Professional Documents
Culture Documents
ukasz Bromirski
lukasz@bromirski.net (koordynator)
(nieocjalne) Cisco FAQ PL: czyli najcz sciej zadawane pytania o Cisco z odpowiedziami po polsku e ukasz Bromirski Historia zmian Zmiana 0.50 Data: 21/03/2004 21:42:03 Rozbudowa - patrz ChangeLog na koncu dokumentu.
Spis tre ci s
1. Sprawy porzadkowe..................................................................................................................... 1 1.1. O wiadczenie i licencja..................................................................................................... 1 s 1.2. Dost p do CVS i Twj udzia w tym projekcie ............................................................. 1 e 1.3. Lista pocztowa - jak i gdzie?............................................................................................ 1 2. Pytania oglne ............................................................................................................................... 3 2.1. Gdzie mozna poczyta o rmie Cisco i produktach tej rmy?................................... 3 c 2.2. Do kogo zwrci si o pomoc, je li chciabym zbudowa swoja sie w oparciu o c e s c c produkty Cisco? .............................................................................................................. 3 2.3. Jak skontaktowa si z pomoca techniczna Cisco? ...................................................... 3 c e 2.4. Gdzie mozna uzyska pomoc dotyczaca sieci i Cisco?................................................ 3 c 2.5. Skad mog pobra nowsze oprogramowanie do swojego urzadzenia Cisco?......... 4 e c 2.6. Syszaem, ze aktywacja szyfrowania 3DES i ew. AES jest na PIXach darmowa czy to prawda? ................................................................................................................ 4 2.7. Czy sa jakie strony sympatykw Cisco z ciekawymi materiaami?......................... 4 s 3. Dokumentacja ............................................................................................................................... 7 3.1. Gdzie w Internecie znale c dobre materiay o sprz cie Cisco? Konguracja, z e przykady, zalecenia? ..................................................................................................... 7 3.2. Jakie polecacie ksiazki po Polsku, do pracy ze sprz tem Cisco? ............................... 7 e 3.3. A jakie w ogle ksiazki polecacie, po wi cone sieciom oraz sprz towi Cisco? ...... 8 s e e 3.4. Jak zainstalowa Cisco Documentation pod Windows tak, by nie trzeba byo za c kazdym razem korzysta z krazka?............................................................................. 8 c 3.5. Jak zainstalowa Cisco Documentation pod Linuksem/BSD? .................................. 9 c 3.6. Gdzie sprawdzi skadni konkretnego polecenia?..................................................... 9 c e 4. Certykacje Cisco ....................................................................................................................... 11 4.1. Jakie sa poziomy certykacji Cisco? ............................................................................. 11 4.2. Jakie egzaminy musz zda na poziomie Associate? ................................................ 11 e c 4.3. Jakie egzaminy musz zda na poziomie Professional?............................................ 11 e c 4.4. Jakie egzaminy musz zda na poziomie Expert?...................................................... 12 e c 4.5. Gdzie mog znale c dokadna list tematw na dany egzamin? ............................ 13 e z e 4.6. Czy dla zdajacych sa jakie pomoce? ........................................................................... 13 s 4.7. Czy po egzaminie mog podzieli si ze znajomymi tre cia pytan?....................... 14 e c e s 5. Podstawy pracy z urzadzeniami Cisco ................................................................................... 15 5.1. Jak podaczy si do........................................................................................................ 15 c e 5.1.1. ...routera Cisco?................................................................................................... 15 5.1.2. ...Cisco PIX? ......................................................................................................... 15 5.1.3. ...przeacznika Cisco Catalyst serii 1000, 2000 lub 3000? .............................. 15 5.1.4. ...przeacznika Cisco Catalyst serii 4000/4500?.............................................. 15 5.1.5. ...przeacznika Cisco Catalyst serii 6000/6500?.............................................. 15 5.1.6. ...sondy Cisco IDS serii 42xx?............................................................................ 16 5.1.7. ...punktu bezprzewodowego AP350, 1120 lub 1200? .................................... 16 5.2. Podaczyem si i...? ........................................................................................................ 16 e 5.2.1. ...w oknie terminala nic nie widz ?.................................................................. 16 e 5.2.2. ...jak dostawa informacje o zdarzeniach na routerze na konsol ?............. 16 c e 5.2.3. ...jaki dokadnie mam router? Ile mam pami ci RAM/ash? Co oznaczaja e poszczeglne linijki z polecenia show version? ........................................... 16 5.2.4. ...gdy pomyl si w poleceniu, router zaczyna robi dziwne rzeczy... ....... 18 e e c 5.2.5. ...chciabym zapisa konguracj routera/PIXa/przeacznika? ................. 18 c e 5.2.6. ...chciabym wymaza konguracj routera/PIXa/przeacznika?.............. 18 c e
iii
5.2.7. ...jakiego uzy oprogramowania do poaczenia si z routerem? ................. 19 c e 5.2.8. ...jakiego uzy oprogramowania do serowania plikw tftp/ftp?................ 19 c 5.2.9. Mj router uparcie prbuje sciagna z sieci plik network-cong, c network-cfg lub cisconet.cfg - o co chodzi?..................................................... 19 6. Podstawy konguracji usug .................................................................................................... 21 6.1. DHCP ................................................................................................................................ 21 6.1.1. Co to sa prywatne/niezarejestrowane adresy IP? ......................................... 21 6.1.2. Czy router moze peni rol serwera DHCP?................................................. 21 c e 6.1.3. Jak przydzieli interfejsowi adres z serwera DHCP?.................................... 22 c 6.1.4. Jak przekaza dalej zapytania DHCP? ............................................................ 22 c 6.2. SNMP ................................................................................................................................ 22 6.2.1. Jak uruchomi na routerze SNMP?.................................................................. 22 c 6.3. Logowanie zdarzen......................................................................................................... 23 6.3.1. Chciabym logowa zdarzenia zachodzace na routerze do pami ci. Jak to c e zrobi ?................................................................................................................... 23 c 6.3.2. Chciabym logowa zdarzenia zachodzace na PIXie do pami ci. Jak to c e zrobi ?................................................................................................................... 23 c 6.3.3. Chciabym logowa zdarzenia zachodzace na routerze do serwera syslog. c Jak to zrobi ?........................................................................................................ 23 c 6.3.4. Chciabym logowa zdarzenia zachodzace na PIXie do serwera syslog. Jak c to zrobi ? .............................................................................................................. 23 c 6.4. Czas ................................................................................................................................... 24 6.4.1. Jak ustawi zegar na routerze? ......................................................................... 24 c 6.4.2. Jak ustawi zegar wg. serwerw czasu z Internetu? ..................................... 24 c 6.4.3. Skongurowaem na swoim routerze NTP, ale zegar pozostaje niezsynchronizowany - a min o juz par godzin. ........................................ 25 e e 6.5. NAT ................................................................................................................................... 25 6.5.1. W jakich wersjach oprogramowania obsugiwany jest NAT, PAT oraz mapowanie portw z adresw publicznych na prywatne?.......................... 25 6.5.2. Chc uruchomi NAT - mam jeden interfejs publiczny i jeden prywatny. e c Jak to zrobi ?........................................................................................................ 25 c 6.5.3. Mam router z jednym interfejsem i chc robi NAT - czy to wykonalne? . 26 e c 6.5.4. Chc przekierowa port 25/tcp z adresu publicznego routera do sieci e c wewn trznej - jak to zrobi ? .............................................................................. 27 e c 6.5.5. Jak sprawdzi , ktre interfejsy przypisane sa do NAT i jak sa c skongurowane? ................................................................................................. 27 6.5.6. NAT mi nie dziaa - co moze by zle?.............................................................. 28 c 6.6. SSH .................................................................................................................................... 28 6.6.1. Jak skongurowa SSH? .................................................................................... 28 c 6.6.2. Jak sprawdzi , czy serwer SSH jest waczony? .............................................. 29 c 6.7. Rejestr konguracyjny routerw .................................................................................. 29 6.7.1. Po zapisaniu konguracji i przeadowaniu routera, trac konguracj e e dlaczego? .............................................................................................................. 29 6.7.2. Co dokadnie oznaczaja bajty z rejestra konguracyjnego?......................... 29 6.7.3. Czy do ustawiania rejestru konguracyjnego mozna uzy jakiego c s narz dzia? ............................................................................................................ 30 e 6.8. VLANy.............................................................................................................................. 30 6.8.1. Co to sa VLANy? ................................................................................................ 30 6.8.2. Co to jest VLAN natywny? ........................................................................... 30 6.8.3. Co maja na my li ludzie mwiac router na patyku (ang. router on a stick)? s 31
iv
6.8.4. Czy Cisco PIX moze obsugiwa VLANy? ..................................................... 31 c 6.8.5. Jak skongurowa na PIXie VLAN?................................................................ 32 c 6.9. Jak sprawdzi ................................................................................................................... 32 c 6.9.1. ...ile interfejsw logicznych obsuzy router X?............................................... 33 6.9.2. ...aktualne obciazenie procesora? ..................................................................... 33 6.9.3. ...historyczne obciazenie procesora? ................................................................ 34 6.9.4. ...w li cie procesw tylko te, zajmujace jakie zasoby procesora?............... 34 s s 6.9.5. ...zaj to c pami ci?.............................................................................................. 35 e s e 6.9.6. ...obj to c pami ci wykorzystywana przez procesy routingu? ................... 35 e s e 6.9.7. ...jakie karty zainstalowano w routerze? ......................................................... 36 6.9.8. ...jakie karty zainstalowano w przeaczniku pracujacym pod kontrola CatOS? .................................................................................................................. 37 6.9.9. ...co obsuguje dany feature-set?....................................................................... 37 6.9.10. ...znajac nazw pliku Cisco IOS jaki to feature-set?..................................... 37 e 6.9.11. ...czy dana karta/modu kompatybilna jest z danym routerem?.............. 38 6.9.12. ...na ktrym porcie routera znajduje si urzadzenie o danym adresie e MAC lub IP? ........................................................................................................ 38 6.9.13. ...na ktrym porcie przeacznika Catalyst wpi to urzadzenie o danym e adresie MAC? ...................................................................................................... 39 6.9.14. ...budzet mocy na modularnym przeaczniku Catalyst? ............................ 39 7. Wybr sprz tu pod konkretne zastosowanie ........................................................................ 41 e 7.1. Jaki router wystarczy do maej sieci (10-15 uzytkownikw), w sytuacji, gdy Internet dochodzi do mnie Ethernetem?................................................................... 41 7.2. Jaki router wystarczy do maej sieci (10-15 uzytkownikw), w sytuacji, gdy Internet dochodzi do mnie stykiem V.35 (Polpak-T)? ............................................. 41 7.3. Jaki router wystarczy do maej sieci (10-15 uzytkownikw), w sytuacji, gdy chcemy bezpiecznie poaczy si VPNem do innej podobnej lokalizacji przez c e acze zakonczone Ethernetem? ................................................................................... 41 7.4. Mam dwa acza od dwch ISP i chciabym uruchomi BGP. Jakiego routera c powinienem uzy ?........................................................................................................ 42 c 7.5. Potrzebuj may przeacznik Cisco, bez routingu ...................................................... 42 e 7.6. Potrzebuj przeacznik Cisco potraacy realizowa routing.................................... 43 e c 7.6.1. Przeaczniki niemodularne ............................................................................... 43 7.6.2. Przeaczniki modularne..................................................................................... 43 7.7. Czy Cisco sprzedaje tzw. rewalle sprz towe? ...................................................... 44 e 7.8. Czy Cisco sprzedaje sprz t do budowy sieci bezprzewodowych? ......................... 44 e 8. Jak skongurowa router do..................................................................................................... 45 c 8.1. ...usugi transmisji danych w sieci Polpak-T? ............................................................. 45 8.2. ...InternetDSL lub innego dostawcy oferujacego styk Ethernet? ............................. 46 8.3. ...usugi SDI/CDI?........................................................................................................... 47 8.4. ...usugi Neostrada+? ...................................................................................................... 48 8.5. ...do Neostrady+ ale dla routera Cisco 677? ................................................................ 50 8.6. ...poaczenia kablami V.35 dwch routerw Frame Relay?....................................... 51 8.7. ...obsugi dwch rwnolegych acz od niezaleznych ISP?....................................... 52 8.7.1. A co je li mam wi cej acz - na przykad 3?.................................................... 54 s e 8.7.2. A co z lokalnym ruchem do/z routera? .......................................................... 54 8.8. ....eksportu danych NetFlow?........................................................................................ 55 8.9. ...routingu pomi dzy VLANami na kartach WIC-4ESW, NM-16ESW lub e NM-32ESW? .................................................................................................................. 56
9. Routing ......................................................................................................................................... 59 9.1. Mam na routerze dwa interfejsy z nadanymi adresami IP, ale router nie chce routowa mi dzy nimi. O co chodzi? ........................................................................ 59 c e 9.2. Jak wskaza routerowi domy lna bramk ?................................................................. 59 c s e 9.3. Na jednym routerze mam wiele rznych protokow routingu. Informacje ktrego z nich, znajda si w tablicy routingu? ......................................................... 59 e 9.4. Jak przebiega proces routingu na routerach Cisco? Co jest brane pod uwag ? .... 60 e 9.5. Co to jest trasa pywajaca (ang. oating route)? ........................................................... 60 9.6. Chc rozkada obciazenie pomi dzy trasy o rwnej metryce. Jak wyglada e c e konguracja tego w IOSie?.......................................................................................... 61 9.7. Chc rozkada obciazenie pomi dzy trasy o rwnej metryce w proporcji 1:2 - jak e c e to zrobi ? ........................................................................................................................ 61 c 9.8. Czym si rzni protok routingu typu link-state od distance-vector? .................. 61 e 9.9. W jaki sposb protokoy typu dystans-wektor zapobiegaja tworzeniu p tli?....... 62 e 9.10. Interfejsy loopback ........................................................................................................ 62 9.10.1. Co to jest interfejs loopback? Gdzie zycznie si znajduje?....................... 63 e 9.11. RIP ................................................................................................................................... 63 9.11.1. Co to jest RIP?.................................................................................................... 63 9.11.2. Jak wyglada podstawowa konguracja RIPv1?........................................... 63 9.11.3. A jak uruchomi na routerze RIP w wersji 2? .............................................. 64 c 9.12. OSPF................................................................................................................................ 65 9.12.1. Co to jest OSPF? ................................................................................................ 65 9.12.2. Jak dziaa OSPF? ............................................................................................... 65 9.12.3. Jak router liczy w OSPFie metryk dla poaczenia? .................................... 66 e 9.12.4. O czym pami ta przy sumaryzacji? ............................................................. 66 e c 9.12.5. Jakie sa typy LSA? ............................................................................................ 67 9.12.6. Co jest potrzebne zeby dwa routery wymieniy informacje o routingu OSPF?.................................................................................................................... 67 9.12.7. Jak sprawdzi aktualny stan sasiadw danego routera OSPF? ................. 68 c 9.12.8. Jak skongurowa OSPF?................................................................................ 69 c 9.12.9. Czy jest jaki przewodnik po budowaniu sieci z OSPFem?....................... 70 s 9.13. Routing BGP................................................................................................................... 70 9.13.1. Co to jest BGP? .................................................................................................. 70 9.13.2. Co to jest numer AS? ........................................................................................ 71 9.13.3. Jaki potrzebuj router do obsugi BGP? ........................................................ 71 e 9.13.4. Jak wa ciwie dziaa BGP?............................................................................... 72 s 9.13.5. Jakich atrybutw uzywa BGP? ....................................................................... 72 9.13.6. Jak w BGP wybierana jest sciezka? ................................................................ 77 9.13.7. Jak skongurowa BGP?.................................................................................. 77 c 9.13.8. Chciabym uruchomi BGP - skad mam wzia swj numer AS?.............. 78 c c 9.13.9. Co to jest PI i czym rzni si od PA?.............................................................. 79 e 9.13.10. Czy jest jaki przewodnik po budowaniu sieci z BGP? ............................ 79 s 10. QoS - limitowanie, gwarantowanie i kontrola pasma....................................................... 81 10.1. Co tak naprawd oznacza akronim QoS?.................................................................. 81 e 10.2. Je li chodzi o klasykacj , cz sto sysz akronimy ToS, Precedence i DSCP - o co s e e e chodzi? ........................................................................................................................... 81 10.3. Jak skongurowa ......................................................................................................... 82 c 10.3.1. ...prioretyzacj okre lonego ruchu za pomoca PQ?..................................... 82 e s 10.3.2. ...prioretyzacj okre lonego ruchu za pomoca CQ? .................................... 83 e s 10.3.3. ...kolejkowanie WFQ? ...................................................................................... 84 10.3.4. ...przycinanie pasma dla okre lonego ruchu? .............................................. 84 s
vi
10.3.5. ...ksztatowanie ruchu za pomoca CBWFQ?................................................. 84 10.3.6. Co to jest NBAR? .............................................................................................. 86 11. Bezpieczenstwo ......................................................................................................................... 89 11.1. Poszukuje informacji o zabezpieczaniu routerw, przeacznikw... ..................... 89 11.2. Dost p do routera.......................................................................................................... 90 e 11.2.1. Jak spowodowa , zebym logujac si do routera musia poda tylko haso? c e c 90 11.2.2. Jak spowodowa , zebym logujac si do routera musia poda zarwno c e c login jak i haso? .................................................................................................. 90 11.2.3. W jaki sposb stworzy stae mapowanie IP na MAC na routerze?......... 91 c 11.2.4. Chciabym upewni si , ze mj router nie jest atwym celem dla c e wamywaczy. Co jako podstaw polecacie?.................................................... 91 e 11.3. Zabezpieczanie ruchu do i przez router .................................................................... 92 11.3.1. Jak dziaaja ACL?.............................................................................................. 92 11.3.2. Jak mog sprawdzi , czy moje ACL dziaaja?.............................................. 94 e c 11.3.3. Jak zoptymalizowa ACLk ? .......................................................................... 95 c e 12. VPN - Wirtualne Sieci Prywatne.......................................................................................... 101 12.1. Co tak naprawd oznacza akronim VPN?............................................................... 101 e 12.2. Jak skongurowa ....................................................................................................... 101 c 12.2.1. ...tunel IPsec pomi dzy dwoma routerami poaczonymi do Internetu e kanaami Frame Relay PVC? ........................................................................... 101 12.2.2. ...tunel IPsec+GRE pomi dzy dwoma routerami poaczonymi do e Internetu kanaami Frame Relay PVC?.......................................................... 104 13. Telekomunikacja..................................................................................................................... 109 13.1. ISDN.............................................................................................................................. 109 13.1.1. Jaka pr dko c mog uzyska , stosujac ISDN?............................................ 109 e s e c 13.1.2. Co to jest Q.921? A Q.931? Jak to si ma do PPP czy IP? .......................... 109 e 13.1.3. Jaka kart zastosowa do poaczenia ISDN BRI w celu przenoszenia e c danych?............................................................................................................... 109 13.1.4. Jaka kart zastosowa do poaczenia ISDN PRI w celu przenoszenia e c danych?............................................................................................................... 109 13.1.5. Jak skongurowa poaczenie z routera do Internetu przez interfejs BRI? c 109 13.1.6. Jak sprawdzi histori poaczen interfejsw ISDN?.................................. 110 c e 13.2. E1/E3 ............................................................................................................................ 111 13.2.1. Jaka kart zastosowa do poaczenia E1 w celu przenoszenia danych? 111 e c 13.2.2. Jaka kart zastosowa do poaczenia E3 w celu przenoszenia danych? 111 e c 13.3. ATM............................................................................................................................... 111 13.3.1. Jaka kart zastosowa do poaczenia ATM w celu przenoszenia danych? e c 111 14. Rodzaje komutacji w routerach Cisco ................................................................................ 113 14.1. Co to jest switching? Jaki ma zwiazek z komutacja? ............................................. 113 14.2. Jakie sa rodzaje switchingu?...................................................................................... 113 14.3. Jak skongurowa ....................................................................................................... 115 c 14.3.1. ...CEF (Cisco Express Forwarding)?............................................................. 115 14.3.2. ...CEF dla routingu wg. zasad (ang. policy-based)? ..................................... 115 14.4. Jak sprawdzi ............................................................................................................... 116 c 14.4.1. ...jakie mechanizmy komutacji waczono na interfejsie? .......................... 116 14.4.2. ...ile ruchu komutowanego jest danym mechanizmem komutacji?........ 116
vii
15. Optymalizacja wydajno ci.................................................................................................... 119 s 15.1. Mam router X, ktry udost pnia Internet stacjom w sieci LAN. Ciagle mam e problemy z obciazeniem procesora, lub zrywanymi sesjami. ............................. 119 15.2. Mam router X, ktry udost pnia Internet stacjom w sieci LAN. Mam tylko 5 e stacji a widz tysiace translacji - o co chodzi? ........................................................ 119 e 15.3. Mam router X, ktry udost pnia Internet stacjom w sieci LAN. Router obsuguje e ruch zaledwie X Mbit/s i juz procesor obciazony jest w 100%! Na stronie Cisco znalazem informacj , ze ten model moze obsuzy ruch znacznie wi kszy! ... 120 e c e 15.4. Jakie rzeczy sprawdzi , optymalizujac wydajno c routera? ................................ 121 c s 15.5. Jak wyglada wydajno c szyfrowania ruchu dla routerw/PIXw? ................... 122 s 16. Sieci bezprzewodowe ............................................................................................................ 125 16.1. Ktry standard okre la co w rodzinie 802.11? ........................................................ 125 s 16.2. Jak policzy EIRP?....................................................................................................... 125 c 17. Dobr i wymiana sprz tu...................................................................................................... 127 e 17.1. Czy musz kupowa oryginalne pami ci Cisco? ................................................... 127 e c e 17.2. Mam w routerze kart X. Jaki kabel do niej dobra ? ............................................. 127 e c 17.3. Skad mog wiedzie , ze dany sprz t nie jest juz sprzedawany przez Cisco?.... 127 e c e 18. Rozwiazywanie problemw ................................................................................................. 129 18.1. Obrazy IOS i ich odzyskiwanie................................................................................. 129 18.1.1. Straciem obraz z Flasha. Mam do dyspozycji tylko tryb ROMMON i obraz IOSa na komputerze. Jak zaadowa go do routera? ........................ 129 c 18.1.2. Jak zaadowa obraz Cisco IOS do pami ci Flash, dysponujac tylko c e trybem ROMMON i poaczeniem przez konsol ? ....................................... 129 e 18.1.3. Jak zaadowa obraz Cisco IOS do pami ci Flash, dysponujac tylko c e trybem ROMMON i poaczeniem przez Ethernet?...................................... 129 18.2. Hasa na routerach ...................................................................................................... 130 18.2.1. Jak odzyska zapomniane haso z routera? ................................................ 130 c 18.2.2. A jak odszyfrowa zaszyfrowane haso w konguracji routera? ............ 131 c 18.3. Interfejsy Ethernet i ruch na nich.............................................................................. 131 18.3.1. Mam duzo kolizji na interfejsie Ethernet routera - co mog z tym zrobi ? e c 131 18.3.2. Prbuj zdebugowa ruch na interfejsie routera poleceniem debug ip e c packet, ale widz tylko pojedyncze pakiety?............................................... 132 e 18.3.3. Chciabym na PIXie sniffowa ruch i zapisywa go do dalszej analizy - jak c c to zrobi ? ............................................................................................................ 132 c 18.4. Problemy z pami cia i IOSami .................................................................................. 132 e 18.4.1. Dostaj na konsol lub do logw komunikaty typu e e %ALIGN-3-SPURIOUS: Spurious memory access made [...]..................... 133 18.4.2. Mam za mao pami ci aby zapisa konguracj - co mam zrobi ? ........ 133 e c e c 18.5. Problemy z przeacznikami Catalyst........................................................................ 133 18.5.1. Mam przeacznik Cisco Catalyst i wiele stacji do niego podaczonych. Mam problemy z logowaniem si do sieci po starcie tych komputerw.. 133 e 18.5.2. Na swoim przeaczniku 2950, 3550 czy 3750 otrzymuj komunikat e %SYS-2-MALLOCFAIL: Memory allocation of (...) Cause: Memory fragmentation .................................................................................................... 133 19. Podzi kowania ........................................................................................................................ 135 e 20. ChangeLog ............................................................................................................................... 137
viii
http://www.cisco.pl/ http://www.ciscopoland.pl/cisco/main.asp
http://www.cisco.com/
2.2. Do kogo zwrci si o pomoc, je li chciabym c e s zbudowa swoja sie w oparciu o produkty Cisco? c c
Powiniene zgosi si do rmy, ktra wykonuje projekty w oparciu o sprz t Cisco. Najpro s c e e s ciej b dzie zadzwoni na numer linii konsultacyjnej Cisco Polska (0 801 340 755). Konsule c tant, w zalezno ci od wielko ci projektu, zaproponuje pomoc inzynierw Cisco Polska, sam s s przedstawi pomys na budow sieci i list sprz tu, lub skieruje Ci do rm, ktre zajmuja e e e e si profesjonalnymi usugami. e
Aby skorzysta z tej pomocy, musisz posiada wykupiony kontrakt serwisowy - Smartc c NET lub SmartSpares. Musisz zna rodzaj sprz tu, o ktrym z Cisco TAC chciaby porozmawia , jego numer c e s c seryjny i je li to mozliwe - posiada jak najdokadniejsze informacje o nim (zwykle na s c poczatku rozmowy inzynier TAC poprosi o zrzucenie do pliku wyniku dziaania polece nia show tech-support, wi c warto od razu mie go pod r ka). e c e Inzynierowie Cisco TAC z reguy nie pomagaja w konguracji poaczenia Internetowego, list kontroli dost pu czy nie zaprojektuja Ci odpowiednio sieci. Postaraj si wykona jak e e c najdokadniejszy troubleshooting zanim poprosisz o pomoc.
pl.comp.networking - polska, dotyczaca nie tylko sprz tu Cisco e comp.dcom.sys.cisco - w j zyku angielskim, dotyczaca tylko sprz tu Cisco e e do7.ru.cisco - w j zyku rosyjskim, dotyczaca tylko sprz tu Cisco e e
Troch bardziej zaawansowane zagadnienia pojawiaja si na listach, na ktre trzeba si zae e e pisa . Sa to: c
http://www.prenumerata.pl/wwsympa.fcgi/info/isp-tech - skupia wielu ludzi, ktrzy znaja Cisco i inny sprz t od podszewki e https://puck.nether.net/mailman/listinfo/cisco-nsp - prowadzona w j zyku angielskim, e dla ISP http://forum.cisco.com/eforum/servlet/NetProf?page=main - fora dyskusyjne Cisco oraz archiwa sesji pytan i odpowiedzi
2.6. Syszaem, ze aktywacja szyfrowania 3DES i ew. AES jest na PIXach darmowa - czy to prawda?
Tak, wystarczy ze uzytkownik koncowy urzadzenia zarejestruje si na stronie o adresie e https://www.cisco.com/pcgi-bin/Software/Crypto/crypto_main.pl?prod_refer=pix3des. Kod aktywacyjny umozliwiajacy szyfrowanie 3DES i AES (od PIX OS 6.3) otrzyma e-mailem.
Rozdzia 2. Pytania oglne grupy i z narz dziami stworzonymi przez jej czonkw, mozesz zapozna si pod adresem e c e http://cosi-nms.sourceforge.net/.
Rozdzia 3. Dokumentacja
3.1. Gdzie w Internecie znale c dobre materiay o z sprz cie Cisco? Konguracja, przykady, zalecenia? e
Na poczatek zapoznaj si z CCO, czyli Cisco Connection Online. Jest to sekcja strony e http://www.cisco.com/univercd/home/home.htm, b daca naprawd kopalnia wiedzy e e zarwno o danych fabrycznych produktw, jak i konguracji poszczeglnych zagadnien czy zaleceniach Cisco. Drugim, bardzo bogatym i obszernym miejscem, sa prezentacje z corocznych spotkan orani zowanych przez Cisco, nazywanych Networkers. Ponizej lista lokacji, z ktrych sciagna c mozna w formacie PDF prezentacje z poszczeglnych lat:
1999: http://www.cisco.com/networkers/nw99_pres/ 2000: http://www.cisco.com/networkers/nw00/pres/ 2001: http://www.cisco.com/networkers/nw01/pres/ 2002: http://www.cisco.com/networkers/nw02/post/presentations.html 2003 USA: http://www.cisco.com/networkers/nw03/post/presos.html
I na koniec - wiele odpowiedzi i cz sto spotykanych konguracji, znale c mozna posugujac e z si (jak zwykle, gdy masz watpliwo ci) wyszukiwarka google. e s
"Routery Cisco. Czarna ksi ga", ISBN: e (http://helion.pl/ksiazki/rcisbb.htm) "Routery Cisco w praktyce", ISBN: (http://helion.pl/ksiazki/rcisco.htm) "Cisco. Receptury", ISBN: (http://helion.pl/ksiazki/cisrec.htm)
83-7197-286-5, 83-7197-214-8,
wydawnictwo wydawnictwo
83-7361-330-7,
wydawnictwo
Rozdzia 3. Dokumentacja Zdecydowanie nie polecam tumaczen ksiazek Cisco Press wydawnictwa Mikom. Aby zori entowa si w jako ci wydawanych przez nich ksiazek, wystarczy skorzysta z przegladarki c e s c Google. Dodatkowo, koordynator tego FAQ (ukasz Bromirski) mia osobista nieprzyjemnoc s wsppracowa z tym wydawnictwem przy tumaczeniu dwch ksiazek. c
3.3. A jakie w ogle ksia ki polecacie, po wi cone z s e sieciom oraz sprz towi Cisco? e
Generalnie, z wydawnictw zagranicznych, warto zainteresowa si rmowym c e wydawnictwem Cisco Press), oraz ksiazkiami wydawnictw Syngress i Sybex. Bardzo dobre sa rwniez ksiazki wydawane w wydawnictwie OReilly (ale to chyba akurat oczywiste). Je li zajmujesz si sieciami, warto w swojej biblioteczce posiada minimum: s e c TCP/IP Illustrated, Volume 1 - The Protocols Legendarna juz ksiazka Stevensa omawiajaca zestaw protokow wchodzacych w skad TCP/IP i opisujaca ich budow oraz dziaanie. Podstawa podstaw. Druga cz sc tej e e ksiazki omawia implementacj (je li nie programujesz, jest to mniej ciekawa lektura). e s Cisco IOS in a Nutshell Je li dopiero zaczynasz prac z routerami Cisco i chcesz pozna ich budow oraz sposb s e c e pracy z nimi, a nie posiadasz zadnych materiaw szkoleniowych czy ksiazek do egza minu CCNA, ta ksiazka jest warta polecenia. Routing TCP/IP Volume I (CCIE Professional Development) oraz Routing TCP/IP, Volume II (CCIE Professional Development) Dwie ksiazki po wi cone zagadnieniom routingu w sieciach TCP/IP - naprawd s e e rewelacyjna lektura. Cisco Certication: Bridges, Routers and Switches for CCIEs (wydanie II) Troch juz wiekowa (wydana 15 grudnia 2000 roku) ksiazka, ale jednocze nie rewelae s cyjne zrdo wiedzy o wszelakich zagadnieniach z ktrymi spotykaja si ludzie projek e tujacy, kongurujacy i utrzymujacy sieci oparte o urzadzenia Cisco. Internet Routing Architectures (wydanie drugie) Ksiazka Sama Halabiego, omawiajaca dokadniej zagadnienia budowy sieci poaczonej do Internetu - w tym dokadnie konguracj BGPv4. e ISP Essentials Drukowana wersja elektronicznej ksiazki, dost pnej tez pod adresem e http://www.cisco.com/public/cons/isp/documents/IOSEssentialsPDF.zip. Znajduja si w niej zalecenia dla dostawcw Internetowych, ale porady sa skierowane do e wszystkich uzytkownikw routerw Cisco. Bardzo cenna pozycja dla kogo , kto s praktycznie zajmuje si tym sprz tem. e e Pozostae rekomendacje sci le zwiazane sa ze specjalizacja, ktra si zajmujesz - ksiazek o s e sieciach jest mnstwo.
Rozdzia 3. Dokumentacja
3.4. Jak zainstalowa Cisco Documentation pod Windows c tak, by nie trzeba byo za ka dym razem korzysta z z c kra ka? z
Najwygodniej jest wykona obraz drugiej pyty (np. programem CloneCD czy Nero), c nast pnie zainstalowa jeden z wielu programw umozliwiajacych wirtualizacj nap dw e c e e CD/DVD - polecam Virtual Deamon i wskaza mu ten plik jako wirtualny nap d CD. c e Pozostanie jedynie zmieni literk , przypisana w konguracji programu wy wietlajacego c e s dokumentacj . W domy lnej instalacji, plik ten znajduje si w katalogu c:\cisco i nazywa e s e search.ini. Nalezy otworzy go za pomoca ulubionego edytora tekstowego, znale c ciag c z znakw SourceDrive i po znaku rwna si wpisa liter wirtualnego nap du. e c e e W mojej instalacji, oryginalny plik mia taki wpis:
SourceDrive=E:
Poniewaz mj wirtualny dysk CD zainstalowa si pod litera F:, zmieniem ten wpis na: e
SourceDrive=F:
Teraz wystarczy uruchomi plik autorun.exe z wirtualnego nap du, by uruchomi Docc e c umentationCD bez potrzeby posiadania pytki w nap dzie. e
Rozdzia 3. Dokumentacja
Dla Cisco IOS 11.3: http://www.cisco.com/en/US/products/sw/iosswrel/ps1826/prod_command_reference_list.html Dla Cisco IOS 12.0: http://www.cisco.com/en/US/products/sw/iosswrel/ps1828/prod_command_reference_list.html Dla Cisco IOS 12.1: http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/prod_command_reference_list.html Dla Cisco IOS 12.2: http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/prod_command_reference_list.html Dla Cisco IOS 12.3: http://www.cisco.com/en/US/products/sw/iosswrel/ps5187/prod_command_reference_list.html
10
CCNP, czyli Cisco Certied Network Professional Musisz posiada wazny certykat CCNA, oraz posiada dokadna wiedz o budowie c c e sieci typu dial-up, dziaaniu i konguracji protokow routingu, metodyce rozwiazywa nia problemw oraz duzych sieciach LAN. Wymagane egzaminy (zdawane w dowolnej kolejno ci): 642-801 BSCI, 642-811 s BCMSN, 642-821 BCRAN i 642-831 CIT lub zamiast egzaminw 642-801 i 642-811 zda jeden egzamin 642-891 Composite i pozostae dwa. c CCNP jest wazny przez trzy lata. Aby si recertykowa , nalezy zda aktualny egzamin e c c Composite.
CCDP, czyli Cisco Certied Design Professional Podobnie jak CCDA skupiaja si na projektowaniu sieci. CCDP wymaga waznego certye katu CCDA.
11
Rozdzia 4. Certykacje Cisco Wymagane egzaminy (zdawane w dowolnej kolejno ci): 642-801 BSCI, 642-811 s BCMSN, 642-871 ARCH, lub 642-891 Composite i 642-871 ARCH. CCDP jest wazny przez trzy lata. Aby si recertykowa , nalezy zda aktualny egzamin e c c Composite.
CCIP, czyli Cisco Certied Internetwork Professional Certykat dla pracownikw dostawcw Internetowych, wymaga posiadania waznego certykatu CCNA. Wymagane egzaminy (zdawane w dowolnej kolejno ci): 642-801 BSCI, 642-641 s QoS, 642-661 BGP i 640-910 MPLS, lub 642-801 BSCI, 642-641 QoS i 642-691 BGP+MPLS. CCIP jest wazny przez trzy lata.
CCSP, czyli Cisco Certied Security Professional Certykat obejmujacy specjalizacj w zabezpieczaniu sieci i dbaniu o ich bezpieczenstwo, e a takze w budowie i utrzymaniu sieci VPN. Wymaga posiadania certykatu CCNA lub CCIP. Wymagane egzaminy (zdawane w dowolnej kolejno ci): 642-501 SECUR, 642-521 s CSPFA, 642-531 CSIDS i 642-511 CSVPN, i 642-541 CSI. CCSP jest wazny przez trzy lata.
CCIE R&S, czyli Cisco Certied Internetwork Expert, Routing & Switching Elitarny certykat, za wiadczajacy o doskonaej wiedzy w dziedzinie budowy i utrzymas nia sieci kazdej wielko ci. s Wymaga zdania egzaminu 350-001, skadajacego si z dwch cz sci: pisemnego oraz w e e laboratorium. Bez zdania egzaminu pisemnego, nie mozesz zdawa egzaminu w labora c torium. CCIE jest wazny przez dwa lata. Aby si recertykowa , nalezy zda jeden z egzaminw e c c pisemnych - w swojej specjalizacji lub innej.
CCIE Service Provider, czyli Cisco Certied Internetwork Expert, Service Provider Elitarny certykat, za wiadczajacy o doskonaej wiedzy w dziedzinie budowy i utrzymas nia sieci, ze szczeglnym naciskiem na sieci budowane przez i dla dostawcw usug. W zalezno ci od pod-specjalizacji, CCIE SP zdaje jeden egzamin pisemny i jeden w labo s ratorium. Podobnie jak w przypadku CCIE R&S, porazka na etapie egzaminu pisemnego uniemozliwia zdawanie egzaminu praktycznego. Dost pne podspecjalizacje to: 350-020 e Optical, 350-021 Cable, 350-022 DSL, 350-023 WAN Switching, 350-024 IP
12
Rozdzia 4. Certykacje Cisco Telephony, 350-025 Dial, 351-026 Content Networking. Egzamin pisemny zawiera w poowie tematy z CCIE R&S, a w poowie z tematyki w ktrej kandydat ma si e specjalizowa . c CCIE jest wazny przez dwa lata. Aby si recertykowa , nalezy zda jeden z egzaminw e c c pisemnych - w swojej specjalizacji lub innej.
CCIE Security, czyli Cisco Certied Internetwork Expert, Security Elitarny certykat, za wiadczajacy o doskonaej wiedzy w dziedzinie budowy i utrzymas nia sieci, ze szczeglnym naciskiem na szeroko rozumiane bezpieczenstwo. Wymaga zdania egzaminu 350-018, skadajacego si z dwch cz sci: pisemnego oraz w e e laboratorium. Bez zdania egzaminu pisemnego, nie mozesz zdawa egzaminu w labora c torium. CCIE jest wazny przez dwa lata. Aby si recertykowa , nalezy zda jeden z egzaminw e c c pisemnych - w swojej specjalizacji lub innej.
CCIE Voice, czyli Cisco Certied Internetwork Expert, Voice Elitarny certykat, za wiadczajacy o doskonaej wiedzy w dziedzinie budowy i utrzymas nia sieci, ze szczeglnym naciskiem na przenoszenie gosu. Wymaga zdania egzaminu 350-030, skadajacego si z dwch cz sci: pisemnego oraz w e e laboratorium. Bez zdania egzaminu pisemnego, nie mozesz zdawa egzaminu w labora c torium. CCIE jest wazny przez dwa lata. Aby si recertykowa , nalezy zda jeden z egzaminw e c c pisemnych - w swojej specjalizacji lub innej.
13
Rozdzia 4. Certykacje Cisco Po trzecie, wiele rm oferuje swoje materiay, majace przygotowa Ci do zdania wybranego c e egzaminu. Najpopularniejsza rma jest Boson (http://www.boson.com/), ktra oprcz samych materiaw, oferuje rwniez rznego rodzaju narz dzia. e
14
15
Je li natomiast jeste zalogowany przez Telnet lub SSH, musisz wprost waczy kierowanie s s c komunikatw na Twoja konsol poleceniem terminal monitor: e
router# terminal monitor
16
5.2.3. ...jaki dokadnie mam router? Ile mam pami ci e RAM/ash? Co oznaczaja poszczeglne linijki z polecenia show version?
Standardowo do sprawdzenia, z jakim urzadzeniem mamy do czynienia, poza oczywista inspekcja wizualna (je li pracujemy zdalnie niemozliwa) jest wydanie polecenia show s version. Ponizej przykadowy wynik takiego polecenia wraz z interpretacja wyniku:
Cisco Internetwork Operating System Software IOS (tm) C1700 Software (C1700-Y-M), Version 12.1(22a), RELEASE SOFTWARE (fc1) Copyright (c) 1986-2004 by cisco Systems, Inc. Compiled Fri 23-Jan-04 20:40 by cmong Image text-base: 0x80008088, data-base: 0x8060A5D4
Z tego fragmentu mozemy dowiedzie si , ze mamy do czynienia z routerem (na urzadze c e nie zaadowano Cisco IOS, na PIXach mamy do czynienia z PIX OSem, na duzych przeacznikach Catalyst z CatOSem). Po drugie, oprogramowanie nalezy do serii przeznaczonej dla routerw serii 1700 (C1700 Software), w wersji 12.1.22a (Version 12.1(22a)) i zawierajacym funkcjonalno c IP s (C1700-Y-M). O tym jak rozszyfrowa funkcjonalno c oprogramowania odpowiadamy w c s dalszych pytaniach.
c1720 uptime is 10 minutes System returned to ROM by power-on System image file is "flash:c1700-y-mz.121-22a.bin"
Kolejna linijka okre la, jak dawno resetowano router (uptime is 10 minutes s - 10 minut temu), co byo przyczyna restartu (power-on - wacznik, inne opcje to reload - restart wymuszony poleceniem reload), oraz jaki i skad Cisco IOS zosta zaadowny (flash:c1700-y-mz.121-22a.bin, z pami ci Flash i nazywa si e e c1700-y-mz.121-22a.bin).
cisco 1720 (MPC860) processor (revision 0x501) with 12288K/4096K bytes of memory. Processor board ID JAD01234567 (123456789), with hardware revision 0000 M860 processor: part number 0, mask 32
Mamy do czynienia z routerem Cisco 1720 (Cisco 1720), sterowanym procesorem MPC860. Router posiada acznie 16MB pami ci RAM (12288K/4096K bytes of e memory, warto ci nalezy zsumowa ). Dodatkowo, mozna sprawdzi numer seryjny s c c urzadzenia (JAD01234567).
1 FastEthernet/IEEE 802.3 interface(s) 1 Serial(sync/async) network interface(s)
Router posiada jeden interfejs FastEthernet (standardowo zabudowany na routerach 1700) oraz jeden interfejs szeregowy (moze pracowa zarwno w trybie asynchronicznym jak i c synchronicznym).
32K bytes of non-volatile configuration memory. 4096K bytes of processor board System flash (Read/Write)
17
Rozdzia 5. Podstawy pracy z urzadzeniami Cisco Dodatkowo, router posiada 32kB pami ci nieulotnej (NVRAM), w ktrej przechowuje si e e aktualna i startowa konguracj , oraz 4MB pami ci Flash (uzywanej do przechowywania e e Cisco IOS, certykatw itp.).
Configuration register is 0x2102
Tzw. rejestr konguracyjny, kontrolujacy pewne aspekty startu i pracy routera ustawiony zosta na warto c heksdecymalna 2102. O znaczeniu poszczeglnych bajtw tego rejestru s napisano nizej.
Ewentualnie, w bardzo starych Cisco IOS, w PIX OS starszych niz 6.0 i w urzadzeniach pracujacych pod kontrola CatOS (przeaczniki) poleceniem:
router# write memory
Na PIXach natomiast:
pix# write erase
18
5.2.9. Mj router uparcie prbuje sciagna z sieci plik c network-cong, network-cfg lub cisconet.cfg - o co chodzi?
Masz aktywna usug wczytywania konguracji z sieci. Wyacz ja, piszac: e
router(config)# no service config
19
20
UWAGA!: Poj cie adresy nieroutowalne jest b dne - nie ma czego takiego. Kazdy e e s adres jest jak najbardziej routowalny, po prostu przeznaczeniem tego konkretnego zestawu adresw nie jest znalezienie si w Internecie. e
Je li natomiast chcesz konkretnej stacji/serwerowi przydzieli konkretny adres IP, mozesz s c posuzy si mapowaniem MAC-IP: c e
router(config)# ip dhcp pool SerwerPlikow router(dhcp-config)# host 192.168.0.10 255.255.255.0 Adres 192.168.0.10 z maska /24 przydzielony zostanie... router(dhcp-config)# client-identifier 000c.09cb.9813
21
...ale to wacza przekazywanie wielu rodzajw ruchu. Mozesz to zablokowa , ograniczajac c si tylko do DHCP/BOOTP w ten sposb: e
router(config)# no ip forward-protocol udp tftp router(config)# no ip forward-protocol udp dns router(config)# no ip forward-protocol udp time router(config)# no ip forward-protocol udp netbios-ns router(config)# no ip forward-protocol udp tacacs ...i dla pewnoci, e jest waczone: s z router(config)# ip forward-protocol udp bootpc
6.2. SNMP
6.2.1. Jak uruchomi na routerze SNMP? c
W najprostszym scenariuszu, wystarczy wyda polecenie: c
router(config)# snmp-server community mojstring RO 15
...gdzie mojstring to klucz, ktry musi poda agent by odczyta dane, RO to tryb dost pu c c e (tylko do odczytu, lub RW zezwalajace rwniez na zapis) i w koncu 100 to numer listy ACL kontrolujacej kto moze aczy si z SNMP routera. Lista ta moze mie np. taka konstrukcj : c e c e
ip access-list standard 15 permit 192.168.0.10 permit 192.168.0.15 deny any
22
Rozdzia 6. Podstawy konguracji usug ...co pozwoli na odczytywanie informacji tylko stacjom o adresach 192.168.0.10 i 192.168.0.15. Numer listy dost pu mozna pomina , ale wtedy dost p do SNMP routera e c e b dzie mia kazdy host, ktry nie zostanie odltrowany przez ew. ograniczenia ruchowe na e interfejsach!
...gdzie 128000 to pro ba o rezerwacj 128kB pami ci na potrzeby bufora. Najstarsze s e e zdarzenia zostana nadpisane. Zawarto c bufora obejrze mozna poleceniem show log. s c
6.3.2. Chciabym logowa zdarzenia zachodzace na PIXie do c pami ci. Jak to zrobi ? e c
Musisz wskaza od ktrego poziomu zdarzenia b da logowane (0 to najmniej szczegowy c e poziom - tylko zdarzenia krytyczne, a 7 najbardziej szczegowy) a nast pnie waczy loe c gowanie:
pix(config)# logging buffered 7 pix(config)# logging on
6.3.3. Chciabym logowa zdarzenia zachodzace na routerze c do serwera syslog. Jak to zrobi ? c
Powiniene kolejno: wskaza host-serwer syslog (lub wiele, komunikaty b da wysyane s c e jednocze nie do wszystkich), ewentualnie wskaza od ktrego poziomu komunikaty mas c ja by logowane (ang. severity) i jak b da identykowane (ang. facility), a w koncu waczy c e c wysyanie komunikatw:
router(config)# router(config)# router(config)# router(config)# logging logging logging logging host 192.168.0.10 severity debugging facility local0 on
23
6.3.4. Chciabym logowa zdarzenia zachodzace na PIXie do c serwera syslog. Jak to zrobi ? c
Powiniene kolejno: wskaza host-serwer syslog (lub wiele, komunikaty b da wysyane jeds c e nocze nie do wszystkich), wskaza od ktrego poziomu komunikaty maja by logowane s c c (ang. trap X, gdzie 7 oznacza poziom debugging, czyli najbardziej szczegowy), a w koncu waczy wysyanie komunikatw: c
pix(config)# logging host 192.168.0.10 pix(config)# logging trap 7 pix(config)# logging on
6.4. Czas
6.4.1. Jak ustawi zegar na routerze? c
Poleceniem:
router# clock set 16:13:00 23 feb 2004
Na mniejszych platformach, zegar nie jest jednak podtrzymywany bateria i po resecie, zostanie wyzerowany.
dziaa,
mozemy
sprawdzi c
poleceniem
show ntp
router# show ntp associations address ref clock st when poll reach delay offset disp +~217.153.69.35 .PPS. 1 585 1024 377 28.7 1.96 15.7 *~150.254.183.15 .PPS. 1 534 1024 377 31.1 -0.83 17.4 * master (synced), # master (unsynced), + selected, - candidate, ~ configured
Symbol gwiazdki przy adresie serwera oznacza, ze jest on aktualnie wybrany jako serwer czasu i router zsynchronizowa pomy lnie czas wg. jego wskazan. Nalezy zauwazy , ze od s c wskazania serwera NTP do zsynchronizowania si z serwerem moze mina od 60 do 120 e c sekund.
24
Rozdzia 6. Podstawy konguracji usug Lista serwerw NTP Stratum 1 znajduje si e http://www.eecis.udel.edu/~mills/ntp/clock1a.html a Stratum http://www.eecis.udel.edu/~mills/ntp/clock2a.html. pod pod adresem adresem
6.4.3. Skongurowaem na swoim routerze NTP, ale zegar pozostaje niezsynchronizowany - a min o ju par godzin. e z e
Po pierwsze upewnij si , ze serwery ktre wskazae sa osiagalne dla Twojego routera e s najlepiej wykonaj ping z niego do kolejnych serwerw. Po drugie sprawd , czy nie blokujesz ruchu z routera do serwerw ACLkami - powiniene z s zezwoli na ruch UDP z i do portu 123, np. w ten sposb: c
ip access-list extended moj_fw_internet permit udp host 217.153.69.35 eq ntp host 169.254.10.1 eq ntp
Gdzie 169.254.10.1 to adres interfejsu publicznego Twojego routera, ACLka moj_fw_internet przypisana jest w kierunku in na tym interfejsie, a 217.153.69.35 to adres serwera NTP. Pami taj rwniez, ze je li modykujesz juz istniejaca ACLk , ten wpis musi znale c si e s e z e przed kazdym innym, ktry mgby go zablokowa . c Po trzecie w koncu upewnij si , ze administrator danego serwera nie zada uwierzytelniania e poszczeglnych aczacych si do niego klientw. e
6.5. NAT
6.5.1. W jakich wersjach oprogramowania obsugiwany jest NAT, PAT oraz mapowanie portw z adresw publicznych na prywatne?
NAT pojawi si w wersji IOS 11.2 w feature-set "IP Plus". Od wersji 12.0 caa funkcjonalno c e s NAT dost pna jest juz w standardowej wersji "IP". e
6.5.2. Chc uruchomi NAT - mam jeden interfejs publiczny i e c jeden prywatny. Jak to zrobi ? c
W trzech krokach.
Oznaczasz interfejsy jako publiczny (ip nat outside) i jako prywatny (ip nat inside) - moze by wiele zarwno publicznych jak i prywatnych. Na przykad: c
router(config)# interface router(config-if)# ip nat router(config-if)# exit router(config)# interface router(config-if)# ip nat router(config-if)# exit serial 0.99 outside fastethernet 0/0 inside
25
Rozdzia 6. Podstawy konguracji usug Zwr uwag , ze nazwy Twoich interfejsw moga by inne. c e c
Deniujesz, jak ma by wykonywany NAT - na pul przydzielonych adresw, czy na jaki c e s konkretny jeden adres - najcz sciej publicznego interfejsu routera. Ponizej jak zdeniowa e c pul : e
router(config)# ip nat pool Pula1 169.254.10.1 169.254.10.15 255.255.255.240
Na koniec okre lasz jaki ruch z interfejsw oznaczonych jako wewn trzne b dzie podles e e ga NATowaniu i na jakie adresy. Wpisy przegladane sa sekwencyjnie wg. kolejno ci i je li s s router tra na wpis pasujacy do pakietu, nie przejrzy juz wpisw p niejszych. z Ponizej przykad, w ktrym sie 192.168.10.0/24 NATowana jest na zdeniowana c wcze niej pul , a sie 192.168.20.0/24 na adres interfejsu serial 0.99: s e c
! w celu wybrania ruchu z podsieci 192.168.10.0/24 definiujemy ! list ACL: e router(config)# ip access-list extended Siec10NAT router(config-acl)# permit 192.168.10.0 0.0.0.255 router(config-acl)# exit ! i to samo dla sieci 192.168.20.0/24: router(config)# ip access-list extended Siec20NAT router(config-acl)# permit 192.168.20.0 0.0.0.255 router(config-acl)# exit ! adresy rdowe pasujace do ACLki Siec10NAT NATowane sa na pul z e ! adresw zdefiniowanych wczeniej pod nazwa Pula1: s router(config)# ip nat inside source list Siec10NAT pool Pula1 overload ! ...a adresy rdowe pasujace do ACLki Siec20NAT na adres przypisany z ! do interfejsu serial 0.99 routera: router(config)# ip nat inside source list Siec20NAT interface serial 0.99 overload
6.5.3. Mam router z jednym interfejsem i chc robi NAT - czy e c to wykonalne?
Tak, taki ukad nazywa si NAT na patyku (ang. NAT-on-a-stick). Na jednym interfejsie e (zwykle Ethernetowym) obsugujesz zarwno ruch z sieci lokalnej jak i publicznej. Uwazaj jednak, na aspekty bezpieczenstwa w takim ukadzie - zwykle w takiej topologii urzadzenie dostawcy podpi te jest do koncentratora/przeacznika, a ten zarwno do routera jak i ine nych stacji. Oznacza to, ze kto moze zmieni sobie adres IP na stacji na publiczny i obej c s c s Twj router w komunikacji z Internetem! Na poczatek skongurujemy interfejs FastEthernet 0/0, ktry suzy nam b dzie zarwno c e do obsugi sieci LAN jak i Internetu. Zakadam, ze od dostawcy otrzymae publiczny s adres 169.254.10.1, Twoja domy lna bramka jest 169.254.10.2 a sie LAN ma numeracj s c e 192.168.0.0/24, przy czym interfejs routera w tej sieci posiada adres 192.168.0.1:
router(config)# interface FastEthernet0/0 router(config-if)# ip address 169.254.10.1 255.255.255.0 ! Adresem gwnym interfejsu jest adres publiczny router(config-if)# ip address 192.168.0.1 255.255.255.0 secondary ! Dodatkowo przypisujemy do niego adres prywatny tak, by stacje ! w sieci LAN miay zapewniona bramk ze swojej podsieci e
26
Teraz dodamy logiczny interfejs Loopback 0. Jest on potrzebny, poniewaz NAT na routerach Cisco wykonywany jest tylko i wyacznie wtedy, gdy pakiet w czasie podrzy przez router przechodzi przez interfejs oznaczony jako zewn trzny (outside) i wewn trzny (inside). Do e e interfejsu mozesz przypisa dowolny adres, ale najlepiej zeby by to adres prywatny. W c przykadzie uzyjemy puli 172.16.0.1/24:
router(config)# interface Loopback0 router(config-if)# ip address 172.16.0.1 255.255.255.0 ! Przypisujemy interfejsowi adres z innej puli prywatnej router(config-if)# ip nat inside ! Oznaczamy interfejs jako wewntrzny e
Pozostaje teraz po pierwsze skongurowa NAT, a po drugie route-map , ktra wymusi c e przej cie pakietu przez dwa rznie oznaczone z punktu widzenia NATu interfejsy. s Zakadam, ze NAT ma by realizowany na publiczny adres interfejsu routera: c
router(config)# ip nat inside source list SiecDoNAT interface FastEthernet0/0 overload ! Wszystkie pakiety pasujace do ACL SiecDoNAT bda NATowane e ! Pozostaje skonfigurowa ta ACLk: c e router(config)# ip access-list extended SiecDoNAT router(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 any
A teraz konguracja route-mapy PetlaNAT. Kazdy pakiet otrzymany z interfejsu FastEth ernet 0/0 zostanie sprawdzony, czy nie pasuje do jej regu. W naszym przypadku b dzie e tylko jedna - je li pasujesz do ACLki SiecDoNAT, musisz tra na interfejs Loopback 0. W s c ten sposb ruch z sieci LAN zawsze zostanie sztucznie przerzucony na interfejs Loopback 0, gdzie dojdzie do jego zNATowania. Nast pnie pakiet juz z publicznym adresem, zgodnie e z normalnymi reguami routingu, zostanie wysany interfejsem FastEthernet 0/0 w stron e sieci ISP:
router(config)# route-map PetlaNAT permit 10 router(config-route-map)# match ip address SiecDoNAT router(config-route-map)# set interface Loopback0
6.5.4. Chc przekierowa port 25/tcp z adresu publicznego e c routera do sieci wewn trznej - jak to zrobi ? e c
Zakadam, ze chodzi o ruch na adres IP 169.254.10.10 (nasz kcyjny adres publiczny) na port 25/tcp, i ma on traa do stacji gdzie za routerem, o adresie 192.168.0.10 na ten sam port: c s
27
6.6. SSH
6.6.1. Jak skongurowa SSH? c
Po pierwsze, sprawd czy w ogle posiadasz w swoim IOSie funkcjonalno c SSH. Pojawia z s si ona w linii 12.0 i jest obecna tylko w feature-setach posiadajacych funkcjonalno c IPsec e s (routery), Service Provider SSH (wi ksze routery, od 7xxx) oraz Crypto (przeaczniki e Catalyst). Pierwszym krokiem jest nadanie routerowi nazwy wasnej i domenowej. Informacje te b da e wymagane do wygenerowania kluczy: prywatnego i publicznego.
router# conf t router(config)# hostname c1760 c1760(config)# ip domain name test.pl
28
W tym momencie serwer SSH zostaje waczony. Uwierzytelnianie odbywa si w oparciu e o skongurowane, zewn trzne bazy danych (RADIUS itp.), lub domy lnie - w oparciu o e s lokalna baz uzytkownikw (poleceniami username X [...]). e Dodatkowo, mozna ograniczy dost p do routera tylko do protokou SSH, wydajac na lini c e ach wirtualnych terminali polecenie:
c1760(config)# line vty 0 15 c1760(config-vty)# transport input ssh
29
10 11-12
0x0400 0x0800-0x1000
13 14 15
Domy lna warto c to 0x2102. Oznacza ona, ze router powinien wystartowa z obrazu przes s c chowywanego w pami ci Flash i sprbowa zaadowa konguracj z pami ci NVRAM. e c c e e Pr dko c konsoli ustalona jest na 9600. Dokadnie takie samo zachowanie, ale z konsola e s ustawiona na 115200 daje ustawienie rejestru konguracyjnego na warto c 0x3922. s
6.8. VLANy
6.8.1. Co to sa VLANy?
VLAN, czyli Virtual LAN, to po prostu podzia w warstwie drugiej sieci na wiele mniejszych domen rozgoszeniowych. Aby ruch mg by wymieniany pomi dzy dwoma hostami znac e jdujacymi si w rznych VLANach, potrzebne jest urzadzenie warstwy trzeciej - router. e Dzisiaj bardzo cz sto routing mi dzy VLANami realizuje si na przeacznikach, kiedy rol e e e s e ta peniy routery. Istnieja standard tworzenia VLANw - zdeniowany przez IEEE 802.1Q. Opisuje on dokad nie, jak rozszerzy ramk L2 aby zawrze w niej informacje, do ktrego VLANu ramka c e c nalezy (sa to w tzw. ramki tagowane). Poaczenie, ktre przenosi ramki z jednocze nie wielu s VLANw, nazywa si trunkiem. Cisco zdeniowao wcze niej na swoich przeacznikach e s standard ISL - jest on bardzo cz sto spotykany w starszych urzadzeniach. Dziaa on w zae sadzie tak samo jak 802.1Q, ale ramka ulega zapakowaniu w nowa, co zwi ksza czas e potrzebny na przeprowadzanie operacji - i co wazniejsze, nie jest obsugiwane przez innych niz Cisco producentw.
30
31
Ponizej przykadowe fragmenty z konguracji przeacznika. Fizyczny interfejs eth1 PIXa doaczono do portu FE0/6, zdeniowanego jako trunk 802.1Q, przenoszacy VLAN 30, oraz VLAN 20 jako natywny:
interface FastEthernet0/6 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 30 switchport trunk native vlan 20
32
Kazdy interfejs zajmuje minimalna ilo c pami ci routera. Lista interfejsw s e przechowywana jest w tzw. IDB, czyli Interface DataBase. W zalezno ci od s wielko ci routera, a takze w mniejszym stopniu od wersji Cisco IOS na nim s pracujacego, pojemno c tej bazy rzni si . Aktualna lista znajduje si tutaj: s e e http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_tech_note09186a0080094322.shtm Na swoim routerze, ilo c wolnego miejsca na dodatkowe interfejsy, mozesz sprawdzi s c poleceniem show idb:
router# show idb Maximum number of Software IDBs 300. HWIDBs 13 4 17 4648 79016 In use 17.
Powyzsza informacja pochodzi z routera 1712 - wida , ze router obsuzy do 300 interfejsw, c z czego 17 jest juz zaj tych. e
6% - srednie oglne zaj cie procesora przez ostatnie pi c sekund; jest ono suma obciazenia e e wywoanego przez przerwania i procesy 2% - srednie obciazenie przez ostatnie pi c sekund zwiazane z przerwaniami e
Jak nietrudno si domy li , pierwsza warto c minus druga warto c daje obciazenie procee s c s s sora przez rznego rodzaju procesy dziaajace na routerze (NAT, DHCP, obsuga IP, IPsec itp.). Pozostae dwie warto ci z wydruku, to zgodnie z nazwa u rednione obciazenie oglne za s s poprzednia minut i pi c minut. e e Par uwag co do warto ci podzielonej (6%/2%): e s
33
Je li pierwsza warto c jest duzo wi ksza od drugiej (np. widzisz na swoim routerze s s e warto c 75%/16%), oznacza to jakiego rodzaju atak na router, lub istotny problem z s s ktrym z procesw. s Je li oba parametry sa wysokie (np. 95%/92%), router obsuguje za duzo ruchu - postaraj s si zoptymalizowa jego konguracj , zwerykowa poprawno c topologii swojej sieci e c e c s lub wymieni router na wi kszy. c e
6.9.4. ...w li cie procesw tylko te, zajmujace jakie zasoby s s procesora?
W ten sposb:
router# show processes cpu | exclude 0.00%__0.00%__0.00% CPU utilization for five seconds: 5%/1%; one minute: 4%; five minutes: 4% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 5 363736 51123 7114 0.00% 0.05% 0.05% 0 Check heaps 9 34092 79729 427 0.07% 0.00% 0.00% 0 ARP Input 24 3597724 451492 7968 2.00% 1.93% 1.94% 0 TTY Background 29 9556 87956 108 0.07% 0.00% 0.00% 0 Net Input 31 183808 7682 23927 0.00% 0.03% 0.00% 0 Per-minute Jobs 40 5700 1894 3009 1.59% 0.29% 0.38% 6 SSH Process 41 1092960 1344980 812 0.63% 0.32% 0.29% 0 IP Input 59 228164 739184 308 0.07% 0.00% 0.00% 0 CEF process 62 17884 98746 181 0.00% 0.01% 0.00% 0 IP-EIGRP: PDM 116 223904 1800331 124 0.00% 0.05% 0.06% 0 COLLECT STAT COU
34
Retbufs 0 0 0 0 0 0 0 0 0 1447712
Process *Init* *Sched* *Dead* Chunk Manager Load Meter SSH Process fastblk backgrou EDDRI_MAIN Check heaps Pool Manager
Pierwsza linijka wydruku podaje informacje sumaryczne. Router ma oglem 78MB pami ci e uzytecznej, z tego uzywa obecnie 13,5MB a wolne pozostaje 64MB. Kolejne kolumny na li cie to: s
PID - identykator procesu TTY - z ktra konsola skojarzony jest proces - wi kszo c procesw ma tutaj warto c 0, co e s s oznacza, ze skojarzone sa tylko z procesem Init. Allocated - ile historycznie proces zaallokowa pami ci e Freed - ile historycznie proces zwolni pami ci e Holding - ile aktualnie rezerwuje/uzywa pami ci e
Natomiast bardziej konkretna informacj , dotyczaca tylko pami ci, mozna uzyska wydajac e e c polecenie show memory statistics:
router# show memory statistics Head Total(b) Processor 631920E0 78044960 I/O 7C00000 4194304 Used(b) 13548532 2399272 Free(b) 64496428 1795032 Lowest(b) 64033028 1457520 Largest(b) 63721760 1653884
Tutaj dodatkowo wida pami c zarezerwowana na operacje I/O (ang. Input/Output), czyli c e na komunikacj z zainstalowanymi kartami interfejsw. e
35
W ostatniej kolumnie wida zaj to c pami ci w bajtach. Zwr jednak uwag , c e s e c e ze chodzi tylko o pami c zajmowana we wskazanej tablicy routingu (tutaj, e Default-IP-Routing-Table(0), czyli tablica gwna). Same procesy routingu moga zajmowa duzo wi cej pami ci. c e e
W nowszych IOSach pojawio si rwniez polecenie show inventory, ktre dotyczy e mniej danych technicznych, a bardziej po prostu faktycznego wyposazenia routera. Ponizej wynik dziaania tego polecenia na routerze 2650XM:
2650xm# show diag NAME: "2650XM chassis", DESCR: "2650XM chassis, Hw Serial#: JAE01234ABC (12345678), Hw Revision: 0x200" PID: 2650XM , VID: 0x200, SN: JAE01234RAU (12345678) NAME: "2600 Chassis Slot 0", DESCR: "2600 Chassis Slot" PID: 2600 Chassis Slot , VID: , SN: NAME: "C2600 Mainboard", DESCR: "C2600 Mainboard" PID: C2600 Mainboard , VID: 2.0, SN: 12345678 NAME: "DaughterCard Slot 0 on Card 0", DESCR: "2600 DaughterCard Slot" PID: 2600 DaughterCard Slot, VID: , SN: NAME: "WAN Interface Card - Serial (1T)", DESCR: "WAN Interface Card - Serial (1T)" PID: WAN Interface Card - Serial (1T), VID: 1.0, SN: 20512345
36
NAME: "Serial0/0", DESCR: "PowerQUICC Serial" PID: PowerQUICC Serial , VID: , SN: NAME: "DaughterCard Slot 1 on Card 0", DESCR: "2600 DaughterCard Slot" PID: 2600 DaughterCard Slot, VID: , SN: NAME: "AIM Container Slot 0", DESCR: "AIM Container Slot 0" PID: AIM Container Slot 0, VID: , SN: NAME: "FastEthernet0/0", DESCR: "AmdFE" PID: AmdFE , VID: , SN: NAME: "2600 Chassis Slot 1", DESCR: "2600 Chassis Slot" PID: 2600 Chassis Slot , VID: , SN:
[...] Mod --1 9 Sub-Type ----------------------L3 Switching Engine Inline Power Module Sub-Model Sub-Serial ------------------- ----------WS-F6K-PFC SAD03462981 WS-F6K-VPWR Sub-Hw -----1.0 1.0
Dla IOSw od 9 do 12.2 istnieja pewne reguy, opisujace co znaczy konkretna literka w nazwie. Opisano je tutaj: http://www.cisco.com/en/US/products/sw/iosswrel/ios_abcs_ios_networking_the_enterprise0900aecd8 Generalnie, nazwa pliku (np. c2600-i-mz.123-1a.bin) z Cisco IOS skada si z: e
37
Platformy, na ktrej b dzie pracowa obraz (c2600 to routery Cisco serii 2600); e c Funkcjonalno ci zawartej w obrazie (i, czyli tylko podstawowa funkcjonalno c IP); s s Czy obraz wykonywany jest w pami ci RAM (literka m), czy w pami ci Flash (literka f) e e lub z ROM (literka r) lub relokowalny (literka l). Dodatkowo, mozna si dowiedzie , ze e c obraz jest spakowany zwykym ZIPem (literka z), lub mZIPem (literka x); Numeru wersji Cisco IOS 123-1a czyli 12.3.1a;
s o o3 x n
k8 - obraz z szyfrowaniem CET/DES 56i - obraz z szyfrowaniem CET/DES dla obrazw na starsze platformy k9 - obraz z szyfrowaniem CET/DES/3DES (i AES, od 12.2T/12.3)
38
6.9.12. ...na ktrym porcie routera znajduje si urzadzenie o e danym adresie MAC lub IP?
Wystarczy, ze wydasz polecenie show ip arp aaaa.bbbb.cccc, gdzie ciag aaaa.bbbb.cccc to szukany adres MAC, lub show ip arp A.B.C.D, gdzie ciag A.B.C.D to adres IP:
! dla adresu MAC: router# show ip arp 0000.cd0f.4feb Protocol Internet Address 192.168.10.10 Age (min) 2 Hardware Addr 0000.cd0f.4feb Type ARPA Interface FastEthernet0/0
! dla adresu IP: router# show ip arp 192.168.10.10 Protocol Internet Address 192.168.10.10 Age (min) 2 Hardware Addr 0000.cd0f.4feb Type ARPA Interface FastEthernet0/0
6.9.13. ...na ktrym porcie przeacznika Catalyst wpi to e urzadzenie o danym adresie MAC?
Je li na przeaczniku zainstalowano IOS, wystarczy, ze wydasz polecenie show s mac-address-table | include aaaa.bbbb.cccc, gdzie ciag aaaa.bbbb.cccc to szukany adres MAC:
switch# show mac-address-table | include 0000.cd0f.4feb 1 0000.cd0f.4feb DYNAMIC Fa0/24
Jak wida , urzadzenie o tym adresie MAC wpi te jest do portu FastEthernet 0/24 na c e lokalnym przeaczniku. Je li zamiast portu wskazany jest trunk - nalezy sprawdzi na kole s c jnym przeaczniku, podaczonym do lokalnego wskazanym trunkiem.
39
40
7.2. Jaki router wystarczy do maej sieci (10-15 u ytkownikw), w sytuacji, gdy Internet dochodzi do z mnie stykiem V.35 (Polpak-T)?
Najmniejszy router Cisco, do ktrego podaczy mozna V.35 to model 805. Problem polega c na tym, ze interfejs tego routera obsuguje taktowanie tylko do 512kbit/s, co oznacza, ze nie nadaje si raczej do wi kszo ci instalacji (np. Polpak-T zestawia si zwykle na pr dko ci 1 e e s e e s lub 2Mbit/s). Je li zalezy Ci na sprz cie uzywanym (niska cena, ale pami taj o braku ocjalnego serwisu s e e dla tego sprz tu!), rozejrzyj si na Allegro za routerami klasy 1601 czy 2503. Posiadaja one e e zamontowane porty szeregowe i Ethernet, przy czym porty szeregowe maja styk DB-60. Do takiego routera potrzebujesz jeszcze kabla DTE V.35 (oryginalny kabel posiada oznaczenie CAB-V35MT). Problemem tego sprz tu jest maa wydajno c - 2Mbit/s acze obsuza e s bez problemu, ale dodawanie nowej funkcjonalno ci (duzych list ACL, kontroli zawarto ci s s pakietw przez NBAR itp.) moze znacznie zmniejszy wydajno c i spowodowa rwanie si c s c e poaczen, czy problemy z ich nawiazaniem. Najmniejszy router dost pny "z pki" to 1721, do ktrego w celu obsugi acza z V.35 nalezy e doozy kart WIC-1T (jeden styk DB-60, kabel CAB-V35MT) lub WIC-2T (dwa styki Smart c e Serial, dwa kable CAB-SS-V35MT). Routery te posiadaja obecnie standardowo po 64MB RAM i 32MB ash, co pozwala na rozbudow w przyszo ci o Cisco IOS z wi ksza funkcjone s e alno cia. s Je li my lisz o obsudze dwch rwnolegych acz 2Mbit/s i b dziesz kupowa nowy s s e router, juz dzisiaj zastanw si nad routerami klasy 2600XM. Routery 2610XM, 2620XM i e 2650XM posiadaja po jednym FastEthernecie, a 2611XM, 2621XM i 2651XM po dwa FastEth ernety. Poza nimi, konguracja sprz towa jest taka sama: wszystkie posiadaja jeden slot e NM i dwa sloty WIC, plus slot AIM ukryty w obudowie. Routery rznia si wydajno e s cia (2610XM/2611XM w granicach 20kpps, 2620XM/2621XM 30kpps i 2650XM/2651XM 40kpps) i domy lnie dostarczana wielko cia pami ci (2610/11/20/21XM maja po 64MB s s e RAM i 32MB ash, 2650/51XM 128MB RAM i 32MB ash).
41
7.3. Jaki router wystarczy do maej sieci (10-15 u ytkownikw), w sytuacji, gdy chcemy bezpiecznie z poaczy si VPNem do innej podobnej lokalizacji przez c e acze zakonczone Ethernetem?
Cisco przewidziao specjalnie do takich celw routery 1711/1712. W cenie symbolicznie tylko wyzszej od podstawowego modelu 1721 otrzymujemy router z:
WAN-owskim portem Ethernet, do ktrego mozemy podaczy np. modem DSL (za c konczony Ethernetem, nie stykiem ADSL!) cztero-portowym przeacznikiem 10/100 dla podaczenia urzadzen LAN, z obsuga VLAN-w (a takze routingu mi dzy nimi realizowanymi przez procesor routera) e analogowym portem modemowym (1711) lub ISDN BRI (1712), na ktrym mozna zreali zowa poaczenie zapasowe (lub gwne - pena elastyczno c) c s sprz towa obsuga szyfrowania DES/3DES/AES (zainstalowany modu MOD1700VPN), e co daje (wg. dokumentacji) obsug do 100 jednoczesnych tuneli VPN i przepustowo c e s 3DES do 15 Mbit/s oprogramowanie o funkcjonalno ci Firewall/IDS IPsec 3DES. s
Warto zauwazy , ze dzi ki poaczeniu VLAN-w z oprogramowaniem Firewall da si nawet c e e zaimplementowa na tym urzadzeniu prosty DMZ. c Oczywi cie, je li takie poaczenia VPN schodza si w jakim punkcie centralnym to musi si s s e s e tam znajdowa odpowiednio mocniejsze urzadzenie terminujace tunele, np. koncentrator c VPN, lub wi kszy router z karta VPN albo PIX z karta VAC. e
7.4. Mam dwa acza od dwch ISP i chciabym uruchomi c BGP. Jakiego routera powinienem u y ? z c
Generalnie, routing BGP mozna uruchomi nawet na routerach serii 800. Zakadamy jednak, c ze chodzi o instalacje z duza siecia LAN, relatywnie duzym ruchem z i do Internetu (rz du e 4-200Mbit/s) oraz ch cia realizowania innych usug - ltrowania ruchu, NATowania itp. e Bezpiecznie b dzie zaozy , ze potrzebujesz routera z serii 7200 - 7204VXR lub 7206VXR e c (odpowiednio 4 lub 6 slotw na karty interfejsw). W takim routerze powinna znale c si z e karta z procesorem sieciowym, w nomenklaturze Cisco oznaczana jako NPE. Aby uruchomi BGP i sensownie obsugiwa ruch, powiniene obecnie wyposazy si w modu c c s c e NPE-400 lub NPE-1G, wzgl dnie NSE-1. Karta NPE/NSE powinna mie minimum 256MB e c RAM, je li chcesz otrzymywa pene swiatowe tablice BGP. s c Zajrzyj rwniez do sekcji po wi conej routingowi BGP, aby uzyska wi cej informacji o dzi s e c e aaniu tego protokou, jego konguracji i innych zaleceniach.
42
Rozdzia 7. Wybr sprztu pod konkretne zastosowanie e w wersjach bez moduw GBIC (WS-C2950-12 i WS-C2950-24, odpowiednio 12 i 24 porty 10/100), oraz z slotami na dwa moduy GBIC (WS-C2950G-12, WS-C2950G-24 i WS-C2950G48). Dost pne sa rwniez mae modele 2940, zawierajace osiem portw 10/100BaseTX oraz e albo jeden port 1000BaseTX (WS-C2940-8TT), albo jeden port 100BaseFX z mozliwo cia za s miennie wykorzystania jednego moduu SFP (WS-C2940-8TF). Dodatkowo, w sprzedazy znajduja si wersje, ktre zamiast slotw na moduy GBIC, maja zabudowane porty na stae. e Sa to:
WS-C2950T-24 - 24 porty 10/100 + 2 porty 10/100/1000BaseT WS-C2950T-48 - 48 portw 10/100 + 2 porty 10/100/1000BaseT WS-C2950C-24 - 24 porty 10/100 + 2 porty 100BaseFX WS-C2950SX-24 - 24 porty 10/100 + 2 porty 1000BaseSX WS-C2950SX-48 - 48 portw 10/100 + 2 porty 1000BaseSX
Cz sc przeacznikw moze dodatkowo posiada oprogramowanie w wersji EI (lub jest z e c nim sprzedawana). W porwnania do standardowego SI, EI oznacza obsug jednocze nie e s wi kszej ilo ci VLANw (250 w porwnaniu do standardowych 64), mozliwo c konge s s urowania ograniczania pasma per port (tylko policing, nie ma shapingu), a takze mozliwo c s obsugi poaczen przez SSH (tylko w specjalnych wersjach Crypto). Niezaleznie od wersji, przeaczniki obsuguja oprogramowanie CMS, czyli Cluster Manage ment Suite, ktre rezyduje w pami ci ash przeacznika i umozliwia zarzadzanie nim za e pomoca gracznego interfejsu uzytkownika. W sprzedazy znajduje si rwniez model 2970, ktry ma architektur zblizona do 2950, ale e e wyposazony jest w 24 porty 10/100/1000BaseTX + w jednej z wersji, w uplinki GBIC.
43
Rozdzia 7. Wybr sprztu pod konkretne zastosowanie e wi kszo c funkcjonalno ci rodziny 6500. Niestety nadal karty 10GbE dost pne sa tylko dla e s s e 6500/7600 (montaz takiej karty w 4500 nie ma sensu, kazdy modu ma zarezerwowane tylko 6Gbit/s do i z moduu zarzadzajacego). Wi cej informacji o przeacznikach e 4500 znajdziesz tutaj: http://www.cisco.com/go/cat4000, a o rodzinie 6500 tutaj: http://www.cisco.com/en/US/products/hw/switches/ps708/index.html.
Punkty dost powe 1120. Sa to urzadzenia pracujace w standardzie 802.11b (P/N: AIRe AP1120B-E-K9), 802.11g kompatybilnym w d z 802.11b (P/N: AIR-AP1121G-E-K9). W obu wersjach anteny zamontowane sa wewnatrz urzadzenia i nie ma mozliwo ci s doaczenia zewn trznych. Do zakupionego AP serii 1120 ze starym radiem 802.11b, moz e na dokupi nowe radio zgodne ze standardem 802.11g (P/N: AIR-MP21G-E-K9). c Punkty dost powe serii 1200. Wcze niejsza seria tych produktw (1220) posiadaa system e s operacyjny oparty na platformie VxWorks. Na obecnie sprzedawanych AP (seria 1230) zainstalowany jest juz zwyky Cisco IOS. Punkty dost powe tej serii sa dwusystemowe e posiadaja dwa sloty na radia obu standardw: 802.11b lub 802.11g, oraz 802.11a. Do ra dia 802.11b lub 802.11g nalezy dokupi osobno anteny zewn trzne, radio 802.11a posiada c e zamontowana na stae, zintegrowana anten . e Punkty dost powe serii 350. Starsza generacja sprz tu, kompatybilna tylko ze standardem e e 802.11b. Mosty bezprzewodowe 350. Starsza generacja sprz tu, kompatybilna tylko ze standardem e 802.11b, umozliwia zestawianie poaczen punkt-punkt i punkt-wielopunkt. mozesz przeczyta c pod adresem:
44
45
46
47
48
Rozdzia 8. Jak skongurowa router do... c Cisco 1700 czy 2600 z moduem WIC-1ADSL. Zakadajac, ze posiadasz kabel i wszystko odpowiednio podaczye , ponizej gotowiec konguracji. s Przyj to, ze interesuje Ci podstawowa konguracja, bez dodatkowej funkcjonalno ci spoe e s tykanej tylko na niektrych routerach (rewall, IDS, wymy lne ltrowanie czy uwierzytels nianie). Adres publiczny przydzielany jest dynamicznie przy kazdym poaczeniu, sie LAN ma c adresacj 192.168.0.0/24, przy czym interfejs Ethernet Twojego routera ma adres 192.168.0.1 e i jest dla tej sieci domy lna bramka. s Sie LAN wychodzi do Internetu z dynamicznie przyznanym adresem IP. c
no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime service timestamps log datetime msec localtime service password-encryption ! hostname rtr_cisco ! enable password jakies_trudne_haslo ! username user_1 password haslo_usera_1 ip subnet-zero no ip source-route no ip domain-lookup ip tcp path-mtu-discovery ! ip dhcp excluded-address 192.168.0.1 ! ip dhcp pool CLIENT import all network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 194.204.159.1 194.204.152.34 lease 0 2 ! interface Ethernet0 description Polaczenie dla sieci LAN ip address 192.168.0.1 255.255.255.0 ip nat inside ! interface ATM0 description Polaczenie ADSL do ISP no ip address no atm ilmi-keepalive pvc 0/35 encapsulation aal5mux ppp dialer dialer pool-member 1 ! dsl operating-mode auto hold-queue 224 in ! interface Dialer0 description Interfejs dzwoniacy ip address negotiated
49
50
cbos# write
Parametr clockrate 2000000 decyduje o taktowaniu acza - w powyzszym przykadzie sa to 2Mbit/s. Konguracja routera do niego podaczonego:
interface Serial0 description Polaczenie FR 2Mbit/s no ip address encapsulation frame-relay IETF no ip mroute-cache frame-relay lmi-type ansi ! interface Serial0/1.1 point-to-point description Polaczenie FR 2Mbit/s - do ISP ip address 169.254.10.2 255.255.255.252 frame-relay interface-dlci 99
51
52
Jak to dziaa? Do interfejsu Ethernet0 dociera ruch z sieci LAN, adresowany do Internetu. Route-mapa ruch_z_lan sprawdza, czy pakiet nie pasuje do ACL 2polowkaLAN. Je li s pakiet pasuje, wpis w route-mapie mwi, ze nalezy go wyroutowa przez adres, dla ktrego c nast pnym hopem b dzie 169.254.20.1, czyli interfejs Serial0.1 (podsie 169.254.20.0/30). e e c Je li nie pasuje, route-mapa konczy testy i przekazuje pakiet do normalnego procesu routins gu. W tablicy routingu znajduje si tylko jeden wpis statyczny - trasa wskazuje na pierwsze e acze:
ip route 0.0.0.0 0.0.0.0 169.254.10.1
Poniewaz w trakcie podrzy, pakiet przechodzi pomi dzy interfejsem oznaczonym jako ip e nat inside (interfejs Ethernet0) a jednym z dwch interfejsw oznaczonych jako ip nat outside wykonywany jest NAT. O kolejno ci sprawdzania na jaki zakres adresw zNATowa pakiet, decyduje kolejno c s c s wpisw ip nat inside [...]. W naszej konguracji sa dwa:
ip nat inside source list 1polowkaLAN pool ISP1 overload ip nat inside source list 2polowkaLAN pool ISP2 overload
53
Rozdzia 8. Jak skongurowa router do... c Wpisy te wprost mwia: pakiety z adresami zrdowymi pasujacymi do ACL o nazwie 1polowkaLAN maja zosta zNATowane na adresy z puli ISP1, a pakiety z adresami c zrdowymi pasujacymi do 2polowkaLAN na pul adresw ISP2. e
Notatka: Warto zwrci uwage, ze ruch mo na rozkada nie tylko ze wzgledu na adres/podsie c z c c IP. Mgby na przykad zechcie kierowa ruch dla typowych usug kierowa na jedno acze, a s c c c caa reszte na drugie - dzieki temu, u ytkownicy popularnych aplikacji P2P, czy namietni scia z gacze wszystkiego co tylko mo na za pomoca FTP nie beda przeszkadza czytajacym poczte. z c Musisz zmieni ACLk 2polowkaLAN: c e
ip access-list extended 2polowkaLAN permit tcp 192.168.0.0 0.0.0.255 any eq permit tcp 192.168.0.0 0.0.0.255 any eq permit tcp 192.168.0.0 0.0.0.255 any eq permit udp 192.168.0.0 0.0.0.255 any eq permit tcp 192.168.0.0 0.0.0.255 any eq permit tcp 192.168.0.0 0.0.0.255 any eq permit tcp 192.168.0.0 0.0.0.255 any eq permit tcp 192.168.0.0 0.0.0.255 any eq permit tcp 192.168.0.0 0.0.0.255 any eq permit tcp 192.168.0.0 0.0.0.255 any eq permit tcp 192.168.0.0 0.0.0.255 any eq permit icmp 192.168.0.0 0.0.0.255 any
Teraz ruch do serwerw popularnych usug oraz ruch ICMP bedzie wychodzi aczem, na ktre wskazuje route-mapa ruch_z_lan, a caa reszte ruchu router skieruje tam gdzie wskazuje zwyky wpis w tablicy routingu.
54
W tym momencie, mozesz usuna z routera wpis statyczny domy lnego routingu, wskazu c s jacy na pierwsze acze.
55
Rozdzia 8. Jak skongurowa router do... c Wi cej e o mechani mie z NetFlow przeczyta c mozesz tutaj: http://www.cisco.com/go/netow. Je li natomiast chcesz skongurowa stacj s c e odbierajaca informacje z routera, zajrzyj pod te adresy: http://www.linuxgeek.org/netow howto.php i http://www.ncne.org/training/techs/2002/0127/presentations/200201fullmer1_les/v3_document.htm.
8.9. ...routingu pomi dzy VLANami na kartach e WIC-4ESW, NM-16ESW lub NM-32ESW?
Wspomniane karty sa przeacznikami L2, ale dzi ki mozliwo ci stworzenia na routerze log e s icznych interfejsw VLAN, mozna stworzy mapowanie warstwy drugiej (VLAN przyp c isany do portu) na warstw trzecia (adres IP przypisany do logicznego interfejsu o numere acji zgodnej z numerem VLANu). Oba rodzaje moduw wymagaja oprogramowania IP Plus - o ile w routerach 1711 i 1712 w ktrych skad wchodzi modu WIC-4ESW oprogramowanie to znajduje si w zestawe ie o tyle do pozostaych routerw, na ktrych moduy te sa obsugiwane (WIC-4ESW dla 1721/1751/1760, oraz moduy NM-16ESW i NM-32ESW dla serii 2600, 3600 i 3700) nalezy to oprogramowanie dokupi . c Konguracj nalezy rozpocza od zdeniowania w bazie danych VLANw konkretnych e c VLANw, ktre chcemy zaozy . Zakadam, ze naszym celem jest stworzenie dwch c VLANw - 10 i 20:
router# vlan database router(vlan)# vlan 10 name Siec1 VLAN 10 added: Name: Siec1 router(vlan)# vlan 20 name Siec2 VLAN 20 added: Name: Siec2 router(vlan)# exit APPLY completed. Exiting.... router#
Teraz nalezy zyczne porty na przeaczniku przypisa do jednego z tych dwch VLANw c 10 lub 20. Zakadam, ze pierwsze dwa porty przypisujemy do 10, a pozostae dwa do 20:
router(config)# interface range FastEthernet 0/0 - 1 router(config-if-range)# switchport mode access router(config-if-range)# switchport access vlan 10 router(config-if-range)# exit router(config)# interface range FastEthernet 0/2 - 3 router(config-if-range)# switchport mode access router(config-if-range)# switchport access vlan 20
Pozostaje stworzy logiczne interfejsy VLAN10 i VLAN20, do ktrych przypiszemy adresy c IP (i ktre b da dla stacji w odpowiednich VLANach domy lnymi bramkami). Zakadam, e s ze sie VLAN10 ma adresacj 192.168.10.0/24 przy czym .1 to adres routera, a VLAN20 ma c e adresacj 192.168.20.0/24 przy czym .1 to adres routera. e
router(config)# interface vlan 10 router(config-if)# ip address 192.168.10.1 255.255.255.0
56
Do tak stworzonych logicznych interfejsw VLAN x mozna przypisa oczywi cie ACLki, c s inspecty, route-mapy itp.
57
58
Rozdzia 9. Routing
9.1. Mam na routerze dwa interfejsy z nadanymi adresami IP, ale router nie chce routowa mi dzy nimi. O c e co chodzi?
Nalezy wyda polecenie ip routing. c
...a je li adres bramki jest zmienny (np. Neostrada+), wskaz interfejs odpowiedzialny za s terminowanie IP, czyli np.:
router(config)# ip route 0.0.0.0 0.0.0.0 Dialer 0
UWAGA! Je li wpis ma wskazywa na interfejs Ethernet, powiniene poda adres IP brams c s c ki! Wpisanie nazwy interfejsu moze nie zadziaa tak, jak chciae . c s
9.3. Na jednym routerze mam wiele r nych protokow z routingu. Informacje ktrego z nich, znajda si w tablicy e routingu?
Informacje podawane przez protok, ktry ma najmniejszy dystans administracyjny (ang. administrative distance). Jest to miara wiarygodno ci danych, podawanych przez konkrets ny protok routingu. Ponizej lista rodzajw tras i ich dystansw administracyjnych - ta o najnizszej warto ci zna s jdzie si w tablicy routingu i b dzie uzywana: e e
trasa trasa trasa trasa trasa trasa trasa trasa podaczona wpisana statycznie sumaryczna EIGRP pozyskana z eBGP pozyskana z internal EIGRP pozyskana z IGRP pozyskana z OSPF pozyskana z IS-IS 0 1 5 20 90 100 110 115
59
Rozdzia 9. Routing
trasa pozyskana z RIP trasa pozyskana z external EIGRP trasa pozyskana z iBGP 120 170 200
9.4. Jak przebiega proces routingu na routerach Cisco? Co jest brane pod uwag ? e
W procesie routingu uczestnicza trzy niezalezne od siebie zagadnienia:
Aktywne procesy routingu dziaajace na routerze - np. BGP, EIGRP i OSPF. Zawarto c tablicy routingu, ktra otrzymuje informacje od procesw routingu i udziela s pewnych informacji procesowi zycznie przekazujacemu pakiety Proces przekazujacy pakiety (ang. forwarding process), ktry na podstawie informacji z tablicy routingu podejmuje decyzje co i jak wysa . c
Generalnie obowiazuje zasada, ze najdokadniejszy wpis w tablicy routingu zwyci za, tj. e najduzszy pasujacy preks do danej sieci ma pierwszenstwo nad bardziej oglnymi. Je li s pakiet przeznaczony jest do hosta o adresie 10.1.10.5, a w tablicy routingu istnieja dwa wpisy: do sieci 10.1.10.0/24 i do sieci 10.0.0.0/16, uzyty zostanie ten pierwszy. Procesy routingu dostarczaja tablicy routingu najlepszych tras, zachowujac dla siebie trasy o gorszych metrykach - czyli miarach warto ci danej trasy. Decyzja co wpisa do tablicy s c routingu, je li wiele procesw posiada tras do jednej sieci, podejmuje si na podstawie dyss e e tansu administracyjnego (mozna go dla danego protokou zmieni ). W ramach tego samego c protokou routingu, w tablicy routingu moga pojawi si rwnolege trasy, je li wynika to c e s wprost z konguracji, lub metryki tych tras sa sobie rwne (nie myl dystansu administra cyjnego i metryk!) Doskonay artyku na ten temat znajduje si e tutaj: http://www.cisco.com/en/US/tech/tk365/tk207/technologies_tech_note09186a0080094823.shtml.
Podczas normalnej pracy (interejs szeregowy dziaa) w tablicy znajduje si tylko wpis e wskazujacy na interfejs Serial 0. Je li interfejs ten zmieni stan na down, wpis zostanie wyco s fany z tablicy routingu i router sprawdzi, czy do tej sieci nie prowadzi inny wpis - w naszym
60
Rozdzia 9. Routing przypadku b dzie taki, wskazujacy na interfejs Dialer 1. Po pewnym czasie, interfejs szeree gowy zapewne znowu si podniesie - router znowu sprawdzi tablic routingu i zamieni e e wpis wskazujacy na Dialer 1 na wpis wskazujacy na Serial 0, poniewaz ten ostatni ma lep sza metryk . Zwykle od tego momentu interfejs ISDN nie przenosi juz ruchu i po upyni ciu e e skongurowanego czasu bezczynno ci zostanie zamkni ty. s e
9.6. Chc rozkada obcia enie pomi dzy trasy o rwnej e c z e metryce. Jak wyglada konguracja tego w IOSie?
Domy lnie, router instaluje w tablicy routingu do 4 tras o tej samej metryce - z wyjatkiem s BGP (domy lnie 1) i tras statycznych (do sze ciu). Je li chcesz to zmieni , w konguracji s s s c protokou routingu wydaj polecenie maximum-paths X, gdzie X to liczba od 1 do 6:
! Dla OSPF: router(config)# router ospf 10 router(config-router)# maximum-paths 6 ! Dla EIGRP: router(config)# router eigrp 10 router(config-router)# maximum-paths 6 ! Dla BGP: router(config)# router bgp 10 router(config-router)# maximum-paths 6 ! dodatkowo dla iBGP: router(config-router)# maximum-paths ibgp 6
9.7. Chc rozkada obcia enie pomi dzy trasy o rwnej e c z e metryce w proporcji 1:2 - jak to zrobi ? c
Dopisz odpowiednio wi cej tras do tej samej sieci. W przykadzie ponizej preferujemy acze e przez Serial 1, Serial 0 obsuguje tylko 1/3 ruchu:
router(config)# ip route 0.0.0.0 0.0.0.0 Serial 1 router(config)# ip route 0.0.0.0 0.0.0.0 Serial 1 router(config)# ip route 0.0.0.0 0.0.0.0 Serial 0
61
Rozdzia 9. Routing routerami ktre w jaki sposb nawiazay ze soba sasiedztwo. Do okre lenia metryki uzywa s s si zwykle wielu zozonych czynnikw. Protokoy tego typu dziaaja w oparciu o algorytmy e SPF (ang. Shortest Path First), takie jak np. algorytm Dijkstry. Protokoy routingu typu distance-vector (dystans-wektor) takie jak RIP, RTMP czy IGRP wymieniaja si penymi tablicami routingu co okre lone odcinki czasu. Do obliczania me e s tryki trasy uzywa si algorytmu Bellmana-Forda. e Protok hybrydowy, EIGRP (rmowy Cisco), nazywany jest tak, poniewaz co prawda wylicza metryki tras podobnie do protokou IGRP, ale utrzymuje sasiedztwa i wysya tylko uaktualnienia jak protokoy typu link-state.
62
Rozdzia 9. Routing
Je li tylko router dziaa, znajduja si w stanie podniesionym - ma to diametralne znaczes e nie dla duzych sieci, w ktrych stabilno c tablic routingu ma znaczenie; s Poniewaz mozna przypisa im adres IP i wszelkie czynno ci administracyjne, podpia c s c pod ten adres (np. tak, by w pakietach Syslog, SSH, Telnet, SNMP, NTP itp. jako zrdo pakietu gurowa adres interfejsu loopback), atwo kontrolowa listy dost pu (jeden, stay c e adres IP do przepuszczenia, zamiast stale zmieniajacego si adresu lub grupy adresw), e zezwalajace na ruch do i z nich, oraz atwiej zarzadza siecia zozona z wi kszej liczby c e urzadzen (je li np. interfejsy loopback wszystkich interfejsw w danej sieci wybrano z s jednej podsieci /24, atwiej jest je po kolei zlokalizowa ); c Przy wykorzystaniu interfejsu loopback z przypisanym adresem IP, wygodnie pracuje si e z interfejsami unnumbered - router moze mie dziesi c interfejsw zycznych, z ktrych c e kazdy wskazuje jako swj adres IP aktualny adres interfejsu loopback;
9.11. RIP
9.11.1. Co to jest RIP?
RIP jest starym i obecnie rzadko uzywanym w konstrukcji nowoczesnych sieci protokoem typu dystans-wektor. Nowsza wersja RIPa, wersja 2 (opisana w RFC 1723) rzni si od e starszej wersji (v1, RFC 1058) tym, ze oprcz sieci przenosi jej mask , co efektywnie oznacza, e ze RIP wspiera VLSM (ang. Variable Length Subnet Masks, czyli sieci z maskami rznych dugo ci). RIP w wersji 2 wspiera rwniez uwierzytelnianie, co pozwala zwi kszy bezs e c pieczenstwo sieci, a takze rozgaszanie informacji routingowych za pomoca multicastw (na adres 224.0.0.9). RIP rozsya co 30 sekund na port 520/udp (v1, wersja druga uzywa multicastw dla nor malnych rozgoszen i unicastw na port 520/udp dla uaktualnien wyzwolonych przez jaka s zmian w sieci) cae tablice routingu do swoich sasiadw. Jako jedynej metryki uzywa liczby e przeskokw (hopw) do danej sieci. Poniewaz pole to ma maksymalna warto c 16, efekty s wnie obniza to skalowalno c sieci do 15 hopw (gdzie 1 hop = sie podaczona bezpo red s c s nio, a 16 = sie nieosiagalna). Podstawowym problemem w protokole RIP sa zatem sytuacje, c w ktrych teoretycznie gorsza trasa (skadajaca si np. z 5 a nie z 2 hopw), jest bardziej e niezawodna, ma wi ksza przepustowo c itp. - a RIP nie bierze tego pod uwag . e s e
63
Rozdzia 9. Routing
router(config)# router rip
Samo polecenie nie zrobi jednak niczego atrakcyjnego - proces RIP wystartuje, ale nie b dzie e jeszcze zajmowa si routingiem. Dopiero wskazanie sieci, ktra ma zaja si RIP, powodue c e je rozpocz cie pracy. Zazmy, ze mamy sie skadajaca si z dwch routerw, tak jak na e c e rysunku ponizej:
Polecenie network 172.16.0.0 wydane na routerze rtr_1 spowoduje, ze RIP rozpocznie przetwarzanie rozgoszen RIP na wewn trznym interfejsie routera. Dopiero e dodanie polecenia network 192.168.0.0 spowoduje, ze router rtr_2 zacznie otrzymywa rozgoszenia RIP od swojego sasiada. Po dodaniu na routerze rtr_2 c analogicznej konguracji (do tego czasu rtr_2 b dzie otrzymywa rozgoszenia, ale e ignorowa je), zobaczymy ze routery dowiedziay si o istnieniu sieci podaczonych do e interfejsw FastEthernet sasiadw:
! Na routerze rtr_1: rtr_1(config)# router rip rtr_1(config)# network 172.16.0.0 rtr_1(config)# network 192.168.0.0 ! Na routerze rtr_2: rtr_2(config)# router rip rtr_2(config)# network 10.0.0.0 rtr_2(config)# network 192.168.0.0
W gwnej tablicy routingu, trasy poznane dzi ki dziaaniu protokou RIP oznaczone sa e litera R:
rtr_1# show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area [...] P - periodic downloaded static route Gateway of last resort is not set 172.16.0.0/24 is subnetted, 1 subnets 172.16.0.0 is directly connected, FastEthernet0 10.0.0.0/8 [120/1] via 192.168.0.254, 00:00:03, Serial0 192.168.0.0/16 is directly connected, Serial0
C R C
64
Rozdzia 9. Routing Mozna teraz ograniczy rozgoszenia do sieci mniejszej niz konkretna klasa, podajac w jej c denicji dodatkowo mask , np. w ten sposb: e
router(config)# network 192.168.0.0 mask 255.255.255.128
9.12. OSPF
9.12.1. Co to jest OSPF?
OSPF (ang. Open Shortest Path First) jest protokoem dynamicznego routingu typu link-state i nalezy do kategorii IGP. Kazdy router, w obr bie jednostek grupujacych sieci zwanych e areami (obszarami), posiada identyczna baz stanu linkw. Na bazie tych informacji twor e zone jest drzewo najkrtszych sciezek i wpisy do tablicy routingu. Podstawowymi cechami odrzniajacymi go od protokow typu distance-vector sa:
metryki/koszty przej cia pakietu przez dany link; s oszcz dno c pasma - uaktualnienia wysyane sa na skutek zmiany stanu danego linku, a e s nie w formie okresowych rozgoszen; szybka konwergencja - zdolno c do uzyskania stanu stabilnego po wykryciu zmiany w s drzewie poaczen sieciowych; struktura hierarchiczna; wsparcie dla VLSM (subnetowania sieci); mozliwo c uwierzytelniania sasiadw (przylegych w zw w rozumieniu sesji OSPF); s e
internal router - posiada wszystkie interfejsy w jednym obszarze. Jego zadania ograniczaja si do ogaszania LSA i utrzymywania aktualnych informacji w bazach danych. e backbone router - OSPF zakada istnienie specjalnego obszaru (nazywanego area 0 bad z backbone area), ktry spina inne obszary ze soba. Router pracujacy w tym obszarze to wa nie backbone router. s Area Border Router (ABR) - jest to router odpowiedzialny za aczenie dwch lub wi kszej e ilo ci obszarw (jednym z nich musi by backbone area). Utrzymuje pena topologiczna s c
65
Rozdzia 9. Routing baz o kazdym obszarze, do ktrego jest podaczony i przesya LSA mi dzy nimi. LSA e e zawieraja zsumaryzowane informacje dotyczace sieci w danym obszarze.
Autonomous System Border Router (ASBR) - aby wyj c poza swj system autonomiczny s bad wykorzysta informacj pochodzaca z innego protokou routingu (dynamicznego z c e bad statycznego) musisz opu ci domen OSPFa. Router, na ktrym dochodzi do takiego z s c e przej cia z ospf na inny typ routingu (poprzez np. redystrybucj routingu statycznego) to s e wa nie ASBR. Funkcje ASBRa spenia rwniez router na ktrym jest dokonywana redyss trybucja tras statycznych do ospfa.
(dla pasma liczonego w kilobitach na sekund , jak np. podaje si poleceniem bandwidth X e e przepustowo c interfejsu dla protokow routingu, wzr ten wyglada oczywi cie 10^5/pass s mo) Innymi sowy, acze E1 (2Mbit/s) wg. OSPF b dzie miao koszt 48, Ethernet 10Mbit/s 10, a e jeden kana 64Kbit/s ISDN BRI (kana D) b dzie mia koszt 1562. e
sumaryzacji moga dokonywa tylko ABRy i ASBRy; c mozna sumaryzowa do dowolnego rozmiaru podsieci (podsie ma oczywi cie rozmiar c c s pot gi cyfry 2); e
66
Rozdzia 9. Routing
sumaryzacj nalezy skongurowa r cznie, uwaznie rozplanowujac sie przy podziale na e c e c obszary;
Router-link (LSA typ 1) - wszystkie linki, ktre posiada dany router wraz z lista wszystkich sasiadw. Rozsyany tylko wewnatrz obszaru. Network-link (LSA typ 2) - rozsyana przez DR lista wszystkich routerw w danym segmencie, dla ktrych suzy jako DR i z ktrymi utrzymuje sasiedztwo. Rozsyany tylko wewnatrz obszaru. Summary link typu 3 - przesyane mi dzy obszarami, sumaryzuje informacje o sieciach w e danym obszarze. Tworzy je ABR. Summary link typu 4 - przesyana mi dzy obszarami, zsumaryzowana informacja o siecie ach pojawiajacych si w OSPFie wskutek redystrybucji. Tworzy je ASBR. e External link (LSA typ 5) - informacje o redystrybuowanych sieciach. Rozsyaja je ASBRy. Wyrzniamy 2 podtypy:
Typ 1 - metryka jest suma kosztu doj cia po OSPF i metryki zewn trznego protokou; s e Typ 2 - metryka jest tylko kosztem zewn trznego protokou; e
NSSA external link (LSA typ 7) - typ specjalnie stworzony dla obszarw NSSA, przeznaczony do przenoszenia informacji o redystrybuowanych sieciach. Analogicznie jak LSA5 ma 2 typy. Tworzy je ASBR.
9.12.6. Co jest potrzebne zeby dwa routery wymieniy informacje o routingu OSPF?
Routery musza by poprawnie skongurowane i zestawi ze soba sasiedztwo (ang. adjacen c c cy). Samo zestawienie sesji OSPF mi dzy routerami skada si z kilku etapw: e e ustanowienie sasiedztwa Nast puje wymiana pakietw OSPF Hello pomi dzy routerami przyaczonymi do jede e nego segmentu sieci (hello protocol). W pakietach hello routery umieszczaja ID innych routerw od ktrych usyszay wcze niej hello w tym segmencie. Je li dany router s s zobaczy swj router ID w pakiecie hello od innego routera, uznaje, ze ma juz z nim us tanowiona przylego c (adjacency). Przylego c jest warunkiem koniecznym do wymi s s any baz danych swoich linkw miedzy routerami. wybr DR i BDR W srodowiskach rozgoszeniowych (broadcastowych) takich jak Ethernet, Token-Ring, i FDDI nie ma sensu, by kazdy router wymienia sesj OSPF z kazdym routerem. Liczba e takich sesji byaby rwna n*(n-1)/2, gdzie n jest liczba w zw w danym segmencie. e Dla 10 routerw byoby to 45 sesji. W zamian za to wybiera si po rd routerw w e s segmencie tzw. Designated Router (DR) oraz Backup Designated Router (BDR) i z nimi
67
Rozdzia 9. Routing wszystkie routery zapinaja sesje. W srodowiskach nonbroadcast multiaccess (NBMA) tj. Frame Relay, DR i BDR musza zosta specjalnie skongurowane. W poaczeniach c point-to-point wyznaczanie DR i BDR nie jest konieczne. DR zajmuje si dystrybucja informacji routingowych uzyskanych od routerw danym e segmencie. Gdy DR padnie, zast puje go BDR, a nowy BDR jest wybierany z poe zostaych routerw. Kryterium wyboru DR i BDR oparte jest o priorytet routera (najwyzszy wygrywa). Domy lnie wszystkie routery maja priorytet 1 i wygrywa ten o na s jwyzszym numerze router-id. Router-id to adres interfejsu loopback (wirtualny inter fejs routera, ktry nigdy nie pada) bad najwyzszy adres z innego typu interfejsw z routera (je li nie ma loopbacka). Stosowanie interfejsw loopback na routerach korzysts nie wpywa na wybr DR/BDR, a co za tym idzie stabilno c sesji ospf. Warto jednak s wymusi by DR i BDR byy najsilniejszymi routerami w danym segmencie. Mozc na tym sztucznie wysterowa ustawiajac na interfejsie silnego routera stosunkowo c wysoki priorytet (ustawienie go na zero powoduje, ze dany router na pewno nie b dzie e DR/BDR).
wymiana informacji routingowych Po ustanowieniu sasiedztwa (i wybraniu DR/BDR dla segmentw wielodost powych), e routery z OSPFem sa gotowe do wymiany informacji o sieciach, ktre wzajemnie posi adaja. Informacje od stanach linkw na danym routerze jest wymieniana poprzez tzw. Link State Updates (LSUs). LSU zawieraja LSA, opisujace stan wszystkich linkw bad z sieci, o ktrych routery posiadaja informacje. Wszystkie te LSA sa przechowywane w link-state database, nazywanej czasem topological database. Ta link-state database jest perspektywa, z jakiej router widzi sie . Wszystkie routery po zakonczeniu procesu c wymiany informacji powinny mie identyczne link-state database (co nie oznacza, ze c takie same tablice routingu!).
Kolejne etapy majace na celu transfery bazy LSA miedzy sasiadami. Stan penego zsynchronizowania baz LSA.
Tak jak wskazaa powyzsza tabelka stabilnymi stanami mi dzy sasiadami sa: e
68
Rozdzia 9. Routing
FULL/DR lub FULL/BDR mi dzy routerem w segmencie a (B)DRem; e 2WAY/DROTHER mi dzy 2 routerami nieb dacymi DR ani BDR; e e
Je li w rezultacie komendy show ip ospf neighbor widzimy, ze stan na jakim s s podejrzanym interfejsie/linku odbiega od powyzszych wskazan wtedy post pujemy wg e wskazan z ponizszej tabelki:
Utrzymujacy si e stan Oznacza Sprawd.... z ------------------------------------------------------------------------------DOWN Nie ma odpowiedzi od ...czy dany interfejs dziaa. z adnego sasiada Jeli dziaa, to sprbuj wysa: s c ping 224.0.0.6 powinni odpowiedzie potencjalni c sasiedzi na linku ATTEMPT Wysane HELLO, ale brak odpowiedzi Wysane i otrzymane HELLO, ale nie ustanowione sasiedztwo W rodowiskach multiaccess normalne. s Sprawd, czy dany sasiad z odpowiada, np. pingiem do niego
INIT
Transfer bazy topologicznej ...MTU (czy takie same) oraz link midzy sasiadami nie moe e z fizyczny. Wylij wiksze s e poprawnie doj do skutku sc (1550 bajtowe) pingi do sasiada
69
Rozdzia 9. Routing
70
Rozdzia 9. Routing
Jak kazdy protok routujacy, BGP zarzadza tablicami routingu, wymienia informacje routingowe i opiera decyzje o routowaniu na metryce. Podstawowa funkcja jest wymiana in formacji o dost pno ci danej sieci zawierajaca informacje o li cie sciezek ASw. Ta informace s s ja moze by wykorzystana do skonstruowania grafu dost pno ci systemu autonomicznego. c e s W informacjach rozgoszeniowych peerom BGP podsyana jest tylko optymalna sciezka do danej sieci.
71
Rozdzia 9. Routing
142 149 153 0 0 0 20688180 15935988 20680512 20687760 14198940 20675960 6968 6828 6976 0 0 0 0 BGP Open 0 BGP Open 0 BGP Open
..oraz:
router_bgp# sh proc cpu | exc 0.00% 0.00% 0.00% CPU utilization for five seconds: 61%/31%; one minute: 36%; five minutes: 35% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 3 37272304 1981781 18807 0.00% 0.36% 0.42% 0 Check heaps 15 1331000 4103026 324 0.00% 0.03% 0.00% 0 ARP Input 22 744268 1573286 473 0.07% 0.02% 0.00% 0 Net Background 41 11547076 55980307 206 0.15% 0.07% 0.08% 0 IP Input 49 7493092 110337 67911 0.00% 0.09% 0.06% 0 IP Background 75 484 208 2326 0.76% 0.34% 0.09% 2 Virtual Exec 95 1549732 106200 14592 0.00% 0.02% 0.00% 0 Per-minute Jobs 112 3285676 20064138 163 0.00% 0.01% 0.00% 0 SNMP ENGINE 119 18127088 12981037 1396 0.07% 0.01% 0.10% 0 OSPF Router 121 18955580 34540455 548 0.07% 0.12% 0.12% 0 BGP Router 123 2648032 10310905 256 0.00% 0.01% 0.00% 0 BGP I/O 124 277728220 1697064 163655 29.08% 4.38% 3.70% 0 BGP Scanner
Powyzsze statystyki zebrano na routerze 7200 z moduem NPE-300. Generalnie, nalezy zaozy , ze 128MB pami ci to juz dzisiaj za mao, zeby utrzyma pene c e c tablice i zapewni jednocze nie sensowna funkcjonalno c. Jako minimum, zalecamy zatem c s s routery 3725/3745 (wydajno c wg. Cisco odpowiednio 100 i 225kpps) - mozna je rozbus dowa do 256MB RAMu i posiadaja wydajno c na dolnym puapie sensownej obsugi 1-2 c s ISP. Oczywi cie routery 3660 rwniez mozna rozbudowa do 256MB RAMu, ale od grudnia s c 2003r. routery te nie sa juz ani produkowane ani sprzedawane. Powiniene jednak powa nie rozwazy zakup routera klasy 7200 z moduem NPE-400 lub s z c NPE-1G do obsugi powaznego BGP. (NPE-400 posiada wg. Cisco wydajno c do 400kpps, s ale mozna je rozbudowa do maksymalnie 512MB RAM, NPE-1G do 1GB RAM). c
72
Rozdzia 9. Routing
Nalezy wi c przy projektowaniu systemu autonomicznego pomy le o skongurowa e s c niu zarwno protokou BGP do komunikacji ze swiatem zewn trznym oraz jakiego e s protokou typu IGP np. OSPF wewnatrz samego systemu - od biedy funkcje IGP mg by przeja iBGP, ale: c
jak wspomniano jest bardzo powolny w reagowaniu na awarie poaczen; na wi kszo ci maych routerw Cisco (1000, 1600, 1700, 2500) BGP nie jest dost pne e s e w standardowej wersji IOSa;
73
Rozdzia 9. Routing
jest protokoem typu distance-vector, nie bioracym pod uwag parametrw tech e nicznych linku takich jak jego przepustowo c; s
Waga (ang. weight) i local-preference Gdy mamy dost pnych kilka sciezek do jednego celu, musimy jako ustawi preferencj e s c e jednej nad druga. Do tego suza wa nie parametry: weight i local-preference. Znaczenie s ich jest podobne tzn. im wyzsza waga lub local-preference dla danej sciezki tym sciezka jest bardziej pozadana. Rznica polega na tym, ze:
Parametr weight jest wazny tylko w obr bie danego routera, natomiast local e preference przenosi si w obr bie caego ASa (ale nie poza nim!), e e Wyzsza waga ma pierwszenstwo nad wyzszym local-preference.
Dla wagi, je li router jest tzw. originatorem danej sieci (ma ja w konguracji wpisana s ja komenda network bad droga redystrybucji) wtedy 32768, dla innych sieci zero; z Dla local-preference jest to 100;
Oczywi cie te warto ci mozna modykowa , np. dla wagi przy konguracji jak na rys s c sunku ponizej:
...gdy z dwch zrde dostajemy t sama sie 175.10.0.0 mozemy ustawi wyzsza wag e c c e dla jednego z kierunkw na 3 sposoby:
74
Rozdzia 9. Routing
! Na routerze D: router bgp 256 neighbor 3.3.3.4 remote-as 300 route-map SETLOCALIN in neighbor 128.213.11.1 remote-as 256 ! ip as-path 7 permit ^300$ ! route-map SETLOCALIN permit 10 match as-path 7 set local-preference 200
75
Rozdzia 9. Routing
! route-map SETLOCALIN permit 20 !
UWAGA: Nalezy zwrci uwag na pusta instancj route-map! W przypadku jej braku, c e e wszystko, co nie pasowao do wzorca w poprzednich instancjach zostanie odrzucone.
Metryka O ile weight i local-preference byy parametrami pozwalajacymi na ustawianie pref erencji przychodzacych preksw BGP (a co za tym idzie trasy dla pakietw danych wychodzacych z naszego ASa do swiata), o tyle do wpywania na tras powrotna paki e etw ze swiat do nas musimy uzy innych mechanizmw. Pierwszym z nich jest me c tryka inaczej okre lana jako multi-exit discriminator (MED). W przeciwienstwie do locals preference, przenosi si ona poza AS, z tym, ze nie dalej niz sasiadujacy AS. Je li nasz e s preks przesyamy w dwch kierunkach, ale w pierwszym z nich markujemy go metryka wyzsza niz defaultowa (0), a w drugim nie ustawiamy jej (pozostawiamy zero), to spowodujemy, ze pakiety powrca do nas druga z tras. Ponizszy przykad pokazuje rzeczywiste rozwiazanie jakie zaimplementowali my na s aczach do Ebone. W ponizszym przykadzie, gdzie AS64513 ogasza przez 2 rzne sesje BGP do AS64512 ten sam prex, ale z rznymi metrykami: 0 i 20, ruch z AS64512 do sieci 192.168.192.0/24 pjdzie lewa sciezka.
Standardowo dany AS porwnuje metryk dla tego samego preksu otrzymanego z e 2 rznych sesji BGP, ale tylko, gdy obie sesje zapi te sa mi dzy tymi samymi parami e e ASw. Dopiero waczenie komendy: bgp always-compare-med powoduje wacze nie na danym routerze porwnywania metryk w preksach otrzymanych z dwch rznych zrde. Niestety bardzo rzadko ISP waczaja taka funkcj , wi c ten mechanizm e e by dobry w powyzszy przykadzie, ale niezbyt cz sto jest przydatny. e Druga metoda na wpywanie na drog pakietw powrotnych do naszych sieci jest ma e nipulacja dugo cia ogaszanej sciezki poprzez sztuczne jej wyduzania tzw. prepend. Po s prostu ogaszamy jaka sciezk dalej z naszym numerem ASa dodanym w niej wi cej s e e niz raz.
76
Rozdzia 9. Routing
BGP community Jest atrybutem suzacym do markowania (tagowania) okre lonych preksw, celem s okre lenia ich przynalezno ci do jakiej grupy preksw oraz p niejsze rozrznians s s z ie po tym zamarkowaniu po rd innych prexw. Zwyczajowo przyj o si , ze w danej s e e organizacji community maja posta <numer AS>:<numer community> np. 8246:1. c Znane sa rwniez powszechnie znane community suzace okre lonym celom: s
Community No-export No-advertised Prefiksw oznaczonych tym community..... ... nie ogaszaj do peerw eBGP ... nie ogaszaj nikomu
Przykad konguracji:
router bgp 100 neighbor 3.3.3.3 remote-as 300 neighbor 3.3.3.3 send-community neighbor 3.3.3.3 route-map setcommunity out ! route-map setcommunity match as-path 1 set community 200 additive !
Je li sciezka wskazuje next hop, do ktrego nie ma doj cia, update jest usuwany. s s Wybierana jest sciezka z wi ksza waga. e Je li wagi sa takie same, wybierana jest z wyzszym local-preference. s Je li local-preference sa takie same, wybierana jest sciezka zdeniowana generowana (oris gin) na danym routerze (komenda network lub droga redystrybucji). Nast pnie wybierana jest ta z krtsza sciezka. e IGP < EGP < incomplete Najnizszy MED EBGP ponad IBGP Najnizszy nexthop Najnizszy Router-ID
77
Rozdzia 9. Routing
Przy redystrybucji z np. RIPv2 do BGP, sieci pojawiaja si w tablicy BGP z maska classful; e Wpisanie sieci komenda network nawet bez maski, powoduje, ze ta sie musi by obecna c c w RIB z dokadno cia do dugo ci prexu s s
9.13.8. Chciabym uruchomi BGP - skad mam wzia swj c c numer AS?
Po pierwsze, zastanw si czy BGP jest Ci na pewno potrzebne. Nie potrzebujesz BGP je li: e s Masz pojedyncze poaczenie do Internetu Zastosuj po prostu domy lna tras statyczna, wskazujaca na router brzegowy Twojego s e ISP. To Twj ISP zadba, o rozgoszenie informacji o osiagalno ci Twojej sieci (zakresu s publicznych adresw IP) w Internecie. Masz wiele poaczen, ale tylko do jednego ISP Zwykle w takich sytuacjach chodzi o zapewnienie redundancji poaczenia Twj ISP Ty. Nadal to Twj ISP dba o widoczno c publicznego zakresu adresw IP przypisanych s do Twojej instalacji. Nie masz odpowiedniego sprz tu do obsugi BGP. e W zalezno ci od wybranego scenariusza BGP, b dziesz potrzebowa routera klasy s e 17xx/26xx (pobierasz tylko trasy domy lne i rozgaszasz swoje IP), klasy 36xx/37xx s (pobierasz cz sc tras od jednego ISP i caa tablic od drugiego ISP) oraz 37xx/7xxx (poe e bierasz od wszystkich ISP do ktrych jeste poaczony pene swiatowe tablice BGP). s Zawsze jednak skonsultuj si z kim , kto ma praktyk w konguracji BGP - wazne e s e b dzie aktualne obciazenie Twojego routera i inne czynniki, ktre moga wpyna na e c wybr scenariusza.
78
Rozdzia 9. Routing Formularz podania o wasny numer AS dla http://www.ripe.net/ripe/docs/asnrequestform.html. RIPE znajduje si e tutaj:
Formularz zamwienia na przestrzen adresowa PI dla RIPE znajduje si e tutaj: http://www.ripe.net/ripe/docs/pi-requestform.html a dla PA tutaj: http://www.ripe.net/ripe/docs/iprequestform.html.
Bardzo dobry przewodnik po konguracji BGP z opisem konkretnych scenariuszy znajduje si e pod adresem http://www.cisco.com/en/US/tech/tk365/tk80/technologies_tech_note09186a00800c95bb.shtml, dokadny opis polecen pod adresem http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_conguration_guide_chapter0918 warto rwniez zajrze do ksiazki Sama Halabiego, do ktrej link znajduje si na poczatku c e tego FAQ w rozdziale po wi conym dokumentacji. s e
79
Rozdzia 9. Routing
80
Klasykacja ruchu (ang. Trafc Classication) - chodzi o mozliwo c identykacji otrzy s manego ruchu tak, by na tej podstawie mozna byo p niej ksztatowa jego charak z c terystyki, czy gwarantowa mu np. pierwszenstwo, lub stae pasmo. W skad klasykacji c ruchu na routerach Cisco wchodza zagadnienia: 1. Routingu wedug zasad (ang. policy-based routing), czyli wprost wskazywania, ze ruch o danej charakterystyce powinien by routowany w taki a nie inny sposb c 2. Commited Access Rate 3. Class-Based Weighted Fair Queuing
Zarzadzanie zatorami (ang. Congestion Management) - prba ograniczenia wpywu nies fornych protokow i aplikacji na pozostay ruch wymieniany w sieci. W skad wchodzi: 1. Weighted Fair Queuing 2. Class-Based Weighted Fair Queuing 3. Priority Queuing 4. Custom Queuing
Unikanie zatorw (ang. Congestion Avoidance) - prba proaktywnego zapobiegania wysyceniu acza, lub wprost narzucanie polityki uniemozliwiajacej danemu rodzajowi ruchu wysycenia caego dost pnego pasma. e 1. Random Early Detection / Weighted Random Early Detection 2. Commited Access Rate
10.2. Je li chodzi o klasykacj , cz sto sysz akronimy s e e e ToS, Precedence i DSCP - o co chodzi?
ToS, czyli Type of Service (Rodzaj Usugi) to standard denicji klasy ruchowej pakietu IP, opisany dokadniej w RFC 1349. Deniuje sze c typw ruchu, i przypisuje kazdemu z nich s
81
Rozdzia 10. QoS - limitowanie, gwarantowanie i kontrola pasma warto c, zapisywana do bitw 3-6, w 1-bajtowym polu nagwka pakietu IPv4. Pole Preces dence to warto c z bitw 0-2 tego samego 1-bajtowego pola, okre lajace pierwszenstwo s s danego ruchu. DSCP, czyli Differentiated Services Codepoint, zdeniowany w nowszym standardzie (RFC 2474), opisuje jak za pomoca tego samego, 1-bajtowego pola w nagwku IPv4 podzieli ruch c na klasy troch inaczej - posugujac si przy tym bitami 0-5, pozostae dwa pozostawiajac e e jako nieuzywane. Za pomoca odczytywania lub oznaczania pakietw pasujacych do konkretnych kryter iw, routery i przeaczniki sa w stanie rznicowa traktowanie ruchu w sieci. Zwykle za c kada si , ze inteligentne urzadzenia sieciowe (zwykle chodzi o przeaczniki, ale czasami e wykonuja ta prac rwniez routery) znajdujace si najblizej stacji uzytkownikw, serwerw, e e czy innych urzadzen generujacych ruch, oznaczaja rzne rodzaje ruchu rznymi etykietami ToS/Precedence lub DSCP (wg. przyj tego w danej sieci standardu; dobrze jest robi w taki e c sam sposb w caej sieci pod swoja kontrola), a kolejne urzadzenia w ancuszku posuguja si juz tymi etykietami do priorytezacji ruchu, gwarantowania pasma czy jego ograniczania. e
82
83
interface Ethernet0 rate-limit input access-group 100 256000 8192 8192 conform-action transmit exceed-action rate-limit output access-group 100 256000 8192 8192 conform-action transmit exceed-actio ! access-list 100 permit tcp any any eq ftp access-list 100 permit tcp any eq ftp any access-list 100 permit tcp any any eq ftp-data access-list 100 permit tcp any eq ftp-data any
84
Rozdzia 10. QoS - limitowanie, gwarantowanie i kontrola pasma W ponizszym przykadzie wyjdziemy z nast pujacych zaozen: e
Posiadamy symetryczne acze 2Mbit/s Przede wszystkim interesuje nas ruch z wewn trznych serwerw poczty i WWW - chcee my, by miay w ruchu wychodzacym gwarantowane do 1Mbit/s ruchu, przy czym je li s rozp dza si powyzej 1,2Mbit/s zaczynamy ten ruch shapeowa by nie wysyci nam e e c zupenie pasma w ruchu wychodzacym; Aplikacjom typu SSH czy Telnet dajemy osobne 256kbit/s starajac si , by pakiety nalezace e do tego ruchu utrzymyway mozliwie mae op nienia. Podobnie jak dla powyzszego z ruchu, powyzej 384kbit/s zaczynamy ten ruch shapeowa . c Statycznie przycinamy cay ruch UDP i ICMP do po 64kbit/s zarwno przychodzacy jak i wychodzacy. Nie spodziewamy si otrzymywa wi cej ruchu tego typu w jednostce cza e c e su, a na pewno nie b dziemy rwniez wi cej generowa (to w ograniczonym stopniu e e c powstrzyma tez trojany, ktre moga zainstalowa si na stacjach naszych uzytkownikw c e i prbowa przeprowadza ataki DDoS na innych uzytkownikw Internetu) c c Przycinamy wszelakie protokoy P2P ktre jeste my w stanie rozpozna do minimalnej s c warto ci - 8kbit/s. To nie zablokuje w cao ci ruchu i nie zagwarantuje, ze ruch P2P nie s s wysyci naszego pasma od ISP do naszego routera (pojedynczy request z aplikacji P2P potra wygenerowa wiele jednoczesnych strumieni ktre sa w stanie zapcha naprawd c c e wielkie acza), ale b dzie naszym sposobem na kontrol tego, co kontrolowa trudno. e e c Caa reszt ruchu kolejkujemy wg. WFQ w 64 osobne potoki. e
class-map match-all cm_serwery match access-group name acl_serwery ! klasa cm_serwery wybiera tylko ruch pasujacy do ACL acl_serwery class-map match-any cm_ruch_gwarantowany match access-group name acl_ruch_gwarantowany ! klasa cm_serwery wybiera tylko ruch pasujacy do ACL acl_ruch_gwarantowany class-map match-any cm_udp_icmp match access-group name acl_udp_icmp ! klasa cm_serwery wybiera tylko ruch pasujacy do ACL acl_udp_icmp class-map match-any P2Ptraffic match protocol kazaa2 match protocol http url "\.hash=*" match protocol gnutella match protocol napster match protocol fasttrack ! wykorzystujemy tutaj funkcjonalnoc NBAR; umoliwia ona routerowi s z ! zagladanie do wntrza przesyanych danych i analiz ich e e ! przynalenoci do rnego rodzaju aplikacji z s z ! ! aby ta funkcjonalnoc zadziaaa, na interfejsach, ktre s ! ruch do sklasyfikowania odbieraja (zwykle i interfejsy LAN i WAN) ! naley wyda polecenie ip nbar protocol-discovery z c ! policy-map pm_lan2internet class cm_serwery bandwidth 1016 ! ruch zaliczony do klasy cm_serwery ma gwarantowane ! pasmo do 1Mbit/s, przy czym shape average 1256000 32768 32768 ! jeli zajmie 1,25Mbit/s zaczyna by shapeowany s c class cm_ruch_gwarantowany
85
przez
polecenie
show ip nbar
86
Wi cej o obsugiwanych standardach i idei dziaania przeczyta mozna tutaj: e c http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_conguration_guide_chapter0918 a konguracj e opisano np. tutaj: http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_conguration_guide_chapter0918
87
88
http://www.cisco.com/warp/public/707/index.shtml Ciscos Security Technical Tips Strona z seria porad dotyczacych bezpieczenstwa.
http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123cgcr/sec_vcg.htm Cisco IOS Security Conguration Guide, Release 12.3 Podr cznik do najnowszej obecnie wersji IOS (12.3), opisujacy wszystkie zagadnienia e zwiazane z bezpieczenstwem i podstawy ich konguracji.
http://www.cisco.com/go/autosecure Cisco AutoSecure Opis dost pnego od wersji 12.3 mechanizmu AutoSecure, uatwiajacego zabezpieczenie e routera.
Dodatkowo, ciekawe materiay znale c mozna na innych stronach: z NSA Security Recommendation Guides Dokumenty opisujace rekomendowane przez NSA (National Security Agency, Agencj e Bezpieczenstwa Narodowego USA) konguracje routerw Cisco. Rewelacyjna lektura.
89
Rozdzia 11. Bezpieczenstwo Building Bastion Routers Using Cisco IOS Publikacja w ramach ezinu Phrack, ktrego nikomu chyba nie trzeba przedstawia . c Dotyczy starszych wersji IOSw, ale przedstawia metodyczne podej cie do zabezs pieczania routera i jego otoczenia. Dokumenty Roba Thomasa Strona zawierajaca m.in. stale aktualizowana sieci, ktre nie powinny pojawi si w c e Internecie (tzw. Bogons List), oraz rozmaite wzorce konguracji i zalecenia dla optymalizacji. Doskonaa referencja, warto cz sto zaglada . e c Qorbit Safe templates Strona z wzorcami konguracji rznych urzadzen pod konkretne zastosowania - moze okaza si przydatna. c e Black Hat briengs Jak nietrudno zgadna , zbir prezentacji ze zlotw konferencji ludzi zajmujacych si c e bezpieczenstwem. Hardening Cisco Routers step-by-step Dokument stworzony w ramach certykacji SANS. Warto przeczyta , wiedza zebrana c z paru zrde i skompilowana.
11.2.2. Jak spowodowa , zebym logujac si do routera musia c e poda zarwno login jak i haso? c
Je li router ma sprawdza istnienie konta o danym loginie i poprawno c hasa bez s c s zewn trznej bazy danych, nalezy skongurowa uzytkownikw lokalnie, np. tak: e c
router(config)# username lukasz password ala10
90
Rozdzia 11. Bezpieczenstwo ...i skongurowa wirtualne linie terminali tak, by wymagay uwierzytelnienia si , w oparc e ciu o lokalna baz uzytkownikw: e
router(config)# line vty 0 15 router(config-line)# login local
Age (min) -
Interface Ethernet0
Jednak przypisanie takie dotyczy tylko mapowania IP -> MAC, ale nie na odwrt. Je li s komputerowi o adresie MAC aaaa.bbbb.cccc uzytkownik przypisze inny adres IP, b dzie e on mg komunikowa si z siecia. Natomiast przypisanie adresu IP 192.168.5.5 komputc e erowi o adresie MAC innym niz zdeniowany uniemozliwi komunikacj , gdyz wszystkie e ramki przesyane do adresu 192.168.5.5 zostana skierowane na MAC adres aaaa.bbbb.cccc. Je li zatem zrobimy statyczne mapowania IP->MAC wszystkim uzytkownikom, a reszt s e adresw IP zablokujemy odpowiednia access-lista to uzyskamy zamierzony efekt - nikt nie b dzie mg zmieni adresu IP w taki sposb, aby nadal mg komunikowa si z siecia. e c c e
11.2.4. Chciabym upewni si , ze mj router nie jest atwym c e celem dla wamywaczy. Co jako podstaw polecacie? e
W zasadzie najlepiej najpierw duzo poczyta . Wi kszo c zalecen sprowadza si jednak do: c e s e a) wyacz niepotrzebne usugi, b) upewnij si , ze routerowi nic nie przeszkadza. e Ponizej lista podstawowych polecen, ktre warto wykona . Jednak UWAGA: po pierwsze c mozesz co zepsu (!), po drugie takie pj cie na skrty powinno by dopiero poczatkiem do s c s c dalszej dog bnej analizy konguracji! e W konguracji globalnej wykonaj:
router(config)# router(config)# router(config)# router(config)# router(config)# router(config)# router(config)# router(config)# router(config)# no no no no no no no no no service udp-small-servers service tcp-small-servers service finger service dhcp service config service pad ip domain-lookup ip finger ip http server
91
92
Rozdzia 11. Bezpieczenstwo Kazda zdeniowana ACLka zawiera domy lnie na koncu wpis odrzucajacy kazdy ruch s (default deny), je li wi c skonstruujesz swoja ACLk tak, by najpierw odrzucaa jaki konkrets e e s ny ruch, a p niej chciaby zeby przepuszczaa pozostay, musisz go wprost przepu ci , np. z s s c tak:
ip access-list standard 10 deny ip 192.168.0.10 ! blokujemy wprost ruch z deny ip 192.168.0.11 ! blokujemy wprost ruch z deny ip 192.168.0.33 ! blokujemy wprost ruch z deny ip 192.168.0.91 ! blokujemy wprost ruch z deny ip 192.168.0.206 ! blokujemy wprost ruch z permit ip any ! przepuszczamy pozostay
Stworzenie standardowej listy ACL odbywa si przez nadanie jej identykatora od 1 do 99 e (oraz od IOSu 12.0, z dodatkowego zakresu 1300-1999). Rozszerzone ACL dost pne sa w dwch rodzajach - numerowane, w zakresie od 100 do 199 e (od IOS 12.0 rwniez 2000-2699), oraz nazwane. Termin rozszerzone oznacza, ze pozwala ja one sprawdza ze szczegami pewne standardowe pola pakietw (IP oraz w warstwie c czwartej, czyli porty TCP/UDP oraz rodzaje i typy ICMP). Zazmy, ze chcemy zablokowa ruch do naszego routera o adresie 169.254.10.1 na port 80. c Mozemy napisa : c
ip access-list extended 100 deny tcp any host 169.254.10.1 eq 80 ! ruch pakietw zawierajacych TCP z dowolnej lokalizacji ! (any) do hosta o adresie 169.254.10.1 na port docelowy 80 ! ma zosta zablokowany c permit ip any any ! przepuszczamy pozostay ruch IP
Warto zwrci na skrcony zapis - rozszerzone listy dost pu wymagaja uzycia adresu c e zrdowego i docelowego, jako pary adres i maska. Zamiast takiej konstrukcji mozna uzy c sw any (odpowiada konstrukcji 0.0.0.0 0.0.0.0, czyli dowolny adres), oraz host A.B.C.D (co odpowiada konstrukcji A.B.C.D 255.255.255.255, czyli tylko ten konkretny jeden adres). Rozszerzone ACL oferuja pewne dodatkowe testy - podstawowe, dost pne w praktycznie e wszystkich IOSach poczawszy od 12.0 to mi dzy innymi: e Dla protokow TCP i UDP dost pne sa sowa kluczowe sprawdzajace port: e eq X port zrdowy lub docelowy rwny X, w zalezno ci od miejsca umieszczenia warunku s gt X port zrdowy lub docelowy wi kszy niz X, w zalezno ci od miejsca umieszczenia e s warunku
93
Rozdzia 11. Bezpieczenstwo lt X port zrdowy lub docelowy mniejszy niz X, w zalezno ci od miejsca umieszczenia s warunku range X Y zakres portw zrdowych lub docelowych od X do Y, w zalezno ci od miejsca s umieszczenia warunku Natomiast dla TCP mozemy jeszcze dodatkowo wskaza agi ustawione w pakiecie: c syn Ustawiona aga SYN, poczatek normalnego poaczenia, np.:
! ip access-list extended Internet2Serwer permit tcp any gt 1023 host 169.254.10.1 eq 25 syn !
ack Ustawiona aga ACK - wi kszo c pakietw w strumieniu TCP. e s established Specjalne sowo kluczowe, pasuje do pakietw, z ustawiona aga ACK, ale zgaszona aga SYN, RST lub FIN. Innymi sowy, chodzi o pakiety nalezace do zestawionych poaczen. rst Ustawiona aga Reset - zwykle koniec poaczenia. Stworzona ACL nalezy przypisa do interfejsu. Obowiazuje regua, ze do jednego interfej c su mozna przypisa dwie ACLki - jedna kontrolujaca ruch wej ciowy i jedna kontrolujaca c s ruch wyj ciowy (z routera, bad przechodzacy przez router i wychodzacy tym akurat inters z fejsem).
interface serial 0.99 ip access-group 100 in ! ruch wchodzacy interfejsem bdzie sprawdzany wg. ACLki 100 e ip access-group 110 out ! ruch wychodzacy interfejsem bdzie sprawdzany wg. ACLki 110 e
94
Zwr uwag na liczby w nawiasach w reguach 10, 50 i 70. Jest to ilo c pakietw, ktra c e s pasowaa do danej reguy i router albo je odrzuci (reguy 10 i 50), albo przepu ci dalej s (regua 70).
14/15
4/5
Nalezy pami ta , ze wykorzystanie tej funkcjonalno ci pochonie troch pami ci (w e c s e e zalezno ci od ilo ci i wielko ci istniejacych i tworzonych list), jednak w zamian za to, s s s kazdy pakiet zostanie sprawdzony najwyzej pi c razy (dla list rozszerzonych) - adres e zrdowy, adres docelowy, protok, opcje protokou - i wynik, powodujacy przej cie do s przetwarzania nast pnego pakietu. Funkcjonalno c ta opisano szerzej pod tym adresem: e s http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120limit/120s/120s6/tu
95
Rozdzia 11. Bezpieczenstwo Po drugie, staraj si ograniczy liczb regu, zawierajac w poszczeglnych warunkach jak e c e najoglniejsze stwierdzenia (je li nie powoduje to oczywi cie przepuszczania niechcianego s s ruchu). Innymi sowy, na przykad zamiast wpisa ACLk z 254 wpisami typu permit ip c e 192.168.0.1, permit ip 192.168.0.2, permit ip 192.168.0.3 zastosuj jeden wpis w ramach listy rozszerzonej, ktry b dzie brzmia permit ip 192.168.0.0 0.0.0.255 any. e Po trzecie, przemy l konstrukcj ACLki starajac si oceni , jaki ruch najcz sciej b dzie s e e c e e dociera do Twojego routera - i jak najwcze niej w li cie regu akceptuj go lub odrzucaj. s s Pomocne jest w tym momencie polecenie show ip access-lists. Przeanalizujmy taka ACLk : e
10 20 30 40 50 60 70 80 90 100 110 120 130 140 150 160 170 180 190 200 210 220 230 250 260 270 280 290 300 310 320 330 340 350 360 370 380 390 400 permit ip host 169.254.10.1 host 169.254.9.4 permit gre any host 169.254.20.6 permit udp host 150.254.183.15 eq ntp host 169.254.9.4 eq ntp (11460 matches) deny ip 192.168.0.0 0.0.255.255 any (9865451 matches) deny ip 173.0.0.0 0.255.255.255 any (124 matches) deny ip 10.0.0.0 0.255.255.255 any deny ip 172.16.0.0 0.15.255.255 any (42 matches) deny ip 0.0.0.0 1.255.255.255 any deny ip 2.0.0.0 0.255.255.255 any deny ip 5.0.0.0 0.255.255.255 any deny ip 7.0.0.0 0.255.255.255 any deny ip 23.0.0.0 0.255.255.255 any (847618 matches) deny ip 27.0.0.0 0.255.255.255 any deny ip 31.0.0.0 0.255.255.255 any deny ip 36.0.0.0 1.255.255.255 any deny ip 39.0.0.0 0.255.255.255 any deny ip 41.0.0.0 0.255.255.255 any deny ip 42.0.0.0 0.255.255.255 any deny ip 49.0.0.0 0.255.255.255 any deny ip 50.0.0.0 0.255.255.255 any deny ip 58.0.0.0 1.255.255.255 any (749 matches) deny ip 70.0.0.0 1.255.255.255 any deny ip 72.0.0.0 7.255.255.255 any (6 matches) deny ip 88.0.0.0 7.255.255.255 any deny ip 169.254.0.0 0.0.255.255 any deny ip 174.0.0.0 1.255.255.255 any deny ip 176.0.0.0 7.255.255.255 any deny ip 184.0.0.0 3.255.255.255 any deny ip 189.0.0.0 0.255.255.255 any deny ip 190.0.0.0 0.255.255.255 any deny ip 192.0.2.0 0.0.0.255 any deny ip 197.0.0.0 0.255.255.255 any deny ip 198.18.0.0 0.1.255.255 any deny ip 223.0.0.0 0.255.255.255 any deny tcp any any range 135 139 (138750 matches) deny ip 96.0.0.0 31.255.255.255 any (6974 matches) deny udp any any range 135 netbios-ss (79235152 matches) deny tcp any range 135 139 any (8371 matches) deny udp any range 135 netbios-ss any
Wida od razu, ze regua pasujaca do zdecydowanie najwi kszej ilo ci pakietw (nr. 380, c e s 79,235,152 traenia) znajduje si na szarym koncu - jest sprawdzana dopiero 38. Powoduje to e niewielkie, ale jednak op nienia i oczywi cie przyczyna si do zwi kszonego obciazenia na z s e e routerze (pami taj, ze ACLka przegladana jest za kazdym razem, gdy do interfejsu dotrze, e lub ma go opu ci pakiet!). Porzadkujac list wedug traen otrzymamy co takiego: s c e s
96
Warto taka optymalizacj przeprowadzi raz na jaki czas - charakterystyki ruchu zmieni e c s aja si okresowo i co co polepszyo sytuacj p miesiaca temu, moze teraz ja pogarsza . e s e c Po czwarte, w wi kszo ci topologii w jakich router moze si znale c, warto unika ltrowae s e z c nia na interfejsie ruchu w obu kierunkach. Je li router posiada dwa interfejsy, to zakadajac, s ze ltrujemy ruch wchodzacy na obu interfejsach, nie trzeba juz specjalnie sprawdza ruchu c wychodzacego drugim interfejsem - wiadomo, ze przeltrowali my go juz, gdy wchodzi s interfejsem pierwszym. Je li jednak wykonujesz routing, a jaki ruch moze by generowany s s c z routera, by moze b dziesz musia jednak co ltrowa - wszystko zalezy od Twojej polic e s c tyki bezpieczenstwa. Po piate, warto zast powa reguy odrzucajace ruch do konkretnych adresw IP czy pod e c sieci, statycznymi wpisami routingu wskazujacymi na odpowiednio skongurowany in terfejs Null 0. Routery duzo lepiej radza sobie z routowaniem ruchu (nawet je li chodzi s o routowanie do interfejsu b dacego czarna dziura) niz jego ltrowaniem, czy wykonye waniem skomplikowanych operacji. Innymi sowy, po skongurowaniu wirtualnego interfejsu Null 0 w ten sposb:
97
Mozna zastapi nast pujacymi wpisami statycznymi routingu (zwr jednak uwag , by nie c e c e dopisa takiego ltrowania dla adresw sieci, ktre w twojej konkretnej instalacji wyst puc e ja!):
router# router# router# router# router# router# router# router# router# router# ip ip ip ip ip ip ip ip ip ip route route route route route route route route route route 10.0.0.0 255.0.0.0 null 0 0.0.0.0 254.0.0.0 null 0 2.0.0.0 255.0.0.0 null 0 5.0.0.0 255.0.0.0 null 0 7.0.0.0 255.0.0.0 null 0 27.0.0.0 255.0.0.0 null 0 31.0.0.0 255.0.0.0 null 0 36.0.0.0 254.0.0.0 null 0 39.0.0.0 254.0.0.0 null 0 41.0.0.0 255.0.0.0 null 0
Po szste i ostatnie, je li ltrujesz ruch na interfejsach wewn trznych pod katem s e poprawno ci adresw (tzn. nie chcesz, by kto w Twojej sieci 192.168.0.0/24 mg wysya s s c pakiety z adresem zrdowym np. 172.16.0.0/16), a masz lub mozesz waczy mechanizm c CEF, mozesz ACLk w tej postaci: e
ip access-list extended RuchLAN deny tcp any any range 135 139 deny udp any any range 135 139 deny tcp any range 135 139 any deny udp any range 135 netbios-ss any permit ip 192.168.0.0 0.0.0.255 any deny ip any any
...zmodykowa do postaci: c
ip access-list extended deny tcp any any range deny udp any any range deny tcp any range 135 deny udp any range 135 permit ip any any RuchLAN 135 139 135 139 139 any netbios-ss any
98
Rozdzia 11. Bezpieczenstwo A w zamian za to, waczy na interfejsie do ktrego przypisana bya ta ACLka, mechanizm c uRPF, czyli unicast Reverse-Path-Filtering, w ten sposb:
router# ip cef router# conf t router(config)# interface FastEthernet 0 router(config-if)# ip verify unicast reverse-path
Jak to dziaa? uRPF opiera swoje dziaanie o tablic budowana przez CEF - FIB (ang. Fore warding Information Base). Po otrzymaniu przez router pakietu, przechodzi on nast pujaca e drog : e
Sprawdzana jest wej ciowa ACLka przypisana do interfejsu. s uRPF sprawdza, czy droga powrotna dla pakietu wskazuje na interfejs, ktrym dotar on do routera - je li nie, pakiet jest odrzucany s CEF sprawdza FIB, by wyznaczy dalsza drog dla pakietu (je li nie zosta odrzucony) c e s Na interfejsie, ktrym pakiet ma opu ci router, sprawdzana jest ACLka wyj ciowa s c s Pakiet jest wysyany przez interfejs.
Innymi sowy, zazmy, ze masz router z dwoma interfejsami - Ethernetowym, o adresie 192.168.0.1/24 i szeregowy, z adresem 169.254.10.2/30. Po waczeniu mechanizmu CEF, bu dowany jest FIB. Znajdzie si w nim wpis dla sieci 192.168.0.0/24 jako zaczepionej na e interfejsie Ethernet. Zarazona stacja w sieci LAN zaczyna generowa pakiety, z losowo c wybranymi adresami zrdowymi. Dla kazdego pakietu otrzymanego interfejsem Ethernet, router sprawdza, czy je li przyszaby na niego odpowied , miaby wysa ja interfejsem, s z c z ktrego wa nie ja odebra. Zazmy, ze router otrzyma pakiet ze sfaszowanego adresu s 10.7.65.2. Sprawdza tablic FIB i nie znajduje wpisu, ktry mwiby, ze do sieci 10 nalezy e wychodzi interfejsem Ethernetowym - pakiet jest w zwiazku z tym odrzucany. Na tej samej c zasadzie dziaa ochrona ruchu, otrzymywanego przez interfejs szeregowy - je li tylko wacs zono na nim mechanizm uRPF. Pakiet, ktry chciaby zosta wstrzelony do sieci LAN c (zazmy, ze przyszed z adresem nalezacym do Twojej sieci LAN), zostanie odrzucony, poniewaz przyszed zym interfejsem. Dziaanie funkcji uRPF na konkretnym interfejsie potwierdzi mozna wydajac polecenie: c
router# show ip interface fastethernet 0 FastEthernet0 is up, line protocol is up [...] IP verify source reachable-via RX, allow default ! waczona weryfikacja adresw rdowych z 642 verification drops ! iloc odrzuconych pakietw z uwagi na zy adres rdowy s z
99
100
Poaczenie dost powe do routera brzegowego: 169.254.10.0/30, przy czym .1 to adres e routera ISP a .2 to adres routera klienta Sie lokalna ma adresacj 192.168.10.0/24, przy czym .1 to adres interfejsu routera. c e Ruch nie chroniony tunelem IPsec wysyany jest normalnie do Internetu, po zNATowaniu na publiczny adres interfejsu routera.
Poaczenie dost powe do routera brzegowego: 169.254.20.0/30, przy czym .1 to adres e routera ISP a .2 to adres routera klienta Sie lokalna ma adresacj 192.168.20.0/24, przy czym .1 to adres interfejsu routera. c e Ruch nie chroniony tunelem IPsec wysyany jest normalnie do Internetu, po zNATowaniu na publiczny adres interfejsu routera.
101
102
103
12.2.2. ...tunel IPsec+GRE pomi dzy dwoma routerami e poaczonymi do Internetu kanaami Frame Relay PVC?
Zakadamy, ze aczymy dwie lokalizacje ("A" i "B") wyposazone w pojedyncze PVC do In ternetu (w obu przypadkach DLCI 99). Dodatkowo, chcemy chroni tunel GRE, poniewaz c oprcz ruchu unicastowego, chcemy przenosi ruch broadcastowy lub np. inne protokoy c (IPX itp.) Dane lokalizacji "A":
Poaczenie dost powe do routera brzegowego: 169.254.10.0/30, przy czym .1 to adres e routera ISP a .2 to adres routera klienta
104
Sie lokalna ma adresacj 192.168.10.0/24, przy czym .1 to adres interfejsu routera. c e Tunel ma adres 192.168.254.1, drugi koniec (po stronie drugiej lokalizacji) ma adres 192.168.254.2, w obu przypadkach uzywamy maski /30. Ruch nie chroniony tunelem IPsec wysyany jest normalnie do Internetu, po zNATowaniu na publiczny adres interfejsu routera.
Poaczenie dost powe do routera brzegowego: 169.254.20.0/30, przy czym .1 to adres e routera ISP a .2 to adres routera klienta Sie lokalna ma adresacj 192.168.20.0/24, przy czym .1 to adres interfejsu routera. c e Tunel ma adres 192.168.254.2, drugi koniec (po stronie drugiej lokalizacji) ma adres 192.168.254.1, w obu przypadkach uzywamy maski /30. Ruch nie chroniony tunelem IPsec wysyany jest normalnie do Internetu, po zNATowaniu na publiczny adres interfejsu routera.
105
106
Rozdzia 12. VPN - Wirtualne Sieci Prywatne ..a teraz konguracja routera w lokalizacji "B":
no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime service timestamps log datetime msec localtime service password-encryption no service dhcp ! hostname rtr_b ! enable password jakies_trudne_haslo ! username user_1 password haslo_usera_1 ip subnet-zero no ip source-route no ip domain-lookup ip tcp path-mtu-discovery logging buffered 64000 ! crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key trudne_haslo_isakmp address 169.254.10.2 ! ! crypto ipsec transform-set myset esp-des esp-md5-hmac mode transport ! interface Tunnel0 ip address 192.168.254.2 255.255.255.252 tunnel source Serial 0.1 tunnel destination 169.254.10.2 crypto map MapaISAKMP ! crypto map MapaISAKMP 1 ipsec-isakmp set peer 169.254.10.2 set transform-set myset match address SiecIPSEC ! interface FastEthernet 0/0 description Polaczenie dla sieci LAN ip address 192.168.20.1 255.255.255.0 ip nat inside ! interface Serial0 description Konfiguracja fizycznego interfejsu szeregowego no ip address encapsulation frame-relay frame-relay lmi-type ansi ! interface Serial0.1 point-to-point description Polaczenie do Internetu 2Mbit ip address 169.254.20.2 255.255.255.252 frame-relay interface-dlci 99 IETF ip nat outside
107
108
13.1.3. Jaka kart zastosowa do poaczenia ISDN BRI w celu e c przenoszenia danych?
Je li masz wolny slot WIC (routery 1600, 1700, 2600, 3600 i 3700), mozesz zastosowa kart s c e WIC-1B-S/T. Zawiera ona pojedynczy port ISDN BRI. Je li masz wolny slot NM (routery 2600, 3600 i 3700), mozesz zastosowa karty NM-4B-S/T s c lub NM-8B-S/T, zawierajace odpowiednio 4 i 8 stykw ISDN BRI. Je li natomiast masz wolny slot PA (routery serii 7000) i zalezy Ci na portach BRI, dost pna s e jest tylko jedna karta: PA-8B-S/T, zawierajaca osiem portw BRI.
13.1.4. Jaka kart zastosowa do poaczenia ISDN PRI w celu e c przenoszenia danych?
Je li masz wolny slot NM (routery 2600, 3600 i 3700), mozesz zastosowa kart NM-1CE1T1s c e PRI lub NM-2CE1T1-PRI. Zawieraja one odpowiednio jeden i dwa styki ISDN PRI.
109
110
13.2. E1/E3
13.2.1. Jaka kart zastosowa do poaczenia E1 w celu e c przenoszenia danych?
Je li masz wolny slot WIC (routery 1600, 1700, 2600, 3600 i 3700), mozesz zastosowa kart s c e VWIC-1MFT-E1 lub VWIC-2MFT-E1. Zawieraja one odpowiednio jeden i dwa porty E1. Je li natomiast masz wolny slot PA (routery serii 7000) masz do wyboru kart PA-4E1G/75 s e (75 ohmw) lub PA-4E1G/120 (120 ohmw). Kazda z kart zawiera po cztery porty E1, ktre obsuguja rwniez prac w trybie G.703. e
13.3. ATM
13.3.1. Jaka kart zastosowa do poaczenia ATM w celu e c przenoszenia danych?
Je li masz wolny slot WIC (routery 2600, 3600 i 3700), mozesz uzy karty VWIC-1MFT-E1 s c lub VWIC-2MFT-E1 oraz karty-akceleratora AIM-ATM, by zaterminowa ATM. c Je li masz wolny slot NM (routery 2600, 3600 i 3700), mozesz zastosowa kart NMs c e 1ATM. Zawiera one pojedynczy port RJ-48C i obsuguje przepywno ci do 25Mbit/s. Warto s dokupi rwniez kart -akcelerator AIM-ATM, poniewaz wydajno c bez niej moze by bardc e s c zo maa. Routery 2691, 3600 i 3725 obsuguja rwniez kart NM-1A-OC3MM, ktra zawiera styk e ATM OC3 - do przepywno ci 155Mbit/s. s
111
Rozdzia 13. Telekomunikacja Je li masz wolny slot PA (routery serii 7000) masz do wyboru kart PA-A3-E3 (ATM w opars e ciu o acze E3 34Mbit/s) lub PA-A3-OC3MM (ATM w oparciu o OC3 - 155Mbit/s).
112
Process Switching Metoda ta byla pierwsza metoda zaimplementowana w IOS i jest to metoda najprost sza. Pierwszy pakiet w strumieniu (ang. ow) jest kopiowany do bufora systemowego, a nast pnie procesor przeszukuj tablic routingu w poszukiwaniu miejsca docelowego. e e e Suma kontrolna (CRC) liczona jest przez procesor. Nast pnie informacje warstwy 2 sa e przepisywane i pakiet wysyany jest na docelowy interfejs. Kazde nast pne pakiety stru e mienia sa komutowane podobnie. Process switching ma najduzszy czas komutacji pakietw, poniewaz uzywa buforw sys temowych i procesora gwnego, aby obrobi kazdy pakiet otrzymany przez router. c Niemniej jednak, ten rodzaj komutacji potrzebny jest przy niektrych zadaniach, nawet, je li na routerze dziaaja inne, optymalniejsze mechabuzmy komutacji - np. logowanie s pakietw traajacych w ACLki, debugging pakietw IP itp. Minusy process switchingu: wymaga aby dla kazdego pakietu zajrze do tablicy c routingu - kosztuje to czas. Je li tablica routingu rozro nie si , zwi kszy si rwniez s s e e e czas przetwarzania kazdego pakietu. Rekursywne zapytania takze zwiekszaja czas przetwarzania pakietu. Zwi ksza si takze obciazenie CPU routera, co przy maych siecie e ach moze by do pomini cia, ale przy wi kszych staje si problemem. Innym problemem c e e e rzutujacym na wydajno c jest szybko c transferu danych z pami ci. s s e
Fast Switching Fast switching uzywa pami ci pod cznej by przechowywa informacje o przepywaja e e c cym przez router strumieniu (ang. ow). W momencie waczenia fast switching, pierwszy pakiet w strumieniu jest zapisywany w pami ci packet (oddzielny obszar w buforach e systemowych). Nast pnie procesor przelicza mapowanie warstwy 3 na 2, zapisuje tras e e w pami ci route (ang. route cache) i kazdy nast pny pakiet ze strumienia jest juz komue e towany z wykorzystaniem zapisanych w pami ciach podr cznych informacji. e e Poniewaz adres pakietw w strumieniu jest juz znany, route cache suzy rwniez do sprawdzenia interfejsu docelowego, przez ktry pakiet powinien opu ci router. Nast ps c e nie pakiet ma przepisywany nagwek warstwy 2 a procesor interfejsu oblicza sum CRC. e Kolejne pakiety z potoku nie przerywaja dziaania procesora gwnego, a poniewaz inter fejs docelowy jest znany (przechowywany w route cache) rwniez bufory systemowe nie sa uzywane do przetrzymywania pakietu.
113
Rozdzia 14. Rodzaje komutacji w routerach Cisco Fast switching jest domy lnym mechanizmem komutacji na routerach 1600, 1700, 2500 s oraz 2600 na interfejsach Ethernet, FastEthernet oraz Serial. Je li fast stwitching zostao s wyaczone, mozna przywroci je uzywajac polecenia ip route-cache na interfejsie. c Aby monitorowa informacje o dziaaniu tego mechanizmu, nalezy wyda komende c c show ip cache.
Optimum oraz Distributed Switching Metody te nie sa dost pne w routerach serii 1600, 1700, 2500 oraz 2600. Przy optimum e switching uzywana jest metoda podobna do fast switching, z tym, ze po tym jak pier wszy pakiet strumienia zosta przetworzony, informacja o trasie dla dalszych pakietw jest wpisywana do osobnej pami ci podr cznej (optimum switching cache), ktra dziaa e e szybciej i optymalniej niz w metodzie fast. Optimum switching dost pne jest na routerach e klasy 7200. Aby waczy optimum switching nalezy wyda komende: ip route-cache optimum c c na kazdym interfejsie. Monitoring lub troubleshooting wymaga uzycia komendy: show ip cache optimum. Distributed switching wymaga z kolei uzycia osobnych Versatile Interface Processor (VIP). Karta VIP przechowuje lokalna kopi route cache i przeprowadza cay proces ko e mutacji lokalnie - interfejs nie musi czeka na pami c. c e
NetFlow Switching NetFlow switching pozwala na zbieranie informacji o ruchu IP do celw rozliczeniowych i/lub dokadniejszej analizy obciazenia sieci. NetFlow uzywa domy lnie fast switchingu s lub optimum switchingu do przekazywania ruchu IP. Strumienie (ang. ows) sledzone sa z dokadno cia do protokou, portu (TCP/UDP), typu serwisu. Informacje te moga by s c eksportowane do stacji zarzadzajacej. Poniewaz dane zbierane przez NetFlow sa prze chowywane w routing cache, proces komutacji NetFlow jest prze roczysty dla wszystz kich urzadzen sieciowych. NetFlow zwi ksza jednak obciazenie procesora oraz pami ci. e e Domy lnie NetFlow cache uzywa 64 bajty pami ci na kazdy strumien. s e Komutacj NetFlow mozna waczy wydajac polecenie ip route-cache flow. Aby e c monitorowa prac NetFlow mozna uzy polecenia show ip cache flow. Eksport c e c danych NetFlow nast puje dopiero, gdy wskazesz adresata danych poleceniem ip e flow-export adres_IP.
Cisco Express Forwarding - CEF Tablica FIB (ang. Forwarding Information Base) uzywana jest do przechowywania wszyst kich znanych tras z tablicy routingu, a do jej przeszukiwania uzywany jest zaawansowany algorytm. FIB zmienia si , je li zmieniaja si wpisy w tablicy routingu routera. Tablie s e ca FIB (ewentualnie CEF table) implementowana jest jako zmniejszona tablica routingu, za pomoca 256- ciezkowej tablicy mtrie. Aby wy wietlic tablic uzyj polecenia show s s e ip cef summary. W tablicy kazdy w ze (ang. node) moze posiada do 256 dzieci. e c Kazde dziecko (link) uzywane jest do reprezentacji innego adresu dla kazdego oktetu w adresie IPv4. Tablica sasiedztw (ang. adjacency) uzywana jest w mechani mie CEF do przechowywa z nia informacji o sasiadach. Sasiadem moze zosta tylko taki host, ktry jest w odlego ci c s jednego hopa. Tablica sasiedztw przechowuje adresy warstwy 2 sasiadw, dla kazdego wpisu w FIB. Aby wy wietli tablic uzyj polecenia show adjacency. s c e
114
Rozdzia 14. Rodzaje komutacji w routerach Cisco Poniewaz adresy docelowe moga mie wi cej niz jedna sciezk , CEF moze zosta uzyty do c e e c rozkadania obciazenia (ang. load balancing), poprzez rzne sciezki. Je li interfejs otrzymu s je pakiet i waczony jest mechanizm CEF, router przeszukuje tablic FIB. Po znalezieniu e pasujacych informacji, tworzony jest nagwek warstwy 2 i pakiet jest komutowany. CEF opisano dokadniej http://www.cisco.com/warp/public/cc/pd/iosw/iore/tech/cef_wp.htm. tutaj:
Je li masz ochot poczyta dokadniej o metodach komutacji, warto zajrze do s e c c podr cznika do najnowszej wersji IOS po wi conego wa nie tym zagadnieniom: e s e s http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123cgcr/swit_vcg.htm.
Spowoduje to waczenie na wszystkich interfejsach tego routera, chyba, ze w kong uracji konkretnego interfejsu(-w) wskazano wprost inny rodzaj mechanizmu komutacji, lub w ogle wyaczono na nim jakiekolwiek mechanizmy (np. poleceniem no ip route-cache). Uwaga: Waczenie CEFu powoduje zaj cie pewnej ilo ci pami ci. Je li masz jej bardzo mao, e s e s postaraj si najpierw ja rozszerzy lub wyaczy nieuzywane usugi, a dopiero p niej e c c z waczy CEF. c
Je li waczye CEF i nie wiesz, czy obsuguje on rwniez ruch obsugiwany przez routes s mapy, sprawd to na przykad tak: z
router# show ip interface FastEthernet 0/0 | include route-cache IP route-cache flags are Fast, CEF
Je li natomiast mechanizm CEF jest wyaczony (ale waczony pozostaje fast-switching, s domy lna konguracja wielu mniejszych routerw), stan interfejsu wyglada tak: s
router# show ip interface FastEthernet 0/0 | include route-cache
115
Pkts In Chars In 1061140 147825393 15218207 2362951731 16279347 2510777124 Pkts In Chars In 18912250 2891638844 0 0 18912250 2891638844
Pkts Out Chars Out 1527082 123126868 14344465 2136433785 15871547 2259560653 Pkts Out 18435628 0 18435628 Chars Out 47230091 0 47230091
Natomiast posugujac si poleceniem show interface switching mozesz uzyska e c dokadniejsze informacje, z rozbiciem na konkretne typy komutacji:
router# show interface switching FastEthernet0/0 Do sieci LAN Throttle count
116
Protocol Path Other Process Cache misses Fast Auton/SSE IP Process Cache misses Fast Auton/SSE ARP Process Cache misses Fast Auton/SSE
Jak wida , fast-switching obsuzy na interfejsie FastEthernet 0/0 50,915,903 pakiety przyc chodzace i 70,504,415 pakietw wychodzacych. Tylko 27,314,376 pakietw przychodzacych i 7,373,999 pakietw wychodzacych obsugiwane byo przez process-switching. Ponizej to samo, ale dla interfejsu szeregowego:
Serial0/0 Throttle count Drops RP SPD Flushes Fast SPD Aggress Fast SPD Priority Inputs Protocol Path Other Process Cache misses Fast Auton/SSE IP Process Cache misses Fast Auton/SSE 0 511 0 0 60384 SP SSE Drops 0 0 0 Pkts Out 29282 0 0 24316765 Chars Out 409958 0 0 123842058
17250459 2590666322 0 0
117
118
...gdzie X to limit czasu dla bezczynnej translacji w sekundach. Domy lnie rwny jest 86400, s czyli 24 godziny. Sensowna warto cia na poczatek byoby 3600, czyli 1 godzina. s Limit ten dotyczy jednak tylko translacji, ktre nie odbywaja si w ramach translacji typu e overload, czyli takiej, w ktrej liczba stacji z adresami prywatnymi jest wi ksza, niz liczba e publicznych adresw IP (innymi sowy, je li masz 1 czy 2 adresy publiczne, a sie LAN ma s c 200 stacji, takiej translacji wa nie uzywasz). s Aby w takiej sytuacji skrci domy lne czasy translacji, nalezy uzy nast pujacych polecen c s c e (je li uzywasz dla swojej sieci zarwno translacji typu overload jak i 1:1, zastosuj oba wpisy): s
router(config)# ip nat ip nat translation tcp-timeout A
..gdzie A to limit czasu w sekundach dla poaczen TCP (domy lnie rwniez 86400, czyli 24 s godziny). Je li masz opisane wyzej problemy - skr czas translacji TCP na poczatek do 1 s c godziny (3600).
15.2. Mam router X, ktry udost pnia Internet stacjom w e sieci LAN. Mam tylko 5 stacji a widz tysiace translacji e o co chodzi?
Je li to stacje z systemem operacyjnym Microsoft Windows, to problem moga powodowa s c poaczenia z i do mechanizmw Microsoft Networking, pracujacych standardowo w zakre sie portw 135-139 zarwno w oparciu o TCP jak i UDP. Je li Twoja konguracja NAT wyglada obecnie tak: s
interface Ethernet0 ip nat inside ! interface Ethernet1 ip nat outside ! ip nat inside source list 100 interface Ethernet 1 overload ! access-list 100 permit ip 192.168.0.0 0.0.0.255 any access-list 100 deny ip any any
119
Rozdzia 15. Optymalizacja wydajnoci s ...wystarczy, ze zmienisz ACL 100 tak, by odrzucaa ruch nalezacy do Microsoft Networking. Docelowo lista ta powinna wyglada np. tak: c
access-list access-list access-list access-list access-list access-list 100 100 100 100 100 100 deny tcp any any range 135 139 deny udp any any range 135 139 deny tcp any range 135 139 any deny udp any range 135 139 any permit ip 192.168.0.0 0.0.0.255 any deny ip any any
15.3. Mam router X, ktry udost pnia Internet stacjom w e sieci LAN. Router obsuguje ruch zaledwie X Mbit/s i ju z procesor obcia ony jest w 100%! Na stronie Cisco z znalazem informacj , ze ten model mo e obsu y ruch e z z c znacznie wi kszy! e
Informacje podawane w zestawieniach dotycza zwykle kpps lub Mpps - oznaczajace odpowienio kilo pakietw na sekund i mega pakietw na sekund . Np. 100 kpps oznacza e e wydajno c rz du 100,000 pakietw na sekund . s e e Teraz zderzamy si z rzeczywisto cia. e s Po pierwsze, taka wydajno c osiagana jest bez skongurowanych zadnych usug (NAT, s ACL, QoS itp.) i jest suma ruchu do i z routera. Po drugie, warto ci te podawane sa niestety dla rznych wielko ci pakietw. Z uwagi na s s konstrukcj i dziaanie, router gorzej znosi routing pakietw mniejszych (np. 64-bajtowych), e poniewaz dla kazdego musi wykona pewien zestaw czynno ci, a lepiej wi kszych (np. c s e 1500-bajtowych). Co wi cej, routing tej samej ilo ci pakietw ale o rznych rozmiarach, daje e s diametralnie rzne warto ci przepustowo ci - 100kpps dla pakietw o dugo ci 64-bajtw to s s s zaledwie 51Mbit/s, ale juz dla pakietw 1500-bajtowych - 1,2Gbit/s! Przyjeo si , zgodnie e z RFC dotyczacym pomiaru wydajno ci routerw, ze pomiary powinny by wykonywane s c dla wielu rozmiarw pakietw - ale producenci podaja zwykle pomiary wykonane dla paki etw o dugo ci 384-512 bajtw. s Po trzecie w koncu, nalezy wzia pod uwag architektur urzadzenia - routery Cisco sa w c e e stanie wykonywa routing na wiele rznych sposobw, poczawszy od routingu wykonyc wanego tylko przez procesor (ang. process switching) po wykorzystanie zaawansowanych mechanizmw opracowanych w tej rmie (np. ang. CEF, Cisco Express Forwarding). W zalezno ci od zbioru realnie uzywanych usug, czyli ACL, QoS, NATa czy protokow s routingu, dany router moze by idealny do danego zastosowania, lub na przykad zupenie c si do niego nie nadawa . e c W sytuacji gdy dysponujesz jednym aczem do Internetu, o przepustowo ci do 2Mbit/s s (symetrycznie), dobrym wyborem b dzie router klasy 1700. Przy sensownych komproe misach, router sprawdzi si rwniez w konguracji z dwoma aczami 2Mbit/s. e Routery serii 2600XM (routery bez literek XM maja sabsze procesory i mniej pami ci, nie e sa juz produkowane ani sprzedawane) produkowane sa w trzech wersjach biorac pod uwag procesory, oraz w dwch wersjach wyposazenia w interfejsy (jeden lub dwa ine terfejsy FastEthernet). Routery te sprawdzaja si w instalacjach z dwoma-trzema aczami e
120
Rozdzia 15. Optymalizacja wydajnoci s 2Mbit/s, lub wymagajacych koncentracji poaczen typu dial-up (moduy z 4 i 8 portami ISDN BRI, czy 16 i 32 portami asynchronicznymi). Wydajno c tej serii wg. Cisco wynosi od s 20kpps (2610XM/2611XM), przez 30kpps (2620XM/2621XM) po 40kpps (2650XM/2651XM) czy 70kpps (2691). Routery serii 3600 wyszy juz z produkcji i sprzedazy (w grudniu 2003r.). Ich podsta wowym mankamentem by brak zabudowanych interfejsw Ethernet (tylko 3661/3662 miay odpowiednio jeden i dwa). Doskonale sprawdzaja si w scenariuszach, w ktrych e wymagana jest agregacja duzej ilo ci portw ISDN BRI, PRI, asynchronicznych czy tez s E1/G.703 (dost pne sa rwniez moduy ATM, ale o wydajno ci OC3 mozna niestety tylko e s pomarzy na tej platformie). Przy rozbudowanej do maksimum pami ci RAM (dla 3620 do c e 64MB, dla 3640/3640A do 128MB, dla 3660 do 256MB), oraz sensownej konguracji, router 3660 cakiem dobrze sprawdzaja si w konguracjach z maym BGP. Wydajno c tej serii e s wg. Cisco wynosi od 35kpps (3620), przez 50kpps (3640/3640A) do ~110kpps dla 3661/3662. Routery serii 3700 - 3725 i 3745 to nast pcy serii 3600. Posiadaja odpowiednio dwa i cztery e sloty na moduy NM, po trzy sloty WIC i po dwa sloty AIM. Dodatkowo, na obu zainstalowano na stae dwa porty FastEthernet. Biorac pod uwag fakt, ze mozna na nich zain e stalowa maksymalnie 256MB RAM, moga sprawdzi si w sytuacjach w ktrych do tej pory c c e sprawdzaa si seria 3600 oraz z routingiem BGP. Wydajno c 3725 Cisco ocenia na 100kpps, e s a 3745 - 225kpps.
Wacz CEF ( ip cef ) - automatycznie spowoduje to waczenie mechanizmu zwi k e szanie wydajno ci na wszystkich interfejsach sieciowych, ktre CEF obsuguja w danym s IOSie. W stosunku do process switchingu, czyli obrbki kazdego pakietu przez CPU, wzrost wydajno ci (lub chociaz spadek obciazenia CPU) powinien by dramatyczny. s c Upewnij si , ze router nie robi niepotrzebnych rzeczy - wyacz nieuzywane usugi, zope tymalizuj uzywane ACLki, a te, ktre kontroluja poprawno c routowanego ruchu, za s stap mechanizmem uRPF ( ang. Unicast Reverse-Path Filtering, polecenie ip verify unicast reverse-path ). Upewnij si , ze je li wykonujesz NAT, translacji podlega tylko sensowny i pozadany ruch e s - pozostay blokuj. Je li zamierzasz co zablokowa za pomoca ACLki, zastanw si , czy nie lepiej wykorzyss s c e ta routingu do wirtualnego interejsu Null 0. Architektura routerw optymalizowana c jest do routingu a nie ltrowania pakietw, w zwiazku z czym zwykle routing w nico c s dziaa szybciej i stanowi mniejsze obciazenie dla procesora niz ltrowanie tego samego ruchu z odrzucaniem go. W ACLkach wyacz logowanie w reguach - powoduje to powrt do obrbki pakietu przez CPU i moze powodowa wyzwalanie dodatkowych mechanizmw (logowanie na c konsol , do pami ci, do serwerw syslog itp.) e e Wyacz wszelkie waczone sesje odpluskwiania ( undebug all ), oraz logowanie infor macji na konsol ( no logging console ) e
121
Wyacz eksport i zbieranie informacji w ramach mechanizmw NetFlow - w szczegl no ci na mniejszych platformach (1700/2600/3600/3700) waczenie tego mechanizmu s przy nawet umiarkowanym ruchu moze dosownie zabi router ( no ip route-cache c flow na interfejsach, na ktrych zosta waczony oraz no ip export w konguracji globalnej ) Stosuj rozkadanie ruchu w ramach routingu domy lnego, lub w ramach jednego z pros tokow routingu dynamicznego, zamiast acz Mulitlink PPP. Zawsze przy takich aczach upewnij si , ze routing pakietw odbywa si za pomoca najoptymalniejszej sciezki komue e tacji. Wykorzystaj tumienie zdarzen zwiazanych z IP (ang. IP event dampening) do ograniczenia kosztownych czasowo i obliczeniowo operacji na tablicach routingu. Zastanw si nad optymalnym doborem protokou routingu do zadania: w sieciach hie erarchicznych OSPF b dzie sprawowa si lepiej niz EIGRP, a w sieciach z jednym wyj e e s ciem do Internetu utrzymywanie routingu BGP jest generalnie bez sensu. Wykorzystaj sumaryzacj do oszcz dzania procesorw i pami ci. e e e Dla sesji zestawianych do/z routera, np. peeringu BGP, wacz wykrywanie optymalnego MTU na aczu (ip tcp path-mtu-discovery). Domy lna warto c MSS (segmentu s s TCP) to 536 bajtw - na aczach typu Ethernet czy ATM jest mao optymalna. Zmiana ta powinna zmniejszy ilo c pakietw, a wyduzy ich wielko c, dzi ki czemu do przesania c s c s e informacji b dzie potrzeba mniej pakietw. Dla Ethernetu warto c MSS wynosi generalnie e s 1460 bajtw, a np. dla acz PoS/ATM - 4430 bajtw. Staraj si korzysta z poaczen przez sie (Telnet/SSH) a nie przez konsol . Na wszystkich e c c e platformach, kazdy znak otrzymany/wysyany do konsoli obsugiwany jest przez proce sor (ew. gwny procesor), wywoujacy w tym celu przerwanie. Na tej samej zasadzie, staraj si nie korzysta z portu AUX routera, je li nie jest to konieczne. e c s
Podane dane sa jedynie orientacyjne Dotycza sytuacji, gdy urzadzenie nie robi nic innego Sa suma ruchu wej ciowego i wyj ciowego s s Dotycza pojedynczego tunelu IPsec VPN szyfrowanego algorytmem 3DES. Szyfrowany ruch jest czystym ruchem IP, nie ma zaozonych zadnych tuneli itp.
Pami taj, zeby zawsze skonsultowa decyzj z kim kto posiada praktyk przed podj ciem e c e s e e decyzji o zakupie lub modernizacji swojego sprz tu. e
Platforma Rodzaj szyfrowania (3DES) 64b Cisco 831/837 seria 1721/1751/170 Cisco 1710 programowo-sprztowe e programowo sprzt (MOD1700VPN) e 0,5Mbit/s Rozmiar pakietw 512b 2,5Mbit/s 1400b 7Mbit/s
0,8Mbit/s
122
Cisco 2691 Cisco 3620 Cisco 3640 Cisco 3660 Cisco 3725 Cisco 3745 Cisco 7206VXR z NPE-1G PIX-501 PIX-506E PIX-515 PIX-515E PIX-515E PIX-525 PIX-525 PIX-535 PIX-535 CVPN3005 i 3010 CVPN3020 i 3030 CVPN3060 i 3080
sprzt (AIM-VPN/EPII) e sprzt (NM-VPN/MP) e sprzt (NM-VPN/MP) e sprzt (AIM-VPN/HPII) e sprzt (AIM-VPN/EPII) e sprzt (AIM-VPN/EPII) e sprzt (VAM2) e programowo programowo programowo programowo sprzt (PIX-VAC) e programowo sprzt (PIX-VAC) e programowo sprzt (PIX-VAC) e programowo sprztowo e sprztowo e
123
124
802.11b Standard okre lajacy prac w pa mie 2,4GHz. Dost pne sa 3 niezakcajace si kanay s e s e e radiowe. Urzadzenia moga pracowa uzywajac kodowania DSSS z pr dko ciami 11, c e s 5.5, 2 i 1 Mbit/s. Urzadzeniami produkcji Cisco pracujacymi w tej technologii sa: AP serii 350, 1120 oraz AP 1200 (z radiem 802.11b), a takze bezprzewodowy most Aironet 350.
802.11g Standard okre lajacy prac w pa mie 2,4GHz. Dost pne sa 3 niezakcajace si kanay s e s e e radiowe. Urzadzenia moga pracowa w trybie zgodno ci w d z 802.11b uzywajac c s kodowania DSSS z pr dko ciami 11, 5.5, 2 i 1 Mbit/s, oraz uzywajac kodowania OFDM e s z pr dko ciami 54, 48, 36, 24, 18, 12, 9 i 6Mbit/s. e s Urzadzeniami produkcji Cisco pracujacymi w tej technologii sa: AP serii 1120 oraz AP 1200 (z radiem 802.11g).
Gdzie EIRP(dBm) - efektywna moc wypromieniowywana, P(t) moc nadawcza nadajnika w dBm, G(ant) - wzmocnienie anteny i L(l) - strata na kablu aczacym anten i nadajnik. e
125
126
17.3. Skad mog wiedzie , ze dany sprz t nie jest ju e c e z sprzedawany przez Cisco?
Notki pojawiaja si zwykle jako biuletyny na stronach poszczeglnych produktw, moz e na rwniez posiadajac konto CCO zapisa si do rozsyanego e-mailem biuletynu informa c e cyjnego. Produkty obecnie zaklasykowane jako EoL, czyli End of Life zebrano tutaj: http://www.cisco.com/univercd/cc/td/doc/pcat/#ch27.
127
128
18.1.2. Jak zaadowa obraz Cisco IOS do pami ci Flash, c e dysponujac tylko trybem ROMMON i poaczeniem przez konsol ? e
Zakadam, ze obraz Cisco IOS znajduje si w miejscu dla Ciebie dost pnym i masz e e mozliwo c transmisji XMODEM ze swojego terminala a nazwa pliku z IOSem to s c2600-i-mz.123-1a.bin. Wydaj polecenie:
rommon 1> xmodem c2600-i-mz.123-1a.bin Do not start the sending program yet... device does not contain a valid magic number dir: cannot open device "flash:" WARNING: All existing data in bootflash will be lost! Invoke this application only for disaster recovery. Do you wish to continue? y/n [n]:
Waczy transmisj XMODEM ze swojego terminala, obrazu z Cisco IOS. Je li wszystko si c e s e powiedzie, router nalezy zresetowa - mozna to zrobi sprz towo, lub poleceniem: c c e
rommon 2> reset Po starcie routera powinien zaadowa si IOS: c e program load complete, entry point: 0x80008000, size: 0x54ab60 Self decompressing the image : ################################################# ######################################################### [OK]
18.1.3. Jak zaadowa obraz Cisco IOS do pami ci Flash, c e dysponujac tylko trybem ROMMON i poaczeniem przez
129
Ethernet?
Zakadam, ze obraz Cisco IOS znajduje si w miejscu dla Ciebie dost pnym (w tym e e przykadzie plik ma nazw c2600-i-mz.123-1a.bin), masz do swojej dyspozycji sere wer TFTP skongurowany na serwowanie tego pliku i albo poaczye si skrosowanym s e kablem Ethernet do pierwszego portu Ethernet routera ze stacji, albo podaczye ten port s do sieci, w ktrej b dzie mozna osiagna serwer TFTP. e c Nalezy nada routerowi tymczasowy adres IP, w podsieci w ktrej znajduje si rwniez c e Twoja stacja. W naszym przykadzie jest to jedna podsie - Twoja stacja ma w niej adres c 169.254.10.5/24 a routerowi nadamy adres 169.254.10.2/24:
rommon 1> IP_ADDRESS=169.254.10.2 rommon 2> IP_SUBNET_MASK=255.255.255.0 rommon 3> DEFAULT_GATEWAY=169.254.10.1
Ponizszy opis dotyczy wi kszo ci e s routerw. Oryginalne procedury do caego sprz tu e produkcji Cisco Systems znajduja si e tutaj: http://www.cisco.com/en/US/products/hw/contnetw/ps789/products_tech_note09186a00801746e6.shtm Musisz uzyska dost p do konsoli i zresetowa router. Zaraz po rozpocz ciu adowania: c e c e
System Bootstrap, Version 12.2(7r) [cmong 7r], RELEASE SOFTWARE (fc1) Copyright (c) 2002 by cisco Systems, Inc. C2600 platform with 65536 Kbytes of main memory
...musisz ze swojego terminala wysa sekwencj Ctrl+Break. Spowoduje to wej cie do c e s ROMMONa:
PC = 0xfff0ac3c, Vector = 0x500, SP = 0x680127c0 monitor: command "boot" aborted due to user interrupt rommon 1>
Pozostaje zmieni rejestr konguracyjny na warto c, ktra pominie wczytanie pliku kongc s uracyjnego, a nast pnie zresetowa router: e c
rommon 1> conf-reg 0x2142 rommon 2> reset
130
Rozdzia 18. Rozwiazywanie problemw Po zaadowaniu si Cisco IOS, wejd do trybu uprzywilejowanego, skopiuj zawarto c pliku e z s startup-config do aktualnej konguracji running-config i ewentualnie dokonaj zmiany hase. Na przykad:
router> enable router# copy startup-config running-config c1760# conf t c1760(config)# enable password moje_nowe_haslo
131
18.3.2. Prbuj zdebugowa ruch na interfejsie routera e c poleceniem debug ip packet, ale widz tylko pojedyncze e pakiety?
Wyacz CEF (no ip cef) - ale uwa aj(!) na obciazenie procesora - moze gwatownie z wzrosna - wszystko zalezy od ilo ci obsugiwanego ruchu. c s
18.3.3. Chciabym na PIXie sniffowa ruch i zapisywa go do c c dalszej analizy - jak to zrobi ? c
Zdeniuj ACLk , ktra b dzie pasowaa do ruchu przeznaczonego do sniffowania. Zae e zmy, ze interesuje nas tylko ruch na port 80 dowolnego hosta:
pix(config)# access-list 100 permit tcp any any eq 80
Teraz uruchamiamy sniffowanie, podajac ta ACLk , rozmiar bufora (w bajtach), dugo c e s pakietu ktra ma by podsuchana, a w koncu nazw pliku, do ktrego zapisywany c e b dzie wynik sniffowania: e
pix(config)# capture in-www access-list 100 buffer 256000 interface inside packet-length
W pami ci Flash zostaje utworzony plik o nazwie in-www, ktry zawiera zapis pode suchanych sesji (pierwsze 256kB, p niej PIX przestanie nasuchiwa ) na interfejsie inz c side. Mozesz go skopiowa np. na serwer TFTP lub FTP do dalszej analizy narz dziami c e takimi jak tcpdump czy Ethereal (plik jest w formacie pcap).
132
18.5.2. Na swoim przeaczniku 2950, 3550 czy 3750 otrzymuj e komunikat %SYS-2-MALLOCFAIL: Memory allocation of (...) Cause: Memory fragmentation
Prawdopodobnie masz po prostu p tl w sieci. Upewnij si , ze na wszystkich e e e przeacznikach waczony jest protok Spanning Tree lub Rapid Spanning Tree.
133
Rozdzia 18. Rozwiazywanie problemw Starsze IOSy (12.1.8-12.1.11) bardzo nie lubia takich okresowych sztormw pakietw w ra mach p tli i zwykle kada interfejs do nast pnego restartu (nie pomaga no shut). Nowsze e e IOSy (od 12.1.12) lepiej radza sobie z wysyceniem pami ci i potraa mimo klapni cia in e e terfejsu podnie c go po chwili, ale nie jest to stan, ktry powiniene w sieci pozostawi . s s c Typowym objawem tego problemu, sa np. takie informacje w logach:
%SYS-2-MALLOCFAIL: Memory allocation of 1680 bytes failed from 0x156550, alignment 0 Pool: I/O Free: 2172 Cause: Memory fragmentation Alternate Pool: None Free: 0 Cause: No Alternate pool
Jak mozna przeczyta , przeacznik wysyci caa pami c I/O przeznaczona do tymcza c e sowego kolejkowania ramek i zgasza bad sfragmentowania pami ci. Posugujac si polece e e niem show memory summary mozna to potwierdzi : c
switch# show memory summary Head Total(b) Processor BDDF8C 54655092 I/O 80000000 8388608 Used(b) 4842004 1128084 Free(b) 49813088 7260524 Lowest(b) 47010552 2172 Largest(b) 47973440 7187568
134
ukasz Bromirski, lukasz at bromirski.net Szymon Kosmala, szymon at netfusion.pl Marek Moskal, moskit at irc.pl Szczepan Pacut, spacut at ccie.pl Marcin Strzyzewski, marcins at ccie.pl Mariusz Trojanowski, mariusz421 at wp.pl Adam Obszynski, awo at freebsd.pl
135
136
v0.42 17/03/2004 12:49:06 Dodanie rozwiazania DSL/VPN (Mariusz Trojanowski) Dodanie tabelki z wydajno cia VPN urzadzen Cisco, konguracja eksportu NetFlow, s routingu mi dzy VLANami na kartach WIC-4ESW oraz NM-16ESW/32ESW a takze e troch kosmetycznych poprawek (ukasz Bromirski) e
v0.40 10/03/2004 14:59:06 Dodanie sekcji o OSPFie (Szczepan Pacut) Dodanie uszczegowien do opisu obciazenia (Marek Moskal) Poprawki, uszczegowienia do paru pytan oraz par nowych pytan (Szymon Kosmala) e Konguracja NATu na patyku (Adam Obszynski) Dodanie paru podstawowych pytan o innych protokoach routingu (ukasz Bromirski) Dodanie sekcji o VPNach (ukasz Bromirski)
v0.37 08/03/2004 10:57:15 Czytelniejsze URLe oraz par niezaleznych sugestii (Marek Moskal) e labolatorium != laboratorium (Mariusz Trojanowski i Jacek Zapaa) CCIE - INTERNetwork Expert (Tomasz Mistat)
v0.36 05/03/2004 17:10:15 literwki i rzne inne (Marcin Jurczuk) v0.35 05/03/2004 09:59:16 Przygotowania do wydania publicznego
137
138