Učební texty

Transkript

Učební texty

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
Učební texty
Datové sítě III
Směrování
Vypracovala: Jana Bakalová
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
1
Obsah
Výukové cíle ............................................................................................................................................ 5
Předpokládané vstupní znalosti a dovednosti ........................................................................................... 5
1. Úvod ..................................................................................................................................................... 6
1.1
Hardwarová architektura směrovače ........................................................................................ 6
1.1.1
Komunikace se směrovači ................................................................................................. 6
1.1.2
Síťová rozhraní směrovače ................................................................................................ 7
1.1.3
Organizace pamětí ............................................................................................................. 7
1.1.4
Konfigurační registr ........................................................................................................... 8
1.1.5
Překonání neznámého hesla ............................................................................................... 8
1.2
Operační systém IOS .............................................................................................................. 10
2. Základní konfigurace operačního systému směrovače ....................................................................... 11
2.1
Hierarchie příkazů IOS ........................................................................................................... 11
2.1.1
2.2
Konfigurační dialog ......................................................................................................... 12
Základní příkazy ..................................................................................................................... 13
3. Konfigurační přístupy do směrovače, jejich zabezpečení a vzdálený přístup ................................... 14
3.1
Přístupy do směrovače a jejich zabezpečení........................................................................... 15
3.1.1
Konzolový port IOS ......................................................................................................... 15
3.1.2
Pomocný port (AUX) IOS ............................................................................................... 15
3.2
Vzdálený přístupy do směrovače a jejich zabezpečení .......................................................... 15
3.2.1
Telnet IOS ........................................................................................................................ 15
3.2.2
SSH IOS ........................................................................................................................... 16
3.2.3
Server http v IOS ............................................................................................................. 16
4. Konfigurace rozhraní LAN, WAN .................................................................................................... 17
4.1
Konfigurace rozhraní LAN ..................................................................................................... 18
4.2
Konfigurace rozhraní WAN .................................................................................................... 18
4.3
Konfigurace rozhraní Loopback (zpětná smyčka) .................................................................. 19
5. Statické směrování ............................................................................................................................. 19
5.1
Základní úloha směrovače ....................................................................................................... 19
5.2
Obsah a tvorba obsahu směrovací tabulky .............................................................................. 20
5.2.1
Metrika ............................................................................................................................. 21
5.2.2
Statické směrování (statická cesta) .................................................................................. 22
5.2.3
Asymetrické směrování ................................................................................................... 23
CZ.1.07/2.1.00/32.0045
2
5.2.4
Sumarizace (agregace) cest .............................................................................................. 23
5.2.5
Implicitní cesta ................................................................................................................. 24
5.3
Floating route .......................................................................................................................... 25
6. Záložní brána, vyvážení výkonu ........................................................................................................ 27
6.1
Load Balancing ....................................................................................................................... 27
6.2
Směrování na bázi Multitopologie .......................................................................................... 28
6.3
Záložní brána – Virtual Router Redundancy Protocol (VRRP) .............................................. 28
7. Dynamické směrovací protokoly ....................................................................................................... 31
7.1
Základní informace o směrovacích protokolech a jejich rozdělení......................................... 31
8. Dynamické směrovací protokoly s algoritmem DVA ....................................................................... 32
8.1
DVA (Distance-vector routing algorithm) .............................................................................. 32
8.1.1
8.2
Bellman-Ford algoritmus ................................................................................................. 32
RIPv1 ....................................................................................................................................... 33
8.2.1
Metrika RIP ...................................................................................................................... 33
8.2.2
Základní konfigurace RIPv1 ............................................................................................ 34
8.2.3
Proces zabránění vytvoření směrovací smyčky si popíšeme v následujících krocích: .... 40
8.3
RIPv2 ....................................................................................................................................... 43
8.4
Souhrn příkazů protokolu RIPv1 a RIPv2: ............................................................................. 44
8.5
EIGRP (Enhanced Interior Gateway Routing Protocol) ......................................................... 45
8.6
Souhrn základních příkazů protokolu EIGRP: ........................................................................ 47
9. Dynamické směrovací protokoly s algoritmem LSA......................................................................... 48
9.1
LSA - Link-state routing algorithm ......................................................................................... 48
9.1.1
9.2
Dijkstrův algoritmus ........................................................................................................ 49
OSPF ....................................................................................................................................... 49
9.2.1
OSPF area ........................................................................................................................ 51
9.2.2
Role směrovačů v OSPF: ................................................................................................. 52
9.2.3
Metrika OSPF .................................................................................................................. 54
10. Hierarchická struktura směrování .................................................................................................... 55
11. Autonomní systémy a směrování mezi nimi .................................................................................... 57
11.1
Border gateway protocol ..................................................................................................... 57
12. Zabezpečení směrovacích protokolů – autentizace.......................................................................... 63
12.1.1 Autentizace ...................................................................................................................... 63
12.2
Ověřování souseda (autentizace směrovače) ....................................................................... 64
12.2.1 Autentizace pomocí nechráněného hesla (plaintext heslo) .............................................. 64
CZ.1.07/2.1.00/32.0045
3
12.2.2 Autentizace pomocí MD5 otisku sdíleného tajemství ..................................................... 65
Doporučená a použitá literatura ............................................................................................................. 67
CZ.1.07/2.1.00/32.0045
4
Výukové cíle
Znát operační systém Cisco IOS směrovačů a využít ho k základním konfiguracím směrování:





hardwarová architektura a správa paměti
konzolové komunikační rozhraní
terminál Telnet a SSH
datové rozhraní
Ethernet Seriál
Principy směrování, statické směrování, směrovací tabulka.
Znát využití záložních cest (Load Balancing).
Orientovat se v problematice dynamického směrování – DVA, LSA.
Znát vlastnosti protokolů a umět použít DVA protokol RIP v1 a v2 a EIGRP.
Znát vlastnosti protokolu a umět použít LSA protokol OSPF a konfiguraci oblastí.
Umět zabezpečit směrovací protokoly.
Orientovat se rozsáhlých sítí s více autonomními systémy – BGP protokol.
Předpokládané vstupní znalosti a dovednosti
Absolvování kurzu DAS_I a DAS_II, jejichž obsahem je především teoretická znalost modelu
ISO/OSI a TCP/IP. Vědět jaké datové jednotky se na jednotlivých vrstvách pohybují. Jaké používají
protokoly a jaké hardwarové zařízení je možno na těchto vrstvách použít.
CZ.1.07/2.1.00/32.0045
5
1. Úvod
Dnes jedním z nejdůležitějších komponentů v počítačové síti je směrovač. Bez něho by Internet, jak
ho známe, nemohl existovat. Umějí totiž spoustu důležitých funkcí jako je podporování více různých
protokolů (např. Ethernet, token ring, …), propojují lokální sítě LAN s rozsáhlými sítěmi WAN,
izolují oblast do jedné sítě, zajišťují bezpečnostní opatření, automaticky zjistí další novou cestu
a vybere tu nejlepší. Už podle názvu je jasné, že hlavní funkcí je směrovat příchozí paket tam, kam je
určen od odesílatele v hlavičce paketu.
1.1
Hardwarová architektura směrovače
Směrovač má téměř stejnou HW strukturu jako počítač. Celkovou komunikaci mezi jednotlivými díly
zajišťuje základní deska, která rozvádí napájení od zdroje. Směrovač má CPU (centrální procesorovou
jednotku), paměť a na zadní straně porty a rozhraní pro různé síťové technologie. Oproti počítači
směrovač neobsahuje disk a ani žádné doplňkové moduly jako je grafická karta, zvuková karta či jiná.
Do směrovačů se instalují moduly pro práci v síti (rozhraní).
Obr. 1.1: Cisco směrovač
1.1.1 Komunikace se směrovači
Směrovače nemají monitor, klávesnici a ani myš. Abychom mohli směrovač konfigurovat, musíme
s ním umět komunikovat. Jelikož administrátoři mají často k fyzickým směrovačům daleko, mají hned
několik možností:



Z terminálu, který je umístěn na stejném pracovišti jako směrovač (zapojeno kabelem,
terminálem se většinou myslí běžný počítač).
Z terminálu, který je umístěn na jiném pracovišti, než je směrovač (terminál zapojen přes
modem, který je telefonicky spojen s druhým modemem, kde je zapojen směrovač).
Prostřednictvím sítě, do které je směrovač zapojený.
Způsoby přístupu ke směrovači:





Konzolový port
Pomocný port (AUX)
Telnet
SSH
Server http
CZ.1.07/2.1.00/32.0045
6
1.1.2 Síťová rozhraní směrovače
Síťová rozhraní (interface) odkazuje na fyzický port, který bývá většinou na zadní straně směrovače.
Jeho hlavní funkcí je přijímat a odesílat pakety. Fyzických portů má směrovač několik a můžou se lišit
rychlosti podle typu směrovače. Rozhraní můžeme taky přidat do slotů jako zásuvné moduly např.
High-Speed WAN Interface Card (HWIC nebo WAN interface Card (WIC) s například sériovými
konektory Smart Serial.
Obr. 1.2: Port Smart Serial, Obr. 1.3: Port FastEthernet
Každé rozhraní je typicky ve směrovači zapojeno do různých sítí (Cisco IOS nepovolí zapojit více
rozhraní do jedné sítě). Tyto sítě potřebují různé druhy konektorů a medií.


Pro připojení do sítí LAN obvykle směrovač používá rozhraní typu Fast Ethernet. Jako kabeláž
se použije kabel UTP cat 5a. Podle druhu propojovaných zařízení se použije buď přímý, nebo
křížený kabel (vysílací pár – přijímací pár). Dnes umí hodně zařízení funkci MDI/MDI-X, což
znamená, že je jedno, jestli použijeme přímý nebo překřížený kabel (kříží se vysílací
a přijímací pár) a zařízení si převede komunikaci, jak bude potřeba, držme se ale přesto zásady,
že zařízení tuto funkci mít nemusí. Na konci kabelu použijeme konektor RJ-45.
Pro připojení do sítí WAN směrovač používá různé typy sériových linek jako T1, DSL, IDSN
nebo technologii Frame Relay (časté, ale nyní už i Gigabit Ethernet).
1.1.3 Organizace pamětí
Směrovače používají různé typy paměti ke své činnosti.

Po zapnutí směrovače se spustí z pevné paměti ROM samozaváděcí program bootstrap, který
detekuje hardware a umožňuje zavést systém do podoby minimálního konfigurovatelného
stavu s příkazovým řádkem rommon >>. Podle nastavení konfiguračního registru začne
zařízení bootovat operační systém, který je většinou uložený v paměti flash. Poté podle
nastavení konfiguračního registru se případně načte počáteční nastavení (startup-config)
z paměti NVRAM a spustí se činnost směrovače, která uchovává svůj okamžitý stav v paměti
RAM. (running-config, po vypnutí se smaže).
CZ.1.07/2.1.00/32.0045
7
ROM
Bootstrap – loader =
Provede proceduru POST (Power on self test)
zavaděč
Flash paměť
Cisco IOS
Nalezne a zavede operační systém
ROM monitor,
omezená verze IOS
rommonmode >
TFTP server
ROM
confreg Ox2142
confreg 0x2102
NVRAM
TFTP Server
Configuration File konfigurační soubor config.text
Nalezne a zavede konfigurační soubor nebo
vstoupí do interaktivního režimu „configuration
dialog“.
1.1.4 Konfigurační registr
Umožňuje nastavit způsob spuštění směrovače. Význam
jednotlivých vah v registru znázorňuje výpis z aplikace
„Kalkulátor konfiguračního registru“ dostupného na:
http://www.hopasaurus.com/CISCO_confreg.html
1.1.5 Překonání neznámého hesla
Hesla jsou uložena společně s ostatním počátečním
nastavením v souboru config.text, který se vytváří příkazem:
copy running-config startup-config
Pokud někdo před námi vytvořil neznámé heslo do přístupu
na konzolu a heslo do privilegovaného módu, záleží na
nastavení konfiguračního registru. Při hodnotě 0x2102 se čte
výchozí konfigurace, kdežto při hodnotě 0x2142 se výchozí
konfigurace přeskakuje. V tomto případě nezáleží na heslech
uložených v souboru config.text a směrovač nabídne
konfigurační dialog.
Obr. 1.4: Nastavení konfiguračního registru, zdroj: [3]
CZ.1.07/2.1.00/32.0045
8
Obr. 1.5: Organizace paměti směrovače

Podle nastavení konfiguračního registru většinou hledá zavaděč operační systém IOS
(Internetwork Operating System) v paměti flash, která podle typu směrovače může být
vyjímatelná.
Obr. 1.6: Slot pro Flash paměť
Obr. 1.7: Flash paměť


Po zavedení operačního systému podle nastavení konfiguračního registru se většinou načte
startovací konfigurace směrovače (IP adresace, směrování, atd. …) z pevné paměti NVRAM
(nonvolatile RAM), která je energeticky nezávislá.
V dynamické paměti RAM (podobná operační paměti počítače) je uložena běžící konfigurace,
CZ.1.07/2.1.00/32.0045
9
směrovací tabulky a aktuální stav systémových proměnný. Po vypnutí napájení se informace
ztrácí.
1.2
Operační systém IOS
Zavedení operačního systému IOS předchází spuštění zavaděče bootstrap, jehož verze se vypisuje na
konzole. Operační systém IOS je většinou uložen v binárním archivovaném souboru, jehož název se
po nalezení (ze sítě nebo paměti flash) odpovídá výpisu verze IOS při startu po dearchivaci
symbolizovanou výpisem řady #. Po spuštění operačního systému je možno vypsat informace o IOS
včetně nastavení konfiguračního registru příkazem:
Router# show version
Výpis konzole:
System Bootstrap, Version 15.1(4)M4, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 2010 by cisco Systems, Inc.
Total memory size = 512 MB - On-board = 512 MB, DIMM0 = 0 MB
CISCO1941/K9 platform with 524288 Kbytes of main memory
Main memory is configured to 64/-1(On-board/DIMM0) bit mode with ECC disabled
Readonly ROMMON initialized
program load complete, entry point: 0x80803000, size: 0x1b340
program load complete, entry point: 0x80803000, size: 0x1b340
IOS Image Load Test
___________________
Digitally Signed Release Software
program load complete, entry point: 0x81000000, size: 0x2bb1c58
Self decompressing the image :
########################################################################## [OK]
Smart Init is enabled
smart init is sizing iomem
TYPE
MEMORY_REQ
Onboard devices &
buffer pools
0x01E8F000
----------------------------------------------TOTAL:
0x01E8F000
Rounded IOMEM up to: 32Mb.
Using 6 percent iomem. [32Mb/512Mb]
Restricted Rights Legend
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.1(4)M4, RELEASE SOFTWARE
(fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Thurs 5-Jan-12 15:41 by pt_team
Image text-base: 0x2100F918, data-base: 0x24729040
CZ.1.07/2.1.00/32.0045
10
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to
[email protected].
Cisco CISCO1941/K9 (revision 1.0) with 491520K/32768K bytes of memory.
Processor board ID FTX152400KS
2 Gigabit Ethernet interfaces
DRAM configuration is 64 bits wide with parity disabled.
255K bytes of non-volatile configuration memory.
249856K bytes of ATA System CompactFlash 0 (Read/Write)
Configuration register is 0x2142
2. Základní konfigurace operačního systému směrovače
Abychom mohli směrovač konfigurovat, musíme mít zprovozněnou konzoli (např. SW Putty,
HyperTerminal) připojenou rollover kabelem na rozhraní RS 232. Po připojení naskočí konfigurační
dialog, který nemá uloženou žádnou startovací konfiguraci (nebo ji přeskakuje nastavením
konfiguračního registru na 0x2142). Operační systém IOS má stovky příkazů a některé lze použít
kdekoliv v části IOS, ale některé pouze v určité oblasti. Tyto oblasti nazýváme módy.
2.1
Hierarchie příkazů IOS
Obr. 2.1: Hierarchie konfiguračních módů
CZ.1.07/2.1.00/32.0045
11
Uživatelský mód (User EXEC) má omezené oprávnění pro příkazy. Lze použít například neškodné
příkazy (např. connect, login, ping, show, …). Do privilegovaného módu se dostaneme příkazem:
Router>enable
Privilegovaný mód obsahuje příkazy, které mohou změnit konfiguraci směrovače. Do konfiguračního
módu se dostaneme příkazem:
Router#configure terminal
Konfigurační mód už zcela umožnuje veškerou konfiguraci směrovače. Lze zde použít příkazy
i z privilegovaného módu, ale před příkazem musí být použitá část příkazu „do“ (např.
Router(config)#do show running-config). Dalšími příkazy se můžeme dostat do konfiguračního módu
určitého interface nebo subinterface.
Router>
Uživatelský (User EXEC).
Router#
Privilegovaný (enable EXEC).
Router(config)#
Globální konfigurační (conf t EXEC).
Router(config-if)#
Konfigurace rozhraní (int xy EXEC).
Router(config-subif)#
Konfigurace pod-rozhraní (Subinterface xy
EXEC).
Router(config-line)#
Konfigurace linky (vty x y, console 0 0 EXEC).
Router(config-router)#
Konfigurace (nastavení) směrovacího protokolu
(router „protokol“ EXEC).
2.1.1 Konfigurační dialog
Po vyvolání instalačního režimu se objeví nápověda konfigurace (System Configuration Dialog).
Rozhodneme-li se pro použití nápovědy, nastavíme základní konfiguraci globální parametru. To jsou
základní informace (např. název a heslo směrovače, …). Pokud nezvolíme použití nápovědy,
dostaneme se do uživatelského módu a celé nastavení konfigurujeme sami.
Výpis instalačního režimu před vstupem do vlastního procesu úpravy konfigurace:
--- System Configuration Dialog --Continue with configuration dialog? [yes/no]:
CZ.1.07/2.1.00/32.0045
12
2.2
Základní příkazy
Editační příkazy směrovače:
?
Nabízí volby pokračování příkazu (nápověda).
Tab
Doplňuje započatý příkaz (pokud je jednoznačná
volba, nefunguje s použitím příkazu do).
Šipka
Nahoru, dolu – posuv v historii příkazů.
Esc
Ukončí výpis (např. show…).
Space
Posune výpis o stránku.
Důležité příkazy show:
Router#show?
Vypíše všechny dostupné příkazy show.
Router#show interfaces
Zobrazí statistiky pro všechna rozhraní.
Router#show interface serial 0
Zobrazí statistiky pro určité rozhraní, v tomto případě
Seriál 0.
Router#show ip interface brief
Zobrazí přehled všech rozhraní, včetně stavu (status)
a přiřazené IP adresy.
Router#show controllers serial 0
Zobrazí statistiky pro HW rozhraní. Statistiky
zobrazují, zda jsou nastaveny hodiny (clock rate) a zda
je kabel DCE, DTE a nebo není připojen.
Router#show clock
Zobrazí čas nastavený na zařízení.
Router#show hosts
Zobrazí lokální „kešovanou“ tabulku hosts (lokální
hostitel-IP adresa). Zde jsou názvy a IP adresy
hostitelů v síti, ke kterým se můžete připojit.
Router#show users
Zobrazí všechny uživatele připojené k zařízení.
Router#show history
Zobrazí historii použitých příkazů.
Router#show flash
Zobrazí informace o paměti Flash.
Router#show version
Zobrazí informace o zavedené verzi SW včetně
nastavení konfiguračního registru.
Router#show arp
Zobrazí tabulku ARP.
Router#show protocols
Zobrazí stav nastavených protokolů L3.
CZ.1.07/2.1.00/32.0045
13
Zobrazí konfiguraci uloženou v paměti NVRAM.
Router#show startup-config
Další užitečné konfigurační příkazy:
Router(config)#hostname R1
Změní název zařízení na „R1“.
R1(config)#enable password heslo
Nastaví plaintextové heslo na „heslo“ pro přístup
z uživatelského módu do privilegovaného módu.
R1(config)#no enable password heslo
Zruší plaintextové heslo.
R1(config)#enable secret heslo
Nastaví šifrované heslo na „heslo“. Šifrování
algoritmem MD5.
R1#copy running-config startup-config
Zkopíruje běžící konfigurační registr do paměti
NVRAM jako startovací konfiguraci.
R1#erase startup-config
Maže startovací konfiguraci.
R1#reload
Restartuje směrovač. Vhodné provést tento příkaz po
vymazání startovací konfigurace.
R1#delete flash:soubor
Vybereme soubor, který je na paměti flash a chceme
ho vymazat. (Pozor na vymazání celé flash!).
R1(config)#service password-encryption
Zapíná globální šifrování MD7 plaintextových hesel.
R1(config)#clock timezone EST-5
Nastaví časovou zónu pro zobrazení. Založeno na
světovém času UTC (coordinated universal time).
R1(config)#no ip domain-lookup
Vypíná automatický vyhodnocení neznámého příkazu
pro lokální jméno hostitele.
IOS Escape Sequence
Kdykoliv potřebujete ukončit běh určitého příkazu v operačním systému IOS, použijte jako
ukončovací sekveci (escape sequence) trojhmat Shift+Ctr+6.
3. Konfigurační přístupy do směrovače, jejich zabezpečení a
vzdálený přístup
Abychom mohli směrovač konfigurovat, potřebujeme s ním umět komunikovat. Jak už jsme si říkali,
přistupujeme k němu buď vzdáleně, protože ne vždy můžeme být přímo v místnosti, kde se směrovač
nachází, nebo se nachází právě ve stejném pracovišti jako my a je připojen přímo kabelem.
CZ.1.07/2.1.00/32.0045
14
3.1
Přístupy do směrovače a jejich zabezpečení
3.1.1 Konzolový port IOS
Každý směrovač má na zadní straně směrovače konzolový port, který používáme pro připojení
terminálu přes konzolový kabel. Je často označen štítkem „Console“. Toto spojení nepoužívá síťové
připojení, a proto je toto jediná možnost jak instalovat směrovač do sítě. Tento přístup má tedy
výhodu, že nepotřebuje vůbec síťové připojení. Avšak má to i své nevýhody. Když nemůžeme
přistoupit fyzicky ke směrovači a připojit konzolový kabel, nemůžeme tedy směrovač konfigurovat.
Jako terminál můžeme využít na počítači například HyperTerminál nebo jiného produktu pro emulaci
terminálu. Konzolové porty mají různé typy konektorů (např. konektor s 25 vývody, konektor RJ-45,
9-ti kolíkový konektor,…).
Zabezpečení konzolového portu a doporučené nastavení:
Router(config)# line console 0
Router(config-line)#password konzola
Router(config-line)#login
Router(config-line)#loggin synchronous
Router(config-line)#exec-timeout 0 0
Přechod do konfiguračního módu konzoly.
Nastavení hesla na „konzola“ (pouze plaintext, nejde
použít příkaz secret, ale je možno použít globální
šifrování).
Zapnutí ověřování tohoto hesla.
Zamezí výpisu hlášení mezi písmena zadávaného příkazu.
Nastavuje časový limit pro automatické odhlášení
konzole. Nastavení na 0 0 (minuty sekundy) znamená, že
konzole nebude nikdy automaticky odhlášená.
3.1.2 Pomocný port (AUX) IOS
Většina směrovačů má na zadní straně ještě druhý port, který je označován jako pomocný port (AUX).
Stejně jako konzolový port nepracuje přes síťové připojení. Liší se od konzolového portu tím, že AUX
má takový typ konektoru, do kterého se dá zapojit běžný modem. Touto metodou pak můžeme
směrovač obsluhovat i na dálku. Pomocný port AUX nabízí běžný konzolový přístup, i když není
možné být fyzicky u směrovače.
Obr. 3.1: Console port, pomocný port AUX
3.2
Vzdálený přístupy do směrovače a jejich zabezpečení
3.2.1 Telnet IOS
Pokud je směrovač nainstalován do sítě, lze ho konfigurovat prostřednictvím terminálových relací
programu telnet. Nepřipojujeme se přes konzolový port, nýbrž pomocí takzvaného virtuálního
terminálu, což znamená, že spojení k danému zařízení nevede přes fyzický kabel ani modem. Spojení
v programu telnet jsou vedena po síti. Při přístupu ke směrovači používáme virtuální linku (vty). Pro
připojení přes Telnet je potřeba zabezpečit privilegovaný mód heslem.
CZ.1.07/2.1.00/32.0045
15
Nastavení zabezpečení Telnetu:
Router(config)#line vty 0 4
Router(config-line)#password telnet
Router(config-line)#login
Router(config-line)#login local
Přechod do konfiguračního módu vty linek 0-4.
Nastavení hesla na „telnet“ (pouze plaintext, nejde použít
příkaz secret, ale je možno použít globální šifrování).
Zapnutí ověřování tohoto hesla.
Zapnutí ověřování tohoto hesla pro daného uživatele.
Připojení přes Telnet můžeme vyzkoušet v příkazové řádce příkazem: PC>telnet „IP adresa zařízení“.
3.2.2 SSH IOS
Dalším vzdáleným přístupem ke směrovači je SSH, které je také spojeno přes síťové připojení.
Bezpečnost je v dnešních sítích důležitá, a proto SSH bylo vytvořeno jako náhrada za Telnet. Tento
protokol se chová stejně jako Telnet, akorát navíc šifruje přenášená data. Šifrování slouží
k zabezpečení dat hlavně při přenosu nedůvěryhodnou sítí, jako je např. Internet.
Nastavení zabezpečení SSH:
Pro přihlášení k SSH musíme vytvořit uživatele.
Vytvoření uživatele se jménem „uzivatel“. Poté se nastaví
práva, kde nejvyšší číslo znamená nejvyšší práva (0-15).
Uživatel s nejnižšími právy se přihlásí do uživatelského
módu a uživatel s nejvyššími právy přímo do
privilegovaného módu. V tomto případě je uživatel
„uzivatel“ a heslo „heslo“.
Poté si vytvoříme kryptovací klíč pro SSH, který se generuje na základě hostname (ne default)
a doménového jména.
R1(config)#username uzivatel privilege
15 secret heslo
Vyžaduje pojmenované zařízení a název ip domény.
R1(config)#ip domain-name domena
Necháme příkazem generovat RSA klíč (bezpečnější delší
R1(config)#crypto key generate rsa
klíč), po výzvě zadáme hodnotu velikosti klíče.
How many bits in the modulus [512]:
1024
Po vytvoření uživatele a RSA klíče můžeme vytvořit spojení SSH.
Virtuální připojení (0-15), zvolíme požadovaný počet
současných připojení.
Zajistí možnost připojení pouze protokolem SSH.
R1(config-line)#transport input SSH
Loguje podle lokální databáze uživatelů.
R1(config-line)#login local
Připojení
uživatele
přes
SSH
můžeme
vyzkoušet
v příkazové
řádce
příkazem:
PC>ssh l „jméno uživatele“ „IP adresa zařízení“
R1(config)#line vty 0 4
3.2.3 Server http v IOS
K zařízení se lze připojit také pomocí protokolu http přes webový prohlížeč.
Router(config)#ip http authentication
CZ.1.07/2.1.00/32.0045
Enable ověří heslo příkazu enable do privilegovaného
módu (defaultní nastavení).
Local použije lokálního uživatele s maximálními právy.
16
Spustí http server.
Router(config-line)#ip http server
Obr. 3.2: Ověření uživatele na serveru, zdroj: [4]
Obr. 3.3: Konfigurace přepínače, zdroj: [4]
4. Konfigurace rozhraní LAN, WAN
Pro tento kurz si pojmem lokální sítě (LAN – Local Area Network) zjednoduším na nejrozšířenější
sítě LAN s přístupovou technologií Ethernet 802.3, fyzickou adresací síťových adaptérů MAC
adresami (celosvětově unikátní adresa pro každý adaptér) v jedné logické síti s protokolem IP třetí
vrstvy modelu ISO/OSI, ze které je rozhraní do jiné sítě realizované bránou (rozhraním směrovače).
Pod pojmem WAN sítě budeme chápat v tomto kurzu sítě složené z více LAN sítí propojené přes
směrovače mezi sebou a tvořící více oblastí (area) ve více autonomních systémech, kterým se věnuje
kapitola Autonomní systémy a směrování mezi nimi.
CZ.1.07/2.1.00/32.0045
17
Obr. 4.1: Příklad zapojení aktivních prvků v laboratorní síti
4.1
Konfigurace rozhraní LAN
Podle rychlosti se můžeme v tomto kurzu setkat s rozhraními Ethernet (rychlost 10 Mbps),
FastEthernet (rychlost 100Mbps) a GigabitEthernet (rychlost 1Gbps). Za tímto označením bývá
uvedeno číslo portu s lomítkem, kde číslice před lomítkem označuje skupinu portů a za lomítkem číslo
portu ve skupině. Pro konfiguraci více stejných rozhraní je možno využít příkazu range. Do
konfigurace rozhraní vstoupíme z globálního konfiguračního módu a můžeme konfigurovat mimo jiné
tyto hlavní parametry:
Router(config)#interface FastEthernet 0/0
Router(config)#interface range
FastEthernet 0/0-5
Router(config-if)#ip address 192.168.1.1
255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#shutdown
Přechod
do
konfiguračního
módu
rozhraní
FastEthernet0/0.
Přechod do konfiguračního módu rozhraní Fast
Ethernet 0/0-5. Konfigurujeme všechny rozhraní
najednou.
Nastavení IP adresy včetně masky (možno opravit
přepsáním).
Administrativní zapnutí portu.
Administrativní vypnutí portu.
Ostatní parametry (jako například bandwitch, duplex, mtu, budeme používat v defaultním nastavení).
4.2
Konfigurace rozhraní WAN
Jak bylo již popsáno v kapitole 1, je možno do slotů WIC umísti různé WAN technologie. V tomto
kurzu se omezíme na sériové, které je realizováno bez zařízení CSU/DSU a je tedy nutno rozhraní na
jedné straně spoje point – to – point (PtP) nastavit jako DCE (nastavit hodnotu clock rate)
CZ.1.07/2.1.00/32.0045
18
Obr. 4.2: Síť WAN s nastavenými sériovými rozhraními
Přitom nezáleží na straně spoje, ani na čísle portu. Příkazy pro konfiguraci:
Router(config)#interface Seriál 0/0/0
Router(config-if)#clock rate 64000
Router(config-if)#ip address 192.168.1.1
255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#shutdown
4.3
Přechod do konfiguračního módu sériového rozhraní.
Nastavení rychlosti časování sériového spoje na DCE.
Nastavení IP adresy včetně masky (možno opravit
přepsáním).
Administrativní zapnutí portu.
Administrativní vypnutí portu.
Konfigurace rozhraní Loopback (zpětná smyčka)
Jedná se o virtuální rozhraní, které vytvoříme příkazem:
R1(config)#interface loopback <0-2147483647>
Rozhraní je možno využít jako náhradu za plánovaný budoucí spoj (např. na ISP), nebo pro nastavení
implicitní cesty. Je možno s ním pracovat jako s fyzickým rozhraním (IP adresa, bandwitch, ping,
shutdown)
Rozhraní Null interface (neexistující prázdné rozhraní)
Lze použít pro nastavení statických cest, které lze dynamicky propagovat (redistribute static). Je to
volitelná metoda při filtraci provozu, pokud nechceme použít access-list. Nežádoucí sítě nasměrujeme
na null interface, který nikdy nepředává a nepřijímá provoz a je stále zapnutý. Je nazýván rovněž
„black hole“.
5. Statické směrování
5.1
Základní úloha směrovače
Směrovač je propojovací zařízení mezi jednotlivými sítěmi (logické sítě 3. vrstvy ISO/OSI modelu),
které směruje a přepíná pakety. Dále slouží k segmentaci (rozdělení a zmenšení) domén všesměrového
vysílání, proto nemohou jeho různé porty patřit do stejné sítě.
Směrovače vybírají nejlepší cestu
Primární odpovědností směrovače je směrovat (přeposlat) pakety mířící (směřující, mající cílovou
CZ.1.07/2.1.00/32.0045
19
adresu) do lokální nebo vzdálené sítě pomocí:


Určení nejlepší cesty pro poslání paketu (na L3 vrstvě).
Posílání (přepínání) paketů směrem k jejich cíli (na L2 vrstvě) – včetně zapouzdření na linkové
vrstvě.
Výběr nejlepší cesty probíhá na základě obsahu směrovací tabulky. Obsah směrovací tabulky se
vytváří:


Staticky (administrátor ručně).
Dynamicky (dynamický směrovací protokol).
Směrovač pracuje na vrstvách 1., 2., 3. Modelu OSI.:



Na 3. Vrstvě směruje pakety z jedné sítě do druhé (nejlepším směrem k cílové síti).
Na 2. Vrstvě odpouzdřuje a zapouzdřuje pakety do rámců a přepíná.
Na 1. Vrstvě zpracovává (tj. přijímá a vysílá) signály.
Obr. 5.1: Průběh zapouzdření při směrování paketu v OSI modelu
5.2
Obsah a tvorba obsahu směrovací tabulky
Výpis na směrovači: Router#show ip route
Na hostitelském počítači výpis směrovací tabulky obsahuje:
a) U přímo připojené sítě (sousední sítě):
 C 192.168.1.0/24, is directly connected, FastEthernet0/0
b) U vzdálené sítě (dostupně přes alespoň jeden směrovač):
 Kód protokolu (statická nebo dynamická cesta).
 Cílovou síť/masku.
CZ.1.07/2.1.00/32.0045
20




Administrativní vzdálenost/metrika (např.:[120/1]). Jedná se o údaj, který určuje její
spolehlivost. Pokud existují 2 cesty do té samé sítě, má přednost ta, která má
administrativní vzdálenost nižší.
Next hop (gateway) – IP adresa vstupního portu následujícího směrovače.
Specifikace doby uběhlé od poslední aktualizace.
Specifikace lokálního rozhraní, přes které lze dosáhnout uvedenou vzdálenou síť.
5.2.1 Metrika
Směrování je nalezení v nějakém smyslu nejlepší cesty. Nejlepší cesta se potom vybírá podle nejmenší
hodnoty Administrativní vzdálenosti (Administrative Distance – AD) a při stejné AD nejmenší
metriky. Administrativní vzdálenost je číselné vyjádření kvality či důvěrnosti směrovacího protokolu,
kterým byla vytvořena příslušná řádka ve směrovací tabulce.
Administrativní vzdálenosti jednotlivých směrovacích protokolů:
Směrovací protokol
Kód
Přímo připojená síť (Directly connected)
Statická cesta (Static route)
EIGRP sumarizovaná cesta (summary route)
External BGP (Border Gateway Protocol)
Internal EIGRP
IGRP
OSPF (Open Shortest Path First)
IS-IS (Intermediate Systém to Intermediate
System Routing Exchange Protocol)
RIP (Routing Information Protocol)
EGP (Exterior Gateway Protocol)
ODR (On-Demand Routing)
External EIGRP
Internal BGP
Neznámý protokol
C
S
D
I
O
i
R
E
Administrativní vzdálenost
(adminstrative Distance)
0
1
5
20
90
100
110
115
120
140
160
170
200
255
Metrika je potom pro jeden konkrétní směrovací protokol vyjádřena kvality linky. Nejkvalitnější je ta
cesta s číselně nejmenší metrikou. Metriky se u různých směrovacích protokolů počítají různým
způsobem:





Počet skoků – jednoduchá metrika, která počítá počet směrovačů, přes které se musí dostat do
cílové sítě.
Digitální přenosová rychlost, přenosová kapacita a šířka pásma – při výběru cesty se
preferuje linka s větší přenosovou rychlostí.
Zatížení – bere v úvahu vytížení dané linky síťovým provozem.
Zpoždění – bere v úvahu dobu, kterou paket potřebuje při své cestě přes síť.
Spolehlivost – vyhodnocuje pravděpodobnost výskytu chyby na lince, vypočteno z počtu chyb
rozhraní nebo předchozí selhání linky.
CZ.1.07/2.1.00/32.0045
21

Cena – hodnota určena buď IOS, nebo administrátorem vyznačující preferování dané cesty.
5.2.2 Statické směrování (statická cesta)
Kód = S
Příklad výpisu: S 192.168.5.0/24 [1/0] via 192.196.2.2, 00:00:20, Serial0/0/0
Použije se v následujících případech:
1. Síť se skládá z pouze několika mála směrovačů. Použití dynamického směrovacího protokolu
v tomto případě nemá žádný významný přínos. Naopak, dynamické směrování může přidat
více režie.
2. Síť je do Internetu připojena pouze přes jednoho ISP (internet service provider). Není zde třeba
dynamické směrování, protože ISP je jediným výstupním bodem ze sítě do Internetu.
3. Velká síť konfigurovaná v topologii s jedním jediným centrálním zařízením (hub-and-spoke
topology). Použití dynamického směrovacího protokolu je zbytečné, protože z každé větve sítě
je do cíle pouze jedna cesta přes toto centrální zařízení.
Obvykle se používá kombinace statického a dynamického směrování. Než se nastavují cesty do
vzdálených sítí, musí být nastaveny rozhraní a linky do přímo připojených sítí.
Principy směrovací tabulky
Většinou se odkazujeme na tři principy vztahující se ke směrovací tabulce:
1. Každý směrovač činí svá rozhodnutí samostatně a založené pouze na svojí vlastní směrovací
tabulce.
2. Skutečnost, že jeden směrovač má ve své směrovací tabulce určité informace, neznamená, že
ostatní směrovače mají tytéž informace.
3. Směrovači informace o cestě z jedné sítě do druhé neposkytují směrovací informace o opačné
neboli zpětné cestě (při asymetrickém směrování může být zpětná cesta jiná).
Statická cesta s adresou příštího skoku
Nastavení: Router1(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.1
Obsah směrovací tabulky:
Router1#show ip route
C
192.168.1.0/24 is directly connected, FastEthernet0/0
S
192.168.2.0/24 [1/0] via 192.168.3.1
192.168.3.0/30 is subneted, 1 subnets
C
V tomto případě se při směrování do vzdálené sítě (192.168.2.0) musí nejprve nalézt adresa dalšího
skoku (next-hop) a po jejím nalezení rekurzivně vyhledat (recursive lookup) odchozí rozhraní do
přímo připojené sítě, ve které je následující skok.
CZ.1.07/2.1.00/32.0045
22
Statická cesta s odchozím rozhraním
Nastavení: Router2(config)#ip route 192.168.1.0 255.255.255.0 Fa0/1
Obsah směrovací tabulky:
Router2#show ip route
S
C
192.168.3.0/30 is subnetted, 1 subnets
C
V tomto případě se staticky definovaná vzdálená síť jeví jako přímo připojená a po nalezení cesty
(směru) se může paket rovnou odeslat příslušným směrem (ber rekurzivního vyhledávání adresy
dalšího skoku). Tato varianta je všeobecně doporučována. Její nevýhody se ale projeví při Ethernetové
sítí s vícenásobným přístupem (tj. v síti s více branami, kdy se nedá naleznout MAC adresa
následujícího skoku pro zapouzdření paketu do rámce.
Obr. 5.2: Ethernetová síť s vícenásobným přístupem, zdroj: [1]
5.2.3 Asymetrické směrování
Protože směrovač nemusí mít nutně ve svých směrovacích tabulkách ty samé informace, pakety
mohou cestovat sítí v jednom směru jednou cestou a zpátečním směrem jinou cestou. To se nazývá
asymetrické směrování. Asymetrické směrování je běžnější v Internetu, který používá směrovací
protokol BGP, než v interních sítích.
Pro správnou funkci směrování by měl administrátor ověřit následující směrovací informace:


Je cesta od zdroje k cíli dostupná v obou směrech?
Je cesta brána v obou směrech ta samá cesta? (Asymetrické směrování není neběžné, ale někdy
může přinášet vznik dalších problémů.)
5.2.4 Sumarizace (agregace) cest
Zatím jsme se vždy zabírali stavem, kdy každý směrovač má ve své směrovací tabulce informace
o všech sítích v určité skupině sítí, kde nastavujeme statické směrování. Pokud máme hierarchickou
CZ.1.07/2.1.00/32.0045
23
stromovou strukturu podsítí, je vhodné zavést sumarizaci cest, také známé pod pojmem agregace
cest. Informace o všech sítích ve skupině mají pak pouze směrovače v této skupině (podsítí) a ostatní
směrovače (mimo skupinu) mají pak pouze cestu na hraniční směrovač celé skupiny. Tato cesta pak
ukazuje na „nadsíť“ celé skupiny = sumarizace (sumarizovaná síť = síť s kratší maskou než podsítě,
která pokrývá všechny adresy v jednotlivých podsítích). Šetří se tím řádky ve směrovacích tabulkách
a směrování probíhá rychleji.
Příklad sumarizace:
Máme skupinu podsítí s rozsahem: 192.168.1.0/27 až 192.168.1.120/29. Určete síť a masku pro
sumarizaci.
Postup:
Najdeme síť s nejmenší a největší adresou (určíme adresu všesměrového vysílání (broadcast) pro tuto
síť s největší adresou) a odečteme od sebe. Inverzí rozdílu (včetně eventuálního doplnění binárních
jedniček vpravo za vedoucí jedničku) získáme masku a odmaskováním zadaných podsítí touto maskou
dostaneme sumární síť. 192.168.1.127 – 192.168.1.0 = 0.0.0.127 inverze (dvojkový doplněk) je
255.255.255.128 tj. /25 a odmaskováním adres podsítí získáme sumární síť 192.168.1.0/25.
Obr. 5.3: Sumarizace sítí (cest)
Tato funkce je ve výchozím nastavení dynamických směrovacích protokolů zapnuta a je možno ji
vypnout příkazem:
R1(config-router)#no auto-summary
5.2.5 Implicitní cesta
Implicitní cesta (default route, Gateway of last resort) se nastavuje jako speciální případ statické cesty
pro cílové sítě mimo naši správu obvykle na našeho poskytovatele (ISP). Na tuto cestu je paket poslán,
pokud směrovač nenalezl cílovou síť v předchozích řádkách směrovací tabulky. (nezapomeňte, že
směrovací tabulka je setříděna sestupně podle masky.) Implicitní cesta je ve směrovací tabulce
označna hvězdičkou (*) jako kandidát implicitní cesty (candidate default).
Router(config)#ip route 0.0.0.0 0.0.0.0 [exit-interface | ip-address]
CZ.1.07/2.1.00/32.0045
24
Router#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C
192.168.1.0/24 is directly connected, GigabitEthernet0/0
L
S
192.168.3.0/24 is variably subnetted, 2 subnets, 2 masks
C
L
S* 0.0.0.0/0 is directly connected, GigabitEthernet0/1
5.3
Floating route
Floating route umožňuje využít záložní statické cesty při výpadku dynamického směrování, u které
nastavíme AD (administrativní vzdálenost) vyšší, než je AD dynamického protokolu. Administrativní
vzdálenost můžeme zadat při statickém směrování plnou syntaxí příkazu:
Router(config)#ip route prefix mask {ip-address | interface-type interface-number}[distance][tag
tag][permanent]



Distance je administrativní vzdálenost.
Tag – poskytuje metodu pro rozlišení mezi interními cestami (získanými od stejného
směrovacího protokolu jako na směrovači) a externími cestami (získanými od jiných
protokolů). Tento nepovinný volitelný atribut můžete přidat během redistribuce směrovacích
protokolů.
Permanent – cesta nezmizí ze směrovací tabulky, ani když spadne odchozí interface.
CZ.1.07/2.1.00/32.0045
25
Obr. 5.4: Floating route
Definice implicitní sítě
V případě, že nemůžeme směrovat vzdálenou síť přes bránu, je možno směrovat cíl na přilehlou síť
(nejčastěji ISP).
Router(config)#ip default-network network-number
Ve směrovací tabulce je potom (místo statické implicitní cesty) přímo připojena síť (C) jako kandidát
na implicitní síť, např.:
C*
10.0.0.0/8 is directly connected, Serial0/0
Správa a modifikace statických cest
Pokud chcete některou cestu odstranit ze směrovací tabulky, provedete stejným příkazem, jako byla
nastavena a přidáním příkazu no. Pouhé přidání nové cesty do stejné sítě nebo na stejné odchozí
rozhraní by vedlo k existenci dvou cest.
To znamená, pokud chcete vytvořit novou cestu do stejné cílové sítě, musíte nejprve odstranit starou
cestu a potom vložit novou.
Hledání a odstraňování chyb statické cesty
Příkazy:





Ping
Traceroute
Show ip route
Show ip interface brief
Show cdp neighbors detail
CZ.1.07/2.1.00/32.0045
26
Odpovědi (a jejich významy) na příkaz ping na směrovači:
Znak
!
.
U
C
I
?
&
Popis
Přijetí jedné odpovědi (jednoho paketu).
Čas pro odpověď síťového serveru vypršel.
Cíl je nedostupný (Unreachable) – přijat PDU.
Zahlcení (Congestion) – přijat paket
Uživatel přerušil (Interrupted) test.
Neznámý typ paketu.
Překročena životnost paketu.
Odpovědi (a jejich významy) na příkaz traceroute na směrovači:
Znak
Nn msec
*
?
A
H
N
P
Q
P
Popis
Pro každý uzel, doba cyklu (v milisekundách) pro určený
počet pokusů.
Doba testu vypršela. V určené době nebyla přijata žádná
odpověď.
Neznámá chyba.
Administrativně nedostupné. Obvykle tento výstup
indikuje, že ACL blokuje provoz.
Hostitel je nedostupný.
Síť (Network) je nedostupná (mimo rozsah).
Protokol je nedostupný.
Zdroj vypnut (Quenche).
Port je nedostupný.
6. Záložní brána, vyvážení výkonu
6.1
Load Balancing
Vyvažování zátěže umožňuje rozložit provoz přes více cest. Optimalizuje přenos, eliminuje výpadky
tras. Existují různé metody:

Equal cost load balancing: Vyvažování zátěže se stejnou cenou (administrativní vzdálenost
a metrika), metoda využívá cyklické přepínání jednotlivých cest round robin aproach.
Umožňuje využití redundantních cest se stejnou metrikou najednou.
Obr. 6.1: Equal cost load balancing
CZ.1.07/2.1.00/32.0045
27

Per packet load balancing: Pakety se pohybují po různých cestách a není zaručeno jejich
přijaté pořadí, což může ve stejné relaci způsobit opakování přenosu a snížení výkonu.
Obr. 6.2: Per packet load balancing

Per flow load balancing: Metoda udržuje samostatné dopravní toky mezi koncovými
stanicemi a pakety většinou dorazí ve správném pořadí. Kromě toho většinou prochází stejnou
cestou provoz podobného uživatele a je možné nasadit širší pravidla např. quality of service
(QoS).
Obr. 6.3: Per flow load balancing
6.2
Směrování na bázi Multitopologie
Směrování v multitopologii umožňuje směrování podle druhu provozu jako je hlas, video, data.
Obr. 6.4: Směrování podle druhu provozu
Pro každý typ provozu může být definována jiná topologie, která se použije k vytvoření směrovací
tabulky. Tato metoda směrování umožňuje provoz různého typu nezávisle na sobě.
6.3
Záložní brána – Virtual Router Redundancy Protocol (VRRP)
Lokální síť komunikuje s okolím pomocí brány. Funkčnost tohoto místo je zásadní a proto je vhodné
ho realizovat nejen jedním fyzickým rozhraním, ale sdružit více fyzických rozhraní směrovačů
CZ.1.07/2.1.00/32.0045
28
s vícenásobným přístupem, které se chovají jako jedna virtuální brána s jednou virtuální IP adresou.
Protokol VRRP dynamicky přiřazuje odpovědnost virtuálního směrovače sestaveného z VRRP
směrovačů za propojení LAN sítě s okolím. Jeden VRRP směrovač je zvolen jako „Virtual Router
master“ a ostatní VRRP směrovače tvoří zálohu, pokud Virtual Router master selže. Doporučení:



VRRP je vyvinut pro použití v multiaccess, multicast nebo broadcast Ethernet LAN sítích.
VRRP není určen jako náhrada za stávající dynamické směrovací protokoly.
VRRP je podporován na technologiích Ethernet, FastEthernet, GigabitEthernet, Bridge Group
Virtual Interface (BVI) a Multiprotocol Label Switching (MPLS), virtuální privátní sítě (VPN)
a VLAN.
Vzhledem ke zpoždění při směrování, které je spojeno s inicializací BVI rozhraní, je nutno
nastavit advertise timer na hodnotu vyšší než je toto zpoždění.
Existuje několik způsobů, jak určit, který směrovač bude prvním hopem. Klient může použít
dynamický proces nebo statickou konfiguraci. Příklad dynamic router discovery:



Proxy ARP – Klient pošle Address Resolution Protocol (ARP), aby zjistil MAC adresu cíle,
a směrovač odpoví svou MAC adresou.
Routing protocol – Klient naslouchá aktualizacím dynamického směrovacího protokolu (např.
RIP) a tvoří svou vlastní směrovací tabulku.
ICMP Router Discovery Protocol (IRDP) client – Klient použije ICMP pro objevení
směrovače.
Nevýhodou metody naslouchání dynamickým směrovacím protokolům je režie na straně klienta LAN
a při případném selhání směrovače, je pomalý proces přechodu na jiný směrovač. Alternativou
k dynamickému zjišťování protokolu je statické nastavení výchozího směrovače. Způsob zjednodušuje
konfiguraci na straně klienta, ale vytváří jediný bod selhání. Při selhání brány je klient omezen na
komunikaci pouze v LAN síti. Tento problém řeší protokol VRRP tím, že umožní skupině směrovačů,
aby tvořily jeden virtuální směrovač. Klient LAN pak může být konfigurován s virtuálním
směrovačem s jako výchozí bránou.
Na obrázku je topologie LAN sítě s konfigurací VRRP. Směrovače B a C jsou konfigurovány jako
VRRP směrovače, které tvoří virtuální směrovač s IP adresou rozhraní jako je nakonfigurována pro
Ethernet rozhraní směrovače A (10.0.0.1).
CZ.1.07/2.1.00/32.0045
29
Obr. 6.5: VRRP topologie
Virtuální směrovač používá IP adresu fyzického rozhraní směrovače A, který převezme roli Virtual
Router master s jeho IP adresou. V roli Virtual Router master kontroluje směrovač A IP adresu a je
zodpovědný za předávání paketů přes toto rozhraní. Klienti 1-3 mají nakonfigurovanou výchozí bránu
na adresu 10.0.0.1. Směrovače B a C fungují jako virtuální záloha. Pokud Virtual Router master selže,
stane se Virtual Router master záložní směrovač s vyšší prioritou a poskytuje nepřetržitou službu pro
LAN. Pokud směrovač A obnoví provoz, stane se opět Virtual Router master.
Níže uvedený obrázek znázorňuje topologii sítě LAN, ve které je VRRP nakonfigurován tak, aby
směrovače A a B sdílely provoz od klientů 1-4 a tvořily virtuální zálohu sobě navzájem. Pro virtuální
směrovač 2 je směrovač B Virtual Router master s IP adresou 10.0.0.2 a směrovač A je virtuální
záloha směrovače B. Klienti 3-4 mají nastavenou výchozí bránu na adresu 10.0.0.2.
Obr. 6.6: Redundance VRRP topologie
CZ.1.07/2.1.00/32.0045
30
7. Dynamické směrovací protokoly
V rozsáhlejších sítích by bylo administrativní statické nastavování cest pracné, proto pro takové sítě
byly navrženy dynamické směrovací protokoly. Porovnání vlastností statického a dynamického
směrování shrnuje tabulka:
Charakteristika
Náročnost konfigurace
Statické směrování
Čím větší, tím složitější
Požadované znalosti
administrátora
Změna topologie
Škálovatelnost
Bezpečnost
Předvídatelnost
Nejsou třeba zvláštní
7.1
Administrátor musí zasáhnout
Vhodné pro malé sítě
Více bezpečné
Cesta do cíle je vždy stejná
Dynamické směrování
Obecně nezávislé na velikost
sítě
pokročilé
Automaticky se přizpůsobí
Vhodné pro malé i velké sítě
Méně bezpečné
Cesta do cíle závisí na aktuální
topologii sítě
Základní informace o směrovacích protokolech a jejich rozdělení
Všechny směrovače mají stejný účel, zjistit cestu do vzdálených sítí a rychle se přizpůsobit změně
topologie. Metoda, kterou směrovací protokol používá, závisí na použitém směrovacím algoritmu (typ
směrovacího protokolu) a na samotném směrovacím protokolu.
Účel směrovacích protokolů:




Zjištění vzdálených sítí (ne přímo připojených).
Udržování aktuálních směrovacích informací.
Výběr nejlepší cesty do cílové sítě.
Schopnost umět najít novou nejlepší cestu, pokud současná není dostupná.
Činnost směrovacího protokolu:




Směrovač posílá a přijímá směrovací protokoly na svých rozhraních.
Směrovač sdílí směrovací zprávy a informace se směrovači, které používají stejné směrovací
protokoly.
Směrovače si vyměňují informace směrovacími protokoly o vzdálených sítích.
Když směrovač zjistí změnu topologie sítě, může tuto změnu říci jiným směrovačům.
Směrovací protokoly nezávisle dělíme:


Interní směrovací protokoly – protokol, který se používá uvnitř – interně nezávislého
síťového systému. Těmto nezávislým síťovým systémům se říká autonomní systémy (je to
soubor sítí a bran, které používají vlastní interní mechanismus pro výměnu směrovacích
informací a pro jejich předávání ostatním nezávislým síťovým systémům). Interní protokoly se
dělí na „Link State Protocols“ (např. OSPF) a „Routing Vector Protocols“ (např. RIPv1,
RIPv2, IGRP, EIGRP) podle použitého směrovacího algoritmu. Autonomním systémům se
věnuje samostatná kapitola.
Externí směrovací protokoly – EGP slouží k výměně směrovacích informací mezi
CZ.1.07/2.1.00/32.0045
31
autonomními systémy. Nejrozšířenější externí směrovací protokol je BGP.
Obr. 7.1: Komunikace mezi autonomními systémy, zdroj: [2]
8. Dynamické směrovací protokoly s algoritmem DVA
8.1
DVA (Distance-vector routing algorithm)
Znamená, že cesty jsou inzerovány jako vektory vzdálenosti a směru. Vzdálenost je definována
termínem „metrika“ a vektor směru definuje termín „next hop“. Směr odkazuje na rozhraní, které vede
na nejbližší směrovač podél cesty k cíli, ačkoli to může být libovolná hodnota, která dává prioritu před
ostatní cestou. Směrovače v síti si tyto informace vyměňují a budují si tak směrovací tabulky.
Protokoly typu vektor vzdálenost používají algoritmus Bellman-Ford (počítá nejkratší cestu
v ohodnoceném grafu z jednoho uzlu do uzlu dalšího, kde mohou být některé hrany ohodnoceny
i záporně). Některé tyto typy protokolů posílají periodicky kompletní směrovací tabulky na všechny
připojené sousedy. Ve velké síti můžou být tyto informace enormně velké a byly by značnou částí
síťového provozu. Ačkoliv algoritmem Bellman-Ford lze získat dostatek informací o topologii sítě,
algoritmus neumožňuje znalost přesné topologie sítě. Směrovač zná pouze potřebné informace pro
směrování od svého souseda.
Vzhledem k aktualizaci směrovacích informací v pevných intervalech konvergují protokoly
s vektorem vzdálenosti při jakékoli změně síťové topologie pomalu, tudíž jsou mnohem více náchylné
ke vzniku smyček. Většina protokolů je omezena počtem přeskoků (16 přeskoků) a používají se
obvykle jen v internetových sítích menších než 50 směrovačů.
8.1.1 Bellman-Ford algoritmus
Algoritmus počítá nejkratší cestu v ohodnoceném grafu, který odpovídá cestě z jednoho uzlu do uzlu
dalšího. Na rozdíl od Dijkstrova algoritmu (bude popsán v následující kapitole - LSA) umožňuje
ohodnotit některé hrany grafu i záporně.
Využívá se metoda relaxace hran, která zjišťuje aktuálně nastavenou hodnotu nejkratší vzdálenosti od
uzlu. Jestliže je zjištěno, že hodnota v následujícím uzlu je vyšší než hodnota z nynějšího uzlu plus
ohodnocení hrany z nynějšího uzlu do následujícího, v kterém chceme stanovit novou hodnotu, pak
CZ.1.07/2.1.00/32.0045
32
tuto hodnotu změníme (snížíme). Takto projdeme všechny následníky daného uzlu ve více průchodech
a postupně upravuje hodnoty nejkratší vzdálenosti nejkratších cest (na rozdíl od Dijkstrova algoritmu,
kde se hodnota uzavře po prvním průchodu). Proto Dijsktrův algoritmus řeší problém v kratším čase.
Protokoly DVA:



RIPv1
RIPv2
IGRP, EIGRP (Cisco)
DVA (Distance-vector routing algorithm)
8.2
RIPv1
RIP je jeden z nejstarších směrovacích protokolů (r. 1988), který se dodnes používá. Směrovací
protokol je typu Distance-vector (DVA), který využívá Bellmanův-Fordův algoritmus pro určení
nejkratší cesty v síti. RIP posílá v intervalech aktualizované zprávy o směrovacích tabulkách při
změně topologie sítě. Každý směrovač přijme update message, která obsahuje změny a aktualizuje
směrovací tabulku. Tím se aktualizuje nová cesta ve směrovací tabulce. Hodnota metric pro konkrétní
cestu se zvýší o 1 a odesílatel je označen jako směr cesty (next hop). Směrovače, které používají RIP,
udržují tu nejkratší cestu v síti.
Základní charakteristiky RIPv1:









Směrovací protokol typu distance - vector.
Používá jako jeho jedinou metriku pro výběr cesty počet přeskoků.
Třídní protokol (směruje celé velikostní třídy sítí A, B, C).
Nelze vypnout automatickou sumarizaci (i když to příkaz umožňuje), sumarizace je pouze na
sítě velikosti tříd
Maximální počet skoků je 15. Nedosažitelné cesty mají metriku 16. Cesty s počtem skoků
větším než 15 jsou inzerované jako neplatné, nedostupné (otrávené).
Periodické směrovací aktualizace jsou vysílány všesměrově (broadcast) každých 30 sekund.
Nepodporuje autentizaci.
V aktualizaci neposílá masku podsítě.
RIPv1 má standardní administrativní vzdálenost 120 (distance).
Použití: pouze v malých, plochých sítí nebo na okraji velkých sítí.
8.2.1 Metrika RIP
Protokol používá jednoduchou směrovací metriku hop count (počet přeskoků), kterou se měří
vzdálenost mezi zdrojovou a cílovou sítí. Každému přeskoku mezi takovými sítěmi je přiřazena
metrika – hop count value, která je běžně 1.
Zpracování poptávky/odpovědi RIP
RIP používá dva typy zpráv – žádost (CMD: 0x1) a odpověď (CMD: 0x2). Každé rozhraní, jehož
síťová adresa je v nastavení protokolu RIP, posílá žádost, aby všichni sousedé poslali své kompletní
směrovací tabulky.
CZ.1.07/2.1.00/32.0045
33
8.2.2 Základní konfigurace RIPv1
Popis konfigurace si vysvětlíme na příkladu:
Obr. 8.1: Příklad topologie sítě, zdroj: [1]
Pro vstup do konfigurace protokolu RIP použijeme v konfiguračním módu tento příkaz:
Router(config)#router rip
Tímto příkazem se dostaneme pouze do konfigurace nastavení protokolu RIP, nespouštíme ho. Pro
zapnutí protokolu RIP na všech rozhraních, které patří do specifikované sítě, použijeme příkaz:
Router(config-router)#network „IP adresa sítě“
Nyní budou rozhraní patřící do této sítě přijímat a vysílat aktualizace RIP. Inzeruje specifikované sítě
ve směrovacích aktualizacích RIP na ostatní směrovače každých 30 sekund.
Pokud vložíte adresu podsítě, IOS ji automaticky převede na adresu sítě v plné třídě. Např. vložíte
příkaz network 192.168.10.32, směrovač ho převede na network 192.168.10.0.
CZ.1.07/2.1.00/32.0045
34
Obr. 8.2: Po přidání sítě 192.168.10.0 na směrovači R1 směrovač R1 vyšle RIP REQUEST na S0/0/0,
který přijme R2 na S0/0/1. Po přidání této sítě na R2 provede to samé směrovač R2 na S0/0/1, zdroj:
[1]
Podobně začnou komunikovat ostatní porty směrovačů po přidání příslušné sítě. Na základě této
žádosti si směrovače vymění informaci o svých připojených sítích. Výměna informací probíhá
periodicky každých 30 sekund. Dojde-li ale ke změně topologie, tato situace spustí okamžitou
aktualizaci (trigered update).
Po přidání sítě 192.168.30.0 na směrovači R1 (přímo připojená k S0/0/1) do protokolu RIP vyšle
směrovač informaci o této síti směrem k R2, který ji přijme a zapíše do své směrovací tabulky.
CZ.1.07/2.1.00/32.0045
35
Obr. 8.3: Aktualizace RIP směrem k R2 (S0/0/0) po přidání sítě 192.168.30.0 (přímo připojené na
S0/0/1) na směrovači R1, zdroj: [1]
Obr. 8.4: Aktualizovaná směrovací tabulka na R2, zdroj: [1]
Pokud nejsou na R3 uvedeny žádné sítě v konfiguraci RIP, směrovač update ze směrovače R1 zahodí.
Obr. 8.5: Výpis konfigurace protokolu RIP na směrovači R3 (nejsou zadané sítě), zdroj: [1]
CZ.1.07/2.1.00/32.0045
36
Po přidání sítě 192.168.30.0 na R3 do směrování, vyšle R3 žádost o update směrem k R1, který zašle
nový update se sítí 192.168.10.0.
Obr. 8.6: Update o síti 192.168.10.0 z R1 na R3, zdroj: [1]
CZ.1.07/2.1.00/32.0045
37
Obr. 8.7: Výpis směrovací tabulky na R3 po přijetí update z R1, zdroj: [1]
V případě, že na rozhraní nevede cesta k dalšímu směrovači (např. rozhraní lokální sítě), je vhodné
ukončit vysílání aktualizací příkazem na rozhraní (v tomto případě fa0/0), příjem ale trvá:
Router(config-router)#passive-interface fa0/0
Implicitní cesta
Nastavení implicitní cesty manuálně administrátorem je u dynamického směrování obvyklé pouze na
hraničním směrovači.
Příkazy: Router(config)#router rip
Router(config-router)#default-information originate
Konfigurace přeposílání (redistribute) směrovacích informací
 Redistribute static – rozesílá informace o staticky nastavených cestách
Například statická cesta filtrující všechny sítě 192.168.0.0. /16:
R1(config)#ip route 192.168.0.0 255.255.0.0 Null0
bude předávána směrovacím protokolem na ostatní směrovače příkazem:
R1(config-router)#redistribute static
 Redistribute connected – rozesílá informace o přímo připojených sítích při použití příkazu:
R1(config-router)#redistribute connected
Vyvažování zátěže (load balancing)
Pokud protokol RIP nalezne více cest se stejnou metrikou, použijí se rovnoměrně všechny cesty pro
vyvážení zátěže (výchozí nastavení max. 4 cesty). Počet cest lze změnit příkazem (kde N je počet
cest):
Router(config-router)#maximum-paths N
Časovače protokolu RIP
V souvislosti s aktualizacemi používá protokol RIP časovače:


Update – aktualizační časovač, výchozí nastavení 30 sekund.
Invalid – neplatné cesty, výchozí nastavení 180 sekund. Pokud nepřijde aktualizace existující
cesty do nastaveného času, je metrika cesty nastavena na 16 (nekonečná) a cesta zůstává jako
CZ.1.07/2.1.00/32.0045
38



nedosažitelná ve směrovací tabulce, dokud nevyprší vyprazdňovací časovač.
Holddown – zadržovací časovač, výchozí nastavení 180 sekund. Stabilizuje směrovací
informace a předchází vzniku směrovacích smyček. Během doby, kdy topologie konverguje,
neinzeruje nové informace vzniklé po změně topologie. Jakmile je cesta označena jako
nedostupná (unreachable), musí zůstat zadržená (holddown) dostatečně dlouho, aby se všechny
ostatní směrovače byly schopné o nedostupné síti dozvědět. Časovač musí být nastaven na
delší čas, než je celková doba konvergence celé sítě (o několik sekund).
Flush – vyprazdňovací časovač, výchozí nastavení 240 sekund. Když časovač vyprší, je
nedosažitelná cesta smazána ze směrovací tabulky.
Sleep – doba spánku, výchozí nastavení 360 milisekund. Interval pro odložení spouštěné
aktualizace. Hodnota sleeptime by měla být nižší než čas aktualizace. Při vyšší hodnotě nebude
směrovací tabulka synchronizována.
Aby se zabránilo vysílání aktualizací ve stejný čas (synchronizace aktualizací), používá se náhodná
proměnná RIP_JITTER, která odečítá náhodný časový úsek (0-15% nastavené hodnoty upadte timer).
Směrovací smyčka (Routing Loop)
Je stav, ve kterém je paket trvale přenášen uvnitř skupiny na sebe navazujících směrovačů, aniž by
dosáhl zamýšlené cílové sítě. Např. když dva nebo více směrovačů mají ve své směrovací tabulce
zdánlivě platnou cestu do cíle, který je nedosažitelný. Možné způsoby vzniku:




nesprávně nastavené statické cesty
nesprávně nastavený proces redistribuce cest (na hraničních směrovačích mezi různými
směrovacími protokoly)
nekonzistentní směrovací tabulky při pomalé konvergenci v měnící se síti
nesprávně nastavené nebo nainstalované vyřazené cesty (po výpadku linky)
Mechanismy pro eliminaci směrovacích smyček:




Definování maximální metriky pro eliminaci počítání do nekonečna (count to infinity), které
by nastalo při pomalé konvergenci, ve které směrovače postupně zvyšují počet hopů v dílčích
sítích – typicky nastavení maximálního počtu hopů (RIP=16).
Zadržovací časovače (holddown timers) – při změně topologie vyšle nejbližší směrovač
triggered update na další hop, tam je spuštěn holddown timer (zadržuje informaci o změněné
síti), který zabrání zastaralé aktualizaci z jiné strany. I když dojde k periodické aktualizaci,
staré směrovací informace se neuplatní.
Rozložený horizont (split horizont rule) – předchází vzniku směrovacích smyček tak, že
směrovač neinzeruje síť prostřednictvím toho rozhraní, ze kterého se o této síti dozvěděl (ze
kterého přišla původní aktualizace).
Znehodnocení cest (route poisoning – nedosažitelná cesta neobsažena v aktualizaci - nastavení
čítače hopů na 16) nebo znehodnocené zpětně informace (poison reverse – nedosažitelná cesta
není při aktualizaci posílána zpět ke zdroji)
Rrozložený horizont se znehodnocenou zpětnou informací – (Split Horizon with Poison
Reverse) Aktualizace vysílaná na rozhraní označí sítě, o kterých se dozvěděl směrovač
z tohoto rozhraní, jako nedostupné (s metrikou větší než max. možnou, RIP = 16). Obecně je
lepší říci směrovači, že určité cesty (směry) jsou nedostupné a že je má ignorovat, než mu
CZ.1.07/2.1.00/32.0045
39


o nich neříct vůbec (a směrovač se potom může snažit využít implicitní cestu).
Aktualizace vyvolané událostí (triggered updates).
Životnost paketu (Time to Live (TTL) – osmibitové pole v záhlaví IP) omezuje počet skoků,
přes které může paket cestovat, než je zahozen. Je to prevence, aby nedoručitelný paket
necirkuloval v síti nekonečně dlouho. Hodnota TTL je nastavena zdrojovým zařízením a
každém směrovači se snižuje o jedničku. Při hodnotě nula před doručením do cíle je paket
zahozen a směrovač zašle zpět zdrojovému zařízení chybovou zprávu ICMP (Internet Control
Message Protocol) o překročení životnosti.
8.2.3 Proces zabránění vytvoření
v následujících krocích:
směrovací
smyčky
si
popíšeme
1. Předpokládáme, že směrovací informace topologie na obrázku jsou konvergované.
2. Dojde k výpadku cesty na rozhraní Fa0/0 směrovače R3, který vyšle triggered update na
směrovač R2.
Obr. 8.8: Konvergovaná topologie při výpadku sítě 10.4.0.0, zdroj: [2]
3. Směrovač R2 reaguje na triggered update pozastavením aktualizací sítě 10.4.0.0 časovačem
Holddown Timer.
4. Periodické aktualizace ze směrovače R1 směrovač R2 pro tuto síť ignoruje a zašle triggered
update na směrovač R1.
Obr. 8.9: Průběh aktualizace na R2, zdroj: [2]
CZ.1.07/2.1.00/32.0045
40
5. Směrovač R1 spustí na základě triggered update z R2 Holddown Timer pro síť 10.4.0.0.
6. Mezitím nastane periodická aktualizace na směrovači R2 a R3.
Obr. 8.10: Periodická aktualizace na R2 a R3 se zadržením informace o síti 10.4.0.0, zdroj: [2]
7. Pokud v tomto stavu procesu konvergence dojde k provozu z R1 do sítě 10.4.0.0, směrovací
informace je dosud obsažena ve směrovací tabulce a paket bude doručen na rozhraní Fa0/0
směrovače 3, kde se zahodí (nefunkční síť).
Obr. 8.11: Provoz z R1 na síť 10.4.0.0 během konvergence, zdroj: [2]
8. Na směrovači R2 vyprší Holddown Timer a ve směrovací tabulce bude smazán záznam o síti
10.4.0.0.
9. Periodická aktualizace na směrovači R1 nezašle zastaralou aktualizaci o síti 10.4.0.0, poněvadž
na něm stále běží Holddown Timer.
CZ.1.07/2.1.00/32.0045
41
Obr. 8.12: Vypršení Holddown Timer na R2 a periodická aktualizace R1, zdroj: [2]
10. Po vypršení Holddown Timer na směrovači R1 dojde k odstranění směrovací informace o síti
10.4.0.0 ze směrovací tabulky. Síť je konvergovaná.
Zobrazení databáze
Příkaz, který zobrazí všechny nastavené trasy protokolu RIP v jeho interní databázi:
Router#show ip rip database
Zobrazení konfigurace všech směrovacích protokolů na zařízení
Router#show ip protocols
Obr. 8.13: Použití příkazu show ip protocols, zdroj: [1]
Z výpisu tohoto příkazu zjistíme následující informace:
1. název směrovacího protokolu
2. nastavené hodnoty časovačů a kdy bude další periodická aktualizace
3. nastavenou filtraci vysílaných aktualizací a nastavenou redistribuci do jiných směrovacích
CZ.1.07/2.1.00/32.0045
42
4.
5.
6.
7.
protokolů
jednotlivá rozhraní, která vysílají a přijímají aktualizace, a ve které verzi RIP
zda je činnost automatická sumarizace a maximální počet cest RIP se stejnou cenou do jedné
konkrétní sítě
směrování do uvedených sítí v plné třídě nastavené při konfiguraci směrovacího protokolu
zdroje směrovacích informací – sousední směrovač (odkud přijímá aktualizace), informace
o adrese dalšího skoku, administrativní vzdálenost a čas (kdy byla přijatá poslední
aktualizace), poslední řádka výpisu zobrazuje administrativní vzdálenost tohoto směrovače
Debug ip rip
Okamžitý výpis všech událostí o příslušném směrovacím protokolu (RIP). Debugging (ladění) velice
zatěžuje CPU směrovače. Zapínat pouze pro potřebnou dobu pro dohledávání chyb, nikoliv po celou
dobu provozu.
Router#debug ip rip
Obr. 8.14: Použití příkazu debug ip rip, zdroj: [1]
Abychom vypnuli veškeré ladění, použijeme příkaz:
Router#no debug all
8.3
RIPv2
Verze 2 protokolu RIP vznikla s rozvojem sítí v roce 1994. Na rozdíl od verze 1 podporuje rozdílnou
velikost masek subsítí (VLSM) a masky podsítě jsou zahrnuty ve směrovacích informacích. Je vhodný
pro malé ploché sítě nebo na okraji velkých sítí. RIPv2 rozšiřuje RIPv1 o následující funkce:
 Podporuje VLSM a automatickou sumarizaci (je možno vypnout) podle libovolných velikostí
sítí, v aktualizaci je obsažená maska podsítě
 Adresu dalšího přeskoku (next-hop) ve svých směrovacích aktualizacích
CZ.1.07/2.1.00/32.0045
43
 Použití skupinových adres (multicast) 224.0.0.9 v zasílaných informacích
 Je k dispozici možnost ověřování (autentizace)
 Podporuje až 25 cest v jedné zprávě RIP (24 při použití autentizace)
 Administrativní vzdálenost RIPv2 je 120.
Obě verze RIP sdílejí následující funkce:
 Použití zadržovacího a dalších časovačů pro zabránění vzniku směrovacích smyček.
 Použití rozloženého horizontu nebo rozloženého horizontu s mylnou zpětnou informací také
pro zabránění směrovacích smyček.
 Použití automaticky spouštěné aktualizace (triggered updates) při změně v topologii, nečeká na
vypršení aktualizačního časovače (rychlejší konvergence). Používá se v těchto případech:
o změna stavu rozhraní
o změna stavu směrovače (unreachable state)
o do směrovací tabulky byla přidána nová cesta
 Omezení maximálního počtu přeskoků (hop counts) na 15. Šestnáctý znamená nedosažitelnost
sítě.
Obr. 8.15: Zapouzdření periodické aktualizace protokolu RIPv2 na R1 směrem k R2, zdroj: [1]
8.4
Souhrn příkazů protokolu RIPv1 a RIPv2:
Router(config)#no router rip
Router(config-router)#no network w.x.y.z
Router(config-router)#version 2
Router(config-router)#version 1
Router(config-if)#ip rip send version 1
Router(config-if)#ip rip send version 2
Router(config-if)#ip rip send version 1 2
Router(config-if)#ip rip receive version 1
Router(config-if)#ip rip receive version 2
CZ.1.07/2.1.00/32.0045
Vypne směrovací proces RIP.
Odstraní síť w.x.y.z ze směrovacího procesu RIP.
RIP nyní bude vysílat a přijímat pakety RIPv2.
RIP nyní bude vysílat a přijímat pakety RIPv1.
Toto rozhraní bude vysílat pouze pakety RIPv1.
Toto rozhraní bude vysílat pouze pakety RIPv2.
Toto rozhraní bude vysílat oboje pakety RIPv1
i RIPv2.
Toto rozhraní bude přijímat pouze pakety RIPv1.
Toto rozhraní bude přijímat pouze pakety RIPv2.
44
Toto rozhraní bude přijímat oboje pakety RIPv1 i
Router(config-if)#ip rip receive version 1 2
RIPv2.
RIPv2 sumarizuje sítě na hranici plné třídy.
Router(config-router)#no auto-summary
Tento příkaz automatickou sumarizaci vypíná.
Z tohoto rozhraní nebudou odesílány aktualizace
Router(config-router)#passive-interface s0/0/0
RIP (aktualizace mohou ale být přijímány).
Definuje konkrétní sousedy, se kterými si
Router(config-router)#neighbor a.b.c.d
vyměňuje informace.
Vypne rozložený horizont (split horizont).
Router(config-router)#no ip split-horizon
Implicitně je zapnutý.
Změní časovače RIP.
Router(config-router)#timers basic 30 90 180
Omezí počet cest pro vyrovnávání zátěže na N (4
Router(config-router)#maximum-paths N
= implicitní hodnota, 6 = maximum).
Generuje implicitní cestu do aktualizací RIP.
Router(config-router)#default-information
originate
8.5
EIGRP (Enhanced Interior Gateway Routing Protocol)
Proprietární protokol CISCO (1992), je vylepšením protokolu IGRP o beztřídní směrování. Používá
bounded (ohraničené) aktualizace pouze při změně topologie. Používá specifické funkce jako:










Spolehlivý transportní protokol RTP (Reliable Transport Protocol).
Omezené aktualizace - odešle aktualizaci pouze o této síti, místo celé tabulky. Tyto informace
jsou zasílány pouze těm směrovačů, které ji potřebují.
Konvergentní algoritmus DUAL (Diffusing Update Algorithm) – přestože používá
informace o stavu linek, patří mezi protokoly s DVA, někdy nazýván jako hybridní algoritmus.
Vytváření vztahů sousedství (adjacencies).
Tabulky sousedů a logickou topologii udržuje odděleně, při výpadku použije záložní cestu.
Vyvažuje zátěž i na linkách s různou metrikou.
Metrika je založená kromě počtu skoků také na šířce pásma, zpoždění, spolehlivost a zatížení.
Při konvergenci nepoužívá zadržovací časovače, cest bez smyček se dosahuje
prostřednictvím systému výpočtů trasy (rozptylové výpočty), výsledkem je rychlejší
konvergence.
EIGRP používá číslo autonomního systém AS (číslo instance) a jeden směrovač může
používat více instancí.
Administrativní vzdálenost EIGRP = 90.
EIGRP udržuje pro svoji činnost 3 tabulky:



Směrovací – obsahuje pouze nejlepší cesty (successor) s nejnižší metrikou.
Topologie – obsahuje zjištěné směry – nejlepší, záložní i všechny ostatní do cílových sítí ve
stejné směrovací doméně.
Sousedů – obsahuje informace o sousedních směrovačích, se kterými si vyměňuje aktualizace
(adjacent routers) ve stejném autonomním systému.
CZ.1.07/2.1.00/32.0045
45
Typy paketů (podle hodnoty pole Opcode):




Aktualizace – pouze změny, nejsou periodické, cílová adresa unicast/multicast podle počtu
adresátů, potvrzované.
o vázané (bounded) – pouze na směrovače, na které má tato změna vliv
o částečné (partial) – pouze změny topologie a metriky
Dotaz – hledání sítí, unicast nebo multicast, potvrzované.
Odpověď na dotaz – odpověď, vždy unicast, potvrzované.
Kontaktní paket (Hello) – hledání identifikace a verifikace sousedních směrovačů ve stejném
autonomním systému, multicast, periodické vysílání, pomocí něho je udržován vztah
sousedství (adjacency).
Metrika
Kompozitní, složená podle vzorce:
metric = [K1*bandwidth + (K2*bandwidth)/(256 - load) + K3*delay]*[K5/(reliability + K4)]
výchozí nastavení koeficientů K1 až K5:
K1 (bandwidth – v Kbit) = 1
K2 (load – 0 až 255, nižší hodnota odpovídá méně zatížené lince) = 0
K3 (delay – v µsec, např. FastEthernet = 100 µsec) = 1
K4 (reliability – 0 až 255, kde 255 odpovídá 100% spolehlivost) = 0
K5 (reliability) = 0
Aktuální hodnoty zobrazí příkaz:
R1#show ip protocols
Obr. 8.16: Zobrazení konfigurace EIGRP 100, zdroj: [1]
CZ.1.07/2.1.00/32.0045
46
Hodnoty koeficientů je možno změnit příkazem:
R1(config-router)#metric weights tos K1 K2 K3 K4 K5
,kde tos znamená type of service, koeficienty K1 až K5 nabývají hodnoty od 0 do 255.
8.6
Souhrn základních příkazů protokolu EIGRP:
Router(config)#router eigrp 100
Router(config-router)#network 10.0.0.0
Router(config-if)#bandwidth x
Router(config-router)#no network 10.0.0.0
Router(config)#no router eigrp 100
Router(config-router)#network 10.0.0.0
0.255.255.255
Router(config-router)#metric weights tos k1 k2
k3 k4 k5
Router(config-router)#variance n
Zapne proces EIGRP. 100 je číslo autonomního
systému, což může být číslo od 1 do 65 535.
Všechny směrovače v tom samém autonomním
systému musí používat stejné číslo
autonomního systému.
Specifikuje, která síť je inzerovaná pomocí
EIGRP.
Nastaví šířku pásma (přenosovou rychlost,
kapacitu) tohoto rozhraní na x kilobitů, což
EIGRP umožňuje lepší kalkulaci metriky.
Příkaz bandwidth je použit pouze pro výpočet
metriky. Nemění skutečný výkon metriky.
Vymaže zadanou síť ze zpracování EIGRP.
Vypne směrovací proces 100.
Identifikuje, která rozhraní sítě jsou zahrnuty do
EIGRP. Rozhraní musí být nakonfigurována a
adresami, které spadají do rozsahu určeného
pseudomaskou v příkazu network. Maska sítě
lze zde také použít.
Změní implicitní hodnoty k, použité při výpočtu
metriky.
Dá pokyn směrovači, aby zahrnul směry
s metrikou menší nebo rovnou n-krát minimální
metrice směru pro daný cíl. N je číslo
specifikované pomocí příkazu variance.
Použití příkazu Bandwidth:
Router(config)#interface serial 0/0/0
Router(config-if)#bandwidth 256
Vstup do konfiguračního režimu rozhraní.
Nastaví šířku pásma, přenosovou kapacitu
(bandwidth) na 256 kilobitů, aby tak umožnilo
lepší kalkulaci metriky v EIGRP.
Router(config-if)#ip bandwidth-percent eigrp 50 Nastaví procento přenosové kapacity – šířky
pásma (bandwidth), které může být EIGRP
100
použito na tomto rozhraní pro výměnu
CZ.1.07/2.1.00/32.0045
47
směrovacích informací.
50 je číslo autonomního systému EIGRP.
100 je hodnota procenta.
100%*256 = 256 kb/s.
Autentizace:
Router(config)#interface serial 0/0/0
Router(config-if)#ip authentication mode eigrp
100 md5
Router(config-if)#ip authentication key-chaineigrp 100 “jméno”
Vstup do konfiguračního režimu rozhraní.
Zapne na tomto rozhraní v autentizaci EIGRP
paketů hašovací algoritmus MD5.
Zapne na tomto rozhraní autentizaci EIGRP
paketů. Místo jména se napíše název skupiny
klíčů (key chain).
Určuje číslo klíče.
Router(config-keychain)#key 1
Rozsah klíčů je od 0 do 2147483647.
Identifikační čísla klíčů nemusí být na sebe
navazující. V řetězci musí být definován
nejméně jeden klíč.
Router(config-keychain-key)#key-string “heslo” Určuje heslo klíče (key string).
Řetězec klíče (heslo) může obsahovat od 1 do
80 alfanumerických znaků (velká i malá
písmena) s výjimkou prvního znaku, který
nemůže být číslice.
Volitelně (nepovinně) určuje periodu, během
Router(config-keychain-key)#accept-lifetime
které mohou být klíče přijímány.
start-time {infinite | end-time | duration
seconds}
Implicitní počátek periody a nejranější
akceptovatelný datum je 1. 1. 1993. Implicitní
konec periody je nekonečno.
Volitelně (nepovinně) určuje periodu, během
Router(config-keychain-key)#send-lifetime
které mohou být klíče vysílány.
start-time {infinite | end-time | duration
seconds}
Implicitní počátek periody a nejranější
akceptovatelný datum je 1. 1. 1993. Implicitní
konec periody je nekonečno.
9. Dynamické směrovací protokoly s algoritmem LSA
9.1
LSA - Link-state routing algorithm
Směrování podle stavu linek je řízené událostmi. Směrovací protokoly orientované na stav linky,
nazývané také algoritmy nejkratší cesty, sledují v internetové síti stav linek, ze kterých se skládají
jednotlivé cesty. Při změně stavu linky si směrovače vymění oznámení o stavu linky. Jakmile
CZ.1.07/2.1.00/32.0045
48
směrovač přijme aktualizaci směrovacích informací typu LSA, spustí algoritmus stavu linek
a přepočítá nejkratší cesty do příslušných cílových míst. Při výskytu změny tedy aktualizuje
směrování podle stavu linek a neustále udržuje úplné znalosti o topologii internetové sítě.
Tento algoritmus znamená pro směrovač mnoho více práce než u DVA. Položky směrovací tabulky se
počítají algoritmem nejkratší cesty z dat obdržených od ostatních směrovačů. U rozsáhlých sítí je
problematické zaplavovat je velkým množstvím informací ze směrovačů, proto se takové sítě rozdělí
na oblasti a postup se aplikuje pouze v rámci této oblasti. Na hranicích se sousedními oblastmi jsou
hraniční směrovače, které si pak vyměňují informace o celých oblastech.
Tyto protokoly jsou stabilnější a lze je aplikovat i u velmi rozsáhlých sítí. Návrh sítě (rozdělení sítě
a konfiguraci) na oblasti by měl dělat zkušený odborník. Pokud se použije protokol typu LSA bez
větších zkušeností, tak je také možné, že některými linkami data prostě neprotečou a jiné budou
přetížené.
Směrovací protokoly s algoritmem LSA jsou známé také jako protokoly typu nejkratší cesta jako první
(shortest path first protocols, SPF) a jsou postaveny na algoritmu SPF Dijkstra (Edsger Wybe Dijkstra,
1930-2002, byl holandský vědec v oboru počítačů). Nejpoužívanějším protokolem je protokol OSPF
(Open SPF) a IS-IS (Intermediate Systém-to-Intermediate Systém).
9.1.1 Dijkstrův algoritmus
1. Každý směrovač se dozví o každé k sobě přímo připojené síti.
2. Každý směrovač zašle každému sousedovi paket Hello a vytvoří se vztah přilehlosti
(adjacency).
3. Každý směrovač sestavuje pakety obsahující stavy přilehlých linek (LSP – Link State Packet).
LSP obsahuje:
 údaje o lince mezi dvěma směrovači: R1 – R2, ID souseda, typ linky, adresa sítě,
maska, přenosová kapacita, cena
 nebo informace o netranzitní síti
4. Při změně topologie každý směrovač rozesílá pakety stavu linky na své přímo připojené
sousedy ve směrovací oblasti, kteří si přijaté pakety stavu linky ukládají do své databáze stavu
linky (LSDB – link state database). Každý směrovač ve stejné směrovací oblasti bude mít
pakety stavu linky ze všech směrovačů.
5. Každý směrovač si vytváří úplnou a synchronizovanou mapu topologie sítě a nezávisle počítá
nejlepší cestu do každé cílové sítě (s celkovou nejnižší cenou celé trasy). Tím si vytváří strom
sítě neobsahující smyčky.
6. Stav databáze se může nacházet v těchto stavech:
 full – kompletně synchronizovaná
 2-way – je sestavena obousměrná komunikace na obou linkách
 neběží kompletně, stav se sousedy – down, attempt, init, loading, exstart, Exchange
9.2
OSPF
OSPF (Open Shortest Path First) je veřejný směrovací protokol typu stavu linky. Protokol RIP, typu
vektor vzdálenosti, nebyl pro velké sítě akceptovatelný, protože spoléhal na počet přeskoků jako na
jediný způsob určení nejlepší trasy. OSPF je beztřídní protokol (podporuje VLSM), který používá pro
svoji rozšiřitelnost koncept oblastí (area). Hlavní výhodou OSPF oproti RIP je jeho rychlá
CZ.1.07/2.1.00/32.0045
49
konvergence a jeho rychlá rozšiřitelnost na mnohem větší sítě.
Základní myšlenkou protokolu OSPF jsou tedy takzvané oblasti sítě. Oblast je zóna sítě v rámci
autonomního systému, složená z logického souboru segmentů sítě a v nich připojených zařízení. Pro
systém směrování pak tyto oblasti slouží jako strategie řízení toku síťového provozu a pro
zjednodušení nežádoucí míry podrobnosti ve směrovací tabulce. Každá doména OSPF musí obsahovat
páteřní oblast s číslem 0.
Typy paketů OSPF
1. Hello – kontaktní pakety hello objevují sousedy OSPF, vytvářejí a udržují vztah přilehlého
sousedství (adjacency) s ostatními směrovači OSPF.
2. DBD – The Database Desription – zkrácený výpis link-state databáze vysílajícího směrovače,
určen k ověření a synchronizaci lokální databáze link-state na přijímacím směrovači.
3. LSR – Link-State Request – žádost o další informace pro řádku DBD.
4. LSU – Link-State Update – odpověď na LSR, který žádal nové informace. LSU může obsahovat
až 11 různým typů oznamovačů Link-State Advertisements (LSA), (někdy se jako synonym pro
LSA používá termín Link-State Update (LSU), ve skutečnosti LSU obsahuje jeden nebo více
LSA). Jednotlivé LSA obsahují směrovací informace do cílové sítě
Typy LSA:
4.1. – směrovač – router
4.2. – síť – network
4.3. – agregace – summary
4.4. – agregace – summary
4.5. – externí autonomní systém
4.6. – multicast OSPF
4.7. – definované pro tranzitní oblasti (not-so-stubby-areas)
4.8. – externí atributy pro protokol BGP
4.9. – nejasný LSA
5. LSAck – Link-State Acknowledgement (LSAck) – potvrzení přijetí LSU.
Link State ID
Tento identifikátor udává typ inzerované informace (v advertisements). Např. typ LS = 3 znamená
sumarizaci linek, pro LS = 5 se jedná o externí linky autonomního systému.
Router ID
OSPF protokol používá Router ID k jednoznačné identifikaci směrovače ve směrovací doméně. Tento
identifikátor je odvozen z nejvyšší IP adresy loopback. Pokud loopback neexistuje, jedná se o nejvyšší
IP adresu aktivního rozhraní.
CZ.1.07/2.1.00/32.0045
50
Zjednodušená činnost OSPF
1. Směrovač vysílá přes svá rozhraní kontaktní pakety (Hello packet). Pokud se dva navzájem
propojené směrovače pomocí těchto paketů dohodnou na určitých společných parametrech,
stávají se sousedy.
2. Mezi některými ze sousedů se vytvářejí užší vazby sousedství. Tyto směrovače se pak označují
jako přilehlé (adjacent).
3. Přilehlé směrovače si vzájemné vyměňují aktualizační pakety (Link-State Update, LSU)
obsahující oznamovače LSA (Link-State Advertisement). Informace v oznamovačích popisují
stav rozhraní směrovače nebo seznam směrovačů připojených k dané síti.
4. Všechny směrovače si ukládají přijaté LSA do své lokální topologické databáze (LSDB),
a zároveň je přeposílají na ostatní přilehlé směrovače. Tím se informace postupně záplavově
(flood) rozšíří mezi všechny směrovače v síti. Výsledkem bude shodná topologická databáze
na všech směrovačích.
5. Po naplnění databáze (LSDB) každý směrovač samostatně provede výpočet pomocí SPF
(Dijkstrova) algoritmu. Jeho výsledkem bude nalezení nejkratší cesty do každé známé sítě
v podobě stromu a tím odstranění smyček v topologii sítě.
6. Na základě vypočtených dat ve stromu SPF je možné naplnit směrovací tabulku směrovače
nejlepšími cestami do cílových sítí.
7. Pokud dojde ke změně topologie sítě, směrovač, na kterém ke změně došlo, odešle přilehlým
směrovačům informaci v podobě datových položek LSA v LSU paketu. Ty se postupně rozšíří
po celé síti a každý směrovač upraví svou topologickou databázi a provede nový výpočet SPF
algoritmu.
Obr. 9.1: Oblasti s vyznačením virtuální linky do páteřní oblasti, zdroj: [5]
9.2.1 OSPF area



každá oblast běží s oddělenou kopii základního algoritmu stavu linek
area – struktura oblasti není viditelná z okolí
ospf area je definována 32bit číslem
OSPF využívá jako základní páteřní oblast (area id = 0), která tvoří jádro ospf sítě. Tato páteř
zodpovídá za distribuci směrovacích informaci mezi jednotlivými podoblastmi. (nejsou v páteři).
Kazda oblast, která není v páteřní oblasti, musí byt připojena k páteřní oblasti (přímo nebo virtuální
linkou).
CZ.1.07/2.1.00/32.0045
51
V OSPF přidáváme do oblasti buď jednotlivé sítě, se kterými si vyměňujeme směrovací informace,
nebo celou skupinu agregujeme se specifickou cenou. Umožňuje to snížení množství předávaných
informací a nezatěžuje tolik procesor.
Oblasti vytváříme klíčovým slovem area příkazem:
Router1(config-router)#network 10.0.0.0 0.255.255.255 area 0
Wildcard se používá k vyjádření velikosti sítě IPv4 na místo masky podsítě, ke které je inverzní. Např.
masce podsítě 255.255.255.252 odpovídá Wildcard 0.0.0.3.
Stub area



je oblast, která nepřijímá vnější cesty AS
typicky všechny cesty k vnějšímu AS mohou být nahrazeny jednou default route – tato cesta se
vytvoří automaticky při distribuci ABR
inject summary umožňuje přidat oddělené páteře nebo jiné Link state advertisement, které
přidává do stub area. Tato volba se používá pouze na ABR (area border router), inj. summ.
nemusí být agregovány, cena je nastavena pomocí „default area cost“ (microtik)
Not so stuby area (NSSA):
Typ podobný stub area s možností přidání viditelných vnějších cest autonomního systému do páteře.
Translator role - umožňuje určit, který ABR v NSSA oblasti bude takto působit.
9.2.2 Role směrovačů v OSPF:
Podle předchozího obrázku mají směrovače rozdílné role:



Autonomous Systém Border Router (ASBR) – je spojen s ostatními AS, ASBR je
použit k předávání cest přijatých od ostatních AS.
Area Border Router (ABR) – směrovač propojující více ospf area, poskytuje
vícenásobnou kopii z databáze typu linek ze své paměti do každé další oblasti.
Internal Router (IR) – je směrovač propojen pouze v jedné oblasti.
OSPF směrovač, který generuje LSAs pro síť s více přístupy (s více branami), se nazývá Designated
Router (DR). Taková síť má alespoň dva určené směrovače (DR, BDR – Backup DR). To umožňuje
snížit počet sousedství vyžadovaných v síti s více přístupy a snižuje počet aktualizací a velikost
topologické databáze. Designated router redukuje provoz, v sítích NBMA (non-broadcast multiple
access) a broadcast sítích je jako jediný zdroj pro směrovací update (obnovu) směrovacích informací.




DR většinou sestavuje tabulku topologie sítě a posílá změny ostatním.
Má nejvyšší prioritu (zvoleny podle router ID).
Jako záložní BDR (backup DR) se volí druhy s nejnižší prioritou.
Směrovač s nulovou prioritou nemůže nikdy být DR nebo BDR.
DR (směrovač s nejvyšší prioritou) je zodpovědný za aktualizace všech ostatních směrovačů OSPF
(nazývaných DROther), když nastane změna topologie v síti s více přístupy. BDR monitoruje DB a
převezme funkci DR, pokud aktuální DR selže.
CZ.1.07/2.1.00/32.0045
52
Jak je volen DR a BDR?
1. DR: směrovač s nejvyšší prioritou OSPF rozhraní
2. BDR: směrovač s druhou nejvyšší prioritou OSPF rozhraní
3. Jestliže jsou OSPF priority shodné, rozetne nerozhodný výsledek nejvyšší ID směrovače.
Konfigurace priority rozhraní se nastaví příkazem:
Router(config-if)#ip ospf priority 255
Tímto se nastaví rozhraní nejvyšší možná priorita => bude zvoleno DR.
Aktuální prioritu daného rozhraní a ID směrovače zobrazíme příkazem:
Router#show ip ospf interface „jméno_rohraní“
Implicitní priorita pro rozhraní směrovače je jednička. Pokud mají všechny směrovače nastavenou
implicitní prioritu rozhraní, bude jako DR zvolen směrovač s nejvyšším identifikátorem směrovače
(Router ID – RID).
Jednotlivé DROther (=jiné směrovače než DR nebo BDR) budou formovat sousedství typu FULL
pouze s DR a BDR, ale budou stále formovat přilehlé sousedství s jakýmkoliv jiným směrovačem
DROther, který je připojený v síti. To znamená, že všechny směrovače DROther v síti s více přístupy
stále přijímají kontaktní pakety Hello ze všech ostatních směrovačů DROther. Tímto způsobem jsou si
vědomy všech směrovačů v síti. Když dva směrovače typu DROther zformují přilehlé sousedství, je
stav sousedství zobrazen jako typ 2WAY.
Obr. 9.2: Zapouzdření zprávy protokolu OSPF, zdroj: [2]
CZ.1.07/2.1.00/32.0045
53
9.2.3 Metrika OSPF
Cena rozhraní:
Medium
9,6kbps line
56kbps line
64kbps line
T1 circuit
E1 circuit
T3 circuit
4Mbps Token Ring
16Mbps Token Ring
Ethernet
Fast Ethernet
Gigabit Ethernet
10 Gigabit Ethernet
Nominal
bandwidth
9,6kbps
56kbps
64kbps
1,544Mbps
2,048Mbps
45Mbps
4Mbps
16Mbps
10Mbps
100Mbps
1Gbps
10Gbps
Default
Cost
10,416
1,785
1,562
64
48
2
25
6
10
1
1
1
Changing reference
bandwidth to 10 Gbps
1,041,666
178,571
156,250
6,476
4,882
222
2,500
625
1,000
100
10
1
Cost with 1/square
root model
1,020
422
395
80
69
14
50
25
31
10
3
1
Obr. 9.3: Typy externí metriky, zdroj: [5]





default route se nepovažuje za statické směrování
if-installed – zasílá default route pouze pokud byla nastavena (staticky, dhcp, ppp,…)
always – vždy zasílá default route
as-type1 – směrovací rozhodnutí jsou založeny na součtu externí a interní metriky
as-type2 – směrovací rozhodnutí jsou založeny pouze na externí metrice (vnitřní metrika je
určena pouze prvním spojem)
Passive interface
Sítě, které mají připojené pouze klienty, nepotřebují zasílat směrovací informace, jsou považovány
jako externí. Z důvodu bezpečnosti a zamezení informací se na těchto rozhraních nastavuje volba
passive interface.
CZ.1.07/2.1.00/32.0045
54
rozsah oblasti:
V OSPF přidáváme do oblasti buď jednotlivé sítě, se kterými si vyměňujeme směrovací informace
nebo celou skupinu agregujeme se specifickou cenou. Umožňuje to snížení množství předávaných
informací a nezatěžuje tolik procesor.
10. Hierarchická struktura směrování
Směrovací tabulka je databáze s hierarchickou strukturou. Důvodem je rychlý postup vyhledávání.
Struktura má několik úrovní. Další výklad se věnuje úrovni 1 a 2. Směrování podle zdroje informací je
možno rozdělit:



přilehlé sítě, přímo připojené – kód C, jsou přidány po zapnutí nastaveného rozhraní
staticky nastavené – kód S
dynamické – kódy podle typu dynamického protokolu (R – RIP, D – EIGRP, O – OSPF)
Směry úrovně 1 (Level 1 routes)
Je to směr s maskou podsítě rovnou nebo menší než implicitní maska plné třídy. Je přidána do
směrovací tabulky po zapnutí rozhraní do přilehlé (connected) sítě.



síťový směr např 192.168.1.0/24 – třídní maska
nadsíťový směr 192.168.128.0/20 – maska kratší, než třídní
implicitní směr 0.0.0.0/0 - s maskou /0
Základní, ultimátní trasa (Ultimate route)
Jedná se o základní, nepominutelnou trasu první úrovně buďto:


IP adresu next-hop (jinou cestu)
a/nebo výstupní, odchozí rozhraní (exit interface)
Pokud je ve skupině sítí definována podsíť, jsou řádky směrovací tabulky navíc ještě rozděleny na typ
rodič a potomek.
Rodič a potomek (Parent and child)


Trasa typu rodič (parent route) – trasa 1. úrovně. Nemá žádnou informaci o výstupním směru,
příštím skoku nebo odchozím rozhraním. Je automaticky přidána, když je do směrovací
tabulky přidána podsíť, tj. když je přidán směr typu potomek.
trasa typu potomek (child route) – trasa 2. úrovně. Je to podsíť sítě v plné třídě, může být
považována za ultimátní, protože obsahuje odchozí rozhraní a/nebo next hop.
CZ.1.07/2.1.00/32.0045
55
Obr. 10.1: Trasy typů rodič-potomek, zdroj: [2]
Postup vyhledání nejlepšího směru
1. Směrovač prohledá řádky směrovací tabulky se směry úrovně 1, zahrnující třídní směry
a nadsíťové směry, pro nejlepší spárování s cílovou adresou IP paketu.
1.1. Jestliže je nejlepším spárováním ultimátní směr úrovně 1, => plná síť v plné třídě, nadsíť nebo
implicitní cesta, je tento směr použit pro přeposlání paketu.
1.2. Jestliže nejlepší spárování je rodičovský směr úrovně1, provede se krok 2.
2. Směrovač prohledá směry typu potomek (podsíťové směry) pro příslušný rodičovský směr pro
nejlepší spárování.
2.1. Jestliže je zde odpovídající směr typu potomek úrovně 2, bude tato podsíť použita pro
přeposlání paketu.
2.2. Jestliže zde není žádný odpovídající řádek úrovně 2, provede se krok 3.
3. Má směrovač implementované třídní nebo beztřídní směrování (směrovací chování = způsob
prohledávání směrovací tabulky).
3.1. Třídní směrování: pokud je funkční třídní směrování, ukončí se proces vyhledávání a odhodí
paket (bez ohledu na případné nastavení implicitní cesty).
3.2. Beztřídní směrování: pokud je funkční beztřídní směrování, pokračuje hledání nadsíťového
směru úrovně 1 ve směrovací tabulce pro spárování, včetně implicitní cesty, pokud je
nastavena.
4. Pokud je zde nyní kratší spárování s nadsíťovou nebo implicitní cestou úrovně1, směrovač použije
tento směr pro přeposlání paketu.
5. Jestliže zde není spárování s žádnou cestou ve směrovací tabulce, směrovač tento paket odhodí.
Příkaz
Router(config)#no ip classless
CZ.1.07/2.1.00/32.0045
Popis
Nastavuje chování směrovače při prohledávání
směrovací tabulky jako třídní.
56
Router(config)#ip classless
Nastavuje chování směrovače při prohledávání
směrovací tabulky jako beztřídní.
11. Autonomní systémy a směrování mezi nimi
Autonomní systém (AS) je skupina směrovačů, které fungují pod stejnou správou. Má společná
pravidla směrování do zbylé sítě (do internetu). Je identifikován 16 bit číslem (0-65535). Veřejná
oblast 1-64511, 64512-65535 privátní (rozsah 16bit čísla začíná být nedostačující).
Obr. 11.1: Př. propojení autonomních systémů protokolem BGP, zdroj: [6]
11.1 Border gateway protocol
Border gateway protocol (protokol hraniční brány, BGP) je protokol pro směrování mezi autonomními
systémy (AS) a někdy se označuje jako směrovací protokol typu path-vector, protože používá trasu
AS jako vektor k zabránění vzniku vnitrodoménových směrovacích smyček. Pojem path vector
(vektor trasy) v souvislosti s BGP znamená, že směrovací informace BGP obsahují sérii čísel AS,
která určují cestu, jejíž trasa prochází sítí. Ačkoliv se BGP používá především pro směrování mezi
autonomními systémy, je využíván i ve velkých sítích pro VPN na bázi MPLS a oddělují se s jím
velké domény OSPF. BGP je mnohem lépe škálovatelný a nabízí větší kontrolu pomocí pravidel než
IGP.
BGP sdílí směrovací informace mezi autonomními systémy. Směrovací informace BGP obsahují
kompletní trasu ke každému cíli. BGP používá směrovací informace k vedení informační databáze
obsahující údaje o dosažitelnosti síťové vrstvy (NLRI - Network Layer Reachability Information),
které si poté vyměňuje s ostatními BGP systémy.
BGP je beztřídní protokol, který podporuje směrování podle prefixů bez ohledu na to, jaké třídy IPv4
adres jsou definovány. V rámci BGP si sousední směrovače (tzv. peerové) vyměňují směrovací
informace. Aby fungovalo BGP směrování mezi různými AS, musejí být peerové přímo propojeni
(pokud nejsou provedeny určité úpravy konfigurace). Peerové jsou závislí na navázaných TCP
spojeních.
BGP verze 4 (BGP4) je v podstatě jediným protokolem vnější brány (EGP), který se v současné době
v internetu používá. Definuje ho RFC 4271, který nahradil předchozí více než 10 let starý standard
RFC 1771.
CZ.1.07/2.1.00/32.0045
57
Obr. 11.2: Příklad nasazení protokolu BGP, zdroj: [6]
Kdy je vhodné použít BGP?
U sítí s jediným vstupním spojením není použití dynamického směrovacího protokolu k poskytovateli
internetu (ISP) příliš užitečné. Tito zákazníci obvykle používají statickou výchozí trasu a přes ni
posílají veškerý externí provoz do internetu. A ke směrování provozu určeného na adresy těchto
zákazníků používá jejich poskytovatel zpravidla také statickou trasu. Singlehomed síť (síť připojená
k vnějšímu světu pouze jednou linkou) obvykle používá adresy přiřazené poskytovatelem z jeho
rozsahu. Protože jsou tyto adresy přiděleny poskytovateli a zákazník je může používat pouze, dokud je
zákazníkem daného poskytovatele, jsou známy jako nepřenosné adresy. Díky používání těchto adres
může poskytovatel inzerovat jedinou agregovanou trasu pro mnoho zákaznických sítí, což zpomaluje
růst globální směrovací tabulky. Dnešní směrovací tabulka internetu obsahuje stovky tisíc tras, což
znamená, že je potřeba škálovatelný a robustní protokol, jako je právě BGP.
BGP se obvykle využívá v případě, kdy má síť několik vstupních linek, buď k jedinému ISP, nebo
k více ISP. Pravidla BGP umožňují optimalizovat příchozí a odchozí datové toky podle technických
a obchodních omezení sítě. Ačkoliv BGP umí detekovat poruchy v redundantních systémech
a směrovat provoz kolem nich, relace BGP v rámci jednoho AS zpravidla nereagují tak rychle jako
IGP a zachování jejich provozu v případě výpadku se často spoléhá na IGP používaný v AS.
Multihomed sítě (sítě připojené k vnějšímu světu více linkami) připojené k jednomu ISP
pravděpodobně používají nepřenosné adresy přidělené poskytovatelem. Multihomed sítě připojené
k více ISP pravděpodobně používají přenosné adresy přidělené přímo regionálním registrátorem
adres.
CZ.1.07/2.1.00/32.0045
58
Obr. 11.3: Peerové propojení, zdroj: [6]
EBGP a IBGP peerové
BGP podporuje dva různé způsoby výměny směrovacích informací. Výměnám mezi různými AS se
říká externí BGP neboli EBGP relace a řeší směrování mezi AS. Výměnám v rámci jednoho AS se
říká interní BGP neboli IBGP relace a řeší směrování uvnitř AS.
Spojení mezi EBGP peery je mezi zařízením v jednom AS a jiným zařízením v jiném AS. Spojení
mezi dvěma AS se skládá z fyzického spojení a BGP spojení. Fyzické spojení je sdílená podsíť na
spojové vrstvě mezi dvěma AS. Na této sdílené podsíti má každý AS alespoň jednu jemu náležející
hraniční bránu. Mezi BGP mluvčími v každém z AS jsou navázána BGP spojení. V rámci těchto relací
mohou být sdělovány cíle, kterých lze skrze inzerující AS dosáhnout. EBGP spojení je obvykle
navázáno mezi přímo spojenými zařízeními nacházejícími se ve dvou různých AS, protože hodnota
time-to-live (TTL) EBGP paketů je ve výchozím stavu rovna 1.
IBGP spojení je obvykle navazováno mezi loopback rozhraními směrovačů, které spolu přímo
propojeny nejsou (všechno samozřejmě závisí na topologii AS). BGP používá loopback rozhraní z
důvodu stability – tato rozhraní jsou vždy aktivní, pokud funguje samotný směrovač. Protože jsou IBGP
spojení navazována mezi vzdálenými směrovači, musí v AS fungovat IGP. TCP relace protokolu BGP
se navazuje pomocí běžných směrovacích tabulek.
Obr. 11.4: Relace BGP peeringu, zdroj: [6]
CZ.1.07/2.1.00/32.0045
59
Na rozdíl od jiných dynamických protokolů BGP vyžaduje ruční definování sousedů, kteří mají být
peery lokálního zařízení. Protože je třeba BGP peery ručně definovat, nefunguje zde automatické
zjišťování sousedů jako u jiných protokolů.
BGP jako svůj transportní protokol používá TCP (na portu 179). TCP poskytuje BGP spolehlivou plně
duplexní službu bytového proudu na bázi spojení. Vazba mezi dvěma BGP peery se považuje za
nečinnou, dokud mezi nimi není navázáno TCP spojení. Po navázání TCP spojení je zajištěna
spolehlivá vazba mezi koncovými body. Následující seznam popisuje různé stavy BGP sousedů:
Idle (nečinnost): toto je počáteční stav, v němž jsou všechna příchozí BGP spojení odmítána. Aby
lokální systém inicializoval BGP zdroje a připravil transportní spojení s ostatními BGP peery, je
potřeba startovací událost.
Connect (spojování): v tomto stavu BGP čeká na navázání spojení transportního protokolu. Pokud se
navázání tohoto spojení podaří, vyšle lokální systém zprávu OPEN a přepne se do stavu OpenSent.
Pokud se transportnímu protokolu nepodaří spojení navázat, restartuje lokální systém časovač
ConnectRetry (opakování pokusu o spojení), naslouchá spojením iniciovaným vzdáleným BGP
peerem a změní svůj stav na Aktivní.
Active (aktivní): v aktivním stavu se BGP snaží získat peera (souseda) iniciováním spojení
transportního protokolu. Pokud se navázání tohoto spojení podaří, vyšle lokální systém svému peerovi
zprávu OPEN a přepne se do stavu OpenSent. Pokud BGP na lokálním systému zůstává v aktivním
stavu, měli byste zkontrolovat fyzické spojení a konfiguraci obou peerů.
OpenSent (zpráva o otevření odeslána): v tomto stavu BGP čeká na zprávu OPEN od svého peera. Po
jejím přijetí ji zkontroluje a ověří, že nedošlo k chybě. V případě odhalení chyby se systém přepne
zpět do nečinného stavu. Pokud k chybě nedošlo, vyšle BGP udržovací zprávu.
OpenConfirm (čekání na potvrzení otevření): v tomto stavu BGP čeká na KEEPALIVE (udržovací
zpráva) nebo na NOTIFICATION (notifikace). Pokud vyprší vyjednaný udržovací interval a zpráva
KEEPALIVE nepřijde, vyšle lokální systém zprávu NOTIFICATION s uvedením, že vypršel časový
limit, a přepne se do nečinného stavu. Podobně, pokud lokální systém obdrží zprávu
NOTIFICATION, přepne se do nečinného stavu. Pokud lokální systém obdrží zprávu KEEPALIVE,
přepne se do stavu Spojení navázáno.
Established (spojení navázáno): v tomto stavu si může BGP se svým peerem vyměňovat zprávy
UPDATE (aktualizace), NOTIFICATION (notifikace) a KEEPALIVE (udržovací zpráva). Když
lokální systém obdrží zprávu UPDATE nebo KEEPALIVE a hodnota dohodnutého udržovacího
časovače je nenulová, pak tento časovač restartuje. Pokud hodnota dohodnutého udržovacího časovače
klesne na nulu, vyšle systém zprávu KEEPALIVE a časovač restartuje.
K zajištění spolehlivé komunikace používá BGP protokol TCP, takže BGP sousedé nikdy nepřijdou o
aktualizaci. Systém udržovacích zpráv také jednotlivým BGP peerům umožňuje kontrolovat, zda jeho
sousedé dosud správně fungují. Pokud má soused výpadek, mluvčí BGP vymaže všechny trasy
zjištěné od tohoto peera a podle toho aktualizuje informace ostatních peerů.
Informace v aktualizačních zprávách, zejména BGP atributy, protokol BGP používá k odhalování
směrovacích smyček a k určení nejlepší cesty k určitému cílovému prefixu.
CZ.1.07/2.1.00/32.0045
60
Obr. 11.5: Topologie propojení singlehomed sítí na velmi vysoké úrovni, zdroj: [6]
Příklad na tomto snímku vysvětluje fungování BGP na velmi vysoké úrovni. Vezměme si případ, kdy
je provoz směrován k zákazníkovi A. Ten má jediné napojení na poskytovatele A. Tento ISP
A přidělil zákazníkovi A určitý prefix (172.20.21.0/24) ze svého agregovaného adresního rozsahu
(172.20.0.0/16).
Protože síť zákazníka A je singlehomed (s jediným připojením), má statickou výchozí trasu, kterou
přes své spojení s ISP A dosáhne všech cílů v internetu. Podobně i ISP A má statickou trasu vedoucí
k prefixu zákazníka A.
Obr. 11.6: Síť poskytovatele A, zdroj: [6]
Na snímku je vidět část sítě ISP A. Interně ISP A uchovává informace o dostupnosti každého prefixu
ve svém agregovaném adresním rozsahu. Proto každý směrovač u ISP A ví o prefixu /24 přiděleném
zákazníkovi A. Tyto informace o dostupnosti lze udržovat pomocí IGP nebo IBGP.
Ačkoliv interně má ISP A informace o dostupnosti každého prefixu, externě inzeruje pouze agregované
prefixy. Protože ostatní sítě používají k dosažení všech prefixů dostupných v síti ISP A stejnou cestu,
nepotřebují žádné konkrétnější informace. Aby nebyla globální směrovací tabulka příliš velká,
nepřenášejí obvykle poskytovatelé internetu svým peerům prefixy svých staticky směrovaných
zákazníků. Místo toho přenášejí jen agregované prefixy, z nichž jsou zákaznické adresy přiřazeny.
CZ.1.07/2.1.00/32.0045
61
Obr. 11.7: ISP A inzeruje svůj agregovaný rozsah, zdroj: [6]
ISP A inzeruje prostřednictvím BGP svůj agregovaný adresní rozsah 172.20.0.0/16 spolu s určitými
informacemi o cestě potřebné k dosažení této trasy. Jedním z těchto atributů cesty je AS cesta, což je
seznam autonomních systémů, kterými cesta k tomuto agregátu vede. Z AS cesty ISP B pozná, že síť
172.20.0.0/16 pochází od ISP A.
ISP B poté inzeruje prefix 172.20.0.0/16 do sítě ISP C. Při vysílání této trasy aktualizuje údaje o její
cestě, včetně AS cesty. ISP C tento prefix dále inzeruje zákazníkovi B, přičemž při vysílání trasy opět
aktualizuje údaje o její cestě.
Obr. 11.8: Agregát zákazníka B, zdroj: [6]
Zákazník B v tuto chvíli má singlehomed síť, chystá se však brzy přidat druhé spojení k jinému
poskytovateli internetu. Zákazník B inzeruje svůj přenosný prefix /20 ISP C s AS cestou ukazující na
jeho lokální zdroj. ISP C pošle inzerci ISP B, který ji poté pošle ISP A. Každý ISP při posílání trasy
aktualizuje údaje o cestě.
ISA A nemá BGP relaci se zákazníkem A, takže zákazník A žádné informace o směrování k prefixu
zákazníka B nedostane. Ani však tyto informace nepotřebuje, protože má statickou výchozí trasu,
kterou je směrován veškerý provoz k ISP A směřující do internetu. A jakmile tento provoz dorazí
k ISP A, pošle ho ISP A trasou získanou prostřednictvím BGP k zákazníkovi B
CZ.1.07/2.1.00/32.0045
62
Obr. 11.9: Zákazník B mění svoji síť na multihomed, zdroj: [6]
Zákazník B se rozhodl, přidat spojení k ISP B. Nyní tedy svůj prefix inzeruje oběma poskytovatelům.
V tomto příkladu ISP B obdrží směrovací informace pro prefix zákazníka B jak od ISP C, tak přímo
od zákazníka B. Jednu z obdržených cest si vybere jako nejlepší cestu a do své směrovací tabulky
vloží pro tento prefix příslušnou trasu. Poté prefix s vybranou cestou inzeruje poskytovateli A. protože
si ISP B jako nejlepší cestu vybral tu vedoucí přímo k zákazníkovi, inzeruje poskytovateli A atributy
cesty právě pro tuto cestu. Všimněte si, že inzeruje AS cestu odrážející fakt, že je možno dosáhnout
přímo zákazníka B, a neobsahuje žádné informace o ISP C. Protože cesta směrovaná přes ISP
C nebyla vybrána jako nejlepší, ISP B neposílá ISP A žádné z atributů cesty spojených s inzercí od
ISP C.
Pokud ISP B přestane dostávat oznámení o prefixu zákazníka C přímo od něj (například kvůli poruše
linky), začne používat cestu, kterou dostal od ISP C, a svým peerům rozešle aktualizovanou inzerci
s novou cestou.
Ačkoliv to na snímku nevidíte, zákazník B nyní dostává dvě inzerce pro agregovaný rozsah adres ISP
A. Jednu z nich si vybere jako nejlepší cestu a příslušnou trasu zařadí do své směrovací tabulky.
12. Zabezpečení směrovacích protokolů – autentizace
V dnešní době se stává bezpečnost nedílnou součástí počítačových sítí. Spousta důležitých služeb je
provozována na internetu (např. elektronické bankovnictví, …), které obsahují osobní informace.
Proto je důležité tyto informace chránit. Zabezpečení směrovacích protokolů chrání předávané
směrovací informace proti eventuálnímu podvrhu a v důsledku směrovaní toku dat jiným směrem.
12.1.1 Autentizace
Autentizace je proces ověření identity subjektu. Po dokončení autentizace obvykle následuje
autorizace, což je souhlas, schválení, umožnění přístupu či provedení konkrétní operace daným
subjektem. Autenticita je pak vlastnost subjektu, jejíž přítomnost se procesem autentizace ověřuje.
Autentizace tedy znamená ověřování pravosti a autentický znamená původní, pravý, hodnověrný.
Autentizace patří k bezpečnostním opatřením a zajišťuje ochranu před falšováním identity, kdy se
subjekt vydává za někoho, kým není.
CZ.1.07/2.1.00/32.0045
63
Základní metody pro zjištění identity:



co uživatel zná (prostředek, který zná – heslo, PIN, …)
co uživatel má (prostředek, který uživatel vlastní – privátní klíc, identifikační karta, …)
čím uživatel je (biometrické vlastnosti – otisk prstu, snímek oční sítnice, duhovky)
12.2 Ověřování souseda (autentizace směrovače)
Ověřování souseda nastane při vyměňování směrovacích aktualizací mezi sousedními směrovači. Toto
ověření zajistí, že směrovací informace jsou od důvěryhodného zdroje. Velká hrozba je, kdyby útočník
analyzoval síťový provoz a poté poslal směrovači fiktivní směrovací informace. Autentizací se zabrání
takovým podvodným aktualizacím přijímaným na směrovači.
Konfigurace ověřování souseda podporují následující protokoly:





Border Gateway Protocol (BGP)
Intermediate Systém-to-Intermediate System ( IS-IS )
IP Enhanced Interior brána Routing Protocol ( EIGRP )
Open Shortest Path First ( OSPF )
Routing Information Protocol (RIP) verze 2
Podmínky použití autentizace:



směrovač používá některý ze směrovacích protokolů podporující ověřování souseda
je možné, že směrovač může získat falešné aktualizace trasy (síť může být ohrožena)
pokud bude nakonfigurován směrovač pro ověřování souseda, také se bude muset
nakonfigurovat sousední směrovač pro ověřování souseda
Když je nakonfigurováno ověřování souseda na směrovače, směrovač ověřuje zdroj každého
směrovaného paketu, který přijímá. Tohoto je dosaženo prostřednictvím výměny ověřování pravosti
klíče (hesla), které je známo jak vysílajícímu, tak přijímacímu směrovači.
Druhy jak autentizaci provádět:


autentizace pomocí nechráněného hesla (plain text password)
autentizace pomocí MD5 otisku sdíleného tajemství
12.2.1 Autentizace pomocí nechráněného hesla (plaintext heslo)
Tento typ není doporučován pro použití jako součást bezpečnostní strategie. Jeho primární použití je,
aby se zabránilo náhodné změny infrastruktury směrování. Nepoužívá ověřování pomocí MD5.
Ověřovací klíč se pošle v prosté plaintextové podobě.
Každý směrovač musí sdílet svůj ověřovací klíč. Tento klíč je uveden u každého směrovače během
konfigurace. Jeden protokol může být specifikován více klíči, každá klávesa pak musí být
identifikována pomocí klíčového čísla.
kroky autentizace:

směrovač odešle aktualizace směrování s klíčem a odpovídajícím číslem tlačítka se sousedními
směrovači; v protokolech, které mohou mít jen jeden klíč, je číslo vždy nula.
CZ.1.07/2.1.00/32.0045
64


přijímací směrovač (soused) kontroluje přijaté klíče proti stejným klíčům uložených v jeho
vlastní paměti
Pokud se shodují dva klíče, směrovač přijímá paket s aktualizačním směrováním. Pokud se
neshodují, paket je odmítnut.
Protokoly používající prosté ověřování:



IS-IS
OSPF
RIPv2
Příklad konfigurace OSPF
Konfiguraci je nutné provést na daném rozhraní (např. interface fa0/1), které chceme použít.
Na rozhraní uvádíme název směrovacího protokolu a typ autentizace „autthentication-key“, který
budeme vyžadovat a zároveň jím budeme směrovací informaci chránit v podobě nijak nešifrovaného
sdíleného tajemství (hesla).
Router(config-if)#ip ospf authentication-key „heslo“
Tato konfigurace nestačí, aby se autentizace začala uplatňovat. Je nutné tuto autentizaci povolit
v konfiguračním režimu protokolu OSPF příkazem:
Router(config-router)#area „číslo oblasti“ authentication
Klíčovým slovem „authentication“ povolujeme pouze autentizaci pomocí nezabezpečeného hesla.
Příklad konfigurace RIPv2
Na směrovačích, které si předávají aktualizace, musí být nastavené v globálním konfiguračním módu
stejné jméno, číslo a heslo klíče pomocí příkazů:
Router(config)#key chain „název“
Router(config-keychain)#key <0-2147483647>
Router(config-keychain-key)#key-string „heslo“
Na odpovídajících rozhraních zapneme použití autentizace (výchozí nastavení autentizace je plaintext)
příkazem:
R1(config-if)#ip rip authentication key-chain „název“
12.2.2 Autentizace pomocí MD5 otisku sdíleného tajemství
Oproti předchozí metodě, otisk sdíleného tajemství vypočtený pomocí funkce MD5 poskytuje
mnohonásobně lepší zabezpečení. Útočník totiž z provozu na lince mezi směrovači nemá šanci přijít
do styku s heslem v čisté podobě. Místo hesla je totiž přenášen pouze jeho MD5 otisk. Konfigurace
této metody autentizace se liší v obou příkazech ,které je potřeba k jejímu používání. Princip však
zůstává stejný.
Protokoly používající ověřování MD5 :
CZ.1.07/2.1.00/32.0045
65




OSPF
RIPv2
BGP
IP Enhanced IGRP
Příklad konfigurace OSPF
V prvním kroku je zapotřebí vybrat rozhraní, na nichž se má autentizace uplatňovat. Druhý krok, pak
shodně s předchozím příkladem, povolí autentizaci pomocí MD5 otisků v rámci vybrané oblasti
příkazy:
Router(config-if)#ip ospf message-digest-key „ID klíče“ md5 „heslo“
Router(config)#router ospf „číslo-proces ID“
Router(config-router)#area „číslo oblasti“ authentication message-digest
Pole ID klíče, které slouží k identifikaci sdíleného tajemství dále uvedeného v poli heslo, je
standardně číslován od hodnoty 1. Tvoří tedy jakýsi index pro případ, kdy je hesel vloženo více.
Příklad konfigurace RIPv2
Konfigurace autentizace se nastavuje na směrovači v globálním konfiguračním módu stejně jako při
použití plaitextového hesla. Na rozhraní zapneme použití autentizace s MD5 pomocí příkazů:
(config-if)#ip rip authentication key-chain „name“
Autentizace mode MD5 nastavíme příkazem:
(config-if)#ip rip authentication mode md5
CZ.1.07/2.1.00/32.0045
66
Doporučená a použitá literatura
[1] Příklady ze softwaru Cisco Packet Tracert 6.0.1
[2] CISCO_CCNA/Exploration2v4
[3] Nastavení konfiguračního registru na: http://www.hopasaurus.com/CISCO_confreg.html
[4] Printscreen www rozhraní přepínače Catalyst 2960
[5] Výukové materiály firmy MikroTik
[6] Výukové materiály dostupné na: http://www.juniper.net
[7] Toby J. Velte, Anthony T. Velte, Síťové technologie cisco Velký průvodce, překlad: David
Krásenský, 2. vydání, Computer Press Praha 2003, ISBN 80-7226-857-0
[8] Libor Dostálek, Alena Kabelová, Velký průvodce protokoly TCP/IP a systémem DNS, 2. vydání,
Computer Press Praha 2000, ISBN 80-7226-323-4
[9] Craig Hunt, Konfigurace a správa sítí TCP/IP, překlad: Ing. Jiří Veselský, 1. vydání, Computer
Press Praha 1997, ISBN 80-7226-024-3
CZ.1.07/2.1.00/32.0045
67

Učební texty

Transkript

Podobné dokumenty

Učební texty Datové sítě V

CCNA Exploration - Směrování, koncepce a protokoly

Dynamips, Dynagen, GNS3

CR 35/HD-CR 35 NDT Plus

Tvorba animací

systémový projekt

Úvod 21 Kapitola 1 Historie Internetu 25 Kapitola 2

Zabezpečení síťových protokolů

1 Základní metody informatiky

prosecom - Pramacom

Testování Cisco OnePK API

shell helix - oleje a maziva Shell za nízké ceny

Mé přípravy na cvičení z UPS

První krok s programem Music Visualization

Minimanuál

modul 7 distance vector routing protocols

Návod k použití