Professional Documents
Culture Documents
Spis treci
Rozdzia 1. Sprawy porzdkowe.........................................................................................................................5
Owiadczenie i licencja...................................................................................................................................................5
Dostp do CVS i Twj udzia w tym projekcie.............................................................................................................. 5
Lista pocztowa - jak i gdzie?.......................................................................................................................................... 5
Rozdzia 3. Dokumentacja.................................................................................................................................. 7
Gdzie w Internecie znale dobre materiay o sprzcie Cisco? Konfiguracja, przykady, zalecenia?........................... 7
Jakie polecacie ksiki po Polsku, do pracy ze sprztem Cisco?................................................................................... 8
A jakie w ogle ksiki polecacie, powicone sieciom oraz sprztowi Cisco?............................................................ 8
Jak zainstalowa Cisco Documentation pod Windows tak, by nie trzeba byo za kadym razem korzysta z krka? 9
Jak zainstalowa Cisco Documentation pod Linuksem/BSD?..................................................................................... 10
Gdzie sprawdzi skadni konkretnego polecenia?...................................................................................................... 10
Podczyem si i...?......................................................................................................................................................14
...w oknie terminala nic nie widz?............................................................................................................................................. 14
...jak dostawa informacje o zdarzeniach na routerze na konsol?............................................................................................. 14
...jaki dokadnie mam router? Ile mam pamici RAM/flash? Co oznaczaj poszczeglne linijki z polecenia `show version'?.15
...gdy pomyl si w poleceniu, router zaczyna robi dziwne rzeczy...........................................................................................16
...chciabym zapisa konfiguracj routera/PIXa/przecznika?...................................................................................................16
...chciabym wymaza konfiguracj routera/PIXa/przecznika?............................................................................................... 16
...jakiego uy oprogramowania do poczenia si z routerem?................................................................................................. 16
...jakiego uy oprogramowania do serowania plikw tftp/ftp?................................................................................................. 17
Mj router uparcie prbuje cign z sieci plik network-config, network-cfg lub cisconet.cfg - o co chodzi?........................17
SNMP............................................................................................................................................................................19
Logowanie zdarze....................................................................................................................................................... 19
Chciabym logowa zdarzenia zachodzce na routerze do pamici. Jak to zrobi?....................................................................19
Chciabym logowa zdarzenia zachodzce na PIXie do pamici. Jak to zrobi?....................................................................... 19
Chciabym logowa zdarzenia zachodzce na routerze do serwera syslog. Jak to zrobi?.........................................................19
Chciabym logowa zdarzenia zachodzce na PIXie do serwera syslog. Jak to zrobi?............................................................ 20
Czas...............................................................................................................................................................................20
Jak ustawi zegar na routerze?.................................................................................................................................................... 20
Jak ustawi zegar wg. serwerw czasu z Internetu?....................................................................................................................20
Skonfigurowaem na swoim routerze NTP, ale zegar pozostaje niezsynchronizowany - a mino ju par godzin.................. 21
NAT.............................................................................................................................................................................. 21
W jakich wersjach oprogramowania obsugiwany jest NAT, PAT oraz mapowanie portw z adresw publicznych na
prywatne?.................................................................................................................................................................................... 21
Chc uruchomi NAT - mam jeden interfejs publiczny i jeden prywatny. Jak to zrobi?..........................................................21
Mam router z jednym interfejsem i chc robi NAT - czy to wykonalne?................................................................................. 22
Chc przekierowa port 25/tcp z adresu publicznego routera do sieci wewntrznej - jak to zrobi?......................................... 23
Jak sprawdzi, ktre interfejsy przypisane s do NAT i jak s skonfigurowane?...................................................................... 23
NAT mi nie dziaa - co moe by le?........................................................................................................................................ 23
SSH............................................................................................................................................................................... 24
Jak skonfigurowa SSH?.............................................................................................................................................................24
Jak sprawdzi, czy serwer SSH jest wczony?.......................................................................................................................... 24
VLANy......................................................................................................................................................................... 25
Co to s VLANy?........................................................................................................................................................................ 25
Co to jest VLAN "natywny"?......................................................................................................................................................26
Co maj na myli ludzie mwic "router na patyku" (ang. router on a stick)?........................................................................... 26
Czy Cisco PIX moe obsugiwa VLANy?................................................................................................................................ 27
Jak skonfigurowa na PIXie VLAN?.......................................................................................................................................... 27
Jak sprawdzi................................................................................................................................................................ 28
...ile interfejsw logicznych obsuy router X?...........................................................................................................................28
...aktualne obcienie procesora?................................................................................................................................................ 28
...historyczne obcienie procesora?........................................................................................................................................... 29
...w licie procesw tylko te, zajmujce jakie zasoby procesora?............................................................................................. 29
...zajto pamici?......................................................................................................................................................................29
...objto pamici wykorzystywan przez procesy routingu?....................................................................................................30
...jakie karty zainstalowano w routerze?..................................................................................................................................... 30
...jakie karty zainstalowano w przeczniku pracujcym pod kontrol CatOS?......................................................................... 31
...co obsuguje dany feature-set?................................................................................................................................................. 32
...znajc nazw pliku Cisco IOS jaki to feature-set?................................................................................................................... 32
...czy dana karta/modu kompatybilna jest z danym routerem?.................................................................................................. 33
...na ktrym porcie routera znajduje si urzdzenie o danym adresie MAC lub IP?.................................................................. 33
...na ktrym porcie przecznika Catalyst wpito urzdzenie o danym adresie MAC?.............................................................. 33
...budet mocy na modularnym przeczniku Catalyst?.............................................................................................................. 34
Rozdzia 9. Routing...........................................................................................................................................48
Mam na routerze dwa interfejsy z nadanymi adresami IP, ale router nie chce routowa midzy nimi. O co chodzi? 48
Jak wskaza routerowi domyln bramk?...................................................................................................................48
Na jednym routerze mam wiele rnych protokow routingu. Informacje ktrego z nich, znajd si w tablicy
routingu?....................................................................................................................................................................... 49
Jak przebiega proces routingu na routerach Cisco? Co jest brane pod uwag?............................................................49
Co to jest trasa pywajca (ang. floating route)?...........................................................................................................49
Chc rozkada obcienie pomidzy trasy o rwnej metryce. Jak wyglda konfiguracja tego w IOSie?.................. 50
Chc rozkada obcienie pomidzy trasy o rwnej metryce w proporcji 1:2 - jak to zrobi?.................................. 50
Czym si rni protok routingu typu link-state od distance-vector?......................................................................... 51
W jaki sposb protokoy typu dystans-wektor zapobiegaj tworzeniu ptli?...............................................................51
Interfejsy loopback........................................................................................................................................................52
Co to jest interfejs loopback? Gdzie fizycznie si znajduje?...................................................................................................... 52
RIP................................................................................................................................................................................ 52
Co to jest RIP?.............................................................................................................................................................................52
Jak wyglda podstawowa konfiguracja RIPv1?.......................................................................................................................... 52
A jak uruchomi na routerze RIP w wersji 2?.............................................................................................................................53
OSPF............................................................................................................................................................................. 54
Co to jest OSPF?......................................................................................................................................................................... 54
Jak dziaa OSPF?.........................................................................................................................................................................54
Jak router liczy w OSPFie metryk dla poczenia?................................................................................................................... 55
O czym pamita przy sumaryzacji?........................................................................................................................................... 55
Jakie s typy LSA?...................................................................................................................................................................... 55
Co jest potrzebne eby dwa routery wymieniy informacje o routingu OSPF?.......................................................................... 55
Jak sprawdzi aktualny stan ssiadw danego routera OSPF?................................................................................................... 56
Jak skonfigurowa OSPF?...........................................................................................................................................................57
Czy jest jaki przewodnik po budowaniu sieci z OSPFem?........................................................................................................58
Routing BGP................................................................................................................................................................. 58
Co to jest BGP?........................................................................................................................................................................... 58
Co to jest numer AS?...................................................................................................................................................................58
Jaki potrzebuj router do obsugi BGP?......................................................................................................................................58
Jak waciwie dziaa BGP?..........................................................................................................................................................59
Jakich atrybutw uywa BGP?....................................................................................................................................................59
Jak w BGP wybierana jest cieka?............................................................................................................................................ 63
Jak skonfigurowa BGP?............................................................................................................................................................ 64
Chciabym uruchomi BGP - skd mam wzi swj numer AS?............................................................................................... 64
Co to jest PI i czym rni si od PA?..........................................................................................................................................65
Czy jest jaki przewodnik po budowaniu sieci z BGP?.............................................................................................................. 65
Jak skonfigurowa........................................................................................................................................................ 82
...tunel IPsec pomidzy dwoma routerami poczonymi do Internetu kanaami Frame Relay PVC?........................................ 82
...tunel IPsec+GRE pomidzy dwoma routerami poczonymi do Internetu kanaami Frame Relay PVC?.............................. 85
E1/E3.............................................................................................................................................................................90
Jak kart zastosowa do poczenia E1 w celu przenoszenia danych?......................................................................................90
Jak kart zastosowa do poczenia E3 w celu przenoszenia danych?......................................................................................90
ATM..............................................................................................................................................................................91
Jak kart zastosowa do poczenia ATM w celu przenoszenia danych?................................................................................. 91
Jak sprawdzi................................................................................................................................................................ 94
...jakie mechanizmy komutacji wczono na interfejsie?............................................................................................................ 94
...ile ruchu komutowanego jest danym mechanizmem komutacji?.............................................................................................94
Hasa na routerach.......................................................................................................................................................102
Jak odzyska zapomniane haso z routera?............................................................................................................................... 102
A jak odszyfrowa zaszyfrowane haso w konfiguracji routera?..............................................................................................103
Owiadczenie i licencja
Dokument ten rozpowszechniany jest w nadziei, e bdzie uyteczny, ale BEZ ADNEJ GWARANCJI;
nawet bez implikowanej gwarancji RKOJMI lub PRZYDATNOCI DO KONKRETNEGO ZASTOSOWANIA.
Krtko i po ludzku mwic, zebrane tu informacje wcale nie musz by prawdziwe. Jeli w wyniku ich
zastosowania np. Twoja firma straci miliony zotych - to nie bya nasza wina. Bardzo nam przykro staralimy si poda pewne informacje w dobrej wierze. Zastanw si zatem wielokrotnie zanim
postanowisz co kupi, wczy lub (s|prze)konfigurowa!.
Materia zawarty w tym FAQ moe by dystrybuowany tylko na zasadach okrelonych w Open Publication
License,
v1.0
lub
pniejszej
(ostatnia
wersja
jest
obecnie
dostpna
pod
adresem
http://www.opencontent.org/openpub/).
Znakw towarowych firm, w szczeglnoci firmy Cisco Systems, uyto tylko w celu identyfikacji
produktw.
Namawiamy do darmowego kopiowania i dystrybuowania (sprzedawania lub rozdawania) tego dokumentu
w dowolnym formacie. Wymagamy jednak, by poprawki i/lub komentarze przekazywa bezporednio na
adres listy pocztowej, lub na adres koordynatora projektu - ukasza Bromirskiego.
wersji
znajduje
si
Koordynator tego FAQ pracuje nad uruchomieniem publicznie dostpnego serwera CVS.
http://www.cisco.pl/
http://www.ciscopoland.pl/cisco/main.asp
pod
adresem:
http://www.cisco.com/
Aby skorzysta z tej pomocy, musisz posiada wykupiony kontrakt serwisowy - SmartNET lub
SmartSpares.
Musisz zna rodzaj sprztu, o ktrym z Cisco TAC chciaby porozmawia, jego numer seryjny i
jeli to moliwe - posiada jak najdokadniejsze informacje o nim (zwykle na pocztku rozmowy
inynier TAC poprosi o zrzucenie do pliku wyniku dziaania polecenia `show tech-support', wic
warto od razu mie go pod rk).
Inynierowie Cisco TAC z reguy nie pomagaj w konfiguracji poczenia Internetowego, list
kontroli dostpu czy nie zaprojektuj Ci odpowiednio sieci. Postaraj si wykona jak
najdokadniejszy troubleshooting zanim poprosisz o pomoc.
Troch bardziej zaawansowane zagadnienia pojawiaj si na listach, na ktre trzeba si zapisa. S to:
Syszaem, e aktywacja szyfrowania 3DES i ew. AES jest na PIXach darmowa - czy to
prawda?
Tak, wystarczy e uytkownik kocowy urzdzenia zarejestruje si na stronie o adresie
https://www.cisco.com/pcgi-bin/Software/Crypto/crypto_main.pl?prod_refer=pix3des. Kod aktywacyjny
umoliwiajcy szyfrowanie 3DES i AES (od PIX OS 6.3) otrzyma e-mailem.
Rozdzia 3. Dokumentacja
Gdzie w Internecie znale dobre materiay o sprzcie Cisco? Konfiguracja,
przykady, zalecenia?
Na pocztek zapoznaj si z CCO, czyli Cisco Connection Online. Jest to sekcja strony
http://www.cisco.com/univercd/home/home.htm, bdca naprawd kopalni wiedzy - zarwno o danych
fabrycznych produktw, jak i konfiguracji poszczeglnych zagadnie czy zaleceniach Cisco.
Drugim, bardzo bogatym i obszernym miejscem, s prezentacje z corocznych spotka oranizowanych
przez Cisco, nazywanych Networkers. Poniej lista lokacji, z ktrych cign mona w formacie PDF
prezentacje z poszczeglnych lat:
1999: http://www.cisco.com/networkers/nw99_pres/
2000: http://www.cisco.com/networkers/nw00/pres/
2001: http://www.cisco.com/networkers/nw01/pres/
2002: http://www.cisco.com/networkers/nw02/post/presentations.html
I na koniec - wiele odpowiedzi i czsto spotykanych konfiguracji, znale mona posugujc si (jak
zwykle, gdy masz wtpliwoci) wyszukiwark google.
"Routery
Cisco.
Czarna
ksiga",
(http://helion.pl/ksiazki/rcisbb.htm)
"Routery
Cisco
w
praktyce",
(http://helion.pl/ksiazki/rcisco.htm)
"Cisco.
Receptury",
ISBN:
(http://helion.pl/ksiazki/cisrec.htm)
ISBN:
ISBN:
83-7197-286-5,
83-7197-214-8,
83-7361-330-7,
wydawnictwo
Helion
wydawnictwo
Helion
wydawnictwo
Helion
Zdecydowanie nie polecam tumacze ksiek Cisco Press wydawnictwa Mikom. Aby zorientowa si w
jakoci wydawanych przez nich ksiek, wystarczy skorzysta z przegldarki Google. Dodatkowo,
koordynator tego FAQ (ukasz Bromirski) mia osobist nieprzyjemno wsppracowa z tym
wydawnictwem przy tumaczeniu dwch ksiek.
Jak zainstalowa Cisco Documentation pod Windows tak, by nie trzeba byo za
kadym razem korzysta z krka?
Najwygodniej jest wykona obraz drugiej pyty (np. programem CloneCD czy Nero), nastpnie
zainstalowa jeden z wielu programw umoliwiajcych wirtualizacj napdw CD/DVD - polecam Virtual
Deamon i wskaza mu ten plik jako wirtualny napd CD. Pozostanie jedynie zmieni literk, przypisan w
konfiguracji programu wywietlajcego dokumentacj. W domylnej instalacji, plik ten znajduje si w
katalogu c:\cisco i nazywa search.ini. Naley otworzy go za pomoc ulubionego edytora tekstowego,
znale cig znakw SourceDrive i po znaku rwna si wpisa liter wirtualnego napdu.
W mojej instalacji, oryginalny plik mia taki wpis:
SourceDrive=E:
Poniewa mj wirtualny dysk CD zainstalowa si pod liter F:, zmieniem ten wpis na:
SourceDrive=F:
Teraz wystarczy uruchomi plik autorun.exe z wirtualnego napdu, by uruchomi DocumentationCD bez
potrzeby posiadania pytki w napdzie.
Dla
Cisco
IOS
11.3:
http://www.cisco.com/en/US/products/sw/iosswrel/ps1826/prod_command_reference_list.html
Dla
Cisco
IOS
12.0:
http://www.cisco.com/en/US/products/sw/iosswrel/ps1828/prod_command_reference_list.html
Dla
Cisco
IOS
12.1:
http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/prod_command_reference_list.html
Dla
Cisco
IOS
12.2:
http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/prod_command_reference_list.html
Dla
Cisco
IOS
12.3:
http://www.cisco.com/en/US/products/sw/iosswrel/ps5187/prod_command_reference_list.html
Associate
Professional
Expert
Dodatkowo istnieje niezalena grupa certyfikatw opisujca konkretne specjalnoci (Cisco Qualified
Specialist, CQS).
CCIE R&S, czyli Cisco Certified Internetwork Expert, Routing & Switching
Elitarny certyfikat, zawiadczajcy o doskonaej wiedzy w dziedzinie budowy i utrzymania sieci
kadej wielkoci.
Wymaga zdania egzaminu 350-001, skadajcego si z dwch czci: pisemnego oraz w
laboratorium. Bez zdania egzaminu pisemnego, nie moesz zdawa egzaminu w laboratorium.
CCIE jest wany przez dwa lata. Aby si recertyfikowa, naley zda jeden z egzaminw
pisemnych - w swojej specjalizacji lub innej.
CCIE Service Provider, czyli Cisco Certified Internetwork Expert, Service Provider
Elitarny certyfikat, zawiadczajcy o doskonaej wiedzy w dziedzinie budowy i utrzymania sieci, ze
szczeglnym naciskiem na sieci budowane przez i dla dostawcw usug.
W zalenoci od pod-specjalizacji, CCIE SP zdaje jeden egzamin pisemny i jeden w laboratorium.
Podobnie jak w przypadku CCIE R&S, poraka na etapie egzaminu pisemnego uniemoliwia
zdawanie egzaminu praktycznego. Dostpne podspecjalizacje to: 350-020 Optical, 350-021
Cable, 350-022 DSL, 350-023 WAN Switching, 350-024 IP Telephony, 350-025 Dial, 351-026
Content Networking. Egzamin pisemny zawiera w poowie tematy z CCIE R&S, a w poowie z
tematyki w ktrej kandydat ma si specjalizowa.
CCIE jest wany przez dwa lata. Aby si recertyfikowa, naley zda jeden z egzaminw
pisemnych - w swojej specjalizacji lub innej.
...Cisco PIX?
Podobnie jak routery, PIXy rwnie posiadaj port opisany niebieskim kolorem jako CONSOLE. Do PIXa
rwnie mona podczy si przez Telnet, SSH lub od wersji 6.0 PIX OSa - PDM, czyli PIX Device
Manager. Od wersji 7.0 graficzny interfejs uytkownika to ASDM Advanced Security Device Manager.
Podczyem si i...?
...w oknie terminala nic nie widz?
Sprbuj par razy wcisn Enter - urzdzenie po drugiej stronie powinno zwrci prompt o login, lub po
prostu od razu umoliwi wykonywanie polece (w zalenoci od konfiguracji).
Jeli nic si nie dzieje, a jeste pewien e kabel konsolowy jest dobry, moliwe, e port ustawiony jest
inaczej ni domylnie (dla przypomnienia, prdko 9600, 8 bitw danych, bez parzystoci i 1 bit stopu).
Sprbuj ustawienia 38400 8N1, 57600 8N1 lub 115200 8N1 w swoim terminalu.
...jaki dokadnie mam router? Ile mam pamici RAM/flash? Co oznaczaj poszczeglne linijki z
polecenia `show version'?
Standardowo do sprawdzenia, z jakim urzdzeniem mamy do czynienia, poza oczywist inspekcj
wizualn (jeli pracujemy zdalnie niemoliw) jest wydanie polecenia `show version'.
Poniej przykadowy wynik takiego polecenia wraz z interpretacj wyniku:
Cisco Internetwork Operating System Software
IOS (tm) C1700 Software (C1700-Y-M), Version 12.1(22a), RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2004 by cisco Systems, Inc.
Compiled Fri 23-Jan-04 20:40 by cmong
Image text-base: 0x80008088, data-base: 0x8060A5D4
Z tego fragmentu moemy dowiedzie si, e mamy do czynienia z routerem (na urzdzenie zaadowano
Cisco IOS, na PIXach mamy do czynienia z PIX OSem, na duych przecznikach Catalyst z CatOSem).
Po drugie, oprogramowanie naley do serii przeznaczonej dla routerw serii 1700 (C1700 Software), w
wersji 12.1.22a (Version 12.1(22a)) i zawierajcym funkcjonalno "IP" (C1700-Y-M). O tym jak
rozszyfrowa funkcjonalno oprogramowania odpowiadamy w dalszych pytaniach.
c1720 uptime is 10 minutes
System returned to ROM by power-on
System image file is "flash:c1700-y-mz.121-22a.bin"
Kolejna linijka okrela, jak dawno resetowano router (uptime is 10 minutes - 10 minut temu), co byo
przyczyn restartu (power-on - wcznik, inne opcje to reload - restart wymuszony poleceniem reload),
oraz jaki i skd Cisco IOS zosta zaadowny (flash:c1700-y-mz.121-22a.bin, z pamici Flash i nazywa
si c1700-y-mz.121-22a.bin).
cisco 1720 (MPC860) processor (revision 0x501) with 12288K/4096K bytes of memory.
Processor board ID JAD01234567 (123456789), with hardware revision 0000
M860 processor: part number 0, mask 32
Mamy do czynienia z routerem Cisco 1720 (Cisco 1720), sterowanym procesorem MPC860. Router
posiada cznie 16MB pamici RAM (12288K/4096K bytes of memory, wartoci naley zsumowa).
Dodatkowo, mona sprawdzi numer seryjny urzdzenia (JAD01234567).
1 FastEthernet/IEEE 802.3 interface(s)
1 Serial(sync/async) network interface(s)
Router posiada jeden interfejs FastEthernet (standardowo zabudowany na routerach 1700) oraz jeden
interfejs szeregowy (moe pracowa zarwno w trybie asynchronicznym jak i synchronicznym).
32K bytes of non-volatile configuration memory.
4096K bytes of processor board System flash (Read/Write)
Dodatkowo, router posiada 32kB pamici nieulotnej (NVRAM), w ktrej przechowuje si aktualn i
startow konfiguracj, oraz 4MB pamici Flash (uywanej do przechowywania Cisco IOS, certyfikatw
itp.).
Configuration register is 0x2102
Tzw. rejestr konfiguracyjny, kontrolujcy pewne aspekty startu i pracy routera ustawiony zosta na
warto heksdecymaln 2102. O znaczeniu poszczeglnych bajtw tego rejestru napisano niej.
server (255.255.255.255)
server (255.255.255.255)
server (255.255.255.255)
or unable to find computer address
Mj router uparcie prbuje cign z sieci plik network-config, network-cfg lub cisconet.cfg - o co
chodzi?
Masz aktywn usug wczytywania konfiguracji z sieci. Wycz j, piszc:
router(config)# no service config
(10.0.0.0/8)
(172.16.0.0/12)
(192.168.0.0/16)
UWAGA!: Pojcie "adresy nieroutowalne" jest bdne - nie ma czego takiego. Kady adres jest jak
najbardziej routowalny, po prostu przeznaczeniem tego konkretnego zestawu adresw nie jest
znalezienie si w Internecie.
SNMP
Jak uruchomi na routerze SNMP?
W najprostszym scenariuszu, wystarczy wyda polecenie:
router(config)# snmp-server community mojstring RO 15
...gdzie mojstring to klucz, ktry musi poda agent by odczyta dane, RO to tryb dostpu (tylko do
odczytu, lub RW zezwalajce rwnie na zapis) i w kocu 100 to numer listy ACL kontrolujcej kto moe
czy si z SNMP routera. Lista ta moe mie np. tak konstrukcj:
ip access-list standard 15
permit 192.168.0.10
permit 192.168.0.15
deny any
...co pozwoli na odczytywanie informacji tylko stacjom o adresach 192.168.0.10 i 192.168.0.15. Numer
listy dostpu mona pomin, ale wtedy dostp do SNMP routera bdzie mia kady host, ktry nie
zostanie odfiltrowany przez ew. ograniczenia ruchowe na interfejsach!
Logowanie zdarze
Chciabym logowa zdarzenia zachodzce na routerze do pamici. Jak to zrobi?
W najprostszym scenariuszu, wystarczy wyda polecenie:
router(config)# logging buffered 128000
...gdzie 128000 to proba o rezerwacj 128kB pamici na potrzeby bufora. Najstarsze zdarzenia zostan
nadpisane. Zawarto bufora obejrze mona poleceniem `show log'.
logging
logging
logging
logging
host 192.168.0.10
severity debugging
facility local0
on
Czas
Jak ustawi zegar na routerze?
Poleceniem:
router# clock set 16:13:00 23 feb 2004
Na mniejszych platformach, zegar nie jest jednak podtrzymywany bateri i po resecie, zostanie
wyzerowany.
znajduje
Stratum
si
2
pod
pod
adresem
adresem
Jeli Twj router nie obsuguje penej implementacji NTP a jedynie SNTP, konfiguracja jest analogiczna
ale sowo kluczowe ntp zastpujemy sntp:
router(config)# sntp server 217.153.69.35
router(config)# sntp server 150.254.183.15
danego
serwera
nie
da
uwierzytelniania
NAT
W jakich wersjach oprogramowania obsugiwany jest NAT, PAT oraz mapowanie portw z adresw
publicznych na prywatne?
NAT pojawi si w wersji IOS 11.2 w feature-set "IP Plus". Od wersji 12.0 caa funkcjonalno NAT
dostpna jest ju w standardowej wersji "IP".
Chc uruchomi NAT - mam jeden interfejs publiczny i jeden prywatny. Jak to zrobi?
W trzech krokach.
Oznaczasz interfejsy jako publiczny (ip nat outside) i jako prywatny (ip nat inside) - moe
by wiele zarwno publicznych jak i prywatnych. Na przykad:
router(config)# interface
router(config-if)# ip nat
router(config-if)# exit
router(config)# interface
router(config-if)# ip nat
router(config-if)# exit
serial 0.99
outside
fastethernet 0/0
inside
Na koniec okrelasz jaki ruch z interfejsw oznaczonych jako wewntrzne bdzie podlega
NATowaniu i na jakie adresy. Wpisy przegldane s sekwencyjnie wg kolejnoci i jeli router trafi
na wpis pasujcy do pakietu, nie przejrzy ju wpisw pniejszych.
Poniej przykad, w ktrym sie 192.168.10.0/24 NATowana jest na zdefiniowan wczeniej pul,
a sie 192.168.20.0/24 na adres interfejsu serial 0.99:
! w celu wybrania ruchu z podsieci 192.168.10.0/24 definiujemy
! list ACL:
router(config)# ip access-list extended Siec10NAT
router(config-acl)# permit ip 192.168.10.0 0.0.0.255 any
router(config-acl)# exit
! i to samo dla sieci 192.168.20.0/24:
router(config)# ip access-list extended Siec20NAT
router(config-acl)# permit ip 192.168.20.0 0.0.0.255 any
router(config-acl)# exit
ACLki SiecDoNAT, musisz trafi na interfejs Loopback 0. W ten sposb ruch z sieci LAN zawsze zostanie
sztucznie przerzucony na interfejs Loopback 0, gdzie dojdzie do jego zNATowania. Nastpnie pakiet ju z
publicznym adresem, zgodnie z normalnymi reguami routingu, zostanie wysany interfejsem
FastEthernet 0/0 w stron sieci ISP:
router(config)# route-map PetlaNAT permit 10
router(config-route-map)# match ip address SiecDoNAT
router(config-route-map)# set interface Loopback0
Chc przekierowa port 25/tcp z adresu publicznego routera do sieci wewntrznej - jak to zrobi?
Zakadam, e chodzi o ruch na adres IP 169.254.10.10 (nasz fikcyjny adres publiczny) na port 25/tcp, i
ma on trafia do stacji gdzie za routerem, o adresie 192.168.0.10 na ten sam port:
router(config)# ip nat inside source static tcp 192.168.0.10 25 169.254.10.10 25
extendable
SSH
Jak skonfigurowa SSH?
Po pierwsze, sprawd czy w ogle posiadasz w swoim IOSie funkcjonalno SSH. Pojawia si ona w linii
12.0 i jest obecna tylko w feature-setach posiadajcych funkcjonalno "IPsec" (routery), "Service
Provider SSH" (wiksze routery, od 7xxx) oraz "Crypto" (przeczniki Catalyst). Od wersji IOS 12.3
dostpna jest na routerach w kadym IOSie (za wyjtkiem tych oznaczonych 'W/O CRYPTO') oraz od linii
12.2(x) na przecznikach Catalyst w nowych wersjach pakowania IOSa (rwnie za wyjtkiem tych
Warto
0x0000-0x000F
Znaczenie
Sposb startu urzdzenia:
0x0000 - start do promptu bootstrap
0x0001 - start z obrazu przechowywanego w EPROMie
0x0002
do
0x000F - standardowy boot
06
07
08
0x0040
0x0080
0x0100
10
11-12
0x0400
0x0800-0x1000
13
0x2000
14
15
0x4000
0x8000
Domylna warto to 0x2102. Oznacza ona, e router powinien wystartowa z obrazu przechowywanego
w pamici Flash i sprbowa zaadowa konfiguracj z pamici NVRAM. Prdko konsoli ustalona jest na
9600. Dokadnie takie samo zachowanie, ale z konsol ustawion na 115200 daje ustawienie rejestru
konfiguracyjnego na warto 0x3922.
VLANy
Co to s VLANy?
VLAN, czyli Virtual LAN, to po prostu podzia w warstwie drugiej sieci na wiele mniejszych domen
rozgoszeniowych. Aby ruch mg by wymieniany pomidzy dwoma hostami znajdujcymi si w rnych
VLANach, potrzebne jest urzdzenie warstwy trzeciej - router. Dzisiaj bardzo czsto routing midzy
VLANami realizuje si na przecznikach, kiedy rol t peniy routery.
Istniej standard tworzenia VLANw - zdefiniowany przez IEEE 802.1Q. Opisuje on dokadnie, jak
rozszerzy ramk L2 aby zawrze w niej informacje, do ktrego VLANu ramka naley (s to w tzw. ramki
tagowane). Poczenie, ktre przenosi ramki z jednoczenie wielu VLANw, nazywa si trunkiem. Cisco
zdefiniowao wczeniej na swoich przecznikach standard ISL - jest on bardzo czsto spotykany w
starszych urzdzeniach. Dziaa on w zasadzie tak samo jak 802.1Q, ale ramka ulega "zapakowaniu" w
now, co zwiksza czas potrzebny na przeprowadzanie operacji - i co waniejsze, nie jest obsugiwane
przez innych ni Cisco producentw.
VLANu.
Na trunkach (niezalenie czy 802.1Q czy ISL), VLAN natywny przenoszony jest bez tagowania.
Licencja
R
UR/FO
R
UR/FO
Interfejsy fizyczne
1+4(przecznik)
2
2+1 opcja
6
6
8
Interfejsy logiczne
2
2
3
8
10 (6+4)
10
PIX-535
PIX-535
R
UR/FO
6
10
8
22
Jak sprawdzi...
...ile interfejsw logicznych obsuy router X?
Kady interfejs zajmuje minimaln ilo pamici routera. Lista interfejsw przechowywana jest w tzw.
IDB, czyli Interface DataBase. W zalenoci od wielkoci routera, a take w mniejszym stopniu od wersji
Cisco IOS na nim pracujcego, pojemno tej bazy rni si. Aktualna lista znajduje si tutaj:
http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_tech_note09186a0080094322.shtm
l
Na swoim routerze, ilo "wolnego miejsca" na dodatkowe interfejsy, moesz sprawdzi poleceniem
`show idb':
router# show idb
Maximum number of Software IDBs 300.
In use 17.
Active
Inactive
Total IDBs
Size each (bytes)
Total bytes
HWIDBs
13
4
17
4648
79016
SWIDBs
13
4
17
1392
23664
Powysza informacja pochodzi z routera 1712 - wida, e router obsuy do 300 interfejsw, z czego 17
jest ju zajtych.
6% - rednie oglne zajcie procesora przez ostatnie pi sekund; jest ono sum obcienia
wywoanego przez przerwania i procesy
Jak nietrudno si domyli, pierwsza warto minus druga warto daje obcienie procesora przez
rnego rodzaju procesy dziaajce na routerze (NAT, DHCP, obsuga IP, IPsec itp.).
Pozostae dwie wartoci z wydruku, to zgodnie z nazw urednione obcienie oglne za poprzedni
minut i pi minut.
Par uwag co do wartoci podzielonej (6%/2%):
Jeli pierwsza warto jest duo wiksza od drugiej (np. widzisz na swoim routerze warto
75%/16%), oznacza to jakiego rodzaju atak na router, lub istotny problem z ktrym z
procesw.
Jeli oba parametry s wysokie (np. 95%/92%), router obsuguje za duo ruchu - postaraj si
zoptymalizowa jego konfiguracj, zweryfikowa poprawno topologii swojej sieci lub wymieni
router na wikszy.
70
60
50
40
30
20
10
*****
*****
0....5....1....1....2....2....3....3....4....4....5....5....
0
5
0
5
0
5
0
5
0
5
CPU% per second (last 60 seconds)
[...]
...zajto pamici?
List procesw z podstawowymi informacjami mona sprawdzi poleceniem:
memory
13534380, Free: 64510580
Freed
Holding
Getbufs
55980
7590192
0
71100
840
0
7879520
20080
252348
0
10100
0
188
3844
0
1196764
104264
0
188
6844
0
0
90424
0
536
6844
0
7616660
619640
1091448
Retbufs
0
0
0
0
0
0
0
0
0
1447712
Process
*Init*
*Sched*
*Dead*
Chunk Manager
Load Meter
SSH Process
fastblk backgrou
EDDRI_MAIN
Check heaps
Pool Manager
Pierwsza linijka wydruku podaje informacje sumaryczne. Router ma oglem 78MB pamici uytecznej, z
tego uywa obecnie 13,5MB a wolne pozostaje 64MB.
Kolejne kolumny na licie to:
TTY - z ktr konsol skojarzony jest proces - wikszo procesw ma tutaj warto 0, co
oznacza, e skojarzone s tylko z procesem Init.
Natomiast bardziej konkretn informacj, dotyczc tylko pamici, mona uzyska wydajc polecenie
show memory statistics:
router# show memory statistics
Head
Total(b)
Processor
631920E0
78044960
I/O
7C00000
4194304
Used(b)
13548532
2399272
Free(b)
64496428
1795032
Lowest(b)
64033028
1457520
Largest(b)
63721760
1653884
Tutaj dodatkowo wida pami zarezerwowan na operacje I/O (ang. Input/Output), czyli na
komunikacj z zainstalowanymi kartami interfejsw.
: MOD1700-VPN=
W nowszych IOSach pojawio si rwnie polecenie `show inventory', ktre dotyczy mniej danych
technicznych, a bardziej po prostu faktycznego wyposaenia routera. Poniej wynik dziaania tego
polecenia na routerze 2650XM:
2650xm# show diag
NAME: "2650XM chassis",
DESCR: "2650XM chassis, Hw Serial#: JAE01234ABC (12345678), Hw Revision: 0x200"
PID: 2650XM
, VID: 0x200, SN: JAE01234RAU (12345678)
NAME: "2600 Chassis Slot 0", DESCR: "2600 Chassis Slot"
PID: 2600 Chassis Slot , VID:
, SN:
NAME: "C2600 Mainboard", DESCR: "C2600 Mainboard"
PID: C2600 Mainboard
, VID: 2.0, SN: 12345678
NAME: "DaughterCard Slot 0 on Card 0", DESCR: "2600 DaughterCard Slot"
PID: 2600 DaughterCard Slot, VID:
, SN:
NAME: "WAN Interface Card - Serial (1T)", DESCR: "WAN Interface Card - Serial (1T)"
PID: WAN Interface Card - Serial (1T), VID: 1.0, SN: 20512345
NAME: "Serial0/0", DESCR: "PowerQUICC Serial"
PID: PowerQUICC Serial , VID:
, SN:
NAME: "DaughterCard Slot 1 on Card 0", DESCR: "2600 DaughterCard Slot"
PID: 2600 DaughterCard Slot, VID:
, SN:
NAME: "AIM Container Slot 0", DESCR: "AIM Container Slot 0"
PID: AIM Container Slot 0, VID:
, SN:
NAME: "FastEthernet0/0", DESCR: "AmdFE"
PID: AmdFE
, VID:
, SN:
NAME: "2600 Chassis Slot 1", DESCR: "2600 Chassis Slot"
PID: 2600 Chassis Slot , VID:
, SN:
Slot
---1
1
8
9
Ports
----2
1
48
48
Module-Type
------------------------1000BaseX Supervisor
Multilayer Switch Feature
10/100BaseTX Ethernet
10/100BaseTX Ethernet
Model
------------------WS-X6K-SUP1A-2GE
WS-F6K-MSFC
WS-X6248-RJ-45
WS-X6348-RJ-45
Sub
--yes
no
no
yes
Status
-------ok
ok
ok
ok
[...]
Mod
--1
9
Sub-Type
----------------------L3 Switching Engine
Inline Power Module
Sub-Model
Sub-Serial
------------------- ----------WS-F6K-PFC
SAD03462981
WS-F6K-VPWR
Sub-Hw
-----1.0
1.0
Platformy, na ktrej bdzie pracowa obraz (c2600 to routery Cisco serii 2600);
Czy obraz wykonywany jest w pamici RAM (literka m), czy w pamici Flash (literka f) lub z ROM
(literka r) lub relokowalny (literka l). Dodatkowo, mona si dowiedzie, e obraz jest
spakowany zwykym ZIPem (literka z), lub mZIPem (literka x);
funkcjonalno "IP"
funkcjonalno "Enterprise"
funkcjonalno "Remote Access Server"
funkcjonalno "IP/IPX/AT/DECnet"
funkcjonalno "Service Provider"
ograniczona funkcjonalno "IP" (bez Kerberosa, RADIUSa,
NTP, OSPF, PIM, SMRP, NHRP itp.)
s
o
o3
x
n
funkcjonalno
funkcjonalno
funkcjonalno
funkcjonalno
funkcjonalno
"Plus"
"Firewall"
"Firewall/IDS"
"H.323"
"IPX"
=
=
=
=
=
=
=
=
=
IP only
IP Plus
IP Firewall (na starsze platformy)
IP/FW/IDS
IP H.323
IP Plus IPsec DES
IP Plus IPsec 3DES
IP/FW/IDS Plus IPsec 3DES
Service Provider + SSH
Natomiast od linii 12.3 pojawio si nowe, majce uporzdkowa wiele rnych (ponad 80) wersji
funkcjonalnoci nazewnictwo. Wikszo funkcjonalnoci IP Plus wesza do obecnie podstawowego obrazu
IP Base. Zaawansowane usugi bezpieczestwa (firewall CBAC, IDS/IPS, VPNy) znajduj si teraz od
feature-setu Advanced Security (od linii 12.4(4)T jest tu rwnie protok BGP). Funkcjonalno
potrzebna w rodowiskach dostawcw usug znajduje si w pakiecie SP Services (m.in. protok BGP,
ale rwnie obsuga gosu i CallManager Express). Dokadniejszy podzia funkcjonalnoci znale mona w
tym dokumencie:
http://www.cisco.com/en/US/products/sw/iosswrel/ps5460/index.html
Zmiany dotycz rwnie przecznikw na mniejszych Catalystach zanikaj zatem funkcjonalnoci
SMI/EMI (lub SI/EI dla przecznikw L2) a pojawiaj si LAN Base, Advanced IP Services itp.
...na ktrym porcie routera znajduje si urzdzenie o danym adresie MAC lub IP?
Wystarczy, e wydasz polecenie `show ip arp aaaa.bbbb.cccc', gdzie cig aaaa.bbbb.cccc to szukany
adres MAC, lub `show ip arp A.B.C.D', gdzie cig A.B.C.D to adres IP:
! dla adresu MAC:
router# show ip arp 0000.cd0f.4feb
Protocol
Internet
Address
192.168.10.10
Age (min)
2
Hardware Addr
0000.cd0f.4feb
Type
ARPA
Interface
FastEthernet0/0
Hardware Addr
0000.cd0f.4feb
Type
ARPA
Interface
FastEthernet0/0
Address
192.168.10.10
Age (min)
2
...na ktrym porcie przecznika Catalyst wpito urzdzenie o danym adresie MAC?
Jeli na przeczniku zainstalowano IOS, wystarczy, e wydasz polecenie `show mac-address-table |
include aaaa.bbbb.cccc', gdzie cig aaaa.bbbb.cccc to szukany adres MAC:
switch# show mac-address-table | include 0000.cd0f.4feb
1
0000.cd0f.4feb
DYNAMIC
Fa0/24
Jak wida, urzdzenie o tym adresie MAC wpite jest do portu FastEthernet 0/24 na lokalnym
przeczniku. Jeli zamiast portu wskazany jest trunk - naley sprawdzi na kolejnym przeczniku,
podczonym do lokalnego wskazanym trunkiem.
Jaki router wystarczy do maej sieci (10-15 uytkownikw), w sytuacji, gdy Internet
dochodzi do mnie stykiem V.35 (Polpak-T)?
Najmniejszy router Cisco, do ktrego podczy mona V.35 to model 805. Problem polega na tym, e
interfejs tego routera obsuguje taktowanie tylko do 512kbit/s, co oznacza, e nie nadaje si raczej do
wikszoci instalacji (np. Polpak-T zestawia si zwykle na prdkoci 1 lub 2Mbit/s).
Jeli zaley Ci na sprzcie uywanym (niska cena, ale pamitaj o braku oficjalnego serwisu dla tego
sprztu!), rozejrzyj si na Allegro za routerami klasy 1601 czy 2503. Posiadaj one zamontowane porty
szeregowe i Ethernet, przy czym porty szeregowe maj styk DB-60. Do takiego routera potrzebujesz
jeszcze kabla DTE V.35 (oryginalny kabel posiada oznaczenie CAB-V35MT). Problemem tego sprztu jest
maa wydajno - 2Mbit/s cze obsu bez problemu, ale dodawanie nowej funkcjonalnoci (duych list
ACL, kontroli zawartoci pakietw przez NBAR itp.) moe znacznie zmniejszy wydajno i spowodowa
rwanie si pocze, czy problemy z ich nawizaniem.
Najmniejszy router dostpny "z pki" to 1721, do ktrego w celu obsugi cza z V.35 naley dooy
kart WIC-1T (jeden styk DB-60, kabel CAB-V35MT) lub WIC-2T (dwa styki Smart Serial, dwa kable CABSS-V35MT). Routery te posiadaj obecnie standardowo po 64MB RAM i 32MB flash, co pozwala na
rozbudow w przyszoci o Cisco IOS z wiksz funkcjonalnoci.
Jeli mylisz o obsudze dwch rwnolegych cz 2Mbit/s i bdziesz kupowa nowy router, ju dzisiaj
zastanw si nad routerami klasy 2600XM. Routery 2610XM, 2620XM i 2650XM posiadaj po jednym
FastEthernecie, a 2611XM, 2621XM i 2651XM po dwa FastEthernety. Poza nimi, konfiguracja sprztowa
jest taka sama: wszystkie posiadaj jeden slot NM i dwa sloty WIC, plus slot AIM ukryty w obudowie.
Routery rni si wydajnoci (2610XM/2611XM w granicach 20kpps, 2620XM/2621XM 30kpps i
2650XM/2651XM 40kpps) i domylnie dostarczan wielkoci pamici (2610/11/20/21XM maj po 64MB
RAM i 32MB flash, 2650/51XM 128MB RAM i 32MB flash).
Jaki router wystarczy do maej sieci (10-15 uytkownikw), w sytuacji, gdy chcemy
bezpiecznie poczy si VPNem do innej podobnej lokalizacji przez cze zakoczone
Ethernetem?
Cisco przewidziao specjalnie do takich celw routery 1711/1712. W cenie symbolicznie tylko wyszej od
podstawowego modelu 1721 otrzymujemy router z:
"WAN"-owskim portem Ethernet, do ktrego moemy podczy np. modem DSL (zakoczony
Ethernetem, nie stykiem ADSL!)
analogowym portem modemowym (1711) lub ISDN BRI (1712), na ktrym mona zrealizowa
poczenie zapasowe (lub gwne - pena elastyczno)
oprogramowaniem
Firewall
da
si
nawet
Oczywicie, jeli takie poczenia VPN schodz si w jakim punkcie centralnym to musi si tam
znajdowa odpowiednio mocniejsze urzdzenie terminujce tunele, np. koncentrator VPN, lub wikszy
router z kart VPN albo PIX z kart VAC.
Mam dwa cza od dwch ISP i chciabym uruchomi BGP. Jakiego routera
powinienem uy?
Generalnie, routing BGP mona uruchomi nawet na routerach serii 800. Zakadamy jednak, e chodzi o
instalacje z du sieci LAN, relatywnie duym ruchem z i do Internetu (rzdu 4-200Mbit/s) oraz chci
realizowania innych usug - filtrowania ruchu, NATowania itp.
Bezpiecznie bdzie zaoy, e potrzebujesz routera z serii 7200 - 7204VXR lub 7206VXR (odpowiednio 4
lub 6 slotw na karty interfejsw). W takim routerze powinna znale si karta z procesorem sieciowym,
w nomenklaturze Cisco oznaczana jako NPE. Aby uruchomi BGP i sensownie obsugiwa ruch, powiniene
obecnie wyposay si w modu NPE-400 lub NPE-1G, wzgldnie NSE-1. Karta NPE/NSE powinna mie
minimum 256MB RAM, jeli chcesz otrzymywa pene wiatowe tablice BGP.
Zajrzyj rwnie do sekcji powiconej routingowi BGP, aby uzyska wicej informacji o dziaaniu tego
protokou, jego konfiguracji i innych zaleceniach.
Przeczniki modularne
Natomiast jeli potrzebujesz modularny przecznik, obecnie Cisco sprzedaje serie 4500 oraz 6500. 4500
jest "zeskalowan w d" wersj 6500, ale oferuje zarwno porty 10/100BaseTX, 100BaseFX jak i gigabit
we wszystkich standardach oraz realizuje wikszo funkcjonalnoci rodziny 6500. Niestety nadal karty
10GbE dostpne s tylko dla 6500/7600 (monta takiej karty w 4500 nie ma sensu, kady modu ma
zarezerwowane tylko 6Gbit/s do i z moduu zarzdzajcego). Wicej informacji o przecznikach 4500
znajdziesz
tutaj:
http://www.cisco.com/go/cat4000,
a
o
rodzinie
6500
tutaj:
http://www.cisco.com/en/US/products/hw/switches/ps708/index.html.
Punkty dostpowe 1120. S to urzdzenia pracujce w standardzie 802.11b (P/N: AIR-AP1120BE-K9), 802.11g kompatybilnym w d z 802.11b (P/N: AIR-AP1121G-E-K9). W obu wersjach
anteny zamontowane s wewntrz urzdzenia i nie ma moliwoci doczenia zewntrznych. Do
zakupionego AP serii 1120 ze starym radiem 802.11b, mona dokupi nowe radio zgodne ze
standardem 802.11g (P/N: AIR-MP21G-E-K9).
Punkty dostpowe serii 1200. Wczeniejsza seria tych produktw (1220) posiadaa system
operacyjny oparty na platformie VxWorks. Na obecnie sprzedawanych AP (seria 1230)
zainstalowany jest ju zwyky Cisco IOS. Punkty dostpowe tej serii s dwusystemowe - posiadaj
dwa sloty na radia obu standardw: 802.11b lub 802.11g, oraz 802.11a. Do radia 802.11b lub
802.11g naley dokupi osobno anteny zewntrzne, radio 802.11a posiada zamontowan na
stae, zintegrowan anten.
Punkty dostpowe serii 350. Starsza generacja sprztu, kompatybilna tylko ze standardem
802.11b.
Wicej
o
produktach
bezprzewodowych
http://www.cisco.com/go/wireless.
moesz
przeczyta
pod
adresem:
access-list 100
access-list 100
no cdp run
!
line con 0
exec-timeout 5
login local
line vty 0 4
exec-timeout 5
login local
!
end
0
0
...usugi SDI/CDI?
SDI/CDI mona do routera Cisco podczy na dwa sposoby: do portu AUX routera (niepolecane, obcia
mocno procesor) lub do interfejs asynchronicznego.
Na mniejszych routerach (klasy 1700) port asynchroniczny znajduje si na karcie WIC-2A/S. Dodatkowo,
ale tylko na platformie 1700, w tryb asynchroniczny mona ustawi porty na karcie WIC-2T (lub jedyny
port na karcie WIC-1T) - w konfiguracji interfejsu dodajc polecenie physical layer async.
UWAGA: moesz spi styk Ethernet dostawcy z interfejsem Ethernet/FastEthernet na swoim routerze
pod warunkiem, e uyjesz kabla skrosowanego!
Przyjto, e interesuje Ci podstawowa konfiguracja, bez dodatkowej funkcjonalnoci spotykanej tylko na
niektrych routerach (firewall, IDS, wymylne filtrowanie czy uwierzytelnianie).
Zarwno w usudze SDI jak i CDI router musi w ramach poczenia PPP uwierzytelni si - login i haso
otrzymae od dostawcy. Sie LAN ma adresacj 192.168.0.0/24, przy czym interfejs Ethernet routera
ma adres 192.168.0.1 i jest domyln bramk dla sieci. Sie LAN uywa oczywicie w cznoci z
Internetem adresu publicznego przypisanego routerowi.
W poniszej konfiguracji zakadamy, e uywasz karty WIC-1T lub pierwszego portu z karty WIC-2T.
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
!
hostname rtr_cisco
!
enable password jakies_trudne_haslo
!
username user_1 password haslo_usera_1
ip subnet-zero
no ip source-route
no ip domain-lookup
ip tcp path-mtu-discovery
!
interface Ethernet0
description Polaczenie dla sieci LAN
ip address 192.168.0.1 255.255.255.0
ip nat inside
!
interface Serial0
description Polaczenie SDI
physical-layer async
ip address negotiated
no ip directed-broadcast
ip nat outside
encapsulation ppp
async mode dedicated
no cdp enable
ppp pap sent-username nazwa_uzytkownika_sdi password haslo_uzyt_sdi
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial 0
no ip http server
!
ip nat inside source list 100 interface Serial 0 overload
!
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 100 deny ip any any
no cdp run
!
line con 0
exec-timeout 5 0
login local
line vty 0 4
exec-timeout 5 0
login local
!
end
...usugi Neostrada+?
Zakadam, e chodzi o Neostrad zakoczon stykiem ADSL. Odpowiednie routery Cisco do takiej
konfiguracji, to np. Cisco 837 - ktry ma zabudowane na stae styk ADSL, lub Cisco 1700 czy 2600 z
moduem WIC-1ADSL. Zakadajc, e posiadasz kabel i wszystko odpowiednio podczye, poniej
gotowiec konfiguracji.
Przyjto, e interesuje Ci podstawowa konfiguracja, bez dodatkowej funkcjonalnoci spotykanej tylko na
niektrych routerach (firewall, IDS, wymylne filtrowanie czy uwierzytelnianie).
Adres publiczny przydzielany jest dynamicznie przy kadym poczeniu, sie LAN ma adresacj
192.168.0.0/24, przy czym interfejs Ethernet Twojego routera ma adres 192.168.0.1 i jest dla tej sieci
domyln bramk.
Sie LAN wychodzi do Internetu z dynamicznie przyznanym adresem IP.
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
!
hostname rtr_cisco
!
enable password jakies_trudne_haslo
!
username user_1 password haslo_usera_1
ip subnet-zero
no ip source-route
no ip domain-lookup
ip tcp path-mtu-discovery
!
ip dhcp excluded-address 192.168.0.1
!
ip dhcp pool CLIENT
import all
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 194.204.159.1 194.204.152.34
lease 0 2
!
interface Ethernet0
description Polaczenie dla sieci LAN
ip address 192.168.0.1 255.255.255.0
ip nat inside
!
interface ATM0
description Polaczenie ADSL do ISP
no ip address
no atm ilmi-keepalive
pvc 0/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
hold-queue 224 in
!
interface Dialer0
description Interfejs dzwoniacy
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp chap hostname login@neostrada.pl
ppp chap password 0 twoje_haslo_do_neo+
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer 0
no ip http server
!
ip nat inside source list 100 interface Dialer 0 overload
!
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 100 deny ip any any
no cdp run
!
line con 0
exec-timeout 5 0
login local
line vty 0 4
exec-timeout 5 0
login local
!
end
enable
set password enable haslo_do_enable
set password exec haslo_do_telneta
set web enabled
set telnet enabled
set int eth0 address 192.168.0.1
set int eth0 netmask 255.255.255.0
cbos#
cbos#
cbos#
cbos#
set
set
set
set
ppp
ppp
ppp
ppp
cbos#
cbos#
cbos#
cbos#
cbos#
cbos#
cbos#
cbos#
set
set
set
set
set
set
set
set
dhcp server
dhcp server
dhcp server
dhcp server
dhcp server
dhcp server
dhcp server
nat enabled
cbos#
cbos#
cbos#
cbos#
cbos#
set
set
set
set
set
enabled
pool 0 ip 192.168.0.11
pool 0 size 200
pool 0 netmask 255.255.255.0
pool 0 gateway 192.168.0.1
pool 0 dns 194.204.159.1
pool 0 sdns 194.204.152.34
cbos# write
!
ip nat pool ISP1 172.16.10.1 172.16.10.14 netmask 255.255.255.240
ip nat pool ISP2 172.16.20.1 172.16.20.14 netmask 255.255.255.240
!
ip nat inside source list 1polowkaLAN pool ISP1 overload
ip nat inside source list 2polowkaLAN pool ISP2 overload
!
ip access-list extended 1polowkaLAN
permit ip 192.168.0.0 0.0.0.127 any
ip access-list extended 2polowkaLAN
permit ip 192.168.0.128 0.0.0.127 any
!
route-map ruch_z_lan permit 10
match ip address 2polowkaLAN
set ip next-hop 169.254.20.1
!
no cdp run
!
line con 0
exec-timeout 5 0
login local
line vty 0 4
exec-timeout 5 0
login local
!
end
Jak to dziaa? Do interfejsu Ethernet0 dociera ruch z sieci LAN, adresowany do Internetu. Route-mapa
ruch_z_lan sprawdza, czy pakiet nie pasuje do ACL 2polowkaLAN. Jeli pakiet pasuje, wpis w routemapie mwi, e naley go wyroutowa przez adres, dla ktrego nastpnym "hopem" bdzie
169.254.20.1, czyli interfejs Serial0.1 (podsie 169.254.20.0/30). Jeli nie pasuje, route-mapa koczy
testy i przekazuje pakiet do normalnego procesu routingu. W tablicy routingu znajduje si tylko jeden
wpis statyczny - trasa wskazuje na pierwsze cze:
ip route 0.0.0.0 0.0.0.0 169.254.10.1
Poniewa w trakcie podry, pakiet przechodzi pomidzy interfejsem oznaczonym jako ip nat inside
(interfejs Ethernet0) a jednym z dwch interfejsw oznaczonych jako ip nat outside wykonywany jest
NAT.
O kolejnoci sprawdzania na jaki zakres adresw zNATowa pakiet, decyduje kolejno wpisw ip nat
inside [...]. W naszej konfiguracji s dwa:
ip nat inside source list 1polowkaLAN pool ISP1 overload
ip nat inside source list 2polowkaLAN pool ISP2 overload
Wpisy te wprost mwi: pakiety z adresami rdowymi pasujcymi do ACL o nazwie 1polowkaLAN maj
zosta zNATowane na adresy z puli ISP1, a pakiety z adresami rdowymi pasujcymi do 2polowkaLAN
na pul adresw ISP2.
Notatka: Warto zwrci uwag, e ruch mona rozkada nie tylko ze wzgldu na
adres/podsie IP. Mgby na przykad zechcie kierowa ruch dla typowych usug kierowa
na jedno cze, a ca reszt na drugie - dziki temu, uytkownicy popularnych aplikacji P2P,
czy namitni cigacze wszystkiego co tylko mona za pomoc FTP nie bd przeszkadza
czytajcym poczt.
Musisz zmieni ACLk 2polowkaLAN:
ip access-list extended 2polowkaLAN
permit tcp 192.168.0.0 0.0.0.255 any eq 22
permit tcp 192.168.0.0 0.0.0.255 any eq 23
permit
permit
permit
permit
permit
permit
permit
permit
permit
permit
25
53
80
110
143
445
465
993
995
Teraz ruch do serwerw popularnych usug oraz ruch ICMP bdzie wychodzi czem, na ktre
wskazuje route-mapa ruch_z_lan, a ca reszt ruchu router skieruje tam gdzie wskazuje
zwyky wpis w tablicy routingu.
Name: Siec2
router(vlan)# exit
APPLY completed.
Exiting....
router#
Teraz naley fizyczne porty na przeczniku przypisa do jednego z tych dwch VLANw - 10 lub 20.
Zakadam, e pierwsze dwa porty przypisujemy do 10, a pozostae dwa do 20:
router(config)# interface range FastEthernet 0/0 - 1
router(config-if-range)# switchport mode access
router(config-if-range)# switchport access vlan 10
router(config-if-range)# exit
router(config)# interface range FastEthernet 0/2 - 3
router(config-if-range)# switchport mode access
router(config-if-range)# switchport access vlan 20
Pozostaje stworzy logiczne interfejsy VLAN10 i VLAN20, do ktrych przypiszemy adresy IP (i ktre bd
dla stacji w odpowiednich VLANach domylnymi bramkami). Zakadam, e sie VLAN10 ma adresacj
192.168.10.0/24 przy czym .1 to adres routera, a VLAN20 ma adresacj 192.168.20.0/24 przy czym .1
to adres routera.
router(config)# interface vlan 10
router(config-if)# ip address 192.168.10.1 255.255.255.0
router(config-if)# no shutdown
router(config)# interface vlan 20
router(config-if)# ip address 192.168.20.1 255.255.255.0
router(config-if)# no shutdown
Do tak stworzonych logicznych interfejsw VLAN x mona przypisa oczywicie ACLki, inspecty, routemapy itp.
Rozdzia 9. Routing
Mam na routerze dwa interfejsy z nadanymi adresami IP, ale router nie chce routowa
midzy nimi. O co chodzi?
Naley wyda polecenie `ip routing'.
podczona
wpisana statycznie
sumaryczna EIGRP
pozyskana z eBGP
pozyskana z internal EIGRP
pozyskana z IGRP
pozyskana z OSPF
pozyskana z IS-IS
pozyskana z RIP
pozyskana z external EIGRP
pozyskana z iBGP
0
1
5
20
90
100
110
115
120
170
200
Jak przebiega proces routingu na routerach Cisco? Co jest brane pod uwag?
W procesie routingu uczestnicz trzy niezalene od siebie zagadnienia:
Zawarto tablicy routingu, ktra otrzymuje informacje od procesw routingu i udziela pewnych
informacji procesowi fizycznie przekazujcemu pakiety
Proces przekazujcy pakiety (ang. forwarding process), ktry na podstawie informacji z tablicy
routingu podejmuje decyzje co i jak wysa.
Generalnie obowizuje zasada, e najdokadniejszy wpis w tablicy routingu zwycia, tj. najduszy
pasujcy prefiks do danej sieci ma pierwszestwo nad bardziej oglnymi. Jeli pakiet przeznaczony jest
do hosta o adresie 10.1.10.5, a w tablicy routingu istniej dwa wpisy: do sieci 10.1.10.0/24 i do sieci
10.0.0.0/16, uyty zostanie ten pierwszy.
Procesy routingu dostarczaj tablicy routingu najlepszych tras, zachowujc dla siebie trasy o gorszych
metrykach - czyli miarach "wartoci" danej trasy. Decyzja co wpisa do tablicy routingu, jeli wiele
procesw posiada tras do jednej sieci, podejmuje si na podstawie dystansu administracyjnego (mona
go dla danego protokou zmieni). W ramach tego samego protokou routingu, w tablicy routingu mog
pojawi si rwnolege trasy, jeli wynika to wprost z konfiguracji, lub metryki tych tras s sobie rwne
(nie myl dystansu administracyjnego i metryk!)
Doskonay
artyku
na
ten
temat
znajduje
si
tutaj:
http://www.cisco.com/en/US/tech/tk365/tk207/technologies_tech_note09186a0080094823.shtml.
Chc rozkada obcienie pomidzy trasy o rwnej metryce w proporcji 1:2 - jak to
zrobi?
Dopisz odpowiednio wicej tras do tej samej sieci. W przykadzie poniej preferujemy cze przez Serial
1, Serial 0 obsuguje tylko 1/3 ruchu:
router(config)# ip route 0.0.0.0 0.0.0.0 Serial 1
router(config)# ip route 0.0.0.0 0.0.0.0 Serial 1
router(config)# ip route 0.0.0.0 0.0.0.0 Serial 0
show ip protocol
Protocol is "rip"
updates every 30 seconds, next due in 3 seconds
after 180 seconds, hold down 180, flushed after 240
Interfejsy loopback
Co to jest interfejs loopback? Gdzie fizycznie si znajduje?
Interfejsy loopback (tak, moe by ich wiele), s wirtualnym tworem, bardzo wygodnym z paru
powodw:
Jeli tylko router dziaa, znajduj si w stanie "podniesionym" - ma to diametralne znaczenie dla
duych sieci, w ktrych stabilno tablic routingu ma znaczenie;
Poniewa mona przypisa im adres IP i wszelkie czynnoci administracyjne, "podpi" pod ten
adres (np. tak, by w pakietach Syslog, SSH, Telnet, SNMP, NTP itp. jako rdo pakietu figurowa
adres interfejsu loopback), atwo kontrolowa listy dostpu (jeden, stay adres IP do
przepuszczenia, zamiast stale zmieniajcego si adresu lub grupy adresw), zezwalajce na ruch
do i z nich, oraz atwiej zarzdza sieci zoon z wikszej liczby urzdze (jeli np. interfejsy
loopback wszystkich interfejsw w danej sieci wybrano z jednej podsieci /24, atwiej jest je po
kolei zlokalizowa);
RIP
Co to jest RIP?
RIP jest starym i obecnie rzadko uywanym w konstrukcji nowoczesnych sieci protokoem typu dystanswektor. Nowsza wersja RIPa, wersja 2 (opisana w RFC 1723) rni si od starszej wersji (v1, RFC 1058)
tym, e oprcz sieci przenosi jej mask, co efektywnie oznacza, e RIP wspiera VLSM (ang. Variable
Length Subnet Masks, czyli sieci z maskami rnych dugoci). RIP w wersji 2 wspiera rwnie
uwierzytelnianie, co pozwala zwikszy bezpieczestwo sieci, a take rozgaszanie informacji
routingowych za pomoc multicastw (na adres 224.0.0.9).
RIP rozsya co 30 sekund na port 520/udp (v1, wersja druga uywa multicastw dla normalnych
rozgosze i unicastw na port 520/udp dla uaktualnie wyzwolonych przez jak zmian w sieci) cae
tablice routingu do swoich ssiadw. Jako jedynej metryki uywa liczby przeskokw (hopw) do danej
sieci. Poniewa pole to ma maksymaln warto 16, efektywnie obnia to skalowalno sieci do 15 hopw
(gdzie 1 hop = sie podczona bezporednio, a 16 = sie nieosigalna). Podstawowym problemem w
protokole RIP s zatem sytuacje, w ktrych teoretycznie gorsza trasa (skadajca si np. z 5 a nie z 2
hopw), jest bardziej niezawodna, ma wiksz przepustowo itp. - a RIP nie bierze tego pod uwag.
router rip
version 2
network 192.168.0.0
network 169.254.10.0
OSPF
Co to jest OSPF?
OSPF (ang. Open Shortest Path First) jest protokoem dynamicznego routingu typu link-state i naley do
kategorii IGP. Kady router, w obrbie jednostek grupujcych sieci zwanych areami (obszarami), posiada
identyczn baz stanu linkw. Na bazie tych informacji tworzone jest drzewo najkrtszych cieek i wpisy
do tablicy routingu. Podstawowymi cechami odrniajcymi go od protokow typu distance-vector s:
oszczdno pasma - uaktualnienia wysyane s na skutek zmiany stanu danego linku, a nie w
formie okresowych rozgosze;
struktura hierarchiczna;
internal router - posiada wszystkie interfejsy w jednym obszarze. Jego zadania ograniczaj si do
ogaszania LSA i utrzymywania aktualnych informacji w bazach danych.
Area Border Router (ABR) - jest to router odpowiedzialny za czenie dwch lub wikszej iloci
obszarw (jednym z nich musi by backbone area). Utrzymuje pen topologiczna baz o kadym
obszarze, do ktrego jest podczony i przesya LSA midzy nimi. LSA zawieraj zsumaryzowane
informacje dotyczce sieci w danym obszarze.
Autonomous System Border Router (ASBR) - aby wyj poza swj system autonomiczny bd
wykorzysta informacj pochodzc z innego protokou routingu (dynamicznego bd
statycznego) musisz opuci domen OSPFa. Router, na ktrym dochodzi do takiego przejcia z
ospf na inny typ routingu (poprzez np. redystrybucj routingu statycznego) to wanie ASBR.
Funkcje ASBRa spenia rwnie router na ktrym jest dokonywana redystrybucja tras statycznych
do ospfa.
Koszt
100,000,000
--------------------------pasmo w bitach na sekund
(dla pasma liczonego w kilobitach na sekund, jak np. podaje si poleceniem bandwidth
przepustowo interfejsu dla protokow routingu, wzr ten wyglda oczywicie 10^5/pasmo)
Innymi sowy, cze E1 (2Mbit/s) wg OSPF bdzie miao koszt 48, Ethernet 10Mbit/s 10, a jeden kana
64Kbit/s ISDN BRI (kana B) bdzie mia koszt 1562.
sumaryzacj naley skonfigurowa rcznie, uwanie rozplanowujc sie przy podziale na obszary;
Router-link (LSA typ 1) - wszystkie linki, ktre posiada dany router wraz z lista wszystkich
ssiadw. Rozsyany tylko wewntrz obszaru.
Network-link (LSA typ 2) - rozsyana przez DR lista wszystkich routerw w danym segmencie, dla
ktrych suy jako DR i z ktrymi utrzymuje ssiedztwo. Rozsyany tylko wewntrz obszaru.
Summary link typu 3 - przesyane midzy obszarami, sumaryzuje informacje o sieciach w danym
obszarze. Tworzy je ABR.
Typ 1 - metryka jest sum kosztu dojcia po OSPF i metryki zewntrznego protokou;
NSSA external link (LSA typ 7) - typ specjalnie stworzony dla obszarw NSSA, przeznaczony do
przenoszenia informacji o redystrybuowanych sieciach. Analogicznie jak LSA5 ma 2 typy. Tworzy
je ASBR.
Nastpuje wymiana pakietw OSPF Hello pomidzy routerami przyczonymi do jednego segmentu
sieci (hello protocol). W pakietach hello routery umieszczaj ID innych routerw od ktrych
usyszay wczeniej hello w tym segmencie. Jeli dany router zobaczy swj router ID w pakiecie
hello od innego routera, uznaje, e ma ju z nim ustanowion przylego (adjacency). Przylego
jest warunkiem koniecznym do wymiany baz danych swoich linkw miedzy routerami.
wybr DR i BDR
W rodowiskach rozgoszeniowych (broadcastowych) takich jak Ethernet, Token-Ring, i FDDI nie
ma sensu, by kady router wymienia sesj OSPF z kadym routerem. Liczba takich sesji byaby
rwna n*(n-1)/2, gdzie n jest liczb wzw w danym segmencie. Dla 10 routerw byoby to 45
sesji. W zamian za to wybiera si pord routerw w segmencie tzw. Designated Router (DR) oraz
Backup Designated Router (BDR) i z nimi wszystkie routery zapinaj sesje. W rodowiskach
nonbroadcast multiaccess (NBMA) tj. Frame Relay, DR i BDR musz zosta specjalnie
skonfigurowane. W poczeniach point-to-point wyznaczanie DR i BDR nie jest konieczne.
DR zajmuje si dystrybucj informacji routingowych uzyskanych od routerw danym segmencie.
Gdy DR padnie, zastpuje go BDR, a nowy BDR jest wybierany z pozostaych routerw. Kryterium
wyboru DR i BDR oparte jest o priorytet routera (najwyszy wygrywa). Domylnie wszystkie
routery maj priorytet 1 i wygrywa ten o najwyszym numerze router-id. Router-id to adres
interfejsu loopback (wirtualny interfejs routera, ktry nigdy "nie pada") bd najwyszy adres z
innego typu interfejsw routera (jeli nie ma loopbacka). Stosowanie interfejsw loopback na
routerach korzystnie wpywa na wybr DR/BDR, a co za tym idzie stabilno sesji ospf. Warto
jednak wymusi by DR i BDR byy "najsilniejszymi" routerami w danym segmencie. Mona tym
sztucznie wysterowa ustawiajc na interfejsie "silnego" routera stosunkowo wysoki priorytet
(ustawienie go na zero powoduje, e dany router na pewno nie bdzie DR/BDR).
wymiana informacji routingowych
Po ustanowieniu ssiedztwa (i wybraniu DR/BDR dla segmentw wielodostpowych), routery z
OSPFem s gotowe do wymiany informacji o sieciach, ktre wzajemnie posiadaj. Informacje od
stanach linkw na danym routerze jest wymieniana poprzez tzw. Link State Updates (LSUs). LSU
zawieraj LSA, opisujce stan wszystkich linkw bd sieci, o ktrych routery posiadaj informacje.
Wszystkie te LSA s przechowywane w link-state database, nazywanej czasem topological
database. Ta link-state database jest perspektyw, z jakiej router widzi sie. Wszystkie routery po
zakoczeniu procesu wymiany informacji powinny mie identyczne link-state database (co nie
oznacza, e takie same tablice routingu!).
Znaczenie
Nie odpowiada na hello
Wysane hello, ale jeszcze brak odpowiedzi
Usyszane hello, ale jeszcze nie ma status ssiada
Pene ssiedztwo. W takim stanie pozostaj 2 routery w
rodowiskach multiaccess, gdy aden z nich nie jest DR ani BDR
EXSTART/
EXCHANGE/
LOADING
FULL
DR/
BDR/
DROTHER
Jeli w rezultacie komendy `show ip ospf neighbor' widzimy, e stan na jakim podejrzanym
interfejsie/linku odbiega od powyszych wskaza wtedy postpujemy wg wskaza z poniszej tabelki:
Utrzymujcy si
stan
Oznacza
Sprawd....
------------------------------------------------------------------------------DOWN
Nie ma odpowiedzi od
...czy dany interfejs dziaa.
adnego ssiada
Jeli dziaa, to sprbuj wysa:
ping 224.0.0.6
powinni odpowiedzie potencjalni
ssiedzi na linku
ATTEMPT
INIT
Wysane i otrzymane
HELLO, ale nie ustanowione
ssiedztwo
2WAY/DR
lub
2WAY/BDR
2WAY
EXSTART
lub
EXCHANGE
lub
LOADING
Routing BGP
Co to jest BGP?
Border Gateway Protocol jest protokoem typu external (zewntrznym, cho moe rwnie pracowa w
konfiguracjach wewntrznych), a suy gwnie do komunikowania si routerw brzegowych rnych
systemw autonomicznych. Wyrnikiem systemu autonomicznego (AS) jest jego numer, przyznawany w
Europie przez RIPE. Protok BGP w wersji 4 posiada zaimplementowane mechanizmy ochrony przed
zaptleniami pakietw i jest powszechnie stosowany dla zapewnienia komunikacji miedzy sieciami
dostawcw internetu (ang. Internet Service Providers, ISP).
Komunikacja midzy routerami wymieniajcymi wzajemnie tablice BGP (ang. peer, neighbor) oparta jest
o protok tcp, port 179. Routery nalece do rnych AS'w i wymieniajce tablice BGP dziaaj w
ramach external BGP (EBGP).
Jak kady protok routujcy, BGP zarzdza tablicami routingu, wymienia informacje routingowe i opiera
decyzje o routowaniu na metryce. Podstawow funkcj jest wymiana informacji o dostpnoci danej sieci
zawierajca informacje o licie cieek ASw. Ta informacja moe by wykorzystana do skonstruowania
grafu dostpnoci systemu autonomicznego. W informacjach rozgoszeniowych peerom BGP podsyana
jest tylko optymalna cieka do danej sieci.
pamita, e nie wolno ogasza takiego prywatnego ASa do swoich BGP peerw.
Retbufs Process
0 BGP Open
0 BGP Router
2799936 BGP I/O
0 BGP Scanner
0 BGP Open
0 BGP Open
0 BGP Open
..oraz:
router_bgp# sh proc cpu | exc 0.00% 0.00% 0.00%
CPU utilization for five seconds: 61%/31%; one minute: 36%; five minutes: 35%
PID Runtime(ms)
Invoked
uSecs
5Sec
1Min
5Min TTY Process
3
37272304
1981781
18807 0.00% 0.36% 0.42%
0 Check heaps
15
1331000
4103026
324 0.00% 0.03% 0.00%
0 ARP Input
22
744268
1573286
473 0.07% 0.02% 0.00%
0 Net Background
41
11547076 55980307
206 0.15% 0.07% 0.08%
0 IP Input
49
7493092
110337
67911 0.00% 0.09% 0.06%
0 IP Background
75
484
208
2326 0.76% 0.34% 0.09%
2 Virtual Exec
95
1549732
106200
14592 0.00% 0.02% 0.00%
0 Per-minute Jobs
112
3285676 20064138
163 0.00% 0.01% 0.00%
0 SNMP ENGINE
119
18127088 12981037
1396 0.07% 0.01% 0.10%
0 OSPF Router
121
18955580 34540455
548 0.07% 0.12% 0.12%
0 BGP Router
123
2648032 10310905
256 0.00% 0.01% 0.00%
0 BGP I/O
124
277728220
1697064
163655 29.08% 4.38% 3.70%
0 BGP Scanner
Powysze statystyki zebrano na routerze 7200 z moduem NPE-300.
Generalnie, naley zaoy, e 128MB pamici to ju dzisiaj za mao, eby utrzyma pene tablice i
zapewni jednoczenie sensown funkcjonalno. Jako minimum, zalecamy zatem routery 3825/3845
(wydajno wg Cisco odpowiednio 225 i 500kpps) - mona je rozbudowa do 1GB RAMu i posiadaj
wydajno na dolnym puapie sensownej obsugi 1-2 ISP. Oczywicie routery 3660 rwnie mona
rozbudowa do 256MB RAMu, ale od grudnia 2003r. routery te nie s ju ani produkowane ani
sprzedawane.
Powiniene jednak powanie rozway zakup routera klasy 7200 z moduem NPE-400 lub NPE-1G do
obsugi "powanego" BGP. (NPE-400 posiada wg Cisco wydajno do 400kpps, ale mona je rozbudowa
do maksymalnie 512MB RAM, NPE-1G do 1GB RAM).
na wikszoci maych routerw Cisco (1000, 1600, 1700, 2500) BGP nie jest dostpne w
standardowej wersji IOSa;
jest protokoem typu distance-vector, nie biorcym pod uwag parametrw technicznych
linku takich jak jego przepustowo;
Parametr "weight" jest wany tylko w obrbie danego routera, natomiast local-preference
przenosi si w obrbie caego ASa (ale nie poza nim!),
Dla wagi, jeli router jest tzw. originatorem danej sieci (ma j w konfiguracji wpisan j
komenda network bd drog redystrybucji) wtedy 32768, dla innych sieci zero;
Oczywicie te wartoci mona modyfikowa, np. dla wagi przy konfiguracji jak na rysunku poniej:
...gdy z dwch rde dostajemy t sam sie 175.10.0.0 moemy ustawi wysz wag dla
jednego z kierunkw na 3 sposoby:
neighbor
neighbor
neighbor
neighbor
1.1.1.1
1.1.1.1
2.2.2.2
2.2.2.2
remote-as 100
filter-list 5 weight 2000
remote-as 200
filter-list 6 weight 1000
!
ip as-path access-list 5 permit ^100$
ip as-path access-list
remote-as 100
weight 2000
remote-as 200
weight 1000
! Na routerze D:
router bgp 256
neighbor 3.3.3.4 remote-as 300
route-map SETLOCALIN in
neighbor 128.213.11.1 remote-as 256
!
ip as-path 7 permit ^300$
!
route-map SETLOCALIN permit 10
match as-path 7
set local-preference 200
!
route-map SETLOCALIN permit 20
!
UWAGA: Naley zwrci uwag na pusta instancj route-map! W przypadku jej braku, wszystko,
co nie pasowao do wzorca w poprzednich instancjach zostanie odrzucone.
Metryka
O ile weight i local-preference byy parametrami pozwalajcymi na ustawianie preferencji
przychodzcych prefiksw BGP (a co za tym idzie trasy dla pakietw danych wychodzcych z
naszego ASa do wiata), o tyle do wpywania na tras powrotn pakietw ze wiat do nas musimy
uy innych mechanizmw. Pierwszym z nich jest metryka inaczej okrelana jako multi-exit
discriminator (MED). W przeciwiestwie do local-preference, przenosi si ona poza AS, z tym, e
nie dalej ni ssiadujcy AS. Jeli nasz prefiks przesyamy w dwch kierunkach, ale w pierwszym z
nich markujemy go metryk wysz ni defaultowa (0), a w drugim nie ustawiamy jej
(pozostawiamy zero), to spowodujemy, e pakiety powrc do nas drug z tras.
Poniszy przykad pokazuje rzeczywiste rozwizanie jakie zaimplementowalimy na czach do
Ebone. W poniszym przykadzie, gdzie AS64513 ogasza przez 2 rne sesje BGP do AS64512 ten
sam prefix, ale z rnymi metrykami: 0 i 20, ruch z AS64512 do sieci 192.168.192.0/24 pjdzie
lew ciek.
Standardowo dany AS porwnuje metryk dla tego samego prefiksu otrzymanego z 2 rnych sesji
BGP, ale tylko, gdy obie sesje zapite s midzy tymi samymi parami ASw. Dopiero wczenie
komendy: `bgp always-compare-med' powoduje wczenie na danym routerze porwnywania
metryk w prefiksach otrzymanych z dwch rnych rde. Niestety bardzo rzadko ISP wczaj
tak funkcj, wic ten mechanizm by dobry w powyszy przykadzie, ale niezbyt czsto jest
przydatny.
Drug metod na wpywanie na drog pakietw powrotnych do naszych sieci jest manipulacja
dugoci ogaszanej cieki poprzez sztuczne jej wyduania tzw. prepend. Po prostu ogaszamy
jak ciek dalej z naszym numerem ASa dodanym w niej wicej ni raz.
BGP community
Jest atrybutem sucym do markowania (tagowania) okrelonych prefiksw, celem okrelenia ich
przynalenoci do jakiej grupy prefiksw oraz pniejsze rozrnianie po tym zamarkowaniu
pord innych prefixw. Zwyczajowo przyjo si, e w danej organizacji community maja posta
<numer AS>:<numer community> np. 8246:1.
Znane s rwnie powszechnie znane community suce okrelonym celom:
Community
No-export
No-advertised
Przykad konfiguracji:
router bgp 100
neighbor 3.3.3.3 remote-as 300
neighbor 3.3.3.3 send-community
neighbor 3.3.3.3 route-map setcommunity out
!
route-map setcommunity
match as-path 1
set community 200 additive
!
Jeli cieka wskazuje next hop, do ktrego nie ma dojcia, update jest usuwany.
Jeli local-preference s takie same, wybierana jest cieka zdefiniowana generowana (origin) na
danym routerze (komend network lub droga redystrybucji).
Najniszy MED
Najniszy nexthop
Najniszy Router-ID
Przy redystrybucji z np. RIPv2 do BGP, sieci pojawiaj si w tablicy BGP z mask classful
Wpisanie sieci komend network nawet bez maski, powoduje, e ta sie musi by obecna w RIB z
dokadnoci do dugoci prefixu
AS
dla
RIPE
znajduje
si
tutaj:
PI
a
dla
RIPE
dla
znajduje
PA
si
tutaj:
tutaj:
Routingu wedug zasad (ang. policy-based routing), czyli wprost wskazywania, e ruch o
danej charakterystyce powinien by routowany w taki a nie inny sposb
Priority Queuing
Custom Queuing
Jak skonfigurowa...
...prioretyzacj okrelonego ruchu za pomoc PQ?
PQ, czyli Priority Queueing (kolejki z priorytetami) uywa czterech kolejek i klasyfikowania ruchu do
jednej z nich. Kolejki te nazywaj si od posiadajcej najwikszy priorytet high, przez medium, normal
do low.
Cech charakterystyczn PQ jest fakt, e dopki jakiekolwiek pakiety znajduj si w kolejce o wyszym
priorytecie, router nie wyle pakietw oczekujcych w kolejkach o priorytecie niszym. atwo
doprowadzi w ten sposb do "umierania" transmisji, klasyfikowanych do kolejek o niszych priorytetach.
Zamy, e chcemy prioretyzowa cay ruch SSH, ICMP oraz Telnet. W kolejnej, mniej wanej kolejce
powinien znale si ruch DNS, ISAKMP (500/udp) oraz ESP (protok 50). Do trzeciej kolejki wrzucimy
ruch WWW, SMTP, POP3, IMAP4 a caa reszta ruchu trafi do domylnej, czwartej, najmniej
uprzywilejowanej kolejki:
!
interface serial 0.99
priority-group 10
! do interfejsu szeregowego przypisujemy grup priorytetw o
! identyfikatorze 10
!
! konfigurujemy wspomnian grup priorytetw:
priority-list 10 protocol ip high list 100
priority-list 10 protocol ip
priority-list 10 protocol ip
priority-list 10 default low
!
! access lista 100 - wybiera
ip access-list extended 100
permit tcp any any eq 22
permit tcp any any eq 23
permit icmp any any
!
! access lista 110 - wybiera
ip access-list extended 110
permit udp any any eq 53
permit udp any any eq 500
permit esp any any
!
! access lista 120 - wybiera
ip access-list extended 120
permit tcp any any eq 25
permit tcp any any eq 80
permit tcp any any eq 110
permit tcp any any eq 143
...kolejkowanie WFQ?
WFQ, czyli Weighted Fair Queueing (waone, sprawiedliwe kolejkowanie) jest domylnym mechanizmem
kolejkowania, wczonym na interfejsach szeregowych o przepywnoci do 2Mbit/s. WFQ klasyfikuje ruch
w potoki, przy czym do jednego potoku nale pakiety o takim samym rdowym i docelowym adresie
IP, portach TCP/UDP, nalece do tego samego protokou i posiadajce t sam warto pola ToS (Type
of Service).
Jeli na interfejsie wyczono WFQ, mona je wczy wydajc polecenie `fair-queue'.
interface Ethernet0
rate-limit input access-group 100 256000 8192 8192 conform-action transmit exceedaction drop
rate-limit output access-group 100 256000 8192 8192 conform-action transmit exceedaction drop
!
access-list 100 permit tcp any any eq ftp
access-list 100 permit tcp any eq ftp any
access-list 100 permit tcp any any eq ftp-data
access-list 100 permit tcp any eq ftp-data any
Przycicie ruchu FTP do 256kbit/s przez GTS:
interface Ethernet0
traffic-shape group 100 256000 8192 8192
!
access-list 100 permit tcp any any eq ftp
access-list 100 permit tcp any any eq ftp-data
Przede wszystkim interesuje nas ruch z wewntrznych serwerw poczty i WWW - chcemy, by
miay w ruchu wychodzcym gwarantowane do 1Mbit/s ruchu, przy czym jeli "rozpdz" si
powyej 1,2Mbit/s zaczynamy ten ruch shape'owa by nie wysyci nam zupenie pasma w ruchu
wychodzcym;
Aplikacjom typu SSH czy Telnet dajemy osobne 256kbit/s starajc si, by pakiety nalece do
tego ruchu utrzymyway moliwie mae opnienia. Podobnie jak dla powyszego ruchu, powyej
384kbit/s zaczynamy ten ruch shape'owa.
Statycznie przycinamy cay ruch UDP i ICMP do po 64kbit/s zarwno przychodzcy jak i
wychodzcy. Nie spodziewamy si otrzymywa wicej ruchu tego typu w jednostce czasu, a na
pewno nie bdziemy rwnie wicej generowa (to w ograniczonym stopniu powstrzyma te
trojany, ktre mog zainstalowa si na stacjach naszych uytkownikw i prbowa
przeprowadza ataki DDoS na innych uytkownikw Internetu)
Przycinamy wszelakie protokoy P2P ktre jestemy w stanie rozpozna do minimalnej wartoci 16kbit/s. To nie zablokuje w caoci ruchu i nie zagwarantuje, e ruch P2P nie wysyci naszego
pasma od ISP do naszego routera (pojedyczy request z aplikacji P2P potrafi wygenerowa wiele
jednoczesnych strumieni ktre s w stanie zapcha naprawd wielkie cza), ale bdzie naszym
sposobem na kontrol tego, co kontrolowa trudno.
Co to jest NBAR?
NBAR, czyli Network-Based Application Recognition, to mechanizm "wykrywania" na podstawie ogldania
zawartoci pakietw, do jakiej aplikacji lub usugi danych ruch naley.
NBAR pojawi si w IOSie 12.0(5)XE2 i jest dostpny w podstawowej wersji oprogramowania (nawet na
maych platformach). Aby go uy, musisz zdefiniowa na interfejsie polityk (service policy), ktra w
ramach class-map sprawdzajcych kryteria przynalenoci ruchu do klas zawiera sprawdzanie protokou
poleceniem `match protocol [...]'. W przykadzie powyej uyto funkcjonalnoci NBAR do wykrycia
protokow takich jak Bittorrent, Kazaa1/2 itp.
Przykadowe statystyki udostpniane przez polecenie `show ip nbar protocol-discovery' poniej:
router# show ip nbar protocol-discovery
Serial0/0.99
Input
Output
Packet Count
Packet Count
Byte Count
Byte Count
5 minute bit rate (bps) 5 minute bit rate (bps)
------------------------ ------------------------ -----------------------kazaa2
386586
338412
Pierwsza linijka to odpowiednio ilo pakietw wchodzcych
i wychodzcych, ktre sklasyfikowano jako nalece do danego protokou
Protocol
403005080
121530825
Kolejna linijka to ten sam podzia na ruch wchodzcy i
Dostp do routera
Jak spowodowa, ebym logujc si do routera musia poda tylko haso?
Najprociej jest ustawi na wirtualnych liniach terminali (ang. VTY, Virtual TeletYpes), wymuszanie
podania konkretnego hasa:
router(config)# line vty 0 15
router(config-line)# login
router(config-line)# password jakie_haso
Jak spowodowa, ebym logujc si do routera musia poda zarwno login jak i haso?
Jeli router ma sprawdza istnienie konta o danym loginie i poprawno hasa bez zewntrznej bazy
danych, naley skonfigurowa uytkownikw lokalnie, np. tak:
router(config)# username lukasz password ala10
Nastpnie, naley wczy lokalne uwierzytelnianie:
Age (min)
-
Hardware Addr
000c.0c93.115a
aaaa.bbbb.cccc
Type
ARPA
ARPA
Interface
Ethernet0
Jednak przypisanie takie dotyczy tylko mapowania IP -> MAC, ale nie na odwrt. Jeli komputerowi o
adresie MAC aaaa.bbbb.cccc uytkownik przypisze inny adres IP, bdzie on mg komunikowa si z
sieci. Natomiast przypisanie adresu IP 192.168.5.5 komputerowi o adresie MAC innym ni zdefiniowany
uniemoliwi komunikacj, gdy wszystkie ramki przesyane do adresu 192.168.5.5 zostana skierowane na
MAC adres aaaa.bbbb.cccc.
Jeli zatem zrobimy statyczne mapowania IP->MAC wszystkim uytkownikom, a reszt adresw IP
zablokujemy odpowiedni access-lista to uzyskamy zamierzony efekt - nikt nie bdzie mg zmieni
adresu IP w taki sposb, aby nadal mg komunikowa si z sieci.
Chciabym upewni si, e mj router nie jest atwym celem dla wamywaczy. Co jako podstaw
polecacie?
W zasadzie najlepiej najpierw duo poczyta. Wikszo zalece sprowadza si jednak do: a) wycz
niepotrzebne usugi, b) upewnij si, e routerowi nic nie przeszkadza.
Poniej lista podstawowych polece, ktre warto wykona. Jednak UWAGA: po pierwsze moesz co
zepsu(!), po drugie takie pjcie na skrty powinno by dopiero pocztkiem do dalszej dogbnej analizy
konfiguracji!
W konfiguracji globalnej wykonaj:
router(config)#
router(config)#
router(config)#
router(config)#
router(config)#
router(config)#
router(config)#
router(config)#
router(config)#
router(config)#
router(config)#
no
no
no
no
no
no
no
no
no
no
no
service udp-small-servers
service tcp-small-servers
service finger
service dhcp
service config
service pad
ip domain-lookup
ip finger
ip http server
ip http secure-server
ip bootp server
router(config)# no ip source-route
router(config)# no snmp-server
router(config)# no cdp run
! teraz troch rzeczy wczymy:
router(config)# ip cef
router(config)# service tcp-keepalives-in
router(config)# service tcp-keepalives-out
router(config)# service password-encryption
router(config)# ip tcp path-mtu-discovery
router(config)# ip tcp selective-ack
router(config)# ip tcp timestamp
router(config)# service timestamps debug datetime localtime msec
router(config)# service timestamps log datetime localtime msec
router(config)# logging buffered 64000
! ustaw zegar i stref czasow
router# clock set HH:MM:SS DD MIE ROK
router(config)# clock timezone MST 1
router(config)# clock summer-time MET recurring last Sun Mar 2:00 last Sun Oct 3:00
! usu haso enable szyfrowane sabym algorytmem:
router(config)# no enable password
! ...i ustaw haso enable kodowane jednostronn funkcj mieszajc
router(config)# enable secret jakie_trudne_haso
W konfiguracji poszczeglnych (pod)interfejsw:
router(config-if)#
router(config-if)#
router(config-if)#
router(config-if)#
router(config-if)#
no
no
no
no
ip
ip redirects
ip directed-broadcast
ip mask-reply
ip proxy-arp
verify unicast reverse-path
192.168.0.10
192.168.0.11
192.168.0.33
192.168.0.91
192.168.0.206
ruch IP
Stworzenie standardowej listy ACL odbywa si przez nadanie jej identyfikatora od 1 do 99 (oraz od IOSu
12.0, z dodatkowego zakresu 1300-1999).
Rozszerzone ACL dostpne s w dwch rodzajach - numerowane, w zakresie od 100 do 199 (od IOS 12.0
rwnie 2000-2699), oraz nazwane. Termin rozszerzone oznacza, e pozwalaj one sprawdza ze
szczegami pewne standardowe pola pakietw (IP oraz w warstwie czwartej, czyli porty TCP/UDP oraz
rodzaje i typy ICMP).
Zamy, e chcemy zablokowa ruch do naszego routera o adresie 169.254.10.1 na port 80. Moemy
napisa:
ip access-list extended 100
deny tcp any host 169.254.10.1 eq 80
! ruch pakietw zawierajcych TCP z dowolnej lokalizacji
! (any) do hosta o adresie 169.254.10.1 na port docelowy 80
! ma zosta zablokowany
permit ip any any
! przepuszczamy pozostay ruch IP
Warto zwrci na skrcony zapis - rozszerzone listy dostpu wymagaj uycia adresu rdowego i
docelowego, jako pary adres i maska. Zamiast takiej konstrukcji mona uy sw any (odpowiada
konstrukcji 0.0.0.0 0.0.0.0, czyli dowolny adres), oraz host A.B.C.D (co odpowiada konstrukcji A.B.C.D
255.255.255.255, czyli tylko ten konkretny jeden adres).
Rozszerzone ACL oferuj pewne dodatkowe testy - podstawowe, dostpne w praktycznie wszystkich
IOSach poczwszy od 12.0 to midzy innymi:
Dla protokow TCP i UDP dostpne s sowa kluczowe sprawdzajce port:
eq X
port rdowy lub docelowy rwny X, w zalenoci od miejsca umieszczenia warunku
gt X
port rdowy lub docelowy wikszy ni X, w zalenoci od miejsca umieszczenia warunku
lt X
port rdowy lub docelowy mniejszy ni X, w zalenoci od miejsca umieszczenia warunku
range X Y
zakres portw rdowych lub docelowych od X do Y, w zalenoci od miejsca umieszczenia
warunku
Natomiast dla TCP moemy jeszcze dodatkowo wskaza flagi ustawione w pakiecie:
syn
ack
Ustawiona flaga ACK - wikszo pakietw w strumieniu TCP.
established
Specjalne sowo kluczowe, pasuje do pakietw, z ustawion flag ACK, ale zgaszon flag SYN,
RST lub FIN. Innymi sowy, chodzi o pakiety nalece do zestawionych pocze.
rst
Ustawiona flaga Reset - zwykle koniec poczenia.
Stworzon ACL naley przypisa do interfejsu. Obowizuje regua, e do jednego interfejsu mona
przypisa dwie ACLki - jedn kontrolujc ruch wejciowy i jedn kontrolujc ruch wyjciowy (z routera,
bd przechodzcy przez router i wychodzcy tym akurat interfejsem).
interface serial 0.99
ip access-group 100 in
! ruch wchodzcy interfejsem bdzie sprawdzany wg ACLki 100
ip access-group 110 out
! ruch wychodzcy interfejsem bdzie sprawdzany wg ACLki 110
wykorzystania innych optymalizacji, w tym optymalniejszych cieek komutacji, zostaj w tym momencie
zniweczone.
Po pierwsze, dla dugich ACLek (od 6 wpisw i wicej), w niektrych IOSach (od 12.0(6) linii S, oraz od
12.3 dla niektrych routerw mniejszych) istnieje moliwo pre-kompilowania regu w kod
optymalniejszy do testowania na kadym pakiecie. Funkcjonalno ta nazywa si Turbo Access List (Cisco
uywa jej zamiennie z compiled Access List i jako takie pojawiaj si w sowach kluczowych konfiguracji
routera) i wcza si j poleceniem `access-list compiled'. Router wykona w tym momencie proces
optymalizacji ACLek duszych ni 5 regu, a pniej przy kadej zmianie w ACLkach, powtrzy ten
proces. Skuteczno dziaania tej funkcji, oraz list ACLek ktre zostay skompilowane mona sprawdzi
poleceniem `show access-lists compiled':
router# show access-lists compiled
Compiled ACL statistics:
ACL
State
Entries Config Fragment Redundant
10
Operational
1
1
0
0
98
Operational
1
1
0
0
99
Operational
7
7
0
0
100
Operational
2
2
0
0
110
Operational
14
12
2
0
antispoof
Operational
42
43
0
1
block_mswin Operational
14
14
0
0
nachi_worm Operational
3
2
1
0
8 ACLs, 8 active, 1 builds, 89 entries, 3 mem fill, 762 updates
L0: 1805Kb
5/6
42/43
11/12
2/3
2/3
13/14
L1:
9Kb
67/250
11/36
13/42
15/75
L2:
55Kb
69/350 105/300
L3: 217Kb 337/500
Misc:
30Kb
Totl: 2119Kb 710 equivs (617 dynamic)
14/15
4/5
Naley pamita, e wykorzystanie tej funkcjonalnoci pochonie troch pamici (w zalenoci od iloci i
wielkoci istniejcych i tworzonych list), jednak w zamian za to, kady pakiet zostanie sprawdzony
najwyej pi razy (dla list rozszerzonych) - adres rdowy, adres docelowy, protok, opcje protokou - i
wynik, powodujcy przejcie do przetwarzania nastpnego pakietu. Funkcjonalno t opisano szerzej
pod
tym
adresem:
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120limit/120s/120s6/turbo
acl.htm.
Po drugie, staraj si ograniczy liczb regu, zawierajc w poszczeglnych warunkach jak najoglniejsze
stwierdzenia (jeli nie powoduje to oczywicie przepuszczania niechcianego ruchu). Innymi sowy, na
przykad zamiast wpisa ACLk z 254 wpisami typu permit ip 192.168.0.1, permit ip 192.168.0.2, permit
ip 192.168.0.3 zastosuj jeden wpis w ramach listy rozszerzonej, ktry bdzie brzmia permit ip
192.168.0.0 0.0.0.255 any.
Po trzecie, przemyl konstrukcj ACLki starajc si oceni, jaki ruch najczciej bdzie dociera do
Twojego routera - i jak najwczeniej w licie regu akceptuj go lub odrzucaj. Pomocne jest w tym
momencie polecenie `show ip access-lists'. Przeanalizujmy tak ACLk:
10 permit ip host 169.254.10.1 host 169.254.9.4
20 permit gre any host 169.254.20.6
30 permit udp host 150.254.183.15 eq ntp host 169.254.9.4 eq ntp (11460
matches)
40 deny ip 192.168.0.0 0.0.255.255 any (9865451 matches)
50 deny ip 173.0.0.0 0.255.255.255 any (124 matches)
60 deny ip 10.0.0.0 0.255.255.255 any
70 deny ip 172.16.0.0 0.15.255.255 any (42 matches)
80 deny ip 0.0.0.0 1.255.255.255 any
90 deny ip 2.0.0.0 0.255.255.255 any
100 deny ip 5.0.0.0 0.255.255.255 any
110 deny ip 7.0.0.0 0.255.255.255 any
120 deny ip 23.0.0.0 0.255.255.255 any (847618 matches)
130 deny ip 27.0.0.0 0.255.255.255 any
140 deny ip 31.0.0.0 0.255.255.255 any
150 deny ip 36.0.0.0 1.255.255.255 any
160 deny ip 39.0.0.0 0.255.255.255 any
170
180
190
200
210
220
230
250
260
270
280
290
300
310
320
330
340
350
360
370
380
390
400
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
Wida od razu, e regua pasujca do zdecydowanie najwikszej iloci pakietw (nr. 380, 79,235,152
trafienia) znajduje si na szarym kocu - jest sprawdzana dopiero 38. Powoduje to niewielkie, ale jednak
opnienia i oczywicie przyczyna si do zwikszonego obcienia na routerze (pamitaj, e ACLka
przegldana jest za kadym razem, gdy do interfejsu dotrze, lub ma go opuci pakiet!). Porzdkujc
list wedug trafie otrzymamy co takiego:
10 deny udp any any range 135 netbios-ss (79235152 matches)
20 deny ip 192.168.0.0 0.0.255.255 any (9865451 matches)
30 deny ip 23.0.0.0 0.255.255.255 any (847618 matches)
40 deny tcp any any range 135 139 (138750 matches)
50 permit udp host 150.254.183.15 eq ntp host 169.254.9.4 eq ntp (11460
matches)
60 deny tcp any range 135 139 any (8371 matches)
70 deny ip 96.0.0.0 31.255.255.255 any (6974 matches)
80 permit ip host 169.254.10.1 host 169.254.9.4
90 deny ip 58.0.0.0 1.255.255.255 any (749 matches)
100 deny ip 173.0.0.0 0.255.255.255 any (124 matches)
110 deny ip 172.16.0.0 0.15.255.255 any (42 matches)
120 deny ip 72.0.0.0 7.255.255.255 any (6 matches)
130 permit gre any host 169.254.20.6
140 deny ip 10.0.0.0 0.255.255.255 any
150 deny ip 0.0.0.0 1.255.255.255 any
160 deny ip 2.0.0.0 0.255.255.255 any
170 deny ip 5.0.0.0 0.255.255.255 any
180 deny ip 7.0.0.0 0.255.255.255 any
190 deny ip 27.0.0.0 0.255.255.255 any
200 deny ip 31.0.0.0 0.255.255.255 any
210 deny ip 36.0.0.0 1.255.255.255 any
220 deny ip 39.0.0.0 0.255.255.255 any
230 deny ip 41.0.0.0 0.255.255.255 any
240 deny ip 42.0.0.0 0.255.255.255 any
250 deny ip 49.0.0.0 0.255.255.255 any
260 deny ip 50.0.0.0 0.255.255.255 any
270 deny ip 70.0.0.0 1.255.255.255 any
280 deny ip 88.0.0.0 7.255.255.255 any
290 deny ip 169.254.0.0 0.0.255.255 any
300 deny ip 174.0.0.0 1.255.255.255 any
310 deny ip 176.0.0.0 7.255.255.255 any
320 deny ip 184.0.0.0 3.255.255.255 any
330 deny ip 189.0.0.0 0.255.255.255 any
340 deny ip 190.0.0.0 0.255.255.255 any
350 deny ip 192.0.2.0 0.0.0.255 any
360 deny ip 197.0.0.0 0.255.255.255 any
Mona zastpi nastpujcymi wpisami statycznymi routingu (zwr jednak uwag, by nie dopisa
takiego filtrowania dla adresw sieci, ktre w twojej konkretnej instalacji wystpuj!):
router#
router#
router#
router#
router#
router#
router#
router#
router#
router#
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
route
route
route
route
route
route
route
route
route
route
Po szste i ostatnie, jeli filtrujesz ruch na interfejsach wewntrznych pod ktem poprawnoci adresw
(tzn. nie chcesz, by kto w Twojej sieci 192.168.0.0/24 mg wysya pakiety z adresem rdowym np.
172.16.0.0/16), a masz lub moesz wczy mechanizm CEF, moesz ACLk w tej postaci:
ip access-list extended
deny tcp any any range
deny udp any any range
deny tcp any range 135
RuchLAN
135 139
135 139
139 any
RuchLAN
135 139
135 139
139 any
netbios-ss any
A w zamian za to, wczy na interfejsie do ktrego przypisana bya ta ACLka, mechanizm uRPF, czyli
unicast Reverse-Path-Filtering, w ten sposb:
router# ip cef
router# conf t
router(config)# interface FastEthernet 0
router(config-if)# ip verify unicast reverse-path
Jak to dziaa? uRPF opiera swoje dziaanie o tablic budowan przez CEF - FIB (ang. Forwarding
Information Base). Po otrzymaniu przez router pakietu, przechodzi on nastpujc drog:
uRPF sprawdza, czy droga powrotna dla pakietu wskazuje na interfejs, ktrym dotar on do
routera - jeli nie, pakiet jest odrzucany
CEF sprawdza FIB, by wyznaczy dalsz drog dla pakietu (jeli nie zosta odrzucony)
Innymi sowy, zamy, e masz router z dwoma interfejsami - Ethernetowym, o adresie 192.168.0.1/24
i szeregowy, z adresem 169.254.10.2/30. Po wczeniu mechanizmu CEF, budowany jest FIB. Znajdzie
si w nim wpis dla sieci 192.168.0.0/24 jako "zaczepionej" na interfejsie Ethernet. Zaraona stacja w
sieci LAN zaczyna generowa pakiety, z losowo wybranymi adresami rdowymi. Dla kadego pakietu
otrzymanego interfejsem Ethernet, router sprawdza, czy jeli przyszaby na niego odpowied, miaby
wysa j interfejsem, z ktrego wanie j odebra. Zamy, e router otrzyma pakiet ze sfaszowanego
adresu 10.7.65.2. Sprawdza tablic FIB i nie znajduje wpisu, ktry mwiby, e do sieci 10 naley
wychodzi interfejsem Ethernetowym - pakiet jest w zwizku z tym odrzucany. Na tej samej zasadzie
dziaa ochrona ruchu, otrzymywanego przez interfejs szeregowy - jeli tylko wczono na nim mechanizm
uRPF. Pakiet, ktry chciaby zosta "wstrzelony" do sieci LAN (zamy, e przyszed z adresem
nalecym do Twojej sieci LAN), zostanie odrzucony, poniewa przyszed zym interfejsem.
Dziaanie funkcji uRPF na konkretnym interfejsie potwierdzi mona wydajc polecenie:
router# show ip interface fastethernet 0
FastEthernet0 is up, line protocol is up
[...]
IP verify source reachable-via RX, allow default
! wczona weryfikacja adresw rdowych
642 verification drops
! ilo odrzuconych pakietw z uwagi na zy adres rdowy
A oglnie dla caego routera:
router# show ip traffic
IP statistics:
[...]
Drop: 0 encapsulation failed, 0 unresolved, 0 no adjacency
0 no route, 2512 unicast RPF, 0 forced drop
Jak skonfigurowa...
...tunel IPsec pomidzy dwoma routerami poczonymi do Internetu kanaami Frame Relay PVC?
Zakadamy, e czymy dwie lokalizacje ("A" i "B") wyposaone w pojedyncze PVC do Internetu (w obu
przypadkach DLCI 99).
Dane lokalizacji "A":
Ruch nie chroniony tunelem IPsec wysyany jest normalnie do Internetu, po zNATowaniu na
publiczny adres interfejsu routera.
Ruch nie chroniony tunelem IPsec wysyany jest normalnie do Internetu, po zNATowaniu na
publiczny adres interfejsu routera.
!
username user_1 password haslo_usera_1
ip subnet-zero
no ip source-route
no ip domain-lookup
ip tcp path-mtu-discovery
logging buffered 64000
!
crypto isakmp policy 1
! konfigurujemy polityk dla ISAKMP, regua #1
hash md5
! wiadomoci ISAKMP maj uywa algortmu mieszajcego MD5
! (jest szybszy ale i mniej bezpieczny ni SHA1)
authentication pre-share
! uwierzytelnienie wzw ISAKMP odbdzie si w oparciu o
! wspdzielony tajny klucz
crypto isakmp key trudne_haslo_isakmp address 169.254.20.2
! dla partnera o adresie 169.254.20.2 uywa bdziemy dla
! nawizania sesji tajnego klucza "haslo_isakmp"
! oczywicie klucz po obu stronach musi si zgadza
!
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
! Po nawizaniu sesji ISAKMP, IPsec bdzie uywa
! protokou ESP z algorytmem szyfrowania ESP i algorytmu
! mieszajcego MD5-HMAC
mode tunnel
! poczenie IPsec bdzie poczeniem w trybie tunelu
!
crypto map MapaISAKMP 1 ipsec-isakmp
! po otrzymaniu przez router pakietu ISAKMP na port 500/udp
! zaczyna on sekwencyjne sprawdzanie kolejnych regu w crypto-mapach
! ta, jedyna, ma numer 1 i zostanie sprawdzona pierwsza
set peer 169.254.20.2
! regua pasuje do partnera o adresie 169.254.20.2
set transform-set myset
! uywamy dla niego przeksztacenia o nazwie "myset"
match address 110
! ruchem szyfrowanym wg tej reguy jest ruch pasujcy do ACL 110
!
interface FastEthernet 0/0
description Polaczenie dla sieci LAN
ip address 192.168.10.1 255.255.255.0
ip nat inside
!
interface Serial0
description Konfiguracja fizycznego interfejsu szeregowego
no ip address
encapsulation frame-relay
frame-relay lmi-type ansi
!
interface Serial0.1 point-to-point
description Polaczenie do Internetu 2Mbit
ip address 169.254.10.2 255.255.255.252
frame-relay interface-dlci 99 IETF
ip nat outside
crypto map MapaISAKMP
! ruch przechodzcy przez ten interfejs, ma trafia do
! crypto-mapy MapaISAKMP
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0.1
no ip http server
!
ip nat inside source list 100 interface Serial 0.1 overload
!
access-list 100 permit ip 192.168.10.0 0.0.0.255 any
access-list 110 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
! ACLka uywana w okreleniu regu szyfrowania - podlega mu
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0.1
no ip http server
!
ip nat inside source list 100 interface Serial 0.1 overload
!
access-list 100 permit ip 192.168.20.0 0.0.0.255 any
access-list 110 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
!
no cdp run
!
line con 0
exec-timeout 5 0
login local
line vty 0 4
exec-timeout 5 0
login local
!
end
...tunel IPsec+GRE pomidzy dwoma routerami poczonymi do Internetu kanaami Frame Relay
PVC?
Zakadamy, e czymy dwie lokalizacje ("A" i "B") wyposaone w pojedyncze PVC do Internetu (w obu
przypadkach DLCI 99). Dodatkowo, chcemy chroni tunel GRE, poniewa oprcz ruchu unicastowego,
chcemy przenosi ruch broadcastowy lub np. inne protokoy (IPX itp.)
Dane lokalizacji "A":
Tunel ma adres 192.168.254.1, drugi koniec (po stronie drugiej lokalizacji) ma adres
192.168.254.2, w obu przypadkach uywamy maski /30.
Ruch nie chroniony tunelem IPsec wysyany jest normalnie do Internetu, po zNATowaniu na
publiczny adres interfejsu routera.
Tunel ma adres 192.168.254.2, drugi koniec (po stronie drugiej lokalizacji) ma adres
192.168.254.1, w obu przypadkach uywamy maski /30.
Ruch nie chroniony tunelem IPsec wysyany jest normalnie do Internetu, po zNATowaniu na
publiczny adres interfejsu routera.
!
enable password jakies_trudne_haslo
!
username user_1 password haslo_usera_1
ip subnet-zero
no ip source-route
no ip domain-lookup
ip tcp path-mtu-discovery
logging buffered 64000
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key trudne_haslo_isakmp address 169.254.20.2
!
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
mode transport
!
crypto map MapaISAKMP 1 ipsec-isakmp
set peer 169.254.20.2
set transform-set myset
match address SiecIPSEC
! poniewa uywamy tunelu GRE, szyfrowaniu podlegaj ju pakiety
! GRE wymieniane pomidzy publicznymi adresami routerw - ta ACLka
! dokadnie to wskazuje
!
interface Tunnel0
! Dodajemy wirtualny interfejs Tunel 0
ip address 192.168.254.1 255.255.255.252
! nadajemy mu adres IP - moe to by dowolny adres prywatny,
! sensownie jest zarezerwowa sobie np. ca klas C na potrzeby
! tuneli i bra z nich kolejne /30
tunnel source Serial 0.1
! rdem tunelu jest interfejs publiczny routera
tunnel destination 169.254.20.2
! a miejscem docelowym publiczny adres naszego partnera
crypto map MapaISAKMP
! ruch przechodzcy przez ten interfejs ma by chroniony
! reguami zawartymi w crypto-mapie MapaISAKMP
!
interface FastEthernet 0/0
description Polaczenie dla sieci LAN
ip address 192.168.10.1 255.255.255.0
ip nat inside
!
interface Serial0
description Konfiguracja fizycznego interfejsu szeregowego
no ip address
encapsulation frame-relay
frame-relay lmi-type ansi
!
interface Serial0.1 point-to-point
description Polaczenie do Internetu 2Mbit
ip address 169.254.10.2 255.255.255.252
frame-relay interface-dlci 99 IETF
ip nat outside
crypto map MapaISAKMP
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0.1
ip route 192.168.20.0 255.255.255.0 Tunnel0
! statycznie wskazujemy, e ruch do podsieci 192.168.20.0/24
! (LAN naszego partnera) ma si odbywa przez Tunel 0
no ip http server
!
ip nat inside source list 100 interface Serial 0.1 overload
!
access-list 100 permit ip 192.168.10.0 0.0.0.255 any
!
ip access-list extended SiecIPSEC
permit gre host 169.254.10.2 host 169.254.20.2
! szyfrujemy ruch protokou GRE pomidzy publicznymi adresami
! partnerw
!
no cdp run
!
line con 0
exec-timeout 5 0
login local
line vty 0 4
exec-timeout 5 0
login local
!
end
..a teraz konfiguracja routera w lokalizacji "B":
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
no service dhcp
!
hostname rtr_b
!
enable password jakies_trudne_haslo
!
username user_1 password haslo_usera_1
ip subnet-zero
no ip source-route
no ip domain-lookup
ip tcp path-mtu-discovery
logging buffered 64000
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key trudne_haslo_isakmp address 169.254.10.2
!
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
mode transport
!
interface Tunnel0
ip address 192.168.254.2 255.255.255.252
tunnel source Serial 0.1
tunnel destination 169.254.10.2
crypto map MapaISAKMP
!
crypto map MapaISAKMP 1 ipsec-isakmp
set peer 169.254.10.2
set transform-set myset
match address SiecIPSEC
!
interface FastEthernet 0/0
description Polaczenie dla sieci LAN
ip address 192.168.20.1 255.255.255.0
ip nat inside
!
interface Serial0
description Konfiguracja fizycznego interfejsu szeregowego
no ip address
encapsulation frame-relay
E1/E3
Jak kart zastosowa do poczenia E1 w celu przenoszenia danych?
Jeli masz wolny slot WIC (routery 1600, 1700, 2600, 3600 i 3700), moesz zastosowa kart VWIC1MFT-E1 lub VWIC-2MFT-E1. Zawieraj one odpowiednio jeden i dwa porty E1.
Jeli natomiast masz wolny slot PA (routery serii 7000) masz do wyboru kart PA-4E1G/75 (75 ohmw)
lub PA-4E1G/120 (120 ohmw). Kada z kart zawiera po cztery porty E1, ktre obsuguj rwnie prac
w trybie G.703.
ATM
Jak kart zastosowa do poczenia ATM w celu przenoszenia danych?
Jeli masz wolny slot WIC (routery 2600, 3600 i 3700), moesz uy karty VWIC-1MFT-E1 lub VWIC2MFT-E1 oraz karty-akceleratora AIM-ATM, by zaterminowa ATM.
Jeli masz wolny slot NM (routery 2600, 3600 i 3700), moesz zastosowa kart NM-1ATM. Zawiera one
pojedynczy port RJ-48C i obsuguje przepywnoci do 25Mbit/s. Warto dokupi rwnie kart-akcelerator
AIM-ATM, poniewa wydajno bez niej moe by bardzo maa.
Routery 2691, 3600 i 3725 obsuguj rwnie kart NM-1A-OC3MM, ktra zawiera styk ATM OC3 - do
przepywnoci 155Mbit/s.
Jeli masz wolny slot PA (routery serii 7000) masz do wyboru kart PA-A3-E3 (ATM w oparciu o cze E3
34Mbit/s) lub PA-A3-OC3MM (ATM w oparciu o OC3 - 155Mbit/s).
Process Switching
Metoda ta byl pierwsz metod zaimplementowan w IOS i jest to metoda najprostsza. Pierwszy
pakiet w strumieniu (ang. flow) jest kopiowany do bufora systemowego, a nastpnie procesor
przeszukuj tablic routingu w poszukiwaniu miejsca docelowego. Suma kontrolna (CRC) liczona
jest przez procesor. Nastpnie informacje warstwy 2 s przepisywane i pakiet wysyany jest na
docelowy interfejs. Kade nastpne pakiety strumienia s komutowane podobnie.
Process switching ma najduszy czas komutacji pakietw, poniewa uywa buforw systemowych
i procesora gwnego, aby "obrobi" kady pakiet otrzymany przez router. Niemniej jednak, ten
rodzaj komutacji potrzebny jest przy niektrych zadaniach, nawet, jeli na routerze dziaaj inne,
optymalniejsze mechabuzmy komutacji - np. logowanie pakietw trafiajcych w ACLki, debugging
pakietw IP itp.
Minusy process switchingu: wymaga aby dla kadego pakietu zajrze do tablicy routingu kosztuje to czas. Jeli tablica routingu rozronie si, zwikszy si rwnie czas przetwarzania
kadego pakietu. Rekursywne zapytania take zwiekszaj czas przetwarzania pakietu. Zwiksza
si take obcienie CPU routera, co przy maych sieciach moe by do pominicia, ale przy
wikszych staje si problemem. Innym problemem rzutujacym na wydajno jest szybko
transferu danych z pamici.
Fast Switching
Fast switching uywa pamici podcznej by przechowywa informacje o przepywajcym przez
router strumieniu (ang. flow). W momencie wczenia fast switching, pierwszy pakiet w
strumieniu jest zapisywany w pamici packet (oddzielny obszar w buforach systemowych).
Nastpnie procesor przelicza mapowanie warstwy 3 na 2, zapisuje tras w pamici route (ang.
route cache) i kady nastpny pakiet ze strumienia jest ju komutowany z wykorzystaniem
zapisanych w pamiciach podrcznych informacji.
Poniewa adres pakietw w strumieniu jest ju znany, route cache suy rwnie do sprawdzenia
interfejsu docelowego, przez ktry pakiet powinien opuci router. Nastpnie pakiet ma
przepisywany nagwek warstwy 2 a procesor interfejsu oblicza sum CRC. Kolejne pakiety z
potoku nie przerywaj dziaania procesora gwnego, a poniewa interfejs docelowy jest znany
(przechowywany w route cache) rwnie bufory systemowe nie s uywane do przetrzymywania
pakietu.
Fast switching jest domylnym mechanizmem komutacji na routerach 1600, 1700, 2500 oraz
2600 na interfejsach Ethernet, FastEthernet oraz Serial. Jeli fast stwitching zostao wyczone,
mona przywroci je uywajac polecenia ip route-cache na interfejsie. Aby monitorowa
informacje o dziaaniu tego mechanizmu, naley wyda komende show ip cache.
interfejsie. Monitoring lub troubleshooting wymaga uycia komendy: show ip cache optimum.
Distributed switching wymaga z kolei uycia osobnych Versatile Interface Processor (VIP). Karta
VIP przechowuje lokaln kopi route cache i przeprowadza cay proces komutacji lokalnie interfejs nie musi czeka na pami.
NetFlow Switching
NetFlow switching pozwala na zbieranie informacji o ruchu IP do celw rozliczeniowych i/lub
dokadniejszej analizy obcienia sieci. NetFlow uywa domylnie fast switchingu lub optimum
switchingu do przekazywania ruchu IP. Strumienie (ang. flows) ledzone s z dokadnoci do
protokou, portu (TCP/UDP), typu serwisu. Informacje te mog by eksportowane do stacji
zarzdzajcej. Poniewa dane zbierane przez NetFlow s przechowywane w routing cache, proces
komutacji NetFlow jest przeroczysty dla wszystkich urzdze sieciowych. NetFlow zwiksza
jednak obcienie procesora oraz pamici. Domylnie NetFlow cache uywa 64 bajty pamici na
kady strumie.
Komutacj NetFlow mona wczy wydajc polecenie ip route-cache flow. Aby monitorowa
prac NetFlow mona uy polecenia show ip cache flow. Eksport danych NetFlow nastpuje
dopiero, gdy wskaesz adresata danych poleceniem ip flow-export adres_IP.
tutaj:
Jeli masz ochot poczyta dokadniej o metodach komutacji, warto zajrze do podrcznika do
najnowszej
wersji
IOS
powiconego
wanie
tym
zagadnieniom:
http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123cgcr/swit_vcg.htm.
Jak skonfigurowa...
...CEF (Cisco Express Forwarding)?
Na platformach, ktre CEF wspieraj i w ktrych zaadowano IOS z feature-setem obsugujcym go,
wystarczy wyda polecenie:
router(config)# ip cef
Spowoduje to wczenie na wszystkich interfejsach tego routera, chyba, e w konfiguracji konkretnego
interfejsu(-w) wskazano wprost inny rodzaj mechanizmu komutacji, lub w ogle wyczono na nim
jakiekolwiek mechanizmy (np. poleceniem no ip route-cache).
Uwaga: Wczenie CEFu powoduje zajcie pewnej iloci pamici. Jeli masz jej bardzo mao, postaraj si
najpierw j rozszerzy lub wyczy nieuywane usugi, a dopiero pniej wczy CEF.
Jak sprawdzi...
...jakie mechanizmy komutacji wczono na interfejsie?
Posugujc si poleceniem `show ip interface X'.
router# show ip interface FastEthernet 0/0
FastEthernet0/0 is up, line protocol is up
Internet address is 169.254.10.1/24
Broadcast address is 255.255.255.255
[...]
IP fast switching is enabled
IP fast switching on the same interface is disabled
IP Flow switching is disabled
IP CEF switching is enabled
IP CEF Fast switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
IP route-cache flags are Fast, CEF
FastEthernet0
Switching path
Processor
Route cache
Total
FastEthernet1
Switching path
Processor
Route cache
Total
Pkts In
Chars In
1061140 147825393
15218207 2362951731
16279347 2510777124
Pkts In
Chars In
18912250 2891638844
0
0
18912250 2891638844
Pkts Out
18435628
0
18435628
Chars Out
47230091
0
47230091
SP
SSE
0
0
Drops
Pkts In
Chars In
0
0
0
0
0
0
0
27314376 623508416
0
50915903 2865863510
0
0
350986
21059160
0
0
0
0
0
Pkts Out
29273
Chars Out
1756380
0
0
7373999
0
0
764616258
70504415 1275783563
0
0
143215
8592900
0
0
0
0
Jak wida, fast-switching obsuy na interfejsie FastEthernet 0/0 50,915,903 pakiety przychodzce i
70,504,415 pakietw wychodzcych. Tylko 27,314,376 pakietw przychodzcych i 7,373,999 pakietw
wychodzcych obsugiwane byo przez process-switching.
Poniej to samo, ale dla interfejsu szeregowego:
Serial0/0
Throttle count
Drops
RP
SPD Flushes
Fast
SPD Aggress
Fast
SPD Priority
Inputs
Protocol
Path
Other
Process
Cache misses
Fast
Auton/SSE
IP
Process
Cache misses
Fast
Auton/SSE
0
511
0
0
60384
SP
SSE
0
0
Drops
Pkts In
Chars In
0
0
0
0
0
0
0
4418141 455923877
0
37269672 2769716975
0
0
Pkts Out
29282
Chars Out
409958
0
0
24316765
0
0
123842058
17250459 2590666322
0
0
Mam router X, ktry udostpnia Internet stacjom w sieci LAN. Mam tylko 5 stacji a
widz tysice translacji - o co chodzi?
Jeli to stacje z systemem operacyjnym Microsoft Windows, to problem mog powodowa poczenia z i
do mechanizmw Microsoft Networking, pracujcych standardowo w zakresie portw 135-139 zarwno w
oparciu o TCP jak i UDP.
Jeli Twoja konfiguracja NAT wyglda obecnie tak:
interface Ethernet0
ip nat inside
!
interface Ethernet1
ip nat outside
!
ip nat inside source list 100 interface Ethernet 1 overload
!
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 100 deny ip any any
...wystarczy, e zmienisz ACL 100 tak, by odrzucaa ruch nalecy do Microsoft Networking. Docelowo
lista ta powinna wyglda np. tak:
access-list
access-list
access-list
access-list
access-list
access-list
100
100
100
100
100
100
Mam router X, ktry udostpnia Internet stacjom w sieci LAN. Router obsuguje ruch
zaledwie X Mbit/s i ju procesor obciony jest w 100%! Na stronie Cisco znalazem
informacj, e ten model moe obsuy ruch znacznie wikszy!
Informacje podawane w zestawieniach dotycz zwykle kpps lub Mpps - oznaczajce odpowienio kilo
pakietw na sekund i mega pakietw na sekund. Np. 100 kpps oznacza wydajno rzdu 100,000
pakietw na sekund.
Teraz zderzamy si z rzeczywistoci.
Po pierwsze, taka wydajno osigana jest bez skonfigurowanych adnych usug (NAT, ACL, QoS itp.) i
jest sum ruchu do i z routera.
Po drugie, wartoci te podawane s niestety dla rnych wielkoci pakietw. Z uwagi na konstrukcj i
dziaanie, router gorzej znosi routing pakietw mniejszych (np. 64-bajtowych), poniewa dla kadego
musi wykona pewien zestaw czynnoci, a lepiej wikszych (np. 1500-bajtowych). Co wicej, routing tej
samej iloci pakietw ale o rnych rozmiarach, daje diametralnie rne wartoci przepustowoci 100kpps dla pakietw o dugoci 64-bajtw to "zaledwie" 51Mbit/s, ale ju dla pakietw 1500-bajtowych 1,2Gbit/s! Przyjeo si, zgodnie z RFC dotyczcym pomiaru wydajnoci routerw, e pomiary powinny by
wykonywane dla wielu rozmiarw pakietw - ale producenci podaj zwykle pomiary wykonane dla
pakietw o dugoci 384-512 bajtw.
Po trzecie w kocu, naley wzi pod uwag architektur urzdzenia - routery Cisco s w stanie
wykonywa routing na wiele rnych sposobw, poczwszy od routingu wykonywanego tylko przez
procesor (ang. process switching) po wykorzystanie zaawansowanych mechanizmw opracowanych w tej
firmie (np. ang. CEF, Cisco Express Forwarding).
W zalenoci od zbioru realnie uywanych usug, czyli ACL, QoS, NATa czy protokow routingu, dany
router moe by idealny do danego zastosowania, lub na przykad zupenie si do niego nie nadawa.
W sytuacji gdy dysponujesz jednym czem do Internetu, o przepustowoci do 2Mbit/s (symetrycznie),
dobrym wyborem bdzie router klasy 1700. Przy sensownych kompromisach, router sprawdzi si rwnie
w konfiguracji z dwoma czami 2Mbit/s.
Routery serii 2600XM (routery bez literek XM maj sabsze procesory i mniej pamici, nie s ju
produkowane ani sprzedawane) produkowane s w trzech wersjach biorc pod uwag procesory, oraz w
dwch wersjach wyposaenia w interfejsy (jeden lub dwa interfejsy FastEthernet). Routery te sprawdzaj
si w instalacjach z dwoma-trzema czami 2Mbit/s, lub wymagajcych koncentracji pocze typu dialup (moduy z 4 i 8 portami ISDN BRI, czy 16 i 32 portami asynchronicznymi). Wydajno tej serii wg
Cisco wynosi od 20kpps (2610XM/2611XM), przez 30kpps (2620XM/2621XM) po 40kpps
(2650XM/2651XM) czy 70kpps (2691).
Routery serii 3600 wyszy ju z produkcji i sprzeday (w grudniu 2003r.). Ich podstawowym
mankamentem by brak zabudowanych interfejsw Ethernet (tylko 3661/3662 miay odpowiednio jeden i
dwa). Doskonale sprawdzaj si w scenariuszach, w ktrych wymagana jest agregacja duej iloci portw
ISDN BRI, PRI, asynchronicznych czy te E1/G.703 (dostpne s rwnie moduy ATM, ale o wydajnoci
OC3 mona niestety tylko pomarzy na tej platformie). Przy rozbudowanej do maksimum pamici RAM
(dla 3620 do 64MB, dla 3640/3640A do 128MB, dla 3660 do 256MB), oraz sensownej konfiguracji, router
3660 cakiem dobrze sprawdzaj si w konfiguracjach z "maym" BGP. Wydajno tej serii wg Cisco
wynosi od 35kpps (3620), przez 50kpps (3640/3640A) do ~110kpps dla 3661/3662.
Routery serii 3700 - 3725 i 3745 to nastpcy serii 3600. Posiadaj odpowiednio dwa i cztery sloty na
moduy NM, po trzy sloty WIC i po dwa sloty AIM. Dodatkowo, na obu zainstalowano na stae dwa porty
FastEthernet. Biorc pod uwag fakt, e mona na nich zainstalowa maksymalnie 256MB RAM, mog
sprawdzi si w sytuacjach w ktrych do tej pory sprawdzaa si seria 3600 oraz z routingiem BGP.
Wydajno 3725 Cisco ocenia na 100kpps, a 3745 - 225kpps.
Upewnij si, e router nie robi niepotrzebnych rzeczy - wycz nieuywane usugi, zoptymalizuj
uywane ACLki, a te, ktre kontroluj poprawno routowanego ruchu, zastp mechanizmem
uRPF ( ang. Unicast Reverse-Path Filtering, polecenie ip verify unicast reverse-path ).
Upewnij si, e jeli wykonujesz NAT, translacji podlega tylko sensowny i podany ruch pozostay blokuj.
Jeli zamierzasz co zablokowa za pomoc ACLki, zastanw si, czy nie lepiej wykorzysta
routingu do wirtualnego interejsu Null 0. Architektura routerw optymalizowana jest do routingu
a nie filtrowania pakietw, w zwizku z czym zwykle routing "w nico" dziaa szybciej i stanowi
mniejsze obcienie dla procesora ni filtrowanie tego samego ruchu z odrzucaniem go.
W ACLkach wycz logowanie w reguach - powoduje to powrt do obrbki pakietu przez CPU i
moe powodowa wyzwalanie dodatkowych mechanizmw (logowanie na konsol, do pamici, do
serwerw syslog itp.)
Wycz wszelkie wczone sesje odpluskwiania ( undebug all ), oraz logowanie informacji na
konsol ( no logging console )
Stosuj rozkadanie ruchu w ramach routingu domylnego, lub w ramach jednego z protokow
routingu dynamicznego, zamiast cz Mulitlink PPP. Zawsze przy takich czach upewnij si, e
routing pakietw odbywa si za pomoc najoptymalniejszej cieki komutacji.
Dla sesji zestawianych do/z routera, np. peeringu BGP, wcz wykrywanie optymalnego MTU na
czu (ip tcp path-mtu-discovery). Domylna warto MSS (segmentu TCP) to 536 bajtw - na
czach typu Ethernet czy ATM jest mao optymalna. Zmiana ta powinna zmniejszy ilo
pakietw, a wyduy ich wielko, dziki czemu do przesania informacji bdzie potrzeba mniej
pakietw. Dla Ethernetu warto MSS wynosi generalnie 1460 bajtw, a np. dla cz PoS/ATM 4430 bajtw.
Staraj si korzysta z pocze przez sie (Telnet/SSH) a nie przez konsol. Na wszystkich
platformach, kady znak otrzymany/wysyany do konsoli obsugiwany jest przez procesor (ew.
gwny procesor), wywoujcy w tym celu przerwanie. Na tej samej zasadzie, staraj si nie
korzysta z portu AUX routera, jeli nie jest to konieczne.
= P
dBm
+ G
t
- L
ant
Gdzie EIRP(dBm) - efektywna moc wypromieniowywana, P(t) moc nadawcza nadajnika w dBm, G(ant) wzmocnienie anteny i L(l) - strata na kablu czcym anten i nadajnik.
rysunkami
znajduje
si
tutaj:
Skd mog wiedzie, e dany sprzt nie jest ju sprzedawany przez Cisco?
Notki pojawiaj si zwykle jako biuletyny na stronach poszczeglnych produktw, mona rwnie
posiadajc konto CCO zapisa si do rozsyanego e-mailem biuletynu informacyjnego.
Produkty
obecnie
zaklasyfikowane
jako
EoL,
http://www.cisco.com/univercd/cc/td/doc/pcat/#ch27.
czyli
End
of
Life
zebrano
tutaj:
Jak zaadowa obraz Cisco IOS do pamici Flash, dysponujc tylko trybem ROMMON i poczeniem
przez konsol?
Zakadam, e obraz Cisco IOS znajduje si w miejscu dla Ciebie dostpnym i masz moliwo transmisji
XMODEM ze swojego terminala a nazwa pliku z IOSem to `c2600-i-mz.123-1a.bin'. Wydaj polecenie:
rommon 1> xmodem c2600-i-mz.123-1a.bin
Do not start the sending program yet...
device does not contain a valid magic number
dir: cannot open device "flash:"
WARNING: All existing data in bootflash will be lost!
Invoke this application only for disaster recovery.
Do you wish to continue? y/n [n]:
Naley potwierdzi transmisj klawiszem Y a nastpnie po pokazaniu si komunikatu:
Ready to receive c2600-i-mz.123-1a.bin...
Wczy transmisj XMODEM ze swojego terminala, obrazu z Cisco IOS. Jeli wszystko si powiedzie,
router naley zresetowa - mona to zrobi sprztowo, lub poleceniem:
rommon 2> reset
Po starcie routera powinien zaadowa si IOS:
program load complete, entry point: 0x80008000, size: 0x54ab60
Self decompressing the image : #################################################
######################################################### [OK]
Jak zaadowa obraz Cisco IOS do pamici Flash, dysponujc tylko trybem ROMMON i poczeniem
przez Ethernet?
Zakadam, e obraz Cisco IOS znajduje si w miejscu dla Ciebie dostpnym (w tym przykadzie plik ma
nazw `c2600-i-mz.123-1a.bin'), masz do swojej dyspozycji serwer TFTP skonfigurowany na
serwowanie tego pliku i albo poczye si skrosowanym kablem Ethernet do pierwszego portu Ethernet
routera ze stacji, albo podczye ten port do sieci, w ktrej bdzie mona osign serwer TFTP.
Naley nada routerowi tymczasowy adres IP, w podsieci w ktrej znajduje si rwnie Twoja stacja. W
naszym przykadzie jest to jedna podsie - Twoja stacja ma w niej adres 169.254.10.5/24 a routerowi
nadamy adres 169.254.10.2/24:
rommon 1> IP_ADDRESS=169.254.10.2
rommon 2> IP_SUBNET_MASK=255.255.255.0
rommon 3> DEFAULT_GATEWAY=169.254.10.1
Teraz wska adres serwera TFP oraz nazw pliku:
rommon 4> TFTP_SERVER=169.254.10.5
rommon 5> TFTP_FILE=c2600-i-mz.123-1a.bin
Na koniec, rozpoczynamy procedur cigania obrazu:
rommon 6> tftpdnld
Jeli nie chcesz zapisywa obrazu na pami flash a po prostu chcesz zaadowa obraz do pamici i
uruchomi z niego router, wydaj polecenie `tftpdnld -r'.
Hasa na routerach
Jak odzyska zapomniane haso z routera?
Poniszy opis dotyczy wikszoci routerw. Oryginalne procedury do caego sprztu produkcji Cisco
Systems
znajduj
si
tutaj:
http://www.cisco.com/en/US/products/hw/contnetw/ps789/products_tech_note09186a00801746e6.shtm
l.
Musisz uzyska dostp do konsoli i zresetowa router. Zaraz po rozpoczciu adowania:
System Bootstrap, Version 12.2(7r) [cmong 7r], RELEASE SOFTWARE (fc1)
Copyright (c) 2002 by cisco Systems, Inc.
C2600 platform with 65536 Kbytes of main memory
...musisz ze swojego terminala wysa sekwencj Ctrl+Break. Spowoduje to wejcie do ROMMONa:
PC = 0xfff0ac3c, Vector = 0x500, SP = 0x680127c0
monitor: command "boot" aborted due to user interrupt
rommon 1>
Pozostaje zmieni rejestr konfiguracyjny na warto, ktra pominie wczytanie pliku konfiguracyjnego, a
nastpnie zresetowa router:
rommon 1> conf-reg 0x2142
rommon 2> reset
Po zaadowaniu si Cisco IOS, wejd do trybu uprzywilejowanego, skopiuj zawarto pliku startup-
masz
dostp
do
Internetu,
jest
serwis
Hasa szyfrowane poleceniem secret uywaj jednokierunkowej funkcji mieszajcej i ich odszyfrowanie
mona wykona jedynie przez mudne sprawdzanie kolejnych kombinacji znakw.
Prbuj zdebugowa ruch na interfejsie routera poleceniem `debug ip packet', ale widz tylko
pojedycze pakiety?
Wycz CEF (no ip cef) - ale uwaaj(!) na obcienie procesora - moe gwatownie wzrosn wszystko zaley od iloci obsugiwanego ruchu.
mona
poczyta
np.
tutaj:
Mam przecznik 2970 lub 3750 - port 10/100/1000 podczony do karty sieciowej 1Gbit/s (np. Intel
1000MT) nie chce przesya danych. W czym tkwi problem?
Porty 3, 4, 7, 8, 11, 12, 15, 16, 19, 20, 23, 24 mog si tak zachowywa, ale oficjalny komunikat firmy
Cisco wskazuje na Intela jako winowajce. Intel przygotowa odpowiednie atki. Masz trzy alternatywy:
Zmieni port z SGMII na RGMII czyli 1, 2, 5, 6, 9, 10, 13, 14, 17, 18, 21 lub 22
Wyda na tym konkretnym interfejsie polecenie `speed 1000' by wymusi tryb pracy 1Gbit/s
Wymieni karty sieciowe jeli instalacja at i uaktualnie przygotowanych przez firm Intel jest
niemoliwa
Na swoim przeczniku 2950, 3550 czy 3750 otrzymuj komunikat %SYS-2-MALLOCFAIL: Memory
allocation of (...) Cause: Memory fragmentation
Prawdopodobnie masz po prostu ptl w sieci. Upewnij si, e na wszystkich przecznikach wczony jest
protok Spanning Tree lub Rapid Spanning Tree.
Starsze IOSy (12.1.8-12.1.11) bardzo nie lubi takich okresowych sztormw pakietw w ramach ptli i
zwykle kad interfejs do nastpnego restartu (nie pomaga `no shut'). Nowsze IOSy (od 12.1.12) lepiej
radz sobie z wysyceniem pamici i potrafi mimo "klapnicia" interfejsu podnie go po chwili, ale nie
jest to stan, ktry powiniene w sieci pozostawi.
Typowym objawem tego problemu, s np. takie informacje w logach:
%SYS-2-MALLOCFAIL: Memory allocation of 1680 bytes failed from 0x156550, alignment 0
Pool: I/O Free: 2172 Cause: Memory fragmentation
Alternate Pool: None Free: 0 Cause: No Alternate pool
Jak mona przeczyta, przecznik wysyci ca pami I/O przeznaczon do tymczasowego kolejkowania
ramek i zgasza bd sfragmentowania pamici. Posugujc si poleceniem `show memory summary'
mona to potwierdzi:
switch# show memory summary
Head
Total(b)
Processor
BDDF8C
54655092
I/O
80000000
8388608
Used(b)
4842004
1128084
Free(b)
49813088
7260524
Lowest(b)
47010552
2172
Largest(b)
47973440
7187568