode excluir em dispositivos Cisco, vilões 1000 para 3 1005 também são padrões para tecnologias mais antigas para F d D I e Token anel . Você não pode excluí-los. Você pode usá-los, mas não pode excluí-los. Eles estão reservados. A gama padrão para vilões é vilão até 1001. Agora a razão pela qual este é o padrão intervalos porque este é o que é propagado com V tp v tp é o protocolo de tronco vilão. Os tópicos do exame realmente não mencionam v tp em tudo. Mas eu gostaria de deixar você saber brevemente o que é isso. Diga que tem seu interruptor aqui, certo? E você tem bilhões. 157 10 20 para 36 40 e ótimo. E você tem outro interruptor aqui, certo? E ele está conectado e você tem outro interruptor aqui e aqui e eles estão conectados. E este ar conectado e você tem outro interruptor aqui e ele vai até um interruptor aqui e um interruptor aqui e se conecta a um interruptor aqui e eles são Ugo e digamos que talvez eles estejam conectados aqui. Ótimo. Agora você tem essas terras V e você quer ir em frente e colocá-los em todos esses interruptores. Bem, quero dizer, vai ser um pouco de sobrecarga administrativa saltar para cada um destes comutadores individuais aqui e configurar o membro V 57 10 20 para 36 40. E para entrar em cada um desses e depois dizer que agora você tem spiffy e você quer ir em frente e adicionar de você e 50 em seu grande Agora você precisa pular em cada um desses switches e Advil e 50 para lá. Esse, uh, V T P é um protocolo que permite que esses switches comuniquem essa informação como eles podem ir em frente e falar. E enquanto eles estiverem no mesmo domínio V tp e as informações de autenticação estiverem corretas , dependendo da versão de E.T.P E.T.P , então este conjunto de vilões irá em frente e propagar-se e apenas aparecer em todos esses interruptores. Agora, lembre-se, não haverá nenhuma configuração de porta. Se você precisar de alguma porta dentro desses vilões, essa configuração não se propagará de forma alguma. Mas esses links entre switches devem ser troncos, e vamos falar mais sobre isso no próximo vídeo. Mas tudo isso deve ser troncos e membros de todos os villians por padrão, então você terá camada para conectividade e terminar aqui de ponta a ponta através de todos esses links internos de switch automaticamente adicionando esta vitela em seu servidor V tp em é apenas um dos seus switches irá atuar como um servidor V TP. Então, quando você faz mudanças nessa, essas mudanças de ar se propagaram para todos os outros, é assim que a TV funciona. Agora, não vamos entrar em mais detalhes sobre isso aqui porque, como eu disse, os tópicos do exame não mencionam BTP. Então você não precisa saber disso, ou pelo menos não deveria. Ah, e que eu só quero que você saiba como BTP funciona no caso de você encontrar isso aqui para que você saiba o que é. Então estes são os vilões. Eu gostaria de fazer um ponto para saber que 1002 a 1005 é um intervalo reservado. volume um é o vilão padrão que você não pode excluir e que você pode ter um total de 4096 vilões de 0 a 4095. Sobre isso, aqueles dois também estão reservados para que eu saiba essas coisas para o exame e certifique-se de que você comprometa isso à memória. Então vamos em frente e saltar para o laboratório um pouco. Aqui, vamos em frente e abrir G N s três e dar uma olhada em nossa topologia. Então temos PC um. Mude um para e pc para aqui neste lado. Então PC um. Eu já fui em frente e configurou o endereço i P 10.1 ponto 2.1 barra 24 no rápido você Jeanette 00 interface e no PC para ter também configurado 10.1 ponto para ponto para cortar 24 na interface Ethernet 00 e que o que queremos fazer aqui é que eu não feito qualquer configuração real para mudar um ou dois é que queremos ir em frente e tomar Villain 50 e criar que no interruptor um e mudar para e colocar Ethernet 00 em cada um desses switches em desenvolvido 50. Então esse PC um e PC para estão no mesmo domínio de transmissão, certo? Então vamos em frente e fazer isso. Primeiro, vou saltar para o PC 1 e mostrar a configuração que temos. E então vamos pular para trocar um e dois e começar isso. Então, primeiro mais no PC um aqui é se fizermos um show I p interface breve. Vemos que temos o nosso rápido usando em 00 com 10 1 para 1 em que é para cima. Então eu fiz um não shutt nesta interface. Então vamos em frente e pular para trocar um primeiro. Primeiro aqui se o comando para ver os vilões que você tem é mostrar vilão. Agora isso mostra o seu V aterrissa aqui em cima, que portos são portos de acesso naquela ville e o número vilão, o nome do vilão e o status atual dessa visualização. Agora há também um monte de informações aqui em baixo com seu vazio você para o vilão e seu número de anel para anel token e coisas assim. Nós realmente não precisamos desta informação aqui. Eso se você simplesmente não quer mostrar que você pode fazer mostrar-lhe e breve e eles só vão nos mostrar os números de vilões, nomes, nomes, seus portos e o status tão violento. Os braços são Ethernet. 00 é uma porta de acesso em V. Liam 1 agora. Então queremos ir em frente e colocar isso no vilão 50. Então o que? Vamos condenar interfase. Internet 00 E, em seguida, vamos fazer switch porta acesso vilão 50. Ainda não criamos este vilão, mas o interruptor vai ser bom o suficiente para ir em frente e criá-lo para nós que está dizendo que esta terra V que você tenta colocar esta porta dentro não existe. Ainda não criamos este vilão, mas o interruptor vai ser bom o suficiente para ir em frente e criá-lo para nós que está dizendo Mas você quer colocar um porto nele. Ótimo. Vou em frente e criá-lo para você aqui. Incrível. Então, agora, se fizermos um fazer mostrar o resumo da terra que vemos, nós temos nossa vitela e 50 aqui apenas nos dá um nome padrão das terras seu 050 Ah, e que agora temos nossa Internet 00 dentro daquele vilão. Incrível. Então vamos pular para mudar para aqui e mudar para nós fazemos a mesma coisa. Mostre ao cordeiro. Temos a nossa vista. Sou um. Todas as nossas portas estão em VL m um. Temos nossos vilões padrão lá também. Então vamos condenar e aqui, vamos em frente e criar o vilão se formos vitela e 50 e é assim que você cria um sentimento como você faz vilão e o número do vilão. E isso cria a vitela no interruptor. Aqui, você também pode especificar o nome que deseja nos chamar de Contabilidade 1.000.000.000. E então se fizermos um atraso do show em breve, temos 50 é o nosso vilão da contabilidade agora, Curiosamente, eu descobri que se você definir o nome e você não sair primeiro, ele não mostrou isso aqui ou perder, dependendo do que ligar o seu. Às vezes, entra em vigor imediatamente. Outras vezes você tem que fazer sair para sair do modo de configuração de vilão antes que você vai acabar vendo o nome realmente mudar aqui. Então agora que temos você e 50 lá, vamos para a interface Ethernet 00 e você mudar porta de vitela acesso e 50 Moscou final show villian breve. Ótimo. Temos Ethernet 00 aqui nisso. Nós também temos mesmo em 00 sobre o interruptor um como em vitela e 50 também. Vamos saltar para o PC 1 e ver se conseguimos ping PC para agora. Então, se vamos pagar de 10 a 2 agora, é bastante normal. Você sabe, talvez as portas estão passando por algumas mudanças de configuração que talvez devêssemos fazer isso mais uma vez e ter certeza de que isso não vai passar por nós. E não é interessante. Então, a parte afiada de você deve ter notado que temos aqui que nossa Ethernet 00 em cada um desses switches está em vitela e 50 No entanto, esse domínio broadcast não é estendido para entre os switches que eu passei e eu configurado, Ah, porta do switch No, negociar ou configurou esta interface em cada lado como uma porta de acesso. Então nós não temos um tronco entre eles para Nós vamos falar sobre o que tronco ing é no próximo vídeo. Quando passamos por cima de nossos 0,1 Q fundamentos sobre como a marcação de quadros funciona para ser capaz de fazer comunicação inter switch e tronco de vilões entre switches. Mas esta interface aqui é apenas uma porta de acesso. Ainda está no V Liam 1. Então, quando enviamos nossos estão fora do PC um para PC para quando enviamos nossos estão prestes a dizer, Hey 10.1 ponto a ponto para Qual é o seu endereço Mac? Uh, que nunca vai chegar lá. É uma transmissão, certo? Então nós transmitimos em Vilão 50 e esta Internet 00 é a única interface. Isso é inveja. Terra 50. Então, o que um switch faz quando recebe uma transmissão? Ele envia todas as portas que estão no domínio de difusão que, exceto a porta em que ele entrou. Certo. Portanto, não há outras portas neste switch, uma que esteja no domínio villa e 50 broadcast. Então, já que chegou mesmo às 00, esse quadro entra e morre e não faz mais nada. Então precisamos ir em frente e colocar Ethernet 01 no switch 1 e mudar para a terra 50 e espero que isso resolva nosso problema de conectividade aqui. Então vamos em frente e cuidar disso rapidinho. Então, sobre o switch um, vamos apenas ir para a interface Ethernet zero barra um, e isso é algo é do modo de configuração de interface em e alguns outros movimentos de configuração . Você pode simplesmente saltar diretamente para outra interface sem ter que sair do modo de configuração da interface primeiro e, em seguida, para a sua interface. Só uma pequena gorjeta do Iowa. Então aqui vamos mudar o vilão de acesso ao porto 50. E então agora vamos em frente e fazer isso do outro lado também. No interruptor para interface Oriental é o seu stash alertar interruptor de acesso pobre Violino 50. Agora você percebe aqui que é para nos dar uma incompatibilidade de vilões nativos com nosso CDP que ah cdp foi trocado entre os dois switches, certo? E o que eu tinha um dos portos em Villa e 50 e o outro cordeiro inveja um que nós recebemos uma mensagem de registro da CEI aqui dizendo que havia uma incompatibilidade de vilões nativos descoberto, Ah que embora você estivesse recebendo conectividade porque é tráfego sem impostos, Eu estava entrando no vilão errado que CDP estava trocando e deixando cada switch saber o que v terra que seus portos estavam dentro fora. Então, agora que fomos em frente e definir esses links internos do switch aqui, o Ethernet 01 na TV terra 50 Vamos ver se somos capazes de ping entre PC um e PC para então se atrás, pagando 10 1 para 2. Boehme funciona sem um problema que nós somos realmente capazes de ping entre os dois agora porque nós temos conectividade ponta a ponta no mesmo domínio broadcast que todas essas portas estão agora no mesmo sentimento. Incrível. Agora, assim como as outras seções, vamos passar por algumas perguntas de prática antes de terminarmos aqui hoje. Primeiro, qual é o vilão padrão que todas as portas são um membro desligado em um switch. Este deve ser um que você tem pronto para a direita fora da sua mão e que é um vilão. Um deles é o vilão padrão que todas as portas em um switch são um membro desativado quando você o escolhe fora da caixa. E em segundo lugar, qual é o comando para definir um interruptor como um porto de acesso em vilão 20 acesso ao porto 20 anos ir para a terra. 20 é o acesso de porta switch Villain 20 ou vilão de acesso 20 e isso está no modo de configuração de interface . A resposta aqui é ver switch Port Access Villain 20. Espero que isso tenha sido informativo para você, e eu gostaria de agradecer por ver 14. Fundamentos 2.2: 802.1 Q Fundamentos e configuração. Agora que entendemos como diferentes V aterrissam em um switch, segregam um domínio de transmissão, precisamos ser capazes de permitir que esse vilão atravesse vários switches de modo que vitela em 50 no meu interruptor atual pode falar com Vilão 50 em um interruptor adjacente que se eu tiver o meu PC de contabilidade no Switch um e outro PC de contabilidade no interruptor para, eu preciso que essas pessoas falem. Mas, em seguida, também um PC de marketing em um vilão de marketing que um é próprio interruptor um os outros em interruptor para Eu preciso permitir que aqueles para falar também. Então, a fim de fazer isso, precisamos de um método para marcar o nosso tráfego nessa comunicação inter switch que interligar de modo que possamos diferenciar entre qual tráfego pertence a qual vilão. Então vamos recomeçar aqui com o vilão. Certo é que nesta foto temos aqui o vilão verde e o vilão roxo, que é nossa contabilidade e nosso marketing que quando a contabilidade quer falar com o outro computador de contabilidade, a porta aqui no switch um que é no Greenville em e esta porta aqui conectando switch um e switch para é o que é chamado de tronco e que ele usa 802.1 Q ou I sl como um padrão para marcar dentro do cabeçalho desse tráfego. Qual vilão o roxo ou o verde aqui. Que esse tráfego é um membro desligado. tal forma que quando a contabilidade envia um AARP para o endereço Mac da contabilidade para P. C S I. P que desde que ele entra em um Greenport, ele sai deste tronco, marcado como verde e, em seguida, quando comutado para, recebe essa transmissão no Greenville em que é marcado como verde, ele envia-lo para fora todas as suas portas verdes ea mesma coisa com o roxo é que vem através , marcado seu roxo e, em seguida, sai todas as portas roxas, mas não qualquer fora dos verdes. Então este vilão virtual ises muda para várias terras lógicas, e você sabe, nós precisávamos de um padrão para esta comunicação inter switch. E foi aí que eu sl e 0.1 q entrou em jogo. I sl foi Cisco método proprietário de etiquetar suas terras V em sua comunicação interruptor interno e I s l pelo caminho representa Inter Switch Link, e ele tinha um monte de problemas com não ser muito eficiente e ter um cabeçalho muito maior . Também é legado e não é mais usado. Você nem terá a opção de usar I s l como o método de encapsulamento em seus switches mais recentes que serão Onley dio 0.1 Q No entanto, em seus switches mais antigos, você precisa entrar e especificar que deseja que seu encapsulamento seja 0,1 Q que quando usamos o protocolo de tronco dinâmico DTP, alguns desses switches mais antigos negociarão o encapsulamento I S l por padrão, e nós realmente precisamos entrar manualmente e alterar isso. Então vamos falar sobre a tag 0.1 Q. Uma vez que os tópicos do exame só incluem 802.1 Q Isso é realmente tudo o que eu vou entrar profundamente aqui. Então a tag 802.1 q v terra é um campo de cabeçalho de quatro bytes que está em nossa camada para cabeçalho, e aqui ele se encaixa entre nosso endereço de origem e nosso tipo e comprimento. Nossos tlv s em nossa camada para cabeçalho lá. O vilão i d parte dessa etiqueta tem 12 bits de comprimento. O intervalo padrão usa 10 bits. Nosso 1000 92 no 4096 ano começou 1024 o 4096 sendo com seus dois bits adicionais, e que este padrão aqui, claro, é definido no 802.1 Q de Tripoli que é isso que define nosso cabeçalho aqui. Agora o trunk ing está se referindo a uma porta de switch configurada para transmitir e recebeu quadros marcados 802.1 q por padrão nos switches Cisco Um tronco é um membro de todos os vilões. Aceitará todos os vilões. E ele irá transmitir toda a violência de tal forma que quando você tem um interruptor aqui, certo, e você tem um host vindo aqui, que está no violino vermelho e você tem um novo link de interruptor interno aqui que é um tronco por padrão. Qualquer transmissão enviada daqui também sairá pelo porta-malas e a mesma coisa se tivéssemos uma visão diferente aqui, digamos o vilão verde e você tem seu computador aqui. Quando ele enviar uma transmissão, o verde também sairá do nosso porta-malas agora partículas dinâmicas de caminhões. Mencionei isso muito brevemente. Isto é o que permite que uma porta para se tornar um tronco automaticamente é quando ele pode negociar e detectar que o outro lado fora do link aqui também é um switch que tem a capacidade de ser um tronco é. Ele envia esses quadros dizendo, eu quero ser um baú. Eu quero ser um baú e ele tenta negociar o tronco. Agora, é considerada a prática recomendada desativar o TP profundo em qualquer lugar e em qualquer lugar, e o Onley usa o tronco estático para fazer o tronco do modo de porta do switch. Você pode ter que fazer a porta do switch No negotiate, a fim de desabilitar o DTP que ele representa um risco de segurança em suas interfaces que estão enfrentando seus clientes sênior host lá fora no escritório bombas computador está realmente recebendo os quadros de negociação DTP. E com algum software inteligente, você pode ir em frente e negociar um tronco com o switch e ser capaz de receber tráfego para sua máquina que não se destina e está fora do vilão que você deve fazer parte como uma porta de acesso que você negociou um tronco processado por padrão. Você é um membro de todos os vilões. Agora o primeiro comando aqui. Eu mencionei que precisamos ir em frente e especificar manualmente nosso encapsulamento como 0.1 Q Quando você tem a opção de 0.1 Q ou I s l que você precisa especificar um ou outro antes ele vai permitir que você vá em frente e definir estaticamente o modo porta como tronco. E isso é apenas em interruptores que suportam I sl, no entanto, que foi gradualmente eliminado. Então você só verá 0,1 bonitinho, é claro. Como eu disse, não pensei no exame. Mas eu queria que você soubesse que em alguns desses switches mais antigos que você vai encontrar , você terá que especificar seu switch. Encapsulamento de tronco de porta 0.1 Q Então, com 0.1 Q Ele vai em frente e marca todos os seus vilões direita de 0 a 4095 é que tem esse pequeno item aqui? O vilão I D. Onde este tráfego esta moldura faz parte deste vilão. Agora, para economizar em nossa sobrecarga aqui, nós temos a capacidade de enviar certo tráfego intacto que simplesmente não tem nosso 802.1 q V tag terra em tudo e que esse tráfego deve ser definido para ser em um vilão, e isso é chamado de nosso nativo Vilão. Qualquer tráfego não tributado é considerado parte do vilão nativo. Agora, este é um item configurável que você pode fazer. Trocar porta tronco, nativo violento para definir. Qual vilão I D é considerado o tráfego a fazer parte quando é recebido um ntags e qual tráfego vilão I D será enviado através do tronco intacto. Isso reduz a sobrecarga. Se você tiver cinco bilhões e aproximadamente a mesma quantidade de tráfego em cada um, então você terá 20% menos sobrecarga porque uma delas não precisa da tag de quatro bytes adicionada em cada cabeçalho de quadro único, e que o ilium nativo deve em cada lado do tronco. A fim de funcionar corretamente, é possível ter uma incompatibilidade de vilões nativos e fazer com que as coisas trabalhem. Mas é assim que se misturam os vilões e acabam com várias redes de sub-redes na mesma transmissão. Romain, que simplesmente não funciona e não termina 12. Então eu quero ir em frente e saltar para um laboratório aqui e mostrar-lhe como é a etiqueta vilã . Quando em uma captura de tubarão de arame Aqui, deixe-me ir em frente e trazer GN S. Três é que temos nosso PC de contabilidade um e dois aqui e nosso PC de marketing um. E para ouvir contabilidade PC são vilão da Contabilidade v Atlanta 30 e vilão de marketing 50. Ainda não fiz nenhuma configuração para esses switches. Nem sequer coloquei os portos como portas de acesso aos seus respectivos vilões. E lá os próprios vilões reais ou não configurados nos switches. entanto, Noentanto, eu coloquei os endereços I P em cada um desses PCs aqui, que realmente são apenas roteadores, e eu estou usando Represent PCs, então não precisamos fazer nenhuma configuração lá agora. Então vamos em frente e pular em nossos switches, configurar nossas portas de acesso aqui e nosso tronco e fazer isso no switch um e dois, então nosso tronco em cada um deles será Ethernet 01 e então nosso villian 50 será par. É o seu zero em cada e Villa e 30 será ou líquido 02 em cada. Então, primeiro, vamos em frente e saltar para cima para mudar um, e apenas para mostrar. Aqui nós mostramos vitela e Bree temos o cordeiro um ou vilão padrão e todos os nossos portos são membros fora Gilliam um como portas de acesso. Então vamos em frente e configurar nossos vilões primeiro. Aqui vamos nós. Complexidade vi Lam 50. E só para ter certeza aqui, Vilão 50 era nosso vilão de marketing. Vilão, 30 é a nossa contabilidade negociando Iago nome marketing e vista e contagem de 30 nomes. E então vamos para, uh, uh, Ethernet 00 Parece que, na verdade, mesmo quando você é um um tronco já está aqui. Se dermos uma olhada aqui, ele é excluído da lista, e isso é algo que você pode querer se acostumar é a idéia de que quando uma interface não está aparecendo como parte de um vilão aqui na saída show vilão que geralmente é um tronco que as portas de acesso Onley nesses villians aparecem aqui e o comando para mostrar a eles um show interface trunk e que nos mostra que a Internet 01 está encapsulada I sl agora porque ele auto negociado como eu sl em cada lado desde em GNS, três estavam emulando um interruptor antigo aqui e eles ainda suportam I sl on. Que vemos são violino nativo é um. Agora eu sl ainda faz ainda tag seu vilão nativo, mas vamos em frente e reconfigurar isso aqui para 0,1 Q momentaneamente mesmo. É o seu um? Bem, vamos em frente e fazer o encapsulamento do tronco do painel de distribuição 0.1 Q Agora, só para mostrar aqui, nossas opções são negociar SSL e 0.1 Q Então nosso DTP seria negociado. Podemos ir em frente e apenas fazer 0.1 Q Desde que vamos definir isso como tronco de modo de porta switch e, por padrão, nossos troncos são membros fora de todos os vilões. Então, só para voltar aqui, precisamos até mesmo seu euro zero em villian 50 e zero em vilão 30. Então vá. Seu nome é seu. Europa Switch Port Access Villain 50 Go interface zero para olha, sinal de acesso 30 esperança e eu só preciso ter certeza de mudar de acesso modo pobre. Não faça isso. No geral, também Ethernet 00. Acesso ao modo de porta do switch. Excelente. Agora, se você ir em frente e fazer um show interface Trump, vamos ver que temos encapsulamento de 0,1 Q e que é tronco ing porque é um tronco motivo em vez de negociar aqui. Agora vamos saltar sobre para mudar para e vai fazer a mesma configuração aqui. Chá perfeito. É vitela em 50 nomes de marketing. Villa 30 nome contabilidade. Então certifique-se que eu tenho isso correto aqui. Marketing é 50. Contabilidade é 30. Vamos lá. Sair da interface. Eternity 00 Switch encapsulamento tronco de porco 0.1 Q Switch modo pobre Tronco. Vamos em frente e fazer interface de saída. Ethernet zero barra um. Oh, eu só fiz a interface errada aqui. Não morreu. Sim, eu fiz. 01 precisa ser nossos troncos. 00 é uma porta de acesso. Vamos em frente e voltar para a eternidade. Aqui e fazer Isto é o que isto é feito para nós irmos e apenas copiar isso. interruptor sabe deles. Encapsulamento de tronco de porta 0.1 Q Você sabe alternar modo ruim? Tronco Sem switch Encapsulamento de tronco de porta 0.1 Q Do switch modo ruim. Acesso Switch sensação de acesso ruim em 50 desde uma interface de Internet 00 mesmo em 01 Switch modo ruim para cima switch. Encapsulamento de tronco ruim 0,1 Q Switch para o modo. Trump Exit Vá para a eternidade. Zero para você vai mudar. Interruptor de acesso mau humor. Má sensação de acesso 30. Vamos acabar. Excelente. Então agora temos tudo isso configurado aqui. Vamos dar uma olhada em como será o nosso tráfego de tags. Se começarmos a capturar aqui entre o interruptor 1 e o comutador para eles são atrás. Não precisamos de uma atualização. Tenho um pouco de tráfego de árvores. Agora vamos em frente e executar um ping entre o nosso PC de contabilidade aqui. 10 131 e 10 132 Então, se saltarmos para o PC de contabilidade um, basta ir habilitar. Vamos pagar 10 132 É muito normal perder o 1º 1 enquanto espera pelo AARP. Responda. Agora vamos voltar para o nosso tubarão de arame aqui e vamos parar. Isso é que podemos rolar para cima e dar uma olhada. Então, lembre-se que isso está entre nossos dois switches na Internet 01 aqui. Se formos dar uma olhada no nosso tráfego, nossa transmissão aqui que se abrirmos nosso quadro de Internet nosso tipo é um 802.1 Q e nossa visão e I D é villian 30 para o nosso 10 131 que nosso tráfego aqui veio na Internet 02 que faz parte de Vilão 30 e depois saiu do nosso porta-malas e foi uma transmissão, certo? E saiu do nosso porta-malas e transmitiu para fora de tal forma que quando trocado para recebê-lo e sabe que é parte da terra. 30 Ele em Lee envia essa transmissão para fora vilão 30 interfaces, que era Ethernet 02 Então nós temos aqui nossa tag. Nosso item de cabeçalho são campo de cabeçalho para 802.1 q Dizendo que o vilão I d é 30 e, em seguida, acabamos recebendo nossa resposta de volta sobre isso. Agora. Nossos pacotes de fundição unidade, bem como para o nosso Ping nossa resposta eco e eco para Temelin Tree 1 a 10 . 132 É a mesma coisa que está marcado como villian 30. Agora, se formos em frente e apenas brevemente para dirigir esta casa, ir para o marketing PC um e Ping marketing PC agora algo que eu quero fazer aqui também que eu acho que vai ser divertido é iniciar brevemente uma captura nesta interface aqui também. Apenas um show que a transmissão não aparece lá em cima. Quando formos em frente e fizermos isso, capture aquilo. Vamos para o nosso PC um nosso PC de marketing um. Vamos Ping 10 1 para 2. Muito normal perder nosso 1º 1 novamente. E se saltarmos de volta aqui também, nossa captura e parece que aquele tubarão de arame não decidiu capturar nosso tráfego aqui que eu o deixei um pouco irritado e ele decidiu parar. Já não está aprendendo nenhum tipo de captura. Você só tem que acreditar na minha palavra para ele lá que você viu a tag 802.1 Q aqui e que isso é o que você iria acabar vendo se você capturar algum tráfego e você vê tráfego como este. Você sabe, você está olhando para um tronco, e se você definir um tronco como uma porta span, esse analisador de porta do switch, porta toe, onde você pode ir em frente e pegar esse tráfego e duplicar outro pobre para Espelho isso para que você possa normalmente fazer uma identificação . identificação . Talvez um sistema de detecção de intrusão. Teoh, pegue todo esse tráfego e encontre tráfego malicioso ou tráfego incomum. E todos nós seremos marcados para sua vitela também, então você pode separar o tráfego agora, assim como as outras seções. Vamos passar por algumas perguntas fora do treino antes de terminarmos aqui. Primeiro, qual é o nome do protocolo usado para negociar o tronco em uma porta de switch? É o protocolo de tronco de vilões? É link Aggregation Control Protocol L. A. C P é um protocolo de tronco dinâmico DTP ou é extensível Authentication Protocol E a. P ou EEP? E você deve saber agora que é, ver o Tronco dinâmico do protocolo ING DTP que permite alternar portas que estão diretamente conectadas para negociar a si mesmos com um tronco em vez de apenas ser uma porta de acesso. Conhecer uns aos outros é um tronco e começar a enviar tráfego marcado com o encapsulamento apropriado . Realmente, como bits Maney estão disponíveis para representar um vilão i D e uma tag 802.1 q. Você deve se lembrar que o 0.1 q tag um que tag aqui é quatro mordidas e dentro desse campo de quatro mordida aqui que temos 12 bits disponíveis para o nosso villian real I d para compensar 1096 combinações possíveis que são resposta é C 12 agora. Espero que isso tenha sido informativo para você. Agora eu gostaria de agradecer a você por ver. 15. Protocolos de descoberta 2.3 de 2: para protocolos de descoberta, CDP e LDP. De uma perspectiva muito prática, os protocolos de descoberta têm sido inestimáveis para mim. Como engenheiro de rede, você sabe, há, ah, muitas vezes em que você vai entrar em uma situação dependendo do tipo de posição que você tem, onde você pode entrar em uma situação onde você não sabe o que é a topologia. Você não sabe quais dispositivos estão lá. Você pode suspeitar ou ter algumas informações básicas, mas você pode não ter um diagrama de rede detalhado e atualizado para saber o que é que você está realmente encontrando e que você pode precisar fazer algum trabalho de investigação para tentar descobrir o que é que está diretamente conectado ao dispositivo é seu próprio e dedo do pé trabalhar a topologia aqui. E você poderia fazer isso de algumas maneiras, certo? Quero dizer, você poderia fazer uma tabela de endereços Mac show, tabela de endereço de trás, etc. Ah, e ser capaz de ver você sabe, seu endereço Mac e sua porta que está conectada a um endereço Mac. Importante. Sabe, se você tem um monte de endereços Mac vindo pela mesma porta aqui que você pode ter um interruptor aqui em algo assim para ser capaz de descobrir onde seus dispositivos se conectaram. Mas isso é muito tedioso e realmente não fornece muita informação e pode não fornecer informações para ser capaz de se conectar aos seus dispositivos adjacentes. E é aqui que sua camada para partículas de descoberta realmente entra é que eles fornecem muita informação sobre seus dispositivos diretamente conectados quando essas partículas estão realmente funcionando. Então vamos em frente e primeiro saltar para o CDP aqui. Portanto, o CDP é o Cisco Discovery Protocol. É um protocolo de descoberta proprietário pela Cisco. Isso realmente saiu. Primeiro CD saiu, CDP saiu primeiro e LDP seguiu o exemplo um pouco mais tarde que cdp nossa Cisco sendo a empresa inovadora que eles são, pensei que seria realmente uma ótima idéia para ser capaz de identificar diretamente conectado Cisco dispositivos e ver o que eles são, que tipo de dispositivo que eles são, que software eles estão executando ou que interface você está conectado no que eu p endereço seu você poderia se conectar, para ser capaz de gerenciar esse dispositivo, etcetera, que fornece informações sobre e para dispositivos Cisco diretamente conectados. Agora há outro vendedor lá fora. HP, pelo menos, suportou CDP por um tempo, mas eu não acredito que eles fazem mais em seus dispositivos. Esse CDP, eu acredito, é apenas um protocolo Cisco Device aqui. Agora ele faz anunciar esta informação usando uma camada para o endereço multi cast, e este é o endereço aqui. 01000 c tudo vê e que é uma camada multi-cast para quadro que é enviado para fora. Embora esteja ligado, Lee pretendia ir a um dispositivo conectado. Se você estiver executando Ah, hub, você pode ver vários vizinhos CDP ou quadros entrando em uma interface. Não, o intervalo de publicidade padrão é 60 segundos com um padrão. Tempo de folga, três vezes mais. 180 segundos. Agora, o que isso significa? Eles dirão que você tem um interruptor aqui, switch um e você tem switch aqui comutado para e que eles estão conectados assim que as interfaces aqui vêm para cima que eles vão em frente e enviar um quadro CDP para o outro para que eles vão descobrir uns aos outros e saber que eles estão lá agora. Assim que isso for enviado. Não enviará outro por mais 60 segundos. Então, um minuto depois é quando ele vai em frente e enviar outro quadro CDP e anúncio para que eles saibam que o outro está vivo. Agora vamos dizer onde o tempo todo entra em jogo. Aqui é digamos que esta interface permanece ativa, mas digamos switch um que esse cara trava, que essa interface, a interface física ainda está ativa. Isso pode até mesmo ser comutação de tráfego, que você pode ter outra interface aqui, e ainda pode ser fording tráfego sobre que você é um doente que está envolvido lá para a comutação de seu aplicativo at. Desculpe, circuito integrado específico do aplicativo ainda está funcionando nesse nível, mas coisas como spanning tree ou seus protocolos de roteamento as coisas que exigem CPU não estão mais funcionando porque o software desse cara tem travou, que ele não estará mais executando CDP ou enviando esses quadros porque esse é um processo de software que é executado após 180 segundos após três minutos, onde o switch um não enviou um quadro CDP para alternar, em seguida, mude para, você sabe em sua tabela aqui, onde tem o vizinho, e então a informação sobre aquele vizinho, assim por diante mudou para ir em frente e remover o interruptor um dessa tabela após 180 segundos de não ver esse quadro se deparar, mesmo que esta interface ainda esteja ativa e que nada mudou lá. Que essa pode ser uma razão pela qual seu dispositivo desaparece dos vizinhos do CDP. Mas ainda assim sua interface ainda está ativa. Uma circunstância é assim agora? As informações reais que são compartilhadas para mostrar o vizinho CDP variam de acordo com o dispositivo e uma versão Oeste que, com o passar do tempo, Cisco avançou e atualizou a CDP e permitiu que ela incluísse mais informações. E muito disso vem de seu formato TLV. Aqui está que você tem um cabeçalho e, em seguida, apenas thes tlv campos thes type length variável onde ele diz o seu tipo de informação que está listado aqui, e isso é um para morder paz e, em seguida, o seu comprimento, e isso é um pedaço para morder. No comprimento é o comprimento total do seu campo T O V e, em seguida, sua variável, que inclui seus dados fora desse tipo e que A coisa toda aqui está fora desse comprimento total aqui para que ele possa adicionar tantos destes como eles entenderem. Isso é muito extensível. E por causa disso, medida que ocorreram revisões de software, elas incluíram e removeram algumas informações aqui e foram capazes de realmente personalizar isso como entenderem. E muito disso vem do fato de que este é o CDP. Esse é um protocolo proprietário da Cisco, que a Cisco está sob controle total disso e a Cisco pode ir em frente e optar por adicionar ou remover informações. E eles não precisam passar pelo processo regulatório padrão do setor para poder fazer essas alterações em um padrão do setor. Então, um pouco mais de informação aqui sobre CDP e que tipo de informação você vê é que para obter nossas informações, você mostra os vizinhos do CDP agora. Na verdade, antes de chegar a isso, eu queria dizer a vocês como habilitar o CDP globalmente e em uma interface individual. Assim, nos dispositivos Cisco, por padrão, CDP deve estar em execução. Mas, em algumas circunstâncias, você deseja desativar o CDP, e esse comando não é executado CDP e esse é um comando de configuração global. Nenhuma execução CDP é o comando global para desativar CDP e, em seguida, de forma semelhante para re habilitar que globalmente você vai fazer CDP executar é o seu comando para habilitar CDP globalmente Agora em uma interface individual em seu modo de configuração de interface i f que, a fim de habilitar ou desabilitar CDP em uma interface específica, você faria uma habilitação CDP ou nenhuma habilitação cdp e que é assim que você faz CDP ou desativou CDP em uma interface individual e executar CDP é como você faz globalmente. Isso é algo para lembrar que eu acredito que pode estar no exame é que eles podem ir em frente e fazer referência a algo sobre como desativá-lo em uma interface individual. É bom saber que não é o mesmo comando. A interface é habilitada globalmente é executada. Então, quando você vai em frente e fazer um show CDP vizinhos, ele cospe para fora esta tabela. Certo, então você tem o seu dispositivo. Este será o nome do host configurado no dispositivo remoto dos seus vizinhos. A interface local aqui é a interface do nosso lado. Então vamos dizer ah aqui. Temos nossos switches o nome do host do dispositivo. Então, se vamos em frente e vamos aqui e é switch e que este cara está conectado ao 35 50 aqui 3550 Então a interface local aqui agora nós estamos realmente conectados a 35 50/2 interfaces diferentes. Temos duas ligações atravessando por aqui. A interface local é a interface do nosso lado no lado do switch. E então aqui na porta eu pesaria no final. Essa é a interface do lado remoto à qual estamos conectados. Tempo de espera. Lembra-se disso? 180 segundos é o padrão. Tempo de espera. Isto vai contar com o passar do tempo. Não esperaríamos que isso ficasse abaixo de 120 segundos por causa da nossa publicidade padrão. Intervalo de 60 segundos agora, capacidade. Isto tem uma lenda aqui em cima. Nossa capacidade codifica onde pode ser um roteador. Uma ponte trans, uma fonte de ponte, ponte de rota. Um host de switch capaz de I GMP o protocolo de gerenciamento de grupo de Internet Internet. O repetidor. Um telefone permite que você saiba que tipo de dispositivo você está conectado aqui. E então também temos a nossa plataforma. Que tipo de chassi físico que foram conectados à informação da plataforma que aqui em baixo nossos roteadores são 26 20 roteadores e que estamos conectados à rápida interface Internet 00 em ambos. E esses estão conectados ao rápido Ethernet 203 e rápido. Mesmo em 201 interfaces localmente, esses dois roteadores são na verdade dois dispositivos físicos separados. Considerando que estes 2 35 anos cinquenta são um dispositivo físico que foram conectados duas vezes. Agora, isto dá-te muita informação, certo? Mas podemos obter muito mais informações do que fazemos isso com mostrar entrada CDP e, em seguida dar o dispositivo I d. Agora você também pode fazer mostrar entrada CDP para a interface para mostrar vizinho CDP em uma interface e as pessoas para obter dessa maneira, mas mostrar entrada CDP e dar-lhe o dispositivo I d que isso irá cuspir para fora. Um monte de informações irá dizer-lhe o dispositivo que eu d irá dizer-lhe todos os endereços I P atribuídos a esse dispositivo. Ele irá mostrar-lhe I p endereços que são designados como endereços de gestão I p. Então temos aqui. Claro que sim. Nossas capacidades escritas não em código, mas nas palavras completas aqui listadas. E o resto de nossas informações de plataforma que aqui é um pouco truncado pelo número de caracteres e acabamos recebendo nossa informação completa da plataforma lá junto com nossa interface local e nossa porta I d no lado remoto. E então aqui temos nossa versão de software. Podemos ver o IOS que estavam em execução e para que tipo de dispositivo. Tese comer 35 50. Este é um switch catalyst 35 50, e eles estavam executando o I P Services Canine dash M release do software IOS versão 12 ponto para nesse switch. Lembre-se, isso é um pouco antigo, claro, mas ele diz aqui que software você está realmente executando e que versão sua execução que se você quiser fazer uma descoberta em sua rede fazendo show CDP entrada, Você poderia totalmente. Você não precisa entrar em todos os dispositivos individuais e fazer uma versão do show para obter essa informação. Você poderia apenas fazer uma entrada de CDP show e aqui, isso mostra um pouco de informação sobre CDP. A versão do anúncio e detalhes sobre o protocolo Mrs Information que nós simplesmente não precisamos realmente saber agora que o ccn A não está preocupado com Se você estava executando v TP que CCN agora não inclui V tp em seus tópicos de exame, então não precisamos nos preocupar com isso. Mas nós cobrimos isso anteriormente. Esse é o protocolo de trumping vilão que se você quiser saber qual domínio de gerenciamento que este dispositivo fazia parte para V tp que também está em seu show CDP informações de entrada aqui nesta versão específica. E eu vou mostrar-lhe qual duplex você está executando que você pode ser capaz de encontrar uma incompatibilidade duplex fazendo mostrar entrada CDP que isso está no lado remoto. Em que duplex está. Então, se você sabe que esta interface em half duplex e isso está mostrando completo, então você tem fazer plugs incompatibilidade, e isso será capaz de dizer-lhe essa informação também. Você obtém uma riqueza de informações aqui, como você certamente pode dizer, e que isso pode ser um salva-vidas absoluto quando você está passando por suas operações diárias como um engenheiro de rede, se você não sabe o que é conectado, ou você só precisa de algumas informações sobre ele ou você não tem acesso a esse dispositivo. Talvez seja gerenciado por outro fornecedor. Talvez seja gerenciado por outro departamento que você não poderia ir em frente e fazer. Mostrar vizinho CDP ou mostrar entrada CDP e obter um monte de informações sobre o que é que você está conectado. O Teoh. Agora, algo a observar brevemente é que o Cisco A. A. O appliance de segurança adaptável que não executa uma partícula de descoberta. Ele não executa CDP porque é um appliance de segurança. Não se destina a ser descoberto. É para ser o mais invisível possível. E por causa disso, ele não executa CDP. Então vamos passar para o padrão da indústria aqui. Passamos muito tempo falando sobre a Cisco Discovery Particle. Vamos falar sobre a camada de ligação Discovery Particle. Agora, esta é a resposta padrão do setor para CDP. Ele faz todo o lote da mesma coisa, e funciona muito do mesmo tipo de maneira. Ele é definido no padrão 802.1 a b, e isso aconteceu um pouco depois do CDP que a Cisco lançou a partícula Cisco Discovery em alguns anos depois. A indústria respondeu com peça L L D, e isso foi uma idéia muito boa. Vamos em frente e adicionar isso aos nossos padrões. Ele tem um formato de valor de comprimento de tipo muito semelhante. Tal como acontece com o CDP agora, os temporizadores são um pouco diferentes aqui. Temos um intervalo de publicidade padrão fora de 30 segundos. Um padrão. Tempo de espera. Intervalo de quatro vezes mais. 120 segundos. Então, a mesma coisa. Não esperaríamos que nosso tempo de espera fosse abaixo de 90 segundos porque deveríamos estar vendo um 32º intervalo de publicidade. E aqui em baixo, nós apenas temos o formato do quadro para l D P. Eles vêem que você tem o seu TLV é aqui em baixo. Temos o nosso chassis. Eu estava no nosso porto. Este vai ser o seu nome de anfitrião aqui no seu porto. Eu disse que você está conectado à sua fonte e destino. Mac, endereço é o fim da unidade de dados LDP. Então Link Layer, unidade de dados Discovery Protocol. Então eu quero mostrar a vocês como a saída de show LDP neighbor e show LDP entrada parece aqui. Então, no seu dispositivo Cisco, serão os mesmos comandos aqui. Ou mostrar os vizinhos LDP têm o vizinho cdp e, em seguida, mostrar a entrada L L D P em vez de mostrar entrada cdp . Agora, você tem comandos muito semelhantes. É LDP executar e habilitar. Ah, isso é apenas LDP e disse que um CDP eles poderiam ver a saída parece um pouco diferente aqui que acabamos recebendo nossa porta i d. descrição importação. Agora, esta é a interface local e a porta que eu d em. Em seguida, você tem o chassi i d que lhe dá o endereço Mac do dispositivo que você está conectado. Teoh A descrição do sistema e isso transmitir Ari de fornecedor para fornecedor. Mas isso acaba nos mostrando nossa versão de software da mesma forma com nosso vizinho show CDP. E então também nossas capacidades onde é uma ponte e um roteador onde uma ponte é um switch e é um roteador. Então é um interruptor de camada três sobre isso. Apanhamos o nosso vilão que está ligado. Embora isso não tenha sido anunciado em nosso tlv para LDP neste dispositivo específico, nosso endereço de gerenciamento, se ele estiver incluído lá, aqui não está neste dispositivo e nossos recursos de mídia física e coisas desse tipo que quer que você esteja ciente de como a saída se parece aqui. Se você tem um laboratório disponível, vá em frente e execute CDP e L. L. D. P. E faça isso algumas vezes para mostrar o vizinho CDP, um vizinho LDP e mostrar a entrada CDP e a entrada LDP e dê uma olhada e o que tipo de informação que você acaba recebendo. Se você tiver um roteador disponível para ele para um roteador e um switch disponível, faça-o primeiro switch. Se acontecer de você ter um telefone disponível, você pode querer dar uma olhada em como é a saída quando você tem um telefone conectado e ser capaz de entender como isso é exibido também. Agora, assim como as outras seções, vamos analisar algumas perguntas práticas antes de terminarmos aqui. Primeiro , qual é o anúncio padrão? Intervalos fora. Consulte DP. Lembre-se que o CDP e o LDP têm intervalos de anúncios diferentes. L. L D P tem um intervalo de anúncio de 30 segundos, enquanto CDP tem um intervalo de anúncio desligado 60 segundos por padrão. Então a resposta aqui será C 60 segundos e em seguida, qual comando é usado para desativar CDP em uma interface no Iowa? Lembre-se, havia dois comandos diferentes para habilitar e desabilitar CDP um para global e outro para uma interface específica que globalmente o comando é executado CDP para habilitá-lo e nenhum cdp run para desativá-lo No nível da interface, o comando é enable, então ele será habilitado para CDP para habilitá-lo e nenhum cdp habilitado para desabilitar. Nossa resposta será uma habilitação sem cdp. Espero que isso tenha sido informativo para você. Eu gostaria de agradecer a você por ver. 16. 2.4 RPVST+ Parte 1: terra pervertida rápida abrangendo árvore parte um. Então esta pode ser a sua primeira introdução real ao protocolo spanning tree ou você pode ter lidado com ele por um longo tempo. Eu sobre este vídeo e no próximo eu realmente recomendo que você assista estes algumas vezes até que você realmente se sentir muito confortável com spanning árvore protocolo off. Toda a informação que um engenheiro de rede pode ter sendo bem versado no protocolo de árvore de abrangência , eu sinto que é uma das coisas mais importantes. Você pode realmente ter uma carreira muito focada em roteamento. Ah, e estar nos protocolos de roteamento e nenhum B GP por dentro e por fora. Mas se você estiver no ambiente empresarial ou de pequenas empresas familiarizado com protocolo de árvore de abrangência e sua operação e como otimizá-lo é realmente algo que se tornará muito, muito valioso para você. Eu quero mencionar que os tópicos de exame para o ccn a Onley incluem árvore de abrangência de terra pervertida rápida que estamos falando apenas sobre o protocolo de árvore de abrangência proprietário Cisco. Essa é a versão rápida. O rpv S t existe o padrão da indústria abrangendo dois protocolos Mas o CCN um exame tópicos não cobrem isso em tudo, embora ele certamente vai nos ajudar a entender a nossa progressão apenas um pouco aqui. Então, começando, vamos em frente e começar do início e ir com apenas protocolo de spanning tree original . É 802.1 d é o padrão onde é definido. Era um protocolo criado a fim de fornecer uma topologia de comutação livre de loop. Agora vamos falar sobre o que isso significa, certo? E onde Spanning Tree Protocol entra em jogo, é que dizem que você tem um servidor aqui, Você tem interruptor interruptor e você tem estes conectados em um pequeno loop agradável lá. Excelente. E você tem seu servidor geral no final aqui, digamos que seu servidor precisa falar com Teoh sua estação de trabalho aqui e que ambos têm seus próprios endereços I P, o que quer que sejam. Qual é a primeira coisa que vai fazer? Digamos que você o pingar? Bem, ele vai tentar encontrar o endereço Mac da estação de trabalho, então ele vai enviar AARP e o que é um AARP? É uma transmissão. E então como um interruptor lida com uma transmissão? Se Ford está fora de todos os portos, exceto aquele em que entrou. Então este interruptor vai encaminhar aquela transmissão lá fora e lá fora. Esse cara vai recebê-lo e foi encaminhado para cá. Esse cara vai receber reencaminhado para lá. Excelente. Então esse cara recebe, ele vai em frente. Que lá fora é o Guys, vá em frente lá fora e veja onde isso vai dar. Temos um loop aqui indo por aqui e outro loop indo por ali. Temos dois desses por aí. Isto nunca vai acabar. Não há tempo para viver valuer t tl em uma camada para quadro. Assim, este quadro será encaminhado em torno e ao redor e em torno de perto da velocidade Uigur. Certo, Porque estamos usando um seis agora para mudar e que este apenas fording super rápido todo o caminho ao redor e que temos milhares destes indo por segundo. E se não fizermos nada para interferir, então podemos continuar enviando transmissões para fora é criar mais desses pacotes esses quadros que oferecem em torno de velocidades super rápidas e, em seguida, fazendo com que nossos switches fiquem atolados e talvez, eventualmente, até mesmo bater. Apenas colocando sua rede de joelhos porque temos um loop de comutação. Então é por isso que 802.1 d foi criado, certo? Vamos em frente e evitar que isso aconteça. Mas o problema é que o 802.1 d original foi muito lento para convergir, e vamos falar sobre o que a convergência significa um pouco mais no próximo slide aqui. Mas com o passar do tempo, você sabe, 82.1 D original leva mais de um minuto, sério? Ir em frente e convergir em um minuto, você sabe, em 1990 realmente não foi muito tempo. Se seu computador caiu por um minuto, isso não foi grande coisa. Mas hoje em dia, quando tudo depende da conectividade de sua rede , minuto de inatividade pode parecer um minuto de Nova York, o minuto mais longo de sua vida. Mas a reversão posterior são as revisões posteriores aqui acabam acelerando esse tempo de convergência com o protocolo de árvore de abrangência rápida. Mas os princípios gerais de como funciona acabam ficando iguais. Então, a Cisco, em resposta a 802.1 d criou árvore de abrangência de terra pervertida, então 802.1 D. Uma limitação disso é que você só tem uma única instância em execução no seu switch. Então digamos que você tem 100 vilões que então você tem essa topologia aqui, certo? E você tem cinco vilões diferentes correndo aqui. Seus vilões podem não se estender por todos os seus switches para que você possa acabar com um realmente sub caminhos ideais porque você não tem nenhuma maneira de ter uma topologia de árvore de abrangência separada para cada um dos seus vilões. E é aqui que por vilão Spanning Tree entra em jogo é que você pode ter sua rota Ponte que é eleita para V. Liam ganhou e seu quarto Bage é eleito e vamos falar sobre isso novamente um pouco mais no próximo slide aqui. Mas você tem sua ponte de rota aqui para V. Liam 1. E então você poderia ter uma ponte raiz aqui para vitela e cinco e uma ponte rodoviária aqui para vilão 10 e que você pode acabar fazendo alguma aparência de balanceamento de carga na Camada 2 com árvore de abrangência dividindo onde suas pontes são baseadas em seu desculpas virtuais ou topologia lógica aqui onde 802.1 D Onley se preocupa com sua topologia física. Pervy land spanning tree nail preocupa-se com a sua topologia lógica e executa uma instância de árvore de abrangência separada para cada uma das suas visualizações. Prego. Lembre-se, é claro, isso pode ficar problemático quando você tem um monte de terras. Você tem 102 100.000 vilões, lembre-se que eles realmente grande número de violência. Mas digamos que, se você estiver executando uma instância separada da árvore de abrangência para cada um desses vilões, isso poderia realmente atolar para baixo. Sua CPU está especialmente em hardware mais antigo executando uma instância separada da árvore de abrangência para cada um desses vilões, especialmente quando a convergência acontece ou ocorrem alterações de topologia que podem prejudicar seriamente sua CPU e causar alguns problemas. E é aqui que a árvore de abrangência múltipla MST padrão da indústria acaba. Entrando em jogo é que a árvore de abrangência múltipla permite que você tome a idéia geral de árvore de abrangência de terra pervertida de ter várias instâncias de árvore de abrangência, mas permite que você atribua uma instância de árvore de abrangência a um grupo de vilões para salvar ilium. Um a cinco vai para um Grupo um, e que os vilões de seis a 10 vão para a instância de árvore de abrangência dois e assim por diante para que você ainda possa obter o benefício de ter várias instâncias de árvore de abrangência. Mas você não necessariamente se deparar com o problema de ter uma instância separada para cada vilão individual e potencialmente realmente atolando para baixo em seus switches aqui. Agora ele tem complexidade de configuração mawr, e por causa disso, Cisco não recomenda que você fique com árvore de abrangência rápida por villian sempre que possível. Mas eu só quero que você saiba que existem várias árvores de abrangência. Assim, a velocidade de convergência foi aumentada com 802.1 w que é o protocolo de árvore de abrangência rápida. R S T P é 802.1 w que isso mudar a maneira que a árvore de abrangência funciona apenas um pouco, mas, em seguida, também diminuir seriamente a quantidade de tempo necessário para uma porta para ir de bloquear o encaminhamento do dedo do pé. Isso, a fim de criar uma topologia livre de loop, é que você bloqueia algumas portas que não são necessárias. Você bloqueia o mínimo, ou quero dizer as portas de custo mais alto que criam seu loop, modo que você não tem mais um loop, mas pode então fazer a transição dessa porta de volta para fording no caso de seu caminho para a raiz A ponte acaba indo embora por alguma razão, ou nós que caímos ou explodimos em chamas ou alguém tropeçou em um fio. O que você tem Se você ainda precisar acessar a ponte raiz, você ainda pode fazer a transição da porta bloqueada para uma porta de encaminhamento. Um relatório ou porta designada, como vai acabar vendo um pouco aqui. Então vamos falar um pouco sobre nossa terminologia. Deitei alguns termos aqui como relatório designado Port Route, Bridge, todo esse tipo de coisa no processo eleitoral. Vamos falar sobre alguns desses termos aqui. Então, primeiro tenho certeza que você descobriu. Ponte é só mais um termo para uma troca. Vamos tirar isso do caminho. No caso de você não estar ciente de que uma ponte e um interruptor que aqueles são intercambiáveis agora que a nossa ponte de rota esta é a que é eleita como a raiz da abrangência DRI que esta é definida pela ponte com o mais superior. A melhor ponte I D. E a Ponte I D é definida como nosso número de prioridade mais nosso endereço Mac para que você tenha sua prioridade, que por padrão é 32 7 68 Você terá seu número de prioridade ponto e, em seguida, seu endereço Mac . E assim, se todos os números de prioridade em sua topologia para todos os seus switches são todos iguais que o switch com o número de endereço Mac mais baixo com o com este sendo grande direito indiano é que este lado é seus bits mais significativos. E este lado é o seu número menos significativo que o endereço Mac com o menor número vai acabar ganhando aqui como a raiz. E isso honestamente é realmente problemático porque, você sabe, como nossos fornecedores foram em frente e criaram nossos switches e fabricaram, eles tipicamente começaram desde o início de seu endereço Mac, alocados varia assim na parte inferior e, em seguida, continuou seu peso até como eles estavam fabricando há interruptores. Isso é um problema porque nossos switches mais antigos, então, têm uma tendência de ter endereços Mac mais baixos . Então, se você deixar seus números de prioridade iguais e o padrão em toda a sua topologia e você só confia no seu endereço Mac, as chances são que você provavelmente vai ficar no antigo switch como sua ponte de rota em sua topologia, o que pode ser uma coisa boa. Pode ser uma coisa ruim. Você é mais velho. O interruptor pode ser o teu grande e carnudo. Você não precisa substituir por um longo tempo, ou pode ser o seu antigo interruptor. É só um cara que está sentado na rede que deve ser substituído a qualquer minuto aqui, porque é manhã na última etapa que esse cara acaba sendo a raiz do núcleo da sua rede porque você não acabou configurando sua prioridade ponte ou sua ponte i d. como uma maneira que você queria. Então, sua prioridade na ponte. Vamos falar sobre isso por um minuto. É que é um atributos configuráveis em incrementos de 4096. Isso ocorre porque sua prioridade é realmente o seu número configurado, mais o vilão I D. Para árvore de abrangência rápida ou rápida, visão rápida e árvore de abrangência. É, além de sua visão, uma idéia, e quantos vilões você pode ter no alcance estendido? Enquanto 4096. É por isso que você só pode fazer incrementos de 4096. Então digamos que sua prioridade ponte era o padrão 32 7 68 e que estamos rodando no villian cinco . Então, nossa prioridade de ponte será realmente 32 7 73 porque é 37 68 mais 5. E quando você faz um show spanning tree, ele vai acabar dando a você essa informação aqui sobre qual é a prioridade e o que é configurado e a vitela e eu d. Então você pode acabar juntando isso para saber qual instância vilã que está rodando. Então, nossa unidade de dados de protocolo de ponte, esta é a unidade de dados. Este é o item que o pacote de informações que é enviado em torno da rede para que os switches podem realmente descobrir quem é a rota o núcleo da rede aqui Onde devem todas as suas conexões tentando chegar para, Uh, ser capaz de ter conectividade contínua em toda a rede, mas sem criar loops? É o seu B P D você? Isto é o que é enviado. Isso inclui seu lance, sua ponte i d. Também inclui o custo do caminho. Ah inclui o custo do caminho a partir da perspectiva do interruptor de publicidade. Então isto é um anúncio, certo? É que se temos interruptor aqui e interruptor aqui e que eles estão conectados. Esse cara está anunciando um BPD. Digamos que nós também temos interruptor aqui e que esta é a nossa rota aqui mesmo que quando este cara envia seu bpd você que o custo deste link aqui vai ser o que é rotulado como o custo do caminho naquele bpd você que é enviado através deste link aqui não é levado em consideração até que este switch receba que bpd Você que esse switch é aquele que realmente adiciona nesse custo de link todo o custo do caminho para o custo do caminho da rota e em seguida, também inclui a porta i d. Os temporizadores que são usados para ouvir e aprender ou você está descartando e suas, uh, outras fases para seus tipos de porta aqui, que passarão por isso no próximo slide e também no próximo vídeo, bem como para suas fases e mais em profundidade da operação aqui. Mas inclui a porta I D em que foi enviada e, em seguida, também a rota I d. Que qualquer interruptor que a ponte de publicidade pense que é a rota, ele enviará o I d para fora dessa rota com seu bpd. Você tal que se esses dois switches ir em frente e enviar um ao outro Ah, bpd você e eles não concordam em qual ponte é a ponte raiz, então eles vão escolher o que é superior em. Vá em frente e use essa e aceite como a ponte raiz. Ele vai passar por seu processo de sincronização aqui para convergir e não ter alterações de desculpas para garantir que eles não causem um loop por ter um novo caminho para a raiz aqui e então convergência apenas para tirar isso do caminho. É o ato de calcular um estado estável para a topologia de árvore de abrangência que quando você é topologia, converge quando você tem convergência, você está agora em um estado estável. Todos os seus switches concordam em qual ponte é a ponte raiz. Todos eles concordam sobre quais caminhos tomar e que não há mudanças acontecendo com o protocolo spanning tree naquele momento. Quando sua rede convergiu ou você ouve um engenheiro de rede dizendo que eles estão spanning tree ainda está convergindo ou eles estão aguardando a convergência lá, aguardando o protocolo de árvore de abrangência para concluir seu cálculo e propagar para baixo de tal forma que tudo é estável e que não temos nenhuma alteração de topologia acontecendo com o protocolo spanning tree. Então nós passamos por um monte de termos aqui. Certifique-se de que você sabe estes de cor. Não, estes muito bem estar muito familiarizados com cada um deles. Eles vão subir muito. Então, vamos falar sobre os tipos fora de portas que temos na árvore de abrangência que há um diferente alguns papéis diferentes que suas portas podem desempenhar em alcance rápido e árvore de abrangência . Então, primeiro, nós temos uma porta de rota, então vamos em frente e desenhar nosso pequeno triângulo Topologia aqui mais uma vez Boom, boom, boom, boom, boom em uma tornar as coisas um pouco mais interessantes, Vamos em frente. E esta é a rota aqui e aquilo. Digamos que esse cara aqui só para adicionar alguns custos e você é o link de 100 megabits desse cara e então esses caras são links de um gigabit. Então nossa porta de rota é as portas que são calculadas com o menor custo de caminho para a ponte raiz, então pontes raiz aqui em cima, você sabe que está enviando o uso de BPT que sabemos que são superiores a esses caras, então esse cara acaba sendo eleito como a raiz. Então agora ambos os switches aqui, digamos que este é o interruptor três e este é o interruptor para acabar aqui. Este é qual deles? Digamos que sim. Troque três e mude para agora. Necessidade de encontrar estes menor custo caminho para a ponte raiz irá mudar para está diretamente conectado com um link de um gigabit. Este vai ser o nosso custo de caminho mais curto. Então este ano de porto certo que vai se tornar um porto de rota. É porta puro que é usado como o caminho mais curto para a raiz. E para o switch três, devido ao custo aqui de atravessar o link de 100 megabits que temos para um gigabit vincula o custo. Acaba sendo mais baixo para atravessar para um gigabit links. Então vai ser este porto bem aqui. Essa vai ser a nossa rota. Porta quatro, interruptor três. Agora um porto designado. Esta é uma porta conectando-se a uma ponte downstream longe da raiz. Então é aqui que é uma circunstância especial para a ponte raiz. Especificamente, é que todas as suas portas devem ser designadas portas designadas portas designadas porta porque é a rota, ele não tem quaisquer portas que são o menor custo para a rota porque é a raiz. Então todas as suas portas são supostamente designadas portas e são supostamente não bloqueando que ele está encaminhando todas as suas portas porque é a rota, todas as suas portas devem ser o menor custo para a raiz para a qual nunca, interruptor que está ligado pode não ser nesta circunstância aqui, onde este não é o menor custo para a raiz. No entanto, este ainda aqui em cima vai ser o porto designado e Onley. Este lado aqui em baixo vai acabar sendo bloqueado porque a nossa rota é superior. Tem o BPD superior. Você, o lado inferior, é o lado que acaba sendo bloqueado vai passar por isso um pouco mais tarde ou na próxima seção aqui que nosso próximo tipo de porta é nossa porta alternativa. Então isto é um porto. Então nós temos Vamos em frente e rotular estes aqui. Deixe-me limpar isso só um pouco, já que temos o nosso relatório lá e aquilo. Vamos em frente e whoops. Vá em frente e coloque esse cara de volta e esse cara de volta, temos nossos portos designados aqui e nossos portos de rota aqui. E esse cara aqui vai ser um porto designado também. E assim também precisamos de uma porta alternativa. É aí que entra esse cara. É que isso está em uma porta alternativa. É uma porta de descartar com um caminho alternativo para a ponte raiz. Esse interruptor três aqui tinha dois caminhos possíveis para chegar à ponte raiz. Vá por este caminho e vá por ali. Ah, e acabou sendo que ir por este caminho através de switch para era o custo mais curto caminho. Então isso acabou sendo a porta raiz. Agora é caminho alternativo. Nesta circunstância. Devido à nossa topologia, isso acabará sendo bloqueado. E este é o nosso caminho alternativo. Este é o nosso porto alternativo. Isso não é um estado de bloqueio, um estado de descarte que este é o lugar onde nosso loop é interrompido e que, devido à nossa propriedade das pontes raiz, todas as portas são designadas portas de encaminhamento que não estão bloqueadas aqui no switch um. Está bloqueado aqui no interruptor três. Agora uma porta de backup. Este é um tipo de porta especial que é usado no caso de você ter. Ah, cubo isso. Digamos que você tem isso. Nós pegamos esse cara. Vamos ter Ah, hub aqui Hub e que temos duas conexões vindo aqui para isso. Kyle, diga que isto mudou para e este é para qual. E esse cara é a rota. E que no interruptor para aqui, certo é que uma dessas duas portas que eles estão conectados ao hub vai acabar sendo uma porta de rota a outra? Porque é, ah, hub, certo, certo, que este aqui é um domínio de colisão. É no mesmo segmento que uma dessas portas precisará ser bloqueada e a maneira como ela é bloqueada é uma porta de backup. Uma porta de backup é um tipo de porta especial quando está conectada ao mesmo segmento no mesmo switch e que ela realmente acaba usando a porta I d. Assim, a porta inferior I d ganha. Então, digamos que aqui à direita. Temos Porto 1 e à esquerda aqui, temos Porto 3. Não consigo desenhar tão pequeno aqui. porta três é que a porta inferior I D ganhará suporte. Uma será a nossa rota. Porto 3 será a nossa porta de reserva, está bem? E que uma porta de borda uma porta de borda é outro tipo especial de porta que deveria estar se conectando a um ponto final. Digamos que esteja conectado a um servidor ou a uma estação de trabalho ou a um telefone aqui. Não consigo desenhar um telefone. Certo, telefone, não posso telefonar. Mas mais para um telefone é que é uma porta rápida habilitada. Vamos falar um pouco mais sobre o porto Fast um pouco mais tarde, mas o que isso faz é que ele faz transições no porto diretamente para fornecer estado tal que ele não escuta em tudo. Ele não bloqueia esta porta quando termina passando por seu processo de sincronização, que falará sobre o próximo slide aqui. Que é uma porta de borda porque é porta rápida, habilitado que é assumido que este está conectado a um ponto final de um servidor ou toe uma estação de trabalho, apenas não a outra ponte. E esse é o nosso tipo de porto. É uma porta de borda Agora esta é uma porta de borda até receber um bpd. Digamos que alguém vá em frente e desconecte seu computador disso e alguém conecte um interruptor e que agora nós trocamos cinco aqui em baixo. Este tipo vai enviar-lhe um B P se esta porta tivesse uma porta rápida activada. Bem, agora não é mais uma porta de borda. Essa árvore rápida, pervertida , vai reconhecer que acabei de receber Ah, BPD. Você em uma porta habilitada rápida. Eu vou fazer a transição desta porta para longe disso e levá-la embora como uma porta de borda e que agora ele vai fazer um cálculo re e enviar notificação de alteração de desculpas para o outro Switch está envolvido. Ok, eu sei que isso tem sido muito. Eu recomendo rever os tipos de porta, bem como que isso vai aparecer muito sobre isso. Vamos em frente e rever a operação um pouco mais a seguir, e então vamos abordar isso um pouco mais detalhadamente no seguinte vídeo. Tão rápida e pervertida operação de árvores. Digamos que temos nossa topologia aqui e que temos vocês são computadores de cada lado . Temos quatro interruptores no meio e digamos que tivemos uma queda de energia e que a energia acabou de voltar. Todos esses caras estão voltando ao mesmo tempo. Agora, quando a troca fica online, rápida árvore rápidae pervertida que se estende por terra assume como a raiz é que cada um desses caras vai assumir que eles são a raiz e que eles vão em frente e enviar BPD. Você está dizendo que eu sou a raiz do núcleo, a rede até que ele descubra o contrário. Agora, se um switch adjacente tem um bpd superior, então você troca quatro recebe um switch. Digamos que todos esses caras deixem apenas definir algumas regras básicas aqui para quais interruptores vão acabar sendo a raiz. Esse é o interruptor um? Digamos que ele vai ser a raiz que talvez definamos a prioridade aqui. Ou talvez isso tenha apenas um endereço Mac mais baixo. Qual deles vai ser a raiz e que todos os outros caras aqui têm no BPD inferior? Você é inferior. Ofereça esse interruptor para assim que ele receber aquele bpd superior você. Ele vai enviar uma proposta que mudar. Um envia esta proposta sobre para mudar para aceitar o bpd superior Você como root agora, assim que isso acontece e mudar para recebe essa proposta e ele sabe que este é um bpd superior você. Ele passa pelo que é chamado de óperas de sincronização. A operação é que todas as suas outras portas que estão conectadas a outros switches todas as suas portas não de borda acabam sendo bloqueadas. Ele vai em frente e desliga este cara para baixo, exceto para a porta para a raiz, a porta para mudar onde ele recebeu esse bpd superior você e ele passa por uma sincronização aqui dedo onde uma vez que isso acontece, ele envia um acordo de volta dizendo Sim, eu concordo que você é a rota, ou eu concordo que você é o meu caminho para a raiz e que devemos começar a encaminhar tráfego para que esta porta acabe abrindo para o tráfego Ford. Isso termina de abrir o tráfego de encaminhamento. Os tipos de porta serão conforme apropriado. Se for uma porta raiz ou uma porta designada, ela acabará indo em frente e cuidando disso conforme necessário. E o que vai começar a encaminhar tráfego que este cara prego está em estado de descartar e nós vamos através do dedo onde ele está aprendendo o que está acontecendo é aprender os endereços Mac que estão em cada lado e que ele vai então começar a fazer a transição para oferecendo para que ele possa enviar aquele BPD superior você para fora. E que quando trocado, três recebe, que trocou três realmente recebeu. Indo por aqui, certo? É que o Switch 3 recebeu. Ele envia o acordo de volta. Switch três cortes fora de todas as suas portas não de borda para que ele possa enviar esse contrato de volta e passar por sua sincronização e alternar para a mesma coisa. Ele recebeu que bpd superior você e corta suas portas não borda e passa pelo acordo e sincronização para estes ar, descartando. Então esse bpd superior você é encaminhado para fora e que nós sabemos acabar calculando nossos melhores pads para a raiz ou um melhor passe para o outro, modo que é tudo sobre os melhores pads para a rota, modo que se dependendo das velocidades, os custos de caminho aqui, se tudo for o mesmo que acabará sendo o bpd superior do switch individual para determinar quais dessas portas acabam sendo um estado de descartar, uma porta alternativa em oposição a uma porta raiz ou designada, e que isso continua a jusante dessa maneira até que o caminho de rota ideal seja encontrado e a topologia seja convergida. Agora, eu sei que esta foi uma super breve mosca da operação de Rapid Purvin e Spanning Tree. Eu sei que você provavelmente ainda não está claro em como isso funciona e está tudo bem. Vamos continuar com isso na parte dois no próximo vídeo aqui e passar por alguns laboratórios até calcular e descobrir nossos estados portuários dada uma topologia e o conhecido Bridge I DS para que possamos ter certeza de que você está muito familiarizado com a árvore de abrangência operação. Agora, assim como as outras seções. Vamos fazer algumas perguntas de treino antes de terminarmos aqui. Primeiro, qual é a prioridade padrão usada em uma ponte? Eu d. Agora você deve se lembrar disso que nosso 4096 é nosso pisar os incrementos que foram autorizados a atribuir nossa ponte i d. E isso também é o mínimo para sua ponte. I d. Que a nossa ponte padrão I d é 32 7 68 65.005 36 Esta é realmente a nossa ponte máxima I d. Você pode possivelmente atribuir. Então nossa resposta é C 7 32,068 e, finalmente, qual tipo de porta indica que a porta está conectada a uma ponte downstream e não é usada como um caminho ideal para a raiz? É uma porta alternativa, porta de backup ou borda designada ? Porta Uma porta de borda está conectada a um dispositivo de borda e endpoint. Um servidor ou uma estação de trabalho ou roteador é algo que não é um switch. Nossas portas de backup. Lembre-se, Esta foi uma coisa que acontece quando você tem um segmento compartilhado com várias interfaces aqui . Se eu tiver como, ah, hub aqui e um aqui que esta é a porta que acaba se tornando uma porta de backup porque você está em um segmento compartilhado aqui e que nossa porta alternativa. Esta é uma porta também em um estado de descartar que é um caminho alternativo para a raiz. Nossa porta designada está conectada a uma ponte a jusante e não é usada como um caminho ideal para a rota. Eu sei que isso pode ter sido um pouco confuso com a maneira que este foi formulado, Você pode olhar para a frente para esse tipo de coisa nos exames Cisco que realmente parece que eles tentam e tropeçar você às vezes. Mas é só que você precisa estar muito familiarizado com a tecnologia envolvida e certificar-se de que você entende para que você saiba que a porta designada não é usada como um caminho ideal para a raiz. Ele está conectado a uma ponte downstream na porta alternativa é conectado upstream, mas é um caminho de rota alternativo. Ele não usa nossa porta de rota porque não é o caminho ideal, mas é um caminho para a raiz. E é aí que o nosso porto alternativo entra em jogo, onde isso é diferente do nosso designado. Então, a resposta é um porto designado esperança que isso tenha sido informativo para você, e eu gostaria de agradecer por visualizar 17. 2.5 RPVST+ Parte 2: rápida, pervertida terra abrangendo árvore, parte dois estados portuários e operação. Eu sei que depois do último vídeo você provavelmente ainda está muito inseguro sobre como a árvore de abrangência rápida funciona. E isso é definitivamente ok. É por isso que eu dividi isso em duas partes que a primeira vez em torno de recall eu queria passar por que os diferentes tipos de porta eram e a operação geral de árvore de abrangência rápida aqui e também um pouco de história sobre como spanning tree surgiu e para o que exatamente ele é usado. Então aqui eu quero voltar para a operação novamente. Nós vamos acabar passando por um laboratório aqui com alguns switches e vamos calcular quais são os estados portuários antes de ir e verificar isso no laboratório e então também correr. Alguns depuração aqui vai dar uma olhada no que exatamente rápido supervilão spanning tree está fazendo. Então, primeiro, vamos em frente e falar sobre o que diferentes estados de porta que podemos ter aqui que isso não cobrimos no último vídeo tão rápido por vilão abrangendo árvore. Ao contrário da árvore de abrangência regular, ela se consolida em três estados de porta. Eles podem ser descartando, aprendendo ou encaminhando no estado de descartar. A porta está descartando todos os quadros, exceto quatro bpd. Use que todos os quadros não bpd Você estão sendo descartados, e ele está aceitando e recebendo. É que ele está realmente processando qualquer BP para usar para que ele realmente sabe o que está recebendo aqui. Isso não é descartar todo o tráfego. Ele vai prestar atenção ao uso do bpd, ou pode estar aprendendo. Agora, neste caso, está aceitando o tráfego, mas não fording nada. É só saber quais são os endereços do Mac nesta porta. Isso é olhar para o endereço Mac de origem em cada quadro que entra e notou, observando que ele vive fora daquela porta? Ou pode ser fording, caso em que é uma porta totalmente operacional. Isso é um pouco mais simples do que a árvore de abrangência padrão. Na minha opinião, necessários cinco Estados portuários e reduzi-lo em três para nós e é um pouco menos para nós lembrarmos aqui. Então eu quero saltar para trás através de um pouco até a operação rápida pervertida penhor. Agora, eu coloquei o slide aqui apenas para ter continuidade com o último vídeo que é assim que nós colocamos isso para fora anteriormente por um Explique isso um pouco diferente que quando um rápido spanning, árvore habilitado interruptor primeiro vem on-line, ele define todas as suas portas em um estado de bloqueio ou descartar. E durante esse tempo, ele envia quadros de proposta para fora de todas as suas portas, que são portas não de borda. Lembre-se de que as portas não de borda são aquelas que não têm porta rápida habilitada e não receberam um bpd. Você para que ele suporta que se conectar a um roteador ou algum outro dispositivo final. Uma estação de trabalho de servidor. O que você tem então o interruptor estava ligado. switch local enviará propostas para todos os switches vizinhos, dizendo a eles que é a ponte raiz, porque quando um switch fica on-line pela primeira vez, ele acredita que é a rota. Primeiro, se estiver correto, e se os switches vizinhos entenderem isso como correto e ver que esse bpd você é superior, então eles enviarão de volta um acordo e eles serão sincronizados. Há árvore de abrangência rápida. Existem interfaces STP de acordo, portanto, quaisquer interfaces que não sejam de borda, irão em frente e desligar-se e começarão a sincronizar isso. E essa é a operação de pia que começa. E se o interruptor de recepção. Se não concordar com isso, no entanto, se ele tem um BPD superior, você já pode ser a rota. Talvez já saiba de uma rota que tenha uma prioridade melhor. Então ele vai enviar de volta aquele bpd superior você para o interruptor remoto. E o switch remoto ajustará suas interfaces dinamicamente. Claro que, como um macho, vá pelo alternativo e faça um backup e relatórios e defina os velhos de acordo com o BPD superior que você acabou de receber. Isso não é tanto para localizar a ponte raiz em si, mas mais apenas o caminho para a ponte raiz, certo? Então, com isso, você sabe, claro, é claro,são os custos mais curtos, o menor custo de caminho para a ponte raiz que realmente importa aqui. E eu queria mostrar quais são esses custos baseados na velocidade dos links. E aqui está que para ambos 802.1 d árvore de abrangência regular e árvore de abrangência rápida, lembre-se de árvore de abrangência de terra pervertida rápida é um protocolo proprietário da Cisco que o padrão da indústria é apenas partícula de árvore de abrangência rápida. O protocolo rápido da árvore de primavera é que você tem 20 bits de terra divididos pela velocidade. Isso é o que este cara é aqui Spanning Tree costumava ser 10 gigabits divididos pela velocidade, mas foi ajustado mais tarde para custos de link mais altos que agora não segue uma progressão linear como essa. Mas você pode ver quais são os custos aqui que eu encontrei nos switches Cisco que suportam a árvore de abrangência e o tratamento de abrangência padrão que estamos usando. A árvore de abrangência custa os custos regulares da árvore de abrangência em vez do custo rápido e abrangente da árvore que verá no laboratório chegando aqui. Então eu vou em frente e ter certeza de que você está ciente desta tabela para o exame. Apenas em um caso em que esta informação surge e principalmente apenas para uma rápida abrangência, árvore de gastos padrão. Você provavelmente pode descartar isso até o laboratório chegar. Vamos dar uma olhada no que nossa topologia vai ser, e então não vamos pular lá e começar a dar uma olhada em nossas operações de árvore de abrangência. Então aqui temos três desculpas trocadas. Nós vamos ter o interruptor um aqui definido como nosso interruptor de raízes. Isto vai ser definido dizendo que a prioridade é 4096. Lembre-se que esse é o menor, o melhor número de prioridade que podemos ter. E deve ser em incrementos de 4096. E aqui em baixo, vamos ter as nossas rotas de reserva. Troque isso. Vamos definir nossa prioridade para 8000 192 que este é o próximo incremento de 4096 Up. Só temos uma vitela aqui, e é só com isso que nos vamos preocupar. E aqui estão nossas conexões de porco para como esses interruptores são configurados. Então o que vai acontecer aqui, certo, é que nós temos nosso switch de raízes e, por definição, as raízes que todas as suas portas são portas designadas, que nós não temos nenhuma porta de rota no switch de rota porque tem que é a raiz já ligada. Não temos nenhuma porta alternativa porque é a raiz. É no melhor lugar, ou o local estava tentando encontrar o custo para agora as rotas de backup, que tem nossos dois pads são. Pads são custos iguais porque eles são todos Internet rápida e negociando a 100 megabits. Então, usando nossa tabela apenas anteriormente que acaba tendo um custo de 19. Então, todos estes têm um custo de 19. Todos os links Dio So aqui. Este vai ser o nosso porto de rota. E então aqui, nós estamos levantando tendo um porto designado. Agora, em uma circunstância como esta. Então esse cara, troque três. Ele tem um porto de rota bem aqui, claro, porque é, você sabe, custo de 19 para chegar lá. Mas é um custo de 38 para voltar todo o caminho naquela direção. Então, claro, esse vai ser o relatório. Mas isso aqui, como saberemos se é o aeroporto do deserto? Ou esse é o poro designado aqui já que apenas um lado acaba sendo bloqueado e o lado que está bloqueado é o lado do interruptor inferior e o interruptor três tem o bpd mais inferior. Você está tendo um complexo de inferioridade aqui. Tem o BPD mais inferior. Você fora dos três interruptores aqui para que ele bloqueie seu lado aqui. Isso se tornará o Port ST alternativo aqui, e nossa porta comutada 2 rápido 01 Isso vai ser uma porta designada desse lado. Isso acontece para que tenhamos um switch mais rápido sobre um failover mais rápido no caso de este link ir para baixo aqui que se ambos estivessem bloqueados, teríamos que esperar que ambos os switches processassem a ordem de notificação de alteração de topologia para que está ligado a ser o estado de aplicação. Mas um deles é um porto designado. A outra é uma porta alternativa que está no estado de descartar. Então, com isso, vamos entrar em nosso laboratório aqui e dar uma olhada que nós vamos apenas saltar direto para a linha de comando primeiro. Então vamos dar uma olhada aqui. Eu tenho todos os três abertos aqui. Quero que saibam que para essa topologia em particular, acabei tendo alguns problemas das BNs três que não estavam lidando corretamente com os links entre os switches, mostrando todos eles como links compartilhados em half duplex, mesmo que os links estavam realmente sendo negociados em full duplex. E eu não sei exatamente o porquê, isso é. Quando eu estava escrevendo os bugs, eu não estava vendo que estávamos recebendo os acordos de volta corretamente como deveríamos. E por causa disso, fui aos meus interruptores físicos aqui. Minha topologia física estava fazendo 37 anos 50 e um único interruptor 35 50 aqui e ligá-los da forma que você viu. E é por isso que nosso nome de porto é um pouco diferente aqui. Não vamos entrar pelos três GN que achei que isso era mais confiável. Então sobre o interruptor um, lembre-se, lembre-se, Esta é a nossa rota se você ir em frente e habilitar apenas para uma árvore de abrangência show. Então esta é a nossa rota aqui. Eles vêem que a nossa ponte i d. Nossa prioridade é 4097 que é 4096 com o sistema I d. Extensão de um. Lembra-te, isto é para o V Liam 1. Se fosse, então seria uma prioridade no 4098, porque está acrescentando aquele vilão que eu D. então seria uma prioridade no 4098, porque está acrescentando aquele vilão que eu D. E aqui está o nosso endereço Mac. Aqui estão os temporizadores que ele está usando. Quatro árvore de abrangência rápida apareceu nos avisando que seu protocolo de árvore de abrangência rápida se este fosse o protocolo padrão de árvore de abrangência, isso iria ler I Trípoli aqui em cima. Eu já passei por isso. Como você pode ver e configurado a prioridade aqui e também disse que era árvore de abrangência rápida porque ele padrão 2802.1 d inicialmente aqui. Mas eu quero passar e mostrar a vocês como esta saída se parece aqui. Aqui em baixo temos nossas interfaces para cordeiro de vitela. Um que papel eles estão atualmente em seu status. O custo, então, aqui é 19 porque essas portas Ethernet de ar rápido o tipo é ponto a ponto links, que é um switch para alternar link. Isso é o que deve ser porque é full duplex, que ele não pode ser um link compartilhado porque você não pode ter full duplex em um link compartilhado . O número de prioridade para esta interface aqui e a função é designada e o nome da interface . Agora, você quer mostrar pra você rapidinho? Na medida em que definimos essa prioridade, que nós apenas fazer um show run e vamos incluir informações abrangendo viagem. Então aqui temos o modo de árvore de abrangência, rápido por vilão abrangendo árvore. Agora estes são comandos de configuração global. Este aqui já foi inadimplente. Eu não coloquei esse comando, e este eu fiz para definir a prioridade para 4096. Há alguns itens de configuração antigos ainda no switch que eu tinha definido a porta rapidamente em um par de interfaces para testar com isso que não é necessário aqui. Que Ah, essas duas interfaces são as que passam em direção a outros dois switches que mostramos vizinho CDP. Na verdade, vamos em frente e apenas expandir isso um pouco em um vizinho show CDP, e isso é um pouco mais legível aqui que nós mudamos para e desligue três do rápido U Transforme-o 102 e rápido Internet 103103102 e acima aqui que essas outras duas interfaces que estão executando árvore de abrangência e estão em Ford State no momento aqui. Então vamos saltar para o nosso backup bem rápido. Nossa mudança para isso está habilitada. Vamos em frente, fazer um espetáculo. Agora eu tenho um par de outros links que estão rodando entre áreas, e nós não precisamos realmente prestar atenção a estes no momento em que os dois que estão realmente têm nossos dispositivos conectados são mais rápidos do que 01 e 03 que isso tem um prioridade que aqui nós realmente temos a rota. informação está aqui, e a informação da ponte do interruptor estava ligada está aqui em baixo que 8192 é a minha prioridade, o próximo passo a partir do 4096. A prioridade da nossa rota é o 4097. Isso nos dá esse endereço Mac e o custo para chegar à raiz. Estamos apenas atravessando um único link Ethernet rápido para chegar lá e ter um custo de 19. Nós temos os temporizadores que estão incluídos porque isso está naquele bpd você que acabamos indo em frente e enviando são os temporizadores que estão sendo usados. E aqui está a porta que é o custo de caminho mais curto de um que está sendo usado no acesso. A rota que é a nossa porta de rota lá, e que é a Ethernet 03 rápida ali mesmo onde nos mostra que o papel é uma raiz, e temos nossos custos de 19 todo o caminho para baixo. Esse cara é codificado para 10 megabits para conseguir os 100 custos lá, e eu acredito que é meio duplex para esse tipo de porta compartilhada. Então, por que não quero fazer é vamos fazer isso. Vá em frente e feche essas duas interfaces no switch Uma é que vamos desligar 10 a 1103 Vamos habilitar a depuração para nossos eventos de árvore de abrangência e dar uma olhada nessa negociação como acontece, e ver que as propostas são enviadas no acordos ar recebido de volta para que você possa realmente dizer o que está acontecendo aqui. Vamos em frente e ir Convict Terminal, e aqui você terá uma introdução ao Interface Range Command que isso é definitivamente muito útil. Interface gama rápido usando-o uma barra zero esperanças rápido um cortar sua barra para através três. Vamos em frente, fazer um tiro e vamos fazer. Não tenho certeza se já vimos o comando do fazer antes. É assim que você habilita comandos de nível ou apenas comandos de execução, como comandos show ou comandos debug. Quando você está na configuração, seja configuração de interface, configuração global mo, qualquer um dos modos de configuração, assim como eventos de abrangência de depuração. Opa! Ajuda se eu puder digitar debug Lá vamos nós. Você sabe, tiro talvez expandir esse cara um pouco para que possamos ver o que está acontecendo e lá vamos nós. Há nossos eventos de árvore de abrangência rápida estão depurando chegando. Já recebemos os nossos acordos sobre ambos aqui. Ok, então vamos em frente e fazer isso. Você é a favor de Andi Bugel? É assim que você desabilita a depuração é É seu espaço. Tudo o que significa un debug todos. Então aqui em cima nós acabamos tendo que nossas duas interfaces mais rápido do que aquele 102 em um seu estado de três cadeia pé para cima quando nós fizemos o nosso não shut e então nós nossa configuração nossa ponte i d Estas eram as únicas duas interfaces que estavam executando árvore de abrangência tão abrangendo árvore não estava funcionando até que nós fomos em frente e habilitado essas interfaces aqui para que nós estamos definindo nossa ponte i d. E isso é excelente nossa idéia de sistema 4096 no quarto olhos e 97 por causa da vitela e eu d lá. Então, estamos inicializando a árvore de abrangência da porta está iniciando nessa interface e que imediatamente ele pensa que é rota. Então ele está definindo todas as suas portas para portas designadas porque ele acha que é uma rota agora . E então está transitando a proposta porque acha que é a rota. Estou propondo que eu seja a rotina. Está enviando isso para fora de todas as interfaces. Então ele está inicializando o porto, dizendo que não precisa enviar a proposta e olhar para o momento em que tudo isso está acontecendo no mesmo décimo de segundo aqui. Então, então. Logo que envia essa proposta, recebe de volta um acordo de que o outro interruptor no 103 e que foi mudado para esse ponto. Recebe um acordo que mudou para acordado, dizendo sim, Eu acho que você é a rota. Eu aceitarei isso. E então ele irá em frente e sincronizar com seu interruptor de peer. Três. Se ele tem alguma alteração de topologia, o que não deveria no momento, e ainda está transmitindo outra proposta não obteve uma resposta de volta em rápido seus que você está para ouvir ainda, e ainda está enviando outro um, e, em seguida, eventualmente aqui ele levou um pouco de tempo seu que este é realmente fora da linha um pouco. Se você olhar para o momento, é um pouco interessante que enviou a proposta. As células olham para o segundo errado, mas o próximo segundo aqui. As células olham para o segundo errado, Recebeu o acordo que está indo rápido. 102 sobre esse acordo ali. Então você pode ver que isso é o que ele está enviando as propostas recebendo os acordos quando eles concordam que eles são a raiz, vá em frente e eles vão afundar a linha e continuar para baixo até que a topologia é totalmente convergida e que tudo está sincronizado. Obrigado por passar por isso, assim como os outros. Vamos voltar para o ponto de energia aqui para que possamos passar por algumas perguntas práticas antes de terminarmos. Agora. Primeiro, em que Port ST faz uma porta de switch executando o protocolo de árvore de abrangência rápida, aprenda endereços Mac, mas não encaminha o tráfego. Está no estado de escuta que fornece o estado de aprendizagem ou o estado de descarte? Bem, tenho certeza que a palavra aprendida aqui deu para você. Que seria visto no estado de aprendizagem que os estados portuários aqui estão descartando, aprendendo e encaminhando. Então veja aprendizagem é o estado em que ele está aceitando todo o tráfego não bpd e bpd. Você tráfego, e ele está olhando para ele para aprender. Mac aborda o ar que vive fora daquele porto. Então a resposta é “C learning”. E, finalmente, quando um switch executando o protocolo de árvore de abrangência rápida recebe um novo bpd superior, você em que processo ele começa? Todas as suas portas não periféricas? É uma rejeição? Seja sincronizando, consulte reinicialização ou d fording. Agora isso pode parecer simples. Há algumas coisas aqui a notar é que quando dizemos novo superior BPD você esta é uma nova BTU superior que eles não receberam antes, então não apenas em um adicional. Porque, é claro, todos os nossos switches continuam a enviar o uso de BPT como tipo de manter uma vida e quais processos começam em todas as suas portas não periféricas. Então, é claro , sim, se ele receber um novo bpd superior que você não recebeu antes. Primeiro envia desculpas, notificação de alteração T c n. Podemos não ter mencionado explicitamente, mas você realmente não precisa saber que tanto só precisa saber a operação. Mas é uma notificação de alteração de topologia porque houve uma alteração na topologia, e o processo que inicia é que inicia o processo de coletor. O processo de sincronização em todas as suas portas não periféricas onde começa a descartar e enviar a proposta e aguarda por acordo. Então a resposta aqui seria sincronizar. Espero que isso tenha sido informativo para você, e eu gostaria de agradecer-lhe a visualização. 18. 2.6 conceitos e configuração: canais, conceitos e configuração. Agora que passamos pela árvore de abrangência e entendemos o propósito de criar uma topologia livre de loop, podemos ir em frente e falar um pouco sobre como criamos redundância em nossa rede e como fazemos isso de forma eficaz para que não apenas desperdiçando um monte de links que se você acabar tendo uma situação como esta onde você tem seu interruptor e outro interruptor, digamos que você tem, você sabe, você sabe, servidor aqui em cima e você tem estação de trabalho aqui em baixo e esses caras estão conectados e esses caras estão conectados. Esses caras estão conectados. Digamos que você queira adicionar um link redundante aqui entre seus dois switches. Isso é um interruptor. Isso é um interruptor. E você quer ir em frente e adicionar este link redundante aqui. Bem, um desses vai acabar sendo bloqueado, e como descobrimos, ele vai ser bloqueado no lado inferior do interruptor no número de porta mais alto, e é aí que isso vai acabar sendo bloqueado. Mas digamos que você queira realmente ir em frente e usar essa porta lá. Bem, você poderia colocá-lo em uma terra diferente em ambos poderia estar embarcando tráfego, um em um vilão e o outro no outro. Se você tem suas prioridades definidas corretamente aqui, mas o que nós queríamos no mesmo vilão bem , este é o lugar onde qualquer um dos canais entra em jogo é que nós podemos pegar essas duas interfaces e agrupá-las para que esses dois links físicos apareçam como um único link lógico para Spanning Tree tal que ele só vai contar isso como um único link e não dizer que há um loop seus traseiros desde que criemos esse canal. Então vamos falar um pouco sobre o que isso faz vincular redundância. Ele apresenta várias interfaces físicas como uma única porta lógica para a árvore de abrangência. E aqui está aquela situação que eu estava falando bem aqui onde você tem um de seus links que estão bloqueados porque você tem um loop aqui que é formado. Mas quando você cria um canal qualquer, todos os seus links podem ser encaminhados porque a principal razão lembrar direito é que o que cria um loop é o fato de que os switches lidam com transmissões da maneira que eles dio que se uma transmissão é enviou este link aqui e este interruptor o recebe, ele vai avançar e encaminhar para fora. Este link e quaisquer outros links que ele tem também, é que é uma transmissão. Ele sai de todas as interfaces, exceto a interface em que entrou. No entanto, aqui nesta segunda situação, quando uma transmissão cai, não vai voltar para fora desta interface porque ambas as interfaces são agrupadas de tal forma que eles são a mesma interface lógica que quando ele vem nessa interface , ele vem em todo esse canal. É assim que não vai reencaminhar aquela transmissão de volta para aquele canal. Então é como uma única interface lógica. Isso permite que nossos links redundantes sejam utilizados em vez de bloqueados, e também permite mais redundância. Isso é muito mais rápido falhar sobre isso. No caso em que na interface cai fora de um canal nenhum grande, ele cai fora de ambos os canais, a, uh, partícula deitada e a interface física vai para baixo, para baixo muito bem, e então o qualquer canal apenas continuar encaminhando tráfego, mas sem essa interface incluída no pacote que você pode ter até 16 links que você sabe, poderíamos ter Boom. 3456 Você pode ter 16 links aqui, e você também pode especificar qual é o número mínimo de links que você pode ir em frente e dizer , eu quero quatro links aqui em meus dois canais. Vamos eles têm quatro aqui, mas que eu quero que meus homens links homens para ser de tal forma que nós podemos perder dois desses caras e ambos os canais ainda é considerado para cima, e ele ainda vai em frente e encaminhar o tráfego através. Então a maneira que ambos os canais são negociados e eles são é com o uso de L. A, C P ou Paige P ah. Isso é o protocolo de controle de agregação de link, que é o padrão da indústria, ou Paige P. P a g p, p, um g p. Como protocolo de agregação de porta. Eu acho que eu fiz isso errado é P um protocolo de agregação de porta G P e agregação pobre. O protocolo é o método proprietário da Cisco. Não é recomendado para ser usado porque é proprietário que, na verdade, nos tópicos do exame aqui foram sobre Lee indo sobre L. A C p. Então isso é tudo o que vai mencionar honestamente. A única diferença principal é que a terminologia é que Paige P usa auto desejável, enquanto L. A. C P usa passivo ativo como nossos tipos de porta em. Vamos discutir o que é isso daqui a pouco. Então, quando você avançar e agrupar seus links, agora também aumentamos a taxa de transferência. Certo é que aumentamos a largura de banda disponível aqui que podemos ir em frente e utilizar todos esses links que é o outro principal. E esse é realmente o principal benefício aqui é que você pode obter maior largura de banda entre seus links de switch porque você pode utilizar todos os links lá em vez de ter um deles bloqueado e ficar preso usando apenas um único link gigabit ou 10 link gigabit. Você pode agrupar Ah de seu um show ou 10 Giger 40 gig links e obter este 100 gigabit throughput entre seus switches, e isso acontece de um tipo específico de maneira. Aqui está ele permite o baixo balanceamento que o algoritmo que é usado hashes, fonte e informações de destino para descobrir qual vinculado usar. Então, realmente, o que isso significa certo é que se eu tiver switch, mude para links entre eles que estão empacotados e você tem estação de trabalho aqui e você tem servidor aqui. Conectado, conectado. E então também, digamos que temos outra estação de trabalho aqui, certo? E ele está conectado. Pregue esse cara aqui. Esta é esta estação de trabalho. Quando ele for em frente e tentar entrar em contato com este servidor aqui, então ele vai enviar o quadro. Esta opção vai avançar e hash as informações de origem e destino por padrão . Ele usa o endereço Mac de origem e destino. Ele vai em frente e hashes isso juntos e vai obter um número fora dele para determinar qual link que ele vai usar aqui. O que significa que se este computador sempre tentar falar com este servidor, geralmente o seu tráfego passará sempre pelo mesmo link aqui. Agora, este computador aqui, quando ele falar com este servidor aqui, ele pode usar este link em vez disso. Então, realmente, o que isso significa, certo é que se nós temos um gigabit links aqui entre nossos switches, se essa uma estação de trabalho continuar tentando acelerar e atingir esse servidor com muita força, é só vai obter um gigabit de taxa de transferência, certo, porque o mesmo endereço Mac de origem e destino estão tentando entrar em contato um com o outro várias vezes, então você só vai conseguir um gigabit de taxa de transferência. Mas se esses dois caras tentando ir e eles estão espalhados por nossos links individuais aqui e vocês estão usando o quê e os outros usando o outro, podemos obter um gigabit completo de taxa de transferência para cada um deles ao mesmo tempo. Então é agregar o tráfego junto, mas realmente baseado em informações de origem e destino. Assim, qualquer máquina nunca vai realmente ver o benefício aqui por ter esse aumento da taxa de transferência. Vai ser se você tiver muitas máquinas. Agora, você pode usar diferentes algoritmos de balanceamento de carga. Como eu mostrei aqui que você tem, uh, seu show ou balanceamento de carga de canal, o que mostrará qual é a sua configuração atual de balanceamento lo? E então você tem itens diferentes que você pode selecionar. Eu vi alguns switches onde eles têm disponível a camada quatro informações seus números de porta para TCP ou UDP. Você pode ir em frente e adicionar lá para ser hash juntos para o algoritmo de balanceamento de carga que geralmente seu Mac de origem ou destino ou origem ou destino. endereço I P vai ser muito bom. O problema que você pode encontrar sua chamada polarização do canal de éter, certo? É que digamos que você tem o seu servidor aqui e a mesma configuração. Você seus dois switches juntos, mas, em seguida, sobre este lado, você tem outro servidor e que esses dois caras, esses dois servidores, falar um com o outro. Ah, muito, uh, digamos que por aqui você tem, tipo, um monte de outras estações de trabalho e coisas assim. Ah, lá vamos nós. Lá vamos nós, etc. Então por diante e que você tem tudo isso conectado. Se esses dois servidores estão conversando muito entre si, você pode acabar com, realmente como um de seus links em qualquer um dos seus canais sendo saturados apenas porque é você tem para destinos dois lados que estão sempre falando com uns aos outros. Um monte termina que você acabar dever ou algoritmo de balanceamento de carga apenas levando em conta a origem e destino Mac. Assim, eles sempre usarão o mesmo link em seu canal mais fácil. E você acaba com, tipo, realmente não é bom balanceamento de carga aqui, e é apenas um de seus links acaba muito utilizado, e que isso pode não ser realmente bom aqui e causar um pouco de problema. O balanceamento de carga funciona melhor quando você usa vários links. Isso é uma energia desligada para. Isso foi malvado? Isso significa que se você usar o número de links em seu canal usado para ou quatro ou oito links em seu canal impressionante ou 16 links Grande. Que isso realmente balanceará muito bem. É só por causa do algoritmo de hash que é usado seu destinado para um poder de dois. Se você usar três links ou cinco links, ou, como sete links ou algo assim, apenas em número ímpar que você pode acabar novamente com, como qualquer polarização de canal, onde um de seus links acaba altamente utilizado porque ele está realmente assumindo, Você sabe, mawr fora do tráfego devido ao algoritmo de balanceamento de carga, e ele simplesmente não vai acabar se equilibrando muito bem para você. Então vamos falar sobre como configuramos em qualquer canal e como ele é negociado. Assim, com L. A C p nosso protocolo de controle de agregação de link, temos os estados de porta ou os modos de ativo e passivo e, em seguida , independentemente, nós também temos em apenas o seu hard codificado em não é recomendado. Isso ocorre porque isso pode causar um loop se você não tiver configurado um canal em um lado e não no outro lado. E você só tem em ah bem no lado que ele está configurado está em. Ele estará encaminhando tráfego e do outro lado das interfaces físicas surgirá e o protocolo de linha aparecerá. Vai encaminhar o tráfego. Só não vai participar na árvore de abrangência corretamente. Eso você pode acabar com um loop unilateral aqui onde um dos dois interruptores acaba causando um loop. Agora, se ambos os lados estiverem configurados como passivos, o link, os dois canais não aparecerão. É como se você tivesse apenas uma flor de parede de um lado caísse do outro lado. O que eles fazem? Eles olhavam um ao outro e esperam que alguém faça algo que ambos sendo passivos não o fará, ambos sendo ativos também. Vamos demorar um pouco mais para subir. É como se ambos corressem um para o outro, bam e se tornassem cabeças um do outro e depois se afastarem por um momento. É como, oh, whoa, yeah, yeah, nós realmente queremos negociar, precisa do seu canal então eles vão em frente e trazer isso à tona, um sendo passivo, o outro sendo ativo. Essa é sua maneira mais rápida e melhor de conseguir que sua prisão surja um pouco mais rápido e será excelente para você. que diz respeito aos requisitos de configuração em qualquer um dos canais, primeiro lugar, em primeiro lugar, todas as portas devem ser do mesmo tipo. Você todos rápido Internet ou show, Internet, etc em que eles precisam dedo do pé. Todos têm a mesma configuração de interface física, as mesmas configurações de velocidade e duplex que suas interfaces físicas devem ser idênticas. E as configurações da porta do switch da primeira porta. Quando você vai em frente e as chances são provavelmente a maneira que você vai configurar isso é você vai usar seus comandos de intervalo de interface. Você vai estar no alcance. Você sabe, Ethernet 101 rápida para uh, e então você vai estar em seu humor I f range config, e você vai ir em frente e fazer a configuração aqui em seu alcance para ir em frente e dizer qual grupo de canais para estar dentro e quando você faz isso. As configurações de porta do switch, embora as configurações de porta lógica da primeira porta sejam copiadas para as outras na configuração do grupo de canais e o que é que você sabe que o V Permitido pousa rapidamente, definindo a prioridade da porta. A configuração do grupo de canais. É quando você o aplica. É realmente copiado do primeiro porto para os outros. O que quer que esteja no primeiro porto. Isso é o que vai ser sobre os outros. Realmente. O que eu recomendo que você faça é definir todas as portas para ser o mesmo para que você saiba com certeza o que vai ser. Ah, e pode realmente visualizar e ver seu condenado antes de configurar seu grupo de canal quais serão essas configurações ruins para que você não precise adivinhar agora. Quanto à configuração real, é o comando Channel Group Channel Hyphen Group para adicionar as interfaces em qualquer canal em uma camada três. Qualquer um dos canais é possível. Vá em frente e configure suas interfaces aqui. Direito de estar no Grupo de Canal um para o Canal um pobre para você ou é canal lá e , em seguida, você entra em sua interface de ambos os canais. Vai ser interface de canais pobres, o que você poderia fazer. Po P 01 você sabe, para o canal pobre uma interface PO um. E agora que você está nessa interface no modo de configuração de interface, você não poderia fazer nenhuma porta de switch e que você acabou de criar uma camada três. Qualquer canal A roteado ou interface de canal, várias interfaces físicas que se formam em conjunto para ser uma interface lógica roteada em que pode ser realmente bom aqui também. E em um los circunstâncias pode ser muito útil. O que eu quero fazer a partir daqui é ir em frente e configurar um canal em nossa mesma topologia aqui em baixo. Eu tenho isso aberto no GNS três agora, então vamos em frente e deslizar para lá por um momento. Eu fiz zero configuração aqui. Isso é tudo recém-ligado, então vamos precisar ir em frente e abrir nossas interfaces em um sinal nossos itens de configuração aqui e eu vou mostrar que quando tivermos estes conectados e nossas interfaces ar até que dois desses três interfaces vão estar em estado de bloqueio sobre isso. Quando vamos em frente e configurar são ambos canal, em seguida, ele vai estar em um estado fording com spanning tree. E então vamos em frente e configurar nossos endereços I P aqui 10 001 e dez anos ou dois em ping entre eles apenas para mostrar que temos conectividade. Então vamos em frente e começar isso aqui bem rápido. Primeiro, vamos passar para o 3. Troque um. Não, queremos passar pela nossa configuração inicial. Tudo bem, então aqui estamos nós de volta. Eu quero frente e trocados para fora esses switches que estamos aqui com a imagem do switch correto para que possamos realmente obter são ambos os canais configurados. Você corre expandindo árvore também. Então vamos em frente e configurar isso agora. Eu não fiz muito de nada a nenhum desses caras aqui exceto definir sua hospedagem apenas que possamos ir em frente e ver qual dispositivo estava realmente ligado. Por isso, mude um. Vamos verificar aqui atrás. Então você tem Ethernet 012 e três em cada lado que são nossas interfaces de canal que vamos avançar e agrupar juntos Então vamos começar isso aqui. Então, vamos ao nosso primeiro, se eu o fizer. Ah, mostre que o status da interface que temos Internet é o seu A 12 e 3. Eles estão negociando como troncos, uh, e que eles estão ligados e conectados. Agora, todos os dispositivos são todas interfaces. Show está conectado apenas porque eles são interfaces emuladas no GNS três que é apenas uma natureza do Gênesis três. Vamos em frente e fazer nossa, uh, uh, configuração de canal aqui em nosso intervalo de interface em alcance. Internet zero barra de um a três. Excelente. E então todos nós se fizermos um show do, Ron, todas as nossas interfaces aqui devem ser configuradas da mesma forma. Sim. Então, se todos não têm configuração, nós temos o seu 12 e três. Há apenas duplex auto. E agora não nos importamos com nenhum tipo de configuração. Nós só temos um V terra Villa um s. Então nós vamos apenas ir em frente e ter o nosso canal configurado e aqui em cima. Uh, se eu fizer alguns shows abrangendo agora, nós estamos no interruptor de rota aqui. Então nós precisaríamos ir para o outro switch para mostrar que alguns deles estão bloqueando com segurança. Faça um show do abrangendo no interruptor para isso. Nós temos a Internet 02 e 03 são portas alternativas em estado de bloqueio que essas são as nossas portas mais inferiores e essas são as que estão bloqueando aqui para evitar esse loop de switching . Então vamos desbloqueá-los. Então, se formos em frente, você ouve Canal Grupo A su canal Grupo um modo. Então aqui é onde nós selecionamos nosso ativo ou passivo ou vamos em frente e fazer ativo neste lado . Excelente. Criando uma interface de canal ruim. Pobre Canal 1. Isso redefine suas interfaces. Eles vão descer e depois voltar para cima. Sim. E eles estão suspensos porque, bem, nós não temos L.A. C. configurado. Não temos nenhuma outra criança configurada do outro lado. Isso não é negociar o canal portuário aqui, então vamos em frente e negociar isso do outro lado aqui. Ir faixa de interface. Leste 01 a três. A mesma coisa aqui. Grupo de canais, um modo. Passa isso. E então, na verdade, eu queria te mostrar quem faz um show show run. Então, primeiro, isso vai em frente e aplica essa configuração a todas as três interfaces porque estamos no intervalo de interface. Mas, em seguida, também quero mostrar que esta é a mesma configuração é o outro switch que tudo o que temos é duplex auto bem aqui em cima, o canal pobre. Agora isso está configurado. Esta é uma interface de porta de switch que este é o lugar onde eu estava falando, que você poderia fazer nenhuma porta de switch ligado e transformar isso em uma interface roteada. E isso é a mesma coisa. Como você faz com as outras interfaces, mesmo que não seja nenhuma, qualquer canal para qualquer uma de suas interfaces. Se você quiser se transformar em uma interface roteada, você pode fazer nenhuma porta de switch e, em seguida, atribuir um endereço I P a essa interface. É realmente como esta interface existe em um vilão e que essa interface tem um endereço I P ligado, e não está indo para encaminhar tráfego para fora dessa interface ou qualquer tráfego de entrada que está entrando em que interfaces não indo encaminhe ele vai encaminhar esse tráfego. Então nós temos aqui um show, disse L. A C P, atualmente não habilitado na porta remota. Não sei se isso é verdade. Pode ter demorado um momento aqui. Sim. Que o canal portuário surgiu assim que negociou. Isso levou cerca de um segundo lá. Então vamos em frente e terminamos e mostramos qualquer canal. Você mostra o resumo do canal ou apenas mostra qualquer um dos canais. Temos qualquer um dos grupos de prisão 1. Há três portos. Há um número máximo de portas neste, cada um de canal desligado. Quatro. Acontece que é a imagem que estava em e a versão do software que podemos ir em frente e definir lá. Assim, também podemos mostrar o equilíbrio de carga de canal, como vimos anteriormente. Isso está usando a origem e o destino. I p address é o que ele está usando para ir em frente e balanceamento de carga. Irá juntar essas informações para escolher qual interface irá encaminhar esse tráfego. Agora, se fizermos nosso show abrangendo aqui agora, todas as nossas interfaces estão em estado designado e encaminhamento. Que Poe um é agora o nosso canal portuário é agora a nossa porta de rota ver. Spanning Tree vê isso como uma interface como uma interface lógica e, na verdade, ele ajusta dinamicamente o custo com base no custo das interfaces que são membros desse canal de porco . E, de fato, se você tiver negociação dinâmica aqui, se você usar auto ou passivo ou ativo ou passivo como sua negociação, ele irá em frente e ajustar dinamicamente esse custo, com base em quantas portas estão ativas dentro que qualquer canal no momento. Então isso é muito legal em si mesmo, mas também algo para estar ciente de que no caso de você ter vários canais de porta, talvez você tenha que derramar canais que estão conectando sua infraestrutura juntos aqui, que um deles pode ser bloqueado e o outro é seu canal de relatório que, caso uma de suas interfaces caia fora de um canal ruim. Você poderia ter um evento de convergência porque o custo desse canal de porta agora subiu para torná-lo de modo que ele não é mais o caminho ideal para a rota. Você poderia ter um evento de convergência de árvore de abrangência aconteceu por causa disso, então eu só quero levá-lo através, configurando um canal aqui e configurar um canal pobre e mostrar a você o que acontece com esse prego, assim como as outras seções. Vamos passar por algumas perguntas práticas antes de terminar aqui. Primeiro, qual é a interface que o Comando usou para colocar uma interface em qualquer canal até agora. Acabamos de ver este ano que o comando completo não está listado aqui. Que precisaríamos de Teoh selecionar o tipo de negociação que queremos fazer. Ou apenas defina-o para estaticamente no modo para os seus canais. Mas este é um comando de interface física. Então isso não é um interruptor. Port Command, este é o grupo de canal para é o comando que usaríamos para colocá-lo em qualquer canal para a resposta é C e, finalmente, o que dois pedaços de informação faz um switch usar por padrão para determinar qual link enviar tráfego em qualquer um dos canais e as duas informações que a maioria usará por padrão? Vimos naquele comutador em particular ao qual estamos conectados, que é uma imagem nas BNs três que ele estava usando a fonte e o destino do endereço I P. Mas, na maioria das vezes, você verá que ele usa o endereço Mac de origem e destino e que é A e C são nossas respostas. Espero que isso tenha sido informativo para você. E eu gostaria de agradecer por ver 19. Arquitetos sem fio e modos: arquiteturas sem fio. Agora este vídeo vai ser um vídeo muito pesado teórico. Não teremos nenhuma informação de laboratório ou sessão aqui neste vídeo que será sobre as arquiteturas e modos de operação que você pode ter com seus pontos de acesso leves em um ambiente de controlador de LAN sem fio Cisco e como isso termina trabalhar a partir de um tipo mais geral de perspectiva nos seguintes vídeos vai passar por Ah, alguns exercícios de laboratório sobre como configurá-los e ver a interface do controle sem fio e saltar lá um pouco. Então vamos primeiro ir em frente e falar sobre os tipos de pontos de acesso que você verá aqui nas arquiteturas de ponto de excesso. Então você tem duas arquiteturas principais aqui, centralizadas em autônomo. Então, a maneira como você verá isso é que você pode ter pontos de acesso leves da LAPD ou pontos de acesso autônomos pontos de acesso autônomos, de modo que um ponto de acesso leve requer um controlador. Ele depende do controle sem fio para um monte de funções diferentes. Vai fazer coisas como autenticação. Você pode operar em split Mac arquitetura toe onde seu tráfego é realmente tunelado de volta para o seu controle, assim como aqui mesmo. Temos o nosso controlador. Aqui estão os nossos pontos de acesso sem fio são pontos de acesso leves. Isto aqui é apenas uma infra-estrutura com fios arbitrários. Pode ser o campus inteiro. Isto pode ser uma ligação entre os dois. Você poderia ter centenas de switches, seus roteadores, todos os tipos de coisas entre eles. Que o que estes fazem esses pontos de acesso leves criam um túnel de tecelagem que é controle e provisionamento de pontos de acesso sem fio padrão. E cria um túnel, um túnel encriptado entre o ponto de acesso leve e o controlador aqui. Agora, há muitas informações diferentes que fluem através desse túnel. Um deles é apenas controlar informações para suas informações de autenticação e coisas desse tipo . Seu ponto de acesso leve lida com as alças de algo. Você sabe, o buffer de quadros e o farol intervalos a criação real de seus quadros de sinalização para ir em frente e enviar. E alguns itens como esse são manipulados pelo seu ponto de acesso. Mas um número realmente grande de itens apenas de controle são manipulados pelo seu controle sem fio. Agora um ponto de acesso autônomo. Isso é provavelmente o que você está mais acostumado. Este é o seu ponto de excesso padrão que você passar para micro Center ou melhor comprador. O que você tem e ir comprar? Ah, e ele opera por conta própria. Independentemente. Você configura um SS i d. em que um ponto de acesso nesse ponto de acesso opera sozinho. Agora isso você causa alguns problemas se você tem um ambiente maior ou mesmo se você tem apenas um ambiente relativamente pequeno. Mas com um escritório grande o suficiente para onde você quer ter o seu “S “em todo o seu escritório. Isso é certo? Você pode configurar a mesma senha em cada um dos pontos de acesso e tê-los velho transmitir o mesmo s s ID. ID E seu computador irá em frente e você desassociar de um ponto de acesso e re associar ao outro. Mas vai ter que passar por um processo. Para fazer isso. Você realmente vai ter interrupção de serviço nas necessidades de desconectar de uma reconexão para a outra e passar por seu d HCP novamente se ele estiver usando D HCP para atribuição de endereços e fazer essa conexão funcionar novamente. Nós somos como com pontos de acesso leves em ter uma arquitetura centralizada baseada em controlador é que você pode ter roaming de ponto de acesso inter e que você não precisa passar por muito desse processo, que pode ser muito mais contínuo e ser uma experiência muito mais excelente para o usuário final aqui. Agora, isso é apenas para arquiteturas de ponto de acesso aqui a diferença entre arquiteturas centralizadas e autônomas. Agora, vamos falar sobre isso. arquitetura Mac estava falando sobre esse Mac dividido contra o Mac local. Então, em split, Mac, o controle sem fio é o ponto de entrada para dados do cliente sem fio. Agora aqui, este é um tipo de diagrama mostrando o que tínhamos aqui com nosso túnel wap direito, e que nós temos nossa quantidade arbitrária de infra-estrutura aqui onde nossa infra-estrutura com fio está lá. E então temos o nosso controlador sem fio e temos as interfaces que são controlador sem fio as interfaces físicas que são controlador sem fio usa para se conectar à nossa infra-estrutura aqui que com a nossa arquitetura Mac dividida, seu cliente sem fio, você sabe, você transmite dados para o ponto de acesso sem fio que o ponto de acesso sem fio recebe esses dados. Ele realmente o envia para fora através do túnel Camp WAP. Então ele está atravessando a rede através desta terra V onde seu ponto de acesso está, você sabe, típico. Você teria uma vitela de gestão e apenas para seus pontos de acesso. E é aí que seus dados estão sendo encapsulados e vão para o controle sem fio e em seguida, para o controle sem fio. Dependendo da identificação que identificação você está conectado, Teoh, Teoh, vamos em frente e despejar o tráfego para a rede no terreno V apropriado, usando o que é chamado de interface virtual que ele vai enviá-lo através daquela interface virtual. E esse é o ponto de entrada físico do seu tráfego na rede. Portanto, se você tiver, digamos, uma rede de convidados, seu convidado, já que essa ideia em seu cliente sem fio está conectada à rede de convidados, você não precisa que seu vilão convidado apareça no switch onde o ponto de acesso sem fio está conectado que você não precisa ter aquela vitela lá. Você só precisa do vilão de gerenciamento que seu ponto de acesso sem fio está usando para se conectar ao controlador de LAN sem fio que é o único lugar onde você precisa de seu vilão de dados ou seu convidado, a terra ou o vilão de voz. E coisas desse tipo é onde seu controle sem fio se conecta à rede. Isso permite um único ponto de entrada na rede. É uma abordagem muito mais segura e apropriada para o design aqui que você não quer sua vitela insegura apareça na rede se você não precisa dela lá para ser espalhada de ponta a ponta onde todos os seus pontos de acesso estão, porque esses pontos de acesso serão conectados aos switches da camada de acesso. Uh, e você realmente não quer que sua rede de convidados apareça em seus switches de camada de acesso . Se você não tem Teoh que você não precisa de alguém indo em frente e conectando e talvez usando VT. P r. Você sabe, para negociar um tronco com você ou você está formando protocolo, seu DTP ou protocolo de caminhão dinâmico para negociar um tronco com você e, em seguida, acabar sendo capaz de transmitir ou receber tráfego para o rede de convidados apenas sem qualquer segurança que é aí que split Mac vem a calhar agora. Mac local, é claro. Então esta é a sua moda mais tradicional. Aqui é onde você tem seu ponto de acesso autônomo, e ele não precisa necessariamente ser um ponto de acesso autônomo. Você pode ter um ponto de acesso leve que funciona de forma Mac local. E falaremos um pouco mais sobre isso um pouco mais tarde aqui quando falarmos sobre ceifa e H. Mas o Mac local é onde seus dados cospem no tráfego quando o tráfego cospe na rede diretamente no ponto de acesso que é o ponto de entrada para seus dados. Nisso, você precisa de todas as suas terras V para que suas ideias SS apareçam no switch onde esse ponto de acesso está realmente se conectando à sua rede. Agora nós conversamos muito sobre aqui estes túneis WAP cap. Há também outro padrão chamado El Weap. Agora L. Webb é obsoleto ID que ele não é realmente usado mais. Ele pode ser usado como um fallback. Nós realmente não cobrimos isso nos tópicos do exame para este exame, mas eu queria mencioná-lo aqui. Vamos em frente e mencionar brevemente os protocolos. Sinto muito pelos portos usados para isso. Agora L. Webb é proprietário da Cisco, mas mesmo Cisco é uma espécie de deixar ir isso aqui eles estão usando e preferindo cap WAP em vez de que é o protocolo mais recente e mais preferido. É o padrão da indústria. Ele usa profundo kapil abuses de TLS para a nossa criptografia camada de transporte para criptografar esse tráfego entre o ponto de acesso leve em nossa web cap controlador sem fio, Eu saberia esses números de porta. Ele usa UDP 5 a 46 para as informações de controle e UDP 5 a 47 para nossos dados. Eso se estamos enviando dados através de dados do cliente, ele envia que usando 5 para 47 as informações de controle para controlar o ponto de acesso leve do W l ver aqui que usa 5246 l volta. Você não precisa necessariamente saber isso porque ele não é realmente mencionado nos tópicos do exame . Mas eu queria mostrá-lo aqui apenas para sua informação que UDP 12.000 a 22 para o controle 12.000 a 23 para dados, e ele usa A E S para o padrão de criptografia em vez de d. T.L . controle 12.000 a 23 para dados, e ele usa A E S para o padrão de criptografia em vez de d. T.L. Isso é com o nosso túnel. Neste momento, os nossos pontos de acesso são pontos de acesso leves. Na verdade, existem vários modos de operação diferentes que nossos pontos de acesso leves podem usá-lo. Não é apenas, você sabe, não poderia ter um ponto de acesso leve lá fora, e é usado para os clientes se conectarem, e é isso que podemos fazer muitas outras coisas com. Você sabe, ter este rádio sem fio lá fora, e nós poderíamos fornecer outros serviços e nós podemos com o controlador. A ajuda de ter um controlador aqui que pode ouvir em muitos pontos de acesso sem fio em muitos pontos de acesso leves e obter todas essas informações juntas pode fornecer uma imagem realmente interessante de como o ambiente sem fio se parece lá fora em todo o nosso campus . E isso é o que alguns desses modos de AP fornecem para nós. Nosso modo de operação padrão padrão normal é o modo local, claro, que é aqui que ele lida com o tráfego do cliente, que você opera como um ponto de acesso sem fio na rede que seus clientes conectam e associam, e que você apenas lida com o tráfego sem fio. Agora é aqui que precisa arquitetura Mac local acaba. Entrar em jogo novamente é com uma viagem ou flex Connect uma viagem que é um ponto de acesso remoto híbrido que é, na verdade, um nome de ID obsoleto para isso. O novo nome é Flex Connect. Que você verá uma viagem de vez em quando, no entanto, é que isso é para gerenciar seu ponto de acesso leve através de uma conexão lan que diz que você tem seu H Q aqui e que você tem sua filial aqui e você tem tem uma conexão de ganho entre os dois que, uh, sobre a sua filial, você diz que desta forma, conexão vai para baixo e você tem o seu controle sem fio aqui, e você tem o seu ponto de acesso aqui que se este caminho em conexão cair, boom, seu wireless vai para baixo e ver o que eu estou vendo muito mais de que você costumava ser a questão onde você tem sua conexão de pesagem aqui, direito, e que todo o seu tráfego de Internet de sua filial atravessa este caminho em conexão e, em seguida, para a Internet a partir daqui do seu h Q e que o seu tráfego de retorno vai para o outro lado. Já não é assim que as pessoas fazem isso. Que a maneira que muito disso funciona é que você não quer saturar essa conexão de vitória muito cara com todo o seu tráfego de Internet de sua filial é que você vai ter ah , sua própria conexão com a Internet aqui em sua filial e que o tráfego da Internet sai daí. Mas com o seu ponto de acesso leve certo é que você tem, ah um monte de suas funções que acabam acontecendo em seu controlador. Eso geralmente se você estiver operando em seu padrão de modo local. Se você é ganhar conexão vai para baixo. Lembra-te do teu túnel de tunelamento do teu boné. WAP seus dados de usuário de volta para H Q. Isso vai cair porque você está ganhando Conexão caiu. Então é aqui que uma árvore e conexão flexível entram. Isso permite que seu ponto de acesso leve opere muito parecido com o ponto de acesso autônomo . Para usar a arquitetura local do Mac, faça que seus dados de cliente saiam para a rede, onde o ponto de acesso se conecta à rede para que seu tráfego vinculado à Internet possa sair para a Internet diretamente de nossa filial e não tem que ir através do nosso quando link lá e cabeça para fora para a Internet. E que a partir daí, você sabe que você pode ter seu link de vento privado aqui e que você está quando você é H Q. Destinado. tráfego será apenas encaminhado para o roteador que está na sua filial e enviado através desse link de ganho a partir daí. Mas é aí que o Flex Connect é útil que você acaba usando. Isso é quando você tem uma filial ou algum outro ponto de acesso remoto que você deseja operar em um tipo de situação Mac local. Você sabe, ah, situação em que ele pode perder conectividade com o controle sem fio, mas você ainda quer que ele esteja operacional. Nossos outros modos aqui no modo monitor eso monitor modo não é aquele onde ele lida com dados do cliente . Este Onley fornece serviços baseados em localização que está sentado lá, está ouvindo seus clientes e está fornecendo serviços baseados em localização. Detector Rogue Este é o lugar onde o seu ponto de acesso está sentado e ouvindo. É ouvir outras ideias de SS para outros beacons serem transmitidos e enviar todas essas informações para o seu controle sem fio, de modo que seu controle sem fio agora saiba que pode ouvir vários pontos de acesso. E você vê o quão forte esse sinal é de todos eles e que você pode saber em relação aos seus pontos de acesso onde este ponto de acesso desonesto onde este desonesto está lá fora e por causa disso, você sabe, ele pode também verifique o endereço Mac de difusão desligado. Isso é o que está ouvindo, e ele pode ver se o endereço Mac está aparecendo na sua rede com fio. Então, você sabe, se há algum ponto de entrada sem fio em sua rede que não é controlado pelo seu controle sem fio, que se você tem alguém e isso acontece o tempo todo, é claro Certo, é que Ah, digamos que você tem seu campus aqui, certo? Você tem edifício, prédio e que você tem ponto de acesso sem fio aqui, ponto de acesso sem fio e outro aqui, ponto de saída sem mandado e outro aqui. Ponto de acesso sem fio. Certo? E vamos apenas dizer, Ah, há uma mesa bem aqui. Eu não sei, mesa lá fora e que Yo Bob Bob Bob entra. Bob está trabalhando aqui. Ele está no computador dele lá. Bob Bob está feliz. Ele está trabalhando em um computador. Mas Bob, você sabe, tem realmente um sinal sem fio ruim desses caras que estão muito longe. Então, o que ele faz? Acontece que ele tem um ah, você sabe, uma, uh, porta Ethernet bem ali que nós realmente executamos. Você sabe, quando ele está em um cabo para esta mesa, está lá fora, e ele não tem, você sabe, uma conexão com fio no computador que ele precisa do seu wireless. Ele também trouxe um roteador sem fio de sua casa e ele vai em frente e conecta-o para ir em frente e criar sua própria rede sem fio aqui. Bob está muito feliz. Ele tem um sinal forte agora que está na rede. Ele vai entrar, ele pode acessar as coisas que ele precisa acessar, e ele tem uma rede sem fio lá. Bem, esta rede sem fio, ele pode ter deixado a criptografia aberta. Você sabe, ele pode tê-lo para que você não precise de uma senha para entrar lá e que agora você tem um ponto de entrada sem fio em sua rede com fio que você não controla mais. Então o endereço do Mac está sendo transmitido aqui por este ponto de acesso sem fio que Bob trouxe para o seu controle sem fio. Digamos que você tenha um controle sem fio aqui. Seu controle sem fio pode ouvir esses pontos de acesso sem fio, e eles estão recebendo a transmissão do roteador que Bob trouxe e que eles estão enviando o endereço do Mac de volta para o controle sem fio do controle sem fio ou vê que o Mac em sua rede e não pode e avisá-lo e torná-lo ciente do fato de que há um ponto de entrada sem fio em sua rede que você não controla. E é um ponto de acesso desonesto. Os outros métodos que eles podem operar aqui são o modo sniffer. Sniffer está em Lee, suportado pelo Aero Peak. É usado apenas como uma captura sem fio. Ele irá em frente e capturar quadros sem fio, e irá capturar todo o tráfego em um determinado canal. Esse Aero Peak é um software Ah, que você precisa usar para poder operar no modo farejador e obter essa informação. E então finalmente você tem o modo ponte sem fio, certo? É que digamos outra coisa que você tem construindo bem aqui, construindo bem aqui, e você tem estrada indo entre. Você tem, tipo, carro aqui. Eu posso desenhar um carro está dirigindo em torno de tudo o que OK está acontecendo e que Ah, enquanto você acabou de comprar este prédio aqui e vai acabar custando quantidade obscena de dinheiro para cavar o chão aqui e colocar um cabo de fibra entre os dois ou atrasar um cabo entre os dois para obter essa conectividade em que você deseja conectá-los bem, você pode ir em frente e ter uma ponte sem fio sem fio, boom sem fio e ter uma ponte sem fio entre os dois. Tal que. Agora você tem toda essa terra aqui e você tem seus escritórios, tudo lá e todas as suas estações de trabalho lá em suas estações de trabalho lá e que você acabou de ter essa ponte sem fio entre os dois ou melhor. Então você tem, tipo, tipo, um pequeno galpão remoto aqui fora que precisa de conectividade e que você pode ir em frente e ter uma ponte sem fio lá. Atua como uma ponte sem fio ponto a ponto ou ponto a ponto multiponto que você sabe, esse cara e esse cara podem estar se conectando a esse cara que não é sua transmissão. É que ambos estão se conectando com esse cara. E isso tornaria um ponto a multi ponto que você está realmente fazendo uma conexão terra com a terra . Ah, e está agindo como uma ponte sem fio. Agora é tudo o que eu tinha para esta seção aqui. Sei que tem sido muito baseado em teoria e muito pesado nesse assunto. Eu realmente me certificaria de que você se lembra dos modos de ponto de acesso o Mac local e dividir Mac e as arquiteturas e entender o túnel Cap WAP e seu papel na arquitetura sem fio aqui, e também quais portas que esses operam agora, assim como as outras seções. Vamos fazer algumas perguntas de treino antes de terminarmos aqui. Em primeiro lugar, qual arquitetura Mac em uma implantação de AP centralizada, permitiria que clientes sem fio ainda acessassem a Internet usando uma conexão de Internet de filiais . Se a comunicação com o controle sem fio está perdida agora, isso é um pouco aberto à interpretação de que, você sabe, isso está levando o mesmo tipo de situação em que temos nosso controle sem fio aqui em nosso QG. Temos uma filial aqui fora e que temos a nossa ligação de ganho entre os dois e temos o nosso ponto de acesso sem fios aqui e que temos uma ligação à Internet a partir da nossa filial. Nesta circunstância, se a nossa maneira de conexão caísse, qual arquitetura Mac permitiria que os clientes sem fio aqui na filial ainda acessassem a Internet usando essa conexão com a Internet ali mesmo, sabemos que essa resposta é Mac dividido. Na verdade, isso não está correto. A resposta aqui é Mac local que essa é a arquitetura que acabaria permitindo que polícia não preste atenção a isso. Minhas desculpas. A resposta aqui é um Mac local e, em seguida, qual modo de ponto de acesso não lida com dados do cliente, e Onley fornece serviços baseados em localização. Agora, há apenas três dos quatro aqui que são realmente modos de ponto de acesso. O modo local é o nosso modo normal normal, onde ele está lidando com os dados do cliente. Beacon não é um modo de ponto de acesso. O modo Sniffer requer o Aero Peak e atua como um dispositivo de captura sem fio, e um modo de monitor é aquele que fornece serviços baseados em localização. Vou corrigir a pergunta anterior no Power Point carregado antes de fazer o upload aqui . Espero que isso tenha sido informativo para você, e eu gostaria de agradecer-lhe a visualização. 20. Conexões de WLAN físicas: Infraestrutura W lan, maquilhagem física e gestão. Neste vídeo, vamos falar sobre os requisitos de infraestrutura física de sua infraestrutura terrestre sem fio . Então, onde seus pontos de acesso se conectam à sua rede, Quais são os requisitos lá onde seu sem fio e controlador se conecta à rede? Quais são os requisitos aí? Que tipo de tráfego você verá e que tipo de terras você precisa indo para cada um desses dispositivos? E como é que isto acaba a funcionar? Então, primeiro, vamos em frente e falar sobre nossa conexão de rede de ponto de acesso. Assim, os pontos de acesso leves no Lee exigem conectividade de gerenciamento com o controle sem fio . Então isso é porque nós acabamos usando nosso túnel WAP cap para túnel nosso tráfego cliente de volta para o controlador sem fio aqui que este túnel vai ser um túnel D TLS para criptografia e forma isso, e Onley precisa desta vitela de gerenciamento em ir para o ponto de acesso leve que todo o tráfego do cliente é enviado de volta para o controle sem fio antes de cuspir para a rede lá. E nós conversamos sobre isso um pouco antes, onde você não precisa acabar com a inveja em uma infraestrutura sem fio que se você tem uma rede sem fio de convidado , você não precisa de seu vilão convidado. Seja qual for o seu ponto de acesso conectado à sua rede, você só precisa dele no controle sem fio e na infraestrutura a partir desse ponto. Por causa dessa tampa, túnel da Web e a arquitetura do Mac dividem. Lembre-se de que entre Mac local e Mac Split se o ponto de acesso está lidando com comutação Ethernet local para ir em frente e colocar seu tráfego de cliente na rede no ponto de acesso, ou se ele está encapsulando de volta para o controle sem fio e suporte para a rede lá pontos de acesso tão leves que normalmente residem em seu próprio villian. Geralmente, você vai descobrir que haverá um vilão salvo Eelam 100 em que esta vai ser a sua esposa eu vilão e que este vai ser o lugar onde todos os seus pontos de acesso estavam do lado. E eles estarão em sua própria rede lá em seu próprio domínio de transmissão, que você não atrapalhe nenhum de seus outros vilões com o tráfego que esse ar vai gerar. E assim, é também por segurança que ninguém pode bisbilhotar todo o seu tráfego sem fio enquanto ele está atravessando sua rede com fio, mesmo que ele esteja criptografado. Você não gostaria necessariamente de expor isso como outro vetor de ataque em sua rede. Então, em seguida, seguindo em frente Na verdade, primeiro, eu só quero mostrar o fundo de um ponto de acesso sem fio leve aqui. Isso aqui vai ser o seu cabo Ethernet para o seu RJ 45 se conectar à rede . Este vai ser o porto do cônsul. Se você precisar usar o console diretamente em seu ponto de acesso para obter acesso à linha de comando , talvez ele não esteja funcionando ou você precise de alguma solução de problemas que seria assim que você se conecta lá. Geralmente, estes são poder sobre a Internet, mas têm a capacidade de energia externa aqui que você poderia ir em frente e se conectar ao seu tijolo de energia e conectado até parede para as pessoas para obter energia para esta coisa. Mas geralmente eles são todos eles são capazes de Power over Ethernet. Enquanto você tiver um switch ou injetor Power over Ethernet, então você deve ser capaz de fornecer energia dessa forma, movendo-se para o nosso controle sem fio aqui no controle sem fio, nossas conexões físicas são chamadas de portas. Agora isso é algo importante para se acostumar. Na medida em que a terminologia para o controlador sem fio é que as interfaces não são portas, que em um switch ou em um roteador, muitas vezes fará referência a uma interface. E nós só precisamos ficar longe disso aqui e entender que temos muitas interfaces virtuais que são usadas através de nossas portas físicas. Nil aqui em baixo. Temos uma espera de 55 0, controle sem fio. Isso realmente tem todas as portas SFP para suas conexões físicas em. E aqui, aquele cara vai ser a nossa porta de gestão fora da banda. Que essa é a nossa porta de serviço lá que essas portas físicas que são usadas para todo o outro tráfego para o nosso tráfego sem fio em nosso tráfego de autenticação que todos aqueles, uh, podem ser retardados usando L. A, C, p ou Paige P dependendo da sua versão de software para ir em frente e certifique-se de obter mais throughput com isso. E então este vai ser onde todo o seu tráfego de cliente entra e sai, e seu tráfego de gerenciamento de ponto de acesso que aqui você está interfaces dinâmicas vai ser seu tráfego de cliente e que você tem uma interface de gerenciador P para seu ponto de acesso gestão. Agora você pode fazer sua interface de gerenciamento através do seu serviço. Porte seu gerenciamento fora da banda ou ele pode passar por sua porta padrão aqui, sua carne de porco física para sua interface de gerenciamento. E é assim que se conecta à rede. Todas as suas terras V. Quatro. Suas redes sem fio para SS I DS precisarão aparecer no local onde seu controle sem fio se conecta à rede que todos esses vilões vilões A, B e M que é tudo para seu tráfego sem fio, para seu tráfego de cliente e para sua interface de gerenciamento que esse vilão precisa aparecer aqui e para seu vilão AP. Onde você acabou de falar sobre isso. Você tem uma vitela separada e geralmente quatro apenas seu gerenciamento de ponto de acesso que esse vilão precisa aparecer aqui também. É por isso que seu controle sem fio geralmente tem uma localização muito central em sua rede . Ele vai aparecer geralmente perto do seu núcleo, porque todo o seu tráfego está indo para a rede neste local que normalmente reside muito perto do seu núcleo ou nessa área. Então também, você não precisa espalhar seus vilões clientes pela rede para fins e vilões que eles podem simplesmente renunciar em seu núcleo ou em um bloco de distribuição no qual esse controle sem fio está aparecendo. Agora, é claro, as portas físicas, eles são todos troncos por padrão. Eso suas conexões, é claro, precisará ser um tronco como entendido pelas diferentes terras V que precisavam aparecer aqui também. E como eu disse, eles não podem ser agregados para obter maior taxa de transferência. Então vamos falar um pouco sobre nosso acesso de gerenciamento e como realmente entrar em nosso controle sem fio quatro gerenciamento. Então o exame só vai falar sobre algum acesso de gestão e impostos. Eu sinto muito. Tarefas que precisam ser executadas na web. Gooey. Esta é uma captura de tela aqui na aba do monitor da web. Gooey para este 55 0 espere, Controlador Apenas mostre aqui. Quero dizer, você tem uma pequena captura de tela da frente do seu controle e em quais portas estão realmente ativas. Temos nosso endereço de gerenciamento e nosso endereço de porta de serviço I p aqui para gerenciamento fora de banda , se quisermos. Então é aqui que o endereço de gerenciamento I P está saindo de uma dessas portas, certo? Considerando que o serviço Port I p address esta é a nossa porta de serviço estão fora do gerenciamento de banda I p address. Agora, onde isso é importante é para autenticação externa para sua autenticação táctil, ax plus ou radius para sua 802.1 x para sua autenticação sem fio ou para autenticar apenas no próprio dispositivo no controlador em obtendo essa autenticação tack axe para permitir que um administrador no controlador que vai usar nosso endereço de gerenciamento i p. E não é a porta de serviço i p. Mas o endereço de gerenciamento i P será o endereço de origem i p. Essa consulta de autenticação sobre isso é importante se você já configurou o raio antes, onde você precisa identificar seu autenticador de raio pelo endereço de origem i p. É o endereço de cliente I P que você normalmente configura em seu servidor de raio Teoh identificar qual dispositivo está enviando uma solicitação de autenticação de raio e que esse endereço I P de gerenciamento é o que você precisará usar para fazer isso. Então, como eu disse, o controlador sem fio é gerenciado a web gooey, ou você também pode ssh ou telnet nele que você pode obter acesso de linha de comando ao seu controle sem fio . E ele tem alguns recursos adicionais onde você pode executar seus bugs D e obter algumas informações adicionais. Mas para a maior parte, sua gestão vai acontecer através da web, gooey para configurar terras sem fio estavam recebendo informações do cliente que você tem muito mais informações disponíveis para você facilmente através da web. Aqui Gooey. Agora, eu quero falar um pouco sobre esses protocolos de gestão. Ssh, Telnet, Seu http https, que ambos são configuráveis para o controlador sem fio pode ser gerenciado para http ou https, assim criptografado ou não criptografado. Ah, e então também para raio e machado de aderência. Além disso, os tópicos do exame para a CCN um dizer muito especificamente para descrever esses protocolos de gerenciamento . Então quero ter certeza de que você está ciente das portas que eles usam, que propósito eles são e se eles usam criptografia ou não. Então encriptação. Eu sinto muito. O gerenciamento criptografado é sempre preferido. Você sempre desejará criptografar seu acesso de gerenciamento. Essa é a melhor prática que você nunca vai querer usar Http. A menos que você tenha dois, você nunca vai querer usar Telnet a menos que você tenha Teoh que https para criptografado e ssh para criptografado. Tem que ser do jeito que você vai querer ir Radius e Tech X. Além disso, há um pouco de debate sobre se a aderência explosivamente preferiu ou não. Radius é mais comumente usado em minhas opiniões um pouco mais fácil de configurar porque há tantos servidores raio disponíveis que estes são seus servidores Triple A, seus servidores de autorização de autenticação e contabilidade que estes ar os servidores que hospedar suas contas de usuário Onde seu controle ou seu ponto de acesso. Eu sinto muito. Sim, senhor. Controlador irá enviar você sabe, a solicitação de senha de nome de usuário sobre junto com o que é que você está tentando acessar, eo servidor radius irá responder sobre se isso é autorizado ou permitido ou não. Você é telnet e ssh thes são seus protocolos de interface de linha de comando as coisas que você vai usar com, como putty ou outro emulador de terminal. Para ser capaz, Teoh, obter acesso de linha de comando em seus dispositivos. Telnet não tem nenhuma criptografia. Se você já rodou um tubarão de fio contra a conversa tell net e eles digitaram uma senha , você poderá ver em seu tubarão de fio capturar a senha em texto simples. Lá, em seus pacotes, Telenet oferece proteção zero, enquanto ssh faz troca. SSL Key disse que é um shell seguro e não criptografar toda a sua comunicação para trás e para trás apenas para um pouco de informação. Na medida em que o raio de criptografia irá Onley criptografar a senha em sua comunicação e em suas consultas. Enquanto o Tack X Plus criptografa a conversa completa, o pacote inteiro é criptografado. Se isso é preferido ou não é um pouco para debate. É sempre melhor ter criptografia mawr, na minha opinião. Mas o raio é apenas um pouco mais fácil de configurar por causa de quão amplamente disponível ele é. Eu me certificaria de que você está ciente dos números de porta de cada um desses quatro. Http. Https. Eles provavelmente estão muito cientes de que a Porta 80 e 443 TCP Telenet usa 21 TCP como S H 22 TCP aqueles que você pode não estar tão familiarizado com nosso raio e aderência. X plus radius usa UDP que não é um protocolo baseado em conexão. É 18 12 UDP por padrão e Tack X plus, no entanto, usa TCP como pobre 49 TCP por padrão. Então, vamos passar um pouco mais para a nossa gestão aqui e apenas mostrar como configuramos o acesso de gerenciamento em nosso controlador de LAN sem fio. Então, avise-o que vai estar aqui na guia de gestão. Então temos nossas opções para http https e, em seguida, também Telnet e S H. Todos estes são configuráveis. Você pode configurar se deseja permitir http ou https ou se deseja permitir tell net ou ssh! Neste controlador em particular, só permitimos https e ssh tell Net e http não são permitidos. Você também tem sua configuração de tempo limite aqui, https. Redirecionamento. No caso de você navegar para o site http, se você quiser redirecionar automaticamente para https para esse acesso de gerenciamento em, então o número máximo de sessões seu número máximo de clientes que podem se conectar via telnet ou ssh em a qualquer momento. simultâneas. Então esse é o acesso de gerenciamento de controle sem fio sobre como você acaba ganhando acesso e configurando esse acesso aqui através da web. Gooey. Vamos falar um pouco sobre como você gerencia um ponto de acesso. Um ponto de acesso leve. Então, o ponto de acesso leve. Ele pode ser gerenciado como um sábio ou dizê-lo ou através do suporte con via CLI. Você não pode fazer um monte de gestão lá. É realmente apenas para conectá-lo ao controle sem fio ou para fazer alguma depuração. Se precisar disso, podemos nos conectar ao próprio ponto de acesso e obter essa informação. Eu só quero te mostrar aqui. Que versão show no ponto de acesso aqui. Parece que estão aqui. Nós temos um ponto de acesso leve 12 42 que esta é a saída da versão show de que há mais algumas informações yo aqui em cima. Mas eu só tinha uma captura de tela aqui fora. Isto é para te mostrar como isso acabaria parecendo. E então aqui em baixo, embora em nosso controle sem fio, é aqui que você vai gerenciar seu ponto de acesso, principalmente a menos que você precise fazer depuração e entrar na linha de comando. Teoh depurar algumas conexões que você pode passar pela linha de comando, mas caso contrário você vai passar pelo seu controle sem fio e isso é por aqui. Então, isto acabou. A guia avançada é onde configuramos se é permitido ssh ou telnet no próprio ponto de acesso. Então, para chegar aqui, isso vai estar na sua guia sem fio e depois em todos os pontos de acesso. Agora você pode começar se você deseja apenas listar os pontos de acesso de rádio A N a Z dos pontos de acesso B, G N ou configurações globais definir todos eles de uma vez, que esta configuração telnet e ssh está disponível na configuração global que você pode definir todos eles de uma só vez. Mas se você quiser apenas definir um ponto de acesso individual, talvez você só precise entrar nele para fazer alguma depuração. Em seguida, você pode ir para o ponto de acesso individual Ir para todos os pontos de acesso clique no ponto de acesso que você deseja entrar. Este é este endereço Mac específico para este ponto de acesso e, em seguida, na guia avançada, temos nossa configuração telnet e ssh. Gostaríamos que Teoh marque essas caixas se quisermos permitir o acesso telnet ou ssh a esse ponto de acesso específico. Como eu disse aqui, acesso de gerenciamento deve ser habilitado por ponto de acesso ou globalmente. Então, com isso, como as outras seções, vamos passar por isso algumas perguntas práticas antes de terminarmos aqui. Então, primeiro, qual interface é usada pelo controlador sem fio para se comunicar com servidores de autenticação externos ? É uma interface virtual de gerenciamento de interface dinâmica ou a interface de serviço? Então, especificamente, isso é o que a interface é usada. Lembre-se que a porta de serviço é nossa porta de gerenciamento fora de banda física que não é onde nossas solicitações de autenticação se originam do virtual e dinâmico. Nosso gerenciamento de AP de quatro horas e nosso tráfego de clientes sem fio. A resposta aqui será ver. A interface de gerenciamento é o que é usado para se comunicar com servidores de autenticação externos . E finalmente, a fim de gerenciar um ponto de acesso leve, navegue diretamente para os pontos de acesso que eu mijo em um navegador da Web. Verdadeiro ou falso, a resposta aqui será falsa que você não pode gerenciar um ponto de acesso diretamente através de uma Web. Gooey. Ele não tem um que você pode chegar a ele por linha de comando através de Ssh ou telnet que terá que ser habilitado está desabilitado. Por padrão, ativado. Eles terão que ser habilitados por ponto de acesso ou globalmente para todo o seu ponto de acesso que você possa entrar através da linha de comando. Obrigado por se juntar. Espero que isso tenha sido informativo para você. E eu gostaria de agradecer a você por ver. 21. 2.9 Configurando um SSID em um WLC: configurando uma terra sem fio neste vídeo, nós vamos passar todo o nosso tempo em um controle sem fio que este tópico de exame nos cobrir configurando uma terra sem fio através do controle sem fio, pegajoso apenas em que devemos configurar itens como as configurações de segurança, os perfis Cure West e algumas configurações de terra sem fio, e apenas passar por cima da criação geral de uma terra sem fio que realmente se sente assim. Cisco está tentando se certificar de que você, como um ccn a entender como administrar uma rede sem fio onde um controlador Cisco Wireless é usado, que você realmente tem as informações, as habilidades necessárias para entrar lá e faça tarefas administrativas primeiro. Eu queria ir em frente e rever o que você pode fazer até um ambiente de laboratório. Para isso, os controles sem fio são um pouco difíceis de colocar suas mãos em. Às vezes eu não encontrei uma maneira de emular isso no GNS três ainda, mas eles são muito baratos, embora eu queira ir até aqui rapidinho para que possamos dar uma olhada rápida. Fiz uma pequena pesquisa no eBay e que podemos pegar um 2106 por 30 dólares. Lembre-se, isso não vem com, tipo, o cabo de alimentação ou algo assim. Mas ainda assim você pode ver, como aqui está um frete grátis com por US $37 com o cabo de alimentação, e você pode pegar os pontos de acesso leves muito barato também. Então, por uns 50 dólares, você pode acabar conseguindo um laboratório sem fio para ir em frente e trabalhar com ele pode ou não valer a pena que a informação que estamos cobrindo aqui deve ser suficiente para levá-lo a CCN a. Mas se você está olhando para ir para qualquer uma das especialidades sem fio, você pode querer ir em frente e pegar um controle para que você possa trabalhar com isso. Então, sem mais delongas, vamos em frente e saltar para o nosso controle sem fio aqui e dar uma olhada nas coisas. Então aqui temos uma espera de 55 0, controle sem fio. Isto é realmente um controlador de produção, então você vai ver algumas, uh, uh, terras sem fio lá que eu não coloquei lá. Mas vamos em frente e criar uma terra sem fio de teste para que possamos passar por esse processo e mostrar-lhe onde os itens de configuração são tão primeiro apenas para dar-lhe uma breve visão geral da interface aqui que temos a guia de monitor de honra agora e que temos o nosso resumo geral com o endereço de gerenciamento é também informa que você é versão de software quais portas estão ativas em seu controle sem fio e você pode obter algumas informações sobre quantos rádios você tem seus pontos de acesso em. O cara da lei mais recente faz as mais recentes armadilhas que estão acontecendo aqui que temos, ah, ah, alguns pontos de acesso desonestos detectados aqui, a fim de criar uma terra sem fio. Vamos entrar aqui na nossa guia de terras W aqui. Isso lista seus terrenos W existentes. Agora, nesta página, temos a opção de entrar em nossos grupos aapi. Eu quero falar sobre isso aqui por um momento que seus pontos de acesso são agrupados em grupos de pontos de acesso e que você pode atribuir uma terra W a um grupo de pontos de acesso tal que seu s I D é transmitido apenas de um grupo específico de acesso pontos de tal forma que você pode ter diferente como esta idéia é baseada em onde você está em seu campus ou um diferente como este eu d em uma filial ou diferente é esta idéia em um departamento diferente coisas desse tipo para ir em frente. E talvez você tenha requisitos de segurança diferentes na área de contabilidade que você só deseja fazer filtragem específica do Mac e permitir que dispositivos específicos se conectem à rede sem fio lá. Mas em seu departamento de marketing, realmente não importa e que você tenha apenas seu WP regular para Enterprise Wireless, e então eles podem se conectar com seus dispositivos pessoais e coisas desse tipo. Quando você gasta seu controle sem fio pela primeira vez, você vai acabar vendo apenas este grupo padrão aqui que todos os seus terrenos W são um membro fora do grupo padrão. Por padrão, você não pode removê-los. Seus pontos de acesso também serão membros deste grupo por padrão, mas você pode removê-los que você não precisa de seus pontos de acesso para transmitir todas as suas terras W de uma só vez. Então vamos voltar para a nossa configuração W lan aqui. Se você for para a seção W Lands e, em seguida, aqui, vamos passar para a nossa criação de novo no topo, com o direito e clique em Ir. E aqui vamos nós em frente e criamos nosso W lan. Nós só vamos chamar este teste e o número I d pode ser o que você quiser ou apenas vai deixar no padrão de oito este incrementa por um cada vez que vamos em frente e clicar em aplicar no canto superior direito. E agora estamos em nossa tela de configuração de terra W. Então, apenas como uma nota, por padrão, quando você cria um terreno W, ele vai aparecer como desativado que há esta caixa de seleção habilitada aqui, ele vai ser desmarcado quando você criou pela primeira vez, você terá para verificar isso, a fim de realmente transmitir e habilitar seu s i d. Nós vamos deixar isso desmarcado, já que este é apenas um teste w terra que estamos passando apenas para esta informação aqui. A interface. Agora, este é um que é interessante para se acostumar é o conceito de interfaces de verso de portas. Discutimos que no vídeo anterior em que suas portas são suas portas físicas no dispositivo físico, mas você é interfaces são essas interfaces virtuais essas mais alinhadas Teoh V terras sua vitela na interface é tipo comutado interfaces virtuais em um switch que você pode ir em frente e criar. E, na verdade, vamos fazer isso muito rápido é que vamos em frente e apenas clique. Aplicar aqui é que salvamos nosso teste W lan, e vamos dar uma olhada rápida em nossas interfaces. Se formos para o nosso controle, toque aqui e depois passamos para interfaces. Temos nossas interfaces aqui que as interfaces que você pode tê-las marcadas com um eso vilão que se você fosse conexões em sua rede do seu controle sem fio, estão truncadas. interfaces que você pode tê-las marcadas com um eso vilão que se você fosse conexões em sua rede do seu controle sem fio, Então você teria seus vilões separados aqui, e então você teria seu endereço IP fora dessa interface particular também. Como nós, é como uma interface virtual comutada e as interfaces dinâmicas. Esses são os responsáveis por lidar com o tráfego do cliente, que é onde você tem o seu como vimos onde podemos selecionar qual interface nossas idéias SS associadas a essas interfaces dinâmicas o tipo de interface que será usado para suportar tráfego do cliente entrando e saindo do controle sem fio aqui. Então vamos voltar para nossas terras W por um momento e vamos passar por algumas das outras configurações aqui. Então aqui temos nosso teste w terra. Para entrar na configuração novamente, clicamos na terra W I d. O número oito lá e aqui vemos ainda está desativado. Agora, por padrão, desceu para cima, vindo com a política de segurança de WP um dois com 802.1 x autenticação que você sabe que ser o wp. A para a empresa com sua autenticação de raio ou algo semelhante. E agora estamos usando nossa interface de gerenciamento. Vamos em frente e definir isso para ser a nossa interface Corp, na verdade, é a única que irá lidar com tráfego do nosso cliente. E se formos para nossa seção de segurança aqui, sua camada para segurança, aqui é onde você vai encontrar sua segurança para o seu S S I d. que você está acostumado a definir seu w p um dois b p um dois ou weap r 802.1 x ou não faz nenhum e que seja uma rede aberta. Ah, isso aqui em baixo é onde você configuraria seu 802.1 x para sua autenticação de raio que esta é a caixa de seleção que você precisaria para isso se você quiser. Apenas uma chave pré-compartilhada será esse cara aqui, seu PS K para sua chave pré-compartilhada, e você teria que verificar isso para poder fornecer o que é a chave pré compartilhada, a fim se conectar à rede. Sua segurança de camada três. Este é o lugar onde você tem ah, como um portal cativo se você já se conectou a uma rede sem fio no hotel ou em uma cafeteria nas proximidades, e que quando você se conecta, ele aparece uma página da Web onde você precisa aceitar seus termos de serviço ou pagar pela rede, ou o que você tem. Essa é uma camada três de política de segurança toe onde você tem, ah política Web aqui e que podemos ter uma autenticação do fazer onde você precisa fazer login com suas credenciais corporativas ou que é apenas passado através para onde ele redireciona ou envia através. Você pode apenas ter que clicar para aceitar os termos de uso. O que você tem essa função em sua política de segurança de camada três aqui e seus servidores Triple A aqui é onde você tem seus servidores de autorização de autenticação e contabilidade. Estes são o seu raio e o seu rádio. Sua atitude age mais servidores que é aqui que você acaba configurando quais servidores para ele usar e em que ordem para sua autenticação e seus servidores de contabilidade você precisa ir em frente e configurar os servidores globais primeiro. Então, vai estar de volta na nossa conta de valores mobiliários aqui. Creio que vai dar uma olhada nisso daqui a pouco. Você precisa configurar seus servidores globalmente, e então eles aparecerão aqui como opções para você definir para este terreno W específico para o seu raio ou seus atos tak. Ou L Deb as faras Que Os para a sua terra sem fio Isso é sobre um narc US guia aqui, é claro, Agora você tem suas medalhas, certo é o que temos. Bronze, prata, ouro e platina. Esta é uma pergunta que surgiu em alguns exames Cisco que eu fiz onde ele pede voz qual perfil de qualidade de serviço é mais apropriado. Necessidades era platina que eu tomaria nota do que os níveis de cura do oeste são. Há apenas quatro deles. Então eu iria em frente e anotá-los apenas para ter certeza de que isso permanece em sua mente caso a pergunta apareça. Mas podemos ir em frente e configurar coisas aqui, como se queremos fazer o monitoramento de fluxo líquido para exportar nossas informações de fluxo. Vamos acabar falando de fluxo líquido mawr em uma seção posterior do curso aqui. Mas o fluxo líquido faz é que ele informa informações sobre a origem e destino I p endereço quantos dados foram transferidos sobre qual porta era. Ah, muita informação sobre o seu tráfego para que você possa obter algumas coisas como quem está carregando toda a sua largura de banda ou quanto tempo realmente está sendo gasto na Netflix e quanta largura de banda é esse uso e coisas desse tipo. Nós também poderíamos definir o nosso por usuário largura de banda s O que você poderia fazer a limitação de taxa de upstream e downstream por usuário ou por S s I d e coisas desse tipo que em nosso mapeamento de políticas, nós não temos nenhuma política aqui. Mas se formos em frente e criamos políticas em outro lugar no controle sem fio. Este é o lugar onde nós aplicaríamos aqueles sobre ele. Nossa guia avançada aqui. Há muitas opções. Eso aqui, um par de que eu quero apontar nosso primeiro up flex connect. Então o Flex Connect é o rebranding de ceifa e uma árvore. O ponto de acesso remoto de borda que o Flex se conecta é o que permite a comutação local para operação local do Mac fora do seu ponto de acesso e lembre-se do que é isso. É aí que o tráfego do cliente sai para a rede diretamente no ponto de acesso que se você tiver uma filial ou algo do tipo que, no caso de essa filial perder conectividade com o controle sem fio que a equipe em esse escritório não necessariamente perde a capacidade sem fio porque seu tráfego vai diretamente para sua rede em seu ponto de acesso e não tem que atravessar seu caminho, ligar de volta para seu controle sem fio e sair para a rede. A partir daí, faço uma nota de algumas dessas opções que estão aqui que podemos ir em frente e fazer perfil do cliente e varredura fora do canal Different. Agora isto é, se você quiser ir em frente e ter a digitalização diferente para que periodicamente o ponto de acesso vá em frente e escaneie os outros canais. Veja quanto tráfego, quanto ruído há lá e vá em frente e envie isso de volta para o controle sem fio Para o gerenciamento de recursos de rádio, seu são RM. Em. Isso é ir em frente e selecionar qual canal está menos lotado para que você possa ir em frente e ter o mínimo de interferência. Possível. Americano definir coisas como o seu ídolo. Tempo para os seus clientes, então. Também sua política de clientes diretos WiFi e seu Aero Net i e. Você pode substituir o seu Triple A. Você pode definir D H C P servidor override para uma determinada terra W porque isso é algo que será definido para uma interface inteira. E lembre-se, isso não é globalmente. Isso é só para uma interface. Lembre-se, nós selecionamos essa interface aqui em nossa guia geral e o servidor D.C nós selecionamos essa interface aqui em nossa guia geral e o servidor D.C. Informação é algo que seria definido em sua interface, e isso é o que está aqui em nossa guia avançada. E uma vez que você tem as coisas configuradas como você gostaria, honestamente, as coisas que você gostaria de configurar para apenas um S básico você tem seu nome. A interface é o que você precisa configurar tem ir em frente e habilitá-lo. Não vou permitir isso agora. Defina a sua segurança. Talvez seja apenas uma PS K. Vamos verificar PS K que desmarcada a nossa energia 0,1 x irá definir o nosso PS K aqui. Grande será WP dois qs impressionantes. Nós realmente não nos preocupamos com Cuba West agora e nós vamos ter quaisquer políticas. E vamos dizer que esta vai ser uma sociedade s que acabou em nossa filial que queremos fazer Flex, conectar e, em seguida, realmente queremos fazer autenticação local. Apenas no caso de perdermos a conectividade com o nosso controlador. Queremos que as pessoas ainda sejam capazes de se autenticar com o PS K. Então isso é incrível. Vamos em frente e definir isso aqui, uh e então tudo está bom para ir. É tudo o que precisamos fazer. Vamos em frente e clique, aplicar mdn s espionagem desativada. MDMS é DNS multicast que é usado para coisas como seu chromecast em outros dispositivos que ele vai adiante e difunde DNs multicast. Não é informação de DNS de difusão e difusão seletiva. É seu próprio protocolo lá, sobre UDP 53 53. Mas vamos em frente e clicar, OK, OK, que nós realmente não nos importamos com o MDMS bisbilhotando agora. Uh, oops. Esqueci de desmarcar a política de segurança da camada três aqui. Vamos em frente e clique. Aplicar. E lá vamos nós. Tudo bem para ir se formos para terras da R.W. Agora temos nossa terra de teste W, e agora diz que ainda está desativada. O status de administrador está desativado. Lembre-se, eu disse isso para usar nossa interface Corp. Então, se voltarmos para nossas interfaces aqui, vamos ver o que está envolvido com a criação de uma nova interface. Se eu criar uma nova interface, vamos chamar isso de interface de teste. E é aqui que estabelecemos nossa visão, e eu d estados vai estar em Vellum. 10 é o nosso teste. Oh, clique. Aplicar. Agora, aqui temos algumas coisas como nossa terra de hóspedes e quarentena. Agora, essas são coisas que, se você pode tê-lo para que ele não tenha acesso a outras redes em sua organização,de modo organização, que seu tráfego será interrompido no controle sem fio. Se você tentar acessar outras redes que estão em sua organização. Mas aqui nós definimos qual porta física, a porta física primária que ele vai sair e, em seguida, a porta física de backup que ele deve usar. Vamos definir o endereço IP P. , máscara de rede e gateway de nossa interface virtual. Aqui estão interface dinâmica para esta interface o endereço I P para E, em seguida, aqui nós também definir nossa D h c P informações do servidor. Isto é para D HCP relé que quando um cliente pode pescar e você ir em frente e enviar d HCP isso vai retransmitir que d HCP descobrir sobre este T h c p servidor que você configurar aqui. Ele também pode fornecer um secundário. Você também pode adicionar listas de controle de acesso à sua interface e você sabe o que é onde é uma permissão e declarações de negação para pares específicos de origem e destino para listas de controle de acesso estendidas. E você também pode fazer números de porta, bem como sua camada para obter informações. E eles também podem definir um perfil M. D. D. N s, para o qual M DNS destinos ou dispositivos podem ser espiados para que ele se lembre de que as informações são capazes de responder em nome de suas solicitações de descoberta lá E honestamente, isso é sobre isso Agora, assim como as outras seções aqui. Vamos fazer algumas perguntas de treino antes de terminarmos neste vídeo. É o Papas? Se voltarmos para esse cara aqui agora, onde no controle sem fio pegajoso é flex Connect Configurado? É na guia controlador e, em seguida, um grupo de interface. Você seleciona o seu grupo e configura o flex connect lá Ou está na sua guia W lands? Você clica no seu W e I D para entrar em Tora test w lan, e vamos até a nossa guia de segurança e configuramos a conexão flexível lá, ou está na aba avançada da nossa configuração W Lan? Ou foi mais de uma hora AP Group na seção avançada do nosso grupo AP em Espero que você se lembre que esta resposta é C. É mais na guia avançada fora da nossa configuração W terra é onde nós ativar flex connect e, em seguida, também flex conecte a autenticação local em algumas outras opções de conexão flexível também. E, finalmente, todos os seus pontos de acesso fazem parte do grupo AP padrão e você acabou de criar um novo terreno W. Mas não está sendo transmitido. Qual é a solução provável para transmitir o s s s I d. Agora lembre-se que todas as suas terras w são parte do grupo padrão e não podem ser removidos. Portanto, como todos os seus pontos de acesso fazem parte do grupo de AP padrão , ele deve transmitir enquanto a LAN W estiver habilitada e desde que esteja marcada para transmitir. Mas isso será verificado por padrão. Isso estava na guia geral de nossa configuração de terra W todo o caminho na parte inferior. Tinha nossas caixas de seleção se queremos transmitir o S I d ou não. Mas isso é realmente apenas definir os intervalos de sinalização que eles são os beacons, que você não necessariamente precisa tê-lo transmitido a fim de se conectar a ele, que ele ainda estaria disponível lá. Mas aqui é um habilitado A W terra nas terras W dobrar uma caixa de seleção geral I D para habilitar e, em seguida, clique em aplicar? Ou é adicionar o W lan ao grupo padrão em W terras aapi grupos padrão W terras. Agora definitivamente não é ser porque todos os seus w terras uma parte do grupo padrão. Você precisa ativar o W lan com sua caixa de seleção ao lado da LAN W? Apenas na nossa seção W lan I d em nossa lista de terras em? Ou você precisa reiniciar o controle sem fio e ou os pontos de acesso envolvidos que algo simplesmente não está funcionando direito? A resposta aqui é um que é a resposta mais apropriada. Que há três caixa de seleção lá para habilitar a terra W, desde que tudo o resto está no padrão aqui em que, você criou sua terra W. Se ele não está sendo transmitido enquanto é porque ele não está habilitado, espero que isso tenha sido informativo para você, e eu gostaria de agradecer por visualizar 22. 3.1 Leitura: interpretando componentes de tabelas de roteamento. A tabela de roteamento fornece muitas informações, e é importante estar muito familiarizado com uma tabela de roteamento para que você possa coletar rapidamente as informações que está procurando e entender o que está acontecendo com as decisões de roteamento que o roteador está fazendo. O que deve ser mais detalhado sobre como um roteador toma uma decisão para cada pacote que vem através do próximo vídeo. Mas neste, vamos apenas rever o tipo de informação que uma tabela de roteamento fornece e como isso é definido. E então vamos passar por cima de uma tabela de roteamento de exemplo aqui para que possamos ler através disso. Então, primeiro, vamos falar sobre os termos que vamos usar agora. Esta é uma tabela grande com um monte de texto. Eu sei. Então vamos passar por cada 11 por um do topo aqui, e vamos em frente e falar sobre isso brevemente. Isso é o primeiro? Vamos ter o código do protocolo. Agora há um código ao lado de cada item na tabela de roteamento, e esse indicará de qual fonte o roteador aprendeu sobre essa rota. item na tabela de roteamento, e esse indicará de qual fonte o roteador aprendeu sobre essa Ele indica o método pelo qual o roteador aprendeu nessa rota, ou seja, rip ou O S P F B GP estático, etc. Ou seja, qual protocolo de roteamento ele aprendeu. E então também que tipo de rota é a partir desse protocolo particular que terá algumas coisas como uma rota externa de O. S P. M para um tipo externo um ou tipo dois ou um externo de E I. G R P E falaremos sobre isso um pouco mais à medida que entrarmos nessas seções também. Para O SPF, ele nos dará o prefixo agora o prefixo. Como um termo, o prefixo de rede é a rede identificar ar fora do embrulhado que se você tem ah barra 24 rota direita em, temos 192.16820 barra 24. A rede é o nosso prefixo? É esse cara aqui que é a rede identificar endereço aéreo dessa rede e isso é o que vai acabar exibindo o seu para nós. E então ele terá a rede mascarar a máscara de rede, que também é conhecido como o comprimento do prefixo. Nossa barra 24 no final ali. Essa é a nossa máscara de rede. Nós conversamos sobre isso um pouco antes disso, esse é um termo que eles vão aparecer muitas vezes. Seu próximo endereço de salto que este será o endereço I.P.para I.P. o qual o roteador encaminhará o tráfego para que o tráfego chegue ao seu destino. Que se você tem um roteador aqui, certo, e então você tem roteador e roteador e esses caras estão conectados que digamos que esta é a rede 10 00 aqui, rede 10 000. E esta é a rede 10 010. E então aqui, esse cara tem a rede 10.1 ponto um e esse cara tem a rede 10.1 ponto dois aqui . Ótima. Tudo bem, então você como um computador está conectado aqui e que você envia ah, pacote para o seu roteador que está destinado a 10. 120 ligado. Digamos que este endereço I p deste roteador aqui é 10 0.0 dot 1.2 do que o próximo. Hop para o seu pacote que enviou desta forma que tem um destino de 10 12 rede. Vai ter um próximo salto para a tabela de roteamento. Eles estão assumindo que seu roteador sabe sobre essa rede. Ele terá uma próxima parte superior do 10 01 para endereçar que irá encaminhar esse tráfego para este roteador aqui mesmo para que ele possa chegar a essa rede. Agora, se for uma rede diretamente conectada, acabará dizendo que é uma rede conectada diretamente e não terá um próximo salto . Ele só vai dizer que ele está diretamente conectado à distância administrativa de uma rota. Isso é algo que é realmente importante para lembrar e entender. Vamos falar muito mais sobre a distância administrativa no próximo vídeo. Mas a distância administrativa é efetivamente a confiabilidade relativa das informações de roteamento , e um número menor é melhor. Então, por exemplo, um rap diretamente conectado. Deixe-me ir em frente e limpar isso aqui um pouco. Ego aéreo. Ok, ótimo. Já. Então, um direito diretamente conectado. Você tem o boom do roteador. E digamos que também tem aqui roteador e roteador e boom. Então, uma rota diretamente conectada para este roteador que terá uma distância administrativa de zero. Está directamente ligado. Não importa se você diz o contrário, qualquer forma, forma ou forma que essa rota está diretamente conectada. Vai saber que é aí que está. Ah, mas uma rota estática. Se eu disser, digamos que esta é a rede única e esta é a rede duas e, em seguida, este é Roteador Três e este é roteador para nesta é rota ou cinco. E digamos que, uh, uh, nós dizemos que, a fim de chegar a duas redes que você vai para a rota ou três excelentes como o próximo topo que é uma rota estática que entramos que tem uma distância administrativa de um. Agora digamos que estamos executando B GP externo, E B GP, entre nossos pares aqui, E B G P tem uma distância administrativa de 20. Ou se estamos correndo E i g r p dentro de nossa área aqui e que temos todos esses caras que você está trocando rotas aqui e que eles estão todos felizes é sim, vizinhos GRP Sim, GRP tem uma admissão de distância de 90 em. Você pode tipo de ver como isso está indo bem é que oh SPF ganhou 10. Rip é 1 20 assim por diante e assim por diante que todos os nossos protocolos de roteamento aqui, que a informação que o roteador recebe vai usar essas informações em uma ordem específica e essa ordem segue nossa distância administrativa de baixo para alto é que ele começa no baixo como sendo a informação mais confiável e, em seguida, como isso não está disponível. Em seguida, ele vai em frente e fica mais alto aqui e mais alto e usa qualquer informação que está disponível até não tê-lo. Em seguida, a rota é apenas removida completamente da tabela de roteamento. Outra coisa que está em nossa tabela de roteamento, isto é, varia bastante. Baseado no protocolo é a nossa métrica. A métrica é o custo fora da rota, e este é um número relativo que é calculado de forma muito diferente com base no protocolo de roteamento , por exemplo, por exemplo, Rip usa apenas a contagem de saltos que, se eu tiver, você Sabe, esses quatro roteadores aqui e esse cara quer passar para a rede que está aqui . O que? Temos 123 lúpulos para chegar lá. Então este é um custo de três. Agora é só contagem de pulos. Oh, SPF levará em conta a largura de banda de cada link para ir em frente e calcular o custo desse link e adicionar isso para ser capaz de calcular o que a métrica é para chegar à sua rede de destino a partir de sua localização atual. Agora lembrem-se, Oh, SPF é um protocolo de ligação estadual. Ele tem um mapa completo de sua rede em seu banco de dados para que ele saiba o custo de cada link conectando cada um dos roteadores. E ele pode calcular qual é o caminho de menor custo para o seu destino a partir de sua localização atual lá. E isso é exatamente o que ele faz agora. E. J R P tem, ah, grande cálculo métrico complicado , que,honestamente, vai acabar passando no próximo vídeo. Mas você não precisa saber. Realmente. Vamos apenas tocar nele muito brevemente. Não quero te mostrar o que é. Mas, em seguida, há também coisas como eu pedi I s sistema integrado para em grande sistema que nos usa algo que é muito semelhante a contagem de salto como sua métrica. Mas como eu disse, isso é algo que é relativo a cada protocolo de roteamento em é realmente usado apenas para decidir qual direção ou qual caminho usar dentro de ah particular Routing Protocol. Isso realmente não tem qualquer influência na seleção de quais protocolos de roteamento informações usar ou qual rota de protocolos de roteamento usar apenas qual rota dentro dessa partícula usar nosso gateway de último recurso. Esta é a nossa rota padrão. Isto às vezes é escrito como este ou 0.0 ponto 0.0 barra zero. Ele também pode ser escrito 0.0 dot 0.0 barra 0.0 dot 0.0 ou você não precisa cortar sua que é apenas ter sua máscara ser todos zeros e seu prefixo ser todos zeros que esta é a rota padrão. Esta é uma rota que vai combinar com tudo e que vai acabar falando sobre isso no próximo vídeo sobre as decisões de roteamento que só vai acabar usando isso se uma rota mais específica não existir. Então é a porta de entrada de último recurso. Verifiquei toda a minha tabela de roteamento. Eu não tenho uma rota mais específica para o destino que você está procurando. Então eu vou em frente e usar meu gateway de último recurso e apenas enviar o tráfego para lá confiando que o roteador vai saber o que fazer com o tráfego que eu tenho aqui. Ótima. Então, agora que passamos por alguns desses termos aqui, vamos dar uma olhada em uma tabela de roteamento sobre como tudo isso está definido. Então aqui temos o show I p route. Eu fui em frente e e configurar o nosso roteador direito com o O S, P F e EI GRP e rip e ser GP em. Além disso, coloque em uma rota estática lá também, para que pudéssemos dar uma olhada em como uma tabela de roteamento completa agradável se parece aqui. Então a primeira coisa que quero chamar a sua atenção é como chegamos aqui. Mostrar rota I P no IOS. Esse vai ser o seu método de obter esta informação aqui é mostrar I P rota. Claro, você pode adicionar seus você pode adicionar seus filtros no final para ir em frente e incluir ou começar com certas informações. Você tira isso agora? Nossos códigos aqui em cima. Estes são os nossos códigos de encaminhamento. Então, isso lhe diz a fonte de informação e um pouco de informação sobre a rota . Temos nossa rota conectada, nossas rotas estáticas aprendem com rotas rip aprendidas com rotas B GP. Aprenda com E I g r p s d Sim. GRP External mostra um e x que podemos ver aqui em baixo. Nós temos d com um e x em seguida Logo abaixo dele, Nós passamos por Oh, SPF com um e dois para tipo externo para rotear de Oh, SPF agora eu não configurei ias toe I s aqui então nós não acabamos vendo nosso minúsculo I com r l um ou l também, mas não é apenas coberto no ccn um aqui, então nós realmente não precisa aqui. Temos uma rota estática. Pregue o jeito que está aqui. Você tem o seu prefixo aqui, certo? Boom! E então você é comprimento prefixo Boom. Todas essas barras de ar 20 quatros. Excepto este tipo que este tipo é um anfitrião rota um barra 32. É a rota mais específica que você pode ter agora, ao lado dessa informação, você tem dois números aqui separados por uma barra o número esquerdo é a nossa distância administrativa fora do protocolo de roteamento, a fonte da informação. O número certo é a nossa métrica. Então, para Rip aqui mesmo dentro do nosso nós temos uma distância administrativa de 120 então a métrica dentro do protocolo é um que este é um salto de distância para E i g r p. Temos nossa distância administrativa de 170 Agora eu sei que eu disse que E J R P é um distância administrativa de 90. Mas esta é uma rota externa que nós realmente temos uma distância administrativa diferente para rotas externas do i g R P. E isso é 170 E então ao lado disso, nós temos nossa métrica aqui para aquilo que, como você pode ver, parece muito diferente das outras métricas que estão ao redor ou exceto talvez o outro E i g r p métrica aqui em cima. É por causa do algoritmo de cálculo métrico que ele usa acaba com este número longo e maior. Isso é mais específico. Ele leva em conta muito mais informações para que você possa ter uma diferenciação mais específica entre caminhos de rota em sua rede. Agora aqui, o mar, as rotas diretamente conectadas. Agora isso diz que isso está diretamente conectado. Não mostra que isso não tem mistério de distância zero, mas sim. Tem uma missão de distância de zero a hora de rota estática aqui embaixo. Este tem o nosso Ministério da Distância de um. Agora podemos ir em frente e fornecer uma métrica, mas não é realmente necessário. É uma rota estática. A métrica S O r é zero hora Oh, SPF mistério de distância de 10 com uma métrica aqui de dois. Ah, e assim por diante. Então, ao lado de nossa distância administrativa e informações métricas aqui vamos em frente e apagamos algumas dessas linhas ao lado da esquerda, vamos ver a via e, em seguida, um endereço I P. Agora este endereço I p aqui, este é o seu próximo salto I p endereço que é o seu roteador que ele está encaminhando este tráfego para onde ele aprende que este é o próximo topo. Este é o caminho mais curto para chegar a esse destino e diretamente ao lado dele você acaba tendo um temporizador aqui onde é em horas, minutos, segundos. Este é o tempo que este roteador sabe sobre esta rota que aqui é nota sobre esta rota ser gp por oito minutos e 49 segundos aqui, enquanto esta rota rip aqui em baixo. Só se sabe disso há seis segundos. Não, para o Rip , mostra-nos aqui. Qual interface que isso está saindo é que é novia 10 144 e é fora interface rápida Internet para um. Ah, para B g p. Não está nos mostrando de que interface ele sai, e o mesmo com nossa rota estática. Ele não nos mostra qual interface ele sai fora que nossas rotas diretamente conectadas. Ele informa em que interface aqui a sua rota está diretamente conectada. E então o mesmo para J R. P e O SPF é que nos mostra aqui. Que interface? Que o próximo salto vive fora neste roteador em particular. Então aqui no topo, aqui é onde seu portal de último recurso estaria listado. Ele vai mostrar-lhe o seu endereço I P será. Gateway of Last Resort é e dado I p endereço aqui, digamos, aqui é como 10 3 Oops. 10 312 E isso seria a porta de entrada de último recurso Lá. É aí que a rota padrão está listada no topo aqui. Incrível. Agradeço por passar por isso comigo agora, assim como as outras seções. Vamos fazer algumas perguntas de treino antes de terminarmos aqui. Primeiro, quais atributos indicam a confiabilidade relativa das informações de roteamento recebidas? É a métrica a administração, a distância administrativa ou o prefixo? Agora aqui a resposta é a distância administrativa que esse é o seu número. Você sabe, isso é zero para conectado e um para estático e 94 e I. G R P e 10 para o seu SO pfm 1 20 para o seu rip. E se tivermos que colocar aqui 20 para o seu B GP ou pelo menos e b g P aqui em baixo será 200 para o seu I ser GP, e isso é algo que vamos falar brevemente um pouco mais tarde que há B GP externo , um interno B GP que isso é apenas algo que realmente não precisamos saber para o ccn A que os tópicos do exame não cobrem isso. Mas a resposta aqui é C distância administrativa que indica a confiabilidade relativa das informações de roteamento recebidas. E, finalmente, se uma rota em uma tabela de roteamento tiver um código-fonte de D, de qual protocolo de roteamento a rota foi aprendida? A resposta aqui é C E I G R p. Espero que isso tenha sido informativo para você. Gostaria de agradecer por ver. 23. 3.2 de encaminhamento: atributos de rota e decisões de embarque. Agora que entendemos o tipo de informação que é armazenada na tabela de roteamento e como isso é exibido para nós, podemos falar sobre como o roteador leva essas informações em consideração ao decidir como encaminhar o tráfego, que cada rota tem seus próprios atributos e aqueles ar usado para tomar a decisão de encaminhamento. Então, vamos primeiro falar sobre o tipo de informação incluída em uma rota que existem três itens principais que são usados por um roteador para determinar qual rota usar para encaminhamento em seu tráfego. Essas são a distância administrativa, a métrica o comprimento do prefixo. Agora nós tínhamos falado sobre isso brevemente antes, onde a distância administrativa é um descritor da relativa confiabilidade dessa rota que a partir de qual fonte este roteador aprendeu sobre esse destino? E quanto o roteador confia nessa origem e, em seguida, a métrica é usada dentro dessa origem de roteamento. Então, se você tem o seu oh SPF ou sua informação de rasgar, se você tem a mesma Route 40 SPF e rip primeiro vai confiar, Oh, SPF primeiro, porque ele tem um Ministério de Distância de 90. Enquanto Rip tem um mistério de distância de 120, então tudo bem. Mas então digamos que você tem a mesma rota duas vezes em Oh SPF, onde um tem uma distância de 100 o outro tem uma distância de 10. E por distância, eu realmente quero dizer métrica que esta é a métrica está dentro dessa rota, uma fonte dentro desse protocolo que a métrica inferior geralmente ganha eso aqui. Ele acabaria usando a rota que tem a métrica de 10 em oh SPF e, em seguida, nosso comprimento de prefixo . Se tudo for igual, se você tiver as várias rotas para o mesmo endereço de destino em oh SPF e ambas as rotas tiverem a mesma métrica, então ele usará qual rota tem o maior comprimento de prefixo. Então, se eu tiver uma barra 24 rota ou me desculpe barra 24 rodada e, em seguida, também uma barra 25 rodada, digamos que é 192.168 ponto 1.0 barra 24 então também o mesmo 192.168 ponto 1.0 barra 25 enquanto 25 tem o comprimento prefixado mais longo. Tem 25 bits de comprimento em seu prefixo em sua máscara de rede. Portanto, esta é uma rota mais específica e ela escolherá isso sobre a rota menos específica. E então, na verdade, não é nesta ordem aqui que primeiro ele vai confiar na distância administrativa e seguida, ele vai confiar no comprimento do prefixo e, em seguida, sobre que a métrica. Então, se eu tiver uma rota com a fonte do SPF, ele vai primeiro confiar na barra 25 rodadas antes que ele confia na barra 24 ou vai usar não necessariamente confiança. Ele vai usar a barra 25 sobre a barra 24. Mas se eu tiver múltipla barra 25 todos eles incluem o mesmo destino, mas um tem uma métrica melhor. Ele usará isso em vez disso. E foi um pouco confuso. Vamos passar por isso um pouco mais à medida que formos aqui. Então primeiro eu quero falar sobre distância administrativa. Certo? Isso é uma distância administrativa? Esta é uma mesa que você deve saber. Isso não é explicitamente mencionado nos tópicos do exame para o ccn A. Mas isso é algo que será muito útil para você saber esta informação para saber que e B GP ganha sobre eu ser GP ou que e eu g r p ganha sobre Oh, SPF saber esta tabela é algo básico que o engenheiro de rede deve. - Não. Então eu não preciso passar por tudo isso com você. Você pode ir em frente e estudar esta tabela e apenas enviar isso para a memória mais tarde. Não é muita informação. Apenas certifique-se de que você saiba disso agora. Métrico. Portanto, sua métrica é usada para decidir o melhor caminho dentro de um protocolo de roteamento. Como eu disse que quando você tem vários caminhos para o mesmo destino dentro do mesmo protocolo de roteamento , ele usará sua métrica para determinar qual caminho toe realmente usar. Então alguns protocolos, como E I, g r P e O SPF, eles vão realmente fazer o mesmo custo, multi preenchimento ou também multi-preenchimento custo desigual. No caso de E I G R P. E o que isso significa é que se eu tiver destino aqui e fonte aqui e vamos dizer que eu tenho roteador, roteador e estes foram todos conectados direito como este boom, boom, boom, boom e que este ano caminho tem uma métrica de 10 e que este ano caminho também tem uma métrica de 10 que oh, SPF e er GRP têm a capacidade de ir em frente e fazer multi preenchimento para rotear seu tráfego de forma round robin entre ambos e reboque. Mande seu tráfego ser enviado para os dois lados e a mesma coisa. Vice versa acabaria voltando para os dois lados. Isso pode ser problemático, é claro, porque você tem um roteamento simétrico acontecendo que ele pode vir de uma das duas maneiras e que isso causa problemas principalmente a maioria dos firewalls que firewalls não gostam assimétricos roteamento. Eles não gostam de ver o tráfego retornando em uma interface na qual não era esperado, esperado para sair e voltar na mesma interface. Realmente, você pode configurá-los geralmente para roteamento assimétrico, mas no geral isso causa problemas na minha opinião, e também é mais difícil para eles. Descubra onde você está tendo problemas se você está. Se você estiver usando o preenchimento múltiplo de custo igual ou de custo desigual porque você não sabe necessariamente certeza qual direção o tráfego está tomando, então isso adiciona algumas etapas extras ao seu dedo de solução de problemas. Entenda onde o problema está realmente acontecendo aqui se você está correndo para o problema. Então métrica mais baixa, como eu disse, é geralmente melhor. Sua métrica de 10 vai ganhar mais de uma métrica de 100. Meio que faz sentido mais baixo é melhor. É bom pensar nisso em um sentido de custo. Ainda como 40 SPF I listado aqui como nossos protocolos lidam com o cálculo métrico. Rip é apenas uma contagem de salto direto. Se eu tiver roteador, roteador, roteador, roteador, boom, boom, boom. E eu quero ir daqui até aqui, então isso vai ser 123 lúpulos. Vai custar três. E é assim que funciona é apenas contagem de pulos. 10 saltos passa por 10 roteadores. Não importa o que banda com cada um desses links são. Poderia ter um gigabit aqui e então um grande orçamento Corte um T um aqui, um megabit, um 1.4 megabits e assim por diante. E você poderia ter gigabit aqui, etc. E então poderíamos ter nosso caminho alternativo onde esse cara é apenas todo gigabit através do caminho todo. Se este tiver um extra. Mas todos estes são gigabit, gigabit, gigabit apenas através de todo o caminho. Isso não importa. Vai levar a contagem de saltos mais baixos e ir por ali, mesmo que tenhamos um t um bem aqui que vai ser a garrafa de as luzes do dia do trânsito lá. Então rasgue não um método muito sofisticado no cálculo de métrica ah, West pf usa largura de banda e faz isso com uma largura de banda de referência. Agora, este é um item configurável em Oh, SPF. Você não precisa saber como fazer isso, mas apenas saiba que você tem a capacidade de alterar a largura de banda de referência. Esta é uma mudança local em Lee. Você precisará alterar isso em todos os roteadores oh SPF em seu domínio se você decidir fazer isso porque em Lee aquele roteador onde você está alterando ele vai usar essa nova banda de referência. Mas movendo-se aqui Então, por padrão Oh, SPF usa 100 megabits como é referido. Ampliado com essa conexão de 100 megabits tem um custo de 10 megabits um custo de 10 1 megabit um custo de 100 assim por diante e assim por diante, ele irá em frente e usar isso como seu cálculo de custo. E isso somará todos os custos em sua topologia para obter qual é o custo total do caminho e usará isso como a métrica em sua localização Lá. Isto não é um protocolo que vês muitas vezes. Mas também é padrão para algo muito semelhante a contagem de hop é que é realmente contagem quente. Tempos 10 é o que o padrão é. Eu perguntei. I s é realmente destinado a ser algo que você entrar e ajustar e configurou-se bastante que você realmente deve ir em frente e configurar seu custo em um tipo de base por salto lá em vez de apenas deixá-lo até a contagem de saltos por padrão. Mas isso depende de você. Você pode ir em frente e deixá-lo como contagem de salto, se desejar, Mas este também é um configurável. Itens em uma base por quente. Você pode configurar seu custo. B g p usa seu próprio tipo de coisa, usa atributos de rota, mas o padrão que ele realmente volta para ele dobra para trás. Teoh é um caminho s que ele usa o caminho do sistema autônomo mais curto. Agora pense em um sistema autônomo, certo? É que é para ser que você tem, tipo, roteadores apenas aqui sobre isso. Este ano, esta nuvem é um A. E então aqui, você diria que este é Comcast. E então aqui você tem roteadores e ambos isso aqui é um A. Digamos que isso é eu não sei, Cox, e quero dizer, esses caras estão conectados. E então digamos que você tem outro aqui e ele está conectado. E que eu diria, você tem mais um aqui, pequeno provedor ali, e ele está conectado, e esses caras estão conectados de verdade, vamos em frente. E só para o bem da discussão aqui, permite que você crie esse cara e coloque esse ano e vá em frente e conecte esses caras. Agora, quando Comcast quando nós temos, você sabe, roteador aqui, querendo chegar a este destino por padrão, ele vai em frente e ir com um caminho s, o caminho mais curto s. Enquanto o caminho do dia mais curto aqui é passar por Cox, ele só vai para Cox, e então , boom, ele vai para o nosso destino, enquanto aqui tem uma passagem por dois diferentes sistemas autónomos. Agora, isso é um pouco estranho, claro, porque não leva em conta nada dentro desses sistemas autônomos que seu sistema autônomo, seu sistema autônomo B GP, geralmente monta em cima de algum protocolo de gateway interior como oh, SPF para ei GRP ou olhos Tyus, o que você tem em que ser custo dentro desse sistema autônomo como você pode ter 10.000 roteadores dentro deste sistema autônomo aqui que o seu tráfego agora precisa passar, a fim de chegar ao seu sistema autônomo de galos que você simplesmente não sabe ser GP é totalmente alheio e desconhece isso. E geralmente, tudo bem que os engenheiros da Internet por aí tenham realmente otimizado é muito melhor para que você acabe obtendo um bom fluxo através da Internet. Mas é por isso que ser GP é usado como o protocolo de roteamento fora da Internet é porque ele é hiperescalável. Como isso é levar em conta sistemas autônomos como um todo que ele realmente não se importa com os roteadores individuais ou o tipo de coisa per hop. Preocupa-se com todo o seu sistema autónomo, mas, de qualquer forma, passar para a E. G. R p brevemente. Este é o cálculo métrico usado para E i G r p. É por isso que você acaba com esses custos ou métricas realmente longos de E i g r p. Quando estes são todos iguais ou todos em seus padrões. Muitos desses valores K desaparecem, e isso simplifica isso não é algo que você precisa saber. Não no seu ccn a mesmo no CCMP realmente c i e. pode ser algo onde você realmente precisa saber. Isto é apenas para estar ciente do fato de que E. J R. P tem seu próprio cálculo métrico especial acontecendo. E isso é parte da sofisticação do que faz E.I.G . E.I.G R P tão especial como um protocolo de roteamento vetorial de distância que age muito como um protocolo de estado de link . E parte disso vem de seu cálculo métrico ser um cálculo métrico muito sofisticado . Então vamos passar para o nosso comprimento de prefixo aqui para descrever nossas decisões de roteamento que, se um endereço de destino for incluído em várias entradas na tabela de roteamento, a rota mais específica é usada. Então, por exemplo, aqui ah, pacote é recebido para um destino de 19 a 168 30 a 100 com a tabela de roteamento abaixo com este cara aqui, e ele vai acabar usando nossa rota rip. Agora a questão é, por que isso é então a razão por que isso é eso? Embora tenhamos uma rota e r g r P aqui, que é um comprimento de prefixo mais longo. Ele não inclui o endereço 0.100. Nossa barra 26 em Lee sobe para 1 91 68 32,64 ou na verdade tem 63. 64 é o início da próxima sub-rede lá. Então este 1 91 68 32 0 barra 26 é 192.168 ponto um Sinto muito 10.32 ponto um a 63 são 3 64 que é essa rede, e isso não inclui o nosso destino. E agora, embora o SPF tenha uma distância administrativa melhor do que o rip, ele usará a rota de rip porque tem um comprimento prefixado mais longo. Ah barra 24. De qualquer forma, obrigado por ver este vídeo comigo, assim como os outros. Vamos fazer algumas perguntas de treino antes de terminarmos aqui. Então primeiro se uma rota para a rede de destino 10.1 ponto uma barra 0.0 tal 24 é aprendido a partir das fontes abaixo quais informações de rota serão inseridas para a tabela de roteamento agora lembre-se, vai para se ele tem a mesma rota 10 110 barra 24. E se ele aprender de várias fontes, é em Lee que vai colocar um deles na tabela de roteamento, e o que vai fazer é aquele com a menor distância administrativa. Então vamos lembrar o que estão aqui, e podemos ir em frente e fazer isso em ordem. Agora primeiro, você tem 24 horas e b g p. Basta colocá-lo lá, e então nós temos 90 para o nosso e i g r p. Você poderia colocar um D lá e então nós temos 10 para r o SPF. Temos 120 por um rasgo. Agora aqui. Se ele é aprendido de todas essas fontes, se você tem todos estes sendo os que estão aprendendo este 10 110 barra 24 rota de seu vai usar o de B GP de E B GP porque isso é uma distância administrativa de 20 . resposta aqui é C E, finalmente, qual será o próximo endereço de salto para um pacote destinado a 10.10 ponto 10.1 30 usando a seguinte tabela de roteamento. Agora temos três entradas aqui que todos incluem ou na verdade eles não incluem todos que parecem que todos eles poderiam incluir este endereço aqui, certo é que temos 10 10 10 0 barra 26 barra 25 barra 24 sendo do OS PFE, edger P e B G P, respectivamente. Agora 10 10 10 1 30 Isso na verdade não está incluído aqui no 10 10 10 0 barra 25 que 10 10 esperanças e eu posso desenhar hoje 10 10 10 10 0 barra zero 25 é na verdade zero até 27 é o último endereço lá porque ele está quebrando esta barra 24 em dois redes diferentes. Eso de zero a 1 27 e depois de 1 28 3 a 55. Então isso realmente não inclui esse endereço e, portanto, este definitivamente não inclui esse endereço porque é zero a 64 ou zero a 63. Então, a rota que vai usar aqui é a de B G P, que é Embora tenhamos rotas mais específicas aqui. Estes não incluem o endereço de destino. A resposta aqui será a rota B G P, que tem um endereço de salto seguinte de 10 155 para a resposta é C 10 155 Espero que isso tenha sido informativo para você, e eu gostaria de agradecer a visualização. 24. Roteamento estático 3.3 IPv4: i p versão para uma versão i p seis rotas estáticas e rastreamento de rotas. Então estes dois tópicos de exame para a CCN um show que devemos saber como configurar o roteamento estático para a versão I p para e I p versão seis e, em seguida, também fala sobre rotas flutuantes e rotas estáticas flutuantes. Agora a idéia de uma rota flutuante é toe ter uma rodada de backup como uma rota de falha. Mas especificamente, uma rota flutuante é aquela que não está na tabela de roteamento até que seja necessária agora. O que faria com que uma rota não estivesse na tabela de roteamento? Bem, isso seria, digamos, talvez, se tivéssemos uma rota para um destino duplicado, mas com uma distância administrativa diferente. Então vamos dizer que você tem uma rota direita para o 10.1 ponto dois 0.0 barra 24 7 e digamos que nós tivemos uma rota estática direita que tem uma distância administrativa de um. E então digamos que também aprendemos isso por oh SPF e isso tem mistério a uma distância de 10 Então nossa rota estática é a que vai aparecer na tabela de roteamento. Na verdade, não vamos ver esta rota. Se for a mesma rota, a 10 120 barra 24 é a mesma rota. Nós não vamos vê-lo na tabela de roteamento em tudo só porque ele tem uma distância administrativa maior . Agora, o que podemos dio é que quando configuramos a rota estática, digamos, queríamos usar nossa rota oh SPF direita porque é dinâmica e provavelmente nos encaminhará para locais diferentes usando um endereço de próximo salto diferente, dependendo da aparência da topologia O SPF. E vamos dizer que nós só queríamos usar nossa rota estática como um failover Ah, backup apenas no caso de oh SPF não estar disponível, que nossa nave vizinha caiu que enquanto estamos configurando essa rota estática que podemos ir em frente e realmente definir este dedo do pé tem uma nova distância administrativa de 111 para que a nossa estrada O SPF será a que aparecer na tabela de roteamento até que não seja que se o nosso navio vizinho cair ou a rota desaparecer. Se você SPF não sabe mais como chegar a esse destino, então nossa rota estática com a distância administrativa de 111 é a que vai aparecer na tabela de roteamento que é isso que é uma rota flutuante. É um que não está na tabela de roteamento, mas um que está configurado ou lá como um backup para tirar o local de outra rota no caso de essa rota não ser mais válida ou não estar mais lá. E a maneira que vamos implementar isso é com rastreamento de rota e uau, rastreamento usa I.P. L. que eu conheço L.A L.A Muitos de seus engenheiros de rede serão como um contrato de nível de serviço, Ou você pode ter sabido sobre o recurso no IOS chamado I P S L. A. P. S L. A. permite que você monitore ah muitos atributos ou métricas diferentes fora de uma rota ou de um destino. E você pode tomar medidas sobre isso usando objetos de rastreamento com o comando track e que o que vamos acabar usando, entanto, é o nosso eco ICMP Com I PSLs, vamos enviar pings e, em seguida, quando esses pings ar não mais bem-sucedidos, vamos usar nosso objeto de rastreamento para remover uma rota da tabela de roteamento para que possamos usar nossa rota estática flutuante como nosso backup. Então, primeiro, vamos em frente e falar sobre roteamento estático e para que serve a sintaxe. Configurando isso aqui. Portanto, uma rota estática é configurada com o comando I P Route do modo de configuração global. Use a rota I p. Você dá o endereço de rede da rede de destino e a máscara para essa sub-rede. Então isso seria, você sabe, se fosse uma máscara de 25 bits. O agora ser 255 0.255 ponto 255.1 para 8 um za último bit para um 25 máscara bit. E vamos dizer que esta era a rede 10 000 ou esta poderia ser a próxima rede acima poderia ser a rede 10.0 ponto 0.1 28 barra 25, e que isso seria válido 255.255 ponto 255.1 28 quando podemos apenas tornar as coisas fáceis e fazer uma barra 24. Vá em frente e tenha um zero no final aqui e apenas que esta seja toda a rede 10 00. Mas então também precisamos dar ao nosso próximo endereço principal o Z aqui, que é o endereço I.P do nosso próximo roteador de salto, o roteador para o qual estavam oferecendo esse tráfego que acreditamos saber como chegar ao nosso destino. Esse endereço precisará ser um endereço que apareça fora de uma das rotas diretamente conectadas do roteador. Agora, para I p versão seis, a sintaxe é quase exatamente a mesma. Você vai usar I p v seis rota e você vai dar o seu i p v seis endereço de rede em vez de notação decimal pontilhada para o seu mestre vai dar o comprimento do prefixo com uma barra no comprimento do prefixo e, em seguida, doença para o próximo salto I p v seis para o próximo roteador hub Lá. Como dissemos antes, vamos usar nossos objetos de rastreamento para fazer uma rota estática flutuante que as rotas estáticas são geralmente mais confiáveis, suas mais confiáveis diretamente ou ao lado de rotas diretamente conectadas que diretamente conectadas rodadas tendo um d de zero. Que rotas estáticas têm uma distância administrativa de um, e isso é um item configurável, entanto, que podemos definir nossa métrica de distância no final de nossa rota estática, que é o que vamos fazer para ter um dos as rotas sejam preferidas sobre as outras. Então vamos falar sobre como nosso rastreamento de rotas é configurado e a sintaxe para isso aqui. Então, para rastreamento de rota apenas é uma pequena visão geral. Ele nos permite usar objetos de rastreamento para adicionar ou remover rotas da tabela de roteamento e que eles usam i p s l A. Então, é que usamos um objeto de rastreamento para usar os resultados do I P. S l. A. para afetam as tabelas de roteamento. Mas o I P s l. A é o único realmente fazendo a operação aqui testando a conectividade. Isso é comumente usado para o failover I S P. É assim que eu vejo isso usado muitas vezes é que você tem, você sabe, roteador aqui e para I S P é um aqui, um aqui. Digamos que você tem um convidado calmo e que você tem um t e t aqui e que você vá em frente e siga. Você conhece sua conectividade com o Google. Você é um papai. Papai! Papai aqui usando um T e T como seu primário. Quando isso falhar, então vá em frente e use Comcast como seu secundário. Então você teria uma rota estática preferida saindo A T e T e rastrear essa rota usando um objeto de rastreamento como fizemos aqui. E que quando esse objeto de rastreamento falhar, quando esses olhos não mais alcançáveis, então nosso Comcast assumiria aqui e que precisamos fazer isso a interface de origem rapidamente . Ethernet 00 porque caso contrário, se não especificarmos nossas interfaces de origem esta interface aqui e assim que ele vira o dedo direito são Comcast. E ele só começa a enviar esses ecos para fora da nossa linha Comcast do que nossos objetos de rastreamento poderiam dar positivo novamente. Vai mandar um T e T. Vais ter a rota a bater. Ah, que você está rastreando objeto vai subir e descer porque é miss configurado. Então, a configuração para PSL e você está rastreando objeto é que primeiro, nós do modo de configuração global fazer R I P s l A comando e dado número de índice. Este é um número para o seu i p s l A. Aqui usamos o número um. Nós vamos usar a operação ICMP Echo neste set em particular aqui para um papai papai, papai e que nós vamos definir nossa interface fonte desde que eles saem rápido. A Ethernet 00 será um pouco diferente em nossa configuração de laboratório no próximo ano. Só estou falando da sintaxe. O tempo aqui vai ser em milissegundos. Está dizendo que depois de quanto tempo eu enviei este eco ICMP, quanto tempo eu espero para obter uma resposta antes de eu considerá-lo para ser expirado E isso é um pouco diferente, mas muito semelhante ao limiar de valor limite está dizendo depois Como por muito tempo eu considero isso para ser mal sucedido. Agora um tempo limite. Já não está à espera que volte. Se o eco ICMP voltar , , nem se importa com isso. Não vai considerar que será devolvido. Tudo isso vai dizer que expirou, enquanto limiar, ele ainda vai saber que ele está lá. Você sabe, nós recebemos isso registrado, mas eu vou considerá-lo para ser mal sucedido, embora esteja dizendo, quanto tempo isso pode esperar ou quanto tempo para isso levar antes que seja considerado mal sucedido. E isso também é em milissegundos, que para milissegundos é muito, muito rápido. Talvez queiramos aumentar isso um pouco mais. Provavelmente definiu isso para ser o mesmo que o tempo limite que será definido para ser um segundo na freqüência é em segundos. Esse padrão é 60. Nós vamos querer definir. Isto é algo muito mais baixo. Então nós não temos que esperar um minuto inteiro para que nossa transição ocorra Aqui nós temos que definir para três segundos provavelmente vai fazer algo semelhante a isso. Sabe de uma coisa que eu costumo esquecer de dio quando estou configurando I p s l. A é realmente começar a coisa. Então, embora aqui nas primeiras linhas, você sabe, nós estamos configurando I PSL e configurando os parâmetros e que operação ele deve fazer no tempo limite e frequência e tudo mais. Ainda não começamos a operação, e isso é o que esta linha faz é ir em frente e definir. É o I P s l. Um comando de programação. Nós vamos agendar o I P s l. Um e nós vamos dizer-lhe quanto tempo isso deve ocorrer e deve durar para sempre. Nós poderíamos definir isso para acontecer apenas por uma semana ou um dia ou só aconteceu por uma hora e assim por diante . Você pode ir em frente e usar. Este é um tipo muito flexível de ferramenta, mas nós vamos fazer isso para sempre. E temos que dizer quando começar, e vai começar de vez em quando. Agora que temos o nosso I p s l. Um objeto e é iniciado, podemos ir em frente e movê-lo para um objeto de rastreamento e usar um objeto de rastreamento para realmente rastrear os resultados deste I p s l. Uma operação e, em seguida, ser capaz de usar esses resultados para influenciar a tabela de roteamento. Vamos criar um objeto de rastreamento. Está rastreando o objeto número 10. Vai ser uma resposta. Repórter do tempo. Agora a resposta Time repórter RTR que é um comando mais antigo que você pode não encontrar no IOS mais recente. Isso é o que vai aparecer no nosso laboratório aqui. Então é RTR um dizendo que eu PSL um número um. É o mesmo número que estava aqui em cima. Vamos rastreá-lo por capacidade de alcance, esperanças de legibilidade. E agora que temos nosso objeto de rastreamento configurado, podemos usar isso em uma rota estática aqui onde temos a mesma sintaxe para nossa rota I P . Esta é uma rota de 32 bits onde temos um 320.8 e é tudo para cinco cinco para a nossa máscara de sub-rede decimal pontilhada . Temos o nosso próximo salto I p endereço aqui, e vamos rastrear esta rota com o objeto de rastreamento número 10 e essa é a sintaxe para configurar seu rastreamento aqui. Agora, vamos em frente e dar uma olhada em como será nossa topologia de laboratório para que possamos saltar para o laboratório e configurar isso e dar uma olhada em como isso funciona. Então esta é a topologia que vamos usar para o laboratório. Temos o nosso aqui. Na extrema esquerda estão quatro aqui na extrema direita. Estes realmente têm interfaces de olhar para trás. Este é todos quatro para não para não para não para, e este é todos um 1.1 ponto 1.1. Você vai acabar encontrando fazer o amor da simplicidade estudante que eu realmente gosto de numerar nossos endereços e nossas redes sub para onde eles estão em nosso laboratório para que você possa olhar para ele e imediatamente dizer o que isso é quatro ou onde ele está, para exemplo, o endereço entre para a rede entre r um e R dois. Aqui, isto vai ser 10.1 ponto 20 barra 24 e este vai ser 0.1 deste lado, e este vai ser ponto para este lado. Da mesma forma, por aqui. Este é 10.1 ponto 3.0 barra 24. Isto vai ser 0.1 deste lado, e este vai ser 0.3 deste lado 10.3 pontos 4.0 barra 24 0.3 e 0.4. E então só para terminar aqui 10 pontos para 10.0.4 ponto zero barra 24 Desculpe meu ponto escrito para aqui e para o seu Tudo bem, então esse é o endereço do nosso laboratório aqui. E o que nós vamos fazer é que nós vamos definir uma rota primária aqui para ser capaz de ping de 1.1 sobre Fort para fora e obter a resposta. Nós vamos definir uma rota primária passando por rota ou três em e ao redor da parte inferior aqui com um secundário passando pelo roteador para e vamos configurar rastreamento de rota especificamente em nosso aqui é que nós estamos indo apenas para configurar alguns estáticos roteamento sobre o r quatro. Bem, na verdade, precisamos fazer rastreamento de rotas também. Vamos em frente e configurar o rastreamento de rota em R 4 e R 1 que nosso rastreamento vai realmente rastrear a capacidade de alcance para nossos três. Agora, se você resolver isso por alguns momentos sozinho, você pode nos entender. Por que isso acaba sendo muito mais complicado fazer nossa configuração funcionar aqui, que precisaríamos de rotas estáticas que se quiséssemos rastrear a legibilidade do pé como nosso quatro direito, acabaríamos encontrando algum método para ser capaz de chegar lá. Então precisamos de uma rota estática que não é rastreada apontando sobre esta interface usando nossos três como nosso próximo salto e, em seguida, ter uma rota estática apontando para o loop de volta aqui com que sendo rastreado usando o rastreamento off se esta interface aqui é acessível, e isso só torna as coisas um pouco mais complicadas. Prefiro seguir em frente e rastrear nossa capacidade de alcance até nossos três. Vamos rastrear a capacidade de alcance para as interfaces de cada lado aqui que estão mais próximas dos roteadores que estão fazendo esse rastreamento. E depois vamos em frente e desligar os nossos três. Ah, e então uma vez que isso não é mais acessível e estão rastreando objeto falha, então que deve ir em frente e virar para a nossa rota estática flutuante que está usando nossos dois como nosso roteador de trânsito aqui para chegar Fort Out quatro terá um ping contínuo indo para que possamos ver onde isso perde alguns blips e, em seguida, é bem sucedido novamente. Então eu já configurei todos os endereços de interface I P. Eu também já coloquei uma rota estática em R dois e r três, apontando para forte fora para e 1.1 para que quando nossos pings vão para o através desses roteadores, eles saibam como levá-los ao seu destino. Então vamos em frente e pegar nosso I.P.S I.P.S , L. A. A. e nossos objetos de rastreamento são rotas estáticas configuradas em R 1 e R 4. Mas primeiro, vamos dar uma olhada nos nossos três. E eu vou mostrar a vocês que o que eu configurei aqui está realmente lá. Então vamos apenas saltar para muito rápido atrás habilitando show I p interface breve. Temos 10 12 e 10 42 braços são 10 a 4 redes aqui e os 40.2 em cada um. Isso é errado. Browder também. E se mostrarmos I p Ralph que temos o nosso i p v quatro rotas aqui para $1.1 e 4.4 lá também, e vamos até o Roteador três real rápido ir habilitar show I interface breve. Talvez lá vamos nós. Temos nossas interfaces configuradas aqui. Nós mostramos a rota I p. Temos nossas rotas estáticas configuradas aqui em nossos três. Então vamos saltar para o nosso um e vamos ter o nosso I p s, l. e a nossa rota estática configurada aqui. E então vamos fazer isso em nossos quatro também. Então, se formos em frente e formos habilitar o condenado, vamos em frente e criar o nosso I p s l l um, e nós vamos apenas dar uma olhada. Nossas operações disponíveis aqui, há muitas operações diferentes disponíveis. O que vamos usar eco ICMP. Mas você pode ver que você poderia usar isso para um monte de operações diferentes. Mas a CCN A não está preocupada com isso é que nós realmente não vamos tocar nisso em tudo aqui . Então vamos em frente e fazer nosso ICMP ecoar nosso destino. Vamos seguir em frente e rastrear ou testar nossa capacidade de alcance para nossos três e especificamente para a interface em nossos três que está ligada ao nosso um. Este vai ser 10 133 é o destino, e vamos usar uma interface de origem. O que é uma interface de origem rápida 01? Porque essa é a interface do nosso que está conectada aos nossos três. Excelente. Em breve vamos em frente e definir nosso tempo fora. Um segundo, vamos definir o nosso limite para o mesmo e depois vamos definir a nossa frequência. Vamos fazer isso a cada três segundos. Excelente. E então podemos ir em frente e começar o nosso I p s l a usando o I P s l um comando de programação, estamos agendando I PS único número um bem disse que sua vida para ser para sempre e a hora de início para ser agora excelente. E agora se fizermos um show do “fazer “? I PSLs estatísticas que temos três sucessos agora já que ele está executando o tempo de operação para viver é para sempre e a última hora de início é realmente correta. Está na hora UTC. Foi aí que começou quando eu entrei naquela hora ou aquele comando para a programação i. P s para ele começar Agora que foi quando isso começou no último tempo de ida e volta . Ele nos diz o que estava lá e são 28 milissegundos. Podemos ver que isso ainda está em execução aqui também, e que a última hora de início da operação é quando continua a executar nossos pings. Incrível. Então, agora que temos nosso i p s l a ir, nós não criamos nosso objeto de rastreamento em e nós também não configuramos nossa rota estática ainda para ser capaz de ping para não para não para não. Então vamos em frente e criar nosso objeto de rastreamento. Rastreou um usando o repórter do Tempo de Resposta? E isso é o que o antigo objeto de rastreamento chama Thehyperfix s L A ICMP Echo é um repórter de tempo de resposta . Então nós temos I ps um e estamos testando para legibilidade. Banheiras incríveis. E então vamos em frente e criar nossa rota estática aqui. Agora, se formos I p rota e isso vai ter o destino de US $4 por dólar por dólar para que poderia ser uma rodada 32 bits. E então isso vai usar o próximo endereço superior do roteador três, 10 133 e vamos rastrear esse reino. Esta rota será rastreada usando o objeto número um. E lá vamos nós. Não, se eu fizer um show, Ikey Bem, essa rota é aqui que os $144 por dólar 44 estão aqui porque nosso objeto de rastreamento está ao vivo . Se eu fizer um show fazer faixa que a capacidade de alcançar é para cima. Ah, e que ele é rastreado pelo roteamento estático I p aqui que você pode ver onde isso está sendo usado em nosso show track. Agora, eu também poderia fazer uma faixa do show um dedo só mostrar o nosso objeto de rastreamento número um aqui. Incrível. Agora que sabemos como chegar lá do Roteador 1 usando o Roteador 3. Vamos em frente e definir nossa rota estática de backup aqui. Então vamos dio i p Ralph 14 14 44 com uma máscara 32 bit. E então vamos definir nosso roteador fording para ser 10.1 ponto para ponto para que esse é o nosso próximo endereço de salto e que vamos definir uma métrica de distância para isso. Vamos definir isso para ser apenas cidade, que é maior do que aquele que é um padrão para a linha estática. E agora que fizemos isso, se fizermos uma rodada judia mostrar ikey que nossa rota original aqui, o 10 133 é o próximo topo é o que aparece como uma estática em nossa tabela de roteamento aqui. E isso é exatamente o que está lá. E isso é o que ainda vai estar lá porque tem uma distância menor. Tem uma distância de um, e o que acabamos de colocar como nossa estática flutuante tem uma distância de 10. Então, agora vamos em frente e apenas configurar o Roteador 4 com as mesmas coisas e então vamos sofrer entre eles. I P s L um um. Vamos fazer um eco ICMP. Vamos ecoar o endereço 10 343 usando uma interface de origem rápida e vamos em frente e definir nosso tempo limite para 1000, nosso limite para 1000 e nossa freqüência para três. Devo fazer I PSL agendamento de um, mas a vida de sempre A hora de início de agora, vá em frente e criar o nosso objeto de rastreamento objeto um. Usando o repórter de tempo de resposta fora um. Vamos rastrear a capacidade de alcance. Vou em frente e criar nossa rota que está sendo rastreada. I p Round. Vamos dar-lhe toe 1.1 ponto 1.1 usando uma máscara de 32 bits com o próximo hot hop no vestido de $10,3 dólares, $4,3 e rastreamento usando o objeto um. Excelente. E então vamos em frente e apenas adicionar em nossa rota de backup aqui de 10.1 ponto eu sinto muito 10 ponto para ponto para ponto e ter que têm uma distância de 10. Vamos fazer um show I p rodada e que estamos usando nossos $10.3 dólares $4.3 estavam usando Browder três como nosso próximo top aqui para a nossa rota estática lá. Se fizermos um show track que nossa última operação retornou código, ok, que é para cima. Então nosso rastreamento é bom e que agora, se formos ping um por um com uma fonte Ford Ford Ford Ford para Vamos repetir isso 100 vezes e seremos bem sucedidos . Estamos recebendo uma boa comunicação lá. Então agora vamos em frente e fazer isso é vamos assistir. O que acontece é que vamos fazer um ping aqui. Eu vou executá-lo. Vamos repetir 10 mil vezes. Então temos um bom ping acontecendo, e isso vai ficar aqui por um tempo. Então vamos passar para o GM s três e vamos desligar o Roteador três. Na verdade, antes de fazer isso, quero ir em frente e salvar a configuração no Roteador 3 e depois voltar para cá. Vamos para o Roteador 3 e vamos parar com isso e vamos voltar para o Roteador para e boom. Nossos ecos perplexaram, e então eles começaram de novo, e isso é o que queríamos ver aqui para fazer o turno de controle 66 duas vezes. E lá vamos nós é que tivemos o pequeno blip aqui, certo? Que este é o lugar onde nosso objeto de rastreamento estava. Não estou ciente do fato de que o roteador três está para baixo, que ele não sabia que essa rota não era mais boa e que o nosso i p s l a não tinha executado novamente ainda para saber que não estava conseguindo. E então uma vez que ele correu e ele expirou e descobriu que não estava mais conseguindo. Então, se fizermos um show, I p rodada que rota é realmente removido da tabela de roteamento. Só não é mais aqui que estamos usando 10 ponto para 10.0.4 ponto para e aqui ele mostra temos a distância administrativa de 10 dessa rota que não está mais lá . Se fizermos um show, nossa capacidade de alcance está em baixo. Se mostrarmos i PSL uma estatística o nosso tempo de retorno última operação que tivemos 21 falhas agora e isso é o que está acontecendo agora. Poderíamos ir em frente e rodar os pings de novo e virar ou três de volta, provavelmente nem perderemos um. Quando isso acabar sendo bem sucedido novamente, podemos perder um enquanto ele recupera os ARPs . Mas talvez não. E, na verdade, podemos ir em frente e ah, vamos ligar o Roteador 31 mais tempo e podemos voltar pelo roteador. Três. Podemos assistir Eternal aqui. Vai levar alguns momentos para que isso aconteça. Vamos começar nossa dor aqui. Nós realmente perdemos o 1º 1 que pode ter sido isso bem ali. Vamos em frente e fazer o turno de controle 66 Vamos fazer um show I p route. E o que você sabe? O que realmente foi é que, enquanto estamos de volta aqui para usar o nosso 10 343 com a nossa distância administrativa de um porque o nosso show track está de volta aqui, que a nossa capacidade de alcance está acima e que o nosso i p s l um show I estatísticas PSL agora é bem sucedido Aqui de novo. Nós devolvemos o código. Ok. Incrível. Estou feliz que você passou por isso comigo aqui. Agora, assim como os outros. Antes de terminarmos, vamos fazer algumas perguntas de treino. Então, primeiro, o que é o Comando de Configuração Global usado para criar uma rota estática para a rede 192.168 dot 10.0 barra 23 com um próximo salto off. 10 1 12 1 É rota 1 91 68 10 0 Tal 23 10 1 12 1 Lembre-se, este é o Comando de Configuração Global. Agora sabemos que usamos o comando I P Route. Agora, é apenas qual desses impostos sobre o pecado são mais corretos. Que sabemos que nosso endereço de rede vem primeiro. Agora, é B ou C? A resposta aqui é C devido à nossa máscara de sub-rede ah aqui que ele cortar 23 é 254 no terceiro subiu e não para 55 Quanto a uma barra 24. Então nossa resposta aqui é C e, finalmente, quais atributos são usados para influenciar a tabela de roteamento no caso de uma rota estática flutuante , é a métrica o custo, a distância administrativa ou a próxima corcunda agora com Uma rota estática flutuante? Os atributos que estavam realmente aproveitando aqui é a distância administrativa de uma rota que é o que estamos usando para ocultar uma rota da tabela de roteamento e, em seguida, colocá-la de volta no caso de precisarmos dela, pois estamos usando o distância dessa rota. Agora, espero que isso tenha sido informativo para você, e eu gostaria de agradecer por ver. 25. 3.4 EVosfv2 parte 1: Oh, teoria SPF e vizinho adjacente vê os tópicos de exame para o novo ccn A. Aqui estão realmente muito escassos em Oh, SPF que tudo o que eles querem que você saiba é como configurar uma única área Oh, SPF domínio e verificar sua configuração e também para entender o que um DRM BDR é e como eles são eleitos. Mas eu realmente queria rever Oh, SPF em um pouco mais de profundidade do que isso. E certifique-se de que você entenda a teoria disso um pouco mais e, na verdade, como ela funciona, que realmente ajuda saber essas coisas quando você está solucionando problemas. Ah, SPF. Quando você entra em um ambiente que é um pouco mais complicado, talvez, do que apenas uma única área oh SPF e também pode ter links virtuais ou várias áreas em um SB nosso e obter o seu um Byars lá e talvez, Verão e coisas assim. Então, sem mais delongas, vamos em frente e falar sobre oh, SPF e sua teoria e como um vizinho Jason C. é formado. Assim, 1º 0 SPF significa caminho mais curto aberto. Primeiro, o algoritmo SPF mais curto caminho primeiro algoritmo foi desenvolvido por um homem cujo sobrenome é Dykstra. Askew podia ver bem aqui que ele desenvolveu o algoritmo para SPF para o caminho mais curto. Primeiro, isto é o que é usado na árvore de abrangência, mas depois também no West PF. E então oh, SPF é um protocolo de roteamento, certo? É um protocolo de roteamento dinâmico que os roteadores usam para trocar informações sobre as rotas que eles conhecem sobre as redes que eles conhecem. E, oh, SPF usa uma métrica de custo que vai em frente e anunciar está fora com seus anúncios de estado de link para dizer quanto custa ou que velocidade de link que ele tem para ser capaz de chegar a esse destino. Assim, seu roteador pode tomar uma decisão inteligente, certo? Ele poderia decidir tomar o caminho mais rápido, o caminho mais curto para o destino aqui. E esse cálculo para descobrir o caminho mais curto é aquele que é feito em uma base por roteador . Então oh, SPF é uma partícula de estado de ligação. O que isso significa? Isso significa que O SPF está realmente ciente. Agora, se eu tenho, vamos ver, eu tenho você sabe, esses muitos escritores aqui e eles estão conectados assim e isso tem aquele cara aquele cara. Aquele cara, aquele cara. Digamos que estejam conectados. Isso está conectado. Isto está ligado. E vamos ver. Parece que está ligado. Sim, esse cara, se isso é tudo 10 domínio SPF aqui. Certo, esta é apenas 10 área SPF. Este é um algoritmo de estado de link. Então, cada um desses caras aqui, se eles estão todos nesta área zero aqui, que vai falar sobre um pouco mais tarde, essa área zero é a área backbone de Oh, SPF que há um requisito que todas as áreas precisam se conectar à área zero diretamente. Mas falaremos sobre isso um pouco mais no próximo slide. Que se esta é a área zero do que este roteador aqui, ele sabe sobre este link. Ele sabe o status desse link e o status desse link e o status desse link. Ele sabe que este roteador aqui e este roteador aqui ambos acreditam que este link está presente e que ele está ativo, e ele sabe qual é a velocidade desse link e qual a confiabilidade e alguns outros uh atributos desse link são para que ele pode colocar isso em sua tabela de topologia em seu banco de dados. Na verdade, é banco de dados, não tabela de topologia. Isso é em E I g R p. Mas em seu banco de dados de estado de link, o l S D. B, e ser capaz de ter este banco de dados para que ele possa calcular a partir deste ponto de partida para este ponto final qual é o caminho mais rápido Lá? Ou a partir deste ponto de partida, este roteador poderia calcular sobre também, se tivéssemos outro roteador aqui, boom, conectado e conectado, que se quiséssemos ir até aqui como nosso destino, qual será o caminho mais rápido para chegar lá? E pode calcular isso porque sabe qual é o estado de todos esses links. E então dessa forma, quando um desses links cai e esse cara envia uma atualização de estado de link e l s u sobre seus vizinhos e então isso envia o estado do link atualizando ele sabe que esse link não está mais disponível. Ele pode ir em frente e atualizar seu banco de dados de estado de link e ser capaz de re calcular qual é o caminho mais rápido para essa rede de destino. Agora o, uh oh SPF vai seguir em frente e executar o algoritmo de Dykstra, o caminho mais curto primeiro algoritmo em seu banco de dados cada vez que há uma mudança. Então, quando ele preenche completamente o banco de dados, certo, ele vai seguir em frente e executar o algoritmo, e ele vai descobrir qual é o caminho mais rápido para todas as redes conhecidas em, oh, SPF. Então, quero dizer, cada uma dessas coisas usuais camada três links bem entre você sabe, esse cara e esse cara é que esse link aqui é um link camada três que é sua própria rede sub. E esta é a sua própria sub-rede. E este também, porque ele rodou roteadores direito. Essas interfaces são todas interfaces roteadas. Eles não são camada de interfaces. Não há nenhuma mudança acontecendo aqui. É tudo roteamento. Então todas essas coisas são todas suas próprias redes e oh, SPF em cada um desses roteadores vai descobrir qual é a maneira mais rápida de chegar a todas essas redes. E assim também. Se tivéssemos, você sabe, uma rede aqui e uma rede aqui e uma rede aqui e aqui, você poderia ter. Este é um departamento aqui, seu departamento de marketing, ou você pode ter aqui. Este é o seu departamento de TI aqui. E este é o seu departamento de vendas aqui que as vendas podem querer falar com o departamento de TI que talvez haja alguma partilha de rede ali ou uma impressora. Quer imprimir o Teoh. Então, oh, SPF já descobriu que este roteador aqui já descobriu qual é o caminho mais curto para chegar à rede I T. aqui porque esta rede teria sido anunciada como parte do link Anúncios de estado deste roteador aqui. E isso estaria no banco de dados do estado Link desse cara. Então tudo o que ele vai fazer, você sabe, ele avançou sobre seu tráfego para o próximo salto, e então a próxima corcunda já descobriu qual é o caminho mais rápido para esse destino. Então ele vai fordá-lo em torno de assim por diante e assim por diante que é saber como ligação protocolo estadual funciona. E por causa disso, não há esse requisito de que todos os roteadores SPF na mesma área devem saber sobre todos os links na área. Então, quero dizer, você pode fazer alguma filtragem de rota com O.S. O.S. P. F R ou usar um mapa de rota para ir em frente e filtrar as rotas que ele aprende sobre através do SPF. Mas isso não é uma boa ideia. Não é assim que você quer lidar com esse tipo de efeito no, oh, SPF devido ao fato de que é um protocolo de estado de link, e que todos os roteadores querem saber onde estão todas as redes. Que todos os seus bancos de dados, todos os seus links dia bancos devem ser idênticos quando ele é estabilizado uma vez convergido. Então, apenas como uma última pequena nota aqui Oh, SPF não usa TCP ou UDP para comunicar que é mares adjacentes formam na Camada 2, então você só terá adjacência como entre camada para roteadores conectados. Então, como para este roteador bem aqui, certo, ele vai ver esse cara como um vizinho. Esse cara é um vizinho, esse cara é um vizinho, e esse cara é um vizinho porque eles estão todos conectados, certo? Este cara não vai aparecer como um vizinho, e este cara não vai aparecer como um vizinho porque eles não são camada dois adjacentes que ele simplesmente não vê-los lá. Ele sabe que é lá como parte do domínio SPF por causa de seus estados de link. Mas ele não o vê como um vizinho porque não é camada dois adjacente. Mas o protocolo que ele usa para se comunicar é o protocolo número 89. Novamente, isso não é TCP ou UDP. É seu próprio protocolo Hello, uh, e que os pacotes de saudação são enviados para um endereço multicast de destino de 2 a 4.0 dot 0.5 . Esse é o endereço de destino multi-cast para todos os roteadores Oh SPF. Então vamos passar para o próximo slide aqui sobre oh, vizinho SPF mares adjacentes. Sinto muito sobre as áreas de erro SPF. O domínio, como eu disse, está dividido em áreas. Certo, então todos os roteadores na mesma área precisam saber sobre todos os links nessa área. Se houver outra área oh SPF, como temos aqui como a área 10, então esses caras aqui Roteador 6, Roteador 8. Eles não precisam saber nada sobre o que está acontecendo na área 10. Agora, por padrão, eles dio eles vêem isso, mas você pode ir em frente e resumir esta área 10 e você resume esse ato roteador sete porque o roteador sete aqui em vez de sete é realmente parte tanto da área zero quanto da área 10 ao mesmo tempo é que ele tem esta interface aqui. Gig 1 barra zero. Isso é na área 10, mas isso tem essas duas interfaces aqui rápido 01 e 00 que estão na área zero. E por causa disso, roteador sete tem o banco de dados do estado do link para a Área zero e a área 10 e precisa manter isso. Mas o que podemos fazer é que Comptel roteador sete para ir em frente e resumir a área 10. Digamos que a área 10 realmente engloba o 10.0 ponto 0.0 barra 16 que engloba toda a rede 10 0. Sobre isso, essa é a área 10. E assim cada roteador sete vai em frente e anunciar, dizendo 10 000 barra 16 é acessível através de mim e que você pode chegar a 10 00 16. Então você pode ter como o seu 10 01 10 0 para 10 03 10 04 10 05 etc. Todos eles se dividem em seus próprios roteadores que todos eles têm suas próprias redes submarinas aqui . Talvez, como um pequeno corte 20 cincos saindo aqui e assim por diante, assim por diante. E estão todos conectados. E isso, yo, se esse cara boom ele simplesmente cair, subir em chamas e Roteador 9 agora vê que Oh, não, aquela rede ali não é mais acessível. Então envia para você esses links o estado atualiza para todos os seus vizinhos e tudo mais. Então isso inunda através da rede e o L S U e homem, ele está indo homem rede para baixo e enviando isso sobre o roteador sete em torno ou sete como Ok, ótimo. E não vai fazer nada com ele porque ele está anunciando este resumo aqui, então ele não precisa inundar essa atualização para a área zero porque a área zero não se importa com a pequena rede ah barra 25 aqui no meio da área 10 que desceu. Ele só se preocupa e sabe que ele pode acessar tudo na rede 10 0 barra 16 através do roteador sete. Então ele não vai em frente e enviar essa atualização. Então, como regra geral para oh, SPF é que, uh, uh, área zero é a área backbone e que todas as áreas precisam se conectar diretamente a ela. E isso é seguir as regras, certo? Que se eu fosse em frente e criar outra área, digamos que esse cara se conecta por duas voltas. Esse cara se conecta ao roteador 10 e esse roteador 10 se conecta a esse cara aqui e aqui temos a Área 11 que essa área quebra as regras aqui porque não está conectada à área zero. Isso realmente não vai funcionar. Que seu vizinho Jason vê que não vai se formar porque não tem uma conexão com a área zero . Que o que você realmente precisa fazer é criar um link virtual onde esse cara roteador 10 cria um link virtual para o roteador sete e que ele está realmente agindo assim. roteador 10 agora tem uma interface conectada à área zero eso que o roteador 10 é uma espécie de parte da área zero e também parte da área 10 e também parte da área 11. Para ir em frente e realmente corrigir o problema aqui e seguir as regras que você não precisa saber sobre que não estavam configurando um link virtual durante este curso, mas todos os roteadores em uma única área devem manter todo o banco de dados de estado do link para área. Acabamos de falar sobre isso. E roteadores, que se conectam a duas ou mais áreas. Eles são chamados de área de Byars roteadores de fronteira um roteador sete aqui, que é o seu B R e que está conectando a Área zero, uma área 10. Há também algo a mencionar muito rápido, chamado em um SBR no sistema autônomo Boundary roteador, sistema autônomo, roteador de fronteira. Isso seria como se você tivesse, ah, ah, um domínio de rasgar. Se você tem algum sistema externo, digamos que temos, você sabe, um roteador aqui e ele está conectado e que você realmente tem, tipo, E i g R p aqui e que este roteador bem aqui, Você sabe, Roteador 11 que ele está redistribuindo suas rotas E i g r P em, oh, SPF. Em seguida, o Roteador 11 acabaria sendo Nosso SPR são roteador de limite de sistema autônomo, e isso é exatamente o que é. É o roteador limite que se conecta a coisas que estão fora de seu sistema autônomo de seu processo. Número 40 SPF. Então vamos falar um pouco sobre os mares vizinhos adjacentes e como eles se formam e o processo por trás disso aqui. Então, o modo como o vizinho Jason vê a forma é esse alô? As mensagens são enviadas. Agora é um protocolo de saudação que é realmente o protocolo SPF. Ele envia este tipo especial de mensagem. Olá sobre isso em que Olá. Ele tem alguns atributos, e especificamente quatro deles devem corresponder para que uma adjacência vizinho se forme. Essas são a área I d. A máscara sub net, os temporizadores Olá e mortos e a senha de autenticação. Então, a área I d. Você sabe, se você tem um roteador aqui que pensa que está na área zero e ele está conectado a um roteador aqui que pensa que está na área sete, que, uh, Isto aqui mesmo. Você não terá uma adjacência de vizinho para formar isso. Eles precisam pensar que estão na mesma área. Agora, se eu fosse para ir em frente e ler papel isso um pouco, ir assim e talvez assim onde é a área sete. E esta e aquela área zero naquilo. Esse cara aqui é na verdade um roteador de borda de área que funciona porque essa interface aqui está na área sete e essa interface na área sete. Então é feliz que eles vão em frente e criar uma adjacência, assumindo que tudo o resto segue as regras. Então, máscara sub-rede. Se você tiver uma máscara de sub-rede configurada miss, você não obterá uma adjacência de vizinho para formar. Isso é algo para verificar é que às vezes você pode ir em frente e acidentalmente colocar uma barra 25 em vez de uma barra 24. E então ele não vai funcionar lá que se você tem, digamos que estes dois roteadores e eles estão conectados e este aqui é 10.0 ponto 0.1 e este cara aqui é 10.0 ponto zero ponto para se este é cortado 24 este é barra 25 isso vai Não trabalho. Eles não se formarão em uma agência de casamento porque as máscaras sub net não são para o mesmo nos links que eles estão tentando formar uma adjacência em. E isso volta para onde esses ar formando sobre a camada para que eles têm que ser camada dois adjacentes para que uma adjacência O SPF para formar os temporizadores Olá e mortos. Então, o timer hello é a frequência na qual ah, hello Packet será enviado. O temporizador morto costuma ser quatro vezes mais olá. E é quanto tempo até o vizinho ser considerado morto. Isso é quanto tempo até eu não receber um pacote de “olá”. Vou esperar antes de considerar o vizinho morto? Eso aqueles devem coincidir para que uma adjacência se forme. Se eles não corresponderem, uma adjacência não se formará. Isso é tudo o que há para ele. Portanto, ter temporizadores incompatíveis não é um problema que você nunca terá com navios vizinhos que estão ativos, que se os temporizadores forem incompatíveis, os navios vizinhos não estarão mais ativos. Se você tiver um navio vizinho ativo e você alterar os temporizadores, o navio vizinho descerá e eles não estarão mais ativos. A senha de autenticação que você pode formar ou configurar a autenticação para O S P. F s que você tem uma senha que você precisa ter configurado para que ela possa formar um navio vizinho. Isso, é claro, precisa ser o mesmo para que eles possam formar navios vizinhos também. Então vamos dar uma olhada neste tubarão arame aqui. Muito rápido. Então nós vemos no início, você sabe, nós temos o protocolo aqui primeiro que ele é seu próprio protocolo especial. Ele vai oh, SPF e que temos aqui 1º 10 1 para 1 e 10 1 para 2 são nossos dois roteadores e que nossos pacotes de saudação enviados com o destino do endereço multicast de todos os roteadores oh SPF e então você um pouco mais tarde, Como está no meio da configuração? Oh, SPF aqui antes de eu começar a captura. Então este é o seu oito segundos depois ou um pouco mais tarde que o cara realmente respondeu e enviou outro pacote de Olá. E então esta é uma resposta direta que eles realmente vão para o elenco uni quando eles estão falando outro diretamente, e que os pacotes de Olá enviados para fora. Agora o que eles fazem é que eles enviam de volta no primeiro banco de dados pacotes descritor, DVDs para ir em frente e dar um pequeno resumo de todas as rotas que eles conhecem. Então vamos em frente e desenhe isso. Certo? É que você tem roteador, boom de roteador, e que você acabou de configurar Oh, SPF em ambos. Então eles vão. Alô, Alô. E agora que eles são ótimos, poderíamos ser vizinhos. ótimos, Tudo combina com incrível. Então, primeiro, eles vão em frente e selecionar um mestre e um escravo que só está dizendo qual deles acaba falando primeiro. E quando decidirem quem fala primeiro, ele vai enviar um banco de dados para o pacote das Escrituras. É esta pequena lista de todas as rotas que ele conhece. Para que este roteador aqui, vamos chamar este um e dois. Então essa rota ou duas, vá em frente e dê uma olhada nesse banco de dados para as Escrituras e seja como, Ah, há esse e esse que eu não sei sobre os outros. Estou bem já sei sobre isso. Então ele pode enviar de volta um LS ou um pedido de estado de link. Como vemos aqui, temos ligações Pedido do Estado, e então esse cara vai ficar tipo, tudo bem, ótimo. Vou enviar-lhe um L s u dois que l S R. Então ele envia o ls usar. Eles vão em frente em troca desses descritores de banco de dados, uh, e certifique-se de que eles estão cientes de todas as redes que um outro conhece. Então eles passam por isso continuamente acontecendo. Você sabe, eu preciso saber sobre este aqui. Tudo bem, aqui está. Eu preciso saber sobre isso. Tudo bem, aqui está. E então não, vá em frente. E eu preciso saber sobre este aqui, e ele vai enviar de volta a informação que ele precisa assim por diante até que ambos tenham todas as informações que eu preciso para ser capaz de ter o descritor completo do banco de dados aqui. E, no final, acabam se mandando. É um reconhecimento que diz: Grande. Reconheça. Recebi todas as informações. Tudo está bom para ir e que eles estão todos felizes. E agora que estão todos sincronizados e têm todas as informações juntas e nave vizinha está formada, então eles apenas enviam cumprimentos. Vai, Alô? Olá. E eles só fazem isso em seus temporizadores de olá. E eles vão fazer isso nessa frequência para sempre até que alguma mudança aconteça. E então haverá uma atualização do estado do link enviada para, uh, como uma atualização, notificação para o que a topologia mudou. Então vamos falar um pouco sobre como configuramos. Oh, SPF e algumas das peças que não são necessárias. Uma das peças necessárias são um roteador. I d É que cada Oh, SPF roteador deve ter um livrar um roteador I d em. Esta é a coisa que vai para o descritor de banco de dados que este é o roteador que eu d que sabe sobre essas redes. Ou foi o roteador de publicidade i d. Para essas redes, o roteador i d é selecionado na seguinte ordem. Primeiro, será necessário um roteador configurado estaticamente I d que você pode entrar no roteador. Oh, SPF 100 para chegar ao seu processo 100 para SPF e que você pode configurar o roteador hífen I d comando e que será definido estaticamente em torno dela i d próximo se você não tiver isso configurado . Mas você tem uma interface de olhar para trás configurado, ele vai levar o endereço I p mais alto de uma interface loop back. Agora, o que queremos dizer com o mais alto? Se você pegar seu endereço certo, vamos. 192.168 Eu quero um. Agora, se você fosse para ir em frente e pensar sobre isso apenas em decimal puro em vez de como, pontilhado decimal. Então este seria um número muito grande, certo? Isso seria como Kama e Kama, como 19,216,811. Uh, isso é legal. Então, se tivermos, tipo 172,16 1.1 é de 189 a 168? Esse é um número maior. Isso dá 19 milhões. Considerando que isto é 17 milhões, certo? Então este aqui em cima, este é um número maior. Se isto pertencesse ao loop back zero e isto pertencesse ao loop back um, então o 1 92 o loop back zero ganharia porque esse é o número maior e, em seguida, a costura. Ah, lógica aqui se aplica. Se você não tiver uma interface de olhar para trás configurada, então ele terá o endereço I p mais alto de uma interface configurada regularmente. Eso se você tem todas as suas interfaces são 10 ponto algo e, em seguida, você tem uma interface dizer rápido 00 que é Ah 192 ponto algo 99 Qualquer que eu não faço algo. Em seguida, ele vai tomar que 192 como o roteador I d e ele vai usar que o roteador i d está na forma de um I P. V quatro endereço e isso é algo para Noah. Bem, para OS PF versão três, que também é oh SPF quatro i p versão seis que o roteador i d ainda é um atributo que existe e está na mesma forma na forma de um I P V quatro endereço. É apenas a forma do roteador I d. Que é Parece uma versão I P para endereço, mas não é necessariamente Ah válido endereço I p que você pode simplesmente configurar o roteador I d. Portanto, não necessariamente tome como um endereço que o roteador está acessível em. Então, a interface é quando você configura Oh, SPF As interfaces devem ser configuradas para participar em oh, SPF Em uma de duas maneiras, você pode usar o comando network em seu modo de configuração do roteador eso, a fim criar seu processo oh SPF no modo de configuração global, você vai roteador Oh SPF e, em seguida, um número de processo Neste número de processo é exclusivamente desculpe localmente único. Só que não importa se o número do processo corresponde entre seus roteadores, Shukan. Mas é uma boa idéia e prática recomendada seguir em frente e mantê-lo correspondente apenas para que você não se confunda enquanto você está passando por seus roteadores e configurando isso algo que você poderia fazer como 100 medula SPF 100. Ótima. Agora você está no modo de configuração do roteador em que você pode usar a rede de comando de rede e, em seguida, você dá a rede e, em seguida, você diz a ele em que área está. E o que isso realmente faz é que o comando network realmente causa o roteador toe. Procure por quaisquer interfaces cujos endereços I P ou cujas redes estão em nossa parte dessa rede. Então vamos dizer que você sabe que você tem roteador e você tem três interfaces aqui, e este é o 10.1 ponto 0.0, e este é 10 ponto para 10.0.0 ponto zero e este é 10.3 ponto 0.0. Digamos que isso é como apenas 0,1 em cada uma dessas redes aqui, certo? E que em nossa configuração de rede em nosso modo de configuração de roteador, quando colocamos o comando network, vamos dizer que vamos em frente e colocar em 10.0 e torná-lo o no slash oito. Vai pedir uma máscara curinga,creio eu. Vai pedir uma máscara curinga, Então. É obter B zero ponto para 55 para 55 para 55 para 55 etcetera, então esse comando de rede, porque o 10 000 barra oito aqui, isso realmente inclui todas essas três interfaces. Portanto, quando você usar esse comando de rede, ele fará com que um SPF seja executado em todas essas três interfaces porque todas elas estão incluídas na rede que você forneceu no comando network. Agora, o que você pode fazer, alternativamente, é configurar Oh, SPF para executar na interface diretamente no modo de configuração de interface usando o comando i P O S P f. Então seria I p o S p f e, em seguida, dar o número do processo e uma área e um número de área. Então é I p o S P f dizer 100 então ir área, uh zero. E que este seria o seu comando no modo de configuração de interface para ir em frente e definir essa interface para executar Oh, SPF e fazer parte desta área específica. Excelente. Bem, obrigado por passar por isso comigo aqui, assim como os outros. Vamos passar por algumas perguntas práticas antes de terminarmos, e prometo que no próximo vídeo, vamos passar pelo laboratório de criação de um SPF. Eu só quero analisar a teoria aqui primeiro como faras, como ela é configurada e que tipo de atributos ela funciona e coisas desse tipo para que possamos entrar no laboratório. Ah, um pouco mais informado e ser capaz de fazer isso um pouco mais rápido aqui. Então, primeiro, um roteador sem SPF tem os seguintes endereços de interface I p configurados e nenhum roteador especificado I d. O que o roteador usará como é um roteador West PF? Nós mencionamos duas coisas aqui é que o grande que é o tirar é que ele vai usar, você sabe, o endereço i p mais alto e que os endereços I p mais altos realmente gostam se você tirar Nós mencionamos duas coisas aqui é que o grande que é o tirar é que ele vai usar, você sabe, você sabe, o endereço i p mais alto e que os endereços I p mais altos realmente gostam se você tirar seus pontos aqui em você, basta usá-lo como notação decimal. Isso é um decimal pontilhado que o mais alto? O número mais alto lá é o que ele usaria, mas o que ele usará em uma interface regular é que ele usará uma interface loop back, e é o loop mais alto que ganha. Então a resposta aqui é realmente olhar para trás. Zero em $7.7.7 dólares. Sete. A resposta é C. E isso é porque mesmo que rápida Ethernet 01 tem um endereço I p maior de 1 91 682.7 que nós temos um loop de volta aqui então ele vai usar isso sobre qualquer outra interface regular. E, em seguida, vamos usar o loop mais alto de volta se houver vários e, finalmente, dada a topologia golpe e configurações de interface, será que os roteadores para Manno SPF relacionamento vizinho. Então nós temos apenas dois roteadores Rover seis no Roteador sete e que eles estão conectados com rápido 01 em cada uma de suas interfaces, e ambos deveriam estar na área zero. Nós temos aqui no nível da interface a configuração, sua I p O SPF 100 área zero que eles estão na área correta e ambos têm o mesmo número de processo. Mas isso não é algo que precisava coincidir e que ambos têm um endereço i p configurado para que eles tenham um roteador, eu d Mas um problema aqui é que nossa máscara sub net não corresponde a este cara aqui na rota er seis, esta é uma barra 25 enquanto que no Roteador 7, esta é uma barra 24 Porque suas máscaras sub net não correspondem, elas não formarão um oh navio vizinho SPF. Então a resposta aqui é não. Espero que isso tenha sido informativo para você e eu gostaria de agradecer-lhe a visualização. 26. 3.5 EVANGPFv2 parte 2: Oh SPF parte para transmitir e apontar para redes de ponto. Wes PF lida com redes de transmissão como sua rede Ethernet normal um pouco diferente do que lida com um ponto a ponto. E, a fim de entender que precisamos passar por cima do que a. d r e um BDR ISS que designado roteador eo roteador designado backup. E, você pode se perguntar, uma Disney e um roteador eram como um motorista designado? E de certa forma, bem, meio que é. Mas vamos acabar falando sobre o que é isso e a situação em que isso se torna útil nos próximos slides aqui. E então vamos para o laboratório e dar uma olhada e especificamente sobre o que estamos falando e quão baixo SPF lida com isso e onde você pode acabar vendo isso nessa configuração. Então vamos primeiro falar sobre o D.R e o BDR, então um D.R e uma beleza entram em jogo quando você está em uma rede de transmissão como sua rede Ethernet . Então, vamos primeiro falar sobre isso é que quando ocorre uma alteração de topologia, modo que uma rede não é mais acessível alterações de estado de link. O que você tem Oh, inundações SPF que mudam para todos os vizinhos cheios dentro L S U A atualização estado link. Portanto, se não tivéssemos um roteador designado, todas as atualizações seriam enviadas a todos os roteadores por todos os outros roteadores. Vamos falar sobre o que isso significa, certo? Certo, então digamos que temos roteador, roteador, roteador, roteador e digamos que esse cara tem roteador e esse cara, temos Network. E digamos que há apenas um interruptor aqui, e, uh, os roteadores estão todos conectados a este switch, certo? Tudo bem, então se Deus prefere um roteador para roteador três, Roteador quatro e melhor cinco. Certo, então Roteador 5, Digamos que esta rede aqui, digamos que isso vá para baixo. Boom pega fogo. Isto não é bom. Roteador. Cinco faz parte deste domínio Oh, SPF aqui, e ele vai em frente e envia para o seu oh SPF vizinho para o Roteador quatro, dizendo com uma atualização de estado Link que esta rede aqui em baixo não é mais acessível e deve remover a partir de sua tabela de roteamento. Incrível. É um roteador para receber que ele o processa. Então o Roteador 4 vai em frente e envia essa notificação para todos os seus vizinhos completos, que sem um D, R ou BDR seriam todos esses caras. Então ele envia para o Roteador para e Roteador três e roteador por dizer que esta rede aqui não é mais acessível roteador para receber essa atualização, e ele envia para todos os seus vizinhos completos. E, em seguida, o roteador um envia para todos os seus vizinhos completos, e o roteador três envia para todos os seus vizinhos. E você pode ver que de repente temos essa tempestade fora do trânsito onde esses caras estão enviando todas essas notificações de repente um para o outro que não são necessariamente necessárias nisso . Nós realmente precisamos ser capazes de controlar isso e especificar que em Lee, você sabe, certos roteadores devem notificar o resto da rede aqui que algo está inativo. Então é aqui que um D.R e um BDR entram em jogo é que o que vai acontecer é que digamos que o roteador um é o nosso diar e vamos dizer roteador para é o nosso BDR. Então o que acontecerá é que o Roteador 4 receberá esta notificação de que a rede está inativa e que ele irá em frente e deixar o Roteador 1 e o Roteador saberem sobre isso, e isso é tudo. E o Roteador 1 no roteador para que todos saibam especificamente, Roteador 1. Será que o D R informará todos os outros que, enquanto o BDR estiver, existe como um roteador designado de backup BTR? Ele realmente não faz muito, exceto apenas sentar lá e está pronto para agir como um backup no caso de o D.R cair. Na verdade, é um D. Não ser. Então. Então o Roteador 1 irá em frente e notifica os outros caras, e então é isso. Acabou com isso. Então, a maneira como isso acaba funcionando na razão pela qual eu especifiquei aqui que inunda todos os vizinhos completos especificamente é porque você só verá um formulário completo de navio vizinho entre um roteador e é Dior ou BDR. Ou se não houver D R ou BDR, como com um ponto a ponto link chegará a isso em um momento. Então ele vai em frente e inunda-lo Teoh seu vizinho lá, que é um vizinho cheio, mas não um relacionamento D R ou BDR, e que com seus outros vizinhos que não são d nosso ou bater ers você vai acabar vendo este tipo de relacionamento. Isso é chamado de dois sentidos é que ele tem uma relação de dois sentidos com ele, e ele será do tipo D R D r outro. Lá vai você, uh, e esse é o tipo de relacionamento que ele tem com esses outros roteadores que não são um D R ou um BDR, e que o D R e o BDR terão relacionamentos completos. Navios vizinhos completos com todos os seus vizinhos, com todos os caras que não são d nossos ou bgr. Assim, a maneira como um D, R ou BDR entra em jogo é que eles são eleitos como o roteador designado de volta e backup que eles usam o roteador i d. Usando o roteador mais alto i d. Por padrão olhos eleitos como o D. R. Ou você pode definir manualmente a prioridade do seu roteador, onde você pode entrar lá e definir a prioridade do roteador para poder especificar qual roteador é o seu D R e qual é o seu BTR. Em redes menores, isso realmente não tem um monte de jogo. Se você tem apenas 5 10 roteadores, tudo bem, não vai ser grande coisa Mas se você tem, você sabe, um monte de roteadores 10 51 100 Você sabe, na mesma rede aqui para onde você poderia realmente causar-se uma tempestade de tráfego no caso de haver uma alteração de topologia, então este é o lugar onde ele vai entrar em jogo e que você provavelmente vai querer escolher o seu carne, seus roteadores como o seu D r ou BDR para se certificar de que eles são os que são receber todo esse tráfego e aqueles que são responsáveis por enviar as notificações para seus vizinhos. Então, no caso de uma rede ponto a ponto aqui tipo de como uma rede serial, certo é que você pode ir em frente e dizer que existem apenas dois roteadores conectados e a notação que vamos acabar usando para este tipo de parece uma linha de raio , que esse é o seu link serial aqui. E uma vez que é cereal Oh, SPF é inteligente o suficiente para perceber que em um link serial, pode existir Onley dois dispositivos que é um ponto a ponto link, e por causa disso, ele não elege um D. R ou BDR. Só diz que só há dois dispositivos aqui. Nós só podemos nos comunicar um com o outro, e assim seja que eles estão apenas em um relacionamento completo um com o outro. Eles notificarão uns aos outros de todas as alterações em que não há d, r ou BDR, e ele definirá automaticamente o tipo de rede dois pontos a ponto. Se você tem uma estática aqui que eu listado aqui em seu show I P O S P f saída da interface, você pode ver que o estado ele vai deixá-lo saber que é um ponto a ponto. Ou pode deixar você saber que é uma transmissão. Nós também podemos definir isso estaticamente usando o comando de rede I. P. P. O S P F e este é um comando de configuração de nível de interface e ser capaz dizer-lhe especificamente que tipo de rede é se ele está chegando é um ponto a ponto. Mas na realidade é uma espécie de transmissão. Você só tem uma conexão serial para o seu multi acesso à sua conexão multi-ponto emissora de seu I S P. Então você pode ir em frente e configurá-lo como uma transmissão em vez disso. Onde isso acaba entrando em jogo um pouco mais é quando você lida com N b m A Networks. Tipo Mpls ou frame relay. Realmente? Mpls é mais uma transmissão, mas em frame relay você acaba com um N b m uma rede que, uh ou um ponto para rede multi-ponto que aqueles acabam afetando Oh SPF de maneiras diferentes que nós simplesmente não estamos realmente preocupados com agora, A CCN A não está preocupada com isso nos tópicos do exame, então não entrará em detalhes. Mas eu estaria ciente do fato de que esse é um item de configuração disponível. Então vamos seguir em frente para o que nosso laboratório montou vai estar aqui e o que vamos acabar cobrindo com isso. O próximo slide está um pouco ocupado, mas vamos passar por isso um pouco devagar aqui. Quero ir em frente e tentar limpar isso um pouco. Então o que temos é que nós temos você sabe, nossa principal rede de transmissão aqui, onde temos quatro roteadores totais neste domínio broadcast, certo, é que nós temos r um R dois r três e eu decidi adicionar Depois de tudo o resto são seis agora. Uh, eu fui em frente. Alistado as redes aqui é que nós temos a rede 10.1 ponto 23 aqui embaixo, a rede 10.1 ponto cinco aqui em cima e a rede 10.1 ponto quatro através deste link serial aqui. E esse Roteador 4 aqui está através do link serial do Roteador Um e esse roteador cinco anos através do link de transmissão que há apenas dois dispositivos aqui, mas eles estão diretamente conectados através de suas rápidas interfaces de internet zero barra um. Então essas são interfaces broadcast que o que eu queria mostrar é que agora eu tenho os endereços i p configurados em todas essas interfaces, e eu tenho todas as interfaces criadas. Então eu tenho 00 rápido em todos os nossos roteadores aqui em baixo. Temos o teu zero rápido no nosso router aqui. Cereais a zero aqui e rápido 01 aqui em cima. E o que eu quero fazer é ir em frente e configurar um SPF para todos eles com todas as suas interfaces, colocar todos esses caras em uma grande área. Zero para o processo O SPF número 100. E eu já tenho os endereços I p configurados. Eu tenho aqueles listados aqui que roteador é ponto para roteador seis 0.0.6 sem três 0.3 etcetera. Mantenham as coisas loucas para nós. E quero mostrar quais são os nossos tipos de relacionamento. Os tipos de navios vizinhos são semelhantes a partir da perspectiva de roteadores diferentes aqui. Então, do roteador um, quando fazemos um show, eu p o s p f vizinho, o que vamos ver? E do Roteador 3 Se formos em frente e fizermos um show I p o s p f vizinho, o que vamos ver? E eu também gostaria de ir em frente e definir nossas prioridades para que possamos especificar o roteador um, como nosso d está ligado. E então nós podemos especificar um de nossos outros roteadores aqui como nosso BDR já que realmente neste domínio de transmissão maior aqui entre roteadores, 1 a 6 e três, isso é realmente onde isso vai ter qualquer efeito e que nós estamos realmente realmente vai ver as mudanças aqui. Então, com isso, já que temos os endereços I P já configurados, vamos em frente e obter oh, SPF configurado. Eu vou fazer isso de uma maneira que não é a melhor prática, mas só para que possamos fazer isso bem e rápido. Então vamos passar para o Roteador 1 primeiro. Então, em vez de um vamos em frente ativar Se mostrarmos i p o S p f não há nada aqui porque o SPF ainda não está configurado. Então vamos em frente e fazer conflito e roteador. FPS 100. E então aqui, vamos em frente e ver que eu quero definir o nosso roteador I d ah, e definir este realmente alto para que possamos ter certeza de que este cara é o nosso é realmente o nosso Dior é que vamos em frente e fazer o roteador I d 101 100. Eu quero sair incrível. E então vamos em frente e torná-lo para que todas as nossas interfaces participem em Oh, SPF tipo vai fazer todo o 10 pontos E lembre-se, esta é uma máscara curinga. Assim como o inverso do que seria a sua máscara sub-rede, e vai estar na área zero. Incrível. Então isso deve trazer um SPF em todas as nossas interfaces. Se fizermos um show I p O S P f interface que temos cereal a zero Rápido 01 e rápido 00 estão todos aparecendo aqui e que aqui, como uma coisa rápida, vemos que o nosso zero ano rápido é do tipo de transmissão e que aqui em cima rápido 01 É também de tipo de transmissão e aqui em cima. Nosso cereal para zero é do tipo ponto a ponto que esse é o nosso tipo de rede aqui e que vai acabar sem d, r ou BDR no link serial aqui, e vamos ver isso em apenas um pouco. Então vamos em frente e adicionar o são configurados Oh, SPF nos outros roteadores aqui muito rápido. E então vamos dar uma olhada em como os mares vizinhos adjacentes se parecem. Deixe-me preparar um SPF bem rápido aqui. - Tudo bem . Então, agora que temos tudo isso configurado entre nossos caras aqui e aquilo, nós nos certificamos que o Roteador Um vai ser o D.R. D.R Porque nós definimos um roteador muito alto, eu d. Então vamos dar uma olhada como nossas naves vizinhas se parecem. Então, se você fizer um show? Eu p o s p f vizinho. E aqui estão algumas coisas interessantes. Então, primeiro acima de sua interface serial estamos em um estado completo e nós não temos um d, r ou BDR listados em tudo que ele está lá apenas porque ele está em um serial. É em um ponto a ponto link, Portanto, não há d r ou eleição BDR. Agora isso mostra o que o outro dispositivo é ou o que o outro roteador é Então em nossa rápida Internet 01 onde tivemos Roteador cinco. Vamos em frente e dar uma olhada rápida aqui atrás. Então, na nossa rápida Internet 01, temos o roteador cinco lá em cima. E esse roteador cinco é na verdade o d. R para este link para este link bem aqui. E esse roteador um é o BDR para esse link. Legal. Então, se saltarmos de volta aqui para o roteador um Roque rápido, então vemos que no nosso rápido Ethernet 00 Temos relação BDR com esse cara com roteador para e que temos um d são outros com Roteador três e Roteador seis. Agora temos um relacionamento completo através de um navio vizinho completo, que significa que vamos enviar nossas atualizações porque somos o BDR. Sinto muito que somos o d r, mas esses caras não são um BDR ou D r. Então eles aparecem como um D são outros e que se formos para dizer Roteador três ou roteador seis aqui, que vamos passar para o Roteador Seis e fazer um show i p O S p f vizinho parece Então aqui nós realmente vemos onde isso entra em jogo, certo? É esse cara Roteador 1. O único centenas é o roteador I D. Que ele é RDR e temos um relacionamento completo com ele e roteador para Ele é nosso BTR para este segmento. Mas esse roteador três não é um b a, d, r ou BDR e que ele tem um relacionamento bidirecional e que é um d são outros e que é aqui que a regra de dizer que as atualizações de estado de link em Lee ir para navios vizinhos completos realmente entra em jogo que vemos a partir da perspectiva DRS, todo mundo é um vizinho completo, mas de um non d R ou BTR que em Lee. Nós só temos relacionamento bidirecional com nossos outros vizinhos não di RBD R para que não enviemos atualizações. E apenas para mostrar a partir da perspectiva do BDR aqui, se saltarmos para roteador para real rápido e fazer um show I p O S P f vizinho, então também temos relações completas com todos, mas que também temos o d r outro para o nosso non d Vizinhos R ou BDR. Incrível. Agradeço por passar por isso comigo aqui, assim como os outros. Vamos fazer algumas perguntas de treino antes de terminarmos. Primeiro, quando se trata de uma política, ocorre uma alteração que os roteadores não devem. Vizinho SPF notificar. É um todo oh vizinhos SPF ser todo caminho e vizinhos cheios, é? Vê apenas vizinhos cheios? Ou Dean, sem notificações. Air enviou as mudanças refletidas no próximo é uma troca. Tenho perfurado isso na sua cabeça um pouco. A resposta. Aqui é só ver o trabalho completo e é por isso que temos o caminho completo e dois. E, finalmente, qual é o comando usado para definir manualmente a rede SPF tipo dois ponto a ponto agora. Eu só toquei nisso brevemente, mas isso é algo que pode surgir. É do nível da interface? A rede I P P P é ponto a ponto? É da configuração do roteador? Então isso seria se você entrar no roteador. Oh, SPF 100 é uma interface. Dê o nome da sua interface, ponto de rede O ponto é um comando de configuração global para roteador? Oh, SPF rede ponto a ponto Ou é também de um nível de configuração de interface I p o s p f rede tipo P dois p Agora, você provavelmente poderia dizer aqui a resposta é provavelmente da configuração de nível de interface comando e que é ou i p o S p f ponto de rede a ponto ou I P O S p f tipo de rede pita xixi on. A resposta aqui é um que é algo que especificado na interface individual e que é I p o S p f. Isso é para configurar. Oh, itens SPF em sua interface E então é o ponto de rede para ponto de comando para i p o S p f. Espero que isso tenha sido informativo para você e eu gostaria de agradecer por visualizar 27. 3.6 FHRPs: protocolos de redundância de primeiro salto. Este vídeo destina-se a cobrir o tópico do exame 3.5 especificamente que diz para descrever a finalidade do protocolo de redundância de primeiro salto. Agora, eu queria Teoh ir um pouco mais fundo do que isso e deixar você não só ser capaz de descrever o propósito geral de um f h r p, mas para dar-lhe uma idéia do que FH r p s ar lá fora, o que protocolos ar lá fora em como sua configurado e como eles diferem e um par de características de cada um há apenas três. Onde este vídeo vai ser apenas teoria. Aqui, não vamos para o laboratório configurar nenhum desses, mas vou ter algumas imagens da linha de comando aqui. Você pode ver como estes ar configurado. Eles são todos muito fáceis de começar no sentido básico. Pelo menos todos eles têm alguns recursos extras que podem ser configurados, assim como com qualquer um dos outros protocolos. Como oh, SPF como vimos, há um monte de recursos disponíveis, mas o exame no CCN um nível não está realmente preocupado com todos esses recursos e obter as coisas configuradas em um nível mais avançado. Há preocupação de que você saiba o básico aqui sobre como a configuração geral se parece e ser capaz de configurar isso e mais de um ambiente de negócios de pequeno ou médio porte e em vez de lidar com um tipo maior de ambiente que pode ter esses recursos avançados configurados. Agora, começando com isso, vamos em frente. Basta falar sobre o que é um protocolo de redundância de primeiro salto e por que ele está lá. Portanto, isso fornece redundância de hardware para um gateway de pontos finais. O que isso significa? Tudo bem, então digamos que você tem seus servidores aqui em baixo agora. Aviso. Quero dizer, estes são escuta pc 123 Mas eu estou levando para eles um servidores, sabe? Então nós temos eles geralmente dual homed para que eles estão conectados a dois switches diferentes ao mesmo tempo, usando dois Knicks diferentes em seu servidor para obter redundância ideal aqui sabe, provavelmente estaria no mesmo sentimento. Então eles estão conectados a circuitos diferentes. Estes interruptores desligam. Você ainda está conectado a um desses links. Vá para baixo. Você ainda está conectado. Quando esses Knicks caírem, você ainda está conectado. E neste caso, Se um desses roteadores cair, você ainda estará conectado devido à nossa redundância de primeiro salto. Isso fornece redundância para seu gateway que quando você configurar seu gateway padrão no servidor Windows aqui, você vai apontar para ele. O Teoh. Você sabe o seu 10.1 ponto 1.1 e esse será o seu endereço I p aqui. Agora, a maneira como esses primeiros protocolos de redundância de salto funcionam é que você geralmente tem esse tipo de roteador virtual bem aqui, certo, é que você tem seus roteadores físicos aqui, mas então eles acabam criar este roteador virtual que está aqui e que esse roteador virtual é realmente o que está encaminhado em seu tráfego, certo? É que quando você está pronto para este endereço I p, ele vai para qualquer roteador agora está ativo porque isso geralmente funciona em um formato passivo ativo , exceto para um g l BP. Mas vamos chegar a isso mais tarde que Onley, o que está ativo, irá em frente e responder ao AARP com um endereço Mac virtual, um endereço Mac que foi gerado com a finalidade de usar o f. H R. H R. P aqui e que no caso de este roteador ativo cair, pega fogo. Estes dois roteadores terão ah, manter o temporizador vivo entre eles. Então, no caso de você estar ativo, um cai, seu passivo aparecerá e começará a responder nesse endereço virtual do Mac. Porque lembre-se na camada dois aqui, Direita, Porque esta é a camada para usar seu gateway padrão. Estás a tentar sair da tua rede. Então, o que vai acontecer quando o PC 1 enviar o pacote para fora? Certo? É que você tem um endereço de destino? Digamos que você está tentando chegar aqui, sabe, no Google. Teoh um 0,8. Renee, você sabe que você tem um boom de nuvem conectado nas nuvens conectado a esses dois caras nisso. Parece uma bagunça. Esse tipo de nuvens. Esses caras estão bem? E aquele PC um quando PC um está enviando ah, pacote 28,8. O que é que isso vai fazer? Bem nesse pacote? Tem a fonte. Eu p e isso vai ser como o seu endereço I p. Certo? E o endereço Mac de origem. Só vou chamar isso de heroína, e então ele vai ter o destino. Eu estou certo. Então, o que não é fonte? Tenha o seu destino e o que vai ser? Isso vai ser o nosso 8.8 que é para onde o nosso pacote está destinado. Mas para chegar a esse destino, eu p ele precisa enviar este tráfego para seu gateway padrão, que vai ser este roteador virtual aqui em cima. Então o destino Mac será o endereço do Virtual Mac, certo? Então, quando nosso oito anos nosso roteador ativo, quando isso cair e for nove, assumir o controle como sendo o ativo, ele vai enviar o que é chamado de ARP gratuito. Vai dizer: “ Ei, Ei, a propósito, os endereços do Mac agora residiam aqui. Então, dessa forma, nossos switches podem atualizar as tabelas e ser capaz de saber que este endereço Virtual Mac este roteador virtual agora vive fora dessas portas aqui, certo? Ao invés dos portos do. Porque nossos nove agora estão ativos nesse grupo em vez de nossos oito, e é assim que esses protocolos geralmente funcionam. G O P P funciona um pouco diferente. Vamos repassar isso como o último protocolo aqui. Mas geralmente é assim que eles funcionam. Eles operam na premissa de uma ocular viva e virtual manter. E Max que no caso de H S r p que seu Mac virtual aqui quero dizer seu i p virtual ou 10 11.1 que este endereço I p realmente não pode ser atribuído a nenhum desses roteadores. Ele precisa ser apenas um endereço i p virtual que este mech virtual é atribuído a e que é assim que funciona. Então vamos falar um pouco mais sobre hs RP aqui e mostrar como isso é configurado de modo Ages R P É o protocolo de redundância de hot spare. Este é, na verdade, um protocolo proprietário da Cisco. Isso saiu antes de V. R P fez, que é o sabor padrão da indústria fora H SRP foi dito. E feito isso apenas RP requer que usemos três endereços I p. Como eu disse, que o I p virtual aqui não pode ser atribuído a nenhum de seus roteadores. Então, em uma circunstância como esta, certo é que em nossa Wanda $10 uma rede OK, fazer zero barra 24 em nossa rede 10 11, digamos, digamos, são oito tem ponto para e são nove tem 90.3 e, em seguida, nosso virtual roteador aqui tem 0,1. E esse roteador virtual terá um endereço Mac virtual que se parece com isso ou com isso, dependendo da sua versão do H S R P que você está usando. Versão um tem o primeiro aqui, versão dois se parece com a escada e que o x no final aqui Este é o número do grupo de seu hs RP failover do grupo de espera em Hexi Decimal. Então um seria 01 10 seria zero a. Porque lembre-se que Hexi decimal ir de zero a nove a a f. Então isso seria 10 11 b um A. Desculpe, ninguém A ou B zero b. Assim por diante. Portanto, a maneira como isso é configurado é no nível da interface, conforme configurado com o comando standby. Na verdade, é muito fácil fazer H srp rodando. Ah, de uma maneira simples aqui é que você acabou de usar o comando standby para ficar ao lado do seu número de grupo . Este é um número arbitrário que parece ser o mesmo entre os roteadores que você está executando. E então você dá seu comando i p e diz qual é o endereço virtual I p para que isso acabaria sendo o 10 121. Quero dizer, eu tenho 10 123 aqui nesta configuração como totalmente válida. Se você tivesse talvez um e dois para seus dois roteadores e, em seguida, três é o seu virtual. Mas se você quiser ir em frente e seguir as melhores práticas, tanto quanto eu numerando seu gateway padrão , a melhor prática é usar o primeiro ou o último endereço I p em sua sub-rede disponível lá. Então você gostaria de ir em frente e fazer Este é 10 1 para 1 ou 10. 12254 o que você tem? Mas isso é tudo o que você precisa para conseguir configurar o HS RP aqui. Agora, como você pode ver, a maneira como isso acaba funcionando é você. Está em espera, certo? É uma configuração ativa, passiva e o que você pode fazer e isso sempre surgiu em exames Cisco anteriores é você sabe, como você obter H S r P configurado em uma configuração ativa, ativa é que Deixe-me ir à frente e e apagar um pouco disso aqui é que se você tem seus dois roteadores aqui e você tem seu grupo de agentes RP um direito e são oito é seu ativo e são nove é seu passivo do que o que você pode fazer é você pode realmente criar um segundo grupo, criar grupo para a direita e ter o nosso nove b seu ativo e são oito cerveja passiva. E você vai ter um endereço diferente para aquele grupo de espera. Ah, endereço virtual diferente e você pode fazer isso em você pode ter metade de suas máquinas aqui em baixo. Seja apontado para o seu stand a grupo para dizer que este é 0.4 como o seu I p virtual para o seu grupo dois. Em seguida, você pode ter metade de suas máquinas apontado para 20.4 como seu gateway padrão e metade de suas máquinas apontou três como um padrão. O Gateway é uma maneira realmente complicada e meio que rotunda de obter uma configuração ativa e ativa fora de idades. RP. Mas é uma topologia de configuração válida e suportada. Eu só quero trazer isso à tona. No caso de ter sido, era uma pergunta. Então vamos falar sobre o sabor padrão da indústria fora do nosso f. H r p aqui e que é V. R. P. o protocolo de redundância do roteador virtual. Isso funciona quase exatamente da mesma maneira que H S R. P com o manter vivo e ter seu roteador virtual e endereço virtual Mac e seu endereço i p virtual. Isso é definido no RFC 5798 como a versão mais recente do R. P. Agora o R P tem o recurso especial onde só requer dois i ps e isso pode ser um fator definidor quanto a quando você é capaz de usar hs RP. Supõe-se que v. R p é que se você não tem ah muitos endereços I P disponíveis e você só tem que I p é do que você pode ter que ir em frente e usar V R. P em vez de h S R. P. Ele tem um Mac virtual que começa e se parece com isso da mesma maneira que o X X aqui é o número do grupo em Hexi Decimal e que quando eu vejo isso só requer para oculares porque o i p virtual pode ser o endereço I p de um dos roteadores que ele não precisa para ser um endereço I p não utilizado pode ser o de um dos roteadores. Então, dessa forma, se o roteador vai para baixo ou pára de funcionar, então o outro vai apenas assumir como tendo que eu p endereço. É configurado com o Comando V R P e muito da mesma forma que o comando standby. Temos o número do grupo V R P, o Comando I P e, em seguida, o endereço I P virtual que você deseja usar para esse grupo lá. Então, o seu V R P funciona quase exatamente o mesmo com o manter vivo entre a tude , para que ele saiba quando falhar e envia os Arps gratuitos e tudo assim. Agora vamos em frente e dar uma olhada no que age um pouco diferente aqui e que isso é G L B P agora g o b p o protocolo de balanceamento de carga Gateway. Este é também um protocolo proprietário da Cisco, e é o Onley FH r p dois nativamente suportam uma topologia ativa e ativa. O que isso significa é que você realmente tem esses dois roteadores tipo off diferentes em sua configuração G L B P é que você tem um A V g e um V f. Então o que isso significa é que você é um V G é seu gateway virtual ativo. Agora você está TVG responderá a todas as solicitações AARP. Então vamos em frente e desenhar nossa topologia aqui. Digamos que temos três caras aqui. Torne as coisas simples. Vamos em frente e fazer uma única troca. Boom, boom. Vamos, mas a nuvem vai muito. Vocês estão ligados assim. Incrível. E então vamos em frente e desenhar nossa estação de trabalho e nossa estação de trabalho e mais uma legal. E estes estão todos ligados ao interruptor, Michael. Então, digamos que já temos o Roteador 1 para no Roteador 3. Então, digamos que o Roteador 1 seja eleito como nosso V G. E que todos os outros, todos os roteadores participantes em G. O.B. O.B. P serão um VFW's em incluindo o seu A V G também pode ser um A V F. Portanto, um pedido virtual completo ativo é um roteador que está lidando com o tráfego do cliente. É encaminhar o tráfego de clientes para você. Então esse cara está em um VF, e esse cara está em um VF, certo? Então, quando eu enviar para fora em AARP Quando? Quando PC um aqui em baixo. Eu diria pc para PC três quando PC um envia AARP, o A V G vai responder e ele vai responder com seu próprio endereço virtual Mac. Você sabe que o A V. G ah assina ou dá endereços virtuais de Mac para cada um de nossos roteadores aqui que eles não usam seu próprio endereço Mac. Eles usam endereços Mac virtuais e que o A V G aqui responderá a esse AARP e responderá com seu próprio endereço Virtual Mac. Ótima. Então agora, por causa do meu dinheiro AARP, meu PC um vai avançar e começar a encaminhar todo o seu tráfego para fora do Roteador Um V F Ano . E isso é o que vai acontecer agora PC para quando ele enviar a nosso pedido. Um roteador V g One também vai responder, mas ele vai responder com roteador dois. Endereço virtual do Mac. Então, dessa forma, o PC dois agora enviará todo o seu tráfego por todo ou dois. E, em seguida, um PC três vai em frente e Arps para fora para seu padrão. Gateway A. V G novamente vai responder com roteador três, endereço virtual Mac e assim PC três vai enviar todo o seu tráfego. Então ele faz isso. Ele não funciona em um tipo round robin de moda, onde ele distribui a carga entre seus roteadores em round robin para que cada solicitação AARP sucessiva acabe respondendo com o endereço Virtual Mac do próximo roteador na linha do Próximo. Um VF na linha, e isso vai acabar acontecendo é que todos esses caras têm temporizadores vivos entre si , então todos sabem qual deles ou quais estão vivos ou não. Então, se um vai para baixo, o roteador para ouvir apenas vai para baixo, então o roteador três ou melhor, um que qualquer que esteja em linha com as prioridades, irá em frente e assumir esse endereço Virtual Mac. Ele vai enviar um ARP gratuito e assumir esse endereço Virtual Mac Para que um PC aqui ou eu sinto muito PC para, vez que estava usando roteador para PC Para não precisa enviar outro AARP e obter outra resposta do A V G saber é que é o endereço Virtual Mac que ele estava usando para o gateway ainda é o mesmo, e que o Roteador 3 está apenas respondendo a isso agora. E assim, o switch agora sabe que esse endereço Virtual Mac vive fora dessa porta em vez do roteador geral para, e é assim que isso acabará funcionando. Agora requer três i. P. no mínimo. Ele precisa de um i p virtual e também tem um endereço I p atribuído a cada roteador conforme configurado com o comando G L B P. É como os outros realmente aqui. Para obter a configuração básica, tudo o que você precisa fazer é g o B P grupo número I P e o endereço I P virtual que você deseja usar. Isso significa que se você olhar para a tabela AARP para seus PCs individuais, você vai acabar vendo seus endereços Mac diferentes para o mesmo endereço I p em Isso é válido. Essa é a maneira que deve ser é que você acaba obtendo o endereço Virtual Mac do roteador virtual. Isso, ou do encaminhador virtual que você está usando como seu gateway lá. Muito obrigado por passar por isso comigo aqui. Sei que tem sido muita teoria, mas assim como os outros, vamos fazer algumas perguntas antes de terminarmos aqui. Então, primeiro na topologia bolo V R P, que endereço Mac aparecerá no PC são tabela para 10.0 ponto 0.1. Então isso está dizendo que temos uma topologia V R p configurada aqui que temos um roteador como nossos roteadores físicos e que temos roteador virtual aqui como nosso roteador virtual. Então isto é 10001 aqui em cima agora. Roteador um também é 10 001 e roteador para é dezenas anos, ano ou dois. Então podemos usar, você sabe, o mesmo endereço I p aqui como um de nossos roteadores físicos para nosso roteador virtual. Você ganhou os recursos do R P. Agora, quando o PC um envia em nosso pedido de 10 001 você sabe o quê? O que? O endereço do Mac realmente aparece. O que faz o roteador um aqui? Se esse é o roteador ativo nesta topologia V r. P, o que é roteador? Uma resposta com. É o nosso Mac virtual ou o queimado lá atrás? O Mac físico lá e a resposta aqui? Apesar de não termos dito explicitamente. A resposta será o nosso endereço Virtual Mac. Então a resposta vai ser B C e é assim que você sabe que o V. R. P acaba funcionando. Então, dessa forma, quando o Roteador um for desativado, se esse for o ativo aqui, quando o Roteador um vai para baixo roteador para apenas assumir o endereço Virtual Mac aqui e ele envia um conjunto ARP gratuito, você tem um tempo de inatividade mínimo e uma interrupção mínima. Quando isso ocorre no véu sobre ocorre que ele usa ladrão, endereço Virtual Mac e acima. Em seguida, qual é o propósito de um F. H. R P não é fornecer roteamento de terra dinâmico, é para aumentar a largura de banda padrão do gateway? É para fornecer redundância de hardware para um portal terrestre? Ou é para complicar a camada de comunicação? Agora, tenho certeza que você poderia dizer imediatamente que D aqui é apenas para ter certeza que você está prestando atenção. Essa não é a resposta, e que eu queria ter certeza de que ele realmente veio através de qual o propósito de um F H R P é que ele está realmente lá para fornecer failover para fornecer redundância de hardware para a nossa primeira corcunda para a nossa terra Porta de entrada. Então a resposta aqui seria um lugar para fornecer redundância de hardware para um portal terrestre. E espero que isso tenha sido informativo para você. Eu gostaria de agradecer a você por ver. 28. 4.1 Configurando o NAT: traduzindo o endereço de rede de origem. Net é algo que se tornou extremamente relevante devido ao nosso uso para acessar a Internet fora. Traduzindo nosso endereço de origem i p de algum endereço interno que estamos usando sendo um espaço de endereço privado RFC 1918 ou um espaço de endereço público que eu já vi feito antes e traduzindo em um espaço de endereço público separado indo para o exterior que este oculta sua rede interna. Mas também pode ser muito útil quando você precisa fazer isso por razões de roteamento que se seu destino não sabe como chegar à sua rede interna ou não pode fazê-lo porque é um espaço RFC 1918 Andros, um espaço de endereço privado, então você pode precisar traduzir a fonte. Isso também pode ser útil em extremidades VP, onde você tem um espaço de rede sobreposto. Se você tem a mesma rede em ambos os lados, você pode ter que traduzir a fonte em criar uma pseudorede para que tudo é doble linha e você pode realmente obter comunicação entre os dois. Fonte. Net é muitas vezes abreviado como SS pescoço que é S e um T fonte net, e, em seguida, há também nettware destino traduzir o endereço de rede de destino de D Net. Então vamos primeiro falar sobre as diferenças entre estes. Então, sourcing A e D net, você sabe, você traduz o endereço de origem i p e sourcing e o destino para destino. Isso, é claro. Certo. Então, apenas a maneira como isso funciona aqui, certo é que nós temos 10.1 ponto a 0.0 barra 24 aqui neste lado e que eu diria nós temos ah, você sabe 1.1 ponto 1.0 barra 24 deste lado e que aqui, que este cara é ponto para e que este tipo é 0.0.1 dizem que este PC aqui quer aceder a este servidor. Digamos que isto é 1.1 ponto um ponto dois e que este é 20.1 aqui e ali. Quer ir em frente e acessar o servidor aqui? Enviamos nosso pacote, você sabe, com o destino de 1.1 ponto 1.2 e nossa fonte de 10.1 ponto para ponto, e ele atinge o roteador aqui. Agora, se não tivéssemos net, então o roteador irá em frente e encaminhá-lo para o nosso servidor aqui, mas o servidor iria recebê-lo. Tipo, “Oh, eu não sei como chegar a 10.1 ponto dois. O Eso vai largar, não fazer nada. Considerando que se temos fonte de rede disponível aqui e estamos traduzindo que 10.1 ponto dois em um 1.1 ponto um. E no caso da tradução de endereço de porta usada, a interface aqui usou o endereço 1.1 ponto 1.1 e isso é o que a nova fonte I p parece. Então, quando o servidor aqui recebe que vê um endereço de origem desta interface, ele sabe como chegar lá. Então ele enviará sua resposta de volta para este roteador com o destino que interface o roteador . No caso de tradução de endereço de porta irá procurar em sua tabela. Então ele vai ter uma tabela de rede aqui onde ele tem o endereço de origem e números de porta com a tradução e o que eles são traduzidos no exterior. Assim, ele sabe quando o tráfego de resposta volta. O que isso está traduzindo, Teoh, não. Oh, bem, isso é $10.1 ponto para ponto para que enviou isso. Então ele vai saber não traduzido Ele vai traduzir esse destino de volta para este PC aqui para que ele possa receber o tráfego de resposta. E é assim que rede de destino de redes de origem, você sabe, acaba trabalhando onde é muito usado para braços de saída são acesso de entrada a algum dispositivo interno. É o que dizemos? Você sabe que o 1.1 ponto um ponto para endereço traduz sempre para 10.1 ponto para ponto para que qualquer tráfego de entrada com os braços de endereço de origem esteja com o endereço de destino de Wanda Wanda, 1.2 será traduzido para este endereço interno é para permitir que você acesso de entrada a algum recurso interno do lado de fora. Então vamos falar sobre os tipos de rede fonte. Aqui está que há três sabores principais que temos apátrida e estado cheio. Fonte. Net Now apátrida. Sua fonte estática. Rede. Isto é apenas dizer que este endereço de entrada se traduz para este endereço externo. Lamento que este endereço interno seja traduzido para este endereço externo. Esse ponto 10.1 1.2 traduz para 203.0 ponto 113.2. É isso. Essa é uma conversão de rede estática que qualquer tráfego de saída usará apenas essa função não há necessidade de uma tabela de estado é que é apenas uma tradução estática agora com pool net ou nozes dinâmicas. Digamos que temos um punhado de endereços no exterior que podemos usar aqui dizer que podemos usar para 3.0 ponto 113.2 através 0.5. Digamos que temos três endereços I P disponíveis lá e que não queremos criar uma entrada de rede estática para cada um deles. Porque enquanto nós só temos três computadores aqui dentro que poderiam chegar ao exterior e nós realmente não queremos especificar que cada um tem que usar um endereço I p específico . Então, deixe-o escolher dinamicamente. E você apenas permite que o roteador saiba que ele tem esta pesquisa fora três endereços disponíveis e que, como essas máquinas, que são permitidas que o nós precisamos especificar que esses endereços são autorizados a ser narrados e que quando o tráfego que vai de saída é recebido. Se esse endereço dizer, o endereço 10 111 é permitido, Bean adicionado, então o roteador vai olhar para seus endereços de retirada e escolher um que não está sendo usado agora. E um sinal de que como uma tradução líquida para esse endereço de origem e que é apenas um 1 para 1. Não há endereço de porto. Tradução acontecendo é este todo o tráfego de saída vai acabar usando qualquer que eu p público que o roteador selecionado aqui e que essa entrada vai para a tabela de estado direito como nós obter nossa tabela de volta e nós temos aqui que o 10 111 corresponde até o 1110. 3, os dois ou 30113.3 endereço. E é assim que ele vai ser traduzido, desde que essa entrada permaneça na tabela de estado e agora para os tópicos do exame, não precisamos saber sobre tradução de endereço ruim ou também chamado net overload devido ao comando que é usado. Mas eu não queria escovar isso brevemente aqui. Isso é realmente o que este diagrama à direita aqui está mostrando é o endereço da porta. Tradução. Se você seguir os passos aqui que o nosso 10 111 está enviando tráfego para fora do host aqui, ele está enviando especificamente para o nosso host. Esteja aqui podemos ver na nossa tabela de estado. É a segunda entrada. Então, quando o nosso 10 111 dentro do host aqui o envia para fora e ele chega ao roteador, o roteador cria uma entrada em sua tabela de rede aqui na tabela de estado. E essa é a entrada inferior aqui é que ele está enviando para a porta de destino de 23 sobre fontes TCP dizer Net direita está tentando telnet toe host ser e que o roteador vai fazer uma nota disso e entender que a porta de origem que nosso computador aqui escolheu, que é apenas um número de porta aleatório que está disponível nesse computador, a porta de origem que ele escolhe 1024. Ele vai mapear isso para ser que a porta de origem e fonte i p endereços fonte Net. Isso é realmente traduzir o endereço de origem para ser este i p público. E que a porta de origem que estava disponível é 1024. Vai manter o nosso destino. I p importar o mesmo para que quando host ser recebe que ele pode ir em frente e responder. Então, passo três, você sabe, é quando isso foi traduzido e enviá-lo para o host ser passo fours quando host ser respostas como envia-lo com um destino I p endereço dos dois ou 301132 direito, porque isso foi o endereço de origem para o qual tínhamos traduzido isso. E então, quando o roteador recebe esse tráfego de resposta Passo cinco aqui. É isso? É a Annette. Isso é depois do processo de onde ele tinha essa entrada de tabela de estado. Recebe essa resposta. Ele vê que a fonte aborda este I p aqui e o destino é este I p e porto aqui. Então ele sabe que ele vai para esta entrada na tabela de estado e vamos Annette-lo para que o novo endereço de destino é este 10 111 juntamente com o número da porta de destino aqui para que ele é adequadamente ingerido por este computador. E, em seguida, quando você participar 112 aqui tenta fazer o mesmo e alcançar o host, consulte, em seguida, o roteador recebe ele cria uma nova entrada em sua tabela de estado. Aqui é esta entrada de topo aqui onde temos 10 112 como nossa fonte original e um arbitrário, número de porta arbitrário,gerado aleatoriamente lá, bem como um esporte dolorido. Ele está tentando telnet toe host, veja, Então ele apenas cria uma nova entrada em sua tabela de estado, e ambas as entradas existem na tabela de estado simultaneamente. Então, estes dois ar parecem que eles estão vindo do mesmo endereço público eu p aqui e que é apenas com um número de porta de origem diferente. E é aqui que a tradução de endereço de porta entra em jogo é que estamos traduzindo a porta para o endereço de origem para que possamos ir em frente e ter várias entradas em nossa tabela de estado e permitir que várias máquinas em nossa rede interna acessem o rede externa usando um único endereço externo. E então aqui eu listei as diferenças entre o estado cheio e apátrida. Net é que você sabe, quando você cria uma tabela de rede como esta, uma tabela de estado que é fel, que você precisa ter esta tabela mantida pelo seu roteador, enquanto que com a rede estática aqui que é apenas apátrida, você cria um boom de regra, nenhuma tabela criada. Você só tem as regras dizendo que este endereço interno traduziu este endereço externo no fim. Então vamos falar um pouco mais sobre os dois tipos de rede que são cobertos no exame aqui que é a rede estática e puxar rede que esses são também. Vamos ver como é a configuração deles, e então vamos para o laboratório e realmente configurá-los e mostrar o que acontece. Então, primeiro, pescoço estático. Então, como eu disse, isso atribui um único dentro I p para um único fora I p. E a terminologia vai querer usar é um único dentro local I p um único dentro global I p Tudo bem, então, como o I p externo é aquele que está pertencente ao seu servidor ou seu host do lado fora que você está tentando se conectar ao local externo é como o endereço de servidores externos parece do ponto de referência do seu dispositivo interno. Então, se você está fazendo destino net do que isso, I p endereço pode ser diferente do que o endereço real fora I P e, em seguida, você está fora. Global é como isso parece para o exterior o endereço externo real daquele host lá . Assim, a forma como a rede estática é configurada é que precisamos definir quais interfaces são nossas interfaces internas e externas. E então precisamos definir nossa regra. Então, a maneira como isso acaba indo é que você vai querer definir suas regras primeiro. Você diz que eu pnet dentro. Fonte estática. Então é fonte net e é um sabor estático fora de que este é o nosso endereço interno que é traduzido para o nosso endereço externo. Depois de criar sua regra, você pode ir para suas interfaces e especificar que você tem i p net dentro de um I p net fora para sua interface interna e externa. E isso é tudo que você tem para diligir. Nós só temos nossa regra para a rede estática, Especifique quais interfaces é e boom, estamos feitos. É tudo o que temos de saber com a Pool Net. Isso começa a ser um pouco mais complicado é que temos vários endereços externos que podemos usar, que significa que devemos ter vários hosts internos que são capazes de usar esses vários endereços externos. Mas precisamos especificar quem são esses hosts, e fazemos isso com uma lista de acesso aqui, não o acesso padrão menos o seu Onley especificando o endereço de origem i p. Eu criei uma lista de acesso padrão nomeada aqui que é chamada dentro de hosts, e é toda a rede 10 000 barra 24, e então você também precisa criar sua pesquisa fora endereços que podem ser usados. E você faz isso com o comando I.P. I.P. Net pool. Diga o nome da sua pesquisa, eu o nomeei fora da piscina aqui. Em seguida, você especifica seu endereço inicial no intervalo e seu endereço final no intervalo e, em seguida, também sua máscara de rede. Para esses endereços, eles serão a máscara de rede para a interface externa aqui. E estes são apenas endereços públicos que você tem disponível para sua organização atribuído a partir de seus I s P que você tem permissão para usar. E então, uma vez que você tem seu poste e sua lista de acesso definindo seu interior hospedado podem usar esse pool. Em seguida, você cria sua regra dizendo que você tem i amendoim dentro da rede fonte e que você especifica uma lista de hosts os hosts internos que têm permissão para usar seu pool e, em seguida, seus endereços externos que eles estão autorizados a usar. E então você pode ir em frente e especificar suas interfaces internas e externas para sua rede. Agora isso vai em frente e cria uma inveja. Eu Annette interface virtual. Você vai acabar vendo isso nos itens de log aqui no lob da CEI enquanto estamos passando pela configuração do laboratório. Então vamos saltar para o nosso laboratório e obter estática e puxar pescoço configurado aqui e mostrar como é isso . Então aqui está o nosso laboratório, esta área aqui, nosso interior, que esta é a rede 10 110 barra 24. O roteador aqui tem 240.1 PC um é ponto para PC três. Sinto muito PC 2 é 20.3 e, em seguida, o nosso lado de fora. Aqui. O roteador tem um endereço I P de interface externa de 1.1 ponto 2.1 e é uma rede barra 29. O gateway que ele está usando é 1.1 ponto para 0.6. Isso deixa para a nossa rede externa estática e pull que os endereços utilizáveis para que são 1.1 ponto a 0.2 a cinco. Que esses são os nossos endereços disponíveis para a nossa rede estática e puxar do lado de fora e vai estar tentando acessar ah servidor aqui que tem o endereço de 10 ponto para ponto para pregar. Na realidade, há um roteador aqui que é 10 ponto a ponto para 10.0.0.1 e que o servidor tem um padrão. Gateway apontou para esse roteador e que este roteador aqui tem Ah, nenhum gateway padrão. Mas nosso roteador um aqui tem um gateway aqui deste roteador que este roteador aqui é 1.1 ponto para 0.6 para que pense sobre isso. Quando o PC um tenta acessar o servidor aqui, nosso tráfego vai passar por cima do roteador um. Ele vai ter o nosso endereço de origem de 10 112 Agora, Roteador 1 vai avançar e traduzir isso para ter um endereço de origem de 1.1 ponto a ponto para Vamos apenas dizer que ele usa esse endereço. E então ele vai para Ford que sobre o nosso roteador aqui para seu gateway, porque o Roteador um realmente não sabe como chegar a 10 ponto a ponto para a rede. Então ele apenas o encaminha para seu gateway, que é o roteador aqui. Agora, esta rede está diretamente conectada para ele. Então oferecido ao servidor para servidor responderá de volta, enviando-o para seu gateway, que também é este roteador aqui. E então, como o endereço de origem parecia 1.1 ponto a ponto para então este roteador sabe como chegar lá, porque isso está em sua rede bem aqui nesta conexão entre esse roteador e roteador um, ele vai encaminhe-o de volta para o roteador um. Em vez disso, um vai Annette que o tráfego porque foi traduzido e encaminhar essa resposta para o PC um. Agora espero que tenha ficado comigo lá. Vamos em frente e saltar para a árvore GNS e dar uma olhada. Eu passei e configurei todos os endereços de interface I P aqui, e configurei o gateway padrão no PC 1 e no PC para ser roteado. Um deles configurou o gateway padrão no servidor aqui para ser este roteador que eu representei pela nuvem da Internet aqui. Então, a única coisa que precisamos fazer é configurar nossa rede no roteador um. Agora também quer passar e fazer algumas capturas de tubarão fio para que você possa ver que o tráfego está sendo traduzido e, em seguida, também podemos fazer alguns comandos show no Roteador um para que você possa ver como verificar se nossa rede está realmente funcionando. Então vamos pular para o roteador um aqui, e vamos ter isso configurado. Então, se eu for para o Roteador 1, é ir habilitar Primeiro, vamos fazer um show run. Então temos rápido. Unidade 00 é a nossa interface interna com 10.1 ponto 1.1. Eu sei que é gasto 2/2 duplex e 10 megabits olhos só porque a camada para alternar engenhoso três é um switch Ethernet que opera em 10 megabits half duplex. Eso eu coloquei isso lá para que não recebamos spam por um monte de mensagens de log. E isso é realmente sobre toda a configuração que temos. Há a nossa ronda padrão aqui, nomeada entre 21.1 e 0.6 para o nosso gateway. E isso é tudo o que temos. Então vamos em frente e configurar net. Condene E. Eu vou primeiro fazer nossa regra estática. Vamos fazer “I p net” dentro da Static. Eu sinto muito. Dentro da fonte estática. Excelente. E então vamos definir o nosso endereço de IP local interno. Então vamos permitir que o PC 1 vá em frente e acesse nosso servidor aqui. Uma vez que só temos uma rede Comandante uma fonte estática Nat aqui, eles iam se dar bem . Basta permitir pc uma vez vai fazer 10 112 que eu p endereço e que queremos traduzir. Isto irá traduzi-lo toe 1.1 ponto para ponto para. E isso é tudo o que temos de fazer. Aí está a nossa regra da rede. Então agora vamos para a interface rápida euro zero. Agora isto vai ser o nosso interior. Nós fazemos. Estou lá dentro, e há a criação da nossa inveja. Eu bem ali que leva alguns momentos. Excelente interface. Rápido. Você é um. Eu vou definir isso como eu p net fora. Excelente. E então agora que fazemos isso, se formos e apenas para mostrar i p estatísticas Nat e então aqui temos uma tradução ativa, estática que porque temos isso configurado, esta regra configurada, há uma estática tradução lá. Agora isso diz que há alguns hits e erros é porque eu estava experimentando com isso um pouco antes, mas vamos para PC um agora e vamos apenas fazer ping 10 ponto para ponto para, e isso é bem sucedido. Agora vamos descobrir o que está acontecendo lá é que vamos correr para o G na história e vamos executar uma captura aqui e, em seguida, aqui mesmo. Vamos tirar isso do caminho para que eu possa realmente chegar ao link e começar a capturar e ir, OK? E depois vou em frente e esperar que um tubarão arame carregue. E depois vamos pagar mais uma vez. Lá vamos nós. Tudo bem. Você sabe, deixe-me ir em frente. Mova estas capturas para a entrevista aqui. primeiro é a captura entre o switch e o roteador. Aqui está que vemos que temos a nossa fonte. 10 112 e nosso destino tendem a fazer e que não temos pedido de eco enviando. E depois temos a nossa resposta. E parece que, como uma fonte de 10 a 2 para o nosso servidor, tentamos fazer ping. E o destino é 10 112 PC um. Agora, se dermos uma olhada em como esse mesmo tráfego parece do lado de fora do nosso, então veremos que nosso endereço de origem foi traduzido. Aqui estão o endereço fonte é 1.1 ponto para ponto para agora, e nosso destino é 10 para 22 e, em seguida, a resposta aqui o mesmo é que nossas fontes tendem a para o nosso destino é 1.1 ponto para ponto para que obteve anat id na resposta aqui que vemos nossa resposta acaba tendo o destino parecer 10 112 E isso é o que nossa rede fonte faz é traduzi-la saindo e sem resposta voltando. Excelente. Então agora vamos em frente e remover essa configuração e dar uma olhada no que acontece quando fazemos, uh, uh, puxar a rede que primeiro. Quero mostrar-lhe aqui bem rápido se fizermos um show I p. Traduções líquidas. Agora isto listado aqui porque esta é uma tradução estática e que o nosso global interno é nosso 1.1 ponto a ponto para isso. Esta é a nossa interface externa I P endereço que está sendo traduzido para o nosso local interno é o PC um i p endereço de 10.1 ponto 1.2. Se eu for condenar E e removermos nossa regra. Oops, vamos não e remover regra Arnett e vamos fazer um show do I p. Traduções líquidas é que agora não temos nenhuma tradução porque a nossa regra não está mais lá. Então vamos para a nossa interface Fast Year zero. E você sabe que eu entro e interfira é rápido. Você é um tal. E sabe que estou lá fora? Incrível. Então agora que estamos começando de volta do início aqui, vamos em frente e configurar nossa rede dinâmica são puxados isso. Então a primeira coisa que precisamos fazer aqui é criar uma lista de acesso que a lista de acesso padrão que define nossos endereços de rede interna que podem ser adicionados, Vamos fazer I p. Isso é uma lista de esconderijos. É uma lista de acesso padrão. Vamos chamar isso de hospedeiros internos de incrível. E então vamos ter que ser uma declaração de licença. Agora, apenas para ter certeza que a entrada comum que você geralmente acaba tendo no final da lista de acesso é permitir qualquer um para ir em frente e certificar-se de que qualquer coisa é permitido. Você não vai querer fazer isso aqui porque estamos apenas permitindo os endereços ou as redes que estão autorizados a ser um adicionado. Então vamos em frente e permitir a rede 10 110 barra 24. Então 10 110 e, em seguida, este é bits curinga. Então temos 0.0 ponto zero ponto para 55 Uma vez que é o inverso de uma máscara de rede, e então isso é tudo o que precisamos. Incrível é agora que criamos nossa lista de acesso chamada dentro do host. Vamos em frente e criar nosso pool de rede. Assim como o I.P . piscina net. Maria chamou isso de legal, e o ano do endereço inicial vai ser 1,1 ponto para ponto. E lembre-se, o último endereço I P disponível que poderíamos usar do lado de fora foi de 1,1 ponto para 0,5 e que a máscara de rede do lado de fora aqui vai ser 29 bits diz 25525555248 Wops. Eu tenho que escrever o comando net mass e depois dá-lo como uma máscara de rede. Eu poderia ter especificado o comando comprimento do prefixo e dado 29 em vez disso por figura. Escrever em decimal pontilhada é um pouco melhor para a prática aqui e lá iria. Temos o nosso pool de rede configurado. Então, agora vamos em frente e criar nossa regra de rede dinâmica. Poderia ser i p net dentro da fonte. E aqui é onde fazemos a lista. E esta é uma lista de acesso descrevendo endereços locais que está dentro de hosts dentro hosts hífen. Vamos nos certificar de que está correto. Sim, dentro dos hospedeiros hífen e, em seguida, nossa piscina e nosso nome de pesquisa aqui é rede hífen pool. Excelente. E agora criamos nossa pesquisa de rede dinâmica ou regra de rede dinâmica aqui. Então agora vamos passar para a nossa interface rápido euro zero e fazer I p net dentro. Lá vamos nós e fazemos interface rápida ano um. Eu p net fora. Excelente. Agora, se você ir em frente e fazer um show I p estatísticas net. Agora, isso parece um pouco diferente aqui, certo? que o que está acontecendo é que nós temos nossa interface externa e rápido ano um dentro interface rápido 00 e que nós temos, você sabe, alguns dos hits e erros aqui de quando tivemos nossa rede estática configurada. Mas realmente, nós temos nossos mapas dinâmicos aqui para a rede fonte interna é que nós temos nossa pesquisa aqui que está listada como Nat Pool e a máscara de rede para esse pool é barra 29. Começa às 10. 112, sinto muito. 1122 e termina em 1125 Foi tipo genérico. Não precisamos saber o que isso significa. E isso nos diz o número de endereços disponíveis em nosso pool, o número de endereços que foram alocados e, em seguida, o número de Sra So se receber uma solicitação de tradução seu tráfego de saída. Mas sente falta disso. Então isso iria listar aqui e depois aqui Ele lista o número de traduções expiradas que este era quando tivemos nossa rede estática que essas traduções acabaram expirando. E aqui vamos ver. À medida que avançamos e criamos nossas traduções enviando tráfego de saída, nosso número de traduções ativas dinâmicas aumentará e nosso número de endereços I P alocados em nosso pool aumentará. E a mesma coisa se mostrarmos I p. traduções líquidas. Mas não temos nenhuma tradução agora. Então vamos para o PC um e, em seguida, Ping 10 ponto para ponto para ponto novamente. E isso é bem sucedido. Vamos voltar ao nosso show I amendoim traduções osso. Temos nossa tradução agora, então isso criou uma tradução dinâmica para nosso porto aqui, dizendo ICMP que há uma conexão lá que acabará o tempo. A nossa desculpa acabará por expirar. Mas há também criado apenas uma tradução estática para nós e que com isso, se nós saltar para PC para aqui, verificar muito rápido, nós mostramos I p entrevistas Breve. Excelente. Isso está configurado Mostrar que escrevi. Excelente! Isso é configurado mais coping 10 ponto para ponto para ele vai ter que AARP em torno, e então ele é bem sucedido. Agora vamos em frente e saltar de volta para o nosso aqui. Vamos fazer um show I traduções amendoim que agora temos duas traduções listadas aqui. Lembre-se, este ar tanto para ICMP mostrando o protocolo. Mas nós temos essas traduções estáticas aqui. Eles não são estáticos, sua dinâmica. Mas estes foram criados dinamicamente que fizemos 1.1 ponto a ponto para é o nosso primeiro 1.1 ponto 2.3 disponível como nosso segundo disponível que ele usou o próximo endereço disponível em nosso pool. Você poderia mostrar I p. Estatísticas líquidas que agora temos dois endereços alocados e que temos três traduções dinâmicas e uma estendida que isso é devido à nossa mistura entre endereços I P alocados e nossa tradução ruim aqui que ele está realmente prestando atenção à camada para obter informações, dizendo que este protocolo é ICMP Great. Agora eu sei que isso tem sido um pouco longo aqui e obrigado por tirar o tempo para passar por isso comigo, assim como os outros. Vamos passar por algumas perguntas antes de terminarmos aqui, então vamos voltar ao nosso ponto de força. primeiro é um estado de configuração pull net ful ou apátrida. Agora, isto deve ser bem rápido. Óbvio é que você percebe que nós precisávamos criar nossas traduções nesse estado tabela cheia naquela tabela net e que por causa disso, nossa configuração de pesquisa é o estado fel que ele precisa para criar esta tabela dinâmica o estado tabela para o czar mapeamento externo interno. Resposta é um e, em seguida, finalmente, na saída abaixo do show I p. Estatísticas líquidas, que tipo de rede está sendo usado agora? Aqui vemos que temos algumas traduções ativas e que temos duas traduções dinâmicas . Então, isso por si só diria que não estamos fazendo rede estática e que isso pode ser tradução de endereço de porta, ou pode ser uma rede de pool. E aqui vemos que temos uma pesquisa configurada e que temos nosso acesso menos dentro do host. Puxe a piscina externa. Este é o nosso mapa dinâmico aqui que ele está fazendo pull net em vez de tradução de endereço de porta . Portanto, a resposta aqui seria: Espero que isso tenha sido informativo para você e gostaria agradecer a sua visualização. 29. 4.2 Configurando NTP: rede, protocolo de tempo configurando servidores e clientes. Protocolo de tempo de rede onde o NTP foi criado nos anos oitenta. E foi quando você possuía redes estavam apenas na sua infância, e muitas das diferentes partículas e padrões que usamos hoje estavam sendo desenvolvidos, criados e revisados. E isso permitiu que os dispositivos de rede prosseguissem e sincronizassem seus relógios com precisão relativamente boa. Houve modificações adicionais feitas no NTP para sincronização de tempo de alta precisão. Mas o NTP definitivamente faz o trabalho para nós aqui com o Cisco Iowa. Temos a capacidade de configurar nossos dispositivos como servidores NTP, modo que eles atuem como um mestre onde outros dispositivos podem sincronizar seus relógios com ele , ou clientes NTP onde sincronizamos nosso relógio com algum outro servidor NTP. Ser uma fonte externa pode estar na Internet ou fonte interna, talvez outro roteador ou um servidor dentro do nosso ambiente, ou também podemos configurá-los como um NTP. Pierre, que é basicamente apenas um servidor e cliente, estavam sincronizando nossos relógios uns com os outros. Então, apenas como uma ilustração rápida disso, veja tem roteadores aqui e eles estão conectados se eles são pilares NTP uns com os outros do que esse cara Roteador um e esse roteador cara para eles estão sincronizando seus relógios uns com outros. Esse é um servidor e um cliente. O outro é um servidor no cliente lá, sincronizando uns com os outros. Agora também temos a capacidade de autenticação, e vamos falar sobre isso um pouco mais quando entrarmos em alguns slides aqui. Então, primeiro, vamos falar sobre o protocolo de tempo de rede NTP que, como eu disse, permite que dispositivos sincronizem seus relógios. A revisão atual é a versão do NTP para, e isso é definido no RFC 59 05 Você não precisa necessariamente saber disso, mas algumas pequenas informações que podem ser úteis mais tarde. Ele geralmente opera no modelo de servidor cliente em vez de nosso emparelhamento. Como eu acabei de explicar onde o cliente quer puxa o servidor, ele pode solicitar uma atualização do servidor, puxando-o ou o servidor pode ser configurado de tal forma que é apenas transmitindo atualizações de tempo periodicamente que depois de um certo número de segundos ou minutos, ele vai em frente e transmite ah, atualização de tempo e que seu cliente pode apenas ser configurado para ouvir essa transmissão em vez de puxar o servidor real para uma atualização de tempo neste laboratório aqui. Quando chegarmos a isso, vamos acabar configurando isso no método de sondagem com o servidor cliente tal que na verdade estavam puxando nosso servidor. E isso opera sobre UDP 123 porta por padrão. Isto é listas de conexão, Como você pode ver que ele opera sobre UDP. Podemos alterar esse número de porta, mas é assim que ela funciona por padrão. Agora, uma das palavras usadas no NTP é estrato e o conceito de um nível de estrato agora um nível de estrato é quantos saltos você é de um relógio de referência são do relógio mais confiável. Então aqui em cima. Não, este relógio de referência estrato zero. Este vai ser seu relógio atômico ou seu césio Adam Fountain, onde você sabe, isso é em Denver, Colorado, nos Estados Unidos ou em outras áreas do mundo onde eles têm, você sabe, este relógio atômico altamente guardado que é definido para ser a fonte de tempo sobre isso. Isso é um relógio estrato zero. Você não pode configurar um dispositivo Cisco para ser um estrato zero, você pode configurá-lo para ser um nível de estrato ah específico. Mas ele não vai aceitar um estrato zero como um item de configuração lá porque ele sabe que não é um estrato zero relógio que este vai ser como o nosso relógio atômico e outros vários relógios de referência que são mais confiáveis. Cada salto que você começa adiciona um número lá, então os que estão conectados diretamente a esses relógios serão estratum. Um dispositivo conectado a esses servidores será estrato. Dois dispositivos conectados a eles serão estratum três assim por diante e assim por diante. E vamos ver onde isso aparece em nossa configuração e nossos comandos de verificação daqui a pouco. Então, para o nosso servidor NTP, se você quiser ir em frente e configurar um dispositivo como servidor NTP, o no IOS, ele deve ser definido como um mestre NTP ou tem que afundar seu relógio de outra fonte de tempo para ser um servidor. Então, para que os clientes possam puxar seu dispositivo, digamos que temos nosso roteador aqui e temos outro roteador aqui e que esses caras estão conectados e que queremos que seja nosso cliente e queremos que esse cara seja nosso servidor. Vamos ligar para este um e dois e o nosso cliente aqui está a sondar o nosso servidor. Se o nosso servidor não é definido como um mestre NTP e ele não está afundando seu relógio contra alguma fonte de tempo fora do que isso simplesmente não vai funcionar, ele não vai permitir que você afundar esse relógio Porque o relógio número dois aqui não é considerado como sendo fonte de tempo fora do que isso simplesmente não vai funcionar, ele não vai permitir que você afundar esse relógio Porque o relógio número dois aqui não é considerado como sendo confiável em tudo. Não está afundando de alguma fonte e não definido como sendo um mestre. Então precisamos ir em frente e fazer isso. Nosso intervalo de sondagem padrão para nossos clientes acabará vendo que em nossa configuração ele acaba sendo 64 segundos e que três pesquisas bem-sucedidas são necessárias para sincronizar nosso relógio. É por isso que quando as pessoas dizem que o NTP não é um protocolo rápido, como você pode dizer agora, não leva mais de três minutos para ir em frente e afundar seu relógio na primeira vez aqui. E a partir daí, pequenos ajustes são feitos durante cada votação. Mas nosso intervalo padrão é um minuto ou pouco mais que em 64 segundos. Não há nenhuma configuração necessária para ser um servidor se o tempo já estiver sendo afundado de outra fonte, pois podemos dizer aqui que se você já estiver afundando e estiver usando o Comando do servidor NTP que você verá no próximo deslize que este comando é o que nos permite e você sabe, um endereço I P aqui que este é o que diz ao nosso dispositivo para ser um cliente NTP para afundar de um servidor. Com este endereço I p que se você já está afundando de algum outro servidor que não grande, você é um servidor agora você pode aceitar mensagens de sondagem de cliente NTP, e você vai responder a ele que você é um servidor agora. Por padrão. Não há nenhuma configuração adicional necessária. Você não precisa especificar seu dispositivo para estar em um servidor NTP. Como eu disse, use o mestre NTP. Ele comanda. É um comando de configuração global definir este dispositivo como um servidor sem afundá-lo de uma fonte de tempo externa para dizer que nosso relógio é considerado confiável, mesmo que ele não esteja sendo afundado de outra fonte. Estou considerando isso como confiável, e vou servir desta vez como uma fonte confiável. Na medida em que a autenticação vai para o servidor configurar a autenticação nesse lado, você precisará especificar na chave de autenticação com o Comando de Chave de autenticação NTP. E isso realmente assume a forma de chave de autenticação NTP. Você dá um número de chave aqui especificado. Esse é um MD cinco hash que ele estará usando para transmitir essa chave. Outras versões talvez tenham outros métodos, mas como você verá em nossa configuração, só teremos a opção para MD cinco. E então nós vamos especificar alguma string aqui como nossa chave nisso. Esse é o formato de todo o comando. Aqui está nós damos chave de hífen de autenticação NTP. Dê um número de chave especificado. Use MD cinco para transmitir e que especificamos nossa chave real aqui e, em seguida, por padrão. A autenticação NTP é desabilitada tanto no cliente quanto no servidor, então precisamos habilitar a autenticação anti P especificando NTP. Autenticar. É assim que ele configura o nosso servidor, certo? É que ou precisa afundar de fora ou ser um mestre NTP, e então podemos configurar nossa autenticação desta maneira aqui. Agora, para a configuração de nosso cliente, há um pouco mais que precisa ser feito para nossa autenticação, mas está além disso, há apenas um comando realmente necessário para configurar nosso dispositivo como um cliente NTP. E esse é o comando do servidor NTP que se você não quiser usar nenhuma autenticação, ótimo. Basta especificar o servidor NTP e dar o endereço I p do seu servidor NTP e pronto. Não precisas de fazer mais nada para sincronizar o teu relógio. Podemos ir em frente e verificar nossa sincronização de configuração e TP usando os comandos aqui , mostrar status NTP e mostrar associações NTP nossa primeira saída aqui. Isto é mostrar e associações TP. Vou explicar o resto desta saída em apenas um momento aqui e aqui em baixo. Isso é show NTP status. Então, primeiro, nossa configuração para nossa autenticação apenas um pouco mais envolvida. Precisamos especificar nossa chave de autenticação NTP como o quê? O servidor. E, em seguida, também precisamos especificar que queremos usar essa chave para autenticar o servidor que estava tentando sincronizar com. Então, fazemos isso com o comando de chave confiável NTP para autenticar o servidor e, em seguida , é claro, também precisamos habilitar a autenticação NTP com o comando NTP authenticate também. Agora, se você estiver fazendo a configuração do cais, lembre-se que, se formos em frente e tivermos dois dispositivos aqui, eles estão conectados e eles estão realmente sincronizando uns com os outros. Em seguida, para fazer isso com autenticação, também precisamos especificar nossa chave de autenticação em nosso comando NTP server. Então, é realmente servidor NTP, e você dá o endereço I P e, em seguida, você especificar a chave e dar o seu número de chave aqui que ele estará usando para sua autenticação de peer. Não faremos a configuração ou autenticação do cais aqui. Apenas o servidor cliente por isso pode aparecer nos exames. Vou cobrir isso brevemente. Então, nossos comandos de verificação. Vamos repassar estes bem rápido. Então o show NTP associações, que é a nossa primeira saída aqui que primeiro aqui em baixo, a primeira coluna é o endereço. Este é o IP endereço IPdo servidor NTP que estamos usando para nos sincronizar. Então este é o endereço IP. Estamos sondando para tentar sincronizar o relógio de referência Ref relógio. Este é o endereço I P do servidor que o nosso servidor é aquele que estamos tentando puxar. Este é o endereço I.P que ele está sincronizando deste 1 para 71277.1. Esse é um endereço de olhar para trás que indica que ele está sincronizando de si mesmo que ele está realmente configurado como o mestre NTP verá isso no laboratório em alguns minutos aqui quando entrarmos nisso. Mas isso é apenas dizer que este é o nosso servidor aqui com o qual estamos sincronizando é especificado como um mestre NTP. Isso é sincronizar contra si mesmo. A coluna S T. Este é o estrato. O número do estrato fora do servidor estava sincronizando com Ele é estrato 16 quando isso está dizendo quantos segundos atrás nós pesquisamos pela última vez a pesquisa do servidor. Esta é a frequência em segundos que puxamos esse servidor e os últimos quatro aqui alcançam, atraso, deslocamento e dispersão. Estas são apenas algumas especificações sobre a diferença de tempo entre o nosso relógio e o servidor lá que nós realmente não precisamos prestar atenção a isso, que Ah, esses exames CCN só vai cobrir a configuração e a verificação onde você poderia encontrar certas informações que isso fica um pouco profundo na teoria aqui de como o NTP funciona em como ele acaba realmente sincronizando seu relógio. Então, o segundo Comando de Verificação aqui é seu status de show e TP. Então mostre o status do NTP. Isso também lhe dá muita informação. Nem tudo. A maior parte você não precisa. Então, primeiro em nossa primeira linha aqui vemos que nosso relógio está sincronizado. No caso de não estarmos sincronizados, isso diria que o relógio é um Nzinga em ized e uma vez que está sincronizado, ele está nos dizendo em que nível de estrato é e qual é o relógio de referência. Então este relógio de referência é diferente desta coluna aqui. Este relógio de referência é o endereço contra o qual estamos afundando. Uma vez que estamos sincronizados, este é o que estamos afundando contra. Ah, e coincide com o número de endereço aqui em cima o 68.1 34 não o 1 21 aqui em baixo. A maioria das outras informações está apenas dando informações sobre a freqüência do relógio, o relógio do hardware e também nossa dispersão e dispersão pura. O atraso e compensar Thea outras informações do Comando da Associação NTP que eu estava dizendo que não precisamos do Teoh. Preste atenção. Teoh são tempo referenciado. Dá aqui em Hexi Decimal. O Aziz. Bem, como um formato de hora padrão aqui para os Estados Unidos do dia, mês, ano, dia, semana etcetera em Isto é em tempo UTC tempo Universal coordenado em também o que o precisão está na frequência. Você realmente não precisa saber como isso se aplica. Em geral, você nunca vai usar isso Os itens que você vai querer notar ou tomar nota de que este é lugar onde você vê se o seu relógio está sincronizado ou não e com quem ele está sincronizado. Quando você mostrou que no seu show associações NTP bem como algo bem no nosso show NTP Associations Command Se voltarmos a isso por apenas um minuto, aqui está a lenda aqui em baixo que o no caso de termos vários, uh, Servidores NTP configurados aqui, que podemos que ele vai em frente e puxar cada um e acabar determinando qual é o mais preciso em ser capaz de escolher esse servidor como aquele para sincronizar. Então o servidor com o asterisco ao lado dele que este é o que estamos sincronizados com se ele tem um sinal de libra ao lado dele, é um mestre, mas não estamos afundando contra ele. Ele pode ser selecionado com o sinal de mais. Mas isso é se tivermos múltiplos. Em seguida, ele irá selecionar o que for o mais preciso em. E então o asterisco acaba confirmando que estamos realmente afundar com esse, uh, o menos ou o hífen. Assine aqui que este é um candidato. Isso também mostraria se tivéssemos vários servidores NTP configurados e, em seguida, também. Se ele está configurado é com o sinal til aqui. Como pudemos ver, configuramos este servidor NTP e é o nosso mestre e pia eso Tem o asterisco e o til ao lado dele lá e, em seguida, por último, deste lado, a última coisa antes de saltarmos para o laboratório real Rápido. Quero dar uma olhada na captura do tubarão de arame de uma sondagem do NTP aqui. Então o primeiro bit é que podemos ver que a nossa fonte este é o nosso cliente NTP aqui, e este é o nosso servidor NTP. O 0.129 é o servidor 0.131 é o cliente que enviamos nossa pesquisa e acabamos recebendo volta. E se você notar aqui, 64 segundos se passaram entre quando nossa primeira sondagem aconteceu em nossa segunda pesquisa aconteceu que esse é o nosso intervalo de pesquisa padrão aqui e que o tipo de informação que está incluído nisso. Isto é primeiro dizendo que estamos usando NTP versão três e que temos uma mensagem de cliente e uma mensagem de servidor em resposta e que isso nos dá um monte de informações. Aqui estamos usando autenticação e estamos usando a chave número um com nossa autenticação que quando eu disse, nós especificamos o número de chave que isso está realmente dizendo em nosso pacote NTP aqui qual chave eu d que estamos usando. Aqui estão as informações sobre a hora em que a origem do carimbo de data/hora de referência recebeu transmissão a referência i d a dispersão da rota, atraso, etc, e também o número do estrato do relógio que é desinteressado saber lá como Bem, voltando para aquele estrato e quão longe estamos de um relógio mestre ou de um relógio mais confiável já. Legal. Então vamos em frente e saltar para o laboratório aqui. Vamos dar uma olhada no que nossa topologia vai ser. E vamos obter servidor NTP e configuração do cliente indo e configurar a autenticação entre eles também. E isto vai ser muito rápido aqui para nós. Então vamos em frente e dar uma olhada. Nosso laboratório aqui, teremos três dispositivos no total. Tenho três em vez de um e são para eu sei que o nome não é incrível que eu acabei jogando com este laboratório por um tempo aqui, e isso é o que eu resolvi. Então, claro, indo com nossa convenção usual é que nossa rede entre nossos três e roteador um será 10.3 ponto um como uma barra 24 e entre roteador um e roteador para seu poderia ser 10.1 ponto para seu também um barra 24. Também ficar com convenção é que o roteador um é 10.1 em suas interfaces ao redor. Forçado a sair para o terceiro round é 30.3 etc. Nisso, o que vamos fazer é definir o Roteador 4 para ser um mestre NTP. Vai ser um roteador mestre. Um vai ir em frente e afundar com roteador para, e o roteador três vai afundar com o roteador um. Esse roteador um vai ser tanto um servidor quanto um cliente. E o Roteador 3 será apenas um cliente e roteador para será apenas um servidor. Ele será configurado como um mestre NTP, então ele não precisa sincronizar com uma fonte de tempo externa. Então vamos em frente e primeiro saltar para o roteador para e obter isso configurado. Nós estamos indo para dio autenticação entre todos esses caras aqui que precisarão ir em frente e configurar roteador para ter uma chave de autenticação e habilitar a autenticação em. Vamos precisar configurar o roteador um com uma chave confiável para o que usar vindo do roteador quatro e, em seguida, também com uma chave de autenticação e para habilitar a autenticação e, em seguida, o roteador três com a chave confiável também. Roteador um muito semelhante. Vai acabar sendo quase a mesma coisa. Então é o primeiro salto sobre o roteador quatro e obter isso configurado. Eu já configurei os endereços I P em nossas interfaces aqui e os nomes de host, mas isso é que ele só precisa ir em frente e configurar e teepee e a autenticação, então ele está passando por roteador para aqui em seus quatro. Vamos em frente e não habilitar nenhum condenado. Primeiro, vamos fazer um show. Do show run include MTP Nós não temos nenhum comando de configuração NTP em nossa configuração em execução . Agora, se eu fizer um fazer Mostrar associação NTP que nós não temos quaisquer associações NTP se eu fizer um show status NTP, nosso relógio é um NSYNC rin ized onde no estrato 16 foram considerados o menos confiável possível e que nós não têm um relógio de referência, não teríamos relógio de referência se um NSYNC Rin ized. Então vamos em frente e nos definir como um mestre. Mas, na verdade, antes de fazermos isso, vamos configurar nossa autenticação. Não, rápido, vamos fazer a chave de autenticação NTP. E, em seguida, aqui, nós especificamos, são o número chave fazer a chave número um. Vai e cinco hashing que usarão para transmitir essa chave, e nossos heróis chave é “Chame isso anti pico”. E isso é tudo o que precisamos. Incrível. Então, e vamos em frente, habilite a autenticação com autenticação NTP. Na verdade, antes de fazermos isso, vamos dar uma olhada aqui nas opções aqui para NTP é que temos o seu grupo de acesso. Podemos controlar o acesso para especificar que apenas certos clientes podem ser capazes de acessar isso. Podemos habilitar a autenticação NTP e especificar a chave. Satisfaça o nosso relógio, ponto final. Se queremos fazer mensagem. Log Act é um mestre para peer, disse um servidor NTP, etc. Então é para autenticar NTP. Incrível, e vamos definir. Este é um mestre NTP. Ótimo. Então, agora que fizemos isso, vamos fazer um show NTP Association. Então agora podemos ver que temos uma associação com o nosso eu em que estamos instantaneamente afundar nosso endereço. Aqui está um olhar para trás em nosso relógio de referência é o mesmo loop de volta. Se eu fizer um show e tp status, nosso relógio é sincronizado com estrato. Oito. Que o que estamos sincronizando é o estrato sete. Então eu sei que isso é um pouco confuso, mas acabamos como um estrato oito aqui, e nossa referência é o endereço de loop back, e podemos ver que eles são incríveis. Então vamos passar sobre o roteador um, e vamos configurar nossa autenticação e configurá-lo como um cliente NTP para sincronizar o roteador para incrível. Vamos fazer autenticação NTP. Chave chave número um usar MD cinco para transmitir e NTPC mas e DPP? Excelente, já disse. Agora precisamos ir em frente e especificar a chave confiável para identificar nosso servidor que configuramos a autenticação geral são quatro. Precisamos dizer isso a única sincronização com servidores que fornecem a manutenção confiável do NTP. Portanto, a chave confiável do NTP é a chave número um. Excelente. E, em seguida, precisamos ir em frente habilitar e tp autenticação com NTP authenticate Great. E então podemos ir em frente e especificar que queremos sincronizar com um servidor NTP. Assim, o roteador de servidor NTP fours anos de endereço pode ser 10 dúvida um ponto ford up para, e nós não precisamos especificar mais nada aqui. E aí vamos nós. Vamos acabar. Vamos fazer show e associação TP. Isso não vai ser sincronizado ainda, mas eu quero mostrar a vocês como isso parece quando não está sincronizado, que o endereço aqui que estamos sincronizando é 10.1 ponto quatro ponto para nós não temos um relógio de referência ainda. E quando a coluna quando mostra um hífen aqui, significa que ainda não puxamos este servidor. coluna quando mostra um hífen aqui, Lembro-me que puxa a cada 64 segundos. Precisamos de pelo menos três pesquisas bem sucedidas, a fim de sincronizar o nosso relógio, Vamos em frente e atualizar isso. Poderíamos ver que enviamos uma sondagem e obteve um pouco de informação aqui que na verdade já sincronizou. Isso aconteceu um pouco mais rápido aqui. Eu não costumo ver isso acontecendo tão rápido. Eu tinha isso configurado para sincronizar anteriormente. Então, o fato de que nossos relógios podem ter sido muito próximos já é o que pode ter permitido isso ir em frente e sincronizar muito rapidamente para nós. Mas agora vemos que o relógio de referência do outro lado é que é Luke de volta, uma vez que é um mestre NTP, e que nosso servidor estava sincronizando com é um servidor estrato oito. A última vez que o puxamos há oito segundos atrás em que estávamos puxando a cada 64 segundos. Vamos fazer isso de novo. Fizemos a última pesquisa há 54 segundos. Vamos fazer um status show NTP, e há relógio está sincronizado. Estamos estrato nove e que o nosso relógio de referência é 10.1 ponto para ponto quarto. Incrível. Vamos para o Roteador 3 agora e configuramos isso como um cliente. Então é habilitar convict t e vamos não p chave de autenticação. Ele ganhou usou cinco vazio para transmitir. A anarquia será a chave NTP e nossa chave confiável NTP será a chave um. Teremos que habilitar a autenticação NTP excelente e, em seguida, nosso servidor NTP será Roteador um, que é $10.3.1 ponto um. E isso é tudo o que temos que fazer. Vamos terminar você deve mostrar a Associação NTP e lá vamos nós. Vemos que temos 10.3 ponto 1.1 lá sobre isso. Ainda não puxamos. Vá em frente e refresque este boom. Ele puxou. E novamente, isso sincronizou após a primeira sondagem. Estou a pensar que porque isto nos sincronizou um pouco mais cedo aqui, quando eu estava montar este laboratório, os relógios estão muito próximos um do outro. Então, provavelmente estamos sincronizando muito rápido porque os relógios já estão muito próximos outro. Mas aqui vemos que nosso endereço que estava afundando contra seu 10.3 ponto 1.1 e que o roteador um está afundando em todo seu quatro direito Então roteador um relógio de referência é 10.1 ponto quatro pontos para e esse roteador um é um estrato nove relógio. Então, se fizermos um status show NTP que estamos agora um estrato 10 porque estamos bastante para o seu relógio interno tem estrato sete. Então ele está afundando contra seu relógio interno, então é um estrato oito em então Batter um é um estrato nove porque ele está afundando contra o estrato oito e nós o roteador três é estrato 10 porque ele está cantando contra o estrato. Nove. Assim por diante. Incrível. E então esse é o NTP nos comandos de verificação que você usou para mostrar que você está afundando. Ser capaz de solucionar problemas a partir daí. Então, obrigado por 10 através disso comigo, assim como os outros. Vamos passar por algumas perguntas de treino antes de terminarmos aqui. Primeiro, fazendo referência à saída abaixo De que origem o servidor NTP está fazendo referência ao relógio? É 68.1 34.1 21.1 29? Ou é o relógio não está sincronizado ou os servidores NTP, Relógio interno ou melhor, mulher Então isso está dizendo de que fonte o servidor NTP faz referência ao seu relógio? Então estamos em um cliente aqui que se parece com Browder um, e que estamos associados ID com uma fonte de tempo externa o 68.1 34.1 21.1 29. E que esse servidor NTP está sincronizando seu relógio com ele mesmo. O 1 para 71 para 77.1. Isso é um loop de volta. Então esse é o relógio interno dos servidores NTP. A resposta aqui é C e, finalmente, dada a configuração do cliente e do servidor abaixo de qual configuração é necessária para que o NTP sincronize com êxito suponha que a chave de autenticação não criptografada seja idêntica. Então, primeiro no roteador um aqui, nós temos roteador para então roteador um, deixe-me pegar minha caneta aqui novamente. Roteador um. Temos nossas interfaces aqui configuradas. Este é 10.1 29 sobre isso e este não é 1 31 da última oitava, uh, uh, e que esses caras estão tentando sincronizar um com o outro. Então roteador para é na verdade um cliente aqui tentando sincronizar com o Roteador 1. Sem roteador. Um é o mestre do NTP aqui. Temos uma chave de autenticação configurada e temos autenticação NTP habilitada. Nós também temos uma chave de autenticação configurada aqui estamos assumindo que nossas chaves de autenticação são idênticas mesmo que essas strings aqui são um pouco diferentes. Isso é apenas por causa da criptografia que o roteador usa para criptografar suas chaves na configuração em execução que é uma força criptografada do tipo sete. O não aparece um pouco diferente dependendo do roteador. Estamos aqui. Também temos a autenticação NTP ativada. E também estamos configurados para aceitar a chave 1 confiável para usar isso de nossos servidores para sincronizar no período de relógio NTP. Aqui está algo que não cobrimos, mas não precisamos necessariamente nos preocupar. Então, dada esta configuração aqui, isso deve funcionar. Não há nada que realmente precisa acontecer que não precisamos definir o período do relógio . Nosso NTP definido confia em uma chave totalmente rounder, uma que não é necessária porque isso é definir qual chave estamos esperando do servidor NTP que estamos afundando com. Poderíamos desativar a autenticação NTP em ambos os roteadores e isso permitiria que ela sincronizasse com êxito. Mas não há necessidade de Teoh porque eles já estão afundando com sucesso. Ou pelo menos deveriam ser. A resposta aqui é de Agora espero que isso tenha sido informativo para você e eu gostaria de agradecer-lhe para ver. 30. 4.3 DHCP e DNS: de HCP e DNS. Este vídeo vai ser um pouco mais curto do que os outros que isso vai apenas rever a teoria de como d HCP e DNS funcionam e o papel que eles desempenham dentro da rede. E, na verdade, o tópico do exame que este vídeo é destinado a abordar os olhos na verdade 4.3. É especificamente diz para explicar o papel de D HCP e DNS dentro da rede s Nós não vamos passar por, Ah, qualquer configuração neste vídeo particular Aqui vamos passar pela configuração de D h C P servidor braços são DHB cliente NDFB Relay no próximo vídeo aqui. Mas vamos rever a teoria de como d HCP e DNS funcionam. Então, sem mais delongas, vamos saltar sobre ele primeiro D HCP So DHC P significa o protocolo de configuração de host dinâmico . Então muitos de vocês provavelmente conhecem d HCP como o método pelo qual seus clientes obtêm automaticamente um endereço I P que eles enviarão uma descoberta e esse processo está aqui embaixo e eles vão acabar recebendo uma oferta de volta e vamos passar por este processo de quatro etapas para ir em frente e obter um endereço I P agora. D. H C P pode ser usado para muito mais do que isso. Ele pode dar endereços de inicialização pixie. Isso é um ambiente de pré-execução. Endereço de inicialização. Esse é o endereço e as informações usadas para dizer ao seu cliente onde ir obter seu disco de inicialização inicial e imagem de inicialização A partir daí, você pode realmente inicializar a partir da rede com informações fornecidas em seu d HCP ou você pode dar seu V I p informações de configuração. Este é, na verdade, um método muito comum que encontrei para configurar. Sua visualização I P telefones é Você acaba dando suas informações de configuração através de D HCP, seja o endereço do servidor que ele está tentando se conectar ao V Land que os bones devem estar marcando seu tráfego ou o nome do arquivo que ele deve usar para sua configuração. Então, e assim por diante, você pode incluir muitas informações e fazer quase sua configuração completa através de apenas d HCP. DBCP também não lhe dá um endereço IP para usar. Ele também informa onde seus servidores DNS estão que os servidores que você deve usar para resolver endereços i p de seus nomes de host podem ser um servidor DNS interno. Pode ser um servidor externo da Deanna. Talvez você esteja em um domínio, e ele está apontando para o seu controlador de domínio Active Directory para o seu DNS para ser capaz resolver o seu recurso interno é e, em seguida, fora do curso, Jandi HCP é usado para dar seu endereço I P e Gateway que este é o método para atribuir dinamicamente seus endereços I P e dizer aos seus clientes onde os roteadores estão que ele deve usar para sair da rede em que ele está imediatamente e passar por cima que aqui você d HCP acontece antes do cliente está ciente de qual rede está em que dizem que você tem seu cliente. Está ligado aqui a algum interruptor, e isso está ligado aqui a algum outro comutador como homens ligados a um router. Ah, e então os roteadores conectados à nuvem aqui, e os roteadores também conectaram Teoh outro switch. E aqui, talvez você tenha um servidor tipo de coisa acontecendo, e esse tipo de topologia e ele não sabe que ele está nesta rede porque ele não tem um endereço I P atribuído ele não sabe que este roteador existe. Não consegue encontrar isso automaticamente. Ao contrário de I p versão seis, onde ele pode apenas fazer um roteador, solicitação e roteador anúncio de volta em i p versão quatro. Não podemos fazer isso. Então nós passamos por este processo de, você sabe, ou auto-atribuição automática endereços I P, que não pode ser usado para sair de sua rede. Esse é o endereço de de endereços do 169 que você acaba vendo. Se a sua máquina não estiver obtendo um endereço I P corretamente, ele normalmente atribuirá esse espaço de endereço à sua interface. Mas isso realmente não pode ser usado aqui. Isso significa que você sabe que algo não está funcionando. Então, uma vez que não tem conhecimento da rede aqui no momento, este processo de quatro etapas D HCP estes são obtidos transmissões que ele está trabalhando na camada dois aqui, que geralmente significaria que seu servidor D H C P precisa estar na cena domínio de transmissão, a fim de receber esta descoberta e solicitação. E este é realmente ponto interessante que eu teria certeza de que você está muito bem ciente e familiarizado com este processo aqui e também quais deles são comunicação cliente para servidor e quais são comunicação servidor para cliente que temos o pedido. Esteja inclinado a servidor de confirmação sendo servidor para cliente na descoberta. Sendo inclinado a servidor a oferta sendo servidor para cliente que você realmente não precisa saber os detalhes de como esses pacotes se parecem. Mas só sei que há este processo de quatro etapas o D o r uma oferta descoberta solicitado, reconhecer e quais? Servidor aéreo para cliente e cliente para servidor. Agora continuando aqui um pouco é que ensinar CPI é realmente um pouco mais recente. Ele substituiu o boot do protocolo bootstrap p Ah, e ele realmente não substitui totalmente Boo P ainda está em existência lá fora um pouco, mas em geral ele substituiu o boot P, e ele opera sobre a porta UDP 67 para um cliente para servidor e 68 para servidor para cliente. A transmissão Discover. Sinto muito, os pacotes de descoberta, como acabamos de mencionar. Esses são transmitidos. Eles exigem camada à adjacência. Agora isso pode ser superado com a ajuda de um relé D HCP. Também chamado de ajudante I p. Ele é chamado de auxiliar I P devido ao comando de configuração que é usado para configurar seu reencaminhamento d HDP em dispositivos Cisco. Vamos rever isso no próximo vídeo aqui, mas você é o retransmissor DBCP. O que ele faz é ouvir essas transmissões de cliente para servidor em uma interface, e quando ele recebe um, ele vai em frente e encaminha que como uma unidade de conversão para o seu servidor D H C P e seu quando seu servidor responde e ele envia aqueles unidade de conversão de respostas de volta, ele vai em frente e retransmite essas respostas de volta para o cliente. Agora você sabe que temos esse servidor. Desculpe, este roteador aqui, temos esta estação de trabalho aqui, certo? E este routers outro router e este router, há algum comutador. Vá assim para um interruptor e, em seguida, por aqui, temos servidor nosso servidor D h c P está bem aqui. D h c p está bem aqui agora quando nossa estação de trabalho aqui em baixo envia a transmissão d HCP para ir em frente e obter um endereço I p este roteador aqui. Se ele tem i p help são configurados, ele vai receber isso nessa interface. E este é geralmente um comando de nível de interface que você vai em frente, recebe isso nessa interface e ele irá encaminhar isso como uma unidade de conversão para este endereço I p o endereço i p do servidor D h c P aqui e que ele usa o endereço de interface aqui onde recebeu essa transmissão. Ele usa isso como endereço de dicionário de sinônimos para esse pacote de conversão de unidade que está sendo enviado para o nosso servidor D H C P. Agora aqui. Eu queria mostrar uma captura de tela de quê? Ah, bota de fada. Parece que estão aqui. Podemos ver no início, temos nossa inicialização de rede acontecendo. Isto parece uma estação de trabalho onde temos um monitor aqui. E este é o seu ambiente de pré-inicialização onde você acaba obtendo sua biografia, informações, coisas assim. Temos nossa rede de processo de inicialização acontecendo aqui está nos dizendo o que nosso cliente Mac endereços. Temos um egoísta. Não faça isso aqui e temos um cliente. Eu p ele realmente tem um endereço I p por D h c p uh, o servidor D h c P. I p está aqui e nosso cliente i p e ele está tentando inicializar pixie agora olhos que ele foi dado no endereço para seu servidor P XY ir em frente e alcançar. E ele estava tentando aqui embaixo, tentando obter por D por t ftp para este endereço o 0.23 o 1 72 16 50 23 tentando baixar este ponto padrão i p xy Agora que a conexão fez o tempo limite. Mas este é o seu tipo de o que você veria se você estiver fazendo P XY inicializando. Tudo bem, então isso é d HCP aqui. Agora vamos passar pelo DNS e qual é esse propósito na rede e como isso acaba funcionando. Portanto, DNS, o sistema de nomes de domínio para DNS é função primária é traduzir nomes de domínio. Teoh i p versão quatro ou I p versão seis endereços, certo. Então, como, digamos, aqui temos uma hierarquia de domínio que temos a raiz do domínio e, em seguida, temos os domínios de nível superior. Seu ponto com ponto net dot gov dot org é etcetera. Seu segundo nível é como google dot com ou exemplo dot com, nosso facebook dot com e, em seguida, seus subdomínios seria qualquer coisa passou um período no lado esquerdo aqui dedo do pé, onde você tem www dot google dot com que é realmente um subdomínio do google dot com ou cluster dot google dot com. Isso é um subdomínio e, em seguida, um host individual lá em baixo. Agora você pode ter outro sub-domínio além disso, talvez você tenha, você sabe, nós aqui em baixo como você eso acaba sendo como nó um ponto U. S exemplo em cluster ponto com, E você pode ter que você continua continuando por tanto tempo quanto você quiser ser. Capaz de ter tantos subdomínios como você gostaria, mas você é a principal função disso. É que quando você tem este nome de host aqui nó um ponto agrupado no exemplo ponto com que se você quiser traduzir isso em um endereço I P, você sabe algo que podemos realmente dar ao nosso computador para o nosso roteador para dizer, rotear este lá porque a Internet não funciona por roteamento de nomes, ele funciona roteando endereços I P porque a Internet é Internet. O protocolo é o que funciona. Então precisamos ser capazes de rotear esses endereços I P em torno de I p versão quatro ou versão seis. Então precisamos traduzir esse nome para isso. Então é isso que o DNS faz é acabarmos configurando uma consulta para um servidor DNS, dizendo que eu tenho esse nome, Por favor, me dê o endereço para ele em Isso seria um registro A especificamente ou um quad um registro para I p Versão seis Quad A. significa quadruplicar um registro ou para I P Versão quatro é apenas um registro, que transforma um nome de host em um endereço IP ou IP versão seis endereço. Portanto, o DNS foi definido pela primeira vez no RFC 1034 e 1035 Tem havido muitas adições e revisões desde então. Geralmente, você vai vê-lo operar sobre você TP 53 que se você fizer uma captura em sua rede e você vê você tp 53 tráfego como o destino que vai ser DNS. Existem especificações para fazer DNS sobre TCP também DNS sobre https para tentar proteger suas consultas DNS um pouco mais do que aquelas foram definidas mais recentemente. Mas geralmente você vai vê-lo sobre UDP 53. Portanto, não só fornece I P versão para 90 Versão seis endereços. Mas também há tipos especiais de registros. Alguns destes são os registros MX, registros permutador de correio que quando você solicita, digamos que você tem google dot com, direita ou exemplo ponto com, e você solicita que o correio trochanger registre o registro MX Para isso, há um registro especial em que o administrador do sistema de exemplo dot com disse que temos um servidor de e-mail e para outras organizações lá fora para ser capaz de encontrar esse servidor de e-mail, eles vão solicitar o registro MX o registro de e-mail trochanger para nossos domínios. Então, para o domínio ponto com exemplo, nosso registro MX contém algo como e-mail dot exemplo ponto com que seria conteúdo do registro X, de tal forma que quando eu solicitar você, eu estou fazendo um Ennis olhar para cima ou um dig do registro MX, por exemplo, ponto com. Eu vou receber o exemplo de ponto com de e-mail em resposta, e agora a partir daí, a fim de fazer qualquer coisa com isso, eu vou precisar do endereço I P, certo? Então eu vou procurar o registro A quatro exemplos enviados ponto com para ser capaz de traduzir isso em um endereço I P que os registros MX é um registro especial dizendo este nome de host ou essas listas de nomes de host com uma prioridade para que eles sejam usados para que este lista de nomes de host são os nomes de host para nossos servidores de e-mail. Estes ar o que você deve usar para nos enviar e-mail, e então nós também temos registros de texto. TXT registra dados de texto arbitrários deste armazenamento. Você pode armazenar lá chaves que são usadas para criptografia. No caso de Demark ou D. Kim, é D. M. A, r c ou d Kim de que. Eu sou que estes são usados para criptografia e armazenar chaves públicas para isso. Ou você também pode armazenar registros SPF. Essa é a estrutura de proteção central, pois essa é uma maneira realmente primitiva de tentar evitar falsificação de endereços de e-mail, modo que em seu registro de texto em seu DNS. Você acaba tendo um SPF lá, dizendo que vou permitir que os endereços públicos I P específicos do Onley enviem e-mails em nome do meu domínio. Então, se eu possuir o exemplo dot com domínio, e eu sei que meu servidor de e-mail está em lee em 1.1 ponto 1.1 Então eu quero dizer Onley 1.1 ponto 1.1 é permitido enviar e-mails em nome do exemplo dot com. E se outros servidores lá fora com endereços públicos diferentes estão tentando enviar e-mails em nome do exemplo dot com, vá em frente e negando esses. E há um RFC para isso para nossa configuração e definição de SPF e como os servidores devem usar isso. Uh, você também pode tirar seu s de distância. Seu início de autoridade registra seus servidores de nome autoritativo para um domínio, você pode ter seu N s registrar seu registro de servidor de nomes de tal forma que quando você, uh, consulta algum servidor DNS de nível superior para o registro N s para o seu exemplo ponto com se exemplo dot com tem seus próprios servidores DNA ali mesmo servidores DNS públicos que eles hospedam em seu campus e que você precisa de outros servidores Dina lá fora para saber que eles devem olhar para seus servidores DNS para obter as informações autoritativas do DNS para seu que é o seu N s registros. Você também pode ter registros PTR que são registros invertidos, sem endereços zmapp para nomes de domínio. Diga que eu possuo 1.1 ponto 1.1 e que eu quero um por um. Não quero traduzir para mail dot exemplo ponto com que não só eu posso ter um registro que diz mail dot exemplo ponto com traduz para 1.1 ponto 1.1, mas eu também posso ter um registro que diz Wanda Wanda. Wanda One traduz-se para mail dot exemplo dot com porque isso é algo interessante com DNS é que ele só vai realmente de uma maneira que você só pode traduzir seus nomes de host ou nomes domínio em I p endereços. E sem o registro inverso, você não pode traduzir um endereço I p em, ah, hospedagem. Você não pode ir na outra direção. Ótima. Agradeço que tenha passado por isso comigo aqui, assim como os outros. Agradeço que tenha passado por isso comigo aqui, Vamos fazer algumas perguntas de treino antes de terminarmos. Primeiro para cima. Que tipo de pacote é um D? HCP descobrir? É uma unidade que converte um multicast ou uma transmissão em? Isso não é supondo que estamos usando um auxiliar I p ou retransmissão DTP que apenas o D HCP normal descobrir é ver uma transmissão e, finalmente, qual protocolo e porta DNS opera por padrão. É a porta TCP 80 UDP 43 UDP Port 53 ou TCP Port 53? Portanto, embora existam especificações para DNS operando sobre TCP, geralmente você descobrirá que ele opera sobre UDP e a porta que é bem conhecida para o DNS operar é você tp 53. Espero que isso tenha sido informativo para você e gostaria de agradecer pela visualização. 31. 4.4 configurando o DHCP: configurando o cliente HCP e retransmissão no Iowa. Este vídeo vai ser relativamente rápido. Esta seção do exame. O tópico do exame na verdade não cobre a criação de um servidor D.H.C D.H.C P em um dispositivo Cisco, embora eu mostre como isso é configurado porque eu tive que fazer isso para colocar este laboratório em funcionamento. Vou mostrar-lhe os comandos que usamos para fazer isso funcionar e como isso acaba funcionando, que o que vamos fazer é falar sobre o que é um relé D HCP e como isso funciona e também o que significa ser um cliente D HCP recuperado o D. O r R. O processo de quatro etapas que está envolvido com a obtenção de um endereço I p por D H C P de um cliente DCP para um servidor quando você avançar e configurar isso no vídeo anterior. Então vamos em frente e saltar direto para dentro e falar sobre D HCP. Transmita o que é e como isso funciona aqui. Então D HCP relé também conhecido no mundo Siskel como um ajudante I P em. Isso é devido ao comando que é usado para configurar que este é um comando de configuração de nível de interface que podemos ver aqui em baixo que usamos I p endereço auxiliar em. Em seguida, especificamos o endereço I P fora do nosso servidor D h c P. C D H p realmente faz. São retransmissores, certo? Nosso cliente DHC PR para servidor de mensagens HCP sobre o servidor que isso é útil quando você tem o seu d h c P servidor em uma sub-rede diferente ou em um domínio de transmissão diferente do nosso cliente d HCP. Porque, você sabe, se precisássemos do nosso servidor d h c p para estar em todos os assuntos, eles seriam muito caros, certo? E difícil de manter e gerenciar isso. Diga, você tem sua estação de trabalho aqui, estação de trabalho boom. E digamos que temos outra estação de trabalho aqui. Boom estação de trabalho legal. E ele se conecta ao nosso interruptor. Certo e tenho outro interruptor aqui. Interruptor do boom Tudo bem. E esses caras vão em frente e se conectam lá. E então digamos que temos roteador bem aqui nos switches se conectam a este roteador e que esses caras estão em diferentes sub-redes. Digamos que este é o 10.0 ponto um sub net, e este é o 10.0 ponto para sub net que você tradicionalmente, se você não tem um i P Helper ou um D H d P relé, você precisaria de um servidor D h c P em cada um desses sub minutos, a fim de servir dinamicamente. Ou, você sabe, você pode apenas configurar D h c p servidor no seu roteador aqui. Muitas vezes, as pessoas optam por não colocar DHC xixi em seu roteador apenas porque é um pouco mais difícil de gerenciar. Normalmente, isso pode ser um servidor Windows D H C P, ou você pode ter telefones e você está usando seus servidores de telefone. D HCP o que você tem algo assim? Que as pessoas geralmente não colocam seus DTP vários em seus rounder. Mas você certamente pode que não há nada de errado com isso, mas ainda digamos que temos, você sabe, alguma outra rede sub aqui com nossa estação de trabalho aqui. E então ele está se conectando a este roteador e que este roteador se conecta a outro roteador que acontece de se conectar aqui a este switch. Você sabe, você pode ver como isso pode ficar um pouco fora de controle e difícil muito rapidamente. Que este é o lugar onde o relé D HCP realmente vem a calhar é que nós não precisamos desse servidor DHB lá ou aquele ali e nós não precisamos dele configurado em nosso mais redondo. Poderíamos ter algum servidor centralizado D h c p aqui. Isso poderia ser algum número arbitrário de sub redes de distância que poderia ser apenas a sua cruz longe e link o que você tem E nós podemos usar este D h c p servidor como nosso servidor central e ser capaz de encaminhar e retransmitir todos os nossos d HCP solicitações e respostas para e de esse servidor D h C P. Então, a maneira como isso acaba funcionando é que quando o roteador ou seu dispositivo aqui que está atuando como um retransmissor DTP Quando este recebe nosso pacote de descoberta, certo, vamos começar do início porque lembre-se, nós temos Temos d o R A. Nosso pedido de oferta de descoberta e confirme pacotes para a nossa solicitação de um endereço D HCP. Digamos que enviemos nosso pacote de descoberta agora aqui neste roteador, aqui está um que ele vai receber, e se ele tiver retransmissão DTP configurada aqui nessa interface. Então ele vai retransmitir isso para este servidor D H C P aqui e aquele pacote aqui que o pacote retransmitido agora terá um endereço de origem fora desta interface bem aqui. Então, um. Isso é meio importante, porque isso significa que este servidor precisa saber como voltar para esta sub-rede, que precisa haver rotas que você sabe, entre este caminho aqui para que esse pacote possa tanto chegar a esse servidor e obter de volta porque ele vai ter um endereço de origem fora dessa interface aqui. Mas também, é assim que o servidor D 2 sabe para qual sub-rede você está solicitando um endereço porque nesta estação de trabalho aqui, esse cara, ele não sabe em que sub-rede ele está. Ele não sabe que está no 10.0 ponto para sub net. Ele só sabe que está conectado a algum domínio de transmissão que ele está transmitindo lá fora. Olá. Qualquer servidor D h c P, por favor, me ofereça um endereço e é isso que ele fará. Ele vai em frente e receber isso, vendo que ele tem um endereço de origem dessa interface, e então ele vai enviar de volta uma resposta apropriada. Oferta inadequada para esta sub-rede. E é assim que ele sabe que sub-rede é. A mesma coisa com aqui, se ele o receber aqui, ele vai usar este endereço de interface como o endereço de origem para encaminhar isso sobre Awesome. Então ele recebe que ele retransmite de volta. Nosso roteador aqui você mantém o controle desses relés dessas mensagens encaminhadas para que ele possa encaminhar as respostas de volta apropriadamente em um switch muitas vezes muda de ar configurado com o relé HP que usa uma interface virtual switch como a interface que você iria receber essa transmissão em e retransmitir que a partir de nós podemos verificar a nossa configuração aqui com Mostrar I p endereço auxiliar que uma vez que você tem isso configurado em seu nível de interface, fazemos um show i p endereço auxiliar. E isso é o que a saída do que parece aqui em baixo, pois isso mostrará que nesta interface no Gig 10 temos um endereço auxiliar de um por $1.1 configurado. Agora há algumas outras informações disponíveis que nós realmente não precisamos prestar atenção agora. Mas é assim que verificamos que isso está configurado sem fazer um show running config. Ah, muitas vezes nos exames da CCN A, eles vão em frente e te dizer, sabe, determinar qual é o endereço I P Helper ou eles vão pedir para você procurar algumas informações, mas eles vão te negar acesso à configuração em execução por vários motivos. Que a medida de segurança em muitas empresas que eles não querem apenas dar acesso a qualquer pessoa para visualizar a configuração em execução. Mas através do controle de acesso baseado em função, você pode ir em frente e permitir o acesso a determinados comandos. Então você Congar lá as informações que você precisa sem ter que fazer ah, mostrar configuração em execução e apenas visualizar a configuração e também a configuração em execução. A menos que saiba o que está procurando, pode ser um pouco difícil. Pode ser um pouco grande, e você está olhando através de uma floresta de comandos aqui, tentando encontrar um indivíduo lá que poderia ser um pouco difícil de fazer. Então é assim que ela P. Relay trabalha em Antália. Configurar. É o comando de configuração de nível de interface do endereço I P Helper e, em seguida, dando o endereço I P fora do servidor D H C P que ele deve ser encaminhado para. Você também pode fazer isso para VR F. Isso é roteamento virtual e encaminhamento. Instância ligada. Isso é, você sabe, quando você tem roteadores virtuais dentro de seu roteador, não estamos cobrindo isso aqui no ccn A. Ele também pode configurá-lo como um endereço global I p helper já. Então, medida em que configurar um cliente HCP D, isso é realmente muito simples no IOS. Então aqui está um comando de configuração de nível de interface, e é simplesmente apenas i p endereço d HCP que aqui na configuração quando fazemos I p endereço pergunta Mark Weaken Dio ou apenas manualmente e estaticamente definir r i p endereço ou podemos ir em frente e dizer-lhe obtê-lo automaticamente por D HCP onde o seu endereço I p negociado via de HCP. Incrível. Muito simples, muito fácil. Podemos ir em frente e verificar isso de uma das duas maneiras para que possamos fazer um show i p interface breve e vai acabar vendo aqui o nosso método ele vai dizer, d HCP Isso pode ter um endereço I P agora. Isso não tem um endereço I P assinou que não recebeu um de um servidor D H C P , mas está definido para receber um por d HCP ou tentar receber um. Ele irá enviar periodicamente estes d HCP descobre pacotes broadcast, tentando procurar um servidor D h C P para receber um endereço se ele ainda não obteve um . E então nós também podemos verificar isso em uma interface show que aqui temos que nosso endereço de Internet será negociado usando D HCP. Esse é outro lugar onde você pode ver isso também. Existem opções de configuração de cliente adicionais que você pode definir. Podemos definir o nome do host que deve ser transmitido com o seu D HCP através dos comandos de configuração de interface do cliente I P. D. D. HCP que quando você fizer I p d. cliente HCP e fazer um ponto de interrogação fará isso no laboratório aqui muito em breve e mostrar que existem muitas opções disponíveis que você pode ir em frente e especificar para realmente detalhar especificamente como você deseja de HCP para se comportar aqui. Incrível. Então essas são as duas únicas coisas que vamos cobrir neste laboratório. Então vamos dar uma olhada em nossa configuração de laboratório aqui e passar por isso. Então nosso laboratório vai consistir em três dispositivos. Tenho R um R dois e o servidor onde este é realmente apenas outro roteador aqui e aqui. Eu listei que são um é 10.1 na realidade, esta interface isso vai ser um cliente D HCP, certo? E que aqui na nossa interface, isso vai ser eu p Helber incrível. E aqui no servidor, este é apenas outro roteador que eu não queria ter configurado. Ah D h c p servidor lá, e eu vou mostrar-lhe brevemente como isso foi feito. É um mínimo muito, muito nu. D H c p servidor. Vou mostrar-lhe como colocar isso em funcionamento que há apenas alguns comandos que são necessários para especificar sua pesquisa de endereços que ele pode puxar a partir de agora. Além disso, as informações adicionais, como o roteador padrão ou o gateway Depo que ele fornecerá sobre isso. É tudo o que tenho aí. Nós não temos nenhum servidor DNS configurado, mas podemos passar e mostrar como isso seria feito brevemente, qualquer maneira, você realmente não precisa gastar nenhum tempo com isso. Isso não é abordado nos tópicos do exame, mas é algo bom de saber no caso de você encontrar isso no futuro. Eu já configurei os endereços I P deste lado aqui o 10 1 para 2 aqui no roteador para 10 para 32 no roteador dois e 10 para 33 aqui no servidor, e vamos verificar isso brevemente também. Este 00 rápido no Roteador 1 está atualmente desligado, e não há nenhum endereço I p configurado. Vamos configurá-lo como um cliente D h c p que esse tempo também irá passar pelas opções de cliente HCP I p. D também. E dê uma breve olhada nisso. Então, primeiro, vamos começar de novo no lado do servidor aqui. E também, acho que não mencionei isso. E também, Eu ainda não configurei o endereço I P Helper aqui no roteador, também. Então vamos em frente e fazer isso. Vamos começar pela direita aqui e ir para a esquerda. Vamos dar uma olhada no servidor D H c P aqui no servidor. Obtenha o nosso auxiliar I p configurado no roteador para ligado. Então eu também gostaria de ir em frente e apenas fazer uma captura rápida aqui na linha enquanto fazemos a negociação d HCP. Então podemos dar uma olhada no que isso parece aqui também. Então vamos saltar para o servidor e, em seguida, vamos para o roteador para e, em seguida, o roteador um. Então aqui no servidor para ir em frente e apenas habilitar eu gostaria de fazer um show I p d HCP E aqui poderíamos fazer servidor. O que são estatísticas? Esta é toda a informação que temos aqui. Temos uma sondagem de endereços configurada. Fiz um teste com isto. Então recebemos um Discover e um pedido. Nós também recebemos uma versão DTP porque eu fui em frente e não fiz i p endereço em nosso cliente. Então ele divulgou seu endereço dizendo, eu não preciso mais disso. Podíamos fazer um espectáculo. I p d piscina HCP. Temos uma pesquisa configurada aqui é o 10.1 ponto 2.1 muito rápido. Eu quero mostrar a vocês lembrar que o servidor aqui está no 10 ponto para 10.0.3 sub net. Mas eu tenho uma pesquisa configurada. Vamos limpar um pouco disso aqui, mas eu tenho um pool configurado para o 10.1 dot dois sub net que lembram que o d HCP relacionar ele retransmite isso usando essa interface como o endereço de origem. Isso significa que, em ordem, o servidor aqui precisava saber como voltar para o 10.1 dot dois sub net que eu coloquei uma rota estática em nosso servidor aqui para ir em frente e resolver isso aqui, na realidade, você provavelmente tem algum roteamento dinâmico em seu ambiente para garantir que não, seu servidor pode voltar para a sub-rede necessária aqui. Então, voltando para o nosso servidor rapidamente, vamos em frente e apenas fazer um show run e dar uma olhada em nossos itens de configuração para nosso d HCP. Então nós temos um pool I P. D. D. HCP e é chamado DHT P hífen pool. Ele está usando o ponto 10.1 para cortar a rede 24 e está configurando o roteador padrão, que é um gateway padrão. Você conhece o gateway padrão que seu cliente usará como ponto 10.1 para ponto. Esse é o endereço da interface do roteador para agora. Eu fui em frente e excluí esse endereço do pool para que não distribuamos acidentalmente nosso endereço de roteador padrão como um endereço de cliente para um de nossos clientes d HCP. E isso é realmente tudo que você tem para Dio. E então eu fui em frente para definir uma rota estática aqui para ter certeza de que nós sabemos como voltar para o 10.1 ponto 2 sub net. Incrível. Vamos voltar para Browder até aqui. Então vamos nos habilitar a um show i p interface breve. Então temos 10.1 ponto para ponto que está configurado em até 10 ponto para 10.0.3 ponto dois. Essa é a interface voltada para o servidor. Então, se eu fizer um show I p endereço auxiliar, não temos um configurado ainda. Vamos em frente e configurar esse ano. Interface Big T Fast 00 Vamos pegar o endereço auxiliar I P. Lembre-se, este é o endereço do nosso serviço d HDP deve ser 10 ponto a 10.0.3 ponto três bam! Isso é tudo o que temos para dificar agora. Vamos em frente e saltar para G.M . Três bem rápido aqui. Eu quero dio uma captura nesta interface aqui antes de ir em frente e configurar cliente THC P no roteador um e habilitar essa interface lá para que possamos dar uma olhada nisso lá. E então também, nós poderíamos fazer uma captura aqui também para dar uma olhada em como esses pacotes de retransmissão se parecem também. E porque é que os tubarões vão fazer a sua coisa aqui? Então vamos em frente e saltar de volta sobre o roteador para que já está configurado as interfaces . Excelente. Então vamos passar para o roteador um, em seguida, vá habilitar Mostrar I p interface breve. O que eu não posso datilografar hoje. Lá vamos nós. Então estamos administrativamente para baixo em rápido 00 Nós não temos um endereço i p atribuído. Vamos configurar a interface t rápido 00 Vamos. I p endereço de HCP. Excelente. Poderíamos fazer I p d cliente HCP e aqui temos um monte de opções aqui para especificar idéias e itens em nosso cliente. Especifique um cliente de ideia de classe. Eu d especificar o nome do host em e fornecer informações como essa ou atualizar dinamicamente informações. Você não precisa necessariamente saber isso para o C. A. exame C. A. N. Apenas como configurar um cliente de HCP. Mas é bom saber que essas opções estão aqui. Então temos i p endereço d HCP lá. E agora não podemos fazer nenhum tiro. Vamos e als para um show i p interface breve. E então, na verdade, vamos acabar recebendo uma mensagem de registro aqui. Isso vai aparecer quando recebermos um endereço IP. E lá vamos nós. Temos di HCP seis Endereço de uma interface de sinal atribuído endereço DTP 10.1 ponto 2.3 com a máscara 24 bit. O nosso nome de anfitrião é o nosso. Excelente. Então agora vamos para o tubarão de fio aqui rapidinho. E vamos parar com essa captura. Enviamos uma descoberta. Agora, isso está vindo dos nossos dois agora. Então, são dois. Então são dois recebidos que descobrem transmissão, e ele está encaminhando para 10 pontos para 10.0.3 ponto três com o endereço fonte de 10.1 ponto para ponto para isso. Esse é o endereço de origem que eu estava falando Right There é que nós podemos ir em frente e saber qual rede que estavam realmente solicitando um endereço por causa desse endereço de origem . E isso é, você sabe, uma unidade de elenco de HCP descoberta sendo enviada. E aqui está a oferta sendo enviada de volta e o pedido sendo enviado de volta. E lá vamos nós. Se voltarmos sobre o roteador um por apenas alguns momentos em um show i p interface breve . Vemos que temos um endereço i p aqui e que é definido por D HDP. Se fizermos um show interface rápido 00 que temos o nosso endereço de Internet é definido aqui e, em seguida muito rápido sobre no roteador para se fizermos um show i p endereço auxiliar, vemos que temos o nosso rápido 00 configurado com endereço auxiliar de atitude tendem fora $3.3 E, por último, antes de terminarmos aqui, eu só quero mostrar que fazemos um show i p d ligação HCP por tipo corretamente. Então vemos aqui que temos uma ligação para o endereço 10.1 ponto 2.3 e que aqui é o cliente I d ou endereço de hardware ou nome de usuário que faz este cara aqui e há um ar de identificação único para esse cliente lá para essa ligação, e isso vai bastar. Então, assim como os outros, vamos passar por um par de perguntas práticas antes de terminar Primeiro acima qual dos seguintes comandos não irá verificar se uma interface está obtendo um i p v a D h c p é mostrar I P interface Breve show interface, show interface, switch port ou show I P interface. Então aqui, show I P interface breve e show I P interface são essencialmente o mesmo comando que mostram esta informação muito semelhante breve corta um monte de informação extra. Então você sabe que A e D mostram essa informação e assim mostra a interface. O item que não verificará se, no entanto, é show interface switch port. A resposta aqui é C e, finalmente, um relé D HCP pode estar em uma sub-rede diferente de um cliente D HCP. Se há uma rota de camada três entre eles agora, pense no que isso está pedindo. Um momento é este tipo de dizer que se você tem você conhece nossa estação de trabalho aqui e que você tem roteador, que ele está conectado. Teoh e, em seguida, Router. Isto está ligado, Teoh. E então vamos dizer aqui é o seu servidor D h c P que se essa interface tem de retransmissão HDP configurado Mas este não, então, na verdade, isso não vai funcionar. Isto não faz sentido nenhum. É a pergunta aqui que a resposta aqui é falsa, Que isso não funciona? Não, muito obrigado por passar por isso comigo. Espero que isso seja apenas informativo. Eu gostaria de agradecer a você por ver. 32. 4.5 SNMP e syslogging: SIS Log e S e M P. Monitorar seus dispositivos de rede é uma parte realmente crucial das operações de rede. Uma coisa é seguir em frente e configurar seus dispositivos, mas sem monitorá-los e ter uma noção do desempenho real de seus dispositivos. Então você fica preso à mercê de seus usuários finais em sua organização dizendo se há um problema ou não. E nesse ponto você pode nem saber onde está o problema. Às vezes, seus usuários finais podem exagerar um pouco, o que causa alguns problemas ao tentar realmente solucionar problemas. É aqui que protocolos de monitoramento como SIS Log e S e M P entram em jogo e dizem que Long é uma maneira incrível de dispositivos dizerem o que está acontecendo. Ah, muitas vezes, se há um problema, vai ser enviar bandeiras vermelhas com mensagens de registro da CeCe dizendo que está tendo um problema. Se estiver superaquecendo, vai acabar dizendo que se houver um problema de convergência de árvore de abrangência ou se houver muitos eventos acontecendo, então as mensagens de log de sis provavelmente serão geradas e você será capaz de referenciar essas para ver o que está acontecendo mesmo após o fato de avaliar uma situação depois que ela já está resolvida. Você pode voltar e revisar seu monitoramento e suas mensagens de log para entender mais de perto o que realmente aconteceu. Então você pode ajudar a evitar que no futuro e da mesma forma com S e M P. Isso é realmente um protocolo muito flexível e útil onde você pode não apenas monitorar seus dispositivos, mas realmente fazer configuração remotamente. E como ele é programático, você pode realmente configurar aplicativos para onde as coisas podem ser automaticamente ajustadas e alteradas com base em determinadas condições. Então, com isso, vamos avançar e dar uma olhada em como os protocolos S e MP e sis log funcionam e como eles são usados aqui e como eles se aplicam à CCN. Tópicos de um exame. Então, primeiro, vamos falar sobre S e M p. O protocolo de gerenciamento de rede sip Simple, Então S e MP é uma partícula definida e normalmente usa UDP ganhou 61 para S e MP e UDP ganhou 62 para armadilhas S e M P. E vamos explicar a diferença entre eles em apenas um momento aqui. Geralmente, você verá três versões em uso, a versão uma para ver e a versão três versão um dificilmente é usada apenas porque não oferece praticamente nenhuma segurança. A versão para ver é muito mais comumente usada. Há uma versão dois em outros subconjuntos da versão dois. aversão de ver acabou sendo a versão usada principalmente aqui e é mais amplamente implementada que geralmente, se você vê a versão dois em seu dispositivo, é realmente falar sobre versão para ver. Muitas pessoas podem referi-lo como versão dois, mas na realidade seus dispositivos ar provavelmente executando versão para ver. E então há a versão três, que introduziu um monte de recursos de segurança em S e M. P. C S e M P. Costumava ter este apelido engraçado de segurança não é problema meu. E isso porque não há realmente nenhuma segurança incorporada em S e M P Versão um e Versão 2 que é esperado que a linha de gerenciamento, a interface ou o circuito que é usado para trocar mensagens s e MP que essa linha é seguro em vez de ter em gerenciamento de banda e esperando que o protocolo irá fornecer nossa segurança lá. E foi aí que uma versão três adicionou muitos recursos excelentes aqui para criptografia e autenticação em ambos os lados, que você possa realmente proteger o protocolo aqui e não ter que se preocupar em ter uma linha de gerenciamento fora da banda que você deve proteger para declarar suas comunicações de protocolo seguras. Há uma terminologia usada com S e M p que devemos ir até aqui que você vai acabar vendo com muita frequência e que você quer saber o que é isso. Um M I B. Você verá isso referenciado muito. É uma base de informação de gestão. C. A S e MP trabalha em objeto. Identificar fluidos IRS ou oh, I DS que oh i ds são nossos números em um tipo decimal pontilhado de notação que você verá você sabe 1.1 ponto para 0.6 ponto 7.4 ponto 1.1, e estes poderiam ser comprimento arbitrário. As coisas podem ser muito longas, e não estão separadas por períodos. E o que é é ah, estrutura de árvore hierárquica, e vamos dar uma olhada nisso em uma visualização no próximo slide aqui. Mas o que a base de informações de gerenciamento é, é que isso traduz nossa floresta para a informação real que está sendo consultada do dispositivo onde você vai em frente e tem um servidor de gerenciamento de rede aqui, que é algum computador ou algum servidor que está hospedando software de monitoramento que está realmente fazendo pesquisas S e M P está fazendo obter operações para o seu S e M P e está dizendo seu dispositivo de gerenciamento , seu roteador ou switch e especificamente o agente S e M P, que é o S e M P software em execução em seu dispositivo de gerenciamento, que ele está dizendo para reunir o valor para um determinado fazê-lo e que o M. I B nos diz que isso seria representacional fora do tráfego de entrada em uma interface particular ou do particular configuração de oh, SPF ou dos vizinhos atualmente lá ou fora do endereço I P, configurado em uma interface, etcetera, etcetera, que está nos dizendo o que esses números e o que essa estrutura hierárquica realmente representa, que é o M I B. E que, infelizmente, não há realmente um padrão lá fora para a estrutura oh i d que é dependente do fornecedor para ir em frente e desenvolver o seu próprio. Oh, eu arranjo para os dispositivos deles e então vou em frente e liberar um M.I.B. M.I.B. M.I.B. a base de informações de gestão para ser capaz de Coralie aqueles dois juntos para entender o que estes oh, idéias realmente são quantas? Oh, idéias existem e a sintaxe de formatação delas para que possamos entender quais informações estavam realmente consultando. E então os últimos dois itens aqui que você acabou de mencionar. Este é o gerente S e M P que é o seu servidor S e M p. Seu dispositivo. Na verdade, está realizando suas operações de get and set. Isso é dizer ao seu dispositivo de gerenciamento, roteador ou switch para ir em frente e definir um valor específico para um novo ele ou para obter o valor de um novo ele e que ele está no seu servidor de gerenciamento de rede. Você é um M s que também intercepta traps são mensagens originadas do dispositivo de gerenciamento e enviadas para o servidor de gerenciamento de rede. Estes transportes aéreos geralmente alertam de alguma forma para notificar uma situação de emergência. Normalmente, também pode ser apenas algumas informações arbitrárias que estão sendo enviadas, mas é uma armadilha e que em seu dispositivo de gerenciamento em seu roteador, ou switch. Você precisa direcionar essas armadilhas para algum lugar. Ele tem um destino i p endereço porque ele está usando, Você sabe UDP ganhou 62 por padrão para ir em frente e enviar thes armadilhas, e ele precisa ter um destino. endereço I P nesse destino será o seu servidor de gerenciamento de rede, também conhecido como seu S e M P Manager. E essa é uma distinção importante a fazer. E eu mencionei isso. São os seus dispositivos de gestão? Uma coisa é que é o seu router ou o seu comutador. Mas o agente S e M P é, na verdade, software em execução no seu dispositivo de gerenciamento que está recebendo essas mensagens get ou set. E está consultando algumas informações, coletando algumas informações do sistema operacional do seu dispositivo de gerenciamento e, em seguida, enviando-as volta ou configurando-as conforme apropriado, dada a mensagem recebida do gerenciamento de rede servidor. E eu mencionei este ano um par de vezes é que é possível definir informações com S e M P que eu posso ir em frente e definir o endereço I P em uma interface por S e M P enviando uma mensagem S e M P para o meu dispositivo de gerenciamento, o que é ótimo porque permite a automação potencial em sua rede para ir em frente e usar S e MP Teoh, configurar seus dispositivos desde que você tenha S e MP configurado em seus dispositivos nessa conexão lá para ser capaz de fazer isso. Então, movendo-se para o próximo slide aqui é esta é a estrutura hierárquica de um M I B de uma base de informações de gerenciamento. Então nós temos apenas, você sabe, a raiz da árvore aqui, e então nós descemos a árvore. Se quisermos ir para, uh o link TP especificamente aqui em baixo que você sabe, este é um ponto 3.6 ponto um mergulho 4.1 em. E então há algum número aqui o 11863 E vemos isso aqui. É 1.3 ponto 6.1 ponto 4.1 ponto 11863 e você vê, não há realmente nenhuma estrutura definida aqui. É arbitrário sobre ele é definido pelo vendedor que eles são os únicos que ir em frente e criar esta estrutura e definir o que nossas madeiras realmente significam. Então, a diferença entre as versões S e M P aqui SMP versão um e para ver Onley suportar segurança realmente mínima, eles só validam a fonte com uma string de comunidade Eso Você verá que referência a um monte de string de comunidade onde em seu dispositivo em seu switch ou roteador, você precisará ir em frente e definir s e MP e configurá-lo para ser uma determinada cadeia de comunidade e em seguida, típico. Você também pode definir que os endereços I p de origem específica do Onley têm permissão para extrair o dispositivo para obter informações S e MP e, em seguida, continuar. Klay também definir se é, você sabe, você sabe, ler em Lee ou ler acesso de escrita se eles podem fazer obter e definir ou apenas obter operações e que a cadeia de comunidade tudo o que ele realmente faz é que ele valida a fonte é que ele diz ao nosso servidor de gerenciamento de rede que este, você sabe que o dispositivo é realmente o agente S e M P com o qual estamos procurando nos comunicar. É apenas uma cadeia de texto simples que é enviada através da versão um e versão para ver Na verdade nem mesmo criptografar essa cadeia de comunidade em tudo. Eles acabaram de incluir em sua versão de comunicação três introduziu autenticação e criptografia, para que você possa usar nome de usuário e senha, e ele também irá criptografar sua comunicação. Sobre isso é definido seu off e priv que priv é para criptografia, que em sua configuração Cisco, você vai ver off rio acima off. Sem priv, sem off, sem priv para dizer que não há autenticação, nenhuma criptografia ou que queremos autenticar, mas não criptografar. Ou queremos autenticar e criptografar que, uh, uh, é assim que você acaba vendo referência na configuração da Cisco e no S e M P. Como eu disse, é mais comumente usado para monitorar que você geralmente é puxando seus dispositivos. Você pode obter toda uma riqueza e quantidade de informações de sondagem de seus dispositivos para S e MP que normalmente praticamente qualquer bit de informação que você pode obter fora de um comando show do seu dispositivo. Você pode ir em frente e sondar com S e M P e obter essa informação quase de volta. Há alguns que você não pode, e isso depende, é claro, inteiramente da implementação dos fornecedores e se eles decidiram implementar os fluidos S e M P para permitir a sondagem dessas informações. Mas isso pode lhe dar ah, muita visibilidade em sua rede e permitir que você alarme e alerte o administrador da rede de certas condições se as coisas estão fora das normas ou fora dos valores esperados. Mas ele pode ser usado para gerenciamento que você tem a capacidade de definir valores por S e M p. Assim, você poderia ter a correção automatizada de determinadas situações enviando um conjunto S e M P normalmente em meus ambientes. Não vejo que usemos S e MP para a gestão. Existem outros protocolos e métodos mais robustos lá fora para gerenciar seus dispositivos de forma centralizada que usar S e MP é um pouco complicado e vai variar muito de fornecedor para fornecedor eso Não é apenas algo que eu ver implementado muitas vezes, mas isso acontece e está lá fora e isso é especificamente para os tópicos do exame ccn aqui você fala sobre como isso se liga ao seu estudo é que nós só precisamos explicar a função de S e M P em operações de rede. E isso é o que devemos ser capazes de descrever aqui. Passando para o diário da irmã. Então sis log é log, mas especificamente sis log é um protocolo que é definido no RFC 54 para 4. Ou pelo menos a revisão mais recente é definida sua que, por padrão, dispositivos Cisco usam UDP 514 para transmitir mensagens de log sis que é uma conexão menos protocolo que eu tenho aqui uma captura de tubarão fio fora de uma mensagem de log CIS que sys Lok transmite dados de mensagem não estruturados de texto simples, e ele também transmite uma facilidade e nível. Vamos falar sobre o que é isso em alguns momentos aqui no próximo slide. Mas o que quero dizer com texto simples? Dados de mensagens não estruturadas são que vemos aqui em baixo a última linha aqui, a mensagem. Então ele nos diz quanto tempo as mensagens são 71 e que aqui está a mensagem de log CIS que foi enviada que este é apenas um texto. Oring. Este não é um dado estruturado. Isso não é dar variáveis, e seus valores é que isso é apenas uma textura em que temos aqui o carimbo de hora e temos o nível aqui que este é um nível cinco. Agora, lembre-se, isso é de um dispositivo Cisco. As mensagens de log Eso sis terão uma aparência diferente com base no fornecedor que está enviando que o conteúdo da mensagem real não está definido na RFC. Que apenas o protocolo aqui para enviar o log do CIS é definido no RFC e incluindo o , você sabe, você sabe, carimbo de data/hora. Aqui. Você não tem que incluir isso na sua mensagem de registro de irmã, mas você pode e a mesma coisa no texto aqui também. Mas esta mensagem de ataque está nos dizendo que temos interface rápida 01 que muda estado para baixo administrativamente que eu entrei naquele roteador aqui e entrei na interface Unidade Rápida zero barra 1 e fechei. E essa mensagem de log ASIS gerada aqui gera uma mensagem fora do nível cinco dizendo que é um nível de aviso e veremos como isso corresponde aos outros níveis disponíveis em um momento aqui. E ele está nos dizendo que tipo de mensagem é aqui e também que é uma mensagem de link e que é um link nível cinco mensagens para notar e que especificamente está dizendo que ele mudou que isso poderia ser útil ao monitorar sis log para Dispositivos Cisco para saber que tipo de mensagens que estão sendo recebidas você pode alertar com base em determinadas cadeias de texto e ser capaz de estar ciente de quando coisas importantes acontecem. E então você tem o texto real da sua mensagem de registro de irmã lá, é claro. Então, mudar para nossas instalações e níveis aqui é que a instalação é realmente algo que diz a você, você sabe, de que fonte o quê? O que? O software no dispositivo realmente gerou esta mensagem e voltando aqui para a captura de tubarões de arame bem rápido. Vemos que esta é a instalação Local sete que é usada para reservada para uso local em Cisco Devices . Ele não altera o recurso que o recurso é um item configurável pelo usuário que todas as mensagens provenientes desse dispositivo usarão o recurso que está configurado e, por padrão, ele usa o recurso sete local e que isso é algo que você pode . Local 7 é a instalação número 23 aqui em baixo. Alguns dispositivos irão em frente e usar esses números de instalações. Esses números de recursos são realmente definidos no RFC e, assim como os níveis aqui como essas descrições são retiradas da Cisco aqui, mas as instalações são definidas no RFC, mas nem todos os dispositivos os usam. Como eu disse, Cisco Devices será padrão aqui para sete locais, mas que você pode configurar isso para outros. Seus níveis aqui, o nível mais baixo é mais urgente. Esse nível zero é uma emergência. Isto é tipicamente uma armadilha ou um alerta que enviou dizendo que é um último pequeno pedido de ajuda que algo urgente realmente acabou de acontecer. Não sou mais utilizável. É uma emergência. Um novo alerta é nível um crítico nível dois erros nível três avisos de antes de eu ter certeza que você conhece esta tabela, uh, uh, pelo menos as palavras-chave e seu nível, como eles combinam lá em cima. Eu vejo essas perguntas nos exames Cisco o tempo todo, você sabe, perguntando o nível três. O que isso corresponde Teoh em Acaba por ser um erro. Por isso, gostaria de conhecê-los, a fim de ter certeza de que você está ciente disso. E a ordem também importa Matt, porque quando você definir para fazer logoff, você sabe, você sabe, nível para então todas as mensagens com um nível quatro ou inferior serão registradas que quando você definir isso em um dispositivo Cisco, ele está desativado o nível de registro e menor será saudado. Então, se você definir o nível de log para depuração grande toda a sua depuração, notificações informativas, avisos, erros críticos. Tudo isso será registrado e aparecerá em seu log sis e isso pode ser muito importante porque isso pode ser um monte de logs on e você pode sobrecarregar seu servidor de logs do sistema . Normalmente, os logs sis são enviados para um coletor baixo CIS em. Isso é o que vimos aqui que nosso coletor de sistemas aqui está em 10 1 para 2. Sobre isso. O dispositivo do qual isso está originando é, vocês sabem, 10 121 thes Ambos aconteceram para ser Cisco Devices que eles estão em BNs três e eu estava apenas gerando este log como um exemplo, mas que estes serão enviados para um CEI coletor de log. Você não precisa necessariamente usar UDP. Pode ser TCP e um sentido orientado a conexão, e que existem outras portas que você pode usar também que este é um itens configuráveis, mas que isso irá para um coletor de sistema. Então, se você está ansiando no nível de depuração, isso pode ser milhares de logs por minuto. Pode ser centenas de segundos mais longos ou mais que você pode estar sobrecarregando seriamente seu coletor de sistema. E você pode querer estar ciente disso antes de você definir. Você está registrando nível aqui que geralmente os tipos de itens que são longos é algo que é configurável. Mas não vamos passar por isso aqui hoje. Muito obrigado por passar por isso comigo, assim como os outros. Vamos fazer algumas perguntas de treino antes de terminarmos. Primeiro para cima. Qual é o nome do software em execução em um servidor de gerenciamento de rede que pesquisa s e MP de dispositivos gerenciados? É um agente S e M p, a base de informações de gerenciamento, o S e M P Manager, ou é apenas S e M. P, agora agente S e MP. Este é o software em execução no dispositivo gerenciado que está coletando as informações do dispositivo de gerenciamento e enviando-as de volta para o servidor de gerenciamento de rede. A base de informações de gerenciamento é o que correlaciona seus oh i ds com suas informações reais no dispositivo de gerenciamento. E que s e M P são apenas esses protocolos de gerenciamento de rede simples e que o software em execução em seu servidor de gerenciamento de rede é o software gerenciador S e M P. Vês? E finalmente o quê, mana? nível de log corresponde a um nível de alerta. A mensagem é que este é um global 1, 23 ou quatro. Bem, eu só quero trazer a mesa aqui bem rápido que aqui temos nossa emergência é nível zero e alerta é nível um. Então a resposta aqui é um nível um. Espero que isso tenha sido informativo para você, e eu gostaria de agradecer a você por ver. 33. 4.6 QoS: qualidade do serviço. qualidade de serviço é um recurso que a maioria dos roteadores suporta, que permite a priorização de determinado tráfego, modo que durante períodos de congestionamento possamos garantir que nosso tráfego mais importante seja permitido primeiro e garantiu que certa quantidade de largura de banda que é necessária coisas como nossos aplicativos de missão crítica são comunicações de voz e vídeo. Agora queremos ter certeza de que esses aplicativos muito sensíveis e tráfego muito sensível são permitidos primeiro ou garantidos uma certa quantidade de largura de banda para que possamos manter nossa qualidade de serviço. E garantimos que as coisas que são mais importantes para nós estão passando especificamente pelo tópico do exame, pois isso pede para explicar o comportamento de encaminhamento por salto, e é isso que vamos seguir em frente e fazer. Essa qualidade de serviço é algo que é configurado por salto, que é configurado localmente em cada roteador, e que não necessariamente age da mesma forma de roteador para Rover, que embora possamos marcar nosso tráfego para que possamos tentar e tratar esse fluxo de tráfego forma semelhante em toda a linha ou em todo o circuito, ele não é necessariamente tratado da mesma maneira em cada salto na estrada. Então vamos em frente e saltar para cima dele. Assim, a qualidade do serviço, como eu disse, permite a priorização do tráfego para antes de dois durante períodos de congestionamento. Então, isso é notar que a qualidade do serviço geralmente não tem qualquer efeito se não houver congestionamento na linha de que se nós nunca estamos entrando no software Q. Então nossos fluxos de tráfego serão geralmente tratados em uma base de primeiro a sair. Então essa qualidade de serviço, como eu disse, é configurada por hop. E é configurado especificamente com no Cisco Devices com o modular Que os cli. E isso é em que si, como você verá abreviado em muita documentação que este é o slogan que a Cisco deu seu método de criar seus mapas de classe e políticas de serviço de identificação e classificação ou tráfego e , em seguida, adicionando algum tipo de ação para que classificações específicas fora do tráfego e, em geral, em dispositivos Cisco Que Os envolve três processos é a identificação do tráfego que queremos aplicar alguma manipulação especial, também. As classificações desse tráfego dizem agora que o identificamos em que classe esse tráfego cai agora? E finalmente, para essa aula, o que queremos fazer com ela? Que tipo de ação queremos tomar? Queremos agendar o tráfego especificamente e fazê-lo sair primeiro? Queremos moldá-lo para que o tráfego no caso de ele estar tentando se mover muito rápido, que haja muita taxa de transferência que queremos colocar em fila esse tráfego e que o Onley o liberte na linha a uma taxa específica? Ou queremos simplesmente policiar que o policiamento está apenas deixando cair o tráfego que ultrapassa a taxa especificada? E vamos cobrir isso um pouco mais nos próximos slides aqui que esta pequena animação dela sem animação mas figura aqui meio que mostra um pouco do que estamos fazendo? Que cada uma dessas cores pode representar fluxos de tráfego diferentes. Você sabe, o verde pode representar um fluxo de tráfego de voz, e vermelho pode representar nossa navegação regular na Web. Tráfego ou roxo pode representar isso, e assim por diante que no início aqui nós temos nosso policiamento e estamos marcados para baixo que você sabe ele irá em frente e soltar o tráfego que está vindo muito rápido, como esses fluxos verdes aqui e que o roxo flui aqui parece que estes apenas não coincidem com um A C. L através do nosso controle de admissão que, você sabe, isso simplesmente não é permitido e que nós podemos ir em frente e agendar nosso tráfego para fila ou solte-o, que podemos sinalizar esse tráfego se ele estiver se movendo muito rápido, ou podemos ordená-lo para que ele esteja fluindo para a linha em uma ordem específica para garantir que tenhamos nosso tráfego mais importante na linha primeiro. Mas podemos moldá-lo, o que acabará sendo a mesma coisa. Está na fila aqui que vamos moldá-lo. Cue isso de tal forma que ele está em Lee, lançado a uma certa taxa e, em seguida, ligar mecanismos específicos vai realmente apenas aplicar ao seu hardware que para suas interfaces individuais em seu roteador aqui, certo, então você tem várias interfaces. Cada uma dessas interfaces tem um hardware que também sobre isso. Que Q geralmente funciona em um mecanismo de primeiro a entrar primeiro a sair e que Q é muito pequeno. É realmente um buffer de hardware para o seu dedo da interface, onde o tráfego é colocado antes de ser realmente transmitido diretamente para a linha. Então vamos começar com nosso primeiro processo aqui fora de identificação e vamos passar para o próximo slide com isso. Portanto, nossa identificação e classificação para que o tráfego possa ser identificado usando várias propriedades diferentes que você poderia usar seus endereços de origem e destino. Você pode usar o protocolo que está sendo usado, por exemplo, para gole para sua voz sobre I p ou seu protocolo RTP em tempo real para sua voz de centeio P ou tráfego de vídeo ligado. E então poderíamos usar nossa marcação d SCP. Talvez nosso tráfego já tenha fluído através de um roteador ou um dispositivo que marcou esse tráfego que nossa marcação DCP é algo em nosso cabeçalho I p Aqui, nós temos o campo T. O s, um campo de oito bits onde temos o nosso d Domínio SCP. Isso é contra para o ponto de Serviços Diferenciados Co e esta é uma tabela aqui indicando os diferentes níveis de D. S, C P que temos disponíveis e o equivalente binário para os seis bits que estão aqui no Quatro horas de tráfego de voz. Nossa melhor prática será marcar que com E F. Isso é acelerado para frente o CS zero aqui que é o equivalente ao melhor esforço que é B E para todos os zeros. E então você tem, Ah, monte de diferentes níveis intermediários aqui para onde podemos ir em frente e marcar nosso tráfego que isso é mais útil para nossa identificação e classificação. Usando dispositivos downstream ou upstream, consulte a identificação e a marcação do tráfego. Alterando este valor D S C P aqui que leva ciclos de CPU. E esse é um processo orientado por software que você vai se você tiver um monte de tráfego para identificar em marca que pode realmente colocar uma pressão em sua CPU. Você deve ter certeza de que o dispositivo no qual você está fazendo isso é capaz de lidar com essa quantidade de carga da CPU. É também geralmente por isso que é prática recomendada marcar o tráfego o mais próximo possível da origem . Primeiro, você vai estar lidando com menos tráfego porque não é tudo agregado. Não é todo o tráfego da sua empresa que é agregado, e você está tentando comercializar todo o Onley em seu dispositivo de fogo na borda, mas em vez disso nos telefones ou nos roteadores individuais em seus departamentos que você pode ir frente e marque seu tráfego lá, modo que você tenha menos para lidar. Seu processo para marcar isso é mais distribuído, mas também para que você possa ir em frente e lidar com isso adequadamente em toda a sua organização que você pode simplesmente usar sua marcação D SCP para ir em frente e escolher como deseja lidar com esse tráfego. Talvez o seu E. F. Você está acelerado encaminhando o tráfego que é na verdade sua missão. Tráfego de aplicativos críticos. Isso é quatro. Seu banco de dados transacional, talvez seu site de comércio e que você tem esse tráfego de banco de dados transacional que precisa ser realmente segurado. Isso vai chegar ao seu destino apropriadamente. As coisas que são mais altas aqui em sua tabela que estes são geralmente quatro protocolos de roteamento e informações de roteamento que suas informações de controle seu tráfego plano para seus roteadores, que é muito, tráfego muito importante ainda mais do que sua voz, vídeo ou missão. Tráfego crítico de aplicativos, porque se você não tem informações de roteamento em toda a rede, Bem , então, nada vai funcionar. Digamos, yo, alguém invadiu seu banco de dados e está enchendo sua rede com uma quantidade incrível de transações e está fazendo com que você esteja sugando toda a sua largura de banda e que você não pode sequer obter suas mensagens oh SPF helo entre seus dispositivos e pregar seu vizinho. Relacionamentos estão caindo e você não pode nem mesmo percorrer sua rede. Agora que isso é algo a considerar, que esse é um fluxo de tráfego muito importante são as informações do protocolo de roteamento e que você pode usar outras coisas, é claro, para identificar seu tráfego que há uma grande quantidade de itens que você poderia usar, basicamente qualquer coisa que está em uma lista de acesso estendida e estendeu um C L. Você pode ir em frente e usar para identificar seu tráfego no Qs Seelye modular. Agora que revisamos nossa classificação de identificação aqui, eu estaria ciente dessa tabela que você não precisa. Teoh necessariamente conhece todos esses caras. Mas pelo menos esteja ciente de que o embarque acelerado é o decimal 46 e que eu p precede cinco. Então, a precedência I P, a propósito, é o valor de precedência aqui é o braço dois mais baixo Desculpe. Três bits bem aqui que define a precedência i p sobre isso. O valor decimal é o valor decimal de todo o binário de SCP de D. Seis bits aqui sobre isso, o binário aqui que você pode ver que nós temos 101 e que é cinco e 101 E isso é cinco. E então nós temos 100 e isso é quatro, etc. , No entanto,esteja ciente de que o encaminhamento acelerado é 46 em que o melhor esforço será zero e que é uma coisa boa apenas rever esta tabela para ter certeza de que você está ciente dela. Mas eu não gastaria tempo para memorizá-lo lá, movendo-se para as ações que podemos tomar quando estamos marcadas e estamos tomando em nosso tráfego. O que podemos fazer com ele? Bem, podemos moldá-lo ou policiá-lo geralmente que este é o primeiro tipo de ação. Podemos levar isso com policiamento. Como eu disse, isso é apenas deixar cair nosso tráfego que está indo acima de nossa largura de banda especificada. Que esta linha pontilhada aqui representa a largura de banda máxima permitida para esse fluxo de tráfego e que esses picos aqui estão indo acima dessa quantidade especificada. Então, quando policiamos o trânsito, estamos apenas deixando cair qualquer coisa que esteja acima da quantidade especificada. Se chegar muito rápido, o tráfego ofensivo será retirado. Enquanto que quando moldamos é que vemos aqui, algumas partes estão indo acima da taxa de transferência especificada e outras estão abaixo dela. E que quando fomos acima dele, estes acabam se igualando muito bem, de tal forma que estamos apenas liberando nosso tráfego para a linha em Lee em nossa taxa de transferência máxima e que é seu enfileirando essa quantidade aqui e está enfileirando esta quantidade aqui e enfileirando esta quantidade aqui e liberando este yo aqui, tal que este é Nell liberado para as linhas ups agora é liberado para a linha em nossa transferência especificada e que este bit bonito aqui provavelmente está sendo liberado para a linha aqui para que nós estamos ficando em nosso throughput especificado aqui, e que quando ele voltar para baixo aqui, você provavelmente verá isso aqui começar a voltar para baixo porque nosso fluxo de tráfego de entrada yo está diminuindo. E isso é, você sabe, geralmente, se for mais rápido do que a interface pode suportar. Ou também pode ser se você estiver definindo a quantidade de taxa de transferência, digamos que você tem seu tráfego de voz, seu tráfego de visualização I p e que você quer ter certeza de que ele é yo definido com o seu DS C P E f. Você é o encaminhamento acelerado. Certifique-se de que seu tráfego de voz pode passar, mas você só quer dar para megabits porque seu tráfego de voz não usa tanta taxa de transferência e você tem apenas 10 funcionários. Não há como você usar mais de dois megabits. E, na verdade, isso é até muito alto apenas para o tráfego de voz. E você quer ter certeza que no caso de algum ator ruim entrar em sua rede, digamos que alguém entra e coloca seu computador em uma das mesas, e que eles não são funcionários e seu ah, hacker, e que eles começar apenas a limitar o tráfego marcado e f em sua rede. Você com 100 megabits que eles poderiam agora apenas mangueira sua rede e torná-lo de modo que você não pode obter qualquer tráfego de Internet fora porque você está priorizando este tráfego falso. Este tráfego ruim sobre tudo o resto. E agora nada está funcionando como esperado, que você quer ter certeza de que o tráfego de voz não pode simplesmente mangueira sua rede assim . Então você limita a dois megabits para que esse cara que entrou, que está marcando todo o seu tráfego na E.F . ele só possa ter dois megabits. Todas as suas chamadas de voz podem começar a falhar porque ele está atraindo dizendo um monte de tráfego falso para a rede. No entanto, tudo bem que seus aplicativos de missão crítica e o resto de sua rede continuem funcionando bem, porque você limitou seu tráfego de voz a essa quantidade conhecida como agendamento e enfileiramento diz que existem alguns métodos de enfileiramento diferentes lá fora que enfileiramento e agendamento. Você permite banda com limitação de fluxos de tráfego específicos e que existem vários métodos para permitir um único Q ou várias pistas que podemos ter muitas pistas diferentes cada mesmo com suas próprias prioridades. Como eu disse, você pode aplicar-lhe uma banda com limite para um Q específico ou até mesmo um tipo específico de tráfego que geralmente é feito aqui com base classe esperado fila justa que também l l Q. Isto é baixo Layton Ver fila w f Q. É ponderado. Fair Queuing P Q. É prioridade enfileiramento e Fife O ou F i F O é o primeiro a sair, primeiro a entrar primeiro a sair. Claro, isso faz sentido. Esse é o primeiro tráfego que entra é o primeiro tráfego que é enviado para fora prioridade enfileiramento e aguardou justo Enfileiramento estes agem de forma muito semelhante, enquanto que com base em classe espera fila justa. Aqui é onde ele permite configurar várias dicas diferentes com suas classes que isso é realmente o que o aliado modular qsc está fazendo olhos que você está tomando suas classes de tráfego. Você está criando um mapa de classe. Você está identificando seu tráfego e criando um mapa de classes para classificar esse tráfego. Em seguida, você está aplicando uma política de serviço para permitir quatro filas justas esperadas para que você possa aguardar determinados fluxos de tráfego mais altos do que outros para dar a eles uma prioridade mais alta, você pode dar-lhes banda com limites ou até mesmo limites de porcentagem fora da largura de banda disponível. Digamos que você quer isso como um tipo de coisa mais dinâmico, tal que com base em qual direção está tomando, digamos que você tem um protocolo de roteamento muito dinâmico em seu ambiente e que ele poderia estar tomando direções diferentes e que você têm diferentes larguras de banda disponíveis. Digamos que você tem seu roteador aqui e você tem três maneiras diferentes que ele poderia potencialmente ir para obter Teoh esta outra seção da sua rede que este cara é uma linha de 100 megabits, e então esse cara é uma linha de um show e que esse cara é uma linha de 10 gig que você poderia apenas uma porcentagens de venda de sua largura de banda disponível para suas várias prioridades ou para suas várias classes de tráfego para que você não acabar com problemas se você acabar usando uma linha diferente aqui. O único show, ao contrário do 10 show que eu especifico, quer dar a vocês dois gigabits para o meu tráfego transacional de banco de dados. Então, bem, eu estou tendo problemas com minha linha de um show porque esse tráfego de banco de dados transacional agora tem a capacidade de usar toda a largura de banda da linha e que você pode causar problemas no evento. Há um problema lá onde ele é desenhar lidar muito rápido e que você está recebendo muito desse tráfego, sua baixa latente ver filas este é também um que eu estaria ciente de que pequena agência filas. Ele funciona muito como o enfileiramento de prioridade, mas também cria uma fila separada para tráfego de voz. Nesse baixo, Layton CQ está esvaziado. Primeiro, certifique-se de que o tráfego de voz é liberado para a linha primeiro. Sempre nisso. Depois disso, Q é esvaziado do que seu outro acusado. Comece a ser esvaziado também que esta figura aqui dá uma espécie de uma sensação de como o enfileiramento é certo é que você tem seus diferentes fluxos de tráfego aqui. Estes podem ser saber o tráfego do YouTube ou o tráfego geral da Internet, o tráfego de vídeo do traficante de voz, o tráfego de seu servidor de backup, o tráfego de suas câmeras de segurança assim por diante. E então você está classificando esse tráfego e colocando-os em várias pistas aqui. E você está dando prioridade a essas dicas diferentes, tal forma que a prioridade alta acaba sendo colocada na linha primeiro ou mais frequentemente que sua prioridade média é segunda ou um pouco menos frequentemente, e que seu menor é o que resta sobre. Ou você pode garantir uma certa quantidade de largura de banda. Talvez apenas um megabit esteja indo para sua prioridade mais baixa e que você possa ir em frente e enviar isso para a linha primeiro. E então eu sinto muito, último ou o que está disponível que é importante ter em mente que tudo isso é por salto direito, que a fila e a liberação do tráfego na linha e em que banda com isso . Isso é o que está acontecendo no nível de roteador individual que isso não necessariamente afeta como o roteador upstream ou downstream estará lidando com seu tráfego, que o QS e o agendamento e o enfileiramento precisam ser configurados no per hop . Aqui. Você pode classificar e marcar seu tráfego uma vez e usar essa marcação em toda a sua rede, que também é onde o limite de confiança chega como faras em quem você vai confiar, em quais dispositivos você vai confiar para marcar seu tráfego, que você pode querer descartar qualquer marcação em seu tráfego que diz, você tem sua estação de trabalho aqui e você tem seu telefone. Desculpe-me meu desenho ruim de um telefone e você tem seu telefone, seu telefone, seus anos de computador conectados ao seu telefone e seus telefones conectados ao seu switch e, em seguida, os switches conectados ao roteador do roteador conectados a Sua lã distante. Bem, só pegar fogo e isso acabou. Conectado à Internet. Digamos que seu telefone está marcando seu próprio tráfego. E digamos que este é um switch de camada três direita e que seu telefone está marcando seu próprio tráfego como encaminhamento acelerado. Digamos que no seu interruptor você não queira confiar nessa marcação. Você poderia simplesmente escolher pegar essa marcação e f e rasgá-la de lá e aplicar sua própria marcação no tráfego que você quer tomar seu limite de confiança. Isso foi bem aqui, e você quer trazer isso para cima e colocá-lo aqui e fazê-lo para que você não confie nisso para marcar seu próprio tráfego em tudo. Mas talvez queiras confiar nisso. Tire um pouco dessa carga de seu interruptor que está aqui e vá em frente e permita que seu telefone marque seu próprio tráfego e mova seu limite de confiança aqui, de modo que talvez você queira ter certeza de que qualquer tráfego que esteja em sua data de sua terra que está vindo de sua estação de trabalho aqui que você deseja se certificar de remover qualquer marcação que esteja lá e que você não deseja confiar nesse tráfego. Mas talvez você saiba, e você quer mover seu limite de confiança para cá e apenas confiar em tudo. Eu não recomendaria, mas, ei, é possível. Talvez seu ambiente exija isso. De qualquer forma, muito obrigado por passar por isso comigo aqui, assim como os outros. Vamos fazer algumas perguntas de treino antes de terminarmos. Primeiro para cima. Qual é o valor D S C P recomendado para voz. Eu fiz. Vá em frente e coloque a mesa aqui só para ter certeza de que você tem isso disponível. Isto estava olhando para a representação decimal de D. S, C. P e que o valor recomendado para voz que dissemos é E f embarcar rápido que tem um D S C. P. valor de 46. A resposta aqui é C 46 e, finalmente, quando não há congestionamento, como é o tráfego liberado para a linha do que hardware E eu mencionei isso apenas um par de vezes é que quando não há congestionamento, seu hardware Que geralmente funciona em um primeiro na primeira maneira que ele vai liberá-lo tão rápido quanto ele é capaz de que a linha permite, porque não há congestionamento e que ele vai apenas colocá-lo lá fora primeiro. Em primeiro lugar a sair. A resposta aqui é um espero que isso tenha sido informativo para você. Gostaria de agradecer por ver. 34. 4.7 SSH: configuração de gerenciamento de shell seguro. Muitas vezes estamos gerenciando nossos dispositivos de rede, e geralmente você vai ssh neles. Se eles são dispositivos Cisco IOS é provável que seja assim que você vai gerenciá-los e você pode dizer à Net. Mas se você tem a opção de usar, ssh, você absolutamente deve. Que criptografa sua comunicação do início ao fim. Até mesmo o nome de usuário e senha que você faz login em seu dispositivo acabarão sendo criptografados através de seu shell seguro. Isso, com dizer Net todas as suas informações, é enviado em texto claro e não é criptografado de qualquer forma, e que é muito suscetível a ataques. Se alguém tiver acesso à linha entre seu servidor de gerenciamento, onde quer que você esteja se conectando ao seu dispositivo e seu dispositivo no qual ele está escutando isso e fazendo uma captura, então ele poderá ver claramente as credenciais que você está a utilizar para iniciar sessão no seu dispositivo. E qualquer configuração que você está fazendo através do telnet tão seguro shell ou ssh é o método preferido de gerenciamento para nossos dispositivos, e muitos de nós já sabem como fazer como um sábio. Você vai usar seu emulador terminal como massa são CRT seguro algo assim, e para ir em frente e se conectar com ssh! E só funciona. Mas se você puxar um novo dispositivo para fora da caixa ou você está fazendo um direito de corrida e precisa ir em frente e configurá-lo para shell seguro novamente, há algumas etapas que precisam ser tomadas. Então vamos passar por isso neste vídeo, e vamos configurar nossos dispositivos para isso tanto como um servidor ssh e um cliente ssh e mostrar como isso é configurado aqui. Primeiro, vamos falar um pouco sobre SSH. Ele é definido no RFC para 254 Havia duas versões desenvolvidas como uma versão estágio um e versão para versão um é geralmente considerado desatualizado. Nail on é obsoleto ID que você deve sempre usar a versão, também, se possível. Mas muitos dos nossos programas emuladores de terminal só lançarão um erro, dizendo que está usando a versão um. Deseja continuar? Ou talvez você precise adicionar explicitamente para permitir a conexão com a versão um? Dispositivos Ssh. Ele usa chaves criptográficas para comunicação criptografada. E o que isso realmente significa? Bem, usando infra-estrutura de chave pública não infra-estrutura realmente pública usando chave privada pública de criptografia simétrica conhecida que você pode criptografar comunicações. Usar um dispositivo é uma chave pública, e ele só pode ser descriptografado usando a chave privada que não é simétrica. Se você tentar obter a chave pública, não importa. Você não pode descriptografar a comunicação que foi criptografada com ele. E isso é realmente algo que acabamos fazendo durante nossa configuração. Aqui está que estamos gerando nossas chaves públicas e privadas em nosso dispositivo para uso que aqui eu queria ir em frente e mostrar como é configurar uma sessão ssh. Há um pouco de tráfego TCP extra lá dentro. Isso está relacionado com a sessão SSH aqui. No entanto, isso pode ser apenas algum tráfego extra aqueles gerados pelo dispositivo que nós temos apenas alguns pacotes de reconhecimento extra aqui que podem não ter sido necessários necessariamente que às vezes os dispositivos no GNS três vão em frente e Aja um pouco instável aqui, ali. É apenas algo para estar ciente de que ele opera sobre a porta TCP 22 por padrão. Então vemos aqui que nosso cliente é 10 122 e nosso servidor é 10 123 que estamos enviando nosso pecado sobre a porta 22 obtendo nossa conexão TCP iniciada. E a maneira como os filhos do trabalho é que estamos negociando nossa versão do protocolo que foram capazes de usar estavam dizendo 1.99 e dois Dato para o servidor. E então nós estamos trocando nossas chaves estavam iniciando a troca de nossas chaves estavam usando Diffie Hellman para realmente trocar nossas chaves criptográficas que Diffie Hellman permite a criação independente fora do material chave para ser capaz de trocar com segurança antes de você realmente ter um túnel seguro construído que é um pouco menos seguro do que usar suas chaves criptográficas, é por isso que estamos construindo esse túnel para permitir a troca mais segura de nossas chaves em. Então estamos indo em frente e realmente trocando nossas chaves. E então estamos enviando pacotes criptografados um para o outro. E lá vamos nós. Temos nossa faixa segura configurada e que agora estamos trocando pacotes criptografados e cada lado está descriptografando isso quando eles o recebem. E é assim que acaba parecendo aqui. É que você estava negociando nosso nível de protocolo ou trocando nossas chaves e boom, Estamos concordando em ir em frente e criptografar e descriptografar os pacotes que são recebidos durante esta sessão. Então, basta entrar um pouco mais aqui é que nosso cliente inicia a conexão conectando-se ao servidor, configurando nossa conexão TCP fazendo nosso syn syn ack ack. E, em seguida, o servidor envia através do público. Ele é um pouco simplificado da nossa captura de tubarões de arame. Lá nós negociamos os parâmetros e abrimos o canal seguro, e então vamos em frente e Logan, e esse é o número quatro aqui. Este é um pacote criptografado que não podemos ver que durante a nossa captura, ele apenas mostra como dados criptografados para usar Ssh, você precisa de uma imagem IOS que suporte recursos criptográficos. Estas são as imagens K nove que quando você vê em seu nome de imagem, se ele tem canino no final, que é uma imagem que suporta funções criptográficas. Se isso não acontecer, então você não tem uma imagem que suporte funções criptográficas. Você não será capaz de gerar suas chaves R s em tudo, a fim de usar Ssh. Se você já se deparar com uma situação em que você digita os comandos crypto e ele apenas diz comando desconhecido, então isso é provável. O que está acontecendo aqui é que você não tem uma imagem que suporte recursos criptográficos . Apenas como uma nota aqui. Isso não é necessário para o exame. S uma versão de palco um foi suportado como fora 12.0 dot cinco de Iowa e SSH! Versão dois a partir de 12.1 lançado 19. E isso é na maioria das plataformas. Há alguns que foram lançados um pouco mais tarde no 12.1, mas isso não é problema aqui que se você tiver, como 12 Dato, que é versões muito, muito antigas ou anteriores do Iowa, então você não será capaz de suportar ssh on e usá-lo aqui na configuração. Ele requer um nome de domínio para ser configurado que quando você vai gerar suas chaves R S , suas chaves criptográficas, se você não tem um não significa configurado seu erro get jogando em você, dizendo que não nome de domínio está configurado em. Vamos passar por isso em nosso laboratório de configuração brevemente aqui, e é possível usar autenticação baseada em certificados para autenticação mútua com o cliente e o servidor que agora estamos apenas fazendo troca de chaves para configurar nosso Proteja a concha aqui. E então estamos usando o nome de usuário e senha para fazer login no dispositivo. Mas é possível configurar certificados de identidade em cada lado. Esse ar assinado por alguma autoridade de certificação confiável eso que você pode autenticar mutuamente o para o servidor pode. Não, que o cliente tem permissão para se conectar usando o certificado. E o cliente sabe que o servidor é realmente quem ele diz que é porque ele está vendendo por alguma autoridade de certificação confiável. Incrível. Então essa é a breve visão geral fora. Ssh. Vamos em frente e dar uma olhada no nosso laboratório aqui e os passos que vamos tomar com isso. Então, todas as etapas são necessárias para essas configurações de cliente que, a fim de usar o cliente ssh , precisamos ir em frente e gerar nossas chaves Arce. Para fazer isso, temos que definir um nome de domínio da NYPD. Agora podemos ir em frente e apenas deixar o nome do host padrão do roteador. Mas não precisa haver um nome de host lá que estes são usados em sua chave. É por isso que precisamos de um nome de domínio é porque ele é usado em sua chave criptográfica. Para avançar e gerar isso no lado do servidor, vamos em frente e configurar um nome de usuário local e senha ou ir para algo simples, assim como Cisco Cisco. E então também precisamos definir o método de autenticação VT Uihlein. Nós apenas dizemos que logar em s locais para que possamos realmente fazer login com o VT Uihlein. E aqui embaixo, é com isso que nosso laboratório vai ser. Deus são cliente ssh mais em nosso servidor um e ssh mais sobre o nosso para e seguindo com a nossa convenção. É 10.1 ponto para 0.0 barra 24. É a rede entre eles são um é 10.1 ou dois é ponto para agora, Eu fui em frente e configurar estes I p endereços já. Ah, e eu defini os nomes dos anfitriões, mas isso é tudo. Precisamos ir em frente e definir nossas chaves geradoras de nomes de domínio. Configurar nosso nome de usuário e senha no lado do servidor e definir o método de autenticação DVT Uihlein . E então vamos entrar de R um para R dois. Nós vamos SSH ali e dar uma olhada em como é isso aqui. Então vamos pular para o nosso primeiro e configurar nossas chaves bem rápido. Então, vamos abrir uma vez habilitar o primeiro mais rápido real. Seu show I p interface breve. Ah, minhas desculpas. O endereço I P foi previamente definido pelo DHT. P de um laboratório anterior em não foi definido em nossa interface aqui, então vamos em frente e definir. Isso vai ser 10.1 ponto 2.1 e uma barra 24. Vamos configurar t Vamos a interface mais rápido ou zero i p Endereço 10.1 ponto a ponto quente. É um 24 bits. Lá vamos nós apenas para ter certeza de que é um devido pagando US $10.1 ponto a ponto para ter certeza de que nossos dois são pagos aqui. Sim, é excelente. Você tem conectividade, então vamos em frente e gerar nossas chaves. Vamos sair Ellis definir I p nome de domínio e I i p nome de domínio. E este vai ser o Ben J. Train Dot Lab. Excelente. Nós já temos nossa hospedagem configurada aqui são um. Então, o nosso nome de host completo o completo de nome de domínio qualificado do nosso host. Aqui estão um ponto ben J trem ponto Lab que realmente não se aplica em qualquer lugar porque não temos que configurado no DNS resolver. Só vai ser usado na nossa geração de chaves. Então, em ordem, gere suas chaves. Você faz a chave Crypto. Gerar rs dizer realmente poderia dar uma olhada nisso aqui. Nós só temos a opção de dizer sobre esta imagem aqui. E então podemos usar as chaves gerais e é isso que queremos acabar fazendo. Nós temos a opção de torná-lo exportável que se você não definir isso, então a chave privada. Então você sabe, a chave aqui é uma chave pública e uma chave privada que qualquer coisa criptografada com seu público, ele só pode ser descriptografado com sua chave privada. Se você não configurá-lo para ser exportável, você nunca será capaz de ver sua chave privada. Ele está escondido no IOS de tal forma que você não pode chegar a ele s para que possamos ir em frente e fazer chaves gerais. Não precisamos ser capazes de exportar isso. Então, vamos em frente e basta pressionar enter como vai nos perguntar quantos bits no módulo IHS. Este é o tempo que a sua chave tem. Escolher um modelo é maior do que 5 12 Maio levar alguns minutos, e vai ser bom nesta plataforma aqui que eu quero ter gerado isso mais cedo. Demora apenas alguns momentos, segundos no máximo, e geralmente você quer fazer 1024 ou superior. A maioria dos softwares de emulação de terminal modernos lançará um erro se você estiver usando um comprimento de chave muito curto. Esse 1024 ou superior é geralmente aceito. Sua melhor prática vai em frente e fazer 1024. E lá vamos nós. Ele é criado como conhecido exportável, e nós realmente recebemos uma mensagem de log aqui dizendo que ssh está agora habilitado. Ótima. Temos nossa chave disponível e ssh está habilitado. Vamos em frente. Vai fazer Exit enfraquecer fazer flops. Vamos terminar e poderíamos fazer um show Crypto Key, meu bar ou ensaio, e nós podemos realmente dar uma olhada em nossa chave aqui. Temos nosso laboratório de pontos de trem NJ dub, nossa chave de propósito geral aqui e que também temos nossa chave de servidor. Agora ele gera duas chaves separadas aqui. E essas chaves que você esperaria, certo? Se você fizer um show run essas chaves não aparecem em nosso show. Executar em tudo o que alguns dispositivos realmente mostrarão suas chaves criptográficas em sua configuração em execução nesta plataforma, ele não irá. E na maioria deles não vai. Você realmente precisa fazer o comando show crypto key para vê-los. Incrível. Então nós temos os clientes montados aqui. Vamos passar para os nossos dois e nós vamos obter essas configurações de servidor vai fazer a mesma coisa de gerar nossas, uh, nossas chaves de ensaio no máximo. Configure nosso nome de usuário e senha e defina o método de autenticação no VT. Linhas largas. Vamos habilitar, uh, 50. Eu p. Nome de domínio. O que vamos fazer, Ben J. Train Dot Lab. Incrível. E então vamos fazer a chave criptográfica gerar ou dizer, General Qi fazer 1024 como nosso comprimento de chave. Excelente. Então isso é gerado células ir em frente e criar um nome de usuário. Acabei de receber uma chamada. É Cisco senha, na verdade. Não deve usar senha. Eles devem usar segredo em vez disso. Esse segredo será criptografado em uma criptografia muito fraca. Mas ele irá criptografar sua senha na configuração em execução. Então, é muito mais difícil para alguém fazer um ataque sobre o ombro direito onde eles estão apenas atrás de seu ombro e olhando para a configuração de execução e você acaba rolando por lá. Você está usando a senha e eles vêem a senha ali mesmo. Isso tornará muito mais difícil para isso. Eles só vão definir a senha na Cisco aqui e lá vamos nós também. Então vamos para a linha VT. Por que zero a quatro Bom. Você faz login local. Excelente. Vamos acabar. Ótima. Então agora podemos correr de volta para o nosso aqui. Podemos tentar ssh e logar no reboque são também. Então esse comando é apenas ssh. E especificamos qual é o nome de usuário com o traço l usando o nome de usuário Cisco que acabamos criar. E então o endereço I P aqui é 10 dewan ponto a ponto para o nosso para nós somos solicitados com uma senha aqui. Isso significa que temos negociado nosso como s túnel H aqui já que a comunicação criptografada está configurada em que aceitou essa sessão e que agora estamos tentando entrar com nossa senha. Se eu apenas digitar Cisco, aqui está a senha. Agora somos apresentados com o nosso prompt aqui para o nosso para e agora estamos em nosso para agora. Estou tentando Teoh habilitar aqui. Mas não há nenhuma senha habilitada definida, então não está permitindo que façamos isso. Mas agora configuramos o ssh com sucesso em nosso dispositivo e conectamos a ele de outro dispositivo também. Isso foi configurado como um cliente SSH. Incrível. Assim como os outros vídeos aqui. Vamos fazer algumas perguntas de treino antes de terminarmos. Primeiro para cima. Quais atributos devem ser configurados pelo administrador antes de gerar nossas chaves de ensaio usadas para ssh. É o nome da interface, nome usuário, um nome de domínio ou nome de host. Portanto, o nome do host é algo que é necessário, mas que pode ser deixado como o roteador padrão ou o nome do host do switch que está no seu dispositivo. Então isso não é problema. Que o atributo que deve ser configurado pelo administrador é ver o nome do host no caso você tentar criar suas AKs RS sem definir um nome de domínio. Ele vai lançar um erro para você, dizendo que não há nomes de domínio definidos e que vai precisar voltar e fazer isso muito rápido. Então, finalmente, é a imagem IOS abaixo capaz de se conectar via Ssh versão dois. E é você uma saída de versão show aqui que para o 7200 roteador usando o avançado Enterprise Canine traço M e versão 12.4. Então nós mencionamos que ssh versão dois foi lançado em 12.1 s O que é bom para a nossa versão aqui. E temos o K 9 aqui no final do nosso nome de imagem. Então, sim, isso tem as funções criptográficas incorporadas. Então a resposta aqui é Sim, isso é capaz. Espero que isso tenha sido informativo para você. Agora eu gostaria de agradecer por ver 35. 4.8 FTP e TFTP: T, p e T FTP. Em algum momento, durante sua carreira de engenharia de rede, e ao trabalhar com esses dispositivos, você encontrará a situação em que você precisa transferir arquivos para um dispositivo ou fora de um dispositivo para fazer backup da configuração para alguns ou para atualizar o firmware e transferir uma nova imagem IOS para o dispositivo. Isso vai acontecer, e a Cisco quer ter certeza de que você entenda o que é usado geralmente para fazer isso E FTP e T FTP geralmente são os protocolos de escolha quando se procura fazer essas transferências de arquivos . . E mais comumente, você vai acabar fazendo isso para atualizações de software para ir em frente e transferir uma nova imagem de Iowa para o dispositivo. Mas há também outros usos e vai cobrir um pouco daqueles em apenas alguns slides aqui que primeiro acima, vamos falar sobre o protocolo de transferência de arquivos FTP tão especificamente, o tópico do exame no ccn A Aqui ele diz para ir sobre a função e uso de FTP e T ftp na rede e que precisamos descrever as capacidades também. Protocolo de transferência de arquivos aqui. Ele estabelece duas conexões TCP separadas para controle e transferência de dados que o que realmente faz é operar sobre TCP 21 para mensagens de controle. Então o cliente envia um comando stark para o servidor sobre TCP 21 aqui. E, em seguida, o servidor responde ao cliente com um número de porta. Eso, então este é o modo impassível, certo ? É que, uh, FTP tem um modo ativo ou passivo onde o modo passivo é onde o cliente se conecta ao servidor para os dados. Mas o modo ativo é onde o servidor realmente se conecta ao cliente. Esse servidor inicia essa conexão e pensar direito que não funciona bem com firewalls ou rede. Claro, ou porque o servidor está tentando iniciar uma conexão de entrada no e durante o modo ativo, o número da porta de entrada para o cliente. Acaba por ser apenas um número de porta efêmera. É aleatório. Ele está entre um intervalo, mas você não pode realmente especificar cada vez que número de porta vai ser. Então não funciona para ter um firewalls. É por isso que o modo passivo foi desenvolvido e lembre-se, isso foi feito de volta no RFC 15 79 ligado e é aí que o modo passivo foi introduzido. Isso é nos anos oitenta, quando os firewalls não eram necessariamente tão onipresentes. Então eles estavam começando a subir e vir e estar na maioria das redes. Então é por isso que o modo passivo foi trazido para jogar aqui, e havia um padrão para encontrar para ele. Então, como eu disse, tese er vor responde a esta comunicação porta 21, certo, certo, dando um número de porta de volta, dizendo Ei, vá em frente e abra uma conexão neste número de porta para que transferência de dados. Então, com o modo passivo, o cliente inicia a conexão com a porta de dados do servidor aleatório. Isso não é necessariamente verdade. Ele faz padrão para dados TCP 24. Uh, mas isso é um item configurável e não é necessariamente verdade o tempo todo aqui. Isso pode ser apenas uma porta de servidor aleatório para os dados e, em seguida, você em resposta, os vários enviar os dados de volta ou o cliente irá enviar dados para ele. Essa é uma sessão de transferência de arquivos interativa completa. Isso é transferência de arquivos de duas vias. Você pode carregar, você pode baixar o servidor, poderia solicitar arquivos do cliente no cliente 10 arquivos de solicitação do servidor. O FTP não fornece nenhuma criptografia. Eso que inclui sua autenticação é que geralmente há autenticação para FTP. Há padrão definido para ter autenticação anônima para que não haja nenhum nome de usuário ou senha trocada, mas ele não criptografa essa comunicação. Então isso vai ser enviado em texto simples eso. Você pode querer considerar que ele realmente não protege sua própria comunicação aqui . Então a linha subjacente lá, a linha de gerenciamento que está acontecendo entre os dois deve ser protegida porque o protocolo em si não fornece isso. Então é assim que funciona o protocolo de transferência de arquivos. E você provavelmente tocou em FTP antes pode ser usado no servidor FTP como arquivo zilla ou algo assim para ir em frente e carregar documentos para um servidor Web ou algo ao longo dessas linhas. É bem intuitivo, certo? Mas algo que nem todo mundo usou é o protocolo trivial de transferência de arquivos que é t FTP. Então T FTP é um protocolo de transferência de arquivos muito, muito leve. Sua definição mais recente foi na RFC 13 50. É um protocolo de conexão lis usando UDP 69 que não se importa. Na verdade, você fornecerá confiabilidade no protocolo de transporte subjacente. É por isso que temos reconhecimentos de que está a fornecer responsabilidades de verão no actual T ftp no próprio protocolo, e não no protocolo de transporte subjacente. É um design muito simples. Ele requer uma quantidade muito pequena de memória, é por isso que é ideal para inicialização em rede. É que em seu ambiente de pré-execução, certo, como seu dispositivo está inicializando que só temos que carregar este pequeno software na memória para executar t ftp que é muito leve, e isso faz realmente ótimo para carregar em seu ambiente de pré-execução e ser capaz de inicializar a partir da rede. Agora, Cisco Devices, você pode configurar o FTP para que a inicialização da rede seja usada durante a inicialização. Ele vai chegar a algum servidor FTP e pegar uma imagem IOS e inicializar. A partir dessa imagem eles vão obter que a imagem vai descomprimir e boom, ele vai em frente e arrancar a partir dele. Mas T ftp é geralmente o protocolo de escolha para isso apenas por causa de sua simplicidade e facilidade de uso. É Onley para transferências uni direcionais que o cliente deve iniciar uma leitura ou gravação A. Ele pode obter dados do servidor ou colocar dados no servidor. Mas o servidor não pode solicitar dados do cliente que é um caminho aqui e para cada sessão. É apenas uma maneira que você quer solicitar um arquivo, e, em seguida, essa sessão é longo ou você colocar um arquivo nessa sessão é longo. Assim como o FTP, não há criptografia, mas com T FTP, há nenhuma segurança inerente. Não autentica nada. Não fornece nenhum mecanismo para isso. Você não pode fornecer um nome de usuário ou senha porque isso não está incorporado no T FTP. Mas isso não é problema. Geralmente, para nossos usos aqui, se você só precisa fazer rapidamente um backup de sua configuração em seu dispositivo, é realmente fácil ir em frente e apenas levantar um servidor T FTP. Há, você sabe, aplicativos lá fora para Windows. Linux. Mac ligado. Vá em frente e levante-se bem rápido. Aponte seu cliente, seu roteador ou switch ou qualquer dispositivo sobre esse servidor FTP chá e boom. Basta enviar seu arquivo. É rápido, está sujo. É fácil. Vai ser bom e rápido, mas as mesmas quatro redes iniciando. Se você tem sua rede de gerenciamento segura, então esta é uma boa opção para inicialização de rede também, desde que você realmente não se preocupe com o mecanismo de autenticação. Não estar lá. Mas é claro, você poderia usar o FTP em vez disso se você quiser ir nessa direção. Então, na medida em que os usos aqui para FTP e T FTP direita é que eu toquei em que um pouco é que ele é usado para. Não transfira configurações que você está executando ou sua inicialização de ou para o dispositivo. Você pode fazer backup de suas configurações. Você pode restaurar suas configurações para o seu dispositivo que eu possa ir em frente e transferir ah executando configuração para o meu dispositivo. Eu posso copiar de um servidor T FTP, e em vez de flash aqui, você pode fazer a opção de executar config e que irá em frente e restaurar uma configuração diretamente na configuração em execução do seu dispositivo ou mesmo negócio que eu poderia colocar aqui para iniciar convict e que podemos ir em frente e restaurar nossa configuração diretamente para a nossa configuração de inicialização ou vice-versa. Vá em frente e faça startup convict aqui e tenha isso em vez de flash B para um servidor FTP e vá em frente e faça backup da nossa configuração. Da mesma forma, é assim que você faria para sua imagem IOS, bem como usar o comando copy aqui quando você está realmente em seu servidor. Uh, eu sinto muito. Você está realmente em seu dispositivo que através do modo romano ou romano, você pode ir em frente e configurar a inicialização de rede para fazê-lo chegar a algum servidor FTP ou t FTP para inicializar diretamente a partir de uma imagem armazenada nesse servidor. E você pode fazer backup ou atualizar seus arquivos de imagem do sistema. Como eu disse, suas imagens IOS ou em A S uma sua imagem SDM ou seu software de ensaio que você pode ir em frente e transferir isso ao redor. É só transferência de arquivos genéricos. Direto em que seus arquivos de log ou às vezes você configurar seu dispositivo para ter logs de falha ou outros vários logs que não são necessariamente facilmente movidos para fora do dispositivo como logs sis . Podemos exportar isso para algum coletor de manas. Você pode ir em frente e apenas fazer Ah, copiar e fazer o flash de cópia de arquivo. E a sintaxe aqui vai ser você sabe, como barra de dois pontos flash e, em seguida, seu nome de arquivo aqui, direita s para que possamos dio, você sabe, log de backup e que não, copiar isso para r t ftp e isso é como você transferiria esse dispositivo. Desculpe, esse arquivo fora do seu dispositivo e em seu servidor de arquivos ou t servidor FTP ou FTP? Agora eu sei que este vídeo aqui tem sido muito rápido. É apenas uma corrida rápida e suja fora do FTP e t ftp e onde você usaria isso e seus bits de protocolo fundamentais aqui que as coisas para realmente lembrar UDP 69 para Trivial File Transfer que é uma conexão menos protocolo e que não há autenticação nisso. Não há segurança inerente lá, e a mesma coisa para FTP. Ele opera sobre TCP 21 para as mensagens de controle. Você não precisa necessariamente saber que é 20 para dados porque isso não é necessariamente um número de porta definido lá que a única vez que isso realmente surgiria é 21 para mensagens de controle em que ele não fornece qualquer criptografia que para isso você precisa sftp whoops s FTP ou FTP s, que nós não estamos cobrindo isso no momento aqui só porque isso não foi ultrapassado nos tópicos do exame CCN. Assim como os outros, vamos fazer algumas perguntas aqui antes de terminarmos em que porto? Nossas mensagens de controle FTP enviadas. Agora, eu sei que acabei de mencionar este ano, mas eu não queria apenas aprofundar mais uma vez que este é um protocolo de transporte baseado em conexão . Protocolo de transporte. Quero dizer, TCP sobre isso. É TCP 21 para as mensagens de controle. A resposta aqui seria ver e, finalmente, t ftp usa uma conexão baseada ou conexão menos protocolo para o seu transporte? Lembre-se, nossos protocolos de transporte são nossos protocolos de camada três. Sinto muito se os protocolos de camada quatro para TCP você seria etcetera. Que isso vai ser uma conexão menos protocolo porque ele está oferecendo sobre UDP. Nossa resposta é um espero que isso tenha sido informativo para você. E eu gostaria de agradecer a você por ver 36. 5.1 definindo conceitos de segurança principais: conceitos de segurança. Muitas das noções básicas em cibersegurança honestamente gira em torno do vocabulário e ter definições para as coisas e entender o que exatamente elas realmente significam sobre isso permite que você tenha uma conversa mais inteligente com seus colegas e outras pessoas no você entender o que eles realmente significam, quando eles dizem que isso é uma ameaça ou que eles corrigiram certas vulnerabilidades. Ou eles encontraram malware usando uma exploração que o que vai passar neste vídeo são alguns desses termos e o que eles realmente significam e como eles são relevantes. Estes conceitos de ameaça, vulnerabilidade e exploração de uma mitigação e como isso se aplica à segurança cibernética. Então, primeiro, vamos falar sobre uma ameaça. Então, uma ameaça é qualquer coisa que tenha o potencial de causar danos aos sistemas de computador. Essa é uma definição muito ampla. Pense em quão ampla a IHS pode ser tudo, desde ah, surto de energia até desastres naturais, a bugs de software ou vulnerabilidades a defeitos legítimos do fabricante que todos esses são ameaças aos seus sistemas de computador como Eles podem causar danos. Agora, o que vamos falar principalmente sobre malware, então malware é quantidade de software malicioso onde há vírus, trojans, ameaças aéreas, e eles têm o potencial para um ataque que hackers não pode usar estes e o potencial para esse ataque. Isso também é uma ameaça. Os hackers estarem lá fora e ter a habilidade de fazer isso, isso é uma ameaça. E as ameaças são o que trabalhamos para mitigar, ou a lição de que estamos tentando reduzir ou remover completamente essas ameaças. E então aqui, este gráfico mostra um pouco sobre o cenário de ameaças, certo que cuidado com o engenheiro social que suas ameaças não precisam ser digitais, elas podem ser de seus funcionários e ter um bom programa de segurança e a conscientização do usuário em sua organização em treinamento pode ajudar a reduzir essa ameaça e resgate, onde representa um grave risco para a disponibilidade, que isso é uma ameaça e tem um risco muito grande para a disponibilidade. Especificamente dos seus dados. Esse ransomware, a maneira como o Ransomware funciona é que ele passa e criptografa seus dados, e ele mantém o resgate que normalmente os hackers solicitarão alguma quantia de dólares ou Bitcoin ou o que você tem uma moeda em troca do chaves de criptografia para descriptografar todos os seus dados e a maior ameaça pode vir de dentro de você ter um funcionário descontente que pode ser uma das coisas mais perigosas para em uma organização apenas porque eles têm o acesso, seus geralmente insuspeitos, e que eles podem ir em frente e causar grandes danos e até mesmo às vezes remover suas faixas de causar esse dano, realmente criando um problema para você em tentar descobrir como isso foi feito e ser capaz de remendar isso para que não aconteça novamente mais tarde. E como acabamos de falar sobre esse malware é uma grande ameaça de que esse ransomware é um tipo de lugar nenhum e esse malware no software geral. Embora estejamos ficando muito bons em defender contra malware na identificação de software que representa uma ameaça e sendo capazes de identificar isso e tirá-lo da equação aqui , bloqueá-lo ou removê-lo. Embora ainda representem uma ameaça significativa, estamos ficando muito bons em identificar e mitigar essa ameaça e ataques fiscais de negação de serviço . Isso, fundamentalmente, a maneira como a Internet funciona pode causar ataques de negação de serviço, que abre essa vulnerabilidade ou vetor de ataque quatro organizações por aí e há certas medidas que você poderia tomar para mitigar essa ameaça. Mas isso é como enviar um syn flood para o seu servidor Web, onde você está abrindo todas essas conexões meio abertas. Você está enviando um monte de pecados, e seu servidor está enviando de volta todos os seus pecados. Aja bem no seu aperto de mão de três vias TCP aqui, e eles estão enviando de volta todos esses Synnex e eles estão abrindo esta porta direito porque ele tem dedo do pé. Tenha essa conexão aberta no servidor e disponível para receber seu AC em resposta para seguir frente e concluir esse handshake tridirecional. E se você está enviando milhares centenas de milhares de milhões desses pecados sobre o seu servidor Web, você pode amarrar todo o recurso disponível é de todos os servidores Web disponíveis. Faça com que o tráfego legítimo tenha muito dificuldade em passar. E esse tamanho realmente não importa que muitas vezes o ar dos hackers. Operando na realidade é que eles estão verificando a Internet e procurando vulnerabilidades disponíveis que são conhecidas por seguir em frente e tentar aplicar e explorar e ver se eles são capazes de explorar essas vulnerabilidades. E por causa disso, realmente não importa o tamanho da sua organização. Se você tem vulnerabilidades em U ou fundamentais para sua organização ou para o software de hardware que você está usando, você corre o risco de que, embora haja ataques direcionados, é claro que em geral, você ainda está um tamanho de risco realmente não importa. Você não pode dizer, “ Bem, eu sou muito pequeno. Não estou em risco. Isso não é real. Isso não é um bom argumento aqui, e que na realidade, somos lentos para detectar e responder a ameaças que é um pouco difícil, você sabe, na realidade, ameaças são difíceis de identificar porque se você tem um hacker que está comprometendo seu sistema, que é realmente muito difícil diferenciar isso entre tráfego legítimo que está acontecendo a menos que você tenha malware vindo através. Mas se você tem acesso não autorizado, alguém está acessando o cônsul administrativo de seus dispositivos. Isso não deve ser identificar esse acesso não autorizado em vez de ter acesso autorizado , especialmente quando eles têm comprometido ou tomado sem autorização. As credenciais para um usuário autorizado de tal forma que parece que o usuário autorizado é aquele que obteve acesso a este dispositivo ou software, mas que é uma pessoa não autorizada que está aproveitando isso ou usando aquilo que é extremamente difícil de ser capaz de rastrear e identificar. E que as maiores ameaças geralmente são encontradas nas manchetes de que quando você está lendo sobre os grandes ataques de ransomware e coisas desse tipo, há centenas e milhares de mawr acontecendo que também não são relatados porque eles são confidenciais ou são mantidos em segredo pelo FBI ou organizações governamentais. Sobre isso eles não são amplamente divulgados. E então precisamos estar cientes e ficar no topo das melhores práticas de segurança para garantir que estamos limitando nossas vulnerabilidades da melhor forma possível para reduzir o risco potencial dessas ameaças que tentam mitigar as ameaças da melhor forma possível. Então, uma vulnerabilidade eu já disse isso algumas vezes aqui. A vulnerabilidade é usada para causar danos ou fornecer acesso não autorizado que normalmente uma vulnerabilidade descreve um bug de software ou hardware que pode ser explorado que em exploit irá chegar a isso e, em seguida, o próximo slide aqui que é o comando real ou software que causa comportamento imprevisto ou não intencional, e que as vulnerabilidades não têm que ser apenas software e exército de hardware não tem apenas que ser software não tem que ser lógico. Pode ser uma vulnerabilidade física que seus bloqueios sejam vulneráveis a um certo tipo de bloqueio ou a muitos jurados um eleitor habilidades políticas baseadas em vulnerabilidades dentro de sua organização para permitir que a engenharia social seja capaz de ocorrer facilmente que em o evento uma pessoa individual, seu coordenador da recepção, fica comprometida. Alguns engenheiro social pedir-lhes informações que não devem estar dando para fora que caso essa pessoa prossiga com isso, que suas políticas podem permitir que essa pessoa obtenha um monte de acesso dentro de sua organização. Só porque uma pessoa cometeu um pequeno erro e um que pode nem parecer tão terrível na época, isso pode parecer bem trivial. Então é isso que a vulnerabilidade é é qualquer coisa em sua organização que pode ser usado para causar danos ou fornecer acesso não autorizado e, em seguida, explorar. Você mencionou isso um punhado de vezes que vocês usam exploits para tirar proveito de vulnerabilidades, que eles exploram a vulnerabilidade e que eles usam isso para obter acesso ou causar danos de alguma forma através de comportamento imprevisto e os Atacantes, eles representam uma ameaça aproveitando vulnerabilidades com explorações para atividades mal-intencionadas. Isso é uma frase muito densa lá que usa nosso vocabulário que acabamos de aprender aqui e realmente coloca isso em contexto sobre o que cada um desses itens individuais significa sobre isso, façanhas são geralmente usadas para entregar malware a um dispositivo que você usa e explora para fornecer malware. A capacidade de executar código malicioso arbitrariamente, ou isso é como uma exploração de estouro de buffer é onde você está colocando muita informação em um buffer e ele transborda. E então código arbitrário é permitido ser executado em seu dispositivo, que você tem permissão para executar malware ou entregar malware para o dispositivo através desse estouro de buffer , e isso é o que uma exploração realmente é. É o que permite que um comportamento imprevisto ou não intencional aconteça em que geralmente é usado para entregar malware a um dispositivo agora, tanto quanto a mitigação. Especificamente, eu queria Teoh dar uma olhada na definição de dicionário de mitigar porque eu sei que muitas pessoas têm usado esta palavra e que você pode realmente não saber exatamente qual é a definição que realmente significa fazer menos grave, grave ou doloroso para diminuir a gravidade fora de que, uh, é para torná-lo menos grave que eu tenho certeza, faz sentido aqui que quando dizemos que estamos atenuando ameaças, estamos fazendo essas ameaças menos grave ou menos grave, e não está dizendo para eliminar. Mas não é isso que significa atenuar. Significa diminuir a gravidade, que as ameaças ainda podem estar lá. Eles ainda podem representar uma ameaça, mas você fez o seu melhor para atenuá-los, para diminuir a gravidade deles, para torná-los menos dolorosos para a sua organização, e que alguns homens com técnicas de mitigação são ameaças para evitar que as ameaças ocorram de forma a ter práticas recomendadas e políticas que protegem sua organização e a identificação de ameaças para saber quais são as ameaças que existem por aí através do uso de ferramentas de segurança e gerenciamento para identificar as ameaças ativas que estão lá fora, que as coisas que você não sabe estão lá fora causarão alguns dos maiores problemas que você pode não saber se você está seguro contra eles ou se eles ocorreram ou não, e o remédio contra ameaças também estratégias e portagens para reduzir o impacto de um ataque ativo. Então, para remediar uma ameaça, algo que já colocou problema para ter um ataque ativo, e que as estratégias e pedágios que você usa para reduzir o impacto do que isso também é uma mitigação para torná-lo menos doloroso e para fazer o ataque menos grave ou menos grave através de remédio ameaça, que é uma técnicas de mitigação. Muito obrigado por passar por isso comigo aqui. Eu sei que este é um pouco curto, mas assim como os outros, vamos fazer algumas perguntas antes de terminarmos primeiro. Qual opção melhor descreve o malware? É uma vulnerabilidade de exploração? Ameaça ou técnica de mitigação? Agora, o malware é geralmente fornecido por um ponto ex, e uma exploração tira proveito de uma vulnerabilidade de que o malware é algo que causa problemas. As técnicas de mitigação são aquelas que reduzem a gravidade dos problemas. Então a resposta aqui seria ver, é uma ameaça, e finalmente, e finalmente, técnicas de mitigação são usadas para diminuir o impacto ou chance de ser impactado pelo que, por malware, vulnerabilidade, exploração ou ameaça. E isso, você sabe, como eu acabei de dizer, é que tipicamente explorações usam uma vulnerabilidade para fornecer malware e que o malware é uma ameaça. Então a resposta aqui seria uma atenuação. Técnicas são usadas para diminuir o impacto fora ou a chance de ser impactado por uma ameaça. Espero que isso tenha sido informativo para você. Gostaria de agradecer por ver. 37. 5.2 elementos de um programa de segurança: elementos de um programa de segurança neste vídeo, você vai ter uma pequena pausa da informação técnica difícil porque esta informação que estamos cobrindo é realmente de alto nível. Visão geral sobre segurança organizacional Programe os elementos de um programa de segurança organizacional que você deve estar ciente de que você pode implementar em sua organização para ajudar a melhorar a segurança dentro de sua organização. Essa grande parte do seu risco vem de seus usuários finais, tornando-os mais conscientes e treinando-os sobre como identificar ameaças potenciais e como evitá-las. Como lidar com eles pode ser uma das ações mais baratas que você pode tomar. Uma Segurança Florestal está preocupada dentro de sua organização e também tem a maior recompensa. Então este vídeo vai ser um pouco curto. Vamos percorrer esses elementos aqui e dar uma olhada no que eles realmente significam e partir daí. Então, primeiro, uma visão geral de um programa de segurança. Então, medidas de segurança técnicas, como seu firewall e suas credenciais de login e você sabe, ter fora de gerenciamento de banda para seus dispositivos que estes ar realmente apenas uma única parte de seu programa de segurança da organização que aqui em baixo nós veja o na base do nosso programa de segurança. Temos políticas e procedimentos e, em seguida, acima de que temos treinamento de conscientização do usuário. São realmente a base do seu programa de segurança. Se você não tem políticas e procedimentos adequados dentro de sua organização, você pode realmente estar se colocando em um risco alto ou maior e que a falta de conhecimento do usuário sobre as ameaças potenciais lá fora e políticas eficazes Eles colocam seu negócio em risco de que seus usuários precisam estar cientes do fato de que eles podem receber spam. Ou eles podem receber e-mails de phishing que quando eles vão para sites ou seu site bancário, ou se eles recebem um pedido de retirada de seu chefe e parece um pouco fora do comum do que eles devem verificar novamente sobre isso e certifique-se de que isso é realmente Correto. Agora, eu vi circunstâncias em que isso acontece, onde os CEOs ou controladores e-mail é hackeado e é que o hacker tem controle sobre isso e envia ah solicitação de retirada e eles esperam a resposta de dizer, Tem certeza que quer fazer isso? Parece um pouco fora do comum, e então eles vão em frente e respondem. Sim, eu quero fazer isso. Seus usuários precisam estar cientes de que esse é um problema em potencial. Esta é uma ameaça potencial lá fora e que eles devem acompanhar com um telefonema ou e-mail para outra pessoa que tenha a capacidade de caminhar fisicamente até essa pessoa e verificar. Ou você pode usar métodos de criptografia de e-mail como S mine para ir em frente e verificar se esta é realmente a pessoa que o hacker teria que assumir o controle desse dedo da estação de trabalho . Tenha acesso a esse certificado para poder enviar o e-mail criptografado, e que as três partes do nosso programa de segurança aqui são conscientização, treinamento e controle de acesso. E nós vamos passar por cada um desses momentaneamente aqui. E primeiro é a conscientização do usuário, então o treinamento de conscientização fornece realmente o maior benefício, pelo menos. Custe isso através de apenas alguns seminários com seus usuários finais. Você pode mostrar-lhes muito sobre os riscos potenciais e potenciais ameaças lá fora e quais são seus riscos para a organização. Algo que eu queria mostrar aqui é que isso já existe há algum tempo, mas costumava ser entendido que quando você não tem este pequeno ícone de cadeado aqui você não está em um bom lugar e que você precisa ir embora. E isso não é mais um bom conselho. Como você pode ver, não estamos no site do PayPal aqui e estamos sendo solicitados a fazer login para pagar energia e que este é definitivamente um site de pesca e que estamos protegidos por https que todos os https fazem ou todos os certificados. Geralmente, Dio são verificados que você realmente possui o nome de domínio e que o nome de domínio apresentado corresponde ao que está no certificado aqui, e isso é tudo o que importa. Existem alguns provedores de certificados lá fora que fazem muito mais investigação sobre o negócio real e garantir que o negócio é legítimo e riel, e eles vão verificar o site, e que existe. Mas eles não são muitos deles. Isso geralmente gira em torno do seguro uh, que eles fornecem com seus certificados. E a conscientização de segurança é realmente sobre entender as ameaças que existem e seu risco de entender que existem coisas como pesca e engenharia social que quando você recebe um telefonema e está pedindo algumas informações pedindo para você basta fazer-lhes um favor e talvez contornar alguma política ou explorar alguma política para fornecer mais informações do que você normalmente forneceria ou fornecer acesso que você pode geralmente não fornecer que isso é algo que existe e que você está fim. Os usuários devem estar cientes de que eles precisam ser muito cautelosos sobre fornecer informações ou acesso à sua rede para seus computadores ou informações potencialmente úteis que eles têm , que eu sei que isso é muito amplo em genérico, potencialmente útil. Mas para ajudá-los a ter, olhando para as coisas com um olho cauteloso e sempre levantar a mão e verificar que quando algo não parece bem que eles devem dizer alguma coisa. Sabe aquele clássico dos Estados Unidos que temos com o Departamento de Segurança Interna. Eles cunharam este termo de ver algo, dizer algo e isso é realmente o que seus usuários finais deveriam estar fazendo. Se eles sentem que estão vendo algo que é um pouco fora do comum e um pouco estranho, eles devem dizer algo que vale a pena investigar, pelo menos um pouco, e que a consciência do usuário é aumentou através do treinamento, modo que a conscientização do usuário é uma parte da impostura da política de segurança da sua organização aqui, mas que é aumentada com o treinamento de seus usuários finais e os tipos de ameaças apenas para passar brevemente sobre isso, que isso pode ajudar mitigar nossas ameaças de pesca, engenharia social e malware que você pode ajudar a evitar que malware entre em sua rede treinando e usuários um pouco sobre o que para não ir a sites desconhecidos com muita frequência , menos que eles saibam o que eles estão olhando. Que no caso de receberem o aviso de certificado na página deles dizendo que este certificado não é válido ou que este domínio ah websites não corresponde ao certificado. Não continue nesse site se eles começarem a aparecer dizendo que seus computadores infectados clicam aqui. Não clique aí nisso. Se eles se depararem com problemas de seu computador, começa a agir de forma estranha. Desligue-o para torná-lo para que você não possa continuar espalhando seu vírus em torno disso. Talvez de repente eles tenham ransomware em seu computador, e o computador está agindo muito devagar e um pouco estranho que eles deveriam ir em frente e simplesmente desligá-lo. Contacto. Eu não os deixo vir, ligar o que está desconectado da rede e ver o que está acontecendo. Pode não haver nada, e tudo o que você fez foi desperdiçar um tempo de funcionários por um tempo e que eu não acabei confirmando que isso estava OK em vez de potencialmente havia ransomware e que você poderia ter derrubado um parte da empresa porque eles não fizeram nada. Não, no diz respeito ao seu programa de treinamento, esse treinamento não só ajuda a aumentar a conscientização do usuário, mas também ajuda a impor respostas adequadas. Então, com seu treinamento, você está treinando seus usuários para saber qual é a resposta adequada a algumas dessas ameaças. Esse treinamento pode envolver o reconhecimento de diferentes tipos de tentativas de phishing da pesca padrão através de um site ou através de um e-mail visionando phishing de voz que quando eles estão ligando pelo telefone fingindo ser alguma outra pessoa ou algum dos pedindo credenciais estavam fazendo você fornecer acesso à sua rede Smashing, que eu sei que é uma palavra muito divertida soando. Mas isso é pescar através de SMS através de mensagem de texto pedindo credenciais através dessa forma de dizer que você acabou de receber um código de acesso, forneça isso ou algo ao longo dessas linhas ou spear phishing. Este é um comum lá fora. Essa pesca com lança é quando você está indo atrás de uma pessoa em particular, muito normalmente é um alto nível, uma pessoa nessa organização o CTO, o CFO, o CEO, seus executivos de alto nível na organização e tentando pescar suas credenciais que quando você faz isso, você tem um monte de poder. Você pode entrar em seu e-mail e você pode enviar e e-mails para a organização. Você pode sondar um pouco e obter mais informações. Você pode monitorar seus e-mails, seus documentos e coisas desse tipo e ver os tipos de palavras e frases que eles usam para ir em frente e montar de forma mais eficaz um ataque que isso é algo para estar ciente. Que muitos executivos prego estão cientes de que eles precisam olhar para tudo com um muito cauteloso eu para ter certeza de que eles não estão sendo pescados com lança e que você pode identificar tentativas de engenharia social pessoalmente ou através de e-mail ou telefone a idéia de acesso a alguém quando eles realmente não deveriam tê-lo, que alguém poderia entrar tão vestido como um engenheiro de uma empresa de proteção contra incêndios solicitando acesso à sala do servidor para verificar os sistemas de proteção contra incêndio que estão em a sala do servidor e que na realidade eles são um testador de penetração e que eles apenas têm um drive USB com eles, que eles conectam ao servidor e que eles têm prego implantado malware, que é um kit raiz, e permite que eles acesso backdoor para aquele servidor. Que isso é uma coisa muito real, que eu li vários artigos sobre isso onde isso é realmente uma tentativa de empresas de teste de penetração e de hackers reais para ir pessoalmente para uma organização vestida como alguém de autoridade, de um engenheiro para sua proteção contra incêndio ou como um bombeiro ou um policial em que eles realmente não têm suas credenciais. Você não tem nada no seu calendário dizendo que isso vai acontecer e por causa disso, você precisa verificar se seus usuários finais precisam conhecer a pessoa da recepção. Sua segurança precisa saber que, a menos que isso esteja verificando que eles devem ter acesso a esta área e que você corroborou a história deles de outro lugar, então eles não devem ter acesso a dizer, sinto muito que você vai perder seu nomeação. Peço desculpas, mas precisamos verificar isso antes de permitir que você acesse, e o treinamento realmente precisa ser seguido com reforço através do engajamento para que você possa treinar seus usuários finais. Mas se você não os envolver, então você não sabe o quão bem seu treinamento realmente levou. Segure por eles. E você tem muito pouca capacidade de rastrear como seu programa de treinamento está indo que você pode executar campanhas de segurança interna para testar e rastrear a eficiência do treinamento ou a eficácia do treinamento que eu já vi muitas vezes. Há um grande prego de negócios em torno de enviar campanhas de phishing falsas que você pode ir. E eu sei que uma dessas empresas é chamada de saber antes que você se inscreva com elas e você vá em frente e adicione lá. I ervilhas para seus registros SPF se você não está ciente do que isso é, que é a estrutura de proteção do remetente que é um registro DNS que diz que certos endereços I p ervilhas públicas têm permissão para enviar e-mails que mostram estar tendo uma fonte ou mostrou um tem um domínio de seu domínio. Então você está permitindo que esta empresa envie e-mails em nome de seus domínios em seu envio e-mails de phishing, e há e-mails falsos de phishing. O mais antigo, eles não estão realmente roubando suas credenciais e usando-as para seus propósitos maliciosos, mas eles estão enviando esses e-mails de phishing com um monte de informações de rastreamento e código lá para que você possa saber em um base agregada quantos de seus usuários finais realmente ir e fazer login no papal ou fez login no Facebook a partir deste e-mail Isso não estava muito certo . Era um e-mail de phishing. Quão bem o seu treinamento realmente entrou em vigor? Então você os contratou e os testou e os rastreou. E então é assim que você acaba recebendo suas medidas para ver o quão bem isso está realmente fazendo efeito aqui. Incrível. Então, finalmente, vamos em frente e terminar com controle de acesso. Então, controle de acesso. O procedimento padrão consiste em operar num princípio de menor privilégio. Você verá que abreviado, às vezes como p o. L P, que o princípio do menor privilégio é que você só deve ter acesso suficiente para desempenhar suas funções específicas e não mais. Se você só precisa de acesso à área de help desk, então você não deve ter acesso à sala do servidor também, ou se você só precisa de acesso aos documentos financeiros. Você só deve ter acesso a essa unidade de compartilhamento e não também à unidade de marketing ou à unidade técnica ah com i t. Informações nele que impedem contas de baixo nível de segurança de acessar informações confidenciais Mawr que qualquer indivíduo no caso de suas credenciais estarem de alguma forma comprometidas que você pode ter certeza de que as informações do Onley que podem ser comprometidas o que esse indivíduo precisaria acessar é esse nível de tecnologias de membros da equipe como um 22.1 X pode proteger sua rede interna usando a autenticação de certificado do dispositivo o 802.1 x que é mostrado aqui, onde seu dispositivo é thes supplicant. Seu switch é o autenticador e que ele vai em frente autentica seu acesso com o servidor de autenticação. Isto é realmente muito fixe. Se você não está familiarizado com isso, eu sugiro ir dar uma olhada e talvez dar uma olhada que não está coberto pelo CCN A. Mas isso permite que você, uh, conecte-se uh, através de ah hardwire em a rede e que as informações do Onley os únicos dados permitidos entre você e o switch são informações de autenticação. Nenhum dado é realmente permitido. Nenhum olho de tráfego realmente permitido, exceto para essas informações de autenticação até que você seja autenticado e permitido na rede. Em seguida, ele abrirá essa porta e permitirá a taxa de transferência de tráfego geral aqui. Eu queria mostrar alguns dispositivos de controle de acesso que aqui nós temos um scanner de palma ou um scanner manual que isso vai em frente e olha para os vasos sanguíneos em sua palma e trata isso como um padrão identificável e que é assim que é Identificação. Ah, pessoa que se lembra que está autenticando que está combinando sua pessoa com sua identidade para sua identidade digital e dizendo que sim, você é realmente essa pessoa e que você está então autorizado a acessar as áreas em que sua posição sua identidade, é permitido. E aqui este é um exemplo de uma armadilha para homens. Armadilha é como uma área vestibular, um lugar onde você geralmente está entrando em uma área altamente segura. Armadilha é como uma área vestibular, Você entra, você se autenticará. Confirma a autorização. No caso de você não estar autorizado, você está preso lá e no caso de você não ser autenticado, você está preso lá, então eles podem ir em frente e verificar isso e certifique-se de que você não tem permissão para apenas executar através de uma área segura ou potencialmente fora de uma, qualquer um. Caso você esteja tentando obter acesso não autorizado. Incrível. Agora eu sei que isso tem sido um monte de apenas informação realmente não técnica aqui. Mas assim como os outros, vamos fazer algumas perguntas de treino antes de terminarmos. Então, primeiro, quais são as três partes do programa de segurança organizacional? É treinamento de conscientização e testes, treinamento, testes e rastreamento de conscientização, treinamento e controle de acesso ou testes de treinamento em controle de acesso? O Aqui cobrimos os três itens de treinamento de conscientização e controle de acesso. A resposta é C. E, finalmente, qual é o propósito do treinamento de conscientização do usuário? É para que a equipe entenda e cumpra com a política de segurança corporativa? Este é um bom ponto, mas não necessariamente para garantir que o pessoal esteja ciente das consequências da violação da política de segurança . Isso deve ser algo que está incluído em seu treinamento em políticas. No entanto, No entanto, para ajudar a equipe a entender as ameaças que existem e seus riscos para a empresa ou para cumprir os regulamentos governamentais, você pode precisar de um programa de treinamento para conformidade, mas o objetivo geral aqui é ajudar a equipe a entender as ameaças que existem e seus riscos para a empresa. A resposta aqui é Ver, Espero que isso tenha sido informativo para você, e eu gostaria de agradecer por ver. 38. 5.3 AAA: Triplo A. Agora, se você reside nos Estados Unidos, você pode reconhecer o Triplo A como sendo a Associação Automotiva Americana. E, claro, não é disso que estamos falando aqui. O Triplo A no contexto da segurança cibernética e segurança em geral, significa autenticação, autorização e contabilidade. São os três A's em torno deste conceito de gerenciamento de identidades que essas identidades têm acesso permitido e, em seguida, registrar o que eles têm acesso ou tentaram acessar. Então, neste vídeo, vamos percorrer esses conceitos em um pouco mais de profundidade e dar uma olhada no que eles realmente significam e alguns exemplos, e então passar por um laboratório com configuração de privilégios, níveis de privilégio em um roteador e nomes de usuário com níveis de privilégio e como executamos o controle de acesso usando nome de usuário local e banco de dados de senha no roteador, a fim de obter alguma aparência de controle de acesso aqui. Então, primeiro, vamos falar sobre autenticação, Então, a autenticação é o processo em que você verifica quem você diz que é é que ele está combinando uma pessoa com sua identidade, onde identidade é um pouco mais de um conceito abstrato aqui da identidade que é armazenada em seu servidor ou em seu banco de dados para corresponder a pessoa que está acessando o recurso aqui com sua identidade que foi criada no sistema. Normalmente, isso é feito com um nome de usuário e senha. Como você pode imaginar, você vai para qualquer site você vai entrar com seu e-mail, endereço seu nome de usuário, e então você digitar sua senha e você tentar entrar. E isso autentica você. Que se você fornecer o único fator correto aqui, a senha correta do que isso permitirá que você faça login e ele corresponde a esse nome de usuário que identidade com você, a pessoa que está logando agora senhas são altamente suscetíveis a ataque. Claro, como sabemos que ouvimos sobre isso em todo o lugar, as pessoas ganham suas senhas forçadas, ou estão sendo sujeitas a campanhas de phishing, onde talvez você esteja sendo direcionado para uma página de sósia que parece muito como Facebook e que você acaba digitando seu nome de usuário e senha. Mas na realidade não é realmente Facebook, e que você acabou de dar o seu uso dessa senha para algum terceiro. E há outros ataques aos quais nomes de usuários e senhas são suscetíveis. Mas há certas políticas que você pode colocar em prática para ajudar a reduzir o risco desses ataques ou o risco dessas ameaças. Esses requisitos de complexidade da senha exigindo, você sabe, letras maiúsculas, números minúsculos, caracteres especiais e certos requisitos de histórico do agente de comprimento, dizendo que você deve alterar sua senha a cada 30 dias que você não pode usar as últimas cinco senhas usadas e proteger o gerenciamento de senhas usando um software de gerenciamento de senhas seguro . Você conhece um monte de pessoas que eles têm ir em frente e anotar sua senha em um post que nota. Eu definitivamente já vi pessoalmente antes onde alguém escreveu sua senha e deixou em um post que nota anexado ao seu monitor. E então tudo o que é preciso é alguém andando e um olhar sobre ele, e lá vai você. Sua senha agora está comprometida, e você não sabe quem agora tem acesso à sua conta e pode realmente causar algum problema. E para ir um pouco mais longe nisso que o que é muito mais comum agora é, em vez de apenas usar um fator como uma senha para verificar sua identidade e provar que você , quem você diz que é é é que estamos indo na direção de vários que você não só precisa fornecer uma senha, também precisamos fornecer outra coisa. E muito comum é a sua mensagem SMS que recebe uma mensagem de texto, seu telefone e digitando o código que lhe enviou, dizendo que se você tiver a capacidade de receber essa mensagem de texto, se você tiver o cartão SIM para esse número de telefone ou você ter esse telefone celular e também sua senha que você deve ser quem você diz que é ou um escaneamento biométrico estes ar ficando muito mais comum. Você vê que muito com telefones celulares agora, como eles têm leitores de impressões digitais sobre eles e para ir em frente e usar biometria pode abrir seu telefone ou também em ambientes corporativos. Os exames de retina são muito comuns, ou já vi onde fazem exames manuais. Eles são muito semelhantes a como uma varredura de retina funciona, onde é escaneia e olha para os padrões únicos de vasos sanguíneos em sua retina que de forma semelhante a padrões únicos de vasos sanguíneos na palma da sua mão e coloca sua mão no scanner. Ele pode ir em frente e tirar uma foto disso e combinar isso. Isso é algo que você tem, ou algo que você é ou um certificado armazenado em um fob ou USB. Isto é muito parecido com a marca. Você será a chave se você já viu aqueles antes em que você está essencialmente fornecendo uma senha muito, muito longa em que um certificado, então. Não só isso, mas o certificado pode ser assinado por algum Ver A específico que o provedor deu a você que eles deram esse certificado. Talvez você possa fazer isso com o Gmail ou outros provedores de e-mail também e, em seguida, você deve fornecer esse certificado. Geralmente, você o armazena em um pen drive USB, e você conecta isso. E ele lê nesse certificado para permitir acesso ou o que também é muito comum em, ah, ambientes de alta segurança, bem como são senhas únicas baseadas em tempo. Você pode ter visto isso antes onde, talvez em seu telefone, ou você tem um pequeno dispositivo físico. Você tem esse pequeno fob, certo? Uh, esta coisinha tem um pequeno botão aqui tem uma pequena tela nele e que quando você pressiona o botão para baixo, você acaba recebendo, ah, seqüência de números aparecendo em sua tela. Talvez seja como seis números oito números e que esse número seja bom por 30 segundos ou algo assim. E você tem que colocar isso em seu aplicativo, a fim de fazer login, e que estes os físicos são chamados de tokens rígidos. Nisso, normalmente você pode fazer isso também com um software no qual você tem um software. Seu laptop em seu telefone é muito mais comum onde você abre seu aplicativo autenticador e gera esses números de seu aplicativo autenticador, desta vez com base em uma senha de tempo que você digita. Só é bom por 30 segundos ou um minuto, e você tem que colocá-lo dentro e depois desse período de tempo que agora expirou e que você precisaria gerar um novo que foi pensado para ser mais seguro do que mensagem de texto , que existem algumas operadoras que permitem facilmente que seu SIM seja transferido para que outras pessoas possam ter acesso às suas mensagens de texto e receber suas chamadas telefônicas que este tem sido um ataque mais comum recentemente e que o tempo baseado uma vez senhas este token físico físico ou dispositivo. Você precisa ter fisicamente que você não pode chamar alguma operadora e ter que transferi-lo para um novo dispositivo de senha única baseado em tempo ou um novo token rígido ou soft token . Agora, é claro, suas políticas internas que seu help desk para reatribuir um token precisariam ser suficientemente seguras e que é aí que o gerenciamento de políticas dentro de sua organização realmente entra em jogo, que você precisa estar muito, muito certo de que a pessoa que está ligando para o seu help desk dizendo que meu FOB não funciona mais e que eles precisam de um novo designado para eles. Você precisa ser muito curto. Essa pessoa é quem eles dizem que são para que você não esteja apenas fornecendo um novo soft token para ir em frente e fazer login em seus aplicativos muito seguros. Então isso é autenticação, certo? É que você está provando que você é quem você diz ser. Você está combinando sua pessoa com uma identidade. Agora vamos passar para a autorização. A autorização é a verificação de que sua identidade tem permissão para acessar determinados recursos é que a autenticação verifica que você é quem você diz que é, Autorização pede. Você tem permissão para fazer isso? E que muitas vezes isso é executado usando níveis de permissão ou controle de acesso baseado em função e em dispositivos Cisco. Tack Ax Plus permite autorização por comando de modo que quando você configurar tack ax plus authorization em seu dispositivo, cada vez que você digitar um comando show interface show I P O S p f, ou configurar e configurar vários comandos que cada um desses comandos antes que seu dispositivo realmente o processe. Ele está enviando um pedido de autorização para o servidor tack Acts perguntando, esta identidade tem permissão para executar este comando? Se você não estiver, então não permitirá que você o faça. E vai dizer que você não tem autorização para isso e a autorização. Ele determina o que a identidade está autorizada a fazer. Que essa é a diferença entre autenticação e autorização é que quando você diz você não está autorizado seu bem, você aparentemente tem autenticado e eles sabem sua identidade, e eles sabem que sua identidade não tem permissão para fazer isto. Não está autorizado, mas a autenticação está provando que você é uma identidade. E então, finalmente, passar para a contabilidade o último A em nossa contabilidade tripla A é apenas o recorde. Manter de recurso é acessado por uma identidade que é o log off coisas que sua identidade fez. E em um dispositivo de rede , seriam os comandos executados por uma identidade. Aqui temos uma conversa com um machado de aderência, além de servidor e cliente para dar uma olhada rápida no que parece, que temos nosso processo de autenticação acontecendo aqui, onde tentamos se conectar, enviamos nosso usuário nome e senha e que indicamos uma aprovação ou falha sobre se você está autenticado ou não. E então passamos para a autorização para saber se você está autorizado a entrar no dispositivo ou não Ótimo, você se autenticou. Eu sei quem você é. Você tem permissão para se conectar a isso? Então nós enviamos que nosso shell de serviços e que indicamos status de falha passado sobre se estamos autorizados a chegar ao shell ou não, e entrar em modo exato em, indicar se você está autorizado a fazer isso ou não. E aqui em baixo temos nossa contabilidade de que temos a contabilidade de comandos. Aqui está o comando que enviei e está a contabilizar isso. E então recebemos uma resposta dizendo que ele foi recebido confirmando que registramos esse comando e que ele foi contabilizado e que esse é o último A em nosso triplo A. Então vamos dar uma olhada rápida aqui nos níveis de controle de acesso e privilégio em um Dispositivo Cisco. Eu sei que este slide tem um monte de texto nele, mas vamos passar um pouco devagar aqui é que nomes de usuários no Cisco IOS podem receber níveis de privilégio para ajustar seu nível de acesso. Você vê que aqui é que nós criamos um nome de usuário com o nome de help desk e que nós atribuímos a ele o nível de privilégio off cinco. Agora você pode ou não saber que há 16 níveis de privilégio em um dispositivo Cisco. É de zero a 15. Zero essencialmente não é usado. O nível de privilégio padrão é privilegiado. Assim é um a 15 que é realmente usado por preferência padrão. Nível 15 é o que habilita o modo por conjuntos padrão. Você age quando você ativar em seu ter sua senha de habilitação. Agora você está no nível de privilégio 15 antes de digitar habilitar e você está apenas nos executivos. Solicite seu no nível de aldeia profissional um para que comandos específicos possam ser permitidos em determinados níveis privilegiados por padrão. Já que você vai privilegiar o nível 15, esse é o nível de privilégio superior. Todos os comandos são permitidos no nível de privilégio 15. Você é administrador. Você tem a quantidade máxima de acesso. Você pode definir o nível de privilégio de nome de usuário. Como eu disse com o nome de usuário, nome do nome, privilégio de nome de usuário e, em seguida, o nível de privilégio. Você quer se candidatar a ele. E lembre-se, o nome de usuário deve ser criado já onde você tem nome de usuário, nome e, em seguida, o segredo da senha. E dê a senha lá que você também pode especificar o nível de privilégio dentro desse comando fazendo o número de privilégio de nome de usuário e, em seguida, fazendo segredo no final aqui e definindo a senha lá que você pode fazer isso tudo em um comando e que com o comando de privilégio no modo de configuração, você pode definir o nível de privilégio fora de comandos específicos. Então nós queremos permitir que o nível cinco o privilégio pequeno cinco para acessar todos os comandos show nós usaríamos este comando aqui é privilegiado nível exato cinco Mostrar que estamos dizendo no modo exato , apenas nosso prompt exato regular como aqui que nós deseja definir o nível cinco e todos os comandos que começam com show. Então vai fazer, mostrar e mostrar qualquer coisa. Podemos ser mais granulares e específicos em que, adicionando um comando adicional no final do show aqui neste comando de privilégio. Mas queríamos permitir todos os comandos show para o Nível 5. Então podemos não querer que eles sejam capazes de fazer mudanças, mas queremos permitir que eles vejam tudo o que diz que é isso que queremos. Nosso nos ajudou a ser capaz de dio, para ser capaz de fazer a nossa descoberta inicial de um problema que eles receberam o carvão. E eles receberam reclamações de usuários de que certas coisas estavam acontecendo para que eles possam fazer comandos show e dar uma olhada no roteador. Mas não queremos que eles façam mudanças. Você quer deixar isso para os engenheiros de rede sênior que o help desk pode dar a eles sua análise do que está acontecendo, o engenheiro de rede pode entrar, verificar e fazer as alterações apropriadas. Então, se quiséssemos dizer permitir-lhes Teoh, configurar o endereço i P em uma interface, então precisamos fazer algumas coisas. Então primeiro precisamos permitir que o nível cinco o nível perfeito cinco para chegar ao comando configure porque, lembre-se, lembre-se, o modo habilitar é o nível 15 que por padrão nível um e todos os níveis inferiores a 15 não têm acesso para habilitar Note que eles não têm acesso à configuração por causa disso. Portanto, precisamos ir em frente e especificar que eles estão autorizados a fazê-lo. Então dizemos que eles têm permissão para acessar o terminal de configuração. Agora, quando você ir em frente e fazer isso e você digitar o privilégio exato Nível cinco configurar comando terminal que ele irá automaticamente ir em frente e adicionar o comando configure, bem como que se você digitar Onley neste comando e você um show, Ron, você também verá esse comando lá também, porque você tem que ter o comando configure parent permitido antes que você tenha permissão para executar terminal configure de forma similar rural. Vá em frente e diga que no modo de configuração, então Este é no modo de configuração global que estamos permitindo que o nível cinco de privilégio nível cinco para acessar o modo de configuração da interface e, em seguida, do modo de configuração da interface , precisamos dizer que o nível de privilégio cinco tem permissão para acessar o comando de configuração de endereço IP e que quando digitarmos isso,ele também permitirá o Comando de Configuração I P. comando de configuração de endereço IP e que quando digitarmos isso, ele também permitirá o Comando de Configuração I P. Agora, eu sei que parece um pouco complicado, e fica um pouco mais intuitivo como você faz isso. Vamos acabar correndo por um laboratório aqui. Teoh configurou uma conta de help desk e defina nossa senha de habilitação e defina os comandos aqui que só tenhamos permissão para fazer um “ shut não”, encerrar uma interface, e então nós vamos fazer login. Vamos verificar isso. Vamos dar uma olhada rápida no nosso laboratório aqui. Então, os passos aqui são seis passos. Vamos criar uma conta de administrador de nível 15 e, em seguida, vamos criar uma conta de suporte técnico de nível cinco. E lembre-se, nível cinco era apenas trolls arbitrariamente. E você poderia ser nível para ser nível 11. Não importa que eu só estou dizendo nível cinco porque esse é o número que eu escolhi aqui e que você pode ter seus vários níveis diferentes e um sinal vários comandos para vários níveis. Então, digamos, sua equipe de roteamento especificamente tem acesso a apenas, uh oh, SPF sim. J r p b gp todos os seus comandos de Routing Protocol, mas nenhum comando de interface ou nenhum comando de interceptação terrível ou nenhum comando de captura e coisas desse tipo ou que o seu help desk só tem comandos show e pode fazer um shut no shut em um interface e que queremos permitir aqui. Então vamos definir nossa senha de habilitação que vamos permitir que nos ajudou a executar todos os comandos show exceto show run. Vamos dar uma olhada aqui e ver que quando permitirmos o nível cinco para executar todos os comandos show apenas mostrar comandos ele exclui show Run que eu vou mostrar-lhe lá que nós não somos capazes de fazer um show, Ron, que é um nível Comando 15. A menos que você especifique o contrário que podemos permitir show run sobre isso. Isso pode ser divertido. Enfraquecer. Tente isso no final aqui Se ainda temos algum tempo para ir em frente e permitir o help desk para executar este show Executar comando também. E então nós também vamos definir nossa conta de help desk para ser permitido fechar. Não, desligue qualquer interface que queiramos permitir que eles sejam capazes de resolver problemas básicos, você sabe, desligar nenhum tiro e interface. E então vamos ansiar pelo comando de ajuda. Vamos verificar os efeitos que criamos aqui. Então vamos em frente e entrar no nosso roteador aqui bem rápido. Agora, este roteador está fresco. Eu não fiz nenhuma alteração aqui, então nenhuma interface foi definida. O nome do host ainda não foi definido. Não temos nomes de usuário e senhas, então vamos precisar criar isso aqui. Então, primeiro, vamos em frente e vamos habilitar e condenar e. E nós não temos nenhuma senha aqui ainda porque ela não foi definida para criar nossa conta de administrador Level 15 . Privilégio Advil 15. E depois vamos definir o nosso segredo, e eu vou ser chique aqui e fazer administração. Cuide de você. Você não gostaria de fazer isso na produção, é claro. Mas você estava em um laboratório aqui, então vamos facilitar para que eu não esqueça isso enquanto estamos fazendo o laboratório. Incrível. Então, vamos criar nosso lucrativo cinco conta de helpdesk privilégio de suporte técnico cinco segredo. Vamos apenas você nos ajudou. Incrível. E então vamos definir e ativar senha Georgia, vamos ativar segredo e definir um aqui. Ou apenas obter você habilitar incrível. E então vamos em frente e fazer um show rápido. Faça show. Ron, quero te mostrar o que esse comando secreto faz é que é óbvio que patina nossas senhas aqui e você pode ver que é muito mais difícil de ler. E lembre-se, lembre-se , é muito fácil descobrir que ele é apenas criptografado de tal forma que há crackers de senha on-line. Há sites que podemos ir e apenas digitar esse cara aqui, e ele vai mostrar a senha correta como isso combina com a senha de texto simples. Mas isso realmente impede o ataque por cima do ombro onde alguém não pode simplesmente aparecer enquanto você está olhando para o show. Corra e dê uma olhada nisso e fique tipo, OK , bem, eu vou digitar isso mais tarde e ser capaz de roubar sua senha dessa forma que, você sabe, isso é muito mais complicado, e tornaria muito mais difícil para um ataque sobre o ombro. E a mesma coisa com nossos nomes de usuário aqui é que nós temos nosso privilégio de administração 15 e estamos usando Nome Ajudou-nos Privileged cinco e nossos segredos. Aqui eles são criptografados tipo cinco. Há também criptografia tipo sete que você pode dar uma olhada em algum momento Aqui. Você vê isso no Cisco, um ensaio e tal. Então agora passo para Vamos ir em frente e permitir que o suporte técnico execute todos os comandos show, exceto show run . Então aqui vamos seguir em frente e fazer privilégios. Exatamente. Nível cinco. Isso pode ser todos os comandos show. E então, isso é tudo. É apenas privilégio. Exato nível cinco. Agora vamos em frente e dar uma olhada rápida nisso e apenas verificar isso agora. Vamos e vamos sair e depois vamos em frente. Voltaremos a fazer login como nosso usuário de help desk. Ótimo. E agora vamos em frente e tentar e apenas ir para configurar boom terminal. Não podemos. Agora vamos em frente. Basta dar uma olhada no show bem Nós temos um monte de comandos show aqui. O lote todo. Até parece que todos eles. Você poderia mostrar I p interface breve? Ótimo. Nós mostramos que eu p o SPF legal. Não está nos dando um erro. Nós simplesmente não temos um SPF configurado nos mostrar e inveja. agente SNP não está habilitado. Não se preocupe. Não recebemos um erro porque temos permissão para executar esse comando. Vamos fazer um show. Corra agora. Detective entrada inválida. Não temos permissão para executar o comando show run porque esse é um comando de Nível 15 por padrão. Mas nós gostamos do show Spanning Tree. Não há instância de árvore de abrangência. Assim por diante. Incrível. Então vamos em frente e continuar para a próxima etapa aqui de permitir que o usuário do help desk feche. Não, feche qualquer interface que queremos garantir que este usuário de helpdesk realmente tem alguma capacidade de executar alguma ação de solução de problemas. Então vamos permitir que eles não fechem uma interface, e isso é tudo. Então vamos em frente e fazer login como nossa conta de administrador e agora podemos voltar ao nosso terminal de configuração. Agora vamos com o privilégio exato. Lembre-se Precisamos permitir que o Nível 5 entre no comando configure Terminal, então faremos exatamente o Nível 5 Configurar Terminal. Incrível. E agora que estamos permitindo que eles entrem no modo de configuração global, precisamos permitir que eles entrem em Interface Configuration Road. Nós vamos. Chicotes de privilégio, aparência de configuração de privilégios. Interface nível cinco. Incrível. E agora que eles podem entrar no modo de configuração da interface, precisamos permitir que eles executem alguns comandos. Aqui, certo é agora. Eles podem entrar no modo de configuração de interface, mas não podem fazer nada em. Vamos em frente e provar isso rapidinho. Vamos voltar e acabar. Vamos fazer login como nossa conta de help desk nos ajudou a help desk. Ótimo. Vamos condenar o Grande. Agora estamos em configuração global. Notificar Dio Ah, interrogar Mark aqui , cara, eu não tenho um monte de opções de configuração aqui que eu vejo que eu tenho o modo de configuração de interface aqui então eu vou interface. Vamos apenas entrar na interface rápido seu zero Awesome! Se eu fizer um ponto de interrogação aqui, cara, isso é bastante escasso. Eu não tenho nenhum acesso aqui. Tudo o que eu não posso fazer nada eso agora que eles podem entrar em modo de configuração de interface para qualquer interface. Eles não podem realmente fazer nada lá. Então vamos em frente e permitir o comando shut e o comando no shut também. E assim, quando você permite um comando, você permite a versão no desse comando por padrão, bem como você pode negar qualquer comando que você permitir. Então, não precisamos permitir explicitamente que não se feche. Vamos lá. E Logan Lo de volta é nossa conta de administrador. Vamos à interface de privilégio. Então, para o modo de configuração da interface, Nível cinco e, em seguida, aqui vamos permitir o comando shutdown. Incrível. Vamos terminar o login como nossa conta de suporte técnico. Vamos entrar em conflito E. Vamos fazer ah mostrar I P interface looks breves. Você pode ver, cara. Bem, eles estão dizendo que isso não funciona, e é provavelmente porque nenhuma das interfaces está habilitada aqui agora que eles estão administrativamente inativos. Então, pensando que isso é o que temos que fazer, vamos saltar para o rápido 01 em e habilitar essa interface. Então, se atrás condenado e ir interface rápido, você é um único. Incrível. E aqui, temos o comando de desligamento, então vamos. Não. - Cale! Incrível! Então, agora, se fizermos um show judeu I p interface lábios breves como não vai nos deixar do Nós não temos o comando fazer aqui. Vamos lá. E não um show i p interface breve. E agora vemos que nossa interface está ativada. Não temos um endereço IP atribuído. Nós não temos a capacidade de atribuir um endereço i p, mas isso agora está ativado porque tínhamos o comando shutdown permitido. , Ainda assim, se fizermos um show, não teremos acesso ao show. Corra bem rápido. Vamos entrar na nossa conta de administrador. Vamos permitir que estes show running convict Command para o nosso usuário help desk que queremos que eles sejam capazes de confirmar nossa configuração. Eles não podem fazer muitas mudanças nele. Eles só podem fazer um não shutdown ou shutdown em uma interface, mas pelo menos queremos que eles sejam capazes de ver nossa configuração em execução. Então, vamos dar privilégio em um privilégio de barco de configuração global. Exatamente. Nível cinco show show run. Incrível. Vamos terminar, login como nossa conta de help desk e fazer um show disposto e, em seguida, agora podemos dar uma olhada em nossa configuração de execução, mas lembre-se ainda, se entrarmos em condenado E e dar uma olhada aqui, nós realmente não temos um monte de acesso, mas você não pode ir para o roteador Oh, SPF 100 porque nós não temos acesso ao comando do roteador ou a esses subcomandos de um SPF. Então é assim que você faz controle de acesso e níveis de privilégio no Cisco IOS e atribui a eles nome de usuário Teoh . Você pode ver que você pode ficar bem granular com isso, que leva um pouco de tempo para ir em frente e obter seu controle de acesso configurado. Mas como uma organização, você pode optar por ir sobre controle de acesso dessa maneira e apenas ter um conjunto padrão de comandos de privilégio que você salva em um documento em algum lugar que sempre que você estiver girando um novo roteador ou novo switch, estes são os comandos de controle de acesso, a configuração base que você coloca em seu dispositivo para que você defina seus diferentes departamentos em suas diferentes contas de usuário para ter o acesso correto para sua organização e como você gerencia Isso. Incrível. Então, assim como os outros, vamos passar por algumas perguntas práticas aqui antes de terminarmos primeiro, quando um membro da equipe tenta fazer login em um recurso corporativo com um nome de usuário e senha, eles são enviou um e-mail com um código de confirmação que deve ser inserido. Que tipo de método de autenticação está em vigor é a autenticação de senha simples, autorização, autenticação multifator ou T o T. P. senha única baseada em tempo. Agora, este seria um exemplo em que colocar a senha era um fator único e, em seguida, obter um e-mail era um segundo fator para autenticações. Este é um exemplo de respostas de autenticação multifator, veja? E, finalmente, um engenheiro de help desk se conecta a um roteador em sua organização e executa alguns comandos show seguida ,tenta fazer uma alteração, mas descobre que não é possível Teoh e precisa de um engenheiro sênior para , executar. O que a identidade dos engenheiros não tem que é necessário para executar a permissão, autenticação, autorização ou contabilidade da tarefa autenticação, . Agora, lembre-se, o usuário do help desk obviamente logou no dispositivo porque eles são capazes de entrar lá, mas eles não são capazes de executar os comandos que são necessários para que eles não estão autorizados para executar esses comandos que a resposta aqui seria autorização. Sua identidade não tem autorização necessária para executar a tarefa. Agora, espero que isso tenha sido informativo para você, e eu gostaria de agradecer por ver. 39. 5.4 S2S e RA VPN: redes privadas virtuais. Agora, os tópicos do exame da CCN dizem especificamente que precisamos descrever o acesso remoto e termina o vice-presidente local para que não passemos por cima de sua configuração no Iowa. Mas vamos rever o que eles são e, em geral, como eles funcionam. Há um pouco de detalhes que não vamos passar por aqui, mas este vai ser um dos vídeos mais longos. Haverá muita mensagem aqui, então fique comigo, assista algumas vezes se precisar do Teoh e vamos passar por isso. Então, primeiro, vamos falar sobre uma rede virtual privada. O que é isso? Realmente? Assim, uma rede privada geralmente pode ser sua terra, sua rede local, e geralmente você usará seu espaço de endereço RFC 1918 nessa terra. Você seu espaço de endereço privado I p onde a rede privada seria e que esta é a sua rede corporativa e uma rede privada virtual é onde você está, não fisicamente lá. Digamos que você tem seu Q aqui e você tem a casa de uma pessoa aqui, e então você tem a Internet no meio, e então você vai em frente e tê-los conectados através da Internet sobre o seu H.Q. H.Q. agora este método de conexão com o H Q. Talvez eles estejam usando um cliente de software para ir em frente e realmente obter rotas para rotear seu tráfego para lá. Isso é apenas tráfego genérico. Isso poderia ser qualquer coisa que poderia estar usando um software proprietário que poderia estar acessando compartilhamentos de arquivos ou recursos internos da Web. O rdp está em servidores? O que você ou eles poderiam estar usando uma solução de listas de clientes que você poderia ter onde todo o seu Talvez este seja um pequeno escritório aqui, na verdade, em vez de uma casa e que você prega, você sabe cinco ou seis funcionários aqui e que agora você tem um site para site ou uma terra para terra V. M. M. É uma rede privada virtual onde você está criando um túnel que é razoavelmente seguro e considerado privado, e você está conectando essas duas terras ou esses dois locais através de uma rede virtual. Então, primeiro site para site VP termina, você vai vê-lo abreviar muito como S two s VP termina. Vamos apenas fazer uma rápida visão geral aqui, às vezes também chamada de terra toe terra VPN para que você os veja em dispositivos. Talvez alguns A s mais antigos, um software como l tol VPN que é assim que você vê que abreviado na configuração. Às vezes, como o nome indica, ele se conecta a redes usando um endpoint VPN. Então, uma terra é que você está usando um roteador. Você tem um roteador para formar um túnel entre eles. Tal que o roteador se conecta ao switch e o roteador se conecta ao switch. E que você tem Você sabe, essas estações de trabalho aqui que estão se conectando ao switch e que eles estão usando o roteador aqui onde ele está enviando seu tráfego através desse túnel para este roteador para acessar. Sabe, algum dispositivo aqui, talvez um servidor, talvez outra estação de trabalho. O que você tem que é uma terra para terra VPN. Então os pontos de extremidade VPN aqui, que são esses são seus roteadores e firewalls que estão criando o túnel entre eles que o que eles fazem é criar uma associação de segurança, um ensaio entre si. O que é uma associação de segurança? É realmente apenas um acordo sobre os parâmetros para encapsulamento e D caps. Exaltação do trânsito. O que isso significa? Isso significa que quando vamos em frente e encapsulamos o tráfego. Na verdade, estamos adicionando em seus itens de cabeçalho adicionais no tráfego onde estamos verificando a confidencialidade fora do tráfego. Talvez estejamos criptografando para garantir a confidencialidade, ou que estamos verificando a integridade e autenticidade do tráfego que estamos desativando , afirmando que, sim, sim, esse tráfego na verdade tem origem no Roteador A aqui, que um roteador B e que o tráfego de resposta. Podemos autenticar o Roteador B e verificar se esse tráfego realmente se originou do roteador B e que não há apenas um hacker black hat aqui no meio injetando tráfego no meio para o roteador A. Para pensar que ele está falando com roteador ser. E assim o VP termina pode ser construído usando dois métodos lógicos diferentes aqui, e isso é baseado em rota e política baseada. Então estes são um pouco diferentes. A maneira como funciona a VPN baseada em rota é que você cria uma associação de segurança genérica entre os dois roteadores aqui entre os dois pontos finais. Você cria este túnel que pode ter qualquer tráfego que no roteador aqui na rota er A. É nessa associação de segurança, a associação de segurança baseada em Route. Está concordando em encapsular ou cápsula D. Oito. Qualquer tráfego que tenha apontado uma interface de túnel virtual. É assim que você verá o Rota baseado em referenciado no Cisco. Muito é como um V T I uma interface de túnel virtual, tal que qualquer tráfego cuja interface de saída é o VT. Vou ser criptografado ou encapsulado e enviado para o roteador. Seja através desse ensaio que os olhos VT associados e vice-versa. No roteador. Tem algum tráfego que a interface de entrada de quem? A interface de entrada é o VT. Serei de caps, exultante ou encriptado. Não importa qual a origem ou destino que eu P endereça lá. Ele vai seguir em frente e descriptografar isso, porque a interface de entrada era o VT I. Considerando que, com base em políticas, você está criando listas de controle de acesso de um C. L, que irá passar em outro vídeo, o próximo, na verdade, que identificam tráfego interessante. Você verá essa frase muito interessante tráfego onde é tráfego, que é interessante para esta associação de segurança. O tráfego que corresponde a ele, que pode ser um endereço de origem ou destino específico i p ou rede em que esse tráfego é criptografado e enviado através da linha. E quando, uh, roteador ser recebe esse tráfego que o tráfego também deve estar dentro. É tráfego interessante é que você realmente tem que pesar Associação de Segurança aqui é que este envia de saída, mas, em seguida, este está recebendo também. É uma associação de segurança de recepção, e há também uma associação de segurança ascendente. Então, no tráfego que o roteador recebe, ele precisa coincidir com aqueles a c l's. Precisa ser interessante para ele ir em frente e descriptografar o tráfego ou cápsula D. Oito. Esse tráfego e vice-versa. Algum tráfego voltando, algum tráfego indo do roteador bateu em torno dela? A. Isso precisa coincidir com um CL no roteador. Esteja no que realmente é. É um mapa de criptografia que tem um CL que corresponde no mapa de criptografia para que ele seja criptografado e enviado por um roteador. Um e, em seguida, também roteador A. Esse tráfego precisa ser interessante para o roteador A. Ele precisa estar no mapa criptográfico e corresponder contra ele para que a ajuda do roteador descriptografá-lo e enviá-lo para o seu destino. Então vamos falar um pouco sobre os protocolos usados lá dentro. Decidir VP termina assim lado dois sites típicos usar o I P sec suite de protocolos que eu P definir em e por si só não é um protocolo, mas é um conjunto de protocolos e que existem três protocolos usados aqui que é a autenticação cabeçalho H encapsulando protocolo de segurança E S P e a troca de chaves da Internet , que é mais de um processo do que qualquer outra coisa. Vamos falar sobre isso com um pouco mais de detalhes aqui e como isso ocorre muito em breve. H e E S P. Estes não são protocolos de transporte. Estes não andam por cima. Eu sinto muito. São protocolos de transporte. Eles não montam em cima de TCP ou UDP que eles são seus próprios protocolos. Eles r I P número de protocolo 51 50 50 para ESPN, 51 para h H. não fornece qualquer criptografia que em Lee fornece autenticação, e ele pode verificar a integridade dos dados e autenticidade, mas não fornece dados confidencialidade e que o nosso site para dizer VPN destina-se a garantir C i A. Você verá que referência em alguns lugares confidencialidade, integridade e autenticidade que E S P fornece a criptografia aqui e permite que isso aconteça . Então você realmente obtém sua confidencialidade de seus dados lá. Agora, aqui para dar uma olhada rápida nas informações de cabeçalho e o escopo de criptografia e escopo autenticação para idade e E. P que gostam da versão dois. Então, há na verdade duas versões de como, há como V um. Isso não vai funcionar. Há como V 1 e V 2 essa versão para você. Não existe tal coisa como usar um H com BSP. É apenas usando E S P quatro figuras uma face para que uh assim E s P N Crips, seu cabeçalho I P completo e cabeçalho TCP e seus dados e ele realmente encapsula. Ele tem, ah, cabeçalho e uma cauda lá que isso está no modo túnel, certo? Em vez de modo de transporte, existem dois modos diferentes que podemos usar. Mas o modo túnel é um site para site VPN, enquanto o modo de transporte é I P sec para host VPN em, embora você possa justificar isso como um site para site com um host em cada lado. Na realidade, isso não é o que a Cisco está falando aqui que estamos falando de site para site túnel humor, VPN que eu estaria familiarizado com este gráfico aqui apenas para entender o que está acontecendo que perto do pacote aqui quando você envia um pacote, Digamos que você tem você sabe, este cara aqui em 10.1 ponto 1.1 e ele está enviando um pacote aqui para este cara 1 72 pontos 16.1 ponto um e que nós temos nossos roteadores no meio com uma associação de segurança construída entre eles que quando esse cara enviar um pacote para 172 1 16 11, lembre-se daquele pacote que vai ter no cabeçalho I P aqui? Isso vai ter essas fontes I p. Endereço de 10 111 e o destino i p. Endereço de 1 72 16 11 E esse cabeçalho inteiro lá é realmente criptografado que esses endereços I P privados eo cabeçalho TCP ou cabeçalho UDP ou qualquer outro que você está usando e todos os dados dentro dele, que todos são criptografados para que você não possa ver ou pelo menos não facilmente sem descriptografar o pacote. Você não pode ver essa informação nesse pacote que estamos adicionando um novo cabeçalho I P para o lado de fora aqui, onde ele está usando os endereços de origem I p está viajando através da Internet, certo? Ou algum outro? Talvez uma rede interna. Você quer usar uma VPN internamente porque você não confia nesses caras de marketing. E você realmente acha que eles estão tentando bisbilhotar em seu tráfego quando isso tem que ir e atravessar através de sua rede ou seu roteador e ele está usando a fonte I p endereço direito desta interface fora deste roteador e o destino I p destino I p endereço desta interface aqui e que quando ela a recebe, ele irá em frente e descriptografá-lo e ser capaz de verificar. Agora, GSP tem um escopo de autenticação onde você está autenticando esse tráfego criptografado aqui com o cabeçalho E S P e que essa autenticação também fornece confiante de que sinto muito, integridade, onde você está fazendo uma soma de verificação para ter certeza e seu hashing em incluindo esse hash para garantir que quando ele é descriptografado e hash que o outro lado pode confirmar que os dados são realmente os mesmos em que ele não foi adulterado em algum momento no meio entre ele sendo transmitido e recebido agora continuando junto com os protocolos, um pouco aqui. Eu disse, Nós vamos falar sobre como e as fases um pouco mais eso como é a troca de chaves da Internet . E algo muito usado pelo Ike é o algoritmo Diffie Hellman. Você vai ver essa referência bastante nos grupos Diffie Hellman que Diffie Hellman eram duas pessoas diferentes e que eles desenvolveram este algoritmo, que é usado quatro chaves seguras troca e geração. Ele não fornece qualquer segurança ou criptografia. Ele é usado apenas para troca de chaves para criar uma chave secreta para usar durante a criptografia e ser capaz de transmitir isso, certificando-se de que ambos os lados têm isso quando eles estão falando sobre canal inseguro. Agora, quando você tem um roteador aqui e um roteador aqui e eles estão conectados pela Internet, certo que esta conexão que é através da Internet pública e que você não está criptografando nenhum tráfego chamado de canal não seguro é um transporte público que qualquer um poderia estar olhando para isso que você não sabe. Pode ser que todo o seu tráfego esteja sendo encaminhado através de algum roteador e de alguém em algum lugar que você não conheça. Seu tráfego chega ao outro lado, e eles podem estar bisbilhotando tudo como um canal inseguro, e que você precisa de uma maneira de criar um canal seguro sem andar por lá e entregar-lhes um segredo para usar para a criptografia. E a maneira como isso é feito é com Davey Hellman. E então você pode ver a simplificação. Ou a idéia de como Diffie Hellman trabalha aqui é que você começa com alguma chave comum. Você vai em frente e uma troca que você pode trocar essa chave sem problemas e você cria para si mesmo uma chave secreta é uma cor secreta aqui e que você mistura Thies também, e que você faz isso, uh, você, quando eles são misturados em misturar este tipo de como usar tinta, certo como você está misturando a tinta e você está criando uma nova cor e que é muito caro, uh, tentar desmisturar estes e e descobrir qual o segredo é e as duas cores que estão contidas dentro desta cor mista e acho que é como não misturar amarelo e verde que você acaba ficando azul aqui aparentemente, e que é realmente difícil ir em frente e realmente obter amarelo e verde fora disso. Então você vai em frente e transporte Thies para o outro lado e que eles acabam adicionando sua própria cor secreta a ele novamente. E isso cria prego. Nosso segredo comum que acaba com a mesma cor são o mesmo segredo aqui de cada lado que era muito difícil descobrir o que esse segredo comum é porque você não sabe o que é essa cor, o que essa cor secreta está em, que você acaba recebendo a cor da cena de cada lado aqui. Então isso é uma saída, trocar chaves secretas e criá-las sem ter um canal seguro. E agora você pode criar um canal seguro usando essas chaves secretas. E isso é o que é feito durante a primeira fase. Então os túneis I p sec são construídos usando como a troca de chaves da Internet em duas fases que na Fase 1, o canal não criptografado para Diffie Hellman troca que as chaves são trocadas usando ou trocadas, são usados para construindo o canal criptografado. É que o seu segredo comum aqui agora o marrom que este agora é usado para criar um canal seguro e que este canal, a Associação de Segurança Fase Um, é chamado de gelo uma Associação de Segurança do Campo. É a Associação de Segurança da Internet e o protocolo de gestão de chaves. Esse é um protocolo específico usado para ir em frente e criar a associação de segurança, e que agora que você tem um canal seguro, você pode ir em frente e trocar chaves secretas novamente, ir em frente e criar novas e criar um novo segredo são canais seguros usando esse outro canal seguro. E isso faz com que você possa estar relativamente certo de que isso não pode ser comprometido. Que mesmo que um lado disso fosse comprometido, que já que estamos usando Diffie Hellman novamente dentro de nossa segurança e tudo mais, você pode ter certeza de que a fase para proteger o canal agora está realmente segura. Que é chamado de sigilo de encaminhamento perfeito ou PF s que Diffie Hellman poderia ser usado na fase um canal criptografado para criar a fase dois canal criptografado e que este rosto para é um ensaio I.P. I.P SEC seu i p Associação de Segurança da SEC. É assim que a Fase 2 Security Association é chamada agora para rever os algoritmos um pouco. Aqui está que as coisas que você verá seus algoritmos de criptografia que são usados no local para site VP termina que estes são o seu padrão de criptografia de dados, ou Dez ou seu padrão de criptografia de dados triplos, que é realmente apenas dez executar três vezes, é por isso que ele é chamado Triple Dez ou a criptografia avançada Padrão E s. Este é o que é o padrão agora e é o que é recomendado para ser usado. O uso de Dez para dez padrão é desencorajado em um, o tipo RFC de ver 48 35 se você absolutamente tem que fazer um dispositivo legado funcionar. Tudo bem, que assim seja. Mas você realmente não deveria. Você deve apenas atualizar esse dispositivo e obter algo que pode suportar ah, padrão de criptografia mais avançado como um sim e ir de lá em triplo Dez só não é recomendado que Cisco não recomenda usá-lo, que ele sofre dos mesmos problemas potenciais que Dez. Embora porque você está executando a mesma coisa três vezes, isso torna significativamente mais difícil. E não é recomendado que você use isso agora para sua mensagem, autenticação e verificação de integridade. Usamos H Mac hash autenticação de mensagem baseada, e os algoritmos que são usados são H. Mac MD cinco H Mex Shahwan, Rachmat Shah para 56 há muitos outros também que você pode usar. Mas o único a apontar aqui é o MD 5. Embora seja considerado seguro, é legado e não é recomendado que você continue usando-o, que você deve usar Shaw em algum bit alto. Nivelar Shah como Shah para 56 a caminho. Este é o haxixe funciona, certo? É um hash é recriar uma mensagem digest e um hash é um algoritmo unidirecional. Isto significa que dado o valor de hash aqui, que não consigo obter a minha mensagem fora deste valor de hash. Isto não é uma encriptação onde é de duas maneiras onde você pode descriptografar isso. Não, ele está criando um resumo dele onde você pode dizer que cada mensagem aqui geralmente criará um valor de hash exclusivo. Agora, é claro, nem sempre diz que você tem, você conhece a mensagem e apenas diz que estava Bob nele. E isso cria um hash que se parece com isso. Bem, você sabe, aqui é onde um ataque do arco-íris entra é onde você pode ir em frente e descobrir que você conhece a mensagem. 16 12 b 72 que este, por acaso, por causa da maneira que seu algoritmo de hash funciona acaba criando o mesmo valor de hash e que agora você é mensagem poderia conter isso ou poderia conter Bob e que ambos vão acabar dando a você o mesmo valor de hash para que ambos acabem sendo equivalentes e dizendo, Sim, Sim, a integridade é muito bom, mesmo que, obviamente, o conteúdo real não seja o mesmo da maneira que os algoritmos de hash funcionam. Alterações muito pequenas em suas mensagens criarão alterações muito grandes em seu hash para que você possa ter certeza de que sua mensagem não foi alterada. Um zall sobre estar razoavelmente seguro aqui, certo, então essa é a visão geral. Fora do local para local VP termina ou terra toe terra VPN. Então vamos falar um pouco sobre os peões de taxa de acesso remoto lá muitas vezes abreviados como nosso a v p m. Então eles também são às vezes chamados de ponto para citar VPN porque normalmente você está usando um novo computador individual para se conectar a uma rede e que você pode acessar muitos dispositivos nessa rede a partir de seu único ponto. Portanto, é ponto a site, em vez de site a site, e que conecta um único host à rede corporativa ou recurso é seguro, e ele pode ser implantado usando um ou ambos de dois modelos diferentes, e é baseado em cliente ou cliente lis. Vamos falar um pouco sobre o que cada um deles está começando. Primeiro com um cliente lista a solução VPN de acesso remoto. Então, a maneira como um cliente lista a solução VPN funciona como é feito através de uma interface da Web, sua autenticação através de um portal da Web, certo? E que a partir daqui podemos ir em frente e acessar, você sabe, endereços internos ou dispositivos internos ou a Internet através de uma interface da Web. Você também pode implantar aplicativos Web por meio de script Java e coisas assim. Eu vi onde você pode realmente dio desktop remoto através de uma interface Web aqui e ser capaz de acessar ou V N. C. para ser capaz de obter as caixas Lennox ou suas caixas Windows. O que você tem e que usa https toe access Resource é https com segurança. O S ali, direito é na verdade S L e mais, uh, uh, recentemente é você sabe, TLS realmente é o que é usado a segurança da camada de transporte, e é o protocolo de transferência de hipertexto que este é o que está sendo usado para realmente fornecer os dados que você está procurando obter de sua rede remota de seu recurso corporativo é e que você pode navegar na rede ou acessar arquivos e coisas desse tipo e fazer isso através de seu cliente lista. VPN aqui que é tudo através de uma interface Web. Tudo bem, mas não funciona para tudo. Além disso, pode ser um pouco complicado que o acesso a todos os seus recursos corporativos seja através de uma interface da Web como esta. Que isso não é como estar no escritório. Isso não é abrir seu Windows Explorer e entrar em sua unidade S e acessar seus arquivos dessa maneira e salvar seus documentos que você precisa ou imprimi-los na impressora clicando no botão de impressão. Não, você tem que mudar seu método de trabalhar um pouco aqui que isso não é exatamente o mesmo. E é aí que as VPNs baseadas no cliente entram em vigor. Que eles são tipicamente citados como estar no escritório. E essa é a sua citação da Cisco de que é assim que eles descrevem VPN baseada em cliente e que eles utilizam um cliente de software instalado na máquina do usuário para aprimorar o VP e experimentar realmente adicionar uma interface virtual ao seu computador normalmente, juntamente com a injecção de rotas na tabela de rotas no computador, de modo a que o tráfego destinado a certo. I PS acaba sendo colocado através de sua interface de túnel virtual em seu computador e criptografado e enviado para o seu escritório e o tráfego de retorno é descriptografado em conformidade, é claro, e que estes podem operar usando ou i, p SEC ou SSL. O SSL é, na verdade, um pouco mais novo recurso para acesso remoto. VP termina um pouco. Quer dizer, é um punhado de anos, mas ainda assim para vender acesso remoto. VPNs não existiam há muito tempo, pelo menos, VPN SSL baseada no cliente que por um longo tempo SSL VPN realmente significava cliente menos VPN e que você sabe que qualquer base de clientes era tudo I P sec . Mas agora eles foram capazes de ir em frente e criar VPN SSL baseado em cliente que usam o túnel SSL , como em https, o S L. Desse para túnel outro tráfego, então apenas o protocolo de transferência de hipertexto para túnel todos os seus protocolos como TCP e UDP através de SSL e que eu p sec neste caso, eu uso UDP Port 500 E. S P. O Vernet atravessar afastado porque a maioria de suas estações de trabalho seus usuários finais, eles vão ser em casa usando sua VPN baseada em cliente e que eles estarão atrás de um dispositivo nat porque eles não têm um endereço público I p atribuído diretamente à sua estação de trabalho em casa. Então ele tem que atravessar um dispositivo gnat, e ele usa UDP 4500. Portanto, se você tiver um problema de firewall em que eles não conseguem se conectar, talvez você queira ir em frente e verificar se 545 100 têm permissão de saída através de seu firewall. E é porque os usuários remotos geralmente estão atrás da rede. Incrível. Agora eu sei que isso foi um pouco intenso e que há muita informação lá. Se você precisar correr de volta, é claro, vá em frente e faça isso. Mas assim como os outros, vamos fazer algumas perguntas de treino antes de terminarmos primeiro. O protocolo I p está encapsulando protocolo de segurança. É sobre TCP é que i p protocolo 50 sobre UDP ou I P protocolo 51. Agora isso era realmente apenas para conduzir para casa o ponto que E S P e H r seu próprio protocolo I p . Eles não operam por TCP ou UDP por padrão. Que e S p é I p número de protocolo 50 E finalmente o que associações de segurança ar criado durante cada fase fase um gelo um acampamento e rosto para o seu i p sec Fase um i p segundo rosto para seu como é fase um gelo um acampamento e rosto para o seu gosto ou é fase um Ike e encarar a sua i p. A associação de segurança Fase Um é chamado no gelo uma associação de segurança do acampamento, a Associação de Segurança da Internet, protocolo de Gerenciamento de Chaves e, em seguida, a Associação de Segurança Fase dois. Aqui está um ensaio da I.P I.P . SEC. Isso também vem do fato de que quando você está em um roteador direito e que você está verificando suas associações de segurança para ver se eles estão realmente X disponíveis, se eles foram realmente construídos, que você faria mostrar crypto ice a camp ensaio e mostrar crypto i p sec ensaio e que irá mostrar-lhe as informações sobre a sua Fase um e a sua Fase dois Tuttle, respectivamente. Agora, eu espero que isso tenha sido informativo para você, e eu gostaria de agradecer por ver 40. 5.5 ACLs: listas de controle de acesso. A maioria das pessoas abreviam listas de controle de acesso como um C.L ao dizê-las verbalmente, e também ao escrevê-las ao referenciá-las na documentação. Você vai vê-lo como um C L. Este um c l que um c l criador HCL etcetera A. C L's são um dos conjuntos de recursos mais versáteis da Cisco que o ar de um selo usado geralmente para apenas identificar o tráfego. Então vamos verificar o que o ar de um selo usado para criar um padrão e estendido um c l e qual é a diferença entre eles. E nós vamos passar por um laboratório para criar um par de CL e testar para mostrar qual é o efeito aqui e torná-lo muito visível para nós. Então, primeiro, escuta uma breve visão geral do que um CL é e por que eles são usados. Então, como eu disse, no coração, um selo é usado para identificar tráfego interessante, modo que pode ser usado em qualquer circunstância onde precisamos identificar o tráfego. E isso pode ser em grupos de acesso, que está bloqueando e permitindo tráfego em uma interface, mapa de criptografia de entrada ou saída identificando o tráfego para nossas extremidades VP e o que deve ser criptografado e o que não deve. Mapas de classe. Identificando o tráfego apenas para classes de tráfego. Para ser capaz de colocá-los em mapas de políticas. Para ser capaz de fazer roteamento baseado em políticas, ou talvez buckets de token para modelar ou policiar mapas de rotas para ir em frente e especificar roteamento baseado em políticas , ou ser capaz de identificar qual tráfego deve ser distribuído em um protocolo de roteamento ou pacote , usamos um CL para identificar o tráfego que deve ser capturado em uma captura de pacote para fazer a solução de problemas em nossa rede e ver o que está acontecendo. Há tantos usos para um CL , você quase não vai ver todos eles, mas você certamente pode. E pode haver mais alguns tópicos interessantes aqui. Lá onde você acaba encontrando Oh, cara, acabamos usando um A C L para isso. Então, controle de acesso nos. Existem dois tipos diferentes. Há padrão e estendido, modo que o intervalo padrão, como você pode ver aqui quando você apenas faz na configuração global, basta acessar lista de traço. Existem duas faixas padrão diferentes para numeradas A, C. L e duas faixas estendidas diferentes para selos de número a. O intervalo padrão é de 1 a 99 para Standard e, em seguida, também 1300 para 1999 para o número A, C. L e como o intervalo expandido. Aqui em baixo, o 1300 a 1999 e a faixa regular para A. C. L padrão C. é de 1 a 99, então, de forma semelhante para estendida. Você tem 100 a 99 e, em seguida, aqui em cima, você tem o seu 2000 a 2699. Isso é por ter acesso. Nacionalista, é um CEO numerado. Você não tem que fazer enguias número dias que você poderia usar um chamado A C. L. Em vez disso. Eu prefiro isso pessoalmente só porque você pode dar um nome ao seu A.C. L. L., que ajuda você a identificar para que ele foi usado. Você tem a habilidade de colocar comentários em seus selos A, e eu recomendo vivamente que faça isso para que você possa entender para que diabos foi usado ou para que uma entrada em particular é usada. Mas mesmo que você não faça isso, criando um chamado C L. Usando o comando I P access list dash list, você pode criar um selo chamado. Você também pode criar numerado um C l da mesma forma em eu vou mostrar-lhe que durante o nosso laboratório brevemente. Mas com isso você acaba especificando se deseja criar uma extensão ou padrão A c. L. E, em seguida, a partir daí você tem a opção de especificar um nome ou você pode especificar um número, e ele vai dar-lhe o intervalo está disponível para o seu numerado A c l. Se você assim escolher tão padrão e estendido a c l de usar o que é chamado de curinga máscara em vez de uma máscara de sub-rede. Máscara curinga é um pouco inversão fora de uma máscara sub net. O que quero dizer com isso, se olharmos aqui em baixo, certo é que temos a nossa máscara de sub-rede. Agora esse cara é um Slash 26. Então temos 255255255192 em Vemos aqui que temos 24 bits de uns e o resto sendo zeros. Agora, se você fizer um pouco de inversão, virar todos para um zero em cada zero para um, então nós acabamos com esses seis caras aqui em baixo que são uns em vez de zeros. Nossa máscara curinga é a inversão do nosso mascote sub-net 0.0 dot 0.63. Este número aqui, esta notação decimal pontilhada é a sua máscara curinga. Isto é o que você vai acabar entrando. uma boa coisa para lembrar se você acabar colocando em uma máscara sub net em vez disso, ele vai acabar dizendo que é uma máscara sub net inválida ou se você acabar tendo azar aqui, você pode obter resultados realmente impróprios para o mestre que você colocou em que ele não vai se comportar da maneira que você acha que vai. Então, ambos os números de declaração. Eu sinto muito. Tanto a c l é estendido e padrão números declaração uso toe ordem a permissão, negar declarações ou do que selar. Então isso é o que em um C L tem direito é um monte de permissão. Isto nega este endereço de origem de permissão para o endereço de destino, mas negou este endereço de origem para este endereço de destino através deste protocolo, sobre o qual falaremos sobre isso em alguns momentos aqui que estendeu um selos têm a capacidade identificar protocolo, enquanto padrão não que ele usa números de instrução para ordenar as entradas de controle de acesso que ace, você verá que abreviado muito em algumas interfaces gráficas. Você verá onde você tem a opção de adicionar um ás a um A C L. e isso é uma entrada de controle de acesso. E isso aqui embaixo, isso é o que acontece quando você cria uma entrada para. A C L é que primeiro eu apareci em uma lista de acesso numerada. Adicionado acesso Nacionalista número tenso de fazer uma lista de acesso padrão, não em estendido. E eu tenho uma declaração de licença que estou permitindo 10 111 e estou fazendo todos os zeros. O que isso significa? Isso se traduz em uma máscara de sub-rede de todos. Então este é um endereço de host. Não é uma rede ou um intervalo de endereços. A mesma coisa com a segunda declaração aqui. Então, uma vez que pressionei Enter, eu fui trazido de volta para o clima de configuração global, e então eu apenas apareci em outra entrada aqui que eu fiz na lista de acesso número 10. Tenho uma declaração de licença. Eu estou fazendo 10 112 alguma permissão. 10 111 e 10 112 Agora você vai ver na próxima vida vai passar por cima de listas de acesso padrão um pouco mais de detalhes. padrão A. C. O Onleypadrão A. C. L permite que você defina uma fonte, endereço ou intervalo ou um assunto dolorido, e que ele não se importa com nenhum destino. Isso é tudo o que ele está combinando é em Lee este endereço fonte. Sem protocolo, sem destino. Então, depois que eu adicionei essas duas entradas para a lista de acesso número 10 porque é assim que eu estou numerando , que aqui está a lista de acesso número 10. Então, se eu fizer uma lista de traço de acesso show 10, então ele vai cuspir aqui para mim, e eu vejo que eu tenho 10 e 20 anos agora. O que é isso? Esses são os números de declaração que estes são os números de entrada automaticamente. Começará em 10 e aumentará por 10 cada vez que passarmos do mais baixo para o mais alto é como ele vai processar isso. Então nós começaríamos na declaração número um e seguiríamos em frente e processássemos isso e trabalharíamos nosso caminho até a declaração número 20. Se houver um em, ele só vai começar no número de instrução mais baixo e ir para o mais alto e, em seguida, é assim que ele ordena a operação para a sua lista de acesso. E acrescenta isso automaticamente para que, se voltarmos e dissermos: Oh, Oh, cara, queremos ir em frente e adicionar uma declaração no meio aqui aos 15, então teremos a capacidade de fazê-lo. Não é só pedir estes por um de cada vez. Está separando-os por 10. Assim, você tem alguma flexibilidade para voltar e editar isso sem precisar remover toda a sua lista de acesso e adicioná-la novamente, causando talvez algum tempo de inatividade para sua rede ou alguns efeitos que você não deseja ver no seu rede algo realmente, muito importante e vira-se todo mundo quando eles estão lidando com um C. L é a primeira vez é que todos os A. C L ambos padrão e estendido têm uma negação implícita no final. Isto não é mostrado. Então aqui, a lista de acesso padrão. 10. Permitirá 10 111 10 112 E aqui em cima, há uma negação implícita que nega tudo, então permitirá que Timmerman 1 e 10 112 como endereços de origem e negue tudo que você precisa lembrar que está lá. Eu geralmente gosto de colocar uma negação qualquer ou uma negação qualquer declaração no final, só para que eu tenha uma sugestão visual lá que há, uh, uh ao invés de uma negação implícita, uma negação explícita que você pode realmente visualmente ver que há uma declaração de negação lá. E então, como dissemos, um selos são avaliados a partir da entrada mais baixa dois mais altos, e a primeira entrada de controle de acesso correspondente é usada e a avaliação pára. Digamos que tenho um pacote chegando, certo? E que este um c l este um c l número 10 é aplicado à interface onde esse pacote está entrando. E vamos dizer que o pacote tem um endereço de origem i p de 10 111 Quando esse pacote entra e esta lista de acesso 10 é avaliada, ele vai começar a partir do número de entrada mais baixo aqui, número entrada 10 e trabalhar seu caminho para cima. Ele verá que nosso pacote corresponde ao número de entrada 10. A entrada número 20 não será avaliada. Nunca vai para lá. Ele atinge a primeira entrada correspondente e pára. E, em seguida, qualquer ação está listada lá uma licença ou negar. Essa é a ação que é feita para esse pacote. Isso é algo importante para lembrar que geralmente você quer suas entradas mais específicas na parte superior e suas entradas menos específicas para a parte inferior. E eu sei que isto é encomendado ao contrário aqui. Então você é entradas mais específicas com números de extrato mais baixos e suas entradas mais específicas com seus números de extrato mais baixos e seu contrato específico com os números de extrato mais altos. Então o nosso padrão a c l. Como dissemos, Onley coincide com o endereço de origem e é sobre qualquer protocolo IP. Isso é algo a mencionar que é sobre o protocolo i p. Se você tem algum outro protocolo, isso não é eu, mas nossa lista de acesso pode não coincidir com isso. Podemos precisar usar um método estendido ou outro para filtrar esse tráfego, mas no Lee corresponde ao endereço de origem i p. Então, por causa disso, pular para esta nota inferior aqui é que ele deve ser configurado o mais próximo possível do destino para a prática recomendada. Por quê? Porque se você está configurando isso, digamos que temos nossa estação de trabalho aqui, certo e que nossa estação de trabalho se conecta ao nosso roteador. Vamos fazer com que muito limpador se conecte ao nosso roteador Roteador se conecta através de Teoh outro roteador. Digamos que temos um servidor aqui e digamos que isso se conecta a outro roteador e , em seguida, isso se conecta à Internet. E então esse cara se conecta a um roteador e que se conecta a um servidor. Agora vamos dizer que queremos bloquear esta estação de trabalho de acessar este servidor, e queremos usar um CEO padrão A para ele. Por que você faria isso? Não tenho certeza, mas Cisco pode jogar algo assim em você. Onde você vai colocar esse padrão? A fim de bloquear esta estação de trabalho de acessar este servidor enquanto você vai colocá-lo aqui o mais próximo possível do destino. Se colocarmos isso um CEO aqui, estamos bloqueando esta estação de trabalho de acessar tudo e se acabarmos colocando isso aqui, estamos bloqueando essa estação de trabalho de acessar todo esse lado. Assim por diante. Vês onde estou a chegar aqui? Se o pusermos aqui, vai bloquear o acesso à Internet. Se o colocarmos aqui, então ele só irá bloquear o acesso a esse servidor lá olhos apenas por causa da limitação fora selos padrão A que você deseja colocá-lo o mais próximo possível do destino para que você esteja usando o colocação do seu A C L como essencialmente o seu filtro de destino lá. Então, como eu disse, eles podem ser numerados ou nomeados, e a numeração tem dois intervalos diferentes. Há um total de 799 numerando um C L disponível. É um através de 99 1300 até 1999 eu saberia os intervalos para os selos padrão e estendido A. Cisco realmente adora fazer essa pergunta como apenas uma pequena escolha múltipla. Agora, qual é o alcance estendido para A.C.Lpadrão A.C.L ? E isso seria 1300 a 1999. Talvez ele lhe dará algumas opções de intervalos de numeração para escolher, e que quando você tem um padrão a C l que é numerado ou nomeado aqui vemos que temos um número a C l aqui usando o número 10 e que temos um nomeado um C l aqui com nome padrão Dash A C l e que eu coloquei realmente a declaração Número cinco sobre este cara aqui e disse que eu quero declaração sobre cinco para ser permissão 10 111 e, em seguida, declaração número 10 para ser permissão 10 112 é que por padrão ele vai começar em 10 e incrementar por 10 cada entrada adicional. Mas você tem a capacidade de especificar qual número de instrução você deseja que sua entrada seja. Ótimo. Então isso é o padrão A Seal Vamos saltar para um c. L estendido está aqui. Como dissemos, isso combina com a fonte e destino I p e vai fazer sobre um protocolo especificado , certo? Então, temos muitos protocolos que podemos escolher, e temos muito mais flexibilidade aqui porque isso pode coincidir com a fonte e o destino ocular. E por causa disso, vamos pular aqui é que ele deve ser configurado o mais próximo possível da fonte para prática recomendada. E por que isso? Porque nós realmente não queremos usar nossa largura de banda Se nós voltarmos para este slide por apenas um momento aqui e esta pequena topologia, se nós temos um novo estendido um C. L, você poderia colocar o seu estendido a c l aqui e que lhe daria o mesmo efeito de bloquear o acesso ao servidor. Mas agora você desperdiçou toda essa banda enviando seu tráfego através de toda a linha aqui através de todo o circuito para que ele apenas fosse bloqueado para este cara quando você poderia ter alcançado o mesmo efeito de colocar um c l aqui neste e ser capaz de bloquear o acesso especificamente a estes servidores I p. Endereço a partir destas estações de trabalho i p. Endereço sobre qualquer protocolo que você desejar sobre TCP sobre UDP e uma porta específica que você pode ir em frente e aplicar isso como perto do destino possível e obter o mesmo efeito. E isso, assim como o padrão de lembrar de um selo, há uma negação implícita, certo, e estes também podem ser criados como numerados ou nomeados um c. L. Aqui temos numerado acesso estendido menos número 100 que está permitindo tudo. Há apenas uma licença i p qualquer e que com o estendido chamado a c l. Nós temos e x t hífen um C l. como o nosso chamado C L Nós temos mais algumas entradas aqui onde primeiro foram permitindo 10 1112 Qualquer endereço sobre i p e então declaração número dois ou declaração 20 aqui ou permitindo 10 112 para qualquer e que estavam especificamente usando a palavra-chave host aqui onde você poderia fazer 10 111 com uma máscara curinga de 000 Ah, mas podemos usar a palavra-chave host para não ter que colocar a máscara curinga lá e é especificando que apenas este eu p endereço ele só sai um pouco mais agradável e é um pouco mais legível. E então declaração 30 Estamos negando 10 11 a qualquer agora. Curiosamente, isso você sabe, 10 declaração número 10 será atingido primeiro para qualquer fonte de tráfego de 10 111 para qualquer destino sobre i p que estamos permitindo tráfego. Então declaração 30 nunca seria atingido aqui porque é primeiro indo do topo e indo para o fundo e , em seguida, na parte inferior aqui, Stephen 40 nós estamos permitindo que eu p qualquer qualquer Então realmente, este um c l Isso estendeu um c l aqui que é chamado isso não tem efeito. É apenas permitir que eu p qualquer qualquer que 100 o nome aqui ambos têm o mesmo efeito, mesmo que o nome tem muitas mais entradas nele que estavam apenas permitindo. Tudo está permitindo Temelin um permitindo 10 mulheres duas. E esta entrada 30 não importa porque a entrada 10 se sobrepõe e então 40 está permitindo todo o resto. Então tem o mesmo efeito que um C L 100 aqui. Incrível. Então, agora que vemos como ou quão estendido e padrão trabalho de A C l, vamos passar por um laboratório e ver como eles são configurados e aplicá-los a interfaces para que possamos ir em frente e confirmar e ver visualmente quais são os efeitos Aqui. Então aqui vai ser nosso laboratório é que nós temos dois roteadores aqui em baixo e nós temos que olhar para trás interfaces em cada um. Eu já configurei os nomes de host e os endereços I P nas interfaces e o saque volta aqui, e isso é tudo Ah, que precisamos ir em frente e configurar tudo o resto são passos neste laboratório aqui é que Vamos em frente e definir rotas estáticas em cada roteador para o loop back sub redes, certo? É que são duas necessidades saber que chegamos a esses Luke volta usando 10.1 ponto 2.1 como o próximo topo e a mesma coisa são, é preciso saber que chegamos a 10 ponto para estes Luke volta aqui usando $10.1 ponto para ponto para como seu próximo salto. Certo. E então vamos em frente e configurar cada um para ssh, brevemente. E lembre-se, como fazemos isso direito é que precisamos definir um nome de domínio. Precisamos gerar nossas chaves. Nossas chaves de ensaio para uso para ssh e, em seguida, que irá permitir ssh é uma vez que fazemos isso, ele permite SS agente nos permite ir em frente e fazer isso. Vamos precisar ir em frente e criar um usando uma senha. Se realmente quiséssemos entrar, eu não me importaria. Nós só nos preocupamos em realmente obter essa conexão lá, e então nós vamos ir em frente e criar um padrão numerado a C l bloqueando tráfego de 10 100 barra 24 apenas e aplicar entrada em nossos dois. O que isso significa? Isso significa entrar no rápido 00 dos nossos dois. Então, para o tráfego chegando, vamos em frente e aplicar isso um bloqueio de tráfego C L de 10 100 barra 24. E então vamos em frente e ping e verificar para que vamos pagar com uma fonte de 10 101 e tentar pagar 10 12 para tentar Ping são também, de Luke, voltar zero e ver se somos capazes de que eu vou em frente e fazer isso primeiro. Uma vez que tenhamos nossas rotas estáticas no lugar para mostrar que somos capazes de ping com sucesso e , em seguida, vamos ter o nosso A c l no lugar e garantir que não somos capazes de ping mais. E vamos em frente e fazer isso primeiro aqui e depois vamos abordar a segunda metade do laboratório . Então, primeiro, vamos para o nosso. Vamos colocar nossas rotas estáticas no lugar e depois configurá-lo para SS. O agente vai para a nossa, para que eles vão em frente e habilitem o condenado. Nós vamos em frente e fazer I p ro e nosso destino é. Vamos em frente. Basta fazer 10 a 00 barra 16 com um próximo topo de 10.1 ponto para ponto para, e lá vamos nós. E agora vamos em frente e configurá-lo para ssh. Então nós estamos indo para I p nome de domínio. E vamos chamar este laboratório de Ben J. Train God. Incrível. E vamos em frente e gerar nossas chaves de criptografia. Incrível. Então isso foi gerado e agora está habilitado. Ssh! Então vamos pular para o nosso para e então, na verdade, você sabe, eu não apareci aqui. Eu quero um show i d interface breve e temos rápido Ano zero é 10 1 para 1 e temos nosso para saquear costas. E então a mesma coisa sobre Heroes fazer um show. Interface breve. Temos 10 122 e o nosso laço também lá. Então vamos em frente e fazer o mesmo. A coisa é que vamos definir nossa rota I P 10 100 tamanho 16 com o próximo topo de 10 1 para 1, e então vamos em frente e definir nosso nome de domínio e vamos gerar nossas chaves de criptografia. Excelente. Então ssh, foi habilitado. Ótimo. Então, agora vamos em frente. E no geral são um. Vamos fazer uma dor e vamos em frente e pagar 10 a 2 com uma fonte de nosso olhar para trás. Zero à direita dos nossos 10. Podemos ir em frente e fazer uma interface de origem, ou podemos fazer um endereço de origem. Vamos em frente e fazer uma fonte de Luke de volta zero. Agora ele tinha que ir em frente e são cerca de primeiro e, em seguida, todos os outros foram bem sucedidos. É só checar mais uma vez. Lá vamos nós. Nossos pings são bem sucedidos, que temos rotas em ambos os lados para que nossos dois saibam como voltar para a rede 10 10 e que nós somos capazes de ir em frente e ping isso aqui. E só para ter certeza, vamos em frente e pagar o loop de volta. Zero de é ouvir que é 10 para 01 é o endereço IP de que, e isso também é bem sucedido aqui. Incrível. Então, agora vamos voltar aqui. Precisamos ir em frente e criar um padrão numerado. A C l bloqueio tráfego de 10 100 barra 24 apenas e aplicar entrada em nossos dois. Então, para isso, precisamos ir para o nosso para ir para o condenar E. Vamos ir em frente e fazer lista de controle de acesso. Vamos criar uma lista de padrões que você número 10 e então vamos negar 10 100 que vai ser cortado 24. Lembre-se, este é um Wild Card Basco. Então é inverso fora da nossa máscara sub-rede. E isso é tudo o que temos Ideo. E então agora podemos ir em frente e aplicar essa entrada em uma interface. E fazemos isso com o comando access group. Então, se formos para interface rápida 00 oops e, em seguida, fazer acesso Whoops. Desculpe por isso. Eu me deparei com um pouco de dificuldade técnica lá. Então estamos na nossa interface rápido 00 e precisamos aplicar esta lista de acesso lá. Então nós fazemos o comando i p Access Group, e então aqui nós criamos a lista de acesso 10 e, em seguida, vamos aplicá-lo de entrada nessa interface, certo? Incrível. Então agora precisamos ir em frente e fazer ping e verificar se Onley 10 100 barra 24 está agora bloqueado direito é que podemos voltar para o Roteador um muito rápido. Vamos em frente e fazer isso que nós vamos pagar, uh, uh, 10.1 ponto para ponto com uma fonte de loop back zero e que isso não é bem sucedido. Incrível. Então vamos em frente e tentar com a fonte de olhar para trás, um que também não é bem sucedido. Bem, isso não é bom. Vamos em frente e tirar a nossa fonte e pagar 10 a 2 e isso. Essa neve está boa? Certo, vamos descobrir o porquê. Aqui bem rápido. Se voltarmos aqui, confio em você a fazer show I p lista de acesso. Tim, temos que negar 10 100 e é uma barra 24 que é a única entrada que temos. Qual pode ser o problema que estamos enfrentando? E está bem, nós esquecemos sobre nossa negação implícita no final aqui, então vamos em frente e adicionar um “un implícito”. Sinto muito, uma permissão explícita vamos permitir qualquer para que qualquer Onley a barra 24 igualamos na negação e qualquer outra coisa seja permitida. Então vamos voltar para o modo de configuração global vamos acessar, lista de traço 10 permissão e incrível. E agora não precisamos reaplicá-lo. Isso deve ser bom para ir. Se voltarmos para o nosso um e nós apenas tentar e pagar agora que é agora bem sucedido, nós tentamos e ping com uma fonte de Luke volta um que é bem sucedido se tentarmos e fixar com uma fonte de loop de volta zero que não é bem sucedido, que ele está bloqueando a rede 10 100 barra 24 de ser capaz de executar ping. Isso está bloqueando isso de ser capaz de fazer qualquer coisa. Eso se tentarmos ping uh, o olhar para trás zero fora do nosso são muito tão 10 para 1. Eu sinto muito. 10 a 01 que não é bem sucedido. No entanto, se tentarmos fazer ping que com uma fonte de Lubeck que é bem sucedida, que nessa interface todo o fornecimento de tráfego de 10 100 barra 24 é negado que essa lista de acesso é avaliada em todo o tráfego de entrada nessa interface, se é suposto ser arredondado para fora em outro lugar ou para seus loop backs ou se é também que interfaces i p endereço diretamente que o a c l na interface é avaliado primeiro. Incrível. Então agora vamos dar uma olhada no que a segunda metade do nosso laboratório é que vamos criar um nome estendido A C l bloqueando o tráfego Onley ICMP de 10 100 barra 16 a 10 a 00 barra 16 e aplicar saída no nosso e fazer ping e verificar. Então estamos bloqueando o tráfego ICMP. Está tudo bem. Então vamos em frente. E este é o nosso. Vamos criar um A C L estendido e vamos bloquear ICMP de 10 100 barra 16 para 10 00 barra 16. Então, no geral, um vai ir condenar e fazer eu p lista de acesso só para ter um método diferente de dizer isso aqui em cima e ações sem nome. o Então precisamos queoórgão de comando da lista de acesso faça um estendido e então aqui podemos ir em frente e criar o nosso chamado CIA. Vamos ligar para ajustar txt a c l e entrar. E agora nós estamos em nome estendido estendido um modo de configuração C l aqui e nós vamos ir em frente e fazer nossa primeira entrada sobre isso vai ser uma declaração de negação. E aqui nós temos os diferentes protocolos para escolher é que não necessariamente tem ser apenas eu p Você pode escolher um protocolo diferente aqui ou apenas um número de protocolo I p específico que você não precisa necessariamente se ele não coincidir com um desses caras, Você poderia apenas escolher o número do protocolo I P fora do tráfego. Como você deve saber, E S P é i p protocolo 50 g r e é seu próprio protocolo I p aqui é bem, e ICMP não é, você sabe, TCP ou UDP. É uma partícula I p diferente. Então vamos negar ICMP de 10 100 barra 16 002 55 para 55 lembra o inverso da nossa máscara sub-rede . E o destino será de 10 a 00 com a mesma máscara curinga. E então podemos ir em frente e especificar o tipo de mensagem ICMP. Uh, mas nós não vamos fazer isso. Nós só vamos dizer que qualquer tráfego ICMP é negado e então nós precisamos ir em frente e permitir todo o resto então agora nós vamos fazer uma licença. Eu p qualquer incrível. E vamos aplicar essa saída na interface rápida 00. Vamos ir em frente e sair do nosso estendido chamado um modo de configuração c l e ir interface rápido 00 i p grupo de acesso e, em seguida, aqui vamos aplicar o X t a c l a c l saída. Incrível. Então agora isso deve nos negar de ser capaz de ping qualquer coisa em são, também, que se o nosso tentar Ping são também, ele não deve ser capaz de fazê-lo. Então vamos em frente e tentar isso. Vamos tentar apenas pagar 10 1 para e isso é bem sucedido. Vamos tentar com uma fonte de 10 101 que não é bem sucedida sobre 10 111 que é bem sucedido agora, por que isso pode ser agora? Isto é realmente uma coisa interessante que se aplica a este tipo de circunstância. Essa é a interface? A. C L não se aplica à origem de tráfego do próprio roteador. Agora, isso está realmente mostrando que eu criei este laboratório um pouco apressadamente aqui e notei que nós encontramos realmente o que é um bom ponto é que a lista de acesso de saída não se aplica ao tráfego originado do próprio roteador para que possamos obter o mesmo efeito aqui, fazendo uma entrada estendida um C L sobre a arte para ir em frente e mostrar que aqui. Ou apenas fazer a entrada em nosso um em reverter nosso A C L. Talvez adicionar em outra fonte de entrada de 10 para 16 para o destino de 10 1 barra 16 em. Então podemos ir em frente e fazê-lo de entrada e mostrar que isso funciona que é um bom ponto que o tráfego originado do roteador em si não filtrar através do nível de interface A. C. L está aqui, e isso é algo para lembrar que você poderia ser tropeçado por isso no futuro também. Vamos em frente e mudar a direção aqui e adicionou outra entrada que vamos config tea . E primeiro, vamos fazer uma lista de acesso Show I P. Então o que queremos dificar é que podemos apenas adicionar em outra entrada, ou podemos remover esta entrada aqui e, em seguida, adicionar uma nova que está invertendo a origem e o destino. Então vamos, Teoh, Teoh, I p acesso lis modo de configuração estendido. Essa é a lista de acesso XT A C l. E então vamos fazer um novo e depois vamos adicioná-lo de volta em 10. Negar icmp 10 a 00 barra 16 ao destino de 10 100 barra 16. Incrível. E então vamos em frente e sair. Vamos para a nossa interface rapidamente. 00 a maioria fazer em Não i p grupo de acesso e x t a c l vira mais para um I p grupo de acesso e x t c l de entrada em vez. Incrível. Então agora podemos passar para o roteador para e não devemos mais ser capazes de pagar roteador um com um endereço de origem i p de qualquer um dos nossos saques. Então nós vamos pagar 10 1 para 1 papa 10 1 para 1 com uma fonte de nosso olhar para trás. Zero Oh, temos que ir para um modo naval. Aqui vamos nós, pagando 10 1 para 1 com uma fonte de loop de volta zero que não é bem sucedido e com uma fonte de olhar para trás, um que também não é bem sucedido, que vemos com um endereço fonte de 10 para 01 e uma fonte endereço de 10 para 11 que não é bem sucedido. Opa. E agora, se formos em frente e apenas pagar 10 121 que tem um endereço fonte de 10 1 para 2. Então isso é bem sucedido porque isso não corresponde ao nosso grupo de acesso lá. E então podemos ir em frente e mostrar que podemos tentar ssh com uma fonte off Luke volta zero ou um e que não é para chamar, embora somos incapazes de pagar atrás condenado Quando você SSH bombas interface de origem Do loop volta zero. E agora vamos em frente e vamos. Ssh! 10 1 para 1 olha vamos traço l Qualquer que seja Cisco é apenas tem nos dizer que ele não existe qualquer maneira ou que o nome de usuário não está lá. Mas isso não deve ser para um. Na verdade, estamos. Nós somos capazes de se conectar aqui Ah, e está pedindo nossa senha que não somos capazes de ping. Mas nós somos capazes toe ssh e nós estamos ssh ing com uma interface fonte de Luke volta zero. Incrível. Agora, assim como as outras seções, vamos fazer algumas perguntas aqui antes de terminarmos. Então, primeiro você aplicou o abaixo A c l entrada no rápido 00 de nossos dois e, em seguida, repente perdeu a conexão com os nossos dois via como um sábio do servidor. Por que você perdeu a conexão? Então esta é a topologia que estamos considerando aqui, que você está no servidor e que você é ssh, em nosso para e que você criou este estendido chamado a c l. e que você aplicou entrada no rápido 00 E que Você perdeu o acesso que está tentando bloquear 1 72 17 1 barra zero 24 que na verdade você bloqueou 1 70 a 17 00 barra 16 entrada no rápido 00 Então por que isso é que a máscara curinga não corresponde à sub-rede a ser bloqueada? Que temos uma barra 24 aqui, mas você está fazendo uma barra 16 aqui é que isso é esperado porque a entrada de controle de acesso está negando acesso a partir do servidor sub net? Bem, não, o A. C não está negando acesso a partir do servidor sub net porque temos 0.16 aqui e estamos fazendo 0.17 aqui e que este é um corte 16. Então, este outubro não é considerado ao usar a máscara curinga? Ou é que o acesso aos servidores está sendo negado pela negação implícita no final do A C L. Isso certamente parece muito possível se estamos dando uma olhada em todo o CEO A aqui, que devemos assumir que somos do que isso definitivamente Parece possível. Ou é que o A C L deveria ter sido aplicado saída em vez de entrada no ano rápido de zero? Isso realmente não faz sentido. Então a resposta é realmente ver aqui é que temos lembrar que negar qualquer um. Aqui no final. É uma negação implícita. É por isso que eu gosto de colocar que negam suas vezes para que possamos ver visualmente que ele está realmente lá. Então a resposta aqui é ver que você tem a negação implícita no final. Então esta lista de acesso está realmente negando todo o tráfego porque ele não está permitindo nada e que você precisava adicionar uma permissão qualquer qualquer no final. Se você quisesse permitir qualquer outro tráfego. Incrível. Então, finalmente aqui, considerando o abaixo A C L que responde melhor descreve o efeito quando aplicado que Dê uma olhada neste A c l. Temos quatro entradas. Uma licença. I p host 10 1112 destino. Qualquer licença que eu poso 10 112 para destino qualquer host negar 10 mulher um para destino qualquer e em seguida, permitir i p Qualquer qualquer é o efeito que todo o tráfego de qualquer fonte é permitido para qualquer destino ou que a fonte de tráfego de 10 111 é negado e todos os outros rastreá-lo Tráfego é permitido fonte de tráfego de Templeman um e 10 Malone para é permitido, mas nada mais por causa de nossa negação implícita no final. Ou é que todo o tráfego de qualquer origem para qualquer destino é negado? Bem, tenho certeza que isso, você sabe instantaneamente não faz sentido. S O.D não é a resposta. A resposta aqui é um número de entrada 30 aqui nunca será lido porque a entrada número 10 sobrepõe a ele e é uma licença. Então isso é permitido. Isto é permitido e, em seguida, tudo é permitido. Portanto, não estamos tendo declarações de negação, tomar qualquer efeito. Portanto, todo o tráfego de qualquer origem ou destino é permitido. Espero que isso tenha sido informativo para você. Eu gostaria de agradecer a você por ver. 41. Segurança de 5.6 Camada 2: Segurança da camada dois na camada dois. Não temos muitas opções de segurança para fazer isso. Camada três, certo? Nós não temos nossos firewalls ou firewalls baseados em zona e fazendo um CL e ser capaz de fazer camada para inspeção. E coisas assim estavam em uma transmissão. Amine e estamos procurando a velocidade máxima direita é que você tem seus switches que são baseados básicos. Eles encaminham o tráfego a quase velocidade de fio que assim que um quadro entra, ele sai da outra interface onde deveria. Portanto, precisamos de algumas medidas de segurança na Camada 2 para evitar que dispositivos inesperados ou indesejados entrem em nossa rede e potencialmente causem alguns problemas. Então, neste vídeo aqui, vamos passar por inspeção dinâmica AARP, de HCP bisbilhotar e Segurança Portuária. Vamos falar sobre cada um deles e o que eles fazem seu propósito e como eles estão configurados. E então vamos passar por um laboratório e configurar cada um deles e mostrar como ele é quando realmente está funcionando, e também o que acontece quando você tem uma violação quando eles estão fazendo seu trabalho e impedindo algum dispositivo indesejado entrando na rede. Assim, apenas como uma breve visão geral aqui na camada 2 Tecnologias de segurança, você vai implementá-las em sua camada de acesso. É aqui que essas tecnologias viverão e que, fundamentalmente, elas impedem que dispositivos indesejados acessem a rede na Camada 2. E vamos rever a porta de segurança, DSP bisbilhotando e dinamizando nossa inspeção. Então, primeiro, vamos falar sobre a segurança do porto. Então, a segurança da porta limita o número de endereços Mac permitidos em uma porta que pensa sobre este direito é que se eu tiver um switch aqui e eu tenho um servidor aqui e que ele está conectado ao switch do servidor, digamos que este é um máquina física direita e que nós só temos uma máquina lá. Nós não temos nenhuma máquina virtual, e quando ele transmite tráfego para a linha aqui, então o switch faz o que seu trabalho principal é certo é ele aprende o que o endereço Mac vive fora , quais portas para que ele possa encaminhe as respostas ou qualquer outro tráfego destinado a esse endereço Mac. Agora, se você tiver a segurança da porta ativada por padrão, ele só permite um endereço Mac por uma interface Então, quando eu enviar esse tráfego para o switch , ele vai aprender que este Mac trata disso. Vamos chamá-lo mais 1.11. Momo Momo um. É o endereço do Mac. Eu sei que isso não é um endereço Mac real, mas ele vai aprender que esse endereço Mac está naquela porta e quaisquer endereços Mac adicionais que entram nessa porta, ele vai em frente e desligar essa porta. Vai dizer que algo está errado aqui. Alguém está colocando tráfego adicional na linha e que isso não está OK. Agora pense nelas. Bem, se você tem isso habilitado e você tem uma hiperviseira aqui em vez de apenas uma única máquina física que você pode ter muitas máquinas virtuais bem dentro desta única máquina física . E normalmente, a maneira como a rede virtual funciona com esses hipervisores é que você terá um endereço Mac para cada um dos adaptadores de rede fora das máquinas virtuais. Então todo o tráfego que está sendo encaminhado para o switch que todos terão um monte de endereços Mac diferentes como as fontes lá. Então, todas essas máquinas parecem máquinas físicas certas que vivem fora dessa interface fora do interruptor, e ele vai dizer que todas essas máquinas físicas, todos esses endereços Mac, todos vivem fora disso interface. Então, quando você estiver configurando isso, você precisará levar isso em consideração que você pode realmente ter mais de um endereço Mac vivendo fora de uma interface, mesmo que você tenha apenas um único dispositivo físico ou máquina. Portanto, a violação padrão para a segurança da porta é que ela desliga a porta ofensiva e, na verdade, não a desliga apenas. Coloca-o em erro. Estado desativado. Agora, este é um tipo especial de estado para uma interface. Quando você vê que interface um erro desabilitado, a única maneira de tirá-lo do erro desabilitado é, bem, há uma das duas maneiras que o método principal é que você precisa fazer um shut no shut na interface. Você, o administrador, realmente precisa ir e fazer um desligamento e, em seguida, um não desligamento, e isso irá tirá-lo de erro. Estado desativado. No entanto, se você não tiver resolvido a situação que causou um erro desativado para começar , então provavelmente retornará a esse estado quase que imediatamente, de qualquer maneira, qualquer maneira, com violação de desligamento ação aqui que, você vê, há três ações diferentes que podemos escolher. A ação de desligamento faz com que ele vá para o estado de erro desabilitado e também registra uma mensagem de log do sistema e uma armadilha S e M P é enviada. Se você tiver o SNP configurado, também há proteger e restringir. Digamos que você não queira errar. Desative a interface e causar problemas onde você, o administrador, precisa fisicamente ir e corrigir isso que dizem, você queria apenas soltar o quadro Bem, isso é o que proteger e restringir fará. Proteger vai apenas soltar os quadros ofensivos. Assim, ele vai aprender qual o endereço Mac está lá para o primeiro quadro que entrar. E se quadros adicionais vêm com fonte diferente, Mac aborda esses quadros que o Air acabou de descartar, enquanto os quadros do endereço Mac de origem aprendida original que é permitido através porque isso está correspondendo na porta Banco de dados de segurança, que mostrará que ele lista os endereços Mac que ele tem que são protegidos e os chama de endereços Mac seguros porque eles são permitidos na interface e quaisquer outros endereços Mac não seguros não são permitidos na interface a menos que Mawr tenha permissão para ser aprendido dinamicamente ou que você tenha inserido manualmente como uma entrada estática. Agora, com proteger direito é que ele derruba o quadro, mas ele não registra nada. Só deixa cair. Mas não vai te dizer que nada está acontecendo. Esta pode não ser a melhor situação para você, caso em que irá com restringir, Restringir irá soltar o quadro, mas, em seguida, ele também registra-lo no log do sistema, e ele envia em S e M E trap muito semelhante ao desligamento. Mas, em vez de colocar um estado de erro desabilitado, ele descarta o quadro. Agora nós configuramos isso com o switch Port Port Security Interface Command e mostramos uma pequena captura de tela aqui em baixo. Podemos acabar dizendo os endereços mais seguros. É aqui que você ajustaria o número máximo de endereços Mac aprendidos nessa interface. Você também pode especificar uma entrada estática com o comando endereço do Mac e, em seguida, também podemos especificar qual é a ação de violação. É aqui que você especificaria que, na configuração do nível da interface, quando estiver definindo ou habilitando a segurança da porta, você especificaria sua ação de violação se não quiser que ela seja a ação de desligamento. E então você também pode definir o envelhecimento de tal forma que após um certo período de tempo, fora em atividade ou um certo período de tempo absoluto. Assim, a partir do momento em que foi aprendido, em vez de apenas fora na atividade de não receber um quadro desse endereço após um certo período de tempo, ele irá limpar esse endereço como um endereço seguro. Ele vai dizer que outros endereços Mac agora permitido tomar o seu lugar e ser aprendido a dinamicamente porque ele está limpando esse endereço Mac dinamicamente aprendido a partir do banco de dados para essa porta lá. Então, continuando um pouco mais aqui é que, como eu disse, segurança da porta padrão para limitar um endereço Mac Purport que não foi ativado e que você usaria o comando switch Port Security Maximum para ajustar que o Mac endereça ou aprendeu no Mac. endereços aprendidos em uma porta são apagados após a porta ser desativada ou os switches reinicializados. Portanto, há uma coisa chamada switch Port Port Security Mac endereço pegajoso, e você chamá-lo pegajoso Max para abreviar. Normalmente, se você ir em frente e Google isso. Normalmente, é assim que você veria que referenciado e que fará com que os endereços Mac aprendidos dinamicamente para segurança da porta sejam inseridos na configuração em execução. E especificamente, está na configuração correta é que se você re inicializa enquanto você está executando, convict está indo a menos que você salvou isso em sua configuração de inicialização. Portanto, se você tiver o Max fixo ativado, você vai querer ir em frente e obter todos os endereços Mac. Você interno em todas as máquinas onde é suposto aprender os endereços do Mac, relatório de segurança e, em seguida, salvar sua configuração em execução para que agora é persistente através de reinicializações do switch. Agora, se você ir em frente e desligar a interface e conectá-lo novamente ou desconectar o cabo, então a porta será desligada e os endereços Mac aprendidos nessa interface serão apagados . que significa que se você aprendeu ah, endereço Mac na interface, você desconecta esse cabo plugue outra coisa em que agora tem um novo endereço Mac, então isso será realmente permitido porque ele limpou esse endereço Mac do porque essa porta caiu. Agora, é claro, isso não se aplica. Se você usar o Sticky Mex porque isso está indo para a configuração em execução, agora é essencialmente uma entrada Mac estática para o banco de dados de segurança de porta. Então, derrubar a interface e trazê-la de volta fará qualquer coisa por isso. Isso é apenas para dinâmica. Sem pegajoso. Por padrão, o envelhecimento é desabilitado que eles não envelhecem após qualquer período de tempo. Eles permanecerão lá indefinidamente, e a porta deve ser definida como um acesso ou tronco habilitado. Porta ou porta Segurança não permitirá que você a ative. Você vai acabar recebendo esse erro aqui embaixo. Comando rejeitado que é uma porta dinâmica que você deve especificá-la como uma porta de acesso ou uma porta de tronco para habilitar a segurança da porta. E, finalmente, para ir em frente e verificar se a configuração de segurança da porta é usada. Os comandos show port security ou show port security interface do. Então, quando você mostra porta, segurança é que você tem sua interface aqui com segurança de porta habilitada e que ele diz. Qual é o número máximo de endereços que estão autorizados a ser protegidos e temos. Compara o padrão. Quantos endereços estão atualmente protegidos e agora há um que ele recebeu. Um endereço Mac nele o protegeu porque é permitido um endereço Mac e como violações Maney tem essa interface encontrada e tem sido zero. Não houve violações, portanto, nenhum endereço Mac adicional tentou aparecer nessa interface desde que esse endereço foi protegido. E, em seguida, olhando para o show Port Security Interface Command aqui e especificando as interfaces, isso lhe dá um pouco mais de detalhes que isso mostrará o último endereço Mac de origem e vilão que aqui está o endereço Mac. Apareceu na interface, e estava no V Liam 1. E ele mostrará que a segurança da porta está habilitada e que está segura e ativa, e o modo de violação está configurado para desligar, que vendemos aqui, a ação de segurança, o tempo de envelhecimento zero minutos significa que é não habilitado e que ele está assumindo como padrão absoluto . Mas zero minutos significa que não envelhece. L. Então isso é bom e seguro. Endereço estático. O envelhecimento é desativado para o envelhecimento de endereços estáticos e o máximo de endereços Mac que o total configurado seria inserido estaticamente. Mac aborda endereços Mac pegajosos. Alguns foram aprendidos por pegajoso e a violação de segurança também conta. Incrível. Eu sei disso. Isso foi muita informação aqui, então vamos em frente e passar por G HCP bisbilhotando. Vamos cobrir a segurança do porto daqui a pouco, quando entrarmos no laboratório. Então de HCP bisbilhotando. Vai ser um dos nomes tecnológicos mais divertidos que vais dizer. Eu realmente gosto que ele tem bisbilhote lá dentro. E no seu coração, Dave CP espionagem destina-se a impedir que servidores desonestos de HCP leasing endereços. Certo é que a pior coisa pode acontecer em sua rede é ter um servidor desonesto D h C P. Na melhor das hipóteses, é apenas alguém trouxe um roteador de casa porque eles queriam ter mais interfaces em sua mesa. Talvez tenham trazido o laptop ou o Xbox, e queiram conectá-lo. Então é como se você tivesse John aqui, certo? Quem tem a sua estação de trabalho, e ele tem o seu yo uma pequena rede gota aqui e que se conecta à sua estação de trabalho . E John está aqui. Sabe, ele está feliz. Ele está sentado em sua mesa, e ele está digitando e brincando em sua estação de trabalho. Mas ele disse: “Cara, “Cara, eu realmente quero trazer meu laptop.” Digamos que traga o laptop dele. Mas você não tem conexão sem fio na sua empresa aqui ainda. Então, ele era o Do? Ele traz a sua pequena casa, liga este router aqui, certo? E vai em frente e pega essa conexão, conecta-a ao seu pequeno roteador Linksys doméstico, conecta-se ao seu computador e ao seu laptop. E ele está feliz por estar fazendo essas coisas. Mas pouco sabia que este roteador Linksys doméstico é, na verdade, um servidor D H C P. E esse prego seu roteador Linksys em casa está acidentalmente distribuindo endereços para o andar inteiro dele e que Ah, muitas pessoas ao seu redor agora estão todos tendo endereços que começam com 19 a 16 a 160.1 que sua rede doméstica é, e que eles estão usando seus linxes pequenos aqui como sua porta de entrada. Então, todos os seus computadores naquele andar estão todos bloqueando todo o tráfego através um pequeno dispositivo doméstico sentado na mesa do John, e isso tem tudo lento. Pode causar problemas. Seu HCP interno. Eu sinto muito. DNS interno pode não resolver porque ele está distribuindo, você sabe, em si provavelmente é o servidor DNS, e pode apenas causar todos os tipos de estragos. E nós realmente não queremos isso. E esse é o melhor cenário. Na pior das hipóteses, isto é uma pessoa deliciosa e má actor que colocou um servidor D.C . P que pode até estar a distribuir endereços na sua mesma rede de submarinos, colocar para fora, sabes, os mesmos servidores DNS e apenas se dando como um gateway padrão, e que isso pode realmente causar problemas. Ele está pegando todo o seu tráfego e passando pelo dispositivo dele, potencialmente investigando todo o seu tráfego e roubando informações confidenciais ou confidenciais . Então, o que você vê P Snooping faz é que ele inspeciona de mensagens de HCP, e especificamente ele permite ou nega também D. H c P respostas do servidor. E enquanto ele inspeciona essas mensagens d HCP é, ele permite a criação de um banco de dados de espionagem D HCP e o que é isso ele armazena I, P endereço e Mac ligações para todos os computadores que receberam um D.H.C . D.H.C concessão P de um servidor D H C P que está em uma porta confiável é que você precisa especificar qual interface no seu switch tem um D para ser servidor nele e que você precisa especificar que as interfaces sendo uma interface confiável, que eu confio D H C P mensagens do servidor provenientes desta interface ou nesta interface e que o banco de dados é criado e sua referenciada em outros recursos é agora Temos informações confiáveis para I p endereço para ligações de endereço Mac e também que vilão e que interface eles Viver fora. E quando a espionagem de DBCP tiver ativado em um vilão as mensagens DCP do lado do servidor, elas só são permitidas entradas das importações de confiança. Então é isso que torna informações confiáveis e por padrão. Quando você configura o de espionagem de HCP, todas as interfaces não são confiáveis. Você precisa entrar e configurar especificamente um como sendo confiável. Mas com esse dinheiro, considere que esta situação é que você tem o seu interruptor. Tem outro interruptor e você tem uma estação de trabalho, certo? Eu diria que este ar conectou este ar conectou este cara aqui e nós temos d h c p servidor. Incrível. E então digamos que aqui temos o desonesto de HCP ou só temos “Call it Rogue “sentado aqui , certo? É que o servidor DTP mensagens nossa estação de trabalho aqui. Ele envia essas transmissões, certo? Para D HCP descobre de dizer olá. Quaisquer servidores D HCP Por favor, responda a mim para que ele acabe chegando tanto ao nosso servidor de estrada D h C P e também ao nosso servidor de confiança d h C P. Agora o servidor desonesto D h C P vai responder com uma oferta, mas uma vez que esta interface aqui não é uma interface confiável e nós temos um d d d p snooping ativado aqui no switch, então esse quadro será descartado Se ele não vai fazer qualquer coisa como desabilitar a porta. Só vai deixar cair essa moldura. Esse quadro não é permitido porque um quadro de HCP do lado do servidor e não está em uma porta confiável . Agora, quando o servidor d. H. H. C P que é confiável recebe isso e ele envia de volta seu quadro e você tem essa porta configurada como uma porta de espionagem de HCP confiável. E você tem que estar bisbilhotando habilitado neste interruptor aqui? Incrível. Esse quadro agora é permitido entrar e ele será encaminhado, e ele vai ser encaminhado de volta para fora e voltar por este caminho. Agora, a coisa é, isso também está neste interruptor aqui? Essa interface também precisa ser uma interface confiável. Porque o servidor D H C P enquadra a resposta. A oferta ainda está sendo forded out ou entrada chegando nesta interface aqui e que se você não deixar isso como uma interface confiável, esse quadro acabará sendo descartado em seu GHP simplesmente não funcionará. Então DTP snooping é configurado com I p d c p snooping V Land Command, onde você habilitá-lo por vilão. Agora ele também deve ser habilitado globalmente. Eu me deparei com esse problema algumas vezes. Eu me perguntei, por que você bisbilhotar não está funcionando, e eu habilitei isso no cordeiro V. Mas eu não o habilitei globalmente. Então nós realmente temos dois comandos aqui i p d. Um vilão bisbilhoteiro e dar o número do vilão. E então também apenas i p d HCP snooping e a confiança da interface é configurada no nível de configuração da interface, e é com o comando I P. D. D. HCP snooping Trust. Assim, o banco de dados que é criado pode ser visualizado com o comando show I PGP snooping data base e que temos aqui com o Do Show I p d HCP snooping que podemos ver isso bem como o banco de dados aqui. E, na verdade, perdoe-me, isso não é banco de dados. Isso é obrigatório, e vamos passar por isso durante o laboratório aqui muito em breve. Então, finalmente, algo que depende fortemente de DHC estar bisbilhotando é a inspeção dinâmica que d A. I, como você verá isso abreviado na maioria das vezes. Ele faz referência ao banco de dados de espionagem D A GP para verificar nossas solicitações e respostas e certificar-se de que elas são válidas. Então, já que você sabe o que eu endereço P e endereço Mac vivem fora de cada porta, então quando você envia um AARP direito, é o protocolo de resolução de endereço. Ele traduz endereços Mac e I p endereços ou corresponde o para que quando você envia em nossa solicitação para fora sourcing de seu endereço Mac um endereço I p dizendo Quem possui este I p endereço? Diga isso eu p endereço sua fonte de você como um endereço Mac, em seguida, ele tem a capacidade de verificar e certificar-se de que isso está realmente correto. Agora isso protege contra o nosso envenenamento. É que você tem a habilidade, certo? Digamos que eu tenho aqui um interruptor e nós temos um roteador, que isso vai para a Internet e que nós temos uma estação de trabalho aqui e isso. Temos aqui um mau actor. Desenho é um chapéu para chapéu preto. Seja qual for. Isso não está funcionando. Mas nós temos, você sabe, algum ator ruim aqui onde vai, assim? E então quando tentamos sair para a Internet, onde em nossa estação de trabalho aqui e estamos tentando sair para a Internet, certo é que estamos indo para nossa saída para nossos roteadores, nossos gateways, endereço Mac ou I p endereço que sabemos como encaminhar nosso tráfego, que teremos um direito de gateway de como 0.1. Digamos que é como 10.1 ponto 1.1, e esse é o nosso portal, e nós estamos prestes a fazê-lo. dizer quem é o dono disto? O que? O endereço Mac possui este endereço I p agora. Ah, mau ator aqui poderia ir em frente e responder em nome e dizer quem, eu? Na verdade, sou dono disto ou de uma vez. pior é que o mau actor pode enviar o que se chama Arps gratuito. Pode dizer: “ Ei, Ei, pessoal, eu tenho 10.1 ponto 1.1 e vai continuar enviando isso para fora. E isso é um ataque de envenenamento de arte para onde agora todo o seu tráfego está sendo encaminhado para esse cara. Na melhor das hipóteses, isso é apenas alguém acidentalmente configurado endereço I p duplicado na rede. No pior dos casos, essa pessoa está então passando o tráfego para o roteador, e ele está apenas recebendo todo o tráfego encaminhado através dele e que você não é o mais sábio. Mas ele é capaz de dar uma olhada em informações potencialmente roubadas, sensíveis ou confidenciais, e isso é algo que definitivamente não queremos. Dedo Haveman. Então, queremos verificar se nossos pedidos e respostas são realmente válidos e que eles são comparados com um conjunto confiável de informações que será nosso banco de dados de espionagem D. H. H. Dois p que foi criado durante nosso d HCP espionagem processo. Então I p AARP inspeção é o comando que você usaria para configurar a inspeção AARP dinâmica , e é um comando de configuração global e é configurado pervy Lynn muito parecido com DCP snooping. Você também precisa configurar a confiança da interface. Ah, muito parecido com DHD estar bisbilhotando que quatro dispositivos que têm endereços estáticos I p atribuído você pode dio i p r inspeção Confie tal que a verificação para se é um AARP válido ou não será completamente ignorado em um confiável Para que a interface aqui onde o roteador se conecta você pode confiar nessa interface e dizer, eu tenho um endereço i p configurado estaticamente nessa interface onde eu conheço e confio nesse dispositivo e que eu vou ignorar minha dinâmica, nosso processo de inspeção. Incrível. Então, agora vamos passar pelo laboratório aqui, e eu sei que temos um monte de palavras aqui, mas vamos passar por este um de cada vez e dar uma olhada no que vamos fazer. Então vamos primeiro ir em frente e configurar a segurança da porta que temos dois roteadores aqui R um e R dois. Temos um interruptor no meio do servidor Guy de H C P aqui. Então, um vai ser um cliente d HCP. São também vai ser um endereço I p atribuído estaticamente. Nossa rede é o 10.1 ponto para 0.0 barra 24 rede e vamos atribuir 0.5 para r dois e r D h c p servidor vai ser 20.1. Na verdade, não vamos tocar naquele cara. Eu já configurei o servidor D H C P aqui que nós vamos apenas estar no switch e nos roteadores aqui para ir em frente e pagar ao redor e ver o que acontece quando nós configuramos essas camadas para medidas de segurança no switch e ver o que acontece quando temos violações e também o que parece quando está funcionando adequadamente. Então, primeiro, vamos fazer a segurança portuária. Vamos ter uma segurança de porta configurada em um tamanho rápido, zero barra dois do switch um. Então, nesta interface que são um está conectado. Teoh, vamos em frente e configurar a segurança do porto. Agora, eu sei que essas convenções de nomenclatura de interface são um pouco diferentes de antes. Isso é porque eu não tenho a imagem I p bass ou base terrestre para a árvore de BNs que eu preciso para retirar meus dispositivos físicos e ir em frente e usar meu switch físico e roteadores disponíveis para seguir em frente e configurar este laboratório aqui. Então vai acabar parecendo um pouco diferente no cônsul aqui também que antes, só porque estamos usando um software de conselho diferente e que aqui, apenas como uma nota rápida que são também, não é realmente um roteador per se, é um switch de camada três. É por isso que a convenção de nomenclatura para a interface também está no mesmo tipo de convenção de nomenclatura switch aqui. Mas ele funcionará da mesma forma, pois tudo o que estamos fazendo é fornecer alguns pacotes do endereço Mac lá. Incrível. Então, primeiro vamos em frente e configurar a Segurança de Portas e dar uma olhada no que vai acontecer . Ótimo. Então estamos todos no interruptor um aqui, vamos, vamos, habilitem e condenem e. Vamos para a interface rápido. Um lado ela era tal para, e na verdade vamos fazer um show fazer interface executar rápido uma vez no ano passado. Tal, também, é que neste momento somos apenas uma porta de acesso. Este era um tronco em um ponto, então o encapsulamento é definido como 1.0.1 Q Mas é apenas uma porta de acesso agora no Volume e não há nenhuma configuração adicional. Então, vamos em frente e configurar a Segurança de Portas. Então, se mudarmos Port Port Security e isso é realmente tudo o que temos para Dio é agora a segurança da porta está habilitada. Agora, se mostrarmos a segurança da porta parece, então vemos que temos interface rápida. 102 com Port Security habilitado, é permitido um máximo i endereço Mac e que há atualmente um endereço Mac lá. Então, se eu dio mostrar interface de segurança porta rápida 102, em seguida, nosso último endereço Mac aqui foi 000 c 8508 e é em V Liam um sobre isso. Temos Port Security habilitado está seguro e o modo de violação é desligado. Legal. Então, o que está acontecendo com o nosso aqui? Certo. E vamos primeiro nos habilitar a um show interface rápido, uh, zero barra zero, porque essa é a interface que está conectada ao nosso switch na interface que configuramos Port Security e basta dar uma olhada rápida é que temos o mesmo endereço Mac aqui o 000 c 8508 padrão para zero e que temos esta informação aqui que você pode ou não ter prestado atenção antes de ser o endereço queimado. Então, o endereço Mac hardware que está nessa interface isso está lá porque você pode realmente alterar o endereço Mac que é atribuído a esta interface e usar um endereço Mac diferente e fazer falsificação dessa maneira. Então só para mostrar agora é que podemos fazer o ping do nosso padrão. Gateway é que eu faço um show I p interface breve é que eu já tenho d HCP habilitado no Fast Year Zero e que temos o endereço de 10.1 ponto 2.100 que é para cima e que eu posso pagar 10 121 hora D h c p servidor e que é bem sucedido. O Neil. O que eu quero fazer é ir condenar o chá e ir para a interface rápido seu zero e vamos definir nosso endereço Mac para outra coisa. Vamos ouvir que ele vai usar da maneira quatro pontilhada que Cisco costuma usar. Então, Goddio, apenas 1 a 11 pontos vai mais do que dobrar para o nosso braço um direito e esse é o nosso endereço Mac . Vamos em frente e, na verdade, apenas dar uma olhada no que aconteceu no nosso interruptor já é que nós temos aqui mesmo. Segurança da porta para uma mensagem de erro nível dois aqui. P Violação de segurança de violação de segurança ocorreu causada pelo Mac. Endereço 1 a 11 pontos mulher, um, duplo um na interface rápida 102 E que a violação de segurança da paz detectado erro de violação de segurança do porto e está colocando em estado desativado de ar que agora se eu for para mostram no status que o rápido 102 está no estado desativado do ar. Se eu mostrar segurança no porto, eu sei que tenho minha contagem de violações incremental dedo 1. E a contagem de endereços atual realmente caiu para zero porque essa interface está desabilitada . Agora, se eu fizer um show port security interface fast 102 que a segurança da porta está habilitada e é status de desligamento inseguro e que o último endereço de origem foi esse cara, aquele que realmente causou a violação e que a segurança contagem de violações foi implementado dedo do pé um prego para mostrar o que aconteceria aqui é Vamos condenar chá e ir para interface rápido. 102 Oops. E vamos fazer um “cale sem tiros”. E isso, na verdade, eu tenho porta rápida habilitada nesta porta? Uh, eu talvez não. Então, provavelmente vai nos levar alguns momentos aqui para o para isso realmente funcionar que se eu ir e verificar bem rápido de Do show Port Security que realmente sabe que a contagem de endereços atual já é um. Então, se eu fizer, você idiota da segurança do aeroporto lista de cardo. Ele protegeu endereços e que temos o endereço Mac configurado aqui. E vamos em frente e fazer um endereço sem Mac para nos livrarmos dessa configuração aqui no nosso. E então, assim mesmo, temos outra violação de segurança de porta porque ela envia um ARP gratuito dizendo Meus endereços Mac . Agora isso que este endereço I p agora reside no meu novo endereço Mac. O 000 c 8508 d 440 impressionante. Então, não, isso é segurança portuária, e você pode ver tipo de como isso funciona. Poderíamos permitir mais de um endereço Mac aqui, e na verdade, vamos fazer isso bem rápido. Vamos fazer a porta do switch, máximo de segurança do porto, e vamos até dissed, também. E depois temos que fazer uma boca fechada. Não feche. E traga isso de volta. E agora, se fizermos um show de segurança portuária, nossa contagem máxima de endereços segura é até dois. E se olharmos para isto de novo, lá vamos nós. A contagem de endereços atual é até um. E então agora nós podemos realmente ir em frente e colocar nossa configuração de endereço Mac de volta aqui, certo? E dar-lhe o novo endereço Mac, porque ele vai agora ir em frente e enviar um ARP gratuito fazer um show Port Security. Nossa contagem de endereços atual é agora implementado para Se eu fizer, Um show port security address é que agora ambos os endereços Mac mostram toe live off desta interface rápido 10 para e que eles são do tipo, seguro, dinâmica, onde eles são aprendidos seu seguro e que eles são dinâmicos e que eles foram aprendidos dinamicamente. Incrível. Então isso é a segurança do porto. Vamos em frente e desativar a segurança do porto. Vamos dio-um sem interruptor. Pobre segurança portuária. Ótimo. E, em seguida, vamos nos livrar de nossa configuração de endereço Mac aqui. Sem endereço Mac. Incrível. E agora vamos dar outra olhada no nosso laboratório aqui, então essa foi a primeira parte. Então, fomos em frente e configuramos a Segurança de Porta. E então fixamos o servidor D H C P e, em seguida, mudar a interface Mac e fixou novamente e revisamos os resultados. Então é um e dois aqui embaixo. Então agora vamos passar para 34 e cinco. Isso é o primeiro? Vamos em frente e configurar de HCP snooping no switch um e vamos definir em Lee Fast 101 como uma interface confiável. Na verdade, deixe-me ir em frente e limpar um pouco deste ano fora. Lá vamos nós. É que só vamos definir os mais rápidos. Você é um como nossa interface confiável para bisbilhotar D HCP. E nós vamos renovar o endereço D A. C P do nosso e, em seguida, vamos em frente e dar uma olhada no que a ligação de espionagem DCP parece no switch um e ir a partir daí também. Então vamos em frente e passar para o nosso conselho aqui novamente. É sobre? Troque um. Vamos ir muito rápido. Você é um outro. Faça um I p d HCP bisbilhotando confiança. Agora nós não configuramos, você está bisbilhotando ainda, mas nós fomos em frente e apenas definir nossa interface como confiável. E então vamos em frente e sair fazer I P D. HCP espionagem iria permitir que globalmente e, em seguida, fazer I p d f c p dormir e habilitá-lo no vilão. Ótimo. Então isso é que está habilitado Novo Se eu terminar. E se eu ir em frente e fazer mostrar I p d HCP snoop, então temos aqui que há uma interface confiável e que ele não tem qualquer taxa limitada. Ele está apenas nos mostrando as informações de configuração e que ele está habilitado no vilão um, e que se nós mostrarmos PDD tp snooping vinculação que não há ligações aqui. Então vamos em frente. E nesta interface, vamos remover o endereço I p e fazê-lo renovar isso. Então nós vamos ir. Não, eu p endereço. E, em seguida, vamos fazer um show i p interface breve e que agora temos um não atribuído em rápido 00 e vamos fazer I p endereço DHC p. Então, isso pode levar alguns momentos aqui para ir em frente e enviar que descobrir. E lá vai Foi atribuído o I P. Endereço 10 ponto para 10.0.100 com uma máscara de 24 bits. Se vamos e verificar o nosso interruptor aqui é que agora, se fizermos um show I p d. Uma ligação de espionagem de duas peças é que agora temos uma ligação é que temos o nosso endereço Mac que é correspondido até 10.1 ponto 2.100 e tomou nota do menos tempo como Bem. E como foi aprendido o que v terra é que interface que esse dispositivo vive fora de também . Então é assim que nosso d HCP bisbilhotar funciona. Que vamos em frente e fazer isso é bem, na verdade, remover a confiança de interface. Vamos para a interface do condenado T rápido uma barra zero barra um nós. Não, I p d http bisbilhotando Confiança incrível! E então vamos em frente e vamos aqui e fazer de novo. Não, eu p endereço e liberar esse endereço aqui e então eu p endereço DCP você vai deixar isso descansar por um tempo, certo? É que fomos em frente e fizemos isso. Demorou um pouco para que o endereço d HCP fosse atribuído, então fomos em frente e definimos isso para DHC P. Se ele conseguir um endereço, ele deve nos mostrar em breve aqui, que voltando um pouco, ainda não obteve um endereço e que a violação aqui para bisbilhotar D HCP não está registrada. Não há nenhuma armadilha enviada e é só que os quadros são descartados que os quadros de resposta aqui do servidor D.H.C D.H.C P estão apenas sendo descartados. Por isso, nunca receberemos um endereço IP que precisemos ir em frente e colocar nossa confiança de volta nessa interface. E então agora que isso é confiável novamente, vamos fazer um endereço não I p e fazer I p endereço THC, P. E então momentaneamente, nós devemos acabar recebendo um endereço I p por D H E E lá está certo Lá. Excelente. Então vamos dar uma olhada em nossas etapas de laboratório aqui Mais uma vez é que agora temos d HCP snooping configurado e ele está funcionando. Confirmamos que é com a interface confiável. Então, agora vamos em frente e configurar a inspeção ARB dinâmica é que vamos definir em Lee Fast 101 como uma interface confiável porque este 1010.1 no ponto 10 para 10.0.1 Sinto muito, 10.1 ponto 2.1 endereço que é estaticamente atribuído ao nosso d. H.C Servidor H.C. Então eu preciso definir essa interface como uma interface confiável para dinamizar nossa inspeção também. E depois vamos em frente e pagamos isso do nosso. E então eu também vou para o nosso para e tentar localizar o servidor D.H.C D.H.C P também e ver o que acontece lá. Então vamos em frente e configurar a inspeção ARB dinâmica e definir nossa interface confiável. Vai ser I p r Inspeção vilão um. E então vamos para a nossa interface rápida 101 e fazer I.P. Inspection Trust. Incrível. Então não, isso está lá. Vamos para o nosso, vamos sofrer o nosso servidor D.C D.C . P, e isso é bem sucedido. Perdemos um porque tínhamos a nossa cerca. Mas isso não é problema é que isso é bem sucedido aqui. Agora vamos para os nossos dois aqui. Vamos lá permite fazer um show I p interface breve. Como eu disse, isso é realmente um switch s Então é por isso que temos tantas interfaces. Mas o nosso v Liam um interfaces 10.1 ponto para 0.5. Se eu pagar $10 aviso ponto para 100.0.1 e entrar, isso não está funcionando. E se você notou aqui em cima, o ícone mudou para o nosso switch, mostrando que há alguma mensagem mostrando o deles se voltarmos aqui, temos todos esses erros acontecendo. Estas mensagens de registro mostrando de Arps inválidos e pedidos AARP inválidos especificamente que este será o nosso e s para uma resposta se isso fosse necessário, que ele está no rápido 10 para onde estão duas vidas, certo? E que ele está nos mostrando o endereço Mac e I p endereço que o AARP está reivindicando e que ele não está no banco de dados d HCP espionagem. Portanto, não é permitir que AARP e está apenas soltando-o e que este tipo de mensagens de log comutado inspeção dinâmica AARP uma mensagem de log nível quatro e é d HCP espionagem. Negar. Agora, curiosamente, algo a observar é que se você tiver a inspeção AARP dinâmica habilitada sem a espionagem d HCP habilitada, o que permite que você faça isso, mas a inspeção dinâmica AARP negará tudo porque não há entradas no D.A. banco de dados de espionagem D.A. C P, então ele afirma que todos os Arps são inválidos. Então, agora que fizemos isso, vamos em frente e confiar rápido 104 e então vamos pagar e verificar as diferenças lá, mas realmente poderia fazer um show I p R. Isso foi um erro. Se fizermos um show I p r inspeção é que isso nos mostra informações sobre a nossa configuração . As gotas de DBCP foram 29. Houve 10 encaminhados e 29 caiu como um todo. E então nós também podemos fazer show i p r interfaces de inspeção e ele nos mostra nossa taxa limitando nosso intervalo de intermitência e qual é o estado de confiança para nossas interfaces. Então vamos voltar para a interface de condenar e algo rapidamente. 104 nós vamos dio i p r Inspecção confiança Incrível! E agora que isso foi colocado lá, vamos voltar para os nossos dois. Se tentarmos fazer o ping para fora, é bem sucedido. Demorou um pouco para o 1º 1, mas a partir daí é bem sucedido. Incrível. Agora, isso deve mostrar como funciona a espionagem de HCP e a inspeção dinâmica do AARP e também como funciona a segurança da porta e como isso é configurado e como você poderá verificar e confirmar isso também. Impressionante, muito obrigado por passar por isso comigo, assim como os outros. Vamos fazer algumas perguntas de treino antes de terminarmos primeiro. Se a segurança da porta estiver ativada em uma porta e mais de um endereço Mac aparecer como a origem dos quadros que entram na interface, o que acontecerá com a interface por padrão? Então a chave aqui é que estamos falando por padrão e que essa é uma maneira longa de dizer, E se você tiver mais de um Mac e você tiver uma violação de segurança de porta? Qual é a ação de dedicar? Será desligado? Bem, essa é a ação. É que nada o quadro ofensivo será descartado? Isso não está correto. Ele entrará no modo de desativação de ar ou entrará no modo de paz seguro, violar. Agora, a resposta aqui é C é que ele vai entrar no modo de desativação de erro, onde você como o administrador geralmente precisa entrar e limpar que, fazendo um shut no shut na interface. E, finalmente, o que acontece 42. Segurança sem fio: segurança incansável. Neste vídeo, vamos rever uma breve visão geral do histórico de protocolos de segurança usados em wireless especificamente em WiFi. E então também vamos dar uma olhada em WP, um acesso Wi-Fi protegido e W P dois e o recém-lançado WP um três. E então nós também vamos passar por um breve laboratório passando por um controlador sem fio Cisco, como configurar um novo SS I D. e como configurá-lo para nossa melhor segurança sem fio no momento para W P. A. Então, primeiro, vamos fazer uma visão geral de alguma segurança sem fio. Então, W. P, um acesso sem fio protegido foi desenvolvido como um substituto imediato para chorar quando foi considerado inseguro. Parece weap significa equivalente a Wired. Privacy Whip foi encontrado e até conhecido na época para ser bastante inseguro. Ele é vulnerável a muitos tipos diferentes de ataques, e mesmo particularmente, é vulnerável a ataques offline a ataques de descriptografia. Que WP uma certificação implementa a maioria de 802 11 i que são as especificações que WP uma certificação afirma que a sua implementação foi certificada para incluir todos os elementos obrigatórios ou a maioria dos elementos obrigatórios fora de um dedo a pé 11 I e particularmente para WP Quando isso foi lançado, ele introduziu T Kip Temporal Kee Integrity Protocol para chaves por pacote. E isso realmente combatiu muitas das principais preocupações de segurança para weap e mudanças. Qual chave é usada para criptografar seu A? Embale-o em uma base por pacote. Então dispositivos com certificação Wi-Fi e WiFi, lembre-se que você é uma aliança. Há a aliança WiFi, e eles certificam que os dispositivos estão em conformidade com diferentes padronizações de especificamente aqui. $802 em i é para WP A e W p a. Para que WP um dois é especificamente ele implementa todos os elementos obrigatórios fora de um dedo do pé para morrer. 11 i e isso é que W p A. Para particularmente mandatos suporte para CCMP. E vamos falar sobre isso nos próximos anos para saber o que é isso. E é um protocolo de encriptação baseado em A. Você pode se lembrar de um s quando falamos sobre VP termina que A s é o padrão avançado de criptografia . CCMP é um protocolo de criptografia baseado em E s e sua segurança sem fio apenas como uma nota aqui é particularmente importante porque qualquer pessoa no alcance pode ouvir a transmissão. Pense nisso em vez de usar um fio físico como meio de transmissão, você está usando o ar, oespaço ao seu você está usando o ar, o redor, as ondas eletromagnéticas que são transmitidas. Se alguém estiver a uma distância de escuta dessa transmissão, ele pode coletar esses dados e depois dizer isso para ir e começar a descriptografar isso mais tarde e encontrar suas informações confidenciais. Você pode fazer uma captura imediatamente que onde poderíamos ir em frente e trancar nossos interruptores atrás portas fechadas e garantir que temos um bom gerenciamento de cabos no teto onde ele não é facilmente acessível. E que nossos switches garantam que o tráfego não vá para os dispositivos errados e seja direcionado apenas para o dispositivo que se destina com conexão sem fio. Qualquer dispositivo ao alcance pode ouvir essa transmissão e pode potencialmente obter a informação que estava sendo transmitida. Então vamos comparar algumas dessas partículas de segurança sem fio. Então WP a implementa t kip de verificações de integridade da mensagem, e é mais forte do que a redundância Cy Click. Verifique o CRC que é usado na Web, que é onde T kip realmente melhorou. Sinto muito, w P. A. Realmente melhorado em W E. P é que T KIPP é muito mais forte do que CRC para verificações de integridade e melhores protocolos de integridade de mensagens existiam no momento em que W. P. A. Foi lançado, mas geralmente eles eram computacionais e caros para as placas de interface de rede que isso não é especificamente o ponto de acesso, o ponto de acesso sem fio, mas as placas de interface, o Knicks que foram usados nos dispositivos em nossos laptops e tal que esses protocolos eram geralmente computacionais e caros para ser capaz de manter a quantidade necessária de throughput. E assim T. Kip foi usado em vez de outros protocolos de integridade mais seguros ou melhores. E onde o CRC era problemático é que permitia que suas transmissões, seus quadros fossem potencialmente modificados e retransmitidos. E a estação e o ponto de acesso não foram os mais sábios. E apenas como uma nota rápida para a estação, isso é que o seu cliente e um P. Este é o seu ponto de acesso sem fio, e que este diagrama aqui embaixo está ilustrando o aperto de mão de quatro vias que W p A e W P A . Para usar, a fim de verificar se você tem a chave pré-compartilhada correta que você realmente permissão para se conectar a esta rede e iniciar uma associação de segurança com o ponto de acesso que você possa criptografar dados que estão sendo transmitidos entre agora w p a. Para não melhorar em t kip. E, como eu disse, ele usa CCMP agora CCMP os stands para o modo contador como o primeiro bloco de cifra assento encadeamento. Esse é o segundo código de autenticação de mensagem. Esse é o Protocolo M, e esse é o hemograma. Mac é a mensagem de encadeamento de bloco de codificação, seção de código de autenticação do CCMP, e que, especificamente, CCMP é o modo de contador desligado CBC, Mac, e que ainda é mais forte do que kip de chá. E como eu disse, tanto W P. W P A. Para usar um aperto de mão de quatro vias para confirmar que a chave pré-compartilhada correta está em posse de ambos os lados, e ele faz isso sem nunca transmitir o real chave pré-compartilhada. Eu estaria familiarizado com as direções e os passos aqui no aperto de mão de quatro vias que o A nonce é transmitido do ponto de acesso para a estação, que é o cliente. E então a estação constrói o pré compartilhado o P T.K aqui, e o S nonce mais Mick é transportado de volta para o ponto de acesso, e então o ponto de acesso constrói seu P T.K e transmite isso de volta. E desde que tudo esteja de acordo, então há um reconhecimento enviado de volta e que agora sabemos que temos a chave pré compartilhada correta em ambos os lados. E a chave real em si nunca foi transmitida por isso não poderia ser. comprometedor tem uma probabilidade muito menor de ser comprometido. Ambos w p A N w P A. Para também suportar extensões. Nosso Extensible Authentication Protocol, que também é conhecido como 802.1 x. Isso é conhecido como o modo corporativo que quando você vê WP a ou B p A para pessoal, isto é, para PS K, Pre Shared Key e W P A ou WP para enterprise é a implementação de extensões profundas ou a implementação 802.1 x foram. Normalmente, você usaria algo como Radius ou L DAP para autenticação, potencialmente usando autenticação baseada em certificado com WP um pessoal Desculpe, W p A empresa ou WP para empresa. Agora, tanto o modo pessoal quanto o de empresa usavam a mesma criptografia de 128 bits. Isto é algo que eu gostaria de tomar nota é que para WP A e W P. A. tanto para o modo empresarial como pessoal para ambos. Use a mesma criptografia de 128 bits. Agora vamos falar um pouco sobre WP um três e como essas diferenças com WP a primeiro . O que eu tinha notado, onde tínhamos a mesma criptografia de 128 bits para pessoal e empresarial com WP e P p A para W . P. A. Três requer criptografia equivalente de 192 bits para o modo empresarial, enquanto W 1 28 bit ainda está OK para o modo pessoal. Agora, P. A. Três. A outra grande mudança que está aqui é que ele substitui o handshake de quatro vias PS K por um novo protocolo chamado Autenticação Simultânea de Iguais normalmente indicado como S E. E há um diagrama mostrando a visão geral do protocolo S A E aqui e as etapas que envolvidos eu não necessariamente não os passos individuais que estão envolvidos aqui, Mas você pode ver que é um tipo de tem sua própria parte aqui no topo. E então ele faz um PS K o aperto de mão de quatro vias aqui na parte inferior. Ele tipo de acrescenta ao PS K quatro vias handshake com seu S a comer uma autenticação simultânea de iguais. E como uma observação rápida, ele inclui sigilo de encaminhamento para evitar ataques de descriptografia off-line. Isso era algo que WP a também era vulnerável, que você poderia gravar as transmissões que estavam lá e ser capaz de forçá-los bruta off-line e descriptografar aqueles excelentes. Então essa é a visão geral principal entre W. P A. W p um dois e W P A três WP um três. Como uma nota rápida, este foi lançado em junho de 2018. A certificação real para isso foi que os dispositivos ainda estão sendo criados e passando pelo processo de certificação, então isso vai levar algum tempo antes que isso realmente saia. Então agora vamos entrar no nosso laboratório e dar uma olhada no que vamos fazer com isso. Vai ser um laboratório bem simples. Vamos saltar para um controlador sem fio, e vamos adicionar uma interface dinâmica usando vitela e 50 e vamos configurar um SS i d para usar a nova interface virtual, e vamos definir o S s I D para usar WP um dois p s k ou WP para pessoal, e eu vou definir isso realmente para não transmitir e eu vou mostrar a vocês onde essa opção está . Mas vou habilitar o s s i d. Isso ocorre porque este controlador sem fio está realmente em um ambiente de produção. E não quero que o Teoh tenha uma nova ideia da SS apareça aleatoriamente para as pessoas. As alterações que foram feitas aqui não afetarão as SS i ds existentes no caso você estar gerenciando uma rede de produção que, se você estiver adicionando um novo SS I d. Isso não deve ter qualquer efeito para os existentes, a menos que você tenha um grande problema de configuração de vilões sobrepostos ou endereços I p ou coisas desse tipo. E finalmente, nós vamos adicionar o S i d a um grupo AP, e eu vou mostrar a vocês o que isso significa aqui em breve quando formos para o laboratório já. Então vamos passar para o nosso controle sem fio aqui. Então aqui estamos nós, no controle sem fio 55 100 da Siri. Então, primeiro, vamos em frente e adicionar nossa nova interface dinâmica usando vitela e 50. Então, vamos até a guia do controlador. E então vamos para nossa seção de interfaces, e vamos dar a vocês uma nova interface aqui no canto superior direito. nome da nossa interface. Vou ligar para este comboio B. J. Adoro uma terra de RV. Vai ser 50. Incrível. E então estamos aqui em nossa seção de configuração de interface. Então, o número da porta, a porta primária que queremos usar, que é a porta física no controlador sem fio que esta interface dinâmica usará. Então, onde esta interface virtual, a vitela e a interface 50? Que porta física que é mapa para obter Defina que para a porta um. E não vamos ter uma reserva pobre. Esta vai ser a porta zero, o nosso vilão. Identifique a Iris 50. Vamos fazer um endereço IP de $10. 50,0 ponto para e máscara de rede ficará surpreso. 24 a porta de entrada deles. Vamos fazer $10.50.0 ponto um. Eu realmente não tenho isso configurado em qualquer roteador ou switch no momento, então este s s eu d não seria funcional, mas isso é o que vamos configurar aqui em nosso controle sem fio, você precisaria fazer o apropriado configuração de vilão na configuração de Camada 2 e Camada 3 em seu roteador para que seus novos s I d funcionem de fato. E nós não vamos usar d HCP relay aqui ou proxy DCP nesta interface. Eu vou deixá-lo em apenas camada dois d HDP que os descobridores vai acabar atingindo um servidor D h c P que está dentro dessa camada para domínio e tudo o resto aqui. Vamos em frente e deixar o mesmo por agora, então vamos em frente e nos candidatar. Lá vamos nós. Então, agora, se voltarmos para nossas interfaces, vemos que agora temos essa nova interface B J laboratório de trem. Então vamos em frente e criar nosso S s i d. usando a nova interface virtual. Sargon, Teoh, crie novo e clique em ir nome do perfil. Isto pode ser arbitrário aqui por enquanto, B j trem amor. E então eu vou fazer a mesma coisa para os s que eu d nomear. E agora estamos aqui na seção de configuração w lan. Então, como eu disse, eu vou desmarcar a caixa de seleção broadcast S s I d aqui, mas eu vou habilitar o s s s i d. E então aqui precisamos definir qual interface ou grupo de interface que Este S s I d é um membro deste é onde escolhemos nossa nova interface virtual que criamos a interface de laboratório de trem B J e, em seguida, olhar para aqui para nossa guia de segurança. Vemos que no momento já temos W p A e W p uma camada de duas para a segurança selecionada. E então aqui nesta seção é onde selecionamos especificamente que queremos WP a para ser usado e não w p a. E então aqui temos swp a para empresa com 802.1 x habilitado. No momento, vamos desativar isso e usar a chave pré-compartilhada. E é aí que nos dá o PS K aqui em baixo onde podemos digitar isso. Eu criei minha chave pré-compartilhada, e isso é realmente tudo o que precisamos fazer aqui. Poderíamos adicionar alguns outros tipos de segurança como segurança camada três para ah Splash Page ou um portal cativo que acabamos chegando onde precisamos entrar ou se tivéssemos 802.1 x selecionado. Podemos configurar nossos servidores de autenticação aqui com L DAP ou Radius Here em nossa seção Triple A. Também podemos definir nossas políticas de Q A West e fazer mapeamento de políticas com um C.L no nosso controle sem fio aqui. Mas não vamos entrar em nada disso agora. Estamos apenas criando um novo SS I D. que é W P. A. para usar apenas a autenticação PS K. Vamos em frente e clique. Aplicar. Excelente. Agora que isso foi criado, voltamos para as nossas terras W. Vemos que temos laboratório de trem B J, nosso novo como este que eu criei lá. E agora vamos para os nossos grupos AAPI. Então nossos grupos aapi, um grupo AP é um grupo de pontos de acesso onde você tem todas essas terras w, certo? Todas essas ideias de SS, mas você não quer transmitir todas essas ideias de SS de todos os seus pontos de acesso para que você possa agrupar seus pontos de acesso em vários grupos, normalmente por local. Aqui temos Aurora, Detroit Jacksonville, Montreal e dentro de cada um desses grupos, temos nossos pontos de acesso naquele local adicionado ao grupo e, em seguida, o que S s I d s que queremos transmitir nesse grupo, Então vamos em frente e ir para os nossos grupos AAPI e, na verdade, vamos transmitir este fora do grupo de Detroit AP. Se formos adicionar novo para as terras W fazer laboratório de trem BJ como a interface e laboratório de trem B J como o s s I D e ir anúncio. E lá vamos nós. E isso é tudo que você tem para diligir. Em seguida, em alguns momentos, uma vez que o provisionamento entra em vigor através de seu wap cap para seus pontos de acesso e você vai começar a ver que S s I d pop-up, se você tê-lo definido para transmitir, que não é tão excelente Era o nosso laboratório aqui. Vamos voltar para a nossa apresentação e fazer algumas perguntas de treino antes de terminarmos primeiro. Qual é o nome do protocolo de autenticação usado no WP A três. É autenticação assíncrona de chave pré compartilhada de iguais, Autenticação simultânea de igual ou temporal kee integrity Protocol Aqui foi s e nossa autenticação simultânea de iguais. E finalmente que mensagem? Protocolo de verificação de integridade é usado por WP A dois é um t kip CRC, CBC, Mac ou S A T s. comer, como acabamos de ver, foi o aperto de mão que tem usado para WP um kipp de três t é para W p A C R c é para weap Então resposta aqui bc cbc, Mac ou CCMP também seria uma resposta aceitável. Espero que isto tenha sido informativo para vocês, e gostaria de agradecer por terem visto. Espero que isto tenha sido informativo para vocês, 43. 6.1 automobilismo em rede: automação de rede. Neste vídeo, vamos falar um pouco sobre como a automação mudará o gerenciamento de rede e seu impacto, como gerenciamos a rede atualmente no sentido mais tradicional e quais diferentes automação as tecnologias podem fazer por nós. E então, especificamente, vamos passar por um pouco do centro de DNA da Cisco e falar sobre o que é isso e como isso aumenta a automação da rede e muda a maneira como gerenciamos nossas redes. Então, primeiro, vamos falar sobre o gerenciamento de caixa por caixa tradicional, então geralmente foi, ainda ir para cada dispositivo de rede individual. Certo é que você tem, digamos, um interruptor aqui e ele está conectado a um roteador, e que pode estar conectado a outro switch, e que está conectado a outro roteador. E então talvez isso esteja conectado a, você sabe, um firewall. E eu realmente não posso desenhar firewall aqui, mas de qualquer maneira, você tem a idéia, ah, firewall e isso está conectado através da Internet, certo? E isso, a fim de fazer mudanças aqui, a fim de dizer que, você sabe, talvez nós temos um punhado de computadores saindo de um aqui, e nós temos um punhado de máquinas saindo de um aqui e então vamos dizer que nós também temos, você sabe, ah, ponto de acesso sem fio vindo de um aqui e que nós também temos um ponto de acesso sem fio vindo de um aqui e que dizem que nós temos, você sabe, você sabe, fechaduras de porta ou câmeras de segurança ou agora estamos implementando retina scanners em cada mesa ou algo assim, e que você precisa ir em frente e configurar uma nova rede para esses dispositivos, um novo vilão ou um novo contexto de segurança. Um novo nível de segurança para esses dispositivos. O que você precisa para dio? Você realmente precisa ir para cada um desses dispositivos individuais e fazer essa mudança é que você precisa adicionar uma terra V aqui muda. Você precisa adicionar uma interface virtual ou uma subinterface aos roteadores. Você precisa adicionar um novo nível de vitela ou segurança ao firewall, e todos esses dispositivos precisam ser tocados individualmente. Quer dizer, numa rede de cinco dispositivos como esta, isso não é muito grande. Mas imagine que você tinha uma rede de 500 dispositivos que isso se torna um enorme problema de esforço administrativo que isso simplesmente não é escalável, que certeza você pode jogar mais pessoas para ele. Você poderia apenas tornar sua equipe de rede cada vez maior para seguir em frente e lidar com esses grupos maiores de dispositivos. Mas você ainda vai acabar gastando muito do seu tempo fazendo isso e além qualquer outra coisa também. É muito propenso a erros que quando você está realmente lá na CLI e digitando comandos, há muita chance de você concordar. Asse um erro de digitação que diga que você está colocando um A C L. e que você acidentalmente capitaliza uma letra em um lugar e você não no outro. Bem, que C L não tem mais efeito é que agora você não tem a mesma referência C L porque uma é capitalizada, a outra não. E a menos que você esteja escrevendo sua configuração no bloco de notas ou algo assim e, em seguida, colando isso em cada ano , dispositivos que ah, muitas vezes não é mesmo viável devido à configuração diferente que é necessária em muitos de seus dispositivos, então ele ainda é muito propenso a erros, e eu me lembro de ver algo como um t menos 40%. Se Matmour que esse é o número de interrupções de rede que são causadas por pessoas I T e por erros cometidos na configuração que realmente muitos de nossos problemas são auto-induzidos. E eu tenho certeza que você encontrou isso é bem antes de ir para fazer uma alteração, digamos que você está atualizando seu oh SPF aqui no seu dispositivo. E é algo que você não pensou que iria causar um vizinhos completos e redefinir. E ele faz. E todas as suas relações com os vizinhos desapareceram. Todas as suas rotas foram embora. Então você agora tem uma interrupção de rede, pelo menos por um curto período de tempo, enquanto todos os relacionamentos vizinhos reconstruídos e tudo volta para cima porque você tem todas as suas rotas de volta ou para cá que você não percebeu que algo que você estava fazendo ou você fez um erro de digitação e acidentalmente bloquear todo o tráfego vindo na interface . Bem, pelo menos aquele ano da unidade de negócios que sai dessa interface, ou talvez tenha sido essa interface e que metade da sua empresa está agora em baixo e você precisa ir fisicamente lá e redefinir o dispositivo porque você não tem acesso de gerenciamento mais. Essas coisas acontecem. É natural cometer erros, e está tudo bem. Mas com isso É apenas interessante saber que muitos dos nossos problemas de rede são causados por nós mesmos, mesmo quando você tem realmente bons, realmente sólidos processos de gerenciamento de mudanças no lugar. Ainda assim, muitos erros são cometidos e causam alguns problemas para nós. Então, esse é o ponto em que nosso gerenciamento tradicional meio que tem uma falha é que há um problema de escalabilidade ao ter que tocar em cada caixa quando você quer fazer uma alteração, e que há também um problema de planejamento, o fato de que você precisa tocar em cada caixa e que qualquer alteração que você fizer na rede e implantar um novo aplicativo. Implementando voz sobre I P. Agora você precisa adicionar qualidade de serviço a cada um de seus saltos. Todos os seus dispositivos ou você precisa fazer u. I filtrar para o seu LDP med para enviar seu vilão voz para seus dispositivos individuais e coisas desse tipo que esta é uma grande mudança, um monte de caixas precisam ser tocados e que este é um problema de escalabilidade, com caixa tradicional por gerenciamento de caixa assim continuando um pouco mais na gestão tradicional. Como dissemos, que os dispositivos são gerenciados manualmente, individualmente e possivelmente pelo switch Port I prv terra. Só não é escalável que uma vez que você atinge um determinado número de dispositivos, muitos de seus engenheiros de rede. O tempo é gasto gerenciando tarefas diárias nesses dispositivos e que você não está agregando nenhum valor comercial real à sua empresa ou à sua organização que você está apenas fazendo manutenção. Você está lá como um corpo que acontece de saber como digitar comandos. E essa não é a maneira que seu conhecimento, sua experiência, deve ser usado, que você realmente deveria estar agregando mais valor ao negócio do que isso. E a comunicação normalmente entre dispositivos é gerenciada no firewall ou roteador por meio de um CL com nosso gerenciamento tradicional de dispositivos. Agora, como migramos para automação e automação de rede? Bem, Cisco geralmente divide isso em três fases. A primeira fase é a fase de configuração, onde sua sintaxe, você está mentindo. sintaxe da linha do dedo na linha de comando é abstraída. Sua configuração ainda é feita caixa a caixa, mas você pode ter uma ferramenta de automação de configuração que permite definir uma configuração, e ela lhe dará uma configuração para colar no dispositivo ou irá em frente e empurrar para você diretamente e que você ainda está definindo esta caixa por caixa individualmente . Mas muito do problema com ele ser propenso a erros agora é removido porque esse pecado, impostos abstraídos e que você não está mais tendo que correr o risco de fazer um tipo O e fazer com que tudo apenas saiba o trabalho. E então o próximo passo aqui seria na fase provisionada e nesta cara, é aqui que você começa a ver a rede como, ah hole que você não está realmente olhando para a configuração individual caixa por caixa e dizendo que precisamos definir Qs aqui e naquela interface bem ali e isso vai ter que traçar para cá. Mas sob certas circunstâncias , pode vir aqui. Precisamos ter o QS configurado aqui nessa interface que você está começando a olhar para a rede como um todo para ter suas unidades de sua rede e configurar essa unidade para fazer certas coisas. E este peido começa com processos simples que você está indo para ir em frente e configurar seus vilões para fora ou seu roteamento para fora através do seu oh SPF domínio todos serão provisionados como um todo e que existem certas ferramentas disponíveis para isso, que irá falar em um vídeo posterior que você pode ir em frente e usar para gerenciamento de configuração e ser capaz de começar a configurar sua rede e olhar para ela como uma unidade inteira em vez de um monte de pequenas caixas individuais. E também. Isso é realmente entre as provisões e a fase do programa. Aqui é realmente onde o Cisco DNA Center vive, e vamos falar sobre isso nos próximos slides que você pode visualizar sua rede como um todo e que você também pode ter um olhar P onde os aplicativos controlam diretamente a rede para alcançar os requisitos. Se você estava em uma empresa grande o suficiente ou em uma empresa que faz muitas operações de desenvolvedor que você pode ter aplicativos internos que irão para serviços de rede provisionados diferentes para seus desenvolvedores automaticamente, ele pode interagir diretamente com seu controle e ser capaz de aplicar determinadas políticas para novos aplicativos que estão entrando em jogo. Eu sei que pode ser um pouco difícil de visualizar isso, especialmente se você está acostumado com o gerenciamento de dispositivos tradicional, onde é caixa a caixa e ter que ir para a linha de comando e entender exatamente o que está acontecendo naquele dispositivo. Mas você vai ver em breve aqui e, como você faz, um pouco mais de leitura para entender como isso realmente acontece. Então, é realmente tradicional o gerenciamento de dispositivos como migramos para uma rede totalmente automatizada . Agora vamos falar sobre o mais novo controlador de rede definido por software da Cisco, e isso é realmente o que o DNA Center é. É um controlador SD n. E vamos falar sobre o que é DNA. O DNA é a arquitetura de rede digital Now. Este é um pouco de um termo de marketing cunhado pela Cisco, e realmente, é sua próxima geração de redes definidas por software que dispositivos que são Deanna compatíveis com nossos dispositivos que são compatíveis com o centro de DNA que anterior a isso em É uma solução um pouco diferente. É o Cisco A. C. I. Você pode ter visto isso antes. É a infra-estrutura centrada em aplicativos que é outro termo cunhado pela Cisco para redes definidas por software, e que o controlador para isso foi o A pick e m. E a próxima geração fora. Este, porém, é Cisco DEA Center, e acrescenta um monte de novos recursos e tem um monte de novas funcionalidades que uma escolha e um C eu simplesmente não tinha. Assim, com DNA dispositivos são identificados em sua rede com Ice. O mecanismo de serviços de identidade. Esse é outro produto da Cisco. Software de serviço de identidade muito poderoso que permite identificar dispositivos e ser capaz de controlar sua identidade e usá-lo como um servidor de autenticação e integrar com seu serviço de identidade existente, seja ele diretório de alguns para Active Directory ou Novell ou coisas desse tipo. Que o ice integra e aplica isso à sua rede e os dispositivos podem ser colocados em grupos usando tags de grupo de segurança. Lembre-se disso. Isso é um SG T vai fazer referência a isso um pouco mais tarde. Então isso é muito parecido com um grupo de segurança em seu diretório. Se você estiver colocando um usuário ou um computador em seu software de diretório como o Active Directory com uma associação de grupo de segurança, uma tag de grupo de segurança é muito parecida com isso, mas para ice e a rede física está segregada em virtual redes. Sobre isso será abreviado como V termina no futuro aqui, e que as redes virtuais são realmente semelhantes a terras V. Mas esta é apenas uma construção mais abstrata da rede virtual, que existe como uma rede de sobreposição para sua rede definida por software. Sua base, sua arquitetura física, seu tecido. E vamos falar um pouco mais sobre isso em vídeos futuros aqui sobre o que The Overland Underlay Network realmente são e como isso se aplica, e que as tags de security group que recebem certo acesso e entre virtuais redes usando contratos e políticas que apenas como uma nota aqui como faras DNA Center está em causa. Uma política é apenas uma aplicação fora de contratos. Você cria contratos que são realmente como thes entradas de controle de acesso. E então você aplica contratos a políticas que são realmente como sua lista de controle de acesso, mas são um pouco mais flexíveis do que apenas um C L regular que nós criaríamos na linha de comando e essa figura aqui eu tirei da apresentação da Cisco no DNA Center que não antes em nossa vitela de gerenciamento de dispositivos tradicional em um endereço I P baseado para nosso controle de acesso e que criamos listas de controle de acesso baseadas em I P para a política de acesso e que lidamos com violações de políticas e erros manualmente para determinados pontos quando os dispositivos estão acessando coisas que eles não deveriam ou estão de alguma forma movidos e agora violando sua política de acesso que se você tiver um C L que está ligado a uma terra V que é um acesso em uma única porta. Se alguém mover esse dispositivo para um Newport, ele pode não estar na mesma vitela agora e que agora podemos ter uma violação de política para esse dispositivo ou esse tipo de dispositivo porque agora ele está sentado em um novo vilão e na nova rede na arquitetura de rede digital. Não encontramos esse tipo de problema porque estamos aplicando nossas tags de security group e nosso acesso a redes virtuais com base na identidade do dispositivo, que não há dependência de vilão ou sub net para controle de acesso de segmentação que é controlado por suas tags de grupo de segurança e suas redes virtuais. Suas políticas que são aplicadas e não seguem seu dispositivo. A política segue a identidade e definimos uma política consistente para os dispositivos e que segue esses dispositivos. Então, em seguida, vamos passar um pouco pelo Cisco DNA Center. Eu queria lhe dar algumas capturas de tela para entender o que a interface aqui parece então agora que temos em entender um pouco mais sobre como gerenciamos o controle de acesso na Cisco, D.N A. Vamos ver como isso se traduz em um sentido mais prático. Aqui está uma captura de tela do Cisco DNA Center. Estamos em nossa seção de políticas e que estavam em nossa rede virtual, e estamos definindo qual SGTS. Quais tags de grupo de segurança ou eles também os chamam. Grupos escaláveis se aplicam e têm acesso a uma rede virtual. Então, estamos em nossa rede virtual padrão. Aqui temos várias redes virtuais diferentes para escolher. Temos estes sgts que estes são os nossos DST são Internet das coisas para iluminação e nossa Internet das coisas para o R M. E então aqui também temos um monte de tags de grupo de segurança diferentes também, e que podemos conceder nosso acesso a redes virtuais desta forma e, em seguida, aqui em cima. Eu quero fazer notar que nós também temos acesso ao controle de acesso baseado em grupo para ter um grupo ter acesso a outro grupo, independentemente de qual rede virtual ele está, e podemos especificar exatamente que tipo de acesso. Agora, isso não quer dizer que não temos acesso ao controle de acesso baseado em I p que temos, ou mesmo o controle de acesso baseado em aplicativos. Nós temos acesso a isso também e algo que eu quero mencionar aqui brevemente e você pode não ser pegou isso como eu era, mas garantia quanto ao que isso realmente significa, e Cisco DNA centra-se realmente grande em garantia. E o centro de garantia de que o que é isso é a quantidade de auditoria e informações disponíveis para garantir que suas políticas estão realmente funcionando da maneira que você espera , onde ele dará detalhes e relatórios para mostrar que isso é realmente o que está acontecendo agora, medida em que o controle de acesso baseado em grupo aqui nós estamos nessa seção. Isso dá direito a uma matriz inteira, e há um monte de padrão para encontrar políticas também, e que neste exemplo particular, temos 11.000 políticas aqui em nosso controle de acesso baseado em grupo E o que isso é dizendo de uma tag de grupo de segurança para outra. Então nós temos a câmera de coiote s GT e os auditores s GT que estamos criando uma política personalizada e que este contrato aqui, nós podemos ir em frente e criar um contrato atribuído e que estamos aplicando esta política toe onde aqui, o nome deste contrato é malware bloqueado e que este contrato está sendo aplicado nesta política. E aqui está o que este contrato faz é que é yo, permitir, negar e qual é o pedido. A origem e destino do protocolo, a porta em, quer estejamos registrando ou não, que estes são muito parecidos com entradas de controle de acesso que você lembra de um C L e que o contrato é como um A C L. E que aplicamos um A C l com uma apólice ou aplicamos um contrato com uma apólice. Podemos apenas fazer uma política de negação direta ou uma política de permissão para permitir o tráfego entre duas tags de grupo de segurança diferentes. E lembre-se, essas tags de grupo de segurança estão seguindo nosso dispositivo porque é assim que eles são identificados pelo ice, que quando eles conectam o dispositivo, ele é identificado pelo ice e que nosso DNA, nosso , está aplicando políticas a esse dispositivo. Incrível. Agora eu sei que isso tem sido um pouco abstrato em sua cabeça pode não estar completamente enrolado em torno dele ainda, e está tudo bem. Vamos falar mais sobre redes definidas por software e automação nos próximos vídeos aqui. Mas antes de terminarmos, vamos repassar algumas perguntas de treino. Primeiro para cima. Qual conceito no centro de DNA da Cisco substitui vilões, tags de grupo de segurança, políticas, redes virtuais, contratos? A resposta. Aqui mencionamos que é muito semelhante. Divvy terras é, Veja redes virtuais e, finalmente, como nossas identidades agrupadas para fornecer políticas de segurança semelhantes para dispositivos do mesmo tipo . Ele está usando tags de grupo de segurança usando redes virtuais? É com contratos ou com a arquitetura de rede digital? E nós conversamos que a coisa que é muito semelhante à associação ao grupo de segurança, nosso security group tags a resposta aqui seria um Eu espero que isso tenha sido informativo para você. Eu gostaria de agradecer a você por ver 44. Arquitetos de controle e SDN: Arquiteturas STN neste vídeo, vamos falar sobre a diferença entre uma rede baseada em controlador e como redes tradicionais operam, e também repassar algumas terminologias usadas com redes definidas por software como a sobreposição e rede subjacente, e dar uma olhada e entender o que isso realmente significa agora com software definido, networking é um tópico realmente quente agora, é claro, e tem sido por alguns anos, e pode ser um pouco difícil de erva daninha através , Ah, muitos dos buzzwords de marketing e e propaganda por falta de uma palavra melhor que está lá fora dos vários fornecedores e tentar entender realmente o que isso realmente significa e as aplicações práticas que tem e onde isso acaba mudando as coisas de uma perspectiva arquitetônica. Então, com isso, vamos avançar e falar um pouco sobre como as redes atuais operam e o que uma rede baseada em controladores acaba mudando para nós. Então, primeiro, vamos falar sobre a diferença entre o plano de dados e o plano de controle em vários dispositivos . Então, em um roteador ou um switch ou outros dispositivos de rede, você tem três planos distintos que você tem o plano de gerenciamento, que nós não estamos cobrindo realmente aqui, e você tem o plano de dados e o plano de controle que realmente estes são significados para ser planícies de software onde diferentes processamentos acontecem, seja nível de hardware , processamento básico circuito integrado específico da sua aplicação ou processamento de software onde CPU realmente gasta CPU ciclos e rodando através de software para processar certas coisas . Então, seu avião de controle. Este é o lugar onde o tráfego de controle acontece para um roteador. Este seria onde oh SPF opera ou onde CDP opera que eu sinto muito CDP seria realmente em seu plano de gestão, mas seu plano de controle são coisas que têm que ser processadas pela CPU. Então, para rotear protocolos ou pacotes provenientes do dispositivo para um switch, isso pode acabar sendo coisas girando em torno de seu Mac, tabelas de endereços e vilões e definindo essas terras V nas interfaces que essas são todas operações de plano de controle, que a maneira que você faria isso é através do CLI ou S e M P ou AP olhos e que ocorre no plano de gerenciamento. Mas as outras informações de realmente configurá-lo, ou o processamento que a CPU tem que fazer para quaisquer pacotes que entram se ele precisa fazer o processamento da CPU do que está acontecendo no plano de controle. Seu plano de dados é onde sua tabela de fording está. Que aqui é onde você é um seis. Viva seus circuitos integrados específicos da aplicação. Este é o lugar onde o tráfego sendo realmente forded através do seu dispositivo acaba passando pelo plano de dados e estes para o plano de dados Plain e Control são realmente as operações que são relevantes para a nossa conversa STN aqui que, como vemos no diagrama aqui, Seus temporizadores de helicóptero SPF são processados pelo seu plano de controle, suas tabelas vizinhas e banco de dados de estado de link Isso é tudo processado pelo plano de controle e que todos serão colocados na tabela de roteamento que existe no plano de controle, que então é diluído em uma tabela fording. E essa tabela fording existe no plano de dados. E é aqui que existe o encaminhamento SEF Cisco Express está inativo no plano de dados. Mas se você precisar fazer comutação de software, então esse pacote é encaminhado para o plano de controle e sua comutação de software acontece lá em cima. Se ele não puder fazer a comutação de hardware no plano de dados. Então é assim que os dispositivos normais funcionam, certo? É que você tem esses três planos distintos em cada dispositivo individual. Sua planície de gerenciamento onde gerenciamos o plano de controle do dispositivo onde o processamento da CPU acontece em seu plano de dados, onde o hardware ligado e um fording baseado doente acaba acontecendo. Agora passo em redes baseadas em controladores. Agora as redes baseadas em ble controlador acabam tomando seu plano de controle e movê-lo para um plano de controle central que o seu controlador é realmente apenas um plano de controle centralizado e os dispositivos são Onley. Agir realmente, como planos de dados distribuídos que eles fazem o fording e você está fazendo o processamento centralizado CPU no controlador. E os dispositivos individuais ainda utilizam seus planos de gerenciamento porque você precisa ser capaz de gerenciá-los com o controlador ou ser capaz de consultá-los com S e M P para osdispositivos individuais,o dispositivos individuais, que você também pode fazer a partir do controlador. Normalmente, como você pode ver em um centro C. I ou DNA, você pode obter informações sobre seus dispositivos individuais do controlador, mas seu plano de gerenciamento ainda está ativo em seus dispositivos individuais. É o seu plano de controle que não está ativo nesses dispositivos que essa função foi descarregada para o seu controlador STN, certo? Então vamos falar sobre algumas das outras terminologia que você verá com STN, a primeira malha de rede, para que a malha rede possa ser um pouco confusa. Ele é usado de maneiras ligeiramente diferentes, dependendo da documentação que você está olhando. Geralmente, a malha de rede consiste nas conexões físicas entre dispositivos de rede que isso geralmente não inclui conexões para dispositivos de ponto de extremidade, como seus servidores, suas estações de trabalho ou seus pontos de acesso, mas conexões físicas entre dispositivos de rede que geralmente vem da idéia que tecidos certos são esses fios entrelaçados e que você acaba tendo apenas este fio de bits entrelaçados que se parecem com um tecido certo e que você pode tipo de tomar um Veja aqui esta é uma imagem representando a nova fábrica de três camadas do Facebook. Topologia também chamou seu tecido de rede de tecido de fábrica. Que essas linhas entrelaçadas inter lunk aqui que são todas as conexões de rede em seu nó de data center é parecido com uma malha, e que tudo se entrelaça como uma malha, e que é aí que a virada acaba. Vindo de é que isso é definitivamente dizer se você tem um roteador aqui em um roteador aqui e a conexão lá. Esta será uma conexão de malha ou um switch. Teoh um interruptor. Isso seria uma conexão de tecido. Se você tiver um switch para uma estação de trabalho, isso não seria considerado uma conexão de malha porque, como não parte de sua malha de rede , esta é uma conexão de endpoint que está em lee seus dispositivos de rede conexões que são considerados como parte da malha de rede. E você veria que em suas redes baseadas no controlador na terminologia usada nessas interfaces e no AP ice que ele está procurando conexões de malha. E essas conexões de malha são conexões entre seus dispositivos de rede. Incrível. Então vamos falar sobre o que é uma rede underlay e rede de sobreposição. Você pode ter ouvido isso antes, mas vamos esclarecer o que isso realmente é. Então nós temos aqui nossa rede de underlay e overlay. Nossa rede de sobreposição é uma topologia de rede virtual que é criada a partir de nosso underlay, então esses dois termos estão diretamente relacionados entre si. Certo é que sua rede subjacente é semelhante à sua malha de rede, e é conexões teológicas ou físicas entre seus dispositivos de rede, e geralmente é também a rede de gerenciamento para a rede definida por software. Então você tem aqui no azul todas essas conexões físicas aqui. Mas então, depois de alguns talvez pouso V ou bloqueio de árvores abrangendo ou um MPLs o que você tem? Talvez uma vez que estes são switches virtuais aqui que você tem uma camada para Mpls atravessando um V p l s e que para esses switches virtuais , tanto quanto eles estão conectados diretamente aqui. Então essa seria a rede de sobreposição. E isso nos leva direto para o próximo slide aqui que a rede de sobreposição é a topologia de rede virtual . Há quatro tráfego de cliente criado, e a rede é qualquer topologia lógica criada a partir dos dispositivos físicos. Então, uma rede de sobreposição e uma rede underlay realmente não têm nada a ver com a rede definida por software em si mesma. Temos usado redes de sobreposição há muito tempo. Agora, V Lands são uma rede de sobreposição em cima de nossa infra-estrutura de rede física que sua terra V pode realmente não abranger toda a sua rede física e que é uma terra virtual como uma rede de sobreposição em cima de sua topologia. Mas geralmente o que estamos falando aqui é mais em um contexto de rede definido por software para a CCN. Um exame aqui e que você é uma rede de sobreposição seria a topologia de rede virtual criada para o tráfego do cliente. Incrível. Eu sei que este é bem rápido. Vamos passar por algumas perguntas de treino antes de terminarmos aqui. Primeiro, qual plano de dispositivo de rede lida com a resposta a pings. Agora este seria o tráfego que é destinado ou originado do próprio dispositivo e que é manipulado por ver o plano de controle. E, finalmente, qual plano é descarregado para um controlador em uma rede definida por software baseada em controlador? E é realmente um doar morto longe do nome que é o plano de controle A que é descarregado para um controlador em uma rede definida por software baseado controlador. Espero que isso tenha sido informativo para você, e eu gostaria de agradecer por ver 45. APIs de RESTOS: descansar um p i características neste vídeo, vamos rever o que um A p I é, uh, uh, e também como o resto funciona e suas características e, em seguida, também olhar para como interpretar um método muito comum de anotar os dados que é transferido com um descanso um p I, e por que isso acaba sendo útil para nós como engenheiros de rede que isso parece muito mais como uma coisa de programação. E honestamente, a linha entre um engenheiro de rede e um programador está sendo desfocada quando estamos trabalhando com arquiteturas baseadas em controladores e redes definidas por software que a maioria dos controladores tem olhos AP embutidos neles, e os controladores geralmente se comunicam com os dispositivos de rede através de um A P I e esses métodos de repouso ou o que geralmente usa para fazer essa comunicação. Portanto, é importante estar ciente do que isso é e como você pode ler as informações e ser capaz de reconhecer as informações quando você as vê. Então, primeiro, vamos falar sobre os olhos da AP. O que é um A P? I é uma interface de programação de aplicativos, como dizemos aqui em um P I é uma interface de controle criada para permitir que um aplicativo se comunique com outro que esta é uma interface que é geralmente linha de comando. É baseado em texto e é criado para que um aplicativo possa facilmente acessar outro para colocar informações para escrever informações ou para obter informações sobre o sistema ou sobre um dispositivo específico. Se eu quiser puxar e algo para informações como S e M P que nosso servidor de gerenciamento de rede , ele puxa informações do agente S e M P e que poderia ser um A p I. Isso é um A P I quatro s e MP para coletar essa informação e os olhos AP de rede definidos por software permitem acesso programático às funções dos controladores que Muraki é uma solução STN muito comum. E é mais, ah,arquitetura de ah, controlador centralizado controlado pela nuvem mais do que STN, mas tem algumas qualidades STN sobre isso e a forma de controlador iraquiano. O controlador de nuvem tem um P I disponível para onde você pode ir em frente e escrever código. Você pode escrever aplicativos em que sempre linguagem que você preferiria e ser capaz acessar ah, muitos recursos fora do controlador iraquiano você pode fazer alterações em sua rede, você pode coletar informações sobre sua rede desta forma você pode fazer mudanças imediatas que não exigem qualquer tipo de intervenção humana, que você criará aplicativos que podem ir em frente e fazer alterações em sua rede. Se ah, determinada circunstância vem a ser, ou se um usuário e acaba conectando um dispositivo específico e você descobrir que aparecendo na lista do seu cliente, que seu A P I já puxou, então você pode fazer algumas mudanças na rede que este é apenas um pequeno exemplo, claro, que você pode usar essa informação para fazer uma ampla gama de tarefas, e o mais comum em um método de implementação P I é através de repouso. E essa é a transferência representacional do estado e esses olhos AP. Eles são chamados de descanso. Quando eles cumprem o estilo de descanso, o estilo arquitetônico resto. Eles são chamados de olhos AP descansados. Agora, o que é um descanso? A P I ou transferência de estado representacional é que descanso AP olhos fornecem funções para crude crud para interagir com um aplicativo, e mais do que eles são. É o estilo arquitetônico fora dos olhos AP que foi desenvolvido no início dos dois milhares e finais dos anos noventa que é nisso que a web é realmente construída, certo? É que um dos principais pontos fora do resto A p I é que ele é apátrida. E o que isso realmente significa? Isso significa que entre consultas de cliente entre o envio e http Queary ou na mensagem http para o servidor e obter alguma resposta, seja que você está escrevendo algo para o servidor e entrar em ok volta ou seu envio de uma solicitação get para o e você está recebendo alguns dados de aplicativos de volta que entre essas consultas, nada é armazenado em cache no lado do servidor. Não é manter nada sobre o cliente no lado do servidor que tudo o que é necessário para processar essa solicitação está incluído com este único pedido que também significaria para os clientes. Sinto muito, os servidores respondem ao cliente que tudo o que é necessário para processar essa resposta do servidor está incluído com essa resposta. Então, é uma reação de ação muito rápida que não há mais nada que precisamos no meio. Você não precisa armazenar informações e, em seguida, usar isso em sua próxima solicitação, você poderia se você quisesse coletar informações sobre um dispositivo e, em seguida, solicitar mais informações sobre esse dispositivo, então você pode precisar analisar a resposta de o servidor, reúna as informações que eles estão procurando e, em seguida, envie outra solicitação para o servidor perguntando sobre essas informações. Tão crocante. O que isso significa? Ou seja, criar, ler, atualizar e excluir. E isso é implementado com os verbos http post get put and delete. Agora, você pode estar familiarizado com isso que quando você faz operações na Internet, quando você vai e visita um site, você geralmente está fazendo uma dessas operações com http ou https, elas caem da mesma maneira apenas através de TLS em vez de não encriptado. Então você está recebendo uma operação que é o seu padrão. Eu estou solicitando um u R l, e ele está enviando de volta a informação. Se você estiver visitando um site, você está colocando uma solicitação get para o servidor Web e ele está respondendo com o conteúdo fora desse site. Se você está enviando um formulário ou se você está enviando uma imagem Ah, muitas vezes isso é implementado com um post que este é um pedido de criação ou pode ser um put se você estiver atualizando algo que um put é atualizar sobre você ou eu existente, ou um documento existente no servidor Web e Post é criar um novo documento, uma nova imagem, um novo qualquer coisa no servidor que você faria uma postagem. E se você estiver enviando um formulário da Web que também pode estar enviando com um post para que o código de status você vai acabar recebendo de volta você. Aqui está um exemplo da submissão do lado do cliente fora de um pedido get para um p i dot get hub dot com Isto é em Lenox e que eles estão enviando fazendo isso com Curl See Warrell e que estamos enviando tipo de aplicativo ou conteúdo tipo de aplicativo Jay em é que é a notação de objeto de script Java. Vamos falar mais sobre isso em alguns slides aqui, e vamos enviar isso também. Https dois-pontos wack a p I dot get hub dot com e estamos fazendo saída verbosa aqui e vemos a negociação TLS inicial aqui para onde estamos recebendo o certificado do servidor e verificando. Estamos conectando etcetera e, em seguida, temos a conexão aberta e estamos fazendo o nosso get to request para o nosso anfitrião. Estamos enviando nosso agente de usuário junto com a nossa requisição gets em nosso cabeçalho http para que o servidor saiba que tipo de agente de usuário que está enviando a solicitação. Estamos aceitando qualquer coisa de volta e estamos solicitando a resposta para estar no Jay na formatação do tipo ou jays na codificação do tipo. Eu não incluí a resposta do servidor aqui, mas o servidor acabaria respondendo aqui com informações sobre outras consultas que enfraquecem devido a um p I hub ponto com é que ele acaba respondendo com uma lista de opções dizendo Aqui estão possíveis consultas. Você conduz o a um p i dot get hub dot com e isso não é realmente necessário aqui, mas onde isso seria benéfico é se você está enviando uma consulta para o resto um p I que está no centro de DNA Cisco ou para o iraquiano ou para o A C I ou eu sinto muito, um Pico e m. Como o controlador para um C I que você pode escrever scripts e escrever programas para interagir com esses controladores. E o método pelo qual será em erguer é através de um A P I. E geralmente eles têm um descanso um p i um resto de um p Tudo bem. Então vamos falar sobre o que vai para um descanso AP eu solicito é que consiste em quatro partes o ponto final , o método, os cabeçalhos e os dados e corpo. E nós já tínhamos olhado para algumas partes disso. O método é a multidão, certo? O post é colocado, excluir ou criar, ler, atualizar e excluir. E o ponto final é o u R L para o qual o pedido é enviado no slide anterior. Estamos apenas enviando para um p i dot get hub dot com, e este seria o ponto final raiz para algum ponto final mais longo se você estiver fazendo um ponto de hub P I. Docket ponto com barra usuários cortar um nome de usuário Geralmente tendo dois pontos no início lá que isso significa que é uma variável e pode ser algo diferente. Um nome de usuário específico, talvez repos de barra. Este seria o U. R L. Que enviaríamos uma solicitação get para listar os repositórios no hub get para um nome de usuário específico , e que a raiz e o ponto aqui, seria um hub de paquete p I ponto com e o caminho seria usuários o nome de usuário repose e o cabeçalho http nossos pares de valor de propriedade separados por dois pontos e vamos passar por cima disso um pouco mais em um pouco aqui. Mas isso é usado para muitos propósitos. Como você pode incluir credenciais ou metadados sobre os dados em nosso corpo. E vamos voltar um slide que possamos ver aqui. Estes são os cabeçalhos http. Temos valor de chave de valor separado por dois pontos no meio, que estes são nossos cabeçalhos http aqui. E pudemos ver o tipo de conteúdo estavam solicitando tipo de conteúdo aplicativo barra J zona e as setas aqui, as cenouras indo para a direita, que indica que é a informação que foi enviada para o servidor. A cenoura estava indo para o outro lado, depois para a esquerda. Essa é a informação que retorna para o cliente do servidor. E esta é apenas a notação para C ou L nesta distribuição de Lennox que poderia parecer muito diferente dependendo do aplicativo que você está usando para enviar o AP eu solicito aqui, e os tipos de dados comuns são formados traço U R l codificados e aplicações Últimos dias em diante, vamos falar sobre ambos em apenas um momento aqui e falando fora que o www traço formado como você é l codificado. Esse é realmente o nome mais completo aqui, e é, eu acredito, X www Dash formado como Uriel codificado e Jay está nesse ar de maneiras muito comuns, você vai ver os dados sendo codificados em U R L codificado. Isto é quando você vê suas chaves e valores em seu URL que se você já enviou um formulário ou foi para um site e você olha para cima na barra de endereço URL e você vê alguns desses valores aqui, certo, nós temos algo é igual a algo comercial. Algo é igual a algo que é um antigo tipo de dados codificado U. R L sendo enviado para o servidor que é realmente um A p I que você está enviando alguns dados com seu estado sobre o servidor para que ele possa enviar o resposta de volta. E os dados na forma Ural codificado é claramente visível na chave é igual formato de valor no u. R L solicitado. Agora Jay está no trabalho JavaScript notação de objeto que a codificação é armazenada no corpo ou a seção de dados fora. O pedido de descanso. Assim, no corpo das solicitações que enviou que não está na URL que enviará notação de objeto javascript, informações. Vamos repassar isso no próximo slide aqui de como essa notação se parece. E como ler que Jay na estrutura é muito semelhante aos cabeçalhos http em que é pares de valor chave separados por dois pontos. E eu quero que você tenha isso em mente quando formos para o próximo slide aqui que a notação abre com um suporte Carly. Tudo bem, que um colchete abre um objeto e que consiste aqui do valor de dois-pontos chave. E então há vírgulas separando cada um daqueles em um objeto e que nosso objeto pode ter muitas chaves e valores. Nosso objeto também pode incluir objetos, certo. Então há este subobjeto aqui que é um jays em notação para descrever um esquadrão de super-heróis que vivem em Metro City. Então nossos membros aqui é realmente um array e Honore é um objeto que tem vários valores dentro dele. Então esta é uma matriz de objetos. Então fazemos isso com um colchete e dentro do colchete, abrimos outro objeto aqui. E esse objeto é uma pessoa. É o homem da molécula. Ele tem 29 anos. A identidade secreta é Dan Jukes. Ele tem uma série de poderes, que são três valores diferentes. Resistência à radiação, viragem vírgula, radiação vírgula pequena abençoada. E então fechamos essa matriz e esse objeto para o homem da molécula está agora fechado. Fazemos uma vírgula, temos outro objeto aqui, Madame Uppercut, e que ela é uma identidade secreta. Jane Wilson também tem um conjunto de três poderes 1.000.000 toneladas de dano de soco, resistência, reflexos sobre-humanos. E essa matriz agora está fechada. O objeto Madame Uppercut está fechado e a matriz de membros está fechada. E então nosso objeto para o esquadrão de super-heróis agora também está fechado. É assim que lês isto? Eu entendo. Se você tem zero experiência com qualquer tipo de programação, isso pode parecer realmente estranho para você. Mas isso é algo que você precisará saber que há sobre os tópicos do exame para ccn uma interpretação Jason que você precisará entender que a informação é escrita neste formato. Eu gostaria de rever este slide algumas vezes se você precisa, embora se você tem alguma experiência em programação, então você provavelmente não vai precisar que isso vai se sentir muito semelhante a outro trabalho que você já fez antes. já As coisasjáestavam passando por isso comigo, assim como as outras. Vamos fazer algumas perguntas de treino antes de terminarmos. Primeiro, qual verbo http seria usado para recuperar informações de um A p I. É o post colocar, obter ou excluir e lembre-se de recuperar seria ler informações e de criar, ler, ler, atualizar e excluir. O junco traduziria para o verbo http Get do que nossa resposta aqui seria, veja, obter e finalmente, e este é um pouco mais longo. Aqui neste trecho de um a c i A p ay Jay na resposta de consulta. Qual é o intervalo de helo SPF usado no padrão? Oh, política SPF. Esta é uma coisa interessante aqui que podemos rever o que uma resposta real da infra-estrutura centrada em aplicativos. A escolha e m. O controlador realmente parece que quando enviamos esta consulta para, oh informações SPF ou para informações de protocolo de roteamento que temos coisas aqui para o plano de controle ser configuração GP. E bem, nossa pergunta aqui era sobre oh, SPF Então nós realmente não precisamos desse enfraquecimento. Vá para o próximo objeto aqui e veja as políticas O SPF agora dentro das políticas SPF estavam procurando o Intervalo de saudação. Meu erro lá. Vamos continuar com isso um pouco e vemos aqui nós temos o nome, tipo de rede, interface de prioridade, controles de interface de custo e o intervalo de Olá que há nosso intervalo de saudação lá em nosso hello intervalo é 10 e, em seguida, há uma vírgula e, em seguida, há o intervalo morto abaixo dele e que é definido para 40 quatro vezes um intervalo de Olá, como é padrão para oh, SPF e que apenas brevemente aqui podemos ver que os controles de interface que temos na matriz de anunciado sub net MTU ignorar B f d participação passiva que isso inclui as políticas usadas para configurar Oh, SPF que o a escolher O controlador usará essa política para realmente implementar um SPF no dispositivo. Mas vemos que o intervalo de Olá aqui é 10. Então nossa resposta será 10. Espero que isso tenha sido informativo para você. Gostaria de agradecer por ver. 46. Sistemas de gerenciamento de configuração 6.4: sistemas de gerenciamento de configuração de gerenciamento de configuração são algo que permite gerenciamento centralizado de sua configuração para seus dispositivos. Agora isso tem sido usado para servidores por um longo tempo pelo System Madman's para gerenciar o estado ou configuração de grupos muito grandes de servidores. Portanto, você tem muitos servidores Web e que há várias etapas que precisam ocorrer e da instalação do sistema operacional básico para que esse servidor esteja pronto para participar como um nó distribuído em seu cluster de servidores que seu gerenciamento de configuração pode seguir em frente e aplicar essas etapas após a instalação básica inicial e preparar esse servidor para você como uma ferramenta de automação, mas também como um método de definir sua infraestrutura como código, tornando-o muito repetível. Então isso tem sido usado para servidores por um longo tempo, mas mais recentemente isso passou a se aplicar a dispositivos de rede e, especificamente, como a CCN A está preocupada, vamos cobrir três sistemas de gerenciamento de configuração diferentes que quer. Você está familiarizado com eles e entende onde estão suas diferenças para que você possa estar familiarizado com as capacidades de cada um deles. Então, com isso, vamos em frente e pular direto aqui. Então, os três sistemas de gerenciamento que vamos cobrir são responsáveis, fantoche e chef agora sistemas de gerenciamento de configuração. Eles permitem que os estados de configuração verificáveis sejam dimensionados agora. Como eu disse, isso é muitas vezes referido como infra-estrutura como código. E esse é todo o objetivo da automação. Direito é fazer a sua configuração uma vez para escrevê-lo como código e, em seguida, tê-lo aplicado muitas vezes é tirar quaisquer tarefas repetitivas como passar e realmente inserir comandos na linha de comando. E deixe que seu gerenciamento de configuração cuide disso. Que você crie sua configuração, sua configuração base uma vez e, em seguida, aplicá-la muitas vezes e que isso geralmente é feito por função de dispositivo, de modo que todos os seus switches de camada de acesso terão uma configuração muito semelhante. Todos os switches de camada de distribuição terão uma configuração muito semelhante. Seus roteadores interdepartamentais terão uma configuração muito semelhante, assim por diante e assim por diante que você pode simplesmente mudar. Os endereços I P são as terras V um pouco aqui, mas isso vai ser sobre todo o resto para definir o seu como um servidor sábio ou nomes de usuário , senhas, senhas, todas as suas opções de segurança e políticas, e você é que OS e coisas desse tipo são todos muito padrão. E o modelo de configuração padrão que isso não só permite a automação, mas realmente permite a auditoria muito, muito bem é que você pode auditar seu desvio de configuração. Digamos que você tem organização de estrutura de administração que tem uma tendência a passar e apenas fazer alterações em tempo real sem ir em frente e passar por seu processo de gerenciamento de alterações . Que isso realmente permite a auditoria de suas configurações muito bem em um gerenciador centralizado uma forma que é re portátil para que você possa confirmar que suas configurações realmente conformidade com suas políticas. E isso pode ser muito incrível em um setor onde você tem muitas regulamentações de conformidade que você precisa cumprir e que você precisa fornecer aos seus auditores periodicamente amostras de sua configuração ou exemplos de sua política e como você foi através para garantir que esta política está realmente a ser cumprida. Então é isso que também é sobre o gerenciamento de configuração. Direito é que você tem configuração centralizada para cada dispositivo e que ele se aplica e rei verificar se a sua configuração é realmente a que é centralizada em seu servidor central . Agora, a razão pela qual eu não entrei em muitos detalhes aqui é porque responsável, fantoche e Chef eles vão sobre isso de uma maneira ligeiramente diferente é que eles praticamente executaram a mesma tarefa. O que estou falando aqui de gerenciamento de configuração, mas eles realmente diferem ligeiramente em seus recursos e arquitetura e como eles conseguem isso. Então eu vou continuar e esperar até conversarmos sobre cada um aqui para realmente falar sobre os detalhes de como isso acontece. Então, com isso, vamos passar para o próximo slide aqui no 1º 1 que vamos estar falando é responsavel tão dançável onde dançável realmente se destaca é que é o Agente Lis em. Lee usa ssh para configurar os dispositivos. Agora o que isso também significa é que este é um sistema onde você precisa especificar os comandos individuais que devem ser executados em seu dispositivo. Essa resposta usa o conceito de playbooks e que seu playbook está escrito em jahmal, e descreve as tarefas a serem executadas no dispositivo. Então aqui temos neste exemplo de playbook que este é um playbook que se aplica ao grupo de hosts chamados roteadores e que podemos dizer se queríamos reunir fax também. E as tarefas que temos primeiro, uma tarefa aqui chamada Configure s e MP String em todos os dispositivos. E queríamos salvar a configuração no dispositivo quando a configuração fosse alterada. Certo, Então, a configuração pode não necessariamente mudar. Ele vai Teoh, faça login no dispositivo e tente aplicar esta tarefa em qualquer intervalo especificado que você faz e ou sob demanda como um push porque ele realmente conectando e aplicando esses comandos de configuração . E no caso de esses comandos causar qualquer alteração para o condenado, Se esses comandos ainda não estavam presentes, então ele vai em frente e salvar essa configuração. E então você pode ver. E eu tenho certeza que você está familiarizado com os comandos que estão sendo aplicados aqui é como uma comunidade de servidores MP lida em Lee R. O. é que nossa comunidade para S e MP é somente leitura, e ele só tem permissões aro ou ler sublinhado. Direito tem permissões de gravação de leitura. Estamos definindo o nome de domínio I P nome de domínio para Roger Dot com. Estamos ativando armadilhas e que estamos configurando nosso servidor de log CIS para 10.0 ponto 100.77 aqui, e esse é o fim do nosso manual de instruções. Agora você pode imaginar que podemos ter várias tarefas aqui, direito de ir em frente e aplicar os nomes de usuário padrão e senhas para aplicar a política de segurança padrão para aplicar a política Q. O s. E isso pode estar em nosso conjunto de hosts chamados switches. Se quiséssemos, você pode ver como isso poderia ser muito escalável é que podemos ter dois conjuntos diferentes de hosts. Poderíamos aplicá-lo a um ensaio e definir nossas opções padrão de parede de fogo ou opções de filtragem molhada assim por diante e assim por diante e que vemos aqui depois de termos aplicado a configuração que este é realmente um diferente, uh, Playbook que foi executado que isso estava em switches no acesso, que 1212 e que há, uh, uma tarefa que foi feita. E a única tarefa acabou nos dando um ok que ele foi aplicado com sucesso e que uma tarefa acabou causando uma mudança no dispositivo e a mesma coisa para um SW dois é que a única tarefa nos deu um ok e que uma tarefa aplicada. Uma mudança é que nenhum desses quatro dispositivos aqui acabou tendo os comandos que especificamos em nosso playbook e que nossos incrementos alterados com o número de tarefas que resultaram em uma mudança. Agora nós não sabemos qual dessas linhas especificamente realmente acabou em uma mudança que poderia ter sido qualquer uma delas ou poderia ter sido todas elas. Nós apenas sabemos que toda esta tarefa é algo que causou uma mudança e, portanto, teria resultado em um salvamento. E acabou por ser OK que não falhasse e não era inalcançável. Agora poderíamos ter tido várias tarefas aqui. Digamos que tivemos três tarefas e que duas delas foram bem sucedidas e resultaram em uma mudança e uma falhou. Então teríamos visto aqui. Este teria sido um para esta mudança teria sido um dois, e este fracassado teria sido um que é assim que este recapitulação jogo é escrito aqui e que se todas as três tarefas resultaram em uma mudança e todos os três foram bem sucedidos e alterado Seria ambos um três aqui que isso está afirmando para cada tarefa que foi aplicada em cada um desses dispositivos. Qual foi o resultado dessa tarefa? Agora, você Hamel é, uh, uma linguagem que é usada para você a definição explícita de propriedades aqui. Isso é algo para se familiarizar. Se você fosse continuar usando, respondendo ou experimentando, você poderia muito bem, você poderia muito bem, vá em frente e procure isso e faça uma visão geral da linguagem de script jahmal. Incrível. Então isso não é uma visão geral do responsável aqui. E, na verdade, esqueci de mencionar que, até recentemente, terá credenciais na linha de comando inserida pelo usuário. Então, quando você vai em frente e cria seu playbook aqui, normalmente como você pode ver, você tinha sua lista de hosts de roteadores e essa lista era uma lista de endereços I P e, em seguida, também os nomes de usuário e senhas para cada um desses dispositivos e que você poderia especificar um conjunto de senha de nome de usuário para todo o grupo de hosts ou para cada endereço I p individual. Agora, é claro, isso significa que você está salvando seus nomes de uso e senhas em texto sem formatação em um arquivo em seu servidor dançável. E isso não é realmente incrível que o que você conduz bem é instável permite que você execute seu playbook aqui e que você pode especificar sua senha em tempo de execução do playbook. Então você pode dizer ao responsável para executar o playbook e ele vai pedir a senha, e você pode digitá-la em seguida. E como você pode imaginar, isso não é necessariamente algo que você teria executado em um cronograma. Isso é algo que talvez você, como administrador de rede, vá em frente e execute sob demanda que se você tivesse alterações de configuração para aplicar, você poderia executar que Se você quisesse verificar a configuração em tudo, você poderia executar isso se você só quisesse ver exatamente quais, uh, tarefas aqui acabaram, resultando em uma mudança de qual era o desvio da configuração. Você pode ir em frente e executar isso sob demanda, e, em seguida, em sua recapitulação jogo. Esta é apenas uma pequena seção aqui de toda a recapitulação da peça. O responsável dá para fora que ele também especifica o resultado de cada tarefa individual. Awesome Vamos em frente e passar para o próximo sistema de gerenciamento de configuração aqui. Isso vai ser fantoche. Então, ao contrário do Responsável, o fantoche requer um agente para ser instalado no dispositivo para gerenciá-lo. Agora, realmente pense sobre o que isso significa Aqui é que nós precisamos de um pedaço de software instalado em nosso dispositivo em nosso dispositivo de rede que está sendo executado como um agente de fantoches a fim de gerenciar esse dispositivo. Agora, como você pode imaginar, isso causa muitos problemas de compatibilidade, certo? Especialmente para dispositivos mais antigos. Se você tem seu catalyst 35 50 ou seus roteadores 1941 que provavelmente não tem um software de agente disponível que você possa executar lá. Eu não estou ciente de um agente que você possa executar nesses dispositivos. Eles estão ficando melhores na criação de softwares agentes mais compatíveis que podem realmente se aplicar a estes. Mas, na verdade, o que você vai estar rodando isso é ligar nexus. Talvez o Cisco A. Um firewalls é que eles permitem que o agente seja instalado. Há um agente compatível disponível e que você pode gerenciar esses dispositivos agora. Puppet usa sua própria linguagem de configuração que foi inspirada no Nacchio e é construído em rubi, então seria bom estar familiarizado com Ruby se você estiver indo para usar fantoche agora. Puppet também tem uma versão disponível chamada Puppet Enterprise, e que tem uma interface gráfica disponível, no entanto, sua criação de configuração. Então aqui está um exemplo de um manifesto, e esse é o termo que o fantoche usa é que você aplica um manifesto a um dispositivo é o manifesto . A criação ainda é feita manualmente, que você ainda precisa codificar seu manifesto em um editor de texto de ordenações, a fim de aplicar isso com fantoche. Mas então seu aplicativo real, relatórios e auditoria podem ser feitos por meio de uma interface gráfica com a empresa de fantoches. Agora, como você provavelmente pode dizer, este manifesto parece muito diferente do manual de respostas, e que é um declarar um manifesto tivo onde o estado desejado é configurado em vez comandos individuais que temos aqui que queremos que a V. configuração O S P F. V. R F tenha o custo automático de 46.000 e a métrica padrão seja cinco, e que queremos que a nossa interface Ethernet uma barra de duas para estar na Área 200 têm um custo de 200 não foram indicando os comandos reais que queremos aplicados no dispositivo ou indicando o estado desejado fora do dispositivo e, em seguida, permitindo que o fantoche para descobrir os comandos individuais que precisam ser executados a interface Internet uma barra dois i p o S p f área 200 assim por diante que os comandos individuais são deixados até o fantoche para descobrir e que estamos apenas dando o resultado final. O estado desejado fora do dispositivo eles vão fantoches. arquitetura é que o servidor mestre gerencia os nós com o agente instalado. Portanto, lembre-se de que o agente está instalado em cada um dos seus dispositivos de gerenciamento e que você tem um servidor mestre, é aquele com o qual todos os agentes se conectam e pode enviar a configuração para os nós gerenciados agora verificados com o mestre a cada 30 minutos por padrão para verificar sua configuração que a cada 30 minutos o agente fará check-in com o servidor mestre e ele irá verificar o declarar um manifesto tivo aqui e ver se sua configuração corresponde ao que está indicado aqui. Se não o fizer, irá conformar a sua configuração com o que é afirmado aqui. Portanto, seu gerenciamento de configuração deve ser feito no puppet, que você não pode fazer alterações no dispositivo individual ou então ele será revertido muito em breve, também. Seja qual for a configuração especificada no servidor Puppet Master agora responsável, é claro que não faz isso porque ele não tem um agente. E é um impulso no sistema Lee que respondable deve se conectar a cada dispositivo individual por ssh e aplicar os comandos. E, em seguida, ele está gravando os resultados desses comandos para que você possa fazer relatórios e auditorias na configuração em cada dispositivo. Incrível. Então é assim que o fantoche funciona. Agora vamos para o nosso último sistema de gerenciamento de configuração aqui e que a arquitetura Chef So chefs é muito semelhante ao fantoche em que requer um agente para ser instalado no dispositivo. Então, novamente, você vai encontrar seu problema de compatibilidade com seus dispositivos mais antigos. E isso pode ser OK. Se você tem uma infra-estrutura mais recente e você está usando um monte de switches X O s, então incrível. Isso é ótimo e, de fato, os catalisadores mais recentes, que é eu acredito que o 65 09 também suporta o agente aqui, bem como, e que, como o Puppet Chef, também é construído sobre Ruby. Então isso é um benefício aqui também que se você está indo para ir para um desses dois, aprender Ruby não é uma má idéia que você pode ir em frente e ser capaz de trabalhar com esses ah, muito mais fácil, ou pelo menos aprender o básico de Ruby. Assim como o Puppet Chef também usa um declarado de estado. Agora estes são chamados Receitas e Cook Livros é que eles usam todo o chef e tema de culinária com Chef com as receitas e cozinhar livros e aplicar Ah livro de receitas. Agora, onde Chef tem uma grande diferença é que o processamento do livro de receitas ocorre em cada agente . Então, com fantoche, deixe-me ir em frente e esclarecer. Isso é que, com o fantoche, o agente se conecta ao servidor mestre e o agente envia seu estado atual para o servidor mestre. O servidor mestre calcula. A diferença é se houver algum entre o estado configurado e o estado atual, e ele enviará de volta ao agente qual o estado desejado é para que o agente possa aplicar esse estado ou enviará os comandos que precisam ser executados com o chef. O que acontece é que o agente se conecta ao servidor mestre ou se conecta ao servidor e que ele simplesmente puxa o livro de receitas. Ele puxa o estado desejado e depois no agente. Ele está processando o estado desejado e comparando-o com o estado atual para confirmar se ele está em conformidade com o estado desejado ou não, e fará alterações conforme necessário para permitir que ele esteja em conformidade. Chef não tem um modelo push que você não pode empurrar o estado desejado para o dispositivo ou para os agentes que ele deve puxar porque a alteração de configuração está sendo feita no agente ou a comparação está sendo feita no agente. Isso torna as mudanças rápidas praticamente impossível que quando você ir em frente e definir uma nova receita em seu livro de receitas e bem, você não está, você só vai estar esperando até que os agentes check-in novamente sobre isso pode acontecer em seu rede rapidamente. Pode não acontecer rapidamente. Depende da frequência com que seus agentes são configurados para obter do servidor. Agora, isso permite um sistema muito distribuído e extremamente escalável. É que seu servidor central não é mais um ponto de gargalo e que ele é muito levemente usado. Ele só usa um repositório, verdade, para que os agentes extraiam o estado desejado, e então os agentes estão realmente fazendo o cálculo da configuração. Agora. Este exemplo de receita aqui é para um ex OS portas switch e configurá-los que vemos aqui temos a interface Internet uma barra que estamos fazendo alguma configuração que estamos criando. Estamos definindo o endereço I P, a máscara Net, se temos proxy ARP ativado ou I p antes de redirecionamentos habilitados e se ele está desligado ou não. E se esse modo de porta do switch está habilitado ou não. Vamos alternar painel fraco ou nenhum, uma camada três ou uma camada para interface. E, em seguida, para Ethernet uma barra dois nós estamos configurando-o como um vilão de acesso 100 que ele não é desligado e que é uma porta de comutação de acesso, não um tronco, e que se queremos V tp ligado ou não protocolo de caminhões villian, e que você poderia ver que este é um tipo muito semelhante de configuração é um declará-lo de configuração de estado muito parecido com fantoche, mas que a sintaxe real para essa configuração é muito diferente. E é algo que você precisa estar familiarizado com se você estiver escrevendo sua própria configuração. Há muitos modelos disponíveis para todos estes três sistemas de gerenciamento de configuração responsáveis, fantoche e chef que se você estiver indo para experimentar qualquer um deles, eles são todos de código aberto e que você pode experimentá-los para gratuito e que você pode ir e obter modelos para que você possa começar a funcionar muito rapidamente e ser capaz de experimentá-los e ver se estes são um bom ajuste para a sua organização ou não. Incrível. Obrigado por ficarem lá comigo, pessoal. Agora vamos passar por algumas perguntas de treino antes de terminarmos. primeira das três soluções de gerenciamento de configuração abaixo, que não requer um agente no dispositivo de gerenciamento. Isso é fantoche de chef ou dançável? Agora você já deve saber que danceable é aquele que se conecta via ssh e não requer um agente que os outros dois aqui precisam de um agente. E por isso e simples é o mais compatível com dispositivos mais antigos e o mais compatível com dispositivos de terceiros também. Essa resposta realmente pode ser usada em quase qualquer ambiente, enquanto chef e fantoche não tanto. Você precisa de dispositivos específicos para usá-los. Mas eu não me afastaria deles de qualquer maneira que eles poderiam ter um bom uso em sua organização. De qualquer forma, vou verificar as listas de compatibilidade deles e ver se é uma boa opção para a sua rede. E, finalmente, quais opções abaixo empregam uma estrutura de estado declarada onde o estado do dispositivo é definido vez de comandos específicos para executar no dispositivo? É fantoche e chef, chef e dançarino, responsável e fantoche ou nenhuma das opções acima ou uma combinação diferente agora responsável porque ele se conecta via ssh! Ele acaba aplicando comandos individuais para cada dispositivo que fantoche e chef. Porque eles usam um agente, eles são capazes de fazer uma declaração de estrutura de estado, e, portanto, a resposta aqui é um fantoche e chef. Agora, eu espero que isso tenha sido informativo para você, e eu gostaria de agradecer por ver