Протокол OSPF и IoT IPv4 в Cisco Packet Tracer

Без схемы сети и трассировок тут не о чем говорить

Информации мало.

Схема, оборудование, конфиги?

подключением IoT-устройств к удалённым серверам cam.by и iot.by.

Cisco Packet Tracer

Что то я не понимаю, Вы учитесь или решаете прикладную задачу?

маршрутизация по протоколу … NAT и PAT

Ну как бы NAT и PAT это не маршрутизация (а то, что ей иногда мешает :))

Схема же такая?

[cam.by + iot.by] --- [интернет] --- [R1] --- [R2] --- [IoT-устройста]

IoT устройства подключаются к cam.by + iot.by? Если да, то PAT (он же DST NAT) не нужен.

Включал симуляцию DNS-пакетов – обрываются на Router2 – в модели OSI пишет, что проблемы с таблицей маршрутизации, не может найти маршрут до VLAN-ов с IoT-серверами

пишет

Кто пишет?

маршрут до VLAN-ов

Дайте план vlan’ов тогда тоже — и где они терминируются.

Схема сложнее

[cam.by] --- [Switch7] --- [R5] --- [Switch5] --- [R4]

[Switch5] --- [R1] --- [R2] --- [R3]

[iot.by] --- [Switch2] --- [R1] --- [WR1]

[R2] --- [Switch3]

[R3] --- [Switch4]

Оборудование (в среде Cisco Packet Tracer):

– Switch-PT и 2950-24 – Router 2811 IOS15 – Server-PT

Конфигураций много

По поводу симуляции с DNS-пакетами – я открыл содержание уровней модели OSI для DNS-пакета, который отправляется с одного из IoT-устройств, на моменте, где он дошёл до R2 – там не заполняется заголовок сетевого уровня – в содержании DNS-пакета симулятор передачи пакетов в Cisco Packet Tracer при просмотре сетевого уровня пишет, какие процессы происходят – там сказано, что R2 не имеет записи о сети с сервером cam.by или iot.by и пакет отбрасывается.

У меня есть pkt-файл, таблицы с IP-адресацией, но здесь нет возможности вставить файлы.

Есть ссылка на мою тему с этим же вопросом на cyberforum.ru, где прикреплён pkt-файл со всей сетью. Там же есть и пароли для доступа к коммутационному оборудованию, где можно просмотреть конфигурацию каждого:

https://www.cyberforum.ru/cisco/thread3214443.html#post17649475

IoT-устройства должны иметь доступ к этим серверам, на серверах должны отображаться статус этих устройств и условия работы. Доступ к серверам должен осуществляться посредством DNS.

IP-адресация для всех подсетей и между маршрутизаторами делается посредством разделения исходных адресов сетей на подсети с использованием VLSM.

Адрес сети для подсетей VLAN: 172.22.220.0/22 Адрес сети для подсетей между маршрутизаторами: 46.53.135.64/26

В рамках задания нужно использовать NAT и PAT – статический NAT для трансляции адресов коммутаторов и серверов, PAT для трансляции VLAN-ов, подключенных через Switch-и к разным маршрутизаторам.

Разделение адресов сетей у меня есть, но прикрепить сюда не могу – могу добавить его на своей теме с cyberforum.ru, на которую я дал ссылку в другом ответе здесь

Ниже в одном из моих ответов есть ссылка на тему с этим же вопросом на cyberforum-е – там есть вложенный zip-архив с pkt-файлом и пароли для доступа к коммутационному оборудованию. Можно посмотреть, как выглядит сеть, конфиги и traceroute там

В рамках задания нужно использовать NAT и PAT

То есть цель — это выполнить некое учебное задание, а не обеспечить оптимальную работоспособность реальных железок?

Схема сложнее

Вы можете схему или запостить из Packet Tracer’a или нарисовать в draw.io?

https://www.cyberforum.ru/cisco/thread3214443.html#post17649475

По ссылке схемы нет.

И да, раз уж Вы зашли сюда — то лучше размещайте скриншоты на ресурсе, который не требует регистрации просто что бы их посмотреть (а cyberforum.ru без регистрации не даёт посмотреть прикреплённые картинки).

пишет, что проблемы с таблицей маршрутизации, не может найти маршрут до VLAN-ов с IoT-серверами.

Перепроверил все конфигурации несколько раз, ошибок не обнаружил.

Посмотрел картинку, которую Вы запостили на КиберФоруме - так и есть, Router2 пишет «The routing table does not have a route to the destination IP address». Вроде всё предельно ясно написано, какая ещё подсказка нужна?

Читайте про роутинг и про OSPF (как редистрибутить статику, connected, что такое default information originate и т.д.).

И да, выложите конфиги (show run) и базовую диагностическую информацию (show ip route, show ip ospf …) текстом. Не у всех есть packettracer и не всем хочется его скачивать (оказывается там регистрация нужна), да и не каждый захочет проприетарщину себе в систему ставить, а VM разворачивать бывает долго.

да и не каждый захочет проприетарщину себе в систему ставит

Цитита c rutracker’a:

«Сильно напрягает слив информации о пользователе в Amаzоn. Это не в какие ворота не лезет. Ладно там еще форточники, ладно юзвери 10-ой винды, ладно ламеры сидящие, именно сидящие, на Andrоid. Что с них в принципе взять. Ламеры они и есть ламеры. Но здесь пользователи Arch, Gentoo, Debian GNU/Linux. В конце концов будущие и уже состоявшиеся сетевые инженеры. Элементарный запуск Wireshаrk покажет, что же собой предствляет, как netаcad так и ciscо. Я понимаю, что запредельное кол-во пользователей соц. сетей и спайфонов говорит им о том, что пользователи (люди) тупы как трухлявый пень. Но не все же, не все. P. S. Просто хамское отношение к людям. К сетевым специалистам со стороны компании ciscо.»

Здесь есть фото сети, диагностическая информация на каждом маршрутизаторе и txt-файл с конфигурацией всех маршрутизаторов и коммутаторов

https://drive.google.com/drive/folders/1bi_gWDyT3Mi6NWoLYgsI8h8Hz1pAsIOx?usp=drive_link

И локальные IP-адреса IoT-серверов:

cam.by 172.22.220.163

iot.by 172.22.220.124

dns 172.22.220.123

Так намного лучше!

На первый взгляд кажется, что Вы перемудрили с NAT’ом. Я так понимаю, что вы строите сеть без статических маршрутов (никаких ip route я не увидел), то есть вся маршрутизация делается на OSPF. В этом случае с NAT нужно быть… Гм, аккуратным. Вопрос: если выключить NAT/PAT вообще везде, то у Вас всё будет работать?

Вопрос дальше: зачем Вам нужен NAT?

Define what you need NAT to accomplish:
- Allow internal users to access the internet.
- Allow the internet to access internal devices such as a mail server.
- Allow overlapping networks to communicate.
- Allow networks with different address schemes to communicate.
- Allow networks with different address schemes to communicate.
- Redirect TCP traffic to another TCP port or address.
- Use NAT during a network transition.

В рамках задания нужно использовать NAT и PAT – статический NAT для трансляции адресов коммутаторов и серверов, PAT для трансляции VLAN-ов, подключенных через Switch-и к разным маршрутизаторам.

Это общая формулировка задачи, можете её максимально детализировать хотя бы для нескольких подсетей/vlan’ов?

Кстати, на практике, когда соединяют локальные сети через интернет, то обычно делают VPN, который для маршрутизаторов выглядит обычно как дополнительный интерфейс. В своей схеме можете поднять GRE-туннель между R1 и R2 и гонять маршруты и трафик по GRE — будет похоже. Естественно, на GRE-интферфейсах NAT врубать не нужно.

Здесь есть фото сети, диагностическая информация на каждом маршрутизаторе и txt-файл с конфигурацией всех маршрутизаторов и коммутаторов
https://drive.google.com/drive/folders/1bi_gWDyT3Mi6NWoLYgsI8h8Hz1pAsIOx?usp=...

К нам приехал, к нам приехал, третьекурсник с лабами.
Вам сюда www.linux.org.ru/forum/job/

Да, вся маршрутизация на OSPF.

Вопрос: если выключить NAT/PAT вообще везде, то у Вас всё будет работать?

Отключил NAT/PAT, изменил адрес dns-сервера в dhcp пулах, пробовал подключаться к iot-серверам – не работает ни по доменным именам, ни по локальным ip-адресам серверов.

Но я попробовал подключать IoT-устройства к серверам по их глобальным IP-адресам, которые транслируются через статический NAT.

К cam.by подключаются через его адрес 46.53.135.77.

К iot.by не подключаются через его адрес 46.53.135.68.

Но оба транслируются статическим NAT.

Это общая формулировка задачи, можете её максимально детализировать хотя бы для нескольких подсетей/vlan’ов?

Адрес сети для подсетей между маршрутизаторами: 46.53.135.64/26

Из него нужно выделить ip-адреса для связи между маршрутизаторами, а также для применения статического NAT, чтобы IP-адреса серверов и коммутаторов для своих внутренних сетей VLAN маршрутизаторов преобразовывать в публичные. NAT должен здесь применяться только к серверам и коммутаторам, чтобы из других «удалённых», внешних сетей можно было получить к ним доступ по публичным ip-адресам.

Например, на R1 - R5 есть vlan для связи каждого из них с закреплённым с ним коммутатором, который используется во внутренней сети соответствующего маршрутизатора.

Условно, есть R1 - Switch2 - внутренняя сеть с одним или несколькими vlan. Для R1 нужно транслировать как минимум http, dns и iot-сервера, чтобы внутренние сети у других маршрутизаторов (R2 и так далее) могли подключаться к ним по публичным ip-адресам этих серверов. Для коммутатора Switch2 статический NAT делается для проверки соединения через ping с внутренних сетей/VLAN-ов других маршрутизаторов.

Такая же логика у всех остальных маршрутизаторов касательно NAT, только где-то надо транслировать адрес коммутатора, где-то ещё сервера (например, на R5 есть cam.by, к которому, кстати, получилось подключиться по его публичному адресу, но не получается по доменному имени, к которому этот адрес присвоен на dns-сервере).

Что касается PAT - здесь его нужно применять для того, чтобы объединить все внутренние сети маршрутизатора (например, все VLAN-ы R1: 180, 182, 183, 184, 185, 186) так, чтобы при проверке соединений внутренних сетей, допустим, R1, с сетями других Ri, использовался адрес интерфейса R1, который соединён с WR1 (FastEthernet1/0) – получается, используется один общий публичный ip-адрес одного из интерфейсов R1, связанных с каким-либо другим маршрутизатором (-ами, как, например, с R4-R5 сетями).

Также непонятно, почему iot устройства с vlan-ов 280-282 могут подключиться к cam.by по его натовскому ip-адресу, а по доменному имени – нет, хотя на dns-сервере есть запись о cam.by и его локальном / публичном адресах.

А на сервер iot.by устройства с vlan-ов 287-289 не могут подключиться вовсе (ни по доменному имени, ни по натовскому ip-адресу).

Также, вспомнив о проблеме с таблицей маршрутизации у R2 при попытке подключиться как-либо к iot.by нету записи о сети vlan180 – это внутренняя сеть для R1, где расположен dns и iot сервера – возникают подозрения: почему эта сеть не появилась у R2 и других маршрузиторов? Ведь к cam.by доступ есть, хоть и по натовскому ip-адресу.

Также непонятно, почему iot устройства с vlan-ов 280-282 могут подключиться к cam.by по его натовскому ip-адресу, а по доменному имени – нет, хотя на dns-сервере есть запись о cam.by и его локальном / публичном адресах.

Мне кажется, у Вас пробелы в знании теории работы сети. В частности, DNS (а так же, предположу, что в глубине знания моделей ISO/OSI и TCP/IP). Например, когда Вы открываете браузер и в нём вводите linux.org.ru, то подключение производится не к linux.org.ru, а к 178.248.233.6. И если linux.org.ru не открывается, то проблема может быть в кривой настройке dns на клиенте, а не в недоступности 178.248.233.6.

К сожалению, конкретных учебных материалов именно по этой теме порекомендовать не могу (ищите, всё есть). Так же дам ссылку на свежее издание фундаментальной книги Танненбаума, но заранее извиняюсь, если Вам придётся изучить по ней больше материала, чем нужно для поиска ответа на Ваш вопрос.

Отключил NAT/PAT, …

Но я попробовал подключать IoT-устройства к серверам по их глобальным IP-адресам, которые транслируются через статический NAT.

Ну то есть NAT Вы целиком не отключили.

Я думаю, anc в целом всё правильно написал, хоть и чуть грубовато:

К нам приехал, к нам приехал, третьекурсник с лабами.

Вам сюда www.linux.org.ru/forum/job/

Например, у меня, как у участника ИТ-сообщества, нет интереса в решении за Вас лабораторной работы, так как тем самым я врежу этому самому ИТ-сообществу, помогая войти в него человеку без должной подготовки. Одно дело, когда человеку нужна помощь в решении реальной проблема — обычно, мы помогаем; часто даже не требуя, что бы человек повышал свою компетенцию в этой области: не все же могут быть специалистами по всему, а реальные проблемы нужно решать. Условно, человек может быть хорошим фотографом, но не быть специалистом по настройке дисковой подсистемы.

Но если Вы учитесь, то нужно стараться выучиться (изучить предмет), а не просто сдать его. Я понимаю, что там могут быть свои учебные нюансы (загруженность другими предметами, дедлайны, жизненные обстоятельства и т.д.), но я не вижу смысла именно решать за Вас задачи.

Например, я, готов помогать научиться (в меру возможностей и собственных знаний), но не готов делать за Вас задания (даже за деньги).

В данном случае я рекомендую подтянуть теорию — после этого многие практические вопросы Вы сможете решить самостоятельно. Если будут вопросы по теории — задавайте. Если будут вопросы по применению теории (которую Вы изучили) на практике — тоже задавайте.

Обращу внимание на идиотическое приветствие («доброго времени суток»), с которого он начал тему. Это определённо не совпадение.

Вот кстати да, мне тоже это обращение кажется идиотским, имхо «всем чмоки в этом чате» звучит и то лучше.