Routery Cisco

Certyfikaty firmy Cisco pogrupowane są w trzech poziomach - Network Installation & Support, Network Engineering & Design, Cisco Qualified Specialist. CCNA (Cisco Certified Network Associate) jest pierwszym stopniem na poziomie dotyczącym umiejętności w zakresie instalacji sieci i świadczenia pomocy technicznej; następne stopnie na tym poziomie to: CCNP (Cisco Certified Network Proffesional) i CCIE (Cisco Certified Internetworking Expert).Certyfikat CCNA przeznaczony jest dla specjalistów od niewielkich sieci (do 100 stanowisk) i potwierdza umiejętności w zakresie instalacji i konfiguracji routerów i przełączników Cisco w sieciach LAN i WAN (poprawa wydajności i bezpieczeństwa sieci oraz usuwanie problemów). Kandydat może wybrać dowolny sposób przygotowania się do egzaminu, w szczególności edukację zdalną.Kurs konfiguracji i użytkowania routerów Cisco składa się z serii artykułów przedstawiających szczegółowo czynności, jakie administrator musi wykonać począwszy od momentu pierwszego włączenia routera, poprzez skonfigurowanie interfejsów, aż do uruchomienia odpowiedniego procesu routingu i wdrożenia zaplanowanej polityki bezpieczeństwa.

1. Podstawowa konfiguracja routera Cisco: Dialogi i polecenia - Uruchomienie routera- Dialog konfiguracyjny- Tryby pracy i zarządzanie skryptem konfiguracyjnym- Konfigurowanie interfejsów- Ładowanie systemu operacyjnego- Przykład skryptu konfiguracyjnego

2. Router Cisco w sieciach WAN: Stos protokołów - Sieć X.25- Konfiguracja routera Cisco w sieci X.25- Router Cisco jako przełącznik sieci X.25- Interfejs szeregowy ze stosem protokołów X.25 - przykład

3. Podstawowa konfiguracja routera Cisco (2): Zabezpieczenie i diagnostyka - Poziomy uprzywilejowania- Ochrona dostępu do routera- Procedura "naprawiania" hasła- Obsługa komunikatów generowanych przez router- Współpraca z serwerem nazewniczym DNS- Konfigurowanie protokołu SNMP- Wykrywanie sąsiadów - protokół CDP

4. Router Cisco w sieci Frame Relay: Przełączanie ramek - Konfiguracja protokołu Frame Relay- Powiązanie adresów sieciowych- Zarządzanie ruchem w sieci Frame Relay- Topologie sieci Frame Relay- Podinterfejsy- Router Cisco jako przełącznik sieci Frame Relay

5. Router Cisco w sieci wielosegmentowej: Wybieranie trasy - Stacja końcowa - protokół ARP, Proxy ARP- Wskazanie domyślnej bramki - IRDP, HSRP

- Tworzenie tablicy routingu- Routing statyczny- Trasy domyślne- Przełączanie pakietów na routerach Cisco

6. Router Cisco w sieci wielosegmentowej (2): Protokoły routingu dynamicznego - Protokoły wektora odległości- Protokoły stanu łącza- Protokoły klasowe- Protokół RIP- Protokół RIP w wersji 2- Protokół IGRP- Zapobieganie pętlom- Redystrybucja danych routingu

7. Listy dostępu - Analiza list dostępu- Standardowe listy dostępu- Rozszerzone listy dostępu- Listy dostępu dla protokołu IPX

8. Przełączanie w sieciach Ethernet - Przełączniki- Konfigurowanie przełącznika Catalyst 1900- Sieci wirtualne VLAN

9. Połączenie dodzwaniane - Uwierzytelnianie w protokole PPP- Technologia ISDN- Routing na żądanie- Zapasowe połączenie ISDN- Połączenia typu multilink

Autorzy Waldemar Pierścionek i Piotr Zejer są instruktorami i inżynierami systemowymi w firmie DC Edukacja, która specjalizuje w szkoleniach technicznych dla administratorów i inżynierów Microsoft i Cisco, przeprowadza również egzaminy VUE i Prometric. Posiada ośrodki szkoleniowe w Warszawie, Wrocławiu, Gdańsku i Kielcach.

Podstawowa konfiguracja routera Cisco

Dialogi i poleceniaAutor: Waldemar PierścionekNasz kurs rozpoczniemy od podstawowych zagadnień związanych z konfiguracją routera Cisco - podłączenie konsoli do routera, dialog konfiguracyjny, tryby pracy i rodzaje pamięci routera.

W tym artykule szczegółowo omówimy tryb konfiguracyjny oraz współpracę z serwerem TFTP. Zapoznamy także czytelników z wybranymi

poleceniami konfiguracyjnymi, m.in. z komendami dotyczącymi interfejsów routera i poleceniem show, pozwalającym przeglądać różne elementy konfiguracji. Przedstawimy proces poszukiwania i ładowania systemu operacyjnego, sterowany poprzez rejestr systemowy i skrypt konfiguracyjny. Prezentowane przykłady wykorzystują router serii 2600 z systemem operacyjnym IOS 11.3.Rozważmy typową sieć lokalną firmy, z której użytkownicy mają dostęp do Internetu poprzez łącze dzierżawione. Do sterowania przepływem informacji między siecią LAN a Internetem potrzebny jest router sprzętowy lub programowy (patrz schemat poniżej). To obecnie bardzo częste zastosowanie routerów, chociaż są one również wykorzystywane jako urządzenia sterujące ruchem w sieciach wielosegmentowych. Routery stosuje się też w strukturach wielooddziałowych, w których łączność realizowana jest z wykorzystaniem usług sieci rozległej WAN. Oprócz adresowania i trasowania pakietów routery odpowiedzialne są za optymalizowanie komunikacji sieciowej poprzez rozdzielenie tzw. domen rozgłoszeniowych.

Uruchomienie routera

Pierwszą czynnością administratora po zakupie lub rozbudowaniu routera jest ustanowienie połączenia z routerem poprzez port konsoli. Każdy router Cisco wyposażony jest w jeden taki port (interfejs RS-232 lub RJ-45), do którego podłączyć można terminal znakowy lub komputer z emulatorem terminala (np. HyperTerminal w systemach Windows). Za pomocą terminala administrator może przeprowadzić proces konfiguracji routera. Pamiętać należy, iż poprawna komunikacja z routerem wymaga ustawienia odpowiednich parametrów transmisyjnych terminala - zwykle stosuje się: terminal typu VT100, prędkość 9600 (chociaż w rejestr routera można wpisać inną wartość), 8 bitów danych, 1 bit stopu, transmisję bez parzystości.Po włączeniu routera w oknie terminala pojawi się zestaw komunikatów związanych ze startem routera. Proces uruchamiania routera składa się z kilku etapów i jest inicjowany przez program rozruchowy (bootstrap), znajdujący się w pamięci ROM. Po przeprowadzeniu testów diagnostycznych sprzętu w ramach procedury POST, w której sprawdza się m.in. działanie procesora, pamięci i interfejsów, poszukiwany jest i ładowany obraz systemu operacyjnego IOS - zgodnie z ustawieniami w rejestrze routera oraz poleceniami zawartymi w skrypcie konfiguracyjnym.Większość routerów zawiera pamięć Flash. Jest to pamięć typu EEPROM, jej zawartość może być wielokrotnie usuwana i zapisywana ponownie.

Typowe zastosowanie routera - między siecią LAN a Internetem

Zawartość pamięci Flash nie ginie po wyłączeniu routera, dlatego przeznaczona jest przede wszystkim do przechowywania wielu kopii systemu operacyjnego IOS. Zwykle początkowo w pamięci Flash znajduje się tylko jeden obraz systemu operacyjnego (zwany domyślnym plikiem systemu operacyjnego) i właśnie on zostanie załadowany po pierwszym włączeniu routera. Pamiętać jednak należy, że niektóre routery (Cisco 2500, 4000, 4500) przechowują minimalną wersję systemu operacyjnego bezpośrednio w pamięci ROM. Inne, np. routery serii 7000 i 7500, wczytują pełen obraz systemu operacyjnego z pamięci ROM.Po załadowaniu systemu operacyjnego poszukiwany jest skrypt konfiguracyjny, zawierający parametry definiujące pracę routera (np. hasło dla trybu uprzywilejowanego) oraz poszczególnych jego części (np. interfejsów). Skrypt konfiguracyjny zapisywany jest w nieulotnej pamięci NVRAM, skąd przy każdym ponownym uruchomieniu routera może być odczytany i załadowany do pamięci operacyjnej RAM. Aktualna konfiguracja oraz wszelkie dokonywane w niej zmiany przechowywane są tylko w pamięci RAM, aby więc utrwalić wprowadzane przez administratora modyfikacje, należy ręcznie zapamiętać tę konfigurację w pamięci NVRAM jako konfigurację startową. Przy pierwszym uruchomieniu routera skrypt konfiguracyjny w pamięci NVRAM nie istnieje, co powoduje automatyczne uruchomienie dialogu konfiguracyjnego.

Dialog konfiguracyjny

Dialog konfiguracyjny to interaktywna sekwencja pytań i odpowiedzi, pozwalających utworzyć pierwszą, bazową konfigurację routera. Dialog wywoływany jest również w przypadku usunięcia zawartości pamięci NVRAM lub po uruchomieniu routera w specjalnym trybie naprawczym z pominięciem odczytywania pamięci NVRAM. Administrator pracujący w trybie uprzywilejowanym może także w dowolnej chwili uruchomić dialog konfiguracyjny poleceniem SETUP. Zbiór parametrów, jakie można ustawić bezpośrednio w dialogu konfiguracyjnym, zależy od modelu routera i wersji systemu operacyjnego. Obok przedstawimy przykładowy dialog konfiguracyjny dla routera 2600 z systemem 11.3.

Dialog konfiguracyjny - ustawienie haseł dostępuConfiguring global parameters:

Enter host name [Router]: C2600

The enable secret is a password used

to protect access to privileged EXEC

and configuration modes. This password,

after entered, becomes encrypted

in the configuration.

Enter enable secret: haslo1

The enable password is used when you

do not specify an enable secret password,

with some older software versions, and

some boot images.

Enter enable password: haslo2

The virtual terminal password is used

to protect access to the router over

a network interface.

Enter virtual terminal password: haslo3

Po wyświetleniu pierwszego pytania wciskamy klawisz Enter, aby wejść do trybu interaktywnego. Niewątpliwie warto wyświetlić na ekranie podsumowanie dotyczące aktualnej konfiguracji interfejsów, w tym celu w odpowiedzi na drugie pytanie wciskamy ponownie Enter, zatwierdzając proponowaną domyślną wartość podaną w nawiasach kwadratowych. W pierwszej kolumnie wyświetlonego zestawienia sprawdzić można, jak oznaczane są w danym routerze poszczególne interfejsy. Nazwa interfejsu składa się z typu (np. Ethernet lub Serial) oraz numeru. W routerach niemodularnych (poniżej rodziny 2600) numer interfejsu jest pojedynczą liczbą (np. Serial 0, Ethernet 1), natomiast w routerach modularnych, które mogą być rozbudowywane o kolejne karty interfejsów, stosuje się zestaw dwu liczb w notacji nr_karty/nr_portu (np. Serial 0/1 oznacza drugi port szeregowy na pierwszej karcie). W routerach serii 7000 i 7500, wyposażonych w złącza (slot) dla kart VIP, oznaczenie interfejsu złożone będzie z trzech liczb, zgodnie z konwencją nr_karty_VIP/nr_karty/nr_portu (np. Ethernet 1/0/1).Następne kolumny podsumowania dotyczącego interfejsów zawierają informacje o przypisanych adresach IP, aktualnym statusie pracy interfejsu i wybranym protokole warstwy łącza danych. Zauważmy, że domyślnie wszystkie interfejsy są wyłączone (status oznaczony jako down), nie mają adresów IP ani określonego protokołu warstwy łącza danych. W kolejnych etapach dialogu konfiguracyjnego zdefiniować należy parametry globalne, w tym logiczną nazwę urządzenia wykorzystywaną w różnych procesach identyfikacyjnych oraz trzy hasła dostępowe wykorzystywane na routerze.Pierwsze hasło, oznaczone jako enable secret, chroni dostępu do trybu uprzywilejowanego, w którym administrator może uruchamiać wszystkie polecenia, a także przeprowadzać dowolne zmiany konfiguracyjne. Konieczność zabezpieczania tego trybu przed nieautoryzowanym dostępem jest więc bezdyskusyjna. Hasło enable secret przechowywane jest w postaci zaszyfrowanej. Aby zapewnić zgodność z wcześniejszymi wersjami systemu operacyjnego, w dialogu konfiguracyjnym pozostawiono możliwość zdefiniowania również hasła enable password. Hasło to także chroni dostępu do trybu uprzywilejowanego, ale jest wykorzystywane tylko w starszych wersjach systemu oraz wtedy, gdy hasło enable secret nie jest zdefiniowane. Ponieważ enable password przechowywane jest w postaci niezaszyfrowanej, zalecane jest stosowanie enable secret. Trzecim wymagane hasło chroni dostępu do routera poprzez linie terminali wirtualnych VTY, zwykle są to połączenia z wykorzystaniem protokołu telnet. Standardowo router udostępnia pięć linii wirtualnych VTY. Należy zauważyć, że domyślnie dostęp do routera poprzez linię konsoli nie jest zabezpieczany żadnym hasłem.

Po określeniu haseł, w dialogu konfiguracyjnym pojawia się możliwość zdefiniowania społeczności protokołu SNMP, w której pracować będzie router. Domyślnie proponowana jest społeczność Public i początkowo można tę nazwę pozostawić bez zmiany. Właściwe zdefiniowanie społeczności może mieć duże znaczenie dla pracujących w trybie graficznym programów do zdalnego zarządzania routerem, które działanie opierają na protokole SNMP. Kolejne pytania dialogu konfiguracyjnego dotyczą protokołów routingu dynamicznego, takich jak RIP czy IGRP. Można początkowo pozostawić proponowane, domyślne ustawienia lub wyłączyć routing dynamiczny.Ostatnia sekcja dialogu konfiguracyjnego pozwala w pętli zdefiniować parametry dotyczące poszczególnych interfejsów routera, np.: adres IP czy maska podsieci. Po udzieleniu odpowiedzi na wszystkie pytania pojawia się możliwość przejrzenia zdefiniowanych ustawień oraz zapamiętania konfiguracji startowej w pamięci NVRAM. Odpowiednia opcja w menu wyboru pozwala opuścić dialog konfiguracyjny bez zapamiętywania zmian. Z trybu dialogu można także wyjść w dowolnej chwili, wybierając kombinację Ctrl_C. W ramce zamieszczamy fragment dialogu konfiguracyjnego z pytaniami dotyczącymi nazwy routera oraz haseł dostępu.

Tryby pracy i zarządzanie skryptem konfiguracyjnym

Po zapamiętaniu konfiguracji startowej oraz po ponownym uruchomieniu routera administrator podłączony do routera poprzez port konsoli automatycznie uzyskuje dostęp do trybu wykonywania poleceń, zwanego trybem EXEC. Tryb EXEC pozwala na pracę na szesnastu poziomach uprzywilejowania, choć zwykle wykorzystywane są tylko dwa: poziom użytkownika (poziom 1) oraz poziom uprzywilejowany (poziom 15). Poziomem domyślnym - oznaczanym przez znak zachęty zakończony symbolem ">" - jest poziom użytkownika, na którym dostępne są tylko niektóre polecenia sprawdzające status routera oraz definiujące pracę terminala.

Skróty klawiszowe

Kombinacja Działanie

strzałka w górę lub Ctrl_P

poprzednie polecenie w historii poleceń

strzałka w dół lub Ctrl_N

następne polecenie w historii poleceń

Ctrl_A przejście na początek linii

Ctrl_E przejście na koniec linii

Tab lub Ctrl_I dokończenie polecenia

Ctrl_C wyjście z trybu interaktywnego

Ctrl_Z (polecenie End)

wyjście z trybu konfiguracyjnego

Ctrl_^ (Ctrl_Shift_6)

przerwanie wykonywanego polecenia

Ctrl_Shift_6+xchwilowe opuszczenie zdalnej sesji telnetowej

? (polecenie Help) system pomocy

Enter następny wiersz w trybie "-More-"

Odstęp następna strona w trybie "-More-"

Q wyjście z trybu "-More-"

Ctrl_Break

wywołanie z konsoli trybu monitora pamięci ROM

Pełen zestaw poleceń łącznie z trybem konfiguracyjnym przypisany jest do poziomu uprzywilejowanego oznaczanego znakiem zachęty zakończonym symbolem "#" (poziomy 2 - 14 też oznaczane są symbolem "#"). Aby przejść na poziom 15, należy wykonać polecenie enable, pamiętając o tym, że dostęp do poziomu uprzywilejowanego chroniony jest hasłem enable secret, zdefiniowanym w dialogu konfiguracyjnym (jeżeli zdefiniowane jest hasło enable secret, nie można wykorzystać hasła enable password do przejścia na poziom 15). Powrót na poziom domyślny (poziom 1) realizowany jest poleceniem disable.Ponieważ interaktywny dialog konfiguracyjny nie pozwala na zdefiniowanie wszystkich parametrów pracy routera, administrator będzie musiał dokończyć proces konfiguracji ręcznie z wykorzystaniem specjalnego trybu pracy routera, zwanego trybem konfiguracyjnym. Tryb ten (podobnie jak tryb śledzenia, wywoływany poleceniem debug) zarezerwowany jest dla poziomu uprzywilejowanego, a wchodzi się do niego komendą configure - pozwala ona skonfigurować router trzema różnymi metodami:

Terminal (metoda domyślna) - konfiguracja ręczna poprzez wykonywanie poszczególnych poleceń z poziomu terminala,

Memory - wczytanie pełnej konfiguracji z pamięci NVRAM (konfiguracja startowa) do pamięci RAM,

Network - wczytanie skryptu konfiguracyjnego z serwera sieciowego TFTP.

Po wejściu do trybu konfiguracyjnego z opcją domyślną zmienia się odpowiednio znak zachęty, zgodnie z notacją: Nazwa_routera(config)#. Wyróżniamy trzy rodzaje poleceń konfiguracyjnych: globalne, główne i podpolecenia. Komendy globalne, zapisywane w pojedynczej linii, definiują parametry dotyczące pracy routera jako całości. Poniżej przedstawiamy trzy przykłady poleceń globalnych, definiujących odpowiednio: logiczną nazwę routera, hasło chroniące dostęp do trybu uprzywilejowanego (przechowywane w postaci zaszyfrowanej) i routing dla protokołu IP:Router2600(config)#hostname C2600

C2600(config)#enable secret password

C2600(config)#ip routingPolecenia główne nie definiują bezpośrednio żadnych parametrów routera, lecz wyróżniają konkretny proces lub interfejs, który ma podlegać dalszej konfiguracji. Dostępnych jest ponad 17 specyficznych trybów konfiguracyjnych, wybieranych poleceniami głównymi. Poniższe dwa

Listę dostępnych poleceń w dowolnym trybie pracy routera wyświetlić można przez wciśnięcie znaku "?". W trakcie wpisywania poleceń o złożonej składni wciśnięty znak "?" przywołuje kontekstową pomoc z informacjami o kolejnych parametrach czy słowach kluczowych wymaganych w danym poleceniu. Bardzo użyteczną cechą systemu operacyjnego jest rozróżnianie poleceń na podstawie wpisanych początkowych znaków nazwy. Wpisana część nazwy komendy musi jednoznacznie identyfikować polecenie, np. słowo en oznaczać będzie w praktyce polecenie enable. System operacyjny pamięta również historię ostatnio wykonywanych poleceń, po której w większości terminali poruszać można się za pomocą klawiszy kierunkowych w górę i w dół.

przykładowe polecenia główne wybierają odpowiednio interfejs Ethernet 0/1 oraz protokół routingu dynamicznego IGRP. Zauważmy, że wykonanie polecenia głównego, poza zmianą znaku zachęty wskazującego wybrany proces, nie powoduje praktycznych zmian w konfiguracji:C2600(config)#interface Ethernet 0/1

C2600(config-if)#

C2600(config)#router IGRP 10

C2600(config-router)#Właściwą konfigurację procesu czy interfejsu wybranego poleceniem głównym przeprowadza się, podając w kolejnych liniach podpolecenia. Polecenie główne musi mieć przynajmniej jedno podpolecenie. Listę specyficznych dla danego trybu podpoleceń można wyświetlić, wciskając znak "?". Na przykład podpolecenie definiujące tekstowy opis dla interfejsu Ethernet 0/1 wygląda następująco:C2600(config)#interface Ethernet 0/1

C2600(config-if)#description Drugi segment sieci lokalnejZmiany przeprowadzane w trybie konfiguracyjnym dotyczą zawsze konfiguracji aktualnej, przechowywanej w pamięci RAM. Aby zmiany te utrwalić, należy nagrać konfigurację aktualną w pamięci nieulotnej NVRAM jako konfigurację startową. W tym celu wykonujemy polecenie:C2600#copy running-config startup-configZarówno konfigurację aktualną, jak i startową można w dowolnej chwili wyświetlić na ekranie za pomocą odpowiedniej składni polecenia show. W poniższych przykładach wyświetlana jest konfiguracja aktualna i startowa, zwana też czasami konfiguracją zapasową. Warto zwrócić uwagę na skrótowy zapis w drugim przykładzie:C2600#show running-config

C2600#sh startSkrypt konfiguracyjny odczytywany przy każdym uruchomieniu routera z pamięci NVRAM może być także przechowywany i pobierany z zewnętrznego serwera sieciowego, np. z serwera TFTP. Dzięki temu możliwe jest przygotowanie i publikowanie na niezależnym serwerze sieciowym wzorcowego zbioru konfiguracyjnego dla oryginalnego routera bądź wielu routerów podobnych.Przechowywanie skryptu konfiguracyjnego na serwerze TFTP ułatwia też jego edycję przy użyciu dowolnego edytora tekstowego (np. WordPad). Przydaje się to szczególnie wtedy, gdy często modyfikujemy złożone polecenia konfiguracyjne.Plik konfiguracyjny na serwerze TFTP tworzymy najczęściej nie od podstaw, lecz przez zapamiętanie na serwerze sieciowym aktualnej konfiguracji. W tym celu wykonujemy następującą komendę:C2600#copy running-config tftp

Polecenie show nie jest dostępne w trybie konfiguracyjnym.

Korzystając z polecenia reload, można przeprowadzić ponowne uruchomienie routera, co oznacza również wczytanie zmodyfikowanej konfiguracji startowej.

Aby wyjść z dowolnego poziomu trybu konfiguracyjnego, należy wykonać polecenie end lub wcisnąć kombinację Ctrl_Z. Polecenie exit pozwala wycofać się zawsze o jeden poziom.

Aby powyższe polecenie zadziałało poprawnie, określić należy prawidłowy adres IP serwera TFTP oraz nazwę pliku, w którym nagrana zostanie aktualna konfiguracja. W zależności od stosowanej usługi TFTP najczęściej możliwe jest podawanie również pełnej ścieżki do pliku. Przykład procedury nagrywania aktualnej konfiguracji na serwerze TFTP przedstawiamy poniżej:C2600#copy running-config tftp

Remote host []? 131.108.1.250

Name of configuration file to write [c2600-confg]? /2600/c2600-confg

Write file /2600/c2600-confg on host 131.108.1.250? [confirm]

Building configuration...

Writing /2600/c2600-confg !! [OK]

C2600#Jeśli konieczne jest wprowadzenie zmian w skrypcie konfiguracyjnym, otwieramy plik zapamiętany na serwerze TFTP w odpowiednim edytorze tekstowym i poddajemy go dalszej edycji. Jeśli pojawi się konieczność pobrania wzorcowego pliku konfiguracyjnego zapamiętanego na serwerze TFTP, wykonujemy następujące polecenie, podając odpowiednie parametry, podobnie jak w poprzednim przykładzie:C2600#copy tftp running-configJeżeli zachodzi taka konieczność, można zastąpić konfigurację startową przechowywaną w pamięci NVRAM, nadpisując ją plikiem konfiguracyjnym z serwera TFTP:C2600#copy tftp startup-configWczytując plik konfiguracyjny z serwera TFTP do pamięci NVRAM, nadpisujemy w całości konfigurację startową. Natomiast pobierając skrypt z serwera TFTP do pamięci RAM, wykonujemy poszczególne polecenia linia po linii - w tej sytuacji konfiguracja aktualna nie zostanie nadpisana. W przypadku poleceń wykluczających się, są one nadpisywane (np. nazwa routera musi być tylko jedna). Niektóre polecenia mogą się logicznie sumować, a nie nadpisywać (np. router może należeć do dwu społeczności protokołu SNMP - jedna zdefiniowana w konfiguracji aktualnej, a druga w pliku na serwerze TFTP).Należy pamiętać o tym, że jeżeli w pliku konfiguracyjnym na serwerze TFTP nie występuje jakieś polecenie, to nie znaczy, że będzie ono usunięte z konfiguracji aktualnej (np. jeżeli w pliku na serwerze TFTP nie podano

Rodzaje pamięci routera Cisco

Pamięć   Zawartość

ROM

Inicjujący program ładujący (bootstrap) odpowiedzialny za znalezienie i wczytanie systemu operacyjnego oraz program monitora wykorzystywany w procedurach naprawczych. Pamięć ROM może zawierać także minimalny lub kompletny system operacyjny.

RAM

Aktualna konfiguracja, zwykle obraz systemu operacyjnego oraz inne dynamiczne struktury związane z bieżącą pracą routera.

NVRAM Konfiguracja startowa (zapasowa).

Flash Obrazy systemu operacyjnego.

Skrypt konfiguracyjny może być nagrywany na serwerze RCP, a w niektórych wersjach systemu operacyjnego również na serwerze FTP.

komendy shutdown, polecenie to pozostanie, jeśli było zdefiniowane wcześniej, w aktualnej konfiguracji interfejsu).

Konfigurowanie interfejsów

Jednym z pierwszych zadań konfiguracyjnych, jakie wykonać musi administrator nowego routera, będzie właściwe zdefiniowanie parametrów komunikacyjnych dla poszczególnych interfejsów - zarówno tych dotyczących segmentów sieci lokalnej, jak i interfejsów szeregowych, wykorzystywanych najczęściej do połączeń w sieci WAN. Dla interfejsów sieci LAN, takich jak Ethernet, zwykle wystarczające jest zdefiniowanie parametrów dotyczących adresowania w protokole warstwy sieciowej (np. IP) oraz odwołanie domyślnie włączonego polecenia shutdown, które blokuje pracę interfejsu. Czynności te mogą być niepotrzebne, jeśli interfejs skonfigurowano z poziomu dialogu konfiguracyjnego.Poniższa sekwencja poleceń pokazuje wywołanie trybu konfiguracyjnego, wybór właściwego interfejsu, przypisanie adresu IP i maski podsieci do interfejsu Ethernet 0/0 oraz wyłączenie polecenia shutdown blokującego interfejs. Na przykładzie polecenia shutdown warto zwrócić uwagę na sposób odwoływania poleceń przez wykorzystanie komendy no, dopisywanej na początku oryginalnej linii.C2600#configure terminal

C2600(config)#interface Ethernet 0/0

C2600(config-if)#ip address 131.108.1.1 255.255.255.0

C2600(config-if)#no shutdownW niektórych sytuacjach może okazać się konieczne przypisanie do jednego interfejsu więcej niż jednego adresu IP. Dzieje się tak na przykład wtedy, gdy router obsługuje kilka wirtualnych sieci IP w jednym segmencie fizycznym. Polecenie dodające do interfejsu kolejny adres IP (drugi, trzeci itd.) ma składnię:C2600(config-if)#ip address 212.1.1.1 255.255.255.0 secondaryW przypadku interfejsów szeregowych konfiguracja jest bardziej złożona, bowiem oprócz parametrów warstwy sieciowej (adres IP czy maska podsieci) określić należy również ustawienia dla warstwy łącza danych oraz warstwy fizycznej (dostępne protokoły warstwy fizycznej oraz sposób ich wyboru, a także protokoły warstwy łącza danych przedstawimy szczegółowo w artykule o pracy routera Cisco w sieciach WAN w następnym numerze).W przypadku komunikacji synchronicznej, typu punkt-punkt z wykorzystaniem interfejsów szeregowych, jedno urządzenie w parze pełni rolę urządzenia biernego typu DTE, zaś drugie jest urządzeniem aktywnym DCE, definiującym parametry transmisyjne, np. parametr zegara transmisji. W typowej sytuacji, gdy router podłącza się do sieci WAN, rolę DCE pełni urządzenie brzegowe dostawcy, a DTE - interfejs szeregowy routera oraz odwołanie domyślnie włączonego polecenia shutdown, które blokuje pracę interfejsu. Czynności te mogą być niepotrzebne, jeśli interfejs skonfigurowano z poziomu dialogu konfiguracyjnego. W warstwie łącza danych, jako typ hermetyzacji (encapsulation) dla przesyłanych

danych, wybierany jest automatycznie i domyślnie protokół HDLC. W zależności od potrzeb protokół ten można zmienić.Jeżeli interfejs szeregowy routera pracuje jako urządzenie DCE, obowiązkowo dla tego interfejsu zdefiniować należy parametr zegara transmisji. W tym celu wykonujemy następujące polecenie w ramach konfiguracji interfejsu, podając jako parametr jedną z dozwolonych wartości (wyrażoną w bps):C2600(config-if)#clock rate 128000Dla wszystkich interfejsów szeregowych można dodatkowo skonfigurować przepustowość oraz opóźnienie wprowadzane przez dany interfejs. Trzeba jednak pamiętać, że obydwa te parametry są statycznie wpisywane przez administratora (początkowo mają wartości domyślne, wynikające z typu interfejsu), mają znaczenie etykietowe i nie odzwierciedlają w żadnym wypadku faktycznej komunikacji przez konkretny interfejs. Modyfikuje się je w celu zmiany środowiska pracy protokołów routingu dynamicznego, takich jak IGRP czy OSPF.W poniższym przykładzie polecenia definiują przepustowość i opóźnienie dla interfejsu szeregowego. Parametr dla polecenia bandwidth wyrażany jest w kbps, natomiast opóźnienie podaje się w dziesiątkach mikrosekund:C2600(config-if)#bandwidth 128

C2600(config-if)#delay 2000Zdefiniowane dla interfejsów parametry oraz stan ich pracy można w dowolnej chwili obejrzeć poleceniem show interfaces - wyświetla ono m.in. następujące komunikaty dla konkretnego interfejsu Serial 0/0:C2600#show interfaces serial 0/0

Serial0/0 is up, line protocol is up

Hardware is PowerQUICC Serial

Internet address is 131.107.11.1/24

MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,

reliability 255/255, txload 1/255, rxload 1/255

Encapsulation HDLC, loopback not set, keepalive set (10 sec)

Parametr polecenia clock rate musi być dostosowany do wybranego protokołu warstwy fizycznej oraz do typu interfejsu szeregowego. System nie przyjmie wartości zegara większej niż maksymalna obsługiwana przez konkretny interfejs, co np. dla interfejsów szeregowych dostępnych na asynchroniczno - synchronicznych kartach WIC 2A/S oznacza dozwoloną prędkość do 128 kbps.

Informacja typu "Serial0/0 is up" oznacza poprawne działanie interfejsu w warstwie fizycznej (status down sygnalizuje na przykład brak częstotliwości nośnej lub niepodłączony kabel). Komunikat "line protocol is up" opisuje tu poprawne działanie protokołu warstwy łącza danych, czyli otrzymywanie pakietów keepalive (status down może oznaczać na przykład niezgodność protokołu warstwy drugiej bądź niezdefiniowany zegar (clock rate) w urządzeniu pracującym jako DCE). W pewnych sytuacjach stan interfejsu wyświetlany jest jako "administratively down", co oznacza, że w konfiguracji interfejsu włączono polecenie shutdown, blokujące pracę interfejsu.Wśród innych ciekawych informacji wyświetlanych poleceniem show znaleźć można: adres sprzętowy MAC (dla interfejsów typu Ethernet), przypisany adres IP, parametr MTU (maksymalny rozmiar pola danych transmitowanej ramki), przepustowość (BW), opóźnienie (DLY), niezawodność i obciążenie interfejsu (dwa parametry rzeczywistej transmisji) oraz włączony protokół warstwy łącza danych (np. HDLC dla interfejsu szeregowego lub ARPA, czyli Ethernet II dla interfejsu typu Ethernet). Więcej parametrów dotyczących tylko protokołu IP dla wybranego interfejsu zobaczyć można po wykonaniu następującego polecenia:C2600#show ip interface Serial 0/0Jeżeli administrator routera chce sprawdzić, które interfejsy szeregowe pracują jako urządzenia DTE, a które jako DCE, jaki został efiniowany zegar oraz jaki jest stosowany (zwykle zależny od wybranego kabla) protokół warstwy fizycznej, może wykonać komendę show controllers interfejs, które wyświetla parametry fizyczne interfejsu:C2600#show controllers serial 0/0

Interface Serial0/0

Hardware is PowerQUICC MPC860

DCE V.35, clock rate 56000

Ładowanie systemu operacyjnego

Omówienie etapu poszukiwania i ładowania

Tryby pracy routera

Tryb pracy Działanie

Tryb użytkownika C2600>

Ograniczony zestaw poleceń "nieniszczących"; definiowanie ustawień terminala; wyświetlanie statusu routera.

Tryb uprzywilejowany C2600#

Pełen zestaw poleceń; tryb konfiguracyjny; śledzenie pracy routera poprzez polecenie debug.

Tryb konfiguracyjny C2600(config)#

Globalne i główne polecenia konfiguracyjne; wywoływany z trybu uprzywilejowanego.

Tryb konfiguracyjny procesu C2600

Konfiguracja specyficznego procesu lub interfejsu routera;

(config-proces)#

realizacja podpoleceń; wywoływany z trybu konfiguracyjnego.

Dialog konfiguracyjny

Konfiguracja routera w trybie ineraktywnym; wywoływany poleceniem setup lub automatycznie przy braku konfiguracji startowej.

Monitor pamięci ROM rommon>

Procesy naprawcze (hasła lub pamięci Flash); modyfikowanie rejestru; wywoływany ręcznie odpowiednią kombinacją (zwykle Ctrl_Break) lub automatycznie przy braku poprawnego

Router Cisco w sieciach WAN

Stos protokołówAutor: Waldemar Pierścionek

Kurs przygotowawczy do egzaminu CCNA - cz. 2

Kurs konfiguracji i użytkowania routerów Cisco składa się z serii artykułów przedstawiających szczegółowo czynności, jakie administrator musi wykonać począwszy od momentu pierwszego włączenia routera, poprzez skonfigurowanie interfejsów, aż do uruchomienia odpowiedniego procesu routingu i wdrożenia zaplanowanej polityki bezpieczeństwa.

Certyfikat CCNA przeznaczony jest dla specjalistów od niewielkich sieci (do 100 stanowisk) i potwierdza umiejętności w zakresie instalacji i konfiguracji routerów i przełączników Cisco w sieciach LAN i WAN. Kandydat może wybrać dowolny sposób przygotowania się do egzaminu, w szczególności edukację zdalną. 

W tym artykule zajmiemy się podłączaniem i konfigurowaniem routera Cisco do pracy w sieci WAN. Przedstawimy terminologię dotyczącą komunikacji w sieci WAN, protokoły warstwy fizycznej oraz sposób ich wyboru.

Szczegółowo omówimy budowę oraz zasady pracy sieci X.25, a także polecenia konfiguracyjne związane z tym protokołem. Pokażemy możliwości wykorzystania routera jako lokalnego i zdalnego przełącznika sieci X.25. W większości prezentowanych przykładów użyto routera serii 2600 z systemem operacyjnym IOS 11.3.Właściwą konfigurację routera Cisco, wymaganą w celu podłączenia go do usług sieci rozległej WAN, warto poprzedzić zapoznaniem się z protokołami oraz zasadami transmisji w sieci WAN na dwu najniższych warstwach modelu sieciowego OSI. Rozważmy typową sytuację, w której router firmowy podłączany jest do sieci WAN poprzez modem dostawcy (rys. poniżej) - interesuje nas tylko transmisja synchroniczna, ponieważ jest częściej stosowana i bardziej efektywna niż asynchroniczna.

Połączenie routera z siecią WANKomunikacja między routerem (interfejs szeregowy), a modemem dostawcy realizowana będzie w warstwie fizycznej zwykle z wykorzystaniem jednego z protokołów: RS-232 (V.24), RS-449, V.35 lub X.21. Dowolny z wymienionych protokołów zastosować można praktycznie w każdym interfejsie szeregowym, a wybór następuje przez podłączenie odpowiedniego kabla łączącego router z modemem. Poszczególne

Za maksymalną prędkość dla protokołów RS-449 i X.21 przyjmuje się zwykle 2 Mb/s. Protokół V.35 może być stosowany dla prędkości do 4 Mb/s, ale dokumentacja Cisco zaleca stosowanie tego protokołu dla prędkości poniżej 2 Mb/s.

Tryby pracy routera

Tryb pracy Działanie

Tryb użytkownika C2600>

Ograniczony zestaw poleceń "nieniszczących"; definiowanie ustawień terminala; wyświetlanie statusu routera.

Tryb uprzywilejowany C2600#

Pełen zestaw poleceń; tryb konfiguracyjny; śledzenie pracy routera poprzez polecenie debug.

Tryb konfiguracyjny C2600(config)#

Globalne i główne polecenia konfiguracyjne; wywoływany z trybu uprzywilejowanego.

Tryb konfiguracyjny procesu C2600

Konfiguracja specyficznego procesu lub interfejsu routera;

(config-proces)#

realizacja podpoleceń; wywoływany z trybu konfiguracyjnego.

Dialog konfiguracyjny

Konfiguracja routera w trybie ineraktywnym; wywoływany poleceniem setup lub automatycznie przy braku konfiguracji startowej.

Monitor pamięci ROM rommon>

Procesy naprawcze (hasła lub pamięci Flash); modyfikowanie rejestru; wywoływany ręcznie odpowiednią kombinacją (zwykle Ctrl_Break) lub automatycznie przy braku poprawnego

protokoły warstwy fizycznej różnią się uzyskiwanymi prędkościami transmisji. Wymagają również stosowania różnych złączy od strony modemu (kabel od strony routera ma zawsze to samo złącze, zależne od typu interfejsu szeregowego) oraz mogą pracować tylko w pewnym zakresie odległości - rekomendowane wartości dla poszczególnych protokołów podajemy w tabeli obok.W przypadku komunikacji synchronicznej wyróżnia się dwa rodzaje urządzeń - DCE i DTE. Zwykle router jest urządzeniem biernym (DTE), które dostosowuje się do parametrów transmisyjnych podawanych z sieci operatora, natomiast urządzeniem aktywnym (DCE) jest modem dostawcy. Urządzenie DCE określa na przykład przebieg zegara sterującego transmisją synchroniczną. Dwa routery podłączone w różnych miejscach do sieci WAN mogą stosować różne protokoły warstwy fizycznej (np. V.35 i RS-449). W pewnych sytuacjach, np. podczas testów, może być konieczne bezpośrednie połączenie dwóch routerów poprzez interfejsy szeregowe. Należy wówczas zakupić specjalną parę kabli dostosowanych do konkretnego protokołu warstwy fizycznej (np. V.35) i mających odpowiednio złącze żeńskie i męskie; routery można wtedy spiąć bezpośrednio, tak aby jeden z nich pełnił rolę DTE, a drugi - DCE.

Połączenie bezpośrednie pary routerówKonfigurując interfejs szeregowy, wybiera się również protokół warstwy łącza danych, czyli typ hermetyzacji. Zwykle jest to HDLC, PPP, X.25 lub Frame Relay. Domyślnie w interfejsie szeregowym włączany jest automatycznie protokół HDLC, który w zasadzie nie wymaga dalszej konfiguracji. Pamiętać należy jedynie o tym, że implementacja protokołu HDLC firmy Cisco nie gwarantuje współpracy z urządzeniami innych producentów.

Sieć X.25

X.25 to jeden z najstarszych standardów sieci rozległej, wspierany przez Międzynarodową Unię Telekomunikacyjną (ITU). Wprawdzie posługujemy się określeniem protokół X.25, ale w zasadzie należy używać pojęcia stos X.25, gdyż jest to grupa protokołów umiejscowiona w trzech dolnych warstwach modelu OSI. Sieć X.25 nazywana jest siecią pakietową, gdyż komunikacja w niej opiera się na przełączaniu pakietów zmiennej długości (w przeciwieństwie do przełączania komórek o stałym rozmiarze), a realizowana jest poprzez połączenia wirtualne (rys. na dole). Wymiana danych między dwoma urządzeniami wymaga wcześniejszego zestawienia obwodu wirtualnego, czyli wyznaczenia przez przełączniki trasy, którą wysłane zostaną wszystkie pakiety.

Wybrane modularne routery Cisco, wyposażone w specjalne karty interfejsów, mogą stosować protokoły G.703 oraz HSSI. Są to protokoły warstwy fizycznej pozwalające uzyskiwać znacznie większe prędkości transmisji (G.703 - do 34 Mb/s, HSSI - do 52 Mb/s).

Obwody wirtualne w sieci X.25Wyróżniamy dwa rodzaje obwodów wirtualnych: połączenia trwałe PVC oraz połączenia zestawiane SVC, które zrywane są po zakończeniu transmisji danych lub po pewnym czasie bezczynności. Pierwsze rozwiązanie jest droższe, a drugie bardziej czasochłonne. Protokół X.25 definiuje połączenie typu punkt-punkt między urządzeniami DTE i DCE - znaczenie obu urządzeń jest podobne, jak w przypadku warstwy fizycznej. Zwykle urządzeniem biernym DTE będzie interfejs szeregowy routera, natomiast urządzeniem aktywnym - modem dostawcy lub przełącznik brzegowy w sieci WAN.Na pojedynczym interfejsie szeregowym można ustanowić wiele kanałów wirtualnych do urządzenia DCE, dzięki czemu możliwe jest tworzenie obwodów wirtualnych do wielu odbiorców jednocześnie. Trasy przekazywania pakietów w sieci rozległej dostawcy wyznaczane są przez przełączniki X.25, odpowiedzialne za wymianę danych między dwoma urządzeniami DTE.Protokół X.25 opracowywany był dla zawodnych połączeń komunikacyjnych, dlatego wyposażony jest w silne procedury korekcyjne i w zasadzie każdy węzeł na trasie pakietu jest w stanie wykryć jego uszkodzenie oraz wymusić retransmisję. Dodatkowo weryfikację transmisji prowadzi się niezależnie w warstwie drugiej i trzeciej, czego rezultatem jest znacznie mniejsza przepustowość niż gwarantowana w nowszych rozwiązaniach, np. w protokole Frame Relay.Oryginalnym protokołem warstwy fizycznej sieci X.25 był protokół X.21 (złącza 15- i 25-stykowe); obecnie można stosować inne protokoły, np. V.35. Właściwym protokołem warstwy łącza danych jest protokół LAPB (Link Access Procedure Balanced), odpowiedzialny za badanie stanu łącza, synchronizację i wykrywanie błędów. Protokół LAPB steruje transmisją ramek na pojedynczym odcinku między urządzeniami DTE i DCE. W warstwie trzeciej stosu X.25 pracuje protokół PLP (Packet Layer Protocol), który ma znaczenie globalne w sieci X.25. Protokół PLP współpracuje z procedurami korekcyjnymi protokołu LAPB zarządza obwodami wirtualnymi oraz adresowaniem w sieci X.25. Protokół PLP umiejscowiony jest w warstwie trzeciej, zatem "przenoszenie" protokołu IP w sieci X.25

Maks. długość kablamiędzy routerem a modemem [m]

Prędkość Protokół

(kb/s) RS-232 RS-449, V.35, X.21

9,6 15 312

19,2 7,6 156

38,4 3,7 78

56 2,6 31

128 - 15

256 - 15

2000 - 15

polega na hermetyzacji pakietów IP (warstwa 3) w pakietach PLP (warstwa 3).Każde urządzenie pracujące w sieci X.25 musi mieć unikatowy adres, definiowany zgodnie ze standardem X.121 (ITU). Adres składa się z maksymalnie 14 cyfr dziesiętnych i ma znaczenie globalne w ramach danej sieci X.25 (rys. poniżej). Pierwsze trzy cyfry oznaczają kraj, czwarta definiuje konkretnego dostawcę w ramach kraju, natomiast pozostałe dziesięć cyfr przyznaje dostawca swojemu klientowi. Czasami dostawca przypisuje odbiorcy tylko ośmiocyfrowy numer, natomiast dwie ostatnie cyfry określa indywidualnie klient.

Przykład adresowania X.121 w sieci X.25

Konfiguracja routera Cisco w sieci X.25

Aby podłączyć router do sieci rozległej WAN z wykorzystaniem stosu protokołów X.25, należy rozpocząć konfigurację od włączenia właściwej hermetyzacji na poziomie interfejsu szeregowego. W trybie konfiguracji interfejsu wykonujemy polecenie Encapsulation X25, jeśli konfigurujemy interfejs szeregowy jako urządzenie DTE (sytuacja typowa), lub polecenie Encapsulation X25 DCE dla urządzenia DCE (np. podczas testów). Następnie nadajemy unikatowy (przyznany przez dostawcę) adres X25, zgodny ze standardem X.121, poleceniem: X25 address x21_adres. W przypadku kilku interfejsów szeregowych pracujących z protokołem X.25, każdy z nich musi mieć własny adres. Adresy sieci X.25 są zupełnie niezależne od adresów właściwych protokołów warstwy sieciowej, np. protokołu IP.

Konfiguracja routerów brzegowych trzech oddziałów firmy, które komunikują się ze sobą poprzez sieć X.25 - dodatkowe polecenia pozwalają ustawić rozmiar okna oraz maksymalny rozmiar pakietu, a także czas, po którym automatycznie rozłączane będą bezczynne kanały SVC. Podwójne odwzorowanie adresów wskazuje obydwu sąsiadów, zaś opcja broadcast, umożliwia poprawne działanie routingu dynamicznego.

Dostawca może wymagać określenia maksymalnego rozmiaru wysyłanego i odbieranego pakietu dla protokołu PLP. Dopuszczalne rozmiary pakietu wahają się w granicach 16 - 4096 bajtów. Zwykle dostawcy korzystają z pakietów o rozmiarach 128 lub 256 bajtów. Dla interfejsów szeregowych routera Cisco domyślnie ustawiany jest maksymalny rozmiar pakietu na 128 bajtów. Pakiety przesyłane w sieci X.25, które przekraczają dopuszczalny rozmiar, muszą być dzielone na mniejsze części (oznaczane specjalnymi bitami flagowymi), a scalane są dopiero na routerze odbierającym. Poniższe polecenia ustalają maksymalny rozmiar pakietu wchodzącego i wychodzącego na 256 bajtów:C2600(config-if)#x25 ips 256

C2600(config-if)#x25 ops 256Protokoły sieci X.25 wyposażone są w silne procedury korekcji błędów, m.in. przesuwne okno transmisji danych. Rozmiar okna określa, ile pakietów może być jednorazowo wysyłanych przy pojedynczym potwierdzeniu - wielkość tę podaje się niezależnie dla okna wysyłania i okna odbierania danych. Maksymalny dopuszczalny rozmiar okna przy typowych ustawieniach wynosi siedem pakietów, a domyślnie ustawiany jest na dwa pakiety. Aby ustalić rozmiar okna nadawania i okna odbioru, należy w trybie konfiguracji interfejsu posłużyć się poleceniami: X25 wout rozmiar i X25 win rozmiar. Maksymalny rozmiar okna ustawiany jest poleceniem X25 modulo parametr, przy czym jako parametr podać można tylko dwie wartości: 8 lub 128. Domyślnie wybrana jest wartość 8, ale po wykonaniu polecenia X25 modulo 128 można ustawić rozmiar okna na 127 pakietów.Jednym z najważniejszych zadań podczas konfiguracji protokołu X.25 jest poprawne wskazanie routerów sąsiedzkich, czyli tych, z którymi ustanawiana jest komunikacja poprzez sieć X.25. Realizuje się to poprzez przyporządkowanie (odwzorowanie adresów) zdalnego adresu protokołu warstwy sieciowej (np.: IP, IPX, DECNET, APPLETALK) do zdalnego adresu urządzenia w sieci X.25. Składnia takiego polecenia jest następująca:C2600(config-if)#X25 map protokół adres adres_x121 [opcje]

Parametr protokół oznacza protokół warstwy sieciowej (np. IP), pole adres to konkretny adres routera zdalnego dla wybranego protokołu, a adres_x121 oznacza adres routera zdalnego w sieci X.25. Typową opcją jest broadcast - jej włączenie spowoduje wysyłanie komunikacji rozgłoszeniowej przez wskazany interfejs do podanego adresu X121 (w danym połączeniu wirtualnym). W praktyce opcję broadcast stosuje się przy rozsyłaniu informacji związanych z protokołami routingu dynamicznego - zwykle mają one postać ruchu rozgłoszeniowego. Odwzorowanie adresów (mapping) opisujące zdalnych sąsiadów wpisywane jest ręcznie i ma postać statycznej tablicy, wypełnianej osobno dla każdego z protokołów warstwy sieciowej. Trzeba jednak dodać, że dla węzłów obsługujących hermetyzację wieloprotokołową zgodną z RFC1356 możliwe jest utworzenie odwzorowania adresów dla różnych protokołów sieciowych w pojedynczym zapisie, zgodnie ze składnią:C2600(config-if)#X25 map protokół adres [protokół adres]

* adres_x121 [opcje]Symbol "*" oznacza, że w pojedynczej linii można podać do dziewięciu protokołów warstwy sieciowej rozdzielonych. Poniżej przykład kompletnej konfiguracji interfejsu szeregowego Serial 0/0 routera Cisco 2600, przez który użytkownicy wielosegmentowej sieci lokalnej firmy uzyskują dostęp do Internetu, korzystając z usług dostawcy sieci X.25:C2600(config-if)#encapsulation x25

C2600(config-if)#x25 address 26013456789876

C2600(config-if)#ip address 213.15.8.9 255.255.255.252

C2600(config-if)#x25 map ip 213.15.8.10 26019876543212W przykładzie tym zarówno adres IP interfejsu Serial 0/0, jak i adres X.121 zostały określone przez dostawcę. Interfejs ten został skonfigurowany jako urządzenie DTE, a odwzorowanie adresów wskazuje router brzegowy dostawcy.Domyślna konfiguracja routera Cisco pozwala zestawić maksymalnie 4095 wirtualnych kanałów komunikacyjnych na jednym interfejsie szeregowym. Każdy kanał wirtualny identyfikowany jest poprzez unikatowy numer LCN (Logical Channel Number), który może przyjmować wartości z zakresu 1 - 4095 i dla konkretnego kanału musi być jednakowy na urządzeniach DTE i DCE. Standardowo na interfejsie szeregowym zestawiane są kanały przełączane SVC. Aby utworzyć kanały stałe PVC, należy posłużyć się poleceniem X25 pvc w ramach konfiguracji interfejsu. Próba zestawienia kanału PVC może jednak zakończyć się niepowodzeniem, gdyż domyślnie wszystkie dostępne numery LCN zarezerwowane są dla kanałów SVC.Przyjęto następującą zasadę: wszystkie kanały PVC muszą mieć numerację poniżej kanałów SVC. Dodatkowo, ze względu na sposób inicjowania połączenia, kanały SVC dzielą się na: wchodzące (IC - incoming circuit), dwustronne (TC - two-way circuit) i wychodzące (OC - outgoing circuit).

Protokoły routingu dynamicznego, które do obliczania metryki trasy wykorzystują liczbę routerów (skoków) na trasie, nie uwzględniają routera pracującego jako przełącznik sieci X.25.

Numery kanałów dwustronnych muszą być wyższe niż kanałów wchodzących, ale niższe niż kanałów wychodzących. Ponieważ domyślnie zdefiniowany zakres numerów LCN od 1 do 1024 przypisany jest do dwustronnych kanałów SVC, nie ma wolnych numerów na kanały PVC. Aby to zmienić, należy zdefiniować inne zakresy numeryczne, wykorzystując komendy: X25 lic numer (najniższy kanał wchodzący), X25 hic numer (najwyższy kanał wchodzący), X25 ltc numer (najniższy kanał dwustronny, X25 htc numer (najwyższy kanał dwustronny), X25 loc numer (najniższy kanał wychodzący), X25 hoc numer (najwyższy kanał wychodzący).Aktualną konfigurację interfejsów szeregowych z włączoną hermetyzacją X.25 oraz stan połączeń można monitorować poleceniem Show. Komenda Show int s 0/0 wyświetla status interfejsu szeregowego Serial 0/0 (p. listing, str. 72). W sekcji protokołu LAPB znaleźć można m.in.: maksymalny rozmiar ramki wyrażony w bitach (N1), liczbę prób transmisji (N2), czas oczekiwania na potwierdzenie w milisekundach (T1), dopuszczalny rozmiar przesuwnego okna (modulo 8). W sekcji protokołu PLP (X.25) wyświetlane są: typ urządzenia (DCE), adres X.121, typ hermetyzacji, rozmiary przesuwnych okien (2/2), maksymalne rozmiary pakietów (128/128), zakresy numerów dla kanałów SVC (od 1 do 1024 dla kanałów dwustronnych).Polecenie Show x25 map wyświetla zawartość statycznej tablicy odwzorowań adresów, które wskazują sąsiadów routera. Warto zwrócić uwagę na powiązania zdalnych adresów IP ze zdalnymi adresami X.121 oraz na włączoną opcję broadcast:C2600#show x25 map

Serial0/0: X.121 26019876543212 <-> ip 213.15.8.10

permanent, broadcast, 1 VC: 1Komenda Show x25 vc pozwala wyświetlić aktualnie ustanowione kanały wirtualne na poszczególnych interfejsach szeregowych. Zwykle będą to kanały SVC z przypisanymi numerami LCN w zakresie od 1 do 1024:C2600#show x25 vc

SVC 1, State: D1, Interface: Serial0/0

Started 01:02:27, last input 01:02:27, output 01:02:27

Connects 26019876543212 <-> ip 213.15.8.10

Call PID cisco, Data PID none

Window size input: 2, output: 2

Packet size input: 128, output: 128

Router Cisco jako przełącznik sieci X.25

W typowym zastosowaniu router hermetyzuje pakiety protokołu IP w protokole PLP, łącząc np. sieci lokalne dwu oddziałów firmy poprzez sieć X.25 - sytuację taką omawialiśmy powyżej. Możliwe jest także wykorzystanie routera jako urządzenia przełączającego ruch między

dwiema sieciami X.25 (rys. poniżej). W takiej konfiguracji router analizuje i przełącza pakiety protokołu PLP, a logicznie sytuowany jest w warstwie trzeciej stosu protokołów X.25. W tym przypadku przełącznik nie analizuje pakietu na warstwie IP.

Router Cisco jako lokalny przełącznik X.25Aby skonfigurować router jako przełącznik, należy w globalnym trybie konfiguracji:- wykonać polecenie włączające przełączanie pakietów X.25: X25 routing;- wypełnić statyczną tablicę przełączania, wykorzystując polecenia: X25 route docelowy_adres_X121 interface interfejs_wyjściowy.W podanej konfiguracji nie jest konieczne definiowanie adresów IP na interfejsach szeregowych, ponieważ router funkcjonuje jako przełącznik pakietów X.25. Polecenie X25 route określa, na który interfejs wyjściowy przełączany będzie konkretny docelowy adres X.121. Przykładowe polecenie: X25 route 123456 interface s0/1 oznacza, iż pakiety skierowane do adresu 123456 przełączane będą na interfejs szeregowy s0/1. Aktualną zawartość tablicy przełączania wyświetlić można komendą Show x25 route:C2600#sh x25 route

# Match Substitute Route to

1 dest 654321 Serial0/0

2 dest 123456 Serial0/1

Router Cisco jako zdalny przełącznik sieci X.25Wyobraźmy sobie teraz sytuację, w której dwa routery, pracujące jako lokalne przełączniki sieci X.25, mogą wymieniać informacje między sobą poprzez wielosegmentową, routowalną sieć TCP/IP z wykorzystaniem interfejsów sieci LAN, np. Ethernet (rys. powyżej). Ponieważ w tym układzie routery mogą wymieniać między sobą pakiety X.25 poprzez sieć TCP/IP, nazywamy je przełącznikami zdalnymi, a cały mechanizm określany jest skrótem XOT (X.25 over TCP/IP). Aby skonfigurować poprawną komunikację między dwoma przełącznikami zdalnymi, należy posłużyć się poleceniem konfiguracyjnym: X25 route docelowy_adres_X.121 XOT zdalny_adres_IP. W przedstawionym na rysunku przykładzie konfiguracja routera lewego mogłaby być następująca:C2600(config)#x25 route 7654321 XOT 113.1.1.1

Adres X.121 równy 7654321 oznacza docelowe urządzenie w sieciach X.25 za routerem prawym, a adres IP równy 113.1.1.1 jest adresem interfejsu E1 routera prawego. Oczywiście nadal niezbędne jest poprawne skonfigurowanie statycznych tablic lokalnego przełączania na obu routerach. Możliwe jest zwiększenie wydajności w tego rodzaju komunikacji, gdyż routowalna sieć TCP/IP (często jest to wielosegmentowa sieć LAN) może gwarantować większą przepustowość niż sieć X.25.

Interfejs szeregowy ze stosem protokołów X.25C2600#show int s 0/0

Serial0/0 is up, line protocol is up

Hardware is PowerQUICC Serial

Internet address is 213.15.8.9/30

MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,

reliability 255/255, txload 1/255, rxload 1/255

Encapsulation X25, loopback not set

X.25 DCE, address 26013456789876, state R1, modulo 8, timer 0

Defaults: idle VC timeout 0

cisco encapsulation

input/output window sizes 2/2, packet sizes 128/128

Timers: T10 60, T11 180, T12 60, T13 60

Channels: Incoming-only none, Two-way 1-1024, Outgoing-only

RESTARTs 7/0 CALLs 0+0/0+0/0+0 DIAGs 0/0

LAPB DCE, state CONNECT, modulo 8, k 7, N1 12056, N2 20

T1 3000, T2 0, interface outage (partial T3) 0, T4 0

VS 7, VR 7, tx NR 7, Remote VR 7, Retransmissions 0

Queues: U/S frames 0, I frames 0, unack. 0, reTx 0

IFRAMEs 9/8 RNRs 0/0 REJs 0/0 SABM/Es 20/7 FRMRs 0/0 DISCs 0

Podstawowa konfiguracja routera Cisco cz. 2

Zabezpieczenie i diagnostyka

W następnych odcinkach

Sposoby konfiguracji routera do pracy z innymi protokołami warstwy łącza danych sieci WAN, takimi jak PPP czy Frame Relay

Autor: Waldemar PierścionekW numerze 8 omówiliśmy podstawy konfiguracji routera - podłączenie konsoli i prowadzenie dialogu konfiguracyjnego. Teraz zajmiemy się ochroną dostępu do routera, omówimy również obsługę komunikatów generowanych przez router, korzystanie z polecenia debug, konfigurowanie protokołu SNMP, współpracę z serwerem nazewniczym DNS oraz wykrywanie sąsiednich urządzeń.

Router Cisco pozwala użytkownikowi pracować na jednym z szesnastu poziomów uprzywilejowania, oznaczanych od 0 do 15. Na każdym poziomie dostępny jest inny zestaw poleceń: najmniejszy zestaw (standardowo 5 komend) na poziomie 0, a największy, kompletny zestaw z pełnym poziomem uprawnień - na poziomie 15. Domyślnie użytkownik podłączający się do routera poprzez port konsoli lub linie VTY uzyskuje dostęp do poziomu 1, na którym może sprawdzić szereg ustawień routera i przetestować komunikację, ale nie może dokonać żadnych zmian w konfiguracji.

Poziomy uprzywilejowania

Tryb konfiguracyjny zarezerwowany jest dla poziomu 15 (p. artykuł w numerze 8), do którego użytkownik uzyskuje dostęp po wykonaniu polecenia enable i podaniu hasła enable secret (jeśli ręcznie wyłączone zostało hasło enable secret, należy podać hasło enable password). Na dowolny poziom uprzywilejowania można wejść komendą enable xx, gdzie w miejsce xx wpisuje się żądany poziom. Użytkownika może jednak spotkać niespodzianka. - ponieważ standardowo poziomy od 2 do 14 nie jest włączona ochrona hasłem. System operacyjny w ogóle nie pozwala na nie wejść, przechodząc z niższego poziomu na wyższy. Aby stan ten zmienić, należy do wybranego poziomu przypisać hasło. W tym celu należy przejść na poziom 15, wywołać tryb konfiguracyjny i wykonać polecenie:2600(config)#enable secret level xx hasloParametr xx oznacza numer poziomu, dla którego definiowane jest hasło. Ponieważ użyliśmy polecenia enable secret, hasło dla poziomu xx przechowywane będzie w skrypcie konfiguracyjnym w postaci zaszyfrowanej, uniemożliwiającej jego odczytanie.Aby przejść na określony poziom, idąc z wyższego na niższy, należy posłużyć się poleceniem disable xx (polecenie disable bez parametrów oznacza powrót na poziom 1). Warto zauważyć, iż polecenie disable pozwalające przejść na poziom niższy nie wymaga podawania hasła dla tego poziomu.Ponieważ w pewnych sytuacjach standardowe zestawy poleceń, zdefiniowane dla poszczególnych poziomów mogą okazać się niewystarczające, administrator może wybrane polecenia przypisać do poziomów, na których nie są one normalnie dostępne. Jako przykład rozważmy sytuację, w której administrator routera chciałby dodać dla

Kurs przygotowawczy do egzaminu CCNA - odcinek 3Certyfikat CCNA potwierdza umiejętności w zakresie instalacji i konfiguracji routerów i przełączników Cisco w sieciach LAN i WAN. Kandydat może wybrać dowolny sposób przygotowania się do egzaminu, w szczególności edukację zdalną. 

poziomu 0 komendę pozwalającą wyświetlić zawartość tabeli routingu. Wyprzedzając nieco tematykę omawianą w następnych artykułach, polecenie pozwalające wyświetlić zawartość tabeli routingu ma postać show ip route. Aby komendę tę przypisać do poziomu 0, należy wykonać polecenie konfiguracyjne:2600(config)#privilege exec level 0 sh ip routePo wykonaniu tego polecenia komenda show z parametrem route dla protokołu ip będzie dostępna na poziomie 0, o czym można się przekonać, wykonując polecenie help bądź sprawdzając działanie polecenia sh ip route. Na poziomie 0 nie będą dostępne wszystkie warianty komendy show, tylko składnia sh ip route, co można sprawdzić w kontekstowym systemie pomocy, wywoływanym znakiem "?":C2600>?

Exec commands:

Disable Turn off privileged commands

Enable Turn on privileged commands

Exit Exit from the EXEC

Help Description of the interactive help system

Logout Exit from the EXEC

Show Show running system information

C2600>show ?

WORD Flash device information - format <dev:>[partition]

ip IP information

C2600>show ip ?

Route IP routing table

Ochrona dostępu do routera

W konfiguracji standardowej dostęp do routera poprzez linię konsoli nie jest chroniony żadnym hasłem. Jeżeli w konkretnej firmie obowiązują bardziej restrykcyjne zasady bezpieczeństwa sieci, należy to zmienić. Opiszemy dwie metody zabezpieczania dostępu do routera: w pierwszej użytkownicy muszą znać wspólne dla wszystkich hasło, w drugiej każdy użytkownik uwierzytelniany jest na podstawie indywidualnego konta i hasła. Aby

Udostępniając polecenia, należy pamiętać o generalnej zasadzie, według której na dowolnym poziomie pracy dostępne są polecenia jawnie zdefiniowane dla tego poziomu oraz komendy "odziedziczone" z poziomów niższych. Pole-cenie privilege configure pozwala sterować komendami trybu konfiguracyjnego, dostępnymi na po-szczególnych poziomach.

Jeżeli w trybie konfiguracyjnym wykonane zostanie polecenie enable secret level xx (bez podawania właściwego hasła dla pozio-mu xx), zostanie ono zinterpretowane jako definicja hasła "level xx" dla poziomu 15, co może doprowadzić do problemów przy ponownej próbie wejścia na poziom 15.

zdefiniować wspólne dla wszystkich hasło chroniące dostęp do routera poprzez linię konsoli, należy przejść do trybu konfiguracyjnego linii konsoli numer 0, następnie włączyć uwierzytelnianie i określić hasło:C2600(config)#line console 0

C2600(config-line)#login

C2600(config-line)#password hasloPonieważ w tej metodzie od wszystkich użytkowników wymagane jest to samo hasło, może się ona okazać w pewnych sytuacjach niewystarczająca. Lepszą metodą weryfikowania dostępu do routera będzie sprawdzanie użytkownika poprzez indywidualne konto i hasło. Konfiguracja linii konsoli w tym przypadku będzie nieco inna. Komenda login musi być uruchomiona z parametrem określającym bazę kont użytkowników. Jeżeli na przykład stosowana ma być lokalna, utworzona na routerze baza kont, to konfiguracja jest następująca:C2600(config)#line console 0

C2600(config-line)#login localZauważmy, że w powyższym przykładzie nie ma komendy password, gdyż hasło wspólne dla wszystkich użytkowników nie ma w tym przypadku zastosowania. Przy używaniu komendy login local należy unikać pewnej pułapki, która może zablokować normalne korzystanie z routera - po wykonaniu polecenia login local, przy każdej próbie podłączenia się do routera pojawi się pytanie o konto użytkownika i hasło; jeżeli więc nie będzie lokalnej bazy kont (a standardowo jej nie ma), nie będzie możliwe poprawne uwierzytelnianie. Trzeba najpierw zdefiniować konta użytkowników, a dopiero potem użyć komendy login local.Polecenie konfiguracyjne pozwalające utworzyć nowe konto użytkownika ma składnię: username Nazwa password Haslo. Polecenie to wymaga podania nazwy konta i hasła wykorzystywanego w procesie uwierzytelniania. Konta utworzone poleceniem username są przechowywane i widoczne w aktualnej konfiguracji routera, stąd należy pamiętać o regularnym zapisywaniu jej w pamięci NVRAM. Domyślnie użytkownik, który weryfikowany jest przy dostępie do routera poprzez indywidualne konto i hasło, umieszczany jest na poziomie 1 (poziom użytkownika). Można również do każdego konta indywidualnie przypisać inny domyślny poziom pracy, na który użytkownik będzie automatycznie przełączany. W tym celu należy ponownie posłużyć się komendą username. W poniższym przykładzie tworzone jest konto Admin2 z hasłem cisco, a dodatkowo do tego konta przypisywany jest domyślny poziom uprzywilejowania 7:C2600(config)#username Admin2 password cisco

C2600(config)#username Admin2 privilege level 7Korzystanie z polecenia konfiguracyjnego login local jest rozwiązaniem skutecznym, choć może być nieco uciążliwe, gdyż wymaga definiowania lokalnej bazy danych na każdym z routerów. Innym sposobem rozwiązania problemu weryfikacji jest zastosowanie centralnej usługi uwierzytelniającej podłączających się użytkowników. Rozwiązanie to oparte w praktyce na usługach zewnętrznych RADIUS lub TACACS+ oferuje również możliwość

autoryzacji i rejestracji wykonywanych działań. Przykładową sytuację, w której router Cisco jest klientem serwera RADIUS przedstawia rysunek poniżej.

Uwierzytelnienie użytkownika za pomocą zewnętrznej usługi

RADIUSPrzy próbie podłączenia się do routera, np. poprzez port konsoli, router pracujący jako klient przesyła do centralnego serwera prośbę o uwierzytelnienie użytkownika. Serwer RADIUS, zawierający centralną bazę informacji o użytkownikach, przeprowadza proces weryfikacji, dodatkowo może określić rodzaj dozwolonych dla użytkownika operacji (autoryzacja) oraz kontrolować i zapisywać w dzienniku ich realizację. Protokół RADIUS pozwala w praktyce na wykonywanie trzech niezależnych działań (nie tylko uwierzytelniania), jest on przykładem tzw. protokołu AAA (Authentication, Authorization, Accounting). Aby włączyć na routerze Cisco korzystanie ze wszystkich usług AAA, należy w trybie konfiguracji globalnej wykonać polecenie aaa new-model, a następnie skonfigurować realizację procesu uwierzytelniania, autoryzacji i kontroli poleceniami: aaa authentication, aaa authorization i aaa accounting. Poniższe przykładowe komendy konfiguracyjne pozwalają wskazać serwer RADIUS oraz określić klucz stosowany do zaszyfrowania przesyłanego hasła użytkownika (podobnie konfiguruje się współpracę z serwerem TACACS+, który też jest protokołem AAA):C2600(config)#radius-server host 131.107.2.250

C2600(config)#radius-server key kluczZastosowanie protokołów AAA pozwala w optymalny sposób zarządzać procesem uwierzytelniania użytkowników, zwłaszcza w środowisku dużej, wielosegmentowej sieci lokalnej, wyposażonej w wiele routerów. Przed wdrożeniem tego rozwiązania należy zastanowić się nad wyborem odpowiedniego protokołu. Protokół RADIUS (oparty na UDP) jest rozwiązaniem otwartym, nadającym się bardzo dobrze dla środowisk niejednorodnych, w których wykorzystywane są urządzenia różnych producentów. Natomiast protokół TACACS+ (oparty na TCP) jest rozwiązaniem firmy Cisco i przeznaczony jest dla sieci wykorzystujących urządzenia tej firmy.Oprócz podłączenia poprzez port konsoli możliwy jest także dostęp do routera poprzez linie terminali wirtualnych VTY. Najczęściej wykorzystywany jest do tego celu protokół Telnet. Aby ustanowić sesję

telnetową do zdalnego routera, konieczne jest wcześniejsze poprawne skonfigurowanie interfejsu tego routera (m.in. wpisanie adresu IP), poprzez który sesja zostanie nawiązana. Standardowo router Cisco udostępnia 5 linii terminali wirtualnych, przez które można się do niego podłączyć. Linie te przyznawane są użytkownikom dynamicznie i nie wiadomo, która zostanie wykorzystana na kolejne połączenie. Z tego powodu najczęściej konfiguruje się wszystkie 5 linii VTY jednocześnie. Ochrona dostępu do routera poprzez linie VTY wygląda bardzo podobnie, jak w przypadku podłączania się poprzez port konsoli. Dlatego bez dodatkowego omawiania tych samych rozwiązań, zapoznajmy się z przykładami konfiguracji linii VTY. Aby włączyć ochronę dostępu do routera na poziomie pojedynczego hasła, należy wykonać polecenia:C2600(config)#line VTY 0 4

C2600(config-line)#login

C2600(config-line)#password hasloZapis line VTY 0 4 w pierwszym poleceniu oznacza linie VTY o numerach od 0 do 4, czyli wszystkie 5 linii. Pamiętajmy, że hasło chroniące dostęp przez linie VTY definiowane jest już w dialogu konfiguracyjnym (w odróżnieniu od portu konsoli), zatem polecenie password w tym przypadku służyć będzie jedynie do jego zmiany. Aby włączyć korzystanie z lokalnej bazy kont użytkowników w procesie uwierzytelnienia, należy wykonać następujące polecenia:C2600(config)#line VTY 0 4

C2600(config-line)#login localDodatkowym sposobem zwiększenia bezpieczeństwa przy dostępie do routera poprzez linie VTY jest określenie dozwolonych adresów, z których połączenie może być ustanowione. Można wskazać na przykład adresy komputerów, przy których pracują administratorzy. Realizuje się to przez wykorzystanie podpolecenia access-class w ramach konfiguracji linii VTY. W praktyce polecenie to korzysta ze zdefiniowanych wcześniej list dostępu dla protokołu IP, które omówione zostaną w jednym z dalszych artykułów. Dodatkowo dla linii terminali wirtualnych warto zdefiniować parametry automatycznego rozłączania połączenia. Poniżej pokazujemy dwa przykłady ustawiające czasy rozłączania. Komenda pierwsza oznacza bezwzględne rozłączenie sesji użytkownika po 60 minutach. Polecenie drugie ustawia rozłączanie po 15 minutach i 30 sekundach bezczynności. Komenda absolute-timeout nie ma zdefiniowanej wartości domyślnej, polecenie exec-timeout przyjmuje domyślnie wartość 10 minut:C2600(config)#line VTY 0 4

Aby uniknąć podejrzenia hasła "zza pleców" w trakcie jego definiowania, można wprowadzić je już w postaci zaszyfrowanego łańcucha znaków, poprzedzając go odpowiednią cyfrą wskazującą algorytm szyfrowania. Wcześniej należy sprawdzić, jaki łańcuch znaków odpowiada planowanemu hasłu. W poleceniu enable password 7 045802150C2E1E zdefiniowano hasło cisco2, któremu odpowiada łańcuch 045802150C2E1E (trzeba pamiętać, że to samo hasło cisco2 może być przekształcone do różnych postaci zaszyfrowanych, czyli różnych łańcuchów znaków).

C2600(config-line)#absolute-timeout 60

C2600(config-line)#exec-timeout 15 30Zarówno hasło zdefiniowane poleceniem enable password, jak i hasła przypisane do kont użytkowników oraz hasła zabezpieczające dostęp do routera poprzez linie konsoli czy linie VTY przechowywane są w postaci jawnej w konfiguracji routera. Może się zdarzyć, zwłaszcza gdy skrypt konfiguracyjny nagrywany jest na serwerze TFTP, że hasła te zostaną odczytane przez niepowołane osoby. Aby temu zapobiec, należy w trybie konfiguracji globalnej wykonać polecenie service password-encryption. Wszystkie wprowadzone jawnie hasła przedstawione zostaną w konfiguracji w postaci zaszyfrowanych łańcuchów znaków, poprzedzonych cyfrą 7, wskazującą algorytm szyfrowania (z wyjątkiem hasła enable secret, które szyfrowane jest innym algorytmem). Oczywiście podczas logowania użytkownik cały czas posługuje się hasłem w postaci jawnej. Warto zauważyć, że wyłączenie usługi szyfrującej nie powoduje odszyfrowania haseł. W postaci jawnej hasła zostaną pokazane w konfiguracji dopiero po ich następnej zmianie.

Procedura "naprawiania" hasła

Jeżeli administrator routera zapomni hasła uprawniającego do przejścia na poziom 15, nie będzie mógł wprowadzić żadnych zmian konfiguracyjnych. Podobny problem może pojawić się wówczas, gdy administrator otrzymuje router już skonfigurowany, na przykład z innego oddziału firmy, bez informacji o związanym z nim haśle. Proces tzw. naprawienia hasła dla trybu uprzywilejowanego polega w zasadzie na jego nadpisaniu nową wartością. Może go przeprowadzić osoba podłączona do routera poprzez port konsoli. Przede wszystkim router musi zostać uruchomiony w specjalnym trybie monitora pamięci ROM po to, aby zmodyfikować szesnastobitową wartość rejestru systemowego. W tym celu w ciągu pierwszych 60 sekund od włączenia routera (wartość podawana w dokumentacji Cisco), z konsoli należy wybrać specjalną kombinację klawiszy, przerywającą normalny proces startu. Najczęściej jest to kombinacja CTRL_Break, choć może być różna w zależności od rodzaju emulowanego terminala. Inne kombinacje, które warto przetestować to np. CTRL_B lub Alt_B. Przykładowo kombinacja CTRL_Break działa poprawnie w programie HyperTerminal systemu Windows 98 czy Windows 2000 (ale nie Windows NT 4.0). Po wybraniu CTRL_ Break router uruchamiany jest w trybie monitora pamięci ROM. Przy każdym starcie routera hasło związane z poziomem 15 odczytywane jest z konfiguracji startowej. Procedura naprawcza rozpocznie się więc od ustawienia w rejestrze wartości, która zmusi router do pominięcia (ale nie skasowania) konfiguracji startowej przy jego następnym uruchomieniu. W tym celu na routerze 2600, wykorzystywanym w większości naszych przykładów, wykonać należy polecenie confreg 0x2142 (standardowa wartość rejestru to 0x2102). Cyfra szesnastkowa 4 na trzeciej pozycji rejestru oznacza pominięcie wczytywania konfiguracji startowej. Jeżeli nie wiemy, jaką wartość rejestru należy ustawić, można uruchomić program confreg w trybie dialogowym,

w którym odpowiedzi na kolejne pytania pozwalają zdefiniować różne parametry pracy routera, ustawiając odpowiednie bity w rejestrze. Większość pytań nie dotyczy w ogóle hasła, więc można pozostawić proponowane domyślne wartości. Tylko pytanie Ignore system config info wymaga odpowiedzi Yes. Po zdefiniowaniu rejestru należy ponownie uruchomić router poleceniem reset.Proces uruchamiania routera powinien zakończyć się pytaniem o wejście do dialogu konfiguracyjnego. Dzieje się tak dlatego, iż router nie wczytał konfiguracji startowej i wówczas zawsze proponuje dialog konfiguracyjny. Po udzieleniu przeczącej odpowiedzi zauważymy, że nazwa routera ma postać: Router. W kolejnych krokach należy:

1. Wejść do trybu uprzywilejowanego poprzez wykonanie komendy enable (system nie zapyta o hasło);

2. Wczytać konfigurację startową do pamięci RAM: copy start runn; 3. wejść do trybu konfiguracyjnego: conf term; 4. Zdefiniować nowe hasło, np.: enable secret cisco1; 5. Przywrócić poprzednią postać rejestru: config-register 0x2102; 6. W konfiguracji każdego interfejsu wyłączyć polecenie shutdown (domyślnie router

nieskonfigurowany ma wyłączone interfejsy, a jest nim na przykład router, który nie wczytał konfiguracji startowej);

7. Nagrać konfigurację aktualną z nowym hasłem w pamięci NVRAM: copy runn start; 8. Ponownie uruchomić router i przetestować nowe hasło.

Obsługa komunikatów generowanych przez router

Zdarzenia zachodzące na routerze oraz poszczególne działania systemu operacyjnego mogą być monitorowane i zapisywane w postaci komunikatów, co ułatwia diagnostykę i naprawianie ewentualnych błędów. Komunikaty opisujące pracę routera oraz będące wynikiem działania polecenia debug, śledzącego wybrane procesy, mogą być wysyłane do czterech różnych odbiorców, zgodnie z rysunkiem poniżej.Standardowo wszystkie komunikaty wyświetlane są na terminalu konsoli. Dodatkowo można skonfigurować wyświetlanie komunikatów w sesjach telnetowych (połączenia VTY) oraz wysyłanie komunikatów do zewnętrznego serwera usługi syslog. Czwartą opcją jest zapisywanie komunikatów w wewnętrznym buforze routera. Dla każdego z wymienionych czterech przypadków można niezależnie skonfigurować

Poziomy raportowania zdarzeń

Poziomzdarzenia Nazwa Rodzaj

0 Emergencies system niedostępny

1 Alerts komunikat alarmowy

2 Critical zdarzenie krytyczne

3 Errors opis błędu

4 Warnings opis ostrzeżenia

5 Notifications normalne, ale ważne zdarzenie

6 Informational   komunikat informacyjny

7 Debugging komunikat związany z procesem śledzenia

poziom szczegółowości raportowanych zdarzeń (p. tabela). Standardowo dla linii konsoli oraz linii terminali wirtualnych włączony jest najbardziej szczegółowy poziom raportowania (debugging) oznaczający monitorowanie wszystkich zdarzeń, dla usługi syslog włączony jest poziom komunikatów informacyjnych (informational), natomiast buforowanie komunikatów w pamięci jest wyłączone.Poziom 7 (debugging), oprócz tego, że oznacza zbieranie wszystkich komunikatów opisujących pracę routera, jest również wymagany dla poprawnego raportowania zdarzeń związanych z działaniem polecenia debug. Podstawową komendą konfiguracyjną służącą do określania miejsc, w których będą zbierane komunikaty oraz definiowania poziomów szczegółowości jest globalne polecenie konfiguracyjne logging. W poniższej sekwencji poleceń wyłączono raportowanie na linii konsoli, włączono wysyłanie komunikatów na linie VTY (na poziomie 6), zdefiniowano maksymalny poziom szczegółowości (7) komunikatów wysyłanych do zewnętrznej usługi syslog pracującej pod adresem 131.108.1.250 oraz ustalono, że zdarzenia będą monitorowane w wewnętrznym buforze (8192 bajty) routera:C2600(config)#no logging console

C2600(config)#logging monitor informational

C2600(config)#logging 131.108.1.250

C2600(config)#logging trap debugging

C2600(config)#logging buffered 8192Polecenie logging trap pozwala ustalić poziom raportowania dla komunikatów wysyłanych do usługi syslog. Najczęściej jest to usługa uruchamiana na hostach systemu Unix, a zbierane zdarzenia zapisywane będą w pliku tekstowym.Poleceniem logging monitor włącza się wysyłanie komunikatów na linie terminali wirtualnych VTY, ale nie jest to równoznaczne z odbieraniem ich w sesjach protokołu Telnet. Po ustanowieniu połączenia na jednej z pięciu linii terminali wirtualnych, wymagane jest dodatkowo wykonanie polecenia terminal monitor, które spowoduje wyświetlanie komunikatów w tej konkretnej sesji telnetowej.

Komunikaty routera mogą być wysłanedo czterech urządzeń

Komendę terminal monitor wykonujemy w trybie uprzywilejowanym, a nie w trybie konfiguracyjnym. Polecenie to odwołujemy komendą terminal no monitor.

Polecając zbieranie komunikatów do wewnętrznego bufora na routerze, pamiętać należy o tym, iż jest on tworzony w pamięci RAM, tak więc wszystkie zgromadzone w nim komunikaty zostaną utracone po każdym ponownym uruchomieniu routera. To rozwiązanie, choć wygodne - komunikaty z bufora można w dowolnej chwili wyświetlić na ekranie konsoli - nie nadaje się do archiwizowania zdarzeń. Do tego celu należy wykorzystać zewnętrzną usługę syslog. Domyślny rozmiar bufora komunikatów wynosi 4096 bajtów, a zawarte w nim komunikaty oraz aktualną konfigurację raportowania wyświetlić można poleceniem show logging. Poniżej prezentujemy wynik tego polecenia dla przykładowej konfiguracji routera, w której włączono buforowanie komunikatów. Zwróćmy uwagę na wyświetlany czas monitorowanych zdarzeń:C2600#show logging

Syslog logging: enabled (0 messages dropped,0 flushes, 0 overruns)

Console logging: level debugging, 25 messages logged

Monitor logging: level debugging, 5 messages logged

Logging to: vty66(5)

Trap logging: level informational, 29 message lines logged

Buffer logging: level debugging, 25 messages logged

Log Buffer (4096 bytes):

02:34:23: %SYS-5-CONFIG_I: Configured from console by console

02:35:22: %LINK-3-UPDOWN: Interface Ethernet0/1, changed state to up

02:35:24: %LINK-5-CHANGED: Interface Ethernet0/1, changed state to administratively downJak zaznaczyliśmy wcześniej, włączenie najwyższego poziomu raportowania 7 jest wymagane do poprawnego posługiwania się poleceniem debug. Komenda ta, dostępna na poziomie uprzywilejowanym, pozwala monitorować pracę różnego rodzaju procesów i protokołów działających na routerze. Poszczególne komunikaty opisujące śledzony proces mogą być wysyłane do jednego z czterech odbiorców, jak to opisaliśmy wcześniej. Jako przykład posługiwania się poleceniem debug, prezentujemy narzędzie przeznaczone do testowania komunikacji w sieci IP - program ping. Wysyła on sekwencję pakietów echo protokołu ICMP pod wskazany adres IP, oczekując na taką samą liczbę odpowiedzi w postaci pakietów echo reply. Śledzenie działania programu

Serwery zewnętrzne usługi syslog wymagają skonfigurowania kategorii komunikatów i ustawienia jej na wartość local7, która domyślnie jest wykorzystywana przez urządzenia Cisco. Jeśli jest to konieczne, poleceniem logging facility kategoria można zmienić typ komunikatów obsługiwanych przez router Cisco.

Program ping uruchomiony bez parametrów wywołuje tryb konwersacyjny, pozwalając ustawić między innymi liczbę wysyłanych pakietów echo, czas pomiędzy wysłaniem kolejnych pakietów oraz źródłowy adres IP wysyłanych pakietów.

ping wymaga następującej składni komendy debug: debug ip icmp. Oto przykładowa sekwencja komunikatów wynikowych:C2600#debug ip icmp

ICMP packet debugging is on

C2600#ping 131.107.10.245

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 131.107.10.245, timeout is 2 seconds: !!!!!

Success rate is 100 percent (5/5), Round-trip min/avg/max = 1/2/4 ms

C2600#

03:30:53: ICMP: echo reply rcvd, src 131.107.10.245, dst 131.107.10.1

03:30:53: ICMP: echo reply rcvd, src 131.107.10.245, dst 131.107.10.1

03:30:53: ICMP: echo reply rcvd, src 131.107.10.245, dst 131.107.10.1

03:30:53: ICMP: echo reply rcvd, src 131.107.10.245, dst 131.107.10.1

03:30:53: ICMP: echo reply rcvd, src 131.107.10.245, dst 131.107.10.1Warto zauważyć, iż polecenie debug nie obejmuje pakietów echo protokołu ICMP wysyłanych przez router. Dlatego też w komunikatach wynikowych widać tylko pięć pakietów zwrotnych echo reply (nie ma 5 wysyłanych pakietów echo).Czasami w procesie rozwiązywania problemów komunikacyjnych, niezbędne jest włączenie śledzenia całej komunikacji protokołu IP. W tym celu wykonać należy komendę: debug ip packet. Poniżej przedstawiamy ponownie przykład działania programu ping - fragment komunikatów wyraźnie pokazuje, iż tym razem komenda debug obejmuje zarówno pakiety wysyłane, jak i odbierane.C2600#debug ip packet

IP packet debugging is on

C2600#ping 131.107.10.245

Sending 5, 100-byte ICMP Echos to 131.107.10.245, timeout is 2 seconds: !!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

C2600#

03:35:19: IP: s=131.107.10.1 (local),

d=131.107.10.245 (Ethernet0/0), len 100, sending

Innym przydatnym narzędziem przeznaczonym do testowania połączeń w sieci IP jest program traceroute, który podaje informacje o kolejnych routerach znajdujących się na trasie do wskazanego adresu IP. Ponieważ program ten również bazuje na protokole ICMP, jego działanie nadzorować można poprzez polecenie deb ip icmp.

03:35:19: IP: s=131.107.10.245 (Ethernet0/0),

d=131.107.10.1 (Ethernet0/0), len 100, rcvd 3Innym często stosowanym poleceniem jest komenda debug ip rip, pozwalająca nadzorować i wykrywać ewentualne błędy w działaniu protokołu routingu dynamicznego RIP. Ponieważ proces śledzenia może generować na ekranie konsoli bardzo dużo komunikatów, które nakładają się na inne wpisywane polecenia, psując ich czytelność (ale nie składnię), można posłużyć się poleceniem konfiguracyjnym linii konsoli: logging synchronous. Komenda ta zablokuje nakładanie się wyświetlanych komunikatów na aktualnie wpisywane polecenie. Do wyłączenia polecenia debug służy standardowo składnia no debug śledzony_proces. Przykładowo polecenie no deb all wyłącza wszystkie procesy śledzenia.

Współpraca z serwerem nazewniczym DNS

Posługiwanie się bezpośrednio adresami IP w takich poleceniach, jak ping, traceroute czy telnet może być bardzo niewygodne. W sieci IP zwykle stosowane są nazwy pełniące rolę aliasów opisujących adresy IP. Oczywiście łatwiej można zapamiętać nazwy, ale w celu ustanowienia połączenia na poziomie warstwy sieciowej, muszą one zostać przetłumaczone na adresy IP. Można w tym celu zastosować usługę nazewniczą DNS.Nazwy DNS są wieloczłonowe i składają się z nazwy hosta oraz wieloelementowej nazwy domeny, na przykład: www.firma.com. Aby router Cisco odwoływał się do serwera DNS w celu przetłumaczenia nazwy, należy posłużyć się globalnym poleceniem konfiguracyjnym ip name-server adres_IP. Można wskazać kilka serwerów DNS, podając ich adresy IP. Dodatkowo warto wpisać do konfiguracji domyślną nazwę domeny DNS, która będzie automatycznie dodawana do nazw hostów. Jeżeli na przykład wykonano polecenie konfiguracyjne ip domain-name firma.com, to wywołanie polecenia ping tftp_server spowoduje poszukiwanie w serwerze DNS nazwy tftp_server.firma.com. Komenda ip domain-list pozwala określić dodatkowe nazwy domen, które będą kolejno dodawane do nazwy hosta w procesie tłumaczenia nazwy na adres IP. Jeżeli w sieci firmowej nie jest stosowana usługa DNS, można na routerze Cisco wyłączyć odwołania do niej poleceniem konfiguracyjnym no ip domain-lookup. Pozwoli to uniknąć niepotrzebnych prób poszukiwania serwera DNS, na przykład w sytuacji, gdy niepoprawnie wpisano polecenie. Router Cisco interpretuje błędne polecenie jako nazwę hosta, z którym ma być ustanowiona sesja Telnet i metodą rozgłoszeniową próbuje odnaleźć serwer DNS w celu przetłumaczenia tej nazwy, co najczęściej jest stratą czasu.Jeśli nie można wykorzystać serwera DNS w procesie tłumaczenia nazw, można posłużyć się globalnym poleceniem konfiguracyjnym ip host do zdefiniowania lokalnych, statycznych powiązań nazw i adresów IP. W poniższym przykładzie definiowany jest alias Sopot związany z adresem 131.107.10.245:C2600(config)#ip host Sopot 131.107.10.245Poleceniem show hosts można wyświetlić lokalny bufor nazw, w którym

pokazywane są wszystkie aliasy na stałe przypisane do adresów IP (poleceniem ip host) oraz tymczasowe wpisy będące wynikiem poszukiwania nazwy w serwerze DNS:C2600#show hosts

Default domain is firma.com

Name/address lookup uses domain service

Name servers are 131.107.10.245

Host Flags Age Type Address(es)

Gdynia.firma.com (temp, OK) 0 IP 131.107.10.245

Sopot (perm, OK) 0 IP 131.107.10.245

Konfigurowanie protokołu SNMP

Protokół SNMP (Simple Network Management Protocol) opracowany został do nadzorowania, diagnozowania oraz zdalnego zarządzania urządzeniami pracującymi w sieci TCP/IP. Wyróżniamy dwa podstawowe składniki w architekturze SNMP: oprogramowanie agenta, zwykle zaszyte w urządzeniu sieciowym oraz oprogramowanie menedżera SNMP, dostarczane na przykład jako specjalizowana aplikacja (p. rysunek).Komunikacja między menedżerem i agentem, realizowana przy wykorzystaniu standardowego zestawu poleceń, pozwala menedżerowi zebrać podstawowy zestaw informacji o urządzeniu, na którym pracuje agent. Informacje, które menedżer może uzyskać od agenta zdefiniowane są w postaci obiektów w bazach danych MIB (Management Information Base). Każdy obiekt w bazie ma swój unikatowy identyfikator, poprzez który menedżer ma do niego dostęp. Typowe polecenia, za pomocą których menedżer uzyskuje informacje o określonych obiektach to: GET i GET-NEXT, natomiast poleceniem SET menedżer wymusza ustawienie wartości wybranego obiektu. Dodatkowo agent może z własnej inicjatywy wysyłać do menedżera komunikaty typu TRAP, co dzieje się na skutek wystąpienia pewnych zdarzeń. System operacyjny routera Cisco wyposażony jest w oprogramowanie agenta SNMP, ale do poprawnej pracy wymaga dodatkowej konfiguracji. Aby agent zaakceptował polecenie przysyłane od menedżera. musi być spełniony warunek przynależności do tej samej społeczności SNMP (community). Nazwę społeczności, do której należy agent (router Cisco) można zdefiniować już w dialogu konfiguracyjnym lub później globalnym poleceniem konfiguracyjnym snmp-server community. W poleceniu tym można też podać tryb dostępu do agenta: RO (tylko do odczytu - polecenia GET i GET-NEXT) bądź RW (do odczytu i zapisu - również polecenie SET) oraz numer standardowej listy dostępu, dzięki której można określić dozwolone adresy IP dla menedżerów

Komunikacja między menedżeremi agentem SNMP

przysyłających żądania. Do standardowych zdarzeń zachodzących na routerze Cisco, które powodują wysłanie komunikatu Trap do wybranego menedżera należy błąd uwierzytelnienia. Jest to przypadek, gdy do agenta przychodzi żądanie z obcej społeczności. Oprócz informowania o próbach nieuprawnionego dostępu, agent wysyła typowo do swojego menedżera komunikaty Trap dla zdarzeń ponownego uruchomienia routera bądź zmiany stanu interfejsu. Inne komunikaty typu Trap wysyłane przez agenta konfiguruje się poleceniem snmp-server host. Komenda ta pozwala określić adres IP menedżera SNMP, nazwę społeczności menedżera oraz rodzaje komunikatów Trap, które będą do menedżera wysyłane.Poniżej przedstawiamy przykład konfiguracji protokołu SNMP. Zauważmy, że router może należeć do kilku społeczności. Dla społeczności Public włączona jest opcja RO (tylko do odczytu), dla społeczności Private włączony jest pełen dostęp (RW). W przypadku społeczności Private ustawiono kontrolowanie adresu IP menedżera poprzez listę dostępu nr 5. Ostatnia komenda definiuje adres IP menedżera, do którego wysyłane będą komunikaty Trap, określa też rodzaj wysyłanych komunikatów trap. W tym przykładzie router C2600 informować będzie swojego menedżera o zdarzeniach dotyczących protokołu ISDN oraz o zmianach w konfiguracji.C2600(config)#snmp-server community Public RO

C2600(config)#snmp-server community Private RW 5

C2600(config)#snmp-server host 131.107.10.245 Public isdn configProgramy graficzne przeznaczone do zdalnego zarządzania routerem Cisco bardzo często opierają swoje działanie na protokole SNMP. W takim przypadku niezbędne będzie określenie właściwej nazwy społeczności, w której pracuje router. Dodatkowo, aby ułatwić zarządzanie, na routerze można skonfigurować dwa parametry opisowe, określające położenie routera oraz osobę kontaktową. Parametry te definiuje się w postaci łańcuchów znaków za pomocą polecenia snmp-server location oraz snmp-server contact.

Wykrywanie sąsiadów - protokół CDP

Częstym problemem podczas poprawnej konfiguracji routerów w sieciach wielosegmentowych jest uwzględnienie dodatkowych urządzeń, które pracują w naszym bezpośrednim sąsiedztwie. Firma Cisco opracowała metodę wykrywania urządzeń własnej produkcji bez względu na to, jakim protokołem warstwy sieciowej się one posługują. Protokół CDP (Cisco Discovery Protocol) działa w warstwie łącza danych, stosując technologię rozgłoszeń typu multicast i może być uruchamiany na dowolnym medium obsługującym hermetyzację SNAP. Oznacza to, że protokół CDP może wykrywać urządzenia Cisco w sieciach LAN, Frame Relay czy ATM, a dwa sąsiednie routery zostaną rozpoznane nawet wówczas, gdy stosują różne protokoły warstwy sieciowej (IP, IPX, AppleTalk). Urządzenia z włączonym protokołem CDP rozsyłają cyklicznie (standardowo co 60 sekund) informację o sobie, nasłuchując jednocześnie ogłoszeń od sąsiadów.

Protokół CDP jest domyślnie włączony na wszystkich interfejsach routera , tak więc nie ma potrzeby wykonywania żadnych dodatkowych operacji, aby zobaczyć efekt jego działania. W wielu przypadkach, gdy zależy nam na wysokim stopniu bezpieczeństwa, wskazane jest zablokowanie protokołu lub przynajmniej ograniczenie jego rozgłoszeń. Poleceniem no cdp run w trybie konfiguracji możemy wyłączyć protokół CDP w całości, natomiast poleceniem no cdp enable w trybie konfiguracji interfejsu blokujemy działanie protokołu na tym konkretnym interfejsie. Jest to szczególnie przydatna konfiguracja na routerze brzegowym, pomiędzy naszą siecią lokalną a Internetem.Efekt działania protokołu CDP można zaobserwować, wykonując polecenie show cdp neighbors. Wyświetlona zostanie lista bezpośrednich sąsiadów routera, w tym informacje: poprzez jaki port dane urządzenie jest osiągalne, czas, przez jaki dana informacja będzie dla nas wartościowa (czas buforowania holdtime wynosi domyślnie 180 sekund), typ danego urządzenia, platforma, oraz identyfikator zdalnego interfejsu:C2600#sh cdp neighbors

Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge

S - Switch, H - Host, I - IGMP, r - Repeater

Device ID Local Intrfce Holdtme Capability Platform Port ID

1720e Eth 0/0 131 R 1720 Fas 0Jak pokazuje ramka, sąsiadem routera C2600 jest router z serii 1720 o nazwie 1720e. Jest on osiągalny poprzez interfejs Eth0/0, a informacja ta przechowywana będzie w buforze jeszcze przez 131 sekund. Dokładniejsze informacje na temat danego urządzenia można uzyskać, korzystając z polecenia show cdp entry Device_ID, gdzie jako identyfikator należy podać nazwę z kolumny Device ID. Szczegółowe informacje związane z wszystkimi urządzeniami wykrytymi przez protokół CDP można uzyskać, wydając polecenie show cdp entry *. Aktualną konfigurację protokołu CDP dla wybranego interfejsu wyświetlić można poleceniem show cdp interface typ_interfejsu.* * *Jako podsumowanie omawianych w tym artykule poleceń konfiguracyjnych przedstawiamy fragment przykładowej konfiguracji routera serii 2600.

Fragment przykładowej konfiguracji routera C2600

C2600#sh runn! ...! Szyfrowanie hasełservice password-encryption

W następnym odcinku

Informacje na temat podłączania routera do Internetu z wykorzystaniem protokołu Frame Relay.

Przełączniki firmy Cisco nie przełączają rozgłoszeń typu multicast protokołu CDP. Dwa routery rozdzielone w sieci lokalnej przełącznikiem, na liście sąsiadujących urządzeń pokażą jedynie przełącznik.

! Zaszyfrowane hasło enable passwordenable password 7 020D11491854! konto Admin2 z przypisanym poziomem uprzywilejowania 15username Admin2 privilege 15 password 7 1511021F072579! Statyczny aliasip host Sopot 131.107.10.245! Domyślna domena DNS i adres IP serwera DNSip domain-name firma.comip name-server 131.107.10.245

interface Ethernet0/0 ip address 131.107.10.1 255.255.255.0 ! Zablokowany protokół CDP na interfejsie Et0/0 no cdp enable! Włączone buforowanie komunikatów (poziom 7)logging buffered 8192 debugging! Dwie społeczności SNMP - druga z prawem do wykonywania komendy SETsnmp-server community public ROsnmp-server community PRIVATE RW 5! Lokalizacja routera i osoba kontaktowasnmp-server location Pietro 2 Pokoj 45snmp-server contact Admin2.firma.com! Wskazanie menedżera SNMP dla wysyłanych pakietów TRAPsnmp-server host 131.107.10.245 traps Public config

! Komenda sh ip route na poziomie 0privilege exec level 0 show ip routeline con 0 logging synchronous ! Linia konsoli wymaga pełnego logowania (lokalne konta) login local

line vty 0 4 ! Linie VTY wymagają tylko podawania hasła password 7 060D1A335F1D login ! Ustawione czasy rozłączania absolute-timeout 60 exec-timeout 15 0end

Router Cisco w sieci Frame Relay

Przełączanie ramekAutor: Waldemar Pierścionek

Kontynuując rozpoczętą w numerze 9/2001 tematykę sieci WAN, przedstawiamy zasady działania i sposoby konfiguracji routera pracującego jako przełącznik w sieci Frame Relay. Protokół Frame Relay pozwala na szybszą i bardziej efektywną komunikację niż omawiany uprzednio X.25.

Protokół X.25 opracowano dla sieci o dużej zawodności i dużej liczbie błędów transmisji, dlatego też poszczególne węzły na trasie pakietu mogły weryfikować transmitowane dane niezależnie: przez protokół warstwy sieciowej (PLP) oraz protokół warstwy łącza danych (LAPB). Specyfikacja Frame Relay powstała natomiast dla szybkich łączy o niewielkiej ilości błędów w transmisji. Pozwoliło to zrezygnować ze złożonych procedur korekcji i retransmisji stosowanych w sieci X.25 i w efekcie znacznie przyspieszyć transmisję danych (w typowych rozwiązaniach nawet do 2 Mb/s na łączu do odbiorcy). Podobnie jak X.25, Frame Relay opisuje komunikację na styku między klientem a dostawcą usług sieci WAN. Urządzeniem klienckim DTE może być na przykład router Cisco, natomiast urządzeniem aktywnym DCE będzie zwykle przełącznik w sieci dostawcy (patrz rys.).Komunikacja między dwoma urządzeniami DTE realizowana jest poprzez zestawienie połączenia logicznego zwanego obwodem wirtualnym. Obwody PVC (Private Virtual Circuit) zestawia się między urządzeniami DTE na stałe i nie rozłącza przy braku transmisji, natomiast obwody SVC (Switched Virtual Circuit) zestawia się na żądanie i rozłącza po określonym okresie bezczynności. W routerach Cisco domyślnie zestawia się obwody PVC. Specyfikacja Frame Relay, w przeciwieństwie do X.25, opisuje komunikację sieciową w obrębie tylko dwóch pierwszych warstw modelu sieciowego OSI (fizycznej i łącza danych). Zakłada ona przełączanie pakietów o zmiennej części informacyjnej wzdłuż obwodów wirtualnych, ale w praktyce stosowaną jednostką informacyjną jest ramka (warstwa druga).Protokół Frame Relay jest protokołem warstwy łącza danych, natomiast w warstwie fizycznej stosowane mogą być protokoły RS-232, RS-449, V.35 bądź X.21. Ponieważ wyznaczanie trasy oraz przełączanie ramek realizowane jest już w warstwie drugiej, można zwiększyć efektywność przełączania, eliminując z procesu przetwarzania warstwę trzecią (wykorzystywaną w X.25). Ponadto komunikacja kontrolna, związana z utrzymywaniem obwodów wirtualnych, przesyłana jest wydzielonymi kanałami logicznymi, innymi niż dane użytkownika. Za kontrolę przepływu danych oraz wykrywanie błędów odpowiedzialne są warstwy wyższe modelu OSI. Węzły sieci Frame Relay sprawdzają tylko sumę kontrolną CRC w odebranych ramkach, ale nie wymuszają retransmisji uszkodzonych ramek na poziomie warstwy drugiej. Podobne rozwiązanie zastosowano w specyfikacji Ethernet II).Pojedynczy interfejs szeregowy routera Cisco pozwala zestawić wiele obwodów wirtualnych między routerem (DTE) i przełącznikiem brzegowym (DCE) w sieci WAN usługodawcy. Do identyfikacji poszczególnych obwodów służą numery DLCI (Data-Link Connection Identifier) - mają one

W sieci Frame Relay komunikacja odbywa siępoprzez obwody wirtualne

znaczenie lokalne i w różnych częściach sieci Frame Relay mogą być podłączone do niej routery korzystające z tych samych numerów DLCI.Wraz z rozszerzeniami protokołu Frame Relay, wprowadzonymi przez protokół sygnalizowania LMI (Local Management Interface), pojawiły się globalne, unikatowe identyfikatory DLCI stosowane w ramach całej sieci Frame Relay. Protokół LMI opisuje sposób sygnalizacji (między urządzeniem DTE - routerem i DCE - przełącznikiem Frame Relay) stosowany do zarządzania połączeniem i przesyłania komunikatów informujących o stanie urządzenia. Obecnie używane są trzy implementacje protokołu LMI:

standard ANSI (T1.617, Annex D), standard międzynarodowej unii telekomunikacyjnej ITU-T (Q.933, Annex A), protokół LMI opracowany przez firmy "grupy czterech" (DEC, Northern Telecom,

Cisco, Stratacom).

Dwa urządzenia korzystające z protokołu Frame Relay muszą używać tej samej wersji protokołu LMI. Zaczynając od wersji systemu operacyjnego 11.2, router Cisco próbuje automatycznie rozpoznać typ protokołu LMI stosowany przez przełącznik Frame Relay; wersję LMI można ustawić w nim ręcznie. Komunikaty protokołu LMI nie są rozsyłane w sieci razem z innym ruchem - wykorzystują wydzielone kanały wirtualne o określonych numerach DLCI (implementacja "grupy czterech" - DLCI 1023, ANSI oraz ITU-T - DLCI 0). Główne cechy protokołu LMI to:

Podtrzymywanie połączeń przez wysyłanie pakietów testowych keepalive. Router wysyła do przełącznika ramki zapytań, a w odpowiedzi otrzymuje tzw. krótkie ramki statusu.

Przesyłanie komunikatów o stanie obwodów wirtualnych. Router wysyła do przełącznika ramki zapytań, a w odpowiedzi otrzymuje tzw. długie ramki statusu z informacją o dodaniu, usunięciu, uszkodzeniu lub modyfikacji obwodu wirtualnego.

Obsługa komunikacji typu multicast (wykorzystywane są w tym celu numery DLCI od 1019 do 1022).

Globalne znaczenie numerów DLCI. Obsługa protokołu Inverse ARP stosowanego do dynamicznego powiązania adresu

sieciowego odbiorcy z numerem DLCI.

Numer DLCI zapisywany jest w ramce Frame Relay w polu nagłówkowym o długości 10 bitów, możliwe są więc 1024 różne identyfikatory. W praktyce pewne numery DLCI zarezerwowane są do specjalnych celów (od 0 do 15 i od 1008 do 1023) i standardowo wykorzystuje się tylko zakres od 16 do 1007.

Konfiguracja protokołu Frame Relay

Podłączając router do sieci Frame Relay, należy w ramach konfiguracji interfejsu szeregowego ustawić właściwy typ hermetyzacji stosowany w fizycznym interfejsie, poprzez który router łączy się z siecią usługodawcy (zwykle przez modem):C2600(config-if)#encapsulation frame-relay [cisco | ietf ]

Opcje cisco należy wybierać przy połączeniach z innym routerem firmy Cisco, natomiast opcję ietf dla połączeń z urządzeniami innych firm, wartością domyślną jest cisco. Następnie należy wybrać typ protokołu LMI:C2600(config-if)#frame-relay lmi-type [ansi | cisco | q933a]Domyślną wartością jest cisco. Warto pamiętać, że od wersji 11.2 systemu operacyjnego router próbuje dynamicznie wykryć typ protokołu LMI stosowany przez przełącznik Frame Relay - komenda ta może więc być niepotrzebna.Zauważmy, że w tej konfiguracji nie jest konieczne określenie numeru DLCI - router pracuje jako urządzenie DTE , któremu brzegowy przełącznik Frame Relay ( DCE) dynamicznie przypisuje numer DLCI. Jeżeli jednak dwa routery połączone są bezpośrednio poprzez interfejsy szeregowe (specjalną parą kabli DTE i DCE), to w ramach konfiguracji interfejsu, który będzie pełnił role urządzenia DCE, należy wykonać dodatkowe polecenia. Po pierwsze należy zdefiniować typ interfejsu jako DCE:C2600(config-if)#frame-relay intf-type DCEOprócz opcji DCE można także wybrać DTE (wartość domyślna) oraz NNI (przy bezpośrednim połączeniu dwóch routerów pracujących jako przełączniki Frame Relay). Następnie należy określić numer DLCI , który będzie dynamicznie przydzielony urządzeniu DTE:C2600(config-if)#frame-relay interface-dlci numerStandardowo pakiety keepalive wysyłane są co 10 sekund, a komunikaty o stanie obwodów wirtualnych odbierane co 60 sekund (6 razy parametr keepalive). Zmienić to można poleceniem:C2600(config-if)#keepalive ilość_sekund

Powiązanie adresów sieciowych

Aby możliwe było komunikowanie się z innymi routerami podłączonymi do sieci Frame Relay, niezbędne jest powiązanie ich adresów sieciowych (np. IP) z numerami DLCI obwodów wirtualnych, przez które realizowana będzie transmisja. Podobnie jak w sieci X.25, proces ten nazywany jest odwzorowaniem (mapping) adresów lub w terminologii Microsoftu, mapowaniem. Adresy można przypisać statycznie (ręcznie), korzystając z polecenia frame-relay map, bądź dynamicznie (automatycznie) za pomocą protokołu Inverse ARP - to drugie rozwiązanie jest wygodniejsze i nie wymaga od administratora żadnej dodatkowej konfiguracji. W poniższym przykładzie przypisania statycznego router C2600 komunikuje się z zewnętrznym routerem o adresie 131.108.1.2, wykorzystując lokalny kanał logiczny DLCI 17. Dodatkowo w ramach tego połączenia włączono obsługę komunikacji rozgłoszeniowej (opcja broadcast) i ustawiono typ hermetyzacji (opcja ietf nadpisuje globalne ustawienie podane w poleceniu encapsulation frame-relay):C2600(config-if)#frame-relay map IP 131.108.1.2 17 broadcast ietfPonieważ router może poprzez jeden interfejs fizyczny komunikować się z wieloma odbiorcami, konieczne jest ręczne utworzenie niezależnych (i statycznych) powiązań do wszystkich odbiorców.Protokół Inverse ARP dynamicznie tworzy tablicę powiązań odległych adresów sieciowych z lokalnymi numerami DLCI, przez które adresy te są dostępne (odwzorowanie w sieci X.25 dotyczyło zdalnych adresów

sieciowych i zdalnych adresów X.121). Protokół Inverse ARP jest domyślnie włączony, jeśli jednak został w ramach interfejsu wyłączony, można odblokować go komendą:C2600(config-if)#frame-relay inverse-arp [protokół] [dlci]Parametr protokół oznacza protokół warstwy sieciowej (np. IP, IPX, APPLETALK), natomiast dlci jest numerem kanału, przez który wysyłane będą komunikaty Inverse ARP.Działanie protokołów LMI i Inverse ARP (p. rys.) polega na wykonaniu następujących czynności:1. Router podłącza się (bezpośrednio lub przez modem) do brzegowego przełącznika Frame Relay.2. Router wysyła do przełącznika ramkę z informacją o sobie oraz pytaniem o stan połączeń obwodów wirtualnych, wychodzących z tego routera.3. Przełącznik przysyła do routera komunikat stanu z informacją o lokalnych numerach DLCI identyfikujących kanały PVC do odległych routerów, do których router może wysyłać dane.4. Do każdego aktywnego numeru DLCI każdy router wysyła pakiet protokołu Inverse ARP z informacją o sobie (np. adres IP).5. Po otrzymaniu komunikatu protokołu Inverse ARP router tworzy w tablicy powiązań wpis zawierający jego własny, lokalny numer DLCI, adres sieciowy routera odległego oraz stan połączenia - jeden z trzech możliwych:- aktywne (active state) - router może wymieniać dane,- nieaktywne (inactive state) - lokalne połączenie routera do przełącznika jest poprawne, ale router odległy nie jest podłączony do sieci Frame Relay,- usunięte (deleted state) - router nie otrzymuje od przełącznika żadnych komunikatów stanu protokołu LMI.Komunikaty protokołu Inverse ARP wymieniane są co 60 sekund, a domyślnie co 10 sekund router wysyła komunikaty keepalive podtrzymujące połączenie.Aktualny stan połączeń Frame Relay wyświetlić można poleceniem show, na przykład show interfaces serial 0/0 wyświetla m.in. numer DLCI wykorzystywany przez protokół LMI (zależy od typu LMI), typ protokołu LMI (w tym przykładzie cisco), typ interfejsu (DCE), statystyki dotyczące LMI (np. liczbę zapytań o stan) oraz częstotliwość wysyłania pakietów keepalive:C2600#show interfaces Serial 0/0

Serial0/0 is up, line protocol is up

Hardware is PowerQUICC Serial

Protokoły LMI i Inverse ARP - uzyskiwanie informacjio routerze odległym

Internet address is 131.107.11.1/24

MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,

reliability 255/255, txload 1/255, rxload 1/255

Encapsulation FRAME-RELAY, loopback not set, keepalive set (10 sec)

LMI enq sent 0, LMI stat recvd 0, LMI upd recvd 0

LMI enq recvd 169, LMI stat sent 169, LMI upd sent 0, DCE LMI up

LMI DLCI 1023 LMI type is CISCO frame relay DCEPoleceniem show frame-relay pvc wyświetlić można: stan każdego skonfigurowanego połączenia oraz numer DLCI, wykorzystywany interfejs fizyczny, statystyki dotyczące transmisji danych oraz liczbę otrzymanych pakietów BECN i FECN informujących o przeciążeniach w sieci Frame Relay.C2600#show frame-relay pvc

PVC Statistics for interface Serial0/0 (Frame Relay DCE)

DLCI = 16, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0

input pkts 73 output pkts 72 in bytes 9082

out bytes 9060 dropped pkts 0 in FECN pkts 0

in BECN pkts 0 out FECN pkts 0 out BECN pkts 0

in DE pkts 0 out DE pkts 0

out bcast pkts 72 out bcast bytes 9060

pvc create time 00:37:01, last time pvc status changed 00:33:34Komenda show frame-relay map pozwala zweryfikować zawartość tablicy, w której znajdują się powiązania adresów sieciowych (IP) odległych routerów i przypisanych im lokalnych numerów DLCI. Jeżeli stosowany jest protokół Inverse ARP, wpisy mają włączone opcje dynamic i broadcast:C2600#show frame-relay map

Serial0/0 (up): ip 131.107.11.2 dlci 16(0x10,0x400), dynamic,

broadcast,, status defined, active

Serial0/1 (up): ip 131.107.12.2 dlci 17(0x11,0x410), dynamic,

broadcast,, status defined, active

Zarządzanie ruchem w sieci Frame Relay

Dynamiczne wpisy protokołu Inverse ARP można usunąć z tablicy powiązań poleceniem clear frame-relay-inarp.

Typowa ramka Frame Relay zawiera dwubajtowe pole adresu (w tym 10 bitów przeznaczonych na numer DLCI), zmiennej długości pole danych oraz dwubajtowe pole sumy kontrolnej CRC. Początek i koniec ramki oznaczany jest przez jednobajtowe pole flagowe, które przyjmuje zawsze taką samą wartość 7E (szesnastkowo).Parametrem charakteryzującym ruch w sieci Frame Relay jest CIR (Committed Information Rate), określający minimalną, gwarantowaną przez dostawcę prędkość transmisji (w bitach na sekundę). Dla obwodów SVC wartość CIR ustalana jest w trakcie zestawiania połączenia, natomiast dla obwodów PVC parametr ten ma stałą wartość określoną w umowie z usługodawcą (im wyższy parametr CIR, tym wyższy koszt dzierżawy łącza PVC).Co dzieje się wówczas, gdy router generuje większy ruch niż dozwolony parametr CIR lub gdy w dowolnym węźle sieci Frame Relay pojawia się przeciążenie? Omówimy te sytuacje na przykładzie trzech specjalnych bitów sterujących, umieszczonych w polu Adres nagłówka ramki Frame Relay.Bit odrzucania DE (Discard Eligibility) - ustawiony w ramce oznacza, że w przypadku stwierdzenia przeciążenia przełącznik w pierwszej kolejności odrzuci tę ramkę. Bit odrzucania może być ustawiany przez przełącznik sieci Frame Relay w sytuacji, gdy w określonym czasie router generuje ruch większy od dozwolonego parametrem CIR. Ramki takie nie są automatycznie odrzucane, aż do momentu pojawienia się zatoru w sieci. Można też spowodować ustawianie tego bitu przez router, określając globalnym poleceniem konfiguracyjnym frame-relay de-list numer_listy [protocol protokół | interface typ numer] charakterystyka rodzaj ruchu, który wysyłany będzie w postaci ramek z ustawionym bitem odrzucania. W poleceniu można wskazać konkretny protokół (np. ARP, IP, IPX) i interfejs (serial, null lub ethernet), a w polu charakterystyka podać specyficzne cechy wysyłanych pakietów (np. numery portów TCP lub UDP, zgodność z listą dostępu, rozmiar pakietu). W pierwszym z poniższych przykładów ustawianie bitu DE włącza się w ramach listy numer 1 dla komunikacji związanej z protokołem Telnet, w drugim - dla wszystkich pakietów wysyłanych przez interfejs Serial 0/0:C2600(config)#frame-relay de-list 1 protocol IP tcp 23

C2600(config)#frame-relay de-list 1 interface Serial 0/0Aby przypisać wybraną listę do konkretnego numeru DLCI, należy użyć polecenia konfiguracyjnego interfejsu: frame-relay de-group numer_listy dlci , np. (lista nr 1, kanał DLCI 17):C2600(config-if)#frame-relay de-group 1 17Bit informujący odbiorcę o przeciążeniu FECN (Forward-Explicit Congestion Notification) - ustawiany przez przełącznik Frame Relay, który zauważył przeciążenie sieci. Ramka z ustawionym bitem FECN informuje docelowe urządzenie DTE o

Korzystanie z bitu DE wymaga, aby sieć dostawcy potrafiła go poprawnie interpretować.

przeciążeniu; informacja może być przekazana do protokołów warstw wyższych w celu uruchomienia procedur sterowania ruchem w sieci (np. zmniejszenie częstotliwości wysyłania potwierdzeń). Zdarza się też, że odbiorca ramki po prostu ignoruje bit FECN.Bit informujący nadawcę o przeciążeniu BECN (Backward-Explicit Congestion Notification) - ustawiany w ramkach przez urządzenie DCE (przełącznik) w przypadku stwierdzenia zatoru w sieci (np. przepełnienia buforów przełącznika). Bit BECN ustawiany jest w ramkach przesyłanych w przeciwnym kierunku niż ramki FECN, czyli w stronę nadawcy. Urządzenie DTE może informację o przeciążeniu wybranej trasy w sieci przekazać do protokołów warstw wyższych, aby uruchomić procedury sterowania ruchem w sieci (np. zmniejszenie prędkości wysyłania pakietów). Od wersji 11.2 systemu operacyjnego, interfejs routera Cisco może być tak skonfigurowany, aby automatycznie zmniejszać natężenie ruchu wyjściowego po otrzymaniu ramek z ustawionym bitem BECN (polecenie frame-relay traffic-shaping).

Topologie sieci Frame Relay

Routery łączące poszczególne oddziały firmy poprzez sieć Frame Relay korzystać będą zwykle z jednej z trzech topologii (patrz rys. obok):

pełnych połączeń - wszystkie routery mają wydzielone obwody wirtualne, zapewniające bezpośrednie połączenia ze wszystkimi innymi oddziałami. Zaletą rozwiązania jest nadmiarowość połączeń, wadą - cena, co ma niebagatelne znaczenie zwłaszcza przy dużej liczbie oddziałów, ponieważ trzeba zakupić u usługodawcy wiele kanałów PVC.

częściowych połączeń - w tym rozwiązaniu niezależne obwody PVC występują tylko na połączeniach wymagających transmisji dużej ilości danych.

gwiazdy - najbardziej popularne i najtańsze rozwiązanie (wymaga najmniejszej liczby kanałów PVC); wszystkie oddziały mają bezpośrednie połączenie tylko z centralą firmy, poprzez którą mogą komunikować się z pozostałymi oddziałami.

W dwóch ostatnich topologiach mogą się jednak pojawić problemy komunikacyjne, gdy jeden fizyczny interfejs (np. router w centrali) wykorzystywany jest do łączenia wielu oddziałów. Problemy te wynikają z natury sieci Frame Relay, która jest siecią wielodostępną, lecz bez obsługi rozgłoszeń (NBMA - Nonbroadcast Multiaccess). Komunikat rozgłoszeniowy otrzymany przez interfejs fizyczny nie będzie więc z powrotem rozsyłany przez ten sam interfejs do innych oddziałów, nawet jeśli używają one własnych kanałów PVC.

Sposoby połączenia oddziałów firmy przez sieć Frame Relay

W praktyce problem ten dotyczy np. rozgłoszeń protokołów trasowania (routingu) dynamicznego - jeżeli router w centrali otrzyma przez interfejs Serial 0/0 aktualizację tabeli trasowania od pierwszego odległego oddziału, to nie wyśle tych informacji poprzez interfejs Serial 0/0 do oddziału drugiego i trzeciego. W efekcie zawartość tabel trasowania w poszczególnych oddziałach będzie niekompletna (chyba że oddziały mają bezpośrednie połączenia PVC między sobą). Problem wynika z działania reguły split horizon, blokującej rozgłaszanie wsteczne na interfejsie. Regułę tę, opracowaną w celu zapobiegania powstawaniu pętli między routerami, omówimy w odcinku dotyczącym pracy routera w sieci wielosegmentowej.

Podinterfejsy

Dla poprawnej obsługi ruchu rozgłoszeniowego w sieci Frame Relay konfiguruje się w ramach interfejsu fizycznego podinterfejsy logiczne, zwane też interfejsami wirtualnymi. Ogłoszenia otrzymane przez jeden podinterfejs mogą być bez przeszkód wysłane na pozostałe podinterfejsy, choć wszystkie pracują w ramach tego samego interfejsu fizycznego (patrz rys.). Dostępne są dwa typy podinterfejsów:

point-to-point (punkt-punkt ) - wykorzystywany zwykle w topologii gwiazdy do zestawienia pojedynczego kanału PVC z innym interfejsem fizycznym (lub podinterfejsem) na odległym routerze. Każdy interfejs wirtualny pracuje we własnej podsieci (np. IP) i korzysta z pojedynczego numeru DLCI, komunikacja rozgłoszeniowa obsługiwana jest bez problemu.

multipoint (jeden-do-wielu) - wykorzystywany zwykle w topologii pełnych połączeń do zestawienia wielu kanałów PVC z odległymi routerami. Podinterfejs i wszystkie interfejsy routerów odległych, z którymi ustanawiane są połączenia, muszą pracować w tej samej podsieci. Podinterfejs tego rodzaju pracuje praktycznie tak, jak normalny interfejs routera (tworząc sieć NBMA), podlega więc działaniu reguły split horizon przy obsłudze komunikacji rozgłoszeniowej.

Aby skonfigurować podinterfejsy, należy:1. Odczytać adresy sieciowe (IP) z interfejsu fizycznego.2. Na poziomie interfejsu fizycznego włączyć hermetyzację Frame Relay oraz wybrać typ protokołu LMI.3. W konfiguracji interfejsu wykonać polecenie: interface serial numer.numer_podinterfejsu [multipoint | point-to-point]; po kropce trzeba podać numer podinterfejsu z zakresu od 1 do 4294967293.4. W konfiguracji podinterfejsu wpisać adres sieciowy (np. IP).5. Dla podinterfejsów typu punkt-punkt oraz podinterfejsów jeden-do-wielu

Trzy podinterfejsy w ramach jednego interfejsu fizycznego

Jeżeli router ma rozsyłać z powrotem rozgłoszenia przez ten sam interfejs, przez który je otrzymał, to regułę split horizon można wyłączyć (dla protokołów IP oraz IPX, ale nie można na przykład dla APPLETALK). Może to jednak doprowadzić do powstania pętli w sieci.

z włączonym protokołem Inverse ARP wpisać lokalny numer DLCI poleceniem frame-relay interface-dlci numer.W poniższym przykładzie tworzy się dwa podinterfejsy typu punkt-punkt w ramach interfejsu Serial 0/0 i podinterfejs typu jeden-do-wielu w ramach interfejsu Serial 0/1 (zamiast podawania numeru DLCI wykorzystano tu polecenie frame-relay map do określenia powiązań z odległymi adresami IP - wszystkie adresy są w jednej podsieci IP):C2600(config)#interface Serial 0/0

C2600(config-if)#no ip address

C2600(config-if)#encapsulation frame-relay

C2600(config-if)#frame-relay lmi-type ansi

C2600(config-if)#interface Serial 0/0.1 point-to-point

C2600(config-subif)#ip address 131.107.12.1 255.255.255.0

C2600(config-subif)#frame-relay interface-dlci 16

C2600(config-subif)#interface Serial 0/0.2 point-to-point

C2600(config-subif)#ip address 131.107.13.1 255.255.255.0

C2600(config-subif)#frame-relay interface-dlci 17

C2600(config-subif)# interface Serial 0/1.1 multipoint

C2600(config-subif)#ip address 131.107.14.1 255.255.255.0

C2600(config-subif)#frame-relay map ip 131.107.14.2 18 broadcast

C2600(config-subif)#frame-relay map ip 131.107.14.3 19 broadcast

Router Cisco jako przełącznik sieci Frame Relay

Przełącznik sieci Frame Relay realizuje przełączanie ramek na podstawie numerów DLCI znajdujących się w ich nagłówkach; podobnie działa przełącznik sieci LAN, który wykorzystuje adresy fizyczne MAC. Przełączanie ramek włączamy globalnym poleceniem konfiguracyjnym frame-relay switching (dla przełącznika X.25 było to polecenie x25 routing). Następnie wypełniamy statyczną tablicę przełączania, której poszczególne pozycje informują, który wejściowy numer DLCI przełączany będzie na który wyjściowy interfejs i wyjściowy numer DLCI. Statyczne wpisy tworzy się podczas konfiguracji interfejsu za

Router C2600 jako wydzielony przełącznik Frame Relay

Lokalne numery DLCI należy dla podinterfejsów wpisać ręcznie (normalnie przydzielane są one dynamicznie przez DCE), ponieważ specyfikacja LMI nie potrafi rozróżniać podinterfejsów. Nie jest to konieczne dla tych podinterfejsów typu jeden-do-wielu, dla których nie korzysta się z protokołu Inverse ARP, a powiązania odległych routerów tworzy się statycznie.

pomocą komendy: frame-relay route. Poniższe polecenie dodaje do tablicy statyczny wpis oznaczający, iż ramki wchodzące z numerem DLCI 16 przełączane będą na interfejs Serial 0/1 i wysyłane z numerem DLCI 25.C2600(config-if)#frame-relay 16 interface Serial 0/1 25W pierwszym przykładzie router zostanie skonfigurowany jako wydzielony przełącznik Frame Relay, a wszystkie jego interfejsy pracować będą jako urządzenia DCE (patrz rys.). W ramce przychodzącej do przełącznika sprawdzany jest numer DLCI. Na tej podstawie w tablicy przełączania poszukiwany jest wyjściowy interfejs i wyjściowy numer DLCI. Wejściowy numer DLCI w ramce jest nadpisywany numerem wyjściowym i ramka przekazywana jest do odpowiedniego interfejsu.W przedstawionej poniżej konfiguracji interfejsu Serial 0/0 routera C2600 zwróćmy uwagę na brak adresu IP - router C2600 pracuje jako przełącznik warstwy drugiej i nie analizuje pakietów IP. Obydwa interfejsy routera C2600 skonfigurowane są jako urządzenia DCE poleceniem frame-relay intf-type DCE:C2600(config)#frame-relay switching

C2600(config)#interface Serial 0/0

C2600(config-if)#no ip address

C2600(config-if)#encapsulation frame-relay

C2600(config-if)#frame-relay lmi-type cisco

C2600(config-if)#frame-relay intf-type dce

C2600(config-if)#frame-relay route 16 interface Serial 0/1 25Aktualną zawartość tablicy przełączania utworzonej komendą frame-relay route wyświetlić można poleceniem show frame-relay route. Kolejne pozycje pokazują: wejściowy interfejs, wejściowy numer DLCI, wyjściowy interfejs dla ramki, wyjściowy numer DLCI oraz stan połączenia:C2600#show frame-relay route

Input Intf Input Dlci Output Intf Output Dlci Status

Serial0/0 16 Serial0/1 17 active

Serial0/1 17 Serial0/0 16 activeWykorzystując routery Cisco, zbudować można pełną sieć Frame Relay. W sieci przedstawionej

Skonfigurowanie interfejsu jako urządzenia DCE wymaga najpierw wykonania komendy frame-relay switching.

Prosta sieć Frame Relay zbudowana na dwóch przełącznikach

Jeżeli router skonfigurowany jest jako przełącznik, to polecenie show frame-relay pvc wyświetla dla poszczególnych obwodów sposób ich wykorzystania:DLCI USAGE = SWITCHED(zwykle jest opcja LOCAL).

Router Cisco można skonfigurować również jako przełącznik hybrydowy, wyposażony zarówno w interfejsy DCE, jak i DTE. Przełączanie ramek realizowane będzie wówczas nie tylko między interfejsami DCE, ale także między parami DCE/DTE.

na rysunku konfiguracja interfejsów Serial 0/0 routerów C2600 i C2600BIS jest podobna do poprzedniego przykładu. Ciekawe jest bezpośrednie połączenie między przełącznikami, wykorzystujące specjalne typy interfejsu i protokołu sygnalizacyjnego NNI (Network-to-Network Interface). W poniższej konfiguracji interfejsu Serial 0/1 routera C2600 zwróćmy uwagę na typ interfejsu (NNI) oraz typ LMI (q933a):C2600(config-if)#no ip address

C2600(config-if)#encapsulation frame-relay

C2600(config-if)#frame-relay lmi-type q933a

C2600(config-if)#frame-relay intf-type nni

C2600(config-if)#frame-relay route 30 interface Serial 0/0 16W kolejnym przykładzie dwa routery Cisco, pracujące jako przełączniki, komunikują się między sobą poprzez routowalną, wielosegmentową sieć IP - do przesyłania ramek Frame Relay tworzy się tunel punkt-punkt (patrz rys.). Routery C2600 i C2600BIS podłączone są do sieci IP za pośrednictwem interfejsów Ethernet 0/0, a interfejsy Serial 0/0 obydwu routerów pracują jako urządzenia DCE. W konfiguracji routera C2600 zwróćmy uwagę na sposób definiowania interfejsu typu Tunnel:C2600(config)#frame-relay switching

C2600(config)#interface Ethernet 0/0

C2600(config-if)#ip address 131.108.1.1 255.255.255.0

C2600(config-if)#interface Serial 0/0

C2600(config-if)#encapsulation frame-relay

C2600(config-if)#frame-relay route 16 interface Tunnel1 25

C2600(config-if)#interface Tunnel1

C2600(config-if)#tunnel source Ethernet 0/0

C2600(config-if)#tunnel destination 131.109.1.1* * *Jako podsumowanie omawianych w tym artykule zagadnień przedstawiamy fragment przykładowej konfiguracji routera, poprzez który sieć lokalna łączy się z Internetem (pomijamy tu problem zabezpieczania dostępu). Załóżmy, że router podłączamy przez modem

Przesyłanie ramek Frame Relay przez tunel w sieci IP

Router Cisco podłączony do sieci POLPAK-T

dostawcy do sieci POLPAK-T (patrz rys.) - jest to sieć Frame Relay, pozwalająca na transmisję od 64 kb/s do 2 Mb/s na łączu abonenckim. Od dostawcy otrzymujemy: adres IP domyślnego routera, przez który kierowany będzie ruch do Internetu, adres IP dla zewnętrznego interfejsu szeregowego routera, a także typ protokołu LMI (zwykle ANSI) i rodzaj hermetyzacji (IETF). Ponieważ router pracować będzie jako urządzenie DTE, numer DLCI zostanie dynamicznie przydzielony przez dostawcę (zwykle 99). Konfiguracja routera C2600 jest następująca:! Wskazanie domyślnego routera u dostawcy (omówimy w następnym artykule)

C2600(config)#ip route 0.0.0.0 0.0.0.0 213.60.13.13

! Interfejs zewnętrzny to Serial 0/0

C2600(config)#interface Serial 0/0

! Adres IP przyznany przez dostawcę

C2600(config-if)#ip address 213.60.13.14 255.255.255.252

! Typ hermetyzacji musi być IETF

C2600(config-if)#encapsulation frame-relay ietf

! Typ LMI określony przez dostawcę

C2600(config-if)#frame-relay lmi-type ansi

! Numeru DLCI nie trzeba nadawać lokalnie - będzie 99

! Powiązań nie trzeba definiować ręcznie - działa Inverse ARP

Router CISCO w sieci wielosegmentowej

Wybieranie trasyAutor: Waldemar Pierścionek

Jednym z podstawowych zadań routera jako elementu łączącego segmenty w sieci korporacyjnej jest poznanie i wyznaczanie tras do transmisji pakietów pomiędzy dwoma końcowymi urządzeniami. Procedury wymiany informacji pomiędzy routerami, sposoby ich przechowywania i redystrybucji mogą być różne, ważne jest jednak, aby droga przesyłania danych była najbezpieczniejsza i najszybsza.

Metody wyznaczania tras pozwalają routerowi na ocenę wszystkich dostępnych informacji i na tej podstawie podjęcie decyzji, którą ścieżką będą przesyłane pakiety. Router może wykorzystać informacje podane przez administratora w trakcie konfiguracji, jak również te pochodzące z procesów uruchomionych na innych routerach. Tablica utworzona na podstawie znanych lokalizacji jest podstawą do przetwarzania i przełączania pakietów, a stan i wiarygodność pozycji umieszczonych w tablicy routingu będą miały kluczowe znaczenie dla poprawnej pracy routera.

Stacja końcowa - protokół ARP, Proxy ARP

Procedura przesyłania danych wymaga podania adresu źródłowego i docelowego zarówno w warstwie sieci, jak i w warstwie łącza danych. Protokół ARP jest odpowiedzialny za tworzenie tablicy odniesień pomiędzy logicznym adresem IP a fizycznym adresem MAC, pod który należy wysłać dane. Protokół ten działa metodą rozgłoszeniową, ma więc znaczenie lokalne. Zanim w sieci wysłany zostanie pakiet, protokół ARP musi wykonać zapytanie dotyczące fizycznego adresu odbiorcy związanego z podanym adresem IP, na który należy zaadresować ramkę (patrz rysunek).W momencie, gdy adresat znajduje się w sieci odległej, zgodnie z tablicą routingu, którą ma każde urządzenie pracujące w sieci wielosegmentowej, pakiet wysyłany jest na adres określany jako domyślna bramka. W efekcie protokół ARP dokona powiązania odległego adresu IP z fizycznym adresem interfejsu, określonym w danym segmencie sieci jako domyślna bramka, a nie z adresem fizycznym urządzenia docelowego - protokół ARP ma tylko zasięg lokalny. Informacje uzyskane podczas działania protokołu ARP są przechowywane w pamięci podręcznej, a po pewnym czasie zostają wygaszone i usunięte. Na routerze Cisco poleceniem show interfaces nazwa interfejsu można sprawdzić aktualną konfigurację protokołu ARP dla wybranego interfejsu. Podana informacja opisana jako ARP type zawiera sposób wiązania adresu IP z adresem fizycznym w sieci Ethernet, FDDI lub Token Ring i jest zależna od typu interfejsu. W poniższym przykładzie jest to opcja ARPA opisująca hermetyzację Ethernet II. Parametr ARP Timeout podaje czas przechowywania wszelkich wpisów dynamicznych związanych z tablicą ARP, po upływie którego dana pozycja zostanie usunięta. Domyślnie są to cztery godziny. Czas ten można jednak zmodyfikować. W tym celu w ramach konfiguracji interfejsu wykonujemy polecenie:C2600(config-if)#arp timeout wartość_wyrażona_w_sekundachAktualny stan tablicy ARP sprawdzić można poleceniem show arp, wyświetlone zostaną wówczas wpisy dla wszystkich protokołów pracujących na routerze, natomiast poleceniem show ip arp - tylko te związane z pracą protokołu IP:c2600#show ip arp

Protocol Address Age (min) Hardware Addr Type Interface

Internet 131.108.1.200 - 0003.470f.9fc6 ARPA

Protokół ARP - zapytanie o fizyczny adres odbiorcy

Internet 131.108.1.10 7 0010.4bc2.c01a ARPA Eth0/0

Internet 131.109.1.1 - 00b0.640f.10c1 ARPA Eth0/1

Internet 131.108.1.1 - 00b0.640f.10c0 ARPA Eth0/0Pozycje w tablicy, które nie mają podanego czasu przechowywania informacji w kolumnie Age (min), mogą oznaczać lokalne adresy IP routera bądź pozycje wprowadzone statycznie przez administratora. Tak jest w przypadku pozycji związanej z adresem 131.108.1.200, która nie zawiera wskazania czasu przechowywania w tablicy. Wpisy statyczne wprowadzamy poleceniem:C2600(config)#arp adres_ip adres_MAC [typ] [alias]Parametr typ oznacza obsługiwany przez router typ hermetyzacji dla danej pozycji (np. ARPA, SNAP, SAP, SMDS), gdzie domyślnie przyjęty jest typ ARPA (Ethernet II), natomiast opcja alias oznacza, iż na zapytanie protokołu ARP dotyczące podanego adresu IP router jest zobowiązany odpowiedzieć podanym adresem fizycznym MAC. Usunięcie wszelkich dynamicznych wpisów w tablicy ARP realizuje polecenie clear arp-cache, a wpisy statyczne odwołuje polecenie no arp adres_ip adres_MAC.Sieć lokalna złożona z dwóch segmentów rozdzielonych routerem stanowi dla rozgłoszeń protokołu ARP naturalną barierę w poszukiwaniu adresu fizycznego urządzenia pracującego w sąsiednim segmencie. Jeśli urządzenie docelowe ma adres z innej podsieci IP, nadawca będzie poszukiwał protokołem ARP adresu fizycznego domyślnej bramy. Jednak jeśli nadawca uzna, że docelowy adres IP jest z tej samej podsieci, będzie próbował znaleźć go samodzielnie w lokalnym segmencie, co może zakończyć się niepowodzeniem. Rozważmy sytuację określaną jako ukrywanie podsieci przed komputerami klienckimi - patrz rysunek.Chociaż w segmencie górnym i dolnym stosowane są różne podsieci IP, odpowiednio 192.168.10.64 i 192.168.10.16, stacje klienckie nie są tego świadome, gdyż stosują krótsze maski podsieci (klasy C). Dzięki temu, że interfejsy routera skonfigurowano z 28-bitowymi maskami podsieci, może on obsługiwać poprawnie obie podsieci. Zakładając powyższą konfigurację, jeśli komputer górny będzie chciał skomunikować się z dolnym (np.:ping 192.168.10.22), będzie próbował znaleźć komputer docelowy za pomocą protokołu ARP w segmencie lokalnym. Dla komputera górnego adres 192.168.10.22 jest adresem lokalnym z tej samej podsieci IP (maska 24 bity), a wówczas nie korzysta się z domyślnej bramki. Komputer górny nie może samodzielnie odnaleźć adresu docelowego, gdyż jego rozgłoszenie protokołu ARP zostanie zatrzymane przez router. Nie stanowi to problemu dla samego routera, który odbierając ramki rozgłoszeniowe protokołu ARP, mimo że nie są one związane bezpośrednio z jego adresami, dokona ich

Przykład ukrywania podsieci

analizy na podstawie znanych mu sieci i przekieruje zapytanie do innego segmentu sieci bądź routera.Cała procedura odbywa się dzięki protokołowi Proxy ARP, który domyślnie jest włączony dla wszystkich interfejsów routera. Lokalny host wysyła zapytanie dotyczące adresu fizycznego związanego z adresem IP, który nie jest osiągalny w jego segmencie sieci. Ramka dociera do routera, który sprawdza, czy podany w zapytaniu adres IP jest mu znany przez lokalne interfejsy lub rozgłoszenia o sieciach odległych wysyłane przez inne routery. Jeżeli tak, to router przesyła zapytanie pod wskazane miejsce wynikające z jego tablicy routingu, w odpowiedzi wysyłając do hosta swój adres fizyczny MAC z interfejsu, przez który odebrane zostało zapytanie. W ten sposób host nawiązuje komunikację z odległym urządzeniem, mając w tablicy ARP dynamiczny wpis odległego adresu IP związany z fizycznym adresem routera jako odbiorcą ramek. Sprawdzenie statusu protokołu Proxy ARP dla wybranego interfejsu realizuje polecenie show ip interface nazwa_interfejsu.Korzystanie z protokołu Proxy ARP niesie ze sobą obowiązek właściwego zaprojektowania adresowania w sieciach wielosegmentowych, szczególnie gdy mamy do czynienia z problemem sieci nieciągłych i korzystamy z mechanizmu VLSM. Może się bowiem okazać, że pakiet skierowany zostanie w zupełnie inne miejsce sieci niż to, które jest jego przeznaczeniem. Wykonanie polecenia no ip proxy-arp w trybie konfiguracji interfejsu blokuje działanie protokołu Proxy ARP.

Wskazanie domyślnej bramki - IRDP, HSRP

Podstawowym elementem konfiguracji w sieciach wielosegmentowych jest określenie na komputerach klienckich domyślnej bramki, do której będą kierowane wszystkie pakiety adresowane do sieci odległych. Przy projektowaniu sieci należy również uwzględnić awaryjność routera pracującego jako domyślna bramka i ewentualne sposoby przełączania wychodzącej komunikacji na inne routery. Tego rodzaju możliwości zapewniają protokoły IRDP i HSRP zaimplementowane na routerach Cisco.Protokół IRDP (ICMP Router Discovery Protocol) korzysta z trzech typów pakietów protokołu ICMP: typ 5 (Redirect), typ 9 (Router Advertisement) oraz typ 10 (Router Selection). Wymaga to zarówno od routerów, jak i komputerów w sieci lokalnej odpowiedniej konfiguracji związanej z obsługą protokołu IRDP, która w routerach Cisco domyślnie jest wyłączona.Na routerach Cisco konfiguracja protokołu IRDP realizowana jest poleceniem:C2600(config-if)#ip irdp [multicast | holdtime sekundy |

minadvertinterval sekundy | maxadvertinterval sekundy |

preference numer address adres_IP [numer]]

W większości systemów operacyjnych obsługa protokołu IRDP jest domyślnie wyłączona, tak więc jego uruchomienie będzie wymagało od administratora bezpośredniej ingerencji na komputerach klienckich.

Opcja multicast oznacza, iż router, zamiast metody rozgłoszeniowej, korzystać będzie z grupy multicastowej 224.0.0.1 jako sposobu dystrybucji pakietów IRDP. Parametr holdtime określa, przez jaki czas (wyrażony w sekundach) informacja podana przez router będzie przechowywana na stacjach odbiorczych. Domyślnie wynosi on 1800 s, a maksymalnie może być ustawiony na 9000 s, lecz nie może być mniejszy niż wartość parametru maxadvertinterval. Opcje maxadvertinterval i minadvertinterval wskazują przedział czasu, w jakim odbywają się cykliczne ogłoszenia IRDP generowane przez router, a ich domyślne wartości to odpowiednio 600 s i 3/4 czasu maxadvertinterval, czyli 450 s.Komputer, który nie ma w konfiguracji protokołu TCP/IP wskazania domyślnej bramki, na podstawie ogłoszeń, jakie docierają od routerów, dokonuje wyboru tego, który ma najwyższy numer preferencyjny. W przypadku konfiguracji domyślnej dla routerów Cisco numer ten jest równy 0 - nie on więc będzie decydował o wyborze przez klienta routera, lecz czas, po którym ogłoszenie IRDP dotarło do klienta. Wskazanie preferencji może być wykonane dla konkretnego adresu IP, którym posługuje się router poprzez opcję address oraz dołączenie do niej wybranej wartości liczbowej wskazującej preferencje.Konfigurację protokołu IRDP można sprawdzić, korzystając z polecenia show ip irdp, które wyświetla aktualne wartości wyżej opisywanych parametrów, natomiast poleceniem debug ip icmp prześledzić można pracę routerów z protokołem IRDP.C2600#debug ip icmp

05:18:53: ICMP: src=131.108.1.1, dst=255.255.255.255, irdp advertisement sent

05:18:53: IRDP: entries=1, size=2, lifetime=1800, bytes=36

05:18:53: IRDP: address=131.108.1.1 preference=0

05:18:57: ICMP: rdp advert rcvd type 9, code 0, from 131.108.1.2

05:19:01: ICMP: src=131.108.1.1, dst=255.255.255.255, irdp advertisement sent

05:19:01: IRDP: entries=1, size=2, lifetime=1800, bytes=36

05:19:01: IRDP: address=131.108.1.1 preference=0Routery pracujące z protokołem IRDP mogą na podstawie tablicy routingu przekierowywać klientów sieciowych do innych routerów dostępnych w sieci lokalnej, jeżeli okaże się, iż droga przez sąsiedni router jest korzystniejsza. Router wysyła w tym momencie ogłoszenie redirect

Protokół HSRP - adres routera wirtualnego związany jestz grupą routerów fizycznych

wskazujące adres IP routera sąsiedniego jako preferowaną drogę do sieci odległej, z której przy kolejnych odwołaniach powinien skorzystać klient.c2600#

05:44:54: ICMP: redirect

sent to 131.108.1.10

for dest 10.1.1.50,

use gw 131.108.1.2

05:44:54: ICMP: redirect

sent to 131.108.1.10

for dest 10.1.1.50,

use gw 131.108.1.2Drugim rozwiązaniem, zapewniającym dostęp do sieci zdalnej poprzez domyślną bramkę w przypadku awarii routera, jest protokół HSRP (Hot Standby Router Protocol), który bazuje wyłącznie na pracy routerów. Działanie protokołu HSRP polega na utworzeniu wirtualnego routera (domyślnej bramki) opisanego adresem IP, którym posługują się komputery klientów w sieci lokalnej. Adres ten związany jest z grupą routerów, na których włączony został protokół HSRP - patrz rysunek.Protokół HSRP związany jest z konkretnym segmentem sieci, tak więc jego włączenie i określenie grupy HSRP, w której pracuje dany router, będzie dotyczyło konkretnego interfejsu LAN.Routery posługują się pakietami Hello typu multicast do określenia tzw. aktywnego routera, który będzie obsługiwał żądania stacji klienckich kierowane pod wybranym wcześniej wirtualnym adresem IP danej grupy. Na tej podstawie zostanie wybrany również drugi router, tzw. oczekujący (standby). Protokół HSRP celowo wybiera dwa routery, przy czym tylko router aktywny odpowiada na żądania klientów kierowane pod wirtualnym adresem IP grupy, natomiast router oczekujący stanie się aktywny dopiero podczas wykrycia awarii tego pierwszego. W momencie gdy liczba routerów w sieci lokalnej jest większa niż dwa, po zmianie routera oczekującego na aktywny wybierany jest nowy router oczekujący, tak aby ewentualna awaria domyślnej bramki była dla klientów sieciowych nieodczuwalna. Konfiguracji protokołu HSRP dokonujemy za pomocą komendy:C2600(config-if)#standby [numer_grupy] ip [adres_ip][secondary]Jeśli nie określimy w poleceniu standby numeru grupy, router założy, iż dany interfejs pracuje w grupie o numerze 0. Podany dla opcji ip adres będzie głównym adresem, jakim będzie posługiwał się router na wskazanym interfejsie. Oznacza to również określenie nowego wirtualnego adresu MAC związanego z podanym adresem IP, a przede wszystkim ze zdefiniowaną grupą HSRP. Początkowa część adresu jest wspólna dla wszystkich grup, natomiast na jego końcu umieszczany jest numer grupy HSRP, np. zapis 0000.0c07.ac07 oznacza adres związany z grupą o

Dokumentacja Cisco podaje, że dla interfejsów Token Ring można zdefiniować do trzech grup HSRP, natomiast dla interfejsu Ethernet istnieje możliwość zdefiniowania do 256 grup HSRP.

numerze 7. Podczas konfigurowania protokołu HSRP na kolejnych routerach, które mają pracować w już istniejącej grupie, nie ma konieczności określania wirtualnego adresu IP. Raz zdefiniowany obowiązuje dla wszystkich routerów w grupie, czyli konfiguracja kolejnych routerów pracujących w grupie 7 mogłaby zamknąć się poleceniem: standby 7 ip.Włączenie kolejnych wirtualnych adresów IP dla wybranej grupy HSRP wymaga podania opcji secondary. Domyślny czas hellotime, po którym wysyłane są pakiety Hello dla danej grupy HSRP, wynosi 3 sekundy. Zanim jednak inne routery uznają, że router aktywny lub oczekujący nie funkcjonują, zobowiązane są odczekać holdtime, który domyślnie wynosi 10 sekund. Konfiguracji tych dwóch parametrów dokonujemy poleceniem:C2600(config-if)#standby [numer_grupy] timers czas_hellotime czas_holdtimeZakładając, że czas cyklicznego ogłaszania w grupie 7 ma wynosić 10 s, a czas, po którym inne routery uznają, że router aktywny nie działa - 30 s, należy wykonać komendę: standby 7 timers 10 30. Podane parametry czasowe muszą być jednakowe dla wszystkich routerów w danej grupie; definiowanie ich poza routerem aktywnym mija się z celem. Inne routery będą musiały korzystać z parametrów czasowych routera aktywnego, co pokazuje poniższy przykład polecenia show standby:c2600#sh standby

Ethernet0/0 - Group 7

Local state is Standby, priority 100

Hellotime 3 holdtime 10 configured hellotime 10 sec holdtime 30 sec

Next hello sent in 00:00:00.117

Hot standby IP address is 131.108.1.100

Active router is 131.108.1.2 expires in 00:00:09

Standby router is local

Standby virtual mac address is 0000.0c07.ac07Podane dwie nowe wartości są przez router lokalny ignorowane; faktycznymi czasami są te zdefiniowane na routerze aktywnym. Powyższe polecenie jest doskonałym sposobem na sprawdzenie konfiguracji protokołu HSRP. Podany został adres routera aktywnego (131.108.1.2) oraz wskazanie routera oczekującego - standby router is local - co w tym przypadku oznacza wskazanie naszego routera. Istnieje również możliwość ustalenia, który z routerów w określonej grupie HSRP jest preferowany do roli routera aktywnego bądź oczekującego. Procedura ta zakłada określenie w konfiguracji HSRP priorytetu routera. Domyślnie priorytet równy jest 100 (1-255), nie on więc będzie decydował o roli routera, ale kolejność uruchamiania protokołu HSRP na poszczególnych urządzeniach. Zmiany tego parametru dokonujemy za pomocą komendy:C2600(config-if)#standby [numer_grupy] priority priorytet [preempt [delay czas]]Przyjęcie priorytetu dla routera nie ma znaczenia w momencie, gdy zostały już ustalone role routera aktywnego i oczekującego. Dopiero nowy proces wyboru może uwzględnić podany przez nas priorytet. Jeżeli chcemy, aby

rola routera była zgodna z podanym przez nas priorytetem, należy dodatkowo posłużyć się opcją preempt. Oznacza to, że router natychmiast wymusi pozycję zgodną z przypisanym mu priorytetem. Czas wymuszenia można przesunąć, posługując się parametrem delay, jako uzupełnieniem dla opcji preempt. Przygotowana w ten sposób konfiguracja pozwoli na zachowanie ciągłego dostępu do zdalnej sieci bez konieczności rekonfigurowania komputerów w sieci lokalnej.

Tworzenie tablicy routingu

Po wykonaniu wstępnej konfiguracji routera (określenie adresów sieciowych dla poszczególnych interfejsów) jedynymi dostępnymi sieciami są te, do których ma on bezpośredni dostęp. Oznacza to, że na routerach Cisco, segmenty sieci bezpośrednio dostępne dla routera są pierwszym, najbardziej wiarygodnym źródłem informacji o strukturze sieci.Oczywiście, nie jest to obraz całej sieci, tak więc muszą istnieć sposoby na poinformowanie routera o innych segmentach, również tych najbardziej odległych. Można skorzystać z wcześniej podanych przez administratora tras statycznych lub za pomocą protokołów routingu dynamicznego dokonać wymiany informacji przez same urządzenia sieciowe. Informacja ta musi zawierać opis dostępnych tras i pozwolić routerowi na wybór najlepszej z nich, dla pakietów kierowanych w konkretne miejsce.Ocena składa się z dwóch elementów: metryki oraz dystansu administratorskiego. Metryka jest oceną kosztu dostępu do wybranej sieci, a sposób jej wyznaczania zależy od protokołu routingu, który ją wylicza. Trudno będzie routerowi odnieść się do metryk dotyczących tej samej sieci, a pochodzących od dwóch różnych protokołów routingu. Jednak w sytuacji, gdy protokół jest ten sam, będą one miały kluczowe znaczenie. Natomiast dystans administratorski jest oceną wiarygodności źródła, z którego pochodzi informacja. Im wyższa wartość z przedziału 0 - 255, tym mniej wiarygodne dla routera źródło informacji. Wartość dystansu administratorskiego nie jest wymieniana pomiędzy routerami, a więc ma znaczenie lokalne. Istnieją jednak pewne domyślne założenia pozwalające na wstępne oszacowanie wiarygodności źródła informacji o sieciach zdalnych - patrz tabela.Spośród wszystkich informacji dostępnych dla routera, w tablicy routingu umieszczone będą tylko te, które są dla niego najbardziej wiarygodne. Oznacza to, że przy włączonych protokołach RIP i IGRP, ogłaszających tę samą sieć, wybrane zostanie ogłoszenie związane z protokołem IGRP. Aktualną zawartość tablicy routingu można sprawdzić poleceniem show ip route:c2600#show ip route

Gateway of last resort is not set

Źródło informacjio trasie

Dystansadministratorski

Bezpośrednio podłączone 0

Statyczne 1

Protokół IGRP 100

Protokół OSPF 110

Protokół RIP 120

Nieznane 255

S 195.116.60.0/24 [1/0] via 131.108.1.254, Ethernet0/0

I 212.1.1.0/24 [100/80135] via 131.107.12.2, 00:01:18, Serial0/0

R 10.0.0.0/8 [120/1] via 131.107.13.2, 00:00:26, Serial0/1

131.108.0.0/24 is subnetted, 1 subnets

C 131.108.1.0 is directly connected, Ethernet0/0

131.109.0.0/24 is subnetted, 1 subnets

C 131.109.1.0 is directly connected, Ethernet0/1

131.107.0.0/24 is subnetted, 3 subnets

I 131.107.11.0 [100/82125] via 131.107.12.2, 00:01:18, Serial0/0

C 131.107.12.0 is directly connected, Serial0/0

C 131.107.13.0 is directly connected, Serial0/1Oznaczenia literowe typu S, I, R, C wskazują na pochodzenie informacji w tablicy routingu, zgodnie z zamieszczonym powyżej krótkim opisem, np. R - RIP, S - Static, I - IGRP, C - Connected itd. Następnie podane są: adres sieci w notacji identyfikator sieci/ilość bitów sieci oraz dwa parametry - dystans administratorski i metryka. Zapis [100/80135] oznacza, iż dystans administratorski dla podanego wpisu wynosi 100, natomiast metryka jest równa 80135.Ważnym elementem w budowie tablicy routingu jest podanie informacji, na jaki adres i przez jaki interfejs należy wysłać pakiet, aby dane dotarły do miejsca przeznaczenia, czyli sieci opisanej na początku każdej pozycji. Jako kolejny skok na drodze do sieci docelowej należy podać taki adres, który jest dla routera bezpośrednio osiągalny. Jeżeli router nie wie, dokąd wysłać pakiet dla sieci docelowej, odrzuca go, a do nadawcy wysyła odpowiedni komunikat protokołu ICMP (destination host unreachable). Konfigurując proces routingu, należy zawsze o tej zasadzie pamiętać.

Routing statyczny

Najprostszą formą budowania informacji o topologii sieci są ręcznie podane przez administratora trasy definiujące routing statyczny. Przy tworzeniu takiej trasy wymagane jest jedynie podanie adresu sieci docelowej, interfejsu, przez który pakiet ma zostać wysłany oraz adresu IP następnego routera na trasie.

Dla tras statycznych metryka nie ma zastosowania (tylko dystans administratorski).

Poleceniem no ip routing wykonanym w trybie konfiguracyjnym możemy wyłączyć proces routingu. Spowoduje to jednak usunięcie całej konfiguracji dotyczącej zarówno protokołów routingu dynamicznego, jak i wpisów statycznych, a polecenie show ip route pokaże pustą zawartość tabeli routingu. Komenda no ip routing nie oznacza utraty komunikacji sieciowej, router nadal będzie mógł wymieniać pakiety z najbliższymi sąsiadami.

Routing statyczny ma wiele zalet. Router przesyła pakiety przez z góry ustalone interfejsy bez konieczności każdorazowego obliczania tras, co zmniejsza zajętość cykli procesora i pamięci. Informacja statyczna nie jest narażona na deformację spowodowaną zanikiem działania dynamicznego routingu na routerach sąsiednich. Dodatkowo zmniejsza się zajętość pasma transmisji, gdyż nie są rozsyłane pakiety rozgłoszeniowe protokołów routingu dynamicznego. Dla małych sieci jest to doskonałe rozwiązanie, ponieważ nie musimy posiadać zaawansowanych technologicznie i rozbudowanych sprzętowo routerów. Routing statyczny zapewnia również konfigurację tras domyślnych, nazywanych bramkami ostatniej szansy (gateway of the last resort). Jeżeli router uzna, iż żadna pozycja w tablicy routingu nie odpowiada poszukiwanemu adresowi sieci docelowej, korzysta ze statycznego wpisu, który spowoduje odesłanie pakietu w inne miejsce sieci.Routing statyczny wymaga jednak od administratora sporego nakładu pracy w początkowej fazie konfiguracji sieci, nie jest również w stanie reagować na awarie poszczególnych tras.Ręcznej konfiguracji tras dokonujemy komendą:C2600(config)#ip route sieć_docelowa maska_podsieci {adres_IP |

interfejs} [dystans] [permanent]Najważniejsze jest dokładne określenie odległej sieci lub podsieci, do której będą wysyłane pakiety. Zanim dotrą one do miejsca docelowego, należy podać adres IP lub interfejs, przez który jest osiągalny router kolejnego skoku. Można również podać dystans administratorski dla konkretnej trasy; dla pozycji statycznych domyślnie wynosi on 1. Po wyłączeniu interfejsu, który prowadzi do wskazanej sieci, pozycja statyczna jest natychmiast usuwana, co przy częstych zmianach stanu łącza jest uciążliwe. Opcja permanent spowoduje zachowanie danej trasy nawet po awarii interfejsu. Praktyczną konfigurację routingu statycznego prześledźmy na przykładzie dołączenia oddziału firmy do głównej sieci korporacyjnej - rysunek obok.Zwróćmy uwagę na różnicę w zapisie polecenia ip route. Na routerze C2600 router w sieci oddziałowej został wskazany przez adres IP, natomiast na routerze C2600bis wskazanie routera w sieci korporacyjnej wykonano, podając nazwę interfejsu, przez który należy wysłać pakiety. Niestety, nie jest to kompletna konfiguracja, ponieważ wszystkie routery w sieci korporacyjnej muszą zawierać informację, że sieć 131.108.1.0 jest osiągalna przez router C2600. Rozważmy bardziej złożony przypadek, w

Połączenie oddziału firmy z centralą - routing statyczny

którym sieć odległa osiągalna jest przez dwie niezależne trasy - patrz rysunek poniżej.Dostęp z sieci 131.108.1.0 do sieci 199.1.1.0 za routerem D jest możliwy zarówno poprzez router B, jak i C. Oznacza to, że przy domyślnie skonfigurowanym routingu statycznym dwie alternatywne trasy będą traktowane równorzędnie. Jeśli chcielibyśmy, aby jedna z tras była podstawowa (np. z racji przepustowości łącza pomiędzy routerami), a druga zapasowa, należy zrezygnować z domyślnej konfiguracji routingu statycznego. Dzięki zdefiniowaniu odpowiedniego dystansu administratorskiego dla poszczególnych tras, router C2600 umieści w tablicy routingu tę najbardziej wiarygodną. Na routerze C2600 podaliśmy dwa polecenia konfiguracyjne:C2600(config)#ip route 199.1.1.0 255.255.255.0 s0/0 25

C2600(config)#ip route 199.1.1.0 255.255.255.0 s0/1 50Wynika z nich jednoznacznie, że trasa do sieci 199.1.1.0 kierowana przez interfejs Serial 0/0 jest bardziej wiarygodna, ponieważ jej dystans administratorski został opisany wartością 25, w odróżnieniu od trasy przez interfejs Serial 0/1 z dystansem równym 50. Taki zapis spowoduje, iż w tablicy routingu pozostanie tylko jedna pozycja, ta z mniejszym dystansem administratorskim. Nie doprowadzi to jednak do usunięcia z konfiguracji drugiego wpisu, który pojawi się w tablicy routingu w momencie, gdy interfejs Serial 0/0 z jakichkolwiek powodów zostanie wyłączony.Zjawisko sterowania trasami poprzez zmianę dystansu administratorskiego i pojawiania się tras o gorszym dystansie, w sytuacji, gdy ta pierwsza jest niedostępna, nazywamy routingiem pływającym (floating routing). Tego rodzaju konfiguracja jest bardzo często stosowana przy połączeniu routingu dynamicznego i statycznego. Brak ogłoszeń związanych z protokołami routingu dynamicznego nie musi oznaczać, że router utraci informację na temat odległej sieci. Podając dodatkowo statyczną trasę z większym dystansem administratorskim niż obsługiwane protokoły routingu dynamicznego, sprawiamy, że wpis statyczny jest ukrywany do momentu, gdy zabraknie ogłoszeń routingu dynamicznego.

Trasy domyślne

Pojęcie trasy domyślnej, nazywanej też bramką ostatniej szansy, odnosi się do trasy wskazującej miejsce, do którego należy przesłać pakiet, gdy router nie wie nic o sieci docelowej pakietu. Przekłada się to najczęściej na jedną statyczną trasę skonfigurowaną przez administratora sieci lub wskazanie, które jest wynikiem dystrybucji poprzez protokoły routingu dynamicznego. Trasę domyślną definiujemy poleceniem:

Odległa sieć D dostępna przez dwie różne trasy

C2600(config)#ip route 0.0.0.0 0.0.0.0 {adres_IP | interfejs}W opcjach podajemy adres routera kolejnego skoku lub nazwę interfejsu, przez który jest on osiągalny. Jest to typowy sposób konfiguracji routera oddziałowego firmy przy połączeniu z siecią korporacyjną, gdzie cała komunikacja nie związana z siecią lokalną oddziału ma być kierowana do routera brzegowego sieci korporacyjnej. Jest to bardzo wygodne rozwiązanie, ponieważ jednym wpisem można objąć wszystkie nieznane sieci IP, do których kierowane są pakiety.Drugim sposobem na oznaczenie trasy jako bramki ostatniej szansy jest wykonanie polecenia:C2600(config)#ip default-network adres_sieciPolecenie to, wykonane na routerze Cisco, zakłada, iż router ma informacje o tym, jak dotrzeć do wskazanej sieci domyślnej. Rozważmy przypadek routera, na którym wykonano polecenie ip default-network 212.1.1.0. Oto przykładowa tablica routingu:C2600#show ip route

...

Gateway of last resort is 131.107.11.1 to network 212.1.1.0

S* 212.1.1.0/24 [1/0] via 131.107.11.1

131.107.0.0/24 is subnetted, 2 subnets

C 131.107.11.0 is directly connected, Serial0

C 131.107.15.0 is directly connected, Serial1

13.0.0.0/24 is subnetted, 1 subnets

C 13.1.1.0 is directly connected, FastEthernet0Statyczna trasa do sieci 212.1.1.0/24 wskazana została w tablicy routingu jako bramka ostatniej szansy. Oznacza to, iż każdy pakiet z nieznanym adresem sieci docelowej zostanie skierowany do routera 131.107.11.1, ponieważ taki został podany adres kolejnego skoku przy dostępie do sieci 212.1.1.0. Przy definiowaniu domyślnej sieci należy pamiętać, aby router zawierał w tablicy routingu informację, jak do wskazanej sieci dotrzeć. Podana sieć musi również dokładnie odpowiadać długością sieci znajdującej się w tablicy routingu. Jeżeli w poleceniu ip default-network podana została sieć 131.108.0.0, w tablicy routingu musi istnieć pozycja dotycząca sieci 131.108.0.0/16. W innym przypadku polecenie to zapisane zostanie w bieżącej konfiguracji routera i ignorowane przez system operacyjny nie będzie miało żadnego wpływu na tablicę routingu.Konfigurując adres bramki ostatniej szansy, pamiętać należy o sprawdzaniu, czy w konfiguracji routera jest polecenie ip classless. Komenda ta domyślnie jest włączona, jednak przy wykonaniu polecenia no ip classless mogą pojawić się problemy z wykorzystaniem bramki ostatniej szansy. Dzieje się tak, ponieważ router pracujący w trybie

W tabeli routingu poszukuje się zawsze sieci o "najdłuższym dopasowaniu" względem sieci docelowej pakietu IP, stąd pozycja domyślna 0.0.0.0 brana będzie pod uwagę zawsze jako ostatnia. Dzięki temu, że maska trasy domyślnej ma postać 0.0.0.0, operacja mnożenia logicznego AND maski przez adres docelowy pakietu zawsze da wynik 0.0.0.0, zgodny z adresem sieci domyślnej (też 0.0.0.0). W praktyce pozycja domyślna w tablicy routingu pasuje do każdego adresu docelowego.

klasowym (no ip classless) nie korzysta z bramki ostatniej szansy dla podsieci należących do znanych mu sieci głównych IP.Załóżmy, że w tablicy routingu routera C2600 znajdują się następujące podsieci IP: 131.107.12.0/24 oraz 131.107.13.0/24, będące podsieciami z interfejsów lokalnych routera. Dodatkowo zdefiniowano adres domyślnej bramki jako 131.107.12.2. Przy próbie wysłania pakietów na adres docelowy 212.1.1.1 router C2600 wyśle je pod adresem domyślnej bramki. Niestety, dla adresu docelowego 131.107.17.1, chociaż nie ma takiej sieci w tablicy routingu, router nie skorzysta z bramki ostatniej szansy, ponieważ wartość 17 na trzecim bajcie oznacza podsieć lokalnej sieci głównej 131.107.0.0 (router generuje do nadawcy komunikat ICMP Destination Host Unreachable).

Przełączanie pakietów na routerach Cisco

Przy omawianiu routingu statycznego przedstawiliśmy przypadek docelowej sieci, do której prowadzą dwie trasy (albo dwie trasy statyczne z jednakowym dystansem administratorskim, albo dwie trasy z równą metryką dla routingu dynamicznego). Zastanówmy się, w jaki sposób router będzie korzystał z wielu tras prowadzących do tej samej sieci docelowej. Czy zawsze wybierana będzie jedna trasa, czy też możliwe jest równoważenie obciążenia na wszystkich dostępnych trasach. Routery Cisco mogą pracować w dwóch trybach przełączania pakietów:

procesowym, w którym stosuje się równoważenie obciążenia, przesyłając pakiet po pakiecie na poszczególne trasy;

pamięciowym (przełączanie szybkie), w którym stosuje się wybór jednej trasy dla wszystkich pakietów związanych z konkretnym miejscem przeznaczenia.

W przełączaniu procesowym przeszukiwana jest tablica routingu dla każdego pakietu, co zwiększa obciążenie procesora routera. Przełączanie szybkie wykorzystuje specjalny obszar pamięci podręcznej, w którym przechowuje się informację o wybranej trasie do konkretnego miejsca docelowego (adres docelowy, interfejs routera). Dla pierwszego wysyłanego pakietu stosuje się zawsze przełączanie procesowe, następnie tworzony jest wpis w pamięci podręcznej i na tej podstawie przesyłane są kolejne pakiety. Korzystanie z pamięci podręcznej jest rozwiązaniem szybszym niż przeglądanie tabeli tras stosowane w przełączaniu procesowym. Domyślnie w konfiguracji wszystkich interfejsów włączone jest przełączanie szybkie, co można sprawdzić poleceniem show ip interface nazwa_interfejsu. Aby wyłączyć szybkie przełączanie (i włączyć procesowe), należy w trybie konfiguracji interfejsu wykonać komendę no ip route-cache.Działanie wybranego trybu przełączania najłatwiej zaobserwować, wykorzystując polecenie debug. Załóżmy sytuację, w której przykładowy router C2600 ma dwie trasy prowadzące do sieci 199.1.1.0. Pierwsza trasa wiedzie przez router 131.107.12.2, druga przez router 131.107.13.2. Zakładając domyślną konfigurację, w której włączone jest szybkie przełączanie, wykonamy polecenie ping 199.1.1.10 z komputera pracującego w sieci lokalnej routera C2600 (131.108.1.250). Aby zaobserwować pracę routera C2600, wykonamy polecenia debug ip

packet (śledzenie całej komunikacji IP) i debug ip cache (monitorowanie wpisów związanych z pamięcią podręczną szybkiego przełączania). Warto wcześniej usunąć zawartość pamięci podręcznej poleceniem clear ip cache.Poniżej przedstawiamy wynik polecenia debug dla trybu szybkiego przełączania. Zwróćmy uwagę na komunikaty informujące o tworzeniu wpisu w pamięci podręcznej oraz na fakt, że tylko pierwszy pakiet związany z poleceniem ping został zauważony w trybie śledzenia. Komenda debug nie pokazuje pakietów przełączanych z wykorzystaniem pamięci podręcznej:c2600#clear ip cache

c2600#deb ip cache

IP cache debugging is on

c2600#deb ip pack

IP packet debugging is on

c2600#

01:03:44: IP: s=131.108.1.250 (Ethernet0/0), d=199.1.1.10 (Serial0/1),

g=131.107.13.2, len 60, forward

01:03:44: IP: created cache entry for 199.1.1.10/32

01:03:44: IP: s=199.1.1.10 (Serial0/1), d=131.108.1.250 (Ethernet0/0),

g=131.108.1.250, len 60, forwardAktualną zawartość pamięci podręcznej dla szybkiego przełączania wyświetlić można poleceniem show ip cache.To samo doświadczenie przeprowadzimy teraz dla przełączania procesowego (w konfiguracji interfejsów szeregowych routera C2600 wykonano polecenie no ip route-cache). Wynik działania polecenia deb ip pack wyraźnie wskazuje, że połowa pakietów przełączana jest na interfejs Serial 0/0, połowa na Serial 0/1:c2600#

01:22:14: IP: s=131.108.1.250 (Ethernet0/0),

d=199.1.1.10 (Serial0/0), g=131.107.12.2, len 60, forward

01:22:15: IP: s=131.108.1.250 (Ethernet0/0),

d=199.1.1.10 (Serial0/1), g=131.107.13.2, len 60, forward

01:22:16: IP: s=131.108.1.250 (Ethernet0/0),

d=199.1.1.10 (Serial0/0), g=131.107.12.2, len 60, forward

01:22:17: IP: s=131.108.1.250 (Ethernet0/0),

W następnym odcinku cyklu przedstawimy między innymi konfigurowanie routingu dynamicznego oraz zagadnienia związane z redystrybucją tras.

d=199.1.1.10 (Serial0/1), g=131.107.13.2, len 60, forward

Protokoły routingu dynamicznegoAutor: Waldemar Pierścionek

W artykule tym kontynuujemy omawianie zagadnień związanych z procesem routingu. Przedstawimy między innymi poszczególne typy protokołów routingu dynamicznego, charakterystykę protokołów RIP oraz IGRP, metody zapobiegania powstawaniu pętli między routerami oraz konfigurowanie redystrybucji danych o routingu.

W dużych sieciach wielosegmentowych routing dynamiczny jest podstawową metodą zdobywania wiedzy, dzięki której routery poznają topologię sieci oraz budują tabele routingu. Wymiana informacji między routerami odbywa się zgodnie z określonymi algorytmami i przy wykorzystaniu protokołów routingu dynamicznego. Według typowej klasyfikacji, protokoły routingu dynamicznego dzielą się na protokoły wektora odległości (distance vector) oraz protokoły stanu łącza (link state). Inny podział wyodrębnia grupy protokołów klasowych i bezklasowych.

Protokoły wektora odległości

Routery używające protokołów wektora odległości regularnie wysyłają kompletną zawartość swojej tabeli routingu do wszystkich routerów sąsiednich, a te z kolei przesyłają informacje dalej (p. rysunek str. 67). Warto zwrócić uwagę na to, że router ogłasza nie tylko sieci, do których jest bezpośrednio podłączony, ale także te, których nauczył się od sąsiadów - protokoły tej grupy określa się też mianem "routing poprzez plotkowanie". Jako sposób wymiany danych stosowana jest najczęściej komunikacja rozgłoszeniowa (broadcast), chociaż niektóre protokoły wykorzystują multiemisję (multicast).Nazwa "wektor odległości" pochodzi stąd, iż poszczególne trasy ogłaszane są jako wektory zawierające dwie informacje: odległość oraz kierunek. Odległość opisuje koszt danej trasy i wyrażana jest za pomocą metryki, natomiast kierunek definiowany jest poprzez adres następnego skoku. Protokoły wektora odległości są łatwe w konfiguracji i bardzo dobrze nadają się do zastosowania w małych sieciach. Niestety, jednym z ich podstawowych problemów jest tzw. zbieżność, czyli powolne reagowanie na zmiany zachodzące w topologii sieci, na przykład wyłączenie lub włączenie pewnych segmentów - zerwanie łącza zostaje odzwierciedlone w tabelach routingu poszczególnych routerów dopiero po pewnym czasie. Czas, po którym wszystkie routery mają spójne i uaktualnione tabele routingu nazywany jest czasem zbieżności. Kolejną wadą protokołów

Protokół wektora odległości - informacje

o poszczególnych sieciach "propagują"

się stopniowo. Na przykład router A dopiero po dwóch

cyklach czasowych uzyska informacje o

sieci 11.1.4.0.

wektora odległości jest generowanie dodatkowego ruchu w sieci poprzez cykliczne rozgłaszanie pełnych tabel routingu, nawet wówczas, gdy w topologii sieci nie zachodzą żadne zmiany. Protokoły tej grupy nie są też odporne na powstawanie pętli między routerami (zarówno między bezpośrednimi sąsiadami, jak i pętli rozległych), co skutkuje wzajemnym odsyłaniem sobie pakietów z informacją o tej samej sieci. Mechanizmy pozwalające unikać powstawania takich pętli omówimy w dalszej części artykułu.Należy zwrócić również uwagę na problem propagacji błędnych informacji. Przykładowy Router A, otrzymujący dane od swojego sąsiada B, musi zakładać, iż są one poprawne, gdyż nie ma żadnego sposobu na ich zweryfikowanie i ewentualne wykrycie błędów w tabeli routingu routera B. To oczywiście oznacza, że router A również będzie przekazywał błędne informacje do swoich pozostałych sąsiadów.Ważnym parametrem dla protokołów wektora odległości jest maksymalna rozpiętość sieci, czyli maksymalna dopuszczalna w danym protokole liczba kolejnych routerów (skoków) na ścieżce wiodącej do sieci docelowej. Sieci dostępne przez większą od dozwolonej liczbę skoków oznaczane są jako nieosiągalne. Protokoły wektora odległości pracują zgodnie z algorytmami opracowanymi przez R.E.Bellmana, L.R.Forda i D.R.Fulkersona, a typowymi przedstawicielami tej grupy są RIP oraz IGRP.

Protokoły stanu łącza

W protokołach stanu łącza każdy router przechowuje kompletną bazę danych o topologii sieci z informacjami o koszcie pojedynczych ścieżek w obrębie sieci oraz o stanie połączeń. Informacje te kompletowane są poprzez rozsyłanie tzw. pakietów LSA (link-state advertisement) o stanie łączy. Każdy router wysyła informację o bezpośrednio do niego podłączonych sieciach oraz o ich stanie (włączone lub wyłączone). Dane te są następnie rozsyłane od routera do routera, każdy router pośredni zapisuje u siebie kopię pakietów LSA, ale nigdy ich nie zmienia. Po pewnym czasie (czasie zbieżności) każdy router ma identyczną bazę danych o topologii (czyli mapę sieci) i na jej podstawie tworzy drzewo najkrótszych ścieżek SPF (shortest path first) do poszczególnych sieci. Router zawsze umieszcza siebie w centrum (korzeniu) tego drzewa, a ścieżka wybierana jest na podstawie kosztu dotarcia do docelowej sieci - najkrótsza trasa nie musi pokrywać się z trasą o najmniejszej liczbie skoków. Do wyznaczenia drzewa najkrótszych ścieżek stosowany jest algorytm E.W. Dijkstry. Ponieważ każdy router ma identyczną bazę danych informacji o sieci, protokoły stanu łącza są znacznie bardziej odporne na rozgłaszanie przypadkowych błędów ogłaszane przez sąsiadów niż

Protokół stanu łącza

protokoły wektora odległości. Ponadto drzewo rozpinające sieć pozbawione jest w naturalny sposób rozległych pętli łączących routery.Jedną z najważniejszych cech protokołów stanu łącza jest szybkie reagowanie na zmiany w topologii sieci. Po zmianie stanu łącza router generuje nowy pakiet LSA, który rozsyłany jest od routera do routera, a każdy router otrzymujący ten pakiet musi przeliczyć od nowa drzewo najkrótszych ścieżek i na jego podstawie zaktualizować tabelę routingu.Protokoły stanu łącza nazywane są też protokołami "cichymi", ponieważ w przeciwieństwie do protokołów wektora odległości nie rozsyłają cyklicznych ogłoszeń, a dodatkowy ruch generują tylko przy zmianie stanu łącza. Ze względu na sposób działania i swoje cechy protokoły stanu łącza przeznaczone są do obsługi znacznie większych sieci niż protokoły wektora odległości.Do wad protokołów stanu łącza zaliczyć można zwiększone zapotrzebowanie na pasmo transmisji w początkowej fazie ich działania (zanim "ucichną"), gdy routery rozsyłają między sobą pakiety LSA. Dodatkowo ze względu na złożoność obliczeń drzewa SPF, protokoły stanu łącza mają zwiększone wymagania dotyczące procesora i pamięci RAM routera (zwłaszcza przy większych sieciach). Typowym przedstawicielem tej grupy protokołów jest OSPF (Open Shortest Path First).

Protokoły klasowe

Podstawową cechą protokołów klasowych jest to, iż nie ogłaszają one maski podsieci razem z adresem sieci. Router odbierający może zastosować maskę z własnego interfejsu, jeśli interfejs ma adres IP z tej samej sieci głównej, co sieć ogłaszana.Sposób ogłaszania tras do routerów sąsiednich prześledzimy na przykładzie układu przedstawionego na rysunku obok. Dla protokołów klasowych stosowane są następujące zasady ogłaszania sieci lub podsieci:

Jeżeli podsieć oraz interfejs, przez który jest ogłaszana, mają identyczną sieć główną oraz jednakowej długości maskę podsieci, to podsieć będzie ogłaszana poprawnie (poprawny adres sieci, ale bez maski). Na przykład router A ogłasza przez interfejs S0 (p. rysunek) podsieć 170.71.5.0 (sieć LAN), a router B interpretuje to ogłoszenie z maską podsieci własnego interfejsu S0 (w tym wypadku maska ma 30 bitów).

Jeżeli podsieć ma taką samą sieć główną jak interfejs, przez który ma być ogłoszona, ale inną maskę podsieci, podsieć ta nie będzie w ogóle ogłaszana. Na przykład router B na rysunku nie będzie ogłaszał przez interfejs S0 podsieci 170.71.8.0, ponieważ jej maska (24 bity) jest niezgodna z maską interfejsu S0 (30 bitów).

Przykładowy układ dwóch routerów pracujących z protokołem klasowym. Wszystkie interfejsy zostały

skonfigurowane z adresami IP z tej samej sieci głównej klasy B 170.71.0.0. Jednak interfejs szeregowy routera B

(połączenie z routerem A) ma przypisaną dłuższą maskę podsieci niż pozostałe interfejsy (255.255.255.252).

Jako sieć główną przyjmuje się adres sieci zgodny z klasą adresu IP.

Jeżeli ogłaszana podsieć ma inną sieć główną niż interfejs, przez który jest ogłaszana, router wysyłający ogłoszenie dokonuje automatycznego przekształcenia na adres sieci głównej, czyli adres wynikający z klasy. Proces ten nazywany jest łączeniem tras na granicy sieci głównych (p. rysunek).

Jednym z problemów wynikających ze stosowania protokołów klasowych jest brak obsługi tzw. sieci nieciągłych. Sieci nieciągłe to dwie podsieci tej samej sieci głównej rozdzielone inną siecią główną - p. rysunek poniżej. Interfejsy Ethernet routerów A i B mają przypisane adresy IP z różnych podsieci sieci głównej 170.71.0.0. Na interfejsach szeregowych łączących routery wykorzystywana jest sieć główna 170.73.0.0. W tej sytuacji router A, ogłaszając sieć 170.71.5.0 do swojego sąsiada, będzie musiał dokonać przekształcenia na adres wynikający z klasy (granica sieci głównych). Ogłoszenie sumaryczne dociera do routera B, ale jest ignorowane, ponieważ router B ma dokładniejsze informacje o sieci 170.71.0.0, gdyż jest lokalnie podłączony do podsieci 170.71.8.0.Analogicznie wygląda przypadek ogłaszania podsieci 170.71.8.0 do routera A. W efekcie ani router A, ani B nie będą miały w tabelach routingu informacji o podsieciach IP stosowanych w segmentach LAN swojego sąsiada. Rozwiązaniem tego problemu jest na przykład zastosowanie protokołu bezklasowego, który dzięki ogłaszaniu również maski podsieci, pozwala na wyłączenie automatycznego łączenia tras na granicy sieci głównych (ogłaszana jest poprawna długość podsieci), a router odbierający ogłoszenie może zapisać w tabeli routingu adres sieci IP o poprawnej długości. W przypadku sieci nieciągłych można posłużyć się także drugorzędnymi adresami IP należącymi do tej samej sieci głównej co nieciągłe podsieci. Adresy drugorzędne należy przypisać do wszystkich interfejsów na trasie między podsieciami nieciągłymi - p. rysunek.

Łączenie tras na granicy sieci głównych

Sieci 10.45.5.0 za routerem A oraz 10.45.35.0 za routerem C należą do tej samej sieci głównej 10.0.0.0 i są przykładem podsieci nieciągłych rozdzielonych inną siecią główną: 192.168.11.0 oraz 192.168.80.0. Dzięki przypisaniu adresów drugorzędnych należących do różnych podsieci tej samej sieci głównej 10.0.0.0, ogłaszanie informacji przez poszczególne interfejsy na trasie między routerem A i C nie wymaga łączenia tras na granicy sieci głównych. Ogłaszanie realizowane jest niezależnie dla poszczególnych adresów IP przypisanych do interfejsu. W omawianym przypadku przypisanie dwu adresów IP do interfejsu oznacza dwukrotny proces ogłaszania, niezależnie dla adresu głównego i drugorzędnego.

Protokół RIP

RIP jest jednym z najstarszych przedstawicieli grupy protokołów wektora odległości. Jest to standard otwarty, a jego podstawowa wersja opublikowana jest w dokumencie RFC 1058 (obecnie dostępna jest również wersja druga). W wersji pierwszej RIP jest klasycznym przykładem protokołu wektora odległości, jest także protokołem klasowym, a więc nie jest w nim ogłaszana maska podsieci. Wszelkie omówione wcześniej cechy protokołów klasowych są w protokole RIP obecne. Protokół RIP nie ma własnego protokołu warstwy transportowej. Ogłoszenia realizowane są z wykorzystaniem portu 520 dla protokołu UDP. Informacje między routerami są wymieniane standardowo, metodą rozgłoszeniową (na poziomie warstwy sieciowej stosowany jest adres docelowy 255.255.255.255).

W protokole RIP jedynym elementem wykorzystywanym do obliczenia metryki jest liczba skoków przez kolejne routery na trasie do sieci docelowej. Jeżeli do wybranej sieci prowadzą dwie (lub więcej) trasy z jednakową liczbą skoków, obie będą pokazywane w tabeli routingu, w innych sytuacjach pokazywana jest tylko trasa z najlepszą metryką. Pełna tabela routingu ogłaszana jest do

routerów sąsiednich cyklicznie co około 30 sekund.

Przykład sieci nieciągłej

Kolejny adres przypisujemy do interfejsu poleceniem konfiguracyjnym interfejsu: ip address adres_IP Maska_Podsieci secondary

Aby zapobiec sytuacji, gdy wszystkie routery w tym samym czasie rozpoczynają rozsyłanie danych, faktyczny czas aktualizacji wybierany jest z przedziału od 25,5 do 30 sekund.

Protokół RIP włączany jest głównym poleceniem konfiguracyjnym router RIP. Dodatkowo należy skonfigurować proces RIP podkomendą network. Polecenie network ma podwójne znaczenie: po pierwsze określa, które z bezpośrednio podłączonych sieci będą ogłaszane do routerów sąsiednich, po drugie wskazuje interfejsy routera, które będą pracować w danym protokole. Składnia polecenia network jest następująca: network Klasowy_Adres_Sieci. Polecenie network wymaga podania adresu sieci wynikającego z klasy, nie można stosować adresu podsieci ani konkretnego adresu interfejsu. Nie podaje się również maski podsieci. Wyobraźmy sobie sytuację przedstawioną na rysunku obok. Wykonanie tylko polecenia network 212.1.1.0 podczas konfiguracji protokołu RIP spowoduje, że żadna z sieci bezpośrednio podłączonych nie będzie rozgłaszana przez żaden interfejs (nie zostało włączone ogłaszanie na interfejsach S0 i S1, a sieć 212.1.1.0 domyślnie w ogóle nie jest rozgłaszana przez interfejs E0, o czym więcej w dalszej części artykułu). Z kolei wykonanie tylko polecenia network 131.107.0.0 spowoduje ogłaszanie podsieci 131.107.12.0 przez interfejs S1 i podsieci 131.107.11.0 przez interfejs S0. Tym razem sieć 212.1.1.0 w ogóle nie może być ogłaszana, a dodatkowo podsieci sieci głównej 131.107.0.0 nie będą ogłaszane przez interfejs E0 (nie jest objęty poleceniem network). Aby przykładowy router A ogłaszał wszystkie sieci przez wszystkie interfejsy, wymagana będzie następująca konfiguracja:RouterA(config)#router RIP

RouterA(config-router)#network 131.107.0.0

RouterA(config-router)#network 212.1.1.0W kilku kolejnych zagadnieniach dotyczących protokołu RIP będziemy wykorzystywać układ czterech routerów połączonych w zamkniętej pętli (p. rysunek). Konfiguracja routera c2600 jest następująca:c2600(config)#router RIP

c2600(config-router)#network 131.107.0.0

c2600(config-router)#network 131.108.0.0Konfiguracja pozostałych routerów będzie analogiczna (każdy z nich ogłaszać będzie inną sieć IP stosowaną w segmencie LAN). Aby wyświetlić zawartość tabeli routingu, na routerze c2600 wykonujemy polecenie show ip route:Gateway of last resort is not set

Przykładowy układ czterech routerów w pętli

R 212.1.1.0/24 [120/1] via 131.107.12.2, 00:00:03, Serial0/0

R 10.0.0.0/8 [120/1] via 131.107.13.2, 00:00:10, Serial0/1

R 196.168.2.0/24 [120/2] via 131.107.13.2, 00:00:10, Serial0/1

[120/2] via 131.107.12.2, 00:00:04, Serial0/0

131.108.0.0/24 is subnetted, 1 subnets

C 131.108.1.0 is directly connected, Ethernet0/0

131.107.0.0/24 is subnetted, 4 subnets

R 131.107.10.0 [120/1] via 131.107.13.2, 00:00:10, Serial0/1

R 131.107.11.0 [120/1] via 131.107.12.2, 00:00:04, Serial0/0

C 131.107.12.0 is directly connected, Serial0/0

C 131.107.13.0 is directly connected, Serial0/1Sieci zgłaszane dynamicznie w protokole RIP oznaczane są literką R, wiarygodność protokołu RIP standardowo ustawiona jest na wartość 120, a metryka to po prostu liczba skoków do sieci docelowej. Zwróćmy uwagę, że dla każdej pozycji zgłaszanej dynamicznie wyświetlany jest też czas jej ostatniej aktualizacji (w normalnych warunkach poniżej 30 sekund dla protokołu RIP). Sieć 196.168.2.0 z punktu widzenia routera c2600 dostępna jest przez dwie jednakowo dobre (metryka) trasy, odpowiednio przez interfejs S0/0 i S0/1. W przypadku uruchomienia przełączania procesowego - pakiet po pakiecie (omawialiśmy to w poprzednim artykule) - router realizowałby równoważenie ruchu, przesyłając połowę pakietów przez pierwszy interfejs, a połowę przez drugi.W przypadku wystąpienia trudnych do zidentyfikowania problemów z ogłaszaniem tras w protokole RIP, najlepiej posłużyć się poleceniem debug. Przykładowo komenda debug ip RIP pozwala śledzić tylko ruch związany z protokołem RIP, z dokładnym podziałem, jakie sieci są ogłaszane bądź otrzymywane przez poszczególne interfejsy. W poniższym fragmencie komunikatów wyświetlanych w trybie śledzenia na routerze c2600

Protokół RIP - parametry czasowe

Update (czas aktualizacji) - czas wysyłania kolejnych aktualizacji. W protokole RIP domyślnie około 30 sekund.Invalid (trasa nieważna) - zegar uruchamiany razem z ostatnią aktualizacją. Przy braku aktualizacji, po przekroczeniu tego czasu trasa oznaczana jest jako nieważna, ale nie jest automatycznie usuwana z tabeli routingu, tylko przechodzi w tryb przytrzymania trasy (hold down). W protokole RIP czas ten wynosi domyślnie 180 sekund (6 czasów aktualizacji).Hold down (przytrzymywanie trasy) - czas przetrzymywania w tabeli routingu tras nieważnych (nieaktualizowanych). Trasa w tym trybie oznaczana jest w tabeli routingu jako "possibly down", ale jest cały czas wykorzystywana do wysyłania pakietów i router nie akceptuje ewentualnych ogłoszeń tej trasy od innych sąsiadów. Zastosowano tutaj zasadę, że lepiej przytrzymać w tabeli routingu trasę być może uszkodzoną, niż zbyt szybko przełączyć się na inną trasę do tej samej sieci, ale z wyższą metryką. W protokole RIP czas ten wynosi domyślnie 180 sekund (chyba że wcześniej skończy się czas flush).Flush (usuwanie trasy z tabeli) - czas, po którym trasa nieaktualizowana usuwana jest z tabeli routingu. Zegar ten uruchamiany jest razem z ostatnią aktualizacją trasy. Ponieważ w protokole RIP czas ten wynosi domyślnie 240 sekund, więc w praktyce trasa nieaktualizowana usunięta zostanie z tabeli routingu już po 60 sekundach trybu hold down (plus 180 sekund czasu invalid).

zauważmy podawaną liczbę skoków bądź metrykę, stosowaną wersję protokołu RIP (v1) oraz podział na ogłaszane podsieci i sieci główne:00:53:23: RIP: received v1 update from 131.107.13.2

on Serial0/1

00:53:23: 10.0.0.0 in 1 hops

00:53:23: 131.107.10.0 in 1 hops

00:53:23: 131.107.11.0 in 2 hops

00:53:23: 196.168.2.0 in 2 hops

00:53:29: RIP: sending v1 update to 255.255.255.255

via Serial0/0 (131.107.12.1)

00:53:29: subnet 131.107.10.0, metric 2

00:53:29: subnet 131.107.13.0, metric 1

00:53:29: network 10.0.0.0, metric 2

00:53:29: network 131.108.0.0, metric 1Oprócz omawianego wcześniej czasu aktualizacji, w procesie zarządzania zawartością tabeli routingu uwzględniane są jeszcze inne parametry czasowe - p. ramka.

Aby zilustrować stosowanie poszczególnych czasów, posłużymy się przedstawionym wcześniej układem czterech routerów i w tabeli routingu routera c2600 będziemy obserwować sieć 212.1.1.0 (LAN za routerem A), która nie będzie poprawnie aktualizowana. W tym celu w konfiguracji protokołu RIP na routerze A należy wyłączyć wysyłanie ogłoszeń przez interfejs Serial 0 poleceniem:

RouterA(config-router)#passive-interface Serial0Przez pierwsze 180 sekund trasa pokazywana jest poprawnie i wykorzystywana jest podczas przesyłania pakietów do sieci 212.1.1.0 (tylko czas ostatniej aktualizacji zwiększa się powyżej 30 sekund):R 212.1.1.0/24 [120/1] via 131.107.12.2, 00:01:13, Serial0/0Po upływie około 3 minut kończy się czas invalid i trasa przechodzi w tryb hold down, w którym nadal będzie wykorzystywana do obsługi ruchu dla sieci 212.1.1.0:R 212.1.1.0/24 is possibly down, routing via 131.107.12.2, Serial0/0Teoretycznie trasa może pozostawać w trybie hold down przez 180 sekund, ale już po 60 sekundach kończy się czas flush (zegar ten uruchamiany jest razem z ostatnią aktualizacją) i trasa usuwana jest z tabeli routingu, a na jej miejsce pojawia się nowy wpis, prowadzący do sieci 212.1.1.0 przez router B z wyższą metryką równą 3:R 212.1.1.0/24 [120/3] via 131.107.13.2, 00:00:10, Serial0/1Po wyłączeniu komendy passive-interface, do tabeli routingu natychmiast powraca pierwotna trasa do sieci 212.1.1.0, ponieważ jest ogłaszana z lepszą metryką (1 skok).

Domyślne parametry czasowe stosowane w protokole RIP zmodyfikować można poleceniem: timers basic update invalid holddown flush.

Jedną z głównych wad protokołu RIP jest sposób obliczania metryki, uwzględniający tylko liczbę skoków do sieci docelowej. Przy obliczaniu kosztu danej trasy w ogóle nie uwzględnia się parametrów transmisyjnych, takich jak przepustowość, wprowadzane opóźnienie czy obciążenie poszczególnych interfejsów. Powróćmy do poprzedniego modelu czterech routerów. Router c2600 kieruje się do sieci 212.1.1.0 zawsze przez router A, gdyż jest to tylko jeden skok. Moglibyśmy sobie jednak wyobrazić sytuację, w której połączenie między routerem c2600 i A ma bardzo małą przepustowość w porównaniu z poszczególnymi połączeniami na trasie "na około" przez router B. W domyślnej konfiguracji protokół RIP jest bezradny wobec tego problemu, można jednak posłużyć się dodatkowymi poleceniami, które sztucznie będą podnosić metrykę w protokole RIP dla pewnych, wybranych tras. Poniżej przedstawiamy przykład konfiguracji routera c2600, w wyniku której trasa do sieci 212.1.1.0 będzie miała podnoszoną metrykę o wartość 4. W efekcie łączna metryka przyjmie wartość 5 i będzie gorsza niż koszt trasy do sieci 212.1.1.0 przez router B (metryka równa 3):c2600(config)#access-list 1 permit 212.1.1.0 0.0.0.255

c2600(config)#router rip

c2600(config-router)#offset-list 1 in 4 serial0/0Polecenie offset-list podawane w konfiguracji protokołu RIP odczytujemy następująco: dla ogłoszeń przychodzących (in) do interfejsu Serial 0/0, które są zgodne z listą dostępu numer 1 (zdefiniowaną w poleceniu access-list - listy dostępu omówimy w jednym z następnych artykułów), należy podnosić metrykę o wartość 4. Zauważmy, że pokazany tutaj zapis oznacza zezwolenie (permit) dla ogłoszeń dotyczących sieci 212.1.1.0 (zapis 0.0.0.255 w tzw. odwrotnej masce oznacza, że ostatni bajt adresu sieci może być dowolny - ustawione jedynki). W efekcie przedstawionej konfiguracji, w tabeli routingu routera c2600 pojawi się następujący wpis dla sieci 212.1.1.0:R 212.1.1.0/24 [120/3] via 131.107.13.2, 00:00:10, Serial0/1Oczywiście router A, przesyłając pakiety do routera c2600 (do sieci 131.108.0.0), będzie posługiwał się trasą bezpośrednią (z metryką 1), chyba że na routerze A wprowadzimy analogiczną konfigurację dla sieci 131.108.0.0.Protokół RIP przekazuje pełną zawartość tabeli routingu do routerów sąsiednich, stosując metodę rozgłoszeniową; oznacza to rozsyłanie informacji do wszystkich. W pewnych sytuacjach ta domyślna konfiguracja może okazać się rozwiązaniem nadmiarowym, a wręcz niedobrym. Wyobraźmy sobie taki układ routerów, jak na rysunku. Chcielibyśmy, aby router c2600 przesyłał kompletną tabelę routingu do routera B, ale nie do routera A. Router c2600 nie może więc posługiwać się metodą rozgłoszeniową, zamiast tego musi jawnie wskazać router B jako odbiorcę (p. pokazane niżej polecenia konfiguracyjne). Polecenie passive-interface (stosowane już wcześniej) wyłącza metodę rozgłoszeniową na wybranym interfejsie, natomiast komenda neighbor wskazuje

konkretnego sąsiada, do którego wysyłane będą informacje protokołem RIP:C2600(config)#router rip

C2600(config-router)#passive-interface Ethernet 0/0

C2600(config-router)#neighbor 131.108.1.2

Protokół RIP w wersji 2

Protokół ten opisany jest w dokumencie RFC 1723, w porównaniu z wersją pierwszą wprowadzono w nim szereg modyfikacji. Główną zmianą jest ogłaszanie maski podsieci razem z adresem sieci. W ten sposób w wersji drugiej protokół RIP nadal jest protokołem wektora odległości, ale bezklasowym. Nie występuje już problem sieci nieciągłych, można także wyłączyć automatyczne łączenie tras na granicy sieci głównych. Dzięki rozsyłaniu maski podsieci protokół RIP w wersji drugiej obsługuje sieci VLSM (Variable Length Subnet Masking), czyli te, w których stosuje się różnej długości maskę dla podsieci tej samej sieci głównej.Zoptymalizowano także sposób komunikacji z routerami sąsiednimi. W wersji drugiej nadal wykorzystywany jest port 520 protokołu UDP, ale transmisja realizowana jest w drodze multiemisji z wykorzystaniem specjalnej grupy o adresie 224.0.0.9. Dzięki temu ruch związany z protokołem RIP nie obciąża wszystkich urządzeń w danym segmencie, a jedynie routery należące do grupy 224.0.0.9.Wprowadzono także możliwość wzajemnego uwierzytelniania routerów wymieniających informacje. Pozwala to wyeliminować z sieci routery nieautoryzowane, od których nie będą akceptowane ogłoszenia. Dla zapewnienia pełnej współpracy ze starszymi urządzeniami, które posługują się tylko wersją pierwszą RIP, dodano komendy pozwalające włączyć pełną zgodność z wersją pierwszą.W poprzedniej sekcji wielokrotnie odwoływaliśmy się do przykładowego układu czterech routerów połączonych w pętli. Teraz dla tego samego układu włączmy wersję drugą protokołu RIP. W tym celu należy posłużyć się poleceniem version:c2600(config)#router rip

c2600(config-router)#version 2Niestety, po włączeniu wersji drugiej w tabeli routingu routera c2600 pojawia się sieć 10.0.0.0 jako 8-bitowa, choć faktycznie na routerze B jest to sieć 24-bitowa 10.1.1.0. Oznacza to, że choć wersja druga domyślnie jest protokołem bezklasowym, stosuje automatyczne łączenie tras na granicy sieci głównych:R 10.0.0.0/8 [120/1] via 131.107.13.2, 00:00:04, Serial0/1Aby ten stan zmienić, należy w konfiguracji protokołu RIP wykonać polecenie no auto-summary. Wprowadzenie tej zmiany skutkuje nowym wpisem w tabeli routingu routera c2600:R 10.1.1.0 [120/1] via 131.107.13.2, 00:00:01, Serial0/1Komenda debug ip RIP może być ponownie wykorzystana do zweryfikowania działania wersji drugiej protokołu RIP. Zwróćmy uwagę na ogłaszaną maskę podsieci oraz specjalną grupę multiemisji (224.0.0.9):

RIP: received v2 update from 131.107.13.2 on Serial0/1

05:46:17: 10.1.1.0/24 -> 0.0.0.0 in 1 hops

05:46:17: 131.107.10.0/24 -> 0.0.0.0 in 1 hops

05:46:17: 131.107.11.0/24 -> 0.0.0.0 in 2 hops

05:46:17: 196.168.2.0/24 -> 0.0.0.0 in 2 hops

05:46:17: RIP: sending v2 update to 224.0.0.9 via Serial0/1 (131.107.13.1)

05:46:17: 131.107.11.0/24 -> 0.0.0.0, metric 2, tag 0

05:46:17: 131.107.12.0/24 -> 0.0.0.0, metric 1, tag 0

05:46:17: 212.1.1.0/24 -> 0.0.0.0, metric 2, tag 0

05:46:17: 131.108.1.0/24 -> 0.0.0.0, metric 1, tag 0Rysunek obok przedstawia przykładowy układ czterech routerów pracujących z różnymi wersjami protokołu RIP. Aby umożliwić routerowi A wysyłanie i odbieranie ogłoszeń przez interfejs Ethernet 0/0 zarówno dla wersji 1, jak i wersji 2, należy w konfiguracji interfejsu E 0/0 wykonać następujące polecenia:RouterA(config-if)#ip rip send version 1 2

RouterA(config-if)#ip rip receive version 1 2

RouterA(config-if)#no ip split-horizonPolecenie pierwsze włącza wysyłanie ogłoszeń zarówno w trybie rozgłoszeniowym (wersja 1), jak i w trybie multiemisji (wersja 2). Polecenie drugie pozwala odbierać komunikaty z wersji pierwszej i drugiej. Komenda no ip split-horizon (omówimy ją w dalszej części artykułu) jest tutaj niezbędna, aby router A wysyłał do routera B informacje o sieciach, których nauczył się od routera c2600 (i odwrotnie). Ponieważ poprzez interfejs Serial 0/0 router A sąsiaduje tylko z routerem wersji pierwszej, w konfiguracji interfejsu S 0/0 należy wykonać polecenia:RouterA(config-if)#ip rip send version 1

RouterA(config-if)#ip rip receive version 1Proces uwierzytelniania realizowany jest w parze routerów wymieniających pakiety RIP. Opiera się na wspólnym (identycznym) haśle zdefiniowanym na obydwu routerach. Dostępne są dwie metody przekazywania hasła między routerami. W metodzie domyślnej hasło przesyłane jest jawnym tekstem wewnątrz pakietu RIP i niepowołane osoby, którym uda się podsłuchać pakiety w sieci mogą to hasło odczytać. Metoda druga wymaga zastosowania odpowiedniej komendy, jest jednak rozwiązaniem o wiele bezpieczniejszym, gdyż używa algorytmu MD5. Hasło w tej metodzie nie jest bezpośrednio przesyłane. Na podstawie treści pakietu RIP oraz treści hasła tworzony jest, zgodnie z algorytmem MD5, 128-bitowy podpis

cyfrowy, który następnie przesyłany jest do routera sąsiedniego razem z pakietem RIP. Router sąsiedni, znając to samo hasło, może na podstawie otrzymanego pakietu wyliczyć samodzielnie 128-bitowy łańcuch i porównać go z podpisem otrzymanym w pakiecie.Konfigurowanie procesu uwierzytelniania wymaga zdefiniowania zestawu kluczy, do których przypisane będą hasła stosowane w różnych godzinach do nadawania i odbierania informacji od routera sąsiedniego. Przeanalizujmy poniższy zestaw poleceń konfiguracyjnych na routerze c2600, włączających uwierzytelnianie metodą MD5:2600(config)#key chain zestaw1

2600(config-keychain)#key 1

2600(config-keychain-key)#key-string cisco

2600(config-keychain-key)#accept-lifetime 08:00:00 Mar 10 2001

infinite

2600(config-keychain-key)#send-lifetime 08:00:00 Mar 10 2001

infinite

2600(config)#interface E 0/0

2600(config-if)#ip rip authentication key-chain zestaw1

2600(config-if)#ip rip authentication mode md5W powyższym przykładzie tworzony jest zestaw kluczy o nazwie zestaw1. Nazwa ta ma znaczenie lokalne i może być dowolna na każdym routerze. W ramach zestawu utworzono jeden klucz, któremu przypisano hasło cisco. To hasło musi być identyczne z hasłem przypisanym do klucza na routerze sąsiednim. Dwie dodatkowe komendy accept-lifetime oraz send-lifetime służą do określenia, kiedy dany klucz może być stosowany odpowiednio do odbierania i wysyłania pakietów RIP. Klucz numer 1 może być wykorzystywany od godziny 8:00 10 marca 2001 i ma nieskończoną ważność. W konfiguracji interfejsu Ethernet 0/0 włączono korzystanie z zestawu kluczy zestaw1 w procesie uwierzytelniania komunikacji przez ten interfejs. Komenda ostatnia (nieobowiązkowa) włącza korzystanie z metody opartej na algorytmie MD5 (domyślnie hasło przesyłane jest jawnym tekstem).

Protokół IGRP

Protokół IGRP opracowany został przez firmę Cisco w celu wyeliminowania niektórych ograniczeń protokołu RIP. Jedną z najważniejszych zmian jest znacznie większy dopuszczalny rozmiar sieci. W protokole RIP najdłuższa ścieżka mogła mieć tylko 15 skoków, w protokole IGRP zwiększono tę wartość do 255 (domyślnie limit ustawiony jest na 100 skoków). Jako protokół wektora

Standardowo jeden pakiet protokołu RIP może przesłać maksymalnie 25 pozycji z tabeli routingu. Podczas stosowania metody uwierzytelniania z przesyłaniem hasła jawnym tekstem pierwsza pozycja w pakiecie RIP zawiera hasło. W metodzie opartej na algorytmie MD5 dwie pozycje w pakiecie RIP (pierwsza i ostatnia) zarezerwowane są na 128-bitowy podpis cyfrowy.

odległości i protokół klasowy IGRP podlega takim samym zasadom pracy, jak protokół RIP i w wielu punktach jest do niego podobny. Poszczególne sieci ogłaszane są do sąsiadów przez wszystkie włączone interfejsy z wykorzystaniem komunikacji rozgłoszeniowej. Zmieniono jednak wartości liczników czasowych w porównaniu z protokołem RIP (ich znaczenie jest identyczne), co pokazuje poniższa tabela:

W porównaniu z RIP znacznie zoptymalizowano format pakietu IGRP, a protokół przenoszony jest bezpośrednio przez warstwę IP jako protokół nr 9 (RIP wykorzystuje UDP). Kolejną ciekawą zmianą jest możliwość rozłożenia ruchu pakietów na kilka tras o niejednakowej metryce, prowadzących do tej samej sieci. Jedną z najważniejszych cech protokołu IGRP jest jednak zupełnie inny sposób obliczania metryki trasy. W protokole RIP koszt trasy opierał się tylko na liczbie skoków do sieci docelowej. IGRP przesyła i monitoruje liczbę skoków, ale tylko w celu sprawdzania, czy trasa nie jest zbyt długa (255 skoków maksymalnie). Liczba skoków nie jest w ogóle brana pod uwagę przy wyliczaniu metryki. W zamian uwzględnia się 5 następujących parametrów:

Przepustowość - wartość stała definiowana w konfiguracji interfejsu, ustawiana poleceniem bandwidth. Im większa wartość, tym bardziej preferowana trasa. Domyślnie uwzględniana w

metryce. Opóźnienie - wartość stała definiowana w konfiguracji interfejsu, ustawiana

poleceniem delay. Im mniejsza wartość, tym bardziej preferowana trasa. Domyślnie uwzględniana w metryce.

Pewność - wartość dynamicznie mierzona na poziomie interfejsu i wyrażana jako liczba z przedziału od 1 do 255. Im większa wartość (mniej błędów na interfejsie), tym bardziej preferowana trasa. Domyślnie nieuwzględniana w metryce.

Obciążenie - wartość dynamicznie mierzona na poziomie interfejsu i wyrażana jako liczba z przedziału od 1 do 255. Im mniejsza liczba (mniej obciążony interfejs), tym bardziej preferowana trasa. Domyślnie nieuwzględniana w metryce.

MTU - maksymalny rozmiar pola danych ramki przesyłanej w danym segmencie. Protokół IGRP śledzi najmniejszą wartość MTU na trasie, ale obecnie w ogóle nie uwzględnia tego parametru w metryce.

Aktualne wartości powyższych parametrów wyświetlić można poleceniem show interfaces. Ponieważ Pewność i Obciążenie są parametrami rzeczywistymi, zmieniającymi się w trakcie pracy interfejsu, oznaczałoby to również "ciągłą" zmianę metryk. Aby temu zapobiec, wprowadzono rozwiązanie, w którym parametry

W ramach zestawu można zdefiniować kilka kluczy, które mogą być stosowane w różnym czasie, niezależnie dla trybu wysyłania i odbierania danych. Poszczególne klucze przeglądane są kolejno (od najmniejszego numeru do największego), aż znaleziony zostanie ten, który można wykorzystać w danym czasie przy wysyłaniu (albo odbieraniu) pakietów RIP. Opcja infinite w poleceniach accept-lifetime i send-lifetime oznacza nieskończoną ważność klucza, począwszy od wskazanej daty. Innym rozwiązaniem jest podanie w powyższych poleceniach daty i czasu wygasania kluczy. Można też zadeklarować czas życia kluczy od wskazanej daty przez określoną liczbę sekund.

Czas Wartość

Update od 72 do 90 sekund

Invalid 270 sekund

Hold down 280 sekund

Flush 630 sekund

te wyznaczane są z dokładnością do 5 minut na podstawie średniej ważonej z odczytów wykonywanych co 5 sekund. Kompletny wzór, na podstawie którego wyznacza się metrykę ma postać:metryka = [k1*BWIGRP(min) + (k2*BWIGRP(min))/(256-LOAD) + k3*DLYIGRP(sum)] * [k5/RELIABILITY + k4]Zwróćmy uwagę na stosowane we wzorze stałe od k1 do k5. Jeżeli stała k5 przyjmuje wartość 0, ostatni składnik wzoru (nawias kwadratowy) nie jest w ogóle uwzględniany (wynik

mnożenia zawsze byłby zerowy). Domyślnie stała k1=k3=1, a pozostałe stałe mają wartość 0, co oznacza, że powyższy wzór przekształca się do następującego:metryka = BWIGRP(min) + DLYIGRP(sum)Składnik BWIGRP(min) oblicza się, dzieląc 107 przez najmniejszą Przepustowość na całej trasie, natomiast DLYIGRP(sum) jest sumą opóźnień wprowadzanych przez wszystkie interfejsy wyjściowe na całej trasie wyrażoną w dziesiątkach ms. Wyznaczymy teraz metrykę przykładowej trasy prowadzącej z routera A do sieci 5 za routerem D (patrz rys. obok).Najniższa przepustowość na trasie z routera A do sieci 5 wynosi 512 kb/s, stąd:BWIGRP(min) = 107/512 = 19531 orazDLYIGRP(sum) = 50000/10 = 5000, czyli metryka=19531+5000=24531Protokół IGRP konfigurujemy podobnie jak protokół RIP, za pomocą głównego polecenia konfiguracyjnego router oraz podkomend network, których znaczenie i działanie jest takie samo, jak w protokole RIP. Zasadniczą różnicą jest stosowanie opcji obszar w poleceniu router, wskazującej identyfikator obszaru autonomicznego, w tym wypadku zwanego również domeną routingu. W przeciwieństwie do protokołu RIP, routery pracujące z protokołem IGRP mogą zostać logicznie przydzielone do różnych obszarów, w ramach których wymieniane są informacje. Standardowo routery pracujące w dwu różnych obszarach nie wymieniają informacji o sieciach. W naszym przykładowym układzie czterech routerów połączonych w pętli (patrz str. 69), konfiguracja routera c2600 mogłaby być taka:c2600(config)#router IGRP 10

c2600(config-router)#network 131.107.0.0

c2600(config-router)#network 131.108.0.0

Wartości stałych od k1 do k5 można zmienić poleceniem metric weights tos k1 k2 k3 k4 k5

Konfiguracja pozostałych routerów będzie analogiczna. Założono, że wszystkie routery pracują w obszarze 10. Zawartość tabeli routingu wyświetlić można poleceniem show ip route:Gateway of last resort is not set

I 212.1.1.0/24 [100/80135] via 131.107.12.2, 00:00:21, Serial0/0

I 10.0.0.0/8 [100/80225] via 131.107.13.2, 00:00:22, Serial0/1

I 196.168.2.0/24 [100/82135] via 131.107.12.2, 00:00:22, Serial0/0

[100/82135] via 131.107.13.2, 00:00:22, Serial0/1

131.108.0.0/24 is subnetted, 1 subnets

C 131.108.1.0 is directly connected, Ethernet0/0

131.107.0.0/24 is subnetted, 4 subnets

I 131.107.10.0 [100/82125] via 131.107.13.2, 00:00:22, Serial0/1

I 131.107.11.0 [100/82125] via 131.107.12.2, 00:00:22, Serial0/0

C0 131.107.12.0 is directly connected, Serial0/0

C 131.107.13.0 is directly connected, Serial0/1

c2600#Ponownie wyświetlane są dwie trasy do sieci 196.168.2.0 z jednakową metryką 82135. Wiarygodność protokołu IGRP wynosi 100. Wyobraźmy sobie teraz, że na routerze c2600, w konfiguracji interfejsu Serial 0/0 zwiększono parametr Opóźnienie, wykonując komendę delay 160000 (wartość w dziesiątkach ms). Spowoduje to zwiększenie metryki prowadzącej do sieci 196.168.2.0 przez ten interfejs i po pewnym czasie trasa ta, jako gorsza, zostanie z tabeli routingu usunięta. Aktualny stan parametrów wpływających na metrykę wyświetlić można dla interfejsu S0/0 poleceniem show interfaces S0/0.Bardzo ciekawą cechą protokołu IGRP jest możliwość rozłożenia ruchu pakietów na kilka tras o różnych metrykach. W omawianym powyżej przykładzie trasa prowadząca do sieci 196.168.2.0 przez interfejs S0/0 została usunięta z tabeli routingu z powodu gorszej metryki. Jeśli jednak w konfiguracji protokołu IGRP na routerze c2600 zastosujemy polecenie variance zakres, w tabeli routingu oprócz trasy najlepszej pojawią się również te, których metryka nie będzie niższa niż iloczyn zakresu i najlepszej metryki. W naszym przykładzie najlepsza metryka trasy przez interfejs S0/1 wynosi 82135. Trasa przez interfejs S0/0 jest mniej niż 3 razy gorsza (zmieniono opóźnienie na 160000). Aby w tabeli routingu pojawiły się obie trasy, należy wykonać następujące polecenia:c2600(config)#router IGRP 10

c2600(config-router)#variance 3Skutek obserwujemy w poleceniu sh ip route:I 196.168.2.0/24 [100/240135] via 131.107.12.2, 00:00:16, Serial0/0

[100/82135] via 131.107.13.2, 00:00:16, Serial0/1

Jeżeli teraz na routerze c2600 włączone zostanie przełączanie pakiet po pakiecie (no ip route-cache), pakiety do sieci 196.168.2.0 rozdzielane będą między poszczególne interfejsy w stosunku 1 do 3 (wynika to ze stosunku metryk, a nie z komendy variance 3), co sprawdzić można po wydaniu polecenia debug ip packet. Polecenie variance 3 oznacza, że w tabeli routingu pojawią się też trasy z metryką dwa razy gorszą od najlepszej, ale nie cztery razy gorszą.

Poszczególne parametry pracy protokołu IGRP (także RIP, jeśli jest włączony) wyświetlić można poleceniem show ip protocol. Zwróćmy uwagę na parametry czasowe, wartości stałych od k1 do k5, dozwoloną rozpiętość sieci (100), ogłaszane do sąsiadów sieci (podane klasowo), adresy sąsiadów, od których odbierane są informacje:c2600#sh ip protocol

Routing Protocol is "igrp 10"

Sending updates every 90 seconds, next due in 9 seconds

Invalid after 270 seconds, hold down 280, flushed after 630

Outgoing update filter list for all interfaces is

Incoming update filter list for all interfaces is

Default networks flagged in outgoing updates

Default networks accepted from incoming updates

IGRP metric weight K1=1, K2=0, K3=1, K4=0, K5=0

IGRP maximum hopcount 100

IGRP maximum metric variance 3

Redistributing: igrp 10

Routing for Networks:

131.107.0.0

131.108.0.0

Routing Information Sources:

Gateway Distance Last Update

131.107.12.2 100 00:01:03

131.107.13.2 100 00:01:20

Distance: (default is 100)

Zapobieganie pętlom

Po przekroczeniu dozwolonej liczby skoków, dla określonej sieci ustawia się parametr DLYIGRP na wartość 0xFFFFFF, co oznacza, iż sieć jest nieosiągalna.

Zarówno w sieciach wykorzystujących protokół RIP, jak i tych pracujących z protokołem IGRP może zdarzyć się, że routery zaczną odsyłać do siebie nawzajem pakiety, sądząc, że ten drugi wie, jak dostarczyć pakiet do sieci docelowej. Jest to przypadek pętli, która oprócz układu dwu sąsiednich routerów może obejmować swoim zasięgiem także większe grupy routerów (są to pętle rozległe). Wprowadzono kilka mechanizmów zabezpieczających sieć przed powstawaniem pętli. Pierwszy z nich, nazywany dzieleniem horyzontu (split horizon) oznacza, iż router nie może ogłaszać przez konkretny interfejs sieci, których nauczył się przez ten interfejs. Tę regułę nazywamy także blokadą ogłaszania wstecznego albo zakazem "uczenia swojego nauczyciela". Na zamieszczonym powyżej rysunku router B otrzymuje od sąsiada ogłoszenie o sieci 13.0.0.0 przez interfejs S0. Router B nie może wysyłać informacji o sieci 13.0.0.0 z powrotem przez ten sam interfejs.Reguła dzielenia horyzontu jest domyślnie włączona w konfiguracji interfejsów. Po jej wyłączeniu można doprowadzić do powstania pętli między routerami, co zaobserwujemy w przykładowym układzie czterech routerów fizycznie połączonych w pętli z włączonym protokołem RIP. Aby wyłączyć regułę dzielenia horyzontu, w konfiguracji interfejsu należy wykonać komendę: no ip split-horizon. Skutek sprawdzamy w poleceniu sh ip int s0/0:Serial0/0 is up, line protocol is up

Internet address is 131.107.12.1/24

Split horizon is disabledDla naszego przykładowego scenariusza dzielenie horyzontu należy wyłączyć w obydwu interfejsach szeregowych routera c2600 oraz w interfejsie s0 routera A i s1 routera B (sąsiedzi routera c2600). Dodatkowo na routerze c2600 usuwamy adres IP z interfejsu Ethernet 0/0 (131.108.1.1), co spowoduje usunięcie informacji o sieci 131.108.1.0 z tablicy routingu routera c2600. W przypadku systemu operacyjnego 11.3 router c2600 nie informuje o tym fakcie swoich sąsiadów, którzy w efekcie przysyłają do niego informacje o sieci 131.108.0.0 ze zwiększoną metryką (równą 2). Router c2600 musi te informacje zaakceptować, gdyż nie ma innych, lepszych i sam ogłasza sieć 131.108.0.0 do sąsiadów, ponownie zwiększając liczbę skoków (3). Routery A i B również muszą to ogłoszenie zaakceptować (mimo że zwiększa się metryka), gdyż router c2600 jest oryginalnym nauczycielem, od którego dowiedziały się o sieci 131.108.0.0. Tak powstaje pętla, na skutek której pakiety do sieci 131.108.0.0 router c2600 kierować będzie do routera A, a router A odsyłać będzie do c2600. W kolejnych cyklach czasowych, sieć 131.108.0.0 jest ogłaszana z coraz większą metryką, co bardzo dobrze można zaobserwować po uruchomieniu procesu śledzenia deb ip RIP na routerze c2600:08:29:45: RIP: sending v1 update to 255.255.255.255 via Serial0/1 (131.107.13.1)

08:29:45: network 131.108.0.0, metric 9

08:29:47: RIP: received v1 update from 131.107.13.2 on Serial0/1

08:29:47: 131.108.0.0 in 10 hopsDla powyższych ogłoszeń zawartość tabeli routingu routera c2600 będzie następująca:R 131.108.0.0/16 [120/10] via 131.107.13.2, 00:00:01, Serial0/1

Pętle rozległe powstające w większej grupie routerów eliminuje się poprzez regułę dzielenia horyzontu z zatruwaniem wstecznym (split horizon with poisoned reverse). W przeciwieństwie do zwykłej reguły dzielenia horyzontu, tym razem zezwala się na ogłaszanie wsteczne, ale tylko w bardzo specyficznych sytuacjach. Wyobraźmy sobie parę routerów, w której router A regularnie ogłasza do routera B pewną sieć, za każdym jednak razem zwiększając metrykę tej trasy (co może być

skutkiem powstania pętli w innej części sieci). Router B "zgadza się" na pierwsze podniesienie metryki przez router A, ale przy kolejnym ogłoszeniu z ponownie większą metryką router B "domyśla się", iż w sieci powstała pętla i "zatruwa" trasę poprzez wysłanie ogłoszenia z powrotem do routera A, ale z metryką oznaczającą sieć nieosiągalną (16 dla protokołu RIP).Powróćmy teraz do scenariusza omawianego powyżej, w którym wyłączono dzielenie horyzontu między routerem c2600 i jego sąsiadami (między tymi routerami automatycznie wyłączone jest też zatruwanie wsteczne). W tym scenariuszu doprowadziliśmy do powstania pętli między routerem c2600 i jego sąsiadami, a skutek tego przenosi się również na router C. Między routerem A i C włączone jest dzielenie horyzontu oraz zatruwanie wsteczne. Router A zaczyna ogłaszać sieć 131.108.0.0 do routera C z coraz większą metryką. Przy drugim podniesieniu metryki router C zatruwa trasę do sieci 131.108.0.0, wysyłając do routera A ogłoszenie z metryką 16. Router A otrzymuje więc informację, że do sieci 131.108.0.0 na pewno nie można pójść przez router C:08:34:49: RIP: sending v1 update to 255.255.255.255 via Serial1 (131.107.11.2)

08:34:49: RIP: build update entries

08:34:49: network 131.108.0.0 metric 16Kolejny mechanizm, którego celem jest przyspieszenie aktualizacji tabel routingu, to tzw. aktualizacja wymuszona (triggered update). Niezależnie od regularnych czasów aktualizacji (około 30 sekund dla protokołu RIP) router wysyła natychmiastowo do swoich sąsiadów informacje o sieci, dla której zmieniła się metryka (na lepszą bądź gorszą). Aktualizacja wymuszona przesyła tylko tę sieć, dla której zmieniła się metryka, a nie całą tabelę routingu, nie zakłóca też terminarza aktualizacji regularnych.Przykładem aktualizacji wymuszonej jest włączenie polecenia shutdown w konfiguracji interfejsu. Sieć IP tego interfejsu jest natychmiastowo usuwana z tabeli routingu, a do sąsiadów wysyłane jest ogłoszenie, iż sieć ta jest nieosiągalna. W zależności od systemu operacyjnego ogłaszana sieć zostanie od razu usunięta z tabeli routingu innych routerów bądź ustawiona w tryb przytrzymywania (hold down). Pamiętajmy, że usunięcie

W przypadku protokołu RIP pętla dla sieci 131.108.0.0 automatycznie się skończy po przekroczeniu dozwolonej liczby skoków (15), gdyż sieć ta zostanie oznaczona jako nieosiągalna (z metryką równą 16).

adresu IP z interfejsu routera z systemem operacyjnym 11.3 nie powoduje aktualizacji wymuszonej (w wersji 12.0 już tak).

Redystrybucja danych routingu

Proces redystrybucji danych o routingu między różnymi źródłami informacji najczęściej konfiguruje się w środowisku, w którym uruchomione są różne protokoły routingu dynamicznego. Jego celem jest przekazanie informacji o sieciach zebranych w ramach jednego protokołu do innego protokołu routingu dynamicznego. Można sobie wyobrazić rozbudowaną sieć, w której część urządzeń pracuje z wykorzystaniem protokołu RIP, a pozostała część korzysta z protokołu IGRP. Dzięki redystrybucji wszystkie routery będą posiadały informacje o wszystkich segmentach sieci.Specyficzną odmianą procesu redystrybucji jest rozgłaszanie tras statycznych przy wykorzystaniu protokołu routingu dynamicznego. Poprzez redystrybucję realizuje się także wymianę danych między różnymi obszarami w ramach protokołu IGRP. Podstawowym problemem przy przekazywaniu informacji z jednego źródła do innego jest zmiana metryki. Nie można bowiem przenieść tras z protokołu RIP, gdzie metryka to liczba skoków mniejsza niż 16, do protokołu IGRP, w którym koszt trasy wyznaczany jest według zupełnie innych kryteriów. W trakcie konfigurowania procesu redystrybucji w ramach określonego protokołu routingu dynamicznego należy podać wartość metryki, jaką będą otrzymywały wszystkie pobierane z innego źródła trasy. Prześledzimy teraz scenariusz, w którym router c2600 będzie realizował redystrybucję między protokołem RIP oraz IGRP (patrz rysunek).

Przykład redystrybucji między RIP a IGRP

Sieć z lewej strony routera c2600 (interfejs S0/0 oraz router A) korzysta z protokołu RIP, sieć z prawej strony (interfejs S0/1 oraz router B) stosuje protokół IGRP. Redystrybucję włącza się na routerze brzegowym dla kilku źródeł informacji; w tym wypadku jest to router c2600, na którym uruchomiono zarówno protokół RIP, jak i IGRP. Podstawowym poleceniem konfiguracyjnym jest komenda redistribute parametr wykonywana wewnątrz procesu, do którego dane pobierane są z zewnętrznego źródła wskazanego jako parametr. Przykładowa konfiguracja routera c2600 mogłaby być następująca:c2600(config)#router rip

c2600(config-router)#redistribute igrp 10 metric 5

c2600(config-router)#passive-interface Serial 0/1

c2600(config-router)#network 131.107.0.0

c2600(config)#router igrp 10

c2600(config-router)#redistribute rip

c2600(config-router)#default-metric 1000 100 255 1 1500

c2600(config-router)#passive-interface Serial 0/0

c2600(config-router)#network 131.107.0.0Zwróćmy uwagę na dwa sposoby określania metryki dla pobieranych tras. Metrykę można zdefiniować, stosując opcję metric w komendzie redistribute. W powyższym przykładzie trasy pobierane do protokołu RIP z obszaru 10 protokołu IGRP będą miały metrykę 5. Można także zdefiniować domyślną metrykę dla wszystkich poleceń redistribute, stosując komendę default-metric z odpowiednimi parametrami. W powyższym przykładzie polecenie default-metric wymagało aż pięciu parametrów, z których liczona jest metryka w protokole IGRP (Przepustowość, Opóźnienie, Pewność, Obciążenie, MTU). Dla protokołu RIP wymagany jest tylko jeden parametr - liczba skoków. Polecenie passive-interface blokuje ogłaszanie danego protokołu przez wskazany interfejs. Gdybyśmy dodatkowo chcieli w ramach protokołu RIP ogłaszać trasy statycznie wpisane do tabeli routingu routera c2600, należałoby wykonać następujące polecenie:c2600(config)#router rip

c2600(config-router)#redistribute static metric 5Na zakończenie skonfigurujmy redystrybucję między dwoma obszarami protokołu IGRP pokazanymi na rysunku. Ponieważ tym razem redystrybucja dotyczy tego samego protokołu, nie występuje tutaj problem zmiany metryki.

Przykład redystrybucji między dwoma obszarami IGRP

Konfiguracja routera c2600 będzie następująca:c2600(config)#router igrp 10

c2600(config-router)#redistribute igrp 20

c2600(config)#router igrp 20

c2600(config-router)#redistribute igrp 10* * *

 Następny artykuł dotyczyć będzie filtrowania ruchu przechodzącego przez router, przy wykorzystaniu list dostępu.

Listy dostępuAutor: Waldemar Pierścionek

Listy dostępu nie dają wprawdzie możliwości porównywalnych do specjalizowanych zabezpieczeń sieciowych, pozwalają jednak na wstępną kontrolę i ograniczenie ruchu w sieci TCP/IP.

Każdy system operacyjny routerów Cisco ma wbudowany mechanizm filtrowania ruchu poprzez listy dostępu. Filtrowanie pakietów jest jedną z podstawowych metod zabezpieczenia i ograniczenia ruchu w sieci. Mechanizm ten pozwala określić, z jakiej sieci źródłowej do jakiej sieci docelowej może odbywać się komunikacja, a także wskazać typ pakietów oraz aplikacji występujących na danym połączeniu. Pojęcie list dostępu nie jest jednak tożsame z filtrowaniem pakietów przez router. Jest to zestaw kryteriów, na podstawie których odpowiednie procesy routera podejmują decyzję, co zrobić z pakietami danego typu. Ta decyzja musi być jednoznaczna, sprowadza się ona do wyboru między dwoma stanami: zgoda na przetworzenie pakietu (allow) lub odmowa (deny). Listy dostępu znalazły zastosowanie w takich elementach konfiguracyjnych routera, jak:

Ustalenie priorytetów i kolejkowanie ruchu na interfejsach routera. Procesy te pozwalają administratorowi wskazać kolejność przetwarzania pakietów na poszczególnych interfejsach oraz umożliwiają zrównoważenie ruchu w sieci.

Ograniczenie zawartości uaktualnień tras wysyłanych przez protokoły routingu dynamicznego. To ograniczenie może również dotyczyć uaktualniania tablicy routingu przez router odbierający ogłoszenia tras. Proces ten nazywany jest również filtrowaniem tablicy routingu.

Określenie pakietów, które spowodują zainicjowanie dodzwanianego połączenia DDR (Demand Dial Routing) z innym urządzeniem w sieci rozległej.

Wskazanie ruchu, który ma być dodatkowo zabezpieczony, np. uwierzytelniany lub szyfrowany specjalizowanymi procesami w rodzaju protokołu IPSec.

Opisanie ograniczeń dostępu do routera poprzez wirtualne linie terminalowe, czyli poprzez telnet.

Listy dostępu są więc podstawą do konfiguracji wielu procesów związanych nie tylko z bezpieczeństwem sieci. W tym artykule skupimy się na listach dostępu potrzebnych do zarządzania ruchem IP.

Analiza list dostępu

Router przetwarza sekwencyjnie kolejne warunki zapisane na liście dostępu. Listy dostępu są zapisem kryteriów dotyczących typu i kierunku ruchu pakietów, istotne jest więc, z jakiej perspektywy i w jakiej kolejności kryteria te będą brane pod uwagę. Przetwarzanie ich jest sekwencyjne (p. rysunek) - router analizuje jeden warunek po drugim, porównując nagłówek pakietu ze wzorcem zapisanym w liście dostępu. Jeżeli są one zgodne,

to na podstawie informacji w danym wzorcu (permit lub deny) pakiet jest przekazywany do kolejnego procesu lub odrzucany, w przeciwnym razie sprawdzane są następne warunki aż do wyczerpania listy. Spełnienie warunku umieszczonego wyżej na liście zamyka proces sprawdzania, warunek ten decyduje więc o odrzuceniu lub akceptacji pakietu niezależnie od tego, czy pakiet spełniłby następne warunki.Kolejność zapisów w listach dostępu ma więc zasadnicze znaczenie, możemy jednym wpisem zablokować wszystkie pakiety. W każdej liście dostępu, niezależnie od jej typu, występuje końcowy i ostateczny warunek, który odrzuca wszystkie pakiety. Jeżeli pakiet nie spełni żadnego z jawnie zadeklarowanych przez administratora warunków, to zostanie odrzucony - reguła ta nazwana jest implicit deny any (niejawne odrzucenie wszystkiego). Przy konstruowaniu listy dostępu należy więc mieć na uwadze dwa elementy: kolejność kryteriów oraz warunek ostateczny, który odrzuca wszystkie pakiety. Zarządzanie ruchem dotyczy zazwyczaj konkretnego interfejsu routera (przyłączonego do sieci lokalnej lub rozległej) i kierunku ruchu - ważne jest więc, z którym interfejsem routera skojarzymy listę dostępu oraz czy filtrowanie ma działać na wejściu czy na wyjściu interfejsu. Jeżeli lista dostępu została zadeklarowana na wejściu (in), to konfiguracja interfejsu "wejściowego" sprawdzana jest przed przystąpieniem do jakiegokolwiek przetwarzania. Natomiast jeżeli lista dostępu została przypisana do wyjścia (out) przez dany interfejs, to pakiet zostanie przetworzony zgodnie z następującą kolejnością (p. rysunek): router sprawdzi w tablicy routingu, przez który interfejs należy dany pakiet skierować - jeżeli do interfejsu nie została przypisana lista dostępu, pakiet umieszczany jest w buforze tego interfejsu; jeżeli zaś taka lista istnieje, to pakiet jest poddawany sprawdzeniu przed skierowaniem go do interfejsu.

Wejściowa lista dostępu Wyjściowa lista dostępuWażnym elementem przy konstruowaniu list dostępu jest sposób adresowania stosowany przy opisywaniu warunków. Router posługuje się bardzo specyficznymi oznaczeniami hostów i sieci za pomocą tzw. maski wzorca, nazywanej również "dziką maską" (wildcard mask). Najogólniej mówiąc, jest to zapis maski, w którym bit ustawiony na 0 nakazuje porównanie odpowiadającego mu bitu w analizowanym pakiecie z adresem umieszczonym w warunku, natomiast przy bicie ustawionym na 1 dany bit w pakiecie nie jest sprawdzany ze wzorcem, a więc może być dowolny. Wyobraźmy sobie sytuację, w której interesuje nas pakiet kierowany do konkretnego hosta o adresie IP 131.108.1.100. Wówczas maska wzorca w liście dostępu miałaby wartość 0.0.0.0, a opis hosta w warunku listy dostępu miałby postać 131.108.1.100 0.0.0.0. Natomiast dowolny adres w podsieci 131.108.1.0 możemy opisać jako 131.108.1.0 0.0.0.255, co oznacza, że tylko bity ostatniego bajtu adresu w pakietach IP nie będą sprawdzane ze wzorcem. Dowolnego adresata w sieci IP można wskazać, posługując się zapisem 0.0.0.0 255.255.255.255, z którego wynika, że nie interesuje nas żaden z 32 bitów adresu IP pakietów analizowanych przez router. Gdy stosujemy podsieci, musimy uważnie wyliczyć, ile bitów można zignorować przy porównywaniu ze wzorcem, a ile dokładnie musi mu odpowiadać. Wyobraźmy sobie, iż chcemy objąć naszym warunkiem każdego adresata w podsieci 192.168.1.64/27 - podsieć ta jest utworzona na 3 bitach ostatniego bajtu i to one wyróżniają hosty z danej podsieci. Maska wzorca musi więc powodować sprawdzenie pierwszych trzech bitów ostatniego bajtu w nadesłanych pakietach IP, a pozostałe 5 bitów może być dowolne:zapis podsieci 192.168.1.64/27ostatni oktet - zgodnie z maską podsieci 0 1 0 0 0 0 0 0maska wzorca - ostatni oktet 0 0 0 1 1 1 1 1 = 31zapis adresu podsieci w liście dostępu 192.168.1.64 0.0.0.31

Jeżeli z powodu konfiguracji warunków pakiet nie może być przesłany do sieci docelowej, router wysyła do nadawcy komunikat ICMP Destination net unreachable. Dotyczy to zarówno wejściowej, jak i wyjściowej listy dostępu.

Często dla uproszczenia zapisu warunków list dostępu stosowane są tzw. ukryte maski wzorca, które pozwalają na wskazanie dowolnego adresu (any) lub konkretnego adresata (host). Na przykład host o adresie 131.108.1.100 można wskazać zapisem 131.108.1.100 0.0.0.0 lub też: host 131.108.1.100.Listy dostępu identyfikowane są poprzez unikatowy numer, który wyróżnia je w całej konfiguracji routera. Wskazuje on jednoznacznie listę dostępu, jej typ oraz protokół, którego ona dotyczy. Zakresy tych numerów są z góry określone, więc posługiwanie się nimi będzie głównie zależeć od tego, jaki ruch chcemy filtrować. Zakres obsługiwanych list dostępu jest różny w zależności od wersji systemu operacyjnego routera; w modelu 2600 z systemem operacyjnym 12.0 w wersji Enterprise jest taki, jak w tabelce obok.

Standardowe listy dostępu

Listy standardowe są proste w konfiguracji, nie mają jednak zbyt wielu możliwości zaawansowanej analizy pakietów. Podczas konfiguracji warunków jedynym kryterium wyboru pakietu jest adres źródłowy (adres nadawcy). Standardową listę dostępu tworzymy poleceniem trybu konfiguracyjego:C2600(config)#access-list numer_listy_dostępu {permit|deny}

adres_źródłowy_pakietu maska_wzorca logNumer listy dostępu to wartość z przedziału od 1 do 99 (dla IP), natomiast adres źródłowy pakietu w połączeniu z maską wzorca jest zapisem adresu hosta lub sieci nadawcy. Proszę zwrócić uwagę na to, że w standardowej liście dostępu jedynie numer listy pozwala wskazać routerowi, które pakiety nas interesują. Lista ta nie odróżnia ruchu związanego z protokołem TCP czy UDP, nie wspominając już o typach aplikacji. Każdy kolejny warunek, który chcemy dopisać do listy dostępu musi zawierać ten sam numer listy, bardzo ważna jest kolejność warunków podawanych poleceniem access-list, ponieważ w takiej kolejności będą one analizowane. Opcja log spowoduje wysłanie komunikatu dla każdego pakietu dopasowanego do wzorca, korzystanie z niej nie jest zalecane podczas normalnej pracy routera ze względu na duże obciążenie procesora. Listę dostępu przypisujemy do wybranego interfejsu poleceniem trybu konfiguracji interfejsu:C2600(config-if)#ip access-group numer_listy_dostępu {in|out}Polecenie to dotyczy filtrowania pakietów na poziomie danego interfejsu i - tak jak wspominaliśmy - jest jednym z wariantów wykorzystania list dostępu. Oprócz podania numeru listy, którą chcemy skojarzyć z danym

Typ list dostępu Zakres numerów

IP Standard 1 - 99

IP Rozszerzona 100 - 199

Określana na podstawie kodu protokołu 200 - 299

DECnet 300 - 399

XNS Standard 400 - 499

XNS Rozszerzona 500 - 599

AppleTalk 600 - 699

MAC Address 700 - 799

IPX Standard 800 - 899

IPX Rozszerzona 900 - 999

IPX SAP 1000 - 1099

MAC Address Rozszerzona 1100 - 1199

interfejsem, określamy tryb, w jakim lista ma być analizowana: na wejściu (in) czy na wyjściu pakietu z interfejsu (out). Domyślnie dla systemu 11.3 przyjmowana jest

opcja out, natomiast wersja 12.0 wymaga podania jawnie opcji out lub in.Prześledźmy konfigurację listy standardowej na przykładzie routera z dostępem do dwóch sieci lokalnych i sieci rozległej (p. rysunek). Chcemy zabronić komputerowi o adresie 131.107.1.100 korzystania z sieci rozległej (np. z Internetu), lecz nie chcemy blokować mu dostępu do serwera znajdującego się w innej sieci lokalnej.Zastanówmy się najpierw, gdzie najlepiej umieścić listę dostępu - jej lokalizacja i budowa będą decydować o skuteczności naszej konfiguracji. Lista standardowa obejmuje jedynie adres nadawcy pakietu, więc nie możemy przypisać takiej listy do konfiguracji interfejsu E0, ponieważ to zablokowałoby nie tylko dostęp do zasobów sieci rozległej, lecz również do sieci lokalnej 131.108.1.0 - na tym poziomie router wie, od kogo jest pakiet, ale nie wie, do kogo jest kierowany. W tym przypadku naszą listę dostępu najlepiej jest przypisać do wyjścia (out) interfejsu S0, czyli do granicy sieci lokalnych. W trybie konfiguracji wydajemy polecenie:C2600(config)#access-list 1 deny 131.107.1.100 0.0.0.0lub w postaci skróconej:C2600(config)#access-list 1 deny host 131.107.1.100Tak zakończona lista spowodowałaby, iż żaden komputer z obu sieci lokalnych nie mógłby korzystać z Internetu, ponieważ każda lista zawiera niejawny warunek odrzucający wszystko (deny any). Potrzebne są więc dodatkowe warunki:C2600(config)#access-list 1 permit 131.107.1.0 0.0.0.255

C2600(config)#access-list 1 permit 131.108.1.0 0.0.0.255lub w skrócie:C2600(config)#access-list 1 permit anyTego rodzaju zapis nie jest wcale dla nas groźny. Pierwszy warunek określa adres hosta (131.107.1.100) i zabrania mu dostępu; ponieważ wszystkie pozostałe hosty nie spełniają tego warunku, będą podlegać regule zezwalającej na dostęp. Tak przygotowaną listę możemy przypisać do interfejsu S0:C2600(config-if)ip access-group 1 outW konfiguracji routera C2600 zobaczymy:!

Interface Serial 0

ip address 212.1.1.1 255.255.255.0

ip access-group 1 out

!

access-list 1 deny host 131.107.1.100

access-list 1 permit 131.107.1.0 0.0.0.255

access-list 1 permit 131.108.1.0 0.0.0.255Zmodyfikujmy teraz nasze zadanie: chcemy dać dostęp do Internetu tylko komputerom z sieci 131.108.1.0, a komputerom z sieci 131.107.1.0 chcemy - ze względów

bezpieczeństwa - umożliwić korzystanie tylko z usług (np. FTP) serwera o adresie 131.108.1.254. Na routerze c2600 wykonujemy polecenia:c2600(config)#access-list 1

permit 131.108.1.0 0.0.0.255

c2600(config)#access-list 2

permit host 131.108.1.254

c2600(config)#interface S0

c2600(config-if)#ip access-group 1 out

c2600(config-if)#interface E0

c2600(config-if)#ip access-group 2 outLista dostępu 1 pozwala na dostęp tylko nadawcom z sieci 131.108.1.0, co dla pakietów wysyłanych przez interfejs S0 jest wystarczające (pamiętajmy o ukrytej zasadzie deny any). Trudniejsze zadanie dotyczy sieci 131.107.1.0 - nie możemy w liście standardowej podać adresu docelowego (131.108.1.254), musimy więc prześledzić drogę pakietów IP. Jeżeli dowolny host z sieci 131.107.1.0 wyśle pakiet na adres 131.108.1.254, to router przy takiej konfiguracji nie ma podstaw, aby ten pakiet odrzucić. Co więcej, gdy pakiet z sieci 131.107.1.0 przesyłany jest na dowolny adres w sieci 131.108.1.0, router nie ma prawa zareagować. Ale gdy po otrzymaniu takiego pakietu odbiorca próbuje odesłać go do pierwotnego nadawcy (do sieci 131.107.1.0), router wstrzyma transmisję wszystkich pakietów zwrotnych do momentu, gdy nadawcą (odpowiadającym) będzie serwer o adresie 131.108.1.254, ponieważ reguła skojarzona z interfejsem E0 pozwala na wysłanie tylko takiego pakietu przez ten interfejs. Zwróćmy uwagę na to, że filtrowanie to zostało zrealizowane poprzez utworzenie dwóch niezależnych, standardowych list dostępu. Przy korzystaniu z nich należy jednak pamiętać o zasadzie, która pozwala na wykorzystanie w ramach jednego interfejsu TYLKO jednej listy dostępu związanej z określonym protokołem.Podczas konfigurowania list dostępu należy pamiętać, iż każdy nowy warunek dopisywany jest na końcu listy, a zmiana kolejności warunków związana jest z utworzeniem nowej listy w prawidłowej kolejności. Również podczas próby usunięcia konkretnego warunku (np. poleceniem no ip access-list 1 permit 131.108.1.254) usunięta zostanie cała lista wraz ze wszystkimi warunkami w niej zdefiniowanymi, natomiast polecenie ip access-group pozostanie w konfiguracji interfejsu. Co prawda brak w

Nie jest możliwe przypisanie do jednego interfejsu dwóch list (standardowych bądź rozszerzonych) lub jednej listy standardowej i jednej rozszerzonej dla danego protokołu.

konfiguracji listy o podanym numerze nie skutkuje podjęciem jakiegokolwiek działania w wyniku polecenia ip access-group, lecz pojawienie się listy o tym numerze spowoduje natychmiastowe filtrowanie pakietów zgodnie z nowymi kryteriami.W obu tych przypadkach praktycznym rozwiązaniem jest zapisanie konfiguracji na serwerze TFTP i edycja pliku w celu uzyskania założonego efektu. Należy jednak pamiętać o tym, iż zmiana kolejności w warunkach listy dostępu w pliku konfiguracyjnym nie zostanie uwzględniona przy wczytaniu jej do routera. Jeżeli chcemy zachować listę dostępu z nową kolejnością warunków, musimy dopisać na początku listy nowy wiersz no access-list, podając numer naszej listy, wówczas router podczas interpretacji skryptu usunie istniejącą listę i utworzy ją na nowo w podanej kolejności warunków.

Rozszerzone listy dostępu

Jak wynika z wcześniejszych przykładów, możliwości list standardowych są ograniczone, a ich wprowadzenie może spowodować pewną nadmiarowość ruchu w sieci. Listy rozszerzone dają większe możliwości wyboru ruchu, który chcemy filtrować. Dzięki zastosowaniu maski wzorca możemy wskazać konkretny adres nadawcy i odbiorcy, całą sieć, podsieć lub wszystkich potencjalnych nadawców i odbiorców. Nowym rozwiązaniem w stosunku do list standardowych jest możliwość określenia protokołu, którego dotyczyć ma warunek. W listach standardowych numer listy informował router, że chodzi nam o cały ruch TCP/IP, natomiast w listach rozszerzonych dla stosu TCP/IP (numery od 100 do 199) istnieje możliwość wskazania zarówno protokołu IP jako podstawy do kontroli ruchu, jak również protokołu TCP, UDP, ICMP, IGMP, IGRP, OSPF i wielu innych, w zależności od systemu operacyjnego routera. Podczas konfiguracji listy dla protokołów TCP bądź UDP możemy też wybrać numery portów - kierowane do nich pakiety zostaną poddane filtrowaniu. Konstrukcja warunków dla listy rozszerzonej musi być wykonywana rozważniej i precyzyjniej, ponieważ nieznajomość budowy stosu TCP/IP lub sposobu działania poszczególnych protokołów może w znacznym stopniu utrudnić nam zadanie. Listę rozszerzoną tworzymy poleceniem:C2600(config)#access-list numer_listy {permit|deny}

protokół adres_źródłowy [operator port]

adres_docelowy [operator port] [established] [log]Adres źródłowy i adres docelowy konstruowany jest tak, jak w listach standardowych (adres hosta lub sieci i maska wzorca), możemy korzystać ze słów kluczowych host i any. Postać komendy access-list zależy od protokołu, którego dotyczy dany warunek. W przypadku protokołów warstwy transportowej (TCP czy UDP) możemy posłużyć się operatorem pozwalającym na wskazanie portów: Lt - mniejsze od, Gt - większe od, Eq - równe, Neq - różne od. Opcja established ma zastosowanie tylko dla protokołu TCP i dotyczy segmentów, w których został ustawiony bit synchronizacji (SYN) podczas zestawiania sesji TCP. Listę dostępu przypisujemy do wybranego interfejsu poleceniem (w trybie konfiguracji

interfejsu) ip access-group numer_listy {in | out}.Ponownie posłużmy się przykładowym układem złożonym z routera C2600, dwóch segmentów

sieci lokalnej i sieci rozległej (p. rysunek). Naszym celem jest zablokowanie dostępu do usług FTP i telnet na serwerze 131.108.1.254 wszystkim klientom. Nie chcemy jednak ograniczać ruchu pomiędzy sieciami lokalnymi a siecią rozległą. Zarówno telnet (port 23), jak i FTP (port 20,21) korzystają z protokołu TCP, więc to jego będzie dotyczyć lista dostępu:C2600(config)#access-list 101 deny

tcp any host 131.108.1.254 eq 23

C2600(config)#access-list 101 deny

tcp any host 131.108.1.254 eq 21Zwróćmy uwagę na sposób określenia usługi, czyli numeru portu, z którym jest ona związana. Za pomocą operatora eq (równy), zadeklarowaliśmy, że chcemy odrzucić wszystkie segmenty TCP od dowolnego nadawcy (any) kierowane na adres serwera (host 131.108.1.254), związane z portem TCP numer 23 i 21. Usługa FTP korzysta z dwóch portów TCP: 20 -

do przesyłania danych i 21 - do zestawienia sesji FTP, wystarczy więc zablokować port 21. Tak zbudowana lista zablokuje dostęp nie tylko do usług FTP i telnet, ale również do wszystkich hostów i serwera w sieci 131.108.1.0 (listy rozszerzone zawierają niejawny warunek deny any any), musimy więc dopisać warunek zezwalający na komunikację z siecią 131.108.1.0:C2600(config)#access-list 101 permit ip any anyTym razem jako protokół wskazaliśmy IP, zezwalając na obsługę pakietów między dowolnymi hostami źródłowymi i docelowymi. Wpisanie protokołu IP pozwala na objęcie warunkiem wszystkich protokołów, które stosują pakiety IP, a więc całego ruchu w sieci TCP/IP. Jest to często stosowane rozwiązanie, którym należy posługiwać się bardzo rozważnie. Po utworzeniu listy dostępu, w konfiguracji interfejsu E0/1 wydajemy polecenie włączające proces filtrowania pakietów na wyjściu zgodnie z kryteriami listy rozszerzonej 101:C2600(config-if)#ip access-group 101 outSpróbujmy teraz zablokować dostęp z sieci rozległej do zasobów sieci lokalnych z wyjątkiem usług DNS, WWW i FTP zlokalizowanych na serwerze 131.108.1.254. Dodatkowym wymogiem jest to, aby klienci z sieci lokalnej 131.107.1.0 mogli korzystać ze wszystkich zasobów sieci 131.108.1.0 oprócz serwera 131.108.1.254, który jest przeznaczony dla użytkowników sieci rozległej:C2600(config)#access-list 111 permit

tcp any host 131.108.1.254 eq www

C2600(config)#access-list 111 permit

tcp any host 131.108.1.254 eq ftp

C2600(config)#access-list 111 permit

tcp any host 131.108.1.254 eq ftp-data

C2600(config)#access-list 111 permit

tcp any host 131.108.1.254 eq domain

C2600(config)#access-list 111 permit udp any host 131.108.1.254 eq domain

C2600(config)#access-list 112 deny ip 131.107.1.0 0.0.0.255 host 131.108.1.254

C2600(config)#access-list 112 permit ip any any

C2600(config)#interface S0/0

C2600(config-if)#ip access-group 111 in

C2600(config)interface E0/0

C2600(config-if)#ip access-group 112 inProszę zwrócić uwagę na konstrukcję listy 111, która ma zezwolić na dostęp tylko do wybranych usług - ich nazwy podane są po operatorze eq zamiast numerów portów (listę z numerami dobrze znanych portów można wyświetlić, wywołując system pomocy). W przypadku usługi DNS (domain) podaliśmy dwa numery portów: 53 dla TCP i 53 dla UDP. Ukryty warunek deny any any powinien skutecznie zablokować pozostałą komunikację. Skoro listą 111 posłużymy się podczas filtrowania pakietów wejściowych dla interfejsu S0/0, to możemy zabezpieczyć dostęp nie tylko do sieci lokalnej, w której znajduje się serwer, ale też do sieci 131.107.1.0, co również było naszym celem. Lista 112 została tak skonstruowana, że można ją wykorzystać w konfiguracji interfejsu zarówno E0/0, jak i E0/1. Praktyczniej jest jednak podać ją na wejściu interfejsu E0/0, wówczas pakiet będzie jedynie sprawdzany z listą dostępu, bez angażowania routera w proces przeglądania tablicy routingu - filtrowanie będzie lepiej zorganizowane, ponieważ odrzuci niepowołane pakiety już na początku ich drogi.Listy dostępu wyświetlić możemy poleceniem show access-lists (wszystkie protokoły) lub show ip access-lists (tylko listy związane z protokołem TCP/IP):

W trakcie tworzenia list dostępu należy pamiętać o usługach, z których mogą korzystać routery Cisco (np. RADIUS czy TACACS) i nie blokować portów koniecznych do ich poprawnej pracy.

Nie ma możliwości zablokowania listą dostępu ruchu generowanego przez wewnętrzne procesy routera. Dla przykładu wysłanie pakietów ICMP poleceniem ping wykonywanym z poziomu routera Cisco nie zostanie zablokowane pomimo listy obejmującej cały ruch IP dla dowolnego nadawcy i odbiorcy na wyjściu z interfejsu.

c2600#sh ip access-lists

Extended IP access list 111

permit tcp any host 131.108.1.254 eq www (127 matches)

permit tcp any host 131.108.1.254 eq ftp (9 matches)

permit tcp any host 131.108.1.254 eq ftp-data (9 matches)

permit tcp any host 131.108.1.254 eq domain (33 matches)

permit udp any host 131.108.1.254 eq domain

Extended IP access list 112

deny ip 131.107.1.0 0.0.0.255 host 131.108.1.254

permit ip any any (831 matches)Każdy przypadek zgodności przetworzonego pakietu z warunkiem opisanym w liście dostępu jest rejestrowany - na przykład 127 pakietów zostało skierowanych do usługi WWW na serwerze 131.108.1.254 od momentu założenia filtru. Po wyłączeniu filtrowania liczniki te nie są zerowane, przed ponownym włączeniem filtrowania ruchu można wyzerować je wszystkie poleceniem clear access-list counters lub wpisać po słowie counters numer wybranej listy. Polecenie show ip interfaces pozwala sprawdzić, czy włączone jest filtrowanie.Jednym z najczęściej spotykanych ataków na sieć jest wykorzystywanie właściwości protokołów i usług sieciowych w celu dodatkowego obciążenia systemu operacyjnego i w rezultacie spowolnienia, a nawet zawieszenia jego pracy - przykładem jest rozpoczynanie w krótkim okresie czasu wielu sesji TCP. Rozszerzone listy dostępu umożliwiają zabezpieczenie sieci przed tą "pozorną komunikacją". Prześledźmy to na prostym przykładzie (p. rysunek). Chcemy, by router zezwolił jedynie na przesyłanie wiadomości do serwera pocztowego, zabezpieczając przy tym sieć lokalną przed nawiązywaniem jakichkolwiek sesji TCP z zewnątrz. Procedura nawiązywania sesji TCP (three-way handshake - potrójne podanie ręki) rozpoczyna się od ustawienia przez nadawcę pakietu bitu synchronizacji (SYN) rozpoczynającego sesję, następnie odbiorca potwierdza otrzymanie pakietu (bit ACK) oraz inicjuje zestawienie sesji (bit SYN), a w ostatniej fazie nadawca odsyła potwierdzenie, ustawiając bit ACK. Cała sekwencja polega więc w skrócie na ustawianiu na przemian bitów SYN- >ACK. Nakazując filtrowanie nagłówka TCP z ustawionym tylko bitem SYN możemy zabezpieczyć się przed próbą zestawienia sesji z zewnątrz i pozwolić jedynie na obsługę sesji już ustanowionych (opcja established):

C2600(config)#access-list 105 permit

tcp any host 131.108.1.254 eq smtp

C2600(config)#access-list 105 permit

tcp any any established

C2600(config)#access-list 105 deny tcp any any

C2600(config)#access-list 105 permit ip any any

C2600(config)#interface S0/0

C2600(config-if)#ip access-group 105 inProszę zwrócić uwagę na to, że ta konfiguracja nie blokuje sesji zestawianych z sieci wewnętrznej, ponieważ komputery będą wprawdzie otrzymywać ustawiony bit SYN w nagłówku TCP, lecz łącznie z bitem ACK, czyli potwierdzeniem. Operatory list rozszerzonych są na tyle elastyczne, iż pozwalają na filtrowanie nie tylko bitu SYN, ale również pozostałych znaczników (bitów flagowych) nagłówka TCP (URG, PSH czy FIN), zakresu portów (opcja range - np. range 1 1024) oraz pól nagłówków protokołu IP (np. TOS - Type of Service czy znaczników fragmentacji).Oprócz protokołów IP, TCP i UDP bardzo często w praktyce stosowane jest filtrowanie innych protokołów, takich jak ICMP czy IGMP. Dla przykładu, lista rozszerzona dla protokołu ICMP ma składnię:C2600(config)#access-list numer_listy {permit|deny} icmp adres_źródłowy

adres_docelowy [typ_icmp [kod_icmp] | komunikat_icmp]Wyobraźmy sobie, że chcemy zablokować wysyłanie odpowiedzi do programu ping. W takim przypadku musimy wskazać odpowiedni typ komunikatu ICMP, wpisując jego numer (w tym wypadku 0) lub nazwę (echo-reply):C2600(config)#access-list 133 deny icmp any any echo-replyJednym poleceniem możemy też zablokować grupę komunikatów, np. posługując się nazwą unreachable zatrzymujemy wszystkie komunikaty związane z osiągalnością adresata - pamiętajmy, że temu ograniczeniu nie będą podlegać pakiety generowane przez router, na którym została utworzona lista dostępu.Posługiwanie się nazwami zamiast uciążliwego numerowania list jest pewnym ułatwieniem, należy jednak pamiętać, że nie każdy system operacyjny na to pozwala (tylko od wersji 11.2). Po wpisaniu w trybie konfiguracji polecenia:C2600(config)#ip access-list {standard | extended} nazwa_listy_dostępu

Zasady tworzenia list dostępu

- Nowe warunki dopisywane są do już istniejących, na końcu listy dostępu.- Warunki bardziej szczegółowe należy umieszczać w miarę możliwości na początku listy.- Ostatnim warunkiem jest niejawne odrzucenie wszystkich pakietów i taka operacja będzie wykonywana, jeżeli pakiet nie będzie pasował do żadnego warunku.- Do interfejsu routera można przypisać tylko jedną listę związaną z danym protokołem.- Warunki można selektywnie usuwać tylko z list nazwanych (obsługiwanych od systemu 11.2) lub wprowadzając modyfikacje poprzez skrypt konfiguracyjny.- Filtrowaniu podlega jedynie ruch przechodzący przez router, a nie ten, którego inicjatorem jest router.- Polecenie ip access-group bez istniejącej w trybie konfiguracji listy dostępu nie filtruje żadnego ruchu.- W przypadku korzystania ze standardowych list dostępu należy umieszczać je jak najbliżej miejsca przeznaczenia pakietów.- W przypadku korzystania z rozszerzonych list dostępu należy umieszczać je jak najbliżej miejsca nadawcy pakietów.

tworzona jest nowa nazwana lista dostępu, dla której kryteria definiowane są w kontekście routera: c2600(config-ext-nacl). Na przykład utworzenie listy do_sieci1, blokującej dostęp do usługi telnet na dowolnym serwerze w naszej sieci, można zawrzeć w kilku poleceniach:C2600(config)#ip access-list extended do_sieci1

C2600(config-ext-nacl)#deny tcp any any eq 23

C2600(config-ext-nacl)#permit ip any any

c2600(config-ext-nacl)#interface S0/0

C2600(config-if)#ip access-group do_sieci1 inOpisane w taki sposób listy dostępu są z pewnością czytelniejsze i łatwiejsze do znalezienia, gdy musimy powrócić do naszej konfiguracji po długim okresie czasu.Listy dostępu dla protokołu IPX

IPX jest bezpołączeniowym protokołem warstwy sieci, z charakterystycznym sposobem adresowania urządzeń. Adres IPX to zapisana szesnastkowo 80-bitowa wartość: 32-bitowy numer sieci i 48-bitowy numer węzła. Numer sieci, definiowany zarówno dla serwerów NetWare, jak i dla routerów, pozwala na określenie urządzeń, które mogą się bezpośrednio między sobą komunikować - stacje klienckie potrafią ten numer dynamicznie wykryć. Numerem węzła jest adres fizyczny MAC karty sieciowej urządzenia, a w przypadku interfejsów Serial może być nadany przez administratora routera. Przykładowo, router o adresie MAC 0010.0c56.de33 z interfejsem lokalnym pracującym w sieci IPX o numerze 1a2c ma adres IPX w postaci 1a2c.0010.0c56.de33. Protokół IPX pozwala na podłączenie kilku logicznych sieci do jednego interfejsu fizycznego, pod warunkiem że dla każdej z sieci określimy inny typ kapsułkowania (hermetyzacji) protokołu warstwy drugiej modelu OSI. Bardzo ważnym elementem w konfiguracji sieci IPX jest, aby wszystkie urządzenia działające w sieci o tym samym numerze korzystały z tego samego typu kapsułkowania ramek. Routery Cisco obsługują wszystkie typy ramek, problemem jednak może być poprawne ich rozpoznanie w konfiguracji routera: na przykład domyślny typ ramki wykorzystywany na interfejsach routera to Ethernet_802.3, w konfiguracji opisany jako novellether. Wszystkie serwery plików w sieci NetWare mają oprócz adresu IPX wirtualny identyfikator nazywany wewnętrznym numerem sieci, wykorzystywany podczas ogłaszania usług NetWare w sieci lokalnej i rejestrowany przez routery w tablicy routingu RIT (Route Information Table). Drugą formą zbierania informacji o sieci IPX przez router jest tworzenie tablicy usług (Service Information Table) ogłaszanych przez serwery NetWare w segmencie sieci lokalnej.

Wszystkie serwery NetWare wykorzystują protokół SAP do ogłaszania typu i adresu usługi. Każda usługa rozgłaszana protokołem SAP ma swój jednoznaczny, szesnastkowy identyfikator, na przykład serwer plików - 4, serwer wydruku - 7, a usługa katalogowa - 278. Dzięki temu zarówno

klient, jak i serwer potrafią jednoznacznie określić typ usługi, jaki ich interesuje. Na podstawie rozsyłanych co 60 sekund rozgłoszeń SAP router tworzy tablicę usług SAP dostępnych w jego lokalnym segmencie sieci i przesyła tę informację do innych urządzeń. Router może również uczestniczyć w procesie

poszukiwania serwera dla klientów w sieci NetWare. Stacja klienta, rozpoczynając pracę w sieci, rozgłasza zapytanie GNS (Get Nearest Server) w celu odnalezienia serwera i zalogowania się do sieci NetWare. Jeżeli router wie, że w danym segmencie sieci pracuje serwer (router odbiera ogłoszenia SAP, co można sprawdzić poleceniem show ipx servers), nie będzie na to zapytanie odpowiadał. W przeciwnym wypadku router potrafi, na podstawie tablicy SAP, odpowiedzieć klientowi na zapytanie GNS.

W konfiguracji list standardowych dla protokołu IPX można wskazać nie tylko host lub sieć źródłową, dla której jest wykonywane filtrowanie, lecz również sieć lub urządzenie, do którego kierowane są pakiety IPX:

C2600(config)#access-list numer_listy_dostępu {permit | deny} numer_sieci_źródłowej [. Numer_węzła] [maska_wzorca_numeru_węzła] [numer_sieci_docelowej] [. Numer_węzła] [maska_wzorca_numeru_węzła]Przypomnijmy, iż zgodnie z przyjętą konwencją numery list standardowych dla protokołu IPX są zawarte w przedziale 800 - 899. Podobnie jak dla protokołu IP mamy możliwość wskazania zakresu adresów poprzez maskę wzorca. Proszę pamiętać, że notacja adresów IPX jest zapisem w postaci szesnastkowej, czyli zapis F w masce oznacza faktycznie wartość 1 ustawioną na czterech kolejnych bitach. Rozważmy konfigurację listy standardowej na prostym przykładzie. Naszym celem jest zablokowanie dostępu do sieci 1a dla komputerów pracujących w sieci 1b:C2600(config)access-list 801 deny 1b 1aC2600(config)access-list 801 permit -1 -1C2600(config)interface ethernet 0/0C2600(config-if)ipx access-group 801 inZapis drugiego warunku listy 801 dotyczy dowolnych adresów w sieci zarówno źródłowej, jak i docelowej, jest to odpowiednik słowa kluczowego any w listach protokołu IP. W konfiguracji routera warunek ten zapisany zostanie jako access-list 801 permit FFFFFFFF FFFFFFFF. Pierwszy warunek listy moglibyśmy zapisać precyzyjniej, określając jako nadawcę grupę komputerów w sieci 1b:c2600(config)access-list 810 deny 1b.0003.470f.0000 0000.0000.ffffZwróćmy uwagę na maskę wzorca, która odnosi się do części adresu IPX będącej numerem węzła tworzonego na podstawie fizycznego adresu MAC stacji pracujących w sieci 1b (w listach standardowych maska wzorca może dotyczyć tylko numeru węzła). Utworzona wcześniej lista dostępu została przypisana do interfejsu E0/0 za pomocą polecenia ipx access-group, powodując filtrowanie pakietów już na wejściu danego interfejsu. Lista standardowa jest rozwiązaniem mało elastycznym, ponieważ blokuje cały ruch IPX związany z adresem źródłowym i docelowym, bez możliwości

wskazania konkretnych usług w sieci NetWare. Rozszerzone listy dostępu dla protokołu IPX konfigurujemy poleceniem:c2600(config)#access-list numer_listy_dostępu {permit | deny} protokół numer_sieci_źródłowej [. Adres_źródłowy] [maska_wzorca] [numer_gniazda] [numer_sieci_docelowej] [. Adres_źródłowy] [maska_wzorca] [numer_gniazda]Tworząc listę rozszerzoną pamiętać należy, iż numer listy musi być z przedziału 900 - 999. Przy wskazaniu protokołu możemy się posłużyć identyfikatorem jego typu, jego nazwą (ncp, rip, netbios, sap, spx) lub słowem kluczowym any (oznaczającym wszystkie protokoły). Numer gniazda (socket) to identyfikator usługi będący odpowiednikiem numeru portu TCP lub UDP z tą jednak zasadniczą różnicą, że kilka usług może korzystać z tego samego numeru gniazda. Numery gniazd przypisywane są dynamicznie: stacjom klienckim w zakresie 4000-7FFF, a aplikacjom pracującym na serwerach - 8000-FFFF. W tych okolicznościach należy bardzo ostrożnie korzystać z numerów gniazd podczas filtrowania ruchu w sieci IPX, a w wielu przypadkach, gdy nie zależy nam na tak dokładnym badaniu ruchu klient-serwer, jest to wręcz niepotrzebne. Największą zaletą list rozszerzonych jest możliwość zastosowania maski wzorca do wskazania numerów sieci, na przykład listę dostępu uniemożliwiającą korzystanie z zasobów dwóch konkretnych serwerów o wewnętrznych numerach sieci 1000 i 1001 można utworzyć poleceniem:C2600(config)access-list 901 deny any 00001000 0000000FZwróćmy uwagę na zapis maski wzorca, który na siedmiu pierwszych pozycjach adresu sieci wymaga dokładnego odwzorowania z podanym adresem, czyli od lewej 0000100, natomiast na ostatniej pozycji adresu (zapisanej szesnastkowo) zezwala na dowolną wartość. Gdyby jednak okazało się, że podany przez nas warunek jest zbyt ogólny, możemy wskazać dwie konkretne sieci 1000 i 1001, zapisując wcześniejszy warunek w postaci:C2600(config)access-list 901 deny any 00001000 00000001i opisując sieci z dokładnością do jednego bitu.Istnieje jednak o wiele prostsza metoda filtrowania dostępu do usług w sieci NetWare. Usługi rozgłaszane są protokołem SAP, a routery Cisco aktywnie w tym uczestniczą: przesyłają informacje w postaci tablicy usług (SIT), lecz nie przekazują samych rozgłoszeń odbieranych na swoich interfejsach. Kolejną kategorią list dostępu są więc listy związane z filtrowaniem ogłoszeń usług. Listy dostępu o numerach od 1000 do 1099 przeznaczone są dla protokołu IPX SAP i na ich podstawie możemy filtrować publikowane w sieci usługi:C2600(config)#access-list numer_listy_dostępu {permit | deny} numer_sieci [. Numer_węzła] [maska_wzorca_dla_sieci maska_wzorca_dla_węzła] [typ_usługi [nazwa_serwera]]Sam proces filtrowania konfiguruje się za pomocą dwóch poleceń:C2600(config-if)#ipx input-sap-filter numer_listy_dostępuC2600(config-if)#ipx output-sap-filter numer_listy_dostępu

Jeżeli w konfiguracji interfejsu pojawi się polecenie ipx input-sap-filter, to tablica usług (SIT) przechowywana na routerze zostanie zmodyfikowana zgodnie z podaną listą dostępu, a zmiany dotyczyć będą tylko usług ogłoszonych przez konfigurowany interfejs. W przypadku polecenia ipx output-sap-filter router będzie

przesyłał przez konfigurowany interfejs taką tablicę usług, która jest zgodna z podaną listą dostępu. Prześledźmy korzystanie z list dostępu protokołu SAP i jego filtrowania na prostym przykładzie. Naszym celem jest

zablokowanie możliwości korzystania w sieci 1b z usług drukowania serwera A:C2600(config)access-list 1001 deny 1a.0010.72c4.19f2 7C2600(config)access-list 1001 permit -1C2600(config)interface E0/1C2600(config-if)ipx input-sap-filter 1001W tablicy usług SIT routera rozgłoszenie SAP wysyłane przez serwer A zostanie opublikowane z pominięciem usługi drukowania (kod 7). Router jest pośrednikiem pomiędzy dwoma sieciami IPX w ogłaszaniu usług, jeżeli więc nie przekaże on informacji o usłudze drukowania, to nie dowie się o niej

nikt w sieci 1b. Proces filtrowania usług SAP jest bardzo wygodnym mechanizmem umożliwiającym optymalizację ruchu rozgłoszeniowego usług sieci NetWare, jak również redukowanie stopnia ich dostępności. Szczególnie przydatny jest w rozbudowanych sieciach wielosegmentowych.

Przełączanie w sieciach EthernetAutor: Waldemar Pierścionek

W poprzednich artykułach zajmowaliśmy się routerami Cisco zarządzającymi ruchem pakietów IP, czyli pracującymi w trzeciej warstwie (sieciowej) modelu OSI. Teraz przedstawimy urządzenia funkcjonujące w warstwie drugiej (łącza danych) - przełączniki i mosty. Omówimy między innymi proces przełączania ramek, sposoby zapobiegania powstawaniu pętli, tryby pracy przełącznika Cisco Catalyst 1900 oraz wybrane aspekty jego konfiguracji, w tym tworzenie sieci wirtualnych (VLAN).

Most (bridge) jest logicznym poprzednikiem obecnie powszechnie stosowanych przełączników warstwy drugiej; podstawowe zasady pracy mostu i przełącznika są identyczne. Most zwykle łączy dwa segmenty sieci (chociaż może mieć też więcej portów) i przełącza ramkę na podstawie jej

docelowego adresu fizycznego (MAC). Aby ten proces zoptymalizować, most musi utworzyć w specjalnym obszarze pamięci tablicę adresów fizycznych poszczególnych urządzeń przyporządkowanych do odpowiednich portów mostu. Początkowo most nie ma żadnych informacji w pamięci i każdą otrzymaną ramkę musi przesłać na wszystkie pozostałe porty, gdyż nie wie, w którym segmencie znajduje się odbiorca. Stopniowo tworzy jednak wpisy w tablicy na

podstawie adresów źródłowych ramek otrzymanych przez poszczególne interfejsy - urządzenie wysyłające ramkę zostaje powiązane z interfejsem, przez który przełącznik otrzymał daną ramkę (p. rysunek obok). Most przesyła otrzymaną od stacji klient 1 ramkę (zaadresowaną do klienta 3) do wszystkich pozostałych interfejsów (w tym przypadku E2), równocześnie tworząc wpis w tablicy na podstawie adresu źródłowego ramki (111111111111) i interfejsu (E1). W podobny sposób tworzone są wpisy w tablicy dla pozostałych stacji. Jeżeli teraz klient 2 wyśle ramkę do klienta 1, wówczas most stwierdzi na podstawie tablicy, że adres docelowy jest w tym samym segmencie i nie przełączy tej ramki na interfejs E2, unikając niepotrzebnego ruchu w drugim segmencie.W przeciwieństwie do komunikacji skierowanej (unicast), którą most może przełączać tylko na właściwy port, komunikacja rozgłoszeniowa (broadcast) i multiemisja (multicast) są zawsze przełączane na wszystkie porty (z wyjątkiem tego, przez który ramka została odebrana). Most nie może powiązać adresów rozgłoszeniowych czy adresów multiemisji z konkretnym interfejsem, ponieważ nie występują one w polu adresu źródłowego ramki.Most rozdziela dwa segmenty sieci - ramki przeznaczone dla urządzenia pracującego w tym samym segmencie co nadawca nie są przekazywane do innych portów mostu (na drugą stronę mostu) i nie powodują kolizji w innych segmentach. Dzięki temu wszystkie stacje w ramach jednego segmentu rywalizują tylko między sobą o pasmo tego segmentu (np. 10 Mb/s). Jednocześnie mosty (tak jak przełączniki) zawsze przekazują komunikację rozgłoszeniową i multiemisję do wszystkich portów. Most (przełącznik) rozdziela więc domeny kolizyjne, udostępniając segmentom podłączonym do poszczególnych portów wydzielone pasmo, jednocześnie tworzy on jedną domenę rozgłoszeniową, w której bez przeszkód rozchodzi się komunikacja typu broadcast.Segmenty sieci połączone mostami lub przełącznikami mogą tworzyć układy z nadmiarowymi ścieżkami, co gwarantuje odporność na

W tym artykule omawiamy przykład mostu przezroczystego (transparent). Jest to najczęściej spotykane rozwiązanie, w którym most łączy segmenty o tym samym medium transmisyjnym (np. dwa segmenty sieci Ethernet) i tym samym formacie ramki. Istnieją też inne typy mostów, np. most tłumaczący, który łączy różne segmenty sieci (np. Ethernet i Token Ring).

uszkodzenie tras, ale może też prowadzić do różnych problemów komunikacyjnych. Między segmentem górnym i dolnym na rysunku są dwie ścieżki przełączania ramek, odpowiednio przez most A i most B. Pierwszy problem, jaki może w tym układzie wystąpić, to wielokrotne otrzymywanie tej samej

ramki. Wyobraźmy sobie, że klient 1 chce wysłać ramkę do klienta 2, a obydwa mosty w tablicach adresów MAC nie mają informacji o kliencie 2. Pierwszą kopię ramki klient 2 otrzymuje bezpośrednio poprzez segment 1. Jednak ramkę tę otrzymuje także most A poprzez górny interfejs i ponieważ nie zna jeszcze adresu MAC klienta 2, musi tę ramkę przekazać przez dolny interfejs do segmentu 2. Podobnie most B otrzymuje ramkę przez dolny interfejs i musi przekazać ją z powrotem do segmentu 1 - w efekcie klient 2 otrzyma drugą kopię tej samej ramki. Zauważmy, że w tym przykładzie pojawia się jeszcze jeden problem: niestabilnych wpisów w tablicach adresów obydwu mostów. Pierwsza kopia ramki wysłanej od klienta 1 do klienta 2 dociera do mostu B przez interfejs E0. Most B umieszcza wpis w tablicy, wiążąc adres fizyczny klienta 1 z interfejsem E0. Następnie ta sama ramka, przełączona przez most A na segment 2, dociera do mostu B przez interfejs E1. Most B musi więc zmienić wpis w tablicy, wiążąc adres fizyczny klienta 1 z interfejsem E1. To samo dotyczy również mostu A.Zajmijmy się teraz sposobem przekazywania komunikacji rozgłoszeniowej w naszym przykładowym układzie. Załóżmy, że klient 1 wysyła ramkę rozgłoszeniową (broadcast). Most A musi tego rodzaju komunikację zawsze przesłać do wszystkich pozostałych portów, w tym przykładzie do segmentu 2. Gdy ramka ta dotrze do mostu B przez interfejs E1, most B postąpi podobnie i przełączy ramkę rozgłoszeniową ponownie do segmentu 1. Proces ten będzie, niestety, kontynuowany dalej w powstałej pętli, powodując tzw. efekt sztormu rozgłoszeniowego. W rzeczywistości ramka rozgłoszeniowa przełączana jest w obydwu kierunkach pętli, bowiem oryginalna ramka pojawi się na obydwu mostach przez interfejsy E0 (rysunek obok pokazuje tylko pętlę z punktu widzenia mostu A). Aby zapobiec takim sytuacjom, należy czasowo blokować pewne ścieżki, tak aby do każdego segmentu sieci prowadziła tylko jedna trasa. W naszym przykładzie należałoby zablokować jeden z portów mostu A lub mostu B. Oczywiście w przypadku bardziej złożonych topologii problem jest znacznie trudniejszy do rozwiązania. Niestety, protokoły warstwy drugiej sieci LAN, takie jak Ethernet, nie mają własnych mechanizmów przerywających pętlę, w której przełączane są ramki. Należy posłużyć się specjalnym protokołem spanning-tree, który wyznacza pozbawione pętli drzewo rozpinające sieć.

Dostępne są obecnie dwa podobne, ale niezgodne ze sobą protokoły spanning-tree: jeden opracowany przez firmę DEC, a drugi opublikowany przez organizację IEEE jako standard 802.1d. Konfigurując protokół spanning-tree, należy zdecydować się na

jedno z tych rozwiązań. Na przykładzie bardzo prostego układu dwu mostów (p. rys. obok), pokażemy efekt działania protokołu.W ramach całej sieci jeden i tylko jeden most (most A) wybierany jest jako korzeń drzewa rozpinającego. Wszystkie porty tego mostu ustawiane są w trybie desygnowanym, czyli pracują normalnie. Pozostałe mosty to mosty zwykłe, na każdym z nich jeden port uruchamiany jest w trybie portu prowadzącego do korzenia. Port ten wybierany jest dla trasy o najmniejszym koszcie z mostu zwykłego do mostu korzenia.W protokole spanning-tree łączny koszt trasy liczony jest na podstawie kosztów poszczególnych segmentów wynikających z ich przepustowości (np. segment 10 Mb/s ma koszt 100). Dlatego też na rysunku górny port mostu B jest portem prowadzącym do korzenia (100 Mb/s), który pracuje normalnie. Na każdym segmencie wyznaczany jest jeden port desygnowany, port ten jest wybierany na moście, który ma najniższy koszt ścieżki do korzenia (u nas obydwa porty mostu A). Pozostałe porty w danym segmencie uruchamiane są w trybie niedesygnowanym i są czasowo zablokowane (dolny port mostu B). Oprócz blokowania powstawania pętli protokół spanning-tree zapewnia też odporność na uszkodzenia ścieżek. Jeżeli dotychczas aktywna trasa ulega awarii, automatycznie uaktywniane są por-ty dotąd niedesygnowane i ruch odbywa się wzdłuż innej ścieżki. Na rysunku, po uszkodzeniu mostu A, ruch między segmentem górnym i dolnym będzie się odbywać przez most B. Most korzenia wybierany jest na podstawie identyfikatora mostu, który składa się z dwóch elementów: priorytetu oraz adresu fizycznego MAC mostu. Ponieważ domyślnie mosty mogą mieć ten sam priorytet (np. 32768 dla protokołu 802.1d) wybór korzenia odbywa się wówczas na podstawie adresu MAC. Most z niższym adresem MAC zostaje korzeniem.

Przełączniki

Podstawowe zasady pracy przełącznika są takie same, jak mostu. Przełącznik pracujący w warstwie drugiej modelu OSI, podobnie jak most, uczy się na podstawie adresów źródłowych MAC ramek, a przełącza je na podstawie adresów docelowych. Również zasady przełączania komunikacji rozgłoszeniowej czy multiemisji oraz zasady działania algorytmów spanning-tree są identyczne. Do najważniejszych różnic między mostem a przełącznikiem zaliczyć należy:

Mechanizm przełączania. Most korzysta z przełączania programowego, przełącznik wyposażony jest w sprzętowe układy ASIC z bardzo szybką magistralą przełączania -

Regularna wymiana informacji między mostami, zarządzanie drzewem oraz reagowanie na zmiany w topologii sieci bazują na cyklicznych komunikatach wysyłanych w drodze multiemisji z wykorzystaniem ramek zwanych BPDU (Bridge Protocol Data Unit).

w efekcie przełączanie jest znacznie szybsze.

Gęstość portów. W praktyce mosty zwykle mają nie więcej niż 16 portów, przełączniki (np. Cisco Catalyst) mają ich znacznie więcej (nawet ponad 100).

Liczba procesów spanning-tree. Przełączniki mogą uruchamiać wiele procesów spanning-tree, niezależnie dla poszczególnych sieci wirtualnych (grup VLAN).

Przełączniki stosują trzy sposoby przełączania ramek: Zapamiętaj i przekaż (store and forward) - przełącznik musi odczytać całą ramkę

zanim rozpocznie się proces przełączania. Następnie sprawdzana jest poprawność ramki (za pomocą sumy kontrolnej CRC) i ramka uszkodzona jest odrzucana. Przełącznik nie przekazuje dalej ramek uszkodzonych. Niestety, czas przełączania ramki zależny jest od jej długości.

Przełączaj od razu (cut-through) - przełącznik, już po odczytaniu pola adresu docelowego z nagłówka ramki, rozpoczyna proces przełączania ramki. Nie jest sprawdzana poprawność ramki, więc przełączanie jest szybsze, a czas przełączania ramki jest niezależny od jej długości. Niektóre przełączniki dodatkowo sprawdzają sumę kontrolną CRC i zliczają błędne ramki - jeśli liczba błędów przekroczy dozwolony próg, przełącznik może automatycznie przestawić się w tryb pracy zapamiętaj i przekaż.

Wykrywaj ramki kolizji (fragment-free) - jest to zmodyfikowana postać metody przełączaj od razu. Przełącznik odczytuje pierwsze 64 bajty ramki (minimalny rozmiar ramki Ethernet) zanim rozpocznie proces przełączania. Dzięki temu może odrzucić wszystkie ramki będące wynikiem kolizji. W tym trybie domyślnie pracuje przełącznik Catalyst 1900.

Mówiliśmy wcześniej, że zastosowanie mostu pozwala utworzyć niezależne domeny kolizyjne z wydzieloną przepustowością w ramach każdej domeny. Problem efektywnego wykorzystania pasma jest jeszcze bardziej widoczny w przypadku zastosowania przełączników wyposażonych w znacznie więcej portów. Standardowo w segmencie sieci Ethernet wykorzystującym protokół CSMA/CD w danym momencie może nadawać tylko jedna stacja kliencka, w przeciwnym razie mamy do czynienia z kolizją. Jest to przypadek transmisji w jedną stronę, zwany trybem half-duplex (jeśli ja nadaję, nikt inny nie może nadawać do mnie). Przeanalizujmy jednak sytuację pokazaną na rysunku poniżej.W przypadku połączeń typu punkt-punkt, w których do każdego portu przełącznika podłączona jest tylko jedna stacja kliencka (Stacje A, B, C, D podłączone do przełącznika 1), bądź połączeń między przełącznikami możemy zastosować inny tryb transmisji zwany full-duplex (transmisja w obie strony jednocześnie). Tryb ten musi być włączony na obydwu węzłach połączenia punkt-punkt (w konfiguracji przełącznika oraz w konfiguracji kart sieciowych stacji klienckich), a stosowany może być zarówno dla

Trybu full-duplex nie można zastosować, gdy do portu przełącznika podłączony jest koncentrator z grupą stacji końcowych, zawsze musi to być para węzłów w połączeniu punkt-punkt. Tryb full-duplex można także włączyć na połączeniu między przełącznikami.

prędkości 10 Mb/s, jak i 100 Mb/s. W trybie full-duplex nie występują kolizje, ponieważ stosowane są niezależne obwody (w kablu skrętki kategorii 3 lub 5) do nadawania i odbierania ramek. Faktycznie włączenie trybu full-duplex wyłącza pętlę zwrotną (loopback) na karcie sieciowej, co blokuje protokół CSMA/CD i wykrywanie kolizji. Dzięki temu, że nie ma kolizji i stacja może jednocześnie nadawać i odbierać ramki z przełącznika, zwiększa się efektywna przepustowość segmentu, w którym (samodzielnie) pracuje stacja kliencka. Stacje E, F, G podłączone są do koncentratora (hub) i pracując w trybie half-duplex, rywalizują o dostęp do wspólnego pasma np. 10 Mb/s. W wyniku rywalizacji i kolizji efektywna przepustowość segmentu będzie dużo mniejsza niż 10 Mb/s, a dla dużej liczby stacji może spaść nawet znacznie poniżej 1 Mb/s. Każda ze stacji A, B, C, D otrzymuje natomiast wydzielone pasmo 10 Mb/s. Dodatkowo dzięki trybowi full-duplex efektywna przepustowość między parą stacji może w idealnym przypadku osiągnąć 20 Mb/s w ramach pary (10 Mb/s odbiór i 10 Mb/s nadawanie), a przy dwóch parach: 40 Mb/s (przełącznik obsłuży obie pary równolegle).

Konfigurowanie przełącznika Catalyst 1900

Przełącznik Catalyst 1912 wyposażony jest w 12 portów 10Base-T (oznaczonych od E0/1 do E0/12) oraz 2 porty Fast-Ethernet 100Base-T (tzw. porty uplink oznaczone Fa0/26 i Fa0/27) stosowane do połączeń z innymi przełącznikami. Jeśli sieć wymaga większej liczby portów, można zastosować model Catalyst 1924 (24 porty 10Base-T i dwa porty uplink). Dla oznaczenia całej rodziny przełączników posłużymy się skrótowym określeniem Catalyst 1900; założymy też, że użytkownik dysponuje urządzeniem w wersji Enterprise, czyli z pełnym systemem operacyjnym Możliwe są trzy niezależne metody konfigurowania przełącznika:

Wbudowany system menu. Poprzez wybór odpowiednich poleceń definiujemy ustawienia przełącznika. Metoda wymaga podłączenia się poprzez port konsoli albo użycia programu telnet.

Oprogramowanie Visual Switch Manager. Za pomocą przeglądarki internetowej można podłączyć się do wbudowanej w przełącznik witryny WWW i zdalnie konfigurować urządzenie. Wcześniej należy przypisać adres IP do przełącznika.

Interfejs linii poleceń. Tak samo jak przy ręcznym konfigurowaniu routera Cisco, specjalnymi poleceniami zmieniamy parametry pracy przełącznika. Wymagane jest podłączenie poprzez port konsoli albo przez telnet.

Zarówno korzystanie z programu Visual Switch Manager, jak i zdalne zarządzanie przełącznikiem z wykorzystaniem programu telnet czy protokołu SNMP wymaga wcześniejszego przypisania przełącznikowi adresu IP. Aby podłączyć się do przełącznika protokołem telnet, należy zdefiniować hasło dla trybu uprzywilejowanego. Przełącznik obsługuje do siedmiu jednoczesnych sesji telnet. Przełącznik w wersji Standard nie jest wyposażony w interfejs trybu poleceń i może być konfigurowany tylko poprzez wbudowany system menu albo zdalnie z wykorzystaniem WWW. Wersja Standard nie obsługuje sieci wirtualnych VLAN.

Wybrane komendy konfiguracyjne zaprezentujemy z wykorzystaniem interfejsu linii poleceń systemu operacyjnego, co pozwoli najlepiej wyjaśnić ich składnię oraz wymagane parametry. Po włączeniu przełącznika Catalyst 1900 rozpoczyna się procedura POST, do której należy 13 testów sprawdzających różne elementy przełącznika - aktualnie wykonywany test sygnalizowany jest przez wyłączanie odpowiednich diod LED poszczególnych portów. Procedura POST może zakończyć się jednym z trzech następujących stanów:

Wszystkie testy zakończyły się sukcesem. Dioda SYSTEM ma kolor zielony, wszystkie diody LED portów są wyłączone (chyba że do portów podłączone są jakieś inne urządzenia - wówczas diody przez pewien czas mają kolor pomarańczowy, a następnie zielony). Przełącznik jest w pełni funkcjonalny.

Wykryty został niekrytyczny błąd. Dioda SYSTEM ma kolor pomarańczowy, a w oknie powitalnym konsoli do zarządzania (management console) wyświetlane są komunikaty opisujące błędy. Błędy niekrytyczne nie uniemożliwiają pracy, ale przełącznik może nie funkcjonować optymalnie.

Wykryty został błąd krytyczny (jeden lub więcej). Dioda SYSTEM ma kolor pomarańczowy, dodatkowo jedna bądź więcej diod portów również mają kolor pomarańczowy. Przełącznik nie działa, konsola do zarządzania nie jest dostępna, a odpowiednie diody portów wskazują testy, które zakończyły się niepowodzeniem (kolor pomarańczowy).

Dołączona do przełącznika dokumentacja "Catalyst 1900 Series Installation and Configuration Guide" zawiera opis poszczególnych testów oraz diod, które je sygnalizują, a także podaje możliwe przyczyny błędów krytycznych i niekrytycznych. Nowy przełącznik Catalyst 1900 pracuje zgodnie z domyślną konfiguracją, nie ma żadnej nazwy, nie ma też przypisanego adresu IP. Po podłączeniu się do portu konsoli otrzymujemy ekran powitalny konsoli do zarządzania, a po wybraniu opcji K (interfejs linii poleceń) przechodzimy do trybu użytkownika, sygnalizowanego znakiem zgłoszenia ">" bez żadnej nazwy przełącznika. Ponieważ domyślnie tryb uprzywilejowany nie jest chroniony hasłem, można do niego wejść od razu po wykonaniu komendy enable.Do pierwszych czynności konfiguracyjnych należą: nadanie przełącznikowi opisowej nazwy, zdefiniowanie hasła chroniącego dostęp do trybu uprzywilejowanego oraz określenie ustawień dla sieci IP (adres IP, ewentualnie domyślny router). Podobnie jak w przypadku routera Cisco przechodzimy do globalnego trybu konfiguracyjnego poleceniem configure (np. z parametrem terminal - #conf term). Poniższa sekwencja ustawia kolejno: nazwę przełącznika

Przystępując do konfiguracji przełącznika, należy upewnić się, jaki to jest model. Polecenia konfiguracyjne są zupełnie inne w grupie przełączników "IOS based", które udostępniają interfejs podobny do routerów (np. przełączniki 1900, 2900XL, 3500XL, 8500), a inne w grupie przełączników "Set based", do których zaliczamy m.in. modele 1948G, 2926 i od 4000 do 6000.

Po włączeniu przełącznika i wykonaniu procedury POST na ekranie pojawia się przez 10 sekund pytanie o usunięcie haseł. Można w ten sposób usunąć na przykład hasło chroniące dostęp do trybu uprzywilejowanego, jeżeli administrator go nie zna bądź nie pamięta. Jeśli zdefiniowano hasło chroniące dostęp do trybu uprzywilejowanego, z ekranu powitalnego w konsoli management console znikają pozycje: [I] IP Configuration oraz [P] Console Password. Po wybraniu w konsoli pozycji [M] Menus, należy podać hasło dla trybu uprzywilejowanego.

(SW1900), hasło dla trybu uprzywilejowanego (kurs1) oraz adres IP i adres domyślnej bramy. Znaczenie adresu domyślnej bramy w sieci wielosegmentowej jest takie samo, jak w konfiguracji routera Cisco - przypomnijmy, że w przypadku routera adres ten definiowaliśmy zwykle jako wpis statyczny bądź za pomocą komendy default-network:#conf term

(config)#hostname SW1900

SW1900(config)#enable secret kurs1

SW1900(config)# ip address 131.107.10.150 255.255.255.0

SW1900(config)# ip default-gateway 131.107.10.10Aktualną konfigurację można wyświetlić poleceniem show running-config, a po 30 sekundach od wprowadzenia zmian w aktualnej konfiguracji (pamięć RAM) jest ona automatycznie nagrywana w pamięci nieulotnej NVRAM. Konfigurację z pamięci NVRAM można zarchiwizować na serwerze TFTP za pomocą komendy copy. Poniższe polecenie nagrywa konfigurację NVRAM w pliku o nazwie SW1900.CFG na serwerze TFTP o adresie 131.107.10.155:SW1900#copy nvram tftp://131.107.10.155/SW1900.CFGAby odczytać konfigurację z serwera TFTP do pamięci RAM (i NVRAM), należy wykonać polecenie copy tftp://131.107.10. 155/SW1900.CFG nvram. Przy użyciu komendy copy nie można zapisać aktualnej konfiguracji w pamięci NVRAM. Serwer sieciowy TFTP może być również wykorzystany do przeprowadzenia aktualizacji systemu operacyjnego - najłatwiej to zrobić, wybierając opcję [F] Firmware w trybie menu, a następnie wskazując adres IP serwera TFTP oraz nazwę pliku systemu operacyjnego. W trybie interfejsu linii poleceń (wersja Enterprise) można posłużyć się komendą copy w celu aktualizacji systemu operacyjnego. Poleceniem copy nie można natomiast zarchiwizować systemu operacyjnego z pamięci Flash na serwer sieciowy TFTP. Dostępny jest też awaryjny proces naprawczy systemu operacyjnego z wykorzystaniem protokołu XMODEM. Proces ten przeprowadza się na specjalnej konsoli diagnostycznej, do której można wejść, przytrzymując wciśnięty przycisk MODE w trakcie włączania przełącznika. Procedura ta jest szczegółowo opisana w dokumentacji przełącznika. Za pomocą polecenia show version można wyświetlić między innymi podstawowe informacje na temat konfiguracji sprzętowej i programowej przełącznika (typ i wersja systemu operacyjnego, czas pracy, ilość pamięci RAM, stan procesu aktualizacji, informacja o portach przełącznika, podstawowy adres MAC).

Model OSI

W 7-warstwowym modelu sieciowym OSI dane przychodzące z warstwy wyższej hermetyzowane są przez dodanie nowego nagłówka w protokole warstwy niższej, a po stronie odbiorczej następuje proces odwrotny. Cztery dolne warstwy modelu OSI mają następujące funkcje: warstwa transportowa (np. TCP, UDP, SPX) transmituje segmenty, warstwa sieciowa (np. IP, IPX) - pakiety, warstwa łącza danych (np. Ethernet II, 802.2, 802.3) transmituje ramki, a warstwa fizyczna (np. 10Base-T, 100Base-T) - bity.

Kolejnym bardzo ważnym etapem konfigurowania przełącznika jest wybór opcji dotyczących jego interfejsów oraz tablicy adresów fizycznych MAC. Do trybu konfiguracji interfejsu przechodzimy (podobnie jak w routerze) komendą interface. Ustawiamy tryb duplex komendą duplex tryb, której parametr pozwala wybrać tryb half-duplex (domyślny dla portów 10Mb/s) lub full-duplex albo też włączyć automatyczne wykrywanie trybu (opcja Auto - ustawienie domyślne dla portów 100 Mb/s). Poniższy przykład ustawia tryb full-duplex dla interfejsu Et0/5:SW1900(config)#interface et0/5

SW1900(config-if)#duplex fullPodstawowym zadaniem przełącznika jest przełączanie ramek do właściwych portów, na podstawie adresu docelowego MAC zawartego w nagłówku ramki. W tym celu przełącznik korzysta z tablicy adresów MAC, która kojarzy adresy fizyczne z właściwymi interfejsami. Gdy stacje klienckie są dodawane lub usuwane z sieci, ich adresy fizyczne są dopisywane lub usuwane z tablicy adresów MAC. Domyślnie tablica adresów MAC zawiera tylko adresy dynamiczne, co sprawdzić można poleceniem: show mac-address-table. Oprócz adresów dynamicznych w tablicy adresów MAC mogą pojawić się również adresy na stałe (permanent) wpisane do niej przez administratora - w przeciwieństwie do dynamicznych, nie można ich usunąć z tablicy po upływie określonego czasu. Przełącznik Catalyst 1900 może przechowywać w tablicy maksymalnie 1024 adresy MAC.

Domyślną konfigurację przełącznika można przywrócić, usuwając zawartość pamięci NVRAM poleceniem delete nvram. Przełącznik automatycznie uruchamiany jest ponownie (bez procedury POST), a na ekranie wyświetlany jest ekran konsoli management console.

Adresy stałe wpisujemy do tablicy adresów MAC za pomocą globalnego polecenia konfiguracyjnego mac-address-table permanent. Poniższa komenda przypisuje adres MAC 00102bc2be87 na stałe do interfejsu Ethernet0/4. Zapis ten oznacza, że ramki odebrane przez dowolny interfejs, ale skierowane do adresu MAC 00102bc2be87 będą wysłane przez interfejs Et0/4. Jeżeli urządzenie o tym adresie fizycznym zostanie podłączone do innego interfejsu przełącznika, komunikacja z nim będzie niemożliwa (wpis dynamiczny nie zastąpi wpisu stałego):SW1900(config)#mac-address-table permanent 0010.2bc2.be87 ethernet 0/4Oprócz adresów stałych administrator może także wpisać do tablicy przełącznika zastrzeżone adresy statyczne (restricted static), dla których określa się interfejs docelowy przełącznika oraz interfejsy źródłowe, z których ruch jest dozwolony. Aby określić adresy statyczne, należy posłużyć się globalnym poleceniem konfiguracyjnym mac-address-table restricted static. W poniższym przykładzie ramki z adresem docelowym 0010a4b6cac1 przełączane będą na interfejs et0/7, a odbierane mogą być tylko z interfejsu et0/4. Urządzenia podłączone do innych portów przełącznika niż Et0/4 nie będą mogły komunikować się z tym adresem MAC. Jeśli urządzenie z takim adresem podłączone zostanie do portu innego niż Et0/7, komunikacja z nim również nie będzie możliwa:SW1900(config)#mac-address-table restricted static 0010.a4b6.cac1 et0/7 et0/4Aktualną zawartość tabeli adresów MAC można wyświetlić poleceniem show mac-address-table. Oprócz definiowania adresów stałych i

Sieć Ethernet

Sieć ta zakłada równoprawny dostęp do medium transmisyjnego dla wszystkich stacji, które podłączone są do wspólnej magistrali. Dostęp do medium odbywa się zgodnie z protokołem CSMA/CD, który zakłada równorzędny dostęp stacji do medium z wykrywaniem kolizji wówczas, gdy jednocześnie więcej niż jedna stacja transmituje ramki. Stacja przed nadaniem swojej ramki jest zobowiązana nasłuchiwać przez określony czas, w celu sprawdzenia, czy magistrala jest wolna (tylko jedna stacja może nadawać w danym momencie). Może się jednak zdarzyć, że dwie stacje prawie w tym samym momencie rozpoczynają nadawanie swoich ramek i dochodzi do kolizji i zniekształcenia sygnału. Kolizja wykrywana jest już na poziomie karty sieciowej - w przypadku rozwiązań stosujących okablowanie skrętki (10Base-T, 100Base-T) karta automatycznie, poprzez układ pętli zwrotnej (loopback), przekazuje wysyłany sygnał na linię wejściową i porównuje go z sygnałem odbieranym. Jeżeli sygnał odebrany różni się od wysłanego, to znaczy, że wystąpiła kolizja i karta wysyła specjalny 32-bitowy sygnał (jam) informujący o tym inne stacje. W tym przypadku stacja nadawcza próbuje (maksymalnie 16 razy) retransmitować swoją ramkę z coraz większymi odstępami czasu między kolejnymi próbami. Warto sobie zdawać sprawę z tego, że wykorzystywany w sieciach TCP/IP protokół Ethernet II, jest niezależnym rozwiązaniem dla warstwy łącza danych, opracowanym przez firmy DEC, Intel i Xerox (stąd w skrócie ramka DIX). Nieco inny format ramki wyznaczają protokoły 802.2 i 802.3 opracowane przez organizację IEEE, również opisujące warstwę łącza danych (z podziałem na dwie podwarstwy). Ethernet II korzysta z pola Typ opisującego protokół warstwy wyższej, natomiast 802.3 stosuje pole Rozmiar, a w polu danych hermetyzuje protokół 802.2.W sieci Ethernet opartej na specyfikacji 10Base-T lub 100Base-T (FastEthernet) maksymalna długość kabla skrętki, łączącego stację końcową z koncentratorem (hub) lub łączącego dwa koncentratory wynosi 100 metrów. W sieci, w której poszczególne stacje podłączone są do centralnego koncentratora, korzysta się z układu gwiazdy na poziomie warstwy fizycznej, ale koncentrator tworzy logiczną magistralę na poziomie warstwy łącza danych.W przypadku warstwy fizycznej o prędkości 10 Mb/s segmenty sieci łączymy z wykorzystaniem koncentratorów lub wzmacniaków (repeater), stosując zwykle

statycznych można dodatkowo skonfigurować wybrane interfejsy przełącznika jako tzw. porty zabezpieczone. Porty takie mają z góry określoną maksymalną liczbę adresów fizycznych MAC, które mogą z nimi być związane. Administrator przypisuje te adresy ręcznie na stałe bądź przełącznik uczy się ich dynamicznie (na podstawie otrzymywanych ramek), wpisując je jednak do tablicy jako adresy stałe (permanent) i przestrzegając przy tym dozwolonego limitu. Zabezpieczanie portu włączamy poleceniem port secure w trybie konfiguracji interfejsu. Komenda port secure max-mac-count rozmiar pozwala dodatkowo określić maksymalną liczbę adresów MAC, które mogą być związane z tym interfejsem. Parametr rozmiar może przyjmować wartości od 1 do 132 (domyślnie 132). W poniższym przykładzie włączono zabezpieczanie interfejsu Et0/3, związane z nim mogą być maksymalnie 2 adresy MAC:SW1900(config)#interface et0/3

SW1900(config-if)#port secure

SW1900(config-if)#port secure max-mac-count 2Do próby złamania zabezpieczeń portu dochodzi wówczas, gdy wskazany interfejs próbuje dynamicznie nauczyć się kolejnego adresu MAC, przekraczając dozwolony limit. W powyższym przykładzie port Et0/3 nie może zarejestrować trzeciego dynamicznego adresu. Jako naruszenie zasad zabezpieczeń traktuje się również sytuację, gdy do zabezpieczanego portu dociera ramka z adresem źródłowym przypisanym wcześniej do innego zabezpieczanego portu. Globalne polecenie konfiguracyjne address-violation akcja pozwala określić działanie przełącznika wówczas, gdy w ramach zabezpieczanego portu zdarzy się jedna z przedstawionych sytuacji. Parametr akcja może przyjmować trzy następujące wartości:

Suspend (ustawienie domyślne) - praca portu jest wstrzymywana (kolor pomarańczowy). Port zostanie automatycznie odblokowany, gdy otrzyma ramkę z poprawnym (zarejestrowanym w ramach portu) adresem źródłowym.

Disable - port jest blokowany na stałe (kolor pomarańczowy). Należy odblokować go ręcznie (poleceniem no shutdown).

Ignore - mimo przekroczenia limitu adresów lub otrzymania ramki ze złym adresem port pozostaje odblokowany (kolor zielony).

Aktualną konfigurację dotyczącą portów zabezpieczanych można wyświetlić poleceniem show mac-address-table security. Jeżeli w wyniku złamania zasad zabezpieczeń port został zablokowany lub zawieszony, możemy to sprawdzić, wykonując znane z konfiguracji routerów polecenie show interfaces.

Sieci wirtualne VLAN

Maksymalna liczba adresów MAC dla zabezpieczanego portu nie może być mniejsza niż aktualna liczba adresów przechowywanych w tablicy przełącznika, związanych z tym portem (w przeciwnym razie pojawia się komunikat o błędzie). Wybrany rodzaj adresów MAC można usunąć wcześniej z tablicy poleceniem clear mac-address-table.

Domyślnie skonfigurowany przełącznik pracuje podobnie jak most - poszczególne porty wyznaczają niezależne domeny kolizyjne, ale wszystkie urządzenia podłączone do przełącznika pracują w jednej domenie rozgłoszeniowej, czyli komunikat rozgłoszeniowy wysłany z dowolnej stacji dociera do wszystkich pozostałych. W celu zwiększenia wydajności i bezpieczeństwa w naszej sieci możemy zmienić ten domyślny tryb

pracy przez utworzenie niezależnych wirtualnych sieci lokalnych VLAN. Sieć wirtualna pozwala logicznie grupować różne urządzenia niezależnie od ich fizycznego położenia, a więc w jednej sieci VLAN mogą się znaleźć stacje położone w różnych segmentach sieci, na różnych piętrach, w różnych budynkach. Wszystkie urządzenia należące do jednej sieci VLAN pracują w tej samej logicznej domenie rozgłoszeniowej, a różne sieci VLAN należą do różnych domen, więc komunikat rozgłoszeniowy wysłany przez stację konkretnej sieci VLAN nie dociera do stacji w innych sieciach wirtualnych. Dzięki zastosowaniu technologii VLAN można łatwo logicznie pogrupować zasoby, urządzenia i stacje klienckie zgodnie z wymogami organizacyjnymi firmy, a nie według ich fizycznej lokalizacji. Osoby pracujące nad wspólnymi projektami czy należące do tych samych działów firmy umieszczane są w tych samych sieciach VLAN (p. rys.). Rozwiązanie to zapewnia wymianę informacji w ramach zespołu oraz pozwala kontrolować ruch między grupami (sieciami VLAN), który domyślnie jest blokowany.Sieci VLAN tworzymy przez przypisanie do nich odpowiednich portów przełącznika, każdy port może należeć tylko do jednej sieci. Sieć VLAN może zawierać grupę portów z pojedynczego przełącznika, może być także rozpięta na kilku przełącznikach. Każda logiczna sieć VLAN pracuje tak, jak niezależny sprzętowy most, uruchamiając własny proces protokołu spanning-tree zapobiegający powstawaniu pętli wewnątrz sieci. Przełącznik tworzy sieć VLAN poprzez przekazywanie ramek tylko do portów należących do tej samej sieci - w ten sposób ogranicza się zasięg komunikacji skierowanej, multiemisji oraz komunikacji rozgłoszeniowej.

Konfigurując sieci VLAN, zawsze spotkamy się z pojęciem "kolorowania ramek". Każda sieć VLAN charakteryzuje się unikatowym identyfikatorem (VLAN ID), który bardzo często przedstawiany jest graficznie jako kolor przypisany do sieci VLAN. Ramce otrzymywanej przez port należący np. do zielonej sieci VLAN przypisuje się identyfikator tej sieci, czyli "koloruje" się ją na zielono. Wszystkie porty tej samej sieci VLAN malują wchodzące ramki na ten sam

kolor, a decyzje przełączania podejmowane są właśnie na podstawie parametru VLAN ID (koloru), czyli ramki zielone mogą być przełączone tylko do portów zielonych.Gdy do sieci VLAN należą porty z różnych przełączników, konieczne jest skonfigurowanie specjalnego połączenia między przełącznikami (trunk), poprzez które przekazuje się informacje o sieciach VLAN - jest ono ustanawiane przez interfejsy Fast-Ethernet (100 Mb/s). Połączenia typu trunk między przełącznikami realizowane są z wykorzystaniem specjalnego protokołu, np. ISL (Inter-Switch Link) firmy Cisco, dostępnego między innymi na przełącznikach Catalyst 1900 (przełącznik 1900 faktycznie obsługuje protokół Dynamic ISL). ISL pracuje w warstwie drugiej modelu OSI, wymaga interfejsów FastEthernet i może być stosowany na połączeniach punkt-punkt między dwoma przełącznikami, między przełącznikiem a routerem, a także między przełącznikiem a serwerem wyposażonym w specjalną kartę sieciową obsługującą protokół ISL (np. firmy Intel). Protokół ISL hermetyzuje standardowe ramki Ethernet, dodając własny 26-bajtowy nagłówek oraz sumę kontrolną CRC. Protokół ten musi być obsługiwany przez obydwa końce połączenia, w przeciwnym razie taka ramka będzie nieczytelna dla strony odbiorczej. Jednym z podstawowych pól nagłówkowych jest 15-bitowe pole VLAN ID, w którym umieszczany jest identyfikator sieci VLAN (kolor). Dzięki temu możliwe jest identyfikowanie i przesyłanie ramek różnych sieci VLAN przez pojedyncze łącze trunk (p. rys.). Tylko 10 bitów pola VLAN ID jest w praktyce wykorzystywane, co pozwala obsługiwać maksymalnie 1024 sieci VLAN.Administrowanie sieciami VLAN w rozbudowanych środowiskach, z dużą liczbą przełączników może być trudne i czasochłonne. Aby ułatwić spójne zarządzanie sieciami VLAN, należy skonfigurować protokół VTP (VLAN Trunking Protocol). Jego działanie opiera się na regularnie rozsyłanych (przez łącza trunk) komunikatach z informacjami o sieciach VLAN w ramach tzw. domeny VTP, czyli grupy połączonych ze sobą przełączników. Protokół VTP pozwala więc na wzajemną synchronizację między przełącznikami i zachowanie spójności w ramach domeny przy realizacji takich zadań, jak dodawanie, usuwanie czy

Korzystanie z protokołu ISL jest całkowicie niewidoczne dla stacji klienckich, a dzięki zastosowaniu układów sprzętowych ASIC hermetyzowanie ramek w protokole ISL odbywa się z prędkością łącza.

zmiana nazwy sieci VLAN. Przełącznik może pracować tylko w jednej domenie VTP w jednym z trzech trybów:

serwera - przełącznik może tworzyć, usuwać i modyfikować sieci VLAN. Zmiany zapamiętywane są lokalnie w pamięci NVRAM i przesyłane do wszystkich przełączników w domenie.

klienta - przełącznik nie może tworzyć, usuwać ani modyfikować sieci VLAN. Nie zapamiętuje żadnych informacji w pamięci NVRAM. W procesie synchronizacji otrzymuje wszystkie dane od innych przełączników w domenie, a otrzymane ogłoszenia przekazuje dalej.

przezroczystym (transparent) - przełącznik może tworzyć, usuwać i modyfikować sieci VLAN, ale zmiany przechowywane są tylko lokalnie i nie są przekazywane do innych przełączników. W tym trybie przełącznik nie synchronizuje informacji o sieciach VLAN z innymi przełącznikami, ale otrzymywane ogłoszenia przekazuje dalej.

Protokół VTP konfiguruje się za pomocą globalnego polecenia vtp. W poniższym przykładzie określono kolejno: domenę protokołu VTP (budynekA), tryb pracy (przezroczysty) oraz hasło zabezpieczające przed włączeniem się do sieci (i rozpropagowaniem własnych informacji o sieciach VLAN) "obcego" przełącznika. Jeżeli zdecydujemy się na zastosowanie hasła, wówczas to samo hasło musi być ustawione na każdym przełączniku w domenie, w przeciwnym razie protokół VTP nie będzie działał poprawnie:SW1900(config)#vtp domain budynekA

SW1900(config)#vtp transparent

SW1900(config)#vtp password hasloPrzełącznik Catalyst 1900 obsługuje do 64 sieci VLAN. Każda sieć VLAN ma unikatowy czterocyfrowy identyfikator z zakresu od 0001 do 1005. Tworząc nową sieć VLAN, należy przypisać jej numer oraz nazwę (nazwa może zostać utworzona automatycznie na podstawie numeru). Domyślnie utworzonych jest 5 wbudowanych sieci o specjalnym znaczeniu, (VLAN1, VLAN1002, VLAN1003, VLAN1004 i VLAN1005). Poniższe polecenie tworzy sieć VLAN o numerze 5 i nazwie vlan5:SW1900(config)#vlan 5 name vlan5Po utworzeniu sieci VLAN należy przypisać do nich odpowiednie porty przełącznika, można to zrobić statycznie (robi to ręcznie administrator) bądź dynamicznie z wykorzystaniem zewnętrznego serwera VMPS (może nim być specjalizowany serwer lub np. przełącznik Catalyst 5000). W tej drugiej metodzie wymagane jest skonfigurowanie bazy danych serwera VMPS, w której adresy fizyczne MAC poszczególnych klientów przypisane są do właściwych sieci VLAN. Kiedy na dynamicznym porcie przełącznika Catalyst 1900 pojawia się ramka, na podstawie jej adresu źródłowego generowane jest zapytanie do serwera VMPS w celu przypisania portu do właściwej sieci VLAN. Aby statycznie (bądź dynamicznie) przypisać port przełącznika do wybranej sieci VLAN, należy w trybie konfiguracji interfejsu posłużyć się poleceniem vlan-membership. W poniższym przykładzie

Aby tworzyć bądź usuwać sieci VLAN, przełącznik musi pracować w trybie serwera lub trybie przezroczystym protokołu VTP. Domyślnie przełącznik pracuje w trybie serwera.

przypisano port Et0/8 do sieci VLAN nr 5 (domyślnie wszystkie porty należą do sieci VLAN1):SW1900(config-if)#vlan-membership static 5Aby zweryfikować aktualnie zdefiniowane sieci VLAN, należy posłużyć się poleceniem show vlan. Natomiast przynależność poszczególnych portów do sieci VLAN można sprawdzić poleceniem show vlan-membership. Polecenie show spantree nr_vlan wyświetla

aktualny stan protokołu spanning-tree dla wybranej sieci VLAN (dla każdej sieci VLAN realizowany jest niezależny proces spanning-tree). Pokazywany jest między innymi stan pracy poszczególnych interfejsów, priorytet przełącznika oraz wykorzystywany adres MAC, a także typ protokołu spanning-tree (IEEE oznacza protokół 802.1d).Przełącznik Catalyst 1900 ma dwa porty FastEthernet (Fa0/26 - Port A i Fa0/27 - Port B), poprzez które można zestawić łącza trunk korzystające z protokołu ISL. W tym celu w konfiguracji interfejsu FastEthernet wykonujemy polecenie trunk opcja. Parametr opcja może przyjąć następujące wartości:

on - przełącznik negocjuje z drugą stroną połączenia włączenie trybu trunk (stałego łącza z protokołem ISL).

off - przełącznik negocjuje z drugą stroną połączenia wyłączenie trybu trunk. desirable - negocjowanie włączenia trybu trunk; połączenie typu trunk zostanie

ustanowione, jeśli druga strona ma włączoną opcję on, desirable lub auto, w przeciwnym wypadku będzie to port zwykły.

auto - włączenie trybu trunk tylko wtedy, gdy druga strona ma włączoną opcję on lub desirable.

nonnegotiate - włączenie na stałe trybu trunk bez negocjacji z drugą stroną połączenia.

Aby sprawdzić konfigurację połączeń typu trunk, można posłużyć się poleceniem show trunk port. Parametr port oznacza pierwszy (A) bądź drugi (B) port FastEthernet.Teraz zajmiemy się konfigurowaniem komunikacji między różnymi sieciami VLAN, co standardowo jest niemożliwe, gdyż sieci VLAN tworzą oddzielne domeny rozgłoszeniowe, rozdzielając ruch na poziomie warstwy drugiej modelu OSI. Wymiana informacji między sieciami VLAN wymaga zastosowania urządzenia warstwy trzeciej - routera (p. rys. powyżej). Stacje końcowe pracują w różnych sieciach VLAN, każde urządzenie ma przypisany adres warstwy sieciowej - adres IP, przy czym w poszczególnych sieciach VLAN stosowane są niezależne podsieci IP.Między przełącznikiem Catalyst 1900 (Port A) a routerem 2621, wyposażonym w 2 interfejsy FastEthernet, skonfigurowano łącze trunk, poprzez które do routera wysyłane są ramki z

Urządzenia pracujące w poszczególnych sieciach VLAN stosują adres IP odpowiedniego podinterfejsu routera jako adres domyślnej bramy.

poszczególnych sieci VLAN hermetyzowane w protokole ISL; konfigurację portu A na przełączniku 1900 opisaliśmy wcześniej. Aby router 2621 mógł poprzez jeden fizyczny interfejs FastEthernet obsługiwać ramki wszystkich sieci VLAN, konieczne jest utworzenie logicznych podinterfejsów w ramach interfejsu FastEthernet, po jednym dla każdej sieci VLAN. W tym przykładzie należy utworzyć dwa podinterfejsy i w każdym z nich włączyć hermetyzację ISL z numerem obsługiwanej sieci VLAN. Dodatkowo każdemu z podinterfejsów trzeba przypisać niezależny adres IP z podsieci sieci VLAN. W efekcie router będzie otrzymywał ramki z sieci VLAN 5 poprzez podinterfejs Fa0/0.1, a następnie będzie je routował do sieci VLAN 6 przez podinterfejs Fa0/0.2 (i odwrotnie). Rozwiązanie to nazywamy routingiem między sieciami VLAN. Pełna konfiguracja podinterfejsów routera 2621 wygląda tak:C2621(config)#interface Fa0/0.1

C2621(config-subif)#encapsulation isl 5

C2621(config-subif)#ip address 212.1.1.1 255.255.255.0

C2621(config-subif)#interface Fa0/0.2

C2621(config-subif)#encapsulation isl 6

C2621(config-subif)#ip address 199.1.1.1 255.255.255.0W tym rozwiązaniu korzystaliśmy z routera mającego pojedynczy interfejs fizyczny, w ramach którego definiowane było połączenie typu trunk z protokołem ISL. Ten sam efekt można uzyskać, jeśli router ma oddzielne

fizyczne połączenie dla każdej sieci VLAN.* * *W następnym artykule omówimy zagadnienia związane z komunikacją dodzwanianą i routingiem na żądanie. Przedstawimy między innymi korzystanie z połączeń ISDN.

Połączenie dodzwanianeAutor: Waldemar Pierścionek

W ostatnim odcinku naszej akademii zajmiemy się połączeniami dodzwanianymi do routera Cisco. Omówimy różne aspekty routingu na żądanie (DDR - Dial-on-Demand Routing) oraz wykorzystanie połączeń dodzwanianych

jako zapasowych.

PPP jest protokołem warstwy łącza danych modelu OSI, stosowanym do realizacji połączeń punkt-punkt. Działa on w ramach wielowarstwowej architektury (p. rys.), której najważniejszym składnikiem jest protokół LCP, oferujący zestaw dodatkowych usług: negocjowania warunków połączenia (w tym rozmiar ramki), sposobu uwierzytelniania i wykrywania błędów transmisji. Format ramki PPP bazuje na protokole ISO HDLC (nie jest on

zgodny z implementacją HDLC firmy Cisco). Podstawowe opcje dostępne w ramach protokołu PPP to:

Negocjowanie warunków połączenia (rozmiar ramki, kompresja danych, sposób uwierzytelniania, stosowanie połączenia multilink oraz opcji oddzwaniania callback).

Uwierzytelnianie węzła dzwoniącego - w dalszej części artykułu omówimy dwie metody uwierzytelniania: PAP i CHAP.

Kompresja danych za pomocą trzech różnych algorytmów (Predictor - dane skompresowane nie podlegają ponownej kompresji, Stacker - oparty na algorytmie LZ oraz MPPC - stosowany do obsługi połączeń z oprogramowaniem klienckim Microsoftu). Kompresję włącza się komendą konfiguracyjną interfejsu compress. Dodatkowo można ustawić kompresję nagłówka TCP poleceniem ip tcp header-compression.

Wykrywanie błędów transmisji oraz zapobieganie powstawaniu pętli. Obsługa połączeń typu multilink pozwala połączyć kilka fizycznych interfejsów w

jedno połączenie logiczne, dzięki czemu uzyskuje się równoważenie obciążenia i zwiększenie przepustowości. Podział ruchu PPP na fragmenty przesyłane równoległymi połączeniami opisany jest w dokumencie RFC 1717. W dalszej części artykułu przedstawimy praktyczną konfigurację dwu kanałów B interfejsu ISDN BRI w połączeniu typu multilink.

Oddzwanianie (callback) - router po przeprowadzeniu uwierzytelniania oddzwania do węzła inicjującego połączenie. Pozwala to lepiej zarządzać bezpieczeństwem oraz

kosztami połączenia.

Najwyższa warstwa architektury PPP to grupa protokołów NCP (Network Control Protocol) odpowiedzialnych za obsługę poszczególnych protokołów warstwy sieciowej. Na przykład do

przenoszenia protokołu IP służyć będzie komponent IPCP (Internet Protocol Control Protocol). Faza uzgodnienia protokołów sieciowych, które będą przenoszone w połączeniu PPP, realizowana jest po etapie negocjowania opcji połączenia (protokół LCP) i przeprowadzeniu uwierzytelniania.

Uwierzytelnianie w protokole PPP

Dostępne są dwie metody uwierzytelniania przy podłączaniu zdalnym: PAP oraz CHAP. Wyobraźmy sobie układ pary routerów, w której router C2600 dzwoni do routera C2600BIS z wykorzystaniem interfejsów ISDN - patrz rysunek.Stosując metodę PAP, router C2600 przesyła do routera C2600BIS parę informacji: nazwę użytkownika (nazwę hosta) oraz hasło.Router C2600BIS, posługując się na przykład lokalną bazą danych kont użytkowników, przeprowadza proces uwierzytelniania i akceptuje zdalne żądanie bądź je odrzuca. Wadą metody PAP jest przesyłanie hasła jawnym tekstem, co umożliwia przechwycenie ramek sieciowych i podsłuchanie hasła przez niepowołane osoby.Poniżej prezentujemy fragment konfiguracji routera C2600 dla interfejsu ISDN BRI 0/0, dotyczący protokołu PPP i metody CHAP. Poleceniem encapsulation ppp włączamy w ramach interfejsu hermetyzację PPP. Komenda ppp authentication PAP włącza wymagany sposób uwierzytelniania,

Niezależnie od długości hasła i treści łańcucha challenge wynik działania algorytmu MD5 jest zawsze 128-bitowy.

natomiast poleceniem ppp pap sent-username zdefiniowano nazwę użytkownika oraz hasło przesyłane do routera C2600BIS. Pokazana w przykładzie komenda username tworzy w lokalnej bazie danych konto użytkownika potrzebne w sytuacji, gdy router C2600BIS dzwoni do routera C2600. Podobny zestaw poleceń konfiguracyjnych należy wykonać również na routerze C2600BIS:C2600(config)# hostname C2600

C2600(config)#username C2600BIS password haslo

C2600(config)#interface BRI 0/0

C2600(config-if)#encapsulation ppp

C2600(config-if)#ppp authentication PAP

C2600(config-if)#ppp pap sent-username C2600 password hasloProces uwierzytelniania w metodzie CHAP jest bardziej złożony. Metoda jest też bezpieczniejsza - hasło nigdy nie jest przesyłane w sieci jawnym tekstem, a więc nie można go łatwo podsłuchać. Metoda CHAP opiera się na mechanizmie Challenge-Response i algorytmie MD5. Załóżmy, że router C2600 dzwoni do routera C2600BIS. Po wynegocjowaniu opcji połączenia w protokole LCP, router C2600BIS przesyła do routera C2600 niepowtarzalny łańcuch znaków - challenge. W pakiecie tym umieszczana jest również nazwa hosta C2600BIS. Router C2600 w lokalnej bazie danych odszukuje konto użytkownika z nazwą C2600BIS, a hasło tego konta wraz z otrzymanym łańcuchem challenge służy do wygenerowania 128-bitowego łańcucha hash, będącego wynikiem działania generatora opartego na algorytmie MD5.Wynik działania algorytmu MD5 wraz z nazwą routera C2600 odsyłany jest do routera C2600BIS jako pakiet response. Na podstawie hasła konta C2600 i wysłanego wcześniej pakietu challenge router C2600BIS wylicza algorytmem MD5 128-bitowy łańcuch i porównuje go z wartością otrzymaną w pakiecie response. Jeżeli obie wartości są identyczne, proces uwierzytelniania kończy się pomyślnie, w przeciwnym wypadku połączenie jest zrywane.Na rysunku poniżej prezentujemy działanie i fragment konfiguracji metody CHAP dla routerów C2600 i C2600BIS.W ramach konfiguracji interfejsu włączyć można obie metody uwierzytelniania PPP. Jeśli na przykład na routerze C2600BIS wykonano by polecenie ppp authentication chap pap, to router w fazie negocjowania

Aby metoda CHAP mogła działać poprawnie, na obydwu routerach należy założyć konto użytkownika o nazwie zgodnej z nazwą sąsiedniego routera. Hasło obydwu tych kont MUSI być identyczne.

Protokoły uwierzytelniania włączone w konfiguracji interfejsu dotyczą tylko komunikacji wchodzącej. Klient dzwoniący musi dostosować się do metod uwierzytelniania włączonych na routerze dostępowym. Router dzwoniący nie korzysta z ustawień polecenia ppp authentication.

Dla prezentowanej pary routerów proces uwierzytelniania realizowany jest w obie strony, to znaczy router C2600BIS weryfikuje router C2600 i odwrotnie. Pojedynczy proces uwierzytelniania ma miejsce na przykład przy dodzwanianym połączeniu klienta Windows 9x do routera Cisco.

warunków połączenia żądałby od klientów używania w pierwszej kolejności metody CHAP. Protokół PAP stosowany będzie dla tych klientów, którzy nie obsługują metody CHAP.Przebieg procesu uwierzytelniania można obserwować za pomocą

polecenia debug ppp authentication.

Technologia ISDN

ISDN gwarantuje cyfrową transmisję na całej trasie między klientem dzwoniącym a węzłem końcowym. Przy zwykłych połączeniach analogowych przekaz cyfrowy uzyskujemy na odcinku między komputerem klienckim a modemem oraz w "chmurce" usługodawcy; niestety, na odcinku między modemem dostępowym a usługodawcą komunikacja jest analogowa. W sieci ISDN komunikacja między dwoma węzłami na całej trasie jest cyfrowa. Z punktu widzenia końcowego użytkownika, wykorzystującego dodzwaniane połączenia ISDN, zwrócić należy uwagę na następujące elementy:

zintegrowany dostęp do wielu usług (przekaz danych, głosu, wideo); możliwość uruchamiania aplikacji wymagających zdalnego dostępu do sieci firmowej, Internetu oraz zasobów WWW;

znacznie szybszy przekaz danych z wykorzystaniem kanałów B (64 Kb/s każdy) w porównaniu z komunikacją poprzez modemy analogowe (zwykle od 28 do 56 Kb/s);

znacznie szybszy proces ustanawiania połączenia z wykorzystaniem wydzielonego kanału D, procedura zestawienia połączenia (call setup) realizowana jest poniżej jednej sekundy;

połączenia dodzwaniane ISDN są rozwiązaniem tańszym niż linie dzierżawione.

Międzynarodowa unia telekomunikacyjna ITU-T definiuje obecnie dwa typy interfejsu dostępowego do sieci ISDN, określającego fizyczne połączenie między klientem końcowym a usługodawcą. Są to interfejsy BRI (Basic Rate Interface) oraz PRI (Primary Rate Interface). Interfejs BRI, oznaczany czasami jako 2B+D, ma dwa kanały B (B1 oraz B2) o przepustowości 64 Kb/s każdy oraz jeden kanał D (Delta) o przepustowości 16 Kb/s. Kanały B wykorzystywane są do cyfrowej obsługi głosu oraz do szybkiej transmisji danych w komunikacji opartej na przełączaniu obwodów (circuit-switched). Dane przesyłane są zwykle w postaci ramek protokołów PPP czy HDLC. Kanał D wykorzystywany jest przede wszystkim do celów sygnalizacyjnych, w tym obsługi procedury ustanawiania i zrywania połączenia. Ruch w kanale D realizowany jest z wykorzystaniem specjalizowanego protokołu warstwy drugiej LAPD.Interfejs PRI zapewnia w krajach Ameryki Północnej oraz w Japonii 23 kanały B po 64 Kb/s oraz jeden kanał D (64 Kb/s), dając prędkość zgodną ze standardem T1 (1,544 Mb/s). W Europie interfejs PRI ma 30 kanałów B (po 64 Kb/s) oraz jeden kanał D (64 Kb/s), zapewniając prędkość E1 (2,048 Mb/s). Szacując łączną przepustowość interfejsów BRI oraz PRI, należy dodatkowo uwzględnić kanał synchronizacyjny, np. w Europie interfejs PRI

zapewnia 32 kanały po 64 Kb/s (30 kanałów B, jeden kanał D i jeden kanał synchronizacyjny). W dalszej części artykułu zajmiemy się konfigurowaniem

połączeń poprzez interfejs BRI. Poniższy rysunek przedstawia warstwową architekturę protokołów tworzących technologię ISDN w odniesieniu do modelu siecio-wego OSI. Warto zwrócić uwagę na różne protokoły wykorzystywane na poszczególnych warstwach, niezależnie dla kanałów B i kanału D.Na rysunku widać, że kanały B nie bazują na własnych, specjalizowanych protokołach warstwy drugiej i trzeciej. Zamiast nich do przenoszenia pakietów warstwy sieciowej (np. IP) wykorzystuje się jeden ze standardowych protokołów warstwy łącza danych sieci WAN. Pracę warstwy sieciowej w kanale D definiuje standard Q.931, określający komunikację między terminalem końcowym a lokalnym przełącznikiem ISDN. Warstwę drugą w kanale D opisuje protokół LAPD (standard Q.921), który odpowiedzialny jest między innymi za adresowanie sprzętowe w ramach kilku (do 8) urządzeń podłączonych do wspólnej magistrali oraz rozróżnianie i obsługę różnych typów ramek. Kanały B oraz kanał D współdzielą warstwę fizyczną, która pracuje zgodnie z jednym ze standardów: I.430 dla interfejsu BRI z magistralą S/T, I.431 dla interfejsu PRI, ANSI T1.601 dla interfejsu BRI i magistrali U w Ameryce Północnej. Warstwa fizyczna multipleksuje ruch z poszczególnych kanałów ISDN, tworząc ciągły strumień, w którym każdy bit pełni specyficzną funkcję. Proces ten nazywamy ramkowaniem (framing). Proces ustanawiania połączenia poprzez interfejs BRI składa się z następujących etapów:

1. Inicjowanie połączenia. Wywoływany numer wysyłany jest kanałem D do lokalnego przełącznika ISDN. Za realizację funkcji kontrolnych połączenia odpowiedzialny jest kanał D (ustanowienie, sygnalizacja i zerwanie połączenia).

2. Lokalny przełącznik, korzystając z protokołów sygnalizacyjnych SS7 (Signaling System 7), wyznacza ścieżkę i przekazuje wywoływany numer do końcowego przełącznika ISDN.

3. Zdalny przełącznik ISDN wywołuje urządzenie docelowe poprzez kanał D. 4. Po otrzymaniu odpowiedzi od urządzenia końcowego, ustanawiane jest połączenie

jednego kanału B w trybie jeden-do-jeden (end-to-end). Kanał odpowiedzialny jest za obsługę konwersacji lub transmisji danych. Można dodatkowo uaktywnić drugi kanał B i wykorzystywać obydwa jednocześnie.

Technologia ISDN definiuje szereg urządzeń oraz standardów komunikacyjnych realizowanych w formie interfejsów między poszczególnymi komponentami (standardy ITU-T E.163, E.164, I.100, I.400, Q.921, Q.931). W dalszej części artykułu skupimy się na tych jej składnikach, które dotyczą różnych sposobów podłączania routera Cisco do sieci ISDN z wykorzystaniem interfejsu BRI. Typowe rozwiązania przedstawia rysunek.

Nigdy nie należy łączyć interfejsu ISDN BRI U routera z urządzeniem NT1, gdyż grozi to zniszczeniem portu.

Oto znaczenie poszczególnych elementów pokazanych na rysunku:

TE1 (Terminal Equipment 1) - urządzenie zgodne z siecią ISDN, w tym wypadku router z interfejsem do

sieci ISDN. Urządzenie TE1 łączy się z siecią ISDN dostawcy poprzez urządzenie NT1.

NT1 (Network Termination Type 1) - dokonuje konwersji sygnału BRI do postaci wykorzystywanej na cyfrowych liniach ISDN. Urządzenie NT1 łączy lokalnego klienta (router) z przełącznikiem ISDN dostawcy poprzez tzw. pętlę lokalną (local loop).

S/T (System/Terminal reference point) - czterożyłowy interfejs między

urządzeniem TE1 i NT1, pracujący zgodnie ze standardem ITU I.430. Do magistrali S/T podłączyć można kilka urządzeń, które rozróżniane są przez identyfikator TEI (Terminal Endpoint Identifier) nadawany dynamicznie przez przełącznik ISDN. Jeżeli router wyposażony jest w port ISDN BRI S/T (np. karta WIC 1B S/T), oznacza to, że interfejs ISDN ma wbudowane urządzenie TE1, a komunikacja z siecią ISDN dostawcy musi być realizowana przez urządzenie NT1.

U (User reference point) - definiuje dwużyłowy interfejs między urządzeniem NT1 a "chmurką" ISDN. Jeżeli router ma port ISDN BRI U, oznacza to, że interfejs ISDN ma wbudowane urządzenia TE1 i NT1.

Routing na żądanie

DDR (Dial-on-Demand Routing) to mechanizm pozwalający na dynamiczne zestawianie dodzwanianego połączenia między routerami Cisco, wykorzystywanego następnie do przesłania pakietów danych bądź aktualizacji routingu. Dzięki zastosowaniu routingu DDR nie jest konieczne utrzymywanie stałego łącza między zdalnym oddziałem a centralą firmy. Połączenie zestawiane jest tylko po to, aby przesłać wymagane dane; następnie jest zrywane, co pozwala zmniejszyć koszty komunikacji. Routing DDR znalazł zastosowanie przede wszystkim tam, gdzie zdalne oddziały i ich pracownicy sporadycznie potrzebują dostępu do sieci firmowej, a poprzez zestawione połączenie przesyła się niewielkie ilości danych. Połączenia dodzwaniane z wykorzystaniem mechanizmu DDR realizuje się zwykle poprzez publiczną sieć telefoniczną (PSTN) lub z wykorzystaniem technologii ISDN. Rysunek poniżej przedstawia typową topologię, w której dwa routery komunikują się z wykorzystaniem routingu DDR poprzez sieć ISDN.Wyobraźmy sobie sytuację, w której klient przed routerem C2600 (212.1.1.10) chce wysłać dane do klienta za routerem C2600BIS (215.1.1.10). Router C2600 po otrzymaniu pakietu od swojego klienta odszukuje w tabeli routingu trasę do sieci docelowej 215.1.1.0 oraz wybiera interfejs, przez który pakiet należy wysłać. Jeśli jest to interfejs BRI 0/0, dla którego włączono routing DDR, sprawdza się, czy pakiet

należy do tzw. ruchu "oczekiwanego" (definiowanego przez administratora), który jest uprawniony do wywołania procedury ustanawiającej połączenie. Jeżeli pakiet spełnia ten warunek, odszukuje się

instrukcję wiążącą (polecenie dialer map) adres ip następnego routera na trasie (199.1.1.2) z numerem, pod który należy zadzwonić. Jeśli interfejs BRI 0/0 jest akurat aktywny, znaczy to, że połączenie było ustanowione wcześniej, a więc zeruje się tylko zegar czasu bezczynności (idle); w przeciwnym wypadku rozpoczyna się procedura ustanowienia połączenia (call setup). Po zestawieniu łącza między routerami C2600 i C2600BIS przesyłane są zarówno pakiety ruchu oczekiwanego, jak i

nieoczekiwanego (ruch nieoczekiwany nie może zestawić połączenia). Po zakończeniu transmisji i upływie skonfigurowanego czasu bezczynności połączenie jest zrywane. Działanie routingu DDR przedstawia schemat obok.Wykorzystując omawiany wcześniej przykład, skonfigurujmy w pełni routing DDR na routerze C2600 (odpowiednie polecenia będą konieczne również na routerze C2600BIS). Zaczniemy od nauczenia routera C2600 trasy do sieci 215.1.1.0 za routerem C2600BIS. W zasadzie nie należy uruchamiać routingu dynamicznego między routerami C2600 i C2600BIS - z powodu regularnych aktualizacji protokoły routingu dynamicznego zestawiałyby połączenie ISDN. Lepszym rozwiązaniem będzie wpisanie na routerze trasy statycznej wiodącej do sieci 215.1.1.0 przez router 199.1.1.2:C2600(config)#ip route 215.1.1.1.0

255.255.255.0 199.1.1.2Ten sam efekt uzyskamy dzięki poleceniu:C2600(config)#ip route 215.1.1.0

255.255.255.0 BRI 0/0Zamiast definiowania tras do konkretnych sieci docelowych można określić na routerze C2600 adres domyślnego routera (brama ostatniej szansy), do którego wysyłane będą wszystkie pakiety z nieznanymi adresami docelowymi:C2600(config)#ip route 0.0.0.0 0.0.0.0 199.1.1.2Następnym etapem konfiguracji routera C2600 będzie określenie ruchu oczekiwanego, który może wywołać procedurę ustanowienia połączenia. Realizuje się to za pomocą globalnego polecenia konfiguracyjnego dialer-list numer protocol nazwa_protokolu [permit | deny | list numer_listy]. Parametr numer wykorzystany będzie potem do przypisania tak zdefiniowanego filtru do wybranego interfejsu (może przyjmować wartość od 1 do 10). Jako dozwolony protokół (parametr nazwa_protokołu) wskazać można między innymi: IP, IPX, AppleTalk,

Decnet. Opcjonalny parametr list numer_listy pozwala zastosować listę dostępu w procesie klasyfikowania ruchu. Oczywiście wykorzystywane listy dostępu muszą zostać utworzone (omawialiśmy to w nrze 19/01). W poniższym przykładzie każdy pakiet IP jest uprawniony do wywołania połączenia z routerem C2600BIS (nie jest wykorzystywana lista dostępu):C2600(config)#dialer-list 5 protocol IP permitNastępny przykład pokazuje wykorzystanie rozszerzonej listy dostępu o numerze 103, dzięki której każdy ruch IP z wyjątkiem usługi Telnet (port 23) oraz usługi WWW (port 80) będzie mógł inicjować połączenie:C2600(config)#access-list 103 deny tcp any any eq 23

C2600(config)#access-list 103 deny tcp any any eq 80

C2600(config)#access-list 103 permit ip any any

C2600(config)#dialer-list 5 protocol IP list 103Zanim przejdziemy do konfiguracji konkretnego interfejsu BRI, musimy określić wymagane parametry globalne. Aby poprawnie działał proces uwierzytelniania metodą CHAP w protokole PPP, należy utworzyć konto użytkownika dla routera C2600BIS:C2600(config)#username C2600BIS password hasloBardzo ważne jest również określenie właściwego typu przełącznika ISDN wykorzystywanego przez dostawcę. Od tego zależy na przykład procedura ustanawiania połączenia (call setup). Typy przełączników wykorzystywane w różnych częściach świata przedstawia tabela.Dla routera C2600 włączymy typ przełącznika ISDN wykorzystywany w Europie:C2600(config)#isdn switch-type basic-net3Konfigurację interfejsu BRI 0/0 na routerze C2600 zaczynamy od włączenia typu hermetyzacji PPP oraz metody uwierzytelniania CHAP. Przypisujemy adres IP:C2600(config)#interface BRI 0/0

C2600(config-if)#encapsulation ppp

C2600(config-if)#ppp authentication CHAP

C2600(config-if)#ip address 199.1.1.1 255.255.255.0Następnie przypisujemy do interfejsu zdefiniowaną wcześniej (poleceniem dialer-list) listę wyznaczającą ruch oczekiwany:

Polecenie isdn switch-type wykonane w trybie konfiguracji globalnej dotyczy wszystkich interfejsów BRI. Wybrany typ przełącznika ISDN można także włączyć w ramach konfiguracji konkretnego interfejsu (tą samą komendą).

Państwo Typ przełącznika ISDN

Stany Zjednoczonei Kanada

AT&T 5ESS i 4ESS,Northern Telecom DMS-100

Francja VN2, VN3

Japonia NTT

Wielka Brytania Net3 i Net5

Europa Net3

Dla niektórych typów przełącznika ISDN może być wymagane dodatkowo określenie identyfikatora (bądź dwóch identyfikatorów) profilu SPID (Service Profile Identifier) przypisanego do danego połączenia. Identyfika-tor SPID to łańcuch znaków identyfikujący klienta końco-wego względem przełącznika. Korzystanie z przełącznika DMS-100 wymaga zdefiniowania identyfikatorów SPID, co realizujemy poleceniami: isdn spid1 oraz isdn spid2.

C2600(config-if)#dialer-group 5Decydującym poleceniem konfiguracji interfejsu BRI 0/0 jest komenda dialer map. Dzięki niej adres IP zdalnego routera (w naszym przykładzie C2600BIS) wiąże się z numerem, na który należy zadzwonić, kierując ruch na ten adres. W poleceniu wskazuje się dodatkowo nazwę routera zdalnego oraz opcjonalnie włącza obsługę komunikacji rozgłoszeniowej (opcja broadcast):C2600(config-if)#dialer map ip 199.1.1.2 name C2600BIS 60Można również zmienić domyślny czas rozłączania w razie braku ruchu na połączeniu (domyślnie wynosi on 120 sekund):C2600(config-if)#dialer idle-timeout 180Oto pełna konfiguracja routera C2600 dla routingu DDR:hostname C2600

username C2600BIS password 0 haslo

isdn switch-type basic-net3

!

interface BRI0/0

ip address 199.1.1.1 255.255.255.0

encapsulation ppp

dialer idle-timeout 180

dialer map ip 199.1.1.2 name C2600BIS 60

dialer-group 5

isdn switch-type basic-net3

ppp authentication chap

!

ip route 215.1.1.0 255.255.255.0 199.1.1.2

dialer-list 5 protocol ip permitAby aktywować połączenie dodzwaniane, możemy na przykład wykonać polecenie ping 215.1.1.1 (bądź ping 199.1.1.2). Aktualny status połączenia ISDN wyświetlić można poleceniem show isdn status. Zwróćmy uwagę na wykorzystywany typ przełącznika (basic-net3), stan połączenia (active) dla wszystkich trzech warstw oraz wykorzystywany domyślnie kanał B1. Parametr TEI pokazywany na warstwie drugiej (Q.921) to adres fizyczny urządzenia przypisywany dynamicznie przez przełącznik:C2600#show isdn status

Global ISDN Switchtype = basic-net3

ISDN BRI0/0 interface

dsl 0, interface ISDN Switchtype = basic-net3

Layer 1 Status:

ACTIVE

Layer 2 Status:

TEI = 68, Ces = 1, SAPI = 0, State = MULTIPLE_FRAME_ESTABLISHED

Layer 3 Status:

1 Active Layer 3 Call(s)

CCB:callid=801C, sapi=0, ces=1, B-chan=1, calltype=DATA

Active dsl 0 CCBs = 1

The Free Channel Mask: 0x80000002

Total Allocated ISDN CCBs = 1Aktywne połączenia ISDN można zweryfikować poleceniem show isdn active. Wyświetlane są m.in.: wywoływany numer, nazwa routera zdalnego oraz czas połączenia. Wszystkie połączenia aktywne oraz historię nieaktywnych można zobaczyć po wykonaniu komendy show isdn history.Obserwowanie procesu ustanawiania i zrywania połączenia oraz wykrywanie ewentualnych błędów możliwe jest za pomocą komendy debug. Poniżej prezentujemy komunikaty opisujące proces ustanawiania połączenia, z których początkowe dwa są efektem wykonania polecenia debug dialer (komenda ping z adresem 215.1.1.1 spowodowała wywołanie numeru 60). Końcowe komunikaty pochodzą z procesu zrywania połączenia, co spowodowane zostało upływem dozwolonego czasu bezczynności (idle):C2600#deb dialer

Dial on demand events debugging is on

C2600#ping 215.1.1.1

03:12:29: BR0/0 DDR: Dialing cause ip (s=199.1.1.1, d=215.1.1.1)

03:12:29: BR0/0 DDR: Attempting to dial 60

03:12:141733920767: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up

03:12:32: BR0/0:1 DDR: dialer protocol up

03:12:33: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1,

changed state to up

03:12:38: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 60 C2600BIS

03:15:33: BR0/0:1 DDR: idle timeout

03:15:33: BR0/0:1 DDR: disconnecting call

03:15:33: %ISDN-6-DISCONNECT: Interface BRI0/0:1 disconnected

from 60 C2600BIS, call lasted 180 seconds

03:15:141733920772: %LINK-3-UPDOWN: Interface BRI0/0:1,

changed state to down

03:15:143907432876: BR0/0:1 DDR: disconnecting call

03:15:34: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1,

changed state to downSzczegółowy zestaw komunikatów dotyczących komunikacji z przełącznikiem ISDN w warstwie drugiej oraz ustanawiania i zrywania połączenia w warstwie trzeciej (Q.931) uzyskać można po uaktywnieniu poleceń debug isdn q921 i debug isdn q931.

Zapasowe połączenie ISDN

Omówiliśmy już działanie routingu na żądanie (DDR), w którym interfejsy BRI wykorzystywane były do dynamicznego, okresowego zestawiania połączeń przeznaczonych do obsługi niedużego ruchu. Połączenie ISDN

było w tym przypadku jedyną drogą komunikacji między routerami obsługującymi odległe oddziały firmy. Teraz zajmiemy się innymi zastosowaniami interfejsów ISDN BRI. Na poniższym rysunku routery łączące dwa oddziały firmy, oprócz bezpośredniego, dzierżawionego łącza poprzez sieć WAN (np. Frame Relay), mają możliwość zestawiania dodzwanianego połączenia ISDN.W tym przykładzie połączenie

dodzwaniane poprzez interfejsy BRI może pełnić rolę łącza zapasowego względem stałych obwodów PVC zestawionych przy użyciu sieci Frame Relay. Podstawowym powodem jest zapewnienie łączności między dwoma oddziałami firmy w przypadku uszkodzenia linii podstawowej. Jeśli nie ma pakietów podtrzymujących połączenie keepalive lub wykryto brak nośnej (carrier detect) na linii podstawowej, aktywowany jest interfejs zapasowy. W sytuacji przeciążenia linii podstawowej powyżej zdefiniowanego progu uruchomienie interfejsu zapasowego pozwala zwiększyć efektywną przepustowość dzięki jednoczesnemu wykorzystaniu połączeń: podstawowego i zapasowego. Bazując na powyższym rysunku, określimy interfejs BRI 0/0 na routerze C2600 jako zapasowy dla interfejsu Serial 0/0. W tym celu w konfiguracji interfejsu Serial 0/0 wykonujemy polecenie:C2600(config-if)#backup interface BRI 0/0Dodatkowo za pomocą komendy backup delay określamy czas opóźnienia między uszkodzeniem łącza podstawowego a uruchomieniem interfejsu zapasowego oraz czas opóźnienia między ponownym włączeniem linii podstawowej a dezaktywacją interfejsu zapasowego. Obydwa czasy wyrażane są w sekundach; zastosowanie wartości never

zabezpiecza interfejs drugorzędny przed aktywacją lub dezaktywacją. W poniższym przykładzie interfejs zapasowy uaktywniany jest po 60 sekundach od upadku linii podstawowej (Serial 0/0) i nigdy nie jest dezaktywowany. Zastosowanie opcji never jako czasu dezaktywacji zalecane jest tylko wówczas, gdy zapasowe połączenie dodzwaniane nie jest zbyt kosztowne:C2600(config-if)#backup delay 60 neverPrzeanalizujmy następujący przykład. Na interfejsach szeregowych Serial 0/0 routerów C2600 i C2600BIS skonfigurowano protokół Frame Relay. Interfejsy te pełnią rolę linii podstawowej. Interfejsy BRI 0/0 skonfigurowano jako drugorzędne (dla Serial 0/0) - patrz rys. Następnie na obydwu routerach włączono protokół routingu dynamicznego RIP dla wszystkich sieci lokalnych (dla routera C2600 są to sieci 212.1.1.0, 198.1.1.0 i 199.1.1.0) i dodatkowo do tabeli routingu wpisano statyczną trasę do sieci lokalnej sąsiada z parametrem dystansu administratorskiego równym 150 (większy niż 120 protokołu RIP), wiodącą przez interfejs BRI 0/0:C2600(config)#ip route 215.1.1.0 255.255.255.0 199.1.1.2 150W efekcie przy normalnej pracy interfejsu Serial 0/0 w tabeli routingu routera C2600 pojawi się dynamicznie sieć 215.1.1.0 (C2600BIS), zgłaszana protokołem RIP przez interfejs szeregowy.C2600#sh ip route

C 212.1.1.0/24 is directly connected, Ethernet0/0

R 215.1.1.0/24 [120/1] via 198.1.1.2, 00:00:02, Serial0/0

C 198.1.1.0/24 is directly connected, Serial0/0Zauważmy, że trasa statyczna związana z interfejsem BRI 0/0 nie pojawia się w tabeli. Również sieć lokalna 199.1.1.0 interfejsu BRI 0/0 nie występuje w tabeli routingu. Wynika to z tego, że po określeniu interfejsu jako zapasowego jest on automatycznie blokowany i ustawiany w tryb oczekiwania standby. Dopóki działa interfejs podstawowy, drugorzędny nie może być wykorzystany. Status pracy interfejsu BRI 0/0 wyświetlić można poleceniem show interfaces BRI 0/0.Po wyłączeniu interfejsu podstawowego (np. poleceniem no clock rate w konfiguracji Serial 0/0) i po upływie zadeklarowanego czasu opóźnienia (60 sekund), uaktywniony zostanie interfejs BRI 0/0, a razem z nim w tabeli routingu pojawi się trasa statyczna prowadząca do sieci lokalnej sąsiada:C2600#sh ip route

C 212.1.1.0/24 is directly connected, Ethernet0/0

C 199.1.1.0/24 is directly connected, BRI0/0

S 215.1.1.0/24 [150/0] via 199.1.1.2Mimo że wszystkie sieci i interfejsy zostały zadeklarowane w protokole RIP, w tabeli routingu nie pojawiają się żadne zgłoszenia dynamiczne uzyskane przez interfejs BRI 0/0. Aktualizacje protokołu RIP nie mogą być rozgłaszane przez interfejs BRI 0/0, dopóki w poleceniu dialer map nie zastosujemy opcji broadcast:C2600(config-if) #dialer map ip 199.1.1.2 name C2600BIS 60 broadcast

Należy pamiętać, że uaktywnienie interfejsu drugorzędnego nie jest równoznaczne z automatycznym ustanowieniem połączenia dodzwanianego, o czym przekonać można się po sprawdzeniu stanu pracy kanałów BRI B1 i B2:C2600#show interfaces BRI0/0:1

BRI0/0:1 is down, line protocol is downDopiero wygenerowanie ruchu związanego np. z siecią 215.1.1.0 umożliwi fizyczne nawiązanie połączenia przez interfejs BRI 0/0. Warto zauważyć, że po ponownym uruchomieniu interfejsu podstawowego, po określonym czasie opóźnienia interfejs zapasowy i związane z nim trasy routingu zostaną wyłączone. W naszym przykładzie zastosowaliśmy jednak w poleceniu backup delay opcję never, co w praktyce oznacza, że interfejs drugorzędny nie zostanie wyłączony i w tabeli routingu pojawią się trasy związane zarówno z linią podstawową, jak i zapasową (protokół RIP wypiera trasę statyczną do sieci 215.1.1.0):C2600#sh ip route

C 212.1.1.0/24 is directly connected, Ethernet0/0

C 199.1.1.0/24 is directly connected, BRI0/0

R 215.1.1.0/24 [120/1] via 198.1.1.2, 00:00:23, Serial0/0

C 198.1.1.0/24 is directly connected, Serial0/0Ponowne włączenie trybu oczekiwania standby dla interfejsu zapasowego BRI 0/0 realizuje się ręcznie sekwencją poleceń shutdown i no shutdown.Innym sposobem zastosowania interfejsu drugorzędnego jest uruchamianie go w razie nadmiernego ruchu na linii podstawowej. Okresowe przeciążanie interfejsu podstawowego skutkuje aktywacją interfejsu zapasowego i w efekcie transmisja danych realizowana będzie przez obydwa łącza. Konfigurujemy ten mechanizm poleceniem konfiguracyjnym interfejsu backup load [próg_aktywacji | never] [próg_dezaktywacji | never].Pierwszy parametr oznacza brzegowy próg obciążenia, powyżej którego uruchamiany jest interfejs zapasowy. Wyrażany jest on jako procent całego dostępnego pasma dla linii podstawowej. Interfejs zapasowy uaktywniany jest, gdy średnia ważona ruchu na linii podstawowej obliczona z ostatnich pięciu minut przekroczy dozwoloną wartość. Drugi parametr to wartość progowa obciążenia, poniżej której dezaktywowany jest interfejs drugorzędny. Obydwa parametry komendy backup load mogą przyjmować wartość never, co oznaczałoby kolejno brak aktywacji w ogóle oraz brak dezaktywacji łącza zapasowego. W poniższym przykładzie interfejs drugorzędny uruchamiany będzie, gdy ruch na linii podstawowej przekroczy 50 procent dostępnego pasma. Interfejs zapasowy zostanie wyłączony, gdy łączne obciążenie obydwu linii spadnie poniżej 10 procent dostępnego pasma linii podstawowej:C2600(config-if)#backup load 50 10

Konkretny interfejs fizyczny (np. BRI 0/0) może być skonfigurowany jako drugorzędny tylko dla jednego interfejsu głównego (np. Serial 0/0 albo Serial 0/1), ale nie dla obydwu.

Wróćmy jeszcze do omawianego przykładu dwu routerów C2600 i C2600BIS. Załóżmy, że w konfiguracji interfejsów Serial 0/0 wykonano polecenie backup load, a dodatkowo zmodyfikowano komendę dialer map w interfejsach BRI 0/0, tak aby umożliwić przesyłanie komunikacji rozgłoszeniowej (broadcast), czyli działanie protokołu RIP. Po uaktywnieniu interfejsu zapasowego (BRI 0/0) z powodu nadmiernego ruchu na linii podstawowej (Serial 0/0) w tabeli routingu routera C2600 pojawią się dwie równoległe (z jednakową metryką) trasy do sieci 215.1.1.0 - przez interfejs Serial 0/0 i BRI 0/0:C2600#sh ip route

C 212.1.1.0/24 is directly connected, Ethernet0/0

199.1.1.0/24 is variably subnetted, 2 subnets, 2 masks

C 199.1.1.2/32 is directly connected, BRI0/0

C 199.1.1.0/24 is directly connected, BRI0/0

R 215.1.1.0/24 [120/1] via 198.1.1.2, 00:00:17, Serial0/0

[120/1] via 199.1.1.2, 00:00:17, BRI0/0

C 198.1.1.0/24 is directly connected, Serial0/0Interfejs fizyczny BRI 0/0, skonfigurowany jako zapasowy dla innego interfejsu (np. Serial 0/0), uruchamiany jest w trybie nieaktywnym standby i nie może być wykorzystany do innych celów, np. do realizacji połączeń na żądanie DDR z zupełnie innym routerem zdalnym. Rozwiązaniem

tego problemu jest zastosowanie tzw. profili wyboru połączenia (dialer profiles). Jest to dość rozbudowany i złożony mechanizm, skupimy się więc tylko na tych jego elementach, które pozwolą wykorzystać fizyczny interfejs BRI 0/0 jako linię zapasową dla innego interfejsu podstawowego, ale jednocześnie ten sam interfejs BRI 0/0 będzie stosowany w ramach routingu na żądanie DDR. We wcześniejszych przykładach konfigurowaliśmy bezpośrednio interfejs fizyczny (BRI 0/0), co określało zawsze te same warunki połączeń realizowanych przez ten interfejs. Dzięki zastosowaniu profili połączeń można przygotować zestawy unikatowych opcji wykorzystywanych niezależnie do komunikacji z różnymi odległymi węzłami.Charakterystycznym elementem połączeń profilowych są interfejsy typu dialer, określające warunki połączenia z konkretnym punktem docelowym. Są to interfejsy logiczne, w ramach których określamy m.in.: adres warstwy sieciowej, typ hermetyzacji, sposób uwierzytelniania, sposób ustanawiania połączenia. Interfejsy typu dialer pozwalają więc przenieść część poleceń konfiguracyjnych z poziomu interfejsu fizycznego (np. BRI

0/0) do interfejsu profilowego. Interfejs logiczny dialer powiązany jest z pulą interfejsów fizycznych, z których może korzystać. W praktyce, jeśli router chce zestawić połączenie przez interfejs dialer, wybiera z powiązanej z nim grupy jeden z interfejsów fizycznych. Po zakończeniu wywołania interfejs fizyczny zwracany jest do puli. Jeden interfejs fizyczny może należeć do kilku grup, stąd różne interfejsy dialer powiązane z różnymi pulami mogą w praktyce korzystać z tego samego interfejsu fizycznego. Polecenia konfiguracyjne dotyczące profilowych połączeń dodzwanianych omówimy na przykładzie pokazanym na rysunku.Router C2600 połączony jest z routerem C2600BIS poprzez sieć Frame Relay, jest to linia podstawowa. Połączenie przez sieć ISDN ma stanowić linię zapasową, jednocześnie chcielibyśmy, aby interfejs BRI 0/0 routera C2600 mógł być wykorzystywany przez routing na żądanie DDR w komunikacji z routerem C2600BISB. W tym celu na routerze C2600 tworzymy dwa interfejsy dialer, odpowiednio Dialer 1 i Dialer 2 (poleceniem konfiguracyjnym interface Dialer numer). Dialer 1 obsługiwać będzie połączenie zapasowe, Dialer 2 routing DDR.W ramach każdego z nich określamy odpowiedni adres IP, hermetyzację PPP oraz typ uwierzytelniania CHAP. Poleceniem dialer pool przypisujemy je odpowiednio do puli interfejsów fizycznych numer 1 i 2. Następnie w każdym interfejsie dialer określamy nazwę zdalnego routera (dialer remote-name) oraz wywołujemy numer do ustanowienia połączenia (dialer string). Poniżej pełna konfiguracja interfejsów Dialer 1 i Dialer 2 (polecenie dialer-group 5, tak jak opisywaliśmy wcześniej, dotyczy ruchu oczekiwanego):interface Dialer1

ip address 199.1.1.1 255.255.255.0

encapsulation ppp

dialer pool 1

dialer remote-name C2600BIS

dialer string 60

dialer-group 5

ppp authentication chap

!

interface Dialer2

ip address 197.1.1.1 255.255.255.0

encapsulation ppp

dialer pool 2

dialer remote-name C2600BISB

dialer string 62

dialer-group 5

ppp authentication chapW konfiguracji interfejsu fizycznego należy tylko włączyć typ hermetyzacji oraz sposób uwierzytelniania (jest to niezbędne do właściwego odbierania wywołań) oraz przypisać go do odpowiednich grup interfejsów fizycznych (dialer pool-member):interface BRI0/0

no ip address

encapsulation ppp

dialer pool-member 1

dialer pool-member 2

isdn switch-type basic-net3

ppp authentication chapW kolejnym punkcie interfejs Dialer 1 włączamy jako drugorzędny dla interfejsu Serial 0/0:interface Serial0/0

backup interface Dialer2Ponieważ jako interfejs zapasowy podany został Dialer 1, a nie BRI 0/0, ten ostatni nie będzie blokowany w trybie standby i dzięki temu dostępny dla połączeń DDR realizowanych poprzez interfejs Dialer 2. Poniżej przedstawiamy zawartość tabeli routingu przy poprawnej pracy interfejsu Serial 0/0. Na routerach C2600 i C2600BIS uruchomiony jest protokół RIP. Zwróćmy uwagę na sieć związaną z interfejsem Dialer 2 (przy odwołaniu do sieci 197.1.1.0 ustanowione zostanie połączenie DDR z routerem C2600BISB):C2600#sh ip route

C 197.1.1.0/24 is directly connected, Dialer2

C 212.1.1.0/24 is directly connected, Ethernet0/0

R 215.1.1.0/24 [120/1] via 198.1.1.2, 00:00:07, Serial0/0

C 198.1.1.0/24 is directly connected, Serial0/0Po awarii interfejsu Serial 0/0 aktywowany jest interfejs zapasowy Dialer 1. Ponieważ w konfiguracji protokołu RIP wykonano polecenie passive-interface Dialer 1, w tabeli routingu pojawia się wpis statyczny:C2600#sh ip route

C 197.1.1.0/24 is directly connected, Dialer2

C 212.1.1.0/24 is directly connected, Ethernet0/0

C 199.1.1.0/24 is directly connected, Dialer1

S 215.1.1.0/24 [150/0] via 199.1.1.2

Połączenia typu multilink

W połączeniu typu multilink kilka linii fizycznych tworzyć może jedno

połączenie logiczne, a dzięki równoważeniu ruchu na kilku równoległych łączach uzyskujemy znacznie większą przepustowość. Mechanizm multilink jest cechą protokołu PPP, a dokładniej opcją negocjowaną w ramach protokołu LCP. Zajmiemy się standardem multilink PPP (w skrócie MP) opublikowanym w dokumencie RFC 1990. Mechanizm ten pozwala dzielić pakiety na fragmenty, które są następnie wysyłane jednocześnie przez kilka równoległych linii punkt-punkt do tego samego adresu zdalnego. Kolejne linie połączenia multilink uruchamiane są na żądanie, zgodnie ze zdefiniowanym progiem obciążenia, przy czym obciążenie może być obliczane dla ruchu wchodzącego, wychodzącego lub badane w obie strony. Praktyczną konfigurację mechanizmu multilink przeprowadzimy dla sytuacji, w której dwa routery C2600 i C2600BIS komunikują się między sobą tylko poprzez sieć ISDN, a opcja multilink polegać będzie na agregacji obydwu kanałów B interfejsu BRI 0/0 - patrz rysunek.Oprócz omawianych już poleceń konfiguracyjnych, w ramach interfejsu BRI 0/0 należy włączyć opcję multilink komendą ppp multilink. Następnie określamy progową wartość obciążenia, po przekroczeniu której aktywowany jest drugi kanał B (początkowo wykorzystywany jest tylko jeden kanał). Realizuje się to poleceniem dialer load-threshold próg [inbound | outbound | either]. Parametr pierwszy próg może przyjmować wartość od 1 do 255 i określa, ile procent przepustowości pierwszego kanału B musi zostać wykorzystane, zanim uaktywniony będzie kanał drugi. Podawana tu wartość ma znaczenie procentowe, na przykład 128 oznacza 50 procent, a 255 to 100 procent dostępnej przepustowości. Wartość 1 dla parametru próg oznacza, iż drugi kanał będzie uruchamiany od razu. Drugi parametr polecenia dialer load-threshold wybiera kierunek, dla którego sprawdza się obciążenie (either oznacza zarówno ruch wejściowy, jak i wyjściowy). Oto przykładowa konfiguracja interfejsu BRI 0/0 dla routera C2600:C2600(config-if)#ppp multilink

C2600(config-if)#dialer load-threshold 128 eitherProces ustanawiania połączenia PPP z wykorzystaniem opcji multilink obserwować można za pomocą polecenia debug (debug dialer, debug isdn q931, debug isdn events, debug ppp multilink, debug ppp negotiation). Stan pracy kanałów B1 i B2 interfejsu BRI wykorzystywanych w połączeniu multilink weryfikować można za pomocą poleceń show interfaces, show ppp multilink, show isdn status, show dialer.