Cisco Faq PL

(nieocjalne) Cisco FAQ PL
czyli najcz sciej zadawane pytania o Cisco z e odpowiedziami po polsku
ukasz Bromirski
lukasz@bromirski.net (koordynator)
(nieocjalne) Cisco FAQ PL: czyli najcz sciej zadawane pytania o Cisco z odpowiedziami po polsku e ukasz Bromirski Historia zmian Zmiana 0.50 Data: 21/03/2004 21:42:03 Rozbudowa - patrz ChangeLog na koncu dokumentu.
Spis tre ci s
1. Sprawy porzadkowe..................................................................................................................... 1 1.1. O wiadczenie i licencja..................................................................................................... 1 s 1.2. Dost p do CVS i Twj udzia w tym projekcie ............................................................. 1 e 1.3. Lista pocztowa - jak i gdzie?............................................................................................ 1 2. Pytania oglne ............................................................................................................................... 3 2.1. Gdzie mozna poczyta o rmie Cisco i produktach tej rmy?................................... 3 c 2.2. Do kogo zwrci si o pomoc, je li chciabym zbudowa swoja sie w oparciu o c e s c c produkty Cisco? .............................................................................................................. 3 2.3. Jak skontaktowa si z pomoca techniczna Cisco? ...................................................... 3 c e 2.4. Gdzie mozna uzyska pomoc dotyczaca sieci i Cisco?................................................ 3 c 2.5. Skad mog pobra nowsze oprogramowanie do swojego urzadzenia Cisco?......... 4 e c 2.6. Syszaem, ze aktywacja szyfrowania 3DES i ew. AES jest na PIXach darmowa czy to prawda? ................................................................................................................ 4 2.7. Czy sa jakie strony sympatykw Cisco z ciekawymi materiaami?......................... 4 s 3. Dokumentacja ............................................................................................................................... 7 3.1. Gdzie w Internecie znale c dobre materiay o sprz cie Cisco? Konguracja, z e przykady, zalecenia? ..................................................................................................... 7 3.2. Jakie polecacie ksiazki po Polsku, do pracy ze sprz tem Cisco? ............................... 7 e 3.3. A jakie w ogle ksiazki polecacie, po wi cone sieciom oraz sprz towi Cisco? ...... 8 s e e 3.4. Jak zainstalowa Cisco Documentation pod Windows tak, by nie trzeba byo za c kazdym razem korzysta z krazka?............................................................................. 8 c 3.5. Jak zainstalowa Cisco Documentation pod Linuksem/BSD? .................................. 9 c 3.6. Gdzie sprawdzi skadni konkretnego polecenia?..................................................... 9 c e 4. Certykacje Cisco ....................................................................................................................... 11 4.1. Jakie sa poziomy certykacji Cisco? ............................................................................. 11 4.2. Jakie egzaminy musz zda na poziomie Associate? ................................................ 11 e c 4.3. Jakie egzaminy musz zda na poziomie Professional?............................................ 11 e c 4.4. Jakie egzaminy musz zda na poziomie Expert?...................................................... 12 e c 4.5. Gdzie mog znale c dokadna list tematw na dany egzamin? ............................ 13 e z e 4.6. Czy dla zdajacych sa jakie pomoce? ........................................................................... 13 s 4.7. Czy po egzaminie mog podzieli si ze znajomymi tre cia pytan?....................... 14 e c e s 5. Podstawy pracy z urzadzeniami Cisco ................................................................................... 15 5.1. Jak podaczy si do........................................................................................................ 15 c e 5.1.1. ...routera Cisco?................................................................................................... 15 5.1.2. ...Cisco PIX? ......................................................................................................... 15 5.1.3. ...przeacznika Cisco Catalyst serii 1000, 2000 lub 3000? .............................. 15 5.1.4. ...przeacznika Cisco Catalyst serii 4000/4500?.............................................. 15 5.1.5. ...przeacznika Cisco Catalyst serii 6000/6500?.............................................. 15 5.1.6. ...sondy Cisco IDS serii 42xx?............................................................................ 16 5.1.7. ...punktu bezprzewodowego AP350, 1120 lub 1200? .................................... 16 5.2. Podaczyem si i...? ........................................................................................................ 16 e 5.2.1. ...w oknie terminala nic nie widz ?.................................................................. 16 e 5.2.2. ...jak dostawa informacje o zdarzeniach na routerze na konsol ?............. 16 c e 5.2.3. ...jaki dokadnie mam router? Ile mam pami ci RAM/ash? Co oznaczaja e poszczeglne linijki z polecenia show version? ........................................... 16 5.2.4. ...gdy pomyl si w poleceniu, router zaczyna robi dziwne rzeczy... ....... 18 e e c 5.2.5. ...chciabym zapisa konguracj routera/PIXa/przeacznika? ................. 18 c e 5.2.6. ...chciabym wymaza konguracj routera/PIXa/przeacznika?.............. 18 c e
iii
5.2.7. ...jakiego uzy oprogramowania do poaczenia si z routerem? ................. 19 c e 5.2.8. ...jakiego uzy oprogramowania do serowania plikw tftp/ftp?................ 19 c 5.2.9. Mj router uparcie prbuje sciagna z sieci plik network-cong, c network-cfg lub cisconet.cfg - o co chodzi?..................................................... 19 6. Podstawy konguracji usug .................................................................................................... 21 6.1. DHCP ................................................................................................................................ 21 6.1.1. Co to sa prywatne/niezarejestrowane adresy IP? ......................................... 21 6.1.2. Czy router moze peni rol serwera DHCP?................................................. 21 c e 6.1.3. Jak przydzieli interfejsowi adres z serwera DHCP?.................................... 22 c 6.1.4. Jak przekaza dalej zapytania DHCP? ............................................................ 22 c 6.2. SNMP ................................................................................................................................ 22 6.2.1. Jak uruchomi na routerze SNMP?.................................................................. 22 c 6.3. Logowanie zdarzen......................................................................................................... 23 6.3.1. Chciabym logowa zdarzenia zachodzace na routerze do pami ci. Jak to c e zrobi ?................................................................................................................... 23 c 6.3.2. Chciabym logowa zdarzenia zachodzace na PIXie do pami ci. Jak to c e zrobi ?................................................................................................................... 23 c 6.3.3. Chciabym logowa zdarzenia zachodzace na routerze do serwera syslog. c Jak to zrobi ?........................................................................................................ 23 c 6.3.4. Chciabym logowa zdarzenia zachodzace na PIXie do serwera syslog. Jak c to zrobi ? .............................................................................................................. 23 c 6.4. Czas ................................................................................................................................... 24 6.4.1. Jak ustawi zegar na routerze? ......................................................................... 24 c 6.4.2. Jak ustawi zegar wg. serwerw czasu z Internetu? ..................................... 24 c 6.4.3. Skongurowaem na swoim routerze NTP, ale zegar pozostaje niezsynchronizowany - a min o juz par godzin. ........................................ 25 e e 6.5. NAT ................................................................................................................................... 25 6.5.1. W jakich wersjach oprogramowania obsugiwany jest NAT, PAT oraz mapowanie portw z adresw publicznych na prywatne?.......................... 25 6.5.2. Chc uruchomi NAT - mam jeden interfejs publiczny i jeden prywatny. e c Jak to zrobi ?........................................................................................................ 25 c 6.5.3. Mam router z jednym interfejsem i chc robi NAT - czy to wykonalne? . 26 e c 6.5.4. Chc przekierowa port 25/tcp z adresu publicznego routera do sieci e c wewn trznej - jak to zrobi ? .............................................................................. 27 e c 6.5.5. Jak sprawdzi , ktre interfejsy przypisane sa do NAT i jak sa c skongurowane? ................................................................................................. 27 6.5.6. NAT mi nie dziaa - co moze by zle?.............................................................. 28 c 6.6. SSH .................................................................................................................................... 28 6.6.1. Jak skongurowa SSH? .................................................................................... 28 c 6.6.2. Jak sprawdzi , czy serwer SSH jest waczony? .............................................. 29 c 6.7. Rejestr konguracyjny routerw .................................................................................. 29 6.7.1. Po zapisaniu konguracji i przeadowaniu routera, trac konguracj e e dlaczego? .............................................................................................................. 29 6.7.2. Co dokadnie oznaczaja bajty z rejestra konguracyjnego?......................... 29 6.7.3. Czy do ustawiania rejestru konguracyjnego mozna uzy jakiego c s narz dzia? ............................................................................................................ 30 e 6.8. VLANy.............................................................................................................................. 30 6.8.1. Co to sa VLANy? ................................................................................................ 30 6.8.2. Co to jest VLAN natywny? ........................................................................... 30 6.8.3. Co maja na my li ludzie mwiac router na patyku (ang. router on a stick)? s 31
iv
6.8.4. Czy Cisco PIX moze obsugiwa VLANy? ..................................................... 31 c 6.8.5. Jak skongurowa na PIXie VLAN?................................................................ 32 c 6.9. Jak sprawdzi ................................................................................................................... 32 c 6.9.1. ...ile interfejsw logicznych obsuzy router X?............................................... 33 6.9.2. ...aktualne obciazenie procesora? ..................................................................... 33 6.9.3. ...historyczne obciazenie procesora? ................................................................ 34 6.9.4. ...w li cie procesw tylko te, zajmujace jakie zasoby procesora?............... 34 s s 6.9.5. ...zaj to c pami ci?.............................................................................................. 35 e s e 6.9.6. ...obj to c pami ci wykorzystywana przez procesy routingu? ................... 35 e s e 6.9.7. ...jakie karty zainstalowano w routerze? ......................................................... 36 6.9.8. ...jakie karty zainstalowano w przeaczniku pracujacym pod kontrola CatOS? .................................................................................................................. 37 6.9.9. ...co obsuguje dany feature-set?....................................................................... 37 6.9.10. ...znajac nazw pliku Cisco IOS jaki to feature-set?..................................... 37 e 6.9.11. ...czy dana karta/modu kompatybilna jest z danym routerem?.............. 38 6.9.12. ...na ktrym porcie routera znajduje si urzadzenie o danym adresie e MAC lub IP? ........................................................................................................ 38 6.9.13. ...na ktrym porcie przeacznika Catalyst wpi to urzadzenie o danym e adresie MAC? ...................................................................................................... 39 6.9.14. ...budzet mocy na modularnym przeaczniku Catalyst? ............................ 39 7. Wybr sprz tu pod konkretne zastosowanie ........................................................................ 41 e 7.1. Jaki router wystarczy do maej sieci (10-15 uzytkownikw), w sytuacji, gdy Internet dochodzi do mnie Ethernetem?................................................................... 41 7.2. Jaki router wystarczy do maej sieci (10-15 uzytkownikw), w sytuacji, gdy Internet dochodzi do mnie stykiem V.35 (Polpak-T)? ............................................. 41 7.3. Jaki router wystarczy do maej sieci (10-15 uzytkownikw), w sytuacji, gdy chcemy bezpiecznie poaczy si VPNem do innej podobnej lokalizacji przez c e acze zakonczone Ethernetem? ................................................................................... 41 7.4. Mam dwa acza od dwch ISP i chciabym uruchomi BGP. Jakiego routera c powinienem uzy ?........................................................................................................ 42 c 7.5. Potrzebuj may przeacznik Cisco, bez routingu ...................................................... 42 e 7.6. Potrzebuj przeacznik Cisco potraacy realizowa routing.................................... 43 e c 7.6.1. Przeaczniki niemodularne ............................................................................... 43 7.6.2. Przeaczniki modularne..................................................................................... 43 7.7. Czy Cisco sprzedaje tzw. rewalle sprz towe? ...................................................... 44 e 7.8. Czy Cisco sprzedaje sprz t do budowy sieci bezprzewodowych? ......................... 44 e 8. Jak skongurowa router do..................................................................................................... 45 c 8.1. ...usugi transmisji danych w sieci Polpak-T? ............................................................. 45 8.2. ...InternetDSL lub innego dostawcy oferujacego styk Ethernet? ............................. 46 8.3. ...usugi SDI/CDI?........................................................................................................... 47 8.4. ...usugi Neostrada+? ...................................................................................................... 48 8.5. ...do Neostrady+ ale dla routera Cisco 677? ................................................................ 50 8.6. ...poaczenia kablami V.35 dwch routerw Frame Relay?....................................... 51 8.7. ...obsugi dwch rwnolegych acz od niezaleznych ISP?....................................... 52 8.7.1. A co je li mam wi cej acz - na przykad 3?.................................................... 54 s e 8.7.2. A co z lokalnym ruchem do/z routera? .......................................................... 54 8.8. ....eksportu danych NetFlow?........................................................................................ 55 8.9. ...routingu pomi dzy VLANami na kartach WIC-4ESW, NM-16ESW lub e NM-32ESW? .................................................................................................................. 56
9. Routing ......................................................................................................................................... 59 9.1. Mam na routerze dwa interfejsy z nadanymi adresami IP, ale router nie chce routowa mi dzy nimi. O co chodzi? ........................................................................ 59 c e 9.2. Jak wskaza routerowi domy lna bramk ?................................................................. 59 c s e 9.3. Na jednym routerze mam wiele rznych protokow routingu. Informacje ktrego z nich, znajda si w tablicy routingu? ......................................................... 59 e 9.4. Jak przebiega proces routingu na routerach Cisco? Co jest brane pod uwag ? .... 60 e 9.5. Co to jest trasa pywajaca (ang. oating route)? ........................................................... 60 9.6. Chc rozkada obciazenie pomi dzy trasy o rwnej metryce. Jak wyglada e c e konguracja tego w IOSie?.......................................................................................... 61 9.7. Chc rozkada obciazenie pomi dzy trasy o rwnej metryce w proporcji 1:2 - jak e c e to zrobi ? ........................................................................................................................ 61 c 9.8. Czym si rzni protok routingu typu link-state od distance-vector? .................. 61 e 9.9. W jaki sposb protokoy typu dystans-wektor zapobiegaja tworzeniu p tli?....... 62 e 9.10. Interfejsy loopback ........................................................................................................ 62 9.10.1. Co to jest interfejs loopback? Gdzie zycznie si znajduje?....................... 63 e 9.11. RIP ................................................................................................................................... 63 9.11.1. Co to jest RIP?.................................................................................................... 63 9.11.2. Jak wyglada podstawowa konguracja RIPv1?........................................... 63 9.11.3. A jak uruchomi na routerze RIP w wersji 2? .............................................. 64 c 9.12. OSPF................................................................................................................................ 65 9.12.1. Co to jest OSPF? ................................................................................................ 65 9.12.2. Jak dziaa OSPF? ............................................................................................... 65 9.12.3. Jak router liczy w OSPFie metryk dla poaczenia? .................................... 66 e 9.12.4. O czym pami ta przy sumaryzacji? ............................................................. 66 e c 9.12.5. Jakie sa typy LSA? ............................................................................................ 67 9.12.6. Co jest potrzebne zeby dwa routery wymieniy informacje o routingu OSPF?.................................................................................................................... 67 9.12.7. Jak sprawdzi aktualny stan sasiadw danego routera OSPF? ................. 68 c 9.12.8. Jak skongurowa OSPF?................................................................................ 69 c 9.12.9. Czy jest jaki przewodnik po budowaniu sieci z OSPFem?....................... 70 s 9.13. Routing BGP................................................................................................................... 70 9.13.1. Co to jest BGP? .................................................................................................. 70 9.13.2. Co to jest numer AS? ........................................................................................ 71 9.13.3. Jaki potrzebuj router do obsugi BGP? ........................................................ 71 e 9.13.4. Jak wa ciwie dziaa BGP?............................................................................... 72 s 9.13.5. Jakich atrybutw uzywa BGP? ....................................................................... 72 9.13.6. Jak w BGP wybierana jest sciezka? ................................................................ 77 9.13.7. Jak skongurowa BGP?.................................................................................. 77 c 9.13.8. Chciabym uruchomi BGP - skad mam wzia swj numer AS?.............. 78 c c 9.13.9. Co to jest PI i czym rzni si od PA?.............................................................. 79 e 9.13.10. Czy jest jaki przewodnik po budowaniu sieci z BGP? ............................ 79 s 10. QoS - limitowanie, gwarantowanie i kontrola pasma....................................................... 81 10.1. Co tak naprawd oznacza akronim QoS?.................................................................. 81 e 10.2. Je li chodzi o klasykacj , cz sto sysz akronimy ToS, Precedence i DSCP - o co s e e e chodzi? ........................................................................................................................... 81 10.3. Jak skongurowa ......................................................................................................... 82 c 10.3.1. ...prioretyzacj okre lonego ruchu za pomoca PQ?..................................... 82 e s 10.3.2. ...prioretyzacj okre lonego ruchu za pomoca CQ? .................................... 83 e s 10.3.3. ...kolejkowanie WFQ? ...................................................................................... 84 10.3.4. ...przycinanie pasma dla okre lonego ruchu? .............................................. 84 s
vi
10.3.5. ...ksztatowanie ruchu za pomoca CBWFQ?................................................. 84 10.3.6. Co to jest NBAR? .............................................................................................. 86 11. Bezpieczenstwo ......................................................................................................................... 89 11.1. Poszukuje informacji o zabezpieczaniu routerw, przeacznikw... ..................... 89 11.2. Dost p do routera.......................................................................................................... 90 e 11.2.1. Jak spowodowa , zebym logujac si do routera musia poda tylko haso? c e c 90 11.2.2. Jak spowodowa , zebym logujac si do routera musia poda zarwno c e c login jak i haso? .................................................................................................. 90 11.2.3. W jaki sposb stworzy stae mapowanie IP na MAC na routerze?......... 91 c 11.2.4. Chciabym upewni si , ze mj router nie jest atwym celem dla c e wamywaczy. Co jako podstaw polecacie?.................................................... 91 e 11.3. Zabezpieczanie ruchu do i przez router .................................................................... 92 11.3.1. Jak dziaaja ACL?.............................................................................................. 92 11.3.2. Jak mog sprawdzi , czy moje ACL dziaaja?.............................................. 94 e c 11.3.3. Jak zoptymalizowa ACLk ? .......................................................................... 95 c e 12. VPN - Wirtualne Sieci Prywatne.......................................................................................... 101 12.1. Co tak naprawd oznacza akronim VPN?............................................................... 101 e 12.2. Jak skongurowa ....................................................................................................... 101 c 12.2.1. ...tunel IPsec pomi dzy dwoma routerami poaczonymi do Internetu e kanaami Frame Relay PVC? ........................................................................... 101 12.2.2. ...tunel IPsec+GRE pomi dzy dwoma routerami poaczonymi do e Internetu kanaami Frame Relay PVC?.......................................................... 104 13. Telekomunikacja..................................................................................................................... 109 13.1. ISDN.............................................................................................................................. 109 13.1.1. Jaka pr dko c mog uzyska , stosujac ISDN?............................................ 109 e s e c 13.1.2. Co to jest Q.921? A Q.931? Jak to si ma do PPP czy IP? .......................... 109 e 13.1.3. Jaka kart zastosowa do poaczenia ISDN BRI w celu przenoszenia e c danych?............................................................................................................... 109 13.1.4. Jaka kart zastosowa do poaczenia ISDN PRI w celu przenoszenia e c danych?............................................................................................................... 109 13.1.5. Jak skongurowa poaczenie z routera do Internetu przez interfejs BRI? c 109 13.1.6. Jak sprawdzi histori poaczen interfejsw ISDN?.................................. 110 c e 13.2. E1/E3 ............................................................................................................................ 111 13.2.1. Jaka kart zastosowa do poaczenia E1 w celu przenoszenia danych? 111 e c 13.2.2. Jaka kart zastosowa do poaczenia E3 w celu przenoszenia danych? 111 e c 13.3. ATM............................................................................................................................... 111 13.3.1. Jaka kart zastosowa do poaczenia ATM w celu przenoszenia danych? e c 111 14. Rodzaje komutacji w routerach Cisco ................................................................................ 113 14.1. Co to jest switching? Jaki ma zwiazek z komutacja? ............................................. 113 14.2. Jakie sa rodzaje switchingu?...................................................................................... 113 14.3. Jak skongurowa ....................................................................................................... 115 c 14.3.1. ...CEF (Cisco Express Forwarding)?............................................................. 115 14.3.2. ...CEF dla routingu wg. zasad (ang. policy-based)? ..................................... 115 14.4. Jak sprawdzi ............................................................................................................... 116 c 14.4.1. ...jakie mechanizmy komutacji waczono na interfejsie? .......................... 116 14.4.2. ...ile ruchu komutowanego jest danym mechanizmem komutacji?........ 116
vii
15. Optymalizacja wydajno ci.................................................................................................... 119 s 15.1. Mam router X, ktry udost pnia Internet stacjom w sieci LAN. Ciagle mam e problemy z obciazeniem procesora, lub zrywanymi sesjami. ............................. 119 15.2. Mam router X, ktry udost pnia Internet stacjom w sieci LAN. Mam tylko 5 e stacji a widz tysiace translacji - o co chodzi? ........................................................ 119 e 15.3. Mam router X, ktry udost pnia Internet stacjom w sieci LAN. Router obsuguje e ruch zaledwie X Mbit/s i juz procesor obciazony jest w 100%! Na stronie Cisco znalazem informacj , ze ten model moze obsuzy ruch znacznie wi kszy! ... 120 e c e 15.4. Jakie rzeczy sprawdzi , optymalizujac wydajno c routera? ................................ 121 c s 15.5. Jak wyglada wydajno c szyfrowania ruchu dla routerw/PIXw? ................... 122 s 16. Sieci bezprzewodowe ............................................................................................................ 125 16.1. Ktry standard okre la co w rodzinie 802.11? ........................................................ 125 s 16.2. Jak policzy EIRP?....................................................................................................... 125 c 17. Dobr i wymiana sprz tu...................................................................................................... 127 e 17.1. Czy musz kupowa oryginalne pami ci Cisco? ................................................... 127 e c e 17.2. Mam w routerze kart X. Jaki kabel do niej dobra ? ............................................. 127 e c 17.3. Skad mog wiedzie , ze dany sprz t nie jest juz sprzedawany przez Cisco?.... 127 e c e 18. Rozwiazywanie problemw ................................................................................................. 129 18.1. Obrazy IOS i ich odzyskiwanie................................................................................. 129 18.1.1. Straciem obraz z Flasha. Mam do dyspozycji tylko tryb ROMMON i obraz IOSa na komputerze. Jak zaadowa go do routera? ........................ 129 c 18.1.2. Jak zaadowa obraz Cisco IOS do pami ci Flash, dysponujac tylko c e trybem ROMMON i poaczeniem przez konsol ? ....................................... 129 e 18.1.3. Jak zaadowa obraz Cisco IOS do pami ci Flash, dysponujac tylko c e trybem ROMMON i poaczeniem przez Ethernet?...................................... 129 18.2. Hasa na routerach ...................................................................................................... 130 18.2.1. Jak odzyska zapomniane haso z routera? ................................................ 130 c 18.2.2. A jak odszyfrowa zaszyfrowane haso w konguracji routera? ............ 131 c 18.3. Interfejsy Ethernet i ruch na nich.............................................................................. 131 18.3.1. Mam duzo kolizji na interfejsie Ethernet routera - co mog z tym zrobi ? e c 131 18.3.2. Prbuj zdebugowa ruch na interfejsie routera poleceniem debug ip e c packet, ale widz tylko pojedyncze pakiety?............................................... 132 e 18.3.3. Chciabym na PIXie sniffowa ruch i zapisywa go do dalszej analizy - jak c c to zrobi ? ............................................................................................................ 132 c 18.4. Problemy z pami cia i IOSami .................................................................................. 132 e 18.4.1. Dostaj na konsol lub do logw komunikaty typu e e %ALIGN-3-SPURIOUS: Spurious memory access made [...]..................... 133 18.4.2. Mam za mao pami ci aby zapisa konguracj - co mam zrobi ? ........ 133 e c e c 18.5. Problemy z przeacznikami Catalyst........................................................................ 133 18.5.1. Mam przeacznik Cisco Catalyst i wiele stacji do niego podaczonych. Mam problemy z logowaniem si do sieci po starcie tych komputerw.. 133 e 18.5.2. Na swoim przeaczniku 2950, 3550 czy 3750 otrzymuj komunikat e %SYS-2-MALLOCFAIL: Memory allocation of (...) Cause: Memory fragmentation .................................................................................................... 133 19. Podzi kowania ........................................................................................................................ 135 e 20. ChangeLog ............................................................................................................................... 137
viii
Rozdzia 1. Sprawy porzadkowe

FAQ, jak sama nazwa wskazuje, to zbir najcz sciej zadawanych pytan, wraz z odpowiedzie ami na nie. Nasza ambicja jest zebra w tym jednym dokumencie maksimum uzytecznych i c przydatnych informacji, nie tylko dla profesjonalistw, ale rwniez dla ludzi, ktrzy sprz t e Cisco widza pierwszy raz w zyciu. Jak to przyj o si w dokumentach tego rodzaju - mozesz si z nami skontaktowa . Ute e e c worzyli my specjalna list pocztowa, dotyczaca tego FAQ. Nalegamy, zeby wszystkie pys e tania dotyczace tematyki Cisco zadawa na tej wa nie li cie - a nie na nasze adresy e-mail. c s s Na co dzien pracujemy zawodowo i zwykle po prostu nie mamy czasu na odpowiadanie na pytania. Nie zdziw si zatem, je li na pytanie dotyczace Cisco, sieci (albo co gorsza, takie, na e s ktre odpowied znajduje si w tym FAQ) czy innego tematu nie dostaniesz odpowiedzi, z e albo odpowied b dzie niezbyt przyjemna. z e
1.1. O wiadczenie i licencja s

Dokument ten rozpowszechniany jest w nadziei, ze b dzie uzyteczny, ale BEZ ZADNEJ e GWARANCJI; nawet bez implikowanej gwarancji REKOJMI lub PRZYDATNOSCI DO KONKRETNEGO ZASTOSOWANIA. Krtko i po ludzku mwiac, zebrane tu informacje wcale nie musza by prawdziwe. Je li c s w wyniku ich zastosowania np. Twoja rma straci miliony zotych - to nie bya nasza wina. Bardzo nam przykro - starali my si poda pewne informacje w dobrej wierze. Zastanw si s e c e zatem wielokrotnie zanim postanowisz co kupi , waczy lub przekongurowa !. s c c c Materia zawarty w tym FAQ moze by dystrybuowany tylko na zasadach okre lonych w c s Open Publication License, v1.0 lub p niejszej (ostatnia wersja jest obecnie dost pna pod z e adresem http://www.opencontent.org/openpub/). Znakw towarowych rm, w szczeglno ci rmy Cisco Systems, uzyto tylko w celu identys kacji produktw. Namawiamy do darmowego kopiowania i dystrybuowania (sprzedawania lub rozdawania) tego dokumentu w dowolnym formacie. Wymagamy jednak, by poprawki i/lub komentarze przekazywa bezpo rednio na adres listy pocztowej, lub na adres koordynatora c s projektu - ukasza Bromirskiego.
1.2. Dost p do CVS i Twj udzia w tym projekcie e

Orygina tego dokumentu w najnowszej wersji http://lukasz.bromirski.net/docs/cisco/cisco_faq.html. znajduje si e pod adresem: Koordynator tego FAQ pracuje nad uruchomieniem publicznie dost pnego serwera CVS. e
1.3. Lista pocztowa - jak i gdzie?

Koordynator tego FAQ pracuje nad uruchomieniem publicznie dost pnego serwera CVS. e
Rozdzia 1. Sprawy porzadkowe
Rozdzia 2. Pytania oglne

2.1. Gdzie mo na poczyta o rmie Cisco i produktach tej z c rmy?
Najlepiej zacza od polskich stron: c
http://www.cisco.pl/ http://www.ciscopoland.pl/cisco/main.asp
Nast pnie uda si oczywi cie na najwi ksza stron gwna: e c e s e e
http://www.cisco.com/
2.2. Do kogo zwrci si o pomoc, je li chciabym c e s zbudowa swoja sie w oparciu o produkty Cisco? c c
Powiniene zgosi si do rmy, ktra wykonuje projekty w oparciu o sprz t Cisco. Najpro s c e e s ciej b dzie zadzwoni na numer linii konsultacyjnej Cisco Polska (0 801 340 755). Konsule c tant, w zalezno ci od wielko ci projektu, zaproponuje pomoc inzynierw Cisco Polska, sam s s przedstawi pomys na budow sieci i list sprz tu, lub skieruje Ci do rm, ktre zajmuja e e e e si profesjonalnymi usugami. e
2.3. Jak skontaktowa si z pomoca techniczna Cisco? c e

Aby skontaktowa si z Cisco TAC (Technical Assistance Center) skorzystaj z listy dost pnej c e e pod adresem: http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml. Generalnie, europejski Cisco TAC dost pny jest pod numerem telefonu +32 2 704-58-69 (nie estety, trzeba posugiwa si j zykiem angielskim)lub mailem tac@cisco.com. c e e Pami taj jednak, ze: e
Aby skorzysta z tej pomocy, musisz posiada wykupiony kontrakt serwisowy - Smartc c NET lub SmartSpares. Musisz zna rodzaj sprz tu, o ktrym z Cisco TAC chciaby porozmawia , jego numer c e s c seryjny i je li to mozliwe - posiada jak najdokadniejsze informacje o nim (zwykle na s c poczatku rozmowy inzynier TAC poprosi o zrzucenie do pliku wyniku dziaania polece nia show tech-support, wi c warto od razu mie go pod r ka). e c e Inzynierowie Cisco TAC z reguy nie pomagaja w konguracji poaczenia Internetowego, list kontroli dost pu czy nie zaprojektuja Ci odpowiednio sieci. Postaraj si wykona jak e e c najdokadniejszy troubleshooting zanim poprosisz o pomoc.
2.4. Gdzie mo na uzyska pomoc dotyczaca sieci i Cisco? z c

Najszybsza i darmowa (zwykle) pomoc znale c mozna na listach usenetowych: z

pl.comp.networking - polska, dotyczaca nie tylko sprz tu Cisco e comp.dcom.sys.cisco - w j zyku angielskim, dotyczaca tylko sprz tu Cisco e e do7.ru.cisco - w j zyku rosyjskim, dotyczaca tylko sprz tu Cisco e e
Troch bardziej zaawansowane zagadnienia pojawiaja si na listach, na ktre trzeba si zae e e pisa . Sa to: c
http://www.prenumerata.pl/wwsympa.fcgi/info/isp-tech - skupia wielu ludzi, ktrzy znaja Cisco i inny sprz t od podszewki e https://puck.nether.net/mailman/listinfo/cisco-nsp - prowadzona w j zyku angielskim, e dla ISP http://forum.cisco.com/eforum/servlet/NetProf?page=main - fora dyskusyjne Cisco oraz archiwa sesji pytan i odpowiedzi
2.5. Skad mog pobra nowsze oprogramowanie do e c swojego urzadzenia Cisco?

Dla zwykych uzytkownikw, Cisco udost pnia bardzo okrojony zestaw oprogramowania, e osiagalny pod adresem http://www.cisco.com/public/sw-center/. Aby mc uzywa stale najnowszego oprogramowania, powiniene do swojego routera c s wykupi kontrakt SmartNET. Je li pozyskae urzadzenie szarym kanaem, jak nazywa c s s si sprz t nie sprzedany ocjalnie w Polsce tylko sprowadzony, b dziesz mia problem z e e e uzyskaniem legalnie nowszego/poprawionego oprogramowania. Pami taj rwniez, ze licencja Cisco uniemozliwia dzielenie si oprogramowaniem ze znae e jomymi, ani odsprzedaz routerw z zainstalowanym oprogramowaniem systemowej dalej.
2.6. Syszaem, ze aktywacja szyfrowania 3DES i ew. AES jest na PIXach darmowa - czy to prawda?
Tak, wystarczy ze uzytkownik koncowy urzadzenia zarejestruje si na stronie o adresie e https://www.cisco.com/pcgi-bin/Software/Crypto/crypto_main.pl?prod_refer=pix3des. Kod aktywacyjny umozliwiajacy szyfrowanie 3DES i AES (od PIX OS 6.3) otrzyma e-mailem.
2.7. Czy sa jakie strony sympatykw Cisco z ciekawymi s materiaami?

Open Sourceowa grupa COSI (Cisco Centric Open Source Initiative) prowadzi projekt, w ramach ktrego zbiera najciekawsze narz dzia do wszelakiego sprz tu Cisco. Z idea dziaania e e
Rozdzia 2. Pytania oglne grupy i z narz dziami stworzonymi przez jej czonkw, mozesz zapozna si pod adresem e c e http://cosi-nms.sourceforge.net/.
Rozdzia 3. Dokumentacja
3.1. Gdzie w Internecie znale c dobre materiay o z sprz cie Cisco? Konguracja, przykady, zalecenia? e
Na poczatek zapoznaj si z CCO, czyli Cisco Connection Online. Jest to sekcja strony e http://www.cisco.com/univercd/home/home.htm, b daca naprawd kopalnia wiedzy e e zarwno o danych fabrycznych produktw, jak i konguracji poszczeglnych zagadnien czy zaleceniach Cisco. Drugim, bardzo bogatym i obszernym miejscem, sa prezentacje z corocznych spotkan orani zowanych przez Cisco, nazywanych Networkers. Ponizej lista lokacji, z ktrych sciagna c mozna w formacie PDF prezentacje z poszczeglnych lat:

1999: http://www.cisco.com/networkers/nw99_pres/ 2000: http://www.cisco.com/networkers/nw00/pres/ 2001: http://www.cisco.com/networkers/nw01/pres/ 2002: http://www.cisco.com/networkers/nw02/post/presentations.html 2003 USA: http://www.cisco.com/networkers/nw03/post/presos.html
2003 Johannesburg: http://www.networkersafrica.com/nw03/POST_EVENT/PRESENTATIONS/Breakout_sessions/default
2004 Brisbane: https://www.conveneit.com/secure/cisco_networkers/client/default.asp?pg=4
I na koniec - wiele odpowiedzi i cz sto spotykanych konguracji, znale c mozna posugujac e z si (jak zwykle, gdy masz watpliwo ci) wyszukiwarka google. e s
3.2. Jakie polecacie ksia ki po Polsku, do pracy ze z sprz tem Cisco? e

Niestety, polskie wydawnictwa poskapiy dobrych ksiazek o Cisco. Z wartych kupienia i dost pnych w j zyku polskim wymieni nalezy: e e c
"Routery Cisco. Czarna ksi ga", ISBN: e (http://helion.pl/ksiazki/rcisbb.htm) "Routery Cisco w praktyce", ISBN: (http://helion.pl/ksiazki/rcisco.htm) "Cisco. Receptury", ISBN: (http://helion.pl/ksiazki/cisrec.htm)
83-7197-286-5, 83-7197-214-8,
wydawnictwo wydawnictwo
Helion Helion Helion
83-7361-330-7,
wydawnictwo
Rozdzia 3. Dokumentacja Zdecydowanie nie polecam tumaczen ksiazek Cisco Press wydawnictwa Mikom. Aby zori entowa si w jako ci wydawanych przez nich ksiazek, wystarczy skorzysta z przegladarki c e s c Google. Dodatkowo, koordynator tego FAQ (ukasz Bromirski) mia osobista nieprzyjemnoc s wsppracowa z tym wydawnictwem przy tumaczeniu dwch ksiazek. c
3.3. A jakie w ogle ksia ki polecacie, po wi cone z s e sieciom oraz sprz towi Cisco? e
Generalnie, z wydawnictw zagranicznych, warto zainteresowa si rmowym c e wydawnictwem Cisco Press), oraz ksiazkiami wydawnictw Syngress i Sybex. Bardzo dobre sa rwniez ksiazki wydawane w wydawnictwie OReilly (ale to chyba akurat oczywiste). Je li zajmujesz si sieciami, warto w swojej biblioteczce posiada minimum: s e c TCP/IP Illustrated, Volume 1 - The Protocols Legendarna juz ksiazka Stevensa omawiajaca zestaw protokow wchodzacych w skad TCP/IP i opisujaca ich budow oraz dziaanie. Podstawa podstaw. Druga cz sc tej e e ksiazki omawia implementacj (je li nie programujesz, jest to mniej ciekawa lektura). e s Cisco IOS in a Nutshell Je li dopiero zaczynasz prac z routerami Cisco i chcesz pozna ich budow oraz sposb s e c e pracy z nimi, a nie posiadasz zadnych materiaw szkoleniowych czy ksiazek do egza minu CCNA, ta ksiazka jest warta polecenia. Routing TCP/IP Volume I (CCIE Professional Development) oraz Routing TCP/IP, Volume II (CCIE Professional Development) Dwie ksiazki po wi cone zagadnieniom routingu w sieciach TCP/IP - naprawd s e e rewelacyjna lektura. Cisco Certication: Bridges, Routers and Switches for CCIEs (wydanie II) Troch juz wiekowa (wydana 15 grudnia 2000 roku) ksiazka, ale jednocze nie rewelae s cyjne zrdo wiedzy o wszelakich zagadnieniach z ktrymi spotykaja si ludzie projek e tujacy, kongurujacy i utrzymujacy sieci oparte o urzadzenia Cisco. Internet Routing Architectures (wydanie drugie) Ksiazka Sama Halabiego, omawiajaca dokadniej zagadnienia budowy sieci poaczonej do Internetu - w tym dokadnie konguracj BGPv4. e ISP Essentials Drukowana wersja elektronicznej ksiazki, dost pnej tez pod adresem e http://www.cisco.com/public/cons/isp/documents/IOSEssentialsPDF.zip. Znajduja si w niej zalecenia dla dostawcw Internetowych, ale porady sa skierowane do e wszystkich uzytkownikw routerw Cisco. Bardzo cenna pozycja dla kogo , kto s praktycznie zajmuje si tym sprz tem. e e Pozostae rekomendacje sci le zwiazane sa ze specjalizacja, ktra si zajmujesz - ksiazek o s e sieciach jest mnstwo.
3.4. Jak zainstalowa Cisco Documentation pod Windows c tak, by nie trzeba byo za ka dym razem korzysta z z c kra ka? z
Najwygodniej jest wykona obraz drugiej pyty (np. programem CloneCD czy Nero), c nast pnie zainstalowa jeden z wielu programw umozliwiajacych wirtualizacj nap dw e c e e CD/DVD - polecam Virtual Deamon i wskaza mu ten plik jako wirtualny nap d CD. c e Pozostanie jedynie zmieni literk , przypisana w konguracji programu wy wietlajacego c e s dokumentacj . W domy lnej instalacji, plik ten znajduje si w katalogu c:\cisco i nazywa e s e search.ini. Nalezy otworzy go za pomoca ulubionego edytora tekstowego, znale c ciag c z znakw SourceDrive i po znaku rwna si wpisa liter wirtualnego nap du. e c e e W mojej instalacji, oryginalny plik mia taki wpis:
SourceDrive=E:
Poniewaz mj wirtualny dysk CD zainstalowa si pod litera F:, zmieniem ten wpis na: e
SourceDrive=F:
Teraz wystarczy uruchomi plik autorun.exe z wirtualnego nap du, by uruchomi Docc e c umentationCD bez potrzeby posiadania pytki w nap dzie. e
3.5. Jak zainstalowa Cisco Documentation pod c Linuksem/BSD?

Je li mozesz uruchomi lokalny serwer Apache, nie ma z tym zadnego problemu. Pozostaje s c tylko przekona przegladarki, zeby odpakoway sobie w locie zawarto c serwowanych c s stron. Do pliku konguracyjnego Apache dodaj:
Alias /cisco/ /gdzie_zamontowae_cd/ s <Directory /gdzie_zamontowae_cd> s Options Indexes AllowOverride None order deny,allow deny from all allow from localhost </Directory> <Location /cisco/cc/> AddEncoding x-gzip htm pdf </Location>
Teraz uruchom przegladark i wpisz adres: http://localhost/cisco/home/home.htm. e
3.6. Gdzie sprawdzi skadni konkretnego polecenia? c e

Na CCO, w sekcji Cisco IOS: - dokumentacja od 11.3, 12.0, 12.1, 12.2 i 12.3.
Dla Cisco IOS 11.3: http://www.cisco.com/en/US/products/sw/iosswrel/ps1826/prod_command_reference_list.html Dla Cisco IOS 12.0: http://www.cisco.com/en/US/products/sw/iosswrel/ps1828/prod_command_reference_list.html Dla Cisco IOS 12.1: http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/prod_command_reference_list.html Dla Cisco IOS 12.2: http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/prod_command_reference_list.html Dla Cisco IOS 12.3: http://www.cisco.com/en/US/products/sw/iosswrel/ps5187/prod_command_reference_list.html
10
Rozdzia 4. Certykacje Cisco

4.1. Jakie sa poziomy certykacji Cisco?
Cisco Systems podzielio swoja sciezk certykacji na trzy poziomy: e

Associate Professional Expert
4.2. Jakie egzaminy musz zda na poziomie Associate? e c

Aby otrzyma tytu CCNA, czyli Cisco Certied Network Associate musisz posiada oglna c c wiedz o sieciach, oraz podstawowa o sprz cie Cisco. Dost pny jest rwniez tytu CCDA, e e e Cisco Certied Design Associate, bardziej ukierunkowany na projektowanie sieci w oparciu o sprz t Cisco. e Aby uzyska tytu CCNA, mozesz albo zda jeden egzamin 640-801, albo rozozy sobie c c c testy na dwa egzaminy: 640-821 i 640-811. Aby uzyska tytu CCDA, musisz zda egzac c min 640-861. CCNA i CCDA sa wazne przez trzy lata. Aby si recertykowa nalezy zda aktualny egza e c c min CCNA/CCDA lub zdoby stopien Professional. c
4.3. Jakie egzaminy musz zda na poziomie e c Professional?

Dost pne sa cztery tytuy na tym poziomie, w zalezno ci od specjalizacji: e s
CCNP, czyli Cisco Certied Network Professional Musisz posiada wazny certykat CCNA, oraz posiada dokadna wiedz o budowie c c e sieci typu dial-up, dziaaniu i konguracji protokow routingu, metodyce rozwiazywa nia problemw oraz duzych sieciach LAN. Wymagane egzaminy (zdawane w dowolnej kolejno ci): 642-801 BSCI, 642-811 s BCMSN, 642-821 BCRAN i 642-831 CIT lub zamiast egzaminw 642-801 i 642-811 zda jeden egzamin 642-891 Composite i pozostae dwa. c CCNP jest wazny przez trzy lata. Aby si recertykowa , nalezy zda aktualny egzamin e c c Composite.
CCDP, czyli Cisco Certied Design Professional Podobnie jak CCDA skupiaja si na projektowaniu sieci. CCDP wymaga waznego certye katu CCDA.
11
Rozdzia 4. Certykacje Cisco Wymagane egzaminy (zdawane w dowolnej kolejno ci): 642-801 BSCI, 642-811 s BCMSN, 642-871 ARCH, lub 642-891 Composite i 642-871 ARCH. CCDP jest wazny przez trzy lata. Aby si recertykowa , nalezy zda aktualny egzamin e c c Composite.
CCIP, czyli Cisco Certied Internetwork Professional Certykat dla pracownikw dostawcw Internetowych, wymaga posiadania waznego certykatu CCNA. Wymagane egzaminy (zdawane w dowolnej kolejno ci): 642-801 BSCI, 642-641 s QoS, 642-661 BGP i 640-910 MPLS, lub 642-801 BSCI, 642-641 QoS i 642-691 BGP+MPLS. CCIP jest wazny przez trzy lata.
CCSP, czyli Cisco Certied Security Professional Certykat obejmujacy specjalizacj w zabezpieczaniu sieci i dbaniu o ich bezpieczenstwo, e a takze w budowie i utrzymaniu sieci VPN. Wymaga posiadania certykatu CCNA lub CCIP. Wymagane egzaminy (zdawane w dowolnej kolejno ci): 642-501 SECUR, 642-521 s CSPFA, 642-531 CSIDS i 642-511 CSVPN, i 642-541 CSI. CCSP jest wazny przez trzy lata.
4.4. Jakie egzaminy musz zda na poziomie Expert? e c

Dost pne sa cztery tytuy na tym poziomie, w zalezno ci od specjalizacji: e s
CCIE R&S, czyli Cisco Certied Internetwork Expert, Routing & Switching Elitarny certykat, za wiadczajacy o doskonaej wiedzy w dziedzinie budowy i utrzymas nia sieci kazdej wielko ci. s Wymaga zdania egzaminu 350-001, skadajacego si z dwch cz sci: pisemnego oraz w e e laboratorium. Bez zdania egzaminu pisemnego, nie mozesz zdawa egzaminu w labora c torium. CCIE jest wazny przez dwa lata. Aby si recertykowa , nalezy zda jeden z egzaminw e c c pisemnych - w swojej specjalizacji lub innej.
CCIE Service Provider, czyli Cisco Certied Internetwork Expert, Service Provider Elitarny certykat, za wiadczajacy o doskonaej wiedzy w dziedzinie budowy i utrzymas nia sieci, ze szczeglnym naciskiem na sieci budowane przez i dla dostawcw usug. W zalezno ci od pod-specjalizacji, CCIE SP zdaje jeden egzamin pisemny i jeden w labo s ratorium. Podobnie jak w przypadku CCIE R&S, porazka na etapie egzaminu pisemnego uniemozliwia zdawanie egzaminu praktycznego. Dost pne podspecjalizacje to: 350-020 e Optical, 350-021 Cable, 350-022 DSL, 350-023 WAN Switching, 350-024 IP
12
Rozdzia 4. Certykacje Cisco Telephony, 350-025 Dial, 351-026 Content Networking. Egzamin pisemny zawiera w poowie tematy z CCIE R&S, a w poowie z tematyki w ktrej kandydat ma si e specjalizowa . c CCIE jest wazny przez dwa lata. Aby si recertykowa , nalezy zda jeden z egzaminw e c c pisemnych - w swojej specjalizacji lub innej.
CCIE Security, czyli Cisco Certied Internetwork Expert, Security Elitarny certykat, za wiadczajacy o doskonaej wiedzy w dziedzinie budowy i utrzymas nia sieci, ze szczeglnym naciskiem na szeroko rozumiane bezpieczenstwo. Wymaga zdania egzaminu 350-018, skadajacego si z dwch cz sci: pisemnego oraz w e e laboratorium. Bez zdania egzaminu pisemnego, nie mozesz zdawa egzaminu w labora c torium. CCIE jest wazny przez dwa lata. Aby si recertykowa , nalezy zda jeden z egzaminw e c c pisemnych - w swojej specjalizacji lub innej.
CCIE Voice, czyli Cisco Certied Internetwork Expert, Voice Elitarny certykat, za wiadczajacy o doskonaej wiedzy w dziedzinie budowy i utrzymas nia sieci, ze szczeglnym naciskiem na przenoszenie gosu. Wymaga zdania egzaminu 350-030, skadajacego si z dwch cz sci: pisemnego oraz w e e laboratorium. Bez zdania egzaminu pisemnego, nie mozesz zdawa egzaminu w labora c torium. CCIE jest wazny przez dwa lata. Aby si recertykowa , nalezy zda jeden z egzaminw e c c pisemnych - w swojej specjalizacji lub innej.
4.5. Gdzie mog znale c dokadna list tematw na dany e z e egzamin?

Na tej stronie: http://www.cisco.com/go/certications znajduje si spis wszystkich aktuale nych egzaminw. Wystarczy wybra jeden z nich i kliknac na jego oznaczeniu, by otrzyma c c podstawowe informacje: czas trwania, orientacyjna liczb pytan, list zagadnien ktre moga e e pojawi si na egzaminie oraz zalecenia dotyczace nauki przed egzaminem. c e Dodatkowo, dla egzaminw http://www.cisco.com/go/ccie. CCIE dost pna e jest osobna strona:
4.6. Czy dla zdajacych sa jakie pomoce? s

Przede wszystkim, Cisco organizuje kursy przygotowujace do konkretnego egzaminu i/lub specjalizacji. Po drugie, wydawnictwo CiscoPress ma specjalna sekcj wydawnictw po wi conych e s e certfyikacji: http://www.ciscopress.com/catalog/index.asp?st={E65E5189-F2F8-40AEA827-D766D4879FDC}.
13
Rozdzia 4. Certykacje Cisco Po trzecie, wiele rm oferuje swoje materiay, majace przygotowa Ci do zdania wybranego c e egzaminu. Najpopularniejsza rma jest Boson (http://www.boson.com/), ktra oprcz samych materiaw, oferuje rwniez rznego rodzaju narz dzia. e
4.7. Czy po egzaminie mog podzieli si ze znajomymi e c e tre cia pytan? s

Nie, pod rygorem utraty certykacji. Cisco bardzo powaznie traktuje naruszenia NDA (ang. Non-Disclosure Agreement), ktry musisz podpisa przed zdawaniem kazdego egzaminu. c
14
Rozdzia 5. Podstawy pracy z urzadzeniami Cisco

5.1. Jak podaczy si do... c e
5.1.1. ...routera Cisco?
Kazdy router Cisco posiada port konsoli (port opisany niebieskim kolorem jako CONSOLE) a kabel konsolowy dostarczany jest w pudeku z nowym urzadzeniem (to ten niebieski, zakonczony dwoma stykami RJ-45 lub jednym stykiem RJ-45 i jednym RS-232C DB-9). W zalezno ci od oprogramowania, do routera mozna dosta si rwniez Telnetem (znajac s c e adres IP i ewentualnie uzytkownika i haso), przez SSH czy nawet w nowym oprogramowa niu, przez przegladark (je li na routerze zainstalowano SDM - Secure Device Manager e s dost pny za darmo - b dziesz mia wygodny interfejs do funkcjonalno ci routera; je li nie, e e s s b dziesz mia dost p do podstawowych statystyk oraz panel do wykonywania polecen). e e
5.1.2. ...Cisco PIX?

Podobnie jak routery, PIXy rwniez posiadaja port opisany niebieskim kolorem jako CON SOLE. Do PIXa rwniez mozna podaczy si przez Telnet, SSH lub od wersji 6.3 PIX OSa c e PDM, czyli PIX Device Manager.
5.1.3. ...przeacznika Cisco Catalyst serii 1000, 2000 lub 3000?

Przeaczniki niemodularne (1900, 2900, 2950, 3000, 3500, 3750) posiadaja na tylnym panelu port opisany na niebiesko jako CONSOLE.
5.1.4. ...przeacznika Cisco Catalyst serii 4000/4500?

Przeaczniki niemodularne (1900, 2900, 2950, 3000, 3500, 3750) posiadaja na tylnym panelu port opisany na niebiesko jako CONSOLE. W przeacznikach modularnych 4000/4500 do moduu zarzadzajacego (Supervisora), moz na podaczy si na dwa sposoby: konsola, lub za pomoca Ethernetu. c e Konsola na wszystkich Supervisorach (za wyjatkiem modelu I) to standardowy styk RJ-45, natomiast w Supervisorze I jest to zenski port DB-25. Port Ethernetowy/FastEthernetowy opisany jest natomiast jako Management Port i suzy tylko do zarzadzania - aczno ci przez Telnet/SSH, zbierania informacji przez SNMP lub s przesyania obrazw z systemem. Port ten nie b dzie przekazywa zadnego ruchu do ine nych moduw przeacznika. Dodatkowo, aby z tego portu skorzysta , nalezy go uprzednio c skongurowa (nada adres IP). c c Aby zarzadza urzadzeniem z dwoma Supervisorami, nalezy podaczy si do tego, na c c e ktrym pali si dioda Active. e
15
5.1.5. ...przeacznika Cisco Catalyst serii 6000/6500?

Supervisory posiadaja standardowy port konsolowy (RJ-45). Aby zarzadza urzadzeniem z c dwoma Supervisorami, nalezy podaczy si do tego, na ktrym pali si dioda Active. c e e
5.1.6. ...sondy Cisco IDS serii 42xx?

Do sond IDS mozna podaczy si zarwno standardowym kablem konsolowym (jest w c e oryginalnym opakowaniu) do portu COM1, lub po prostu doaczajac zwyka klawiatur e PS/2 i monitor.
5.1.7. ...punktu bezprzewodowego AP350, 1120 lub 1200?

Podobnie jak w przypadku routerw, AP dysponuja opisanym na niebiesko portem kon soli. Zwr uwag , ze w domy lnej konguracji wymagaja zalogowania si na uzytkownika c e s e Cisco z hasem Cisco.
5.2. Podaczyem si i...? e

5.2.1. ...w oknie terminala nic nie widz ? e
Sprbuj par razy wcisna Enter - urzadzenie po drugiej stronie powinno zwrci prompt e c c o login, lub po prostu od razu umozliwi wykonywanie polecen (w zalezno ci od kongu c s racji). Je li nic si nie dzieje, a jeste pewien ze kabel konsolowy jest dobry, mozliwe, ze port ustaws e s iony jest inaczej niz domy lnie (dla przypomnienia, pr dko c 9600, 8 bitw danych, bez s e s parzysto ci i 1 bit stopu). Sprbuj ustawienia 38400 8N1, 57600 8N1 lub 115200 8N1 w swoim s terminalu.
5.2.2. ...jak dostawa informacje o zdarzeniach na routerze na c konsol ? e

Je li jeste podaczony przez konsol , domy lnie otrzymujesz informacje o zdarzeniach na s s e s routerze. Np.:
router# conf t router(config)# exit router# %SYS-5-CONFIG_I: Configured from console by console
Je li natomiast jeste zalogowany przez Telnet lub SSH, musisz wprost waczy kierowanie s s c komunikatw na Twoja konsol poleceniem terminal monitor: e
router# terminal monitor
16
5.2.3. ...jaki dokadnie mam router? Ile mam pami ci e RAM/ash? Co oznaczaja poszczeglne linijki z polecenia show version?
Standardowo do sprawdzenia, z jakim urzadzeniem mamy do czynienia, poza oczywista inspekcja wizualna (je li pracujemy zdalnie niemozliwa) jest wydanie polecenia show s version. Ponizej przykadowy wynik takiego polecenia wraz z interpretacja wyniku:
Cisco Internetwork Operating System Software IOS (tm) C1700 Software (C1700-Y-M), Version 12.1(22a), RELEASE SOFTWARE (fc1) Copyright (c) 1986-2004 by cisco Systems, Inc. Compiled Fri 23-Jan-04 20:40 by cmong Image text-base: 0x80008088, data-base: 0x8060A5D4
Z tego fragmentu mozemy dowiedzie si , ze mamy do czynienia z routerem (na urzadze c e nie zaadowano Cisco IOS, na PIXach mamy do czynienia z PIX OSem, na duzych przeacznikach Catalyst z CatOSem). Po drugie, oprogramowanie nalezy do serii przeznaczonej dla routerw serii 1700 (C1700 Software), w wersji 12.1.22a (Version 12.1(22a)) i zawierajacym funkcjonalno c IP s (C1700-Y-M). O tym jak rozszyfrowa funkcjonalno c oprogramowania odpowiadamy w c s dalszych pytaniach.
c1720 uptime is 10 minutes System returned to ROM by power-on System image file is "flash:c1700-y-mz.121-22a.bin"
Kolejna linijka okre la, jak dawno resetowano router (uptime is 10 minutes s - 10 minut temu), co byo przyczyna restartu (power-on - wacznik, inne opcje to reload - restart wymuszony poleceniem reload), oraz jaki i skad Cisco IOS zosta zaadowny (flash:c1700-y-mz.121-22a.bin, z pami ci Flash i nazywa si e e c1700-y-mz.121-22a.bin).
cisco 1720 (MPC860) processor (revision 0x501) with 12288K/4096K bytes of memory. Processor board ID JAD01234567 (123456789), with hardware revision 0000 M860 processor: part number 0, mask 32
Mamy do czynienia z routerem Cisco 1720 (Cisco 1720), sterowanym procesorem MPC860. Router posiada acznie 16MB pami ci RAM (12288K/4096K bytes of e memory, warto ci nalezy zsumowa ). Dodatkowo, mozna sprawdzi numer seryjny s c c urzadzenia (JAD01234567).
1 FastEthernet/IEEE 802.3 interface(s) 1 Serial(sync/async) network interface(s)
Router posiada jeden interfejs FastEthernet (standardowo zabudowany na routerach 1700) oraz jeden interfejs szeregowy (moze pracowa zarwno w trybie asynchronicznym jak i c synchronicznym).
32K bytes of non-volatile configuration memory. 4096K bytes of processor board System flash (Read/Write)
17
Rozdzia 5. Podstawy pracy z urzadzeniami Cisco Dodatkowo, router posiada 32kB pami ci nieulotnej (NVRAM), w ktrej przechowuje si e e aktualna i startowa konguracj , oraz 4MB pami ci Flash (uzywanej do przechowywania e e Cisco IOS, certykatw itp.).
Configuration register is 0x2102
Tzw. rejestr konguracyjny, kontrolujacy pewne aspekty startu i pracy routera ustawiony zosta na warto c heksdecymalna 2102. O znaczeniu poszczeglnych bajtw tego rejestru s napisano nizej.
5.2.4. ...gdy pomyl si w poleceniu, router zaczyna robi e e c dziwne rzeczy...

Domy lnie, wydanie nieznanego routerowi polecenia, powoduje prb poaczenia si z nim. s e e Wyglada to mniej wi cej tak: e
router# zlepolecenie Translating "zlepolecenie"...domain Translating "zlepolecenie"...domain Translating "zlepolecenie"...domain % Unknown command or computer name, server (255.255.255.255) server (255.255.255.255) server (255.255.255.255) or unable to find computer address
Takie zachowanie routera mozna zmieni , wyaczajac rozwiazywanie nazw: c

router(config)# no ip domain lookup
5.2.5. ...chciabym zapisa konguracj c e routera/PIXa/przeacznika?

Na urzadzeniach pracujacych pod kontrola Cisco IOS (routery, PIXy od wersji 6.0 i cz sc e przeacznikw) uzywa si do tego celu polecenia: e
router# copy running-config startup-config
Ewentualnie, w bardzo starych Cisco IOS, w PIX OS starszych niz 6.0 i w urzadzeniach pracujacych pod kontrola CatOS (przeaczniki) poleceniem:
router# write memory
5.2.6. ...chciabym wymaza konguracj c e routera/PIXa/przeacznika?

Na urzadzeniach uzywajacych NVRAMu (routery i cz sc przeacznikw), wystarczy wyda e c polecenie:
router# erase nvram
Na PIXach natomiast:
pix# write erase
18
5.2.7. ...jakiego u y oprogramowania do poaczenia si z z c e routerem?

Wszystko zalezy od systemu operacyjnego. Dla systemu Windows polecam program SecureCRT - obsuguje zarwno poaczenia kon solowe jak i przez Telnet/SSH. Standardowo obecny w Windowsach program Hyperterminal jest bardzo ubogi i niewygodny w uzytkowaniu. Dla systemw Linux/BSD i poaczen przez konsol polecam minicom, a przez telnet/ssh e natywnie wbudowane w te systemy programy.
5.2.8. ...jakiego u y oprogramowania do serowania plikw z c tftp/ftp?

Ponownie - wszystko zalezy od systemu operacyjnego. Dla systemu Windows polecam serwer TFTP rmy SolarWinds (darmowy): http://support.solarwinds.net/updates/New-customerFree.cfm. Je li chodzi o serwer FTP s - polecam program BulletProof FTP Server (http://www.bpftpserver.com/) ale nie jest on niestety darmowy. Dla systemw Linux/BSD zarwno serwer tftp jak i ftp dostarczane sa zwykle z dystry bucja/w systemie podstawowym. Prawdopodobnie b dzie jednak trzeba je wprost akty e wowa w konguracji demona inetd lub xinetd. c
5.2.9. Mj router uparcie prbuje sciagna z sieci plik c network-cong, network-cfg lub cisconet.cfg - o co chodzi?
Masz aktywna usug wczytywania konguracji z sieci. Wyacz ja, piszac: e
router(config)# no service config
19
20
Rozdzia 6. Podstawy konguracji usug

6.1. DHCP
6.1.1. Co to sa prywatne/niezarejestrowane adresy IP?
Na potrzeby przykadw, ksiazek i innych opracowan IETF wydzieli z globalnej puli adresw IPv4 pewne zakresy, ktrych nie przydzielono nigdzie w Internecie i nie powinny si one w nim pojawi (a jesli si juz nawet pojawia, powinny zosta zignorowane lub e c e c odltrowane). Adresy te nazywane sa prywatnymi, rzadziej niezarejestrowanymi. Spis adresw aktualnie przydzielonych do celw testowych i na prywatny uzytek, znajduje si w RFC 1918 (http://www.ietf.org/rfc/rfc1918.txt). Dla jasno ci, chodzi o adresy: e s
10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255 (10.0.0.0/8) (172.16.0.0/12) (192.168.0.0/16)
UWAGA!: Poj cie adresy nieroutowalne jest b dne - nie ma czego takiego. Kazdy e e s adres jest jak najbardziej routowalny, po prostu przeznaczeniem tego konkretnego zestawu adresw nie jest znalezienie si w Internecie. e
6.1.2. Czy router mo e peni rol serwera DHCP? z c e

Tak, ale w przypadku routerw serii 1600, 1700, oraz niektrych linii Cisco IOS, mozesz potrzebowa funkcjonalno ci Plus - najlepiej skorzystaj z Feature Navigatora, zanim zac s ozysz, ze posiadasz ta funkcj . e Serwer DHCP uruchamia si , deniujac pule adresowe. Je li np. masz pojedyncza sie i nie e s c chcesz kojarzy adresw IP z adresami MAC, mozesz napisa : c c
router(config)# ip dhcp excluded-address 192.168.0.1 Adres 192.168.0.1 nie zostanie przypisany - zwykle chodzi o zarezerwowanie adresu interfejsu routera router(dhcp-config)# ip dhcp pool MojeDHCPLAN Tworzymy pul o nazwie MojeDHCPLAN e router(dhcp-config)# network 192.168.0.0 255.255.255.0 Przydzielamy adresy z puli 192.168.0.0/24 (za wyjatkiem zarezerwowanego wyej adresu 192.168.0.1) z router(dhcp-config)# default-router 192.168.0.1 Oprcz adresu IP dla stacji, serwujemy domylna bramk s e (zwykle interfejs routera) router(dhcp-config)# dns-server IP_serwera_DHCP1 IP_serwera_DHCP2 itp. ...oraz od razu serwery DNS.
Je li natomiast chcesz konkretnej stacji/serwerowi przydzieli konkretny adres IP, mozesz s c posuzy si mapowaniem MAC-IP: c e
router(config)# ip dhcp pool SerwerPlikow router(dhcp-config)# host 192.168.0.10 255.255.255.0 Adres 192.168.0.10 z maska /24 przydzielony zostanie... router(dhcp-config)# client-identifier 000c.09cb.9813
21

...hostowi z adresem MAC 00:0C:09:CB:98:13 router(dhcp-config)# default-router 192.168.0.1 Oprcz adresu IP dla stacji, serwujemy domylna bramk s e (zwykle interfejs routera) router(dhcp-config)# dns-server IP_serwera_DHCP1 IP_serwera_DHCP2 itp. ...oraz od razu serwery DNS.
6.1.3. Jak przydzieli interfejsowi adres z serwera DHCP? c

W denicji interfejsu nalezy poda po prostu: c
router(config)# interface FastEthernet 0/0 router(config-if)# ip address dhcp
6.1.4. Jak przekaza dalej zapytania DHCP? c

Wystarczy w zasadzie, na interfejsie podaczonym do sieci, w ktrej znajduje si stacja po e bierajaca informacje z serwera DHCP wyda polecenie: c
router(config)# interface FastEthernet 0/0 router(config-if)# ip helper-address IP_serwera_DHCP
...ale to wacza przekazywanie wielu rodzajw ruchu. Mozesz to zablokowa , ograniczajac c si tylko do DHCP/BOOTP w ten sposb: e
router(config)# no ip forward-protocol udp tftp router(config)# no ip forward-protocol udp dns router(config)# no ip forward-protocol udp time router(config)# no ip forward-protocol udp netbios-ns router(config)# no ip forward-protocol udp tacacs ...i dla pewnoci, e jest waczone: s z router(config)# ip forward-protocol udp bootpc
6.2. SNMP
6.2.1. Jak uruchomi na routerze SNMP? c
W najprostszym scenariuszu, wystarczy wyda polecenie: c
router(config)# snmp-server community mojstring RO 15
...gdzie mojstring to klucz, ktry musi poda agent by odczyta dane, RO to tryb dost pu c c e (tylko do odczytu, lub RW zezwalajace rwniez na zapis) i w koncu 100 to numer listy ACL kontrolujacej kto moze aczy si z SNMP routera. Lista ta moze mie np. taka konstrukcj : c e c e
ip access-list standard 15 permit 192.168.0.10 permit 192.168.0.15 deny any
22
Rozdzia 6. Podstawy konguracji usug ...co pozwoli na odczytywanie informacji tylko stacjom o adresach 192.168.0.10 i 192.168.0.15. Numer listy dost pu mozna pomina , ale wtedy dost p do SNMP routera e c e b dzie mia kazdy host, ktry nie zostanie odltrowany przez ew. ograniczenia ruchowe na e interfejsach!
6.3. Logowanie zdarzen

6.3.1. Chciabym logowa zdarzenia zachodzace na routerze c do pami ci. Jak to zrobi ? e c
W najprostszym scenariuszu, wystarczy wyda polecenie: c
router(config)# logging buffered 128000
...gdzie 128000 to pro ba o rezerwacj 128kB pami ci na potrzeby bufora. Najstarsze s e e zdarzenia zostana nadpisane. Zawarto c bufora obejrze mozna poleceniem show log. s c
6.3.2. Chciabym logowa zdarzenia zachodzace na PIXie do c pami ci. Jak to zrobi ? e c
Musisz wskaza od ktrego poziomu zdarzenia b da logowane (0 to najmniej szczegowy c e poziom - tylko zdarzenia krytyczne, a 7 najbardziej szczegowy) a nast pnie waczy loe c gowanie:
pix(config)# logging buffered 7 pix(config)# logging on
6.3.3. Chciabym logowa zdarzenia zachodzace na routerze c do serwera syslog. Jak to zrobi ? c
Powiniene kolejno: wskaza host-serwer syslog (lub wiele, komunikaty b da wysyane s c e jednocze nie do wszystkich), ewentualnie wskaza od ktrego poziomu komunikaty mas c ja by logowane (ang. severity) i jak b da identykowane (ang. facility), a w koncu waczy c e c wysyanie komunikatw:
router(config)# router(config)# router(config)# router(config)# logging logging logging logging host 192.168.0.10 severity debugging facility local0 on
23
6.3.4. Chciabym logowa zdarzenia zachodzace na PIXie do c serwera syslog. Jak to zrobi ? c
Powiniene kolejno: wskaza host-serwer syslog (lub wiele, komunikaty b da wysyane jeds c e nocze nie do wszystkich), wskaza od ktrego poziomu komunikaty maja by logowane s c c (ang. trap X, gdzie 7 oznacza poziom debugging, czyli najbardziej szczegowy), a w koncu waczy wysyanie komunikatw: c
pix(config)# logging host 192.168.0.10 pix(config)# logging trap 7 pix(config)# logging on
6.4. Czas
6.4.1. Jak ustawi zegar na routerze? c
Poleceniem:
router# clock set 16:13:00 23 feb 2004
Na mniejszych platformach, zegar nie jest jednak podtrzymywany bateria i po resecie, zostanie wyzerowany.
6.4.2. Jak ustawi zegar wg. serwerw czasu z Internetu? c

Za pomoca protokou NTP (je li masz router serii 1600, 2500, czy 1700, NTP znajduje si s e dopiero w oprogramowaniu IP Plus). Wystarczy doda do konguracji routera wskazanie c serwera czasu (opaca si wskaza wiele, router wybierze jeden, a je li nie b dzie mg si z e c s e e nim skontaktowa , wybierze kolejny z listy). c
router(config)# ntp server 217.153.69.35 router(config)# ntp server 150.254.183.15
To, czy synchronizacja associations:
dziaa,
mozemy
sprawdzi c
poleceniem
show ntp
router# show ntp associations address ref clock st when poll reach delay offset disp +~217.153.69.35 .PPS. 1 585 1024 377 28.7 1.96 15.7 *~150.254.183.15 .PPS. 1 534 1024 377 31.1 -0.83 17.4 * master (synced), # master (unsynced), + selected, - candidate, ~ configured
Symbol gwiazdki przy adresie serwera oznacza, ze jest on aktualnie wybrany jako serwer czasu i router zsynchronizowa pomy lnie czas wg. jego wskazan. Nalezy zauwazy , ze od s c wskazania serwera NTP do zsynchronizowania si z serwerem moze mina od 60 do 120 e c sekund.
24
Rozdzia 6. Podstawy konguracji usug Lista serwerw NTP Stratum 1 znajduje si e http://www.eecis.udel.edu/~mills/ntp/clock1a.html a Stratum http://www.eecis.udel.edu/~mills/ntp/clock2a.html. pod pod adresem adresem
6.4.3. Skongurowaem na swoim routerze NTP, ale zegar pozostaje niezsynchronizowany - a min o ju par godzin. e z e
Po pierwsze upewnij si , ze serwery ktre wskazae sa osiagalne dla Twojego routera e s najlepiej wykonaj ping z niego do kolejnych serwerw. Po drugie sprawd , czy nie blokujesz ruchu z routera do serwerw ACLkami - powiniene z s zezwoli na ruch UDP z i do portu 123, np. w ten sposb: c
ip access-list extended moj_fw_internet permit udp host 217.153.69.35 eq ntp host 169.254.10.1 eq ntp
Gdzie 169.254.10.1 to adres interfejsu publicznego Twojego routera, ACLka moj_fw_internet przypisana jest w kierunku in na tym interfejsie, a 217.153.69.35 to adres serwera NTP. Pami taj rwniez, ze je li modykujesz juz istniejaca ACLk , ten wpis musi znale c si e s e z e przed kazdym innym, ktry mgby go zablokowa . c Po trzecie w koncu upewnij si , ze administrator danego serwera nie zada uwierzytelniania e poszczeglnych aczacych si do niego klientw. e
6.5. NAT
6.5.1. W jakich wersjach oprogramowania obsugiwany jest NAT, PAT oraz mapowanie portw z adresw publicznych na prywatne?
NAT pojawi si w wersji IOS 11.2 w feature-set "IP Plus". Od wersji 12.0 caa funkcjonalno c e s NAT dost pna jest juz w standardowej wersji "IP". e
6.5.2. Chc uruchomi NAT - mam jeden interfejs publiczny i e c jeden prywatny. Jak to zrobi ? c
W trzech krokach.
Oznaczasz interfejsy jako publiczny (ip nat outside) i jako prywatny (ip nat inside) - moze by wiele zarwno publicznych jak i prywatnych. Na przykad: c
router(config)# interface router(config-if)# ip nat router(config-if)# exit router(config)# interface router(config-if)# ip nat router(config-if)# exit serial 0.99 outside fastethernet 0/0 inside
25
Rozdzia 6. Podstawy konguracji usug Zwr uwag , ze nazwy Twoich interfejsw moga by inne. c e c
Deniujesz, jak ma by wykonywany NAT - na pul przydzielonych adresw, czy na jaki c e s konkretny jeden adres - najcz sciej publicznego interfejsu routera. Ponizej jak zdeniowa e c pul : e
router(config)# ip nat pool Pula1 169.254.10.1 169.254.10.15 255.255.255.240
Na koniec okre lasz jaki ruch z interfejsw oznaczonych jako wewn trzne b dzie podles e e ga NATowaniu i na jakie adresy. Wpisy przegladane sa sekwencyjnie wg. kolejno ci i je li s s router tra na wpis pasujacy do pakietu, nie przejrzy juz wpisw p niejszych. z Ponizej przykad, w ktrym sie 192.168.10.0/24 NATowana jest na zdeniowana c wcze niej pul , a sie 192.168.20.0/24 na adres interfejsu serial 0.99: s e c
! w celu wybrania ruchu z podsieci 192.168.10.0/24 definiujemy ! list ACL: e router(config)# ip access-list extended Siec10NAT router(config-acl)# permit 192.168.10.0 0.0.0.255 router(config-acl)# exit ! i to samo dla sieci 192.168.20.0/24: router(config)# ip access-list extended Siec20NAT router(config-acl)# permit 192.168.20.0 0.0.0.255 router(config-acl)# exit ! adresy rdowe pasujace do ACLki Siec10NAT NATowane sa na pul z e ! adresw zdefiniowanych wczeniej pod nazwa Pula1: s router(config)# ip nat inside source list Siec10NAT pool Pula1 overload ! ...a adresy rdowe pasujace do ACLki Siec20NAT na adres przypisany z ! do interfejsu serial 0.99 routera: router(config)# ip nat inside source list Siec20NAT interface serial 0.99 overload
6.5.3. Mam router z jednym interfejsem i chc robi NAT - czy e c to wykonalne?
Tak, taki ukad nazywa si NAT na patyku (ang. NAT-on-a-stick). Na jednym interfejsie e (zwykle Ethernetowym) obsugujesz zarwno ruch z sieci lokalnej jak i publicznej. Uwazaj jednak, na aspekty bezpieczenstwa w takim ukadzie - zwykle w takiej topologii urzadzenie dostawcy podpi te jest do koncentratora/przeacznika, a ten zarwno do routera jak i ine nych stacji. Oznacza to, ze kto moze zmieni sobie adres IP na stacji na publiczny i obej c s c s Twj router w komunikacji z Internetem! Na poczatek skongurujemy interfejs FastEthernet 0/0, ktry suzy nam b dzie zarwno c e do obsugi sieci LAN jak i Internetu. Zakadam, ze od dostawcy otrzymae publiczny s adres 169.254.10.1, Twoja domy lna bramka jest 169.254.10.2 a sie LAN ma numeracj s c e 192.168.0.0/24, przy czym interfejs routera w tej sieci posiada adres 192.168.0.1:
router(config)# interface FastEthernet0/0 router(config-if)# ip address 169.254.10.1 255.255.255.0 ! Adresem gwnym interfejsu jest adres publiczny router(config-if)# ip address 192.168.0.1 255.255.255.0 secondary ! Dodatkowo przypisujemy do niego adres prywatny tak, by stacje ! w sieci LAN miay zapewniona bramk ze swojej podsieci e
26

router(config-if)# ip nat outside ! Oznaczamy interfejs jako zewntrzny e router(config-if)# ip policy route-map PetlaNAT ! ...i dodajemy do niego route-map, ktra obsugiwa bdzie NAT e c e
Teraz dodamy logiczny interfejs Loopback 0. Jest on potrzebny, poniewaz NAT na routerach Cisco wykonywany jest tylko i wyacznie wtedy, gdy pakiet w czasie podrzy przez router przechodzi przez interfejs oznaczony jako zewn trzny (outside) i wewn trzny (inside). Do e e interfejsu mozesz przypisa dowolny adres, ale najlepiej zeby by to adres prywatny. W c przykadzie uzyjemy puli 172.16.0.1/24:
router(config)# interface Loopback0 router(config-if)# ip address 172.16.0.1 255.255.255.0 ! Przypisujemy interfejsowi adres z innej puli prywatnej router(config-if)# ip nat inside ! Oznaczamy interfejs jako wewntrzny e
Pozostaje teraz po pierwsze skongurowa NAT, a po drugie route-map , ktra wymusi c e przej cie pakietu przez dwa rznie oznaczone z punktu widzenia NATu interfejsy. s Zakadam, ze NAT ma by realizowany na publiczny adres interfejsu routera: c
router(config)# ip nat inside source list SiecDoNAT interface FastEthernet0/0 overload ! Wszystkie pakiety pasujace do ACL SiecDoNAT bda NATowane e ! Pozostaje skonfigurowa ta ACLk: c e router(config)# ip access-list extended SiecDoNAT router(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 any
A teraz konguracja route-mapy PetlaNAT. Kazdy pakiet otrzymany z interfejsu FastEth ernet 0/0 zostanie sprawdzony, czy nie pasuje do jej regu. W naszym przypadku b dzie e tylko jedna - je li pasujesz do ACLki SiecDoNAT, musisz tra na interfejs Loopback 0. W s c ten sposb ruch z sieci LAN zawsze zostanie sztucznie przerzucony na interfejs Loopback 0, gdzie dojdzie do jego zNATowania. Nast pnie pakiet juz z publicznym adresem, zgodnie e z normalnymi reguami routingu, zostanie wysany interfejsem FastEthernet 0/0 w stron e sieci ISP:
router(config)# route-map PetlaNAT permit 10 router(config-route-map)# match ip address SiecDoNAT router(config-route-map)# set interface Loopback0
6.5.4. Chc przekierowa port 25/tcp z adresu publicznego e c routera do sieci wewn trznej - jak to zrobi ? e c
Zakadam, ze chodzi o ruch na adres IP 169.254.10.10 (nasz kcyjny adres publiczny) na port 25/tcp, i ma on traa do stacji gdzie za routerem, o adresie 192.168.0.10 na ten sam port: c s
router(config)# ip nat inside source static tcp 192.168.0.10 25 169.254.10.10 25 extendab
27
6.5.5. Jak sprawdzi , ktre interfejsy przypisane sa do NAT i c jak sa skongurowane?

Poleceniem:
router(config)# show ip nat statistics Total active translations: 0 (0 static, 0 dynamic; 0 extended) Outside interfaces: Serial 0.99 Inside interfaces: FastEthernet 0/0 [...]
6.5.6. NAT mi nie dziaa - co mo e by zle? z c

Po pierwsze sprawd (poleceniem show ip nat stat), ze faktycznie masz przynajmniej z jeden interfejs inside i jeden outside. Polecenie wy wietli rwniez w ostatnich linijkach krys teria dla ruchu NATowanego - sprawd , czy w ogle NAT zauwaza jakie pakiety godne z s NATowania (pozycja hits). Po drugie sprawd , ze nie zamienie interfejsu outside z inside - by moze NAT chciaby z s c tumaczy adresy, ale otrzymuje ruch nie pasujacy do regu. c Po trzecie, sprawd czy ruchu do NATowania nie blokujesz w zaden sposb na interfejsie z wewn trznym, ani wracajacego na interfejsie zewn trznym. Zwerykuj konguracj routine e e gu, je li NATujesz sieci nie podaczone bezpo rednio do routera - by moze denicja co NAs s c Towa jest zbyt waska. c
6.6. SSH
6.6.1. Jak skongurowa SSH? c
Po pierwsze, sprawd czy w ogle posiadasz w swoim IOSie funkcjonalno c SSH. Pojawia z s si ona w linii 12.0 i jest obecna tylko w feature-setach posiadajacych funkcjonalno c IPsec e s (routery), Service Provider SSH (wi ksze routery, od 7xxx) oraz Crypto (przeaczniki e Catalyst). Pierwszym krokiem jest nadanie routerowi nazwy wasnej i domenowej. Informacje te b da e wymagane do wygenerowania kluczy: prywatnego i publicznego.
router# conf t router(config)# hostname c1760 c1760(config)# ip domain name test.pl
Teraz generujemy klucze:

c1760(config)# crypto key generate rsa The name for the keys will be: c1760.test.pl Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take
28

a few minutes. How many bits in the modulus [512]: 1024 ! Wybralimy klucze o dugoci 1024 bitw s s % Generating 1024 bit RSA keys ...[OK]
W tym momencie serwer SSH zostaje waczony. Uwierzytelnianie odbywa si w oparciu e o skongurowane, zewn trzne bazy danych (RADIUS itp.), lub domy lnie - w oparciu o e s lokalna baz uzytkownikw (poleceniami username X [...]). e Dodatkowo, mozna ograniczy dost p do routera tylko do protokou SSH, wydajac na lini c e ach wirtualnych terminali polecenie:
c1760(config)# line vty 0 15 c1760(config-vty)# transport input ssh
6.6.2. Jak sprawdzi , czy serwer SSH jest waczony? c

Poleceniem show ip ssh:
router# show ip ssh SSH Enabled - version 1.99 Authentication timeout: 120 secs; Authentication retries: 3
6.7. Rejestr konguracyjny routerw

6.7.1. Po zapisaniu konguracji i przeadowaniu routera, trac konguracj - dlaczego? e e
Je li faktycznie zapisanie konguracji si powiodo, to najprawdopodobniej problem lezy s e w ustawieniu rejestru kongarcyjnego na pomijanie plikw startowych. Po zalogowaniu si e na router wykonaj:
router# conf t router(config)# config-register 0x2102 router(config)# exit
6.7.2. Co dokadnie oznaczaja bajty z rejestra konguracyjnego?

Rejestr konguracyjny, to heksdecymalna warto c, na ktra skadaja si nast pujace mozlis e e we warto ci: s
Bit 00-03 Warto sc 0x0000-0x000F Znaczenie Sposb startu urzadzenia: 0x0000 - start do promptu bootstrap
29

0x0001 - start z obrazu przechowywanego w EPROMie 0x0002 do 0x000F - standardowy boot 06 07 08 0x0040 0x0080 0x0100 Zignoruj ustawienia z NVRAM (konfiguracj) e Wyacz informacje wywietlane podczas startu s Wyaczona sekwencja Break. Niezalenie od tego z ustawienia, przekazanie routerowi tej sekwencji podczas startu, spowoduje wejcie do ROMMONa. s Waczona obsuga broadcastw IP z samymi zerami Ustawienie prdkoci konsoli: e s 0x0800 - 9600 0x1000 - 115200 Wystartuj z oprogramowania przechowywanego w ROMie, jeli nie uda si wystartowa z flasha/sieci s e c Broadcasty IP nie maja doaczanych numerw sieci Wacz szczegowe informacje diagnostyczne i pomi konfiguracj z NVRAMu n e
10 11-12
0x0400 0x0800-0x1000
13 14 15
0x2000 0x4000 0x8000
Domy lna warto c to 0x2102. Oznacza ona, ze router powinien wystartowa z obrazu przes s c chowywanego w pami ci Flash i sprbowa zaadowa konguracj z pami ci NVRAM. e c c e e Pr dko c konsoli ustalona jest na 9600. Dokadnie takie samo zachowanie, ale z konsola e s ustawiona na 115200 daje ustawienie rejestru konguracyjnego na warto c 0x3922. s
6.7.3. Czy do ustawiania rejestru konguracyjnego mo na z u y jakiego narz dzia? z c s e

Firma Boson udost pnia program, umozliwiajacy konguracj rejestru w systemie Windows e e wizualnie: http://download.boson.com/utils/bos_calc.exe.
6.8. VLANy
6.8.1. Co to sa VLANy?
VLAN, czyli Virtual LAN, to po prostu podzia w warstwie drugiej sieci na wiele mniejszych domen rozgoszeniowych. Aby ruch mg by wymieniany pomi dzy dwoma hostami znac e jdujacymi si w rznych VLANach, potrzebne jest urzadzenie warstwy trzeciej - router. e Dzisiaj bardzo cz sto routing mi dzy VLANami realizuje si na przeacznikach, kiedy rol e e e s e ta peniy routery. Istnieja standard tworzenia VLANw - zdeniowany przez IEEE 802.1Q. Opisuje on dokad nie, jak rozszerzy ramk L2 aby zawrze w niej informacje, do ktrego VLANu ramka c e c nalezy (sa to w tzw. ramki tagowane). Poaczenie, ktre przenosi ramki z jednocze nie wielu s VLANw, nazywa si trunkiem. Cisco zdeniowao wcze niej na swoich przeacznikach e s standard ISL - jest on bardzo cz sto spotykany w starszych urzadzeniach. Dziaa on w zae sadzie tak samo jak 802.1Q, ale ramka ulega zapakowaniu w nowa, co zwi ksza czas e potrzebny na przeprowadzanie operacji - i co wazniejsze, nie jest obsugiwane przez innych niz Cisco producentw.
30
6.8.2. Co to jest VLAN natywny?

To VLAN uzywany przez przeaczniki do przenoszenia informacji administracyjnych (np. BPDU, CDP itp.). Domy lnie jest to VLAN 1. Porty przeacznikw Cisco w domy lnej kons s guracji naleza wa nie do tego VLANu. s Na trunkach (niezaleznie czy 802.1Q czy ISL), VLAN natywny przenoszony jest bez tagowa nia.
6.8.3. Co maja na my li ludzie mwiac router na patyku s (ang. router on a stick)?

Chodzi o topologi , w ktrej jeden interfejs routera suzy do obsugi routingu z wielu sieci. e Na przykad masz 24-portowy przeacznik warstwy drugiej, dwa VLANy i chcesz jako s przekazywa ruch mi dzy nimi w oparciu o warstw trzecia. Najpro ciej b dzie zdenc e e s e iowa na przeaczniku jeden port jako trunk 802.1Q przenoszacy oba VLANy, podaczy ten c c port do routera skongurowanego analogicznie i nada na routerze adresy IP obu podinterc fejsom. Oto przykadowa konguracja interfejsu FastEthernet (pami taj, ze obsuga 802.1Q dla e wi kszo ci routerw zawarta jest dopiero w feature-set IP Plus): e s
interface FastEthernet0/0 no ip address ! interface FastEthernet0/0.1 description VLAN 10, domylna bramka dla pierwszej podsieci s encapsulation dot1Q 10 ip address 192.168.10.1 255.255.255.0 ! interface FastEthernet0/0.2 description VLAN 20, domylna bramka dla drugiej podsieci s encapsulation dot1Q 20 ip address 192.168.20.1 255.255.255.0
Portu na przeaczniku (tu akurat 2950), podaczonego do routera:

interface FastEthernet0/24 switchport trunk allowed vlan 10,20 switchport mode trunk no ip address spanning-tree portfast
W koncu port do ktrego podaczona jest stacja z VLANu 10:

interface FastEthernet0/24 switchport mode access switchport access vlan 10 no ip address spanning-tree portfast
31
6.8.4. Czy Cisco PIX mo e obsugiwa VLANy? z c

Tak, ale od PIX OS w wersji 6.3 i tylko modele od 515 w gr (525 i 535). Dokadna ilo c e s VLANw obsugiwanych przez PIXa zwiazana jest z posiadana licencja i przedstawiono ja w ponizszej tabelce:
Platforma PIX-501 PIX-506/506E PIX-515/515E PIX-515/515E PIX-520/525 PIX-520/525 PIX-535 PIX-535 Licencja R UR/FO R UR/FO R UR/FO Interfejsy fizyczne 1+4(przeacznik) 2 2+1 opcja 6 6 8 6 10 Interfejsy logiczne 2 2 3 8 10 (6+4) 10 8 22
6.8.5. Jak skongurowa na PIXie VLAN? c

Oto przykad konguracji PIXa 515 z VLANem na drugim porcie zycznym:
interface ethernet0 auto ! interfejs eth0 nie jest tagowany interface ethernet1 auto ! aktywujemy interfejs eth1 interface ethernet1 vlan20 physical ! VLAN 20 przenoszony bdzie nietagowany e interface ethernet1 vlan30 logical ! VLAN 30 przenoszony bdzie tagowany zgodnie z 802.1Q e ... nameif ethernet0 outside security0 ! fizyczny interfejs eth0 podpinamy do routera ISP nameif ethernet1 inside security100 ! nietagowane ramki na fizycznym porcie eth1 nalea do LANu z nameif vlan30 dmz security50 ! tagowane ramki na fizycznym porcie eth1 (VLAN 30) nalea do DMZtu z ! Pozostaje nadanie adresw IP: ip address dmz 169.254.76.1 255.255.255.0 ip address inside 192.168.0.1 255.255.255.0 ip address outside 169.254.12.2 255.255.255.252
Ponizej przykadowe fragmenty z konguracji przeacznika. Fizyczny interfejs eth1 PIXa doaczono do portu FE0/6, zdeniowanego jako trunk 802.1Q, przenoszacy VLAN 30, oraz VLAN 20 jako natywny:
interface FastEthernet0/6 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 30 switchport trunk native vlan 20
32
6.9. Jak sprawdzi ... c

6.9.1. ...ile interfejsw logicznych obsu y router X? z
Kazdy interfejs zajmuje minimalna ilo c pami ci routera. Lista interfejsw s e przechowywana jest w tzw. IDB, czyli Interface DataBase. W zalezno ci od s wielko ci routera, a takze w mniejszym stopniu od wersji Cisco IOS na nim s pracujacego, pojemno c tej bazy rzni si . Aktualna lista znajduje si tutaj: s e e http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_tech_note09186a0080094322.shtm Na swoim routerze, ilo c wolnego miejsca na dodatkowe interfejsy, mozesz sprawdzi s c poleceniem show idb:
router# show idb Maximum number of Software IDBs 300. HWIDBs 13 4 17 4648 79016 In use 17.
Active Inactive Total IDBs Size each (bytes) Total bytes
SWIDBs 13 4 17 1392 23664
Powyzsza informacja pochodzi z routera 1712 - wida , ze router obsuzy do 300 interfejsw, c z czego 17 jest juz zaj tych. e
6.9.2. ...aktualne obcia enie procesora? z

Posugujac si poleceniem show processes cpu: e
router# show processes cpu CPU utilization for five seconds: 6%/2%; one minute: 6%; five minutes: 5% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 1 1808 833 2170 0.00% 0.00% 0.00% 0 Chunk Manager 2 140 90945 1 0.00% 0.00% 0.00% 0 Load Meter [...]
Warto c podzielona (6%/2%) to: s
6% - srednie oglne zaj cie procesora przez ostatnie pi c sekund; jest ono suma obciazenia e e wywoanego przez przerwania i procesy 2% - srednie obciazenie przez ostatnie pi c sekund zwiazane z przerwaniami e
Jak nietrudno si domy li , pierwsza warto c minus druga warto c daje obciazenie procee s c s s sora przez rznego rodzaju procesy dziaajace na routerze (NAT, DHCP, obsuga IP, IPsec itp.). Pozostae dwie warto ci z wydruku, to zgodnie z nazwa u rednione obciazenie oglne za s s poprzednia minut i pi c minut. e e Par uwag co do warto ci podzielonej (6%/2%): e s
W czasie normalnej pracy routera, obie warto ci powinny by do siebie zblizone. s c
33
Je li pierwsza warto c jest duzo wi ksza od drugiej (np. widzisz na swoim routerze s s e warto c 75%/16%), oznacza to jakiego rodzaju atak na router, lub istotny problem z s s ktrym z procesw. s Je li oba parametry sa wysokie (np. 95%/92%), router obsuguje za duzo ruchu - postaraj s si zoptymalizowa jego konguracj , zwerykowa poprawno c topologii swojej sieci e c e c s lub wymieni router na wi kszy. c e
6.9.3. ...historyczne obcia enie procesora? z

Posugujac si poleceniem show processes cpu history. Router pokaze trzy e wykresy: za ostatnia minut , za ostatnia godzin i za ostatnie 72 godziny. O X pokazuje e e s upywajacy czas, o Y obciazenie procesora (zgrubnie), a warto ci u gry wykresu s s dokadne obciazenie. Np.:
router# show processes cpu history 3333333333444443333333333222244444444445555533333555553333 100 90 80 70 60 50 40 30 20 10 ***** ***** 0....5....1....1....2....2....3....3....4....4....5....5.... 0 5 0 5 0 5 0 5 0 5 CPU% per second (last 60 seconds) [...]
6.9.4. ...w li cie procesw tylko te, zajmujace jakie zasoby s s procesora?
W ten sposb:
router# show processes cpu | exclude 0.00%__0.00%__0.00% CPU utilization for five seconds: 5%/1%; one minute: 4%; five minutes: 4% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 5 363736 51123 7114 0.00% 0.05% 0.05% 0 Check heaps 9 34092 79729 427 0.07% 0.00% 0.00% 0 ARP Input 24 3597724 451492 7968 2.00% 1.93% 1.94% 0 TTY Background 29 9556 87956 108 0.07% 0.00% 0.00% 0 Net Input 31 183808 7682 23927 0.00% 0.03% 0.00% 0 Per-minute Jobs 40 5700 1894 3009 1.59% 0.29% 0.38% 6 SSH Process 41 1092960 1344980 812 0.63% 0.32% 0.29% 0 IP Input 59 228164 739184 308 0.07% 0.00% 0.00% 0 CEF process 62 17884 98746 181 0.00% 0.01% 0.00% 0 IP-EIGRP: PDM 116 223904 1800331 124 0.00% 0.05% 0.06% 0 COLLECT STAT COU
34

126 132 13524 14680 7591 295105 1781 49 0.00% 0.00% 0.01% 0.03% 0.00% 0.01% 0 SNMP ENGINE 0 IP-EIGRP: HELLO
6.9.5. ...zaj to c pami ci? e s e

List procesw z podstawowymi informacjami mozna sprawdzi poleceniem: e c
router# show processes Total: 78044960, Used: PID TTY Allocated 0 0 254908 0 0 840 0 0 18419360 1 0 3256 2 0 188 3 130 1288172 4 0 188 5 0 65580 6 0 0 7 0 9666440 memory 13534380, Free: 64510580 Freed Holding Getbufs 55980 7590192 0 71100 840 0 7879520 20080 252348 0 10100 0 188 3844 0 1196764 104264 0 188 6844 0 0 90424 0 536 6844 0 7616660 619640 1091448
Retbufs 0 0 0 0 0 0 0 0 0 1447712
Process *Init* *Sched* *Dead* Chunk Manager Load Meter SSH Process fastblk backgrou EDDRI_MAIN Check heaps Pool Manager
Pierwsza linijka wydruku podaje informacje sumaryczne. Router ma oglem 78MB pami ci e uzytecznej, z tego uzywa obecnie 13,5MB a wolne pozostaje 64MB. Kolejne kolumny na li cie to: s

PID - identykator procesu TTY - z ktra konsola skojarzony jest proces - wi kszo c procesw ma tutaj warto c 0, co e s s oznacza, ze skojarzone sa tylko z procesem Init. Allocated - ile historycznie proces zaallokowa pami ci e Freed - ile historycznie proces zwolni pami ci e Holding - ile aktualnie rezerwuje/uzywa pami ci e
Natomiast bardziej konkretna informacj , dotyczaca tylko pami ci, mozna uzyska wydajac e e c polecenie show memory statistics:
router# show memory statistics Head Total(b) Processor 631920E0 78044960 I/O 7C00000 4194304 Used(b) 13548532 2399272 Free(b) 64496428 1795032 Lowest(b) 64033028 1457520 Largest(b) 63721760 1653884
Tutaj dodatkowo wida pami c zarezerwowana na operacje I/O (ang. Input/Output), czyli c e na komunikacj z zainstalowanymi kartami interfejsw. e
6.9.6. ...obj to c pami ci wykorzystywana przez procesy e s e routingu?

W ten sposb:
router# show ip route summary IP routing table name is Default-IP-Routing-Table(0) IP routing table maximum-paths is 16
35

Route Source connected static eigrp 10 internal Total Networks 0 32 1 2 35 Subnets 4 2 18 24 Overhead 288 2448 1368 4104 Memory (bytes) 544 4624 2584 2312 10064
W ostatniej kolumnie wida zaj to c pami ci w bajtach. Zwr jednak uwag , c e s e c e ze chodzi tylko o pami c zajmowana we wskazanej tablicy routingu (tutaj, e Default-IP-Routing-Table(0), czyli tablica gwna). Same procesy routingu moga zajmowa duzo wi cej pami ci. c e e
6.9.7. ...jakie karty zainstalowano w routerze?

Je li wynik polecenia show version jest niewystarczajacy, mozesz dodatkowo s uzy polecenia show diag. Powinno ono zwrci mas szczegw dotyczacych c c e zainstalowanych i wykrytych poprawnie kart. Ponizej lista kart w routerze 1712:
router# show diag Slot 0: C1712 1FE 4ESW Mainboard Port adapter, 6 ports [...] WIC/VIC Slot 0: 4 Port FE Switch [...] Product (FRU) Number : WIC-4ESW= WIC/VIC Slot 1: BRI S/T - 2186 [...] Slot 3: Virtual Private Network (VPN) Module Port adapter, 1 port [...] Product (FRU) Number : MOD1700-VPN=
W nowszych IOSach pojawio si rwniez polecenie show inventory, ktre dotyczy e mniej danych technicznych, a bardziej po prostu faktycznego wyposazenia routera. Ponizej wynik dziaania tego polecenia na routerze 2650XM:
2650xm# show diag NAME: "2650XM chassis", DESCR: "2650XM chassis, Hw Serial#: JAE01234ABC (12345678), Hw Revision: 0x200" PID: 2650XM , VID: 0x200, SN: JAE01234RAU (12345678) NAME: "2600 Chassis Slot 0", DESCR: "2600 Chassis Slot" PID: 2600 Chassis Slot , VID: , SN: NAME: "C2600 Mainboard", DESCR: "C2600 Mainboard" PID: C2600 Mainboard , VID: 2.0, SN: 12345678 NAME: "DaughterCard Slot 0 on Card 0", DESCR: "2600 DaughterCard Slot" PID: 2600 DaughterCard Slot, VID: , SN: NAME: "WAN Interface Card - Serial (1T)", DESCR: "WAN Interface Card - Serial (1T)" PID: WAN Interface Card - Serial (1T), VID: 1.0, SN: 20512345
36
NAME: "Serial0/0", DESCR: "PowerQUICC Serial" PID: PowerQUICC Serial , VID: , SN: NAME: "DaughterCard Slot 1 on Card 0", DESCR: "2600 DaughterCard Slot" PID: 2600 DaughterCard Slot, VID: , SN: NAME: "AIM Container Slot 0", DESCR: "AIM Container Slot 0" PID: AIM Container Slot 0, VID: , SN: NAME: "FastEthernet0/0", DESCR: "AmdFE" PID: AmdFE , VID: , SN: NAME: "2600 Chassis Slot 1", DESCR: "2600 Chassis Slot" PID: 2600 Chassis Slot , VID: , SN:
6.9.8. ...jakie karty zainstalowano w przeaczniku pracujacym pod kontrola CatOS?

Wydajac polecenie:
switchc> show module Mod --1 15 8 9 Slot ---1 1 8 9 Ports ----2 1 48 48 Module-Type ------------------------1000BaseX Supervisor Multilayer Switch Feature 10/100BaseTX Ethernet 10/100BaseTX Ethernet Model ------------------WS-X6K-SUP1A-2GE WS-F6K-MSFC WS-X6248-RJ-45 WS-X6348-RJ-45 Sub --yes no no yes Status -------ok ok ok ok
[...] Mod --1 9 Sub-Type ----------------------L3 Switching Engine Inline Power Module Sub-Model Sub-Serial ------------------- ----------WS-F6K-PFC SAD03462981 WS-F6K-VPWR Sub-Hw -----1.0 1.0
6.9.9. ...co obsuguje dany feature-set?

Dobrym zrdem informacji, jaka dokadnie funkcjonalno c znajduje si w konkretnym s e obrazie, jest Cisco Feature Navigator dost pny pod adresem: http://www.cisco.com/go/fn. e Niestety, dost pny jest tylko dla posiadaczy kont CCO. e
6.9.10. ...znajac nazw pliku Cisco IOS jaki to feature-set? e
Dla IOSw od 9 do 12.2 istnieja pewne reguy, opisujace co znaczy konkretna literka w nazwie. Opisano je tutaj: http://www.cisco.com/en/US/products/sw/iosswrel/ios_abcs_ios_networking_the_enterprise0900aecd8 Generalnie, nazwa pliku (np. c2600-i-mz.123-1a.bin) z Cisco IOS skada si z: e
37

Platformy, na ktrej b dzie pracowa obraz (c2600 to routery Cisco serii 2600); e c Funkcjonalno ci zawartej w obrazie (i, czyli tylko podstawowa funkcjonalno c IP); s s Czy obraz wykonywany jest w pami ci RAM (literka m), czy w pami ci Flash (literka f) e e lub z ROM (literka r) lub relokowalny (literka l). Dodatkowo, mozna si dowiedzie , ze e c obraz jest spakowany zwykym ZIPem (literka z), lub mZIPem (literka x); Numeru wersji Cisco IOS 123-1a czyli 12.3.1a;
Ponizej spis literek, ktre oznaczaja funkcjonalno ci: s

i j c d p y funkcjonalno IP sc funkcjonalno Enterprise sc funkcjonalno Remote Access Server sc funkcjonalno IP/IPX/AT/DECnet sc funkcjonalno Service Provider sc ograniczona funkcjonalno IP (bez Kerberosa, RADIUSa, sc NTP, OSPF, PIM, SMRP, NHRP itp.) funkcjonalno sc funkcjonalno sc funkcjonalno sc funkcjonalno sc funkcjonalno sc Plus Firewall Firewall/IDS H.323 IPX
s o o3 x n
k8 - obraz z szyfrowaniem CET/DES 56i - obraz z szyfrowaniem CET/DES dla obrazw na starsze platformy k9 - obraz z szyfrowaniem CET/DES/3DES (i AES, od 12.2T/12.3)
Najcz sciej spotykane funkcjonalno ci to: e s

-i-is-oy-io3-x-ik8s-ik9s-ik9o3s-k91p= = = = = = = = = IP only IP Plus IP Firewall (na starsze platformy) IP/FW/IDS IP H.323 IP Plus IPsec DES IP Plus IPsec 3DES IP/FW/IDS Plus IPsec 3DES Service Provider + SSH
6.9.11. ...czy dana karta/modu kompatybilna jest z danym routerem?

Dobrym zrdem informacji o wzajemnej kompatybilno ci s jest Cisco Hardware-Software Matrix dost pny pod adresem: http://www.cisco.com/cgie bin/front.x/Support/HWSWmatrix/hwswmatrix.cgi. Niestety, dost pny jest tylko dla posiadaczy kont CCO. e
38
6.9.12. ...na ktrym porcie routera znajduje si urzadzenie o e danym adresie MAC lub IP?
Wystarczy, ze wydasz polecenie show ip arp aaaa.bbbb.cccc, gdzie ciag aaaa.bbbb.cccc to szukany adres MAC, lub show ip arp A.B.C.D, gdzie ciag A.B.C.D to adres IP:
! dla adresu MAC: router# show ip arp 0000.cd0f.4feb Protocol Internet Address 192.168.10.10 Age (min) 2 Hardware Addr 0000.cd0f.4feb Type ARPA Interface FastEthernet0/0
! dla adresu IP: router# show ip arp 192.168.10.10 Protocol Internet Address 192.168.10.10 Age (min) 2 Hardware Addr 0000.cd0f.4feb Type ARPA Interface FastEthernet0/0
6.9.13. ...na ktrym porcie przeacznika Catalyst wpi to e urzadzenie o danym adresie MAC?
Je li na przeaczniku zainstalowano IOS, wystarczy, ze wydasz polecenie show s mac-address-table | include aaaa.bbbb.cccc, gdzie ciag aaaa.bbbb.cccc to szukany adres MAC:
switch# show mac-address-table | include 0000.cd0f.4feb 1 0000.cd0f.4feb DYNAMIC Fa0/24
Jak wida , urzadzenie o tym adresie MAC wpi te jest do portu FastEthernet 0/24 na c e lokalnym przeaczniku. Je li zamiast portu wskazany jest trunk - nalezy sprawdzi na kole s c jnym przeaczniku, podaczonym do lokalnego wskazanym trunkiem.
6.9.14. ...bud et mocy na modularnym przeaczniku Catalyst? z

Skorzystaj z kalkulatora http://www.cisco.com/go/powercalculator. dost pnego e pod adresem
39
40
Rozdzia 7. Wybr sprz tu pod konkretne e zastosowanie

7.1. Jaki router wystarczy do maej sieci (10-15 u ytkownikw), w sytuacji, gdy Internet dochodzi do z mnie Ethernetem?
Rzu okiem na router serii 830 - konkretnie interesowa Ci b dzie model Cisco 831, lub c c e e nawet PIX 501/506E. Pami taj, ze PIXy nie obsuguja tuneli GRE czy funkcjonalno ci QoS. e s Je li jednak b dziesz chcia zapewni sieci poaczenie zapasowe, musisz spojrze na wyzsze s e c c modele.
7.2. Jaki router wystarczy do maej sieci (10-15 u ytkownikw), w sytuacji, gdy Internet dochodzi do z mnie stykiem V.35 (Polpak-T)?
Najmniejszy router Cisco, do ktrego podaczy mozna V.35 to model 805. Problem polega c na tym, ze interfejs tego routera obsuguje taktowanie tylko do 512kbit/s, co oznacza, ze nie nadaje si raczej do wi kszo ci instalacji (np. Polpak-T zestawia si zwykle na pr dko ci 1 e e s e e s lub 2Mbit/s). Je li zalezy Ci na sprz cie uzywanym (niska cena, ale pami taj o braku ocjalnego serwisu s e e dla tego sprz tu!), rozejrzyj si na Allegro za routerami klasy 1601 czy 2503. Posiadaja one e e zamontowane porty szeregowe i Ethernet, przy czym porty szeregowe maja styk DB-60. Do takiego routera potrzebujesz jeszcze kabla DTE V.35 (oryginalny kabel posiada oznaczenie CAB-V35MT). Problemem tego sprz tu jest maa wydajno c - 2Mbit/s acze obsuza e s bez problemu, ale dodawanie nowej funkcjonalno ci (duzych list ACL, kontroli zawarto ci s s pakietw przez NBAR itp.) moze znacznie zmniejszy wydajno c i spowodowa rwanie si c s c e poaczen, czy problemy z ich nawiazaniem. Najmniejszy router dost pny "z pki" to 1721, do ktrego w celu obsugi acza z V.35 nalezy e doozy kart WIC-1T (jeden styk DB-60, kabel CAB-V35MT) lub WIC-2T (dwa styki Smart c e Serial, dwa kable CAB-SS-V35MT). Routery te posiadaja obecnie standardowo po 64MB RAM i 32MB ash, co pozwala na rozbudow w przyszo ci o Cisco IOS z wi ksza funkcjone s e alno cia. s Je li my lisz o obsudze dwch rwnolegych acz 2Mbit/s i b dziesz kupowa nowy s s e router, juz dzisiaj zastanw si nad routerami klasy 2600XM. Routery 2610XM, 2620XM i e 2650XM posiadaja po jednym FastEthernecie, a 2611XM, 2621XM i 2651XM po dwa FastEth ernety. Poza nimi, konguracja sprz towa jest taka sama: wszystkie posiadaja jeden slot e NM i dwa sloty WIC, plus slot AIM ukryty w obudowie. Routery rznia si wydajno e s cia (2610XM/2611XM w granicach 20kpps, 2620XM/2621XM 30kpps i 2650XM/2651XM 40kpps) i domy lnie dostarczana wielko cia pami ci (2610/11/20/21XM maja po 64MB s s e RAM i 32MB ash, 2650/51XM 128MB RAM i 32MB ash).
41
Rozdzia 7. Wybr sprztu pod konkretne zastosowanie e
7.3. Jaki router wystarczy do maej sieci (10-15 u ytkownikw), w sytuacji, gdy chcemy bezpiecznie z poaczy si VPNem do innej podobnej lokalizacji przez c e acze zakonczone Ethernetem?
Cisco przewidziao specjalnie do takich celw routery 1711/1712. W cenie symbolicznie tylko wyzszej od podstawowego modelu 1721 otrzymujemy router z:
WAN-owskim portem Ethernet, do ktrego mozemy podaczy np. modem DSL (za c konczony Ethernetem, nie stykiem ADSL!) cztero-portowym przeacznikiem 10/100 dla podaczenia urzadzen LAN, z obsuga VLAN-w (a takze routingu mi dzy nimi realizowanymi przez procesor routera) e analogowym portem modemowym (1711) lub ISDN BRI (1712), na ktrym mozna zreali zowa poaczenie zapasowe (lub gwne - pena elastyczno c) c s sprz towa obsuga szyfrowania DES/3DES/AES (zainstalowany modu MOD1700VPN), e co daje (wg. dokumentacji) obsug do 100 jednoczesnych tuneli VPN i przepustowo c e s 3DES do 15 Mbit/s oprogramowanie o funkcjonalno ci Firewall/IDS IPsec 3DES. s
Warto zauwazy , ze dzi ki poaczeniu VLAN-w z oprogramowaniem Firewall da si nawet c e e zaimplementowa na tym urzadzeniu prosty DMZ. c Oczywi cie, je li takie poaczenia VPN schodza si w jakim punkcie centralnym to musi si s s e s e tam znajdowa odpowiednio mocniejsze urzadzenie terminujace tunele, np. koncentrator c VPN, lub wi kszy router z karta VPN albo PIX z karta VAC. e
7.4. Mam dwa acza od dwch ISP i chciabym uruchomi c BGP. Jakiego routera powinienem u y ? z c
Generalnie, routing BGP mozna uruchomi nawet na routerach serii 800. Zakadamy jednak, c ze chodzi o instalacje z duza siecia LAN, relatywnie duzym ruchem z i do Internetu (rz du e 4-200Mbit/s) oraz ch cia realizowania innych usug - ltrowania ruchu, NATowania itp. e Bezpiecznie b dzie zaozy , ze potrzebujesz routera z serii 7200 - 7204VXR lub 7206VXR e c (odpowiednio 4 lub 6 slotw na karty interfejsw). W takim routerze powinna znale c si z e karta z procesorem sieciowym, w nomenklaturze Cisco oznaczana jako NPE. Aby uruchomi BGP i sensownie obsugiwa ruch, powiniene obecnie wyposazy si w modu c c s c e NPE-400 lub NPE-1G, wzgl dnie NSE-1. Karta NPE/NSE powinna mie minimum 256MB e c RAM, je li chcesz otrzymywa pene swiatowe tablice BGP. s c Zajrzyj rwniez do sekcji po wi conej routingowi BGP, aby uzyska wi cej informacji o dzi s e c e aaniu tego protokou, jego konguracji i innych zaleceniach.
7.5. Potrzebuj may przeacznik Cisco, bez routingu e

Najmniejsze obecnie w sprzedazy nieroutujace przeaczniki, to seria 2950. Oferowane sa
42
Rozdzia 7. Wybr sprztu pod konkretne zastosowanie e w wersjach bez moduw GBIC (WS-C2950-12 i WS-C2950-24, odpowiednio 12 i 24 porty 10/100), oraz z slotami na dwa moduy GBIC (WS-C2950G-12, WS-C2950G-24 i WS-C2950G48). Dost pne sa rwniez mae modele 2940, zawierajace osiem portw 10/100BaseTX oraz e albo jeden port 1000BaseTX (WS-C2940-8TT), albo jeden port 100BaseFX z mozliwo cia za s miennie wykorzystania jednego moduu SFP (WS-C2940-8TF). Dodatkowo, w sprzedazy znajduja si wersje, ktre zamiast slotw na moduy GBIC, maja zabudowane porty na stae. e Sa to:

WS-C2950T-24 - 24 porty 10/100 + 2 porty 10/100/1000BaseT WS-C2950T-48 - 48 portw 10/100 + 2 porty 10/100/1000BaseT WS-C2950C-24 - 24 porty 10/100 + 2 porty 100BaseFX WS-C2950SX-24 - 24 porty 10/100 + 2 porty 1000BaseSX WS-C2950SX-48 - 48 portw 10/100 + 2 porty 1000BaseSX
Cz sc przeacznikw moze dodatkowo posiada oprogramowanie w wersji EI (lub jest z e c nim sprzedawana). W porwnania do standardowego SI, EI oznacza obsug jednocze nie e s wi kszej ilo ci VLANw (250 w porwnaniu do standardowych 64), mozliwo c konge s s urowania ograniczania pasma per port (tylko policing, nie ma shapingu), a takze mozliwo c s obsugi poaczen przez SSH (tylko w specjalnych wersjach Crypto). Niezaleznie od wersji, przeaczniki obsuguja oprogramowanie CMS, czyli Cluster Manage ment Suite, ktre rezyduje w pami ci ash przeacznika i umozliwia zarzadzanie nim za e pomoca gracznego interfejsu uzytkownika. W sprzedazy znajduje si rwniez model 2970, ktry ma architektur zblizona do 2950, ale e e wyposazony jest w 24 porty 10/100/1000BaseTX + w jednej z wersji, w uplinki GBIC.
7.6. Potrzebuj przeacznik Cisco potraacy realizowa e c routing

7.6.1. Przeaczniki niemodularne
Je li chodzi o przeaczniki niemodularne, to w sprzedazy znajduja si przeaczniki 3550 i s e 3750. Obie rodziny realizuja routing IP z maksymalna pr dko cia na wszystkich portach e s (tzw. wire-speed). Dodatkowo maja mozliwo c ltrowania ruchu (zarwno wg. adresw s MAC i adresw IP, z dokadno cia do portw TCP/UDP). s Oba modele obsuguja dwie linie oprogramowania - SMI (Standard Multilayer Image) i EMI (Enhanced Multilayer Image). Wersja SMI zawiera routing IP statyczny oraz RIP obu wersji, w wersji EMI otrzymujemy dodatkowo IGRP, OSPF i EIGRP (dla 3550 dodatkowo BGP). Wi cej o przeacznikach 3550 mozesz poczyta tu: http://www.cisco.com/go/cat3550 a o e c 3750 tutaj: http://www.cisco.com/go/cat3750.
7.6.2. Przeaczniki modularne

Natomiast je li potrzebujesz modularny przeacznik, obecnie Cisco sprzedaje serie s 4500 oraz 6500. 4500 jest zeskalowana w d wersja 6500, ale oferuje zarwno porty 10/100BaseTX, 100BaseFX jak i gigabit we wszystkich standardach oraz realizuje
43
Rozdzia 7. Wybr sprztu pod konkretne zastosowanie e wi kszo c funkcjonalno ci rodziny 6500. Niestety nadal karty 10GbE dost pne sa tylko dla e s s e 6500/7600 (montaz takiej karty w 4500 nie ma sensu, kazdy modu ma zarezerwowane tylko 6Gbit/s do i z moduu zarzadzajacego). Wi cej informacji o przeacznikach e 4500 znajdziesz tutaj: http://www.cisco.com/go/cat4000, a o rodzinie 6500 tutaj: http://www.cisco.com/en/US/products/hw/switches/ps708/index.html.
7.7. Czy Cisco sprzedaje tzw. rewalle sprz towe? e

Tak, nazywaja si Cisco PIX (ang. Private Internet eXchange). Oferowane sa od modelw 501 i e 506E (bez mozliwo ci rozbudowy), przez 515, 525 do 535 (z moduami GigabitEthernet) do s karty realizujacej scian ogniowa w przeacznikach Catalyst 6500 (karta nazywa si FWSM, e e a jej P/N handlowy to: WS-SVC-FWM-1-K9=). PIXy dedykowane sa w stanie ltrowa ruch c do 1,7Gbit/s (pakiety 1400 bajtowe, PIX-535UR), natomiast karta do Catalysta ma przepustowo c do 5,5Gbit/s. s PIXy obsuguja programowe i sprz towe (dodatkowa karta do modeli 515/525/535) e szyfrowanie IPsec dla DES/3DES/AES (ten ostatni od PIX OS 6.3), oraz terminowanie tuneli L2TP i PPTP. Rwniez od wersji 6 pojawia si mozliwo c realizowania VLANw na PIXach e s (w standardzie 802.1Q, od modelu 515). Wi cej o PIXach znajdziesz pod adresem: http://www.cisco.com/go/pix. e
7.8. Czy Cisco sprzedaje sprz t do budowy sieci e bezprzewodowych?

Tak, jest to seria produktw Cisco Aironet. Obecnie w sprzedazy znajduja si : e
Punkty dost powe 1120. Sa to urzadzenia pracujace w standardzie 802.11b (P/N: AIRe AP1120B-E-K9), 802.11g kompatybilnym w d z 802.11b (P/N: AIR-AP1121G-E-K9). W obu wersjach anteny zamontowane sa wewnatrz urzadzenia i nie ma mozliwo ci s doaczenia zewn trznych. Do zakupionego AP serii 1120 ze starym radiem 802.11b, moz e na dokupi nowe radio zgodne ze standardem 802.11g (P/N: AIR-MP21G-E-K9). c Punkty dost powe serii 1200. Wcze niejsza seria tych produktw (1220) posiadaa system e s operacyjny oparty na platformie VxWorks. Na obecnie sprzedawanych AP (seria 1230) zainstalowany jest juz zwyky Cisco IOS. Punkty dost powe tej serii sa dwusystemowe e posiadaja dwa sloty na radia obu standardw: 802.11b lub 802.11g, oraz 802.11a. Do ra dia 802.11b lub 802.11g nalezy dokupi osobno anteny zewn trzne, radio 802.11a posiada c e zamontowana na stae, zintegrowana anten . e Punkty dost powe serii 350. Starsza generacja sprz tu, kompatybilna tylko ze standardem e e 802.11b. Mosty bezprzewodowe 350. Starsza generacja sprz tu, kompatybilna tylko ze standardem e 802.11b, umozliwia zestawianie poaczen punkt-punkt i punkt-wielopunkt. mozesz przeczyta c pod adresem:
Wi cej o produktach bezprzewodowych e http://www.cisco.com/go/wireless.
44
Rozdzia 8. Jak skongurowa router do... c

8.1. ...usugi transmisji danych w sieci Polpak-T?
Zakadajac, ze posiadasz kabel i wszystko odpowiednio podaczye , ponizej gotowiec kon s guracji. Przyj to, ze interesuje Ci podstawowa konguracja, bez dodatkowej funkcjonalno ci spoe e s tykanej tylko na niektrych routerach (rewall, IDS, wymy lne ltrowanie czy uwierzytels nianie). Podsie mi dzy Twoim routerem a routerem ISP to 169.254.1.0/30 (169.254.1.1 to adres c e routera ISP, 169.254.1.2 to adres Twojego routera), sie LAN ma adresacj 192.168.0.0/24, c e przy czym interfejs Ethernet Twojego routera ma adres 192.168.0.1 i jest dla tej sieci domy ls na bramka. Dodatkowo, sie LAN wychodzi do Internetu z adresem publicznym routera (169.254.1.2), c a interfejs Frame Relay ma DLCI rwne 99.
no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime service timestamps log datetime msec localtime service password-encryption ! hostname rtr_cisco ! enable password jakies_trudne_haslo ! username user_1 password haslo_usera_1 ip subnet-zero no ip source-route no ip domain-lookup ip tcp path-mtu-discovery ! interface Ethernet0 description Polaczenie dla sieci LAN ip address 192.168.0.1 255.255.255.0 ip nat inside ! interface Serial0 description Konfiguracja fizycznego interfejsu szeregowego no ip address encapsulation frame-relay frame-relay lmi-type ansi ! interface Serial0.1 point-to-point description Polaczenie Polpak-T do Internetu 2Mbit ip address 169.254.1.2 255.255.255.252 frame-relay interface-dlci 99 IETF ip nat outside ! ip classless ip route 0.0.0.0 0.0.0.0 Serial0.1
45

no ip http server ! ip nat inside source list 100 interface Serial 0.1 overload ! access-list 100 permit ip 192.168.0.0 0.0.0.255 any access-list 100 deny ip any any no cdp run ! line con 0 exec-timeout 5 0 login local line vty 0 4 exec-timeout 5 0 login local ! end
8.2. ...InternetDSL lub innego dostawcy oferujacego styk Ethernet?

Zakadajac, ze posiadasz kabel i dwa interfejsy Ethernet/FastEthernet na routerze, oraz wszystko odpowiednio podaczye , ponizej gotowiec konguracji. s UWAGA: mozesz spia styk Ethernet dostawcy z interfejsem Ethernet/FastEthernet na c swoim routerze pod warunkiem, ze uzyjesz kabla skrosowanego! Przyj to, ze interesuje Ci podstawowa konguracja, bez dodatkowej funkcjonalno ci spoe e s tykanej tylko na niektrych routerach (rewall, IDS, wymy lne ltrowanie czy uwierzytels nianie). Podsie mi dzy Twoim routerem a routerem ISP to 169.254.1.0/30 (169.254.1.1 to adres c e routera ISP, 169.254.1.2 to adres Twojego routera), sie LAN ma adresacj 192.168.0.0/24, c e przy czym interfejs Ethernet Twojego routera ma adres 192.168.0.1 i jest dla tej sieci domy ls na bramka. Dodatkowo, sie LAN wychodzi do Internetu z adresem publicznym routera (169.254.1.2). c
no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime service timestamps log datetime msec localtime service password-encryption ! hostname rtr_cisco ! enable password jakies_trudne_haslo ! username user_1 password haslo_usera_1 ip subnet-zero no ip source-route no ip domain-lookup ip tcp path-mtu-discovery ! interface Ethernet0
46

description Polaczenie dla sieci LAN ip address 192.168.0.1 255.255.255.0 ip nat inside ! interface Ethernet1 description Polaczenie dla sieci Internet ip address 169.254.1.2 255.255.255.252 ip nat outside ! ip classless ip route 0.0.0.0 0.0.0.0 169.254.1.1 no ip http server ! ip nat inside source list 100 interface Ethernet 1 overload ! access-list 100 permit ip 192.168.0.0 0.0.0.255 any access-list 100 deny ip any any no cdp run ! line con 0 exec-timeout 5 0 login local line vty 0 4 exec-timeout 5 0 login local ! end
8.3. ...usugi SDI/CDI?

SDI/CDI mozna do routera Cisco podaczy na dwa sposoby: do portu AUX routera c (niepolecane, obciaza mocno procesor) lub do interfejs asynchronicznego. Na mniejszych routerach (klasy 1700) port asynchroniczny znajduje si na karcie WIC-2A/S. e Dodatkowo, ale tylko na platformie 1700, w tryb asynchroniczny mozna ustawi porty na c karcie WIC-2T (lub jedyny port na karcie WIC-1T) - w konguracji interfejsu dodajac polece nie physical layer async. UWAGA: mozesz spia styk Ethernet dostawcy z interfejsem Ethernet/FastEthernet na c swoim routerze pod warunkiem, ze uzyjesz kabla skrosowanego! Przyj to, ze interesuje Ci podstawowa konguracja, bez dodatkowej funkcjonalno ci spoe e s tykanej tylko na niektrych routerach (rewall, IDS, wymy lne ltrowanie czy uwierzytels nianie). Zarwno w usudze SDI jak i CDI router musi w ramach poaczenia PPP uwierzytelni si c e - login i haso otrzymae od dostawcy. Sie LAN ma adresacj 192.168.0.0/24, przy czym s c e interfejs Ethernet routera ma adres 192.168.0.1 i jest domy lna bramka dla sieci. Sie LAN s c uzywa oczywi cie w aczno ci z Internetem adresu publicznego przypisanego routerowi. s s W ponizszej konguracji zakadamy, ze uzywasz karty WIC-1T lub pierwszego portu z kar ty WIC-2T.
no service pad service tcp-keepalives-in service tcp-keepalives-out
47

service timestamps debug datetime msec localtime service timestamps log datetime msec localtime service password-encryption ! hostname rtr_cisco ! enable password jakies_trudne_haslo ! username user_1 password haslo_usera_1 ip subnet-zero no ip source-route no ip domain-lookup ip tcp path-mtu-discovery ! interface Ethernet0 description Polaczenie dla sieci LAN ip address 192.168.0.1 255.255.255.0 ip nat inside ! interface Serial0 description Polaczenie SDI physical-layer async ip address negotiated no ip directed-broadcast ip nat outside encapsulation ppp async mode dedicated no cdp enable ppp pap sent-username nazwa_uzytkownika_sdi password haslo_uzyt_sdi ! ip classless ip route 0.0.0.0 0.0.0.0 Serial 0 no ip http server ! ip nat inside source list 100 interface Serial 0 overload ! access-list 100 permit ip 192.168.0.0 0.0.0.255 any access-list 100 deny ip any any no cdp run ! line con 0 exec-timeout 5 0 login local line vty 0 4 exec-timeout 5 0 login local ! end
8.4. ...usugi Neostrada+?

Zakadam, ze chodzi o Neostrad zakonczona stykiem ADSL. Odpowiednie routery Cisco e do takiej konguracji, to np. Cisco 837 - ktry ma zabudowane na stae styk ADSL, lub
48
Rozdzia 8. Jak skongurowa router do... c Cisco 1700 czy 2600 z moduem WIC-1ADSL. Zakadajac, ze posiadasz kabel i wszystko odpowiednio podaczye , ponizej gotowiec konguracji. s Przyj to, ze interesuje Ci podstawowa konguracja, bez dodatkowej funkcjonalno ci spoe e s tykanej tylko na niektrych routerach (rewall, IDS, wymy lne ltrowanie czy uwierzytels nianie). Adres publiczny przydzielany jest dynamicznie przy kazdym poaczeniu, sie LAN ma c adresacj 192.168.0.0/24, przy czym interfejs Ethernet Twojego routera ma adres 192.168.0.1 e i jest dla tej sieci domy lna bramka. s Sie LAN wychodzi do Internetu z dynamicznie przyznanym adresem IP. c
no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime service timestamps log datetime msec localtime service password-encryption ! hostname rtr_cisco ! enable password jakies_trudne_haslo ! username user_1 password haslo_usera_1 ip subnet-zero no ip source-route no ip domain-lookup ip tcp path-mtu-discovery ! ip dhcp excluded-address 192.168.0.1 ! ip dhcp pool CLIENT import all network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 194.204.159.1 194.204.152.34 lease 0 2 ! interface Ethernet0 description Polaczenie dla sieci LAN ip address 192.168.0.1 255.255.255.0 ip nat inside ! interface ATM0 description Polaczenie ADSL do ISP no ip address no atm ilmi-keepalive pvc 0/35 encapsulation aal5mux ppp dialer dialer pool-member 1 ! dsl operating-mode auto hold-queue 224 in ! interface Dialer0 description Interfejs dzwoniacy ip address negotiated
49

ip nat outside encapsulation ppp dialer pool 1 dialer-group 1 ppp chap hostname login@neostrada.pl ppp chap password 0 twoje_haslo_do_neo+ ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer 0 no ip http server ! ip nat inside source list 100 interface Dialer 0 overload ! access-list 100 permit ip 192.168.0.0 0.0.0.255 any access-list 100 deny ip any any no cdp run ! line con 0 exec-timeout 5 0 login local line vty 0 4 exec-timeout 5 0 login local ! end
8.5. ...do Neostrady+ ale dla routera Cisco 677?

Przyj to, ze interesuje Ci podstawowa konguracja, bez dodatkowej funkcjonalno ci spoe e s tykanej tylko na niektrych routerach (rewall, IDS, wymy lne ltrowanie czy uwierzytels nianie). Adres publiczny przydzielany jest dynamicznie przy kazdym poaczeniu, sie LAN ma c adresacj 192.168.0.0/24, przy czym interfejs Ethernet Twojego routera ma adres 192.168.0.1 e i jest dla tej sieci domy lna bramka. s Sie LAN wychodzi do Internetu z dynamicznie przyznanym adresem IP. c
cbos> cbos# cbos# cbos# cbos# cbos# cbos# cbos# cbos# cbos# cbos# cbos# cbos# cbos# cbos# enable set password enable haslo_do_enable set password exec haslo_do_telneta set web enabled set telnet enabled set int eth0 address 192.168.0.1 set int eth0 netmask 255.255.255.0 set set set set set set set set ppp ppp ppp ppp dhcp dhcp dhcp dhcp wan0-0 login username_neostrada wan0-0 password haslo_neostrada wan0-0 ipcp 0.0.0.0 restart enabled server server server server enabled pool 0 ip 192.168.0.11 pool 0 size 200 pool 0 netmask 255.255.255.0
50

cbos# cbos# cbos# cbos# cbos# cbos# cbos# cbos# cbos# set set set set set set set set set dhcp server pool 0 gateway 192.168.0.1 dhcp server pool 0 dns 194.204.159.1 dhcp server pool 0 sdns 194.204.152.34 nat enabled int wan0-0 close int wan0-0 vpi 0 int wan0-0 vci 35 int wan0-0 open route default wan0-0
cbos# write
8.6. ...poaczenia kablami V.35 dwch routerw Frame Relay?

Je li chcesz zasymulowa poaczenie Frame Relay, posiadajac dwa routery z odpowiednimi s c interfejsami i okablowaniem - nic prostszego. Jeden z nich b dzie emulowa przeacznik e Frame Relay, a drugi zwyky router. Na routerze emulujacym przeacznik interfejs szeregowy skonguruj w ten sposb:
! frame-relay switching ! interface Serial0 description Emulacja 2Mbit/s FR - strona przelacznika no ip address encapsulation frame-relay IETF no ip mroute-cache clockrate 2000000 frame-relay lmi-type ansi frame-relay intf-type dce ! interface Serial0/1.1 point-to-point description Emulacja 2Mbit/s FR - do routera FR ip address 169.254.10.1 255.255.255.252 frame-relay interface-dlci 99
Parametr clockrate 2000000 decyduje o taktowaniu acza - w powyzszym przykadzie sa to 2Mbit/s. Konguracja routera do niego podaczonego:
interface Serial0 description Polaczenie FR 2Mbit/s no ip address encapsulation frame-relay IETF no ip mroute-cache frame-relay lmi-type ansi ! interface Serial0/1.1 point-to-point description Polaczenie FR 2Mbit/s - do ISP ip address 169.254.10.2 255.255.255.252 frame-relay interface-dlci 99
51
8.7. ...obsugi dwch rwnolegych acz od niezale nych z ISP?

Jest to bardzo popularny scenariusz. Zazmy, ze posiadasz dwa acza: jedno Frame Relay i jedno Ethernet. Do obu dostae adresy poaczeniowe (styk Twj router-router ISP) oraz s adresy do uzycia w ramach NATu. Pierwszy dostawca przydzieli Ci adres poaczeniowy 169.254.10.2/30 (jego router ma dla Ciebie adres 169.254.10.1), oraz zakres adresw 172.16.10.1-172.16.10.14 (172.16.10.0/28). Pierwszy dostawca przydzieli Ci adres poaczeniowy 169.254.20.2/30 (jego router ma dla Ciebie adres 169.254.20.1), oraz zakres adresw 172.16.20.1-172.16.20.14 (172.16.20.0/28). W swojej sieci LAN (192.168.0.0/24), chcesz pierwsza poow sieci NATowa na pierwsze e c acze, a druga poow na drugie acze. e
Notatka: Niestety, stosujac statyczny mechanizm routingu wg. zasad (ang. policy based routing), nie masz mo liwo ci automatycznemu przeciwdziaaniu awarii acza lub sieci ISP - tj. je li zawz s s iedzie ktre z acz, ruch generowany od jednej z powek sieci LAN bedzie po prostu odrzucany. s
Ponizej konguracja przykadowa routera, uwzgl dniajaca powyzsze zaozenia: e

no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime service timestamps log datetime msec localtime service password-encryption ! hostname rtr_cisco ! enable password jakies_trudne_haslo ! username user_1 password haslo_usera_1 ip subnet-zero no ip source-route no ip domain-lookup ip tcp path-mtu-discovery ! interface Ethernet0 description Polaczenie dla sieci LAN ip address 192.168.0.1 255.255.255.0 ip nat inside ip policy route-map ruch_z_lan ! interface Ethernet1 description Lacze od ISP #1 ip address 169.254.10.2 255.255.255.252 ip nat outside ! interface Serial0 description Lacze od ISP #2 no ip address encapsulation frame-relay frame-relay lmi-type ansi
52

! interface Serial0.1 point-to-point description Lacze do Internetu 2Mbit/s ip address 169.254.20.2 255.255.255.252 frame-relay interface-dlci 99 IETF ip nat outside ! ip classless ip route 0.0.0.0 0.0.0.0 169.254.10.1 no ip http server ! ip nat pool ISP1 172.16.10.1 172.16.10.14 netmask 255.255.255.240 ip nat pool ISP2 172.16.20.1 172.16.20.14 netmask 255.255.255.240 ! ip nat inside source list 1polowkaLAN pool ISP1 overload ip nat inside source list 2polowkaLAN pool ISP2 overload ! ip access-list extended 1polowkaLAN permit ip 192.168.0.0 0.0.0.127 any ip access-list extended 2polowkaLAN permit ip 192.168.0.128 0.0.0.127 any ! route-map ruch_z_lan permit 10 match ip address 2polowkaLAN set ip next-hop 169.254.20.1 ! no cdp run ! line con 0 exec-timeout 5 0 login local line vty 0 4 exec-timeout 5 0 login local ! end
Jak to dziaa? Do interfejsu Ethernet0 dociera ruch z sieci LAN, adresowany do Internetu. Route-mapa ruch_z_lan sprawdza, czy pakiet nie pasuje do ACL 2polowkaLAN. Je li s pakiet pasuje, wpis w route-mapie mwi, ze nalezy go wyroutowa przez adres, dla ktrego c nast pnym hopem b dzie 169.254.20.1, czyli interfejs Serial0.1 (podsie 169.254.20.0/30). e e c Je li nie pasuje, route-mapa konczy testy i przekazuje pakiet do normalnego procesu routins gu. W tablicy routingu znajduje si tylko jeden wpis statyczny - trasa wskazuje na pierwsze e acze:
ip route 0.0.0.0 0.0.0.0 169.254.10.1
Poniewaz w trakcie podrzy, pakiet przechodzi pomi dzy interfejsem oznaczonym jako ip e nat inside (interfejs Ethernet0) a jednym z dwch interfejsw oznaczonych jako ip nat outside wykonywany jest NAT. O kolejno ci sprawdzania na jaki zakres adresw zNATowa pakiet, decyduje kolejno c s c s wpisw ip nat inside [...]. W naszej konguracji sa dwa:
ip nat inside source list 1polowkaLAN pool ISP1 overload ip nat inside source list 2polowkaLAN pool ISP2 overload
53
Rozdzia 8. Jak skongurowa router do... c Wpisy te wprost mwia: pakiety z adresami zrdowymi pasujacymi do ACL o nazwie 1polowkaLAN maja zosta zNATowane na adresy z puli ISP1, a pakiety z adresami c zrdowymi pasujacymi do 2polowkaLAN na pul adresw ISP2. e
Notatka: Warto zwrci uwage, ze ruch mo na rozkada nie tylko ze wzgledu na adres/podsie c z c c IP. Mgby na przykad zechcie kierowa ruch dla typowych usug kierowa na jedno acze, a s c c c caa reszte na drugie - dzieki temu, u ytkownicy popularnych aplikacji P2P, czy namietni scia z gacze wszystkiego co tylko mo na za pomoca FTP nie beda przeszkadza czytajacym poczte. z c Musisz zmieni ACLk 2polowkaLAN: c e
ip access-list extended 2polowkaLAN permit tcp 192.168.0.0 0.0.0.255 any eq permit tcp 192.168.0.0 0.0.0.255 any eq permit tcp 192.168.0.0 0.0.0.255 any eq permit udp 192.168.0.0 0.0.0.255 any eq permit tcp 192.168.0.0 0.0.0.255 any eq permit tcp 192.168.0.0 0.0.0.255 any eq permit tcp 192.168.0.0 0.0.0.255 any eq permit tcp 192.168.0.0 0.0.0.255 any eq permit tcp 192.168.0.0 0.0.0.255 any eq permit tcp 192.168.0.0 0.0.0.255 any eq permit tcp 192.168.0.0 0.0.0.255 any eq permit icmp 192.168.0.0 0.0.0.255 any
22 23 25 53 80 110 143 445 465 993 995
Teraz ruch do serwerw popularnych usug oraz ruch ICMP bedzie wychodzi aczem, na ktre wskazuje route-mapa ruch_z_lan, a caa reszte ruchu router skieruje tam gdzie wskazuje zwyky wpis w tablicy routingu.
8.7.1. A co je li mam wi cej acz - na przykad 3? s e

Musisz doda kolejne wpisy w route-mapie, wskazujace dla jakiego unikalnego typu ruchu c s kolejne interfejsy.
8.7.2. A co z lokalnym ruchem do/z routera?

W zasadzie caa konguracj routingu mozna wykona za pomoca routingu wg. zasad (bez e c statycznego wpisu w tablicy routingu dotyczacego trasy domy lnej), ale wtedy musisz do s datkowo okre li polityk dla tzw. ruchu lokalnego, czyli ruchu do/z routera. s c e Ponizej taki przykad - do konguracji z przykadu powyzej dodajemy denicj route-mapy, e ktra kieruje ruch lokalny na oba acza w zalezno ci od tego, ruchu do jakiego IP doty s czy. Innymi sowy, je li kto np. spinguje Twj drugi interfejs, pasowa b dzie dopiero drus s c e gi wpis w route-mapie (RuchLokalny permit 20) i dopiero on spowoduje skierowanie pakietu odpowiedzi drugim aczem.
ip local policy route-map RuchLokalny ! ! dodajemy route-map dla ruchu lokalnego - jeli robisz to zdalnie, e s ! powysza komend dodaj NA KOCU! z e N ! route-map RuchLokalny permit 10 match ip address 100 set ip next-hop 169.254.10.1 ! cay ruch pasujacy do ACL 10 przerzu na interfejs, dla ktrego nastpnym c e
54

! hopem jest 169.254.10.1 i zakocz sprawdzanie route-mapy n ! route-map RuchLokalny permit 20 match ip address 101 set ip next-hop 169.254.20.1 ! jeli tu doszede, cay ruch pasujacy do ACL 10 przerzu na interfejs, s s c ! dla ktrego nastpnym hopem jest 169.254.20.1 e ! ip access-list extended 100 remark ACL pasuje do ruchu do puli acza ISP #1 permit ip any 169.254.10.0 255.255.255.252 ip access-list extended 101 remark ACL pasuje do ruchu do puli acza ISP #2 permit ip any 169.254.20.0 255.255.255.252
W tym momencie, mozesz usuna z routera wpis statyczny domy lnego routingu, wskazu c s jacy na pierwsze acze.
8.8. ....eksportu danych NetFlow?

Je li chcesz zbiera informacje o strumieniach danych przepywajacych przez router, mozesz s c skorzysta z mechanizmu NetFlow i zewn trznego systemu, ktry dane te przerobi i np. c e przedstawi gracznie. Pami taj, ze na wi kszo ci maych platform eksport danych NetFlow powoduje znaczny e e s wzrost obciazenia routera - przemy l to zatem. s Z punktu widzenia routera nalezy wykona nast pujace polecenia: c e
! Waczamy CEF: router(config)# ip cef ! Konfigurujemy mechanizm NetFlow: router(config)# ip flow-export version 5 peer-as ! uywamy wersji 5 NetFlow, wikszoc kolektorw obsuguje poprawnie z e s ! tylko ten format router(config)# ip flow-export source-interface FastEthernet 0/0 ! wskazujemy interfejs najbliszy sieci w ktrej znajduje si kolektor, z e ! najlepiej oczywicie gdyby by to interfejs bezporednio do tej sieci s s ! podaczony router(config)# ip flow-export destination adres_IP port_docelowy ! wskazujemy adres IP kolektora i port docelowy, na ktrym bdzie on nasuchiwa e ! Dla IOSw 12.2/12.3: router(config)# ip flow-cache timeout active 1 ! a dla IOSw 12.0/12.1: router(config)# ip flow-cache active-timeout 1 ! Na kadym interfejsie, z ktrego ruch ma wchodzi w skad z c ! zbieranych statystyk: router(config-if)# ip route-cache flow
55
Rozdzia 8. Jak skongurowa router do... c Wi cej e o mechani mie z NetFlow przeczyta c mozesz tutaj: http://www.cisco.com/go/netow. Je li natomiast chcesz skongurowa stacj s c e odbierajaca informacje z routera, zajrzyj pod te adresy: http://www.linuxgeek.org/netow howto.php i http://www.ncne.org/training/techs/2002/0127/presentations/200201fullmer1_les/v3_document.htm.
8.9. ...routingu pomi dzy VLANami na kartach e WIC-4ESW, NM-16ESW lub NM-32ESW?
Wspomniane karty sa przeacznikami L2, ale dzi ki mozliwo ci stworzenia na routerze log e s icznych interfejsw VLAN, mozna stworzy mapowanie warstwy drugiej (VLAN przyp c isany do portu) na warstw trzecia (adres IP przypisany do logicznego interfejsu o numere acji zgodnej z numerem VLANu). Oba rodzaje moduw wymagaja oprogramowania IP Plus - o ile w routerach 1711 i 1712 w ktrych skad wchodzi modu WIC-4ESW oprogramowanie to znajduje si w zestawe ie o tyle do pozostaych routerw, na ktrych moduy te sa obsugiwane (WIC-4ESW dla 1721/1751/1760, oraz moduy NM-16ESW i NM-32ESW dla serii 2600, 3600 i 3700) nalezy to oprogramowanie dokupi . c Konguracj nalezy rozpocza od zdeniowania w bazie danych VLANw konkretnych e c VLANw, ktre chcemy zaozy . Zakadam, ze naszym celem jest stworzenie dwch c VLANw - 10 i 20:
router# vlan database router(vlan)# vlan 10 name Siec1 VLAN 10 added: Name: Siec1 router(vlan)# vlan 20 name Siec2 VLAN 20 added: Name: Siec2 router(vlan)# exit APPLY completed. Exiting.... router#
Teraz nalezy zyczne porty na przeaczniku przypisa do jednego z tych dwch VLANw c 10 lub 20. Zakadam, ze pierwsze dwa porty przypisujemy do 10, a pozostae dwa do 20:
router(config)# interface range FastEthernet 0/0 - 1 router(config-if-range)# switchport mode access router(config-if-range)# switchport access vlan 10 router(config-if-range)# exit router(config)# interface range FastEthernet 0/2 - 3 router(config-if-range)# switchport mode access router(config-if-range)# switchport access vlan 20
Pozostaje stworzy logiczne interfejsy VLAN10 i VLAN20, do ktrych przypiszemy adresy c IP (i ktre b da dla stacji w odpowiednich VLANach domy lnymi bramkami). Zakadam, e s ze sie VLAN10 ma adresacj 192.168.10.0/24 przy czym .1 to adres routera, a VLAN20 ma c e adresacj 192.168.20.0/24 przy czym .1 to adres routera. e
router(config)# interface vlan 10 router(config-if)# ip address 192.168.10.1 255.255.255.0
56

router(config-if)# no shutdown router(config)# interface vlan 20 router(config-if)# ip address 192.168.20.1 255.255.255.0 router(config-if)# no shutdown
Do tak stworzonych logicznych interfejsw VLAN x mozna przypisa oczywi cie ACLki, c s inspecty, route-mapy itp.
57
58
Rozdzia 9. Routing
9.1. Mam na routerze dwa interfejsy z nadanymi adresami IP, ale router nie chce routowa mi dzy nimi. O c e co chodzi?
Nalezy wyda polecenie ip routing. c
9.2. Jak wskaza routerowi domy lna bramk ? c s e

Dodajac tras w ten sposb: e
router(config)# ip route 0.0.0.0 0.0.0.0 adres_bramki lub router(config)# ip route 0.0.0.0 0.0.0.0 nazwa_interfejsu_do_bramki
Innymi sowy, je li cay ruch ma traa pod adres 169.254.10.1, napisz: s c

router(config)# ip route 0.0.0.0 0.0.0.0 169.254.10.1
...a je li adres bramki jest zmienny (np. Neostrada+), wskaz interfejs odpowiedzialny za s terminowanie IP, czyli np.:
router(config)# ip route 0.0.0.0 0.0.0.0 Dialer 0
UWAGA! Je li wpis ma wskazywa na interfejs Ethernet, powiniene poda adres IP brams c s c ki! Wpisanie nazwy interfejsu moze nie zadziaa tak, jak chciae . c s
9.3. Na jednym routerze mam wiele r nych protokow z routingu. Informacje ktrego z nich, znajda si w tablicy e routingu?
Informacje podawane przez protok, ktry ma najmniejszy dystans administracyjny (ang. administrative distance). Jest to miara wiarygodno ci danych, podawanych przez konkrets ny protok routingu. Ponizej lista rodzajw tras i ich dystansw administracyjnych - ta o najnizszej warto ci zna s jdzie si w tablicy routingu i b dzie uzywana: e e
trasa trasa trasa trasa trasa trasa trasa trasa podaczona wpisana statycznie sumaryczna EIGRP pozyskana z eBGP pozyskana z internal EIGRP pozyskana z IGRP pozyskana z OSPF pozyskana z IS-IS 0 1 5 20 90 100 110 115
59
Rozdzia 9. Routing
trasa pozyskana z RIP trasa pozyskana z external EIGRP trasa pozyskana z iBGP 120 170 200
9.4. Jak przebiega proces routingu na routerach Cisco? Co jest brane pod uwag ? e
W procesie routingu uczestnicza trzy niezalezne od siebie zagadnienia:

Aktywne procesy routingu dziaajace na routerze - np. BGP, EIGRP i OSPF. Zawarto c tablicy routingu, ktra otrzymuje informacje od procesw routingu i udziela s pewnych informacji procesowi zycznie przekazujacemu pakiety Proces przekazujacy pakiety (ang. forwarding process), ktry na podstawie informacji z tablicy routingu podejmuje decyzje co i jak wysa . c
Generalnie obowiazuje zasada, ze najdokadniejszy wpis w tablicy routingu zwyci za, tj. e najduzszy pasujacy preks do danej sieci ma pierwszenstwo nad bardziej oglnymi. Je li s pakiet przeznaczony jest do hosta o adresie 10.1.10.5, a w tablicy routingu istnieja dwa wpisy: do sieci 10.1.10.0/24 i do sieci 10.0.0.0/16, uzyty zostanie ten pierwszy. Procesy routingu dostarczaja tablicy routingu najlepszych tras, zachowujac dla siebie trasy o gorszych metrykach - czyli miarach warto ci danej trasy. Decyzja co wpisa do tablicy s c routingu, je li wiele procesw posiada tras do jednej sieci, podejmuje si na podstawie dyss e e tansu administracyjnego (mozna go dla danego protokou zmieni ). W ramach tego samego c protokou routingu, w tablicy routingu moga pojawi si rwnolege trasy, je li wynika to c e s wprost z konguracji, lub metryki tych tras sa sobie rwne (nie myl dystansu administra cyjnego i metryk!) Doskonay artyku na ten temat znajduje si e tutaj: http://www.cisco.com/en/US/tech/tk365/tk207/technologies_tech_note09186a0080094823.shtml.
9.5. Co to jest trasa pywajaca (ang. oating route)?

Tras pywajacych uzywa si do uruchamiania acz zapasowych. Wykorzystuja one zasad e e dziaania tablicy routingu - tylko wpis o najlepszym dystansie administracyjnym znajdzie si w tablicy. Wpisy o gorszym dystansie czekaja na znikni cie lub uniewaznienie lepszego e e wpisu. Zazmy, ze posiadasz router z interfejsem szeregowym (Serial 0) i ISDN. Chciaby wyko s rzystywa acze ISDN ale tylko wtedy, gdy trasa przez acze szeregowe nie dziaa. Wystarc czy, ze zdeniujesz dwa wpisy o bramce domy lnej - jeden wskazujacy na interfejs szere s gowy, a drugi na interfejs ISDN (Dialer), ale o znacznie gorszej metryce. Pami taj, ze trasy e statyczne maja domy lnie metryk 1: s e
router(config)# ip route 0.0.0.0 0.0.0.0 Serial 0 router(config)# ip route 0.0.0.0 0.0.0.0 Dialer 1 200
Podczas normalnej pracy (interejs szeregowy dziaa) w tablicy znajduje si tylko wpis e wskazujacy na interfejs Serial 0. Je li interfejs ten zmieni stan na down, wpis zostanie wyco s fany z tablicy routingu i router sprawdzi, czy do tej sieci nie prowadzi inny wpis - w naszym
60
Rozdzia 9. Routing przypadku b dzie taki, wskazujacy na interfejs Dialer 1. Po pewnym czasie, interfejs szeree gowy zapewne znowu si podniesie - router znowu sprawdzi tablic routingu i zamieni e e wpis wskazujacy na Dialer 1 na wpis wskazujacy na Serial 0, poniewaz ten ostatni ma lep sza metryk . Zwykle od tego momentu interfejs ISDN nie przenosi juz ruchu i po upyni ciu e e skongurowanego czasu bezczynno ci zostanie zamkni ty. s e
9.6. Chc rozkada obcia enie pomi dzy trasy o rwnej e c z e metryce. Jak wyglada konguracja tego w IOSie?
Domy lnie, router instaluje w tablicy routingu do 4 tras o tej samej metryce - z wyjatkiem s BGP (domy lnie 1) i tras statycznych (do sze ciu). Je li chcesz to zmieni , w konguracji s s s c protokou routingu wydaj polecenie maximum-paths X, gdzie X to liczba od 1 do 6:
! Dla OSPF: router(config)# router ospf 10 router(config-router)# maximum-paths 6 ! Dla EIGRP: router(config)# router eigrp 10 router(config-router)# maximum-paths 6 ! Dla BGP: router(config)# router bgp 10 router(config-router)# maximum-paths 6 ! dodatkowo dla iBGP: router(config-router)# maximum-paths ibgp 6
Pami taj, ze je li zmieniasz domy lne ustawienia musisz wiedzie , co robisz. e s s c
9.7. Chc rozkada obcia enie pomi dzy trasy o rwnej e c z e metryce w proporcji 1:2 - jak to zrobi ? c
Dopisz odpowiednio wi cej tras do tej samej sieci. W przykadzie ponizej preferujemy acze e przez Serial 1, Serial 0 obsuguje tylko 1/3 ruchu:
router(config)# ip route 0.0.0.0 0.0.0.0 Serial 1 router(config)# ip route 0.0.0.0 0.0.0.0 Serial 1 router(config)# ip route 0.0.0.0 0.0.0.0 Serial 0
9.8. Czym si r ni protok routingu typu link-state od e z distance-vector?

Protokoy routingu typu link-state (acze-stan), czyli OSPF, NSLP, BGP i IS-IS, opieraja swoje dziaanie o przesyanie uaktualnien do tablic routingu. Informacje przesyane sa pomi dzy e
61
Rozdzia 9. Routing routerami ktre w jaki sposb nawiazay ze soba sasiedztwo. Do okre lenia metryki uzywa s s si zwykle wielu zozonych czynnikw. Protokoy tego typu dziaaja w oparciu o algorytmy e SPF (ang. Shortest Path First), takie jak np. algorytm Dijkstry. Protokoy routingu typu distance-vector (dystans-wektor) takie jak RIP, RTMP czy IGRP wymieniaja si penymi tablicami routingu co okre lone odcinki czasu. Do obliczania me e s tryki trasy uzywa si algorytmu Bellmana-Forda. e Protok hybrydowy, EIGRP (rmowy Cisco), nazywany jest tak, poniewaz co prawda wylicza metryki tras podobnie do protokou IGRP, ale utrzymuje sasiedztwa i wysya tylko uaktualnienia jak protokoy typu link-state.
9.9. W jaki sposb protokoy typu dystans-wektor zapobiegaja tworzeniu p tli? e

Protokoy routingu typu dystans-wektor, uzywaja paru mechanizmw, zapobiegajacych wadliwemu interpretowaniu otrzymywanych informacji, lub wstrzymujacych rozpowszechnianie pewnych informacji. Sa to: Mechanizm split-horizon (dosownie podzielony horyzont) Router rozgasza na danym aczu tylko takie trasy, o ktrych dowiedzia si z e rozgoszen z innych acz. Zapobiega to sytuacji, w ktrej router A po otrzymaniu z routera B informacji o trasie X, rozgosi ja z powrotem do routera B z wi ksza e metryka. Mechanizm poison reverse (dosownie zatruwanie wsteczne) Kiedy trasa do jakiego miejsca docelowego zostaje wycofana, z uwagi na awari acza, s e router rozgasza taka tras z nieskonczona metryka. Zapobiega to wybraniu trasy do e wysania pakietw przez mechanizm routingu. Licznik hold-down (dosownie wstrzymania si ) e Mechanizm split-horizon dziaa dobrze w sieciach, w ktrych nie ma redundantnych poaczen. W sytuacji, w ktrej routery poaczone sa dwoma rwnolegymi trasami, router A otrzymujac od routera B tras do miejsca X aczem pierwszym, moze e wysa ta informacj z powi kszona metryka aczem drugim. c e e Regua hold-down mwi, ze w przypadku gdy router otrzyma informacje, ze trasa do danego miejsca zostaa uniewazniona (np. w wyniku awarii), router ignoruje przez czas okre lony w liczniku hold-down kolejne informacje o tej trasie. Aktualne ustawienie s licznika hold-down mozna sprawdzi poleceniem show ip protocol: c
router# Routing Sending Invalid show ip protocol Protocol is "rip" updates every 30 seconds, next due in 3 seconds after 180 seconds, hold down 180, flushed after 240
62
Rozdzia 9. Routing
9.10. Interfejsy loopback

9.10.1. Co to jest interfejs loopback? Gdzie zycznie si e znajduje?
Interfejsy loopback (tak, moze by ich wiele), sa wirtualnym tworem, bardzo wygodnym z c paru powodw:
Je li tylko router dziaa, znajduja si w stanie podniesionym - ma to diametralne znaczes e nie dla duzych sieci, w ktrych stabilno c tablic routingu ma znaczenie; s Poniewaz mozna przypisa im adres IP i wszelkie czynno ci administracyjne, podpia c s c pod ten adres (np. tak, by w pakietach Syslog, SSH, Telnet, SNMP, NTP itp. jako zrdo pakietu gurowa adres interfejsu loopback), atwo kontrolowa listy dost pu (jeden, stay c e adres IP do przepuszczenia, zamiast stale zmieniajacego si adresu lub grupy adresw), e zezwalajace na ruch do i z nich, oraz atwiej zarzadza siecia zozona z wi kszej liczby c e urzadzen (je li np. interfejsy loopback wszystkich interfejsw w danej sieci wybrano z s jednej podsieci /24, atwiej jest je po kolei zlokalizowa ); c Przy wykorzystaniu interfejsu loopback z przypisanym adresem IP, wygodnie pracuje si e z interfejsami unnumbered - router moze mie dziesi c interfejsw zycznych, z ktrych c e kazdy wskazuje jako swj adres IP aktualny adres interfejsu loopback;
9.11. RIP
9.11.1. Co to jest RIP?
RIP jest starym i obecnie rzadko uzywanym w konstrukcji nowoczesnych sieci protokoem typu dystans-wektor. Nowsza wersja RIPa, wersja 2 (opisana w RFC 1723) rzni si od e starszej wersji (v1, RFC 1058) tym, ze oprcz sieci przenosi jej mask , co efektywnie oznacza, e ze RIP wspiera VLSM (ang. Variable Length Subnet Masks, czyli sieci z maskami rznych dugo ci). RIP w wersji 2 wspiera rwniez uwierzytelnianie, co pozwala zwi kszy bezs e c pieczenstwo sieci, a takze rozgaszanie informacji routingowych za pomoca multicastw (na adres 224.0.0.9). RIP rozsya co 30 sekund na port 520/udp (v1, wersja druga uzywa multicastw dla nor malnych rozgoszen i unicastw na port 520/udp dla uaktualnien wyzwolonych przez jaka s zmian w sieci) cae tablice routingu do swoich sasiadw. Jako jedynej metryki uzywa liczby e przeskokw (hopw) do danej sieci. Poniewaz pole to ma maksymalna warto c 16, efekty s wnie obniza to skalowalno c sieci do 15 hopw (gdzie 1 hop = sie podaczona bezpo red s c s nio, a 16 = sie nieosiagalna). Podstawowym problemem w protokole RIP sa zatem sytuacje, c w ktrych teoretycznie gorsza trasa (skadajaca si np. z 5 a nie z 2 hopw), jest bardziej e niezawodna, ma wi ksza przepustowo c itp. - a RIP nie bierze tego pod uwag . e s e
9.11.2. Jak wyglada podstawowa konguracja RIPv1?

Standardowo, proces RIP zaczyna prac po wydaniu w trybie konguracji polecenia: e
63
Rozdzia 9. Routing
router(config)# router rip
Samo polecenie nie zrobi jednak niczego atrakcyjnego - proces RIP wystartuje, ale nie b dzie e jeszcze zajmowa si routingiem. Dopiero wskazanie sieci, ktra ma zaja si RIP, powodue c e je rozpocz cie pracy. Zazmy, ze mamy sie skadajaca si z dwch routerw, tak jak na e c e rysunku ponizej:
Polecenie network 172.16.0.0 wydane na routerze rtr_1 spowoduje, ze RIP rozpocznie przetwarzanie rozgoszen RIP na wewn trznym interfejsie routera. Dopiero e dodanie polecenia network 192.168.0.0 spowoduje, ze router rtr_2 zacznie otrzymywa rozgoszenia RIP od swojego sasiada. Po dodaniu na routerze rtr_2 c analogicznej konguracji (do tego czasu rtr_2 b dzie otrzymywa rozgoszenia, ale e ignorowa je), zobaczymy ze routery dowiedziay si o istnieniu sieci podaczonych do e interfejsw FastEthernet sasiadw:
! Na routerze rtr_1: rtr_1(config)# router rip rtr_1(config)# network 172.16.0.0 rtr_1(config)# network 192.168.0.0 ! Na routerze rtr_2: rtr_2(config)# router rip rtr_2(config)# network 10.0.0.0 rtr_2(config)# network 192.168.0.0
W gwnej tablicy routingu, trasy poznane dzi ki dziaaniu protokou RIP oznaczone sa e litera R:
rtr_1# show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area [...] P - periodic downloaded static route Gateway of last resort is not set 172.16.0.0/24 is subnetted, 1 subnets 172.16.0.0 is directly connected, FastEthernet0 10.0.0.0/8 [120/1] via 192.168.0.254, 00:00:03, Serial0 192.168.0.0/16 is directly connected, Serial0
C R C
9.11.3. A jak uruchomi na routerze RIP w wersji 2? c

Dodajac do denicji procesu RIP polecenie version 2, np. tak:
router(config)# router(config)# router(config)# router(config)# router rip version 2 network 192.168.0.0 network 169.254.10.0
64
Rozdzia 9. Routing Mozna teraz ograniczy rozgoszenia do sieci mniejszej niz konkretna klasa, podajac w jej c denicji dodatkowo mask , np. w ten sposb: e
router(config)# network 192.168.0.0 mask 255.255.255.128
9.12. OSPF
9.12.1. Co to jest OSPF?
OSPF (ang. Open Shortest Path First) jest protokoem dynamicznego routingu typu link-state i nalezy do kategorii IGP. Kazdy router, w obr bie jednostek grupujacych sieci zwanych e areami (obszarami), posiada identyczna baz stanu linkw. Na bazie tych informacji twor e zone jest drzewo najkrtszych sciezek i wpisy do tablicy routingu. Podstawowymi cechami odrzniajacymi go od protokow typu distance-vector sa:

metryki/koszty przej cia pakietu przez dany link; s oszcz dno c pasma - uaktualnienia wysyane sa na skutek zmiany stanu danego linku, a e s nie w formie okresowych rozgoszen; szybka konwergencja - zdolno c do uzyskania stanu stabilnego po wykryciu zmiany w s drzewie poaczen sieciowych; struktura hierarchiczna; wsparcie dla VLSM (subnetowania sieci); mozliwo c uwierzytelniania sasiadw (przylegych w zw w rozumieniu sesji OSPF); s e
9.12.2. Jak dziaa OSPF?

Hierarchiczny model protokou OSPF pozwala podzieli jedna wielka sie korporacyjna c c na mniejsze segmenty zwane obszarami (ang. area). Obszar jest jakby samodzielna sekcja sieci, wewnatrz ktrej odbywa si wymiana LSA (ang. Link State Advertisement, rozgoszen e link-state), zakonczona przeliczaniem sciezek przy uzyciu algorytmu SPF (ang. Shortest Path First). Podzia sieci na obszary pozwala na ograniczenie rozmiaru tablic routingu na routerach - sieci z danego obszaru widziane sa w innych obszarach tylko w postaci zsumary zowanej. Innymi sowy, niestabilno c jakiego linku wewnatrz obszaru nie przenosi si na s s e zewnatrz. Podzia sieci na obszary spowodowa rwniez przypisanie rznych funkcji routerom w sieci z OSPF. Wyrzniamy zatem ich nast pujace typy: e
internal router - posiada wszystkie interfejsy w jednym obszarze. Jego zadania ograniczaja si do ogaszania LSA i utrzymywania aktualnych informacji w bazach danych. e backbone router - OSPF zakada istnienie specjalnego obszaru (nazywanego area 0 bad z backbone area), ktry spina inne obszary ze soba. Router pracujacy w tym obszarze to wa nie backbone router. s Area Border Router (ABR) - jest to router odpowiedzialny za aczenie dwch lub wi kszej e ilo ci obszarw (jednym z nich musi by backbone area). Utrzymuje pena topologiczna s c
65
Rozdzia 9. Routing baz o kazdym obszarze, do ktrego jest podaczony i przesya LSA mi dzy nimi. LSA e e zawieraja zsumaryzowane informacje dotyczace sieci w danym obszarze.
Autonomous System Border Router (ASBR) - aby wyj c poza swj system autonomiczny s bad wykorzysta informacj pochodzaca z innego protokou routingu (dynamicznego z c e bad statycznego) musisz opu ci domen OSPFa. Router, na ktrym dochodzi do takiego z s c e przej cia z ospf na inny typ routingu (poprzez np. redystrybucj routingu statycznego) to s e wa nie ASBR. Funkcje ASBRa spenia rwniez router na ktrym jest dokonywana redyss trybucja tras statycznych do ospfa.
Wizualnie, role poszczeglnych routerw przedstawiaja si nast pujaco: e e
9.12.3. Jak router liczy w OSPFie metryk dla poaczenia? e

W OSPFie metryka jest okre lana mianem kosztu. Domy lnie na routerach Cisco koszt jest s s odwrotnie proporcjonalny do pasma danego linku wg. proporcji:
Koszt = 100,000,000 --------------------------pasmo w bitach na sekund e
(dla pasma liczonego w kilobitach na sekund , jak np. podaje si poleceniem bandwidth X e e przepustowo c interfejsu dla protokow routingu, wzr ten wyglada oczywi cie 10^5/pass s mo) Innymi sowy, acze E1 (2Mbit/s) wg. OSPF b dzie miao koszt 48, Ethernet 10Mbit/s 10, a e jeden kana 64Kbit/s ISDN BRI (kana D) b dzie mia koszt 1562. e
9.12.4. O czym pami ta przy sumaryzacji? e c

Nalezy pami ta o nast pujacych warunkach do spenienia: e c e

sumaryzacji moga dokonywa tylko ABRy i ASBRy; c mozna sumaryzowa do dowolnego rozmiaru podsieci (podsie ma oczywi cie rozmiar c c s pot gi cyfry 2); e
66
Rozdzia 9. Routing
sumaryzacj nalezy skongurowa r cznie, uwaznie rozplanowujac sie przy podziale na e c e c obszary;
9.12.5. Jakie sa typy LSA?

Wyrzniamy 5 typw LSA:
Router-link (LSA typ 1) - wszystkie linki, ktre posiada dany router wraz z lista wszystkich sasiadw. Rozsyany tylko wewnatrz obszaru. Network-link (LSA typ 2) - rozsyana przez DR lista wszystkich routerw w danym segmencie, dla ktrych suzy jako DR i z ktrymi utrzymuje sasiedztwo. Rozsyany tylko wewnatrz obszaru. Summary link typu 3 - przesyane mi dzy obszarami, sumaryzuje informacje o sieciach w e danym obszarze. Tworzy je ABR. Summary link typu 4 - przesyana mi dzy obszarami, zsumaryzowana informacja o siecie ach pojawiajacych si w OSPFie wskutek redystrybucji. Tworzy je ASBR. e External link (LSA typ 5) - informacje o redystrybuowanych sieciach. Rozsyaja je ASBRy. Wyrzniamy 2 podtypy:

Typ 1 - metryka jest suma kosztu doj cia po OSPF i metryki zewn trznego protokou; s e Typ 2 - metryka jest tylko kosztem zewn trznego protokou; e
NSSA external link (LSA typ 7) - typ specjalnie stworzony dla obszarw NSSA, przeznaczony do przenoszenia informacji o redystrybuowanych sieciach. Analogicznie jak LSA5 ma 2 typy. Tworzy je ASBR.
9.12.6. Co jest potrzebne zeby dwa routery wymieniy informacje o routingu OSPF?
Routery musza by poprawnie skongurowane i zestawi ze soba sasiedztwo (ang. adjacen c c cy). Samo zestawienie sesji OSPF mi dzy routerami skada si z kilku etapw: e e ustanowienie sasiedztwa Nast puje wymiana pakietw OSPF Hello pomi dzy routerami przyaczonymi do jede e nego segmentu sieci (hello protocol). W pakietach hello routery umieszczaja ID innych routerw od ktrych usyszay wcze niej hello w tym segmencie. Je li dany router s s zobaczy swj router ID w pakiecie hello od innego routera, uznaje, ze ma juz z nim us tanowiona przylego c (adjacency). Przylego c jest warunkiem koniecznym do wymi s s any baz danych swoich linkw miedzy routerami. wybr DR i BDR W srodowiskach rozgoszeniowych (broadcastowych) takich jak Ethernet, Token-Ring, i FDDI nie ma sensu, by kazdy router wymienia sesj OSPF z kazdym routerem. Liczba e takich sesji byaby rwna n*(n-1)/2, gdzie n jest liczba w zw w danym segmencie. e Dla 10 routerw byoby to 45 sesji. W zamian za to wybiera si po rd routerw w e s segmencie tzw. Designated Router (DR) oraz Backup Designated Router (BDR) i z nimi
67
Rozdzia 9. Routing wszystkie routery zapinaja sesje. W srodowiskach nonbroadcast multiaccess (NBMA) tj. Frame Relay, DR i BDR musza zosta specjalnie skongurowane. W poaczeniach c point-to-point wyznaczanie DR i BDR nie jest konieczne. DR zajmuje si dystrybucja informacji routingowych uzyskanych od routerw danym e segmencie. Gdy DR padnie, zast puje go BDR, a nowy BDR jest wybierany z poe zostaych routerw. Kryterium wyboru DR i BDR oparte jest o priorytet routera (najwyzszy wygrywa). Domy lnie wszystkie routery maja priorytet 1 i wygrywa ten o na s jwyzszym numerze router-id. Router-id to adres interfejsu loopback (wirtualny inter fejs routera, ktry nigdy nie pada) bad najwyzszy adres z innego typu interfejsw z routera (je li nie ma loopbacka). Stosowanie interfejsw loopback na routerach korzysts nie wpywa na wybr DR/BDR, a co za tym idzie stabilno c sesji ospf. Warto jednak s wymusi by DR i BDR byy najsilniejszymi routerami w danym segmencie. Mozc na tym sztucznie wysterowa ustawiajac na interfejsie silnego routera stosunkowo c wysoki priorytet (ustawienie go na zero powoduje, ze dany router na pewno nie b dzie e DR/BDR).
wymiana informacji routingowych Po ustanowieniu sasiedztwa (i wybraniu DR/BDR dla segmentw wielodost powych), e routery z OSPFem sa gotowe do wymiany informacji o sieciach, ktre wzajemnie posi adaja. Informacje od stanach linkw na danym routerze jest wymieniana poprzez tzw. Link State Updates (LSUs). LSU zawieraja LSA, opisujace stan wszystkich linkw bad z sieci, o ktrych routery posiadaja informacje. Wszystkie te LSA sa przechowywane w link-state database, nazywanej czasem topological database. Ta link-state database jest perspektywa, z jakiej router widzi sie . Wszystkie routery po zakonczeniu procesu c wymiany informacji powinny mie identyczne link-state database (co nie oznacza, ze c takie same tablice routingu!).
9.12.7. Jak sprawdzi aktualny stan sasiadw danego routera c OSPF?

Tabelka stanw OSPF mozna przejrze poleceniem show ip ospf neighbor. c
Stan DOWN ATTEMPT INIT TWO-WAY EXSTART/ EXCHANGE/ LOADING FULL DR/ BDR/ DROTHER Znaczenie Nie odpowiada na hello Wysane hello, ale jeszcze brak odpowiedzi Usyszane hello, ale jeszcze nie ma status sasiada Pene sasiedztwo. W takim stanie pozostaja 2 routery w rodowiskach multiaccess, gdy aden z nich nie jest DR ani BDR s z
Kolejne etapy majace na celu transfery bazy LSA miedzy sasiadami. Stan penego zsynchronizowania baz LSA.
Oznacza, e dany sasiad jest DR bad BDR bad adnym z nich. z z z z
Tak jak wskazaa powyzsza tabelka stabilnymi stanami mi dzy sasiadami sa: e
dla srodowisk multiaccess:
68
Rozdzia 9. Routing

FULL/DR lub FULL/BDR mi dzy routerem w segmencie a (B)DRem; e 2WAY/DROTHER mi dzy 2 routerami nieb dacymi DR ani BDR; e e
dla srodowisk point-to-point stan FULL
Je li w rezultacie komendy show ip ospf neighbor widzimy, ze stan na jakim s s podejrzanym interfejsie/linku odbiega od powyzszych wskazan wtedy post pujemy wg e wskazan z ponizszej tabelki:
Utrzymujacy si e stan Oznacza Sprawd.... z ------------------------------------------------------------------------------DOWN Nie ma odpowiedzi od ...czy dany interfejs dziaa. z adnego sasiada Jeli dziaa, to sprbuj wysa: s c ping 224.0.0.6 powinni odpowiedzie potencjalni c sasiedzi na linku ATTEMPT Wysane HELLO, ale brak odpowiedzi Wysane i otrzymane HELLO, ale nie ustanowione sasiedztwo W rodowiskach multiaccess normalne. s Sprawd, czy dany sasiad z odpowiada, np. pingiem do niego
INIT
2WAY/DR lub 2WAY/BDR 2WAY
W rodowiskach p-to-p oznacza s problemy z rozpoczciem e transferu bazy topologicznej.
EXSTART lub EXCHANGE lub LOADING
Transfer bazy topologicznej ...MTU (czy takie same) oraz link midzy sasiadami nie moe e z fizyczny. Wylij wiksze s e poprawnie doj do skutku sc (1550 bajtowe) pingi do sasiada
9.12.8. Jak skongurowa OSPF? c

Ponizszy schemat znacznie to uatwia:
69
Rozdzia 9. Routing
9.12.9. Czy jest jaki przewodnik po budowaniu sieci z s OSPFem?

Cisco udost pnio e swoje zalecenia co do budowania sieci wykorzystujacych protok OSPF. Jest on dost pny e pod adresem http://www.cisco.com/en/US/tech/tk365/tk480/technologies_design_guide09186a0080094e9e.shtml, a PDF tego samego materiau pod adresem http://www.cisco.com/warp/public/104/1.pdf.
9.13. Routing BGP

9.13.1. Co to jest BGP?
Border Gateway Protocol jest protokoem typu external (zewn trznym, cho moze rwniez e c pracowa w konguracjach wewn trznych), a suzy gwnie do komunikowania si c e e routerw brzegowych rznych systemw autonomicznych. Wyrznikiem systemu auto nomicznego (AS) jest jego numer, przyznawany w Europie przez RIPE. Protok BGP w wersji 4 posiada zaimplementowane mechanizmy ochrony przed zap tleniami pakietw i e jest powszechnie stosowany dla zapewnienia komunikacji miedzy sieciami dostawcw internetu (ang. Internet Service Providers, ISP). Komunikacja mi dzy routerami wymieniajacymi wzajemnie tablice BGP (ang. peer, neighbor) e oparta jest o protok tcp, port 179. Routery nalezace do rznych ASw i wymieniajace tablice BGP dziaaja w ramach external BGP (EBGP).
70
Rozdzia 9. Routing
Jak kazdy protok routujacy, BGP zarzadza tablicami routingu, wymienia informacje routingowe i opiera decyzje o routowaniu na metryce. Podstawowa funkcja jest wymiana in formacji o dost pno ci danej sieci zawierajaca informacje o li cie sciezek ASw. Ta informace s s ja moze by wykorzystana do skonstruowania grafu dost pno ci systemu autonomicznego. c e s W informacjach rozgoszeniowych peerom BGP podsyana jest tylko optymalna sciezka do danej sieci.
9.13.2. Co to jest numer AS?

Kazdy system autonomiczny musi posiada swj unikalny identykator ASN (Autonomic c System Number), nadawany przez odpowiednia organizacj (w Europie jest to RIPE). Nu e mer ten jest identykatorem wszystkich routerw BGP danego systemu. Powielenie numeru na zewnatrz grozi wyaczeniem duzych obszarw sieci ze wzgl du na wewn trzne zabez e e pieczenia protokou przed zap tleniem. Do celw testowych mozna uzy prywatny numer e c AS z puli 64512-65535 - nalezy jednak pami ta , ze nie wolno ogasza takiego prywatnego e c ASa do swoich BGP peerw.
9.13.3. Jaki potrzebuj router do obsugi BGP? e

Osobnym zagadnieniem waznym przy uruchamianiu BGP jest wybr platformy sprz towej e do obsugi poaczen internetowych. Na chwil obecna pena tablica BGP to ponad 130 tysi e e cy wpisw (http://www.cymru.com/BGP/robbgp01.html) - na obrbk takiej ilo ci, cz sto e s e zmieniajacych si danych, na dodatek otrzymanych od co najmniej 2 ISP potrzebny jest silny e router z niemaa ilo cia pami ci. Zuzycie zasobw mozemy sprawdzi przez: s e c
router_bgp# sh proc memory | inc Holding|BGP PID TTY Allocated Freed Holding Getbufs 75 0 11856640 11855460 8008 0 121 0 971742788 51185912 85739960 4940 122 0 30531708 846392840 95900 14707036 123 0 23816 4834392 32876 0 Retbufs Process 0 BGP Open 0 BGP Router 2799936 BGP I/O 0 BGP Scanner
71
Rozdzia 9. Routing
142 149 153 0 0 0 20688180 15935988 20680512 20687760 14198940 20675960 6968 6828 6976 0 0 0 0 BGP Open 0 BGP Open 0 BGP Open
..oraz:
router_bgp# sh proc cpu | exc 0.00% 0.00% 0.00% CPU utilization for five seconds: 61%/31%; one minute: 36%; five minutes: 35% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 3 37272304 1981781 18807 0.00% 0.36% 0.42% 0 Check heaps 15 1331000 4103026 324 0.00% 0.03% 0.00% 0 ARP Input 22 744268 1573286 473 0.07% 0.02% 0.00% 0 Net Background 41 11547076 55980307 206 0.15% 0.07% 0.08% 0 IP Input 49 7493092 110337 67911 0.00% 0.09% 0.06% 0 IP Background 75 484 208 2326 0.76% 0.34% 0.09% 2 Virtual Exec 95 1549732 106200 14592 0.00% 0.02% 0.00% 0 Per-minute Jobs 112 3285676 20064138 163 0.00% 0.01% 0.00% 0 SNMP ENGINE 119 18127088 12981037 1396 0.07% 0.01% 0.10% 0 OSPF Router 121 18955580 34540455 548 0.07% 0.12% 0.12% 0 BGP Router 123 2648032 10310905 256 0.00% 0.01% 0.00% 0 BGP I/O 124 277728220 1697064 163655 29.08% 4.38% 3.70% 0 BGP Scanner
Powyzsze statystyki zebrano na routerze 7200 z moduem NPE-300. Generalnie, nalezy zaozy , ze 128MB pami ci to juz dzisiaj za mao, zeby utrzyma pene c e c tablice i zapewni jednocze nie sensowna funkcjonalno c. Jako minimum, zalecamy zatem c s s routery 3725/3745 (wydajno c wg. Cisco odpowiednio 100 i 225kpps) - mozna je rozbus dowa do 256MB RAMu i posiadaja wydajno c na dolnym puapie sensownej obsugi 1-2 c s ISP. Oczywi cie routery 3660 rwniez mozna rozbudowa do 256MB RAMu, ale od grudnia s c 2003r. routery te nie sa juz ani produkowane ani sprzedawane. Powiniene jednak powa nie rozwazy zakup routera klasy 7200 z moduem NPE-400 lub s z c NPE-1G do obsugi powaznego BGP. (NPE-400 posiada wg. Cisco wydajno c do 400kpps, s ale mozna je rozbudowa do maksymalnie 512MB RAM, NPE-1G do 1GB RAM). c
9.13.4. Jak wa ciwie dziaa BGP? s

Pod katem konwergencji BGP nalezy do jednych z wolniejszych protokow routingu. Awaria poaczenia wykrywana jest po ok. 1 minucie (chyba, ze waczymy funkcj bgp e fast-external-fallover, ale nie jest to zalecane), nie moze si zatem rwna si z szybkimi e c e protokoami IGP tj. OSPF czy EIGRP (tam awaria wykrywana jest po paru sekundach). Jednak takie spowolnienie reakcji moze by dosy korzystne w przypadku Internetu - zbyt c c szybka reakcja na chwilowe apni cie (przej cie ze stanu dziaania do awarii i po chwili z e s powrotem) linku mogaby zachwia stabilno cia Internetu. Ponadto BGP znacznie lepiej si c s e skaluje w internecie - uzycie innego protokou do internetu takiego jak OSPF spowodowaby natychmiastowe przeciazenie routera. Zaimplementowany mechanizm nie akceptowania od neighborw sciezek zawierajacych wasny numer ASa zabezpiecza przed zap tleniami. e Do badania dost pno ci neighborw BGP uzywane sa pakiety Hello standardowo e s przesyane co 60 sekund. Nie dotarcie trzeciego z kolei pakietu Hello implikuje poozenie sesji BGP. Standardowo zatem pad poaczenia, na ktrym zapi ta jest sesja BGP, e wykrywany jest po 3 minutach.
72
Rozdzia 9. Routing
9.13.5. Jakich atrybutw u ywa BGP? z

Sciezka ASw Jest lista numerw ASw, ktre update dotyczacy danej sieci musia przej c, by os s iagna dany router. Numer AS jest dodawany na poczatku sciezki w momencie przej c s cia przez dany system autonomiczny. Numery AS przedzielone sa w sciezce spacja. Next hop Jest adresem IP nast pnego kroku, ktry powinien by uzyty celem doj cia do danej e c s sieci. Uwaga: wpis w tablicy routingu w polu next hop moze mie adres IP gatewaya, c do ktrego dany router nie jest przyaczony. Wazne, by inny wpis w tablicy routingu kierowa na ten hop. Np. w ponizszym przykadzie w tablicy routingu na routerach B i C znajduje si wpis kierujacy do sieci 10.205.0.0/16 (informacja z BGP) na next hop o e adresie 10.25.10.2. Zaden z tych 2 routerw nie jest bezpo rednio podpi ty do gatewaya s e o tym adresie, ale w tablicy routingu znajduje si rwniez informacja o tym, jak doj c e s do sieci 10.25.10.0/30 (uzyskana z OSPFa), dzi ki temu pakiety do sieci 10.205.0.0 b da e e mogy swobodnie doj c. s
Nalezy wi c przy projektowaniu systemu autonomicznego pomy le o skongurowa e s c niu zarwno protokou BGP do komunikacji ze swiatem zewn trznym oraz jakiego e s protokou typu IGP np. OSPF wewnatrz samego systemu - od biedy funkcje IGP mg by przeja iBGP, ale: c

jak wspomniano jest bardzo powolny w reagowaniu na awarie poaczen; na wi kszo ci maych routerw Cisco (1000, 1600, 1700, 2500) BGP nie jest dost pne e s e w standardowej wersji IOSa;
73
Rozdzia 9. Routing
jest protokoem typu distance-vector, nie bioracym pod uwag parametrw tech e nicznych linku takich jak jego przepustowo c; s
Waga (ang. weight) i local-preference Gdy mamy dost pnych kilka sciezek do jednego celu, musimy jako ustawi preferencj e s c e jednej nad druga. Do tego suza wa nie parametry: weight i local-preference. Znaczenie s ich jest podobne tzn. im wyzsza waga lub local-preference dla danej sciezki tym sciezka jest bardziej pozadana. Rznica polega na tym, ze:
Parametr weight jest wazny tylko w obr bie danego routera, natomiast local e preference przenosi si w obr bie caego ASa (ale nie poza nim!), e e Wyzsza waga ma pierwszenstwo nad wyzszym local-preference.
Standardowe warto ci to: s
Dla wagi, je li router jest tzw. originatorem danej sieci (ma ja w konguracji wpisana s ja komenda network bad droga redystrybucji) wtedy 32768, dla innych sieci zero; z Dla local-preference jest to 100;
Oczywi cie te warto ci mozna modykowa , np. dla wagi przy konguracji jak na rys s c sunku ponizej:
...gdy z dwch zrde dostajemy t sama sie 175.10.0.0 mozemy ustawi wyzsza wag e c c e dla jednego z kierunkw na 3 sposoby:
Przy uzyciu ip as-path access-list:

router bgp 300 neighbor 1.1.1.1 remote-as 100 neighbor 1.1.1.1 filter-list 5 weight 2000 neighbor 2.2.2.2 remote-as 200 neighbor 2.2.2.2 filter-list 6 weight 1000 ! ip as-path access-list 5 permit ^100$ ip as-path access-list
74
Rozdzia 9. Routing
Przy uzyciu route-map:

router bgp 300 neighbor 1.1.1.1 remote-as 100 neighbor 1.1.1.1 route-map SETWEIGHTIN in neighbor 2.2.2.2 remote-as 200 neighbor 2.2.2.2 route-map SETWEIGHTIN in ! ip as-path access-list 5 permit ^100$ ! route-map SETWEIGHTIN permit 10 match as-path 5 set weight 2000 route-map SETWEIGHTIN permit 20 set weight 1000
Przy uzyciu komendy neighbor IP_sasiada weight waga:

router bgp 300 neighbor 1.1.1.1 neighbor 1.1.1.1 neighbor 2.2.2.2 neighbor 2.2.2.2 remote-as 100 weight 2000 remote-as 200 weight 1000
Local-preference mozemy natomiast zmodykowa np. route-map: c
! Na routerze D: router bgp 256 neighbor 3.3.3.4 remote-as 300 route-map SETLOCALIN in neighbor 128.213.11.1 remote-as 256 ! ip as-path 7 permit ^300$ ! route-map SETLOCALIN permit 10 match as-path 7 set local-preference 200
75
Rozdzia 9. Routing
! route-map SETLOCALIN permit 20 !
UWAGA: Nalezy zwrci uwag na pusta instancj route-map! W przypadku jej braku, c e e wszystko, co nie pasowao do wzorca w poprzednich instancjach zostanie odrzucone.
Metryka O ile weight i local-preference byy parametrami pozwalajacymi na ustawianie pref erencji przychodzacych preksw BGP (a co za tym idzie trasy dla pakietw danych wychodzacych z naszego ASa do swiata), o tyle do wpywania na tras powrotna paki e etw ze swiat do nas musimy uzy innych mechanizmw. Pierwszym z nich jest me c tryka inaczej okre lana jako multi-exit discriminator (MED). W przeciwienstwie do locals preference, przenosi si ona poza AS, z tym, ze nie dalej niz sasiadujacy AS. Je li nasz e s preks przesyamy w dwch kierunkach, ale w pierwszym z nich markujemy go metryka wyzsza niz defaultowa (0), a w drugim nie ustawiamy jej (pozostawiamy zero), to spowodujemy, ze pakiety powrca do nas druga z tras. Ponizszy przykad pokazuje rzeczywiste rozwiazanie jakie zaimplementowali my na s aczach do Ebone. W ponizszym przykadzie, gdzie AS64513 ogasza przez 2 rzne sesje BGP do AS64512 ten sam prex, ale z rznymi metrykami: 0 i 20, ruch z AS64512 do sieci 192.168.192.0/24 pjdzie lewa sciezka.
Standardowo dany AS porwnuje metryk dla tego samego preksu otrzymanego z e 2 rznych sesji BGP, ale tylko, gdy obie sesje zapi te sa mi dzy tymi samymi parami e e ASw. Dopiero waczenie komendy: bgp always-compare-med powoduje wacze nie na danym routerze porwnywania metryk w preksach otrzymanych z dwch rznych zrde. Niestety bardzo rzadko ISP waczaja taka funkcj , wi c ten mechanizm e e by dobry w powyzszy przykadzie, ale niezbyt cz sto jest przydatny. e Druga metoda na wpywanie na drog pakietw powrotnych do naszych sieci jest ma e nipulacja dugo cia ogaszanej sciezki poprzez sztuczne jej wyduzania tzw. prepend. Po s prostu ogaszamy jaka sciezk dalej z naszym numerem ASa dodanym w niej wi cej s e e niz raz.
76
Rozdzia 9. Routing
BGP community Jest atrybutem suzacym do markowania (tagowania) okre lonych preksw, celem s okre lenia ich przynalezno ci do jakiej grupy preksw oraz p niejsze rozrznians s s z ie po tym zamarkowaniu po rd innych prexw. Zwyczajowo przyj o si , ze w danej s e e organizacji community maja posta <numer AS>:<numer community> np. 8246:1. c Znane sa rwniez powszechnie znane community suzace okre lonym celom: s
Community No-export No-advertised Prefiksw oznaczonych tym community..... ... nie ogaszaj do peerw eBGP ... nie ogaszaj nikomu
Przykad konguracji:
router bgp 100 neighbor 3.3.3.3 remote-as 300 neighbor 3.3.3.3 send-community neighbor 3.3.3.3 route-map setcommunity out ! route-map setcommunity match as-path 1 set community 200 additive !
9.13.6. Jak w BGP wybierana jest scie ka? z

Algorytm wyboru sciezki w BGP jest nast pujacy: e

Je li sciezka wskazuje next hop, do ktrego nie ma doj cia, update jest usuwany. s s Wybierana jest sciezka z wi ksza waga. e Je li wagi sa takie same, wybierana jest z wyzszym local-preference. s Je li local-preference sa takie same, wybierana jest sciezka zdeniowana generowana (oris gin) na danym routerze (komenda network lub droga redystrybucji). Nast pnie wybierana jest ta z krtsza sciezka. e IGP < EGP < incomplete Najnizszy MED EBGP ponad IBGP Najnizszy nexthop Najnizszy Router-ID
9.13.7. Jak skongurowa BGP? c

Ponizszy schemat znacznie to uatwia:
77
Rozdzia 9. Routing
UWAGA: standardowo waczona jest opcja auto-summary. Powoduje ona, ze:

Przy redystrybucji z np. RIPv2 do BGP, sieci pojawiaja si w tablicy BGP z maska classful; e Wpisanie sieci komenda network nawet bez maski, powoduje, ze ta sie musi by obecna c c w RIB z dokadno cia do dugo ci prexu s s
9.13.8. Chciabym uruchomi BGP - skad mam wzia swj c c numer AS?
Po pierwsze, zastanw si czy BGP jest Ci na pewno potrzebne. Nie potrzebujesz BGP je li: e s Masz pojedyncze poaczenie do Internetu Zastosuj po prostu domy lna tras statyczna, wskazujaca na router brzegowy Twojego s e ISP. To Twj ISP zadba, o rozgoszenie informacji o osiagalno ci Twojej sieci (zakresu s publicznych adresw IP) w Internecie. Masz wiele poaczen, ale tylko do jednego ISP Zwykle w takich sytuacjach chodzi o zapewnienie redundancji poaczenia Twj ISP Ty. Nadal to Twj ISP dba o widoczno c publicznego zakresu adresw IP przypisanych s do Twojej instalacji. Nie masz odpowiedniego sprz tu do obsugi BGP. e W zalezno ci od wybranego scenariusza BGP, b dziesz potrzebowa routera klasy s e 17xx/26xx (pobierasz tylko trasy domy lne i rozgaszasz swoje IP), klasy 36xx/37xx s (pobierasz cz sc tras od jednego ISP i caa tablic od drugiego ISP) oraz 37xx/7xxx (poe e bierasz od wszystkich ISP do ktrych jeste poaczony pene swiatowe tablice BGP). s Zawsze jednak skonsultuj si z kim , kto ma praktyk w konguracji BGP - wazne e s e b dzie aktualne obciazenie Twojego routera i inne czynniki, ktre moga wpyna na e c wybr scenariusza.
78
Rozdzia 9. Routing Formularz podania o wasny numer AS dla http://www.ripe.net/ripe/docs/asnrequestform.html. RIPE znajduje si e tutaj:
9.13.9. Co to jest PI i czym r ni si od PA? z e

Pula adresowa PA, czyli Provider Aggregatable przyznawana jest lokalnym dostawcom (LIR, Local Internet Registry), do dalszego wykorzystania i podziau np. na pule adresowe dla uzytkownikw. Pula adresowa PI, czyli Provider Independent (niezalezna od dostawcy), jak sama nazwa wskazuje, oznacza przydzia zakresu adresw dla konkretnego uzytkownika koncowego. Oznacza to, ze otrzymujesz wasna, unikalna pul adresw w Internecie, nie nalezaca do e nikogo innego. Zwr jednak uwag , ze je li b dzie to pula z preksem /23 lub /24, moga c e s e (nie musza) pojawi si mniejsze lub wi ksze problemy z osiagalno cia Twojej sieci w In c e e s ternecie (niektrzy ISP odrzucaja informacje dokadniejsze niz /20, /21 czy /22 akceptujac tylko oglniejsze informacje). Dokadniej rznice mi dzy e PI a PA opisano http://www.ripe.net/ripe/docs/ipv4-policies.html#pa_pi. w tym dokumencie:
Formularz zamwienia na przestrzen adresowa PI dla RIPE znajduje si e tutaj: http://www.ripe.net/ripe/docs/pi-requestform.html a dla PA tutaj: http://www.ripe.net/ripe/docs/iprequestform.html.
9.13.10. Czy jest jaki przewodnik po budowaniu sieci z s BGP?

Przed konguracja BGP najlepiej duzo poczyta . Cisco stworzyo osobna c sekcj e swojej strony WWW po wi conom s e zagadnieniom zwiazanym z BGP. Znajduje si e ona pod adresem http://www.cisco.com/pcgibin/Support/browse/psp_view.pl?p=Technologies:BGP.
Bardzo dobry przewodnik po konguracji BGP z opisem konkretnych scenariuszy znajduje si e pod adresem http://www.cisco.com/en/US/tech/tk365/tk80/technologies_tech_note09186a00800c95bb.shtml, dokadny opis polecen pod adresem http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_conguration_guide_chapter0918 warto rwniez zajrze do ksiazki Sama Halabiego, do ktrej link znajduje si na poczatku c e tego FAQ w rozdziale po wi conym dokumentacji. s e
79
Rozdzia 9. Routing
80
Rozdzia 10. QoS - limitowanie, gwarantowanie i kontrola pasma

10.1. Co tak naprawd oznacza akronim QoS? e
QoS to dokadnie akronim od Quality of Service, czyli Jakoc Usugi. s Jest to bardzo popularne sowo-klucz stosowane (na nieszcz scie), gwnie w materiaach e handlowych i oznacza zwykle tylko malutki fragment caej rozlegej dziedziny, zajmujacej si gwarantowaniem jako ci usug w sieciach. e s Wedug Cisco, na mozliwo c zapewnienia QoS w sieci skada si : s e
Klasykacja ruchu (ang. Trafc Classication) - chodzi o mozliwo c identykacji otrzy s manego ruchu tak, by na tej podstawie mozna byo p niej ksztatowa jego charak z c terystyki, czy gwarantowa mu np. pierwszenstwo, lub stae pasmo. W skad klasykacji c ruchu na routerach Cisco wchodza zagadnienia: 1. Routingu wedug zasad (ang. policy-based routing), czyli wprost wskazywania, ze ruch o danej charakterystyce powinien by routowany w taki a nie inny sposb c 2. Commited Access Rate 3. Class-Based Weighted Fair Queuing
Zarzadzanie zatorami (ang. Congestion Management) - prba ograniczenia wpywu nies fornych protokow i aplikacji na pozostay ruch wymieniany w sieci. W skad wchodzi: 1. Weighted Fair Queuing 2. Class-Based Weighted Fair Queuing 3. Priority Queuing 4. Custom Queuing
Unikanie zatorw (ang. Congestion Avoidance) - prba proaktywnego zapobiegania wysyceniu acza, lub wprost narzucanie polityki uniemozliwiajacej danemu rodzajowi ruchu wysycenia caego dost pnego pasma. e 1. Random Early Detection / Weighted Random Early Detection 2. Commited Access Rate
10.2. Je li chodzi o klasykacj , cz sto sysz akronimy s e e e ToS, Precedence i DSCP - o co chodzi?
ToS, czyli Type of Service (Rodzaj Usugi) to standard denicji klasy ruchowej pakietu IP, opisany dokadniej w RFC 1349. Deniuje sze c typw ruchu, i przypisuje kazdemu z nich s
81
Rozdzia 10. QoS - limitowanie, gwarantowanie i kontrola pasma warto c, zapisywana do bitw 3-6, w 1-bajtowym polu nagwka pakietu IPv4. Pole Preces dence to warto c z bitw 0-2 tego samego 1-bajtowego pola, okre lajace pierwszenstwo s s danego ruchu. DSCP, czyli Differentiated Services Codepoint, zdeniowany w nowszym standardzie (RFC 2474), opisuje jak za pomoca tego samego, 1-bajtowego pola w nagwku IPv4 podzieli ruch c na klasy troch inaczej - posugujac si przy tym bitami 0-5, pozostae dwa pozostawiajac e e jako nieuzywane. Za pomoca odczytywania lub oznaczania pakietw pasujacych do konkretnych kryter iw, routery i przeaczniki sa w stanie rznicowa traktowanie ruchu w sieci. Zwykle za c kada si , ze inteligentne urzadzenia sieciowe (zwykle chodzi o przeaczniki, ale czasami e wykonuja ta prac rwniez routery) znajdujace si najblizej stacji uzytkownikw, serwerw, e e czy innych urzadzen generujacych ruch, oznaczaja rzne rodzaje ruchu rznymi etykietami ToS/Precedence lub DSCP (wg. przyj tego w danej sieci standardu; dobrze jest robi w taki e c sam sposb w caej sieci pod swoja kontrola), a kolejne urzadzenia w ancuszku posuguja si juz tymi etykietami do priorytezacji ruchu, gwarantowania pasma czy jego ograniczania. e
10.3. Jak skongurowa ... c

10.3.1. ...prioretyzacj okre lonego ruchu za pomoca PQ? e s
PQ, czyli Priority Queueing (kolejki z priorytetami) uzywa czterech kolejek i klasykowania ruchu do jednej z nich. Kolejki te nazywaja si od posiadajacej najwi kszy priorytet high, e e przez medium, normal do low. Cecha charakterystyczna PQ jest fakt, ze dopki jakiekolwiek pakiety znajduja si w kolejce e o wyzszym priorytecie, router nie wy le pakietw oczekujacych w kolejkach o priorytecie s nizszym. atwo doprowadzi w ten sposb do umierania transmisji, klasykowanych do c kolejek o nizszych priorytetach. Zazmy, ze chcemy prioretyzowa cay ruch SSH, ICMP oraz Telnet. W kolejnej, mniej c waznej kolejce powinien znale c si ruch DNS, ISAKMP (500/udp) oraz ESP (protok 50). z e Do trzeciej kolejki wrzucimy ruch WWW, SMTP, POP3, IMAP4 a caa reszta ruchu tra do domy lnej, czwartej, najmniej uprzywilejowanej kolejki: s
! interface serial 0.99 priority-group 10 ! do interfejsu szeregowego przypisujemy grup priorytetw o e ! identyfikatorze 10 ! ! konfigurujemy wspomniana grup priorytetw: e priority-list 10 protocol ip high list 100 priority-list 10 protocol ip medium list 110 priority-list 10 protocol ip normal list 120 priority-list 10 default low ! ! access lista 100 - wybiera ruch SSH, ICMP oraz Telnet: ip access-list extended 100 permit tcp any any eq 22 permit tcp any any eq 23 permit icmp any any !
82

! access lista 110 - wybiera ruch DNS, ISAKMP i ESP: ip access-list extended 110 permit udp any any eq 53 permit udp any any eq 500 permit esp any any ! ! access lista 120 - wybiera ruch WWW, SMTP, POP3, IMAP4: ip access-list extended 120 permit tcp any any eq 25 permit tcp any any eq 80 permit tcp any any eq 110 permit tcp any any eq 143
10.3.2. ...prioretyzacj okre lonego ruchu za pomoca CQ? e s

CQ, czyli Custom Queueing (kolejkowanie kongurowalne) jest mechanizmem podobnym do PQ, ale mozemy po pierwsze uzywa do 16 kolejek, a po drugie oprzniane one sa c na zasadzie round-robin: najpierw X bajtw z kolejki pierwszej, p niej Y bajtw z kolejki z drugiej i tak dla wszystkich kolejek i od poczatku. Taka konstrukcja zapobiega wymieraniu potokw mniej uprzywilejowanych. Ponizej analogiczna konguracja, jak w przykadzie z PQ:
! interface serial 0.99 custom-queue-list 10 ! ! konfigurujemy kolejkowanie, tworzac cztery kolejki: 1, 2, 3 i 4 queue-list 10 protocol ip 1 list 100 queue-list 10 protocol ip 2 list 110 queue-list 10 protocol ip 3 list 120 queue-list 10 default 4 ! ! dla kadej z kolejek, okrelamy limity ruchowe w bajtach: z s queue-list 1 queue 1 byte-count 3000 queue-list 1 queue 2 byte-count 2000 queue-list 1 queue 3 byte-count 1000 queue-list 1 queue 4 byte-count 500 ! ! access lista 100 - wybiera ruch SSH, ICMP oraz Telnet: ip access-list extended 100 permit tcp any any eq 22 permit tcp any any eq 23 permit icmp any any ! ! access lista 110 - wybiera ruch DNS, ISAKMP i ESP: ip access-list extended 110 permit udp any any eq 53 permit udp any any eq 500 permit esp any any ! ! access lista 120 - wybiera ruch WWW, SMTP, POP3, IMAP4: ip access-list extended 120 permit tcp any any eq 25 permit tcp any any eq 80
83

permit tcp any any eq 110 permit tcp any any eq 143
10.3.3. ...kolejkowanie WFQ?

WFQ, czyli Weighted Fair Queueing (wazone, sprawiedliwe kolejkowanie) jest domy lnym s mechanizmem kolejkowania, waczonym na interfejsach szeregowych o przepywno ci do s 2Mbit/s. WFQ klasykuje ruch w potoki, przy czym do jednego potoku naleza pakiety o takim samym zrdowym i docelowym adresie IP, portach TCP/UDP, nalezace do tego samego protokou i posiadajace ta sama warto c pola ToS (Type of Service). s Je li na interfejsie wyaczono WFQ, mozna je waczy wydajac polecenie fair-queue. s c
10.3.4. ...przycinanie pasma dla okre lonego ruchu? s

Cisco oferuje mechanizm CAR (Commited Access Rate) oraz GTS (Generic Trafc Shape). O ile CAR po prostu odrzuca pakiety przekraczajace zadane warto ci (i moze dziaa zarwno s c dla ruchu wchodzacego jak i wychodzacego), GTS stara si delikatniej wpywa na przebieg e c transmisji, manewrujac op nieniami pakietw, gdy pasmo zajmowane przez wskazany typ z ruchu zbliza si do zaozonych ograniczen. GTS dziaa tylko dla ruchu wychodzacego z e routera. Przyci cie ruchu FTP do 256kbit/s przez CAR: e
interface Ethernet0 rate-limit input access-group 100 256000 8192 8192 conform-action transmit exceed-action rate-limit output access-group 100 256000 8192 8192 conform-action transmit exceed-actio ! access-list 100 permit tcp any any eq ftp access-list 100 permit tcp any eq ftp any access-list 100 permit tcp any any eq ftp-data access-list 100 permit tcp any eq ftp-data any
Przyci cie ruchu FTP do 256kbit/s przez GTS: e

interface Ethernet0 traffic-shape group 100 256000 8192 8192 ! access-list 100 permit tcp any any eq ftp access-list 100 permit tcp any any eq ftp-data
10.3.5. ...ksztatowanie ruchu za pomoca CBWFQ?

CBWFQ, czyli Class-Based WFQ (WFQ oparte o klasy), jest pot znym mechanizmem, umozlie wiajacym aczenie wielu rznych innych mechanizmw w jedna cao c na interfejsie routera. s Aby wykorzysta CBWFQ, nalezy najpierw wskaza , czyli inaczej sklasykowa ruch, ktry c c c b dzie traktowany w rzny sposb - innymi sowy, podzieli go na klasy. Cisco IOS dae c je wiele metod klasykacji - mozemy wskazywa oglnie protokoy (np. IP, EIGRP, ESP), c dowolny ruch pasujacy do jakiego rodzaju ACLek (np. tylko ruch do konkretnego hosta na s port 80/tcp itp.), a takze z wykorzystaniem mechanizmu NBAR, zag bia si w konstrukcj e c e e pakietu i np. wykrywa sieci P2P. c
84
Rozdzia 10. QoS - limitowanie, gwarantowanie i kontrola pasma W ponizszym przykadzie wyjdziemy z nast pujacych zaozen: e

Posiadamy symetryczne acze 2Mbit/s Przede wszystkim interesuje nas ruch z wewn trznych serwerw poczty i WWW - chcee my, by miay w ruchu wychodzacym gwarantowane do 1Mbit/s ruchu, przy czym je li s rozp dza si powyzej 1,2Mbit/s zaczynamy ten ruch shapeowa by nie wysyci nam e e c zupenie pasma w ruchu wychodzacym; Aplikacjom typu SSH czy Telnet dajemy osobne 256kbit/s starajac si , by pakiety nalezace e do tego ruchu utrzymyway mozliwie mae op nienia. Podobnie jak dla powyzszego z ruchu, powyzej 384kbit/s zaczynamy ten ruch shapeowa . c Statycznie przycinamy cay ruch UDP i ICMP do po 64kbit/s zarwno przychodzacy jak i wychodzacy. Nie spodziewamy si otrzymywa wi cej ruchu tego typu w jednostce cza e c e su, a na pewno nie b dziemy rwniez wi cej generowa (to w ograniczonym stopniu e e c powstrzyma tez trojany, ktre moga zainstalowa si na stacjach naszych uzytkownikw c e i prbowa przeprowadza ataki DDoS na innych uzytkownikw Internetu) c c Przycinamy wszelakie protokoy P2P ktre jeste my w stanie rozpozna do minimalnej s c warto ci - 8kbit/s. To nie zablokuje w cao ci ruchu i nie zagwarantuje, ze ruch P2P nie s s wysyci naszego pasma od ISP do naszego routera (pojedynczy request z aplikacji P2P potra wygenerowa wiele jednoczesnych strumieni ktre sa w stanie zapcha naprawd c c e wielkie acza), ale b dzie naszym sposobem na kontrol tego, co kontrolowa trudno. e e c Caa reszt ruchu kolejkujemy wg. WFQ w 64 osobne potoki. e
class-map match-all cm_serwery match access-group name acl_serwery ! klasa cm_serwery wybiera tylko ruch pasujacy do ACL acl_serwery class-map match-any cm_ruch_gwarantowany match access-group name acl_ruch_gwarantowany ! klasa cm_serwery wybiera tylko ruch pasujacy do ACL acl_ruch_gwarantowany class-map match-any cm_udp_icmp match access-group name acl_udp_icmp ! klasa cm_serwery wybiera tylko ruch pasujacy do ACL acl_udp_icmp class-map match-any P2Ptraffic match protocol kazaa2 match protocol http url "\.hash=*" match protocol gnutella match protocol napster match protocol fasttrack ! wykorzystujemy tutaj funkcjonalnoc NBAR; umoliwia ona routerowi s z ! zagladanie do wntrza przesyanych danych i analiz ich e e ! przynalenoci do rnego rodzaju aplikacji z s z ! ! aby ta funkcjonalnoc zadziaaa, na interfejsach, ktre s ! ruch do sklasyfikowania odbieraja (zwykle i interfejsy LAN i WAN) ! naley wyda polecenie ip nbar protocol-discovery z c ! policy-map pm_lan2internet class cm_serwery bandwidth 1016 ! ruch zaliczony do klasy cm_serwery ma gwarantowane ! pasmo do 1Mbit/s, przy czym shape average 1256000 32768 32768 ! jeli zajmie 1,25Mbit/s zaczyna by shapeowany s c class cm_ruch_gwarantowany
85

bandwidth 256 ! ruch zaliczony do klasy cm_ruch_gwarantowany ma gwarantowane ! pasmo do 256kbit/s, przy czym shape average 384000 32768 32768 ! jeli zajmie 384kbit/s zaczyna by shapeowany s c class cm_udp_icmp police 256000 conform-action transmit exceed-action drop ! ruch zaliczony do klasy cm_udp_icmp jest odrzucany jeli s ! przekracza 256kbit/s class class-default fair-queue 64 ! pozostay ruch, ktry nie trafi do adnej z klas powyej z z ! rozkadany jest do 64 niezalenych kolejek z ! ip access-list extended acl_serwery permit tcp host 192.168.10.10 eq 25 any permit udp host 192.168.10.10 eq 53 any permit tcp host 192.168.10.11 eq 80 any permit tcp host 192.168.10.10 eq 110 any permit tcp host 192.168.10.10 eq 143 any ! ip access-list extended acl_ruch_gwarantowany permit tcp any any eq 22 permit tcp any any eq 23 ! ip access-list extended acl_udp_icmp permit icmp any any permit udp any any
Oczywi cie, tak stworzona konguracj nalezy przypisa jeszcze do interfejsu: s e c

! interface Serial 0.99 description Polaczenie WAN service-policy output pm_internet2lan ! interface FastEthernet 0 description Polaczenie LAN ip nbar protocol-discovery
10.3.6. Co to jest NBAR?

NBAR, czyli Network-Based Application Recognition, to mechanizm wykrywania na podstawie ogladania zawarto ci pakietw, do jakiej aplikacji lub usugi danych ruch nalezy. s NBAR pojawi si w IOSie 12.0(5)XE2 i jest dost pny w podstawowej wersji oprogramowae e nia (nawet na maych platformach). Aby zosta aktywowany, musisz wykona na przynac jmniej jednym z interfejsw, ktrego ruch chcesz analizowa lub klasykowa polecenie ip c c nbar protocol-discovery. Powoduje to uaktywnienie moduu i rozpocz cie rozpoze nawania przetwarzanego ruchu (wpywa zatem na wydajno c). s Przykadowe statystyki udost pniane e protocol-discovery ponizej:
router# show ip nbar protocol-discovery
przez
polecenie
show ip nbar
86

Serial0/0.99 Input Output Packet Count Packet Count Byte Count Byte Count 5 minute bit rate (bps) 5 minute bit rate (bps) ------------------------ ------------------------ -----------------------kazaa2 386586 338412 Pierwsza linijka to odpowiednio iloc pakietw wchodzacych s i wychodzacych, ktre sklasyfikowano jako naleace do danego protokou z Protocol 403005080 121530825 Kolejna linijka to ten sam podzia na ruch wchodzacy i wychodzacy, ale wyraony w bajtach z 567000 380000 Ostatnia linijka to aktualne statystyki za ostatnie 5 minut pracy, w bitach na sekund e http 393493 205820 322833938 103136747 123000 122000 ssh 263541 158289 391470822 9749154 220000 10000 [...]
Wi cej o obsugiwanych standardach i idei dziaania przeczyta mozna tutaj: e c http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_conguration_guide_chapter0918 a konguracj e opisano np. tutaj: http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_conguration_guide_chapter0918
87
88
Rozdzia 11. Bezpieczenstwo

11.1. Poszukuje informacji o zabezpieczaniu routerw, przeacznikw...
Bardzo wiele informacji znajduje si na stronach Cisco: e http://www.cisco.com/go/safe Caa strona po wi cona zabezpieczaniu sieci opartych o sprz t Cisco. Zawiera dokus e e menty z serii SAFE, nieocenione zrdo wiedzy je li chodzi zarwno o kompleksowe s podej cie teoretyczne, jak i praktyczne do budowy bezpiecznej sieci. s http://www.cisco.com/warp/public/707/21.html Improving Security on Cisco Routers Dokument zawierajacy podstawowe wskazwki dotyczace zwi kszania bezpieczenst e wa routerw.
http://www.cisco.com/warp/public/707/index.shtml Ciscos Security Technical Tips Strona z seria porad dotyczacych bezpieczenstwa.
http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123cgcr/sec_vcg.htm Cisco IOS Security Conguration Guide, Release 12.3 Podr cznik do najnowszej obecnie wersji IOS (12.3), opisujacy wszystkie zagadnienia e zwiazane z bezpieczenstwem i podstawy ich konguracji.
http://www.cisco.com/go/autosecure Cisco AutoSecure Opis dost pnego od wersji 12.3 mechanizmu AutoSecure, uatwiajacego zabezpieczenie e routera.
Dodatkowo, ciekawe materiay znale c mozna na innych stronach: z NSA Security Recommendation Guides Dokumenty opisujace rekomendowane przez NSA (National Security Agency, Agencj e Bezpieczenstwa Narodowego USA) konguracje routerw Cisco. Rewelacyjna lektura.
89
Rozdzia 11. Bezpieczenstwo Building Bastion Routers Using Cisco IOS Publikacja w ramach ezinu Phrack, ktrego nikomu chyba nie trzeba przedstawia . c Dotyczy starszych wersji IOSw, ale przedstawia metodyczne podej cie do zabezs pieczania routera i jego otoczenia. Dokumenty Roba Thomasa Strona zawierajaca m.in. stale aktualizowana sieci, ktre nie powinny pojawi si w c e Internecie (tzw. Bogons List), oraz rozmaite wzorce konguracji i zalecenia dla optymalizacji. Doskonaa referencja, warto cz sto zaglada . e c Qorbit Safe templates Strona z wzorcami konguracji rznych urzadzen pod konkretne zastosowania - moze okaza si przydatna. c e Black Hat briengs Jak nietrudno zgadna , zbir prezentacji ze zlotw konferencji ludzi zajmujacych si c e bezpieczenstwem. Hardening Cisco Routers step-by-step Dokument stworzony w ramach certykacji SANS. Warto przeczyta , wiedza zebrana c z paru zrde i skompilowana.
11.2. Dost p do routera e

11.2.1. Jak spowodowa , zebym logujac si do routera musia c e poda tylko haso? c
Najpro ciej jest ustawi na wirtualnych liniach terminali (ang. VTY, Virtual TeletYpes), s c wymuszanie podania konkretnego hasa:
router(config)# line vty 0 15 router(config-line)# login router(config-line)# password jakie_haso s
11.2.2. Jak spowodowa , zebym logujac si do routera musia c e poda zarwno login jak i haso? c
Je li router ma sprawdza istnienie konta o danym loginie i poprawno c hasa bez s c s zewn trznej bazy danych, nalezy skongurowa uzytkownikw lokalnie, np. tak: e c
router(config)# username lukasz password ala10
Nast pnie, nalezy waczy lokalne uwierzytelnianie: e c

router(config)# aaa new-model router(config)# aaa authentication login default local
90
Rozdzia 11. Bezpieczenstwo ...i skongurowa wirtualne linie terminali tak, by wymagay uwierzytelnienia si , w oparc e ciu o lokalna baz uzytkownikw: e
router(config)# line vty 0 15 router(config-line)# login local
11.2.3. W jaki sposb stworzy stae mapowanie IP na MAC c na routerze?

Najcz sciej potrzeba przypisania adresu IP do MAC karty sieciowej wynika z ch ci e e zablokowania uzytkownikom, mozliwo ci samowolnej zmiany adresu IP. W Cisco istnieje s mozliwo c przypisania adresu MAC do adresu IP poleceniem: s
router(config)# arp 192.168.5.5 aaaa.bbbb.cccc arpa ! I sprawdzenie lokalnej bazy ARP: router# show arp Protocol Address Internet 192.168.5.1 Internet 192.168.5.5
Age (min) -
Hardware Addr 000c.0c93.115a aaaa.bbbb.cccc
Type ARPA ARPA
Interface Ethernet0
Jednak przypisanie takie dotyczy tylko mapowania IP -> MAC, ale nie na odwrt. Je li s komputerowi o adresie MAC aaaa.bbbb.cccc uzytkownik przypisze inny adres IP, b dzie e on mg komunikowa si z siecia. Natomiast przypisanie adresu IP 192.168.5.5 komputc e erowi o adresie MAC innym niz zdeniowany uniemozliwi komunikacj , gdyz wszystkie e ramki przesyane do adresu 192.168.5.5 zostana skierowane na MAC adres aaaa.bbbb.cccc. Je li zatem zrobimy statyczne mapowania IP->MAC wszystkim uzytkownikom, a reszt s e adresw IP zablokujemy odpowiednia access-lista to uzyskamy zamierzony efekt - nikt nie b dzie mg zmieni adresu IP w taki sposb, aby nadal mg komunikowa si z siecia. e c c e
11.2.4. Chciabym upewni si , ze mj router nie jest atwym c e celem dla wamywaczy. Co jako podstaw polecacie? e
W zasadzie najlepiej najpierw duzo poczyta . Wi kszo c zalecen sprowadza si jednak do: c e s e a) wyacz niepotrzebne usugi, b) upewnij si , ze routerowi nic nie przeszkadza. e Ponizej lista podstawowych polecen, ktre warto wykona . Jednak UWAGA: po pierwsze c mozesz co zepsu (!), po drugie takie pj cie na skrty powinno by dopiero poczatkiem do s c s c dalszej dog bnej analizy konguracji! e W konguracji globalnej wykonaj:
router(config)# router(config)# router(config)# router(config)# router(config)# router(config)# router(config)# router(config)# router(config)# no no no no no no no no no service udp-small-servers service tcp-small-servers service finger service dhcp service config service pad ip domain-lookup ip finger ip http server
91

router(config)# no ip http secure-server router(config)# no ip bootp server router(config)# no ip source-route router(config)# no snmp-server router(config)# no cdp run ! teraz troch rzeczy waczymy: e router(config)# ip cef router(config)# service tcp-keepalives-in router(config)# service tcp-keepalives-out router(config)# service password-encryption router(config)# ip tcp path-mtu-discovery router(config)# ip tcp selective-ack router(config)# ip tcp timestamp router(config)# service timestamps debug datetime localtime msec router(config)# service timestamps log datetime localtime msec router(config)# logging buffered 64000 ! ustaw zegar i stref czasowa e router# clock set HH:MM:SS DD MIE ROK router(config)# clock timezone MST 1 router(config)# clock summer-time MET recurring last Sun Mar 2:00 last Sun Oct 3:00 ! usu haso enable szyfrowane sabym algorytmem: n router(config)# no enable password ! ...i ustaw haso enable kodowane jednostronna funkcja mieszajaca router(config)# enable secret jakie_trudne_haso s
W konguracji poszczeglnych (pod)interfejsw:

router(config-if)# router(config-if)# router(config-if)# router(config-if)# router(config-if)# no no no no ip ip redirects ip directed-broadcast ip mask-reply ip proxy-arp verify unicast reverse-path
Na koniec zapisz konguracj : e

router# copy running-config startup-config
11.3. Zabezpieczanie ruchu do i przez router

11.3.1. Jak dziaaja ACL?
ACL, czyli Access Control List (lista kontroli dost pu) jest lista regu, ktre kolejno sprawdzaja e pewne wa ciwo ci pakietu. ACL uzywane sa gwnie do ltrowania pakietw na interfes s jsach routerw i przeacznikw, ale suza tez do wskazywania ruchu route-mapom, crypto mapom itd. Pami taj, ze kazda stworzona ACLk musisz przypisa do jakiego interfejsu, e e c s lub do konkretnej funkcjonalno ci - inaczej po prostu nie b dzie dziaa ! s e c Dla ruchu IP interesujace sa dwa typy list ACL - standardowe i rozszerzone. Standardowa lista IP pozwala sprawdzi tylko adres zrdowy pakietu, np.: c
ip access-list standard 10 permit ip 192.168.0.10 ! Pozwalamy przejc pakietom z 192.168.0.10 s
92
Rozdzia 11. Bezpieczenstwo Kazda zdeniowana ACLka zawiera domy lnie na koncu wpis odrzucajacy kazdy ruch s (default deny), je li wi c skonstruujesz swoja ACLk tak, by najpierw odrzucaa jaki konkrets e e s ny ruch, a p niej chciaby zeby przepuszczaa pozostay, musisz go wprost przepu ci , np. z s s c tak:
ip access-list standard 10 deny ip 192.168.0.10 ! blokujemy wprost ruch z deny ip 192.168.0.11 ! blokujemy wprost ruch z deny ip 192.168.0.33 ! blokujemy wprost ruch z deny ip 192.168.0.91 ! blokujemy wprost ruch z deny ip 192.168.0.206 ! blokujemy wprost ruch z permit ip any ! przepuszczamy pozostay
192.168.0.10 192.168.0.11 192.168.0.33 192.168.0.91 192.168.0.206 ruch IP
Stworzenie standardowej listy ACL odbywa si przez nadanie jej identykatora od 1 do 99 e (oraz od IOSu 12.0, z dodatkowego zakresu 1300-1999). Rozszerzone ACL dost pne sa w dwch rodzajach - numerowane, w zakresie od 100 do 199 e (od IOS 12.0 rwniez 2000-2699), oraz nazwane. Termin rozszerzone oznacza, ze pozwala ja one sprawdza ze szczegami pewne standardowe pola pakietw (IP oraz w warstwie c czwartej, czyli porty TCP/UDP oraz rodzaje i typy ICMP). Zazmy, ze chcemy zablokowa ruch do naszego routera o adresie 169.254.10.1 na port 80. c Mozemy napisa : c
ip access-list extended 100 deny tcp any host 169.254.10.1 eq 80 ! ruch pakietw zawierajacych TCP z dowolnej lokalizacji ! (any) do hosta o adresie 169.254.10.1 na port docelowy 80 ! ma zosta zablokowany c permit ip any any ! przepuszczamy pozostay ruch IP
Warto zwrci na skrcony zapis - rozszerzone listy dost pu wymagaja uzycia adresu c e zrdowego i docelowego, jako pary adres i maska. Zamiast takiej konstrukcji mozna uzy c sw any (odpowiada konstrukcji 0.0.0.0 0.0.0.0, czyli dowolny adres), oraz host A.B.C.D (co odpowiada konstrukcji A.B.C.D 255.255.255.255, czyli tylko ten konkretny jeden adres). Rozszerzone ACL oferuja pewne dodatkowe testy - podstawowe, dost pne w praktycznie e wszystkich IOSach poczawszy od 12.0 to mi dzy innymi: e Dla protokow TCP i UDP dost pne sa sowa kluczowe sprawdzajace port: e eq X port zrdowy lub docelowy rwny X, w zalezno ci od miejsca umieszczenia warunku s gt X port zrdowy lub docelowy wi kszy niz X, w zalezno ci od miejsca umieszczenia e s warunku
93
Rozdzia 11. Bezpieczenstwo lt X port zrdowy lub docelowy mniejszy niz X, w zalezno ci od miejsca umieszczenia s warunku range X Y zakres portw zrdowych lub docelowych od X do Y, w zalezno ci od miejsca s umieszczenia warunku Natomiast dla TCP mozemy jeszcze dodatkowo wskaza agi ustawione w pakiecie: c syn Ustawiona aga SYN, poczatek normalnego poaczenia, np.:
! ip access-list extended Internet2Serwer permit tcp any gt 1023 host 169.254.10.1 eq 25 syn !
ack Ustawiona aga ACK - wi kszo c pakietw w strumieniu TCP. e s established Specjalne sowo kluczowe, pasuje do pakietw, z ustawiona aga ACK, ale zgaszona aga SYN, RST lub FIN. Innymi sowy, chodzi o pakiety nalezace do zestawionych poaczen. rst Ustawiona aga Reset - zwykle koniec poaczenia. Stworzona ACL nalezy przypisa do interfejsu. Obowiazuje regua, ze do jednego interfej c su mozna przypisa dwie ACLki - jedna kontrolujaca ruch wej ciowy i jedna kontrolujaca c s ruch wyj ciowy (z routera, bad przechodzacy przez router i wychodzacy tym akurat inters z fejsem).
interface serial 0.99 ip access-group 100 in ! ruch wchodzacy interfejsem bdzie sprawdzany wg. ACLki 100 e ip access-group 110 out ! ruch wychodzacy interfejsem bdzie sprawdzany wg. ACLki 110 e
11.3.2. Jak mog sprawdzi , czy moje ACL dziaaja? e c

Sprawd , czy router odnotowa jakie traenia (hits) w poszczeglne reguy ACLki polecez s niem show ip access-lists:
router# show ip access-lists Extended IP 10 deny 20 deny 30 deny access list KillWinTraffic udp any any range 135 netbios-ss (241919 matches) tcp any any range 135 139 tcp any range 135 139 any
94

40 50 60 70 deny udp any range 135 netbios-ss any deny tcp any any eq 445 (7614819 matches) deny tcp any eq 445 any permit ip any any (281099 matches)
Zwr uwag na liczby w nawiasach w reguach 10, 50 i 70. Jest to ilo c pakietw, ktra c e s pasowaa do danej reguy i router albo je odrzuci (reguy 10 i 50), albo przepu ci dalej s (regua 70).
11.3.3. Jak zoptymalizowa ACLk ? c e

Nie jest to pytanie proste, ale sprbujmy na nie zgrubnie odpowiedzie . c Na poczatek warto wiedzie , ze ACLki z dodanym sowem kluczowym log (czyli logujace c traenie), powoduja przej cie procesora routera w tryb process switching. Dla duzego ruchu, s korzy ci z wykorzystania innych optymalizacji, w tym optymalniejszych sciezek komutacji, s zostaja w tym momencie zniweczone. Po pierwsze, dla dugich ACLek (od 6 wpisw i wi cej), w niektrych IOSach (od 12.0(6) linii e S, oraz od 12.3 dla niektrych routerw mniejszych) istnieje mozliwo c pre-kompilowania s regu w kod optymalniejszy do testowania na kazdym pakiecie. Funkcjonalno c ta nazywa s si Turbo Access List (Cisco uzywa jej zamiennie z compiled Access List i jako takie pojawiaja e si w sowach kluczowych konguracji routera) i wacza si ja poleceniem access-list e e compiled. Router wykona w tym momencie proces optymalizacji ACLek duzszych niz 5 regu, a p niej przy kazdej zmianie w ACLkach, powtrzy ten proces. Skuteczno c dziaaz s nia tej funkcji, oraz list ACLek ktre zostay skompilowane mozna sprawdzi poleceniem e c show access-lists compiled:
router# show access-lists compiled Compiled ACL statistics: ACL State Entries Config Fragment Redundant 10 Operational 1 1 0 0 98 Operational 1 1 0 0 99 Operational 7 7 0 0 100 Operational 2 2 0 0 110 Operational 14 12 2 0 antispoof Operational 42 43 0 1 block_mswin Operational 14 14 0 0 nachi_worm Operational 3 2 1 0 8 ACLs, 8 active, 1 builds, 89 entries, 3 mem fill, 762 updates L0: 1805Kb 5/6 42/43 11/12 2/3 2/3 13/14 L1: 9Kb 67/250 11/36 13/42 15/75 L2: 55Kb 69/350 105/300 L3: 217Kb 337/500 Misc: 30Kb Totl: 2119Kb 710 equivs (617 dynamic)
14/15
4/5
Nalezy pami ta , ze wykorzystanie tej funkcjonalno ci pochonie troch pami ci (w e c s e e zalezno ci od ilo ci i wielko ci istniejacych i tworzonych list), jednak w zamian za to, s s s kazdy pakiet zostanie sprawdzony najwyzej pi c razy (dla list rozszerzonych) - adres e zrdowy, adres docelowy, protok, opcje protokou - i wynik, powodujacy przej cie do s przetwarzania nast pnego pakietu. Funkcjonalno c ta opisano szerzej pod tym adresem: e s http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120limit/120s/120s6/tu
95
Rozdzia 11. Bezpieczenstwo Po drugie, staraj si ograniczy liczb regu, zawierajac w poszczeglnych warunkach jak e c e najoglniejsze stwierdzenia (je li nie powoduje to oczywi cie przepuszczania niechcianego s s ruchu). Innymi sowy, na przykad zamiast wpisa ACLk z 254 wpisami typu permit ip c e 192.168.0.1, permit ip 192.168.0.2, permit ip 192.168.0.3 zastosuj jeden wpis w ramach listy rozszerzonej, ktry b dzie brzmia permit ip 192.168.0.0 0.0.0.255 any. e Po trzecie, przemy l konstrukcj ACLki starajac si oceni , jaki ruch najcz sciej b dzie s e e c e e dociera do Twojego routera - i jak najwcze niej w li cie regu akceptuj go lub odrzucaj. s s Pomocne jest w tym momencie polecenie show ip access-lists. Przeanalizujmy taka ACLk : e
10 20 30 40 50 60 70 80 90 100 110 120 130 140 150 160 170 180 190 200 210 220 230 250 260 270 280 290 300 310 320 330 340 350 360 370 380 390 400 permit ip host 169.254.10.1 host 169.254.9.4 permit gre any host 169.254.20.6 permit udp host 150.254.183.15 eq ntp host 169.254.9.4 eq ntp (11460 matches) deny ip 192.168.0.0 0.0.255.255 any (9865451 matches) deny ip 173.0.0.0 0.255.255.255 any (124 matches) deny ip 10.0.0.0 0.255.255.255 any deny ip 172.16.0.0 0.15.255.255 any (42 matches) deny ip 0.0.0.0 1.255.255.255 any deny ip 2.0.0.0 0.255.255.255 any deny ip 5.0.0.0 0.255.255.255 any deny ip 7.0.0.0 0.255.255.255 any deny ip 23.0.0.0 0.255.255.255 any (847618 matches) deny ip 27.0.0.0 0.255.255.255 any deny ip 31.0.0.0 0.255.255.255 any deny ip 36.0.0.0 1.255.255.255 any deny ip 39.0.0.0 0.255.255.255 any deny ip 41.0.0.0 0.255.255.255 any deny ip 42.0.0.0 0.255.255.255 any deny ip 49.0.0.0 0.255.255.255 any deny ip 50.0.0.0 0.255.255.255 any deny ip 58.0.0.0 1.255.255.255 any (749 matches) deny ip 70.0.0.0 1.255.255.255 any deny ip 72.0.0.0 7.255.255.255 any (6 matches) deny ip 88.0.0.0 7.255.255.255 any deny ip 169.254.0.0 0.0.255.255 any deny ip 174.0.0.0 1.255.255.255 any deny ip 176.0.0.0 7.255.255.255 any deny ip 184.0.0.0 3.255.255.255 any deny ip 189.0.0.0 0.255.255.255 any deny ip 190.0.0.0 0.255.255.255 any deny ip 192.0.2.0 0.0.0.255 any deny ip 197.0.0.0 0.255.255.255 any deny ip 198.18.0.0 0.1.255.255 any deny ip 223.0.0.0 0.255.255.255 any deny tcp any any range 135 139 (138750 matches) deny ip 96.0.0.0 31.255.255.255 any (6974 matches) deny udp any any range 135 netbios-ss (79235152 matches) deny tcp any range 135 139 any (8371 matches) deny udp any range 135 netbios-ss any
Wida od razu, ze regua pasujaca do zdecydowanie najwi kszej ilo ci pakietw (nr. 380, c e s 79,235,152 traenia) znajduje si na szarym koncu - jest sprawdzana dopiero 38. Powoduje to e niewielkie, ale jednak op nienia i oczywi cie przyczyna si do zwi kszonego obciazenia na z s e e routerze (pami taj, ze ACLka przegladana jest za kazdym razem, gdy do interfejsu dotrze, e lub ma go opu ci pakiet!). Porzadkujac list wedug traen otrzymamy co takiego: s c e s
96

10 20 30 40 50 60 70 80 90 100 110 120 130 140 150 160 170 180 190 200 210 220 230 240 250 260 270 280 290 300 310 320 330 340 350 360 370 380 390 deny udp any any range 135 netbios-ss (79235152 matches) deny ip 192.168.0.0 0.0.255.255 any (9865451 matches) deny ip 23.0.0.0 0.255.255.255 any (847618 matches) deny tcp any any range 135 139 (138750 matches) permit udp host 150.254.183.15 eq ntp host 169.254.9.4 eq ntp (11460 matches) deny tcp any range 135 139 any (8371 matches) deny ip 96.0.0.0 31.255.255.255 any (6974 matches) permit ip host 169.254.10.1 host 169.254.9.4 deny ip 58.0.0.0 1.255.255.255 any (749 matches) deny ip 173.0.0.0 0.255.255.255 any (124 matches) deny ip 172.16.0.0 0.15.255.255 any (42 matches) deny ip 72.0.0.0 7.255.255.255 any (6 matches) permit gre any host 169.254.20.6 deny ip 10.0.0.0 0.255.255.255 any deny ip 0.0.0.0 1.255.255.255 any deny ip 2.0.0.0 0.255.255.255 any deny ip 5.0.0.0 0.255.255.255 any deny ip 7.0.0.0 0.255.255.255 any deny ip 27.0.0.0 0.255.255.255 any deny ip 31.0.0.0 0.255.255.255 any deny ip 36.0.0.0 1.255.255.255 any deny ip 39.0.0.0 0.255.255.255 any deny ip 41.0.0.0 0.255.255.255 any deny ip 42.0.0.0 0.255.255.255 any deny ip 49.0.0.0 0.255.255.255 any deny ip 50.0.0.0 0.255.255.255 any deny ip 70.0.0.0 1.255.255.255 any deny ip 88.0.0.0 7.255.255.255 any deny ip 169.254.0.0 0.0.255.255 any deny ip 174.0.0.0 1.255.255.255 any deny ip 176.0.0.0 7.255.255.255 any deny ip 184.0.0.0 3.255.255.255 any deny ip 189.0.0.0 0.255.255.255 any deny ip 190.0.0.0 0.255.255.255 any deny ip 192.0.2.0 0.0.0.255 any deny ip 197.0.0.0 0.255.255.255 any deny ip 198.18.0.0 0.1.255.255 any deny ip 223.0.0.0 0.255.255.255 any deny udp any range 135 netbios-ss any
Warto taka optymalizacj przeprowadzi raz na jaki czas - charakterystyki ruchu zmieni e c s aja si okresowo i co co polepszyo sytuacj p miesiaca temu, moze teraz ja pogarsza . e s e c Po czwarte, w wi kszo ci topologii w jakich router moze si znale c, warto unika ltrowae s e z c nia na interfejsie ruchu w obu kierunkach. Je li router posiada dwa interfejsy, to zakadajac, s ze ltrujemy ruch wchodzacy na obu interfejsach, nie trzeba juz specjalnie sprawdza ruchu c wychodzacego drugim interfejsem - wiadomo, ze przeltrowali my go juz, gdy wchodzi s interfejsem pierwszym. Je li jednak wykonujesz routing, a jaki ruch moze by generowany s s c z routera, by moze b dziesz musia jednak co ltrowa - wszystko zalezy od Twojej polic e s c tyki bezpieczenstwa. Po piate, warto zast powa reguy odrzucajace ruch do konkretnych adresw IP czy pod e c sieci, statycznymi wpisami routingu wskazujacymi na odpowiednio skongurowany in terfejs Null 0. Routery duzo lepiej radza sobie z routowaniem ruchu (nawet je li chodzi s o routowanie do interfejsu b dacego czarna dziura) niz jego ltrowaniem, czy wykonye waniem skomplikowanych operacji. Innymi sowy, po skongurowaniu wirtualnego interfejsu Null 0 w ten sposb:
97

interface Null0 description Interfejs wyrzucajacy pakiety no ip unreachables
Wpisy w ACLce odrzucajacej ruch w ten sposb:

[...] deny ip deny ip deny ip deny ip deny ip deny ip deny ip deny ip deny ip deny ip [...] 10.0.0.0 0.255.255.255 any 0.0.0.0 1.255.255.255 any 2.0.0.0 0.255.255.255 any 5.0.0.0 0.255.255.255 any 7.0.0.0 0.255.255.255 any 27.0.0.0 0.255.255.255 any 31.0.0.0 0.255.255.255 any 36.0.0.0 1.255.255.255 any 39.0.0.0 0.255.255.255 any 41.0.0.0 0.255.255.255 any
Mozna zastapi nast pujacymi wpisami statycznymi routingu (zwr jednak uwag , by nie c e c e dopisa takiego ltrowania dla adresw sieci, ktre w twojej konkretnej instalacji wyst puc e ja!):
router# router# router# router# router# router# router# router# router# router# ip ip ip ip ip ip ip ip ip ip route route route route route route route route route route 10.0.0.0 255.0.0.0 null 0 0.0.0.0 254.0.0.0 null 0 2.0.0.0 255.0.0.0 null 0 5.0.0.0 255.0.0.0 null 0 7.0.0.0 255.0.0.0 null 0 27.0.0.0 255.0.0.0 null 0 31.0.0.0 255.0.0.0 null 0 36.0.0.0 254.0.0.0 null 0 39.0.0.0 254.0.0.0 null 0 41.0.0.0 255.0.0.0 null 0
Po szste i ostatnie, je li ltrujesz ruch na interfejsach wewn trznych pod katem s e poprawno ci adresw (tzn. nie chcesz, by kto w Twojej sieci 192.168.0.0/24 mg wysya s s c pakiety z adresem zrdowym np. 172.16.0.0/16), a masz lub mozesz waczy mechanizm c CEF, mozesz ACLk w tej postaci: e
ip access-list extended RuchLAN deny tcp any any range 135 139 deny udp any any range 135 139 deny tcp any range 135 139 any deny udp any range 135 netbios-ss any permit ip 192.168.0.0 0.0.0.255 any deny ip any any
...zmodykowa do postaci: c
ip access-list extended deny tcp any any range deny udp any any range deny tcp any range 135 deny udp any range 135 permit ip any any RuchLAN 135 139 135 139 139 any netbios-ss any
98
Rozdzia 11. Bezpieczenstwo A w zamian za to, waczy na interfejsie do ktrego przypisana bya ta ACLka, mechanizm c uRPF, czyli unicast Reverse-Path-Filtering, w ten sposb:
router# ip cef router# conf t router(config)# interface FastEthernet 0 router(config-if)# ip verify unicast reverse-path
Jak to dziaa? uRPF opiera swoje dziaanie o tablic budowana przez CEF - FIB (ang. Fore warding Information Base). Po otrzymaniu przez router pakietu, przechodzi on nast pujaca e drog : e

Sprawdzana jest wej ciowa ACLka przypisana do interfejsu. s uRPF sprawdza, czy droga powrotna dla pakietu wskazuje na interfejs, ktrym dotar on do routera - je li nie, pakiet jest odrzucany s CEF sprawdza FIB, by wyznaczy dalsza drog dla pakietu (je li nie zosta odrzucony) c e s Na interfejsie, ktrym pakiet ma opu ci router, sprawdzana jest ACLka wyj ciowa s c s Pakiet jest wysyany przez interfejs.
Innymi sowy, zazmy, ze masz router z dwoma interfejsami - Ethernetowym, o adresie 192.168.0.1/24 i szeregowy, z adresem 169.254.10.2/30. Po waczeniu mechanizmu CEF, bu dowany jest FIB. Znajdzie si w nim wpis dla sieci 192.168.0.0/24 jako zaczepionej na e interfejsie Ethernet. Zarazona stacja w sieci LAN zaczyna generowa pakiety, z losowo c wybranymi adresami zrdowymi. Dla kazdego pakietu otrzymanego interfejsem Ethernet, router sprawdza, czy je li przyszaby na niego odpowied , miaby wysa ja interfejsem, s z c z ktrego wa nie ja odebra. Zazmy, ze router otrzyma pakiet ze sfaszowanego adresu s 10.7.65.2. Sprawdza tablic FIB i nie znajduje wpisu, ktry mwiby, ze do sieci 10 nalezy e wychodzi interfejsem Ethernetowym - pakiet jest w zwiazku z tym odrzucany. Na tej samej c zasadzie dziaa ochrona ruchu, otrzymywanego przez interfejs szeregowy - je li tylko wacs zono na nim mechanizm uRPF. Pakiet, ktry chciaby zosta wstrzelony do sieci LAN c (zazmy, ze przyszed z adresem nalezacym do Twojej sieci LAN), zostanie odrzucony, poniewaz przyszed zym interfejsem. Dziaanie funkcji uRPF na konkretnym interfejsie potwierdzi mozna wydajac polecenie: c
router# show ip interface fastethernet 0 FastEthernet0 is up, line protocol is up [...] IP verify source reachable-via RX, allow default ! waczona weryfikacja adresw rdowych z 642 verification drops ! iloc odrzuconych pakietw z uwagi na zy adres rdowy s z
A oglnie dla caego routera:

router# show ip traffic IP statistics: [...] Drop: 0 encapsulation failed, 0 unresolved, 0 no adjacency 0 no route, 2512 unicast RPF, 0 forced drop
99
100
Rozdzia 12. VPN - Wirtualne Sieci Prywatne

12.1. Co tak naprawd oznacza akronim VPN? e
VPN to Virtual Private Network, czyli wirtualna sie prywatna. Termin wirtualna oznacza, c ze jest to sie stworzona w oparciu o wspdzielona z innymi uzytkownikami infrastruktur c e sieciowa (router, media dost powe itp.), ale jednak odr bna. e e Sieci VPN mozna zatem tworzy zarwno w oparciu o protokoy takie jak ATM czy Frame c Relay (osobne kanay PVC/SVC), MPLS (osobne instancje routingu) czy IPsec, L2TP oraz PPTP (tunele L3 lub poaczenia punkt-punkt sasiednich urzadzen)

12.2.1. ...tunel IPsec pomi dzy dwoma routerami e poaczonymi do Internetu kanaami Frame Relay PVC?
Zakadamy, ze aczymy dwie lokalizacje ("A" i "B") wyposazone w pojedyncze PVC do In ternetu (w obu przypadkach DLCI 99). Dane lokalizacji "A":
Poaczenie dost powe do routera brzegowego: 169.254.10.0/30, przy czym .1 to adres e routera ISP a .2 to adres routera klienta Sie lokalna ma adresacj 192.168.10.0/24, przy czym .1 to adres interfejsu routera. c e Ruch nie chroniony tunelem IPsec wysyany jest normalnie do Internetu, po zNATowaniu na publiczny adres interfejsu routera.
Dane lokalizacji "B":
Poaczenie dost powe do routera brzegowego: 169.254.20.0/30, przy czym .1 to adres e routera ISP a .2 to adres routera klienta Sie lokalna ma adresacj 192.168.20.0/24, przy czym .1 to adres interfejsu routera. c e Ruch nie chroniony tunelem IPsec wysyany jest normalnie do Internetu, po zNATowaniu na publiczny adres interfejsu routera.
Ponizej konguracja routera w lokalizacji "A":

no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime service timestamps log datetime msec localtime service password-encryption no service dhcp ! hostname rtr_a ! enable password jakies_trudne_haslo
101

! username user_1 password haslo_usera_1 ip subnet-zero no ip source-route no ip domain-lookup ip tcp path-mtu-discovery logging buffered 64000 ! crypto isakmp policy 1 ! konfigurujemy polityk dla ISAKMP, regua #1 e hash md5 ! wiadomoci ISAKMP maja uywa algortmu mieszajacego MD5 s z c ! (jest szybszy ale i mniej bezpieczny ni SHA1) z authentication pre-share ! uwierzytelnienie wzw ISAKMP odbdzie si w oparciu o e e e ! wspdzielony tajny klucz crypto isakmp key trudne_haslo_isakmp address 169.254.20.2 ! dla partnera o adresie 169.254.20.2 uywa bdziemy dla z c e ! nawiazania sesji tajnego klucza haslo_isakmp ! oczywicie klucz po obu stronach musi si zgadza s e c ! ! crypto ipsec transform-set myset esp-des esp-md5-hmac ! Po nawiazaniu sesji ISAKMP, IPsec bdzie uywa e z ! protokou ESP z algorytmem szyfrowania ESP i algorytmu ! mieszajacego MD5-HMAC mode tunnel ! poaczenie IPsec bdzie poaczeniem w trybie tunelu e ! crypto map MapaISAKMP 1 ipsec-isakmp ! po otrzymaniu przez router pakietu ISAKMP na port 500/udp ! zaczyna on sekwencyjne sprawdzanie kolejnych regu w crypto-mapach ! ta, jedyna, ma numer 1 i zostanie sprawdzona pierwsza set peer 169.254.20.2 ! regua pasuje do partnera o adresie 169.254.20.2 set transform-set myset ! uywamy dla niego przeksztacenia o nazwie myset z match address 110 ! ruchem szyfrowanym wg. tej reguy jest ruch pasujacy do ACL 110 ! interface FastEthernet 0/0 description Polaczenie dla sieci LAN ip address 192.168.10.1 255.255.255.0 ip nat inside ! interface Serial0 description Konfiguracja fizycznego interfejsu szeregowego no ip address encapsulation frame-relay frame-relay lmi-type ansi ! interface Serial0.1 point-to-point description Polaczenie do Internetu 2Mbit ip address 169.254.10.2 255.255.255.252 frame-relay interface-dlci 99 IETF ip nat outside crypto map MapaISAKMP
102

! ruch przechodzacy przez ten interfejs, ma trafia do c ! crypto-mapy MapaISAKMP ! ip classless ip route 0.0.0.0 0.0.0.0 Serial0.1 no ip http server ! ip nat inside source list 100 interface Serial 0.1 overload ! access-list 100 permit ip 192.168.10.0 0.0.0.255 any access-list 110 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 ! ACLka uywana w okreleniu regu szyfrowania - podlega mu z s ! ruch z podsieci 192.168.10.0/24 do podsieci 192.168.20.0/24 ! (z naszego LANu do zdalnego ! no cdp run ! line con 0 exec-timeout 5 0 login local line vty 0 4 exec-timeout 5 0 login local ! end
..a teraz konguracja routera w lokalizacji "B":

no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime service timestamps log datetime msec localtime service password-encryption no service dhcp ! hostname rtr_b ! enable password jakies_trudne_haslo ! username user_1 password haslo_usera_1 ip subnet-zero no ip source-route no ip domain-lookup ip tcp path-mtu-discovery logging buffered 64000 ! crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key trudne_haslo_isakmp address 169.254.10.2 ! ! crypto ipsec transform-set myset esp-des esp-md5-hmac mode tunnel ! crypto map MapaISAKMP 1 ipsec-isakmp
103

set peer 169.254.10.2 set transform-set myset match address 110 ! interface FastEthernet 0/0 description Polaczenie dla sieci LAN ip address 192.168.20.1 255.255.255.0 ip nat inside ! interface Serial0 description Konfiguracja fizycznego interfejsu szeregowego no ip address encapsulation frame-relay frame-relay lmi-type ansi ! interface Serial0.1 point-to-point description Polaczenie do Internetu 2Mbit ip address 169.254.20.2 255.255.255.252 frame-relay interface-dlci 99 IETF ip nat outside crypto map MapaISAKMP ! ip classless ip route 0.0.0.0 0.0.0.0 Serial0.1 no ip http server ! ip nat inside source list 100 interface Serial 0.1 overload ! access-list 100 permit ip 192.168.20.0 0.0.0.255 any access-list 110 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 ! no cdp run ! line con 0 exec-timeout 5 0 login local line vty 0 4 exec-timeout 5 0 login local ! end
12.2.2. ...tunel IPsec+GRE pomi dzy dwoma routerami e poaczonymi do Internetu kanaami Frame Relay PVC?
Zakadamy, ze aczymy dwie lokalizacje ("A" i "B") wyposazone w pojedyncze PVC do In ternetu (w obu przypadkach DLCI 99). Dodatkowo, chcemy chroni tunel GRE, poniewaz c oprcz ruchu unicastowego, chcemy przenosi ruch broadcastowy lub np. inne protokoy c (IPX itp.) Dane lokalizacji "A":
Poaczenie dost powe do routera brzegowego: 169.254.10.0/30, przy czym .1 to adres e routera ISP a .2 to adres routera klienta
104

Sie lokalna ma adresacj 192.168.10.0/24, przy czym .1 to adres interfejsu routera. c e Tunel ma adres 192.168.254.1, drugi koniec (po stronie drugiej lokalizacji) ma adres 192.168.254.2, w obu przypadkach uzywamy maski /30. Ruch nie chroniony tunelem IPsec wysyany jest normalnie do Internetu, po zNATowaniu na publiczny adres interfejsu routera.
Dane lokalizacji "B":
Poaczenie dost powe do routera brzegowego: 169.254.20.0/30, przy czym .1 to adres e routera ISP a .2 to adres routera klienta Sie lokalna ma adresacj 192.168.20.0/24, przy czym .1 to adres interfejsu routera. c e Tunel ma adres 192.168.254.2, drugi koniec (po stronie drugiej lokalizacji) ma adres 192.168.254.1, w obu przypadkach uzywamy maski /30. Ruch nie chroniony tunelem IPsec wysyany jest normalnie do Internetu, po zNATowaniu na publiczny adres interfejsu routera.
Ponizej konguracja routera w lokalizacji "A":

no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime service timestamps log datetime msec localtime service password-encryption no service dhcp ! hostname rtr_a ! enable password jakies_trudne_haslo ! username user_1 password haslo_usera_1 ip subnet-zero no ip source-route no ip domain-lookup ip tcp path-mtu-discovery logging buffered 64000 ! crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key trudne_haslo_isakmp address 169.254.20.2 ! ! crypto ipsec transform-set myset esp-des esp-md5-hmac mode transport ! crypto map MapaISAKMP 1 ipsec-isakmp set peer 169.254.20.2 set transform-set myset match address SiecIPSEC ! poniewa uywamy tunelu GRE, szyfrowaniu podlegaja ju pakiety z z z ! GRE wymieniane pomidzy publicznymi adresami routerw - ta ACLka e ! dokadnie to wskazuje ! interface Tunnel0
105

! Dodajemy wirtualny interfejs Tunel 0 ip address 192.168.254.1 255.255.255.252 ! nadajemy mu adres IP - moe to by dowolny adres prywatny, z c ! sensownie jest zarezerwowa sobie np. caa klas C na potrzeby c e ! tuneli i bra z nich kolejne /30 c tunnel source Serial 0.1 ! rdem tunelu jest interfejs publiczny routera z tunnel destination 169.254.20.2 ! a miejscem docelowym publiczny adres naszego partnera crypto map MapaISAKMP ! ruch przechodzacy przez ten interfejs ma by chroniony c ! reguami zawartymi w crypto-mapie MapaISAKMP ! interface FastEthernet 0/0 description Polaczenie dla sieci LAN ip address 192.168.10.1 255.255.255.0 ip nat inside ! interface Serial0 description Konfiguracja fizycznego interfejsu szeregowego no ip address encapsulation frame-relay frame-relay lmi-type ansi ! interface Serial0.1 point-to-point description Polaczenie do Internetu 2Mbit ip address 169.254.10.2 255.255.255.252 frame-relay interface-dlci 99 IETF ip nat outside crypto map MapaISAKMP ! ip classless ip route 0.0.0.0 0.0.0.0 Serial0.1 ip route 192.168.20.0 255.255.255.0 Tunnel0 ! statycznie wskazujemy, e ruch do podsieci 192.168.20.0/24 z ! (LAN naszego partnera) ma si odbywa przez Tunel 0 e c no ip http server ! ip nat inside source list 100 interface Serial 0.1 overload ! access-list 100 permit ip 192.168.10.0 0.0.0.255 any ! ip access-list extended SiecIPSEC permit gre host 169.254.10.2 host 169.254.20.2 ! szyfrujemy ruch protokou GRE pomidzy publicznymi adresami e ! partnerw ! no cdp run ! line con 0 exec-timeout 5 0 login local line vty 0 4 exec-timeout 5 0 login local ! end
106
Rozdzia 12. VPN - Wirtualne Sieci Prywatne ..a teraz konguracja routera w lokalizacji "B":
no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime service timestamps log datetime msec localtime service password-encryption no service dhcp ! hostname rtr_b ! enable password jakies_trudne_haslo ! username user_1 password haslo_usera_1 ip subnet-zero no ip source-route no ip domain-lookup ip tcp path-mtu-discovery logging buffered 64000 ! crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key trudne_haslo_isakmp address 169.254.10.2 ! ! crypto ipsec transform-set myset esp-des esp-md5-hmac mode transport ! interface Tunnel0 ip address 192.168.254.2 255.255.255.252 tunnel source Serial 0.1 tunnel destination 169.254.10.2 crypto map MapaISAKMP ! crypto map MapaISAKMP 1 ipsec-isakmp set peer 169.254.10.2 set transform-set myset match address SiecIPSEC ! interface FastEthernet 0/0 description Polaczenie dla sieci LAN ip address 192.168.20.1 255.255.255.0 ip nat inside ! interface Serial0 description Konfiguracja fizycznego interfejsu szeregowego no ip address encapsulation frame-relay frame-relay lmi-type ansi ! interface Serial0.1 point-to-point description Polaczenie do Internetu 2Mbit ip address 169.254.20.2 255.255.255.252 frame-relay interface-dlci 99 IETF ip nat outside
107

crypto map MapaISAKMP ! ip classless ip route 0.0.0.0 0.0.0.0 Serial0.1 ip route 192.168.10.0 255.255.255.0 Tunnel0 no ip http server ! ip nat inside source list 100 interface Serial 0.1 overload ! access-list 100 permit ip 192.168.20.0 0.0.0.255 any ! ip access-list extended SiecIPSEC permit gre host 169.254.20.2 host 169.254.10.2 ! no cdp run ! line con 0 exec-timeout 5 0 login local line vty 0 4 exec-timeout 5 0 login local ! end
108
Rozdzia 13. Telekomunikacja

13.1. ISDN
13.1.1. Jaka pr dko c mog uzyska , stosujac ISDN? e s e c
ISDN dostarczany jest w dwch rodzajach: ISDN BRI, czyli Basic Rate Interface, na ktry skadaja si 2 kanay B i jeden D, oraz ISDN PRI, czyli Primary Rate Interface, skadajacy si w e e Europie z 30 kanaw B i jednego D. Kanay B maja standardowa przepustowo c 64kbit/s, s natomiast kana D dla acz BRI ma przepustowo c 16kbit/s, a dla acza PRI 64kbit/s. s Uwaga: tylko kanay B przenosza dane, kanay D uzywane sa tylko do sygnalizacji.
13.1.2. Co to jest Q.921? A Q.931? Jak to si ma do PPP czy IP? e

Protokoy Q.921 i Q.931 dziaaja w kanale D poaczenia ISDN. Protok Q.921 odpowiedzial ny jest za warstw druga poaczenia - sygnalizacj mi dzy routerem a centralka ISDN. Proe e e tok Q.931 odpowiada natomiast za konguracj poaczenia po tym, jak w ramach proe tokou Q.921 strony strony uzgodnia warstw transportowa. e Protokoy PPP, HDLC, IP czy IPX przenoszone sa w kanale B poaczenia ISDN. Protokoy PPP i HDLC to protokoy warstwy drugiej, natomiast IP i IPX to protokoy warstwy trzeciej. Najcz sciej przy poaczeniach routerw przez ISDN, przenosi si pakiety IP w ramkach PPP e e (po uprzednim uwierzytelnieniu si ). e
13.1.3. Jaka kart zastosowa do poaczenia ISDN BRI w celu e c przenoszenia danych?
Je li masz wolny slot WIC (routery 1600, 1700, 2600, 3600 i 3700), mozesz zastosowa kart s c e WIC-1B-S/T. Zawiera ona pojedynczy port ISDN BRI. Je li masz wolny slot NM (routery 2600, 3600 i 3700), mozesz zastosowa karty NM-4B-S/T s c lub NM-8B-S/T, zawierajace odpowiednio 4 i 8 stykw ISDN BRI. Je li natomiast masz wolny slot PA (routery serii 7000) i zalezy Ci na portach BRI, dost pna s e jest tylko jedna karta: PA-8B-S/T, zawierajaca osiem portw BRI.
13.1.4. Jaka kart zastosowa do poaczenia ISDN PRI w celu e c przenoszenia danych?
Je li masz wolny slot NM (routery 2600, 3600 i 3700), mozesz zastosowa kart NM-1CE1T1s c e PRI lub NM-2CE1T1-PRI. Zawieraja one odpowiednio jeden i dwa styki ISDN PRI.
109
13.1.5. Jak skongurowa poaczenie z routera do Internetu c przez interfejs BRI?

Jest to cz sto spotykana konguracja, w sytuacji, gdy Internet dostarczany jest np. przez e poaczenie z darmowa linia 0202123 TP S.A.
! username ppp password 0 ppp ! dla loginu ppp uywamy hasa ppp z ! isdn switch-type basic-net3 ! okrelamy typ centrali ISDN jako basic-net3 (standard w Europie) s ! interface BRI 0 no ip address ! fizyczny interfejs nie ma adresu IP dialer pool-member 1 ! jest czonkiem pierwszej puli dialerw isdn spid1 Nasz numer telefonu no fair-queue no cdp enable ! interface Dialer1 ! interfejs wirtualny odpowiadajacy za przywiazanie ! warstwy trzeciej ip address negotiated ! adres IP otrzymujemy dynamicznie encapsulation ppp ! uywamy protokou PPP z dialer pool 1 ! jest czonkiem pierwszej puli dialerw dialer remote-name ppp ! zdalny host ma nazw ppp (chodzi o przywiazanie loginu do hasa) e dialer string 0202123 ! dzwonimy pod numer 0202123 dialer-group 1 ! jest czonkiem pierwszej grupy dzwoniacej no cdp enable ppp authentication chap ! uywamy uwierzytelniania CHAP w ramach PPP z ppp multilink ! staramy si zestawi poaczenie multilink PPP (oba kanay B) e c ip nat outside ! NATujemy ruch, ktry wychodzi tym interfejsem
13.1.6. Jak sprawdzi histori poaczen interfejsw ISDN? c e

Poleceniem show isdn history:
router# show isdn history -------------------------------------------------------------------------------ISDN CALL HISTORY -------------------------------------------------------------------------------History table has a maximum of 100 entries.
110

History table data is retained for a maximum of 15 Minutes. -------------------------------------------------------------------------------Call Calling Called Remote Seconds Seconds Seconds Charges Type Number Number Name Used Left Idle Units/Currency -------------------------------------------------------------------------------Out +0202124 ppp 360 0 Out +0202124 ppp 392 0 0 --------------------------------------------------------------------------------
13.2. E1/E3
13.2.1. Jaka kart zastosowa do poaczenia E1 w celu e c przenoszenia danych?
Je li masz wolny slot WIC (routery 1600, 1700, 2600, 3600 i 3700), mozesz zastosowa kart s c e VWIC-1MFT-E1 lub VWIC-2MFT-E1. Zawieraja one odpowiednio jeden i dwa porty E1. Je li natomiast masz wolny slot PA (routery serii 7000) masz do wyboru kart PA-4E1G/75 s e (75 ohmw) lub PA-4E1G/120 (120 ohmw). Kazda z kart zawiera po cztery porty E1, ktre obsuguja rwniez prac w trybie G.703. e
13.2.2. Jaka kart zastosowa do poaczenia E3 w celu e c przenoszenia danych?

Je li masz wolny slot NM (routery 2600, 3600 i 3700), mozesz zastosowa kart NM-1T3/E3. s c e Zawiera one pojedynczy port E3 (przepywno c do 34Mbit/s). s Je li masz wolny slot PA (routery serii 7000) masz do wyboru kart PA-E3 (jeden port E3) s e lub kart PA-2E3 (dwa porty E3). e
13.3. ATM
13.3.1. Jaka kart zastosowa do poaczenia ATM w celu e c przenoszenia danych?
Je li masz wolny slot WIC (routery 2600, 3600 i 3700), mozesz uzy karty VWIC-1MFT-E1 s c lub VWIC-2MFT-E1 oraz karty-akceleratora AIM-ATM, by zaterminowa ATM. c Je li masz wolny slot NM (routery 2600, 3600 i 3700), mozesz zastosowa kart NMs c e 1ATM. Zawiera one pojedynczy port RJ-48C i obsuguje przepywno ci do 25Mbit/s. Warto s dokupi rwniez kart -akcelerator AIM-ATM, poniewaz wydajno c bez niej moze by bardc e s c zo maa. Routery 2691, 3600 i 3725 obsuguja rwniez kart NM-1A-OC3MM, ktra zawiera styk e ATM OC3 - do przepywno ci 155Mbit/s. s
111
Rozdzia 13. Telekomunikacja Je li masz wolny slot PA (routery serii 7000) masz do wyboru kart PA-A3-E3 (ATM w opars e ciu o acze E3 34Mbit/s) lub PA-A3-OC3MM (ATM w oparciu o OC3 - 155Mbit/s).
112
Rozdzia 14. Rodzaje komutacji w routerach Cisco

14.1. Co to jest switching? Jaki ma zwiazek z komutacja?
Proces mapowania adresw warstwy 2 w 3 i przekazywania pakietw na docelowy interfejs, nosi nazwe switchingu (po polsku komutacja).
14.2. Jakie sa rodzaje switchingu?
Process Switching Metoda ta byla pierwsza metoda zaimplementowana w IOS i jest to metoda najprost sza. Pierwszy pakiet w strumieniu (ang. ow) jest kopiowany do bufora systemowego, a nast pnie procesor przeszukuj tablic routingu w poszukiwaniu miejsca docelowego. e e e Suma kontrolna (CRC) liczona jest przez procesor. Nast pnie informacje warstwy 2 sa e przepisywane i pakiet wysyany jest na docelowy interfejs. Kazde nast pne pakiety stru e mienia sa komutowane podobnie. Process switching ma najduzszy czas komutacji pakietw, poniewaz uzywa buforw sys temowych i procesora gwnego, aby obrobi kazdy pakiet otrzymany przez router. c Niemniej jednak, ten rodzaj komutacji potrzebny jest przy niektrych zadaniach, nawet, je li na routerze dziaaja inne, optymalniejsze mechabuzmy komutacji - np. logowanie s pakietw traajacych w ACLki, debugging pakietw IP itp. Minusy process switchingu: wymaga aby dla kazdego pakietu zajrze do tablicy c routingu - kosztuje to czas. Je li tablica routingu rozro nie si , zwi kszy si rwniez s s e e e czas przetwarzania kazdego pakietu. Rekursywne zapytania takze zwiekszaja czas przetwarzania pakietu. Zwi ksza si takze obciazenie CPU routera, co przy maych siecie e ach moze by do pomini cia, ale przy wi kszych staje si problemem. Innym problemem c e e e rzutujacym na wydajno c jest szybko c transferu danych z pami ci. s s e
Fast Switching Fast switching uzywa pami ci pod cznej by przechowywa informacje o przepywaja e e c cym przez router strumieniu (ang. ow). W momencie waczenia fast switching, pierwszy pakiet w strumieniu jest zapisywany w pami ci packet (oddzielny obszar w buforach e systemowych). Nast pnie procesor przelicza mapowanie warstwy 3 na 2, zapisuje tras e e w pami ci route (ang. route cache) i kazdy nast pny pakiet ze strumienia jest juz komue e towany z wykorzystaniem zapisanych w pami ciach podr cznych informacji. e e Poniewaz adres pakietw w strumieniu jest juz znany, route cache suzy rwniez do sprawdzenia interfejsu docelowego, przez ktry pakiet powinien opu ci router. Nast ps c e nie pakiet ma przepisywany nagwek warstwy 2 a procesor interfejsu oblicza sum CRC. e Kolejne pakiety z potoku nie przerywaja dziaania procesora gwnego, a poniewaz inter fejs docelowy jest znany (przechowywany w route cache) rwniez bufory systemowe nie sa uzywane do przetrzymywania pakietu.
113
Rozdzia 14. Rodzaje komutacji w routerach Cisco Fast switching jest domy lnym mechanizmem komutacji na routerach 1600, 1700, 2500 s oraz 2600 na interfejsach Ethernet, FastEthernet oraz Serial. Je li fast stwitching zostao s wyaczone, mozna przywroci je uzywajac polecenia ip route-cache na interfejsie. c Aby monitorowa informacje o dziaaniu tego mechanizmu, nalezy wyda komende c c show ip cache.
Optimum oraz Distributed Switching Metody te nie sa dost pne w routerach serii 1600, 1700, 2500 oraz 2600. Przy optimum e switching uzywana jest metoda podobna do fast switching, z tym, ze po tym jak pier wszy pakiet strumienia zosta przetworzony, informacja o trasie dla dalszych pakietw jest wpisywana do osobnej pami ci podr cznej (optimum switching cache), ktra dziaa e e szybciej i optymalniej niz w metodzie fast. Optimum switching dost pne jest na routerach e klasy 7200. Aby waczy optimum switching nalezy wyda komende: ip route-cache optimum c c na kazdym interfejsie. Monitoring lub troubleshooting wymaga uzycia komendy: show ip cache optimum. Distributed switching wymaga z kolei uzycia osobnych Versatile Interface Processor (VIP). Karta VIP przechowuje lokalna kopi route cache i przeprowadza cay proces ko e mutacji lokalnie - interfejs nie musi czeka na pami c. c e
NetFlow Switching NetFlow switching pozwala na zbieranie informacji o ruchu IP do celw rozliczeniowych i/lub dokadniejszej analizy obciazenia sieci. NetFlow uzywa domy lnie fast switchingu s lub optimum switchingu do przekazywania ruchu IP. Strumienie (ang. ows) sledzone sa z dokadno cia do protokou, portu (TCP/UDP), typu serwisu. Informacje te moga by s c eksportowane do stacji zarzadzajacej. Poniewaz dane zbierane przez NetFlow sa prze chowywane w routing cache, proces komutacji NetFlow jest prze roczysty dla wszystz kich urzadzen sieciowych. NetFlow zwi ksza jednak obciazenie procesora oraz pami ci. e e Domy lnie NetFlow cache uzywa 64 bajty pami ci na kazdy strumien. s e Komutacj NetFlow mozna waczy wydajac polecenie ip route-cache flow. Aby e c monitorowa prac NetFlow mozna uzy polecenia show ip cache flow. Eksport c e c danych NetFlow nast puje dopiero, gdy wskazesz adresata danych poleceniem ip e flow-export adres_IP.
Cisco Express Forwarding - CEF Tablica FIB (ang. Forwarding Information Base) uzywana jest do przechowywania wszyst kich znanych tras z tablicy routingu, a do jej przeszukiwania uzywany jest zaawansowany algorytm. FIB zmienia si , je li zmieniaja si wpisy w tablicy routingu routera. Tablie s e ca FIB (ewentualnie CEF table) implementowana jest jako zmniejszona tablica routingu, za pomoca 256- ciezkowej tablicy mtrie. Aby wy wietlic tablic uzyj polecenia show s s e ip cef summary. W tablicy kazdy w ze (ang. node) moze posiada do 256 dzieci. e c Kazde dziecko (link) uzywane jest do reprezentacji innego adresu dla kazdego oktetu w adresie IPv4. Tablica sasiedztw (ang. adjacency) uzywana jest w mechani mie CEF do przechowywa z nia informacji o sasiadach. Sasiadem moze zosta tylko taki host, ktry jest w odlego ci c s jednego hopa. Tablica sasiedztw przechowuje adresy warstwy 2 sasiadw, dla kazdego wpisu w FIB. Aby wy wietli tablic uzyj polecenia show adjacency. s c e
114
Rozdzia 14. Rodzaje komutacji w routerach Cisco Poniewaz adresy docelowe moga mie wi cej niz jedna sciezk , CEF moze zosta uzyty do c e e c rozkadania obciazenia (ang. load balancing), poprzez rzne sciezki. Je li interfejs otrzymu s je pakiet i waczony jest mechanizm CEF, router przeszukuje tablic FIB. Po znalezieniu e pasujacych informacji, tworzony jest nagwek warstwy 2 i pakiet jest komutowany. CEF opisano dokadniej http://www.cisco.com/warp/public/cc/pd/iosw/iore/tech/cef_wp.htm. tutaj:
Je li masz ochot poczyta dokadniej o metodach komutacji, warto zajrze do s e c c podr cznika do najnowszej wersji IOS po wi conego wa nie tym zagadnieniom: e s e s http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123cgcr/swit_vcg.htm.

14.3.1. ...CEF (Cisco Express Forwarding)?
Na platformach, ktre CEF wspieraja i w ktrych zaadowano IOS z feature-setem obsugu jacym go, wystarczy wyda polecenie: c
router(config)# ip cef
Spowoduje to waczenie na wszystkich interfejsach tego routera, chyba, ze w kong uracji konkretnego interfejsu(-w) wskazano wprost inny rodzaj mechanizmu komutacji, lub w ogle wyaczono na nim jakiekolwiek mechanizmy (np. poleceniem no ip route-cache). Uwaga: Waczenie CEFu powoduje zaj cie pewnej ilo ci pami ci. Je li masz jej bardzo mao, e s e s postaraj si najpierw ja rozszerzy lub wyaczy nieuzywane usugi, a dopiero p niej e c c z waczy CEF. c
14.3.2. ...CEF dla routingu wg. zasad (ang. policy-based)?

W nowych IOSach ( ciezka 12.2 i 12.3) samo waczenie CEFu powoduje waczenie rwniez s zaawansowanych mechanizmw dla ruchu obsugiwanego route-mapami. Na pozostaych platformach nalezy dodatkowo w denicji konkretnego interfejsu (do ktrego juz przyp isano polecenie ip route-map nazwa_route_mapy). doda : c
router(config)# interface FastEthernet 0/0 router(config-if)# ip route-map moja-mapa router(config-if)# ip route-cache policy
Je li waczye CEF i nie wiesz, czy obsuguje on rwniez ruch obsugiwany przez routes s mapy, sprawd to na przykad tak: z
router# show ip interface FastEthernet 0/0 | include route-cache IP route-cache flags are Fast, CEF
Je li natomiast mechanizm CEF jest wyaczony (ale waczony pozostaje fast-switching, s domy lna konguracja wielu mniejszych routerw), stan interfejsu wyglada tak: s
router# show ip interface FastEthernet 0/0 | include route-cache
115

IP route-cache flags are none
14.4. Jak sprawdzi ... c

14.4.1. ...jakie mechanizmy komutacji waczono na interfejsie?
Posugujac si poleceniem show ip interface X. e
router# show ip interface FastEthernet 0/0 FastEthernet0/0 is up, line protocol is up Internet address is 169.254.10.1/24 Broadcast address is 255.255.255.255 [...] IP fast switching is enabled IP fast switching on the same interface is disabled IP Flow switching is disabled IP CEF switching is enabled IP CEF Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled IP route-cache flags are Fast, CEF
14.4.2. ...ile ruchu komutowanego jest danym mechanizmem komutacji?

Oglne zestawienie, zawierajace podzia ruchu na obsugiwany przez procesor lub inne mechanizmy komutacji (zbiorczo), uzyska mozna wydajac polecenie show interface c stats:
router# show interface stats FastEthernet0 Switching path Processor Route cache Total FastEthernet1 Switching path Processor Route cache Total
Pkts In Chars In 1061140 147825393 15218207 2362951731 16279347 2510777124 Pkts In Chars In 18912250 2891638844 0 0 18912250 2891638844
Pkts Out Chars Out 1527082 123126868 14344465 2136433785 15871547 2259560653 Pkts Out 18435628 0 18435628 Chars Out 47230091 0 47230091
Natomiast posugujac si poleceniem show interface switching mozesz uzyska e c dokadniejsze informacje, z rozbiciem na konkretne typy komutacji:
router# show interface switching FastEthernet0/0 Do sieci LAN Throttle count
116

Drops SPD Flushes SPD Aggress SPD Priority RP Fast Fast Inputs 4102 0 0 344036 SP SSE Drops 0 0 0 Pkts Out 29273 0 0 7373999 Chars Out 1756380 0 0 764616258
Protocol Path Other Process Cache misses Fast Auton/SSE IP Process Cache misses Fast Auton/SSE ARP Process Cache misses Fast Auton/SSE
Pkts In Chars In 0 0 0 0 0 0 0 27314376 623508416 0 50915903 2865863510 0 0 350986 21059160 0 0 0 0 0
70504415 1275783563 0 0 143215 8592900 0 0 0 0
Jak wida , fast-switching obsuzy na interfejsie FastEthernet 0/0 50,915,903 pakiety przyc chodzace i 70,504,415 pakietw wychodzacych. Tylko 27,314,376 pakietw przychodzacych i 7,373,999 pakietw wychodzacych obsugiwane byo przez process-switching. Ponizej to samo, ale dla interfejsu szeregowego:
Serial0/0 Throttle count Drops RP SPD Flushes Fast SPD Aggress Fast SPD Priority Inputs Protocol Path Other Process Cache misses Fast Auton/SSE IP Process Cache misses Fast Auton/SSE 0 511 0 0 60384 SP SSE Drops 0 0 0 Pkts Out 29282 0 0 24316765 Chars Out 409958 0 0 123842058
Pkts In Chars In 0 0 0 0 0 0 0 4418141 455923877 0 37269672 2769716975 0 0
17250459 2590666322 0 0
117
118
Rozdzia 15. Optymalizacja wydajno ci s

15.1. Mam router X, ktry udost pnia Internet stacjom w e sieci LAN. Ciagle mam problemy z obcia eniem z procesora, lub zrywanymi sesjami.
Najprawdopodobniej problemem jest wyczerpanie pami ci na wykonywanie translacji e NAT. Je li masz stacje intensywnie korzystajace z NAT, powiniene skrci czasy zycia s s c translacji - oszcz dzajac w ten sposb pami c. e e
router(config)# ip nat ip nat translation timeout X
...gdzie X to limit czasu dla bezczynnej translacji w sekundach. Domy lnie rwny jest 86400, s czyli 24 godziny. Sensowna warto cia na poczatek byoby 3600, czyli 1 godzina. s Limit ten dotyczy jednak tylko translacji, ktre nie odbywaja si w ramach translacji typu e overload, czyli takiej, w ktrej liczba stacji z adresami prywatnymi jest wi ksza, niz liczba e publicznych adresw IP (innymi sowy, je li masz 1 czy 2 adresy publiczne, a sie LAN ma s c 200 stacji, takiej translacji wa nie uzywasz). s Aby w takiej sytuacji skrci domy lne czasy translacji, nalezy uzy nast pujacych polecen c s c e (je li uzywasz dla swojej sieci zarwno translacji typu overload jak i 1:1, zastosuj oba wpisy): s
router(config)# ip nat ip nat translation tcp-timeout A
..gdzie A to limit czasu w sekundach dla poaczen TCP (domy lnie rwniez 86400, czyli 24 s godziny). Je li masz opisane wyzej problemy - skr czas translacji TCP na poczatek do 1 s c godziny (3600).
15.2. Mam router X, ktry udost pnia Internet stacjom w e sieci LAN. Mam tylko 5 stacji a widz tysiace translacji e o co chodzi?
Je li to stacje z systemem operacyjnym Microsoft Windows, to problem moga powodowa s c poaczenia z i do mechanizmw Microsoft Networking, pracujacych standardowo w zakre sie portw 135-139 zarwno w oparciu o TCP jak i UDP. Je li Twoja konguracja NAT wyglada obecnie tak: s
interface Ethernet0 ip nat inside ! interface Ethernet1 ip nat outside ! ip nat inside source list 100 interface Ethernet 1 overload ! access-list 100 permit ip 192.168.0.0 0.0.0.255 any access-list 100 deny ip any any
119
Rozdzia 15. Optymalizacja wydajnoci s ...wystarczy, ze zmienisz ACL 100 tak, by odrzucaa ruch nalezacy do Microsoft Networking. Docelowo lista ta powinna wyglada np. tak: c
access-list access-list access-list access-list access-list access-list 100 100 100 100 100 100 deny tcp any any range 135 139 deny udp any any range 135 139 deny tcp any range 135 139 any deny udp any range 135 139 any permit ip 192.168.0.0 0.0.0.255 any deny ip any any
15.3. Mam router X, ktry udost pnia Internet stacjom w e sieci LAN. Router obsuguje ruch zaledwie X Mbit/s i ju z procesor obcia ony jest w 100%! Na stronie Cisco z znalazem informacj , ze ten model mo e obsu y ruch e z z c znacznie wi kszy! e
Informacje podawane w zestawieniach dotycza zwykle kpps lub Mpps - oznaczajace odpowienio kilo pakietw na sekund i mega pakietw na sekund . Np. 100 kpps oznacza e e wydajno c rz du 100,000 pakietw na sekund . s e e Teraz zderzamy si z rzeczywisto cia. e s Po pierwsze, taka wydajno c osiagana jest bez skongurowanych zadnych usug (NAT, s ACL, QoS itp.) i jest suma ruchu do i z routera. Po drugie, warto ci te podawane sa niestety dla rznych wielko ci pakietw. Z uwagi na s s konstrukcj i dziaanie, router gorzej znosi routing pakietw mniejszych (np. 64-bajtowych), e poniewaz dla kazdego musi wykona pewien zestaw czynno ci, a lepiej wi kszych (np. c s e 1500-bajtowych). Co wi cej, routing tej samej ilo ci pakietw ale o rznych rozmiarach, daje e s diametralnie rzne warto ci przepustowo ci - 100kpps dla pakietw o dugo ci 64-bajtw to s s s zaledwie 51Mbit/s, ale juz dla pakietw 1500-bajtowych - 1,2Gbit/s! Przyjeo si , zgodnie e z RFC dotyczacym pomiaru wydajno ci routerw, ze pomiary powinny by wykonywane s c dla wielu rozmiarw pakietw - ale producenci podaja zwykle pomiary wykonane dla paki etw o dugo ci 384-512 bajtw. s Po trzecie w koncu, nalezy wzia pod uwag architektur urzadzenia - routery Cisco sa w c e e stanie wykonywa routing na wiele rznych sposobw, poczawszy od routingu wykonyc wanego tylko przez procesor (ang. process switching) po wykorzystanie zaawansowanych mechanizmw opracowanych w tej rmie (np. ang. CEF, Cisco Express Forwarding). W zalezno ci od zbioru realnie uzywanych usug, czyli ACL, QoS, NATa czy protokow s routingu, dany router moze by idealny do danego zastosowania, lub na przykad zupenie c si do niego nie nadawa . e c W sytuacji gdy dysponujesz jednym aczem do Internetu, o przepustowo ci do 2Mbit/s s (symetrycznie), dobrym wyborem b dzie router klasy 1700. Przy sensownych komproe misach, router sprawdzi si rwniez w konguracji z dwoma aczami 2Mbit/s. e Routery serii 2600XM (routery bez literek XM maja sabsze procesory i mniej pami ci, nie e sa juz produkowane ani sprzedawane) produkowane sa w trzech wersjach biorac pod uwag procesory, oraz w dwch wersjach wyposazenia w interfejsy (jeden lub dwa ine terfejsy FastEthernet). Routery te sprawdzaja si w instalacjach z dwoma-trzema aczami e
120
Rozdzia 15. Optymalizacja wydajnoci s 2Mbit/s, lub wymagajacych koncentracji poaczen typu dial-up (moduy z 4 i 8 portami ISDN BRI, czy 16 i 32 portami asynchronicznymi). Wydajno c tej serii wg. Cisco wynosi od s 20kpps (2610XM/2611XM), przez 30kpps (2620XM/2621XM) po 40kpps (2650XM/2651XM) czy 70kpps (2691). Routery serii 3600 wyszy juz z produkcji i sprzedazy (w grudniu 2003r.). Ich podsta wowym mankamentem by brak zabudowanych interfejsw Ethernet (tylko 3661/3662 miay odpowiednio jeden i dwa). Doskonale sprawdzaja si w scenariuszach, w ktrych e wymagana jest agregacja duzej ilo ci portw ISDN BRI, PRI, asynchronicznych czy tez s E1/G.703 (dost pne sa rwniez moduy ATM, ale o wydajno ci OC3 mozna niestety tylko e s pomarzy na tej platformie). Przy rozbudowanej do maksimum pami ci RAM (dla 3620 do c e 64MB, dla 3640/3640A do 128MB, dla 3660 do 256MB), oraz sensownej konguracji, router 3660 cakiem dobrze sprawdzaja si w konguracjach z maym BGP. Wydajno c tej serii e s wg. Cisco wynosi od 35kpps (3620), przez 50kpps (3640/3640A) do ~110kpps dla 3661/3662. Routery serii 3700 - 3725 i 3745 to nast pcy serii 3600. Posiadaja odpowiednio dwa i cztery e sloty na moduy NM, po trzy sloty WIC i po dwa sloty AIM. Dodatkowo, na obu zainstalowano na stae dwa porty FastEthernet. Biorac pod uwag fakt, ze mozna na nich zain e stalowa maksymalnie 256MB RAM, moga sprawdzi si w sytuacjach w ktrych do tej pory c c e sprawdzaa si seria 3600 oraz z routingiem BGP. Wydajno c 3725 Cisco ocenia na 100kpps, e s a 3745 - 225kpps.
15.4. Jakie rzeczy sprawdzi , optymalizujac wydajno c c s routera?

Nie ma uniwersalnych metod optymalizacji routera - dam Ci tylko pewne wskazwki, ktre moga, ale nie musza(!), pomc.
Wacz CEF ( ip cef ) - automatycznie spowoduje to waczenie mechanizmu zwi k e szanie wydajno ci na wszystkich interfejsach sieciowych, ktre CEF obsuguja w danym s IOSie. W stosunku do process switchingu, czyli obrbki kazdego pakietu przez CPU, wzrost wydajno ci (lub chociaz spadek obciazenia CPU) powinien by dramatyczny. s c Upewnij si , ze router nie robi niepotrzebnych rzeczy - wyacz nieuzywane usugi, zope tymalizuj uzywane ACLki, a te, ktre kontroluja poprawno c routowanego ruchu, za s stap mechanizmem uRPF ( ang. Unicast Reverse-Path Filtering, polecenie ip verify unicast reverse-path ). Upewnij si , ze je li wykonujesz NAT, translacji podlega tylko sensowny i pozadany ruch e s - pozostay blokuj. Je li zamierzasz co zablokowa za pomoca ACLki, zastanw si , czy nie lepiej wykorzyss s c e ta routingu do wirtualnego interejsu Null 0. Architektura routerw optymalizowana c jest do routingu a nie ltrowania pakietw, w zwiazku z czym zwykle routing w nico c s dziaa szybciej i stanowi mniejsze obciazenie dla procesora niz ltrowanie tego samego ruchu z odrzucaniem go. W ACLkach wyacz logowanie w reguach - powoduje to powrt do obrbki pakietu przez CPU i moze powodowa wyzwalanie dodatkowych mechanizmw (logowanie na c konsol , do pami ci, do serwerw syslog itp.) e e Wyacz wszelkie waczone sesje odpluskwiania ( undebug all ), oraz logowanie infor macji na konsol ( no logging console ) e
121
Rozdzia 15. Optymalizacja wydajnoci s
Wyacz eksport i zbieranie informacji w ramach mechanizmw NetFlow - w szczegl no ci na mniejszych platformach (1700/2600/3600/3700) waczenie tego mechanizmu s przy nawet umiarkowanym ruchu moze dosownie zabi router ( no ip route-cache c flow na interfejsach, na ktrych zosta waczony oraz no ip export w konguracji globalnej ) Stosuj rozkadanie ruchu w ramach routingu domy lnego, lub w ramach jednego z pros tokow routingu dynamicznego, zamiast acz Mulitlink PPP. Zawsze przy takich aczach upewnij si , ze routing pakietw odbywa si za pomoca najoptymalniejszej sciezki komue e tacji. Wykorzystaj tumienie zdarzen zwiazanych z IP (ang. IP event dampening) do ograniczenia kosztownych czasowo i obliczeniowo operacji na tablicach routingu. Zastanw si nad optymalnym doborem protokou routingu do zadania: w sieciach hie erarchicznych OSPF b dzie sprawowa si lepiej niz EIGRP, a w sieciach z jednym wyj e e s ciem do Internetu utrzymywanie routingu BGP jest generalnie bez sensu. Wykorzystaj sumaryzacj do oszcz dzania procesorw i pami ci. e e e Dla sesji zestawianych do/z routera, np. peeringu BGP, wacz wykrywanie optymalnego MTU na aczu (ip tcp path-mtu-discovery). Domy lna warto c MSS (segmentu s s TCP) to 536 bajtw - na aczach typu Ethernet czy ATM jest mao optymalna. Zmiana ta powinna zmniejszy ilo c pakietw, a wyduzy ich wielko c, dzi ki czemu do przesania c s c s e informacji b dzie potrzeba mniej pakietw. Dla Ethernetu warto c MSS wynosi generalnie e s 1460 bajtw, a np. dla acz PoS/ATM - 4430 bajtw. Staraj si korzysta z poaczen przez sie (Telnet/SSH) a nie przez konsol . Na wszystkich e c c e platformach, kazdy znak otrzymany/wysyany do konsoli obsugiwany jest przez proce sor (ew. gwny procesor), wywoujacy w tym celu przerwanie. Na tej samej zasadzie, staraj si nie korzysta z portu AUX routera, je li nie jest to konieczne. e c s
15.5. Jak wyglada wydajno c szyfrowania ruchu dla s routerw/PIXw?

Ponizej tabelka z zestawieniem. Prosz wzia pod uwag , ze: e c e

Podane dane sa jedynie orientacyjne Dotycza sytuacji, gdy urzadzenie nie robi nic innego Sa suma ruchu wej ciowego i wyj ciowego s s Dotycza pojedynczego tunelu IPsec VPN szyfrowanego algorytmem 3DES. Szyfrowany ruch jest czystym ruchem IP, nie ma zaozonych zadnych tuneli itp.
Pami taj, zeby zawsze skonsultowa decyzj z kim kto posiada praktyk przed podj ciem e c e s e e decyzji o zakupie lub modernizacji swojego sprz tu. e
Platforma Rodzaj szyfrowania (3DES) 64b Cisco 831/837 seria 1721/1751/170 Cisco 1710 programowo-sprztowe e programowo sprzt (MOD1700VPN) e 0,5Mbit/s Rozmiar pakietw 512b 2,5Mbit/s 1400b 7Mbit/s
0,8Mbit/s
okoo 512kbit/s 5,7Mbit/s 8,5Mbit/s
122

Cisco 1760 Cisco Cisco Cisco Cisco 2610/11/21/22 2650/51 2610/11/21/22XM 2650/51XM sprzt (MOD1700VPN) e sprzt e sprzt e sprzt e sprzt e (AIM-VPN/BP) (AIM-VPN/EP) (AIM-VPN/EP) (AIM-VPN/EP) 1,5Mbit/s 0,5Mbit/s 1Mbit/s 0,9Mbit/s 1Mbit/s 7,2Mbit/s 0,5Mbit/s 0,8Mbit/s 6,8Mbit/s 7,2Mbit/s 16Mbit/s 7,7Mbit/s 4,5Mbit/s 7,5Mbit/s 6,5Mbit/s 7,5Mbit/s 58Mbit/s 3,8Mbit/s 6,8Mbit/s 66,7Mbit/s 82Mbit/s 145Mbit/s okoo 260Mbit/s okoo 3Mbit/s okoo 16Mbit/s ~3Mbit/s ~9Mbit/s ~10Mbit/s ~20Mbit/s ~20Mbit/s ~47Mbit/s ~15Mbit/s ~28Mbit/s ~20Mbit/s ~53Mbit/s ~19Mbit/s ~38Mbit/s ~20Mbit/s ~70Mbit/s okoo 4Mbit/s okoo 50Mbit/s okoo 100Mbit/s 13Mbit/s 10Mbit/s 14Mbit/s 13Mbit/s 15Mbit/s 150Mbit/s 9,5Mbit/s 17,5Mbit/s 95Mbit/s 184Mbit/s 190Mbit/s
Cisco 2691 Cisco 3620 Cisco 3640 Cisco 3660 Cisco 3725 Cisco 3745 Cisco 7206VXR z NPE-1G PIX-501 PIX-506E PIX-515 PIX-515E PIX-515E PIX-525 PIX-525 PIX-535 PIX-535 CVPN3005 i 3010 CVPN3020 i 3030 CVPN3060 i 3080
sprzt (AIM-VPN/EPII) e sprzt (NM-VPN/MP) e sprzt (NM-VPN/MP) e sprzt (AIM-VPN/HPII) e sprzt (AIM-VPN/EPII) e sprzt (AIM-VPN/EPII) e sprzt (VAM2) e programowo programowo programowo programowo sprzt (PIX-VAC) e programowo sprzt (PIX-VAC) e programowo sprzt (PIX-VAC) e programowo sprztowo e sprztowo e
~10Mbit/s ~22Mbit/s ~63Mbit/s ~30Mbit/s ~70Mbit/s ~43Mbit/s ~95Mbit/s
123
124
Rozdzia 16. Sieci bezprzewodowe

16.1. Ktry standard okre la co w rodzinie 802.11? s
Ponizej krtka lista: 802.11a Standard okre lajacy prac w pa mie 5GHz. Dost pne jest 13 niezakcajacych si s e s e e kanaw radiowych. Urzadzenia moga pracowa uzywajac kodowania OFDM z pr d c e ko ciami 54, 48, 36, 24, 18, 12, 9 i 6Mbit/s. s Urzadzeniami produkcji Cisco pracujacymi w tej technologii sa AP 1200 (z radiem 802.11a) oraz most bezprzewodowy Aironet 1400.
802.11b Standard okre lajacy prac w pa mie 2,4GHz. Dost pne sa 3 niezakcajace si kanay s e s e e radiowe. Urzadzenia moga pracowa uzywajac kodowania DSSS z pr dko ciami 11, c e s 5.5, 2 i 1 Mbit/s. Urzadzeniami produkcji Cisco pracujacymi w tej technologii sa: AP serii 350, 1120 oraz AP 1200 (z radiem 802.11b), a takze bezprzewodowy most Aironet 350.
802.11g Standard okre lajacy prac w pa mie 2,4GHz. Dost pne sa 3 niezakcajace si kanay s e s e e radiowe. Urzadzenia moga pracowa w trybie zgodno ci w d z 802.11b uzywajac c s kodowania DSSS z pr dko ciami 11, 5.5, 2 i 1 Mbit/s, oraz uzywajac kodowania OFDM e s z pr dko ciami 54, 48, 36, 24, 18, 12, 9 i 6Mbit/s. e s Urzadzeniami produkcji Cisco pracujacymi w tej technologii sa: AP serii 1120 oraz AP 1200 (z radiem 802.11g).
16.2. Jak policzy EIRP? c

Korzystajac z ponizszego wzoru:
EIRP = P + G - L dBm t ant l
Gdzie EIRP(dBm) - efektywna moc wypromieniowywana, P(t) moc nadawcza nadajnika w dBm, G(ant) - wzmocnienie anteny i L(l) - strata na kablu aczacym anten i nadajnik. e
125
Rozdzia 16. Sieci bezprzewodowe
126
Rozdzia 17. Dobr i wymiana sprz tu e

17.1. Czy musz kupowa oryginalne pami ci Cisco? e c e
Nie, ale pami taj, ze Cisco TAC nie wspiera konguracji, w ktrych na sprz cie Cisco zaine e stalowano nieoryginalne pami ci. e Bardzo dobre pami ci do routerw i przeacznikw Cisco sprzedaje Kingston - acznie, z e konguratorem dost pnym tutaj: http://www.kingston.com/products/default.asp. e
17.2. Mam w routerze kart X. Jaki kabel do niej dobra ? e c

Zbir dost pnych e kabli wraz z ich rysunkami http://www.cisco.com/univercd/cc/td/doc/pcat/#ch8. znajduje si e tutaj:
17.3. Skad mog wiedzie , ze dany sprz t nie jest ju e c e z sprzedawany przez Cisco?
Notki pojawiaja si zwykle jako biuletyny na stronach poszczeglnych produktw, moz e na rwniez posiadajac konto CCO zapisa si do rozsyanego e-mailem biuletynu informa c e cyjnego. Produkty obecnie zaklasykowane jako EoL, czyli End of Life zebrano tutaj: http://www.cisco.com/univercd/cc/td/doc/pcat/#ch27.
127
Rozdzia 17. Dobr i wymiana sprztu e
128
Rozdzia 18. Rozwiazywanie problemw

18.1. Obrazy IOS i ich odzyskiwanie
18.1.1. Straciem obraz z Flasha. Mam do dyspozycji tylko tryb ROMMON i obraz IOSa na komputerze. Jak zaadowa c go do routera?
Mozesz skorzysta z transferu pliku przez konsol (rozwiazanie wolniejsze) i przez TFTP c e rozwiazanie zdecydowanie szybsze.
18.1.2. Jak zaadowa obraz Cisco IOS do pami ci Flash, c e dysponujac tylko trybem ROMMON i poaczeniem przez konsol ? e
Zakadam, ze obraz Cisco IOS znajduje si w miejscu dla Ciebie dost pnym i masz e e mozliwo c transmisji XMODEM ze swojego terminala a nazwa pliku z IOSem to s c2600-i-mz.123-1a.bin. Wydaj polecenie:
rommon 1> xmodem c2600-i-mz.123-1a.bin Do not start the sending program yet... device does not contain a valid magic number dir: cannot open device "flash:" WARNING: All existing data in bootflash will be lost! Invoke this application only for disaster recovery. Do you wish to continue? y/n [n]:
Nalezy potwierdzi transmisj klawiszem Y a nast pnie po pokazaniu si komunikatu: c e e e

Ready to receive c2600-i-mz.123-1a.bin...
Waczy transmisj XMODEM ze swojego terminala, obrazu z Cisco IOS. Je li wszystko si c e s e powiedzie, router nalezy zresetowa - mozna to zrobi sprz towo, lub poleceniem: c c e
rommon 2> reset Po starcie routera powinien zaadowa si IOS: c e program load complete, entry point: 0x80008000, size: 0x54ab60 Self decompressing the image : ################################################# ######################################################### [OK]
18.1.3. Jak zaadowa obraz Cisco IOS do pami ci Flash, c e dysponujac tylko trybem ROMMON i poaczeniem przez
129
Ethernet?
Zakadam, ze obraz Cisco IOS znajduje si w miejscu dla Ciebie dost pnym (w tym e e przykadzie plik ma nazw c2600-i-mz.123-1a.bin), masz do swojej dyspozycji sere wer TFTP skongurowany na serwowanie tego pliku i albo poaczye si skrosowanym s e kablem Ethernet do pierwszego portu Ethernet routera ze stacji, albo podaczye ten port s do sieci, w ktrej b dzie mozna osiagna serwer TFTP. e c Nalezy nada routerowi tymczasowy adres IP, w podsieci w ktrej znajduje si rwniez c e Twoja stacja. W naszym przykadzie jest to jedna podsie - Twoja stacja ma w niej adres c 169.254.10.5/24 a routerowi nadamy adres 169.254.10.2/24:
rommon 1> IP_ADDRESS=169.254.10.2 rommon 2> IP_SUBNET_MASK=255.255.255.0 rommon 3> DEFAULT_GATEWAY=169.254.10.1
Teraz wskaz adres serwera TFP oraz nazw pliku: e

rommon 4> TFTP_SERVER=169.254.10.5 rommon 5> TFTP_FILE=c2600-i-mz.123-1a.bin
Na koniec, rozpoczynamy procedur sciagania obrazu: e

rommon 6> tftpdnld
18.2. Hasa na routerach

18.2.1. Jak odzyska zapomniane haso z routera? c
Ponizszy opis dotyczy wi kszo ci e s routerw. Oryginalne procedury do caego sprz tu e produkcji Cisco Systems znajduja si e tutaj: http://www.cisco.com/en/US/products/hw/contnetw/ps789/products_tech_note09186a00801746e6.shtm Musisz uzyska dost p do konsoli i zresetowa router. Zaraz po rozpocz ciu adowania: c e c e
System Bootstrap, Version 12.2(7r) [cmong 7r], RELEASE SOFTWARE (fc1) Copyright (c) 2002 by cisco Systems, Inc. C2600 platform with 65536 Kbytes of main memory
...musisz ze swojego terminala wysa sekwencj Ctrl+Break. Spowoduje to wej cie do c e s ROMMONa:
PC = 0xfff0ac3c, Vector = 0x500, SP = 0x680127c0 monitor: command "boot" aborted due to user interrupt rommon 1>
Pozostaje zmieni rejestr konguracyjny na warto c, ktra pominie wczytanie pliku kongc s uracyjnego, a nast pnie zresetowa router: e c
rommon 1> conf-reg 0x2142 rommon 2> reset
130
Rozdzia 18. Rozwiazywanie problemw Po zaadowaniu si Cisco IOS, wejd do trybu uprzywilejowanego, skopiuj zawarto c pliku e z s startup-config do aktualnej konguracji running-config i ewentualnie dokonaj zmiany hase. Na przykad:
router> enable router# copy startup-config running-config c1760# conf t c1760(config)# enable password moje_nowe_haslo
18.2.2. A jak odszyfrowa zaszyfrowane haso w konguracji c routera?

Je li haso zostao zaszyfrowane zwykym mechanizmem Cisco (w konguracji cyfry s zaszyfrowanego hasa poprzedza liczba 7, np. username szopen password 7 00170909145E05), mozesz posuzy si rznymi narz dziami, ktre odszyfrowuja ten c e e zapis. Dobry i zawsze dost pny, pod warunkiem ze masz dost p do Internetu, jest serwis e e http://www.securitystats.com/tools/ciscocrack.php. Hasa szyfrowane poleceniem secret uzywaja jednokierunkowej funkcji mieszajacej i ich odszyfrowanie mozna wykona jedynie przez zmudne sprawdzanie kolejnych kombinacji c znakw.
18.3. Interfejsy Ethernet i ruch na nich

18.3.1. Mam du o kolizji na interfejsie Ethernet routera - co z mog z tym zrobi ? e c
Najprawdopodobniej zle ustawie tryb pracy portu (half lub full dupleks). Starsze routery s (seria 1600, 2500) posiadaja interfejsy Ethernet b dace w stanie pracowa tylko w trybie half e c dupleks. Teoretycznie, port routera i przeacznik powinny dostosowa sobie tryb pracy, ale c w praktyce ta autonegocjacja cz sto zawodzi i mamy problemy z aczno cia. e s Najlepiej jest, po ustaleniu w jakich dokadnie trybach moze pracowa interfejs routera, c skongurowanie na sztywno pr dko ci pracy portu i trybu dupleks. Je li na routerze nie e s s mozesz tego zrobi - ustaw na stae parametry pracy przynajmniej portu na przeaczniku. c Na przykad, na routerze z interfejsem Ethernet:
router(config)# interface ethernet 0 router(config-if)# speed 10 router(config-if)# duplex half ! Teraz to potwierdzimy: router# show interface ethernet 0 Ethernet0 is up, line protocol is up Hardware is AmdFE, address is 000e.1111.2222 (bia 000e.1111.2222) MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec,
131

reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Half-duplex, 10Mb/s, 10BaseT
Na przeaczniku natomiast (tutaj 2950, port podaczony do routera to FE0/34) ustawiamy:

switch(config)# interface fastethernet 0/34 switch(config-if)# speed 10 switch(config-if)# duplex half ! Teraz to potwierdzimy: switch# show interface fastethernet 0/34 FastEthernet0/34 is up, line protocol is up (connected) Hardware is Fast Ethernet, address is 000d.1111.3333 (bia 000d.1111.3333) MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Half-duplex, 10Mb/s, media type is unknown media type
18.3.2. Prbuj zdebugowa ruch na interfejsie routera e c poleceniem debug ip packet, ale widz tylko pojedyncze e pakiety?
Wyacz CEF (no ip cef) - ale uwa aj(!) na obciazenie procesora - moze gwatownie z wzrosna - wszystko zalezy od ilo ci obsugiwanego ruchu. c s
18.3.3. Chciabym na PIXie sniffowa ruch i zapisywa go do c c dalszej analizy - jak to zrobi ? c
Zdeniuj ACLk , ktra b dzie pasowaa do ruchu przeznaczonego do sniffowania. Zae e zmy, ze interesuje nas tylko ruch na port 80 dowolnego hosta:
pix(config)# access-list 100 permit tcp any any eq 80
Teraz uruchamiamy sniffowanie, podajac ta ACLk , rozmiar bufora (w bajtach), dugo c e s pakietu ktra ma by podsuchana, a w koncu nazw pliku, do ktrego zapisywany c e b dzie wynik sniffowania: e
pix(config)# capture in-www access-list 100 buffer 256000 interface inside packet-length
W pami ci Flash zostaje utworzony plik o nazwie in-www, ktry zawiera zapis pode suchanych sesji (pierwsze 256kB, p niej PIX przestanie nasuchiwa ) na interfejsie inz c side. Mozesz go skopiowa np. na serwer TFTP lub FTP do dalszej analizy narz dziami c e takimi jak tcpdump czy Ethereal (plik jest w formacie pcap).
132
18.4. Problemy z pami cia i IOSami e

18.4.1. Dostaj na konsol lub do logw komunikaty typu e e %ALIGN-3-SPURIOUS: Spurious memory access made [...]
Najcz sciej jest to problem zwiazany z brakiem pami ci (sprawd show memory e e z summary) lub b dem w oprogramowaniu. e O rozwiazywaniu tego typu problemu mozna http://www.cisco.com/warp/public/63/spuraccess.html. poczyta c np. tutaj:
18.4.2. Mam za mao pami ci aby zapisa konguracj - co e c e mam zrobi ? c

Waczy kompresj konguracji: c e
router# service compress-config
18.5. Problemy z przeacznikami Catalyst

18.5.1. Mam przeacznik Cisco Catalyst i wiele stacji do niego podaczonych. Mam problemy z logowaniem si do sieci po e starcie tych komputerw.
Domy lnie port przeacznika postara si wynegocjowa parametry pracy z podaczona s e c stacja, oraz sprawdzi , czy nie uczestniczy ona w pracy mechanizmu Spanning Tree. c Poniewaz zwyka karta sieciowa nie wynegocjuje trunku 802.1Q czy ISL, ani innych do datkowych usug, warto ustawi porty podaczone do zwykych stacji w tryb pomijajacy te c testy. Dla przeacznikw z systemem Cisco IOS:
switch(config)# interface fastethernet 0/6 switch(config-if)# spanning-tree portfast
Dla przeacznikw z systemem CatOS:

switch > (enable) set port host 4/9
18.5.2. Na swoim przeaczniku 2950, 3550 czy 3750 otrzymuj e komunikat %SYS-2-MALLOCFAIL: Memory allocation of (...) Cause: Memory fragmentation
Prawdopodobnie masz po prostu p tl w sieci. Upewnij si , ze na wszystkich e e e przeacznikach waczony jest protok Spanning Tree lub Rapid Spanning Tree.
133
Rozdzia 18. Rozwiazywanie problemw Starsze IOSy (12.1.8-12.1.11) bardzo nie lubia takich okresowych sztormw pakietw w ra mach p tli i zwykle kada interfejs do nast pnego restartu (nie pomaga no shut). Nowsze e e IOSy (od 12.1.12) lepiej radza sobie z wysyceniem pami ci i potraa mimo klapni cia in e e terfejsu podnie c go po chwili, ale nie jest to stan, ktry powiniene w sieci pozostawi . s s c Typowym objawem tego problemu, sa np. takie informacje w logach:
%SYS-2-MALLOCFAIL: Memory allocation of 1680 bytes failed from 0x156550, alignment 0 Pool: I/O Free: 2172 Cause: Memory fragmentation Alternate Pool: None Free: 0 Cause: No Alternate pool
Jak mozna przeczyta , przeacznik wysyci caa pami c I/O przeznaczona do tymcza c e sowego kolejkowania ramek i zgasza bad sfragmentowania pami ci. Posugujac si polece e e niem show memory summary mozna to potwierdzi : c
switch# show memory summary Head Total(b) Processor BDDF8C 54655092 I/O 80000000 8388608 Used(b) 4842004 1128084 Free(b) 49813088 7260524 Lowest(b) 47010552 2172 Largest(b) 47973440 7187568
134
Rozdzia 19. Podzi kowania e

Chcieliby my wymieni tu wszystkich, ktrzy przyczynili si do rozwoju tego FAQ. Jak s c e zauwazyli cie, poszczeglne wpisy w FAQ nie sa opisywane konkretna osoba - uznali my, s s ze tak b dzie bardziej przejrzy cie, a pytania co do zawarto ci FAQ powinny i tak traa na e s s c list . e W kolejno ci jak najbardziej alfabetycznej: s

ukasz Bromirski, lukasz at bromirski.net Szymon Kosmala, szymon at netfusion.pl Marek Moskal, moskit at irc.pl Szczepan Pacut, spacut at ccie.pl Marcin Strzyzewski, marcins at ccie.pl Mariusz Trojanowski, mariusz421 at wp.pl Adam Obszynski, awo at freebsd.pl
135
Rozdzia 19. Podzikowania e
136
Rozdzia 20. ChangeLog

Ponizej lista zmian w kolejnych wersjach dokumentu, wraz z osobami, ktre do tych zmian si przyczyniy. e v0.50 21/03/2004 21:42:03 Brakujace xmodem przy transferze IOSu przez konsol (Mariusz Trojanowski). e Dodanie paru pytan i odpowiedzi dla PIXw [logowanie, sniffowanie ruchu z interfe jsw do plikw pcap itp.], sieci WLAN, ISDNu, routingu IP oraz konguracji (ukasz Bromirski).
v0.42 17/03/2004 12:49:06 Dodanie rozwiazania DSL/VPN (Mariusz Trojanowski) Dodanie tabelki z wydajno cia VPN urzadzen Cisco, konguracja eksportu NetFlow, s routingu mi dzy VLANami na kartach WIC-4ESW oraz NM-16ESW/32ESW a takze e troch kosmetycznych poprawek (ukasz Bromirski) e
v0.40 10/03/2004 14:59:06 Dodanie sekcji o OSPFie (Szczepan Pacut) Dodanie uszczegowien do opisu obciazenia (Marek Moskal) Poprawki, uszczegowienia do paru pytan oraz par nowych pytan (Szymon Kosmala) e Konguracja NATu na patyku (Adam Obszynski) Dodanie paru podstawowych pytan o innych protokoach routingu (ukasz Bromirski) Dodanie sekcji o VPNach (ukasz Bromirski)
v0.37 08/03/2004 10:57:15 Czytelniejsze URLe oraz par niezaleznych sugestii (Marek Moskal) e labolatorium != laboratorium (Mariusz Trojanowski i Jacek Zapaa) CCIE - INTERNetwork Expert (Tomasz Mistat)
v0.36 05/03/2004 17:10:15 literwki i rzne inne (Marcin Jurczuk) v0.35 05/03/2004 09:59:16 Przygotowania do wydania publicznego
137
Rozdzia 20. ChangeLog
138

Cisco Faq PL

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cisco Faq PL

Uploaded by

Copyright:

Available Formats

(nieocjalne) Cisco FAQ PL

czyli najcz sciej zadawane pytania o Cisco z e odpowiedziami po polsku

Rozdzia 1. Sprawy porzadkowe

1.1. O wiadczenie i licencja s

1.2. Dost p do CVS i Twj udzia w tym projekcie e

1.3. Lista pocztowa - jak i gdzie?

Rozdzia 1. Sprawy porzadkowe

Rozdzia 2. Pytania oglne

Nast pnie uda si oczywi cie na najwi ksza stron gwna: e c e s e e

2.3. Jak skontaktowa si z pomoca techniczna Cisco? c e

Rozdzia 2. Pytania oglne

2.4. Gdzie mo na uzyska pomoc dotyczaca sieci i Cisco? z c

2.5. Skad mog pobra nowsze oprogramowanie do e c swojego urzadzenia Cisco?

2.7. Czy sa jakie strony sympatykw Cisco z ciekawymi s materiaami?

Rozdzia 2. Pytania oglne

2003 Johannesburg: http://www.networkersafrica.com/nw03/POST_EVENT/PRESENTATIONS/Breakout_sessions/default

2004 Brisbane: https://www.conveneit.com/secure/cisco_networkers/client/default.asp?pg=4

3.2. Jakie polecacie ksia ki po Polsku, do pracy ze z sprz tem Cisco? e

Helion Helion Helion

3.5. Jak zainstalowa Cisco Documentation pod c Linuksem/BSD?

Teraz uruchom przegladark i wpisz adres: http://localhost/cisco/home/home.htm. e

3.6. Gdzie sprawdzi skadni konkretnego polecenia? c e

Rozdzia 4. Certykacje Cisco

Associate Professional Expert

4.2. Jakie egzaminy musz zda na poziomie Associate? e c

4.3. Jakie egzaminy musz zda na poziomie e c Professional?

4.4. Jakie egzaminy musz zda na poziomie Expert? e c

4.5. Gdzie mog znale c dokadna list tematw na dany e z e egzamin?

4.6. Czy dla zdajacych sa jakie pomoce? s

4.7. Czy po egzaminie mog podzieli si ze znajomymi e c e tre cia pytan? s

Rozdzia 5. Podstawy pracy z urzadzeniami Cisco

5.1.2. ...Cisco PIX?

5.1.3. ...przeacznika Cisco Catalyst serii 1000, 2000 lub 3000?

5.1.4. ...przeacznika Cisco Catalyst serii 4000/4500?

Rozdzia 5. Podstawy pracy z urzadzeniami Cisco

5.1.5. ...przeacznika Cisco Catalyst serii 6000/6500?

5.1.6. ...sondy Cisco IDS serii 42xx?

5.1.7. ...punktu bezprzewodowego AP350, 1120 lub 1200?

5.2. Podaczyem si i...? e

5.2.2. ...jak dostawa informacje o zdarzeniach na routerze na c konsol ? e

Rozdzia 5. Podstawy pracy z urzadzeniami Cisco

5.2.4. ...gdy pomyl si w poleceniu, router zaczyna robi e e c dziwne rzeczy...

Takie zachowanie routera mozna zmieni , wyaczajac rozwiazywanie nazw: c

5.2.5. ...chciabym zapisa konguracj c e routera/PIXa/przeacznika?

5.2.6. ...chciabym wymaza konguracj c e routera/PIXa/przeacznika?

Rozdzia 5. Podstawy pracy z urzadzeniami Cisco

5.2.7. ...jakiego u y oprogramowania do poaczenia si z z c e routerem?

5.2.8. ...jakiego u y oprogramowania do serowania plikw z c tftp/ftp?

Rozdzia 5. Podstawy pracy z urzadzeniami Cisco

Rozdzia 6. Podstawy konguracji usug

6.1.2. Czy router mo e peni rol serwera DHCP? z c e

Rozdzia 6. Podstawy konguracji usug

6.1.3. Jak przydzieli interfejsowi adres z serwera DHCP? c

6.1.4. Jak przekaza dalej zapytania DHCP? c

6.3. Logowanie zdarzen

Rozdzia 6. Podstawy konguracji usug

6.4.2. Jak ustawi zegar wg. serwerw czasu z Internetu? c

To, czy synchronizacja associations:

Rozdzia 6. Podstawy konguracji usug

router(config)# ip nat inside source static tcp 192.168.0.10 25 169.254.10.10 25 extendab

Rozdzia 6. Podstawy konguracji usug

6.5.5. Jak sprawdzi , ktre interfejsy przypisane sa do NAT i c jak sa skongurowane?

6.5.6. NAT mi nie dziaa - co mo e by zle? z c