Professional Documents
Culture Documents
• RIPv2
• EIGRP
• OSPF
Jargan/Kovacik
RIP v1
Jargan/Kovacik
RIPv1
RIP v1
• rozdiel medzi AD a metrikou
• AD používa smerovač na to aby sa rozhodol, ktorý smerovací protokol, resp. zdroj
smerovacej informácie je vierohodnejší. Čím nižšie čislo, tým vierohodnejší zdroj informácie
• metriku využíva smerovací protokol na to, aby sa rozhodol, ktorá cesta do danej siete je
výhodnejšia
• AD = 120
• ako metriku používa hop count
• nekonečno je hodnota metriky = 16
• používa styri časovače
• UPDATE = 30sec
• INVALID = 180sec
• HOLDDOWN = 180sec
• FLUSH AFTER = 240sec
Jargan/Kovacik
RIPv1
RIP v1
INVALID = 180sec
UPDATE = 30sec UPDATE = 30sec UPDATE = 30sec UPDATE = 30sec UPDATE = 30sec UPDATE = 30sec
Jargan/Kovacik
RIPv1
RIP v1
60sec
90sec
INVALID = 0sec
30sec
UPDATE = 30sec UPDATE = 30sec UPDATE = 30sec UPDATE = 30sec UPDATE = 30sec UPDATE = 30sec
ak sekúnd
30 vypadnepoupdate,
po prijatí
prijatí INVALID
update-u
update-u timer
sa INVALID
má ďalej
INVALID beží
timer a sa
timer
stále inkrementuje
hodnotu
vynuluje30 sec.
Jargan/Kovacik
RIPv1
RIP v1
60sec
INVALID = 0sec
30sec
90sec
120sec
150sec
180sec
UPDATE = 30sec UPDATE = 30sec UPDATE = 30sec UPDATE = 30sec UPDATE = 30sec UPDATE = 30sec
INVALID
ak INVALID
timertimer
dosiahne
dosiahne
hodnotu
hodnotu
180 180
len ak
sekúnd
smerovač
naštartuje
nepríjme
sa
HOLDDOWN
po sebea FLUSH
6 update-ov
timer naraz
Jargan/Kovacik
RIPv1
RIP v1
FLUSH = 240sec
Jargan/Kovacik
RIP v1– classfull behavior
RIPv1
UPDATE: 192.168.0.0
192.168.0.0/27 192.168.1.0
192.168.0.128/27
fa0/0
192.168.0.192/28
192.168.1.0/24 R(config-if)#ip address 10.0.0.1 255.255.255.0
fa0/1
R(config-if)#ip address 192.168.0.161 255.255.255.224
Pozor!!!
UPDATE: 192.168.0.0 Ak sieť, ktorá by bola oznámená je
192.168.0.128 súčasťou tej istej major network, ako
Keďže sieťcez
rozhranie 192.168.0.192 má masku
ktoré sa preposiela, tak /28,
platí
192.168.1.0 pravidlo:
ale sa update posiela na rozhraní, ktorý má
192.168.0.192 inú masku, tak sa update jednoducho
Oznamujú sa len tie siete, ktoré majú
nepošle. (platí iba ak sa jedná o tú istú
rovnakú masku, ako interface cez ktorý sú
major network)
posielané
Jargan/Kovacik
RIP v1– classfull behavior
RIPv1
Jargan/Kovacik
RIPv2
RIP v2
• classless protokol (posiela informáciu o maske)
• distance-vector protokol
• posiela svoje update-i na multicast adresu 224.0.0.9
• ostatné parametre totožné s RIPv1, akurát sa kus zmenila štruktúra RIPv2
paketu
• R(config)# router rip
R(config-router)# version 2
• prijíma a posiela update-i len s verziou 2 (dôsledok príkazu version)
• vykonáva automatickú sumarizáciu (na základe triedy)
• je nutné túto sumarizáciu vypnúť ak ide o nespojité siete (discontinuous networks)
• možnosť manuálne sumarizovať, je nutné pri tom vypnúť automatickú
sumarizáciu
• R(config-if)#ip summary-address rip <IP> <MASKA>
Jargan/Kovacik
RIPv2
RIP v2
• generovanie default-route
• redistribúcia statického smeru
• R(config)#redistribute static
• R(config)#ip route 0.0.0.0 0.0.0.0 <next-hop IP | interface>
alebo
• R(config)#default-information originate
Jargan/Kovacik
EIGRP
EIGRP
• classless protokol (posiela informáciu o maske)
• distance-vector protokol
• posiela svoje update-i na multicast adresu 224.0.0.10
• má 3 rôzne AD
• EIGRP sumárne smery – AD=5
• EIGRP interné smery – AD=90
• EIGRP externé smery – AD=170
• metrika sa môže rátať na základe 4 rôznych parametrov
• BANDWIDTH
• DELAY
• RELIABILITY
• LOAD
Jargan/Kovacik
EIGRP
EIGRP
Jargan/Kovacik
EIGRP
EIGRP
Jargan/Kovacik
EIGRP– typy paketov
EIGRP
• HELLO
• zodpovedný za nájdenie susedov
• obsahuje:
• hodnoty konštánt K
• Router ID
• číslo autonómneho systému
• hodnoty timerov (hello, holddown)
• posielané každých 5 sek na linkách rýchlejších ako T1(1,544Mbps). Na
linkách pomalších ako T1 60 sekúnd.
• holddown timer je predvolene 3 krát hodnota hello timer-a
Jargan/Kovacik
EIGRP– typy paketov
EIGRP
• UPDATE
• obsahujú smerovaciu informáciu, teda pomocou nich si smerovače
navzájom oznamujú siete
• posielajú sa buď ako unicast, alebo multicast
• sú stále potvrdzované
• posielajú sa len ak nastane zmena v topológii, narozdiel od RIP, ktorý
posielal UPDATE packety každých 30 sekúnd
Jargan/Kovacik
EIGRP– typy paketov
EIGRP
• QUERY
• pomocou nich smerovač hľadá najlepšiu cestu do danej siete (typicky ak
daná sieť už nie je viac dosažiteľná)
• posiela sa väčšinou ako multicast
• sú potvrdzované
• pomocou tohto typu paketov sa spúšťa, respektíve širi difúzny výpočet v
EIGRP sieti
Jargan/Kovacik
EIGRP– typy paketov
EIGRP
• REPLY
• sú odpoveďou na Query pakety
• zastavujú, resp. obmedzujú šírenie difúzneho výpočtu
• posiela sa ako unicast originátorovy Query paketu
• je potvrdzovaný
• ACK
• povtrdzovací paket
• štruktúra: hello paket s prázdnym telom
• vždy unicastové
• potvrdzujú prijatie UPDATE, QUERY a REPLY paketov
Jargan/Kovacik
EIGRP– pojmy
EIGRP
• DIFÚZNY VÝPOČET
• mechamizmus hľadania najkratšej cesty do siete
• v princípe to nie je nič iné ako séria otázok(query) a odpovedí(reply)
• otázka sa šíri v sieti dovtedy kým na ňu niekto nedá jednoznačnú
odpoveď, a to:
• danú sieť nepoznám
• danú sieť poznám a jej vzdialenosť odomňa je X
• ak smerovač dostane otázku na ktorú nevie odpovedať, tak sa spýta
všetkých svojich susedov. Akonáhle od nich obdrží všetky odpovede pošle
odpoveď späť tomu smerovaču, ktorý sa ho pýtal.
Jargan/Kovacik
EIGRP– pojmy
EIGRP
• SUCCESSOR (S)
• smerovač ktorý je v smerovacej tabuľke uvádzaný ako next-hop router
• FEASIBLE SUCESSOR (FS)
• potencionálny náhradník SUCCESSOR-a.
• Neplatí pravidlo, že po vypadnutí SUCCESSOR-a sa automaticky novým
SUCCESOROM musí stať FEASIBLE SUCESSOR, avšak je výsoká
pravdepodobnosť, že sa tak stane
• FEASIBLE DISTANCE (FD)
• historicky najkratšia cesta do siete
• REPORTED DISTANCE (RD)
• vzdialenosť nášho suseda do siete, to ako nám to on hlási
Jargan/Kovacik
EIGRP– pojmy
EIGRP
• FEASIBILITY CONDITION (FC)
• podmienka, ktorá zabezpečuje zaručene bezslučkovú cestu cez suseda
• musí platiť podmienka:
• RD < FD
• predstavuje postačujúcu podmienku pre bezslučkovosť cesty do danej
siete. Teda existujú cesty, ktoré nevyhovujú podmienke, ale sú
bezslučkové. EIGRP ide na istotu a teda s cestami, ktoré nespĺňajú
podmienku FC vôbec neráta. Inými slovami sused, ktorý nespĺňa FC sa
nikdy nemôže stať S ani FS
• NEIGHBOR TABLE
• tabuľka, ktorá obsahuje informáciu o susedoch
• TOPOLOGY TABLE
• obsahuje informáciu o FD do cieľovej siete a RD každého suseda, ktorý
cestu do cieľovej siete pozná
Jargan/Kovacik
EIGRP– pojmy
EIGRP
• PASSIVE STATE
• stav v ktorom daná sieť má SUCCESOR-a
• ACTIVE STATE
• stav v ktorom daná sieť nemá SUCCESOR-a, ale ani FEASIBLE
SUCCESSOR-a
• v tomto stave sa cesta do cieľovej siete aktívne hľadá
• znamená spustenie difúzneho výpočtu
Jargan/Kovacik
EIGRP
EIGRP
Keďže
do sieteEIGRP
B sa dá
R1 dostáva jeupdate-i
dostať
distance-vector
cez
od EIGRP R2:
sa musí rozhodnúť,
RD=10, celkováktorú
rozhoduje
svojich susedov
sa na základe
R2, R3 a toho,
R4 cestu sivzdialenosť
vyberie ... je 20 (10+10)
router R2, R3 a R4
čo mu oznamujú
o sieti Bsusedné
...
R3: RD=17, celková
smerovače
vzdialenosť je 22 (17+5)
10 5
5 R4: RD=16, celková
vzdialenosť je 21 (16+5)
FD je minimálna celková
FD = 20
vzdialenosť
So smerovačov, ktoré prešli
Další
testomkrok
FCjeEIGRP
testovanie FC:
vyberie
17 16
10 Je RD ostroS menšie
a FS ako FD?
R2: 10 < 20
R3: 17 < 20
R4: 16 < 20
Jargan/Kovacik
EIGRP
EIGRP
Jargan/Kovacik
EIGRP– pojmy
EIGRP
Jargan/Kovacik
OSPF
OSPF
Jargan/Kovacik
OSPF
OSPF
• HELLO
• pomocou nich OSPF najde svojich susedov
• obsahuje:
• masku
• prioritu smerovača
• hello interval
• dead interval
• router ID designated routera
• router ID backup designated routera
• zoznam susedov, ktorých smerovač vidí
• typ oblasti a číslo oblasti
• typ autentifikácie
Jargan/Kovacik
OSPF
OSPF– typy paketov
OSPF
• HELLO
• posiela sa:
• každých 10 sekúnd na sieťach typu point-to-point a broadcast
• každých 30 sekúnd na sieťach typu non-broadcast multiaccess a
point-to-multipoint
• dead interval je 4 násobok hello intervalu (predvolene)
Jargan/Kovacik
OSPF– typy paketov
OSPF
Jargan/Kovacik
OSPF– Router ID
OSPF
Jargan/Kovacik
OSPF– pojmy
OSPF
• DESIGNATED ROUTER
• smerovač, ktorý vystupuje ako hovorca multiaccess siete
• Voľba DR:
1. stáva sa ním smerovač s najvyššou priority na segmente
2. ak je priorita rovnaká rozhoduje najvyššie router ID na segmente
• BACKUP DESIGNATED ROUTER
• Náhradník designated router-a
• Voľba BDR:
1. Stáva sa ním smerovač s druhou najvyššou router ID na segmente
2. Ak je priorita rovnaká rozhoduje opäť router ID na segmente (vyhráva
druhá najvyššia)
Ak sa raz DR zvolil zotrvá vo svojej funkcii až kým sa ospf proces na
segmente nevypne/nereštartne
Jargan/Kovacik
OSPF– pojmy
OSPF
Jargan/Kovacik
OSPF– pojmy
OSPF
• NEIGHBORHOOD
• stav keď sa smerovače navzájom „vidia“
• v tomto stave neprebieha výmena smerovacích informácií
• ADJECANCY
• užší komunikačný vzťah
• smerovače sa navzájom „vidia“ aj si vymieňajú smerovacie informácie
Jargan/Kovacik
OSPF– pojmy
OSPF
Jargan/Kovacik
OSPF– pojmy
OSPF
• AREA (oblasť)
• časť siete v ktorej smerovače poznajú celú topológiu, avšak nepoznajú
presnú topológiu zvyšnej časti autonómneho systému
• identifikované 32 bitovým číslom
• area 0 je tzv. backbone area, všetky ostatné oblasti sa na ňu musia
pripojiť!
• AREA BORDER ROUTER (ABR)
• smerovač, ktorý sa nachádza na rozhraní medzi areou 0 a inými oblasťami
• AUTONOMOUS SYSTEM BOUNDARY ROUTER (ASBR)
• smerovač, ktorý je na hranici medzi cudzím autonómnym systémom a
našim OSPF „svetom“
Jargan/Kovacik
OSPF– pojmy
OSPF
Jargan/Kovacik
OSPF
OSPF
• generovanie default-route
• R(config-router)#default-information originate [always] [metric …]
Jargan/Kovacik
Interoperabilita
OSPF medzi smerovacími
protokolmi (redistribúcia)
Jargan/Kovacik
Interoperabilita
Redistribúcie medzi smerovacími
protokolmi (redistribúcia)
Jargan/Kovacik
Interoperabilita
Redistribúcie medzi smerovacími
protokolmi (redistribúcia)
Jargan/Kovacik
Interoperabilita
Redistribúcie medzi smerovacími
protokolmi (redistribúcia)
Jargan/Kovacik
Interoperabilita
Redistribúcie medzi smerovacími
protokolmi (redistribúcia)
Jargan/Kovacik
USERNAME/PASSWORD
IOS Basic a privilege levels
•PRIVILEGE LEVELS
• IOS je vetvený na 16 úrovní prístupových práv
• najnižsie práva má level 0
• najvyššie práva level 15 (klasicky po zadaní enable príkazu sa dostávame do
tohto módu)
• napríklad level 0 má iba nasledovné príkazy:
• disable, enable, exit, help a logout
Jargan/Kovacik
USERNAME/PASSWORD
IOS Basic a privilege levels
• príklad použitia:
• R(config)#privilege exec <level> <prikaz>
Jargan/Kovacik
USERNAME/PASSWORD
IOS Basic a privilege levels
• R(config)#line vty 0 15
• R(config-line)#login local
Jargan/Kovacik
Útoky
Útokyna
naprístupovú
prístupovúvrstvu
vrstvu
• zahĺtenie
CAM tebuľky prepínača generovaním veľkého počtu
náhodných MAC adries
• použiteľné programy: macof, ettercap
• ochrana: portsecurity
Jargan/Kovacik
Základná konfigurácia prepínačov
Jargan/Kovacik
Zabezpečenie portov
• konfigurácia port-security
• SW(config-if)#switchport portsecurity
• SW(config-if)#switchport portsecurity maximum <1-139>
• SW(config-if)#switchport portsecurity violation {restrict, shutdown a protected}
• SW(config-if)#switchport portsecurity mac-address sticky
Jargan/Kovacik
Čo sme doteraz nevedeli o MLS
prepínačoch
• DHCP SNOOPING
• chráni proti DHCP spoofingu
Jargan/Kovacik