You are on page 1of 105

(nieoficjalne) Cisco FAQ PL

czyli najczciej zadawane pytania o Cisco z odpowiedziami po polsku


ukasz Bromirski <lukasz@bromirski.net> (koordynator)
v0.99(4) 30/01/2006 23:53:21

Spis treci
Rozdzia 1. Sprawy porzdkowe.........................................................................................................................5
Owiadczenie i licencja...................................................................................................................................................5
Dostp do CVS i Twj udzia w tym projekcie.............................................................................................................. 5
Lista pocztowa - jak i gdzie?.......................................................................................................................................... 5

Rozdzia 2. Pytania oglne..................................................................................................................................6


Gdzie mona poczyta o firmie Cisco i produktach tej firmy?.......................................................................................6
Do kogo zwrci si o pomoc, jeli chciabym zbudowa swoj sie w oparciu o produkty Cisco?............................ 6
Jak skontaktowa si z pomoc techniczn Cisco?........................................................................................................ 6
Gdzie mona uzyska pomoc dotyczc sieci i Cisco?.................................................................................................. 6
Skd mog pobra nowsze oprogramowanie do swojego urzdzenia Cisco?................................................................ 7
Syszaem, e aktywacja szyfrowania 3DES i ew. AES jest na PIXach darmowa - czy to prawda?............................. 7
Czy s jakie strony sympatykw Cisco z ciekawymi materiaami?..............................................................................7

Rozdzia 3. Dokumentacja.................................................................................................................................. 7
Gdzie w Internecie znale dobre materiay o sprzcie Cisco? Konfiguracja, przykady, zalecenia?........................... 7
Jakie polecacie ksiki po Polsku, do pracy ze sprztem Cisco?................................................................................... 8
A jakie w ogle ksiki polecacie, powicone sieciom oraz sprztowi Cisco?............................................................ 8
Jak zainstalowa Cisco Documentation pod Windows tak, by nie trzeba byo za kadym razem korzysta z krka? 9
Jak zainstalowa Cisco Documentation pod Linuksem/BSD?..................................................................................... 10
Gdzie sprawdzi skadni konkretnego polecenia?...................................................................................................... 10

Rozdzia 4. Certyfikacje Cisco..........................................................................................................................10


Jakie s poziomy certyfikacji Cisco?............................................................................................................................ 10
Jakie egzaminy musz zda na poziomie Associate?................................................................................................... 11
Jakie egzaminy musz zda na poziomie Professional?............................................................................................... 11
Jakie egzaminy musz zda na poziomie Expert?........................................................................................................ 12
Gdzie mog znale dokadn list tematw na dany egzamin?.................................................................................. 12
Czy dla zdajcych s jakie pomoce?........................................................................................................................... 13
Czy po egzaminie mog podzieli si ze znajomymi treci pyta?............................................................................ 13

Rozdzia 5. Podstawy pracy z urzdzeniami Cisco...........................................................................................13


Jak podczy si do......................................................................................................................................................13
...routera Cisco?...........................................................................................................................................................................13
...Cisco PIX?................................................................................................................................................................................13
...przecznika Cisco Catalyst serii 1000, 2000 lub 3000?..........................................................................................................13
...przecznika Cisco Catalyst serii 4000/4500?..........................................................................................................................14
...przecznika Cisco Catalyst serii 6000/6500?..........................................................................................................................14
...sondy Cisco IDS serii 42xx?.................................................................................................................................................... 14
...punktu bezprzewodowego AP350, 1120 lub 1200?................................................................................................................. 14

Podczyem si i...?......................................................................................................................................................14
...w oknie terminala nic nie widz?............................................................................................................................................. 14
...jak dostawa informacje o zdarzeniach na routerze na konsol?............................................................................................. 14
...jaki dokadnie mam router? Ile mam pamici RAM/flash? Co oznaczaj poszczeglne linijki z polecenia `show version'?.15
...gdy pomyl si w poleceniu, router zaczyna robi dziwne rzeczy...........................................................................................16
...chciabym zapisa konfiguracj routera/PIXa/przecznika?...................................................................................................16
...chciabym wymaza konfiguracj routera/PIXa/przecznika?............................................................................................... 16
...jakiego uy oprogramowania do poczenia si z routerem?................................................................................................. 16
...jakiego uy oprogramowania do serowania plikw tftp/ftp?................................................................................................. 17
Mj router uparcie prbuje cign z sieci plik network-config, network-cfg lub cisconet.cfg - o co chodzi?........................17

Rozdzia 6. Podstawy konfiguracji usug..........................................................................................................17


DHCP............................................................................................................................................................................17
Co to s prywatne/niezarejestrowane adresy IP?........................................................................................................................ 17
Czy router moe peni rol serwera DHCP?..............................................................................................................................17
Jak przydzieli interfejsowi adres z serwera DHCP?..................................................................................................................18
Jak przekaza dalej zapytania DHCP?........................................................................................................................................ 18

SNMP............................................................................................................................................................................19

Jak uruchomi na routerze SNMP?............................................................................................................................................. 19

Logowanie zdarze....................................................................................................................................................... 19
Chciabym logowa zdarzenia zachodzce na routerze do pamici. Jak to zrobi?....................................................................19
Chciabym logowa zdarzenia zachodzce na PIXie do pamici. Jak to zrobi?....................................................................... 19
Chciabym logowa zdarzenia zachodzce na routerze do serwera syslog. Jak to zrobi?.........................................................19
Chciabym logowa zdarzenia zachodzce na PIXie do serwera syslog. Jak to zrobi?............................................................ 20

Czas...............................................................................................................................................................................20
Jak ustawi zegar na routerze?.................................................................................................................................................... 20
Jak ustawi zegar wg. serwerw czasu z Internetu?....................................................................................................................20
Skonfigurowaem na swoim routerze NTP, ale zegar pozostaje niezsynchronizowany - a mino ju par godzin.................. 21

NAT.............................................................................................................................................................................. 21
W jakich wersjach oprogramowania obsugiwany jest NAT, PAT oraz mapowanie portw z adresw publicznych na
prywatne?.................................................................................................................................................................................... 21
Chc uruchomi NAT - mam jeden interfejs publiczny i jeden prywatny. Jak to zrobi?..........................................................21
Mam router z jednym interfejsem i chc robi NAT - czy to wykonalne?................................................................................. 22
Chc przekierowa port 25/tcp z adresu publicznego routera do sieci wewntrznej - jak to zrobi?......................................... 23
Jak sprawdzi, ktre interfejsy przypisane s do NAT i jak s skonfigurowane?...................................................................... 23
NAT mi nie dziaa - co moe by le?........................................................................................................................................ 23

SSH............................................................................................................................................................................... 24
Jak skonfigurowa SSH?.............................................................................................................................................................24
Jak sprawdzi, czy serwer SSH jest wczony?.......................................................................................................................... 24

Rejestr konfiguracyjny routerw.................................................................................................................................. 24


Po zapisaniu konfiguracji i przeadowaniu routera, trac konfiguracj - dlaczego?................................................................... 24
Co dokadnie oznaczaj bajty z rejestra konfiguracyjnego?....................................................................................................... 25
Czy do ustawiania rejestru konfiguracyjnego mona uy jakiego narzdzia?.........................................................................25

VLANy......................................................................................................................................................................... 25
Co to s VLANy?........................................................................................................................................................................ 25
Co to jest VLAN "natywny"?......................................................................................................................................................26
Co maj na myli ludzie mwic "router na patyku" (ang. router on a stick)?........................................................................... 26
Czy Cisco PIX moe obsugiwa VLANy?................................................................................................................................ 27
Jak skonfigurowa na PIXie VLAN?.......................................................................................................................................... 27

Jak sprawdzi................................................................................................................................................................ 28
...ile interfejsw logicznych obsuy router X?...........................................................................................................................28
...aktualne obcienie procesora?................................................................................................................................................ 28
...historyczne obcienie procesora?........................................................................................................................................... 29
...w licie procesw tylko te, zajmujce jakie zasoby procesora?............................................................................................. 29
...zajto pamici?......................................................................................................................................................................29
...objto pamici wykorzystywan przez procesy routingu?....................................................................................................30
...jakie karty zainstalowano w routerze?..................................................................................................................................... 30
...jakie karty zainstalowano w przeczniku pracujcym pod kontrol CatOS?......................................................................... 31
...co obsuguje dany feature-set?................................................................................................................................................. 32
...znajc nazw pliku Cisco IOS jaki to feature-set?................................................................................................................... 32
...czy dana karta/modu kompatybilna jest z danym routerem?.................................................................................................. 33
...na ktrym porcie routera znajduje si urzdzenie o danym adresie MAC lub IP?.................................................................. 33
...na ktrym porcie przecznika Catalyst wpito urzdzenie o danym adresie MAC?.............................................................. 33
...budet mocy na modularnym przeczniku Catalyst?.............................................................................................................. 34

Rozdzia 7. Wybr sprztu pod konkretne zastosowanie..................................................................................34


Jaki router wystarczy do maej sieci (10-15 uytkownikw), w sytuacji, gdy Internet dochodzi do mnie Ethernetem?
.......................................................................................................................................................................................34
Jaki router wystarczy do maej sieci (10-15 uytkownikw), w sytuacji, gdy Internet dochodzi do mnie stykiem
V.35 (Polpak-T)?.......................................................................................................................................................... 34
Jaki router wystarczy do maej sieci (10-15 uytkownikw), w sytuacji, gdy chcemy bezpiecznie poczy si
VPNem do innej podobnej lokalizacji przez cze zakoczone Ethernetem?.............................................................. 35
Mam dwa cza od dwch ISP i chciabym uruchomi BGP. Jakiego routera powinienem uy?..............................35
Potrzebuj may przecznik Cisco, bez routingu.........................................................................................................35
Potrzebuj przecznik Cisco potraficy realizowa routing........................................................................................36
Przeczniki niemodularne.......................................................................................................................................................... 36
Przeczniki modularne............................................................................................................................................................... 36

Czy Cisco sprzedaje tzw. "firewalle sprztowe"?.........................................................................................................36


Czy Cisco sprzedaje sprzt do budowy sieci bezprzewodowych?............................................................................... 37

Rozdzia 8. Jak skonfigurowa router do..........................................................................................................37


...usugi transmisji danych w sieci Polpak-T?...............................................................................................................37
...InternetDSL lub innego dostawcy oferujcego styk Ethernet?..................................................................................38
...usugi SDI/CDI?.........................................................................................................................................................39
...usugi Neostrada+?.....................................................................................................................................................41
...do Neostrady+ ale dla routera Cisco 677?................................................................................................................. 42
...poczenia kablami V.35 dwch routerw Frame Relay?......................................................................................... 43

...obsugi dwch rwnolegych cz od niezalenych ISP?.......................................................................................... 43


A co jeli mam wicej cz - na przykad 3?............................................................................................................................... 46
A co z lokalnym ruchem do/z routera?........................................................................................................................................46

....eksportu danych NetFlow?....................................................................................................................................... 46


...routingu pomidzy VLANami na kartach WIC-4ESW, NM-16ESW lub NM-32ESW?..........................................47

Rozdzia 9. Routing...........................................................................................................................................48
Mam na routerze dwa interfejsy z nadanymi adresami IP, ale router nie chce routowa midzy nimi. O co chodzi? 48
Jak wskaza routerowi domyln bramk?...................................................................................................................48
Na jednym routerze mam wiele rnych protokow routingu. Informacje ktrego z nich, znajd si w tablicy
routingu?....................................................................................................................................................................... 49
Jak przebiega proces routingu na routerach Cisco? Co jest brane pod uwag?............................................................49
Co to jest trasa pywajca (ang. floating route)?...........................................................................................................49
Chc rozkada obcienie pomidzy trasy o rwnej metryce. Jak wyglda konfiguracja tego w IOSie?.................. 50
Chc rozkada obcienie pomidzy trasy o rwnej metryce w proporcji 1:2 - jak to zrobi?.................................. 50
Czym si rni protok routingu typu link-state od distance-vector?......................................................................... 51
W jaki sposb protokoy typu dystans-wektor zapobiegaj tworzeniu ptli?...............................................................51
Interfejsy loopback........................................................................................................................................................52
Co to jest interfejs loopback? Gdzie fizycznie si znajduje?...................................................................................................... 52

RIP................................................................................................................................................................................ 52
Co to jest RIP?.............................................................................................................................................................................52
Jak wyglda podstawowa konfiguracja RIPv1?.......................................................................................................................... 52
A jak uruchomi na routerze RIP w wersji 2?.............................................................................................................................53

OSPF............................................................................................................................................................................. 54
Co to jest OSPF?......................................................................................................................................................................... 54
Jak dziaa OSPF?.........................................................................................................................................................................54
Jak router liczy w OSPFie metryk dla poczenia?................................................................................................................... 55
O czym pamita przy sumaryzacji?........................................................................................................................................... 55
Jakie s typy LSA?...................................................................................................................................................................... 55
Co jest potrzebne eby dwa routery wymieniy informacje o routingu OSPF?.......................................................................... 55
Jak sprawdzi aktualny stan ssiadw danego routera OSPF?................................................................................................... 56
Jak skonfigurowa OSPF?...........................................................................................................................................................57
Czy jest jaki przewodnik po budowaniu sieci z OSPFem?........................................................................................................58

Routing BGP................................................................................................................................................................. 58
Co to jest BGP?........................................................................................................................................................................... 58
Co to jest numer AS?...................................................................................................................................................................58
Jaki potrzebuj router do obsugi BGP?......................................................................................................................................58
Jak waciwie dziaa BGP?..........................................................................................................................................................59
Jakich atrybutw uywa BGP?....................................................................................................................................................59
Jak w BGP wybierana jest cieka?............................................................................................................................................ 63
Jak skonfigurowa BGP?............................................................................................................................................................ 64
Chciabym uruchomi BGP - skd mam wzi swj numer AS?............................................................................................... 64
Co to jest PI i czym rni si od PA?..........................................................................................................................................65
Czy jest jaki przewodnik po budowaniu sieci z BGP?.............................................................................................................. 65

Rozdzia 10. QoS - limitowanie, gwarantowanie i kontrola pasma..................................................................66


Co tak naprawd oznacza akronim QoS?..................................................................................................................... 66
Jeli chodzi o klasyfikacj, czsto sysz akronimy ToS, Precedence i DSCP - o co chodzi?.....................................66
Jak skonfigurowa........................................................................................................................................................ 67
...prioretyzacj okrelonego ruchu za pomoc PQ?.................................................................................................................... 67
...prioretyzacj okrelonego ruchu za pomoc CQ?.................................................................................................................... 67
...kolejkowanie WFQ?.................................................................................................................................................................68
...przycinanie pasma dla okrelonego ruchu?..............................................................................................................................68
...ksztatowanie ruchu za pomoc CBWFQ?...............................................................................................................................69
Co to jest NBAR?........................................................................................................................................................................71

Rozdzia 11. Bezpieczestwo............................................................................................................................72


Poszukuje informacji o zabezpieczaniu routerw, przecznikw............................................................................... 72
Dostp do routera.......................................................................................................................................................... 73
Jak spowodowa, ebym logujc si do routera musia poda tylko haso?............................................................................... 73
Jak spowodowa, ebym logujc si do routera musia poda zarwno login jak i haso?........................................................ 73
W jaki sposb stworzy stae mapowanie IP na MAC na routerze?........................................................................................... 73
Chciabym upewni si, e mj router nie jest atwym celem dla wamywaczy. Co jako podstaw polecacie?........................74

Zabezpieczanie ruchu do i przez router........................................................................................................................ 75


Jak dziaaj ACL?........................................................................................................................................................................75
Jak mog sprawdzi, czy moje ACL dziaaj?............................................................................................................................77
Jak zoptymalizowa ACLk?...................................................................................................................................................... 77

Rozdzia 12. VPN - Wirtualne Sieci Prywatne................................................................................................. 82


Co tak naprawd oznacza akronim VPN?.................................................................................................................... 82

Jak skonfigurowa........................................................................................................................................................ 82
...tunel IPsec pomidzy dwoma routerami poczonymi do Internetu kanaami Frame Relay PVC?........................................ 82
...tunel IPsec+GRE pomidzy dwoma routerami poczonymi do Internetu kanaami Frame Relay PVC?.............................. 85

Rozdzia 13. Telekomunikacja..........................................................................................................................88


ISDN............................................................................................................................................................................. 88
Jak prdko mog uzyska, stosujc ISDN?............................................................................................................................88
Co to jest Q.921? A Q.931? Jak to si ma do PPP czy IP?......................................................................................................... 89
Jak kart zastosowa do poczenia ISDN BRI w celu przenoszenia danych?......................................................................... 89
Jak kart zastosowa do poczenia ISDN PRI w celu przenoszenia danych?......................................................................... 89
Jak skonfigurowa poczenie z routera do Internetu przez interfejs BRI?................................................................................ 89
Jak sprawdzi histori pocze interfejsw ISDN?................................................................................................................... 90

E1/E3.............................................................................................................................................................................90
Jak kart zastosowa do poczenia E1 w celu przenoszenia danych?......................................................................................90
Jak kart zastosowa do poczenia E3 w celu przenoszenia danych?......................................................................................90

ATM..............................................................................................................................................................................91
Jak kart zastosowa do poczenia ATM w celu przenoszenia danych?................................................................................. 91

Rozdzia 14. Rodzaje komutacji w routerach Cisco......................................................................................... 91


Co to jest switching? Jaki ma zwizek z komutacj?................................................................................................... 91
Jakie s rodzaje switchingu?......................................................................................................................................... 91
Jak skonfigurowa........................................................................................................................................................ 93
...CEF (Cisco Express Forwarding)?...........................................................................................................................................93
...CEF dla routingu wg. zasad (ang. policy-based)?....................................................................................................................93

Jak sprawdzi................................................................................................................................................................ 94
...jakie mechanizmy komutacji wczono na interfejsie?............................................................................................................ 94
...ile ruchu komutowanego jest danym mechanizmem komutacji?.............................................................................................94

Rozdzia 15. Optymalizacja wydajnoci........................................................................................................... 95


Mam router X, ktry udostpnia Internet stacjom w sieci LAN. Cigle mam problemy z obcieniem procesora, lub
zrywanymi sesjami........................................................................................................................................................95
Mam router X, ktry udostpnia Internet stacjom w sieci LAN. Mam tylko 5 stacji a widz tysice translacji - o co
chodzi?.......................................................................................................................................................................... 96
Mam router X, ktry udostpnia Internet stacjom w sieci LAN. Router obsuguje ruch zaledwie X Mbit/s i ju
procesor obciony jest w 100%! Na stronie Cisco znalazem informacj, e ten model moe obsuy ruch znacznie
wikszy!........................................................................................................................................................................ 96
Jakie rzeczy sprawdzi, optymalizujc wydajno routera?.........................................................................................97
Jak wyglda wydajno szyfrowania ruchu dla routerw/PIXw?.............................................................................. 98

Rozdzia 16. Sieci bezprzewodowe...................................................................................................................99


Ktry standard okrela co w rodzinie 802.11?..............................................................................................................99
Jak policzy EIRP?..................................................................................................................................................... 100

Rozdzia 17. Dobr i wymiana sprztu........................................................................................................... 100


Czy musz kupowa oryginalne pamici Cisco?........................................................................................................100
Mam w routerze kart X. Jaki kabel do niej dobra?................................................................................................. 100
Skd mog wiedzie, e dany sprzt nie jest ju sprzedawany przez Cisco?.............................................................101

Rozdzia 18. Rozwizywanie problemw.......................................................................................................101


Obrazy IOS i ich odzyskiwanie.................................................................................................................................. 101
Straciem obraz z Flasha. Mam do dyspozycji tylko tryb ROMMON i obraz IOSa na komputerze. Jak zaadowa go do
routera?...................................................................................................................................................................................... 101
Jak zaadowa obraz Cisco IOS do pamici Flash, dysponujc tylko trybem ROMMON i poczeniem przez konsol?.......101
Jak zaadowa obraz Cisco IOS do pamici Flash, dysponujc tylko trybem ROMMON i poczeniem przez Ethernet?......102

Hasa na routerach.......................................................................................................................................................102
Jak odzyska zapomniane haso z routera?............................................................................................................................... 102
A jak odszyfrowa zaszyfrowane haso w konfiguracji routera?..............................................................................................103

Interfejsy Ethernet i ruch na nich................................................................................................................................103


Mam duo kolizji na interfejsie Ethernet routera - co mog z tym zrobi?.............................................................................. 103
Prbuj zdebugowa ruch na interfejsie routera poleceniem `debug ip packet', ale widz tylko pojedycze pakiety?........... 104
Chciabym na PIXie sniffowa ruch i zapisywa go do dalszej analizy - jak to zrobi?.......................................................... 104

Problemy z pamici i IOSami................................................................................................................................... 104


Dostaj na konsol lub do logw komunikaty typu %ALIGN-3-SPURIOUS: Spurious memory access made [...]............... 104
Mam za mao pamici aby zapisa konfiguracj - co mam zrobi?..........................................................................................104

Problemy z przecznikami Catalyst...........................................................................................................................105


Mam przecznik Cisco Catalyst i wiele stacji do niego podczonych. Mam problemy z logowaniem si do sieci po starcie
tych komputerw....................................................................................................................................................................... 105
Na swoim przeczniku 2950, 3550 czy 3750 otrzymuj komunikat %SYS-2-MALLOCFAIL: Memory allocation of (...)
Cause: Memory fragmentation.................................................................................................................................................. 105

Rozdzia 19. Podzikowania........................................................................................................................... 105


Rozdzia 20. ChangeLog.................................................................................................................................106

Rozdzia 1. Sprawy porzdkowe


FAQ, jak sama nazwa wskazuje, to zbir najczciej zadawanych pyta, wraz z odpowiedziami na nie.
Nasz ambicj jest zebra w tym jednym dokumencie maksimum uytecznych i przydatnych informacji,
nie tylko dla profesjonalistw, ale rwnie dla ludzi, ktrzy sprzt Cisco widz pierwszy raz w yciu.
Jak to przyjo si w dokumentach tego rodzaju - moesz si z nami skontaktowa. Na co dzie
pracujemy jednak zawodowo i zwykle po prostu nie mamy czasu na odpowiadanie na pytania. Nie zdziw
si zatem, jeli na pytanie dotyczce Cisco, sieci (albo co gorsza, takie, na ktre odpowied znajduje si
w tym FAQ) czy innego tematu nie dostaniesz odpowiedzi, skierujemy Ci do google.com albo odpowied
bdzie niezbyt przyjemna.

Owiadczenie i licencja
Dokument ten rozpowszechniany jest w nadziei, e bdzie uyteczny, ale BEZ ADNEJ GWARANCJI;
nawet bez implikowanej gwarancji RKOJMI lub PRZYDATNOCI DO KONKRETNEGO ZASTOSOWANIA.
Krtko i po ludzku mwic, zebrane tu informacje wcale nie musz by prawdziwe. Jeli w wyniku ich
zastosowania np. Twoja firma straci miliony zotych - to nie bya nasza wina. Bardzo nam przykro staralimy si poda pewne informacje w dobrej wierze. Zastanw si zatem wielokrotnie zanim
postanowisz co kupi, wczy lub (s|prze)konfigurowa!.
Materia zawarty w tym FAQ moe by dystrybuowany tylko na zasadach okrelonych w Open Publication
License,
v1.0
lub
pniejszej
(ostatnia
wersja
jest
obecnie
dostpna
pod
adresem
http://www.opencontent.org/openpub/).
Znakw towarowych firm, w szczeglnoci firmy Cisco Systems, uyto tylko w celu identyfikacji
produktw.
Namawiamy do darmowego kopiowania i dystrybuowania (sprzedawania lub rozdawania) tego dokumentu
w dowolnym formacie. Wymagamy jednak, by poprawki i/lub komentarze przekazywa bezporednio na
adres listy pocztowej, lub na adres koordynatora projektu - ukasza Bromirskiego.

Dostp do CVS i Twj udzia w tym projekcie


Orygina
tego
dokumentu
w
najnowszej
http://lukasz.bromirski.net/docs/cisco/cisco_faq.html.

wersji

znajduje

si

Koordynator tego FAQ pracuje nad uruchomieniem publicznie dostpnego serwera CVS.

Lista pocztowa - jak i gdzie?


Koordynator tego FAQ pracuje nad uruchomieniem publicznie dostpnego serwera CVS.

Rozdzia 2. Pytania oglne


Gdzie mona poczyta o firmie Cisco i produktach tej firmy?
Najlepiej zacz od polskich stron:

http://www.cisco.pl/

http://www.ciscopoland.pl/cisco/main.asp

pod

adresem:

Nastpnie uda si oczywicie na najwiksz stron gwn:

http://www.cisco.com/

Do kogo zwrci si o pomoc, jeli chciabym zbudowa swoj sie w oparciu o


produkty Cisco?
Powiniene zgosi si do firmy, ktra wykonuje projekty w oparciu o sprzt Cisco. Najprociej bdzie
zadzwoni na numer linii konsultacyjnej Cisco Polska (0 801 340 755). Konsultant, w zalenoci od
wielkoci projektu, zaproponuje pomoc inynierw Cisco Polska, sam przedstawi pomys na budow sieci i
list sprztu, lub skieruje Ci do firm, ktre zajmuj si profesjonalnymi usugami.

Jak skontaktowa si z pomoc techniczn Cisco?


Aby skontaktowa si z Cisco TAC (Technical Assistance Center) skorzystaj z listy dostpnej pod
adresem: http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml.
Generalnie, europejski Cisco TAC dostpny jest pod numerem telefonu +32 2 704-58-69 (niestety, trzeba
posugiwa si jzykiem angielskim)lub mailem tac@cisco.com.
Pamitaj jednak, e:

Aby skorzysta z tej pomocy, musisz posiada wykupiony kontrakt serwisowy - SmartNET lub
SmartSpares.

Musisz zna rodzaj sprztu, o ktrym z Cisco TAC chciaby porozmawia, jego numer seryjny i
jeli to moliwe - posiada jak najdokadniejsze informacje o nim (zwykle na pocztku rozmowy
inynier TAC poprosi o zrzucenie do pliku wyniku dziaania polecenia `show tech-support', wic
warto od razu mie go pod rk).

Inynierowie Cisco TAC z reguy nie pomagaj w konfiguracji poczenia Internetowego, list
kontroli dostpu czy nie zaprojektuj Ci odpowiednio sieci. Postaraj si wykona jak
najdokadniejszy troubleshooting zanim poprosisz o pomoc.

Gdzie mona uzyska pomoc dotyczc sieci i Cisco?


Najszybsz i darmow (zwykle) pomoc znale mona na listach usenetowych:

pl.comp.networking - polska, dotyczca nie tylko sprztu Cisco

comp.dcom.sys.cisco - w jzyku angielskim, dotyczca tylko sprztu Cisco

fido7.ru.cisco - w jzyku rosyjskim, dotyczca tylko sprztu Cisco

Troch bardziej zaawansowane zagadnienia pojawiaj si na listach, na ktre trzeba si zapisa. S to:

http://www.prenumerata.pl/wwsympa.fcgi/info/isp-tech - skupia wielu ludzi, ktrzy znaj Cisco i


inny sprzt od podszewki

https://puck.nether.net/mailman/listinfo/cisco-nsp - prowadzona w jzyku angielskim, dla ISP

http://forum.cisco.com/eforum/servlet/NetProf?page=main - fora dyskusyjne Cisco oraz archiwa


sesji pyta i odpowiedzi

Skd mog pobra nowsze oprogramowanie do swojego urzdzenia Cisco?


Dla zwykych uytkownikw, Cisco udostpnia bardzo okrojony zestaw oprogramowania, osigalny pod
adresem http://www.cisco.com/public/sw-center/.
Aby mc uywa stale najnowszego oprogramowania, powiniene do swojego urzdzenia wykupi
kontrakt SmartNET. Jeli pozyskae urzdzenie "szarym kanaem", jak nazywa si sprzt nie sprzedany
oficjalnie w Polsce tylko sprowadzony, bdziesz mia problem z uzyskaniem legalnie
nowszego/poprawionego oprogramowania. Dla sprztu sprowadzanego i pozyskiwanego w ten sposb
Cisco w Polsce nie prowadzi adnego wsparcia projektowego/wdroeniowego.
Pamitaj rwnie, e licencja Cisco uniemoliwia dzielenie si oprogramowaniem ze znajomymi, ani
odsprzeda urzdze z zainstalowanym oprogramowaniem.

Syszaem, e aktywacja szyfrowania 3DES i ew. AES jest na PIXach darmowa - czy to
prawda?
Tak, wystarczy e uytkownik kocowy urzdzenia zarejestruje si na stronie o adresie
https://www.cisco.com/pcgi-bin/Software/Crypto/crypto_main.pl?prod_refer=pix3des. Kod aktywacyjny
umoliwiajcy szyfrowanie 3DES i AES (od PIX OS 6.3) otrzyma e-mailem.

Czy s jakie strony sympatykw Cisco z ciekawymi materiaami?


Open Sourceowa grupa COSI (Cisco Centric Open Source Initiative) prowadzi projekt, w ramach ktrego
zbiera najciekawsze narzdzia do wszelakiego sprztu Cisco. Z ide dziaania grupy i z narzdziami
stworzonymi przez jej czonkw, moesz zapozna si pod adresem http://cosi-nms.sourceforge.net/.

Rozdzia 3. Dokumentacja
Gdzie w Internecie znale dobre materiay o sprzcie Cisco? Konfiguracja,
przykady, zalecenia?
Na pocztek zapoznaj si z CCO, czyli Cisco Connection Online. Jest to sekcja strony
http://www.cisco.com/univercd/home/home.htm, bdca naprawd kopalni wiedzy - zarwno o danych
fabrycznych produktw, jak i konfiguracji poszczeglnych zagadnie czy zaleceniach Cisco.
Drugim, bardzo bogatym i obszernym miejscem, s prezentacje z corocznych spotka oranizowanych
przez Cisco, nazywanych Networkers. Poniej lista lokacji, z ktrych cign mona w formacie PDF
prezentacje z poszczeglnych lat:

1999: http://www.cisco.com/networkers/nw99_pres/

2000: http://www.cisco.com/networkers/nw00/pres/

2001: http://www.cisco.com/networkers/nw01/pres/

2002: http://www.cisco.com/networkers/nw02/post/presentations.html

2003 USA: http://www.cisco.com/networkers/nw03/post/presos.html


2003
Johannesburg:
http://www.networkersafrica.com/nw03/POST_EVENT/PRESENTATIONS/Breakout_sessions/defau
lt.asp

2004 Brisbane: https://www.conveneit.com/secure/cisco_networkers/client/default.asp?pg=4

2004 Nowy Orlean: http://www.cisco.com/go/networkersonline2004

I na koniec - wiele odpowiedzi i czsto spotykanych konfiguracji, znale mona posugujc si (jak
zwykle, gdy masz wtpliwoci) wyszukiwark google.

Jakie polecacie ksiki po Polsku, do pracy ze sprztem Cisco?


Niestety, polskie wydawnictwa poskpiy dobrych ksiek o Cisco. Z wartych kupienia i dostpnych w
jzyku polskim wymieni naley:

"Routery
Cisco.
Czarna
ksiga",
(http://helion.pl/ksiazki/rcisbb.htm)

"Routery
Cisco
w
praktyce",
(http://helion.pl/ksiazki/rcisco.htm)

"Cisco.
Receptury",
ISBN:
(http://helion.pl/ksiazki/cisrec.htm)

ISBN:
ISBN:

83-7197-286-5,
83-7197-214-8,

83-7361-330-7,

wydawnictwo

Helion

wydawnictwo

Helion

wydawnictwo

Helion

Zdecydowanie nie polecam tumacze ksiek Cisco Press wydawnictwa Mikom. Aby zorientowa si w
jakoci wydawanych przez nich ksiek, wystarczy skorzysta z przegldarki Google. Dodatkowo,
koordynator tego FAQ (ukasz Bromirski) mia osobist nieprzyjemno wsppracowa z tym
wydawnictwem przy tumaczeniu dwch ksiek.

A jakie w ogle ksiki polecacie, powicone sieciom oraz sprztowi Cisco?


Generalnie, z wydawnictw zagranicznych, warto zainteresowa si firmowym wydawnictwem Cisco Press),
oraz ksikiami wydawnictw Syngress i Sybex. Bardzo dobre s rwnie ksiki wydawane w
wydawnictwie O'Reilly (ale to chyba akurat oczywiste).
Jeli zajmujesz si sieciami, warto w swojej biblioteczce posiada minimum:
TCP/IP Illustrated, Volume 1 - The Protocols
Legendarna ju ksika Stevensa omawiajca zestaw protokow wchodzcych w skad TCP/IP i
opisujca ich budow oraz dziaanie. Podstawa podstaw. Druga cz tej ksiki omawia
implementacj (jeli nie programujesz, jest to mniej ciekawa lektura).
Cisco IOS in a Nutshell
Jeli dopiero zaczynasz prac z routerami Cisco i chcesz pozna ich budow oraz sposb pracy z
nimi, a nie posiadasz adnych materiaw szkoleniowych czy ksiek do egzaminu CCNA, ta ksika
jest warta polecenia.
Routing TCP/IP Volume I (CCIE Professional Development) oraz Routing TCP/IP, Volume II (CCIE
Professional Development)
Dwie ksiki powicone zagadnieniom routingu w sieciach TCP/IP - naprawd rewelacyjna lektura.
Cisco Certification: Bridges, Routers and Switches for CCIEs (wydanie II)
Troch ju wiekowa (wydana 15 grudnia 2000 roku) ksika, ale jednoczenie rewelacyjne rdo
wiedzy o wszelakich zagadnieniach z ktrymi spotykaj si ludzie projektujcy, konfigurujcy i
utrzymujcy sieci oparte o urzdzenia Cisco.
Internet Routing Architectures (wydanie drugie)
Ksika Sama Halabiego, omawiajca dokadniej zagadnienia budowy sieci poczonej do Internetu
- w tym dokadnie konfiguracj BGPv4.
ISP Essentials

Drukowana wersja elektronicznej ksiki, dostpnej te pod adresem


http://www.cisco.com/public/cons/isp/documents/IOSEssentialsPDF.zip. Znajduj si w niej
zalecenia dla dostawcw Internetowych, ale porady s skierowane do wszystkich uytkownikw
routerw Cisco. Bardzo cenna pozycja dla kogo, kto praktycznie zajmuje si tym sprztem.
Pozostae rekomendacje cile zwizane s ze specjalizacj, ktr si zajmujesz - ksiek o sieciach jest
mnstwo.

Jak zainstalowa Cisco Documentation pod Windows tak, by nie trzeba byo za
kadym razem korzysta z krka?
Najwygodniej jest wykona obraz drugiej pyty (np. programem CloneCD czy Nero), nastpnie
zainstalowa jeden z wielu programw umoliwiajcych wirtualizacj napdw CD/DVD - polecam Virtual
Deamon i wskaza mu ten plik jako wirtualny napd CD. Pozostanie jedynie zmieni literk, przypisan w
konfiguracji programu wywietlajcego dokumentacj. W domylnej instalacji, plik ten znajduje si w
katalogu c:\cisco i nazywa search.ini. Naley otworzy go za pomoc ulubionego edytora tekstowego,
znale cig znakw SourceDrive i po znaku rwna si wpisa liter wirtualnego napdu.
W mojej instalacji, oryginalny plik mia taki wpis:
SourceDrive=E:
Poniewa mj wirtualny dysk CD zainstalowa si pod liter F:, zmieniem ten wpis na:
SourceDrive=F:
Teraz wystarczy uruchomi plik autorun.exe z wirtualnego napdu, by uruchomi DocumentationCD bez
potrzeby posiadania pytki w napdzie.

Jak zainstalowa Cisco Documentation pod Linuksem/BSD?


Jeli moesz uruchomi lokalny serwer Apache, nie ma z tym adnego problemu. Pozostaje tylko
przekona przegldarki, eby odpakoway sobie "w locie" zawarto serwowanych stron. Do pliku
konfiguracyjnego Apache dodaj:
Alias /cisco/ /gdzie_zamontowae_cd/
<Directory /gdzie_zamontowae_cd>
Options Indexes
AllowOverride None
order deny,allow
deny from all
allow from localhost
</Directory>
<Location /cisco/cc/>
AddEncoding x-gzip htm pdf
</Location>
Teraz uruchom przegldark i wpisz adres: http://localhost/cisco/home/home.htm.

Gdzie sprawdzi skadni konkretnego polecenia?


Na CCO, w sekcji Cisco IOS: - dokumentacja od 11.3, 12.0, 12.1, 12.2 i 12.3.

Dla
Cisco
IOS
11.3:
http://www.cisco.com/en/US/products/sw/iosswrel/ps1826/prod_command_reference_list.html

Dla
Cisco
IOS
12.0:
http://www.cisco.com/en/US/products/sw/iosswrel/ps1828/prod_command_reference_list.html

Dla
Cisco
IOS
12.1:
http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/prod_command_reference_list.html

Dla
Cisco
IOS
12.2:
http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/prod_command_reference_list.html

Dla
Cisco
IOS
12.3:
http://www.cisco.com/en/US/products/sw/iosswrel/ps5187/prod_command_reference_list.html

Rozdzia 4. Certyfikacje Cisco


Jakie s poziomy certyfikacji Cisco?
Cisco Systems podzielio swoj ciek certyfikacji na trzy poziomy:

Associate

Professional

Expert

Dodatkowo istnieje niezalena grupa certyfikatw opisujca konkretne specjalnoci (Cisco Qualified
Specialist, CQS).

Jakie egzaminy musz zda na poziomie Associate?


Aby otrzyma tytu CCNA, czyli Cisco Certified Network Associate musisz posiada ogln wiedz o
sieciach, oraz podstawow o sprzcie Cisco. Dostpny jest rwnie tytu CCDA, Cisco Certified Design
Associate, bardziej ukierunkowany na projektowanie sieci w oparciu o sprzt Cisco.
Aby uzyska tytu CCNA, moesz albo zda jeden egzamin 640-801, albo rozoy sobie testy na dwa
egzaminy: 640-821 i 640-811. Aby uzyska tytu CCDA, musisz zda egzamin 640-861.
CCNA i CCDA s wane przez trzy lata. Aby si recertyfikowa naley zda aktualny egzamin CCNA/CCDA
lub zdoby stopie Professional.

Jakie egzaminy musz zda na poziomie Professional?


Dostpne s cztery tytuy na tym poziomie, w zalenoci od specjalizacji:

CCNP, czyli Cisco Certified Network Professional


Musisz posiada wany certyfikat CCNA, oraz posiada dokadn wiedz o budowie sieci typu dialup, dziaaniu i konfiguracji protokow routingu, metodyce rozwizywania problemw oraz duych
sieciach LAN.
Wymagane egzaminy (zdawane w dowolnej kolejnoci): 642-801 BSCI, 642-811 BCMSN, 642-821
BCRAN i 642-831 CIT lub zamiast egzaminw 642-801 i 642-811 zda jeden egzamin 642-891

Composite i pozostae dwa.


CCNP jest wany przez trzy lata. Aby si recertyfikowa, naley zda aktualny egzamin
Composite.

CCDP, czyli Cisco Certified Design Professional


Podobnie jak CCDA skupiaja si na projektowaniu sieci. CCDP wymaga wanego certyfikatu
CCDA.
Wymagane egzaminy (zdawane w dowolnej kolejnoci): 642-801 BSCI, 642-811 BCMSN, 642-871
ARCH, lub 642-891 Composite i 642-871 ARCH.
CCDP jest wany przez trzy lata. Aby si recertyfikowa, naley zda aktualny egzamin
Composite.

CCIP, czyli Cisco Certified Internetwork Professional


Certyfikat dla pracownikw dostawcw Internetowych, wymaga posiadania wanego certyfikatu
CCNA.
Wymagane egzaminy (zdawane w dowolnej kolejnoci): 642-801 BSCI, 642-641 QoS, 642-661
BGP i 640-910 MPLS, lub 642-801 BSCI, 642-641 QoS i 642-691 BGP+MPLS.
CCIP jest wany przez trzy lata.

CCSP, czyli Cisco Certified Security Professional


Certyfikat obejmujcy specjalizacj w zabezpieczaniu sieci i dbaniu o ich bezpieczestwo, a take
w budowie i utrzymaniu sieci VPN. Wymaga posiadania certyfikatu CCNA lub CCIP.
Wymagane egzaminy (zdawane w dowolnej kolejnoci): 642-501 SECUR, 642-521 CSPFA, 642531 CSIDS i 642-511 CSVPN, i 642-541 CSI.
CCSP jest wany przez trzy lata.

Jakie egzaminy musz zda na poziomie Expert?


Dostpne s cztery tytuy na tym poziomie, w zalenoci od specjalizacji:

CCIE R&S, czyli Cisco Certified Internetwork Expert, Routing & Switching
Elitarny certyfikat, zawiadczajcy o doskonaej wiedzy w dziedzinie budowy i utrzymania sieci
kadej wielkoci.
Wymaga zdania egzaminu 350-001, skadajcego si z dwch czci: pisemnego oraz w
laboratorium. Bez zdania egzaminu pisemnego, nie moesz zdawa egzaminu w laboratorium.
CCIE jest wany przez dwa lata. Aby si recertyfikowa, naley zda jeden z egzaminw
pisemnych - w swojej specjalizacji lub innej.

CCIE Service Provider, czyli Cisco Certified Internetwork Expert, Service Provider
Elitarny certyfikat, zawiadczajcy o doskonaej wiedzy w dziedzinie budowy i utrzymania sieci, ze
szczeglnym naciskiem na sieci budowane przez i dla dostawcw usug.
W zalenoci od pod-specjalizacji, CCIE SP zdaje jeden egzamin pisemny i jeden w laboratorium.
Podobnie jak w przypadku CCIE R&S, poraka na etapie egzaminu pisemnego uniemoliwia
zdawanie egzaminu praktycznego. Dostpne podspecjalizacje to: 350-020 Optical, 350-021
Cable, 350-022 DSL, 350-023 WAN Switching, 350-024 IP Telephony, 350-025 Dial, 351-026
Content Networking. Egzamin pisemny zawiera w poowie tematy z CCIE R&S, a w poowie z
tematyki w ktrej kandydat ma si specjalizowa.
CCIE jest wany przez dwa lata. Aby si recertyfikowa, naley zda jeden z egzaminw
pisemnych - w swojej specjalizacji lub innej.

CCIE Security, czyli Cisco Certified Internetwork Expert, Security

Elitarny certyfikat, zawiadczajcy o doskonaej wiedzy w dziedzinie budowy i utrzymania sieci, ze


szczeglnym naciskiem na szeroko rozumiane bezpieczestwo.
Wymaga zdania egzaminu 350-018, skadajcego si z dwch czci: pisemnego oraz w
laboratorium. Bez zdania egzaminu pisemnego, nie moesz zdawa egzaminu w laboratorium.
CCIE jest wany przez dwa lata. Aby si recertyfikowa, naley zda jeden z egzaminw
pisemnych - w swojej specjalizacji lub innej.

CCIE Voice, czyli Cisco Certified Internetwork Expert, Voice


Elitarny certyfikat, zawiadczajcy o doskonaej wiedzy w dziedzinie budowy i utrzymania sieci, ze
szczeglnym naciskiem na przenoszenie gosu.
Wymaga zdania egzaminu 350-030, skadajcego si z dwch czci: pisemnego oraz w
laboratorium. Bez zdania egzaminu pisemnego, nie moesz zdawa egzaminu w laboratorium.
CCIE jest wany przez dwa lata. Aby si recertyfikowa, naley zda jeden z egzaminw
pisemnych - w swojej specjalizacji lub innej.

Gdzie mog znale dokadn list tematw na dany egzamin?


Na tej stronie: http://www.cisco.com/go/certifications znajduje si spis wszystkich aktualnych
egzaminw. Wystarczy wybra jeden z nich i kliknc na jego oznaczeniu, by otrzyma podstawowe
informacje: czas trwania, orientacyjn liczb pyta, list zagadnie ktre mog pojawi si na egzaminie
oraz zalecenia dotyczce nauki przed egzaminem.
Dodatkowo, dla egzaminw CCIE dostpna jest osobna strona: http://www.cisco.com/go/ccie.

Czy dla zdajcych s jakie pomoce?


Przede wszystkim, Cisco przez swoich autoryzowanych partnerw organizuje kursy przygotowujce do
konkretnego egzaminu i/lub specjalizacji.
Po drugie, wydawnictwo CiscoPress ma specjaln sekcj wydawnictw powiconych certfyikacji:
http://www.ciscopress.com/catalog/index.asp?st={E65E5189-F2F8-40AE-A827-D766D4879FDC}.
Po trzecie, wiele firm oferuje swoje materiay, majce przygotowa Ci do zdania wybranego egzaminu.
Najpopularniejsz firm jest Boson (http://www.boson.com/), ktra oprcz samych materiaw, oferuje
rwnie rnego rodzaju narzdzia.

Czy po egzaminie mog podzieli si ze znajomymi treci pyta?


Nie, pod rygorem utraty certyfikacji. Cisco bardzo powanie traktuje naruszenia NDA (ang. NonDisclosure Agreement), ktry musisz podpisa przed zdawaniem kadego egzaminu.

Rozdzia 5. Podstawy pracy z urzdzeniami Cisco


Jak podczy si do...
...routera Cisco?
Kady router Cisco posiada port konsoli (port opisany niebieskim kolorem jako CONSOLE)- a kabel
konsolowy dostarczany jest w pudeku z nowym urzdzeniem (to ten niebieski, zakoczony dwoma

stykami RJ-45 lub jednym stykiem RJ-45 i jednym RS-232C DB-9).


W zalenoci od oprogramowania, do routera mona dosta si rwnie Telnetem (znajc adres IP i
ewentualnie uytkownika i haso), przez SSH czy nawet w nowym oprogramowaniu, przez przegldark
(jeli na routerze zainstalowano SDM - Secure Device Manager - dostpny za darmo - bdziesz mia
wygodny interfejs do funkcjonalnoci routera; jeli nie, bdziesz mia dostp do podstawowych statystyk
oraz panel do wykonywania polece).

...Cisco PIX?
Podobnie jak routery, PIXy rwnie posiadaj port opisany niebieskim kolorem jako CONSOLE. Do PIXa
rwnie mona podczy si przez Telnet, SSH lub od wersji 6.0 PIX OSa - PDM, czyli PIX Device
Manager. Od wersji 7.0 graficzny interfejs uytkownika to ASDM Advanced Security Device Manager.

...przecznika Cisco Catalyst serii 1000, 2000 lub 3000?


Przeczniki niemodularne (19xx, 29xx, 3xxx) posiadaj na tylnym panelu port opisany na niebiesko jako
CONSOLE.

...przecznika Cisco Catalyst serii 4000/4500?


W przecznikach modularnych 4000/4500 do moduu zarzdzajcego (Supervisora), mona podczy si
na dwa sposoby: konsol, lub za pomoc Ethernetu.
Konsola na wszystkich Supervisorach (za wyjtkiem modelu I) to standardowy styk RJ-45, natomiast w
Supervisorze I jest to eski port DB-25.
Port Ethernetowy/FastEthernetowy opisany jest natomiast jako Management Port i suy tylko do
zarzdzania - cznoci przez Telnet/SSH, zbierania informacji przez SNMP lub przesyania obrazw z
systemem. Port ten nie bdzie przekazywa adnego ruchu do innych moduw przecznika. Dodatkowo,
aby z tego portu skorzysta, naley go uprzednio skonfigurowa (nada adres IP).
Aby zarzdza urzdzeniem z dwoma Supervisorami, naley podczy si do tego, na ktrym pali si
dioda Active.

...przecznika Cisco Catalyst serii 6000/6500?


Supervisory posiadaj standardowy port konsolowy (RJ-45). Aby zarzdza urzdzeniem z dwoma
Supervisorami, naley podczy si do tego, na ktrym pali si dioda Active.

...sondy Cisco IDS/IPSa serii 42xx?


Do sond IDS mona podczy si zarwno standardowym kablem konsolowym (jest w oryginalnym
opakowaniu) do portu COM1, lub po prostu doczajc zwyk klawiatur PS/2 i monitor.

...punktu bezprzewodowego AP350, 11xx, 12xx, 13xx lub 14xx?


Podobnie jak w przypadku routerw, AP dysponuj opisanym na niebiesko portem konsoli. Zwr uwag,
e w domylnej konfiguracji wymagaj zalogowania si na uytkownika `Cisco' z hasem `Cisco'.

Podczyem si i...?
...w oknie terminala nic nie widz?
Sprbuj par razy wcisn Enter - urzdzenie po drugiej stronie powinno zwrci prompt o login, lub po
prostu od razu umoliwi wykonywanie polece (w zalenoci od konfiguracji).
Jeli nic si nie dzieje, a jeste pewien e kabel konsolowy jest dobry, moliwe, e port ustawiony jest
inaczej ni domylnie (dla przypomnienia, prdko 9600, 8 bitw danych, bez parzystoci i 1 bit stopu).
Sprbuj ustawienia 38400 8N1, 57600 8N1 lub 115200 8N1 w swoim terminalu.

...jak dostawa informacje o zdarzeniach na routerze na konsol?


Jeli jeste podczony przez konsol, domylnie otrzymujesz informacje o zdarzeniach na routerze. Np.:
router# conf t
router(config)# exit
router#
%SYS-5-CONFIG_I: Configured from console by console
Jeli natomiast jeste zalogowany przez Telnet lub SSH, musisz wprost wczy kierowanie komunikatw
na Twoj konsol poleceniem `terminal monitor':
router# terminal monitor

...jaki dokadnie mam router? Ile mam pamici RAM/flash? Co oznaczaj poszczeglne linijki z
polecenia `show version'?
Standardowo do sprawdzenia, z jakim urzdzeniem mamy do czynienia, poza oczywist inspekcj
wizualn (jeli pracujemy zdalnie niemoliw) jest wydanie polecenia `show version'.
Poniej przykadowy wynik takiego polecenia wraz z interpretacj wyniku:
Cisco Internetwork Operating System Software
IOS (tm) C1700 Software (C1700-Y-M), Version 12.1(22a), RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2004 by cisco Systems, Inc.
Compiled Fri 23-Jan-04 20:40 by cmong
Image text-base: 0x80008088, data-base: 0x8060A5D4
Z tego fragmentu moemy dowiedzie si, e mamy do czynienia z routerem (na urzdzenie zaadowano
Cisco IOS, na PIXach mamy do czynienia z PIX OSem, na duych przecznikach Catalyst z CatOSem).
Po drugie, oprogramowanie naley do serii przeznaczonej dla routerw serii 1700 (C1700 Software), w
wersji 12.1.22a (Version 12.1(22a)) i zawierajcym funkcjonalno "IP" (C1700-Y-M). O tym jak
rozszyfrowa funkcjonalno oprogramowania odpowiadamy w dalszych pytaniach.
c1720 uptime is 10 minutes
System returned to ROM by power-on
System image file is "flash:c1700-y-mz.121-22a.bin"
Kolejna linijka okrela, jak dawno resetowano router (uptime is 10 minutes - 10 minut temu), co byo
przyczyn restartu (power-on - wcznik, inne opcje to reload - restart wymuszony poleceniem reload),
oraz jaki i skd Cisco IOS zosta zaadowny (flash:c1700-y-mz.121-22a.bin, z pamici Flash i nazywa
si c1700-y-mz.121-22a.bin).

cisco 1720 (MPC860) processor (revision 0x501) with 12288K/4096K bytes of memory.
Processor board ID JAD01234567 (123456789), with hardware revision 0000
M860 processor: part number 0, mask 32
Mamy do czynienia z routerem Cisco 1720 (Cisco 1720), sterowanym procesorem MPC860. Router
posiada cznie 16MB pamici RAM (12288K/4096K bytes of memory, wartoci naley zsumowa).
Dodatkowo, mona sprawdzi numer seryjny urzdzenia (JAD01234567).
1 FastEthernet/IEEE 802.3 interface(s)
1 Serial(sync/async) network interface(s)
Router posiada jeden interfejs FastEthernet (standardowo zabudowany na routerach 1700) oraz jeden
interfejs szeregowy (moe pracowa zarwno w trybie asynchronicznym jak i synchronicznym).
32K bytes of non-volatile configuration memory.
4096K bytes of processor board System flash (Read/Write)
Dodatkowo, router posiada 32kB pamici nieulotnej (NVRAM), w ktrej przechowuje si aktualn i
startow konfiguracj, oraz 4MB pamici Flash (uywanej do przechowywania Cisco IOS, certyfikatw
itp.).
Configuration register is 0x2102
Tzw. rejestr konfiguracyjny, kontrolujcy pewne aspekty startu i pracy routera ustawiony zosta na
warto heksdecymaln 2102. O znaczeniu poszczeglnych bajtw tego rejestru napisano niej.

...gdy pomyl si w poleceniu, router zaczyna robi dziwne rzeczy...


Domylnie, wydanie nieznanego routerowi polecenia, powoduje prb poczenia si z nim. Wyglda to
mniej wicej tak:
router# zlepolecenie
Translating "zlepolecenie"...domain
Translating "zlepolecenie"...domain
Translating "zlepolecenie"...domain
% Unknown command or computer name,

server (255.255.255.255)
server (255.255.255.255)
server (255.255.255.255)
or unable to find computer address

Takie zachowanie routera mona zmieni, wyczajc rozwizywanie nazw:


router(config)# no ip domain lookup

...chciabym zapisa konfiguracj routera/PIXa/przecznika?


Na urzdzeniach pracujcych pod kontrol Cisco IOS (routery, PIXy od wersji 6.0 i cz przecznikw)
uywa si do tego celu polecenia:
router# copy running-config startup-config
Ewentualnie, w bardzo starych Cisco IOS, w PIX OS starszych ni 6.0 i w urzdzeniach pracujcych pod
kontrol CatOS (przeczniki) poleceniem:

router# write memory

...chciabym wymaza konfiguracj routera/PIXa/przecznika?


Na urzdzeniach uywajcych NVRAMu (routery i cz przecznikw), wystarczy wyda polecenie:
router# erase nvram
Na PIXach natomiast:
pix# write erase

...jakiego uy oprogramowania do poczenia si z routerem?


Wszystko zaley od systemu operacyjnego.
Dla systemu Windows polecam program SecureCRT - obsuguje zarwno poczenia konsolowe jak i przez
Telnet/SSH. Standardowo obecny w Windowsach program Hyperterminal jest bardzo ubogi i niewygodny
w uytkowaniu.
Dla systemw Linux/BSD i pocze przez konsol polecam minicom, a przez telnet/ssh - natywnie
wbudowane w te systemy programy.

...jakiego uy oprogramowania do serwowania plikw tftp/ftp?


Ponownie - wszystko zaley od systemu operacyjnego.
Dla
systemu
Windows
polecam
serwer
TFTP
firmy
SolarWinds
(darmowy):
http://support.solarwinds.net/updates/New-customerFree.cfm. Jeli chodzi o serwer FTP - polecam
program BulletProof FTP Server (http://www.bpftpserver.com/) ale nie jest on niestety darmowy.
Dla systemw Linux/BSD zarwno serwer tftp jak i ftp dostarczane s zwykle z dystrybucj/w systemie
podstawowym. Prawdopodobnie bdzie jednak trzeba je wprost aktywowa w konfiguracji demona inetd
lub xinetd.

Mj router uparcie prbuje cign z sieci plik network-config, network-cfg lub cisconet.cfg - o co
chodzi?
Masz aktywn usug wczytywania konfiguracji z sieci. Wycz j, piszc:
router(config)# no service config

Rozdzia 6. Podstawy konfiguracji usug


DHCP
Co to s prywatne/niezarejestrowane adresy IP?
Na potrzeby przykadw, ksiek i innych opracowa IETF wydzieli z globalnej puli adresw IPv4 pewne
zakresy, ktrych nie przydzielono nigdzie w Internecie i nie powinny si one w nim pojawi (a jesli si ju
nawet pojawi, powinny zosta zignorowane lub odfiltrowane). Adresy te nazywane s prywatnymi,
rzadziej niezarejestrowanymi.
Spis adresw aktualnie przydzielonych do celw testowych i na prywatny uytek, znajduje si w RFC
1918 (http://www.ietf.org/rfc/rfc1918.txt). Dla jasnoci, chodzi o adresy:
10.0.0.0
- 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

(10.0.0.0/8)
(172.16.0.0/12)
(192.168.0.0/16)

UWAGA!: Pojcie "adresy nieroutowalne" jest bdne - nie ma czego takiego. Kady adres jest jak
najbardziej routowalny, po prostu przeznaczeniem tego konkretnego zestawu adresw nie jest
znalezienie si w Internecie.

Czy router moe peni rol serwera DHCP?


Tak, ale w przypadku routerw serii 1600, 1700, oraz niektrych linii Cisco IOS, moesz potrzebowa
funkcjonalnoci "Plus" - najlepiej skorzystaj z Feature Navigatora, zanim zaoysz, e posiadasz t
funkcj.
Serwer DHCP uruchamia si, definiujc pule adresowe. Jeli np. masz pojedyncz sie i nie chcesz
kojarzy adresw IP z adresami MAC, moesz napisa:
router(config)# ip dhcp excluded-address 192.168.0.1
Adres 192.168.0.1 nie zostanie przypisany - zwykle chodzi o
zarezerwowanie adresu interfejsu routera
router(dhcp-config)# ip dhcp pool MojeDHCPLAN
Tworzymy pul o nazwie MojeDHCPLAN
router(dhcp-config)# network 192.168.0.0 255.255.255.0
Przydzielamy adresy z puli 192.168.0.0/24 (za wyjtkiem
zarezerwowanego wyej adresu 192.168.0.1)
router(dhcp-config)# default-router 192.168.0.1
Oprcz adresu IP dla stacji, serwujemy domyln bramk
(zwykle interfejs routera)
router(dhcp-config)# dns-server IP_serwera_DNS1 IP_serwera_DNS2 itp.
...oraz od razu serwery DNS.
Jeli natomiast chcesz konkretnej stacji/serwerowi przydzieli konkretny adres IP, moesz posuy si
mapowaniem MAC-IP:
router(config)# ip dhcp pool SerwerPlikow
router(dhcp-config)# host 192.168.0.10 255.255.255.0
Adres 192.168.0.10 z mask /24 przydzielony zostanie...
router(dhcp-config)# client-identifier 000c.09cb.9813
...hostowi z adresem MAC 00:0C:09:CB:98:13
router(dhcp-config)# default-router 192.168.0.1
Oprcz adresu IP dla stacji, serwujemy domyln bramk
(zwykle interfejs routera)
router(dhcp-config)# dns-server IP_serwera_DNS1 IP_serwera_DNS2 itp.
...oraz od razu serwery DNS.

Jak przydzieli interfejsowi adres z serwera DHCP?


W definicji interfejsu naley poda po prostu:
router(config)# interface FastEthernet 0/0
router(config-if)# ip address dhcp

Jak przekaza dalej zapytania DHCP?


Wystarczy w zasadzie, na interfejsie podczonym do sieci, w ktrej znajduje si stacja pobierajca
informacje z serwera DHCP wyda polecenie:
router(config)# interface FastEthernet 0/0
router(config-if)# ip helper-address IP_serwera_DHCP
...ale to wcza przekazywanie wielu rodzajw ruchu. Moesz to zablokowa, ograniczajc si tylko do
DHCP/BOOTP w ten sposb:
router(config)# no ip forward-protocol udp tftp
router(config)# no ip forward-protocol udp dns
router(config)# no ip forward-protocol udp time
router(config)# no ip forward-protocol udp netbios-ns
router(config)# no ip forward-protocol udp tacacs
...i dla pewnoci, e jest wczone:
router(config)# ip forward-protocol udp bootpc

SNMP
Jak uruchomi na routerze SNMP?
W najprostszym scenariuszu, wystarczy wyda polecenie:
router(config)# snmp-server community mojstring RO 15
...gdzie mojstring to klucz, ktry musi poda agent by odczyta dane, RO to tryb dostpu (tylko do
odczytu, lub RW zezwalajce rwnie na zapis) i w kocu 100 to numer listy ACL kontrolujcej kto moe
czy si z SNMP routera. Lista ta moe mie np. tak konstrukcj:
ip access-list standard 15
permit 192.168.0.10
permit 192.168.0.15
deny any
...co pozwoli na odczytywanie informacji tylko stacjom o adresach 192.168.0.10 i 192.168.0.15. Numer
listy dostpu mona pomin, ale wtedy dostp do SNMP routera bdzie mia kady host, ktry nie
zostanie odfiltrowany przez ew. ograniczenia ruchowe na interfejsach!

Logowanie zdarze
Chciabym logowa zdarzenia zachodzce na routerze do pamici. Jak to zrobi?
W najprostszym scenariuszu, wystarczy wyda polecenie:
router(config)# logging buffered 128000
...gdzie 128000 to proba o rezerwacj 128kB pamici na potrzeby bufora. Najstarsze zdarzenia zostan
nadpisane. Zawarto bufora obejrze mona poleceniem `show log'.

Chciabym logowa zdarzenia zachodzce na PIXie do pamici. Jak to zrobi?


Musisz wskaza od ktrego poziomu zdarzenia bd logowane (0 to najmniej szczegowy poziom - tylko
zdarzenia krytyczne, a 7 najbardziej szczegowy) a nastpnie wczy logowanie:
pix(config)# logging buffered 7
pix(config)# logging on

Chciabym logowa zdarzenia zachodzce na routerze do serwera syslog. Jak to zrobi?


Powiniene kolejno: wskaza host-serwer syslog (lub wiele, komunikaty bd wysyane jednoczenie do
wszystkich), ewentualnie wskaza od ktrego poziomu komunikaty maj by logowane (ang. severity) i
jak bd identyfikowane (ang. facility), a w kocu wczy wysyanie komunikatw:
router(config)#
router(config)#
router(config)#
router(config)#

logging
logging
logging
logging

host 192.168.0.10
severity debugging
facility local0
on

Chciabym logowa zdarzenia zachodzce na PIXie do serwera syslog. Jak to zrobi?


Powiniene kolejno: wskaza host-serwer syslog (lub wiele, komunikaty bd wysyane jednoczenie do
wszystkich), wskaza od ktrego poziomu komunikaty maj by logowane (ang. trap X, gdzie 7 oznacza
poziom debugging, czyli najbardziej szczegowy), a w kocu wczy wysyanie komunikatw:
pix(config)# logging host 192.168.0.10
pix(config)# logging trap 7
pix(config)# logging on

Po wymianie karty w routerze statystyki si pomieszay. Co si stao?


Domylnie routery Cisco po przeadowaniu buduj od nowa tablic indeksw interfejsw. W przypadku
zmiany konfiguracji sprztowej automatycznie poszczeglne interfejsy mog uzyska inne indeksy. Mona
jednak zapisywa na stae numeracj interfejsw na pamici flash, jeli wydasz polecenie:
router(config)# snmp-server ifindex persist

Czas
Jak ustawi zegar na routerze?
Poleceniem:
router# clock set 16:13:00 23 feb 2004
Na mniejszych platformach, zegar nie jest jednak podtrzymywany bateri i po resecie, zostanie
wyzerowany.

Jak ustawi zegar wg serwerw czasu z Internetu?


Za pomoc protokou NTP (jeli masz router serii 1600, 2500, czy 1700, NTP znajduje si dopiero w
oprogramowaniu "IP Plus"). Wystarczy doda do konfiguracji routera wskazanie serwera czasu (opaca si
wskaza wiele, router wybierze jeden, a jeli nie bdzie mg si z nim skontaktowa, wybierze kolejny z
listy).
router(config)# ntp server 217.153.69.35
router(config)# ntp server 150.254.183.15
To, czy synchronizacja dziaa, moemy sprawdzi poleceniem `show ntp associations':
router# show ntp associations
address
ref clock
st when poll reach delay offset
disp
+~217.153.69.35
.PPS.
1
585 1024 377
28.7
1.96
15.7
*~150.254.183.15
.PPS.
1
534 1024 377
31.1
-0.83
17.4
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
Symbol gwiazdki przy adresie serwera oznacza, e jest on aktualnie wybrany jako serwer czasu i router
zsynchronizowa pomylnie czas wg jego wskaza. Naley zauway, e od wskazania serwera NTP do
zsynchronizowania si z serwerem moe min od 60 do 120 sekund.
Lista
serwerw
NTP
Stratum
1
http://www.eecis.udel.edu/~mills/ntp/clock1a.html
http://www.eecis.udel.edu/~mills/ntp/clock2a.html.

znajduje
Stratum

si
2

pod
pod

adresem
adresem

Jeli Twj router nie obsuguje penej implementacji NTP a jedynie SNTP, konfiguracja jest analogiczna
ale sowo kluczowe ntp zastpujemy sntp:
router(config)# sntp server 217.153.69.35
router(config)# sntp server 150.254.183.15

Skonfigurowaem na swoim routerze NTP, ale zegar pozostaje niezsynchronizowany - a mino ju


par godzin.
Po pierwsze upewnij si, e serwery ktre wskazae s osigalne dla Twojego routera - najlepiej wykonaj
ping z niego do kolejnych serwerw.
Po drugie sprawd, czy nie blokujesz ruchu z routera do serwerw ACLkami - powiniene zezwoli na ruch
UDP z i do portu 123, np. w ten sposb:
ip access-list extended moj_fw_internet

permit udp host 217.153.69.35 eq ntp host 169.254.10.1 eq ntp


Gdzie 169.254.10.1 to adres interfejsu publicznego Twojego routera, ACLka moj_fw_internet przypisana
jest w kierunku in na tym interfejsie, a 217.153.69.35 to adres serwera NTP. Pamitaj rwnie, e jeli
modyfikujesz ju istniejc ACLk, ten wpis musi znale si przed kadym innym, ktry mgby go
zablokowa.
Po trzecie w kocu upewnij si, e administrator
poszczeglnych czcych si do niego klientw.

danego

serwera

nie

da

uwierzytelniania

NAT
W jakich wersjach oprogramowania obsugiwany jest NAT, PAT oraz mapowanie portw z adresw
publicznych na prywatne?
NAT pojawi si w wersji IOS 11.2 w feature-set "IP Plus". Od wersji 12.0 caa funkcjonalno NAT
dostpna jest ju w standardowej wersji "IP".

Chc uruchomi NAT - mam jeden interfejs publiczny i jeden prywatny. Jak to zrobi?
W trzech krokach.

Oznaczasz interfejsy jako publiczny (ip nat outside) i jako prywatny (ip nat inside) - moe
by wiele zarwno publicznych jak i prywatnych. Na przykad:
router(config)# interface
router(config-if)# ip nat
router(config-if)# exit
router(config)# interface
router(config-if)# ip nat
router(config-if)# exit

serial 0.99
outside
fastethernet 0/0
inside

Zwr uwag, e nazwy Twoich interfejsw mog by inne.

Definiujesz, jak ma by wykonywany NAT - na pul przydzielonych adresw, czy na jaki


konkretny jeden adres - najczciej publicznego interfejsu routera. Poniej jak zdefiniowa pul:
router(config)# ip nat pool Pula1 169.254.10.1 169.254.10.15 255.255.255.240

Na koniec okrelasz jaki ruch z interfejsw oznaczonych jako wewntrzne bdzie podlega
NATowaniu i na jakie adresy. Wpisy przegldane s sekwencyjnie wg kolejnoci i jeli router trafi
na wpis pasujcy do pakietu, nie przejrzy ju wpisw pniejszych.
Poniej przykad, w ktrym sie 192.168.10.0/24 NATowana jest na zdefiniowan wczeniej pul,
a sie 192.168.20.0/24 na adres interfejsu serial 0.99:
! w celu wybrania ruchu z podsieci 192.168.10.0/24 definiujemy
! list ACL:
router(config)# ip access-list extended Siec10NAT
router(config-acl)# permit ip 192.168.10.0 0.0.0.255 any
router(config-acl)# exit
! i to samo dla sieci 192.168.20.0/24:
router(config)# ip access-list extended Siec20NAT
router(config-acl)# permit ip 192.168.20.0 0.0.0.255 any
router(config-acl)# exit

! adresy rdowe pasujce do ACLki Siec10NAT NATowane s na pul


! adresw zdefiniowanych wczeniej pod nazw Pula1:
router(config)# ip nat inside source list Siec10NAT pool Pula1 overload
! ...a adresy rdowe pasujce do ACLki Siec20NAT na adres przypisany
! do interfejsu serial 0.99 routera:
router(config)# ip nat inside source list Siec20NAT interface serial 0.99
overload

Mam router z jednym interfejsem i chc robi NAT - czy to wykonalne?


Tak, taki ukad nazywa si "NAT na patyku" (ang. NAT-on-a-stick). Na jednym interfejsie (zwykle
Ethernetowym) obsugujesz zarwno ruch z sieci lokalnej jak i publicznej. Uwaaj jednak, na aspekty
bezpieczestwa w takim ukadzie - zwykle w takiej topologii urzdzenie dostawcy podpite jest do
koncentratora/przecznika, a ten zarwno do routera jak i innych stacji. Oznacza to, e kto moe
zmieni sobie adres IP na stacji na publiczny i "obej" Twj router w komunikacji z Internetem!
Na pocztek skonfigurujemy interfejs FastEthernet 0/0, ktry suy nam bdzie zarwno do obsugi sieci
LAN jak i Internetu. Zakadam, e od dostawcy otrzymae publiczny adres 169.254.10.1, Twoj
domyln bramk jest 169.254.10.2 a sie LAN ma numeracj 192.168.0.0/24, przy czym interfejs
routera w tej sieci posiada adres 192.168.0.1:
router(config)# interface FastEthernet0/0
router(config-if)# ip address 169.254.10.1 255.255.255.0
! Adresem gwnym interfejsu jest adres publiczny
router(config-if)# ip address 192.168.0.1 255.255.255.0 secondary
! Dodatkowo przypisujemy do niego adres prywatny tak, by stacje
! w sieci LAN miay zapewnion bramk ze swojej podsieci
router(config-if)# ip nat outside
! Oznaczamy interfejs jako zewntrzny
router(config-if)# ip policy route-map PetlaNAT
! ...i dodajemy do niego route-map, ktra obsugiwa bdzie NAT
Teraz dodamy logiczny interfejs Loopback 0. Jest on potrzebny, poniewa NAT na routerach Cisco
wykonywany jest tylko i wycznie wtedy, gdy pakiet w czasie podry przez router przechodzi przez
interfejs oznaczony jako zewntrzny (outside) i wewntrzny (inside). Do interfejsu moesz przypisa
dowolny adres, ale najlepiej eby by to adres prywatny. W przykadzie uyjemy puli 172.16.0.1/24:
router(config)# interface Loopback0
router(config-if)# ip address 172.16.0.1 255.255.255.0
! Przypisujemy interfejsowi adres z innej puli prywatnej
router(config-if)# ip nat inside
! Oznaczamy interfejs jako wewntrzny
Pozostaje teraz po pierwsze skonfigurowa NAT, a po drugie route-map, ktra "wymusi" przejcie
pakietu przez dwa rnie oznaczone z punktu widzenia NATu interfejsy.
Zakadam, e NAT ma by realizowany na publiczny adres interfejsu routera:
router(config)# ip nat inside source list SiecDoNAT interface FastEthernet0/0
overload
! Wszystkie pakiety pasujce do ACL SiecDoNAT bd NATowane
! Pozostaje skonfigurowa t ACLk:
router(config)# ip access-list extended SiecDoNAT
router(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 any
A teraz konfiguracja route-mapy PetlaNAT. Kady pakiet otrzymany z interfejsu FastEthernet 0/0 zostanie
sprawdzony, czy nie pasuje do jej regu. W naszym przypadku bdzie tylko jedna - jeli pasujesz do

ACLki SiecDoNAT, musisz trafi na interfejs Loopback 0. W ten sposb ruch z sieci LAN zawsze zostanie
sztucznie przerzucony na interfejs Loopback 0, gdzie dojdzie do jego zNATowania. Nastpnie pakiet ju z
publicznym adresem, zgodnie z normalnymi reguami routingu, zostanie wysany interfejsem
FastEthernet 0/0 w stron sieci ISP:
router(config)# route-map PetlaNAT permit 10
router(config-route-map)# match ip address SiecDoNAT
router(config-route-map)# set interface Loopback0

Chc przekierowa port 25/tcp z adresu publicznego routera do sieci wewntrznej - jak to zrobi?
Zakadam, e chodzi o ruch na adres IP 169.254.10.10 (nasz fikcyjny adres publiczny) na port 25/tcp, i
ma on trafia do stacji gdzie za routerem, o adresie 192.168.0.10 na ten sam port:
router(config)# ip nat inside source static tcp 192.168.0.10 25 169.254.10.10 25
extendable

Jak sprawdzi, ktre interfejsy przypisane s do NAT i jak s skonfigurowane?


Poleceniem:
router(config)# show ip nat statistics
Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Outside interfaces:
Serial 0.99
Inside interfaces:
FastEthernet 0/0
[...]

NAT mi nie dziaa - co moe by le?


Po pierwsze sprawd (poleceniem show ip nat stat), e faktycznie masz przynajmniej jeden interfejs
inside i jeden outside. Polecenie wywietli rwnie w ostatnich linijkach kryteria dla ruchu NATowanego sprawd, czy w ogle NAT zauwaa jakie pakiety godne NATowania (pozycja hits).
Po drugie sprawd, e nie zamienie interfejsu outside z inside - by moe NAT chciaby tumaczy
adresy, ale otrzymuje ruch nie pasujcy do regu.
Po trzecie, sprawd czy ruchu do NATowania nie blokujesz w aden sposb na interfejsie wewntrznym,
ani wracajcego na interfejsie zewntrznym. Zweryfikuj konfiguracj routingu, jeli NATujesz sieci nie
podczone bezporednio do routera - by moe definicja co NATowa jest zbyt wska.

SSH
Jak skonfigurowa SSH?
Po pierwsze, sprawd czy w ogle posiadasz w swoim IOSie funkcjonalno SSH. Pojawia si ona w linii
12.0 i jest obecna tylko w feature-setach posiadajcych funkcjonalno "IPsec" (routery), "Service
Provider SSH" (wiksze routery, od 7xxx) oraz "Crypto" (przeczniki Catalyst). Od wersji IOS 12.3
dostpna jest na routerach w kadym IOSie (za wyjtkiem tych oznaczonych 'W/O CRYPTO') oraz od linii
12.2(x) na przecznikach Catalyst w nowych wersjach pakowania IOSa (rwnie za wyjtkiem tych

oznaczonych 'W/O CRYPTO').


Pierwszym krokiem jest nadanie routerowi nazwy wasnej i domenowej. Informacje te bd wymagane do
wygenerowania kluczy: prywatnego i publicznego.
router# conf t
router(config)# hostname c1760
c1760(config)# ip domain name test.pl
Teraz generujemy klucze:
c1760(config)# crypto key generate rsa
The name for the keys will be: c1760.test.pl
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024
! Wybralimy klucze o dugoci 1024 bitw
% Generating 1024 bit RSA keys ...[OK]
W tym momencie serwer SSH zostaje wczony. Uwierzytelnianie odbywa si w oparciu o
skonfigurowane, zewntrzne bazy danych (RADIUS itp.), lub domylnie - w oparciu o lokaln baz
uytkownikw (poleceniami `username X [...]').
Dodatkowo, mona ograniczy dostp do routera tylko do protokou SSH, wydajc na liniach wirtualnych
terminali polecenie:
c1760(config)# line vty 0 15
c1760(config-vty)# transport input ssh

Jak sprawdzi, czy serwer SSH jest wczony?


Poleceniem `show ip ssh':
router# show ip ssh
SSH Enabled - version 1.99
Authentication timeout: 120 secs; Authentication retries: 3

Rejestr konfiguracyjny routerw


Po zapisaniu konfiguracji i przeadowaniu routera, trac konfiguracj - dlaczego?
Jeli faktycznie zapisanie konfiguracji si powiodo, to najprawdopodobniej problem ley w ustawieniu
rejestru konfigarcyjnego na pomijanie plikw startowych. Po zalogowaniu si na router wykonaj:
router# conf t
router(config)# config-register 0x2102
router(config)# exit

Co dokadnie oznaczaj bajty z rejestra konfiguracyjnego?


Rejestr konfiguracyjny, to heksdecymalna warto, na ktr skadaj si nastpujce moliwe wartoci:
Bit
00-03

Warto
0x0000-0x000F

Znaczenie
Sposb startu urzdzenia:
0x0000 - start do promptu bootstrap
0x0001 - start z obrazu przechowywanego w EPROMie
0x0002
do
0x000F - standardowy boot

06
07
08

0x0040
0x0080
0x0100

10
11-12

0x0400
0x0800-0x1000

13

0x2000

14
15

0x4000
0x8000

Zignoruj ustawienia z NVRAM (konfiguracj)


Wycz informacje wywietlane podczas startu
Wyczona sekwencja Break. Niezalenie od tego
ustawienia, przekazanie routerowi tej sekwencji
podczas startu, spowoduje wejcie do ROMMONa.
Wczona obsuga broadcastw IP z samymi zerami
Ustawienie prdkoci konsoli:
0x0800 - 9600
0x1000 - 115200
Wystartuj z oprogramowania przechowywanego w ROMie,
jeli nie uda si wystartowa z flasha/sieci
Broadcasty IP nie maj doczanych numerw sieci
Wcz szczegowe informacje diagnostyczne i
pomi konfiguracj z NVRAMu

Domylna warto to 0x2102. Oznacza ona, e router powinien wystartowa z obrazu przechowywanego
w pamici Flash i sprbowa zaadowa konfiguracj z pamici NVRAM. Prdko konsoli ustalona jest na
9600. Dokadnie takie samo zachowanie, ale z konsol ustawion na 115200 daje ustawienie rejestru
konfiguracyjnego na warto 0x3922.

Czy do ustawiania rejestru konfiguracyjnego mona uy jakiego narzdzia?


Firma Boson udostpnia program, umoliwiajcy konfiguracj rejestru w systemie Windows "wizualnie":
http://download.boson.com/utils/bos_calc.exe.

VLANy
Co to s VLANy?
VLAN, czyli Virtual LAN, to po prostu podzia w warstwie drugiej sieci na wiele mniejszych domen
rozgoszeniowych. Aby ruch mg by wymieniany pomidzy dwoma hostami znajdujcymi si w rnych
VLANach, potrzebne jest urzdzenie warstwy trzeciej - router. Dzisiaj bardzo czsto routing midzy
VLANami realizuje si na przecznikach, kiedy rol t peniy routery.
Istniej standard tworzenia VLANw - zdefiniowany przez IEEE 802.1Q. Opisuje on dokadnie, jak
rozszerzy ramk L2 aby zawrze w niej informacje, do ktrego VLANu ramka naley (s to w tzw. ramki
tagowane). Poczenie, ktre przenosi ramki z jednoczenie wielu VLANw, nazywa si trunkiem. Cisco
zdefiniowao wczeniej na swoich przecznikach standard ISL - jest on bardzo czsto spotykany w
starszych urzdzeniach. Dziaa on w zasadzie tak samo jak 802.1Q, ale ramka ulega "zapakowaniu" w
now, co zwiksza czas potrzebny na przeprowadzanie operacji - i co waniejsze, nie jest obsugiwane
przez innych ni Cisco producentw.

Co to jest VLAN "natywny"?


To VLAN uywany przez przeczniki do przenoszenia informacji administracyjnych (np. BPDU, CDP itp.).
Domylnie jest to VLAN 1. Porty przecznikw Cisco w domylnej konfiguracji nale wanie do tego

VLANu.
Na trunkach (niezalenie czy 802.1Q czy ISL), VLAN natywny przenoszony jest bez tagowania.

Co maj na myli ludzie mwic "router na patyku" (ang. router on a stick)?


Chodzi o topologi, w ktrej jeden interfejs routera suy do obsugi routingu z wielu sieci.
Na przykad masz 24-portowy przecznik warstwy drugiej, dwa VLANy i chcesz jako przekazywa ruch
midzy nimi w oparciu o warstw trzeci. Najprociej bdzie zdefiniowa na przeczniku jeden port jako
trunk 802.1Q przenoszcy oba VLANy, podczy ten port do routera skonfigurowanego analogicznie i
nada na routerze adresy IP obu podinterfejsom.
Oto przykadowa konfiguracja interfejsu FastEthernet (pamitaj, e obsuga 802.1Q dla wikszoci
routerw zawarta jest dopiero w feature-set "IP Plus"):
interface FastEthernet0/0
no ip address
!
interface FastEthernet0/0.1
description VLAN 10, domylna bramka dla pierwszej podsieci
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
!
interface FastEthernet0/0.2
description VLAN 20, domylna bramka dla drugiej podsieci
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0
Portu na przeczniku (tu akurat 2950), podczonego do routera:
interface FastEthernet0/24
switchport trunk allowed vlan 10,20
switchport mode trunk
no ip address
spanning-tree portfast
W kocu port do ktrego podczona jest stacja z VLANu 10:
interface FastEthernet0/1
switchport mode access
switchport access vlan 10
no ip address
spanning-tree portfast

Czy Cisco PIX moe obsugiwa VLANy?


Tak, ale od PIX OS w wersji 6.3 i tylko modele od 515 w gr (525 i 535). Dokadna ilo VLANw
obsugiwanych przez PIXa zwizana jest z posiadan licencj i przedstawiono j w poniszej tabelce:
Platforma
PIX-501
PIX-506/506E
PIX-515/515E
PIX-515/515E
PIX-520/525
PIX-520/525

Licencja
R
UR/FO
R
UR/FO

Interfejsy fizyczne
1+4(przecznik)
2
2+1 opcja
6
6
8

Interfejsy logiczne
2
2
3
8
10 (6+4)
10

PIX-535
PIX-535

R
UR/FO

6
10

8
22

Jak skonfigurowa na PIXie VLAN?


Oto przykad konfiguracji PIXa 515 z VLANem na drugim porcie fizycznym:
interface ethernet0 auto
! interfejs eth0 nie jest tagowany
interface ethernet1 auto
! aktywujemy interfejs eth1
interface ethernet1 vlan20 physical
! VLAN 20 przenoszony bdzie nietagowany
interface ethernet1 vlan30 logical
! VLAN 30 przenoszony bdzie tagowany zgodnie z 802.1Q
...
nameif ethernet0 outside security0
! fizyczny interfejs eth0 podpinamy do routera ISP
nameif ethernet1 inside security100
! nietagowane ramki na fizycznym porcie eth1 nale do LANu
nameif vlan30 dmz security50
! tagowane ramki na fizycznym porcie eth1 (VLAN 30) nale do DMZtu
! Pozostaje nadanie adresw IP:
ip address dmz 169.254.76.1 255.255.255.0
ip address inside 192.168.0.1 255.255.255.0
ip address outside 169.254.12.2 255.255.255.252
Poniej przykadowe fragmenty z konfiguracji przecznika. Fizyczny interfejs eth1 PIXa doczono do
portu FE0/6, zdefiniowanego jako trunk 802.1Q, przenoszcy VLAN 30, oraz VLAN 20 jako natywny:
interface FastEthernet0/6
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 30
switchport trunk native vlan 20

Jak sprawdzi...
...ile interfejsw logicznych obsuy router X?
Kady interfejs zajmuje minimaln ilo pamici routera. Lista interfejsw przechowywana jest w tzw.
IDB, czyli Interface DataBase. W zalenoci od wielkoci routera, a take w mniejszym stopniu od wersji
Cisco IOS na nim pracujcego, pojemno tej bazy rni si. Aktualna lista znajduje si tutaj:
http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_tech_note09186a0080094322.shtm
l
Na swoim routerze, ilo "wolnego miejsca" na dodatkowe interfejsy, moesz sprawdzi poleceniem
`show idb':
router# show idb
Maximum number of Software IDBs 300.

In use 17.

Active
Inactive
Total IDBs
Size each (bytes)
Total bytes

HWIDBs
13
4
17
4648
79016

SWIDBs
13
4
17
1392
23664

Powysza informacja pochodzi z routera 1712 - wida, e router obsuy do 300 interfejsw, z czego 17
jest ju zajtych.

...aktualne obcienie procesora?


Posugujc si poleceniem `show processes cpu':
router# show processes cpu
CPU utilization for five seconds: 6%/2%; one minute: 6%; five minutes: 5%
PID Runtime(ms)
Invoked
uSecs
5Sec
1Min
5Min TTY Process
1
1808
833
2170 0.00% 0.00% 0.00%
0 Chunk Manager
2
140
90945
1 0.00% 0.00% 0.00%
0 Load Meter
[...]
Warto podzielona (6%/2%) to:

6% - rednie oglne zajcie procesora przez ostatnie pi sekund; jest ono sum obcienia
wywoanego przez przerwania i procesy

2% - rednie obcienie przez ostatnie pi sekund zwizane z przerwaniami

Jak nietrudno si domyli, pierwsza warto minus druga warto daje obcienie procesora przez
rnego rodzaju procesy dziaajce na routerze (NAT, DHCP, obsuga IP, IPsec itp.).
Pozostae dwie wartoci z wydruku, to zgodnie z nazw urednione obcienie oglne za poprzedni
minut i pi minut.
Par uwag co do wartoci podzielonej (6%/2%):

W czasie normalnej pracy routera, obie wartoci powinny by do siebie zblione.

Jeli pierwsza warto jest duo wiksza od drugiej (np. widzisz na swoim routerze warto
75%/16%), oznacza to jakiego rodzaju atak na router, lub istotny problem z ktrym z
procesw.

Jeli oba parametry s wysokie (np. 95%/92%), router obsuguje za duo ruchu - postaraj si
zoptymalizowa jego konfiguracj, zweryfikowa poprawno topologii swojej sieci lub wymieni
router na wikszy.

...historyczne obcienie procesora?


Posugujc si poleceniem `show processes cpu history'. Router pokae trzy wykresy: za ostatni
minut, za ostatni godzin i za ostatnie 72 godziny. O X pokazuje upywajcy czas, o Y obcienie
procesora (zgrubnie), a wartoci u gry wykresu - dokadne obcienie. Np.:
router# show processes cpu history
3333333333444443333333333222244444444445555533333555553333
100
90
80

70
60
50
40
30
20
10

*****
*****
0....5....1....1....2....2....3....3....4....4....5....5....
0
5
0
5
0
5
0
5
0
5
CPU% per second (last 60 seconds)

[...]

...w licie procesw tylko te, zajmujce jakie zasoby procesora?


W ten sposb:
router# show processes cpu | exclude 0.00%__0.00%__0.00%
CPU utilization for five seconds: 5%/1%; one minute: 4%; five minutes: 4%
PID Runtime(ms)
Invoked
uSecs
5Sec
1Min
5Min TTY Process
5
363736
51123
7114 0.00% 0.05% 0.05%
0 Check heaps
9
34092
79729
427 0.07% 0.00% 0.00%
0 ARP Input
24
3597724
451492
7968 2.00% 1.93% 1.94%
0 TTY Background
29
9556
87956
108 0.07% 0.00% 0.00%
0 Net Input
31
183808
7682
23927 0.00% 0.03% 0.00%
0 Per-minute Jobs
40
5700
1894
3009 1.59% 0.29% 0.38%
6 SSH Process
41
1092960
1344980
812 0.63% 0.32% 0.29%
0 IP Input
59
228164
739184
308 0.07% 0.00% 0.00%
0 CEF process
62
17884
98746
181 0.00% 0.01% 0.00%
0 IP-EIGRP: PDM
116
223904
1800331
124 0.00% 0.05% 0.06%
0 COLLECT STAT COU
126
13524
7591
1781 0.00% 0.01% 0.00%
0 SNMP ENGINE
132
14680
295105
49 0.00% 0.03% 0.01%
0 IP-EIGRP: HELLO

...zajto pamici?
List procesw z podstawowymi informacjami mona sprawdzi poleceniem:

router# show processes


Total: 78044960, Used:
PID TTY Allocated
0
0
254908
0
0
840
0
0
18419360
1
0
3256
2
0
188
3 130
1288172
4
0
188
5
0
65580
6
0
0
7
0
9666440

memory
13534380, Free: 64510580
Freed
Holding
Getbufs
55980
7590192
0
71100
840
0
7879520
20080
252348
0
10100
0
188
3844
0
1196764
104264
0
188
6844
0
0
90424
0
536
6844
0
7616660
619640
1091448

Retbufs
0
0
0
0
0
0
0
0
0
1447712

Process
*Init*
*Sched*
*Dead*
Chunk Manager
Load Meter
SSH Process
fastblk backgrou
EDDRI_MAIN
Check heaps
Pool Manager

Pierwsza linijka wydruku podaje informacje sumaryczne. Router ma oglem 78MB pamici uytecznej, z
tego uywa obecnie 13,5MB a wolne pozostaje 64MB.
Kolejne kolumny na licie to:

PID - identyfikator procesu

TTY - z ktr konsol skojarzony jest proces - wikszo procesw ma tutaj warto 0, co
oznacza, e skojarzone s tylko z procesem Init.

Allocated - ile historycznie proces zaallokowa pamici

Freed - ile historycznie proces zwolni pamici

Holding - ile aktualnie rezerwuje/uywa pamici

Natomiast bardziej konkretn informacj, dotyczc tylko pamici, mona uzyska wydajc polecenie
show memory statistics:
router# show memory statistics
Head
Total(b)
Processor
631920E0
78044960
I/O
7C00000
4194304

Used(b)
13548532
2399272

Free(b)
64496428
1795032

Lowest(b)
64033028
1457520

Largest(b)
63721760
1653884

Tutaj dodatkowo wida pami zarezerwowan na operacje I/O (ang. Input/Output), czyli na
komunikacj z zainstalowanymi kartami interfejsw.

...objto pamici wykorzystywan przez procesy routingu?


W ten sposb:
router# show ip route summary
IP routing table name is Default-IP-Routing-Table(0)
IP routing table maximum-paths is 16
Route Source
Networks
Subnets
Overhead
Memory (bytes)
connected
0
4
288
544
static
32
2
2448
4624
eigrp 10
1
18
1368
2584
internal
2
2312
Total
35
24
4104
10064
W ostatniej kolumnie wida zajto pamici w bajtach. Zwr jednak uwag, e chodzi tylko o pami
zajmowan we wskazanej tablicy routingu (tutaj, Default-IP-Routing-Table(0), czyli tablica gwna).
Same procesy routingu mog zajmowa duo wicej pamici.

...jakie karty zainstalowano w routerze?


Jeli wynik polecenia `show version' jest niewystarczajcy, moesz dodatkowo uy polecenia `show
diag'. Powinno ono zwrci mas szczegw dotyczcych zainstalowanych i wykrytych poprawnie kart.
Poniej lista kart w routerze 1712:
router# show diag
Slot 0:
C1712 1FE 4ESW Mainboard Port adapter, 6 ports
[...]
WIC/VIC Slot 0:
4 Port FE Switch
[...]
Product (FRU) Number
: WIC-4ESW=
WIC/VIC Slot 1:
BRI S/T - 2186
[...]
Slot 3:
Virtual Private Network (VPN) Module Port adapter, 1 port
[...]

Product (FRU) Number

: MOD1700-VPN=

W nowszych IOSach pojawio si rwnie polecenie `show inventory', ktre dotyczy mniej danych
technicznych, a bardziej po prostu faktycznego wyposaenia routera. Poniej wynik dziaania tego
polecenia na routerze 2650XM:
2650xm# show diag
NAME: "2650XM chassis",
DESCR: "2650XM chassis, Hw Serial#: JAE01234ABC (12345678), Hw Revision: 0x200"
PID: 2650XM
, VID: 0x200, SN: JAE01234RAU (12345678)
NAME: "2600 Chassis Slot 0", DESCR: "2600 Chassis Slot"
PID: 2600 Chassis Slot , VID:
, SN:
NAME: "C2600 Mainboard", DESCR: "C2600 Mainboard"
PID: C2600 Mainboard
, VID: 2.0, SN: 12345678
NAME: "DaughterCard Slot 0 on Card 0", DESCR: "2600 DaughterCard Slot"
PID: 2600 DaughterCard Slot, VID:
, SN:
NAME: "WAN Interface Card - Serial (1T)", DESCR: "WAN Interface Card - Serial (1T)"
PID: WAN Interface Card - Serial (1T), VID: 1.0, SN: 20512345
NAME: "Serial0/0", DESCR: "PowerQUICC Serial"
PID: PowerQUICC Serial , VID:
, SN:
NAME: "DaughterCard Slot 1 on Card 0", DESCR: "2600 DaughterCard Slot"
PID: 2600 DaughterCard Slot, VID:
, SN:
NAME: "AIM Container Slot 0", DESCR: "AIM Container Slot 0"
PID: AIM Container Slot 0, VID:
, SN:
NAME: "FastEthernet0/0", DESCR: "AmdFE"
PID: AmdFE
, VID:
, SN:
NAME: "2600 Chassis Slot 1", DESCR: "2600 Chassis Slot"
PID: 2600 Chassis Slot , VID:
, SN:

...jakie karty zainstalowano w przeczniku pracujcym pod kontrol CatOS?


Wydajc polecenie:
switchc> show module
Mod
--1
15
8
9

Slot
---1
1
8
9

Ports
----2
1
48
48

Module-Type
------------------------1000BaseX Supervisor
Multilayer Switch Feature
10/100BaseTX Ethernet
10/100BaseTX Ethernet

Model
------------------WS-X6K-SUP1A-2GE
WS-F6K-MSFC
WS-X6248-RJ-45
WS-X6348-RJ-45

Sub
--yes
no
no
yes

Status
-------ok
ok
ok
ok

[...]
Mod
--1
9

Sub-Type
----------------------L3 Switching Engine
Inline Power Module

Sub-Model
Sub-Serial
------------------- ----------WS-F6K-PFC
SAD03462981
WS-F6K-VPWR

Sub-Hw
-----1.0
1.0

...co obsuguje dany feature-set?


Dobrym rdem informacji, jaka dokadnie funkcjonalno znajduje si w konkretnym obrazie, jest Cisco
Feature Navigator dostpny pod adresem: http://www.cisco.com/go/fn.
Niestety, dostpny jest tylko dla posiadaczy kont CCO.

...znajc nazw pliku Cisco IOS jaki to feature-set?


Dla IOSw od 9 do 12.2 istniej pewne reguy, opisujce co znaczy konkretna literka w nazwie. Opisano
je
tutaj:
http://www.cisco.com/en/US/products/sw/iosswrel/ios_abcs_ios_networking_the_enterprise0900aecd80
0a4e14.html.
Generalnie, nazwa pliku (np. c2600-i-mz.123-1a.bin) z Cisco IOS skada si z:

Platformy, na ktrej bdzie pracowa obraz (c2600 to routery Cisco serii 2600);

Funkcjonalnoci zawartej w obrazie (i, czyli tylko podstawowa funkcjonalno IP);

Czy obraz wykonywany jest w pamici RAM (literka m), czy w pamici Flash (literka f) lub z ROM
(literka r) lub relokowalny (literka l). Dodatkowo, mona si dowiedzie, e obraz jest
spakowany zwykym ZIPem (literka z), lub mZIPem (literka x);

Numeru wersji Cisco IOS 123-1a czyli 12.3.1a;

Poniej spis literek, ktre oznaczaj funkcjonalnoci:


i
j
c
d
p
y

funkcjonalno "IP"
funkcjonalno "Enterprise"
funkcjonalno "Remote Access Server"
funkcjonalno "IP/IPX/AT/DECnet"
funkcjonalno "Service Provider"
ograniczona funkcjonalno "IP" (bez Kerberosa, RADIUSa,
NTP, OSPF, PIM, SMRP, NHRP itp.)

s
o
o3
x
n

funkcjonalno
funkcjonalno
funkcjonalno
funkcjonalno
funkcjonalno

"Plus"
"Firewall"
"Firewall/IDS"
"H.323"
"IPX"

k8 - obraz z szyfrowaniem CET/DES


56i - obraz z szyfrowaniem CET/DES dla obrazw na starsze platformy
k9 - obraz z szyfrowaniem CET/DES/3DES (i AES, od 12.2T/12.3)
Najczciej spotykane funkcjonalnoci to:
-i-is-oy-io3-x-ik8s-ik9s-ik9o3s-k91p-

=
=
=
=
=
=
=
=
=

IP only
IP Plus
IP Firewall (na starsze platformy)
IP/FW/IDS
IP H.323
IP Plus IPsec DES
IP Plus IPsec 3DES
IP/FW/IDS Plus IPsec 3DES
Service Provider + SSH

Natomiast od linii 12.3 pojawio si nowe, majce uporzdkowa wiele rnych (ponad 80) wersji
funkcjonalnoci nazewnictwo. Wikszo funkcjonalnoci IP Plus wesza do obecnie podstawowego obrazu
IP Base. Zaawansowane usugi bezpieczestwa (firewall CBAC, IDS/IPS, VPNy) znajduj si teraz od
feature-setu Advanced Security (od linii 12.4(4)T jest tu rwnie protok BGP). Funkcjonalno
potrzebna w rodowiskach dostawcw usug znajduje si w pakiecie SP Services (m.in. protok BGP,
ale rwnie obsuga gosu i CallManager Express). Dokadniejszy podzia funkcjonalnoci znale mona w

tym dokumencie:
http://www.cisco.com/en/US/products/sw/iosswrel/ps5460/index.html
Zmiany dotycz rwnie przecznikw na mniejszych Catalystach zanikaj zatem funkcjonalnoci
SMI/EMI (lub SI/EI dla przecznikw L2) a pojawiaj si LAN Base, Advanced IP Services itp.

...czy dana karta/modu kompatybilna jest z danym routerem?


Dobrym rdem informacji o wzajemnej kompatybilnoci jest Cisco Hardware-Software Matrix dostpny
pod adresem: http://www.cisco.com/cgi-bin/front.x/Support/HWSWmatrix/hwswmatrix.cgi.
Niestety, dostpny jest tylko dla posiadaczy kont CCO.

...na ktrym porcie routera znajduje si urzdzenie o danym adresie MAC lub IP?
Wystarczy, e wydasz polecenie `show ip arp aaaa.bbbb.cccc', gdzie cig aaaa.bbbb.cccc to szukany
adres MAC, lub `show ip arp A.B.C.D', gdzie cig A.B.C.D to adres IP:
! dla adresu MAC:
router# show ip arp 0000.cd0f.4feb
Protocol
Internet

Address
192.168.10.10

Age (min)
2

Hardware Addr
0000.cd0f.4feb

Type
ARPA

Interface
FastEthernet0/0

Hardware Addr
0000.cd0f.4feb

Type
ARPA

Interface
FastEthernet0/0

! dla adresu IP:


router# show ip arp 192.168.10.10
Protocol
Internet

Address
192.168.10.10

Age (min)
2

...na ktrym porcie przecznika Catalyst wpito urzdzenie o danym adresie MAC?
Jeli na przeczniku zainstalowano IOS, wystarczy, e wydasz polecenie `show mac-address-table |
include aaaa.bbbb.cccc', gdzie cig aaaa.bbbb.cccc to szukany adres MAC:
switch# show mac-address-table | include 0000.cd0f.4feb
1
0000.cd0f.4feb
DYNAMIC
Fa0/24
Jak wida, urzdzenie o tym adresie MAC wpite jest do portu FastEthernet 0/24 na lokalnym
przeczniku. Jeli zamiast portu wskazany jest trunk - naley sprawdzi na kolejnym przeczniku,
podczonym do lokalnego wskazanym trunkiem.

...budet mocy na modularnym przeczniku Catalyst?


Skorzystaj z kalkulatora dostpnego pod adresem http://www.cisco.com/go/powercalculator.

Rozdzia 7. Wybr sprztu pod konkretne zastosowanie


Jaki router wystarczy do maej sieci (10-15 uytkownikw), w sytuacji, gdy Internet
dochodzi do mnie Ethernetem?
Rzu okiem na router serii 830 - konkretnie interesowa Ci bdzie model Cisco 831, lub nawet PIX
501/506E. Pamitaj, e PIXy nie obsuguj tuneli GRE czy funkcjonalnoci QoS.
Jeli jednak bdziesz chcia zapewni sieci poczenie zapasowe, musisz spojrze na wysze modele.

Jaki router wystarczy do maej sieci (10-15 uytkownikw), w sytuacji, gdy Internet
dochodzi do mnie stykiem V.35 (Polpak-T)?
Najmniejszy router Cisco, do ktrego podczy mona V.35 to model 805. Problem polega na tym, e
interfejs tego routera obsuguje taktowanie tylko do 512kbit/s, co oznacza, e nie nadaje si raczej do
wikszoci instalacji (np. Polpak-T zestawia si zwykle na prdkoci 1 lub 2Mbit/s).
Jeli zaley Ci na sprzcie uywanym (niska cena, ale pamitaj o braku oficjalnego serwisu dla tego
sprztu!), rozejrzyj si na Allegro za routerami klasy 1601 czy 2503. Posiadaj one zamontowane porty
szeregowe i Ethernet, przy czym porty szeregowe maj styk DB-60. Do takiego routera potrzebujesz
jeszcze kabla DTE V.35 (oryginalny kabel posiada oznaczenie CAB-V35MT). Problemem tego sprztu jest
maa wydajno - 2Mbit/s cze obsu bez problemu, ale dodawanie nowej funkcjonalnoci (duych list
ACL, kontroli zawartoci pakietw przez NBAR itp.) moe znacznie zmniejszy wydajno i spowodowa
rwanie si pocze, czy problemy z ich nawizaniem.
Najmniejszy router dostpny "z pki" to 1721, do ktrego w celu obsugi cza z V.35 naley dooy
kart WIC-1T (jeden styk DB-60, kabel CAB-V35MT) lub WIC-2T (dwa styki Smart Serial, dwa kable CABSS-V35MT). Routery te posiadaj obecnie standardowo po 64MB RAM i 32MB flash, co pozwala na
rozbudow w przyszoci o Cisco IOS z wiksz funkcjonalnoci.
Jeli mylisz o obsudze dwch rwnolegych cz 2Mbit/s i bdziesz kupowa nowy router, ju dzisiaj
zastanw si nad routerami klasy 2600XM. Routery 2610XM, 2620XM i 2650XM posiadaj po jednym
FastEthernecie, a 2611XM, 2621XM i 2651XM po dwa FastEthernety. Poza nimi, konfiguracja sprztowa
jest taka sama: wszystkie posiadaj jeden slot NM i dwa sloty WIC, plus slot AIM ukryty w obudowie.
Routery rni si wydajnoci (2610XM/2611XM w granicach 20kpps, 2620XM/2621XM 30kpps i
2650XM/2651XM 40kpps) i domylnie dostarczan wielkoci pamici (2610/11/20/21XM maj po 64MB
RAM i 32MB flash, 2650/51XM 128MB RAM i 32MB flash).

Jaki router wystarczy do maej sieci (10-15 uytkownikw), w sytuacji, gdy chcemy
bezpiecznie poczy si VPNem do innej podobnej lokalizacji przez cze zakoczone
Ethernetem?
Cisco przewidziao specjalnie do takich celw routery 1711/1712. W cenie symbolicznie tylko wyszej od
podstawowego modelu 1721 otrzymujemy router z:

"WAN"-owskim portem Ethernet, do ktrego moemy podczy np. modem DSL (zakoczony
Ethernetem, nie stykiem ADSL!)

cztero-portowym przecznikiem 10/100 dla podczenia urzdze LAN, z obsug VLAN-w (a


take routingu midzy nimi realizowanymi przez procesor routera)

analogowym portem modemowym (1711) lub ISDN BRI (1712), na ktrym mona zrealizowa
poczenie zapasowe (lub gwne - pena elastyczno)

sprztow obsug szyfrowania DES/3DES/AES (zainstalowany modu MOD1700VPN), co daje (wg


dokumentacji) obsug do 100 jednoczesnych tuneli VPN i przepustowo 3DES do 15 Mbit/s

oprogramowanie o funkcjonalnoci Firewall/IDS IPsec 3DES.

Warto zauway, e dziki poczeniu VLAN-w


zaimplementowa na tym urzdzeniu prosty DMZ.

oprogramowaniem

Firewall

da

si

nawet

Oczywicie, jeli takie poczenia VPN schodz si w jakim punkcie centralnym to musi si tam
znajdowa odpowiednio mocniejsze urzdzenie terminujce tunele, np. koncentrator VPN, lub wikszy
router z kart VPN albo PIX z kart VAC.

Mam dwa cza od dwch ISP i chciabym uruchomi BGP. Jakiego routera
powinienem uy?
Generalnie, routing BGP mona uruchomi nawet na routerach serii 800. Zakadamy jednak, e chodzi o
instalacje z du sieci LAN, relatywnie duym ruchem z i do Internetu (rzdu 4-200Mbit/s) oraz chci
realizowania innych usug - filtrowania ruchu, NATowania itp.
Bezpiecznie bdzie zaoy, e potrzebujesz routera z serii 7200 - 7204VXR lub 7206VXR (odpowiednio 4
lub 6 slotw na karty interfejsw). W takim routerze powinna znale si karta z procesorem sieciowym,
w nomenklaturze Cisco oznaczana jako NPE. Aby uruchomi BGP i sensownie obsugiwa ruch, powiniene
obecnie wyposay si w modu NPE-400 lub NPE-1G, wzgldnie NSE-1. Karta NPE/NSE powinna mie
minimum 256MB RAM, jeli chcesz otrzymywa pene wiatowe tablice BGP.
Zajrzyj rwnie do sekcji powiconej routingowi BGP, aby uzyska wicej informacji o dziaaniu tego
protokou, jego konfiguracji i innych zaleceniach.

Potrzebuj may przecznik Cisco, bez routingu


Najmniejsze obecnie w sprzeday nieroutujce przeczniki, to seria 2950. Oferowane s w wersjach bez
moduw GBIC (WS-C2950-12 i WS-C2950-24, odpowiednio 12 i 24 porty 10/100), oraz z slotami na dwa
moduy GBIC (WS-C2950G-12, WS-C2950G-24 i WS-C2950G-48). Dostpne s rwnie mae modele
2940, zawierajce osiem portw 10/100BaseTX oraz albo jeden port 1000BaseTX (WS-C2940-8TT), albo
jeden port 100BaseFX z moliwoci zamiennie wykorzystania jednego moduu SFP (WS-C2940-8TF).
Dodatkowo, w sprzeday znajduj si wersje, ktre zamiast slotw na moduy GBIC, maj zabudowane
porty na stae. S to:

WS-C2950T-24 - 24 porty 10/100 + 2 porty 10/100/1000BaseT

WS-C2950T-48 - 48 portw 10/100 + 2 porty 10/100/1000BaseT

WS-C2950C-24 - 24 porty 10/100 + 2 porty 100BaseFX

WS-C2950SX-24 - 24 porty 10/100 + 2 porty 1000BaseSX

WS-C2950SX-48 - 48 portw 10/100 + 2 porty 1000BaseSX

Cz przecznikw moe dodatkowo posiada oprogramowanie w wersji EI (lub jest z nim


sprzedawana). W porwnania do standardowego SI, EI oznacza obsug jednoczenie wikszej iloci
VLANw (250 w porwnaniu do standardowych 64), moliwo konfigurowania ograniczania pasma per
port (tylko policing, nie ma shapingu), a take moliwo obsugi pocze przez SSH (tylko w
specjalnych wersjach "Crypto").
Niezalenie od wersji, przeczniki obsuguj oprogramowanie CMS, czyli Cluster Management Suite,
ktre rezyduje w pamici flash przecznika i umoliwia zarzdzanie nim za pomoc graficznego interfejsu
uytkownika.
W sprzeday znajduje si rwnie model 2970, ktry ma architektur zblion do 2950, ale wyposaony
jest w 24 porty 10/100/1000BaseTX + w jednej z wersji, w uplinki GBIC.

Potrzebuj przecznik Cisco potraficy realizowa routing


Przeczniki niemodularne
Jeli chodzi o przeczniki niemodularne, to w sprzeday znajduj si przeczniki 3550 i 3750. Obie
rodziny realizuj routing IP z maksymaln prdkoci na wszystkich portach (tzw. wire-speed).
Dodatkowo maj moliwo filtrowania ruchu (zarwno wg adresw MAC i adresw IP, z dokadnoci do
portw TCP/UDP).
Oba modele obsuguj dwie linie oprogramowania - SMI (Standard Multilayer Image) i EMI (Enhanced
Multilayer Image). Wersja SMI zawiera routing IP statyczny oraz RIP obu wersji, w wersji EMI
otrzymujemy dodatkowo IGRP, OSPF i EIGRP (dla 3550 dodatkowo BGP).
Wicej o przecznikach 3550 moesz poczyta tu: http://www.cisco.com/go/cat3550 a o 3750 tutaj:
http://www.cisco.com/go/cat3750.

Przeczniki modularne
Natomiast jeli potrzebujesz modularny przecznik, obecnie Cisco sprzedaje serie 4500 oraz 6500. 4500
jest "zeskalowan w d" wersj 6500, ale oferuje zarwno porty 10/100BaseTX, 100BaseFX jak i gigabit
we wszystkich standardach oraz realizuje wikszo funkcjonalnoci rodziny 6500. Niestety nadal karty
10GbE dostpne s tylko dla 6500/7600 (monta takiej karty w 4500 nie ma sensu, kady modu ma
zarezerwowane tylko 6Gbit/s do i z moduu zarzdzajcego). Wicej informacji o przecznikach 4500
znajdziesz
tutaj:
http://www.cisco.com/go/cat4000,
a
o
rodzinie
6500
tutaj:
http://www.cisco.com/en/US/products/hw/switches/ps708/index.html.

Czy Cisco sprzedaje tzw. "firewalle sprztowe"?


Tak, nazywaj si Cisco PIX (ang. Private Internet eXchange). Oferowane s od modelw 501 i 506E (bez
moliwoci rozbudowy), przez 515, 525 do 535 (z moduami GigabitEthernet) do karty realizujcej cian
ogniow w przecznikach Catalyst 6500 (karta nazywa si FWSM, a jej P/N handlowy to: WS-SVC-FWM1-K9=). PIXy dedykowane s w stanie filtrowa ruch do 1,7Gbit/s (pakiety 1400 bajtowe, PIX-535UR),
natomiast karta do Catalysta ma przepustowo do 5,5Gbit/s.
PIXy obsuguj programowe i sprztowe (dodatkowa karta do modeli 515/525/535) szyfrowanie IPsec dla
DES/3DES/AES (ten ostatni od PIX OS 6.3), oraz terminowanie tuneli L2TP i PPTP. Rwnie od wersji 6
pojawia si moliwo realizowania VLANw na PIXach (w standardzie 802.1Q, od modelu 515).
Wicej o PIXach znajdziesz pod adresem: http://www.cisco.com/go/pix.

Czy Cisco sprzedaje sprzt do budowy sieci bezprzewodowych?


Tak, jest to seria produktw Cisco Aironet. Obecnie w sprzeday znajduj si:

Punkty dostpowe 1120. S to urzdzenia pracujce w standardzie 802.11b (P/N: AIR-AP1120BE-K9), 802.11g kompatybilnym w d z 802.11b (P/N: AIR-AP1121G-E-K9). W obu wersjach
anteny zamontowane s wewntrz urzdzenia i nie ma moliwoci doczenia zewntrznych. Do
zakupionego AP serii 1120 ze starym radiem 802.11b, mona dokupi nowe radio zgodne ze
standardem 802.11g (P/N: AIR-MP21G-E-K9).

Punkty dostpowe serii 1200. Wczeniejsza seria tych produktw (1220) posiadaa system
operacyjny oparty na platformie VxWorks. Na obecnie sprzedawanych AP (seria 1230)
zainstalowany jest ju zwyky Cisco IOS. Punkty dostpowe tej serii s dwusystemowe - posiadaj
dwa sloty na radia obu standardw: 802.11b lub 802.11g, oraz 802.11a. Do radia 802.11b lub
802.11g naley dokupi osobno anteny zewntrzne, radio 802.11a posiada zamontowan na
stae, zintegrowan anten.

Punkty dostpowe serii 350. Starsza generacja sprztu, kompatybilna tylko ze standardem

802.11b.

Mosty bezprzewodowe 350. Starsza generacja sprztu, kompatybilna tylko ze standardem


802.11b, umoliwia zestawianie pocze punkt-punkt i punkt-wielopunkt.

Wicej
o
produktach
bezprzewodowych
http://www.cisco.com/go/wireless.

moesz

przeczyta

pod

adresem:

Rozdzia 8. Jak skonfigurowa router do...


...usugi transmisji danych w sieci Polpak-T?
Zakadajc, e posiadasz kabel i wszystko odpowiednio podczye, poniej gotowiec konfiguracji.
Przyjto, e interesuje Ci podstawowa konfiguracja, bez dodatkowej funkcjonalnoci spotykanej tylko na
niektrych routerach (firewall, IDS, wymylne filtrowanie czy uwierzytelnianie).
Podsie midzy Twoim routerem a routerem ISP to 169.254.1.0/30 (169.254.1.1 to adres routera ISP,
169.254.1.2 to adres Twojego routera), sie LAN ma adresacj 192.168.0.0/24, przy czym interfejs
Ethernet Twojego routera ma adres 192.168.0.1 i jest dla tej sieci domyln bramk.
Dodatkowo, sie LAN wychodzi do Internetu z adresem publicznym routera (169.254.1.2), a interfejs
Frame Relay ma DLCI rwne 99.
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
!
hostname rtr_cisco
!
enable password jakies_trudne_haslo
!
username user_1 password haslo_usera_1
ip subnet-zero
no ip source-route
no ip domain-lookup
ip tcp path-mtu-discovery
!
interface Ethernet0
description Polaczenie dla sieci LAN
ip address 192.168.0.1 255.255.255.0
ip nat inside
!
interface Serial0
description Konfiguracja fizycznego interfejsu szeregowego
no ip address
encapsulation frame-relay
frame-relay lmi-type ansi
!
interface Serial0.1 point-to-point
description Polaczenie Polpak-T do Internetu 2Mbit
ip address 169.254.1.2 255.255.255.252
frame-relay interface-dlci 99 IETF
ip nat outside
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0.1
no ip http server
!
ip nat inside source list 100 interface Serial 0.1 overload
!

access-list 100
access-list 100
no cdp run
!
line con 0
exec-timeout 5
login local
line vty 0 4
exec-timeout 5
login local
!
end

permit ip 192.168.0.0 0.0.0.255 any


deny ip any any

0
0

...InternetDSL lub innego dostawcy oferujcego styk Ethernet?


Zakadajc, e posiadasz kabel i dwa interfejsy Ethernet/FastEthernet na routerze, oraz wszystko
odpowiednio podczye, poniej gotowiec konfiguracji.
UWAGA: moesz spi styk Ethernet dostawcy z interfejsem Ethernet/FastEthernet na swoim routerze
pod warunkiem, e uyjesz kabla skrosowanego!
Przyjto, e interesuje Ci podstawowa konfiguracja, bez dodatkowej funkcjonalnoci spotykanej tylko na
niektrych routerach (firewall, IDS, wymylne filtrowanie czy uwierzytelnianie).
Podsie midzy Twoim routerem a routerem ISP to 169.254.1.0/30 (169.254.1.1 to adres routera ISP,
169.254.1.2 to adres Twojego routera), sie LAN ma adresacj 192.168.0.0/24, przy czym interfejs
Ethernet Twojego routera ma adres 192.168.0.1 i jest dla tej sieci domyln bramk.
Dodatkowo, sie LAN wychodzi do Internetu z adresem publicznym routera (169.254.1.2).
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
!
hostname rtr_cisco
!
enable password jakies_trudne_haslo
!
username user_1 password haslo_usera_1
ip subnet-zero
no ip source-route
no ip domain-lookup
ip tcp path-mtu-discovery
!
interface Ethernet0
description Polaczenie dla sieci LAN
ip address 192.168.0.1 255.255.255.0
ip nat inside
!
interface Ethernet1
description Polaczenie dla sieci Internet
ip address 169.254.1.2 255.255.255.252
ip nat outside
!
ip classless
ip route 0.0.0.0 0.0.0.0 169.254.1.1
no ip http server
!
ip nat inside source list 100 interface Ethernet 1 overload
!
access-list 100 permit ip 192.168.0.0 0.0.0.255 any

access-list 100 deny ip any any


no cdp run
!
line con 0
exec-timeout 5 0
login local
line vty 0 4
exec-timeout 5 0
login local
!
end

...usugi SDI/CDI?
SDI/CDI mona do routera Cisco podczy na dwa sposoby: do portu AUX routera (niepolecane, obcia
mocno procesor) lub do interfejs asynchronicznego.
Na mniejszych routerach (klasy 1700) port asynchroniczny znajduje si na karcie WIC-2A/S. Dodatkowo,
ale tylko na platformie 1700, w tryb asynchroniczny mona ustawi porty na karcie WIC-2T (lub jedyny
port na karcie WIC-1T) - w konfiguracji interfejsu dodajc polecenie physical layer async.
UWAGA: moesz spi styk Ethernet dostawcy z interfejsem Ethernet/FastEthernet na swoim routerze
pod warunkiem, e uyjesz kabla skrosowanego!
Przyjto, e interesuje Ci podstawowa konfiguracja, bez dodatkowej funkcjonalnoci spotykanej tylko na
niektrych routerach (firewall, IDS, wymylne filtrowanie czy uwierzytelnianie).
Zarwno w usudze SDI jak i CDI router musi w ramach poczenia PPP uwierzytelni si - login i haso
otrzymae od dostawcy. Sie LAN ma adresacj 192.168.0.0/24, przy czym interfejs Ethernet routera
ma adres 192.168.0.1 i jest domyln bramk dla sieci. Sie LAN uywa oczywicie w cznoci z
Internetem adresu publicznego przypisanego routerowi.
W poniszej konfiguracji zakadamy, e uywasz karty WIC-1T lub pierwszego portu z karty WIC-2T.
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
!
hostname rtr_cisco
!
enable password jakies_trudne_haslo
!
username user_1 password haslo_usera_1
ip subnet-zero
no ip source-route
no ip domain-lookup
ip tcp path-mtu-discovery
!
interface Ethernet0
description Polaczenie dla sieci LAN
ip address 192.168.0.1 255.255.255.0
ip nat inside
!
interface Serial0
description Polaczenie SDI
physical-layer async
ip address negotiated
no ip directed-broadcast
ip nat outside
encapsulation ppp
async mode dedicated

no cdp enable
ppp pap sent-username nazwa_uzytkownika_sdi password haslo_uzyt_sdi
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial 0
no ip http server
!
ip nat inside source list 100 interface Serial 0 overload
!
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 100 deny ip any any
no cdp run
!
line con 0
exec-timeout 5 0
login local
line vty 0 4
exec-timeout 5 0
login local
!
end

...usugi Neostrada+?
Zakadam, e chodzi o Neostrad zakoczon stykiem ADSL. Odpowiednie routery Cisco do takiej
konfiguracji, to np. Cisco 837 - ktry ma zabudowane na stae styk ADSL, lub Cisco 1700 czy 2600 z
moduem WIC-1ADSL. Zakadajc, e posiadasz kabel i wszystko odpowiednio podczye, poniej
gotowiec konfiguracji.
Przyjto, e interesuje Ci podstawowa konfiguracja, bez dodatkowej funkcjonalnoci spotykanej tylko na
niektrych routerach (firewall, IDS, wymylne filtrowanie czy uwierzytelnianie).
Adres publiczny przydzielany jest dynamicznie przy kadym poczeniu, sie LAN ma adresacj
192.168.0.0/24, przy czym interfejs Ethernet Twojego routera ma adres 192.168.0.1 i jest dla tej sieci
domyln bramk.
Sie LAN wychodzi do Internetu z dynamicznie przyznanym adresem IP.
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
!
hostname rtr_cisco
!
enable password jakies_trudne_haslo
!
username user_1 password haslo_usera_1
ip subnet-zero
no ip source-route
no ip domain-lookup
ip tcp path-mtu-discovery
!
ip dhcp excluded-address 192.168.0.1
!
ip dhcp pool CLIENT
import all
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 194.204.159.1 194.204.152.34
lease 0 2
!

interface Ethernet0
description Polaczenie dla sieci LAN
ip address 192.168.0.1 255.255.255.0
ip nat inside
!
interface ATM0
description Polaczenie ADSL do ISP
no ip address
no atm ilmi-keepalive
pvc 0/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
hold-queue 224 in
!
interface Dialer0
description Interfejs dzwoniacy
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp chap hostname login@neostrada.pl
ppp chap password 0 twoje_haslo_do_neo+
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer 0
no ip http server
!
ip nat inside source list 100 interface Dialer 0 overload
!
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 100 deny ip any any
no cdp run
!
line con 0
exec-timeout 5 0
login local
line vty 0 4
exec-timeout 5 0
login local
!
end

...do Neostrady+ ale dla routera Cisco 677?


Przyjto, e interesuje Ci podstawowa konfiguracja, bez dodatkowej funkcjonalnoci spotykanej tylko na
niektrych routerach (firewall, IDS, wymylne filtrowanie czy uwierzytelnianie).
Adres publiczny przydzielany jest dynamicznie przy kadym poczeniu, sie LAN ma adresacj
192.168.0.0/24, przy czym interfejs Ethernet Twojego routera ma adres 192.168.0.1 i jest dla tej sieci
domyln bramk.
Sie LAN wychodzi do Internetu z dynamicznie przyznanym adresem IP.
cbos>
cbos#
cbos#
cbos#
cbos#
cbos#
cbos#

enable
set password enable haslo_do_enable
set password exec haslo_do_telneta
set web enabled
set telnet enabled
set int eth0 address 192.168.0.1
set int eth0 netmask 255.255.255.0

cbos#
cbos#
cbos#
cbos#

set
set
set
set

ppp
ppp
ppp
ppp

wan0-0 login username_neostrada


wan0-0 password haslo_neostrada
wan0-0 ipcp 0.0.0.0
restart enabled

cbos#
cbos#
cbos#
cbos#
cbos#
cbos#
cbos#
cbos#

set
set
set
set
set
set
set
set

dhcp server
dhcp server
dhcp server
dhcp server
dhcp server
dhcp server
dhcp server
nat enabled

cbos#
cbos#
cbos#
cbos#
cbos#

set
set
set
set
set

int wan0-0 close


int wan0-0 vpi 0
int wan0-0 vci 35
int wan0-0 open
route default wan0-0

enabled
pool 0 ip 192.168.0.11
pool 0 size 200
pool 0 netmask 255.255.255.0
pool 0 gateway 192.168.0.1
pool 0 dns 194.204.159.1
pool 0 sdns 194.204.152.34

cbos# write

...poczenia kablami V.35 dwch routerw Frame Relay?


Jeli chcesz zasymulowa poczenie Frame Relay, posiadajc dwa routery z odpowiednimi interfejsami i
okablowaniem - nic prostszego. Jeden z nich bdzie emulowa przecznik Frame Relay, a drugi "zwyky"
router.
Na routerze emulujcym przecznik interfejs szeregowy skonfiguruj w ten sposb:
!
frame-relay switching
!
interface Serial0
description Emulacja 2Mbit/s FR - strona przelacznika
no ip address
encapsulation frame-relay IETF
no ip mroute-cache
clockrate 2000000
frame-relay lmi-type ansi
frame-relay intf-type dce
!
interface Serial0/1.1 point-to-point
description Emulacja 2Mbit/s FR - do routera FR
ip address 169.254.10.1 255.255.255.252
frame-relay interface-dlci 99
Parametr `clockrate 2000000' decyduje o taktowaniu cza - w powyszym przykadzie s to 2Mbit/s.
Konfiguracja routera do niego podczonego:
interface Serial0
description Polaczenie FR 2Mbit/s
no ip address
encapsulation frame-relay IETF
no ip mroute-cache
frame-relay lmi-type ansi
!
interface Serial0/1.1 point-to-point
description Polaczenie FR 2Mbit/s - do ISP
ip address 169.254.10.2 255.255.255.252
frame-relay interface-dlci 99

...obsugi dwch rwnolegych cz od niezalenych ISP?


Jest to bardzo popularny scenariusz. Zamy, e posiadasz dwa cza: jedno Frame Relay i jedno
Ethernet. Do obu dostae adresy poczeniowe (styk Twj router-router ISP) oraz adresy do uycia w
ramach NATu.
Pierwszy dostawca przydzieli Ci adres poczeniowy 169.254.10.2/30 (jego router ma dla Ciebie adres
169.254.10.1), oraz zakres adresw 172.16.10.1-172.16.10.14 (172.16.10.0/28).
Drugi dostawca przydzieli Ci adres poczeniowy 169.254.20.2/30 (jego router ma dla Ciebie adres
169.254.20.1), oraz zakres adresw 172.16.20.1-172.16.20.14 (172.16.20.0/28).
W swojej sieci LAN (192.168.0.0/24), chcesz pierwsz poow sieci NATowa na pierwsze cze, a drug
poow na drugie cze.
Notatka: Niestety, stosujc statyczny mechanizm routingu wg zasad (ang. policy based
routing), nie masz moliwoci automatycznemu przeciwdziaaniu awarii cza lub sieci ISP tj. jeli zawiedzie ktre z cz, ruch generowany od jednej z powek sieci LAN bdzie po
prostu odrzucany.
Poniej konfiguracja przykadowa routera, uwzgldniajca powysze zaoenia:
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
!
hostname rtr_cisco
!
enable password jakies_trudne_haslo
!
username user_1 password haslo_usera_1
ip subnet-zero
no ip source-route
no ip domain-lookup
ip tcp path-mtu-discovery
!
interface Ethernet0
description Polaczenie dla sieci LAN
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip policy route-map ruch_z_lan
!
interface Ethernet1
description Lacze od ISP #1
ip address 169.254.10.2 255.255.255.252
ip nat outside
!
interface Serial0
description Lacze od ISP #2
no ip address
encapsulation frame-relay
frame-relay lmi-type ansi
!
interface Serial0.1 point-to-point
description Lacze do Internetu 2Mbit/s
ip address 169.254.20.2 255.255.255.252
frame-relay interface-dlci 99 IETF
ip nat outside
!
ip classless
ip route 0.0.0.0 0.0.0.0 169.254.10.1
no ip http server

!
ip nat pool ISP1 172.16.10.1 172.16.10.14 netmask 255.255.255.240
ip nat pool ISP2 172.16.20.1 172.16.20.14 netmask 255.255.255.240
!
ip nat inside source list 1polowkaLAN pool ISP1 overload
ip nat inside source list 2polowkaLAN pool ISP2 overload
!
ip access-list extended 1polowkaLAN
permit ip 192.168.0.0 0.0.0.127 any
ip access-list extended 2polowkaLAN
permit ip 192.168.0.128 0.0.0.127 any
!
route-map ruch_z_lan permit 10
match ip address 2polowkaLAN
set ip next-hop 169.254.20.1
!
no cdp run
!
line con 0
exec-timeout 5 0
login local
line vty 0 4
exec-timeout 5 0
login local
!
end
Jak to dziaa? Do interfejsu Ethernet0 dociera ruch z sieci LAN, adresowany do Internetu. Route-mapa
ruch_z_lan sprawdza, czy pakiet nie pasuje do ACL 2polowkaLAN. Jeli pakiet pasuje, wpis w routemapie mwi, e naley go wyroutowa przez adres, dla ktrego nastpnym "hopem" bdzie
169.254.20.1, czyli interfejs Serial0.1 (podsie 169.254.20.0/30). Jeli nie pasuje, route-mapa koczy
testy i przekazuje pakiet do normalnego procesu routingu. W tablicy routingu znajduje si tylko jeden
wpis statyczny - trasa wskazuje na pierwsze cze:
ip route 0.0.0.0 0.0.0.0 169.254.10.1
Poniewa w trakcie podry, pakiet przechodzi pomidzy interfejsem oznaczonym jako ip nat inside
(interfejs Ethernet0) a jednym z dwch interfejsw oznaczonych jako ip nat outside wykonywany jest
NAT.
O kolejnoci sprawdzania na jaki zakres adresw zNATowa pakiet, decyduje kolejno wpisw ip nat
inside [...]. W naszej konfiguracji s dwa:
ip nat inside source list 1polowkaLAN pool ISP1 overload
ip nat inside source list 2polowkaLAN pool ISP2 overload
Wpisy te wprost mwi: pakiety z adresami rdowymi pasujcymi do ACL o nazwie 1polowkaLAN maj
zosta zNATowane na adresy z puli ISP1, a pakiety z adresami rdowymi pasujcymi do 2polowkaLAN
na pul adresw ISP2.
Notatka: Warto zwrci uwag, e ruch mona rozkada nie tylko ze wzgldu na
adres/podsie IP. Mgby na przykad zechcie kierowa ruch dla typowych usug kierowa
na jedno cze, a ca reszt na drugie - dziki temu, uytkownicy popularnych aplikacji P2P,
czy namitni cigacze wszystkiego co tylko mona za pomoc FTP nie bd przeszkadza
czytajcym poczt.
Musisz zmieni ACLk 2polowkaLAN:
ip access-list extended 2polowkaLAN
permit tcp 192.168.0.0 0.0.0.255 any eq 22
permit tcp 192.168.0.0 0.0.0.255 any eq 23

permit
permit
permit
permit
permit
permit
permit
permit
permit
permit

tcp 192.168.0.0 0.0.0.255 any eq


udp 192.168.0.0 0.0.0.255 any eq
tcp 192.168.0.0 0.0.0.255 any eq
tcp 192.168.0.0 0.0.0.255 any eq
tcp 192.168.0.0 0.0.0.255 any eq
tcp 192.168.0.0 0.0.0.255 any eq
tcp 192.168.0.0 0.0.0.255 any eq
tcp 192.168.0.0 0.0.0.255 any eq
tcp 192.168.0.0 0.0.0.255 any eq
icmp 192.168.0.0 0.0.0.255 any

25
53
80
110
143
445
465
993
995

Teraz ruch do serwerw popularnych usug oraz ruch ICMP bdzie wychodzi czem, na ktre
wskazuje route-mapa ruch_z_lan, a ca reszt ruchu router skieruje tam gdzie wskazuje
zwyky wpis w tablicy routingu.

A co jeli mam wicej cz - na przykad 3?


Musisz doda kolejne wpisy w route-mapie, wskazujce dla jakiego unikalnego typu ruchu kolejne
interfejsy.

A co z lokalnym ruchem do/z routera?


W zasadzie ca konfiguracj routingu mona wykona za pomoc routingu wg zasad (bez statycznego
wpisu w tablicy routingu dotyczcego trasy domylnej), ale wtedy musisz dodatkowo okreli polityk dla
tzw. ruchu lokalnego, czyli ruchu do/z routera.
Poniej taki przykad - do konfiguracji z przykadu powyej dodajemy definicj route-mapy, ktra kieruje
ruch lokalny na oba cza w zalenoci od tego, ruchu do jakiego IP dotyczy. Innymi sowy, jeli kto np.
spinguje Twj drugi interfejs, pasowa bdzie dopiero drugi wpis w route-mapie (RuchLokalny permit
20) i dopiero on spowoduje skierowanie pakietu odpowiedzi drugim czem.
ip local policy route-map RuchLokalny
!
! dodajemy route-map dla ruchu lokalnego - jeli robisz to zdalnie,
! powysz komend dodaj NA KOCU!
!
route-map RuchLokalny permit 10
match ip address 100
set ip next-hop 169.254.10.1
! cay ruch pasujcy do ACL 10 przerzu na interfejs, dla ktrego nastpnym
! "hopem" jest 169.254.10.1 i zakocz sprawdzanie route-mapy
!
route-map RuchLokalny permit 20
match ip address 101
set ip next-hop 169.254.20.1
! jeli tu doszede, cay ruch pasujcy do ACL 10 przerzu na interfejs,
! dla ktrego nastpnym "hopem" jest 169.254.20.1
!
ip access-list extended 100
remark ACL pasuje do ruchu do puli cza ISP #1
permit ip any 169.254.10.0 255.255.255.252
ip access-list extended 101
remark ACL pasuje do ruchu do puli cza ISP #2
permit ip any 169.254.20.0 255.255.255.252
W tym momencie, moesz usun z routera wpis statyczny domylnego routingu, wskazujcy na
pierwsze cze.

....eksportu danych NetFlow?


Jeli chcesz zbiera informacje o strumieniach danych przepywajcych przez router, moesz skorzysta z
mechanizmu NetFlow i zewntrznego systemu, ktry dane te przerobi i np. przedstawi graficznie.
Pamitaj, e na wikszoci maych platform eksport danych NetFlow powoduje znaczny wzrost obcienia
routera - przemyl to zatem.
Z punktu widzenia routera naley wykona nastpujce polecenia:
! Wczamy CEF:
router(config)# ip cef
! Konfigurujemy mechanizm NetFlow:
router(config)# ip flow-export version 5 peer-as
! uywamy wersji 5 NetFlow, wikszo kolektorw obsuguje poprawnie
! tylko ten format
router(config)# ip flow-export source-interface FastEthernet 0/0
! wskazujemy interfejs najbliszy sieci w ktrej znajduje si kolektor,
! najlepiej oczywicie gdyby by to interfejs bezporednio do tej sieci
! podczony
router(config)# ip flow-export destination adres_IP port_docelowy
! wskazujemy adres IP kolektora i port docelowy, na ktrym bdzie on nasuchiwa
! Dla IOSw 12.2/12.3:
router(config)# ip flow-cache timeout active 1
! a dla IOSw 12.0/12.1:
router(config)# ip flow-cache active-timeout 1
! Na kadym interfejsie, z ktrego ruch ma wchodzi w skad
! zbieranych statystyk:
router(config-if)# ip route-cache flow
Wicej o mechanimie NetFlow przeczyta moesz tutaj: http://www.cisco.com/go/netflow. Jeli
natomiast chcesz skonfigurowa stacj odbierajc informacje z routera, zajrzyj pod te adresy:
http://www.linuxgeek.org/netflow-howto.php
i
http://www.ncne.org/training/techs/2002/0127/presentations/200201-fullmer1_files/v3_document.htm.

...routingu pomidzy VLANami na kartach WIC-4ESW, NM-16ESW lub NM32ESW?


Wspomniane karty s przecznikami L2, ale dziki moliwoci stworzenia na routerze logicznych
interfejsw VLAN, mona stworzy mapowanie warstwy drugiej (VLAN przypisany do portu) na warstw
trzeci (adres IP przypisany do logicznego interfejsu o numeracji zgodnej z numerem VLANu).
Oba rodzaje moduw wymagaj oprogramowania IP Plus - o ile w routerach 1711 i 1712 w ktrych skad
wchodzi modu WIC-4ESW oprogramowanie to znajduje si "w zestawie" o tyle do pozostaych routerw,
na ktrych moduy te s obsugiwane (WIC-4ESW dla 1721/1751/1760, oraz moduy NM-16ESW i NM32ESW dla serii 2600, 3600 i 3700) naley to oprogramowanie dokupi.
Konfiguracj naley rozpocz od zdefiniowania w bazie danych VLANw konkretnych VLANw, ktre
chcemy zaoy. Zakadam, e naszym celem jest stworzenie dwch VLANw - 10 i 20:
router# vlan database
router(vlan)# vlan 10 name Siec1
VLAN 10 added:
Name: Siec1
router(vlan)# vlan 20 name Siec2
VLAN 20 added:

Name: Siec2
router(vlan)# exit
APPLY completed.
Exiting....
router#
Teraz naley fizyczne porty na przeczniku przypisa do jednego z tych dwch VLANw - 10 lub 20.
Zakadam, e pierwsze dwa porty przypisujemy do 10, a pozostae dwa do 20:
router(config)# interface range FastEthernet 0/0 - 1
router(config-if-range)# switchport mode access
router(config-if-range)# switchport access vlan 10
router(config-if-range)# exit
router(config)# interface range FastEthernet 0/2 - 3
router(config-if-range)# switchport mode access
router(config-if-range)# switchport access vlan 20
Pozostaje stworzy logiczne interfejsy VLAN10 i VLAN20, do ktrych przypiszemy adresy IP (i ktre bd
dla stacji w odpowiednich VLANach domylnymi bramkami). Zakadam, e sie VLAN10 ma adresacj
192.168.10.0/24 przy czym .1 to adres routera, a VLAN20 ma adresacj 192.168.20.0/24 przy czym .1
to adres routera.
router(config)# interface vlan 10
router(config-if)# ip address 192.168.10.1 255.255.255.0
router(config-if)# no shutdown
router(config)# interface vlan 20
router(config-if)# ip address 192.168.20.1 255.255.255.0
router(config-if)# no shutdown
Do tak stworzonych logicznych interfejsw VLAN x mona przypisa oczywicie ACLki, inspecty, routemapy itp.

Rozdzia 9. Routing
Mam na routerze dwa interfejsy z nadanymi adresami IP, ale router nie chce routowa
midzy nimi. O co chodzi?
Naley wyda polecenie `ip routing'.

Jak wskaza routerowi domyln bramk?


Dodajc tras w ten sposb:
router(config)# ip route 0.0.0.0 0.0.0.0 adres_bramki
lub
router(config)# ip route 0.0.0.0 0.0.0.0 nazwa_interfejsu_do_bramki
Innymi sowy, jeli cay ruch ma trafia pod adres 169.254.10.1, napisz:
router(config)# ip route 0.0.0.0 0.0.0.0 169.254.10.1
...a jeli adres bramki jest zmienny (np. Neostrada+), wska interfejs odpowiedzialny za terminowanie

IP, czyli np.:


router(config)# ip route 0.0.0.0 0.0.0.0 Dialer 0
UWAGA! Jeli wpis ma wskazywa na interfejs Ethernet, powiniene poda adres IP bramki! Wpisanie
nazwy interfejsu moe nie zadziaa tak, jak chciae.

Na jednym routerze mam wiele rnych protokow routingu. Informacje ktrego z


nich, znajd si w tablicy routingu?
Informacje podawane przez protok, ktry ma najmniejszy dystans administracyjny (ang. administrative
distance). Jest to miara "wiarygodnoci" danych, podawanych przez konkretny protok routingu.
Poniej lista rodzajw tras i ich dystansw administracyjnych - ta o najniszej wartoci znajdzie si w
tablicy routingu i bdzie uywana:
trasa
trasa
trasa
trasa
trasa
trasa
trasa
trasa
trasa
trasa
trasa

podczona
wpisana statycznie
sumaryczna EIGRP
pozyskana z eBGP
pozyskana z internal EIGRP
pozyskana z IGRP
pozyskana z OSPF
pozyskana z IS-IS
pozyskana z RIP
pozyskana z external EIGRP
pozyskana z iBGP

0
1
5
20
90
100
110
115
120
170
200

Jak przebiega proces routingu na routerach Cisco? Co jest brane pod uwag?
W procesie routingu uczestnicz trzy niezalene od siebie zagadnienia:

Aktywne procesy routingu dziaajce na routerze - np. BGP, EIGRP i OSPF.

Zawarto tablicy routingu, ktra otrzymuje informacje od procesw routingu i udziela pewnych
informacji procesowi fizycznie przekazujcemu pakiety

Proces przekazujcy pakiety (ang. forwarding process), ktry na podstawie informacji z tablicy
routingu podejmuje decyzje co i jak wysa.

Generalnie obowizuje zasada, e najdokadniejszy wpis w tablicy routingu zwycia, tj. najduszy
pasujcy prefiks do danej sieci ma pierwszestwo nad bardziej oglnymi. Jeli pakiet przeznaczony jest
do hosta o adresie 10.1.10.5, a w tablicy routingu istniej dwa wpisy: do sieci 10.1.10.0/24 i do sieci
10.0.0.0/16, uyty zostanie ten pierwszy.
Procesy routingu dostarczaj tablicy routingu najlepszych tras, zachowujc dla siebie trasy o gorszych
metrykach - czyli miarach "wartoci" danej trasy. Decyzja co wpisa do tablicy routingu, jeli wiele
procesw posiada tras do jednej sieci, podejmuje si na podstawie dystansu administracyjnego (mona
go dla danego protokou zmieni). W ramach tego samego protokou routingu, w tablicy routingu mog
pojawi si rwnolege trasy, jeli wynika to wprost z konfiguracji, lub metryki tych tras s sobie rwne
(nie myl dystansu administracyjnego i metryk!)
Doskonay
artyku
na
ten
temat
znajduje
si
tutaj:
http://www.cisco.com/en/US/tech/tk365/tk207/technologies_tech_note09186a0080094823.shtml.

Co to jest trasa pywajca (ang. floating route)?


Tras pywajcych uywa si do uruchamiania cz zapasowych. Wykorzystuj one zasad dziaania tablicy
routingu - tylko wpis o najlepszym dystansie administracyjnym znajdzie si w tablicy. Wpisy o gorszym
dystansie czekaj na zniknicie lub uniewanienie lepszego wpisu.
Zamy, e posiadasz router z interfejsem szeregowym (Serial 0) i ISDN. Chciaby wykorzystywa cze
ISDN ale tylko wtedy, gdy trasa przez cze szeregowe nie dziaa. Wystarczy, e zdefiniujesz dwa wpisy o
bramce domylnej - jeden wskazujcy na interfejs szeregowy, a drugi na interfejs ISDN (Dialer), ale o
znacznie gorszej metryce. Pamitaj, e trasy statyczne maj domylnie metryk 1:
router(config)# ip route 0.0.0.0 0.0.0.0 Serial 0
router(config)# ip route 0.0.0.0 0.0.0.0 Dialer 1 200
Podczas normalnej pracy (interejs szeregowy dziaa) w tablicy znajduje si tylko wpis wskazujcy na
interfejs Serial 0. Jeli interfejs ten zmieni stan na down, wpis zostanie wycofany z tablicy routingu i
router sprawdzi, czy do tej sieci nie prowadzi inny wpis - w naszym przypadku bdzie taki, wskazujcy na
interfejs Dialer 1. Po pewnym czasie, interfejs szeregowy zapewne znowu si podniesie - router znowu
sprawdzi tablic routingu i zamieni wpis wskazujcy na Dialer 1 na wpis wskazujcy na Serial 0, poniewa
ten ostatni ma lepsz metryk. Zwykle od tego momentu interfejs ISDN nie przenosi ju ruchu i po
upyniciu skonfigurowanego czasu bezczynnoci zostanie zamknity.

Chc rozkada obcienie pomidzy trasy o rwnej metryce. Jak wyglda


konfiguracja tego w IOSie?
Domylnie, router instaluje w tablicy routingu do 4 tras o tej samej metryce - z wyjtkiem BGP
(domylnie 1) i tras statycznych (do szeciu). Jeli chcesz to zmieni, w konfiguracji protokou routingu
wydaj polecenie `maximum-paths X', gdzie X to liczba od 1 do 6:
! Dla OSPF:
router(config)# router ospf 10
router(config-router)# maximum-paths 6
! Dla EIGRP:
router(config)# router eigrp 10
router(config-router)# maximum-paths 6
! Dla BGP:
router(config)# router bgp 10
router(config-router)# maximum-paths 6
! dodatkowo dla iBGP:
router(config-router)# maximum-paths ibgp 6
Pamitaj, e jeli zmieniasz domylne ustawienia musisz wiedzie, co robisz.

Chc rozkada obcienie pomidzy trasy o rwnej metryce w proporcji 1:2 - jak to
zrobi?
Dopisz odpowiednio wicej tras do tej samej sieci. W przykadzie poniej preferujemy cze przez Serial
1, Serial 0 obsuguje tylko 1/3 ruchu:
router(config)# ip route 0.0.0.0 0.0.0.0 Serial 1
router(config)# ip route 0.0.0.0 0.0.0.0 Serial 1
router(config)# ip route 0.0.0.0 0.0.0.0 Serial 0

Czym si rni protok routingu typu link-state od distance-vector?


Protokoy routingu typu link-state (cze-stan), czyli OSPF, NSLP, BGP i IS-IS, opieraj swoje dziaanie o
przesyanie uaktualnie do tablic routingu. Informacje przesyane s pomidzy routerami ktre w jaki
sposb nawizay ze sob ssiedztwo. Do okrelenia metryki uywa si zwykle wielu zoonych
czynnikw. Protokoy tego typu dziaaj w oparciu o algorytmy SPF (ang. Shortest Path First), takie jak
np. algorytm Dijkstry.
Protokoy routingu typu distance-vector (dystans-wektor) takie jak RIP, RTMP czy IGRP wymieniaj si
penymi tablicami routingu co okrelone odcinki czasu. Do obliczania metryki trasy uywa si algorytmu
Bellmana-Forda.
Protok hybrydowy, EIGRP (firmowy Cisco), nazywany jest tak, poniewa co prawda wylicza metryki tras
podobnie do protokou IGRP, ale utrzymuje ssiedztwa i wysya tylko uaktualnienia jak protokoy typu
link-state.

W jaki sposb protokoy typu dystans-wektor zapobiegaj tworzeniu ptli?


Protokoy routingu typu dystans-wektor, uywaj paru mechanizmw, zapobiegajcych wadliwemu
interpretowaniu otrzymywanych informacji, lub wstrzymujcych rozpowszechnianie pewnych informacji.
S to:
Mechanizm split-horizon (dosownie podzielony horyzont)
Router rozgasza na danym czu tylko takie trasy, o ktrych dowiedzia si z rozgosze z innych
cz. Zapobiega to sytuacji, w ktrej router "A" po otrzymaniu z routera "B" informacji o trasie "X",
rozgosi j z powrotem do routera "B" z wiksz metryk.
Mechanizm poison reverse (dosownie zatruwanie wsteczne)
Kiedy trasa do jakiego miejsca docelowego zostaje wycofana, z uwagi na awari cza, router
rozgasza tak tras z nieskoczon metryk. Zapobiega to wybraniu trasy do wysania pakietw
przez mechanizm routingu.
Licznik hold-down (dosownie wstrzymania si)
Mechanizm split-horizon dziaa dobrze w sieciach, w ktrych nie ma redundantnych pocze. W
sytuacji, w ktrej routery poczone s dwoma rwnolegymi trasami, router "A" otrzymujc od
routera "B" tras do miejsca "X" czem pierwszym, moe wysa t informacj z powikszon
metryk czem drugim.
Regua hold-down mwi, e w przypadku gdy router otrzyma informacje, e trasa do danego
miejsca zostaa uniewaniona (np. w wyniku awarii), router ignoruje przez czas okrelony w
liczniku hold-down kolejne informacje o tej trasie. Aktualne ustawienie licznika hold-down mona
sprawdzi poleceniem `show ip protocol':
router#
Routing
Sending
Invalid

show ip protocol
Protocol is "rip"
updates every 30 seconds, next due in 3 seconds
after 180 seconds, hold down 180, flushed after 240

Interfejsy loopback
Co to jest interfejs loopback? Gdzie fizycznie si znajduje?
Interfejsy loopback (tak, moe by ich wiele), s wirtualnym tworem, bardzo wygodnym z paru
powodw:

Jeli tylko router dziaa, znajduj si w stanie "podniesionym" - ma to diametralne znaczenie dla
duych sieci, w ktrych stabilno tablic routingu ma znaczenie;

Poniewa mona przypisa im adres IP i wszelkie czynnoci administracyjne, "podpi" pod ten
adres (np. tak, by w pakietach Syslog, SSH, Telnet, SNMP, NTP itp. jako rdo pakietu figurowa
adres interfejsu loopback), atwo kontrolowa listy dostpu (jeden, stay adres IP do
przepuszczenia, zamiast stale zmieniajcego si adresu lub grupy adresw), zezwalajce na ruch
do i z nich, oraz atwiej zarzdza sieci zoon z wikszej liczby urzdze (jeli np. interfejsy
loopback wszystkich interfejsw w danej sieci wybrano z jednej podsieci /24, atwiej jest je po
kolei zlokalizowa);

Przy wykorzystaniu interfejsu loopback z przypisanym adresem IP, wygodnie pracuje si z


interfejsami unnumbered - router moe mie dziesi interfejsw fizycznych, z ktrych kady
wskazuje jako swj adres IP aktualny adres interfejsu loopback;

RIP
Co to jest RIP?
RIP jest starym i obecnie rzadko uywanym w konstrukcji nowoczesnych sieci protokoem typu dystanswektor. Nowsza wersja RIPa, wersja 2 (opisana w RFC 1723) rni si od starszej wersji (v1, RFC 1058)
tym, e oprcz sieci przenosi jej mask, co efektywnie oznacza, e RIP wspiera VLSM (ang. Variable
Length Subnet Masks, czyli sieci z maskami rnych dugoci). RIP w wersji 2 wspiera rwnie
uwierzytelnianie, co pozwala zwikszy bezpieczestwo sieci, a take rozgaszanie informacji
routingowych za pomoc multicastw (na adres 224.0.0.9).
RIP rozsya co 30 sekund na port 520/udp (v1, wersja druga uywa multicastw dla normalnych
rozgosze i unicastw na port 520/udp dla uaktualnie wyzwolonych przez jak zmian w sieci) cae
tablice routingu do swoich ssiadw. Jako jedynej metryki uywa liczby przeskokw (hopw) do danej
sieci. Poniewa pole to ma maksymaln warto 16, efektywnie obnia to skalowalno sieci do 15 hopw
(gdzie 1 hop = sie podczona bezporednio, a 16 = sie nieosigalna). Podstawowym problemem w
protokole RIP s zatem sytuacje, w ktrych teoretycznie gorsza trasa (skadajca si np. z 5 a nie z 2
hopw), jest bardziej niezawodna, ma wiksz przepustowo itp. - a RIP nie bierze tego pod uwag.

Jak wyglda podstawowa konfiguracja RIPv1?


Standardowo, proces RIP zaczyna prac po wydaniu w trybie konfiguracji polecenia:
router(config)# router rip
Samo polecenie nie zrobi jednak niczego atrakcyjnego - proces RIP wystartuje, ale nie bdzie jeszcze
zajmowa si routingiem. Dopiero wskazanie sieci, ktr ma zaj si RIP, powoduje rozpoczcie pracy.
Zamy, e mamy sie skadajc si z dwch routerw, tak jak na rysunku poniej:

Polecenie `network 172.16.0.0' wydane na routerze "rtr_1" spowoduje, e RIP rozpocznie


przetwarzanie rozgosze RIP na wewntrznym interfejsie routera. Dopiero dodanie polecenia `network
192.168.0.0' spowoduje, e router "rtr_2" zacznie otrzymywa rozgoszenia RIP od swojego ssiada. Po
dodaniu na routerze "rtr_2" analogicznej konfiguracji (do tego czasu "rtr_2" bdzie otrzymywa
rozgoszenia, ale ignorowa je), zobaczymy e routery "dowiedziay si" o istnieniu sieci podczonych do
interfejsw FastEthernet ssiadw:
! Na routerze rtr_1:
rtr_1(config)# router rip
rtr_1(config)# network 172.16.0.0
rtr_1(config)# network 192.168.0.0
! Na routerze rtr_2:
rtr_2(config)# router rip
rtr_2(config)# network 10.0.0.0
rtr_2(config)# network 192.168.0.0
W gwnej tablicy routingu, trasy poznane dziki dziaaniu protokou RIP oznaczone s liter "R":
rtr_1# show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
[...]
P - periodic downloaded static route
Gateway of last resort is not set
C
R
C

172.16.0.0/24 is subnetted, 1 subnets


172.16.0.0 is directly connected, FastEthernet0
10.0.0.0/8 [120/1] via 192.168.0.254, 00:00:03, Serial0
192.168.0.0/16 is directly connected, Serial0

A jak uruchomi na routerze RIP w wersji 2?


Dodajc do definicji procesu RIP polecenie `version 2', np. tak:
router(config)#
router(config)#
router(config)#
router(config)#

router rip
version 2
network 192.168.0.0
network 169.254.10.0

OSPF
Co to jest OSPF?
OSPF (ang. Open Shortest Path First) jest protokoem dynamicznego routingu typu link-state i naley do
kategorii IGP. Kady router, w obrbie jednostek grupujcych sieci zwanych areami (obszarami), posiada
identyczn baz stanu linkw. Na bazie tych informacji tworzone jest drzewo najkrtszych cieek i wpisy
do tablicy routingu. Podstawowymi cechami odrniajcymi go od protokow typu distance-vector s:

metryki/koszty przejcia pakietu przez dany link;

oszczdno pasma - uaktualnienia wysyane s na skutek zmiany stanu danego linku, a nie w
formie okresowych rozgosze;

szybka konwergencja - zdolno do uzyskania stanu stabilnego po wykryciu zmiany w drzewie


pocze sieciowych;

struktura hierarchiczna;

wsparcie dla VLSM (subnetowania sieci);

moliwo uwierzytelniania ssiadw (przylegych wzw w rozumieniu sesji OSPF);

Jak dziaa OSPF?


Hierarchiczny model protokou OSPF pozwala podzieli jedna wielk sie korporacyjn na mniejsze
segmenty zwane obszarami (ang. area). Obszar jest jakby samodzieln sekcj sieci, wewntrz ktrej
odbywa si wymiana LSA (ang. Link State Advertisement, rozgosze link-state), zakoczona
przeliczaniem cieek przy uyciu algorytmu SPF (ang. Shortest Path First). Podzia sieci na obszary
pozwala na ograniczenie rozmiaru tablic routingu na routerach - sieci z danego obszaru widziane s w
innych obszarach tylko w postaci zsumaryzowanej. Innymi sowy, niestabilno jakiego linku wewntrz
obszaru nie przenosi si na zewntrz.
Podzia sieci na obszary spowodowa rwnie przypisanie rnych funkcji routerom w sieci z OSPF.
Wyrniamy zatem ich nastpujce typy:

internal router - posiada wszystkie interfejsy w jednym obszarze. Jego zadania ograniczaj si do
ogaszania LSA i utrzymywania aktualnych informacji w bazach danych.

backbone router - OSPF zakada istnienie specjalnego obszaru (nazywanego area 0 bd


backbone area), ktry "spina" inne obszary ze sob. Router pracujcy w tym obszarze to
wanie backbone router.

Area Border Router (ABR) - jest to router odpowiedzialny za czenie dwch lub wikszej iloci
obszarw (jednym z nich musi by backbone area). Utrzymuje pen topologiczna baz o kadym
obszarze, do ktrego jest podczony i przesya LSA midzy nimi. LSA zawieraj zsumaryzowane
informacje dotyczce sieci w danym obszarze.

Autonomous System Border Router (ASBR) - aby wyj poza swj system autonomiczny bd
wykorzysta informacj pochodzc z innego protokou routingu (dynamicznego bd
statycznego) musisz opuci domen OSPFa. Router, na ktrym dochodzi do takiego przejcia z
ospf na inny typ routingu (poprzez np. redystrybucj routingu statycznego) to wanie ASBR.
Funkcje ASBRa spenia rwnie router na ktrym jest dokonywana redystrybucja tras statycznych
do ospfa.

Wizualnie, role poszczeglnych routerw przedstawiaj si nastpujco:

Jak router liczy w OSPFie metryk dla poczenia?


W OSPFie metryka jest okrelana mianem kosztu. Domylnie na routerach Cisco koszt jest odwrotnie
proporcjonalny do pasma danego linku wg proporcji:

Koszt

100,000,000
--------------------------pasmo w bitach na sekund

(dla pasma liczonego w kilobitach na sekund, jak np. podaje si poleceniem bandwidth
przepustowo interfejsu dla protokow routingu, wzr ten wyglda oczywicie 10^5/pasmo)

Innymi sowy, cze E1 (2Mbit/s) wg OSPF bdzie miao koszt 48, Ethernet 10Mbit/s 10, a jeden kana
64Kbit/s ISDN BRI (kana B) bdzie mia koszt 1562.

O czym pamita przy sumaryzacji?


Naley pamita o nastpujcych warunkach do spenienia:

sumaryzacji mog dokonywa tylko ABRy i ASBRy;

mona sumaryzowa do dowolnego rozmiaru podsieci (podsie ma oczywicie rozmiar potgi


cyfry 2);

sumaryzacj naley skonfigurowa rcznie, uwanie rozplanowujc sie przy podziale na obszary;

Jakie s typy LSA?


Wyrniamy 5 typw LSA:

Router-link (LSA typ 1) - wszystkie linki, ktre posiada dany router wraz z lista wszystkich
ssiadw. Rozsyany tylko wewntrz obszaru.

Network-link (LSA typ 2) - rozsyana przez DR lista wszystkich routerw w danym segmencie, dla
ktrych suy jako DR i z ktrymi utrzymuje ssiedztwo. Rozsyany tylko wewntrz obszaru.

Summary link typu 3 - przesyane midzy obszarami, sumaryzuje informacje o sieciach w danym
obszarze. Tworzy je ABR.

Summary link typu 4 - przesyana midzy obszarami, zsumaryzowana informacja o sieciach


pojawiajcych si w OSPFie wskutek redystrybucji. Tworzy je ASBR.

External link (LSA typ 5) - informacje o redystrybuowanych sieciach. Rozsyaj je ASBRy.


Wyrniamy 2 podtypy:

Typ 1 - metryka jest sum kosztu dojcia po OSPF i metryki zewntrznego protokou;

Typ 2 - metryka jest tylko kosztem zewntrznego protokou;

NSSA external link (LSA typ 7) - typ specjalnie stworzony dla obszarw NSSA, przeznaczony do
przenoszenia informacji o redystrybuowanych sieciach. Analogicznie jak LSA5 ma 2 typy. Tworzy
je ASBR.

Co jest potrzebne eby dwa routery wymieniy informacje o routingu OSPF?


Routery musz by poprawnie skonfigurowane i zestawi ze sob ssiedztwo (ang. adjacency). Samo
zestawienie sesji OSPF midzy routerami skada si z kilku etapw:
ustanowienie ssiedztwa

Nastpuje wymiana pakietw OSPF Hello pomidzy routerami przyczonymi do jednego segmentu
sieci (hello protocol). W pakietach hello routery umieszczaj ID innych routerw od ktrych
usyszay wczeniej hello w tym segmencie. Jeli dany router zobaczy swj router ID w pakiecie
hello od innego routera, uznaje, e ma ju z nim ustanowion przylego (adjacency). Przylego
jest warunkiem koniecznym do wymiany baz danych swoich linkw miedzy routerami.
wybr DR i BDR
W rodowiskach rozgoszeniowych (broadcastowych) takich jak Ethernet, Token-Ring, i FDDI nie
ma sensu, by kady router wymienia sesj OSPF z kadym routerem. Liczba takich sesji byaby
rwna n*(n-1)/2, gdzie n jest liczb wzw w danym segmencie. Dla 10 routerw byoby to 45
sesji. W zamian za to wybiera si pord routerw w segmencie tzw. Designated Router (DR) oraz
Backup Designated Router (BDR) i z nimi wszystkie routery zapinaj sesje. W rodowiskach
nonbroadcast multiaccess (NBMA) tj. Frame Relay, DR i BDR musz zosta specjalnie
skonfigurowane. W poczeniach point-to-point wyznaczanie DR i BDR nie jest konieczne.
DR zajmuje si dystrybucj informacji routingowych uzyskanych od routerw danym segmencie.
Gdy DR padnie, zastpuje go BDR, a nowy BDR jest wybierany z pozostaych routerw. Kryterium
wyboru DR i BDR oparte jest o priorytet routera (najwyszy wygrywa). Domylnie wszystkie
routery maj priorytet 1 i wygrywa ten o najwyszym numerze router-id. Router-id to adres
interfejsu loopback (wirtualny interfejs routera, ktry nigdy "nie pada") bd najwyszy adres z
innego typu interfejsw routera (jeli nie ma loopbacka). Stosowanie interfejsw loopback na
routerach korzystnie wpywa na wybr DR/BDR, a co za tym idzie stabilno sesji ospf. Warto
jednak wymusi by DR i BDR byy "najsilniejszymi" routerami w danym segmencie. Mona tym
sztucznie wysterowa ustawiajc na interfejsie "silnego" routera stosunkowo wysoki priorytet
(ustawienie go na zero powoduje, e dany router na pewno nie bdzie DR/BDR).
wymiana informacji routingowych
Po ustanowieniu ssiedztwa (i wybraniu DR/BDR dla segmentw wielodostpowych), routery z
OSPFem s gotowe do wymiany informacji o sieciach, ktre wzajemnie posiadaj. Informacje od
stanach linkw na danym routerze jest wymieniana poprzez tzw. Link State Updates (LSUs). LSU
zawieraj LSA, opisujce stan wszystkich linkw bd sieci, o ktrych routery posiadaj informacje.
Wszystkie te LSA s przechowywane w link-state database, nazywanej czasem topological
database. Ta link-state database jest perspektyw, z jakiej router widzi sie. Wszystkie routery po
zakoczeniu procesu wymiany informacji powinny mie identyczne link-state database (co nie
oznacza, e takie same tablice routingu!).

Jak sprawdzi aktualny stan ssiadw danego routera OSPF?


Tabelka stanw OSPF mona przejrze poleceniem `show ip ospf neighbor'.
Stan
DOWN
ATTEMPT
INIT
TWO-WAY

Znaczenie
Nie odpowiada na hello
Wysane hello, ale jeszcze brak odpowiedzi
Usyszane hello, ale jeszcze nie ma status ssiada
Pene ssiedztwo. W takim stanie pozostaj 2 routery w
rodowiskach multiaccess, gdy aden z nich nie jest DR ani BDR

EXSTART/
EXCHANGE/
LOADING
FULL

Kolejne etapy majce na celu transfery bazy LSA miedzy ssiadami.


Stan penego zsynchronizowania baz LSA.

DR/
BDR/
DROTHER

Oznacza, e dany ssiad jest DR bd BDR bd adnym z nich.

Tak jak wskazaa powysza tabelka stabilnymi stanami midzy ssiadami s:

dla rodowisk multiaccess:

FULL/DR lub FULL/BDR midzy routerem w segmencie a (B)DRem;

2WAY/DROTHER midzy 2 routerami niebdcymi DR ani BDR;

dla rodowisk point-to-point stan FULL

Jeli w rezultacie komendy `show ip ospf neighbor' widzimy, e stan na jakim podejrzanym
interfejsie/linku odbiega od powyszych wskaza wtedy postpujemy wg wskaza z poniszej tabelki:
Utrzymujcy si
stan
Oznacza
Sprawd....
------------------------------------------------------------------------------DOWN
Nie ma odpowiedzi od
...czy dany interfejs dziaa.
adnego ssiada
Jeli dziaa, to sprbuj wysa:
ping 224.0.0.6
powinni odpowiedzie potencjalni
ssiedzi na linku
ATTEMPT

Wysane HELLO, ale brak


odpowiedzi

INIT

Wysane i otrzymane
HELLO, ale nie ustanowione
ssiedztwo

2WAY/DR
lub
2WAY/BDR

W rodowiskach multiaccess normalne.

2WAY

W rodowiskach p-to-p oznacza


problemy z rozpoczciem
transferu bazy topologicznej.

EXSTART
lub
EXCHANGE
lub
LOADING

Sprawd, czy dany ssiad


odpowiada, np. pingiem do niego

Transfer bazy topologicznej ...MTU (czy takie same) oraz link


midzy ssiadami nie moe
fizyczny. Wylij wiksze
poprawnie doj do skutku
(1550 bajtowe) pingi do ssiada

Jak skonfigurowa OSPF?


Poniszy schemat znacznie to uatwia:

Czy jest jaki przewodnik po budowaniu sieci z OSPFem?


Cisco udostpnio swoje zalecenia co do budowania sieci wykorzystujcych protok OSPF. Jest on
dostpny
pod
adresem
http://www.cisco.com/en/US/tech/tk365/tk480/technologies_design_guide09186a0080094e9e.shtml, a
PDF tego samego materiau pod adresem http://www.cisco.com/warp/public/104/1.pdf.

Routing BGP
Co to jest BGP?
Border Gateway Protocol jest protokoem typu external (zewntrznym, cho moe rwnie pracowa w
konfiguracjach wewntrznych), a suy gwnie do komunikowania si routerw brzegowych rnych
systemw autonomicznych. Wyrnikiem systemu autonomicznego (AS) jest jego numer, przyznawany w
Europie przez RIPE. Protok BGP w wersji 4 posiada zaimplementowane mechanizmy ochrony przed
zaptleniami pakietw i jest powszechnie stosowany dla zapewnienia komunikacji miedzy sieciami
dostawcw internetu (ang. Internet Service Providers, ISP).
Komunikacja midzy routerami wymieniajcymi wzajemnie tablice BGP (ang. peer, neighbor) oparta jest
o protok tcp, port 179. Routery nalece do rnych AS'w i wymieniajce tablice BGP dziaaj w
ramach external BGP (EBGP).

Jak kady protok routujcy, BGP zarzdza tablicami routingu, wymienia informacje routingowe i opiera
decyzje o routowaniu na metryce. Podstawow funkcj jest wymiana informacji o dostpnoci danej sieci
zawierajca informacje o licie cieek ASw. Ta informacja moe by wykorzystana do skonstruowania
grafu dostpnoci systemu autonomicznego. W informacjach rozgoszeniowych peerom BGP podsyana
jest tylko optymalna cieka do danej sieci.

Co to jest numer AS?


Kady system autonomiczny musi posiada swj unikalny identyfikator ASN (Autonomic System
Number), nadawany przez odpowiedni organizacj (w Europie jest to RIPE). Numer ten jest
identyfikatorem wszystkich routerw BGP danego systemu. Powielenie numeru na zewntrz grozi
wyczeniem duych obszarw sieci ze wzgldu na wewntrzne zabezpieczenia protokou przed
zaptleniem. Do celw testowych mona uy prywatny numer AS z puli 64512-65535 - naley jednak

pamita, e nie wolno ogasza takiego prywatnego ASa do swoich BGP peerw.

Jaki potrzebuj router do obsugi BGP?


Osobnym zagadnieniem wanym przy uruchamianiu BGP jest wybr platformy sprztowej do obsugi
pocze internetowych. Na chwil obecn pena tablica BGP to ponad 174 tysicy wpisw
(http://www.cymru.com/BGP/robbgp01.html) - na obrbk takiej iloci, czsto zmieniajcych si danych,
na dodatek otrzymanych od co najmniej 2 ISP potrzebny jest silny router z niema iloci pamici.
Zuycie zasobw moemy sprawdzi przez:
router_bgp# sh proc memory | inc Holding|BGP
PID TTY Allocated
Freed
Holding
Getbufs
75
0
11856640
11855460
8008
0
121
0 971742788
51185912
85739960
4940
122
0
30531708 846392840
95900
14707036
123
0
23816
4834392
32876
0
142
0
20688180
20687760
6968
0
149
0
15935988
14198940
6828
0
153
0
20680512
20675960
6976
0

Retbufs Process
0 BGP Open
0 BGP Router
2799936 BGP I/O
0 BGP Scanner
0 BGP Open
0 BGP Open
0 BGP Open

..oraz:
router_bgp# sh proc cpu | exc 0.00% 0.00% 0.00%
CPU utilization for five seconds: 61%/31%; one minute: 36%; five minutes: 35%
PID Runtime(ms)
Invoked
uSecs
5Sec
1Min
5Min TTY Process
3
37272304
1981781
18807 0.00% 0.36% 0.42%
0 Check heaps
15
1331000
4103026
324 0.00% 0.03% 0.00%
0 ARP Input
22
744268
1573286
473 0.07% 0.02% 0.00%
0 Net Background
41
11547076 55980307
206 0.15% 0.07% 0.08%
0 IP Input
49
7493092
110337
67911 0.00% 0.09% 0.06%
0 IP Background
75
484
208
2326 0.76% 0.34% 0.09%
2 Virtual Exec
95
1549732
106200
14592 0.00% 0.02% 0.00%
0 Per-minute Jobs
112
3285676 20064138
163 0.00% 0.01% 0.00%
0 SNMP ENGINE
119
18127088 12981037
1396 0.07% 0.01% 0.10%
0 OSPF Router
121
18955580 34540455
548 0.07% 0.12% 0.12%
0 BGP Router
123
2648032 10310905
256 0.00% 0.01% 0.00%
0 BGP I/O
124
277728220
1697064
163655 29.08% 4.38% 3.70%
0 BGP Scanner
Powysze statystyki zebrano na routerze 7200 z moduem NPE-300.
Generalnie, naley zaoy, e 128MB pamici to ju dzisiaj za mao, eby utrzyma pene tablice i
zapewni jednoczenie sensown funkcjonalno. Jako minimum, zalecamy zatem routery 3825/3845
(wydajno wg Cisco odpowiednio 225 i 500kpps) - mona je rozbudowa do 1GB RAMu i posiadaj
wydajno na dolnym puapie sensownej obsugi 1-2 ISP. Oczywicie routery 3660 rwnie mona
rozbudowa do 256MB RAMu, ale od grudnia 2003r. routery te nie s ju ani produkowane ani
sprzedawane.
Powiniene jednak powanie rozway zakup routera klasy 7200 z moduem NPE-400 lub NPE-1G do
obsugi "powanego" BGP. (NPE-400 posiada wg Cisco wydajno do 400kpps, ale mona je rozbudowa
do maksymalnie 512MB RAM, NPE-1G do 1GB RAM).

Jak waciwie dziaa BGP?


Pod ktem konwergencji BGP naley do jednych z wolniejszych protokow routingu. Awaria poczenia
wykrywana jest po ok. 1 minucie (chyba, e wczymy funkcj "bgp fast-external-fallover", ale
nie jest to zalecane), nie moe si zatem rwna si z szybkimi protokoami IGP tj. OSPF czy EIGRP (tam
awaria wykrywana jest po paru sekundach). Jednak takie spowolnienie reakcji moe by dosy korzystne
w przypadku Internetu - zbyt szybka reakcja na chwilowe flapnicie (przejcie ze stanu dziaania do
awarii i po chwili z powrotem) linku mogaby zachwia stabilnoci Internetu. Ponadto BGP znacznie lepiej
si skaluje w internecie - uycie innego protokou do internetu takiego jak OSPF spowodowaby

natychmiastowe przecienie routera. Zaimplementowany mechanizm nie akceptowania od neighborw


cieek zawierajcych wasny numer ASa zabezpiecza przed zaptleniami.
Do badania dostpnoci neighborw BGP uywane s pakiety Hello standardowo przesyane co 60
sekund. Nie dotarcie trzeciego z kolei pakietu Hello implikuje "pooenie" sesji BGP. Standardowo zatem
pad poczenia, na ktrym zapita jest sesja BGP, wykrywany jest po 3 minutach.

Jakich atrybutw uywa BGP?


cieka ASw
Jest list numerw ASw, ktre update dotyczcy danej sieci musia przej, by osign dany
router. Numer AS jest dodawany na pocztku cieki w momencie przejcia przez dany system
autonomiczny. Numery AS przedzielone s w ciece spacj.
Next hop
Jest adresem IP nastpnego kroku, ktry powinien by uyty celem dojcia do danej sieci. Uwaga:
wpis w tablicy routingu w polu next hop moe mie adres IP gatewaya, do ktrego dany router nie
jest przyczony. Wane, by inny wpis w tablicy routingu kierowa na ten hop. Np. w poniszym
przykadzie w tablicy routingu na routerach B i C znajduje si wpis kierujcy do sieci 10.205.0.0/16
(informacja z BGP) na next hop o adresie 10.25.10.2. aden z tych 2 routerw nie jest
bezporednio podpity do gatewaya o tym adresie, ale w tablicy routingu znajduje si rwnie
informacja o tym, jak doj do sieci 10.25.10.0/30 (uzyskana z OSPFa), dziki temu pakiety do
sieci 10.205.0.0 bd mogy swobodnie doj.

Naley wic przy projektowaniu systemu autonomicznego pomyle o skonfigurowaniu zarwno


protokou BGP do komunikacji ze wiatem zewntrznym oraz jakiego protokou typu IGP np. OSPF
wewntrz samego systemu - od biedy funkcje IGP mgby przej iBGP, ale:

jak wspomniano jest bardzo powolny w reagowaniu na awarie pocze;

na wikszoci maych routerw Cisco (1000, 1600, 1700, 2500) BGP nie jest dostpne w
standardowej wersji IOSa;

jest protokoem typu distance-vector, nie biorcym pod uwag parametrw technicznych
linku takich jak jego przepustowo;

Waga (ang. weight) i local-preference


Gdy mamy dostpnych kilka cieek do jednego celu, musimy jako ustawi preferencj jednej nad
drug. Do tego su wanie parametry: weight i local-preference. Znaczenie ich jest podobne tzn.
im wysza waga lub local-preference dla danej cieki tym cieka jest bardziej podana. Rnica
polega na tym, e:

Parametr "weight" jest wany tylko w obrbie danego routera, natomiast local-preference
przenosi si w obrbie caego ASa (ale nie poza nim!),

Wysza waga ma pierwszestwo nad wyszym local-preference.

Standardowe wartoci to:

Dla wagi, jeli router jest tzw. originatorem danej sieci (ma j w konfiguracji wpisan j
komenda network bd drog redystrybucji) wtedy 32768, dla innych sieci zero;

Dla local-preference jest to 100;

Oczywicie te wartoci mona modyfikowa, np. dla wagi przy konfiguracji jak na rysunku poniej:

...gdy z dwch rde dostajemy t sam sie 175.10.0.0 moemy ustawi wysz wag dla
jednego z kierunkw na 3 sposoby:

Przy uyciu `ip as-path access-list':


router bgp 300

neighbor
neighbor
neighbor
neighbor

1.1.1.1
1.1.1.1
2.2.2.2
2.2.2.2

remote-as 100
filter-list 5 weight 2000
remote-as 200
filter-list 6 weight 1000

!
ip as-path access-list 5 permit ^100$
ip as-path access-list

Przy uyciu route-map:

router bgp 300


neighbor 1.1.1.1 remote-as 100
neighbor 1.1.1.1 route-map SETWEIGHTIN in
neighbor 2.2.2.2 remote-as 200
neighbor 2.2.2.2 route-map SETWEIGHTIN in
!
ip as-path access-list 5 permit ^100$
!
route-map SETWEIGHTIN permit 10
match as-path 5
set weight 2000
route-map SETWEIGHTIN permit 20
set weight 1000

Przy uyciu komendy `neighbor

router bgp 300


neighbor 1.1.1.1
neighbor 1.1.1.1
neighbor 2.2.2.2
neighbor 2.2.2.2

IP_ssiada weight waga':

remote-as 100
weight 2000
remote-as 200
weight 1000

Local-preference moemy natomiast zmodyfikowa np. route-map:

! Na routerze D:
router bgp 256
neighbor 3.3.3.4 remote-as 300
route-map SETLOCALIN in
neighbor 128.213.11.1 remote-as 256

!
ip as-path 7 permit ^300$
!
route-map SETLOCALIN permit 10
match as-path 7
set local-preference 200
!
route-map SETLOCALIN permit 20
!
UWAGA: Naley zwrci uwag na pusta instancj route-map! W przypadku jej braku, wszystko,
co nie pasowao do wzorca w poprzednich instancjach zostanie odrzucone.
Metryka
O ile weight i local-preference byy parametrami pozwalajcymi na ustawianie preferencji
przychodzcych prefiksw BGP (a co za tym idzie trasy dla pakietw danych wychodzcych z
naszego ASa do wiata), o tyle do wpywania na tras powrotn pakietw ze wiat do nas musimy
uy innych mechanizmw. Pierwszym z nich jest metryka inaczej okrelana jako multi-exit
discriminator (MED). W przeciwiestwie do local-preference, przenosi si ona poza AS, z tym, e
nie dalej ni ssiadujcy AS. Jeli nasz prefiks przesyamy w dwch kierunkach, ale w pierwszym z
nich markujemy go metryk wysz ni defaultowa (0), a w drugim nie ustawiamy jej
(pozostawiamy zero), to spowodujemy, e pakiety powrc do nas drug z tras.
Poniszy przykad pokazuje rzeczywiste rozwizanie jakie zaimplementowalimy na czach do
Ebone. W poniszym przykadzie, gdzie AS64513 ogasza przez 2 rne sesje BGP do AS64512 ten
sam prefix, ale z rnymi metrykami: 0 i 20, ruch z AS64512 do sieci 192.168.192.0/24 pjdzie
lew ciek.

Standardowo dany AS porwnuje metryk dla tego samego prefiksu otrzymanego z 2 rnych sesji
BGP, ale tylko, gdy obie sesje zapite s midzy tymi samymi parami ASw. Dopiero wczenie
komendy: `bgp always-compare-med' powoduje wczenie na danym routerze porwnywania
metryk w prefiksach otrzymanych z dwch rnych rde. Niestety bardzo rzadko ISP wczaj
tak funkcj, wic ten mechanizm by dobry w powyszy przykadzie, ale niezbyt czsto jest
przydatny.
Drug metod na wpywanie na drog pakietw powrotnych do naszych sieci jest manipulacja
dugoci ogaszanej cieki poprzez sztuczne jej wyduania tzw. prepend. Po prostu ogaszamy
jak ciek dalej z naszym numerem ASa dodanym w niej wicej ni raz.
BGP community

Jest atrybutem sucym do markowania (tagowania) okrelonych prefiksw, celem okrelenia ich
przynalenoci do jakiej grupy prefiksw oraz pniejsze rozrnianie po tym zamarkowaniu
pord innych prefixw. Zwyczajowo przyjo si, e w danej organizacji community maja posta
<numer AS>:<numer community> np. 8246:1.
Znane s rwnie powszechnie znane community suce okrelonym celom:
Community
No-export
No-advertised

Prefiksw oznaczonych tym community.....


... nie ogaszaj do peerw eBGP
... nie ogaszaj nikomu

Przykad konfiguracji:
router bgp 100
neighbor 3.3.3.3 remote-as 300
neighbor 3.3.3.3 send-community
neighbor 3.3.3.3 route-map setcommunity out
!
route-map setcommunity
match as-path 1
set community 200 additive
!

Jak w BGP wybierana jest cieka?


Algorytm wyboru cieki w BGP jest nastpujcy:

Jeli cieka wskazuje next hop, do ktrego nie ma dojcia, update jest usuwany.

Wybierana jest cieka z wiksza wag.

Jeli wagi s takie same, wybierana jest z wyszym local-preference.

Jeli local-preference s takie same, wybierana jest cieka zdefiniowana generowana (origin) na
danym routerze (komend network lub droga redystrybucji).

Nastpnie wybierana jest ta z krtsz ciek.

IGP < EGP < incomplete

Najniszy MED

EBGP ponad IBGP

Najniszy nexthop

Najniszy Router-ID

Jak skonfigurowa BGP?


Poniszy schemat znacznie to uatwia:

UWAGA: standardowo wczona jest opcja auto-summary. Powoduje ona, e:

Przy redystrybucji z np. RIPv2 do BGP, sieci pojawiaj si w tablicy BGP z mask classful

Wpisanie sieci komend network nawet bez maski, powoduje, e ta sie musi by obecna w RIB z
dokadnoci do dugoci prefixu

Chciabym uruchomi BGP - skd mam wzi swj numer AS?


Po pierwsze, zastanw si czy BGP jest Ci na pewno potrzebne. Nie potrzebujesz BGP jeli:
Masz pojedyncze poczenie do Internetu
Zastosuj po prostu domyln tras statyczn, wskazujc na router brzegowy Twojego ISP. To
Twj ISP zadba, o rozgoszenie informacji o osigalnoci Twojej sieci (zakresu publicznych adresw
IP) w Internecie.
Masz wiele pocze, ale tylko do jednego ISP
Zwykle w takich sytuacjach chodzi o zapewnienie redundancji poczenia Twj ISP - Ty. Nadal to
Twj ISP dba o widoczno publicznego zakresu adresw IP przypisanych do Twojej instalacji.
Nie masz odpowiedniego sprztu do obsugi BGP.
W zalenoci od wybranego scenariusza BGP, bdziesz potrzebowa routera klasy
17xx/18xx/26xx/28xx (pobierasz tylko trasy domylne i rozgaszasz swoje IP), klasy
36xx/37xx/38xx (pobierasz cz tras od jednego ISP i ca tablic od drugiego ISP) oraz
37xx/38xx/7xxx (pobierasz od wszystkich ISP do ktrych jeste poczony pene wiatowe tablice
BGP).
Zawsze jednak skonsultuj si z kim, kto ma praktyk w konfiguracji BGP - wane bdzie aktualne
obcienie Twojego routera i inne czynniki, ktre mog wpyn na wybr scenariusza.
Formularz
podania
o
wasny
numer
http://www.ripe.net/ripe/docs/asnrequestform.html.

AS

dla

RIPE

znajduje

si

tutaj:

Co to jest PI i czym rni si od PA?


Pula adresowa PA, czyli Provider Aggregatable przyznawana jest lokalnym dostawcom (LIR, Local
Internet Registry), do dalszego wykorzystania i podziau np. na pule adresowe dla uytkownikw.
Pula adresowa PI, czyli Provider Independent (niezalena od dostawcy), jak sama nazwa wskazuje,
oznacza przydzia zakresu adresw dla konkretnego uytkownika kocowego. Oznacza to, e otrzymujesz
wasn, unikaln pul adresw w Internecie, nie nalec do nikogo innego. Zwr jednak uwag, e jeli
bdzie to pula z prefiksem /23 lub /24, mog (nie musz) pojawi si mniejsze lub wiksze problemy z
osigalnoci Twojej sieci w Internecie (niektrzy ISP odrzucaj informacje dokadniejsze ni /20, /21 czy
/22 akceptujc tylko "oglniejsze" informacje).
Dokadniej rnice midzy PI a PA opisano w tym dokumencie: http://www.ripe.net/ripe/docs/ipv4policies.html#pa_pi.
Formularz
zamwienia
na
przestrze
adresow
http://www.ripe.net/ripe/docs/pi-requestform.html
http://www.ripe.net/ripe/docs/iprequestform.html.

PI
a

dla

RIPE
dla

znajduje
PA

si

tutaj:
tutaj:

Czy jest jaki przewodnik po budowaniu sieci z BGP?


Przed konfiguracj BGP najlepiej duo poczyta. Cisco stworzyo osobn sekcj swojej strony WWW
powiconom
zagadnieniom
zwizanym
z
BGP.
Znajduje
si
ona
pod
adresem
http://www.cisco.com/pcgi-bin/Support/browse/psp_view.pl?p=Technologies:BGP.
Bardzo dobry przewodnik po konfiguracji BGP z opisem konkretnych scenariuszy znajduje si pod
adresem http://www.cisco.com/univercd/cc/td/doc/cisintwk/ics/icsbgp4.htm, dokadny opis polece pod
adresem
http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_configuration_guide_chapter09186a
00800d97fc.html, warto rwnie zajrze do ksiki Sama Halabiego, do ktrej link znajduje si na
pocztku tego FAQ w rozdziale powiconym dokumentacji.

Rozdzia 10. QoS - limitowanie, gwarantowanie i kontrola


pasma
Co tak naprawd oznacza akronim QoS?
QoS to dokadnie akronim od Quality of Service, czyli Jako Usugi.
Jest to bardzo popularne sowo-klucz stosowane (na nieszczcie), gwnie w materiaach handlowych i
oznacza zwykle tylko malutki fragment caej rozlegej dziedziny, zajmujcej si gwarantowaniem jakoci
usug w sieciach.
Wedug Cisco, na moliwo zapewnienia QoS w sieci skada si:

Klasyfikacja ruchu (ang. Traffic Classification) - chodzi o moliwo identyfikacji otrzymanego


ruchu tak, by na tej podstawie mona byo pniej ksztatowa jego charakterystyki, czy
gwarantowa mu np. pierwszestwo, lub stae pasmo. W skad klasyfikacji ruchu na routerach
Cisco wchodz zagadnienia:

Routingu wedug zasad (ang. policy-based routing), czyli wprost wskazywania, e ruch o
danej charakterystyce powinien by routowany w taki a nie inny sposb

Commited Access Rate

Class-Based Weighted Fair Queuing

Zarzdzanie zatorami (ang. Congestion Management) - prba ograniczenia wpywu niesfornych


protokow i aplikacji na pozostay ruch wymieniany w sieci. W skad wchodzi:

Weighted Fair Queuing

Class-Based Weighted Fair Queuing

Priority Queuing

Custom Queuing

Unikanie zatorw (ang. Congestion Avoidance) - prba proaktywnego zapobiegania wysyceniu


cza, lub wprost narzucanie polityki uniemoliwiajcej danemu rodzajowi ruchu wysycenia caego
dostpnego pasma.

Random Early Detection / Weighted Random Early Detection

Commited Access Rate

Jeli chodzi o klasyfikacj, czsto sysz akronimy ToS, Precedence i DSCP - o co


chodzi?
ToS, czyli Type of Service (Rodzaj Usugi) to standard definicji "klasy ruchowej" pakietu IP, opisany
dokadniej w RFC 1349. Definiuje sze "typw" ruchu, i przypisuje kademu z nich warto, zapisywan
do bitw 3-6, w 1-bajtowym polu nagwka pakietu IPv4. Pole Precedence to warto z bitw 0-2 tego
samego 1-bajtowego pola, okrelajce "pierwszestwo" danego ruchu.
DSCP, czyli Differentiated Services Codepoint, zdefiniowany w nowszym standardzie (RFC 2474), opisuje
jak za pomoc tego samego, 1-bajtowego pola w nagwku IPv4 podzieli ruch na klasy troch inaczej posugujc si przy tym bitami 0-5, pozostae dwa pozostawiajc jako nieuywane.
Za pomoc odczytywania lub oznaczania pakietw pasujcych do konkretnych kryteriw, routery i
przeczniki s w stanie rnicowa traktowanie ruchu w sieci. Zwykle zakada si, e inteligentne
urzdzenia sieciowe (zwykle chodzi o przeczniki, ale czasami wykonuj t prac rwnie routery)
znajdujce si najbliej stacji uytkownikw, serwerw, czy innych urzdze generujcych ruch,
oznaczaj rne rodzaje ruchu rnymi etykietami ToS/Precedence lub DSCP (wg przyjtego w danej
sieci standardu; dobrze jest robi w taki sam sposb w caej sieci pod swoj kontrol), a kolejne
urzdzenia "w acuszku" posuguj si ju tymi etykietami do priorytezacji ruchu, gwarantowania pasma
czy jego ograniczania.

Jak skonfigurowa...
...prioretyzacj okrelonego ruchu za pomoc PQ?
PQ, czyli Priority Queueing (kolejki z priorytetami) uywa czterech kolejek i klasyfikowania ruchu do
jednej z nich. Kolejki te nazywaj si od posiadajcej najwikszy priorytet high, przez medium, normal
do low.
Cech charakterystyczn PQ jest fakt, e dopki jakiekolwiek pakiety znajduj si w kolejce o wyszym
priorytecie, router nie wyle pakietw oczekujcych w kolejkach o priorytecie niszym. atwo
doprowadzi w ten sposb do "umierania" transmisji, klasyfikowanych do kolejek o niszych priorytetach.
Zamy, e chcemy prioretyzowa cay ruch SSH, ICMP oraz Telnet. W kolejnej, mniej wanej kolejce
powinien znale si ruch DNS, ISAKMP (500/udp) oraz ESP (protok 50). Do trzeciej kolejki wrzucimy
ruch WWW, SMTP, POP3, IMAP4 a caa reszta ruchu trafi do domylnej, czwartej, najmniej
uprzywilejowanej kolejki:
!
interface serial 0.99
priority-group 10
! do interfejsu szeregowego przypisujemy grup priorytetw o
! identyfikatorze 10
!
! konfigurujemy wspomnian grup priorytetw:
priority-list 10 protocol ip high list 100

priority-list 10 protocol ip
priority-list 10 protocol ip
priority-list 10 default low
!
! access lista 100 - wybiera
ip access-list extended 100
permit tcp any any eq 22
permit tcp any any eq 23
permit icmp any any
!
! access lista 110 - wybiera
ip access-list extended 110
permit udp any any eq 53
permit udp any any eq 500
permit esp any any
!
! access lista 120 - wybiera
ip access-list extended 120
permit tcp any any eq 25
permit tcp any any eq 80
permit tcp any any eq 110
permit tcp any any eq 143

medium list 110


normal list 120
ruch SSH, ICMP oraz Telnet:

ruch DNS, ISAKMP i ESP:

ruch WWW, SMTP, POP3, IMAP4:

...prioretyzacj okrelonego ruchu za pomoc CQ?


CQ, czyli Custom Queueing (kolejkowanie konfigurowalne) jest mechanizmem podobnym do PQ, ale
moemy po pierwsze uywa do 16 kolejek, a po drugie oprniane one s na zasadzie round-robin:
najpierw X bajtw z kolejki pierwszej, pniej Y bajtw z kolejki drugiej i tak dla wszystkich kolejek i od
pocztku. Taka konstrukcja zapobiega wymieraniu potokw mniej uprzywilejowanych.
Poniej analogiczna konfiguracja, jak w przykadzie z PQ:
!
interface serial 0.99
custom-queue-list 10
!
! konfigurujemy kolejkowanie, tworzc cztery kolejki: 1, 2, 3 i 4
queue-list 10 protocol ip 1 list 100
queue-list 10 protocol ip 2 list 110
queue-list 10 protocol ip 3 list 120
queue-list 10 default 4
!
! dla kadej z kolejek, okrelamy limity ruchowe w bajtach:
queue-list 1 queue 1 byte-count 3000
queue-list 1 queue 2 byte-count 2000
queue-list 1 queue 3 byte-count 1000
queue-list 1 queue 4 byte-count 500
!
! access lista 100 - wybiera ruch SSH, ICMP oraz Telnet:
ip access-list extended 100
permit tcp any any eq 22
permit tcp any any eq 23
permit icmp any any
!
! access lista 110 - wybiera ruch DNS, ISAKMP i ESP:
ip access-list extended 110
permit udp any any eq 53
permit udp any any eq 500
permit esp any any
!
! access lista 120 - wybiera ruch WWW, SMTP, POP3, IMAP4:
ip access-list extended 120
permit tcp any any eq 25
permit tcp any any eq 80

permit tcp any any eq 110


permit tcp any any eq 143

...kolejkowanie WFQ?
WFQ, czyli Weighted Fair Queueing (waone, sprawiedliwe kolejkowanie) jest domylnym mechanizmem
kolejkowania, wczonym na interfejsach szeregowych o przepywnoci do 2Mbit/s. WFQ klasyfikuje ruch
w potoki, przy czym do jednego potoku nale pakiety o takim samym rdowym i docelowym adresie
IP, portach TCP/UDP, nalece do tego samego protokou i posiadajce t sam warto pola ToS (Type
of Service).
Jeli na interfejsie wyczono WFQ, mona je wczy wydajc polecenie `fair-queue'.

...przycinanie pasma dla okrelonego ruchu?


Cisco oferuje mechanizm CAR (Commited Access Rate) oraz GTS (Generic Traffic Shape). O ile CAR po
prostu odrzuca pakiety przekraczajce zadane wartoci (i moe dziaa zarwno dla ruchu wchodzcego
jak i wychodzcego), GTS stara si delikatniej wpywa na przebieg transmisji, manewrujc opnieniami
pakietw, gdy pasmo zajmowane przez wskazany typ ruchu zblia si do zaoonych ogranicze. GTS
dziaa tylko dla ruchu wychodzcego z routera.
Przycicie ruchu FTP do 256kbit/s przez CAR:

interface Ethernet0
rate-limit input access-group 100 256000 8192 8192 conform-action transmit exceedaction drop
rate-limit output access-group 100 256000 8192 8192 conform-action transmit exceedaction drop
!
access-list 100 permit tcp any any eq ftp
access-list 100 permit tcp any eq ftp any
access-list 100 permit tcp any any eq ftp-data
access-list 100 permit tcp any eq ftp-data any
Przycicie ruchu FTP do 256kbit/s przez GTS:

interface Ethernet0
traffic-shape group 100 256000 8192 8192
!
access-list 100 permit tcp any any eq ftp
access-list 100 permit tcp any any eq ftp-data

...ksztatowanie ruchu za pomoc CBWFQ?


CBWFQ, czyli Class-Based WFQ (WFQ oparte o klasy), jest potnym mechanizmem, umoliwiajcym
czenie wielu rnych innych mechanizmw w jedn cao na interfejsie routera.
Aby wykorzysta CBWFQ, naley najpierw wskaza, czyli inaczej sklasyfikowa ruch, ktry bdzie
traktowany w rny sposb - innymi sowy, podzieli go na klasy. Cisco IOS daje wiele metod klasyfikacji
- moemy wskazywa oglnie protokoy (np. IP, EIGRP, ESP), dowolny ruch pasujcy do jakiego rodzaju
ACLek (np. tylko ruch do konkretnego hosta na port 80/tcp itp.), a take z wykorzystaniem mechanizmu
NBAR, zagbia si w konstrukcj pakietu i np. wykrywa sieci P2P.

W poniszym przykadzie wyjdziemy z nastpujcych zaoe:

Posiadamy symetryczne cze 2Mbit/s

Przede wszystkim interesuje nas ruch z wewntrznych serwerw poczty i WWW - chcemy, by
miay w ruchu wychodzcym gwarantowane do 1Mbit/s ruchu, przy czym jeli "rozpdz" si
powyej 1,2Mbit/s zaczynamy ten ruch shape'owa by nie wysyci nam zupenie pasma w ruchu
wychodzcym;

Aplikacjom typu SSH czy Telnet dajemy osobne 256kbit/s starajc si, by pakiety nalece do
tego ruchu utrzymyway moliwie mae opnienia. Podobnie jak dla powyszego ruchu, powyej
384kbit/s zaczynamy ten ruch shape'owa.

Statycznie przycinamy cay ruch UDP i ICMP do po 64kbit/s zarwno przychodzcy jak i
wychodzcy. Nie spodziewamy si otrzymywa wicej ruchu tego typu w jednostce czasu, a na
pewno nie bdziemy rwnie wicej generowa (to w ograniczonym stopniu powstrzyma te
trojany, ktre mog zainstalowa si na stacjach naszych uytkownikw i prbowa
przeprowadza ataki DDoS na innych uytkownikw Internetu)

Przycinamy wszelakie protokoy P2P ktre jestemy w stanie rozpozna do minimalnej wartoci 16kbit/s. To nie zablokuje w caoci ruchu i nie zagwarantuje, e ruch P2P nie wysyci naszego
pasma od ISP do naszego routera (pojedyczy request z aplikacji P2P potrafi wygenerowa wiele
jednoczesnych strumieni ktre s w stanie zapcha naprawd wielkie cza), ale bdzie naszym
sposobem na kontrol tego, co kontrolowa trudno.

Ca reszt ruchu kolejkujemy wg WFQ w 64 osobne potoki.

class-map match-any cm_serwery


match access-group name acl_serwery
! klasa cm_serwery wybiera tylko ruch pasujcy do ACL acl_serwery
class-map match-any cm_ruch_gwarantowany
match access-group name acl_ruch_gwarantowany
! klasa cm_ruch_gwarantowany wybiera tylko ruch pasujcy do ACL
! acl_ruch_gwarantowany
class-map match-any cm_udp_icmp
match access-group name acl_udp_icmp
! klasa cm_udp_icmp wybiera tylko ruch pasujcy do ACL acl_udp_icmp
class-map match-any P2Ptraffic
match protocol kazaa2
match protocol http url "\.hash=*"
match protocol gnutella
match protocol napster
match protocol fasttrack
match protocol bittorrent
! wykorzystujemy tutaj funkcjonalno NBAR; umoliwia ona routerowi
! zagldanie do wntrza przesyanych danych i analiz ich
! przynalenoci do rnego rodzaju aplikacji
!
policy-map pm_lan2internet
class cm_serwery
bandwidth 1016
! ruch zaliczony do klasy cm_serwery ma gwarantowane
! pasmo do 1Mbit/s, przy czym
shape average 1256000 32768 32768
! jeli zajmie 1,25Mbit/s zaczyna by shape'owany
class cm_ruch_gwarantowany
bandwidth 256
! ruch zaliczony do klasy cm_ruch_gwarantowany ma gwarantowane
! pasmo do 256kbit/s, przy czym
shape average 384000 32768 32768
! jeli zajmie 384kbit/s zaczyna by shape'owany
class cm_udp_icmp
police 256000 conform-action transmit exceed-action drop
! ruch zaliczony do klasy cm_udp_icmp jest odrzucany jeli
! przekracza 256kbit/s
class P2Ptraffic
police 16384 conform-action transmit exceed-action drop
! ruch zaliczony do klasy P2Ptraffic powinien zosta

! przycity do 16kbit/s, z uwagi na mechanizmy dziaania


! aplikacji tego typu trudno spodziewa si jednak e
! to ograniczenie bdzie dziaao zawsze idealnie do
! zadanej przepustowoci
class class-default
fair-queue 64
! pozostay ruch, ktry nie trafi do adnej z klas powyej
! rozkadany jest do 64 niezalenych kolejek
!
ip access-list extended acl_serwery
permit tcp host 192.168.10.10 eq 25 any
permit udp host 192.168.10.10 eq 53 any
permit tcp host 192.168.10.11 eq 80 any
permit tcp host 192.168.10.10 eq 110 any
permit tcp host 192.168.10.10 eq 143 any
!
ip access-list extended acl_ruch_gwarantowany
permit tcp any any eq 22
permit tcp any any eq 23
!
ip access-list extended acl_udp_icmp
permit icmp any any
permit udp any any
Oczywicie, tak stworzon konfiguracj naley przypisa jeszcze do interfejsu:
!
interface Serial 0.99
description Polaczenie WAN
service-policy output pm_lan2internet
!
interface FastEthernet 0
description Polaczenie LAN
ip nbar protocol-discovery

Co to jest NBAR?
NBAR, czyli Network-Based Application Recognition, to mechanizm "wykrywania" na podstawie ogldania
zawartoci pakietw, do jakiej aplikacji lub usugi danych ruch naley.
NBAR pojawi si w IOSie 12.0(5)XE2 i jest dostpny w podstawowej wersji oprogramowania (nawet na
maych platformach). Aby go uy, musisz zdefiniowa na interfejsie polityk (service policy), ktra w
ramach class-map sprawdzajcych kryteria przynalenoci ruchu do klas zawiera sprawdzanie protokou
poleceniem `match protocol [...]'. W przykadzie powyej uyto funkcjonalnoci NBAR do wykrycia
protokow takich jak Bittorrent, Kazaa1/2 itp.
Przykadowe statystyki udostpniane przez polecenie `show ip nbar protocol-discovery' poniej:
router# show ip nbar protocol-discovery
Serial0/0.99
Input
Output
Packet Count
Packet Count
Byte Count
Byte Count
5 minute bit rate (bps) 5 minute bit rate (bps)
------------------------ ------------------------ -----------------------kazaa2
386586
338412
Pierwsza linijka to odpowiednio ilo pakietw wchodzcych
i wychodzcych, ktre sklasyfikowano jako nalece do danego protokou
Protocol

403005080
121530825
Kolejna linijka to ten sam podzia na ruch wchodzcy i

wychodzcy, ale wyraony w bajtach


567000
380000
Ostatnia linijka to aktualne statystyki za ostatnie
5 minut pracy, w bitach na sekund
http
393493
205820
322833938
103136747
123000
122000
ssh
263541
158289
391470822
9749154
220000
10000
[...]
Wicej
o
obsugiwanych
standardach
i
idei
dziaania
przeczyta
mona
tutaj:
http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a
00800c75d1.html#54116,
a
konfiguracj
opisano
np.
tutaj:
http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a
00800c75d0.html#80560.

Rozdzia 11. Bezpieczestwo


Poszukuje informacji o zabezpieczaniu routerw, przecznikw...
Bardzo wiele informacji znajduje si na stronach Cisco:
http://www.cisco.com/go/safe
Caa strona powicona zabezpieczaniu sieci opartych o sprzt Cisco. Zawiera dokumenty z serii
SAFE, nieocenione rdo wiedzy jeli chodzi zarwno o kompleksowe podejcie teoretyczne, jak i
praktyczne do budowy bezpiecznej sieci.
http://www.cisco.com/warp/public/707/21.html
Improving Security on Cisco Routers
Dokument zawierajcy podstawowe wskazwki dotyczce zwikszania bezpieczestwa routerw.
http://www.cisco.com/warp/public/707/index.shtml
Cisco's Security Technical Tips
Strona z seri porad dotyczcych bezpieczestwa.
http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123cgcr/sec_vcg.htm
Cisco IOS Security Configuration Guide, Release 12.3
Podrcznik do najnowszej obecnie wersji IOS (12.3), opisujcy wszystkie zagadnienia zwizane z
bezpieczestwem i podstawy ich konfiguracji.
http://www.cisco.com/go/autosecure
Cisco AutoSecure
Opis dostpnego od wersji 12.3 mechanizmu AutoSecure, uatwiajcego zabezpieczenie routera.
Dodatkowo, ciekawe materiay znale mona na innych stronach:

NSA Security Recommendation Guides


Dokumenty opisujce rekomendowane przez NSA (National Security Agency, Agencj
Bezpieczestwa Narodowego USA) konfiguracje routerw Cisco. Rewelacyjna lektura.
Building Bastion Routers Using Cisco IOS
Publikacja w ramach ezinu Phrack, ktrego nikomu chyba nie trzeba przedstawia. Dotyczy
starszych wersji IOSw, ale przedstawia metodyczne podejcie do zabezpieczania routera i jego
otoczenia.
Dokumenty Roba Thomasa
Strona zawierajca m.in. stale aktualizowan sieci, ktre nie powinny pojawi si w Internecie
(tzw. "Bogons List"), oraz rozmaite wzorce konfiguracji i zalecenia dla optymalizacji. Doskonaa
referencja, warto czsto zaglda.
Qorbit Safe templates
Strona z wzorcami konfiguracji rnych urzdze pod konkretne zastosowania - moe okaza si
przydatna.
Black Hat briefings
Jak nietrudno zgadn, zbir prezentacji ze zlotw konferencji ludzi zajmujcych si
bezpieczestwem.
Hardening Cisco Routers step-by-step
Dokument stworzony w ramach certyfikacji SANS. Warto przeczyta, wiedza zebrana z paru rde
i skompilowana.

Dostp do routera
Jak spowodowa, ebym logujc si do routera musia poda tylko haso?
Najprociej jest ustawi na wirtualnych liniach terminali (ang. VTY, Virtual TeletYpes), wymuszanie
podania konkretnego hasa:
router(config)# line vty 0 15
router(config-line)# login
router(config-line)# password jakie_haso

Jak spowodowa, ebym logujc si do routera musia poda zarwno login jak i haso?
Jeli router ma sprawdza istnienie konta o danym loginie i poprawno hasa bez zewntrznej bazy
danych, naley skonfigurowa uytkownikw lokalnie, np. tak:
router(config)# username lukasz password ala10
Nastpnie, naley wczy lokalne uwierzytelnianie:

router(config)# aaa new-model


router(config)# aaa authentication login default local
...i skonfigurowa wirtualne linie terminali tak, by wymagay uwierzytelnienia si, w oparciu o lokaln
baz uytkownikw:
router(config)# line vty 0 15
router(config-line)# login local

W jaki sposb stworzy stae mapowanie IP na MAC na routerze?


Najczciej potrzeba przypisania adresu IP do MAC karty sieciowej wynika z chci zablokowania
uytkownikom, moliwoci samowolnej zmiany adresu IP. W Cisco istnieje moliwo przypisania adresu
MAC do adresu IP poleceniem:
router(config)# arp 192.168.5.5 aaaa.bbbb.cccc arpa
! I sprawdzenie lokalnej bazy ARP:
router# show arp
Protocol Address
Internet 192.168.5.1
Internet 192.168.5.5

Age (min)
-

Hardware Addr
000c.0c93.115a
aaaa.bbbb.cccc

Type
ARPA
ARPA

Interface
Ethernet0

Jednak przypisanie takie dotyczy tylko mapowania IP -> MAC, ale nie na odwrt. Jeli komputerowi o
adresie MAC aaaa.bbbb.cccc uytkownik przypisze inny adres IP, bdzie on mg komunikowa si z
sieci. Natomiast przypisanie adresu IP 192.168.5.5 komputerowi o adresie MAC innym ni zdefiniowany
uniemoliwi komunikacj, gdy wszystkie ramki przesyane do adresu 192.168.5.5 zostana skierowane na
MAC adres aaaa.bbbb.cccc.
Jeli zatem zrobimy statyczne mapowania IP->MAC wszystkim uytkownikom, a reszt adresw IP
zablokujemy odpowiedni access-lista to uzyskamy zamierzony efekt - nikt nie bdzie mg zmieni
adresu IP w taki sposb, aby nadal mg komunikowa si z sieci.

Chciabym upewni si, e mj router nie jest atwym celem dla wamywaczy. Co jako podstaw
polecacie?
W zasadzie najlepiej najpierw duo poczyta. Wikszo zalece sprowadza si jednak do: a) wycz
niepotrzebne usugi, b) upewnij si, e routerowi nic nie przeszkadza.
Poniej lista podstawowych polece, ktre warto wykona. Jednak UWAGA: po pierwsze moesz co
zepsu(!), po drugie takie pjcie na skrty powinno by dopiero pocztkiem do dalszej dogbnej analizy
konfiguracji!
W konfiguracji globalnej wykonaj:
router(config)#
router(config)#
router(config)#
router(config)#
router(config)#
router(config)#
router(config)#
router(config)#
router(config)#
router(config)#
router(config)#

no
no
no
no
no
no
no
no
no
no
no

service udp-small-servers
service tcp-small-servers
service finger
service dhcp
service config
service pad
ip domain-lookup
ip finger
ip http server
ip http secure-server
ip bootp server

router(config)# no ip source-route
router(config)# no snmp-server
router(config)# no cdp run
! teraz troch rzeczy wczymy:
router(config)# ip cef
router(config)# service tcp-keepalives-in
router(config)# service tcp-keepalives-out
router(config)# service password-encryption
router(config)# ip tcp path-mtu-discovery
router(config)# ip tcp selective-ack
router(config)# ip tcp timestamp
router(config)# service timestamps debug datetime localtime msec
router(config)# service timestamps log datetime localtime msec
router(config)# logging buffered 64000
! ustaw zegar i stref czasow
router# clock set HH:MM:SS DD MIE ROK
router(config)# clock timezone MST 1
router(config)# clock summer-time MET recurring last Sun Mar 2:00 last Sun Oct 3:00
! usu haso enable szyfrowane sabym algorytmem:
router(config)# no enable password
! ...i ustaw haso enable kodowane jednostronn funkcj mieszajc
router(config)# enable secret jakie_trudne_haso
W konfiguracji poszczeglnych (pod)interfejsw:
router(config-if)#
router(config-if)#
router(config-if)#
router(config-if)#
router(config-if)#

no
no
no
no
ip

ip redirects
ip directed-broadcast
ip mask-reply
ip proxy-arp
verify unicast reverse-path

Na koniec zapisz konfiguracj:


router# copy running-config startup-config

Zabezpieczanie ruchu do i przez router


Jak dziaaj ACL?
ACL, czyli Access Control List (lista kontroli dostpu) jest list regu, ktre kolejno sprawdzaj pewne
waciwoci pakietu. ACL uywane s gwnie do filtrowania pakietw na interfejsach routerw i
przecznikw, ale su te do wskazywania ruchu route-mapom, crypto-mapom itd. Pamitaj, e kad
stworzon ACLk musisz przypisa do jakiego interfejsu, lub do konkretnej funkcjonalnoci - inaczej po
prostu nie bdzie dziaa!
Dla ruchu IP interesujce s dwa typy list ACL - standardowe i rozszerzone. Standardowa lista IP pozwala
sprawdzi tylko adres rdowy pakietu, np.:
ip access-list standard 10
permit host 192.168.0.10
! Pozwalamy przej pakietom z 192.168.0.10
Kada zdefiniowana ACLka zawiera domylnie na kocu wpis odrzucajcy kady ruch (default deny), jeli
wic skonstruujesz swoj ACLk tak, by najpierw odrzucaa jaki konkretny ruch, a pniej chciaby eby
przepuszczaa pozostay, musisz go wprost przepuci, np. tak:
ip access-list standard 10

deny host 192.168.0.10


! blokujemy wprost ruch z
deny host 192.168.0.11
! blokujemy wprost ruch z
deny host 192.168.0.33
! blokujemy wprost ruch z
deny host 192.168.0.91
! blokujemy wprost ruch z
deny host 192.168.0.206
! blokujemy wprost ruch z
permit any
! przepuszczamy pozostay

192.168.0.10
192.168.0.11
192.168.0.33
192.168.0.91
192.168.0.206
ruch IP

Stworzenie standardowej listy ACL odbywa si przez nadanie jej identyfikatora od 1 do 99 (oraz od IOSu
12.0, z dodatkowego zakresu 1300-1999).
Rozszerzone ACL dostpne s w dwch rodzajach - numerowane, w zakresie od 100 do 199 (od IOS 12.0
rwnie 2000-2699), oraz nazwane. Termin rozszerzone oznacza, e pozwalaj one sprawdza ze
szczegami pewne standardowe pola pakietw (IP oraz w warstwie czwartej, czyli porty TCP/UDP oraz
rodzaje i typy ICMP).
Zamy, e chcemy zablokowa ruch do naszego routera o adresie 169.254.10.1 na port 80. Moemy
napisa:
ip access-list extended 100
deny tcp any host 169.254.10.1 eq 80
! ruch pakietw zawierajcych TCP z dowolnej lokalizacji
! (any) do hosta o adresie 169.254.10.1 na port docelowy 80
! ma zosta zablokowany
permit ip any any
! przepuszczamy pozostay ruch IP
Warto zwrci na skrcony zapis - rozszerzone listy dostpu wymagaj uycia adresu rdowego i
docelowego, jako pary adres i maska. Zamiast takiej konstrukcji mona uy sw any (odpowiada
konstrukcji 0.0.0.0 0.0.0.0, czyli dowolny adres), oraz host A.B.C.D (co odpowiada konstrukcji A.B.C.D
255.255.255.255, czyli tylko ten konkretny jeden adres).
Rozszerzone ACL oferuj pewne dodatkowe testy - podstawowe, dostpne w praktycznie wszystkich
IOSach poczwszy od 12.0 to midzy innymi:
Dla protokow TCP i UDP dostpne s sowa kluczowe sprawdzajce port:
eq X
port rdowy lub docelowy rwny X, w zalenoci od miejsca umieszczenia warunku
gt X
port rdowy lub docelowy wikszy ni X, w zalenoci od miejsca umieszczenia warunku
lt X
port rdowy lub docelowy mniejszy ni X, w zalenoci od miejsca umieszczenia warunku
range X Y
zakres portw rdowych lub docelowych od X do Y, w zalenoci od miejsca umieszczenia
warunku
Natomiast dla TCP moemy jeszcze dodatkowo wskaza flagi ustawione w pakiecie:
syn

Ustawiona flaga SYN, pocztek normalnego poczenia, np.:


!
ip access-list extended Internet2Serwer
permit tcp any gt 1023 host 169.254.10.1 eq 25 syn
!

ack
Ustawiona flaga ACK - wikszo pakietw w strumieniu TCP.
established
Specjalne sowo kluczowe, pasuje do pakietw, z ustawion flag ACK, ale zgaszon flag SYN,
RST lub FIN. Innymi sowy, chodzi o pakiety nalece do zestawionych pocze.
rst
Ustawiona flaga Reset - zwykle koniec poczenia.
Stworzon ACL naley przypisa do interfejsu. Obowizuje regua, e do jednego interfejsu mona
przypisa dwie ACLki - jedn kontrolujc ruch wejciowy i jedn kontrolujc ruch wyjciowy (z routera,
bd przechodzcy przez router i wychodzcy tym akurat interfejsem).
interface serial 0.99
ip access-group 100 in
! ruch wchodzcy interfejsem bdzie sprawdzany wg ACLki 100
ip access-group 110 out
! ruch wychodzcy interfejsem bdzie sprawdzany wg ACLki 110

Jak mog sprawdzi, czy moje ACL dziaaj?


Sprawd, czy router odnotowa jakie trafienia (hits) w poszczeglne reguy ACLki poleceniem `show ip
access-lists':
router# show ip access-lists
Extended IP access list KillWinTraffic
10 deny udp any any range 135 netbios-ss (241919 matches)
20 deny tcp any any range 135 139
30 deny tcp any range 135 139 any
40 deny udp any range 135 netbios-ss any
50 deny tcp any any eq 445 (7614819 matches)
60 deny tcp any eq 445 any
70 permit ip any any (281099 matches)
Zwr uwag na liczby w nawiasach w reguach 10, 50 i 70. Jest to ilo pakietw, ktra pasowaa do
danej reguy i router albo je odrzuci (reguy 10 i 50), albo przepuci dalej (regua 70).

Jak zoptymalizowa ACLk?


Nie jest to pytanie proste, ale sprbujmy na nie zgrubnie odpowiedzie.
Na pocztek warto wiedzie, e ACLki z dodanym sowem kluczowym log (czyli logujce trafienie),
powoduj przejcie procesora routera w tryb process switching. Dla duego ruchu, korzyci z

wykorzystania innych optymalizacji, w tym optymalniejszych cieek komutacji, zostaj w tym momencie
zniweczone.
Po pierwsze, dla dugich ACLek (od 6 wpisw i wicej), w niektrych IOSach (od 12.0(6) linii S, oraz od
12.3 dla niektrych routerw mniejszych) istnieje moliwo pre-kompilowania regu w kod
optymalniejszy do testowania na kadym pakiecie. Funkcjonalno ta nazywa si Turbo Access List (Cisco
uywa jej zamiennie z compiled Access List i jako takie pojawiaj si w sowach kluczowych konfiguracji
routera) i wcza si j poleceniem `access-list compiled'. Router wykona w tym momencie proces
optymalizacji ACLek duszych ni 5 regu, a pniej przy kadej zmianie w ACLkach, powtrzy ten
proces. Skuteczno dziaania tej funkcji, oraz list ACLek ktre zostay skompilowane mona sprawdzi
poleceniem `show access-lists compiled':
router# show access-lists compiled
Compiled ACL statistics:
ACL
State
Entries Config Fragment Redundant
10
Operational
1
1
0
0
98
Operational
1
1
0
0
99
Operational
7
7
0
0
100
Operational
2
2
0
0
110
Operational
14
12
2
0
antispoof
Operational
42
43
0
1
block_mswin Operational
14
14
0
0
nachi_worm Operational
3
2
1
0
8 ACLs, 8 active, 1 builds, 89 entries, 3 mem fill, 762 updates
L0: 1805Kb
5/6
42/43
11/12
2/3
2/3
13/14
L1:
9Kb
67/250
11/36
13/42
15/75
L2:
55Kb
69/350 105/300
L3: 217Kb 337/500
Misc:
30Kb
Totl: 2119Kb 710 equivs (617 dynamic)

14/15

4/5

Naley pamita, e wykorzystanie tej funkcjonalnoci pochonie troch pamici (w zalenoci od iloci i
wielkoci istniejcych i tworzonych list), jednak w zamian za to, kady pakiet zostanie sprawdzony
najwyej pi razy (dla list rozszerzonych) - adres rdowy, adres docelowy, protok, opcje protokou - i
wynik, powodujcy przejcie do przetwarzania nastpnego pakietu. Funkcjonalno t opisano szerzej
pod
tym
adresem:
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120limit/120s/120s6/turbo
acl.htm.
Po drugie, staraj si ograniczy liczb regu, zawierajc w poszczeglnych warunkach jak najoglniejsze
stwierdzenia (jeli nie powoduje to oczywicie przepuszczania niechcianego ruchu). Innymi sowy, na
przykad zamiast wpisa ACLk z 254 wpisami typu permit ip 192.168.0.1, permit ip 192.168.0.2, permit
ip 192.168.0.3 zastosuj jeden wpis w ramach listy rozszerzonej, ktry bdzie brzmia permit ip
192.168.0.0 0.0.0.255 any.
Po trzecie, przemyl konstrukcj ACLki starajc si oceni, jaki ruch najczciej bdzie dociera do
Twojego routera - i jak najwczeniej w licie regu akceptuj go lub odrzucaj. Pomocne jest w tym
momencie polecenie `show ip access-lists'. Przeanalizujmy tak ACLk:
10 permit ip host 169.254.10.1 host 169.254.9.4
20 permit gre any host 169.254.20.6
30 permit udp host 150.254.183.15 eq ntp host 169.254.9.4 eq ntp (11460
matches)
40 deny ip 192.168.0.0 0.0.255.255 any (9865451 matches)
50 deny ip 173.0.0.0 0.255.255.255 any (124 matches)
60 deny ip 10.0.0.0 0.255.255.255 any
70 deny ip 172.16.0.0 0.15.255.255 any (42 matches)
80 deny ip 0.0.0.0 1.255.255.255 any
90 deny ip 2.0.0.0 0.255.255.255 any
100 deny ip 5.0.0.0 0.255.255.255 any
110 deny ip 7.0.0.0 0.255.255.255 any
120 deny ip 23.0.0.0 0.255.255.255 any (847618 matches)
130 deny ip 27.0.0.0 0.255.255.255 any
140 deny ip 31.0.0.0 0.255.255.255 any
150 deny ip 36.0.0.0 1.255.255.255 any
160 deny ip 39.0.0.0 0.255.255.255 any

170
180
190
200
210
220
230
250
260
270
280
290
300
310
320
330
340
350
360
370
380
390
400

deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny
deny

ip 41.0.0.0 0.255.255.255 any


ip 42.0.0.0 0.255.255.255 any
ip 49.0.0.0 0.255.255.255 any
ip 50.0.0.0 0.255.255.255 any
ip 58.0.0.0 1.255.255.255 any (749 matches)
ip 70.0.0.0 1.255.255.255 any
ip 72.0.0.0 7.255.255.255 any (6 matches)
ip 88.0.0.0 7.255.255.255 any
ip 169.254.0.0 0.0.255.255 any
ip 174.0.0.0 1.255.255.255 any
ip 176.0.0.0 7.255.255.255 any
ip 184.0.0.0 3.255.255.255 any
ip 189.0.0.0 0.255.255.255 any
ip 190.0.0.0 0.255.255.255 any
ip 192.0.2.0 0.0.0.255 any
ip 197.0.0.0 0.255.255.255 any
ip 198.18.0.0 0.1.255.255 any
ip 223.0.0.0 0.255.255.255 any
tcp any any range 135 139 (138750 matches)
ip 96.0.0.0 31.255.255.255 any (6974 matches)
udp any any range 135 netbios-ss (79235152 matches)
tcp any range 135 139 any (8371 matches)
udp any range 135 netbios-ss any

Wida od razu, e regua pasujca do zdecydowanie najwikszej iloci pakietw (nr. 380, 79,235,152
trafienia) znajduje si na szarym kocu - jest sprawdzana dopiero 38. Powoduje to niewielkie, ale jednak
opnienia i oczywicie przyczyna si do zwikszonego obcienia na routerze (pamitaj, e ACLka
przegldana jest za kadym razem, gdy do interfejsu dotrze, lub ma go opuci pakiet!). Porzdkujc
list wedug trafie otrzymamy co takiego:
10 deny udp any any range 135 netbios-ss (79235152 matches)
20 deny ip 192.168.0.0 0.0.255.255 any (9865451 matches)
30 deny ip 23.0.0.0 0.255.255.255 any (847618 matches)
40 deny tcp any any range 135 139 (138750 matches)
50 permit udp host 150.254.183.15 eq ntp host 169.254.9.4 eq ntp (11460
matches)
60 deny tcp any range 135 139 any (8371 matches)
70 deny ip 96.0.0.0 31.255.255.255 any (6974 matches)
80 permit ip host 169.254.10.1 host 169.254.9.4
90 deny ip 58.0.0.0 1.255.255.255 any (749 matches)
100 deny ip 173.0.0.0 0.255.255.255 any (124 matches)
110 deny ip 172.16.0.0 0.15.255.255 any (42 matches)
120 deny ip 72.0.0.0 7.255.255.255 any (6 matches)
130 permit gre any host 169.254.20.6
140 deny ip 10.0.0.0 0.255.255.255 any
150 deny ip 0.0.0.0 1.255.255.255 any
160 deny ip 2.0.0.0 0.255.255.255 any
170 deny ip 5.0.0.0 0.255.255.255 any
180 deny ip 7.0.0.0 0.255.255.255 any
190 deny ip 27.0.0.0 0.255.255.255 any
200 deny ip 31.0.0.0 0.255.255.255 any
210 deny ip 36.0.0.0 1.255.255.255 any
220 deny ip 39.0.0.0 0.255.255.255 any
230 deny ip 41.0.0.0 0.255.255.255 any
240 deny ip 42.0.0.0 0.255.255.255 any
250 deny ip 49.0.0.0 0.255.255.255 any
260 deny ip 50.0.0.0 0.255.255.255 any
270 deny ip 70.0.0.0 1.255.255.255 any
280 deny ip 88.0.0.0 7.255.255.255 any
290 deny ip 169.254.0.0 0.0.255.255 any
300 deny ip 174.0.0.0 1.255.255.255 any
310 deny ip 176.0.0.0 7.255.255.255 any
320 deny ip 184.0.0.0 3.255.255.255 any
330 deny ip 189.0.0.0 0.255.255.255 any
340 deny ip 190.0.0.0 0.255.255.255 any
350 deny ip 192.0.2.0 0.0.0.255 any
360 deny ip 197.0.0.0 0.255.255.255 any

370 deny ip 198.18.0.0 0.1.255.255 any


380 deny ip 223.0.0.0 0.255.255.255 any
390 deny udp any range 135 netbios-ss any
Warto tak "optymalizacj" przeprowadzi raz na jaki czas - charakterystyki ruchu zmieniaj si
okresowo i co co polepszyo sytuacj p miesica temu, moe teraz j pogarsza.
Po czwarte, w wikszoci topologii w jakich router moe si znale, warto unika filtrowania na
interfejsie ruchu w obu kierunkach. Jeli router posiada dwa interfejsy, to zakadajc, e filtrujemy ruch
wchodzcy na obu interfejsach, nie trzeba ju specjalnie sprawdza ruchu wychodzcego drugim
interfejsem - wiadomo, e przefiltrowalimy go ju, gdy wchodzi interfejsem pierwszym. Jeli jednak
wykonujesz routing, a jaki ruch moe by generowany z routera, by moe bdziesz musia jednak co
filtrowa - wszystko zaley od Twojej polityki bezpieczestwa.
Po pite, warto zastpowa reguy odrzucajce ruch do konkretnych adresw IP czy podsieci, statycznymi
wpisami routingu wskazujcymi na odpowiednio skonfigurowany interfejs Null 0. Routery duo lepiej
radz sobie z routowaniem ruchu (nawet jeli chodzi o routowanie do interfejsu bdcego "czarn
dziur") ni jego filtrowaniem, czy wykonywaniem skomplikowanych operacji. Innymi sowy, po
skonfigurowaniu wirtualnego interfejsu Null 0 w ten sposb:
interface Null0
description Interfejs wyrzucajcy pakiety
no ip unreachables
Wpisy w ACLce odrzucajcej ruch w ten sposb:
[...]
deny ip
deny ip
deny ip
deny ip
deny ip
deny ip
deny ip
deny ip
deny ip
deny ip
[...]

10.0.0.0 0.255.255.255 any


0.0.0.0 1.255.255.255 any
2.0.0.0 0.255.255.255 any
5.0.0.0 0.255.255.255 any
7.0.0.0 0.255.255.255 any
27.0.0.0 0.255.255.255 any
31.0.0.0 0.255.255.255 any
36.0.0.0 1.255.255.255 any
39.0.0.0 0.255.255.255 any
41.0.0.0 0.255.255.255 any

Mona zastpi nastpujcymi wpisami statycznymi routingu (zwr jednak uwag, by nie dopisa
takiego filtrowania dla adresw sieci, ktre w twojej konkretnej instalacji wystpuj!):
router#
router#
router#
router#
router#
router#
router#
router#
router#
router#

ip
ip
ip
ip
ip
ip
ip
ip
ip
ip

route
route
route
route
route
route
route
route
route
route

10.0.0.0 255.0.0.0 null 0


0.0.0.0 254.0.0.0 null 0
2.0.0.0 255.0.0.0 null 0
5.0.0.0 255.0.0.0 null 0
7.0.0.0 255.0.0.0 null 0
27.0.0.0 255.0.0.0 null 0
31.0.0.0 255.0.0.0 null 0
36.0.0.0 254.0.0.0 null 0
39.0.0.0 254.0.0.0 null 0
41.0.0.0 255.0.0.0 null 0

Po szste i ostatnie, jeli filtrujesz ruch na interfejsach wewntrznych pod ktem poprawnoci adresw
(tzn. nie chcesz, by kto w Twojej sieci 192.168.0.0/24 mg wysya pakiety z adresem rdowym np.
172.16.0.0/16), a masz lub moesz wczy mechanizm CEF, moesz ACLk w tej postaci:
ip access-list extended
deny tcp any any range
deny udp any any range
deny tcp any range 135

RuchLAN
135 139
135 139
139 any

deny udp any range 135 netbios-ss any


permit ip 192.168.0.0 0.0.0.255 any
deny ip any any
...zmodyfikowa do postaci:
ip access-list extended
deny tcp any any range
deny udp any any range
deny tcp any range 135
deny udp any range 135
permit ip any any

RuchLAN
135 139
135 139
139 any
netbios-ss any

A w zamian za to, wczy na interfejsie do ktrego przypisana bya ta ACLka, mechanizm uRPF, czyli
unicast Reverse-Path-Filtering, w ten sposb:
router# ip cef
router# conf t
router(config)# interface FastEthernet 0
router(config-if)# ip verify unicast reverse-path
Jak to dziaa? uRPF opiera swoje dziaanie o tablic budowan przez CEF - FIB (ang. Forwarding
Information Base). Po otrzymaniu przez router pakietu, przechodzi on nastpujc drog:

Sprawdzana jest wejciowa ACLka przypisana do interfejsu.

uRPF sprawdza, czy droga powrotna dla pakietu wskazuje na interfejs, ktrym dotar on do
routera - jeli nie, pakiet jest odrzucany

CEF sprawdza FIB, by wyznaczy dalsz drog dla pakietu (jeli nie zosta odrzucony)

Na interfejsie, ktrym pakiet ma opuci router, sprawdzana jest ACLka wyjciowa

Pakiet jest wysyany przez interfejs.

Innymi sowy, zamy, e masz router z dwoma interfejsami - Ethernetowym, o adresie 192.168.0.1/24
i szeregowy, z adresem 169.254.10.2/30. Po wczeniu mechanizmu CEF, budowany jest FIB. Znajdzie
si w nim wpis dla sieci 192.168.0.0/24 jako "zaczepionej" na interfejsie Ethernet. Zaraona stacja w
sieci LAN zaczyna generowa pakiety, z losowo wybranymi adresami rdowymi. Dla kadego pakietu
otrzymanego interfejsem Ethernet, router sprawdza, czy jeli przyszaby na niego odpowied, miaby
wysa j interfejsem, z ktrego wanie j odebra. Zamy, e router otrzyma pakiet ze sfaszowanego
adresu 10.7.65.2. Sprawdza tablic FIB i nie znajduje wpisu, ktry mwiby, e do sieci 10 naley
wychodzi interfejsem Ethernetowym - pakiet jest w zwizku z tym odrzucany. Na tej samej zasadzie
dziaa ochrona ruchu, otrzymywanego przez interfejs szeregowy - jeli tylko wczono na nim mechanizm
uRPF. Pakiet, ktry chciaby zosta "wstrzelony" do sieci LAN (zamy, e przyszed z adresem
nalecym do Twojej sieci LAN), zostanie odrzucony, poniewa przyszed zym interfejsem.
Dziaanie funkcji uRPF na konkretnym interfejsie potwierdzi mona wydajc polecenie:
router# show ip interface fastethernet 0
FastEthernet0 is up, line protocol is up
[...]
IP verify source reachable-via RX, allow default
! wczona weryfikacja adresw rdowych
642 verification drops
! ilo odrzuconych pakietw z uwagi na zy adres rdowy
A oglnie dla caego routera:
router# show ip traffic

IP statistics:
[...]
Drop: 0 encapsulation failed, 0 unresolved, 0 no adjacency
0 no route, 2512 unicast RPF, 0 forced drop

Rozdzia 12. VPN - Wirtualne Sieci Prywatne


Co tak naprawd oznacza akronim VPN?
VPN to Virtual Private Network, czyli wirtualna sie prywatna. Termin "wirtualna" oznacza, e jest to sie
stworzona w oparciu o wspdzielon z innymi uytkownikami infrastruktur sieciow (router, media
dostpowe itp.), ale jednak odrbna.
Sieci VPN mona zatem tworzy zarwno w oparciu o protokoy takie jak ATM czy Frame Relay (osobne
kanay PVC/SVC), MPLS (osobne instancje routingu) czy IPsec, L2TP oraz PPTP (tunele L3 lub poczenia
punkt-punkt ssiednich urzdze)

Jak skonfigurowa...
...tunel IPsec pomidzy dwoma routerami poczonymi do Internetu kanaami Frame Relay PVC?
Zakadamy, e czymy dwie lokalizacje ("A" i "B") wyposaone w pojedyncze PVC do Internetu (w obu
przypadkach DLCI 99).
Dane lokalizacji "A":

Poczenie dostpowe do routera brzegowego: 169.254.10.0/30, przy czym .1 to adres routera


ISP a .2 to adres routera klienta

Sie lokalna ma adresacj 192.168.10.0/24, przy czym .1 to adres interfejsu routera.

Ruch nie chroniony tunelem IPsec wysyany jest normalnie do Internetu, po zNATowaniu na
publiczny adres interfejsu routera.

Dane lokalizacji "B":

Poczenie dostpowe do routera brzegowego: 169.254.20.0/30, przy czym .1 to adres routera


ISP a .2 to adres routera klienta

Sie lokalna ma adresacj 192.168.20.0/24, przy czym .1 to adres interfejsu routera.

Ruch nie chroniony tunelem IPsec wysyany jest normalnie do Internetu, po zNATowaniu na
publiczny adres interfejsu routera.

Poniej konfiguracja routera w lokalizacji "A":


no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
no service dhcp
!
hostname rtr_a
!
enable password jakies_trudne_haslo

!
username user_1 password haslo_usera_1
ip subnet-zero
no ip source-route
no ip domain-lookup
ip tcp path-mtu-discovery
logging buffered 64000
!
crypto isakmp policy 1
! konfigurujemy polityk dla ISAKMP, regua #1
hash md5
! wiadomoci ISAKMP maj uywa algortmu mieszajcego MD5
! (jest szybszy ale i mniej bezpieczny ni SHA1)
authentication pre-share
! uwierzytelnienie wzw ISAKMP odbdzie si w oparciu o
! wspdzielony tajny klucz
crypto isakmp key trudne_haslo_isakmp address 169.254.20.2
! dla partnera o adresie 169.254.20.2 uywa bdziemy dla
! nawizania sesji tajnego klucza "haslo_isakmp"
! oczywicie klucz po obu stronach musi si zgadza
!
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
! Po nawizaniu sesji ISAKMP, IPsec bdzie uywa
! protokou ESP z algorytmem szyfrowania ESP i algorytmu
! mieszajcego MD5-HMAC
mode tunnel
! poczenie IPsec bdzie poczeniem w trybie tunelu
!
crypto map MapaISAKMP 1 ipsec-isakmp
! po otrzymaniu przez router pakietu ISAKMP na port 500/udp
! zaczyna on sekwencyjne sprawdzanie kolejnych regu w crypto-mapach
! ta, jedyna, ma numer 1 i zostanie sprawdzona pierwsza
set peer 169.254.20.2
! regua pasuje do partnera o adresie 169.254.20.2
set transform-set myset
! uywamy dla niego przeksztacenia o nazwie "myset"
match address 110
! ruchem szyfrowanym wg tej reguy jest ruch pasujcy do ACL 110
!
interface FastEthernet 0/0
description Polaczenie dla sieci LAN
ip address 192.168.10.1 255.255.255.0
ip nat inside
!
interface Serial0
description Konfiguracja fizycznego interfejsu szeregowego
no ip address
encapsulation frame-relay
frame-relay lmi-type ansi
!
interface Serial0.1 point-to-point
description Polaczenie do Internetu 2Mbit
ip address 169.254.10.2 255.255.255.252
frame-relay interface-dlci 99 IETF
ip nat outside
crypto map MapaISAKMP
! ruch przechodzcy przez ten interfejs, ma trafia do
! crypto-mapy MapaISAKMP
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0.1
no ip http server
!
ip nat inside source list 100 interface Serial 0.1 overload
!
access-list 100 permit ip 192.168.10.0 0.0.0.255 any
access-list 110 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
! ACLka uywana w okreleniu regu szyfrowania - podlega mu

! ruch z podsieci 192.168.10.0/24 do podsieci 192.168.20.0/24


! (z "naszego" LANu do zdalnego
!
no cdp run
!
line con 0
exec-timeout 5 0
login local
line vty 0 4
exec-timeout 5 0
login local
!
end
..a teraz konfiguracja routera w lokalizacji "B":
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
no service dhcp
!
hostname rtr_b
!
enable password jakies_trudne_haslo
!
username user_1 password haslo_usera_1
ip subnet-zero
no ip source-route
no ip domain-lookup
ip tcp path-mtu-discovery
logging buffered 64000
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key trudne_haslo_isakmp address 169.254.10.2
!
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
mode tunnel
!
crypto map MapaISAKMP 1 ipsec-isakmp
set peer 169.254.10.2
set transform-set myset
match address 110
!
interface FastEthernet 0/0
description Polaczenie dla sieci LAN
ip address 192.168.20.1 255.255.255.0
ip nat inside
!
interface Serial0
description Konfiguracja fizycznego interfejsu szeregowego
no ip address
encapsulation frame-relay
frame-relay lmi-type ansi
!
interface Serial0.1 point-to-point
description Polaczenie do Internetu 2Mbit
ip address 169.254.20.2 255.255.255.252
frame-relay interface-dlci 99 IETF
ip nat outside
crypto map MapaISAKMP
!

ip classless
ip route 0.0.0.0 0.0.0.0 Serial0.1
no ip http server
!
ip nat inside source list 100 interface Serial 0.1 overload
!
access-list 100 permit ip 192.168.20.0 0.0.0.255 any
access-list 110 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
!
no cdp run
!
line con 0
exec-timeout 5 0
login local
line vty 0 4
exec-timeout 5 0
login local
!
end

...tunel IPsec+GRE pomidzy dwoma routerami poczonymi do Internetu kanaami Frame Relay
PVC?
Zakadamy, e czymy dwie lokalizacje ("A" i "B") wyposaone w pojedyncze PVC do Internetu (w obu
przypadkach DLCI 99). Dodatkowo, chcemy chroni tunel GRE, poniewa oprcz ruchu unicastowego,
chcemy przenosi ruch broadcastowy lub np. inne protokoy (IPX itp.)
Dane lokalizacji "A":

Poczenie dostpowe do routera brzegowego: 169.254.10.0/30, przy czym .1 to adres routera


ISP a .2 to adres routera klienta

Sie lokalna ma adresacj 192.168.10.0/24, przy czym .1 to adres interfejsu routera.

Tunel ma adres 192.168.254.1, drugi koniec (po stronie drugiej lokalizacji) ma adres
192.168.254.2, w obu przypadkach uywamy maski /30.

Ruch nie chroniony tunelem IPsec wysyany jest normalnie do Internetu, po zNATowaniu na
publiczny adres interfejsu routera.

Dane lokalizacji "B":

Poczenie dostpowe do routera brzegowego: 169.254.20.0/30, przy czym .1 to adres routera


ISP a .2 to adres routera klienta

Sie lokalna ma adresacj 192.168.20.0/24, przy czym .1 to adres interfejsu routera.

Tunel ma adres 192.168.254.2, drugi koniec (po stronie drugiej lokalizacji) ma adres
192.168.254.1, w obu przypadkach uywamy maski /30.

Ruch nie chroniony tunelem IPsec wysyany jest normalnie do Internetu, po zNATowaniu na
publiczny adres interfejsu routera.

Poniej konfiguracja routera w lokalizacji "A":


no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
no service dhcp
!
hostname rtr_a

!
enable password jakies_trudne_haslo
!
username user_1 password haslo_usera_1
ip subnet-zero
no ip source-route
no ip domain-lookup
ip tcp path-mtu-discovery
logging buffered 64000
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key trudne_haslo_isakmp address 169.254.20.2
!
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
mode transport
!
crypto map MapaISAKMP 1 ipsec-isakmp
set peer 169.254.20.2
set transform-set myset
match address SiecIPSEC
! poniewa uywamy tunelu GRE, szyfrowaniu podlegaj ju pakiety
! GRE wymieniane pomidzy publicznymi adresami routerw - ta ACLka
! dokadnie to wskazuje
!
interface Tunnel0
! Dodajemy wirtualny interfejs Tunel 0
ip address 192.168.254.1 255.255.255.252
! nadajemy mu adres IP - moe to by dowolny adres prywatny,
! sensownie jest zarezerwowa sobie np. ca klas C na potrzeby
! tuneli i bra z nich kolejne /30
tunnel source Serial 0.1
! rdem tunelu jest interfejs publiczny routera
tunnel destination 169.254.20.2
! a miejscem docelowym publiczny adres naszego partnera
crypto map MapaISAKMP
! ruch przechodzcy przez ten interfejs ma by chroniony
! reguami zawartymi w crypto-mapie MapaISAKMP
!
interface FastEthernet 0/0
description Polaczenie dla sieci LAN
ip address 192.168.10.1 255.255.255.0
ip nat inside
!
interface Serial0
description Konfiguracja fizycznego interfejsu szeregowego
no ip address
encapsulation frame-relay
frame-relay lmi-type ansi
!
interface Serial0.1 point-to-point
description Polaczenie do Internetu 2Mbit
ip address 169.254.10.2 255.255.255.252
frame-relay interface-dlci 99 IETF
ip nat outside
crypto map MapaISAKMP
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0.1
ip route 192.168.20.0 255.255.255.0 Tunnel0
! statycznie wskazujemy, e ruch do podsieci 192.168.20.0/24
! (LAN naszego partnera) ma si odbywa przez Tunel 0
no ip http server
!
ip nat inside source list 100 interface Serial 0.1 overload
!
access-list 100 permit ip 192.168.10.0 0.0.0.255 any

!
ip access-list extended SiecIPSEC
permit gre host 169.254.10.2 host 169.254.20.2
! szyfrujemy ruch protokou GRE pomidzy publicznymi adresami
! partnerw
!
no cdp run
!
line con 0
exec-timeout 5 0
login local
line vty 0 4
exec-timeout 5 0
login local
!
end
..a teraz konfiguracja routera w lokalizacji "B":
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
no service dhcp
!
hostname rtr_b
!
enable password jakies_trudne_haslo
!
username user_1 password haslo_usera_1
ip subnet-zero
no ip source-route
no ip domain-lookup
ip tcp path-mtu-discovery
logging buffered 64000
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key trudne_haslo_isakmp address 169.254.10.2
!
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
mode transport
!
interface Tunnel0
ip address 192.168.254.2 255.255.255.252
tunnel source Serial 0.1
tunnel destination 169.254.10.2
crypto map MapaISAKMP
!
crypto map MapaISAKMP 1 ipsec-isakmp
set peer 169.254.10.2
set transform-set myset
match address SiecIPSEC
!
interface FastEthernet 0/0
description Polaczenie dla sieci LAN
ip address 192.168.20.1 255.255.255.0
ip nat inside
!
interface Serial0
description Konfiguracja fizycznego interfejsu szeregowego
no ip address
encapsulation frame-relay

frame-relay lmi-type ansi


!
interface Serial0.1 point-to-point
description Polaczenie do Internetu 2Mbit
ip address 169.254.20.2 255.255.255.252
frame-relay interface-dlci 99 IETF
ip nat outside
crypto map MapaISAKMP
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0.1
ip route 192.168.10.0 255.255.255.0 Tunnel0
no ip http server
!
ip nat inside source list 100 interface Serial 0.1 overload
!
access-list 100 permit ip 192.168.20.0 0.0.0.255 any
!
ip access-list extended SiecIPSEC
permit gre host 169.254.20.2 host 169.254.10.2
!
no cdp run
!
line con 0
exec-timeout 5 0
login local
line vty 0 4
exec-timeout 5 0
login local
!
end

Rozdzia 13. Telekomunikacja


ISDN
Jak prdko mog uzyska, stosujc ISDN?
ISDN dostarczany jest w dwch rodzajach: ISDN BRI, czyli Basic Rate Interface, na ktry skadaj si 2
kanay B i jeden D, oraz ISDN PRI, czyli Primary Rate Interface, skadajcy si w Europie z 30 kanaw B i
jednego D. Kanay B maj standardow przepustowo 64kbit/s, natomiast kana D dla cz BRI ma
przepustowo 16kbit/s, a dla cza PRI 64kbit/s.
Uwaga: tylko kanay B przenosz dane, kanay D uywane s tylko do sygnalizacji.

Co to jest Q.921? A Q.931? Jak to si ma do PPP czy IP?


Protokoy Q.921 i Q.931 dziaaj w kanale D poczenia ISDN. Protok Q.921 odpowiedzialny jest za
warstw drug poczenia - sygnalizacj midzy routerem a centralk ISDN. Protok Q.931 odpowiada
natomiast za konfiguracj poczenia po tym, jak w ramach protokou Q.921 strony strony uzgodni
warstw transportow.
Protokoy PPP, HDLC, IP czy IPX przenoszone s w kanale B poczenia ISDN. Protokoy PPP i HDLC to
protokoy warstwy drugiej, natomiast IP i IPX to protokoy warstwy trzeciej. Najczciej przy poczeniach
routerw przez ISDN, przenosi si pakiety IP w ramkach PPP (po uprzednim uwierzytelnieniu si).

Jak kart zastosowa do poczenia ISDN BRI w celu przenoszenia danych?


Jeli masz wolny slot WIC (routery 1600, 1700, 2600, 3600 i 3700), moesz zastosowa kart WIC-1BS/T. Zawiera ona pojedyczy port ISDN BRI.
Jeli masz wolny slot NM (routery 2600, 3600 i 3700), moesz zastosowa karty NM-4B-S/T lub NM-8BS/T, zawierajce odpowiednio 4 i 8 stykw ISDN BRI.
Jeli natomiast masz wolny slot PA (routery serii 7000) i zaley Ci na portach BRI, dostpna jest tylko
jedna karta: PA-8B-S/T, zawierajca osiem portw BRI.

Jak kart zastosowa do poczenia ISDN PRI w celu przenoszenia danych?


Jeli masz wolny slot NM (routery 2600, 3600 i 3700), moesz zastosowa kart NM-1CE1T1-PRI lub NM2CE1T1-PRI. Zawieraj one odpowiednio jeden i dwa styki ISDN PRI.

Jak skonfigurowa poczenie z routera do Internetu przez interfejs BRI?


Jest to czsto spotykana konfiguracja, w sytuacji, gdy Internet dostarczany jest np. przez poczenie z
darmow lini 0202422 TP S.A. Uwaga to tylko czciowa konfiguracja, musisz doda konfiguracj
interfejsu wewntrznego oraz NATu (jako minimum).
!
isdn switch-type basic-net3
! okrelamy typ centrali ISDN jako basic-net3 (standard w Europie)
!
interface BRI 0
no ip address
! fizyczny interfejs nie ma adresu IP
dialer pool-member 1
! jest czonkiem pierwszej puli dialerw
isdn spid1 Nasz numer telefonu
no fair-queue
no cdp enable
!
interface Dialer1
! interfejs wirtualny odpowiadajcy za przywizanie
! warstwy trzeciej
ip address negotiated
! adres IP otrzymujemy dynamicznie
encapsulation ppp
! uywamy protokou PPP
dialer pool 1
! jest czonkiem pierwszej puli dialerw
dialer remote-name ppp
! zdalny host ma nazw ppp (chodzi o przywizanie loginu do hasa)
dialer string 0202422
! dzwonimy pod numer 0202422
dialer-group 1
! jest czonkiem pierwszej grupy dzwonicej
no cdp enable
ppp authentication chap callin
! uywamy uwierzytelniania CHAP w ramach PPP
ppp multilink
! staramy si zestawi poczenie multilink PPP (oba kanay B)
ppp chap hostname TwojLogin
! login, ktre otrzymae w ramach usugi dla oglnego dostpu jest to ppp
ppp chap password TwojeHaso
! haso jak wyej dla tego numeru jest to ppp
!
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip dialer-list 1 protocol ip

Jak sprawdzi histori pocze interfejsw ISDN?


Poleceniem `show isdn history':
router# show isdn history
-------------------------------------------------------------------------------ISDN CALL HISTORY
-------------------------------------------------------------------------------History table has a maximum of 100 entries.
History table data is retained for a maximum of 15 Minutes.
-------------------------------------------------------------------------------Call
Calling
Called
Remote Seconds Seconds Seconds Charges
Type
Number
Number
Name
Used
Left
Idle
Units/Currency
-------------------------------------------------------------------------------Out
+0202124
ppp
360
0
Out
+0202124
ppp
392
0
0
--------------------------------------------------------------------------------

E1/E3
Jak kart zastosowa do poczenia E1 w celu przenoszenia danych?
Jeli masz wolny slot WIC (routery 1600, 1700, 2600, 3600 i 3700), moesz zastosowa kart VWIC1MFT-E1 lub VWIC-2MFT-E1. Zawieraj one odpowiednio jeden i dwa porty E1.
Jeli natomiast masz wolny slot PA (routery serii 7000) masz do wyboru kart PA-4E1G/75 (75 ohmw)
lub PA-4E1G/120 (120 ohmw). Kada z kart zawiera po cztery porty E1, ktre obsuguj rwnie prac
w trybie G.703.

Jak kart zastosowa do poczenia E3 w celu przenoszenia danych?


Jeli masz wolny slot NM (routery 2600, 3600 i 3700), moesz zastosowa kart NM-1T3/E3. Zawiera one
pojedyczy port E3 (przepywno do 34Mbit/s).
Jeli masz wolny slot PA (routery serii 7000) masz do wyboru kart PA-E3 (jeden port E3) lub kart PA2E3 (dwa porty E3).

ATM
Jak kart zastosowa do poczenia ATM w celu przenoszenia danych?
Jeli masz wolny slot WIC (routery 2600, 3600 i 3700), moesz uy karty VWIC-1MFT-E1 lub VWIC2MFT-E1 oraz karty-akceleratora AIM-ATM, by zaterminowa ATM.
Jeli masz wolny slot NM (routery 2600, 3600 i 3700), moesz zastosowa kart NM-1ATM. Zawiera one
pojedynczy port RJ-48C i obsuguje przepywnoci do 25Mbit/s. Warto dokupi rwnie kart-akcelerator
AIM-ATM, poniewa wydajno bez niej moe by bardzo maa.
Routery 2691, 3600 i 3725 obsuguj rwnie kart NM-1A-OC3MM, ktra zawiera styk ATM OC3 - do
przepywnoci 155Mbit/s.
Jeli masz wolny slot PA (routery serii 7000) masz do wyboru kart PA-A3-E3 (ATM w oparciu o cze E3
34Mbit/s) lub PA-A3-OC3MM (ATM w oparciu o OC3 - 155Mbit/s).

Rozdzia 14. Rodzaje komutacji w routerach Cisco


Co to jest switching? Jaki ma zwizek z komutacj?
Proces mapowania adresw warstwy 2 w 3 i przekazywania pakietw na docelowy interfejs, nosi nazwe
switchingu (po polsku komutacja).

Jakie s rodzaje switchingu?

Process Switching
Metoda ta byl pierwsz metod zaimplementowan w IOS i jest to metoda najprostsza. Pierwszy
pakiet w strumieniu (ang. flow) jest kopiowany do bufora systemowego, a nastpnie procesor
przeszukuj tablic routingu w poszukiwaniu miejsca docelowego. Suma kontrolna (CRC) liczona
jest przez procesor. Nastpnie informacje warstwy 2 s przepisywane i pakiet wysyany jest na
docelowy interfejs. Kade nastpne pakiety strumienia s komutowane podobnie.
Process switching ma najduszy czas komutacji pakietw, poniewa uywa buforw systemowych
i procesora gwnego, aby "obrobi" kady pakiet otrzymany przez router. Niemniej jednak, ten
rodzaj komutacji potrzebny jest przy niektrych zadaniach, nawet, jeli na routerze dziaaj inne,
optymalniejsze mechabuzmy komutacji - np. logowanie pakietw trafiajcych w ACLki, debugging
pakietw IP itp.
Minusy process switchingu: wymaga aby dla kadego pakietu zajrze do tablicy routingu kosztuje to czas. Jeli tablica routingu rozronie si, zwikszy si rwnie czas przetwarzania
kadego pakietu. Rekursywne zapytania take zwiekszaj czas przetwarzania pakietu. Zwiksza
si take obcienie CPU routera, co przy maych sieciach moe by do pominicia, ale przy
wikszych staje si problemem. Innym problemem rzutujacym na wydajno jest szybko
transferu danych z pamici.

Fast Switching
Fast switching uywa pamici podcznej by przechowywa informacje o przepywajcym przez
router strumieniu (ang. flow). W momencie wczenia fast switching, pierwszy pakiet w
strumieniu jest zapisywany w pamici packet (oddzielny obszar w buforach systemowych).
Nastpnie procesor przelicza mapowanie warstwy 3 na 2, zapisuje tras w pamici route (ang.
route cache) i kady nastpny pakiet ze strumienia jest ju komutowany z wykorzystaniem
zapisanych w pamiciach podrcznych informacji.
Poniewa adres pakietw w strumieniu jest ju znany, route cache suy rwnie do sprawdzenia
interfejsu docelowego, przez ktry pakiet powinien opuci router. Nastpnie pakiet ma
przepisywany nagwek warstwy 2 a procesor interfejsu oblicza sum CRC. Kolejne pakiety z
potoku nie przerywaj dziaania procesora gwnego, a poniewa interfejs docelowy jest znany
(przechowywany w route cache) rwnie bufory systemowe nie s uywane do przetrzymywania
pakietu.
Fast switching jest domylnym mechanizmem komutacji na routerach 1600, 1700, 2500 oraz
2600 na interfejsach Ethernet, FastEthernet oraz Serial. Jeli fast stwitching zostao wyczone,
mona przywroci je uywajac polecenia ip route-cache na interfejsie. Aby monitorowa
informacje o dziaaniu tego mechanizmu, naley wyda komende show ip cache.

Optimum oraz Distributed Switching


Metody te nie s dostpne w routerach serii 1600, 1700, 2500 oraz 2600. Przy optimum
switching uywana jest metoda podobna do fast switching, z tym, e po tym jak pierwszy pakiet
strumienia zosta przetworzony, informacja o trasie dla dalszych pakietw jest wpisywana do
osobnej pamici podrcznej (optimum switching cache), ktra dziaa szybciej i optymalniej ni w
metodzie fast. Optimum switching dostpne jest na routerach klasy 7200.
Aby wczy optimum switching naley wyda komende: ip route-cache optimum na kadym

interfejsie. Monitoring lub troubleshooting wymaga uycia komendy: show ip cache optimum.
Distributed switching wymaga z kolei uycia osobnych Versatile Interface Processor (VIP). Karta
VIP przechowuje lokaln kopi route cache i przeprowadza cay proces komutacji lokalnie interfejs nie musi czeka na pami.

NetFlow Switching
NetFlow switching pozwala na zbieranie informacji o ruchu IP do celw rozliczeniowych i/lub
dokadniejszej analizy obcienia sieci. NetFlow uywa domylnie fast switchingu lub optimum
switchingu do przekazywania ruchu IP. Strumienie (ang. flows) ledzone s z dokadnoci do
protokou, portu (TCP/UDP), typu serwisu. Informacje te mog by eksportowane do stacji
zarzdzajcej. Poniewa dane zbierane przez NetFlow s przechowywane w routing cache, proces
komutacji NetFlow jest przeroczysty dla wszystkich urzdze sieciowych. NetFlow zwiksza
jednak obcienie procesora oraz pamici. Domylnie NetFlow cache uywa 64 bajty pamici na
kady strumie.
Komutacj NetFlow mona wczy wydajc polecenie ip route-cache flow. Aby monitorowa
prac NetFlow mona uy polecenia show ip cache flow. Eksport danych NetFlow nastpuje
dopiero, gdy wskaesz adresata danych poleceniem ip flow-export adres_IP.

Cisco Express Forwarding - CEF


Tablica FIB (ang. Forwarding Information Base) uywana jest do przechowywania wszystkich
znanych tras z tablicy routingu, a do jej przeszukiwania uywany jest zaawansowany algorytm.
FIB zmienia si, jeli zmieniaj si wpisy w tablicy routingu routera. Tablica FIB (ewentualnie CEF
table) implementowana jest jako "zmniejszona" tablica routingu, za pomoc 256-ciekowej
tablicy mtrie. Aby wywietlic tablic uyj polecenia show ip cef summary. W tablicy kady wze
(ang. node) moe posiada do 256 "dzieci". Kade "dziecko" (link) uywane jest do reprezentacji
innego adresu dla kadego oktetu w adresie IPv4.
Tablica ssiedztw (ang. adjacency) uywana jest w mechanimie CEF do przechowywania
informacji o ssiadach. Ssiadem moe zosta tylko taki host, ktry jest w odlegoci jednego
hopa. Tablica ssiedztw przechowuje adresy warstwy 2 ssiadw, dla kadego wpisu w FIB. Aby
wywietli tablic uyj polecenia show adjacency.
Poniewa adresy docelowe mog mie wicej ni jedn sciek, CEF moe zosta uyty do
rozkadania obcienia (ang. load balancing), poprzez rne cieki. Jeli interfejs otrzymuje
pakiet i wczony jest mechanizm CEF, router przeszukuje tablic FIB. Po znalezieniu pasujcych
informacji, tworzony jest nagwek warstwy 2 i pakiet jest komutowany.
CEF
opisano
dokadniej
http://www.cisco.com/warp/public/cc/pd/iosw/iore/tech/cef_wp.htm.

tutaj:

Jeli masz ochot poczyta dokadniej o metodach komutacji, warto zajrze do podrcznika do
najnowszej
wersji
IOS
powiconego
wanie
tym
zagadnieniom:
http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123cgcr/swit_vcg.htm.

Jak skonfigurowa...
...CEF (Cisco Express Forwarding)?
Na platformach, ktre CEF wspieraj i w ktrych zaadowano IOS z feature-setem obsugujcym go,
wystarczy wyda polecenie:
router(config)# ip cef
Spowoduje to wczenie na wszystkich interfejsach tego routera, chyba, e w konfiguracji konkretnego
interfejsu(-w) wskazano wprost inny rodzaj mechanizmu komutacji, lub w ogle wyczono na nim
jakiekolwiek mechanizmy (np. poleceniem no ip route-cache).
Uwaga: Wczenie CEFu powoduje zajcie pewnej iloci pamici. Jeli masz jej bardzo mao, postaraj si
najpierw j rozszerzy lub wyczy nieuywane usugi, a dopiero pniej wczy CEF.

...CEF dla routingu wg zasad (ang. policy-based)?


W nowych IOSach (cieka 12.2 i 12.3) samo wczenie CEFu powoduje wczenie rwnie
zaawansowanych mechanizmw dla ruchu obsugiwanego route-mapami. Na pozostaych platformach
naley dodatkowo w definicji konkretnego interfejsu (do ktrego ju przypisano polecenie ip route-map
nazwa_route_mapy). doda:
router(config)# interface FastEthernet 0/0
router(config-if)# ip route-map moja-mapa
router(config-if)# ip route-cache policy
Jeli wczye CEF i nie wiesz, czy obsuguje on rwnie ruch obsugiwany przez route-mapy, sprawd to
na przykad tak:
router# show ip interface FastEthernet 0/0 | include route-cache
IP route-cache flags are Fast, CEF
Jeli natomiast mechanizm CEF jest wyczony (ale wczony pozostaje fast-switching, domylna
konfiguracja wielu mniejszych routerw), stan interfejsu wyglda tak:
router# show ip interface FastEthernet 0/0 | include route-cache
IP route-cache flags are none

Jak sprawdzi...
...jakie mechanizmy komutacji wczono na interfejsie?
Posugujc si poleceniem `show ip interface X'.
router# show ip interface FastEthernet 0/0
FastEthernet0/0 is up, line protocol is up
Internet address is 169.254.10.1/24
Broadcast address is 255.255.255.255
[...]
IP fast switching is enabled
IP fast switching on the same interface is disabled
IP Flow switching is disabled
IP CEF switching is enabled
IP CEF Fast switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
IP route-cache flags are Fast, CEF

...ile ruchu komutowanego jest danym mechanizmem komutacji?


Oglne zestawienie, zawierajce podzia ruchu na obsugiwany przez procesor lub inne mechanizmy
komutacji (zbiorczo), uzyska mona wydajc polecenie `show interface stats':
router# show interface stats

FastEthernet0
Switching path
Processor
Route cache
Total
FastEthernet1
Switching path
Processor
Route cache
Total

Pkts In
Chars In
1061140 147825393
15218207 2362951731
16279347 2510777124

Pkts Out Chars Out


1527082 123126868
14344465 2136433785
15871547 2259560653

Pkts In
Chars In
18912250 2891638844
0
0
18912250 2891638844

Pkts Out
18435628
0
18435628

Natomiast posugujc si poleceniem `show interface


informacje, z rozbiciem na konkretne typy komutacji:

Chars Out
47230091
0
47230091

switching' moesz uzyska dokadniejsze

router# show interface switching


FastEthernet0/0 Do sieci LAN
Throttle count
0
Drops
RP
4102
SPD Flushes
Fast
0
SPD Aggress
Fast
0
SPD Priority
Inputs
344036
Protocol
Path
Other
Process
Cache misses
Fast
Auton/SSE
IP
Process
Cache misses
Fast
Auton/SSE
ARP
Process
Cache misses
Fast
Auton/SSE

SP
SSE

0
0

Drops

Pkts In
Chars In
0
0
0
0
0
0
0
27314376 623508416
0
50915903 2865863510
0
0
350986
21059160
0
0
0
0
0

Pkts Out
29273

Chars Out
1756380

0
0
7373999

0
0
764616258

70504415 1275783563
0
0
143215
8592900
0
0

0
0

Jak wida, fast-switching obsuy na interfejsie FastEthernet 0/0 50,915,903 pakiety przychodzce i
70,504,415 pakietw wychodzcych. Tylko 27,314,376 pakietw przychodzcych i 7,373,999 pakietw
wychodzcych obsugiwane byo przez process-switching.
Poniej to samo, ale dla interfejsu szeregowego:
Serial0/0
Throttle count
Drops
RP
SPD Flushes
Fast
SPD Aggress
Fast
SPD Priority
Inputs
Protocol
Path
Other
Process
Cache misses
Fast
Auton/SSE
IP
Process
Cache misses
Fast
Auton/SSE

0
511
0
0
60384

SP
SSE

0
0

Drops

Pkts In
Chars In
0
0
0
0
0
0
0
4418141 455923877
0
37269672 2769716975
0
0

Pkts Out
29282

Chars Out
409958

0
0
24316765

0
0
123842058

17250459 2590666322
0
0

Rozdzia 15. Optymalizacja wydajnoci


Mam router X, ktry udostpnia Internet stacjom w sieci LAN. Cigle mam problemy
z obcieniem procesora, lub zrywanymi sesjami.
Najprawdopodobniej problemem jest wyczerpanie pamici na wykonywanie translacji NAT. Jeli masz
stacje intensywnie korzystajce z NAT, powiniene skrci czasy ycia translacji - oszczdzajc w ten
sposb pami.
router(config)# ip nat ip nat translation timeout X
...gdzie X to limit czasu dla bezczynnej translacji w sekundach. Domylnie rwny jest 86400, czyli 24
godziny. Sensown wartoci na pocztek byoby 3600, czyli 1 godzina.
Limit ten dotyczy jednak tylko translacji, ktre nie odbywaj si w ramach translacji typu overload, czyli
takiej, w ktrej liczba stacji z adresami prywatnymi jest wiksza, ni liczba publicznych adresw IP
(innymi sowy, jeli masz 1 czy 2 adresy publiczne, a sie LAN ma 200 stacji, takiej translacji wanie
uywasz).
Aby w takiej sytuacji skrci domylne czasy translacji, naley uy nastpujcych polece (jeli uywasz
dla swojej sieci zarwno translacji typu overload jak i 1:1, zastosuj oba wpisy):
router(config)# ip nat ip nat translation tcp-timeout A
..gdzie A to limit czasu w sekundach dla pocze TCP (domylnie rwnie 86400, czyli 24 godziny). Jeli
masz opisane wyej problemy - skr czas translacji TCP na pocztek do 1 godziny (3600).

Mam router X, ktry udostpnia Internet stacjom w sieci LAN. Mam tylko 5 stacji a
widz tysice translacji - o co chodzi?
Jeli to stacje z systemem operacyjnym Microsoft Windows, to problem mog powodowa poczenia z i
do mechanizmw Microsoft Networking, pracujcych standardowo w zakresie portw 135-139 zarwno w
oparciu o TCP jak i UDP.
Jeli Twoja konfiguracja NAT wyglda obecnie tak:
interface Ethernet0
ip nat inside
!
interface Ethernet1
ip nat outside
!
ip nat inside source list 100 interface Ethernet 1 overload
!
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 100 deny ip any any
...wystarczy, e zmienisz ACL 100 tak, by odrzucaa ruch nalecy do Microsoft Networking. Docelowo
lista ta powinna wyglda np. tak:
access-list
access-list
access-list
access-list
access-list
access-list

100
100
100
100
100
100

deny tcp any any range 135 139


deny udp any any range 135 139
deny tcp any range 135 139 any
deny udp any range 135 139 any
permit ip 192.168.0.0 0.0.0.255 any
deny ip any any

Mam router X, ktry udostpnia Internet stacjom w sieci LAN. Router obsuguje ruch
zaledwie X Mbit/s i ju procesor obciony jest w 100%! Na stronie Cisco znalazem
informacj, e ten model moe obsuy ruch znacznie wikszy!
Informacje podawane w zestawieniach dotycz zwykle kpps lub Mpps - oznaczajce odpowienio kilo
pakietw na sekund i mega pakietw na sekund. Np. 100 kpps oznacza wydajno rzdu 100,000
pakietw na sekund.
Teraz zderzamy si z rzeczywistoci.
Po pierwsze, taka wydajno osigana jest bez skonfigurowanych adnych usug (NAT, ACL, QoS itp.) i
jest sum ruchu do i z routera.
Po drugie, wartoci te podawane s niestety dla rnych wielkoci pakietw. Z uwagi na konstrukcj i
dziaanie, router gorzej znosi routing pakietw mniejszych (np. 64-bajtowych), poniewa dla kadego
musi wykona pewien zestaw czynnoci, a lepiej wikszych (np. 1500-bajtowych). Co wicej, routing tej
samej iloci pakietw ale o rnych rozmiarach, daje diametralnie rne wartoci przepustowoci 100kpps dla pakietw o dugoci 64-bajtw to "zaledwie" 51Mbit/s, ale ju dla pakietw 1500-bajtowych 1,2Gbit/s! Przyjeo si, zgodnie z RFC dotyczcym pomiaru wydajnoci routerw, e pomiary powinny by
wykonywane dla wielu rozmiarw pakietw - ale producenci podaj zwykle pomiary wykonane dla
pakietw o dugoci 384-512 bajtw.
Po trzecie w kocu, naley wzi pod uwag architektur urzdzenia - routery Cisco s w stanie
wykonywa routing na wiele rnych sposobw, poczwszy od routingu wykonywanego tylko przez
procesor (ang. process switching) po wykorzystanie zaawansowanych mechanizmw opracowanych w tej
firmie (np. ang. CEF, Cisco Express Forwarding).
W zalenoci od zbioru realnie uywanych usug, czyli ACL, QoS, NATa czy protokow routingu, dany
router moe by idealny do danego zastosowania, lub na przykad zupenie si do niego nie nadawa.
W sytuacji gdy dysponujesz jednym czem do Internetu, o przepustowoci do 2Mbit/s (symetrycznie),
dobrym wyborem bdzie router klasy 1700. Przy sensownych kompromisach, router sprawdzi si rwnie
w konfiguracji z dwoma czami 2Mbit/s.
Routery serii 2600XM (routery bez literek XM maj sabsze procesory i mniej pamici, nie s ju
produkowane ani sprzedawane) produkowane s w trzech wersjach biorc pod uwag procesory, oraz w
dwch wersjach wyposaenia w interfejsy (jeden lub dwa interfejsy FastEthernet). Routery te sprawdzaj
si w instalacjach z dwoma-trzema czami 2Mbit/s, lub wymagajcych koncentracji pocze typu dialup (moduy z 4 i 8 portami ISDN BRI, czy 16 i 32 portami asynchronicznymi). Wydajno tej serii wg
Cisco wynosi od 20kpps (2610XM/2611XM), przez 30kpps (2620XM/2621XM) po 40kpps
(2650XM/2651XM) czy 70kpps (2691).
Routery serii 3600 wyszy ju z produkcji i sprzeday (w grudniu 2003r.). Ich podstawowym
mankamentem by brak zabudowanych interfejsw Ethernet (tylko 3661/3662 miay odpowiednio jeden i
dwa). Doskonale sprawdzaj si w scenariuszach, w ktrych wymagana jest agregacja duej iloci portw
ISDN BRI, PRI, asynchronicznych czy te E1/G.703 (dostpne s rwnie moduy ATM, ale o wydajnoci
OC3 mona niestety tylko pomarzy na tej platformie). Przy rozbudowanej do maksimum pamici RAM
(dla 3620 do 64MB, dla 3640/3640A do 128MB, dla 3660 do 256MB), oraz sensownej konfiguracji, router
3660 cakiem dobrze sprawdzaj si w konfiguracjach z "maym" BGP. Wydajno tej serii wg Cisco
wynosi od 35kpps (3620), przez 50kpps (3640/3640A) do ~110kpps dla 3661/3662.
Routery serii 3700 - 3725 i 3745 to nastpcy serii 3600. Posiadaj odpowiednio dwa i cztery sloty na
moduy NM, po trzy sloty WIC i po dwa sloty AIM. Dodatkowo, na obu zainstalowano na stae dwa porty
FastEthernet. Biorc pod uwag fakt, e mona na nich zainstalowa maksymalnie 256MB RAM, mog
sprawdzi si w sytuacjach w ktrych do tej pory sprawdzaa si seria 3600 oraz z routingiem BGP.
Wydajno 3725 Cisco ocenia na 100kpps, a 3745 - 225kpps.

Jakie rzeczy sprawdzi, optymalizujc wydajno routera?


Nie ma uniwersalnych metod "optymalizacji" routera - dam Ci tylko pewne wskazwki, ktre mog, ale
nie musz(!), pomc.

Wcz CEF ( ip cef ) - automatycznie spowoduje to wczenie mechanizmu zwikszanie


wydajnoci na wszystkich interfejsach sieciowych, ktre CEF obsuguj w danym IOSie. W
stosunku do process switchingu, czyli obrbki kadego pakietu przez CPU, wzrost wydajnoci (lub
chocia spadek obcienia CPU) powinien by dramatyczny.

Upewnij si, e router nie robi niepotrzebnych rzeczy - wycz nieuywane usugi, zoptymalizuj
uywane ACLki, a te, ktre kontroluj poprawno routowanego ruchu, zastp mechanizmem
uRPF ( ang. Unicast Reverse-Path Filtering, polecenie ip verify unicast reverse-path ).

Upewnij si, e jeli wykonujesz NAT, translacji podlega tylko sensowny i podany ruch pozostay blokuj.

Jeli zamierzasz co zablokowa za pomoc ACLki, zastanw si, czy nie lepiej wykorzysta
routingu do wirtualnego interejsu Null 0. Architektura routerw optymalizowana jest do routingu
a nie filtrowania pakietw, w zwizku z czym zwykle routing "w nico" dziaa szybciej i stanowi
mniejsze obcienie dla procesora ni filtrowanie tego samego ruchu z odrzucaniem go.

W ACLkach wycz logowanie w reguach - powoduje to powrt do obrbki pakietu przez CPU i
moe powodowa wyzwalanie dodatkowych mechanizmw (logowanie na konsol, do pamici, do
serwerw syslog itp.)

Wycz wszelkie wczone sesje odpluskwiania ( undebug all ), oraz logowanie informacji na
konsol ( no logging console )

Wycz eksport i zbieranie informacji w ramach mechanizmw NetFlow - w szczeglnoci na


mniejszych platformach (1700/2600/3600/3700) wczenie tego mechanizmu przy nawet
umiarkowanym ruchu moe dosownie zabi router ( no ip route-cache flow na interfejsach,
na ktrych zosta wczony oraz no ip export w konfiguracji globalnej )

Stosuj rozkadanie ruchu w ramach routingu domylnego, lub w ramach jednego z protokow
routingu dynamicznego, zamiast cz Mulitlink PPP. Zawsze przy takich czach upewnij si, e
routing pakietw odbywa si za pomoc najoptymalniejszej cieki komutacji.

Wykorzystaj tumienie zdarze zwizanych z IP (ang. IP event dampening) do ograniczenia


kosztownych czasowo i obliczeniowo operacji na tablicach routingu.

Zastanw si nad optymalnym doborem protokou routingu do zadania: w sieciach


hierarchicznych OSPF bdzie sprawowa si lepiej ni EIGRP, a w sieciach z jednym wyjciem do
Internetu utrzymywanie routingu BGP jest generalnie bez sensu. Wykorzystaj sumaryzacj do
oszczdzania procesorw i pamici.

Dla sesji zestawianych do/z routera, np. peeringu BGP, wcz wykrywanie optymalnego MTU na
czu (ip tcp path-mtu-discovery). Domylna warto MSS (segmentu TCP) to 536 bajtw - na
czach typu Ethernet czy ATM jest mao optymalna. Zmiana ta powinna zmniejszy ilo
pakietw, a wyduy ich wielko, dziki czemu do przesania informacji bdzie potrzeba mniej
pakietw. Dla Ethernetu warto MSS wynosi generalnie 1460 bajtw, a np. dla cz PoS/ATM 4430 bajtw.

Staraj si korzysta z pocze przez sie (Telnet/SSH) a nie przez konsol. Na wszystkich
platformach, kady znak otrzymany/wysyany do konsoli obsugiwany jest przez procesor (ew.
gwny procesor), wywoujcy w tym celu przerwanie. Na tej samej zasadzie, staraj si nie
korzysta z portu AUX routera, jeli nie jest to konieczne.

Gdzie Cisco publikuje informacje o wydajnoci swoich urzdze?


Informacje katalogowe znajduj si zwykle w kartach katalogowych. Dodatkowo, zebrano najczciej
uywane informacje w grupach arkuszy podzielonych wg. kategorii sprztu:
http://www.cisco.com/warp/public/765/tools/quickreference/
Dodatkowo wydajnoci poszczeglnych platform pod ktem szyfrowania tuneli IPsec zebrano w
dokumencie z serii SRND pod adresem:
http://www.cisco.com/warp/public/779/largeent/it/ese/SiteVPN.pdf

Rozdzia 16. Sieci bezprzewodowe


Ktry standard okrela co w rodzinie 802.11?
Poniej krtka lista:
802.11a
Standard okrelajcy prac w pamie 5GHz. Dostpne jest 13 niezakcajcych si kanaw
radiowych. Urzdzenia mog pracowa uywajc kodowania OFDM z prdkociami 54, 48, 36, 24,
18, 12, 9 i 6Mbit/s.
Urzdzeniami produkcji Cisco pracujcymi w tej technologii s AP 10xx, 1130AG, 1200 (z radiem
802.11a) oraz most bezprzewodowy Aironet 1400.
802.11b
Standard okrelajcy prac w pamie 2,4GHz. Dostpne s 3 niezakcajce si kanay radiowe.
Urzdzenia mog pracowa uywajc kodowania DSSS z prdkociami 11, 5.5, 2 i 1 Mbit/s.
Urzdzeniami produkcji Cisco pracujcymi w tej technologii s: AP serii 350, 1120 oraz AP 1200 (z
radiem 802.11b), a take bezprzewodowy most Aironet 350.
802.11g
Standard okrelajcy prac w pamie 2,4GHz. Dostpne s 3 niezakcajce si kanay radiowe.
Urzdzenia mog pracowa w trybie zgodnoci w d z 802.11b uywajc kodowania DSSS z
prdkociami 11, 5.5, 2 i 1 Mbit/s, oraz uywajc kodowania OFDM z prdkociami 54, 48, 36, 24,
18, 12, 9 i 6Mbit/s.
Urzdzeniami produkcji Cisco pracujcymi w tej technologii s: AP serii 10XX, 1130AG, 1120 oraz
AP 1200 (z radiem 802.11g).

Jak policzy EIRP?


Korzystajc z poniszego wzoru:
EIRP

= P
dBm

+ G
t

- L
ant

Gdzie EIRP(dBm) - efektywna moc wypromieniowywana, P(t) moc nadawcza nadajnika w dBm, G(ant) wzmocnienie anteny i L(l) - strata na kablu czcym anten i nadajnik.

Rozdzia 17. Dobr i wymiana sprztu


Czy musz kupowa oryginalne pamici Cisco?
Nie, ale pamitaj, e Cisco TAC nie wspiera konfiguracji, w ktrych na sprzcie Cisco zainstalowano
nieoryginalne pamici.
Bardzo dobre pamici do routerw i przecznikw Cisco sprzedaje Kingston - cznie, z konfiguratorem
dostpnym tutaj: http://www.kingston.com/products/default.asp.

Mam w routerze kart X. Jaki kabel do niej dobra?


Zbir
dostpnych
kabli
wraz
z
ich
http://www.cisco.com/univercd/cc/td/doc/pcat/#ch8.

rysunkami

znajduje

si

tutaj:

Skd mog wiedzie, e dany sprzt nie jest ju sprzedawany przez Cisco?
Notki pojawiaj si zwykle jako biuletyny na stronach poszczeglnych produktw, mona rwnie
posiadajc konto CCO zapisa si do rozsyanego e-mailem biuletynu informacyjnego.
Produkty
obecnie
zaklasyfikowane
jako
EoL,
http://www.cisco.com/univercd/cc/td/doc/pcat/#ch27.

czyli

End

of

Life

zebrano

tutaj:

Rozdzia 18. Rozwizywanie problemw


Obrazy IOS i ich odzyskiwanie
Straciem obraz z Flasha. Mam do dyspozycji tylko tryb ROMMON i obraz IOSa na komputerze. Jak
zaadowa go do routera?
Moesz skorzysta z transferu pliku przez konsol (rozwizanie wolniejsze) i przez TFTP - rozwizanie
zdecydowanie szybsze.

Jak zaadowa obraz Cisco IOS do pamici Flash, dysponujc tylko trybem ROMMON i poczeniem
przez konsol?
Zakadam, e obraz Cisco IOS znajduje si w miejscu dla Ciebie dostpnym i masz moliwo transmisji
XMODEM ze swojego terminala a nazwa pliku z IOSem to `c2600-i-mz.123-1a.bin'. Wydaj polecenie:
rommon 1> xmodem c2600-i-mz.123-1a.bin
Do not start the sending program yet...
device does not contain a valid magic number
dir: cannot open device "flash:"
WARNING: All existing data in bootflash will be lost!
Invoke this application only for disaster recovery.
Do you wish to continue? y/n [n]:
Naley potwierdzi transmisj klawiszem Y a nastpnie po pokazaniu si komunikatu:
Ready to receive c2600-i-mz.123-1a.bin...
Wczy transmisj XMODEM ze swojego terminala, obrazu z Cisco IOS. Jeli wszystko si powiedzie,
router naley zresetowa - mona to zrobi sprztowo, lub poleceniem:
rommon 2> reset
Po starcie routera powinien zaadowa si IOS:
program load complete, entry point: 0x80008000, size: 0x54ab60
Self decompressing the image : #################################################
######################################################### [OK]

Jak zaadowa obraz Cisco IOS do pamici Flash, dysponujc tylko trybem ROMMON i poczeniem
przez Ethernet?
Zakadam, e obraz Cisco IOS znajduje si w miejscu dla Ciebie dostpnym (w tym przykadzie plik ma
nazw `c2600-i-mz.123-1a.bin'), masz do swojej dyspozycji serwer TFTP skonfigurowany na
serwowanie tego pliku i albo poczye si skrosowanym kablem Ethernet do pierwszego portu Ethernet
routera ze stacji, albo podczye ten port do sieci, w ktrej bdzie mona osign serwer TFTP.
Naley nada routerowi tymczasowy adres IP, w podsieci w ktrej znajduje si rwnie Twoja stacja. W
naszym przykadzie jest to jedna podsie - Twoja stacja ma w niej adres 169.254.10.5/24 a routerowi
nadamy adres 169.254.10.2/24:
rommon 1> IP_ADDRESS=169.254.10.2
rommon 2> IP_SUBNET_MASK=255.255.255.0
rommon 3> DEFAULT_GATEWAY=169.254.10.1
Teraz wska adres serwera TFP oraz nazw pliku:
rommon 4> TFTP_SERVER=169.254.10.5
rommon 5> TFTP_FILE=c2600-i-mz.123-1a.bin
Na koniec, rozpoczynamy procedur cigania obrazu:
rommon 6> tftpdnld
Jeli nie chcesz zapisywa obrazu na pami flash a po prostu chcesz zaadowa obraz do pamici i
uruchomi z niego router, wydaj polecenie `tftpdnld -r'.

Hasa na routerach
Jak odzyska zapomniane haso z routera?
Poniszy opis dotyczy wikszoci routerw. Oryginalne procedury do caego sprztu produkcji Cisco
Systems
znajduj
si
tutaj:
http://www.cisco.com/en/US/products/hw/contnetw/ps789/products_tech_note09186a00801746e6.shtm
l.
Musisz uzyska dostp do konsoli i zresetowa router. Zaraz po rozpoczciu adowania:
System Bootstrap, Version 12.2(7r) [cmong 7r], RELEASE SOFTWARE (fc1)
Copyright (c) 2002 by cisco Systems, Inc.
C2600 platform with 65536 Kbytes of main memory
...musisz ze swojego terminala wysa sekwencj Ctrl+Break. Spowoduje to wejcie do ROMMONa:
PC = 0xfff0ac3c, Vector = 0x500, SP = 0x680127c0
monitor: command "boot" aborted due to user interrupt
rommon 1>
Pozostaje zmieni rejestr konfiguracyjny na warto, ktra pominie wczytanie pliku konfiguracyjnego, a
nastpnie zresetowa router:
rommon 1> conf-reg 0x2142
rommon 2> reset
Po zaadowaniu si Cisco IOS, wejd do trybu uprzywilejowanego, skopiuj zawarto pliku startup-

config do aktualnej konfiguracji running-config i ewentualnie dokonaj zmiany hase. Na przykad:


router> enable
router# copy startup-config running-config
c1760# conf t
c1760(config)# enable password moje_nowe_haslo

A jak odszyfrowa zaszyfrowane haso w konfiguracji routera?


Jeli haso zostao zaszyfrowane zwykym mechanizmem Cisco (w konfiguracji cyfry zaszyfrowanego
hasa poprzedza liczba 7, np. username szopen password 7 00170909145E05), moesz posuy si
rnymi narzdziami, ktre odszyfrowuj ten zapis.
Dobry i zawsze dostpny, pod warunkiem
http://www.securitystats.com/tools/ciscocrack.php.

masz

dostp

do

Internetu,

jest

serwis

Hasa szyfrowane poleceniem secret uywaj jednokierunkowej funkcji mieszajcej i ich odszyfrowanie
mona wykona jedynie przez mudne sprawdzanie kolejnych kombinacji znakw.

Interfejsy Ethernet i ruch na nich


Mam duo kolizji na interfejsie Ethernet routera - co mog z tym zrobi?
Najprawdopodobniej le ustawie tryb pracy portu (half lub full dupleks). Starsze routery (seria 1600,
2500) posiadaj interfejsy Ethernet bdce w stanie pracowa tylko w trybie half-dupleks. Teoretycznie,
port routera i przecznik powinny dostosowa sobie tryb pracy, ale w praktyce ta "autonegocjacja"
czsto zawodzi i mamy problemy z cznoci.
Najlepiej jest, po ustaleniu w jakich dokadnie trybach moe pracowa interfejs routera, skonfigurowanie
na sztywno prdkoci pracy portu i trybu dupleks. Jeli na routerze nie moesz tego zrobi - ustaw na
stae parametry pracy przynajmniej portu na przeczniku.
Na przykad, na routerze z interfejsem Ethernet:
router(config)# interface ethernet 0
router(config-if)# speed 10
router(config-if)# duplex half
! Teraz to potwierdzimy:
router# show interface ethernet 0
Ethernet0 is up, line protocol is up
Hardware is AmdFE, address is 000e.1111.2222 (bia 000e.1111.2222)
MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Half-duplex, 10Mb/s, 10BaseT
Na przeczniku natomiast (tutaj 2950, port podczony do routera to FE0/34) ustawiamy:
switch(config)# interface fastethernet 0/34
switch(config-if)# speed 10
switch(config-if)# duplex half
! Teraz to potwierdzimy:

switch# show interface fastethernet 0/34


FastEthernet0/34 is up, line protocol is up (connected)
Hardware is Fast Ethernet, address is 000d.1111.3333 (bia 000d.1111.3333)
MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Half-duplex, 10Mb/s, media type is unknown media type

Prbuj zdebugowa ruch na interfejsie routera poleceniem `debug ip packet', ale widz tylko
pojedycze pakiety?
Wycz CEF (no ip cef) - ale uwaaj(!) na obcienie procesora - moe gwatownie wzrosn wszystko zaley od iloci obsugiwanego ruchu.

Chciabym na PIXie sniffowa ruch i zapisywa go do dalszej analizy - jak to zrobi?


Zdefiniuj ACLk, ktra bdzie pasowaa do ruchu przeznaczonego do sniffowania. Zamy, e interesuje
nas tylko ruch na port 80 dowolnego hosta:
pix(config)# access-list 100 permit tcp any any eq 80
Teraz uruchamiamy sniffowanie, podajc t ACLk, rozmiar bufora (w bajtach), dugo pakietu ktra ma
by "podsuchana", a w kocu nazw pliku, do ktrego zapisywany bdzie wynik sniffowania:
pix(config)# capture in-www access-list 100 buffer 256000 interface inside packetlength 1518
W pamici Flash zostaje utworzony plik o nazwie in-www, ktry zawiera zapis podsuchanych sesji
(pierwsze 256kB, pniej PIX przestanie nasuchiwa) na interfejsie "inside". Moesz go skopiowa np. na
serwer TFTP lub FTP do dalszej analizy narzdziami takimi jak tcpdump czy Ethereal (plik jest w formacie
pcap).

Problemy z pamici i IOSami


Dostaj na konsol lub do logw komunikaty typu %ALIGN-3-SPURIOUS: Spurious memory access
made [...]
Najczciej jest to problem zwizany z brakiem pamici (sprawd `show memory summary') lub bdem w
oprogramowaniu.
O
rozwizywaniu
tego
typu
problemu
http://www.cisco.com/warp/public/63/spuraccess.html.

mona

Mam za mao pamici aby zapisa konfiguracj - co mam zrobi?


Wczy kompresj konfiguracji:

poczyta

np.

tutaj:

router# service compress-config

Problemy z przecznikami Catalyst


Mam przecznik Cisco Catalyst i wiele stacji do niego podczonych. Mam problemy z logowaniem
si do sieci po starcie tych komputerw.
Domylnie port przecznika postara si wynegocjowa parametry pracy z podczon stacj, oraz
sprawdzi, czy nie uczestniczy ona w pracy mechanizmu Spanning Tree. Poniewa zwyka karta sieciowa
nie wynegocjuje trunku 802.1Q czy ISL, ani innych dodatkowych usug, warto ustawi porty podczone
do zwykych stacji w tryb pomijajcy te testy.
Dla przecznikw z systemem Cisco IOS:
switch(config)# interface fastethernet 0/6
switch(config-if)# spanning-tree portfast
Dla przecznikw z systemem CatOS:
switch > (enable) set port host 4/9

Mam przecznik 2970 lub 3750 - port 10/100/1000 podczony do karty sieciowej 1Gbit/s (np. Intel
1000MT) nie chce przesya danych. W czym tkwi problem?
Porty 3, 4, 7, 8, 11, 12, 15, 16, 19, 20, 23, 24 mog si tak zachowywa, ale oficjalny komunikat firmy
Cisco wskazuje na Intela jako winowajce. Intel przygotowa odpowiednie atki. Masz trzy alternatywy:

Zmieni port z SGMII na RGMII czyli 1, 2, 5, 6, 9, 10, 13, 14, 17, 18, 21 lub 22

Wyda na tym konkretnym interfejsie polecenie `speed 1000' by wymusi tryb pracy 1Gbit/s

Wymieni karty sieciowe jeli instalacja at i uaktualnie przygotowanych przez firm Intel jest
niemoliwa

Na swoim przeczniku 2950, 3550 czy 3750 otrzymuj komunikat %SYS-2-MALLOCFAIL: Memory
allocation of (...) Cause: Memory fragmentation
Prawdopodobnie masz po prostu ptl w sieci. Upewnij si, e na wszystkich przecznikach wczony jest
protok Spanning Tree lub Rapid Spanning Tree.
Starsze IOSy (12.1.8-12.1.11) bardzo nie lubi takich okresowych sztormw pakietw w ramach ptli i
zwykle kad interfejs do nastpnego restartu (nie pomaga `no shut'). Nowsze IOSy (od 12.1.12) lepiej
radz sobie z wysyceniem pamici i potrafi mimo "klapnicia" interfejsu podnie go po chwili, ale nie
jest to stan, ktry powiniene w sieci pozostawi.
Typowym objawem tego problemu, s np. takie informacje w logach:
%SYS-2-MALLOCFAIL: Memory allocation of 1680 bytes failed from 0x156550, alignment 0
Pool: I/O Free: 2172 Cause: Memory fragmentation
Alternate Pool: None Free: 0 Cause: No Alternate pool

Jak mona przeczyta, przecznik wysyci ca pami I/O przeznaczon do tymczasowego kolejkowania
ramek i zgasza bd sfragmentowania pamici. Posugujc si poleceniem `show memory summary'
mona to potwierdzi:
switch# show memory summary
Head
Total(b)
Processor
BDDF8C
54655092
I/O
80000000
8388608

Used(b)
4842004
1128084

Free(b)
49813088
7260524

Lowest(b)
47010552
2172

Largest(b)
47973440
7187568

Rozdzia 19. Podzikowania


Chcielibymy wymieni tu wszystkich, ktrzy przyczynili si do rozwoju tego FAQ. Jak zauwaylicie,
poszczeglne wpisy w FAQ nie s opisywane konkretn osob - uznalimy, e tak bdzie bardziej
przejrzycie, a pytania co do zawartoci FAQ powinny i tak trafia na list.
W kolejnoci jak najbardziej alfabetycznej:

Szymon Kosmala, szymon at netfusion.pl

Marek Moskal, moskit at irc.pl

Szczepan Pacut, spacut at ccie.pl

Marcin Strzyewski, marcins at ccie.pl

Mariusz Trojanowski, mariusz421 at wp.pl

Adam Obszyski, awo at freebsd.pl

Rozdzia 20. ChangeLog


Poniej lista zmian w kolejnych wersjach dokumentu, wraz z osobami, ktre do tych zmian si
przyczyniy.
v0.99(4) 27/01/2006 17:29:53
niezgodno komentarz-polecenie w CBWFQ (Mariusz Ratajczak)
typ ACL/zawarto w konfiguracji NAT (Pawe Bie)
typ ACL a konstrukcja wyrae w rozdziale o ACL (Pawe Bie)
v0.99(3) 27/01/2006 17:29:53
poprawka w URL dla BGP (Mariusz Woek)
v0.99(2) 26/01/2006 10:09:09
poprawka do konfiguracji CBWFQ (Pawe Grzelewski)
v0.99(1) 14/01/2006 18:15:09
opis nowego nazewnictwa IOSw od 12.3 + par drobnych poprawek z tym zwizanych (ukasz
Bromirski)
v0.99 14/01/2006 00:11:09

PDM jest na PIXach od wersji 6.0 a nie od 6.3 (Przemysaw Dubicki)


DHCP podaje adresy serwerw DNS a nie DHCP (niezalenie Micha Ciepy i Krzysztof Rocawski)
Metryka OSPFu dla ISDNu dotyczy przepustowoci kanau B a nie D (Pawe Bie)
wg./wg oraz inne literwki (Sierp)
RIPv2 i maski oraz prawidowy numer dostpowy dla TP ISDN (Krzysztof Oldzki)
Kosmetyka w konfiguracji wdzwaniania po ISDN BRI do TP (Maciej Browarski)
Pierwszy/drugi dostawca powtrzone dwukrotnie (Kaneda)
Konfiguracja SNTP do NTP (Dariusz Sznajder)
SGMII/RGMII (ukasz Bromirski)
Stae indeksy interfejsw w SNMP (ukasz Bromirski)
URLe do zestaww wydajnoci poszczeglnych platform (ukasz Bromirski)
v0.50 21/03/2004 21:42:03
Brakujce `xmodem' przy transferze IOSu przez konsol (Mariusz Trojanowski).
Dodanie paru pyta i odpowiedzi dla PIXw [logowanie, sniffowanie ruchu z interfejsw do plikw
pcap itp.], sieci WLAN, ISDNu, routingu IP oraz konfiguracji (ukasz Bromirski).
v0.42 17/03/2004 12:49:06
Dodanie rozwizania DSL/VPN (Mariusz Trojanowski)
Dodanie tabelki z wydajnoci VPN urzdze Cisco, konfiguracja eksportu NetFlow, routingu midzy
VLANami na kartach WIC-4ESW oraz NM-16ESW/32ESW a take troch kosmetycznych poprawek
(ukasz Bromirski)
v0.40 10/03/2004 14:59:06
Dodanie sekcji o OSPFie (Szczepan Pacut)
Dodanie uszczegowie do opisu obcienia (Marek Moskal)
Poprawki, uszczegowienia do paru pyta oraz par nowych pyta (Szymon Kosmala)
Konfiguracja "NATu na patyku" (Adam Obszyski)
Dodanie paru podstawowych pyta o innych protokoach routingu (ukasz Bromirski)
Dodanie sekcji o VPNach (ukasz Bromirski)
v0.37 08/03/2004 10:57:15
Czytelniejsze URLe oraz par niezalenych sugestii (Marek Moskal)
labolatorium != laboratorium (Mariusz Trojanowski i Jacek Zapaa)
CCIE - INTERNetwork Expert (Tomasz Mistat)

v0.36 05/03/2004 17:10:15


literwki i rne inne (Marcin Jurczuk)
v0.35 05/03/2004 09:59:16
Przygotowania do wydania publicznego

You might also like