Embed Size (px)
Citation preview
SIEŤOVÉ TECHNOLÓGIE
2.časť
1 WAN A SMEROVAČE
• WAN– úloha smerovača vo WAN
• smerovače– časti smerovača
– pripojenie portov smerovača
– konfiguračných, LAN, WAN
2 ÚVOD DO SMEROVAČOV
• sieťový operačný systém Cisco– užívateľské rozhrania
– módy užívateľského rozhrania
• štart smerovača– výpisy pri štarte
– základná editácia
– história príkazov
3 KONFIGURÁCIA SMEROVA ČOV
• príkazové módy• konfigurácia mena, hesiel• konfigurácia sériových a ethernetových portov• príkaz show• zmeny konfigurácie• popis portu a MOTD• tabuľka hosťov• zálohovanie konfigurácie
– TFTP server
– zachytávanie textu
4 ZISŤOVANIE INFORMÁCIÍ O INÝCH ZARIADENIACH
• informácie o susedoch– CDP - Cisco Discovery Protokol– príkazy CDP– riešenie problémov
• informácie o vzdialených zariadeniach– telnet a jeho používanie– alternatívne testy pripojenia
• ping, traceroute, show ip route
5 MANAŽOVANIE CISCO IOS SOFTVÉRU
• postup hľadania IOS a konfigurácie pri štarte
• príkazy boot system
• konfiguračný register
• riešenie problémov s bootovaním
• súborový systém IOS
• záloha a obnova IOS– TFTP
– Xmodem
6 SMEROVANIE A SMEROVACIE PROTOKOLY
• statické a dynamické smerovanie• nastavenie statického smerovania• štandardná cesta• riešenie problémov statického smerovania• autonómny systém• triedy smerovacích protokolov
– vektor vzdialenosti– stav spoja
• nastavenie dynamického smerovania• smerovacie protokoly
7 SMEROVACIE PROTOKOLY VEKTORA VZDIALENOSTI
• aktualizácie• smerovacie slučky a ich potlačenie
– definovanie maximálneho počtu– rozdelený horizont– otrávenie smerovania– aktualizácie spúšťané zmenami– časovače potlačenia
• RIP– proces, konfigurácia, vyrovnávanie záťaže
• IGRP– znaky, metrika, cesty, stabilita, konfigurácia– prechod z RIP na IGRP
8 TCP/IP CHYBOVÉ A RIADIACE SPRÁVY
• ICMP– typy– echo, nedosiahnuteľnosť cieľa, chybný
parameter
• príkaz ping• oznamovanie chýb• doručovanie hlásení o chybe
9 ZÁKLADY RIEŠENIA PROBLÉMOV SMEROVAČOV
• testovanie smerovacej tabuľky– show ip route
• testovanie siete– štruktúrovaný prístup– testovanie po vrstvách OSI– LED indikátory, ping, telnet
• prehľad riešení problémov– show interfaces, show cdp, ping, traceroute– show ip route, show ip protocols– základy príkazu debug
10 TCP/IP ROZŠÍRENIE
• TCP operácie– polia TCP segmentu, synchronizácia, použitie
okna, pozitívne potvrdzovanie, poradové a potvrdzovacie čísla
• DoS útoky• UDP operácie
– polia UDP segmentu• porty transportnej vrstvy
– viacnásobná konverzácia– rozdelenie portov– „dobre známe“ porty
11 ZOZNAMY RIADENIA PRÍSTUPU - ACL
• Access Control Lists - zoznamy riadenia prístupu
• spôsob práce zoznamov
• vytváranie
• pseudomaska - wildcard mask
• kontrola
• štandardné, rozšírené a pomenované ACL
• umiestňovanie ACL
• firewall
1 WAN A SMEROVAČE
• WAN– úloha smerovača vo WAN
• smerovače– časti smerovača
– pripojenie portov smerovača
– konfiguračných, LAN, WAN
1.1 Úvod do WAN• WAN
– dátové komunikačné siete pracujúce na veľkom území (štát, >100km)– charakteristiky
• spájajú fyzicky vzdialené zariadenia• využívajú služby poskytovateľov (ST, Nextra, Orange, ...)• používajú rôzne sériové linky
– od sietí LAN sa odlišujú na 1. fyzickej a 2. linkovej vrstve OSI modelu• zariadenia
– smerovače - internetworking (medzisieťovanie)– prepínače - prepojenie hlasovej, dátovej a video komunikácie– modemy - hlasové služby, CSU/DSU (pre T1/E1), TA/NT1 pre ISDN– komunikačné servery - koncentrácia vytáčaných užívateľov
• protokoly 2. linkovej vrstvy– spôsob prenášania dát medzi systémami (HDLC, Frame Relay, PPP, ISDN)– cez vyhradené linky (point-to-point, multipoint, multi-access)
• organizácie - ITU-T, ISO, IETF (internet), EIA
1.2 Úvod do smerova čov vo WAN
• smerovač (router)– špecializovaný počítač– má rovnaké základné časti ako obyčajný
počítač• operačný systém
– spúšťanie konfiguračných súborov (riadenie toku dátovej premávky)
• pamäte– RAM (DRAM) - (po reštarte sa vymaže)
• smerovacie tabuľky• ARP cache• fast-switching cache• vyrovnávacia pamäť pre pakety• dočasné uloženie konfiguračných súborov
– NVRAM (pamätá si aj po vypnutí el. prúdu)• uloženie počiatočnej konfigurácie
– Flash pamäť (EEPROM) (pamätá si aj po vypnutíelektrického prúdu)
• operačný systém (IOS)• aktualizácia
operačného systému• môže onsahovať viacej
verzií operačného systému
– ROM• inštrukcie na testovanie
sa po štarte (POST)• zavádzací program a
základný operačný systém
• rozhrania (interfaces)– pripájajú smerovač na
sieť (vstup a výstup rámcov)
– na matičnej doske alebo na osobitnom module
1.3 Smerova č v LAN a WAN• smerovač v LAN - segmentácia siete• vo WAN - hlavné použitie• má LAN aj WAN rozhrania
– WAN rozhranie - prepojenie smerovačov, výmena informácií o sieti• chrbtové zariadenie veľkých intranetov a Internetu• pracujú na 3. sieťovej vrstve
– rozhodujú sa na základe sieťových (logických) adries• funkcie
– výber najlepšej trasy (budovanie smerovacích tabuliek)– prepnutie rámca na správne rozhranie
• smerovacie tabuľky– statické - zadané administrátorom– dynamické - pomocou smerovacích protokolov (výmena informácií)
• správne nakonfigurovaná intersieť zabezpečuje– dôsledné koncové adresovanie, adresy reprezentujú sieťovú topológiu,
výber najlepšej trasy, dynamické alebo statické smerovanie, prepínanie
1.4 Úloha smerova ča vo WAN
• principiálne funkcie– smerovanie na základe sieťových (logických)
adries• v sieťach WAN aj LAN• smerovač môže byť zariadenie LAN, WAN aj oboje
– prepájanie rôznych štandardov WAN 1. fyzickej a 2. linkovej vrstvy (prevod dát)
– napríklad:• z ISDN (1.fyzická) s PPP zapúzdrením (2. linková)• na T1 (1.fyzická) s Frame Relay zapúzdrením (2.
linková)
1.4a Úloha smerova ča vo WAN
• 1. fyzická vrstva WAN– rozhranie medzi
• DCE (poskytovateľ služby - modem alebo CSU/DSU)• a DTE (pripojené užívateľovo zariadenie - smerovač)
– protokoly - EIA-232, EIA-449, V.24, V.35, X.21, G.703, EIA-530, ISDN, T1, T3, E1, E3, xDSL, SONET
• 2. linková vrstva WAN– protokoly - HDLC, Frame Relay, PPP, SDLC, SLIP, X.25,
ATM, LAPB, LAPD, LAPF
1.5 Sériové prepojenie na cvi čenaich+
• všetky zariadenia na cvičeniach budú prepojené buďsériovými alebo Ethernetovými káblami
• sériové prepojenie– reálne
• jeden smerovač v Žiline, druhý v Bratislave• prepojené budú cez WAN oblak poskytovateľa Internetu
– na cvičení• smerovače sú umiestnené vedľa seba• WAN oblak bude simulovaný priamym prepojením sériových
rozhraní pomocou DTE a DCE kábla
• simulácia WAN oblaku na cvičeniach:
1.6 Smerova čeVnútorné časti smerova ča
• presná architektúra je rozdielná u rôznych typoch• CPU - procesor
– vykonáva inštrukcie operačného systému• inicializácia systému, smerovacie funkcie, riadenie sieťových rozhraní
• RAM– rozdelenie RAM
• hlavná operačná• zdieľaná vstupno/výstupná - dočasné uloženie paketov
– upgrade - DIMM• Flash
– operačný systém• komprimovný, nekomprimovaný• kopíruje sa do RAM, ale môže sa aj spúšťať priamo vo Flash
– upgrade - SIMM, PCMCIA karta• NVRAM
– samostatný čip EEPROM– alebo časť pamäti Flash
>>>
1.6a Vnútorné časti smerova ča
• zbernice (bus)– systémová - komunikácia CPU s rozhraniami (presun
paketov)– zbernica CPU - prenos inštrukcií z/do pamätí
• ROM– okrem iného: alternatívne bootovanie zjednodušeného
operačného systému• rozhrania (porty)
– spojenie smerovača s vonkajškom– typy
• LAN - Ethernet, token ring, ATM - majú vlastný riadiaci čip• WAN - sériové, ISDN, CSU - tiež majú vlastný riadiaci čip
– niektoré potrebujú externé zariadenie - CSU– iné možni pripojiť priamo na poskytovateľa
• konzola/AUX - nie sú sieťové porty, slúžia na konfiguráciu, EIA-232 asynchrónne sériové porty
• napájací zdroj - interný alebo externý• (viď tiež 1.2 Úvod do smerova čov vo WAN )
1.7 Porty smerova ča
• Smart Serial • DB60
• Ethernet 0/1 • Ethernet 0/0 •AUX
• konzola
1.8 Pripojenie konfigura čných portov
• konzola, AUX– neslúžia na prenos paketov– služia na počiatočnú konfiguráciu, zmenu konfigurácie,
sledovanie siete, riešenie problémov, obnovu systému (zabudnutie hesla, zlyhanie systému)
– smerovač je od výroby nenakonfigurovaný - nemôže plniťsvoje funkcie
– konfigurácie pomocou• RS-232 ASCII terminálu• počítača s emuláciou ASCII terminálu VT100 (Hyperterminál)
– nie každý smerovač má AUX port– konzolový vstup je doporučovaný pred AUX na
• počiatočnú konfiguráciu• riešenie problémov - prednastavené zobrazovanie štartu smerovača,
chýb, ladenia• zotavenie
• cvičenie(o)– prepojenie konzolového vstupu s počítačom
1.9 Pripojenie LAN portov
• prepojenie: smerovač - Ethernet– najčastejšie prepojenie– rozhranie: Ethernet 10/100BASE-TX– pomocou prepínača (rozbočovača) - priamy kábel UTP Cat
5 alebo vyšší (podľa typu smerovača)• prepojenie: smerovač - počítač
– krížený kábel• musí byť vybraté správne rozhranie
– rozličné technológie používajú rovnaký konektor• Ethernet, ISDN BRI, konzola, AUX, integrované CSU/DSU, token
ring• majú rovnaký 8-pinový konektor (RJ-45, RJ-48, RJ-49)
– pri zámene hrozí poškodenie smerovača alebo iného zariadenia!
– Cisco farebne odlišuje jednotlivé rozhrania• cvičenie(o)
1.10 Pripojenie WAN portov
• typy WAN prepojenia– prenajatý okruh (PPP)– prepínanie okruhov (ISDN)– prepínanie paketov (X.25)
• výber správneho sériového kábla:– typ konektora na zariadení (Smart Serial, DB60)– DTE alebo DCE zariadenie (DCE robí časovanie)– signalizačný štandard (druhý koniec kábla) napr. EIA-232– konektor s kolíkmi alebo dutinkami
• cvičenie– pripojenie WAN portov smerovača
2 ÚVOD DO SMEROVAČOV
• sieťový operačný systém Cisco– užívateľské rozhrania
– módy užívateľského rozhrania
• štart smerovača– výpisy pri štarte
– základná editácia
– história príkazov
2.1 Účel opera čného programu
• Cisco IOS (Internetwork Operating System)– sieťový operačný systém Cisco
– základný program počítača
– zabudovaný v smerovačoch a prepínačoch
– sieťové služby
• základné smerovacie a prepínacie služby
• spoľahlivý a bezpečný prístup k sieťovým zdrojom
• škálovateľnosť siete
2.2 Užívateľské rozhranie smerova ča+
• Cisco IOS– používa CLI - rozhranie príkazového riadku– prístupové metódy
• konzolová relácia– nízkorýchlostný sériový prenos
– netreba žiadnú konfiguráciu
• modem alebo null modem– vytáčané spojenie cez port AUX
– netreba žiadnú konfiguráciu
• telenet relácia– musí byť nakonfigurované aspoň jedno rozhranie s IP
adresou a meno a heslo pre virtuálnu telnetovú reláciu
2.3 Módy užívate ľského rozhrania+
• hierarchická štruktúra módov– každý mód má vlastné možnosti
• naríklad: mód konfigurovania rozhraní
– každý mód ma svoje návestie(prompt)
– v každom móde sú dovolené iba príslušné príkazy
• EXEC– služba IOS vykonávania príkazov– skontroluje a vykoná príkaz– kvôli bezpečnosti sú dve prístupové
úrovne:• užívateľský EXEC mód
– iba monitorovacie príkazy, žiadna zmena konfigurácie
– návestie končí na: >
• privilegovaný EXEC mód (inak aj enable mód)
– všetky príkazy– návestie končí na: #– môže byť
zabezpečené hesloma aj ID užívateľa
– vstup do privilegovaného módu príkaz: enable
• ak je nastavené, vyžiada sa heslo
– návrat do užívateľského módu príkaz: disable
– príkaz: ? - zobrazenie možných príkazov (help)
• cvičenia (e)– prihlásenie sa na smerovač– módy užívateľského tozhrania
2.4 Možnosti IOS
• existujú rôzne IOS obrazy (image)– pre rozdielné platformy zariadení– pre rôzne pamäťové nároky (Flash a RAM)– pre rôzne požiadavky užívateľov– základná štruktúra príkazov je rovnaká– konvencia pre pomenovania obrazov: xxxx-yyyy-zz
• platforma na ktorej obraz beží (c1005, c1600, c1700, c2500, c2600, c2800, c2900, c3620, c3640, c4000, c4500)
• špeciálne možnosti (b-Appletalk, g-ISDN, i-IP, n-IPX, y-obmedzenéIP, )
• kde beží (f-flash, m-RAM, r-ROM, l-premiestniteľné) a ako je komprimovaný (z-zip, x-mzip, w-STAC zip)
• príkazy– show version
• verzia bežiaceho obrazu (napr. c1700-y7-mz)• množstvo hlavnej a zdieľanej pamäti (napr. 3584K/512K)
– show flash• množstvo flash pamäti (napr. 15998976 bajtov)
2.5 Operácie IOS
• operačné prostredia– ROM monitor
• bootovací proces, nízkoúrovňová funkcionalita a diagnostika• zlyhanie systému, obnovenie hesla• prístup iba cez konzolový port
– Boot ROM• obmedzené možnosti IOS• určený na nakopírovanie nového IOS do flash pamäte z TFTP
servera• príkaz: copy tftp flash
– Cisco IOS• normálne operácie• spúštanie priamo z flash alebo prekopírovanie do RAM a spustenie z
RAM• niektoré obrazy sa musia dekomprimovať
• hodnota v konfiguračnom registri– určuje, ktorý mód je prednastavený (ktorý sa nahrá do RAM
a spustí sa pri štarte smerovača)• cvičenie (e)
2.6 Štart serveraInicializácia smerova ča
• nabootovanie– testovanie funkčnosti hardvéru - POST (power-on self test ) - CPU, pamäť, porty– inicializácia IOS pre činnosť
• nahratie operačného systému– prednastavený postup jeho hľadania - flash pamäť, TFTP server, ROM– alebo iný postup podľa hodnoty v konfiguračnom registri– po načítaní - výpis dostupného hardvéru a softvéru na konzolový terminál
• nahratie konfiguračného súboru– postup jeho hľadania - NVRAM, TFTP server, konzola (setup mód)– ak sa nájde - spustenie smerovacích procesov, priradenie adries portom atď.– ak sa nenájde spustí sa setup mód - minimálna konfigurácia smerovača
• štandardné hodnoty sú uzatvorené v [ ]• prerušenie setup módu Ctrl+C - všetky porty sa administratívne vypnú• ukončenie setup módu: 0 - neuloženie konfigurácie, prechod do príkazového
riadku, 1 - návrat ku konfigurovaniu bez uloženia, 2 - uloženie do NVRAM a odchod zo setup módu
• cvičenie+– nastavenie smerovača cez setup mód
2.7 LED indikácia smerova ča
• líši sa model od modelu• OK LED
– svietiaca zelená - systém naštartoval korektne
• LED pri portoch– blikajúca LED - aktivita na porte– svietiaca LED - extrémne zaťaženie portu– vypnutá LED pri zapojenom porte - možný problém
2.8 Prezeranie výpisu pri štarte
• výpis: „NVRAM invalid, possibly due to write erase“– smerovač ešte nebol konfigurovaný– alebo bola NVRAM vymazaná– smerovač treba:
• nakonfigurovať• uložiť konfiguráciu do NVRAM• prípadne nakonfigurovať na použitie konfigurácie z NVRAM• štandardné výrobné nastavenie registra: 0x2102
– určuje načítanie IOS z flash pamäte
• informácie z výpisu pri štarte– verzia bootovacieho programu– verzia IOS– model smerovača– množstvo pamäte (NVRAM, flash)– počet a typ rozhraní
2.9 Programy na terminálovúemuláciu
• Windows 95/98/NT/2000/XP/2003– HyperTerminal (hypertrm.exe)– ProComm Plus
• Windows 3.11– Terminal
• Macintosh– ProComm, VersTerm, ZTerm
• Unix/Linux– Minicom
2.10 Prihlásenie na smerova č
• cez terminál alebo vzdialený prístup• hierarchia módov uživateľského rozhrania
– užívateľský EXEC mód - disable– privilegovaný EXEC mód - enable
• globálny konfiguračný mód, má špecifické podmódy:– interface - rozhrania– subinterface - podrozhrania– line– router - smerovanie– router-map
• (návrat do privilegovaného módu príkaz: exit alebo Ctrl+Z )
• nastavenie hesla pre privilegovaný mód– enable secret heslo– alebo: enable password heslo
2.11 Klávesová nápomoc
• príkaz: ? - výpis možných príkazov, parametrov• ak je výpis dlhý objaví sa správa: --More--
– <medzerník> - ďalšia strana– <Enter> - rolovanie po riadku– iná klávesa - návrat na prompt
• príkazy sa môžu písať skratkami– napríklad: namiesto enable stačí ena– príkazy sa automaticky dokončievajú klávesou: <Tab>
• chyba v zadanom príkaze je označená: ^• viacnásobné použitie pomoci: (chceme nastaviť čas na
smerovači)– cl? - vypíše všetky príkazy začínajúce na „cl“ (clear, clock)– clock ? - vypíše všetky parametre príkazu „clock“ (set)– clock set ? - vypíše parametre pre príkaz „clock set“ (hh:mm:dd), atď
• cvičenia (e)– príkaz ?– automatické dokončovanie
2.12 Vylepšená editácia
• na začiatok riadku - Ctrl+A• na koniec riadku - Ctrl+E• o znak dozadu - Ctrl+B alebo <šípka do ľava>• o znak dopredu - Ctrl+F alebo <šípka doprava>• o slovo dozadu - Esc+B• o slovo dopredu - Esc+F
• vypnutie vylepšenej editácie, príkazom z privilegovaného EXEC módu– terminal no editing– opätovné povolenie: terminal editing
• signalizácia riadka dlhšieho ako obrazovka, znak: $
2.13 História príkazov
• štandardne je história povolená• počet príkazov histórie:
– príkaz: terminal history size 32– alebo: history size 32– maximum je 256
• zobrazenie histórie:– show history
• listovanie v histórii:– dozadu: Ctrl+P alebo <šípka hore>– dopredu: Ctrl+N alebo <šípka dole>
2.14 Príkaz show version
• príkaz show version zobrazí– verziu IOS a popisnú informáciu– bootovaciu ROM verziu– boot ROM verziu– čas behu smerovača– metóda posledného reštartu– súbor systémového obrazu a jeho umiestnenie– platformu smerovača– nastavenie konfiguračného registra
• cvičenie+– základy príkazového riadku
3 KONFIGURÁCIA SMEROVA ČOV
• príkazové módy• konfigurácia mena, hesiel• konfigurácia sériových a ethernetových
portov• príkaz show• zmeny konfigurácie• popis portu a MOTD• tabuľka hostov• zálohovanie konfigurácie
– TFTP server– zachytávanie textu
3.1.1 Príkazové módy
• globálny konfiguračný mód– celkové nastavenie smerovača– všetky konfiguračné zmeny začínajú z tohto módu– má špecifické konfiguračné módy– vstup do globálneho konfiguračného módu
• Router#configure terminal
– špecifické konfiguračné módy• interface, line, router, subinterface, controller atď
– návrat do globálneho konfiguračného módu• Router(config-if)#exit
– návrat do privilegovaného módu• Router(config-if)#Ctrl+Z
3.1.2 Konfigurácia mena smerova ča
• meno nastavíme príkazom– Router(config)#hostname Zilina
• cvičenie– príkazové módy a pomenovnie smerovača
3.1.3 Konfigurácia hesiel smerova ča
• heslo pre konzolu– Router(config)#line console 0– Router(config-line)#login– Router(config-line)#password cisco
• heslo pre telnet (pre pripojenia 0 až 4)– Router(config)#line vty 0 4– Router(config-line)#login– Router(config-line)#password cisco
• heslo pre privilegovaný mód– Router(config)#enable password cisco
• používa ak nie je nastavené enable secret• nie je kryptované! Možno ho prečítať pomocou show running-config
– Router(config)#enable secret cisco• má prednosť pred enable password• je kryptované MD5
• zapnutie jednoduchého kryptovania pre nekryptované heslá– Router(config)#service password-encryption
• cvičenie– nastavenie hesiel na smerovači
3.1.4 Príkaz show
• príkaz show ?– všetky možnosti príkazu show– rozdielne v užívateľskom a privilegovanom móde
• Router#show interfaces - štatistika pre všetky rozhrania• Router#show interfaces serial 0/0• Router#show controllers serial 0/0 - informácie o hardvéri rozhrania• Router#show clock - čas na smerovači• Router#show users - pripojení užívatelia• Router#show history - história zadaných príkazov• Router#show flash - flash pamäť, súbory IOS v nej• Router#show version• Router#show arp - ARP tabuľka• Router#show startup-config - počiatočná konfigurácia v NVRAM• Router#show running-config - bežiaca konfigurácia v RAM• cvičenie
– používanie príkazu show
3.1.5 Konfigurácia sériového portu• Postup
– vstup do konfiguračného módu rozhrania– zadanie IP adresy a masky podsiete– ak je rozhranie DCE, tak zadanie frekvencie hodín– zapnutie rozhrania
• Router(config)#interface Serial 0/0• Router(config-if)#ip address 192.168.1.1 255.255.255.0• Router(config-if)#clock rate 56000
– iba pre DCE zariadenie (pre DTE zariadenie sa tento bod preskočí)– možné hodnoty - 1200, 2400, 9600, 19200, 38400, 56000, 64000, 72000,
125000, 148000, 500000, 800000, 1000000, 1300000, 2000000, 4000000• Router(config-if)#no shutdown - zapnutie rozhrania• Router(config-if)#exit
• (ak treba, rozhranie sa vypína príkazom shutdown)• cvičenie
– konfigurácia sériového portu
3.1.6 Zmeny konfigurácie
• zmeniť konfiguráciu, napríklad zapnúť rozhranie:– Router(config-if)#no shutdown
• otestovať výsledok zmeny– Router#show running-config
• ak sú zmeny vporiadku, konfiguráciu uložiť pomocou:– Router#copy running-config startup-config alebo– Router#copy running-config tftp
• ak zmeny nie sú podľa očakávania, tak ich odstránime:– Router(config)#no ... - opačnou formou konfiguračného príkazu, alebo– Router#copy startup-config running-config - načítanie konfigurácie z
NVRAM, alebo– Router#copy tftp running-config - načítanie konfigurácie z TFTP servera,
alebo– Router#erase startup-config– Router#reload - vymazanie počiatočnej konfigurácie a reštart smerovača
• cvičenie– zmeny v konfigurácii
3.1.7 Konfigurácia ethernetového portu
• Postup– vstup do konfiguračného módu rozhrania– zadanie IP adresy a masky podsiete– zapnutie rozhrania
• Router(config)#interface FastEthernet 0/0• Router(config-if)#ip address 192.168.2.1 255.255.255.0• Router(config-if)#no shutdown - zapnutie rozhrania• Router(config-if)#exit
• (ak treba, rozhranie sa vypína príkazom shutdown)
• cvičenie– konfigurácia ethernetového portu
3.8 Ukončenie konfiguráciePopis portu
• zapísanie dôležitých informácii– smerovač, číslo okruhu alebo sieťového segmentu atď.– neovplyvňujú funkciu smerovača (iba informujú)– popis je vytvorený podľa jednotného štandardu pre
všetky porty– popis sprehľadňuje konfiguráciu a urýchľuje riešenie
problémov
• príkazy– Router(config)#interface FastEthernet 0/0– Router(config-if)#description Ucitelska LAN, Budova c.5– Router(config-if)#exit
• cvičenie– popis portu
3.9 Oznam pri prihlasovaní(MOTD)
• oznámenie informácií týkajúcich sa všetkých v sieti– napr. plánovanie vypnutie smerovača
• MOTD - message of the day
• príkaz– Router(config)#banner motd # Vstupili ste do
zabezpeceneho systemu, dovoleny je IBA autorizovanypristup! #
– oddeľovací znak je #– musí byť medzera medzi znakom # a ďalším textom
• cvičenie– nastavenie oznamu
3.10 Rozlišovanie mien hos ťov
• spojenie mena hosťa s jeho IP adresou• ak chceme komunikovať s iným zariadením
pomocou jeho mena, musí existovať tabuľka hosťov– riadok tabuľky obsahuje meno a príslušnú IP adresu
• mená hosťov platia iba na smerovači, na ktorom súnastavené– DNS mená majú širšiu platnosť
• príkazy– Router(config)#ip host Lab_A 10.0.1.1 10.0.2.1– Router(config)#ip host Lab_B 10.0.5.1 10.0.9.2 atď.– Router(config)#exit– Router#ping Lab_A– Router#telnet Lab_A
• cvičenie– tabuľka hosťov
3.11 Zálohovanie a dokumentovanie konfigurácie
• správa zariadenia zahŕňa– zobrazenie a porovnanie konfigurácii na bežiacich
zariadeniach– uloženie konfiguračných súborov na sieťových serveroch– inštalácia a modernizácia softvéru
• záloha konfigurácie je možná na:– sieťový server– TFTP server– pevný disk na bezpečnom mieste
• záložná konfigurácia sa používa v prípadeproblémov, obsahuje aj dokumentáciu s doplnkovými informáciami
3.12 Zálohovanie konfigurácie na TFTP server
• musí byť nakonfigurovaný a pripojený TFTP server!• vytvorenie zálohy
– Router#copy running-config tftp– zadať IP adresu TFTP servera– zadať meno konfiguračného súboru
• pravidlá pomenovania sú prebraté so systému UNIX– potvrdiť voľbu
• obnovenie zálohy zo servera– Router#copy tftp running-config– vybrať hosťovský alebo sieťový konfiguračný súbor
• host - konfiguračné príkazy pre jedno zariadnie (doporučené)• network - príkazy pre nastavenia všetkých smerovačov a terminálových
serverov v sieti– zadať IP adresu TFTP servera– zadať meno konfiguračného súboru– potvrdiť voľbu
3.13 Zálohovanie konfigurácie so zachyteným textom
• v nakonfigurovanom smerovači prejsť do privilegovaného módu• v Hypertermináli zvoliť z Menu voľbu:
– Prenos / Zachytávať text– zadť meno a umiestnenie textového súboru pre zachytený text– potvrdíme tlačidlom: Spustiť
• vypísať celú konfiguráciu príkazom:– Router#show running-config– pri oznamoch - More - stláčať medzeru
• ukončiť zachytávanie textu z Menu voľbou:– Prenos / Zachytávať text / Ukončiť
• upraviť vzniknutý konfiguračný súbor– vymazať riadky obsahujúce: Show running-config, Building configuration,
Current configuration:, - More -, a riadky za slovom "End“– na koniec sekcie konfigurácie každého portu pridať príkaz: no shutdown– riadky so zakryptovanými heslami prepísať na textové heslá
• enable secret cisco– uložiť zmeny
3.14 Načítanie konfigurácie so zachyteným textom
• vymazať počiatočnú konfiguráciu a reštartovať smerovač:– Router#erase startup-config– Router#reload
• prejsť do všeobecného konfiguračného módu:– Router(config)#
• v Hypertermináli zvoliť z Menu voľbu:– Prenos / Odoslať textový súbor– nájsť požadovaný súbor a potvrdiť tlačidlom: Otvoriť
• konfigurácia sa načítáva– sledovať prípadné chyby!
• otestovať funkčnosť konfigurácie• uložiť konfiguráciu:
– Router#copy running-config startup-config
• cvičenie– konfigurácia so zachyteným textom
4 ZISŤOVANIE INFORMÁCIÍ O INÝCH ZARIADENIACH
• informácie o susedoch– CDP - Cisco Discovery Protokol– príkazy CDP– riešenie problémov
• informácie o vzdialených zariadeniach– telnet a jeho používanie– alternatívne testy pripojenia
• ping, traceroute, show ip route
4.1 Informácie o susedoch.Úvod do CDP
• CDP - Cisco Discovery Protokol• protokol 2. linkovej vrstvy• prepája fyzické médium s protokolmi horných vrstiev• zisťuje informácie o susediacich Cisco zariadeniach
– typ zariadenia, porty, model zariadenia– iba priamo pripojené zariadenia
• nezávislý od média a protokolu• beží na všetkých Cisco zariadeniach
– cez SNAP (Subnetwork Access Protokol)• CDP verzia 1 (IOS 10.3 až 12.0(3)T)• CDP verzia 2 (od verzie IOS 12.0(3)T)• po štarte zariadenia sa spustí automaticky• periodicky sa posielajú informácie - inzerovanie• počúva informácie od ostatných• správy obsahujú aj svoju životnosť (aktuálnosť informácie)
4.2 Získavanie informácií cez CDP
• hlavný príkaz: show cdp neighbors• zobrazenie informácií získaných cez CDP• CDP posiela TLV (type length values)
– bloky informácií o zariadeniach vložené do CDP
• zobrazovanie informácií– ID zariadenia, lokálny port, životnosť informácie,
schopnosti, platforma, ID portu
• CDP verzia 2 pridala– VTP manažovacie doménové meno, materská VLAN,
informácie o duplexe
• získanie informácií o nepriamo pripojenom zariadení– pripojenie sa cez telnet k susediacemu zariadeniu
4.3 Realizácia, monitorovanie, udržiavanie CDP
• cdp run - spustenie CDP na celom smerovači• no cdp run - vypnutie CDP
– na niektorých portoch (asynchrónnych) je CDP štandardne vypnuté
• cdp enable - spustenie CDP na porte• show cdp - základné informácie• show cdp traffic - premávka• show cdp entry Rt2 - informácie o určitom susedovi (Rt2)• show cdp interface serial 0/0 - informácie o porte s CDP• show cdp neighbors - zariadenia, ktoré sú monitorované• clear cdp counters - nulovanie počítadiel premávky
• cvičenie (e)• cvičenie+
– vytvorenie mapy siete
4.4 Riešenie problémov s CDP
• clear cdp table - vymazanie tabuľky • show debugging
• debug cdp adjacency
• debug cdp events - udalosti
• debug cdp ip
• debug cdp packets
• cdp timer - nastavenie periódy posielania CDP informácií
• cdp holdtime - nastavenie životnosti posielaných informácií
• cvičenie– príkazy CDP +
– ARP (e)
4.5 Informácie o vzdialených zariadeniach. Telnet
• telnet– vty– virtuálny terminálový protokol– jednoduchý a univerzálny aplikačný program
• nezabezpečení spojenie– je to príkaz IOS– časť TCP/IP– pripojenie sa k vzdialeným staniciam– sieťový terminál– odskúšanie 7. aplikačnej vrstvy OSI medzi zdrojom a
cieľom– závisí na TCP– smerovač môže mať naraz 5 paralelných pripojení
• má 5 telnetových liniek• iné testovacie príkazy
– ping, traceroute, show ip route - 3. sieťová vrstva– show interface - 1. 2. 3. vrstva OSI
4.6 Vytvorenie telnet pripojenia
• možnosti vytvorenia telnet pripojenia– Router>telnet paris– Router>connect paris– Router>125.32.57.206– Router>paris
• mená cieľových smerovačov môžeme použiťiba pri aktívnej DNS alebo tabuľke hosťou– v opačnom prípade musíme použiť IP adresu
• ukončenie telent pripojenia– príkaz: exit– automaticky po 10 minútach nečinnosti
• cvičenie+
4.7 Prerušenie a ukon čenie telnet pripojenia
• môžeme na potrebný čas prerušiť telnet pripojenie, pracovaťlokálne alebo vytvoriť ďalšie telnet pripojenie– pozor si treba dať, na to, ktorý smerovač máme aktuálne aktívny, aby
sme zmeny robili na zamýšľanom smerovači a nie omylom na inom!
• Router2>Ctrl+Shift+6 x - prerušenie spojenia• Router1>Enter - návrat do posledného prerušeného telnet
spojenia• alebo Router>resume 2 - návrat do prerušeného telnet
pripojenia s ID=2• ...• Router1>show sessions - akívne telnet pripojenia• Router1>disconnect Router2 - ukončenie telnet pripojenia• Router1>session limit 3 - max. počet telnet pripojení• cvičenie+
4.8 Alternatívne testy pripojenia
• príkaz ping– pošle dáta cieľu a čaká na odozvu– zistenie spoľahlivosti trasy k cieľu, oneskorenie na trase– zistenie či je cieľ dosiahnuteľný a aktívny– používa protokol ICMP– prístupové zoznamy (access list) môžu zrušiť odozvu cieľa
• nezistíme skutočnú aktivitu cieľa– výstup - ! - prijatá odozva– výstup - . - odozva neprišla v stanovenom čase
• príkaz traceroute– podobné ako ping, ale testuje pripojenie krok po kroku k
cieľu– nedosiahnuteľný ďalší krok sa označuje: * * *– preskočenie jedného kroku: Ctrl+Shift+6
• príkaz show ip route– smerovacia tabuľka (podrobnosti neskôr)
• cvičenie+
4.9 Riešenie problémov s IP adresovaním
• sú to najčastejšie problémy• ping
– používa ICMP protokol na otestovanie hardvérového pripojenia a IP adresy sieťovej vrstvy
– základný testovací mechanizmus• traceroute
– lokalizuje chyby na trase medzi zdrojom a cieľom• telnet
– testuje softvér aplikačnej vrstvy medzi zdrojom a cieľom– najkomplexnejší testovací mechanizmus
• cvičenie+
5 MANAŽOVANIE CISCO IOS SOFTVÉRU
• postup hľadania IOS a konfigurácie pri štarte
• príkazy boot system
• konfiguračný register
• riešenie problémov s bootovaním
• súborový systém IOS
• záloha a obnova IOS– TFTP
– Xmodem
5.1 Štart smerova ča
• smerovač sa musí spoľahlivo pripojiť ku všetkým nastaveným sieťam
• postup štartovania (bootovania)– test hardvéru smerovača– hľadanie a spustenie Cisco IOS softvéru
• flash, TFTP, ROM
– nájdenia a aplikovanie konfigurácie• NVRAM, TFTP, konzola
5.2 Postup h ľadania IOS
• záleží to od platformy• veľa smerovačov používa príkazy boot system z
NVRAM• IOS umožňuje viacej nastavených alternatív
– normálny režim– núdzový režim
• postup hľadania– podľa nastavenia konfiguračného registra– podľa príkazov boot system v NVRAM– ak príkazy boot system v NVRAM nie sú, nahrá sa IOS z
flash– ak je flash pamäť prázdna, nahrá sa IOS zo siete z TFTP
5.3 Používanie príkazov bootsystem
• Router(config)#boot system flash novy-image– nastavenie bootovania špeciálneho obrazu z flash– odolné voči chybám siete
• Router(config)#boot system tftp novy-image 172.16.54.198– nastavenie bootovania z TFTP servera– používa sa, ak je IOS vo flash poškodený
• Router(config)#boot system rom– nastavenie bootovania z ROM pamäte– obmedzené možnosti IOS
• konfigurácia musí byť uložená v NVRAM– Router#copy running-config startup-config
• cvičenie+
5.4 Konfigura čný register
• jeho nastavenie určuje poradie hľadania IOS• Router(config)#config-register 0x2102
– má 16 bitov– jeho nastavenie nevidno cez show running-config, ale cez show version– posledné 4 bity (posledná číslica) určujú poradie hľadania IOS– ostatné bity (číslice) ostávajú nezmenené (určujú iné veci)
• používané hodnoty v registri, ktoré nastavujú poradie hľadania IOS– 0xnnn0 (n - sú pôvodné číslice)
• po naštartovaní sa spustí ROM monitor mód• príkaz b v tomto móde spustí IOS manuálne
– 0xnnn1• staršie platformy (C1600, C2500) - naštartujú do obmedzeného IOS z ROM• novšie platformy (C1700, C2600) - naštartujú z prvého obrazu vo flash
pamäti– 0xnnn2 až 0xnnnF
• načítanie a použitie príkazov boot system z NVRAM pamäte• postupne sa spúšťajú jednotlivé príkazy boot systém, pokiaľ sa nepodarí
nájsť IOS• ak sa to nepodarí alebo žiadne príkazy boot system nie sú v NVRAM,
naštartuje sa z prvého obrazu vo flash pamäti
5.5 Riešenie problémov s bootovaním
• možné dôvody nesprávneho nabootovania systému– nesprávne alebo chýbajúce príkazy boot systém v
konfiguračnom súbore• skontrolovať, opraviť, vymazať, doplniť
– nesprávna hodnota v konfiguračnom registri• skontrolovať, nastaviť• štandardné hodnoty sú rôzne pre rôzne platformy
– poškodený súbor obrazu IOS• zobrazí sa chybové hlásenie• nahrať nový IOS do flash pamäte
– hardvérová chyba• ak sa nestalo nič vyššie uvedené• kontaktovať TAC (Cisco Technical Assistance Center)
• cvičenie+
5.6 Súborový systém IOSPrehľad
• každý softvérový komponent je uložený ako osobitný súbor v rôznych typoch pamätí– RAM - bežiaca konfigurácia– NVRAM - štartovacia konfigurácia– Flash - obraz operačného systému IOS
• rovnaké rozhranie prístupu ku všetkým súborom– rovnaká práca zo súbormi na všetkých médiach– od verzie IOS 12– IFS - Cisco IOS File System– URL konvencia na pomenovanie a umiestnenie súborov
• //umiestnenie/zložka/súbor
• bežné prefixy– bootflash: flash: flh: ftp: nvram: rcp: Slot0: Slot1: system:
Tftp:
5.6a Súborový systém IOS
• príkazy od verzie IOS 12.x• copy tftp: system:running-
config• copy tftp: nvram:startup-
config
• more nvram:startup-config
• erase nvram:
• copy system:running-confignvram:startup-config
• copy system:running-configtftp
• more system:startup-config
• príkazy pred verziou 12.0• configure network (< v.10.3)• copy tftp running-config• configure overwrite-network
(< v.10.3)• copy tftp startup-config• show configuration (<
v.10.3)• show startup-config• write erase (< v.10.3)• erase startup-config• write memory (< v.10.3)• copy running-config startup-
config• write network (< v.10.3)• copy running-config tftp• write terminal (< v.10.3)• show running config
5.7 Špeciálne možnosti v IOS
• zapísané v názve obrazu IOS– c2600-js -l_121-3.bin (enterprise s rozšírenými
možnosťami)
• Základné (basic)– IP, IP/FW
• Plus– pridnanie ďalľích možnoatí
– IP Plus, IP/FW Plus, Enterprise Plus• Kryptovanie (Encryption)
– 56-bitové kryptovanie dát kombinované zo základnými alebo plus moťnosťami
– --k8 - kryptovanie do 64-bitov (od IOS12.2)
5.8 Záloha IOS na TFTP server
• zálohovanie IOS na TFTP server– Router#copy flash tftp
• obnova alebo upgrade IOS z TFTP servera– Router#copy tftp flash
– môže byť požiadavka na vymazanie flash
(obyčajne, ak v nej nie je dosť miesta)
• cvičenie+
5.9 Obnova IOS cez Xmodem
• používa sa pri vymazanom alebo poškodenom IOS vo flash– nutnosť obnoviť IOS cez ROM monitor mód (ROMmon)
• postup zisťovania zlyhania štartu IOS– zistiť obsah flash
• rommon 1>dir flash:– ak tam IOS je, skúsiť ju nabootovať:
• rommon 1>boot flash:c2600-is-mz.121-5– ak obraz naštartuje správne, treba zistiť dôvod jeho
neštartovania automaticky• skontrolovať register: show version• skontrolovať boot system príkazy: show startup-config
– ak obraz nenaštartuje správne alebo žiaden nie je• nahrať do flash nový obraz IOS cez ROM monitor cez TFTP
alebo Xmodem
5.9a Obnova IOS cez Xmodem• vstup do ROM monitor módu
– CTRL+Break pri štarte alebo register 0x2100• možnosť prenosu 9600 b/s alebo zvýšenie prenosu na
maximálne 115200 b/s príkazom– rommon 1>confreg– po zvýšení rýchlosti prenosu, reštarovať smerovač do
ROM monitora• nahratie IOS cez Xmodem
– rommon 1>xmodem -c c2600-is-mz.122-10a.bin– -c znamená kontrolu pri prenose– upozorní na zmazanie flash pamäte– zadať umiestnenie IOS súboru na počitači cez
HyperTerminal• MENU / Prenos / Odoslať súbor• prenosový protokol zadať: Xmodem
• vrátenie prenosovej rýchlosti a registra do pôvodných hodnôt (9600b/s, 0x2102)
• cvičenie+– obnova hesla (rommon 1>confreg 0x2142)– obnova IOS cez Xmodem
5.10 Premenné prostredia
• obnova IOS cez ROM monitor cez TFTP server– zadanie premenných prostredia– neexistuje štartovací konfiguračný súbor– obnova je možná cez prvý Ethernetový port
• zadávanie premenných– IP_ADDRESS=192.168.32.64– IP_SUBNET_MASK=255.255.255.0– DEFAULT_GATEWAY=192.168.32.202– TFTP_SERVER=192.168.32.202– TFTP_FILE=c2600-is-mz.122-10a.bin
• kontrola nastavenia– rommon 10>set
• príkaz na prenos IOS– rommon 11>tftpdnld– potvrdiť upozornenia a prenos sa začne
• reštart smerovača– rommon 11>i
5.11 Kontrola súborového systému
• show version– kontrola aktuálneho obrazu– kontrola množstva flash pamäte– kontrola registra
• show flash– kontrola aktuálneho obrazu– kontrola množstva flash pamäte pre nový obraz
6 SMEROVANIE A SMEROVACIE PROTOKOLY
• statické a dynamické smerovanie• nastavenie statického smerovania• štandardná cesta• riešenie problémov statického smerovania• autonómny systém• triedy smerovacích protokolov
– vektor vzdialenosti– stav spoja
• nastavenie dynamického smerovania• smerovacie protokoly
6.1 Úvod do statického smerovania
• smerovanie (routing)– proces, ktorý smerovač používa na posúvanie paketu do
jeho cieľovej siete• smerovač sa rozhoduje na základe cieľovej IP adresy
v pakete– všetky zariadenia pozdĺž cesty používajú túto cieľovú IP
adresu na správne nasmerovanie paketu• aby sa smerovače vedeli správne rozhodnúť, musia
sa naučiť, ako dosiahnuť cieľovú sieť– dynamické smerovanie
• informácie o cieľovej sieti sa naučia od ostatných smerovačov• pri zmene topológie siete sa zmeny aplikujú automaticky
– statické smerovanie• informácie o cieľovej sieti sa zadajú do smerovača ručne• pri zmene topológie siete sa musia aj zmeny urobiť ručne• v malých sieťach je to výhodné• vo veľkých vyžaduje veľa administratívneho času (používa sa na
špeciálne účely spolu s dynamickým smerovaním)
6.2 Nastavenie statického smerovania
• operácie– nakonfigurovanie smerovača administrátorom
• pre každú cieľovú sieť jeden príkaz– smerovač si nainštaluje zadané cesty do smerovacej
tabuľky• ak port, cez ktorý sa má smerovať nie je zapnutý, cesta sa do
smerovacej tabuľky nenainštaluje– statické cesty sú používané na smerovanie paketov
• Router(config)#ip route 172.16.1.0 255.255.255.0 s0– parametre príkazu: cieľová sieť s maskou, východzí port– ak potrebuješ poslať paket do siete 172.16.1.0/24, tak ho
pošli cez port s0• alebo Router(config)#ip route 172.16.1.0
255.255.255.0 172.16.2.1– parametre príkazu: cieľová sieť s maskou, adresa
nasledujúceho skoku priamo pripojenej siete (next hop)– ak potrebuješ poslať paket do siete 172.16.1.0/24, tak ho
pošli na ip adresu 172.16.2.1, na ktorú si priamo pripojený
6.3 Administratívna vzdialenos ť
• ďalší nepovinný parameter príkazu ip route• vyjadruje spoľahlivosť cesty• číslo v intervale 0 až 255• nižšie číslo = vyššia spoľahlivosť• štandardná administratívna vzdialenosť pre statické cesty je 1• štandardná administratívna vzdialenosť pre priamo pripojené
siete je 0• ak existujú dve cesty k cieľovej sieti, do smerovacej tabuľky sa
zapíše tá s nižšou administratívnou vzdialenosťou• statickými cestami možno zálohovať dynamické cesty
– statickej ceste sa zadá vyššia administratívna vzdialenosť, ako dynamickej
– ak sa dynamická cesta nezistí, použije sa statická (náhradná)
• napríklad ip route 172.16.1.0 255.255.255.0 s0 130
6.4 Nastavenie štandardnej cesty
• štandardná cesta (default route)– použije sa, ak sa pre cieľovú sieť nenájde vhodnejšia cesta
v smerovacej tabuľke– je to špeciálny prípad statickej cesty– typicky sa používa pre smerovanie paketov do Internetu
• alebo do inej nadradenej siete• nie je možné vytvoriť smerovaciu tabuľku pre každú sieť v Internete
• nastavenie– Router(config)#ip route 0.0.0.0 0.0.0.0 s0– alebo Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.1
• logický súčin hocijakej IP adresy s maskou siete 0.0.0.0 je IP adresa siete 0.0.0.0
• každá IP adresa sa bude hodiť k tejto statickej ceste
6.5 Kontrola nastavenia statického smerovania
• kontrola správneho zadania statickej cesty– show running-config– ak je cesta nesprávna, musíme ju odstrániť
pomocou príkazu: no ip route 172.16.2.1 255.255.255.0 s0
• kontrola umiestnenia cesty v smerovacej tabuľke– show ip route
6.6 Riešenie problémov statického smerovania
• show ip route– obsah smerovacej tabuľky
• ping– odozva od cieľovej IP adresy– smerovanie na celej ceste je v poriadku
• traceroute– odozvy od jednotlivých článkov na ceste– zistíme pokiaľ smerovanie funguje a odkiaľ už nie
sú odozvy• cvičenie+
– statické smerovanie
6.7 Prehľad dynamick ého smerovania
Úvod do smerovacích protokolov• smerovacie protokoly (routing protocols)
– dorozumievanie sa medzi smerovačmi– budovanie a udržiavanie smerovacích tabuliek– RIP, IGRP, EIGRP, OSPF
• smerovateľné protokoly (routed protocols)– prenášanie užívateľských dát medzi smerovačmi– dodávajú informácie potrebné pre smerovanie
paketu• cieľová IP adresa
– IP, IPX
6.8 Autonónmy systém
• súbor sietí, ktoré sú pod spoločnou správou– delia Internet na menšie časti, ktoré sú ľahšie
manažovateľné
• zdieľajú spoločnú smerovaciu stratégiu– každý má svoje vlastné pravidlá a postupy
• identifikuje sa 16 bitovým číslom– prideľuje ho poskytovateľ internetu alebo
administrátor
• niektoré smerovacie protokoly ho vyžadujú– napríklad IGRP
6.9 Ciele smerovacích protokolov
• budovať a udržiavať smerovacie tabuľky– učí sa všetky cesty od susedných smerovačov– do smerovacej tabuľky vkladá tie najlepšie– odstraňuje cesty, ktoré sú už neplatné
• smerovacia tabuľka– obsahuje všetky naučené,staticky pridané a priamo pripojené siete s
ich priradenými portami• smerovač používa informácie zo smerovacej tabuľky na
smerovanie paketov smerovateľných protokolov• pri zmene topológie (zväčšovanie, zmeny konfigurácie,
chyby)– sa musí zmeniť aj informačná základňa o sieťach v smerovačoch– smerovač musí mať správny pohľad na sieť, aby správne smeroval
• konvergovaná sieť– všetky smerovače pracujú s rovnakými informáciami– rýchla konvergencia - zníženie času, kedy smerovače môžu
smerovať nesprávne, lebo nemajú ešte správne informácie
6.10 Triedy smerovacích protokolov
• vektor vzdialenosti (distance vector)– určuje smer a vzdialenosť k hocijakej linke v
intersieti
• stav spoja (link-state)– pozná presnú topológiu celej intersiete
6.11 Smerovací protokol vektora vzdialenosti (disatnce vector)
• periodicky sa posielajú smerovacie tabuľky medzi smerovačmi– každý smerovač prijíma (vysiela) celú smerovaciu tabuľku od (do)
každého svojho priamo pripojeného susedného smerovača• zabezpečenie aktuálnosti pri zmenách topológie• Bellman-Fordov algortimus• smerovače nepoznajú presnú topológiu intersiete
– vidia iba susedov• vzdialenosť priamo pripojenej siete - 0• metrika
– vyjadruje vzdialenosť, cenu, výhodnosť zvolenej cesty– počíta sa z rôznych parametrov
• počet smerovačov na ceste k cieľu (hops), oneskorenie, šírka pásma, spoľahlivosť, zaťaženie
– menšie číslo označuje lepšiu cestu• smerovacia tabuľka obsahuje
– celkovú cenu cesty (metriku)– logickú adresu prvého smerovača na tejto ceste
6.12 Smerovací protokol stavu spoja
• link-state, Dijkstraov algoritmus, algoritmus najkratšej cesty ako prvej (SPF - shortest path first)
• obsahuje komplexnú databázu informácií o topológii• časti protokolu
– inzerovanie stavu spoja (LSA - link-state advertisement)• malé pakety so smerovacími informáciami posielané medzi
smerovačmi– databáza topológie
• informácie získané z LSA– SPF algoritmus
• vypočítaný strom všetkých ciest k jednotlivým sieťam podľa údajov z databázy
• vrchol stromu je vlastný smerovač– smerovacia tabuľka
• zoznam najlepších ciest a portov vybraný z SPF stromu• pri zmene topológie sa táto rozosiela pomocou LSA
– znovu sa prepočítava strom ciest a smerovacie tabuľky
6.12a Smerovací protokol stavu spoja
• na zabezpečenie konvergencie má smerovačinformácie o susedoch– meno, stav portov, cena linky– používa sa špeciálne LSA pri zmenách a nových
susedoch• nevýhody
– zaťažovanie procesora• zložitý algoritmus
– nároky na pamäť• veľa uchovávaných informácií
– spotreba šírky pásma• pri počiatočnej výmene LSA• za normálnej prevádzky je minimálna (posielanie LSA iba pri
zmenách)
6.13 Prehľad smerovac ích protokolov
Výber cesty• hlavné funkcie smerovača
– výber cesty• na sieťovej vrstve• na adresovanie sa používa sieťová časť (IP) adresy• ohodnotenie jednotlivých ciest• výber najvhodnejšej (v smerovacej tabuľke)
– prepínanie• vnútorný proces• prijatie paketu na jednom porte a vyslanie paketu na
vybraný port toho istého smerovača• hlavne: správne zapúzdrenie pre výstupný port
(linková vrstva)• smerovacia tabuľka
– obsahuje páry informácií: cieľová adresa a ďalšískok (next hop) na ceste k cieľu
6.14 Nastavenie smerovania
• globálne parametre– výber smerovacieho protokolu
• RIP, IGRP, EIGRP, OSPF– Router(config)#router rip - zapnutie protokolu RIP– Router(config)#router igrp 54 - zapnutie protokolu IGRP s číslom
autonómneho systému 54– Router(config)#router eigrp 127 - zapnutie protokolu EIGRP s číslom
autonómneho systému 127– Router(config)#router ospf 15 - zapnutie protokolu OSPF s
procesným identifikačným číslom 15• smerovacie parametre
– zadanie IP adries priamo pripojených sietí, na ktorých sa bude protokol používať (prijímať a vysielať smerovacie tabuľky)
– Router(config-router)#network 172.15.0.0– Router(config-router)#network 201.8.198.0– RIP a IGRP pracujú iba z celými triedami sietí
• nezadáva sa maska podsiete• nevedia pracovať s podsieťami
6.15 Smerovacie protokoly
• internetová vrstva TCP/IP modelu používa– smerovateľný protokol IP– IP môže využívať rôzne smerovacie protokoly:
• RIP– protokol vektora vzdialeností (distance vector)– vnútorný– metrika - počet skokov k cieľu (hop count)– maximálny počet skokov 15 (ak je viac, paket sa vymaže)– vysielanie smerovacej tabuľky (broadcast) každých 30 sekúnd– RFC 1058
• IGRP– protokol vektora vzdialeností (distance vector)– vnútorný– metrika sa počíta sa z: šírka pásma, zaťaženie, oneskorenie,
spoľahlivosť– vysielanie smerovacej tabuľky (broadcast) každých 90 sekúnd
6.15a Smerovacie protokoly
• OSPF– protokol stavu spoja (link-state)– vnútorný– SPF algoritmom sa počíta najlepšia cesta k cieľu– zmeny smerovacej tabuľky sa šíria iba pri zmene topológie siete– neproprietárny, RFC 2328
• EIGRP– vylepšený protokol vektora vzdialeností (distance vector)– vnútorný– hodnotenie cesty - nerovnomerné vyrovnávanie záťaže– používa vlastnosti protokolov vektora vzdialeností aj stavu spoja– najkratšiu cestu počíta algoritmom DUAL– zmeny smerovacej tabuľky sa šíria iba pri zmene topológie siete– šírenie smerovacej tabuľky pomocou multicastu na adresu 224.0.0.10– proprietárny od firmy Cisco
• BGP– protokol vektora vzdialeností (distance vector)– vonkajší– smerovanie medzi poskytovateľmi internetu alebo poskytovateľom internetu a
klientom– smerovanie premávky medzi autonómnymi systémami
6.16 IGP a EGP
• IGP (Interior Gateway Protocol)– vnútorný smerovací protokol– RIP, IGRP, EIGRP, OSPF– použitie vo vnútri intersiete, ktorá je spravovaná jednou
firmou– použitie v jednom autonómnom systéme– najdôležitejšia časť - metrika a jej použitie
• EGP (Exterior Gateway Protocol)– vonkajší smerovací protokol– BGP– použitie medzi rôznymi intersieťami rôznych firiem– použitie medzi rôznymi autonómnymi systémami
• izoluje jednotlivé autonómne systémy– potrebné informácie
• zoznam susedných smerovačov s ktorými sa budú vymieňaťsmerovacie informácie
• zoznam sietí, ktoré sa budú inzerovať, ako priamo pripojené• číslo autonómenho systému lokálneho smerovača
7 SMEROVACIE PROTOKOLY VEKTORA VZDIALENOSTI
• aktualizácie• smerovacie slučky a ich potlačenie
– definovanie maximálneho počtu– rozdelený horizont– otrávenie smerovania– aktualizácie spúšťané zmenami– časovače potlačenia
• RIP– proces, konfigurácia, vyrovnávanie záťaže
• IGRP– znaky, metrika, cesty, stabilita, konfigurácia– prechod z RIP na IGRP
7.1 Aktualizácie smerovacieho protokolu vektora vzdialenosti
• aktualizácie– periodicky alebo pri zmene topológie siete– je dôležité, aby sa posielali efektívne
• zmeny topológie sa postupne posúvajú od smerovača k smerovači
• každý smerovač posiela celú smerovaciu tabuľku všetkým svojim susedom– smerovacia tabuľka nesie informáciu o celkovej cene cesty– cena cesty je definovaná metrikou
• počet skokov, oneskorenie, šírka pásma, spoľahlivosť, zaťaženie
– pre každú sieť uvedenú v tabuľke je v nej logická adresa prvého smerovača na ceste
7.2 Problémy smerovacích slu čiek
• smerovacie slučky– môžu sa vyskytnúť pri nestabilných neaktualizovaných smerovacích
tabuľkách– zapríčinené pomalou konvergenciou pri zmenách v sieti
• príklad– pred chybou v Sieti1 mali všetky smerovače správne smerovacie
tabuľky (konvergovaná sieť)– pre SmerovačC je vybraná cesta k Sieti1 cez SmerovačB, vzdialenosť
k Sieti1 je 3– Sieť1 zlyhá a už nekomunikuje, SmerovačE pošle aktualizácie
SmerovačiA, ten prestane smerovať pakety do Siete1– Smerovače B, C, D v smerovaní pokračujú, lebo o chybe nevedia– SmerovačA pošle aktualizácie Smerovačom B, D, tie prestanú tiež
smerovať do Siete1– SmerovačC v smerovaní naďalej pokračuje, lebo o chybe stále nevie– SmerovačC pošle periodickú aktualizáciu SmerovačiD, k Sieti1 je v nej
uvedená cesta cez SmerovačB– SmerovačD upraví svoju smerovaciu tabuľku podľa tejto chybnej
informácie a pošle aktualizácie SmerovačiA– SmerovačA pošle chybné informácie Smerovačom B, E a proces
pokračuje– hocijaký paket určený do Siete1 bude obiehať dookola po
7.2a Problémy smerovacích slučiek
7.3 Definovanie maximálneho počtu
• chybné informácie o Sieti1 budú obiehať stále dookola– pokiaľ ich nezastaví iný proces– obiehajú napriek tomu, že Sieť1 nefunguje– chyba, ktorá to zapríčinila sa volá: počítanie do nekonečna (count to
infinity)– počet skokov sa zväčšuje o 1 pri prechode paketu cez smerovač do
nekonečna• protokol vektora vzdialenosti je samoopravný
– definuje nekonečno, ako nejaké maximálne číslo– toto číslo je odvodené od metriky (môže byť jednoducho počet skokov)– smerovací protokol dovoľuje obiehať paketu pokiaľ metrika nepresiahne
toto maximálne číslo• napríklad
– maximálne číslo je 15, ak je počet skokov k cieli 16, tak je paket zmazaný a neposiela sa ďalej
• ak je metrika väčšia, ako povolené maximálne číslo, tak sa považuje sieť za nedosiahnuteľnú
7.4 Rozdelený horizont(split-horizon)
• niektoré smerovacie slučky sú zapríčinené poslaním nesprávnych informácii naspäť smerovaču od ktorého sme sa naučili správne smerovacie informácie
• príklad– Sieť1 je vypnutá, SmerovačA, pošle aktualizácie Smerovačom B, D o
tom, že Sieť1 je vypnutá– SmerovačC pošle periodickú aktualizáciu SmerovačiB, k Sieti1 je v nej
uvedená cesta cez SmerovačD so vzdialenosťou 4– SmerovačB nesprávne usúdi, že SmerovačC má stále cestu k Sieti1, aj
keď s nižšou metrikou– SmerovačB pošle aktualizáciu SmerovačiA, ktorá informuje o novej
ceste k Sieti1– SmerovačA teraz usúdi, že pakety do Siete1 môže smerovať cez
SmerovačB, ten cez SmerovačC, ten cez SmerovačD a ten cez SmerovačA. Vznikne slučka.
• rozdelený horizont zabraňuje tejto situácii– ak pošle SmerovačA aktualizácie o Sieti1 Smerovačom B, D, tieto
nesmú posielať informácie o Sieti1 naspäť SmerovačuA– znižuje sa počet nesprávnych smerovacích informácii aj preťaženie
smerovania
7.5 Otrávenie smerovania(route poisoning)
• používajú ho rôzne protokoly vektora vzdialenosti– zamedzenie veľkých smerovacích slučiek– posielajú detailné informácie, ak sa sieť stane nedostupnou– obyčajne metriku nastavia na číslo väčšie ako je povolené maximum
• príklad– ak Sieť1 sa stane nedostupnou, SmerovačE pošle aktualizácie
SmerovačiA so vzdialenosťou ku Sieti1 16 (oznamuje, že Sieť1 je nedostupná)
– otrávi smerovanie do Siete1– šíria sa smerovacie informácii o nedostupných sieťach s nekonečnou
metrikou– SmerovačA nie je potom ovplyvnený nesprávnymi smerovacími
informáciami z iných zdrojov– SmerovačA pošle naspäť SmerovačiE spätnú otrávenú smerovaciu
informáciu• uistenie, že všetky smerovače na segmente dostali otrávené smerovacie
informácie• pri posielaní otráveného smerovania hneď pri zmene topológie
sa urýchli konvergencia– susedné smerovače nemusia čakať na pravidelné informácie každých
7.6 Aktualiz ácie sp úšťanézmenami
(triggered updates)• nové smerovacie tabuľky sú posielané podľa určitých pravidiel
– RIP protokol posiela aktualizácie každých 30 sekúnd
• spúšťané aktualizácie– sú posielané okamžite pri zmenách v smerovacej tabuľke– rýchlejšie šírenie zmien cez susedné smerovače– používajú sa spolu s otráveným smerovaním na zaistenie rozoslania
informácii všetkým smerovačom o nedostupných sieťach pred vynulovaním časovačov potlačenia
– nečakajú na vypršanie aktualizačných časovačov, preposielajú sa hneď
7.7 Časova če potla čenia(holddown timers)
• zamedzenie počítania do nekonečna• ak prijme SmerovačA informáciu od suseda, že Sieť1, ktorá
bola dostupná sa stala nedostupnou– označí sieť za nedostupnú a spustí časovač potlačenia
• ak prijme SmerovačA počas funkčnosti časovača potlačenia informáciu od toho istého suseda, že Sieť1 je opäť dostupná– označí sieť za dostupnú a odstráni časovač potlačenia
• ak prijme SmerovačA počas funkčnosti časovača potlačenia informáciu od iného suseda, že Sieť1 je dostupná s lepšou metrikou– označí sieť za dostupnú a odstráni časovač potlačenia
• ak prijme SmerovačA počas funkčnosti časovača potlačenia informáciu od iného suseda, že Sieť1 je dostupná s horšou metrikou– aktualizácia je ignorovaná (potlačí sa a neberie sa do úvahy)
7.8 RIPSmerovací proces protokolu RIP
• otvorený štandard - RFC1058, STD56• hlavné vlastnosti
– smerovací protokol vektora vzdialenosti– metrika na výber najlepšej cesty je počet skokov– maximálny počet skokov je 15– štandardne posiela vysielaním smerovaciu tabuľku každých 30 sekúnd– všeobecná (broadcast) adresa je 255.255.255.255
• RIP verzia 1 - smerovací protokol podľa tried (classful)• RIP verzia 2 - smerovací protokol bez tried (classless)
– nesie ďalšie smerovacie informácie v pakete– autentifikačné mechanizmy pre bezpečné aktualizácie tabuliek– podpora podsieťových masiek s premenlivou dĺžkou (VLSM)
• maximálny počet skokov (hops) na ceste je 15– ochrana pred smerovacími slučkami– ak prijme aktualizáciu smerovacej tabuľky s novou alebo zmenenou cestou,
pripočíta k metrike jednotku (skok od samého seba)– ak je počet skokov 16, považuje sa cieľová sieť za nedostupnú
• RIP má schopnosti podobné u ostatných smerovacích protokolov– napríklad: rozdelený horizont, časovače potlačenie - na zabránenie šírenia
nepravdivých smerovacích informácii
7.9 Konfigurácia RIP protokolu
• Router(config)#router rip - zapnutie protokolu RIP• Router(config-router)#network 172.15.0.0• Router(config-router)#network 201.8.198.0
– adresy priamo pripojených sietí– oznámenie na ktorých portoch bude RIP bežať– smerovací proces si k sieťovým adresám priradí porty– cez tieto priradené porty posiela a prijíma smerovacie tabuľky
• RIP protokol si pamätá iba najlepšie cesty k cieľu– môže obsahovať aj viacej rovnocenných ciest s rovnakou metrikou
• väčšina protokolov posiela aktualizáciu tabuliek:– v časových intervaloch a aj spúšťaných zmenou topológie– RIP posiela aktualizácie iba v časových intervaloch– implementácia RIP od Cisco posiela aktualizácie aj pri zmene
konfigurácie (zvýši sa tým výkon protokolu)– aktualizácie pri zmene sú nezávislé na intervalových aktualizáciách
7.9a Konfigurácia RIP protokolu
• voliteľné časti konfigurácie– pridanie offsetu k smerovacej metrike– nastavenie časovačov– nastavenie verzie RIP protokolu– povolenie RIP autentifikácie– nastavenie sumarizácie ciest (route summarization) na porte– kontrola IP sumarizácie ciest– zakázanie automatickej sumarizácie ciest– spustenie IGRP a RIP konkurenčne– zakázanie potvrdzovania platnosti zdrojových IP adries– povolenie alebo zakázanie rozdeleného horizontu– pripojenie RIP do WAN siete
• cvičenie+– konfigurácia RIP
7.10 Používanie príkazu ipclassless
• smerovanie bez ohľadu na triedu IP adresy• supernet cesta
– je cesta, ktorá zahŕňa väčší rozsah podsietí do jednej cesty– napríklad: firma používa celú podsieť 10.10.0.0/16– supernet cesta pre podsieť 10.10.10.0/24 teda bude 10.10.0.0/16
• niekedy smerovač prijme paket, ktorého umiestnenie cieľovej podsiete nepozná, ale inú podsieť tej istej hlavnej siete mápriamo na seba pripojenú
• príkaz ip classless informuje IOS, aby smeroval takéto pakety na najlepšiu supernet cestu– štandardne je povolená na smerovačoch s IOS 11.3 a novších– príkaz ovplyvňuje iba smerovanie paketov– neovplyvňuje budovanie smerovacích tabuliek
7.10a Používanie príkazu ipclassless
• zakáže sa pomocou no ip classless– ak je ip classless zakázané, každý paket, ktorý patrí do podsieťovej
schémy smerovača je zmazaný a nesmeruje sa ďalej– je to typické pre smerovanie podľa tried (classful)– ak je časť hlavnej siete známa, ale paket je určený do časti hlavnej
siete, ktorá je neznáma, tak sa tento paket zmaže
• najviac na tomto pravidle smerovania mätie, že smerovačpoužíva štandardnú cestu iba vtedy, ak hlavná sieť pre cieľovúpodsieť nie je v smerovacej tabuľke– smerovač predpokladá, že všetky podsiete priamo pripojenej hlavnej
siete, by mali byť v smerovacej tabuľke– ak prijme paket, ktorý patrí do podsiete, ktorú nepozná, ale hlavnú sieť
tejto podsiete má priamo pripojenú, predpokladá, že takáto podsieťneexistuje. Preto paket zmaže, aj keď existuje štandardná cesta
– riešením je použitie príkazu ip classless, ktorý ignoruje hranice jednotlivých tried IP adries a jednoducho paket pošle na štandardnú
7.11 Ďalšia konfigurácia RIP
• smerovače s RIP protokolom sa musia spoliehať na niektoréinformácie od susedov– bežným termínom sa to označuje ako „smerovanie podľa klebiet“– RIP je protokol vektora vzdialenosti a preto s pomalou konvergenciou
• dôsledkom sú smerovacie slučky a počítanie do nekonečna– na potlačenie týchto problémov má RIP niektoré nástroje - rozdelený
horizont, spätné otrávenie smerovania, časovače potlačenia, aktualizácie spúšťané zmenou - niektoré sa dajú konfigurovať
• RIP dovoľuje maximálny počet 15 skokov k cieli– sieť, ktorá je ďalej sa označí za nedosiahnuteľnú– obmedzuje to použitie protokolu vo veľkých sieťach– obmedzuje to počítanie do nekonečna a smerovacie slučky
• rozdelený horizont– je založený na teórii, že nie je užitočné posielať informácie o ceste
naspäť smerovaču od ktorého som sa o tejto ceste dozvedel– niekedy je potrebné zakázať túto schopnosť– Router(config-if)#no ip split-horizon
7.11a Ďalšia konfigurácia RIP
• časovače potlačenia– pomáhajú odstrániť počítanie do nekonečna– spomaľujú konvergenciu– štandardne sú pre RIP 180 s– zabraňuje aktualizáciám chybným, ale aj správnym!– čas sa dá znížiť, na urýchlenie konvergencie, ale znižovať opatrne– ideálne by mal byť čas o niečo dlhší, ako najväčšia slučka v intersieti
• interval posielania aktualizácii– štandardne pre RIP je 30 s– skrátením sa zlepší čas konvergencie– predĺžením sa šetrí použitá šírka pásma– Router(config-router)#timers basic aktualizácia neplatný potlačenie
vymazanie [uspanie] - namiesto slov sa zadá čas v sekundách• nechcené inzerovanie smerovacích informácii na niektorom
porte– Router(config-router)#passive-interface serial 0/0– zakázanie vysielania aktualizácii protokolu na porte serial 0/0– prijíma sa ďalej
7.11b Ďalšia konfigurácia RIP
• výmena smerovacích informácii v ne-vysielacom prostredí(non-broadcast)– RIP je vysielací (broadcast) protokol– napríklad Frame Relay je prostredie bez vysielania, RIP protokolu
preto musíme zadať jeho susedov– Router(config-router)#neighbor 192.168.15.2
• rôzne verzie inzerovaných informácii– štandardne RIP vysiela aktualizácie iba vo verzii 1– štandardne RIP prijíma aktualizácie vo verziiách 1 aj 2– administrátor môže nastaviť potrebné verzie– Router(config-router)#version 1 - iba verzia 1 pre vysielanie aj príjem
pre celý smerovač– Router(config-if)#ip rip send version 1 2 - posielanie cez port verzie 1
aj 2– Router(config-if)#ip rip receive version 1 2 - prijímanie cez port verzie
1 aj 2
7.12 Overenie konfigurácie RIP
• show ip protocols– zobrazí, ktoré smerovacie protokoly prenášajú IP premávku na
smerovači– kontrolovať sa dajú ním takmer všetky nastavenia– kontrola, či je RIP protokol nastavený– či správne porty vysielajú a prijímajú RIP aktualizácie– či smerovač inzeruje správne siete
• show ip route– kontrola ciest v smerovacej tabuľke, ktoré boli prijaté cez RIP– cesty zistené cez RIP majú označenie „R“– sieť potrebuje určitý čas na konvergenciu, nové cesty sa nemusia v
tabuľke objaviť hneď
• ďalšie príkazy na kontrolu nastavenia RIP– show interface Serial 0/0– show ip interface Serial 0/0– show running-config
7.13 Riešenie problémov s RIP aktualizáciami
• najviac chýb v konfigurácii RIP je– v zadaní chybnej siete– v nesusediacich podsieťach– v rozdelenom horizonte
• debug ip rip– zobrazuje aktualizácie pri ich prijímaní aj posielaní– chyby nesusediacich podsietí alebo duplicitných sietí zistíme tým, že
smerovač o nich šíri metriku, ktorá je nižšia, akú prijal– nesusediace podsiete (discontiguous) - dve podsiete tej istej hlavnej
siete, ktoré sa nachádzajú v rôznych častiach intersiete• ak dokáže smerovací protokol šíriť informácie iba o hlavných sieťach a
nie o podsieťach (RIP v.1), tak môže šíriť chybné informácie
• ďalšie príkazy na riešenie problémov– show ip rip databaze - debug ip rip {events}– show ip protocols {summary} - show ip interface brief– show ip route - undebug all
• cvičenie+– konfigurácia a riešenie problémov RIP
7.14 Zakázanie aktualizácii cez port
• filtrovanie ciest reguluje cesty, ktoré sú inzerované alebo ktoré sú v smerovacej tabuľke– má to rozdielne účinky v protokoloch vektora vzdialenosti a
protokoloch stavu linky• protokoly vektora vzdialenosti
– sú založené na inzerovaní ciest, ktoré majú v smerovacej tabuľke– filtrujú sa teda cesty, ktoré smerovač inzeruje
• protokoly stavu linky– vyberajú cesty na základe databázy a nie na základe prijatých ciest
od susedov– filtrovanie nemá vplyv na inzerovanie ciest– nasledujúce informácie sú teda iba pre protokoly vektora vzdialenosti
(RIP, IGRP)• príkaz passive-interface
– vypína vysielanie smerovacích informácii cez port– prijíma sa ďalej– ostatné smerovače na sieti sa nemôžu naučiť cesty dynamicky!
• cvičenie+
7.15 Vyrovnávanie zá ťaže s RIP
• využitie viacnásobných paralelných najlepších ciest k cieľu• štandardne sú to pri protokole RIP 4 cesty
– maximálne 6
• pakety postupne posiela na jednotlivé paralelné cesty (roundrobin)– 1 2 3 4 1 2 3 4 atď
• metrika pri RIP protokole je počet skokov– neuvažuje o šírke pásma– pre RIP sú rovnocenné cesty s dvoma skokmi, kde jedna cesta je
56kb/s a druhá je 1,5Mb/s
• príkazom show ip route môžeme nájsť rovnako ohodnotenécesty– hviezdička je pri ceste, ktorá je na rade
7.16 Vyrovnávanie zá ťaže cez viacnásobné cesty
• cesty sú rozdelené na statické a dynamické smerovanie• keď sa smerovač naučí viacnásobnú cestu do určitej cieľovej
siete– do smerovacej tabuľky vloží cestu s najnižšou administratívnou
vzdialenosťou• keď sa smerovač naučí viacnásobnú cestu s rovnakou
administratívnou vzdialenosťou– do smerovacej tabuľky vloží cestu s najnižšou metrikou
• každý smerovací proces počíta svoju metriku rozdielne– metrika môže byť nastavená manuálne, ak potrebujeme vyrovnávať
záťaž• vyrovnávanie záťaže je teda možné pri viacnásobných
cestách– s rovnakou administratívnou vzdialenosťou aj metrikou
• maximálny počet paralelných ciest– obyčajne 6– EIGRP max. 4 cesty
• štandardný počet ciest
7.16a Vyrovnávanie zá ťaže cez viacnásobné cesty
• nastavenie max. počtu paralelných ciest pre smerovacíprotokol– Router(config-router)#maximum-paths 5
• IGRP používa šírku pásma pre určenie vyrovnávania záťaže• Cisco IOS podporuje dve metódy vyrovnávania záťaže pre
IP pakety• 1. vyrovnávanie záťaže podľa paketov
– ak je povolený prepínací proces– zapnutie: no ip route-cache
• 2. vyrovnávanie záťaže podľa cieľa– štandardne nastavené na smerovači– ak je povolené rýchle prepínanie (fast switching)– pre jednu cieľovú adresu je v cache iba jedna cesta– všetky pakety určené pre jednu cieľovú IP adresu pôjdu rovnakou
cestou– ak pakety smerujú do rôznych IP adries tej istej siete, môžu použiť
rôzne cesty– zapnutie: ip route-cache
7.16b Vyrovnávanie zá ťaže cez viacnásobné cesty
ProtokolAdministratívna
vzdialenos ťpriamo pripojené 0statické 1EIGRP sumárna cesta 5externá BGP 20EIGRP interná 90IGRP 100OSPF 110IS-IS 115RIP 120EIGRP externá 170interná BGP 200neznáma 255
7.17 Integrovanie RIP a statických ciest
• statické cesty– sú dôležité, ak sa smerovač nenaučí iným spôsobom cestu k cieľu– nastavenie brány poslednej možnosti (gateway of last resort), teda
štandardnej cesty– štandardná cesta sa dá získať z aktualizácii od iného smerovača– odstránenie statických ciest: Router(config)#no ip route– môžu zálohovať dynamické smerovanie
• ak sa statickým cestám nastaví nižšia administratívna vzdialenosť ako dynamickému protokolu
• označujeme ho ako: prechodné statické smerovanie• protokol RIP posiela susedom cez aktualizácie aj statické
cesty– u susedných smerovačov však strácajú svoju statickú podstatu (sú
naučené dynamicky)• ak je statická cesta nastavená na port kde nebeží RIP
protokol– musí sa zapnúť jej rozposielanie cez aktualizácie protokolu RIP– redistribute static
• statická cesta sa odstráni zo smerovacej tabuľky
7.18 IGRPZnaky IGRP
• vnútorný protokol vektora vzdialenosti, vyvinutý firmou Cisco• posielanie smerovacích aktualizácii
– každých 90 sekúnd– inzerujú všetky siete v jednom autonómnom systéme
• hlavné charakteristiky IGRP– všestranné spracovanie nejasných, zložitých topológii– pružnosť pri delení rôznych charakteristík šírky pásma a oneskorenia– rozšíriteľnosť na prácu vo veľmi veľkých sieťach
• výpočet metriky– štandardne z šírky pásma a oneskorenia– rozšíriteľne z šírky pásma, oneskorenia, zaťaženia a spoľahlivosti
7.19 Metrika IGRP
• show ip route– I 192.168.32.0/24 [100/80135] via 192.168.31.2 00:00:30– červeným je vypísaná metrika cesty– zobrazenie parametrov, filtrov a sieťových informácii o smerovacích
protokoloch na smerovači– konštanty pre výpočet metriky
• K1 šírka pásma, štandardne K1=1• K3 oneskorenie, štandardne K1=1• K2, K4, K5 štandardne 0
• kombinovaná metrika IGRP je presnejšia ako jednoduchámetrika RIP, ktorá počíta iba s počtom skokov– šírka pásma - najnižšia šírka pásma na ceste– oneskorenie - celkové oneskorenie na ceste– spoľahlivosť - spoľahlivosť na linke k cieľu, určená zo
životaschopnosti (keepalive)– zaťaženie - zaťaženie na linke k cieľu, založené na b/s
• metrika sa vypočíta ako funkcia uvedených parametrov linky• parametre šírky pásma a oneskorenia nie sú merané
– ale zadávajú sa príkazmi bandwith a delay
7.20 IGRP cesty
• vnútorné (interior)– cesty medzi podsieťami siete, ktorá je pripojená priamo na smerovač– ak žiadna sieť nie je podsieťovaná na portoch smerovača, interné
cesty sa neinzerujú• systémové
– cesty k sieťam v autonómnom systéme– neobsahujú informácie o podsieťach– Cisco IOS delí cesty na priamo pripojené a cesty naučené od iných
IGRP serverov• vonkajšie (exterior)
– cesty k sieťam mimo autonómneho systému– ak je určená brána poslednej možnosti (gateway of last resort)– IOS si ju vyberá z externých ciest, ktoré sú k dispozícii– brána sa používa, ak sa nenájde lepšia cesta– ak má autonómny systém viacej spojení s externou sieťou, jednotlivé
smerovače si môžu vybrať rôzne výstupné brány
7.21 IGRP a stabilita
• časovače potlačenia (holddowns)– zamedzenie znovudosadenia cesty, ktorá môže byť nedostupná– ak sa smerovač vypne, jeho sused to spozná podľa nedostatku
pravidelne posielaných informácii• rozdelený horizont (split horizon)
– je neužitočné posielať informácie späť smerovaču od ktorého sme sa ich naučili
– pomáha zamedzovať smerovacím slučkám medzi susednými smerovačmi
• spätné otrávené aktualizácie– zamedzenie veľkých smerovacích slučiek– zvýšenie metriky obyčajne poukazuje na smerovaciu slučku– spätná otrávená aktualizácia vylučuje cestu a nastavuje sa pre ňu časovač potlačenia
– IGRP posiela takéto aktualizácie, ak sa metrika cesty zvýši 1,1-krát alebo viac
7.21a IGRP a stabilita
• ostatné časovače– časovač aktualizácie (update)
• ako často sa posielajú smerovacie aktualizácie• štandardne - 90 sekúnd
– časovač neplatnosti (invalid)• čas po uplynutí ktorého smerovač označí cestu za neplatnú, ak
nedostáva žiadne informácie o ceste• štandardne je to 3x časovač aktualizácie (teda 270s)
– časovač potlačenia• počas tohto času sa ignorujú cesty s horšou metrikou, ako bola pôvodná• štandardne je to 3x časovač aktualizácie + 10 sekúnd (teda 280s)
– časovač vymazania• čas po uplynutí ktorého smerovač cestu vymaže zo smerovacej tabuľky,
ak nedostáva žiadne informácie o ceste• štandardne je to 7x časovač aktualizácie (teda 630s)
• IGRP nepodporuje VLSM– teda podsiete s premenlivou dĺžkou podsieťovej masky– podporuje ich EIGRP (vylepšená verzia IGRP)
7.22 Konfigurácia IGRP
• zapnutie IGRP– Router(config)#router igrp 59 (59 je číslo autonómneho systému)
• vypnutie IGRP– Router(config)#no router igrp 59
• pridanie priamo pripojenej siete na používanie IGRP– Router(config-router)#network 192.168.32.0 (maska sa nazadáva)
• odobratie na používanie IGRP– Router(config-router)#no network 192.168.32.0
• cvičenie+
7.23 Prechod z RIP na IGRP
• IGRP prvý riešil problémy protokolu RIP– začiatkom 80-tych rokov
• IGRP konverguje rýchlejšie ako RIP
• nemá limitovaný počet skokov, ako RIP
• postup prechodu– skontrolujeme, či sa na smerovači používa RIP protokol - show ip
route
– nakonfigurujeme IGRP na smerovačoch
– skontrolujeme zmeny príkazom show ip protocols
– skontrolujeme zmeny smerovacej tabuľky príkazom show ip route
• v smerovacej tabuľke sú cesty naučené cez IGRP, lebo ten má nižšiu
administratívnu vzdialenosť
• cvičenie+
7.24 Kontrola IGRP konfigurácie
• show ip route - cesty označené „I“ sú naučené cez IGRP
• show interface serial 0/0
• show running-config
• show running-config interface FastEthernet 0/0
• show running-config | begin interface FastEthernet 0/0
• show running-config | begin igrp
• show ip protocols
7.25 Riešenie problémov IGRP
• najviac chýb v konfigurácii IGRP je– v zadaní chybnej siete– v nesusediacich podsieťach– v nesprávnom čísle autonómneho systému
• show ip protocols• show ip route• debug ip igrp events• debug ip igrp transactions• ping• traceroute• undebug all
• cvičenie*– vyrovnávanie záťaže pri nerovnakej metrike
8 TCP/IP CHYBOVÉ A RIADIACE SPRÁVY
• ICMP– typy– echo, nedosiahnuteľnosť cieľa, chybný
parameter
• príkaz ping• oznamovanie chýb• doručovanie hlásení o chybe
8.1 TCP/IP chybové správyICMP
• IP– používa nespoľahlivú metódu na doručenie sieťových dát
(best effort delivery)– nevie zistiť, či dáta boli doručené, či je na sieti nejaký
problém– ak sprostredkujúce zariadenie (napríklad smerovač) zlyhá
alebo cieľová sieť je odpojená, tak dáta nie je možnédoručiť
– nie je mechanizmus, ktorým by sa odosielateľ informoval o nedoručení
• ICMP– (Internet Control Message Protocol) - protokol riadiacich
správ internetu– časť TCP/IP skupiny protokolov– napomáha riešiť uvedené obmedzenie IP protokolu– nerieši nespoľahlivosť IP protokolu úplne (úplne ho riešia
8.2 Oznamovanie chýb a ich riešenie
• ak sa vyskytne chyba pri doručení datagramu(paketu)– smerovač pomocou ICMP pošle chybovú správu
odosielateľovi
• neopravuje chyby, iba ich oznamuje• smerovače poznajú iba zdrojovú a cieľovú IP adresu
datagramu– preto sa chybová správa dá poslať iba odosielateľovi– nedá sa poslať sprostredkujúcim zariadeniam na ceste,
lebo presná cesta nie je známa
8.3 Doručovanie ICMP správ*
• ICMP správy sú zapúzdrované do datagramov tak isto ako IP protokol zapúzdruje iné dáta
• ICMP správy sú posielané tým istým spôsobom ako ostatnédáta, preto sa ich takisto nemusí podariť doručiť
• zlyhanie doručenia chybovej správy by mohlo generovaťďalšiu chybovú správu a tá ďalšiu, pokiaľ by sa nezahltila sieť– preto sa pri chybe spôsobenej pri posielaní ICMP negeneruje ďalšia
chybová správa– je teda možné, že pri nedoručení datagramu do cieľa, sa oznámenie o
chybe nikdy nedostane k odosielateľovi
• zapúzdrovací proces ICMP:
hlavička rámca hlavička datagramu ICMP hlavička ICMP dáta
hlavička rámca hlavička datagramu
hlavička rámca
dátova oblasť datagramu
dátova oblasť rámca
8.4 Nedosiahnute ľná sie ť
• unreachable network– ak sieť nie je dosiahnuteľná
• komunikácia na sieti je závislá od určitých podmienok– 1. TCP/IP musí byť správne nakonfigurované na odosielacom a
prijímacom zariadení• inštalácia TCP/IP, nastavenie IP adresy, masky podsiete, východzej brány
(ak dáta opúšťajú lokálnu sieť)– 2. sprostredkujúce zariadenia musia byť schopné smerovať dáta do
cieľovej siete (smerovače)• správne nastavené TCP/IP na jednotlivých portoch a vhodný smerovací
protokol• ak nie sú podmienky splnené, komunikácia je nemožná,
napríklad:– odosielanie datagramov na neexistujúcu IP adresu– odosielanie na zariadenie, ktoré je odpojené od siete– vypnuté porty smerovača– nedostatok informácii na nájdenie cieľovej siete v smerovači
• ICMP správa o nedosiahnuteľnosti cieľa (destinationunreachable) sa posiela ak:
8.5 Použitie príkazu ping na zistenie dosiahnute ľnosti cie ľa
• ICMP sa dá použiť na zistenie dosiahnuteľnosti cieľa– odosielateľ pošle požiadavku na echo (echo request) cieľovému
zariadeniu– ak cieľ túto požiadavku dostane odpovie odosielateľovi pomocou
odpovede na echo (echo reply)– ak na žiadosť cieľová stanica odpovie, znamená to, že komunikácia
pomocou IP protokolu je s cieľovou stanicou možná• požiadavku na echo (echo request) sa typicky vytvára
pomocou príkazu ping– ping www.zoznam.sk– ping 192.168.32.2– odošlú sa štyri požiadavky na echo s čaká sa na odpoveď (MS
Windows)– potvrdzuje sa tým spojenie prostredníctvom IP protokolu
• TTL (time-to-live) - živostnosť– obsahuje ju aj odpoveď na echo (echo reply)– TTL je umiestnené v hlavičke IP paketu– zabezpečenie obmedzenia pri preposielaní paketu, aby sa paket
nepreposielal donekonečna– pri každom prechode cez smerovač sa táto hodnota zmenší o jednotku
8.6 Zistenie nadmerne dlhej cesty
• datagram môže v sieti obiehať stále dokole, bez toho, aby bol doručený do cieľa– dva smerovače si ho posielajú medzi sebou a myslia si, že práve ten
druhý ho vie doručiť do cieľa– ak je smerovačov viacej, vznikne - smerovacia slučka– stáva sa to pri nesprávnych smerovacích informáciách
• obmedzenia smerovacích protokolov môžu spôsobiť, že cieľová sieť je nedosiahnuteľná– RIP protokol používa maximálne 15 skokov– o sieťach, ktoré sú ďalej sa nevie naučiť žiadne informácie
• v obidvoch prípadoch sa prekročí povolené maximum a datagram nie je doručený– ďaleká sieť– smerovacia slučka
8.7 ICMP typy správ
0 odpoveď na echo Echo Reply3 cieľ nedosiahnuteľný Destination Unreachable4 odosielateľ utlmený Source Quench5 požiadavka na zmenu/presmerovanie Redirect/Change Request8 požiadavka na echo Echo Request9 inzerovanie smerovačom Router Advertisement10 výber smerovača Router Selection11 prekročenie času Time Exceeded12 problém s parametrom Parameter Problem13 požiadavka na časovú pečiatku Timestamp Request14 odpoveď na časovú pečiatku Timestamp Reply15 požiadavka na informácie Information Request16 odpoveď na informácie Information Reply17 požiadavka na masku adresy Address Mask Request18 odpoveď na masku adresy Address Mask Reply
8.8 Echo správy*
• ICMP správy majú špeciálny formát• každý typ ICMP má svoje vlastné charakteristiky• všetky ICMP správy začínajú rovnakými poľami:
– typ - typ odosielanej ICMP správy– kód - obsahuje doplnkové informácie k typu ICMP správy– kontrolný súčet - kontrola integrity (správnosti) dát
• formát správy: požiadavka na echo, odpoveď na echo– identifikátor a poradové číslo sú jedinečné pre každú echo požiadavku
a echo odpoveď– zabezpečenie priradenia echo odpovede správnej echo požiadavke– dátové pole - doplnkové informácie
0 8 16 31typ (0 alebo 8) kód (0)
...
kontrolný súčetidentifikátor poradové číslo
voliteľné dáta
8.9 Správa cie ľ nedosiahnute ľný
• destination unreachable– datagramy nie je možné vždy poslať do cieľa– hardvérové chyby, nesprávne nastavenie protokolov, vypnuté porty,
nesprávne smerovacie informácie atď.– posiela sa ICMP správa o nedosiahnuteľnosti cieľa
• formát správy: cieľ nedosiahniteľný– hodnota kódu určuje prečo nemohol byť cieľ dosiahnutý
• niektoré príčiny nedosiahnuteľnosti– ak treba paket deliť (fragmentovať) a nie je to povolené. Napríklad pri
prechode z token-ringu na Ethernet– pri nedostupnosti služieb (www, ftp)
0 8 16 31typ (3) kód (0 - 12)
...
kontrolný súčet
internetová hlavička + 64 bitov datagramunevyužité (musia byť nuly)
8.9a Správa cie ľ nedosiahnute ľný
• kódy správy cieľ nedosiahnuteľný0 sieť nedosiahniteľná net unreachable1 stanica nedosiahnuteľná host unreachable2 protokol nedosiahnuteľný protocol unreachable3 port nedosiahnuteľný port unreachable4 nutné deliť paket a pritom je
zakázané ho deliťfragmentation needed and DF set
5 zdrojová cesta zlyhala source route failed6 cieľová sieť neznáma destination network unknown7 cieľová stanica neznáma destination host unknown8 zdrojová stanica izolovaná source host isolated9 komunikácia s cieľovou sieťou
administratívne zakázaná10 komunikácia s cieľovou stanicou
administratívne zakázaná11 sieť nedosiahniteľná pre typ služby network unreachable for type of service12 stanica nedosiahniteľná pre typ služby host unreachable for type of service
8.10 Správa problém s parametrom*
• zariadenie, ktoré spracováva datagram ho niekedy nemôže preposlať pre chybný parameter v hlavičke
• chyba nesúvisí s cieľovou sieťou alebo stanicou– ale aj tak znemožňuje doručiť datagram
• datagram je vymazaný a odosielateľovi je poslaná ICMP správa– problém s parametrom
• ak je kód 0– ukazovateľ v hlavičke ukazuje na oktet, ktorý spôsobil chybu
• formát správy0 8 16 31typ (12) kód (0 - 2)
...
kontrolný súčet
internetová hlavička + 64 bitov datagramunevyužité (musia byť nuly)ukazovateľ
8.11 TCP/IP riadiace správyÚvod
• každé implementácia IP protokolu musí obsahovať podporu protokolu ICMP– IP negarantuje doručenie a oznámenie prípadnej chyby– IP nepodporuje informačné a riadiace správy pre stanice
• riadiace správy– neinformujú o chybách, stratených paketoch atď– informujú o zahltení siete, o lepšej východzej bráne atď
8.12 Požiadavka na zmenu/ presmerovanie
• ICMP redirect/change request• môže byť posielané iba smerovačom
– starší názov smerovača je gateway (brána)
• východzia brána (default gateway)– musia ju mať nastavenú všetky stanice, ktoré komunikujú medzi
viacerými sieťami– je to adresa portu smerovača, ktorý je pripojený do tej istej siete– stanice používajú túto IP adresu na komunikáciu so všetkými nepriamo
pripojenými sieťami– normálne má sieť iba jednu východziu bránu– ale sieť môže mať aj viacero východzích brán– v takom prípade môže smerovač použiť ICMP požiadavku na zmenu/
presmerovanie• aby informoval stanicu o najlepšej ceste pre určitú sieť• aby túto novú východziu bránu pre určitú sieť používala stanica pri ďalšej
komunikácii
8.12a Požiadavka na zmenu/ presmerovanie
• smerovač posiela požiadavku na zmenu/ presmerovanie ak súsplnené následovné podmienky – port cez ktorý prišiel paket má byť smerovaný ďalej cez ten istý port– podsieťová/sieťová adresa odosielateľa je zhodná s
podsieťovou/sieťovou adresou ďalšieho skoku (next hop)– paket nesmie byť smerovaný na základe zdrojovej adresy– cesta pre presmerovanie nie je iná ICMP požiadavka na presmerovanie
alebo štandardná cesta– smerovač je nastavený na posielanie žiadostí o presmerovanie
• štandardne sú smerovače Cisco na posielanie nastavené• vypnutie: Router(config-if)#no ip redirects
• internetová adresa smerovača z obrázka je nová doporučenábrána pre určitú sieť
Formát ICMP redirect/change0 8 16 31
typ (5) kód (0 - 3)
...
kontrolný súčet
internetová hlavička + 64 bitov datagramuinternetová adresa smerovača
Kódy pre ICMP redirect/change0 presmerovanie paketov pre sieť1 presmerovanie paketov pre stanicu2 presmerovanie paketov pre typ služby a sieť3 presmerovanie paketov pre typ služby a stanicu
8.13 Synchronizácia hodín a odhad času prenosu
• protokoly TCP/IP prepájajú siete na veľmi veľké vzdialenosti– každá sieť si synchronizuje čas svojim spôsobom– komunikujúce stanice na rozličných sieťach môžu mať problémy pri
použití programov, ktoré vyžadujú synchronizovaný čas– ICMP časové pečiatky (timestamp) pomáhajú jednoducho riešiť tento
problém• požiadavka na časovú pečiatku
– stanica sa pýta na aktuálny čas vzdialenej stanice a pošle aj svoj vlastný čas
• odpoveď na časovú pečiatku– odoslanie aktuálneho času pri prijatí paketu a pri odosielaní odpovede
• časy sú zadávané v milisekundách od polnoci svetového času (UTC)
• čas prechodu– odpočítanie času odoslania od času prijatia– odpočítanie času odpovede od súčasného času
• pôvodca otázky môže aj odhadnúť časna cieľovej stanici
Formát ICMP časová pečiatka a odpoveď0 8 16 31typ (13, 14) kód (0)
čas odpovede (vzdialený)čas prijatia (vzdialený)
kontrolný súčet
čas odoslania (pôvodca)identifikátor poradové číslo
8.14 Požiadavka na informáciu, odpove ď na informáciu
• boli pôvodne určené na zistenie vlastnej sieťovej adresy stanice
• tieto správy sa považujú za zastaralé– používajú sa iné techniky získavania IP adresy - BOOTP, RARP,
DHCP
8.15 Požiadavka na masku adresy
• pri delení pôvodnej siete, nemusí stanica poznať svoju sieťovúmasku– pošle ICMP požiadavku smerovaču, buď priamo na jeho adresu alebo
pomocou vysielania (broadcast)– smerovač v odpovedi zašle sieťovú masku
• príklad– požiadavka na masku: zdrojová adresa - 172.16.5.2, cieľová adresa -
255.255.255.255, maska (predpokladaná) - 255.255.255.0– odpoveď na masku: zdrojová adresa - 172.16.5.1, cieľová adresa -
172.16.5.2, maska - 255.255.255.0
• formát ICMP0 8 16 31
typ (17, 18) kód (0)
...
kontrolný súčetidentifikátor poradové číslo
maska adresy
8.16 Správa žiados ť na smerova č
• router solicitation message• posiela ho stanica, ktorá nemá zadanú východziu bránu• posiela sa
– na multicast adresu - 224.0.0.2– alebo na všeobecnú adresu - 255.255.255.255
• je to prvý krok v procese nazvanom: zisťovanie smerovača– viď ďalšiu stránku
• smerovač odpovie inzerovaním smerovača– pošle adresu východzej brány
• formát ICMP0 8 16 31
typ (10) kód (0)rezervované
kontrolný súčet
8.17 Správa zis ťovanie smerova ča
• router discovery message• touto ICMP správou sa odpovedá na žiadosť stanice na
smerovač– inak sa volá aj inzerovanie smerovačom– stanici sa pošle východzia brána
• počet adries– jedna správa môže inzerovať aj viacej východzích brán
• veľkosť adresy– počet 32 bitových informácii pre jednu adresu (v našom príklade - 2)
• životnosť– max. počet sekúnd platnosti adries
• adresa smerovača– jednotlivé východzie brány
• úroveň preferencie– výhodnosť danej brány– čím vyššie číslo, tým výhodnejšia brána
0 8 16 31typ (9) kód (0)
počet adries veľkosť adresy
úroveň preferencie 2
kontrolný súčet
adresa smerovača 1životnosť
úroveň preferencie 1adresa smerovača 2
8.18 Správy pre riadenie toku a zahltenie
• ICMP správa odosielateľ utlmený (source quench)• zahltenie siete
– viacej počítačov chce komunikovať s jedným cieľom– alebo dáta prechádzajú z rýchlej LAN siete na pomalú WAN– pakety môžu byť zahadzované, zmazané a neodoslané k cieľu– riešenie: použitie ICMP správy utlmenie odosielateľa
• správa utlmenie odosielateľa– zníženie počtu zahadzovaných paketov– správa žiada odosielateľov o zníženie rýchlosti posielania paketov– odosielateľ po krátkom čase opäť začne zrýchľovať prenos, ak nepríde ďalšia ICMP správa na utlmenie
– väčšina Cisco smerovačov štandardne neposiela správy na utlmenie odosielateľa
• správy môžu ešte viac zahltiť sieť
• príklad– 4 počítače na LAN sieti môžu ľahko zahltiť linku pripojenia na internet s
rýchlosťou 56kb/s
9 ZÁKLADY RIEŠENIA PROBLÉMOV SMEROVAČOV
• testovanie smerovacej tabuľky– show ip route
• testovanie siete– štruktúrovaný prístup– testovanie po vrstvách OSI– LED indikátory, ping, telnet
• prehľad riešení problémov– show interfaces, show cdp, ping, traceroute– show ip route, show ip protocols– základy príkazu debug
9.1 Testovanie smerovacej tabu ľky Príkaz show ip route
• výber najlepšej cesty do cieľa– hlavná úloha smerovača
• cesty sa učí– z konfigurácie zadanej administrátorom
• statické smerovanie - zmeniť ich môže opäť iba administrátor– od ostatných smerovačov pomocou smerovacích protokolov
• dynamické smerovanie - menia sa automaticky pri zmene siete
• smerovacia tabuľka– uložené smerovacie informácie
• o všetkých známych sieťach a podsieťach• kódy, ktoré určujú spôsob naučenia sa cesty a ďalšie informácie
– je umiestnená v pamäti RAM– v tabuľke je zoznam najlepších ciest– smerovač používa tabuľku na výber smeru preposlania paketu– smerovač zahadzuje pakety, ktorých cieľ nie je v smerovacej tabuľke
9.1a Príkaz show ip route
• show ip route– zobrazenie smerovacej tabuľky– show ip route connected show ip route 192.168.1.0– show ip route rip show ip route igrp show ip route static
• statické smerovanie– výhody
• nižšie zaťaženie procesora, žiadna spotreba šírky pásma, bezpečnejšie, predvídateľnosť
– nevýhody• náročná konfigurácia a jej udržiavanie, neprispôsobivosť
• dynamické smerovanie– výhody
• veľká prispôsobivosť, jednoduchá konfigurácia– nevýhody
• väčšie zaťaženie procesora a pamäte, spotreba šírky pásma
• cvičenie+
9.2 Brána posledného rozhodnutiaGateway of last resort
• nie je možné, ani potrebné, aby každý smerovač poznal cesty do všetkých sietí na svete
• namiesto toho sa používa štandardná cesta alebo brána posledného rozhodnutia– táto cesta sa použije na preposlanie paketu v prípade, ak sa v tabuľke
cieľová cesta nenachádza
– umožňuje, aby smerovacie tabuľky boli čo najmenšie
– dá sa nastaviť staticky alebo naučiť dynamicky
• aby sa začala výmena informácii medzi smerovačmi, musíadministrátor aspoň na jednom nastaviť štandardnú cestu
• sú dve možnosti– 1. Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1
• (preberané v minulosti, viď 6.4)
9.2a Brána posledn ého rozhodnutia
Gateway of last resort– 2. Router(config)#ip default-network 192.168.1.0
• pakety, ktoré nemajú v smerovacej tabuľke záznam budú posielané na sieť192.168.1.0
• používa sa v sieťach s dynamickým smerovaním
• príkaz nevie pracovať s podsieťami (je classful)
• všetky cesty do siete nastavenej v príkaze (192.168.1.0) sa označia (*) ako kandidát pre štandardnú cestu
– v obidvoch prípadoch sa v smerovacej tabuľke objaví záznam• Gateway of last resort is ...
• cvičenie+
9.3 Určenie cie ľa cesty
• pri prenose dát cez sieťový oblak sa výber cesty uskutočňuje na sieťovej vrstve
• funkcia výberu cesty umožňuje smerovaču– ohodnotiť možné cesty k cieľu
• informácie sa získavajú z topológie siete (staticky, dynamicky)
– vybrať najvýhodnejšiu cestu• po jej výbere prepošle smerovač paket z jedného portu na druhý, ktorý
vedie k cieli
• sieťová služba zabezpečuje– nespoľahlivé doručenie (best-effort)– doručenie medzi koncovými stanicami– doručenie cez viac vzájomne prepojených sietí
9.4 Určenie adries vrstvy 2 a 3
• pri prenose paketu zo zdroja do cieľa sú potrebné adresy 2 aj 3 vrstvy
• adresy vrstvy 3 (IP) sa používajú na smerovanie paketu zo zdrojovej do cieľovej siete– ostávajú rovnaké pri celom prenose cez všetky medziľahlé siete od
zdroja do cieľa
• adresy vrstvy 2 (MAC) sa používajú na doručenie vo vnútri sieti– menia sa pri každom ďalšom skoku na ceste k cieľu– pretože majú iba lokálny význam
9.5 Určenie administratívnej vzdialenosti cesty
• administratívna vzdialenosť– viď 6.3– spoľahlivosť získaných
informácii o ceste– obsahuje ju každá informácia o
ceste– nižšie číslo je väčšia
spoľahlivosť– rôzne smerovacie protokoly
majú rôznu administratívnu vzdialenosť
• cesta s najnižšou administratívnou vzdialenosťou sa zapíše do smerovacej tabuľky
ProtokolAdministratívna
vzdialenos ťpriamo pripojené 0statické 1EIGRP sumárna cesta 5externá BGP 20EIGRP interná 90IGRP 100OSPF 110IS-IS 115RIP 120EIGRP externá 170interná BGP 200neznáma 255
9.6 Určenie metriky cesty
• metrika– číslo určujúce vhodnosť cesty– používa sa na určenie najlepšej cesty k cieli– niektoré protokoly používajú iba jeden faktor na výpočet metriky
• napríklad RIP v1 používa počet skokov– iné protokoly používajú viacej faktorov
• čím viacej faktorov, tým prispôsobivejšia metrika, vhodnejšie vyberá cesty• napríklad - počet skokov, šírka pásma, oneskorenie, zaťaženie,
spoľahlivosť– faktory sú
• statické - samy sa nemenia (šírka pásma, oneskorenie)• dynamické - sú počítané v reálnom čase s stále sa menia (zaťaženie,
spoľahlivosť)• každý smerovací algoritmus si vysvetľuje výhodnosť cesty po
svojom– algoritmus generuje číslo - metriku pre každú cestu v sieti– čím nižšia metrika, tým výhodnejšia cesta
• IGRP– štandardne používa statické faktory na výpočet metriky– dajú sa nakonfigurovať aj dynamické faktory
9.6a Určenie metriky cesty
• vzorec na výpočet metriky IGRP
– B - šírka pásma– D - oneskorenie– L - zaťaženie– R - spoľahlivosť– štandardné konštanty - K1=K3=1, K2=K4=K5=0– pri štandardných hodnotách konštánt sa vzorec zjednoduší na
• metrika = B + D
K4R
K5DK3
L256
BK2BK1metrika
++⋅+
−⋅+⋅=
9.7 Určenie ďalšieho skoku cesty
• ďalší skok (next hop)– je zapísaný v smerovacej tabuľke (za slovom via)– je spojený s najlepšou cestou do cieľa– určuje smerovač, ktorý bude nasledujúci na ceste k cieľu– určuje susedný smerovač, na ktorý bude preposlaný paket, určený pre
cieľovú sieť
9.8 Určenie poslednej smerovacej aktualizácie
• čas poslednej aktualizácie a iné informácie zistíme príkazmi– show ip route– show ip route 192.168.1.0– show ip protocols– show ip rip databaze
• cvičenie+
9.9 Sledovanie viacnásobných ciest k cieli
• algoritmus s viacnásobnými cestami– prenáša dáta cez viacej ciest– lepšia priepustnosť– väčšia spoľahlivosť
• variance 2– nerovnakosť– IGRP podporuje rozkladanie záťaže po cestách s nerovnakou metrikou– príkaz zapína rozkladanie záťaže– ak je parameter 2, tak sa bude záťaž rozkladať na cesty v rozsahu
metriky od minimálnej po 2x minimálnu– číslo môže byť v rozsahu 1 až 128– číslo 1 je štandardné, znamená rozkladanie záťaže iba po cestách s
rovnakou metrikou• ak teda existuje viacej ciest k cieli a ich metrika je v rozsahu
zadanom v príkaze, budú sa používať cesty viaceré– v smerovacej tabuľke bude pre jednu cieľovú sieť viacej ďalších skokov
9.10 Testovanie sieteŠtruktúrovaný prístup riešenia
• 1. získať všetky informácie a analyzovať príznaky chyby• 2. lokalizovať problém na jednotlivý sieťový segment, modul,
jednotku alebo užívateľa• 3. izolovať problém na určitý sieťový segment, modul,
jednotku alebo užívateľa• 4. nájsť a vyriešiť problém• 5. skontrolovať, či sa problém vyriešil• 6. zadokumentovať problém a jeho riešenie• podmienky riešenia problému
– každý člen tímu musí vedieť v ktorej časti riešenia sa práve nachádza– aj pri riešení problému by mala sieť bežať plynulo a efektívne– ak sa skúša veľa možností riešenia bez organizácie a dokumentovania
riešenia problému je činnosť neefektívna– ak sa vyrieši problém bez štruktúrovaného prístupu, ťažko sa opakuje
pri výskyte podobnej chyby
9.11 Testovanie po vrstvách OSI modelu
• začína sa na vrstve 1 a pokračuje sa až na vrstvu 7, ak je to potrebné
• vrstva 1 - najčastejšie chyby– poškodený kábel; odpojený kábel; kábel pripojený na nesprávny port;
prerušované pripojenie kábla; priamy, krížený, otočený kábel použitý nesprávne; problémy s transceivrom; problémy s DCE, DTE káblom; vypnuté zariadenie
• vrstva 2 - najčastejšie chyby– nesprávne nakonfigurované sériové porty– nesprávne nakonfigurované Ethernetové porty– nastavené nesprávne zapúzdrenie– nesprávne nastavená hodinová frekvencia na sériovom porte– problémy so sieťovkou
• vrstva 3 - najčastejšie chyby– nenakonfigurovaný smerovací protokol– nakonfigurovaný nesprávny smerovací protokol– nesprávne IP adresy, nesprávne podsieťové masky
• ping - testovanie pripojenia na vrstve 3• telnet - testovanie pripojenia na vrstve 7
9.12 Riešenie problémov vrstvy 1 pomocou indikátrov
• typy kontrolných indikátorov (LED)– linkové kontrolky - indikačné kontrolky, ktoré svietia pri správnom
pripojení– indikačné kontrolky, ktoré svietia pri vysielaní (TX) a prijímaní (RX) dát
• ak kontrolky nesvietia, treba skontrolovať– chybný kábel; nesprávne použitý kábel– ak sú káble správne alebo opravené zariadenie môže potrebovať
reštart• kontroly káblov
– skontrolovať, či sú káble pripojené na správne porty– skontrolovať, či prepájacie panely sú pripojené správnym káblom a
správnou metódou– skontrolovať, či sú použité správne typy káblov (priame, krížené)– skontrolovať, či je kábel zapojený v porte správne
• pri pochybnosti, kábel vysunúť a opäť zasunúť– pri pochybnosti o správnosti kábla otestovať spojenie s káblom určite
dobrým– ak je kábel zapojený do zásuvky, testerom káblov zásuvku otestovať– skontrolovať transceiver - správnosť typu, pripojenia, konfigurácie
• pri pochybnosti otestovať spojenie určite dobrým transceivrom
9.13 Riešenie problémov vrstvy 3 pomocou príkazu ping
• príkaz ping– volá sa aj echo protokol– pošle paket do cieľovej stanice a čaká na odpoveď od cieľovej stanice– zistí, či paket je smerovateľný do cieľa a späť– získané výsledky pomôžu riešiť problémy so spoľahlivosťou cesty,
oneskorením na ceste, dostupnosťou stanice a jej správnou funkčnosťou
– vypisuje čas potrebný na cestu k cieľovej stanici a späť(min/priemer/max)
– používa ICMP protokol– kontroluje hardvérove pripojenie aj logické adresy na sieťovej vrstve– počíta koľko paketov prišlo a koľko sa stratilo a vyhodnotí percento
straty– ! - vo výpise príkazu - cieľ odpovedal– . - vo výpise programu - cieľ neodpovedal, vypršal čas na čakanie
odpovede– môže byť zadaný z užívateľského aj privilegovaného módu
9.13a Riešenie problémov vrstvy 3 pomocou príkazu ping
• štruktúra príkazu– Router#ping [ protokol ] { stanica | adresa }– viacej možnosti príkazu sa vyvolá príkazom ping bez parametrov
• dialógový mód
• typy sietí na ktorých môže byť príkaz ping použitý– IP, AppleTalk, ISO CLNS, Novell, Apollo, VINES, DECnet, XNS
9.14 Riešenie problémov vrstvy 7 pomocou príkazu telnet
• Telnet– virtuálny terminálový protokol– časť súboru protokolov TCP/IP– kontrola komunikácie aplikačného softvéru medzi zdrojom a cieľom
• ak funguje telnet pripojenie, tak aspoň jedná TCP/IP aplikácia vie komunikovať
– najkomplexnejší testovací mechanizmus, aký je k dispozícii– pripojením sa okontroluje funkčnosť všetkých 7 vrstiev OSI modelu– jeho normálne použitie
• pripojiť sa na vzdialené zariadenie, získavať informácie, spúšťať programy• testovanie spojenia je vedľajšia vlastnosť
• testovanie– ak sa dá pripojiť na jeden smerovač a na iný nie, treba skontrolovať
konektivitu na nižších vrstvách• ak je konektivita otestovaná a telnet stále nefunguje tak pravdepodobné
chyby• sú v adresách, pomenovaní alebo v zakázanom prístupe• tieto problémy môžu byť na lokálnom smerovači alebo na vzdialenom, na
9.14a Riešenie problémov vrstvy 7 pomocou príkazu telnet
– ak sa nedá cez telnet pripojiť z jedného zariadenia, treba to skúsiť z iného. Ak sa ani potom neobjaví prihlasovací dialóg, treba skontrolovať
• v reverznom DNS sa nenachádza adresa zdrojového smerovača. Veľa telnetových serverov nedovolí pripojenie, ak IP adresa nemá DNS záznam. Bežná chyba pri IP adresách pridelených pomocou DHCP, keďadministrátor nepridá DNS záznamy do DHCP fondu IP adries
• je možné, že telnetová aplikácia sa nemôže dohodnúť na vhodných nastaveniach a preto sa nepripojí. Na Cisco smerovačoch sa tento proces dá sledovať po zadaní príkazu debug telnet
• je možné že na cieľovej stanici je telnet zakázaný alebo presunutý na iný port ako 23
• cvičenie+– ping, telnet
9.15 Prehľad riešení problémov. Príkaz show interfaces vrstva 1
• show interfaces - informácie o všetkých portoch• show interfaces serial 0/0 - informácie iba o serial 0/0• príkaz zobrazuje informácie
– hardvérové (fyzické) - vrstva 1 - stav fyzickej konektivity medzi zariadeniami
– softvérové (logické) informácie - vrstva 2 - stav rôznych správ• keepalive (životaschopnosť), riadiace informácie, užívateľské informácie
• prvý riadok výstupu príkazu– Serial 0/0 is up, line protocol is up - port pracuje v poriadku– Serial 0/0 is up, line protocol is down - problémy s komunikáciou, vrstva
2– Serial 0/0 is down, line protocol is down - problémy s portom, vrstva 1– Serial 0/0 is admnistratively down, line protocol is down - ručne vypnuté– prvý parameter - vrstva 1
• „up“ je vtedy, ak prijíma signál z druhého konca kábla (CD)• ak je „down“ - problémy s káblami, s elektronickými obvodmi, opačný
koniec je vypnutý (admnistratively down)– druhý parameter - vrstva 2
9.15a Príkaz show interfacesvrstva 1
• príkaz zobrazuje aj informácie, ktoré pomáhajú odhaliťzložitejšie problémy na vrstve 1– veľa prechodov nosnej (carrier transitions) na sériovej linke znamená
• prerušovanie linky spôsobené problémami u poskytovateľa sieťovej služby• a/alebo chybný hardvér prepínača, smerovača, DSU
– veľa vstupných chýb (input errors) na sériovej linke znamená• chybné zariadenie u poskytovateľa sieťovej služby• zašumená sériová linka• nesprávny kábel alebo jeho dĺžka• poškodený kábel alebo konektor• chybné CSU alebo DSU• chybný hardvér smerovača
– veľa reštartov portu (interface resets) - veľa stratených signálov keepalives
• chybný kábel, ktorý spôsobuje prechody nosnej (viď vyššie)• možný hardvérový problém v prepínači, CSU, DSU
9.15b Príkaz show interfacesvrstva 1
• počet chýb treba vztiahnuť na množstvo prenášaných dát a na čas ktorý sa chyby snímali– informácie sa počítajú od štartu smerovača alebo od posledného
vynulovania počítadiel• Last clearing of ...
• show version– zistenie času behu smerovača– Router uptime is ...
• clear counters– vymazanie počítadiel– vhodné je vynulovať ich pri vyriešenom probléme– lepšie zobrazenie stavu smerovača– zistenie, či sa problém vyriešil
9.16 Príkaz show interfacesvrstva 2
• keepalives (životaschopnosť)– správy posielané sieťovými zariadeniami, ktoré informujú ostatné
zariadenia, že komunikačný virtuálny okruh je stále aktívny– ak neprídu tri správy po sebe linkový protokol sa označí za vypnutý
(down)• Serial 0/0 is up line protocol is down
• ak je linka vypnutá, tak linkový protokol je vždy vypnutý, lebo neexistuje médium po ktorom by protokol komunikoval– preto neexistuje výpis - Serial 0/0 is down line protocol is up
• možné problémy pri výpise Serial 0/0 is up line protocol isdown– neprijímajú sa keepalives– chýbajú hodinové impulzy– rozdielne typy zapuzdrenia (encapsulation)
• príkaz sa používa po konfigurácii portu
9.17 Príkaz show cdp
• CDP inzeruje informácie o zariadení svojim priamym susedom– vrítane IP, MAC adries a východzích portoch
• show cdp neighbors– informácie o priamo pripojených Cisco zariadeniach– užitočné pri riešení problémov s konektivitou
• ak je podozrenie na chybný kábel– zapnúť zariadenie - no shutdown– pred ďalšou konfiguráciou prezrieť výpis - show cdp neighbors detail
• ak fyzická vrstva pracuje správne– musia byť zobrazené všetky priamo pripojené zariadnia
• ak sa neobjaví známe zariadenie– obyčajne je to chyba na vrstve 1
• CDP a bezpečnosť– šírenie takého veľkého množstva informácii môže byť bezpečnostnou
dierou– preto sa doporučuje povoliť CDP iba na linkách, ktoré sú spravovane
9.18 Príkaz traceroute
• v manuáloch sa uvádza ako príkaz trace, tracert• zobrazuje cesty paketu, ktoré prechádza pri putovaní do cieľa• testuje každý skok na sieťovej vrstve a meria výkonnosť siete• výstup príkazu zobrazuje
– zoznam skokov, ktoré boli úspešne dosiahnuté• pri správnom doručení paketu zobrazí všetky smerovače cez ktoré paket
prešiel• zobrazené dáta sa môžu zaznamenať a použiť, ak sa vyskytne problém
– zobrazenie skoku, na ktorom nastala chyba• výpis „*“ znamená, že paket sa nedoručil• na izolovanie problému treba zistiť posledný správny smerovač a porovnať
ho s mapou siete– výkon na linkách
• meria sa čas za ktorý paket prejde k smerovaču a späť (RTT)• približné zistenie oneskorenia linky• hodnoty môžu byť použité pri budúcom riešení problémov
• treba si uvedomiť, že cesty musia byť známe pre obidva smery
9.18a Príkaz traceroute
• neprijatie odpovede nemusí vždy znamenať chybu pri komunikácii– ICMP správy môžu byť filtrované alebo limitovaná ich frekvencia
posielania– hlavne v internete
• činnosť príkazu traceroute– odošle sa séria UDP datagramov zo smerovača na chybný port cieľovej
stanice so životnosťou TTL=1– životnosť 1 znamená, že na prvom smerovači sa životnosť skončí a ten
vráti naspäť ICMP chybovú správu čas prekročený– v ďalšom kole sa pošlú datagramy s TTL=2, takže chybovú správu čas
prekročený pošle druhý smerovač na ceste– takto sa pokračuje pokiaľ je datagram doručený do cieľa alebo sa
prekročí maximum, ktoré je štandardne TTL=30– pri doručení do cieľa sa vráti chybová správa port nedosiahnuteľný,
pretože sa posielajú dáta na chybný port– pri doručení tejto správy sa príkaz traceroute ukončí
9.19 Príkaz show ip route
• show ip route– smerovacia tabuľka pre protokol IP– informácie o všetkých známych sieťach a podsieťach– najdôležitejší príkaz pri smerovaní– pri problémoch nedoručenia paketu do určitej siete, v tabuľke
skontrolujeme existenciu cesty a jej správnosť– ak príkaz nezobrazí očakávané naučené cesty alebo nezobrazí žiadne
cesty• problém asi je, že sa nevymieňajú smerovacie informácie, teda je chybne
nastavený smerovací protokol• treba pokračovať v testovaní nasledujúcim príkazom show ip rptocols
9.20 Príkaz show ip protocols
• show ip protocols– nastavenie smerovacích protokolov pre IP protokol– príkaz slúži na potvrdenie očakávaných informácii– zobrazí
• typy nastavených protokolov, inzerované siete, porty inzerujúce smerovacie informácie, zdroje smerovacích aktualizácii
• časovače, filtre, sumarizáciu ciest, redistribúciu ciest, atď– každý smerovací protokol je zobrazený v osobitnej sekcii– príklad problému
• rozpoznanie smerovača, ktorý posiela nesprávne smerovacie informácie– je vhodné mať zadokumentované očakávané, základné informácie
• bez nich môže byť nemožné zistiť zdroj problému
• cvičenie+– show ip route, show ip protocols
9.21 Príkaz show controlers
• konfigurácia a riešenie problémov môže byť urobené diaľkovo, ak nie je možný fyzický prístup
• show controlers serial 0/0– zobrazí fyzické informácie o porte– zobrazí typ pripojeného kábla detekovaného kontrolérom (riadiacim čipom)
– zistí• sériové porty bez zapojeného kábla• nesprávne typy káblov• chybné káble
– výstupy sa líšia pri rôznych kontroléroch• niektoré vypíšu veľké množstvo informácii• veľa technických informácii o čipe, ktoré sú nám málo potrebné, ak presne
nepoznáme špecifikáciu čipu– príklad výstupu
• DTE V.35 serial cable attached.
9.22 Úvod do príkazu debug
• príkaz pomáha izolovať problémy s konfiguráciou a s protokolmi
• zobrazuje dynamické, súčasné dáta a udalosti– príkaz show zobrazuje iba statické informácie, historický stav
smerovača– rozsah zobrazovaných informácii sa značne líši od použitých
parametrov• príklad monitorovaných udalostí
– prevádzka na portoch, chybové správy generované sieťovými uzlami, diagnostické pakety rôznych protokolov, atď.
• príkaz významne zaťažuje procesor a môže ovplyvniťnormálne operácie smerovača– preto treba príkaz používať opatrne– používať ho na testovanie úzkeho okruhu typu prevádzky a problémov– slúži na izolovanie problémov a nie na monitorovanie normálnej
sieťovej prevádzky– príkaz debug all môže narušiť normálnu prácu smerovača
9.22a Úvod do príkazu debug
• pri pripojení cez telnet, je potrebné výstup príkazu debug a inésystémové správy presmerovať na vzdialený terminál– príkazom terminal monitor– musíme dávať pozor, aby sme nezadali príkaz, ktorý spôsobí, že príkaz
debug bude produkovať prevádzku, ktorá bude opäť produkovať ďalšiu prevádzku príkazu debug (zacyklenie)
– v takomto prípade hrozí vyčerpanie systémových zdrojov– pravidlo, ktoré zabráni takémuto zacykleniu
• príkazom debug nikdy nemonitorovať aktivitu na porte, cez ktorý sme pripojení
• príklady príkazu debug– no debug all– undebug all
• vypnutie všetkého monitorovania príkazom debug– no dobug ip rip
• vypnutie iba určitého typu monitorovania príkazom dabug– show debuging
• zobrazenie monitorovaných aktivít príkazu debug– debug ip igrp debug ip packet detail debug ip rip events
• rôzne použitie
9.23 Časové zna čky príkazu debug
• časové značky (timestamps)– príkaz, ktorý ku každej správe generovanej príkazom debug pridáčasovú značku
– informuje o čase výskytu správy a o intervaloch medzi správami– je to zvlášť užitočné pri občasnom výskyte problému
• čas môžeme spojiť s inými aktivitami na smerovači alebo rozoznať interval chýb
– Router(config)#service timestamps debug uptime• bude sa zobrazovať čas správy od posledného štartu smerovača• čas od posledného štartu smerovača sa zisťuje príkazom show version
– Router(config)#service timestamps debug datetime localtime• bude zobrazovať dátum a čas výskytu správy• vhodnejšie zobrazovanie• musí byť správne nastavený dátum a čas na smerovači, ináč bude
zobrazovať nesprávne údaje– Router#clock set 13:48:00 12 May 2004
• nastavenie dátumu a času na smerovači• na niektorých zariadeniach nie sú zálohované tieto údaje, vymažú sa po
každom reštarte smerovača• cvičenie+
– debug
10 TCP/IP ROZŠÍRENIE
• TCP operácie– polia TCP segmentu, synchronizácia, použitie
okna, pozitívne potvrdzovanie, poradové a potvrdzovacie čísla
• DoS útoky• UDP operácie
– polia UDP segmentu• porty transportnej vrstvy
– viacnásobná konverzácia– rozdelenie portov– „dobre známe“ porty
10.1 TCP operácie
• IP– rieši problém smerovania paketov medzi sieťami– negarantuje doručenie paketu
• transportná vrstva– spoľahlivý transport– regulácia toku dát medzi zdrojom a cieľom
• pomocou synchronizačného procesu, kĺzavého okna a poradových číslel• tento proces zabezpečuje, že každá stanica je pripravená a ochotná ku
komunikácii– segmenty transportnej vrstvy zabezpečujú nadviazanie spojenia aj
prenos užívateľských dát• príklad
– študent študujúci cudzí jazyk jeden rok v tejto cudzej zemi• musí žiadať opakovať slova kvôli spoľahlivosti• žiadať, aby hovorili pomalšie, kvôli porozumeniu
– podobá sa to konceptu riadenia toku• transportná vrstva, vrstvy 4 OSI modelu, TCP protokol, zabezpečuje služby
pre vrstvu 5
10.2 Synchronizácia (3-cestnénadväzovanie spojenia)
• TCP– spojovo orientovaný protokol
• pred prenášaním dát sa dve komunikujúce stanice synchronizujú– pred každou reláciou (session) sa vytvorí virtuálny okruh– zabezpečenie, aby obe strany boli pripravené na prenos dát a určenie
počiatočných poradových čísel pre reláciu– proces sa volá aj 3-cestné nadväzovanie spojenia (handshake)
• tri kroky pri vytváraní virtuálneho okruhu medzi dvomi stanicami• proces synchronizácie začína klientská stanica
– pri žiadosti o kontakt použije číslo dobre známeho portu požadovanej služby na serveri
Formát segmentu TCP0 4 10 16 24 31
Hlen rezervované bity kódov
zdrojový port cieľový portporadové číslo (sequence number)
potvrdzovacie číslo (acknowledgment number)okno (window)
kontrolný súčet urgentný ukazovateľvoliteľné (ak nejaké je)
dáta...
zarovannie
10.3 Tri kroky synchronizácie
• 1.krok synchronizácie– začínajúca stanica (klient) pošle synchronizačný paket na začatie
komunikácie• príznak SYN v hlavičke je nastavený (indikácia žiadosti o kontakt a
indikácia platnosti zasielaného poradového čísla)• príznak SYN je jeden bit v poli kódov v hlavičke segmentu
– paket obsahuje počiatočné poradové číslo (napríklad 200)• 2.krok synchronizácie
– stanica, ktorá prijme synchronizačný paket si zaznačí poradové číslo od klienta (200)
– odpovie potvrdzujúcim paketom• príznak ACK v hlavičke je nastavený (indikácia platnosti potvrdzovaciehočísla)
• príznak ACK je takisto jeden bit v poli kódov v hlavičke segmentu– po nadviazaní kontaktu je príznak ACK nastavený v každom segmente
počas celej relácie– pole potvrdzovacieho čísla obsahuje nasledujúce poradové číslo, ktoré
je očakávané (v našom príklade teda 201)• potvrdzovacie číslo 201 znamená, že boli vporiadku prijaté všetky oktety do
poradového čísla 200 vrátane a očakáva sa oktet s nasledujúcim číslom 201
10.3a Tri kroky synchronizácie
• 3.krok synchronizácie– začínajúca stanica odpovie s potvrdzovacím číslom 301
• poradové číslo oktetu je v našom príklade 201
– príznak ACK je nastavený (príznak SYN nie je nastavený)– indikácia prijatia predchádzajúceho potvrdzovacieho segmentu a
ukončenie pripájacieho procesu pre túto reláciu
• počiatočné poradové čísla sa používajú na začatie komunikácie medzi dvoma stanicami– slúžia, ako referenčné čísla pre dve komunikujúce stanice– poradové čísla umožňujú potvrdzovanie
• prijímacia stanica vie, že odosielateľ reaguje na správnu žiadosť na začatie komunikácie
10.4 Útoky typu odmietnutie služby (DoS)
• odmietnutie služby - Denial of Service (DoS)
• DoS útok je navrhnutý tak, aby server odmietol služby normálnym staniciam, ktoré sa snažia nadviazať spojenie– často sa používa hackermi na zastavenie odozvy systému
• zaplavovanie pomocou SYN– jeden z typov DoS útoku
– zneužíva normálne 3-cestne nadväzovanie spojenia
– terč útoku pošle odpoveď (potvrdzovací segment - ACK) na zdrojovúadresu, ale táto neukončí normálnym spôsobom nadväzovanie spojenia
– normálna synchronizácia začína odoslaním SYN paketu• paket obsahuje zdrojovú a cieľovú IP adresu, aby príjemca vedel, kam
má poslať odpoveď
10.4a Útoky typu odmietnutie služby (DoS)
• pri DoS útoku sa odošle SYN paket s falošnou (spoof) zdrojovou adresou– neexistujúca alebo nedosiahnuteľná IP adresa– príjemca odpovie na túto falošnú adresu a nadväzovanie spojenia
uloží do čakajúceho stavu, pokiaľ nepríde finálne potvrdenie (ACK) od iniciátora spojenia
– čakajúci dotaz sa uloží do fronty pripojení a zaberá systémové zdroje (pamäť)
– v pamäti sa uchová pokiaľ nevyprší nastavený časovač pripojenia– hackeri zaplavia napadnutú stanicu falošnými SYN dotazmi a
spotrebujú všetky pripájacie zdroje– zabránia stanici odpovedať na oprávnené dotazy na spojenie
• obrana proti DoS útoku– zmenšenie časovačov pripojenia– zvýšenie fronty pripojenia– použitie detekčného softvéru, ktorý vie odhaliť tento typ útoku a
podniknúť protiopatrenia
10.5 Použitie okna a ve ľkos ť okna
• windowing and window size• množstvo dát, ktoré treba odoslať je často veľmi veľké a
nedá sa poslať v jednom segmente– dáta sa delia na menšie časti– za toto delenie je zodpovedný TCP– príklad - malému dieťaťu treba rezať jedlo na menšie kúsky– podobne - zariadenie nemusí byť schopné prijímať dáta tak rýchlo,
ako mu ich odosielateľ posiela– prijímacie zariadenie môže byť aj zaneprázdnene inými úlohami– alebo odosielateľ môže byť oveľa výkonnejšie zariadenie, ako
prijímacie• riadenie toku
– služba, ktorú poskytuje TCP– regulácia množstva odoslaných dát za jednu odosielaciu periódu
10.5a Použitie okna a ve ľkos ť okna
– proces sa volá použitie okna (oknovanie - windowing)– veľkosť okna - množstvo dát, ktoré sa môže odoslať naraz a po
ktorom sa očakáva potvrdenie od prijímateľa– ďalšie množstvo dát sa môže odoslať až keď príde potvrdzovací
segment (ACK), ktorý oznamuje správne doručenie všetkých predchádzajúcich oktetov
– napríklad pri veľkosti okna = 1 sa musí potvrdzovať prijatie každého oktetu a až po jeho potvrdení sa môže odoslať ďalší
– pri veľkosti okna = 3 sa odošlú tri oktety, počká sa na potvrdenie prijatia všetkých troch a potom sa odošlú ďalšie tri
• kĺzavé okno– na veľkosti okna sa dohodnú komunikujúce stanice– veľkosť sa môže dynamicky meniť– riadi sa rýchlosť odosielania dát– dynamická zmena veľkosti okna zvýši spoľahlivosť prenosu– zmena veľkosti okna sa môže riadiť prichádzajúcimi potvrdzovacími
segmentmi (ACK)• ak pri veľkosti okna = 5 príde potvrdenie iba pre 3 oktety, tak sa veľkosť
okna zmenší na = 3
10.6 Poradové čísla
• TCP delí dáta na segmenty• po synchronizačnom procese a po dohodnutí veľkosti okna
sa začne prenos dátových segmentov medzi odosielateľom a príjemcom
• dátové segmenty musia byť po prijatí opäť poskladané• nie je zabezpečené, že dáta prídu v rovnakom poradí v
akom boli odoslané• poradové čísla segmentov
– každý segment je v hlavičke očíslovaný– umožňujú to poskladať segmenty na prijímacej strane do pôvodného
poradia aj v tom prípade, ak segmenty prišli v inom poradí– správajú sa aj ako referenčné čísla, takže príjemca vie, že prijal
všetky dáta, ktoré boli odoslané– identifikujú sa nimi aj chýbajúce segmenty, takže odosielateľ ich
môže znovu poslať• zvýši sa tým efektívnosť, pretože odosielateľ pošle iba chýbajúci segment
a nemusí posielať opäť všetky dáta
10.7 Pozitívne potvrdzovanie
• problém IP protokolu– nevie zistiť, či dáta prišli do cieľa– pakety sú stále rovnako preposielané, bez znalosti, či boli prijaté
alebo nie• TCP používa
– pozitívne potvrdzovanie a znovuodoslanie (PAR - positiveacknowledgment and retransmission)
– riadenie toku dát a potvrdenie ich doručenia• pozitívne potvrdzovanie a znovuodoslanie (PAR)
– používa ho veľa protokolov– zdroj odošle paket, spustí časovač a čaká na potvrdenie jeho
doručenia a až potom pošle ďalší– ak časovač uplynie pred prijatím potvrdenia, zdroj znovuodošle paket
a spustí nový časovač– potvrdzovanie je zabezpečené hodnotou potvrdzovacieho čísla a
nastaveným ACK bitom v hlavičke segmentu– TCP používa očakávané potvrdzovanie
• označuje poradové číslo oktetu, ktorý je očakávaný ako nasledujúci v TCP relácii
10.7a Pozitívne potvrdzovanie
• použitie okna (windowing)– mechanizmus riadenia toku– vyžaduje, aby vysielacia stanica dostala po odoslaní určitého
množstva bajtov potvrdenie o ich doručení– napríklad pri veľkosti okna = 3, po odoslaní troch oktetov vysielacia
stanica čaká na potvrdenie ich prijatia a až potom môže odoslaťďalšie tri
– ak cieľová stanica neprijme tieto tri oktety, tak samozrejme nemôže poslať potvrdenie
– neprijatie môže byť zapríčinené preplnením vyrovnávacej pamäte alebo sa môže paket stratiť pri vysielaní
– ak zdrojovej stanici nepríde potvrdenie o doručení, tak stratené oktetyznovu odošle a zmenší veľkosť okna
– zmenšením veľkosti okna sa zabezpečí, že sa bude na prijímacej stanici využívať menšia časť vyrovnávacej pamäte a pamäť sa pomalšie zaplní
– zníži sa teda rýchlosť komunikácie medzi stanicami, aby sa zabezpečila väčšia spoľahlivosť prenosu
10.8 UDP operácie
• súbor protokolov TCP/IP– obsahuje veľa rôznych protokolov s rôznymi úlohami– IP - zabezpečuje bezspojový transport paketov cez intersieť na vrstve
3– TCP - zabezpečuje spojovo orientované, spoľahlivé posielanie
paketov na vrstve 4 OSI modelu– UDP - zabezpečuje bezspojové, nespoľahlivé odosielanie paketov na
vrstve 4 OSI modelu• TCP aj UDP
– používajú IP protokol– sú používané rôznymi protokolmi aplikačnej vrstvy
• TCP využívajú - FTP, HTTP, SMTP, DNS• UDP využívajú - TFTP, SNMP, DNS, DHCP
• TCP sa musí použiť– ak aplikácia vyžaduje garanciu doručenia paketu
• bez jeho poškodenia, v správnom poradí, bez duplicity– potrebná réžia prenosu na zabezpečenie spoľahlivého doručenia je
niekedy problémom TCP
10.8a UDP operácie
• UDP– nie každá aplikácia potrebuje garanciu doručenia dátového paketu– UDP je bezspojové a nespoľahlivé doručovanie– je rýchlejšie ako TCP, pretože ma menšiu réžiu prenosu dát– štandard je opísaný v RFC768– nepoužíva okno ani poradové alebo potvrdzovacie čísla– detekciu chýb musia preto zabezpečiť protokoly aplikačnej vrstvy– na transport cez sieť sa UDP zapúzdri do IP protokolu
10.9 Polia UDP segmentu
• zdrojový port– je nepovinný, používa sa iba vtedy ak je potrebné poslať nejaké
informácie naspäť odosielateľovi– napríklad - ak cieľový smerovač prijme smerovacie aktualizácie, tak
zdrojový smerovač nepotrebuje žiadne informácie naspäť, preto sa ani nič naspäť neposiela
• cieľový port– určuje aplikáciu, ktorej UDP protokol predá prijaté dáta– na cieľovej stanici môže bežať viacej aplikácii a cieľovým portom sa
exaktne určí tá, s ktorou požadujeme komunikovať– napríklad - požiadavka DNS zo stanice na DNS server použije
cieľový port 53 (číslo UDP portu pre DNS službu)• dĺžka - počet oktetov v UDP segmente• kontrolný súčet
– nepovinné, ale doporučované, aby sa zabezpečila detekcia chýb pri prenose
Formát segmentu UDP16b 16b 16b 16b
zdrojový port cieľový port dĺžka kontrolný súčet dáta
10.10 Prehľad portov transportnej vrstvy. Viacnásobné konverzácie
• v každom momente prechádzajú modernou sieťou tisícky paketov, ktoré zabezpečujú stovky rozdielnych služieb
• veľa serverov zabezpečuje mnoho služieb, ktoré musia byť v pakete jednoznačne identifikované– je to zabezpečené číslom cieľového portu (číslo zásuvky, socket
number)– zdrojová stanica nemôže vytvoriť paket iba pre cieľovú IP adresu,
pretože cieľová stanica by nevedela, ktorej službe treba paket odovzdať
– pri konverzácii musí byť uvedený aj port, ktorý označuje dotazovanúslužbu na serveri
– keby server nevedel rozlišovať medzi rôznymi konverzáciami, nebolo by možné napríklad naraz posielať e-mail aj pozerať www stránky
– stanice na ktorých beží TCP/IP priraďujú cieľové čísla portov určitým aplikáciam
– čísla portov sa používajú ako zdrojová a cieľová adresa v hlavičke segmentu
• rozdelenie portov– 0 až 1023 - „dobré známe“ porty, verejné porty, alebo štandardné
porty
10.11 Rozdelenie portov
• číslo portu je reprezentované 2 bajtami v hlavičke segmentu– môže byť teda z rozsahu 0 až 65535
• porty od 0 do 1023– „dobré známe“ porty, verejné porty alebo štandardné porty– riadené IANA (Internet Assigned Numbers Authority)– používané pre „dobre známe“ sieťové služby
• napríklad FTP, DNS, Telnet
• porty od 1024 do 49151– registrované porty
• porty od 49152 do 65535– dynamické alebo privátne porty
10.12 „Dobré známe“ porty
• „dobré známe“ porty (well-known)– RFC 1700
• vývojári aplikačných program sa dohodli na používaní „dobre známych“, štandardných, verejných čísel portov
• znamená to, že každá konverzácia pomocou FTP protokolu bude používať štandardné číslo portu 21– podobne u všetkých štandardných služieb
• dotazujúca stanica predpokladá, že štandardné služby bežia na štandardných, „dobre známych“ portoch– v opačnom prípade by sa na tieto služby nedalo normálnym
spôsobom dostať• aplikáciám ktorým nie je priradený štandardný port, sa pridelí
náhodné číslo z určitého rozsahuČísla portovaplikačná
vrstvaFTP TELNET SMTP DNS TFTP HTTP SNMP
číslo portu 21 23 25 53 69 80 161transportná
vrstvaTCP alebo UDP
10.13 Porty klientov
• zdrojový port dotazujúcej sa stanice je obyčajne dynamicky pridelený a väčší ako 1023
• aby aj server vedel, na ktorý port sa má poslať odpoveď• aj dotazujúca stanica môže mať viacej komunikačných
relácii– odlišujú sa opäť číslami portov
• napríklad - pri žiadosti na www server bude cieľový port 80 a zdrojový 1052– pri odpovedi z www servera bude cieľový port 1052 a zdrojový 80
• cvičenie+– viacnásobné aktívne relácie na stanici
• ip http server, show tcp• netstat, netstat -n
10.14 Porovnanie MAC, IP a portov
• čísla portov– označujú jednotlivé aplikácie– nachádzajú sa v transportnej vrstve– transportná vrstva využíva služieb sieťovej vrstvy
• IP adresy– označujú sa aj ako logické adresy– nachádzajú sa v sieťovej vrstve– sieťová vrstva využíva služieb linkovej vrstvy
• MAC adresy– nachádzajú sa v linkovej vrstve– označujú sa aj ako fyzické adresy– sieťová vrstva využíva služieb fyzickej vrstvy
• príklad na podobnosť so sieťovým adresovaním– obyčajná listová pošta
• meno adresáta je port• ulica a číslo domu je MAC adresa• mesto je IP adresa
– list môže byť poslaný do toho istého mesta, na rovnakú ulicu a číslo domu, ale rozdielnym ľuďom
11 ZOZNAMY RIADENIA PRÍSTUPU - ACL
• Access Control Lists - zoznamy riadenia prístupu
• spôsob práce zoznamov
• vytváranie
• pseudomaska - wildcard mask
• kontrola
• štandardné, rozšírené a pomenované ACL
• umiestňovanie ACL
• firewall
11.1 Základy ACL
• prístupový zoznam - access list• ACL - Access Control Lists - zoznamy riadenia prístupu
– zoznamy podmienok, ktoré sa používajú na testovanie sieťovej prevádzky, ktorá chce prejsť cez rozhrania smerovača
– informujú smerovač, ktoré typy paketov sa majú akceptovať a ktoréodmietnuť
• umožňujú manažovať prevádzku a zabezpečiť prístup do siete a von zo siete– môžu byť vytvorené pre všetky smerovateľné protokoly
• napríklad IP, IPX– môžu byť nastavené na riadenie prístupu do siete a podsiete
• filtrujú sieťovú prevádzku– určujú, či má byť paket cez rozhranie preposlaný alebo blokovaný– smerovač testuje každý paket, ktorý ním prechádza a na základe
podmienok v ACL ho buď prepošle alebo blokuje– ACL sa rozhoduje na základe
• zdrojovej adresy, cieľovej adresy, protokolov a čísel portov vyšších vrstiev
11.1a Základy ACL
• sú definované na základe protokolu, smeru prevádzky a portu– musia byť definované pre každý protokol, ktorý je na rozhraní povolený– riadia prevádzku vždy iba v jednom smere
• na riadenie prichádzajúcej aj odchádzajúcej prevádzky musia byťdefinované dva osobitné ACL
– ak má smerovač dve rozhrania a na každom z nich dva protokoly (IP, IPX)
• môžeme definovať až 8 rôznych ACL• 2 pre jednotlivé protokoly, krát 2 pre každý port, krát 2 pre každý smer
prevádzky
• ak nie sú ACL na smerovači nastavené– všetkým paketom, ktoré prechádzajú cez smerovač bude dovolené
smerovať hocikam do celej siete
11.2 Využitie ACL
• obmedziť sieťovú prevádzku a zvýšiť výkon siete– napríklad obmedzením prenosu video dát sa zníži zaťaženie siete a
zvýši výkon
• obmedzenie doručovania smerovacích aktualizácii– ak nie sú smerovacie informácie potrebné, ušetrí sa tým šírka pásma
• základný stupeň zabezpečenie pre prístup do siete– napríklad umožňujú povoliť jednej stanici prístup do určitej časti sieti a
inej ho zakázať
• blokovanie alebo preposielanie určitého druhu prevádzky– napríklad povoliť e-mailovú prevádzku a zakázať Telnetovú prevádzku
• riadi, ktoré časti siete môžu byť klientovi prístupné• kontroluje stanice pri prístupe na sieťový segment
– napríklad dovoľuje alebo zakazuje prístup k súborom cez FTP alebo HTTP
11.3 Ako ACL pracujú
• ACL pozostáva z výrokov, ktoré definujú ktoré pakety majú byťakceptované a ktoré odmietnuté na vstupe alebo výstupe rozhrania– rozhodnutia sa vykonávajú na základe zhody výroku a parametrov
paketu• poradie výrokov je dôležité
– softvér testuje jednotlivé výroky od prvého po posledný– ak narazí na výrok v ACL, ktorý vyhovuje parametrom v pakete
• okamžite sa vykoná akceptácia paketu alebo jeho odmietnutie• ďalšie výroky sa v zozname už netestujú• napríklad - ak je výrok, ktorý povoľuje všetku prevádzku umiestnený prvý,
tak ďalšie, ktoré ju obmedzujú sú zbytočné, pretože nebudú nikdy kontrolované
– na konci každého zoznamu je implicitne pridaný výrok odmietajúci všetku prevádzku (pri výpise ACL nie je viditeľný)
• ak paket nevyhovie žiadnemu výroku, tak je automaticky odmietnutý• pri oboznamovaní sa s ACL je výhodne pridať ešte jeden viditeľný výrok,
ktorý všetko odmieta (deny any)• ak je potrebné pridať ďalší výrok k už existujúcemu ACL
– celé ACL sa musí zmazať a vytvoriť nanovo
11.4 Postup spracovania paketu
• po príchode rámca na rozhranie skontroluje smerovačadresu vrstvy 2– rámec sa prijme, ak je adresovaný smerovaču alebo je to vysielací
rámec– ak je rámec odmietnutý spracovanie sa ukončí
• smerovač skontroluje existenciu ACL pre príchodziuprevádzku pre rozhranie, ktorým rámec prišiel– ak ACL existuje, tak sa ním otestuje príchodzí paket– ak paket vyhovie niektorému výroku, tak sa buď odmietne alebo
akceptuje• ak je paket vstupným ACL akceptovaný
– je vyhľadaná cesta v smerovacej tabuľke pre výber jeho ďalšej cesty a cieľového rozhrania
• smerovač skontroluje existenciu ACL pre odchádzajúcu prevádzku pre cieľové rozhranie– ak aj tento ACL existuje, tak sa ním paket otestuje– ak paket vyhovie niektorému výroku, tak sa buď odmietne alebo
akceptuje– ak ACL neexistuje alebo paket vyhovie výroku, tak sa paket zapuzdri
11.5 Vytváranie ACL
• existuje viacero typov ACL– napríklad - štandardné, rozšírené (extended), pomenované (named)
• každý ACL nastavený na smerovači musí mať svoje jedinečnéčíslo
• číslo identifikuje typ ACL a musí byť z určitého rozsahu– IP: 1-99, 1300-1999; rozšírené IP: 100-199, 2000-2699; AppleTalk:
600-699; IPX: 800-899; rozšírené IPX: 900-999; IPX SAP: 1000-1099• nastavenie ACL pozostáva z dvoch krokov
– 1. definovanie ACL• Router(config)# access-list 5 deny 172.16.1.1 - 5 je číslo ACL• Router(config)# access-list 5 permit 172.16.1.0 0.0.0.255 log• (log - výpis na konzolu v prípade zhody paketu s výrokom, je to nepovinné)• Router(config)# access-list 5 deny 172.16.0.0 0.0.255.255• Router(config)# access-list 5 permit 172.0.0.0 0.255.255.255
– 2. priradenie ACL správnemu rozhraniu pre zvolený smer prevádzky• Router(config)# interface FastEthernet 0/0• Router(config-if)# ip access-group 5 in - in znamená, že sa bude
kontrolovať prichádzajúca prevádzka cez FastEthernet 0/0– vytvorené číslované ACL sa nedá upraviť, iba vymazať a zadať znovu
• Router(config)# no access-list 5 - vymazanie ACL
11.6 Pravidlá pri vytváraní ACL
• mal by byť jeden ACL pre každý protokol, pre každý smer• štandardné ACL by mali byť čo najbližšie pri cieli• rozšírené ACL by mali byť čo najbližšie zdroja• prichádzajúca a odchádzajúca prevádzka sa uvažuje z
pohľadu vnútra smerovača• výroky sú testované na zhodu postupne od prvého po
posledný, pokiaľ sa nenájde zhoda– ak je nájdená zhoda paket je akceptovaný alebo odmietnutý
• na konci každého ACL je implicitne zadané deny any– odmietni všetko– nezobrazuje sa vo výpise ACL
• položky ACL by mali filtrovať od jednotlivých staníc po všeobecné siete– napríklad: stanica by mala byť zakázaná ako prvá a všeobecná sieť
ako posledná• zhoda sa testuje ako prvá
– akceptovanie paketu alebo odmietnutie sa aplikuje iba pri zhode
11.6a Pravidlá pri vytváraní ACL
• nikdy nepracovať s ACL, ktorý je aktívne priradený k nejakému rozhraniu
• textový editor by mal byť použitý na načrtnutie logiky filtrovania– potom doňho dopísať výroky, ktoré vykonajú túto logiku
• nový výrok je pridaný vždy na koniec ACL• príkaz no access-list 11 zmaže celý ACL
– pri číslovanom ACL nie je možné mazať a pridávať iba niektorévýroky
• ACL pre IP pri odmietnutí paketu pošle ICMP správu stanica nedosiahnuteľná a paket zmaže
• ACL by mal byť odstraňovaný opatrne– ak bol pri odstraňovaní ACL aktívne priradený určitému rozhraniu, tak
niektoré IOS budú štandardne odmietať všetku prevádzku• filtre pre odchádzajúcu prevádzku nemajú vplyv na
prevádzku ktorá vznikla v smerovači samotnom• k ACL sa dá definovať poznámka, kvôli jeho lepšiemu
pochopeniu
11.7 Funkcia pseudomasky
• pseudomaska - wildcard mask (maska divokej karty)– 32 bitové číslo rozdelené do štyroch oktetov– je spárovaná s IP adresou– jednotky a nuly označujú ako sa majú spracovávať odpovedajúce bity
IP adresy– názov je prebraný z kartových hier
• divoká karta (žolík) nahradí hocijakú kartu• jednotky odpovedajú divokej karte, ktorá nahradí hocijakú hodnotu bitu
– pseudomaska nemá žiadnu funkčnú podobnosť s podsieťovoumaskou
• používa sa na iné účely a s inými pravidlami
• príklad masky– 0.0.255.255– binárne nuly - znamenajú, že bit v IP adrese sa BUDE kontrolovať– binárne jednotky - znamenajú, že bit v IP adrese sa NEBUDE
kontrolovať
11.7a Funkcia pseudomasky
• príklad spracovania jedného výroku v ACL– výrok v ACL: access-list 1 permit 172.16.0.0 0.0.255.255
• porovnávacia hodnota: 172.16.0.0 OR 0.0.255.255 = 172.16.255.255• OR - je logický súčet
– IP adresa kontrolovaného paketu: 172.18.54.201• porovnávaná hodnota: 172.18.54.201 OR 0.0.255.255 = 172.18.255.255
– hodnota 172.16.255.255 sa nerovná 172.18.255.255• zhoda nebola nájdená, paket sa bude testovať na zhodu s nasledujúcim
výrokom
• špeciálne kľúčové slová– výrazu: access-list 2 permit 0.0.0.0 255.255.255.255 budú vyhovovať
všetky adresy• preto sa dá výraz nahradiť jednoduchším výrazom:• access-list 2 permit any
– výrazu: access-list 2 permit 192.168.32.58 0.0.0.0 bude vyhovovaťiba jedna stanica
• preto sa dá výraz nahradiť jednoduchším výrazom:• access-list 2 permit host 192.168.32.58
11.8 Kontrola ACL
• show ip interface– zobrazuje priradené ACL ku rozhraniam
• show access-lists– zobrazuje obsah všetkých ACL na smerovači
• show access-lists 2– zobrazuje obsah ACL číslo 2 na smerovači
• show running-config– zobrazuje priradené ACL ku rozhraniam aj obsah všetkých ACL na
smerovači
• ACL je dobré odskúšať aj testovacou prevádzkou– overenie správnej logiky priradených ACL– otázka, či akceptuje to čo má akceptovať podľa predstavy
administrátora a či odmieta to čo má odmietať
11.9 Štandardné ACL+
• povolené čísla - 1 až 99, 1300 až 1999 (expanded)
• filtrujú iba podľa zdrojovej adresy
• aplikuje sa na rozhrania čo najbližšie cieľovej stanici
• blokuje celý súbor protokolov naraz
• cvičenia+
11.10 Rozšírené ACL+
• extended– povolené čísla - 100 až 199, 2000 až 2699 (expanded)– filtrujú podľa zdrojovej aj cieľovej adresy– aplikuje sa na rozhrania čo najbližšie zdrojovej stanici– blokuje podľa protokolov a čísel portov na transportnej vrstve
• napríklad: môžu povoliť prenos e-mailu a pre tú istú sieť zakázať prenos www stránok a ftp
• používajú sa častejšie– umožňujú lepšiu kontrolu filtrovania
• príklad nastavenia rozšíreného ACL– Router(config)# access-list 115 permit tcp 172.161.6.0 0.0.0.255 any eq
telnet– Router(config)# access-list 115 permit tcp 172.161.6.0 0.0.0.255 any eq
ftp– Router(config)# access-list 115 permit tcp 172.161.6.0 0.0.0.255 any eq
ftp-data
• cvičenia+
11.11 Formát príkazu rozšíreného ACL+
• access-list číslo-ACL dynamic dynamické-číslo timeout minúty (deny | permit | remark) protokol zdrojová-adresa zdrojová-pseudomaska cieľová-adresa cieľová-pseudomaskaprecedence priorita tos číslo-služby (log | log-input) time-rangemeno-časového-intervalu typ-ICMP kód-ICMP správa-ICMP typ-IGMP operator operand port číslo-alebo-meno-portuestablished fragments
• protokol– eigrp, gre, icmp, igmp, ip, ipinip, nos, ospf, pim, tcp, udp– alebo číslo z rozsahu - 0 až 255– protokol ip zahŕňa aj - ICMP, TCP, UDP
• operand– filtruje na základe portov– lt - menší, gt - väčší, eq - rovná sa, neq - nerovná sa
11.12 Pomenované ACL (named)+
• od verzie Cisco IOS 11.2– nekompatibilné s predchádzajúcimi verziami IOS
• umožňujú štandardným a rozšíreným ACL prideliť meno– namiesto čísla– meno musí byť jedinečné
• napríklad - nemôžu existovať štandardný a rozšírený ACL s tým istým menom
• výhody– alfanumerické meno identifikuje ACL– neobmedzený počet pomenovaných ACL– možnosť modifikácie ACL bez jej úplného vymazania
• pridávanie výrokov je možné iba na koniec pomenovaného ACL
• cvičenia+
11.12a Pomenované ACL (named)+
• príklad konfigurácie– Router(config)# ip access-list extended testujeme
• vytvorí sa rozšírený pomenovaný ACL s názvom testujeme• namiesto parametra extended môže byť standard
– Router(config-ext-nacl)# permit tcp any host 158.4.58.27 eq smtp– Router(config-ext-nacl)# permit udp any host 158.4.58.27 eq domain– Router(config-ext-nacl)# remark ACL dovoluje pristup k EMAIL a DNS
serverom• popis ACL
– Router(config-ext-nacl)# deny ip any any log– Router(config-ext-nacl)# exit– Router(config)# interface FastEthernet 0/0– Router(config)# ip access-group testujeme out
• vymazanie výrazu– Router(config)# ip access-list extended testujeme– Router(config-ext-nacl)# no permit udp any host 158.4.58.27 eq domain
11.13 Umiest ňovanie ACL
• správne umiestnený ACL bude filtrovať prevádzku a zefektívni sieť
• mal by byť umiestnený na miesto, kde je najviac efektívny• rozšírené ACL by mali byť čo najbližšie zdroja
– pretože špecifikujú zdrojovú aj cieľovú adresu
• štandardné ACL by mali byť čo najbližšie pri cieli– pretože špecifikujú iba zdrojovú adresu
• administrátor môže umiestňovať ACL iba na smerovače, ktorémá pod priamou správou– obmedzenie, ktoré treba brať do úvahy
• obrázok
11.14 Firewall
• bezpečnostná stena• bezpečnostný sieťový prvok poskytujúci ochranu privátnym
sieťam• architektonická štruktúra, ktorá sa nachádza medzi užívateľom
a vonkajším svetom– chráni vnútornú sieť pred votrelcami z internetu
• obyčajne pozostáva z viacerých zariadení, ktoré spolupracujú– bránia sa voči nechcenému nezákonnému prístupu do siete
• príklad architektúry– vonkajší smerovač - (pripojený do internetu) núti všetku prichádzajúcu
prevádzku, aby smerovala do aplikačnej brány– vnútorný smerovač - (pripojený do vnútornej siete) akceptuje pakety iba
z aplikačnej brány– aplikačná brána (gateway) - riadi doručovanie sieťových služieb do
vnútornej siete a z vnútornej siete von
11.14a Firewall
11.14b Firewall*
• napríklad– do internetu majú prístup iba niektorí užívatelia– iba niektoré aplikácie môžu nadviazať spojenie medzi vnútornou a
vonkajšou sieťou– ak je povolený iba e-mail, tak smerovač akceptuje iba pakety nesúce e-
mail, ostatné sú zahadzované• chráni to bránu a zabraňuje jej preťaženiu paketami, ktoré by aj tak boli
zahodené• smerovač vo firewale
– tieto smerovače sú často umiestnené medzi vnútornou a vonkajšou sieťou
– môžu byť na nich nastavené ACL– umožňujú riadenie prevádzky z (do) jednotlivých častí vnútornej siete– smerovač zabezpečuje bod izolácie - ostatné vnútorné časti nie sú
ovplyvňované• vonkajší smerovač
– ACL na nich sú potrebné pre ďalšie zvýšenie bezpečnosti– poskytujú základnú ochranu z vonkajšej siete
• alebo zo siete menej ovládanej do časti siete privátnejšej– ACL by mal byť nastavený pre každý protokol, ktorý je na rozhraní
11.15 Obmedzenie prístupu na virtuálne porty*
• štandardným a rozšíreným ACL sa riadia iba pakety, ktoréprechádzajú cez smerovač– nie sú navrhnuté na blokovanie prevádzky vznikajúcej v smerovači– rozšírený ACL blokujúci telnet štandardne neplatí pre telnetové relácie
vznikajúce priamo v smerovači• smerovač obsahuje
– fyzické porty - napríklad - Serial 0/0, FastEthernet 0/0– virtuálne porty - napríklad - vty 0 až vty 4 - pre telnet
• užívatelia môžu mať povolené (zakázané) pristupovať na virtuálne terminálové porty na smerovač– ale môžu mať zakázaný prístup do nejakých sieti zo smerovača– zvýšenie bezpečnosti
• podmienky použitia– na fyzické rozhrania môžu byť použité pomenované aj číslované ACL– na virtuálne linky môžu byť použité iba číslované ACL– treba ich aplikovať rovnako na všetky virtuálne linky
• pretože užívateľ môže pristupovať na hociktorú z nich
11.15a Obmedzenie prístupu na virtuálne porty*
• ACL sa vytvárajú rovnako, ako pre fyzické porty– rozdiel je v ich aplikácii - používa sa príkaz access-class
• namiesto príkazu access-group pre rozhrania
• príklad aplikácie na virtuálne porty– Router(config)# line vty 0 4– Router(config)# login– Router(config)# password heslo– Router(config)# access-class 2 in
• cvičenie
