NetCLI

Kategoria: Warstwa Trzecia modelu OSI

  • (K) Konfiguracja protokołu NPTv6*

    (K) Konfiguracja protokołu NPTv6*

    Konfiguracja protokołu NPTv6

    Konfiguracja NPTv6 względem interfejsu LAN

    (config)# ipv6 unicast-routing

    Aktywuje funkcję routingu dla protokołu IPv6.

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego (LAN).

    (config-if)# ipv6 address prefix/prefix-length

    Przypisuje adres IPv6, do konfigurowanego interfejsu sieciowego.

    (config-if)# nat66 inside

    Określa konfigurowany interfejs jako interfejs wewnętrzny w procesie translacji NPTv6.

    Konfiguracja NPTv6 względem interfejsu WAN

    (config-if)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego (WAN).

    (config-if)# ipv6 address prefix/prefix-length

    Przypisuje adres IPv6, do konfigurowanego interfejsu sieciowego.

    (config-if)# nat66 outside

    Określa konfigurowany interfejs jako interfejs zewnętrzny w procesie translacji NPTv6.

    Globalna konfiguracja protokołu NPTv6

    (config)# nat66 prefix inside prefix/prefix-length(Prefix wewnętrzny)(Np. 2001:DB8:0:12::/64) outside prefix/prefix-length(Prefix zewnętrzny)(Np. 2001:DB8:0:2::/64)

    Określa jakie prefix-y IPv6 będą tłumaczone przez protokół NPTv6.

    # show nat66 prefix

    Wyświetla konfigurację protokołu NPTv6.

    Pozostałe tematy związane z konfiguracją protokołu IPv6

    Przydzielanie adresów IPv6

    Protokół NAT względem protokołu IPv6

  • (K) Konfiguracja protokołu NAT-PT*

    (K) Konfiguracja protokołu NAT-PT*

    Konfiguracja protokołu NAT-PT

    (config)# xxx – Xxx

    (config)# xxx – Xxx

    (config)# xxx – Xxx

    (config)# xxx – Xxx

    (config)# xxx – Xxx

    Pozostałe tematy związane z konfiguracją protokołu IPv6

    Przydzielanie adresów IPv6

    Protokół NAT względem protokołu IPv6

  • (K) Object Groups*

    (K) Object Groups*

    Konfiguracja Object-Grupy

    Object-Group Network

    (config)# object-group network nazwa-grupy

    Przechodzi do poziomu konfiguracji Object-grupy (Network).

    (config-network-group)# descryption opis-grupy

    Dodaje opis do konfigurowanej Object-grupy.

    (config-network-group)# host {adres-IP / nazwa-DNS}

    Określa pojedynczy adres IP / nazwę DNS, której dotyczyć będzie wskazana Object-grupa.

    (config-network-group)# sieć {/prefix / maska-sieciowa}

    Określa sieć, której dotyczyć będzie wskazana Object-grupa.

    (config-network-group)# range startowy-adres-IP końcowy-adres-IP

    Określa zakres adresów IP, których dotyczyć będzie wskazana Object-grupa.

    (config-network-group)# any

    Określa wszystkie adresy IP.

    (config-network-group)# object-group nazwa-grupy-zagnieżdżonej

    Łączy konfigurowaną Object-grupę z inną z konfigurowaną już Object-grupą.

    Object-Group Service

    (config)# object-group service nazwa-grupy

    Przechodzi do poziomu konfiguracji Object-grupy (Service).

    (config-service-group)# descryption opis-grupy

    Dodaje opis do konfigurowanej Object-grupy.

    (config-service-group)# xxx

    Xxx

    (config-service-group)# xxx

    Xxx

    (config-service-group)# xxx

    Xxx

    (config-service-group)# xxx

    Xxx

    (config-service-group)# xxx

    Xxx

    Object-Group Security

    (config)# object-group security nazwa-grupy

    Przechodzi do poziomu konfiguracji Object-grupy (Security).

    (config-security-group)# descryption opis-grupy

    Dodaje opis do konfigurowanej Object-grupy.

    (config-security-group)# xxx

    Xxx

    (config-security-group)# xxx

    Xxx

    (config-security-group)# xxx

    Xxx

    (config-security-group)# xxx

    Xxx

    (config-security-group)# xxx

    Xxx

    Pozostałe tematy związane z routing-iem

  • (K) Dynamiczne przydzielanie adresów IPv6 (SLAAC)**

    (K) Dynamiczne przydzielanie adresów IPv6 (SLAAC)**

    Manipulowanie wartościami flag wiadomości RA

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# [no] ipv6 nd prefix prefix-IPv6/prefix-length no-autoconfig

    Zmienia domyślną wartość flagi A z 1 na 0. Pod-komenda NO odwraca to działanie.

    (config-if)# [no] ipv6 nd other-config-flag

    Zmienia domyślną wartość flagi O z 0 na 1. Pod-komenda NO odwraca to działanie.

    (config-if)# [no] ipv6 nd managed-config-flag

    Zmienia domyślną wartość flagi M z 0 na 1. Pod-komenda NO odwraca to działanie.

    Metoda I – Stateless Autoconfiguration IPv6 (SLAAC)

    Teoria związana z przyznawaniem adresów IPv6 za pomocą funkcji SLAAC została opisana w artykule: Przydzielanie adresów (SLAAC).

    Konfiguracja prowadzona na ruterze

    (config)# ipv6 unicast-routing

    Aktywuje funkcję routingu względem protokołu IPv6.

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# ipv6 address prefix-IPv6/prefix-length

    Przypisuje adres IPv6, do konfigurowanego interfejsu sieciowego.

    (config-if)# no shutdown

    Administracyjnie włącza konfigurowany interfejs sieciowy.

    Konfiguracja prowadzona na hoście

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# ipv6 address autoconfig

    Rozpoczyna proces dynamicznego pozyskiwania adresu IPv6.

    (config-if)# no shutdown

    Administracyjnie włącza konfigurowany interfejs sieciowy.

    Opcjonalna konfiguracja SLAAC

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# ipv6 nd prefix prefix-IPv6/prefix-length no-advertise 0-4294967295(Valid Lifetime) 0-4294967295(Preferred Lifetime) [no-onlink / off-link / no-autoconfig]

    Zmienia domyślną wartość rozgłaszanego czasu Valid Lifetime oraz Preferred Lifetime.
    * no-advertise – Blokuje rozgłaszanie wskazanego prefix-u.
    * no-onlink – Określa dany prefix jako (No onlink (Flaga F)).
    * off-link – Określa dany prefix jako (Off link (Flaga L = 0)).
    * no-autoconfig – Określa dany prefix jako niezdatny do auto-konfiguracji adresu IPv6.

    (config-if)# ipv6 nd router-preference {high / medium / low}(medium)

    Zmienia domyślną wartość Router Preference.

    (config-if)# ipv6 nd ra lifetime 0-9000(sekundy)(1800)

    Zmienia domyślną wartość czasu Router Lifetime.

    (config-if)# ipv6 nd ra solicited unicast

    Zmienia domyślny, docelowy adres IPv6 wiadomości Router Advertisement (FF02::1), na adres unicast.

    (config-if)# ipv6 nd ra interval msec {70-1800000(Interwał) 30-257(Minimalny interwał) / 4-1800(Interwał) 3-3(Minimalny interwał)}(200)

    Zmienia domyślne odstępy czasowe w wysyłania wiadomości Router Advertisement.

    (config-if)# [no] ipv6 nd ra suppress [all](no)

    Odblokowuje / Blokuje wysyłanie wiadomości Router Advertisement. Pod-komenda all blokuje wysyłanie wszelkich wiadomości RA (Komenda NO odblokowuje wysyłanie wiadomości RA).

    (config-if)# ipv6 nd ra dns server adres-IPv6(DNS) 200-4294967295(sekundy)(Lifetime)(400)

    Określa adres serwera DNS, bądź wielu serwerów DNS, jakie będą rozgłaszane przez wiadomości Router Advertisement (Adres DNS Gogle to: 2001:4860:4860::8888 oraz 2001:4860:4860::8844).

    Pozostałe tematy związane z konfiguracją protokołu IPv6

    Przydzielanie adresów IPv6

    Protokół NAT względem protokołu IPv6

  • (K) Dynamiczne przydzielanie adresów IPv6 (Stateless DHCPv6)**

    (K) Dynamiczne przydzielanie adresów IPv6 (Stateless DHCPv6)**

    Manipulowanie wartościami flag wiadomości RA

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# [no] ipv6 nd prefix prefix-IPv6/prefix-length no-autoconfig

    Zmienia domyślną wartość flagi A z 1 na 0. Pod-komenda NO odwraca to działanie.

    (config-if)# [no] ipv6 nd other-config-flag

    Zmienia domyślną wartość flagi O z 0 na 1. Pod-komenda NO odwraca to działanie.

    (config-if)# [no] ipv6 nd managed-config-flag

    Zmienia domyślną wartość flagi M z 0 na 1. Pod-komenda NO odwraca to działanie.

    Metoda II – Stateless DHCPv6

    Teoria związana z przyznawaniem adresów IPv6 za pomocą funkcji Stateless DHCPv6 została opisana w artykule: Przydzielanie adresów (SLAAC + Stateless DHCPv6).

    Konfiguracja serwera DHCPv6

    (config)# ipv6 unicast-routing

    Aktywuje funkcję routingu względem protokołu IPv6.

    (config)# ipv6 dhcp pool nazwa-puli

    Tworzy nową pulę DHCPv6 względem protokołu IPv6.

    (config-dhcpv6)# dns-server adres-IPv6

    Definiuje rozgłaszany adres IPv6, serwera DNS.

    (config-dhcpv6)# domain-name nazwa-domeny

    Definiuje rozgłaszaną nazwę domenową, przypisaną do serwera DHCPv6.

    Konfiguracja interfejsu na którym ma pracować serwer DHCPv6

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# ipv6 address prefix-IPv6/prefix-length

    Przypisuje adres IPv6, do konfigurowanego interfejsu sieciowego.

    (config-if)# ipv6 nd other-config-flag

    Zmienia domyślną wartość flagi O z 0 na 1.

    (config-if)# ipv6 dhcp server nazwa-puli [rapid-commit]

    Przypisuje pulę DHCP do konfigurowanego interfejsu.
    * rapid-commit – aktywuje szybszy proces, przydzielania adresu IPv6.
    Tryb rapid-commit umożliwia pozyskanie adresu IPv6, przy wykorzystaniu szybszej dwuetapowej metody rapid. Wymieniającej pomiędzy urządzeniem końcowym a serwerem DHCPv6 jedynie dwie wiadomości (Solicit oraz Reply).

    (config-if)# no shutdown

    Administracyjnie włącza konfigurowany interfejs sieciowy.

    Konfiguracja klienta DHCPv6

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# ipv6 enable*

    Aktywuje protokół IPv6 na konfigurowanym interfejsie sieciowym (Automatycznie generując adres IPv6 Link-Local).

    (config-if)# ipv6 address dhcp [rapid-commit]

    Aktywuje klienta DHCP na konfigurowanym interfejsie sieciowym.
    * rapid-commit – aktywuje szybszy proces, pozyskiwania adresu IPv6.

    (config-if)# no shutdown

    Administracyjnie włącza konfigurowany interfejs sieciowy.

    Konfiguracja dodatkowych opcji protokołu DHCPv6

    DHCPv6 Agent relay

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu wspierającego protokół IPv6.

    (config-if)# ipv6 dhcp relay destination {adres-IPv6 / FF02::1:2 / FF05::1:3} [interfejs] [source-address adres-IPv6 link-address adres-IPv6]

    Aktywuje funkcję agenta Relay, określając adres IPv6 serwera DHCPv6.
    * source-address –Określa źródłowy adres IPv6 dla komunikacji z serwerem DHCPv6 (RELAY-FORWARD).
    * FF02::1:2 – Multicast-owy adres IPv6 Link-Local, określający wszystkie serwery DHCPv6.
    * FF05::1:3 – Multicast-owy adres IPv6 Site-Local, określający wszystkie serwery DHCPv6 (Wymaga skonfigurowania funkcji Multicast dla adresów IPv6 Site-Local za pomocą komendy [ipv6 multicast-routing]).

    Pozostałe tematy związane z konfiguracją protokołu IPv6

    Przydzielanie adresów IPv6

    Protokół NAT względem protokołu IPv6

  • (K) Dynamiczne przydzielanie adresów IPv6 (Stateful DHCPv6)**

    (K) Dynamiczne przydzielanie adresów IPv6 (Stateful DHCPv6)**

    Manipulowanie wartościami flag wiadomości RA

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# [no] ipv6 nd prefix prefix-IPv6/prefix-length no-autoconfig

    Zmienia domyślną wartość flagi A z 1 na 0. Pod-komenda NO odwraca to działanie.

    (config-if)# [no] ipv6 nd other-config-flag

    Zmienia domyślną wartość flagi O z 0 na 1. Pod-komenda NO odwraca to działanie.

    (config-if)# [no] ipv6 nd managed-config-flag

    Zmienia domyślną wartość flagi M z 0 na 1. Pod-komenda NO odwraca to działanie.

    Metoda III – Stateful DHCPv6

    Teoria związana z przyznawaniem adresów IPv6 za pomocą funkcji Stateful DHCPv6 została opisana w artykule: Przydzielanie adresów (Stateful DHCPv6).

    Konfiguracja serwera DHCPv6

    (config)# ipv6 unicast-routing

    Aktywuje funkcję routingu względem protokołu IPv6.

    (config)# ipv6 dhcp pool nazwa-puli

    Tworzy nową pulę DHCPv6, względem protokołu IPv6.

    (config-dhcpv6)# ipv6 address prefix-IPv6/prefix-length

    Przypisuje adres IPv6, do konfigurowanego interfejsu sieciowego. 
    Serwer DHCPv6 nie posiada możliwości wykluczenia adresów IPv6 z dostępnej puli. Administrator może jednak wykorzystać mniejszą długość prefix-u np. /80 zamiast /64, w celu redukcji możliwych do przyznania adresów IPv6).

    (config-dhcpv6)# dns-server adres-IPv6

    Definiuje rozgłaszany adres IPv6, serwera DNS.

    (config-dhcpv6)# domain-name nazwa-domeny

    Definiuje rozgłaszaną nazwę domenową, przypisaną do serwera DHCPv6.

    Konfiguracja interfejsu na którym ma pracować serwer DHCPv6

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# ipv6 address prefix-IPv6/prefix-length

    Przypisuje adres IPv6, do konfigurowanego interfejsu sieciowego.

    (config-if)# ipv6 nd prefix prefix-IPv6/prefix-length no-autoconfig

    Zmienia domyślną wartość flagi A z 1 na 0.

    (config-if)# ipv6 nd managed-config-flag

    Zmienia domyślną wartość flagi M z 0 na 1.

    (config-if)# ipv6 dhcp server nazwa-puli [rapid-commit]

    Przypisuje pulę DHCP do konfigurowanego interfejsu.
    * rapid-commit – aktywuje szybszy proces, pozyskiwania adresu IPv6.
    Tryb rapid-commit umożliwia pozyskanie adresu IPv6, przy wykorzystaniu szybszej dwuetapowej metody rapid. Wymieniającej pomiędzy urządzeniem końcowym a serwerem DHCPv6 jedynie dwie wiadomości (Solicit oraz Reply).

    (config-if)# no shutdown

    Administracyjnie włącza interfejs sieciowy.

    Konfiguracja klienta dhcp

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# ipv6 enable*

    Aktywuje protokół IPv6 na konfigurowanym interfejsie sieciowym (Automatycznie generując adres IPv6 Link-Local).

    (config-if)# ipv6 address dhcp [rapid-commit]

    Aktywuje klienta DHCP na konfigurowanym interfejsie sieciowym.
    * rapid-commit – aktywuje szybszy proces, pozyskiwania adresu IPv6.

    (config-if)# no shutdown

    Administracyjnie włącza interfejs sieciowy.

    Konfiguracja dodatkowych opcji protokołu DHCPv6

    DHCPv6 Agent relay

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu wspierającego protokół IPv6.

    (config-if)# ipv6 dhcp relay destination {adres-IPv6 / FF02::1:2 / FF05::1:3} [interfejs] [source-address adres-IPv6 link-address adres-IPv6]

    Aktywuje funkcję agenta Relay, określając adres IPv6 serwera DHCPv6.
    * source-address –Określa źródłowy adres IPv6 dla komunikacji z serwerem DHCPv6 (RELAY-FORWARD).
    * FF02::1:2 – Multicast-owy adres IPv6 Link-Local, określający wszystkie serwery DHCPv6.
    * FF05::1:3 – Multicast-owy adres IPv6 Site-Local, określający wszystkie serwery DHCPv6 (Wymaga skonfigurowania funkcji Multicast dla adresów IPv6 Site-Local za pomocą komendy [ipv6 multicast-routing]).

    Pozostałe tematy związane z konfiguracją protokołu IPv6

    Przydzielanie adresów IPv6

    Protokół NAT względem protokołu IPv6

  • (K) Dynamiczne przydzielanie adresów IPv6 (Prefix Delegation)**

    (K) Dynamiczne przydzielanie adresów IPv6 (Prefix Delegation)**

    Manipulowanie wartościami flag wiadomości RA

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# [no] ipv6 nd prefix prefix-IPv6/prefix-length no-autoconfig

    Zmienia domyślną wartość flagi A z 1 na 0. Pod-komenda NO odwraca to działanie.

    (config-if)# [no] ipv6 nd other-config-flag

    Zmienia domyślną wartość flagi O z 0 na 1. Pod-komenda NO odwraca to działanie.

    (config-if)# [no] ipv6 nd managed-config-flag

    Zmienia domyślną wartość flagi M z 0 na 1. Pod-komenda NO odwraca to działanie.

    Metoda IV – Prefix Delegation

    Teoria związana z przyznawaniem adresów IPv6 za pomocą funkcji Prefix Delegation została opisana w artykule: Prefix Delegation Options.

    Konfiguracja Prefix Delegation (ISP)

    Ruter ISP – konfiguracja puli Prefix Delegation

    (config)# ipv6 local pool nazwa-puli-do-delegacji prefix-IPv6/40 48

    Tworzy nową pulę adresów IPv6 (Wykorzystywaną przez funkcję Prefix Delegation). 
    Prefix /40 określa całą pulę adresów IPv6 przeznaczoną do delegacji (PD). Natomiast prefix /48 określa pulę przyznawaną poszczególnym klientom.
    Przykładowe zastosowanie komendy wygląda następująco [ipv6 local pool nazwa-puli 2001:db8:cafe::/40 48].

    Ruter ISP – konfiguracja serwera DHCPv6

    (config)# ipv6 unicast-routing

    Aktywuje funkcję routingu względem protokołu IPv6.

    (config)# ipv6 dhcp pool nazwa-puli

    Tworzy nową pulę DHCPv6 względem protokołu IPv6.

    (config-dhcpv6)# prefix-delegation pool nazwa-puli-do-delegacji

    Określa rolę serwera DHCPv6 na DHCPv6 Prefix Delegation.

    (config-dhcpv6)# dns-server adres-IPv6

    Definiuje rozgłaszany adres IPv6, serwera DNS.

    (config-dhcpv6)# domain-name nazwa-domeny

    Definiuje rozgłaszaną nazwę domenową, przypisaną do serwera DHCPv6.

    Ruter ISP – konfiguracja interfejsu WAN

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# ipv6 address prefix-IPv6/prefix-length

    Określa adres IPv6 przypisany do konfigurowanego interfejsu sieciowego.

    (config-if)# ipv6 dhcp server nazwa-puli [rapid-commit]

    Przypisuje pulę DHCP do konfigurowanego interfejsu.
    * rapid-commit – aktywuje szybszy proces, przydzielania adresu IPv6.
    Tryb rapid-commit umożliwia pozyskanie adresu IPv6, przy wykorzystaniu szybszej dwuetapowej metody rapid. Wymieniającej pomiędzy urządzeniem końcowym a serwerem DHCPv6 jedynie dwie wiadomości (Solicit oraz Reply).

    Konfiguracja Prefix Delegation (ISP)

    Ruter ISP – konfiguracja puli Prefix Delegation

    (config)# ipv6 local pool nazwa-puli-do-delegacji prefix-IPv6/40 48

    Tworzy nową pulę adresów IPv6 (Wykorzystywaną przez funkcję Prefix Delegation). 
    Prefix /40 określa całą pulę adresów IPv6 przeznaczoną do delegacji (PD). Natomiast prefix /48 określa pulę przyznawaną poszczególnym klientom.
    Przykładowe zastosowanie komendy wygląda następująco [ipv6 local pool nazwa-puli 2001:db8:cafe::/40 48].

    Ruter ISP – konfiguracja serwera DHCPv6

    (config)# ipv6 unicast-routing

    Aktywuje funkcję routingu względem protokołu IPv6.

    (config)# ipv6 dhcp pool nazwa-puli

    Tworzy nową pulę DHCPv6 względem protokołu IPv6.

    (config-dhcpv6)# prefix-delegation pool nazwa-puli-do-delegacji

    Określa rolę serwera DHCPv6 na DHCPv6 Prefix Delegation.

    (config-dhcpv6)# dns-server adres-IPv6

    Definiuje rozgłaszany adres IPv6, serwera DNS.

    (config-dhcpv6)# domain-name nazwa-domeny

    Definiuje rozgłaszaną nazwę domenową, przypisaną do serwera DHCPv6.

    Ruter ISP – konfiguracja interfejsu WAN

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# ipv6 address prefix-IPv6/prefix-length

    Określa adres IPv6 przypisany do konfigurowanego interfejsu sieciowego.

    (config-if)# ipv6 dhcp server nazwa-puli [rapid-commit]

    Przypisuje pulę DHCP do konfigurowanego interfejsu.
    * rapid-commit – aktywuje szybszy proces, przydzielania adresu IPv6.
    Tryb rapid-commit umożliwia pozyskanie adresu IPv6, przy wykorzystaniu szybszej dwuetapowej metody rapid. Wymieniającej pomiędzy urządzeniem końcowym a serwerem DHCPv6 jedynie dwie wiadomości (Solicit oraz Reply).

    Konfiguracja dodatkowych opcji protokołu DHCPv6

    DHCPv6 Agent relay

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu wspierającego protokół IPv6.

    (config-if)# ipv6 dhcp relay destination {adres-IPv6 / FF02::1:2 / FF05::1:3} [interfejs] [source-address adres-IPv6 link-address adres-IPv6]

    Aktywuje funkcję agenta Relay, określając adres IPv6 serwera DHCPv6.
    * source-address –Określa źródłowy adres IPv6 dla komunikacji z serwerem DHCPv6 (RELAY-FORWARD).
    * FF02::1:2 – Multicast-owy adres IPv6 Link-Local, określający wszystkie serwery DHCPv6.
    * FF05::1:3 – Multicast-owy adres IPv6 Site-Local, określający wszystkie serwery DHCPv6 (Wymaga skonfigurowania funkcji Multicast dla adresów IPv6 Site-Local za pomocą komendy [ipv6 multicast-routing]).

    Pozostałe tematy związane z konfiguracją protokołu IPv6

    Przydzielanie adresów IPv6

    Protokół NAT względem protokołu IPv6

  • (TK) Control Plane Protection (CPPr)*

    (TK) Control Plane Protection (CPPr)*

    Pozostałe tematy związane z bezpieczeństwem warstwy trzeciej

  • (TK) Management Plane Protection (MPP)*

    (TK) Management Plane Protection (MPP)*

    Pozostałe tematy związane z bezpieczeństwem warstwy trzeciej

  • (TK) Command Scheduler (KRON)*

    (TK) Command Scheduler (KRON)*

    Pozostałe tematy związane z bezpieczeństwem warstwy trzeciej

  • (K) Konfiguracja protokołu NAT64*

    (K) Konfiguracja protokołu NAT64*

    Konfiguracja protokołu NAT64

    Konfiguracja interfejsu IPv6

    (config)# ipv6 unicast-routing

    Aktywuje funkcję routingu względem protokołu IPv6.

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego (IPv6).

    (config-if)# ipv6 address prefix/prefix-length

    Przypisuje adres IPv6, do konfigurowanego interfejsu sieciowego.

    (config-if)# nat64 enable

    Aktywuje protokół NAT64, na konfigurowanym interfejsie sieciowym.

    Konfiguracja interfejsu IPv4

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego (IPv4).

    (config-if)# ip address adres-IPv4 maska

    Przypisuje adres IPv4, do konfigurowanego interfejsu sieciowego.

    (config-if)# nat64 enable

    Aktywuje protokół NAT64, na konfigurowanym interfejsie sieciowym.

    Pozostałe tematy związane z konfiguracją protokołu IPv6

    Przydzielanie adresów IPv6

    Protokół NAT względem protokołu IPv6

  • (T) Protokoły warstwy Management Plane**

    (T) Protokoły warstwy Management Plane**

    Protokoły warstwy Management Plane

    SSH, Telnet

    • Cisco zdecydowanie zaleca stosowanie połączeń SSH oraz wyłączenie obsługi połączeń Telnet, z uwagi na fakt że połączenia SSH są szyfrowane, natomiast te wykorzystujące protokół Telnet nie stosują żadnych metod zabezpieczających przesyłaną treść.

    Password Encryption

    • Zapisane na ruterze hasła należy zabezpieczyć w jeden z poniższych sposobów:
      • Po stworzeniu hasła [password hasło] należy zaszyfrować je, za pomocą komendy [service password-encryption].
      • Utworzyć hasło szyfrowane, za pomocą komendy [enable secret hasło].
      • Stworzyć użytkownika z przypisanym hasłem, za pomocą komendy [username login secret hasło].
      • Utworzyć hasło w trybie konfiguracji linii VTY oraz konsoli, za pomocą komendy [password hasło], bądź aktywować uwierzytelnianie za pomocą konta lokalnego [login local].

    Authentication, Authorization, and Accounting

    • W dużych sieciach zaleca się skonfigurowanie zdalnego serwera uwierzytelniania (AAA).

    Simple Management Protocol

    • W przypadku protokołu SNMP należy stosować wersję trzecią, zapewniającą wyższy poziom bezpieczeństwa.

    Network Time Protocol

    • W przypadku protokołu NTP należy stosować uwierzytelnianie względem wykorzystywanych serwerów NTP.

    Pozostałe tematy związane z bezpieczeństwem warstwy trzeciej

  • (T) Wstęp do zabezpieczania ruterów**

    (T) Wstęp do zabezpieczania ruterów**

    Router Security Policy

    • W większości przypadków rutery znajdują się na brzegu sieci firmowej, łącząc nie zaufaną sieć zewnętrzną WAN z lokalną siecią LAN. Związku z tym każda firma powinna stworzyć dokument opisujący zasady bezpieczeństwa dotyczące ruterów brzegowych. Dokument taki powinien posiadać informacje o następujących zagadnieniach związanych z bezpieczeństwem sieci:
      • Passwords – Jak często powinny być zmieniane hasła? Jaki poziom skomplikowania jest wymagany? oraz w jaki sposób powinny być przechowywane (Zaszyfrowane w konfiguracji rutera bądź w postaci czystego tekstu).
      • Authentication – Czy użytkownicy będą uwierzytelniani za pomocą bazy lokalnej, a może z serwerem zdalnym AAA? Czy serwer zdalny będzie monitorował sesję użytkowników? Czy ruter będzie wyświetlał baner powitalny?
      • Access – Jaki protokół łączności zdalnej powinien być dozwolony (SSH, Telnet, SNMP, http bądź Https)?
      • Services – Jakie serwisy powinny być aktywne na ruterze?
      • Filtering – Czy prywatne adresy IP będą filtrowane? W jaki sposób ruter jest zabezpieczony przed atakami IP Snooping? Jakie adresy są dopuszczone do komunikacji z ruterem?
      • Routing protocols – Jaki rodzaj uwierzytelniania jest wykorzystywany w konfiguracji protokołów routingu dynamicznego.
      • Backup – Gdzie przetrzymywane są kopie zapasowe konfiguracji ruterów (FTP, TFTP serwer)?
      • Documentation – W jaki sposób dokumentowane są zmiany wykonywane na ruterach?
      • Redundancy – Czy w sieci stosowana jest nadmiarowość?
      • Monitoring – Jakie dane dotyczące rutera są monitorowane (CPU utilization, Memory utilization)?
      • Updates – W jaki sposób podejmowana jest decyzja o aktualizacji systemu Cisco IOS?

    Access Control List

    • Domyślnie listy ACL są wykorzystywane w celu zabezpieczania warstwy „Data Plane”, gdzie filtrują nadchodący bądź wychodzący ruch sieciowy. Inną dziedziną, w której można stosować listy ACL, jest warstwa „Management Plane” oraz „Control Plane”.

    Pozostałe tematy związane z bezpieczeństwem warstwy trzeciej

  • (TK) uRPF (Unicast Reverse Path Forwarding)**

    (TK) uRPF (Unicast Reverse Path Forwarding)**

    Teoria protokołu uRPF

    • Protokół uRPF (Unicast Reverse Path Forwarding) umożliwia zabezpieczenie rutera brzegowego przed atakami typu „Malicious Traffic”, sprawdzając osiągalność źródłowego adresu IP, względem każdego nadchodzącego pakietu. Protokół uPRF wykorzystuje w tym celu bazę FIB a co za tym idzie funkcji CEF.
    • Protokół uRPF może działać w jednym z trzech następujących trybów:
      • Loose Mode – Źródłowy adres IP nadchodzącego pakietu musi być osiągalny z poziomu bazy FIB.
        • Wspiera wykorzystywanie statycznej trasy domyślnej jako trasy odniesienia.
      • Strict Mode – Źródłowy adres IP nadchodzącego pakietu musi być osiągalny z poziomu bazy FIB, ponadto interfejs na jakim został odebrany dany pakiet, musi być taki sam jak adres następnego przeskoku w tablicy FIB, względem źródłowego adresu IP otrzymanego pakietu.
        • Tryb Strict Mode przekierowuje jedynie pakiety nadchodzące z najlepszej trasy, zapisanej w bazie FIB.
        • Tryb Strict Mode może doprowadzić do porzucenia prawidłowego ruchu sieciowego (Asymmetric Routing).
      • VFR Mode – Źródłowy adres IP nadchodzącego pakietu musi być osiągalny z poziomu bazy FIB względem danej instancji VRF (Tryb ten jest często nazywany protokołem uRPFv3 (Unicast Reverse Path Forwarding version 3)).

    Konfiguracja protokołu uRPF

    Nowa metoda konfiguracji protokołu uPRF

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# ip verify unicast source reachable-via {rx / any} [allow-default] [allow-self-ping] [ACL-ID]

    Aktywuje protokół uPRF na konfigurowanym interfejsie sieciowym.
    * rx – Aktywuje protokół uRPF w trybie Strict Mode.
    * any – Aktywuje protokół uRPF w trybie Loose Mode.
    * allow-default – Zezwala na przeszukanie tras domyślnych, w przypadku, w którym trasa do poszukiwanego adresu źródłowego nie znajduje się w bazie FIB.
    * allow-self-ping – Zezwala ruterowi na ping-owanie samego siebie (Cisco nie zaleca stosowania tej opcji, ponieważ może ona narazić urządzenie na ataki typu DoS (Denial-of-Service)).
    * ACL-ID – W sytuacji, w której źródłowy adres IP nie znajduje się w bazie FIB, ruter może udzielić dostępu na podstawie listy ACL (Dla wpisów permit).

    Stara metoda konfiguracji protokołu uPRF

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# ip verify unicast reverse-path [ExtendedACL]

    Aktywuje protokół uPRF na konfigurowanym interfejsie sieciowym, w trybie (Loose Mode). Opcjonalna lista Extended-ACL określa warunkowo przepuszczany ruch sieciowy, zablokowany przez protokół uPRF.

    Pozostałe tematy związane z bezpieczeństwem warstwy trzeciej

  • (T) Uwierzytelnianie protokołów Routingu**

    (T) Uwierzytelnianie protokołów Routingu**

    Wstęp do uwierzytelniania routingu

    Metody uwierzytelniania

    • Protokoły routingu dynamicznego, mogą wysyłać wiadomości uwierzytelniane za pomocą hasła zapisanego w postaci czystego tekstu bądź zahaszowanej wartości. W przypadku opcji drugiej, wykorzystywany jest algorytm SHA bądź MD5.

    Zasady działania procesu uwierzytelniania (Plain Text Authentication)

    1. Ruter nadaje wiadomość do swojego sąsiada, wraz z kluczem (Hasłem) oraz numer ID klucza (Niektóre protokoły korzystają z wielu kluczy związku z tym wykorzystują numerowanie poszczególnych z nich. W przypadku, w którym dany protokół nie wspiera wielu kluczy, numer posiada wartość 0).
    2. Sąsiednie urządzenie porównuje otrzymany klucz ze swoim własnym kluczem zapisanym w pamięci wewnętrznej:
      1. Jeżeli obydwa klucze są takie same, ruter przyjmie wiadomość aktualizacyjną.
      2. Jeżeli obydwa klucze nie są takie same, ruter nie przyjmie wiadomości aktualizacyjnej.
    3. Protokoły routingu umożliwiające korzystanie z autentykacji za pomocą czystego tekstu są następujące:
      1. RIPv2 (Routing Information Protocol version 2).
      2. OSPFv2 (Open Shortest Path First version 2).
      3. IS-IS (Intermediate System-to-Intermediate System).

    Zasady działania procesu uwierzytelniania (Hashing Authentication)

    • Ruter wysyła wiadomość do swojego sąsiada, wraz z zahaszowaną wartość wygenerowaną za pomocą algorytmu MD5 bądź też algorytmu SHA.
    • Po odebraniu wiadomości, sąsiednie urządzenie za pomocą algorytmu haszującego (MD5 bądź SHA) generuje własną za-haszowaną wartość na podstawie hasła zapisanego w pamięci urządzenia, a następnie porównuje otrzymaną wartość z tą nadesłaną w wiadomości.
      • Jeżeli obydwie wartości są takie same, ruter przyjmie wiadomość aktualizacyjną.
      • Jeżeli obydwie wartości nie są takie same, ruter nie przyjmie wiadomości aktualizacyjnej.
    • Protokoły routingu umożliwiające korzystanie z autentykacji za pomocą wartości zahaszowanej (MD5) są następujące:
      • RIPv2 (Routing Information Protocol version 2).
      • EIGRP (Enhanced Interior Gateway Routing Protocol).
      • OSPFv2 (Open Shortest Path First version 2).
      • OSPFv3 (Open Shortest Path First version 3).
      • IS-IS (Intermediate System-to-Intermediate System).
      • BGP (Border Gateway Protocol).
    • Protokoły routingu umożliwiające korzystanie z autentykacji za pomocą wartości zahaszowanej (SHA) są następujące:
      • RIPng (Routing Information Protocol nex generation).
      • Named EIGRP (Named Enhanced Interior Gateway Routing Protocol).
      • OSPFv2 (Open Shortest Path First version 2).
      • OSPFv3 (Open Shortest Path First version 3).
      • IS-IS (Intermediate System-to-Intermediate System).
    W przypadku niektórych wersji systemu Cisco IOS, protokół OSPFv2 oraz IS-IS, może nie posiadać opcji haszowania za pomocą algorytmu SHA.

    Pozostałe tematy związane z routing-iem

  • (T) Redystrybucja tras routingu*

    (T) Redystrybucja tras routingu*

    Wstęp do redystrybucji tras routingu

    Powody stosowania redystrybucji

    • Głównym powodem wykorzystywania redystrybucji jest potrzeba połączenia sieci wykorzystujących różne protokoły routingu bądź różne instancje tego samego protokołu. Ponadto przyczynę redystrybucji może stanowić:
      • Wymiana sieci pomiędzy różnymi protokołami IGP.
      • Wymiana sieci pomiędzy takimi samymi protokołami IGP.
      • Wymiana sieci pomiędzy protokołem IGP a protokołem BGP.

    Wymagania dotyczące redystrybucji

    • Proces redystrybucji może zaistnieć pomiędzy dwoma protokołami routingu, na jednym ruterze. Obydwa protokołu muszą być aktywne ponadto muszą posiadać po przynajmniej jednym aktywnym interfejsie sieciowym.
    • Proces redystrybucji należy aktywować na obydwóch protokołach routingu za pomocą komendy [redistribute].

    Działanie redystrybucji

    • System Cisco IOS wspiera proces redystrybucji, poprzez wykorzystanie tablicy routingu. Pobiera on trasy rozgłaszane przez określony protokół routingu, aby następnie przekazać je do tablicy redystrybucji, skąd pobierane są przez inny protokół routingu, a następnie rozgłaszane dalej z poziomu jego własnej tablicy topologii.
    • W przypadku niektórych protokołów routingu (EIGRP), przed rozpoczęciem procesu redystrybucji należy określić metrykę, względem rozgłaszanych tras.

    Problemy związane z redystrybucją tras routingu (Loop Problems with Multiple Redistribution Points)

    Loop Problems with Multiple Redistribution Points

    Opis problemu

    • Wykorzystanie dwóch bądź większej liczby punktów redystrybucyjnych, pomiędzy dwoma protokołami routingu, może doprowadzić do powstania problemu pętli domenowych (Domain Loop Problem). Przez który droga do sieci X z rutera R2 przechodzić będzie przez sąsiednią instancję routingu, chodź powinna przez domenę wewnętrzną.
    • Powyższy problem może wystąpić w przypadku, redystrybucji protokołu RIP (AD 120) do protokołu OSPF (AD 110).
    Problem związany z redystrybucją tras routingu nie dotyczy scenariuszy wykorzystujących protokół EIGRP z domyślnymi ustawieniami tego protokołu.

    Rozwiązanie problemu za pomocą większej wartości metryki

    • Najprostszą metodą umożliwiającą uniknięcie problemu związanego z redystrybucją tras routingu, jest zastosowanie znacząco większej wartości metryki w procesie redystrybucji jednego protokołu routingu do drugiego. Oraz znaczące jej mniejszej w przypadku redystrybucji w drugą stronę.
    Protokół OSPF rozwiązuje problem związany z redystrybucją tras routingu, poprzez preferowanie tras wewnętrznych.

    Rozwiązanie problemu za pomocą dystansu administracyjnego

    • Zmieniając wartość Dystansu Administracyjnego dla tras wewnętrznych (Internal) oraz zewnętrznych (External), administrator może manipulować pierwszeństwem w dodawaniu tras jednego protokołu routingu przed drugim. W tym miejscu warto przypomnieć, że redystrybuowane są jedynie sieci znajdujące się w tablicy routingu, jeżeli więc ruter RD1 otrzyma tę samą sieć rozgłaszaną pomocą protokołu A oraz protokołu B wybierze ten z mniejszą wartością AD, następnie dodając wybraną trasę do tablicy routingu skąd może być dalej rozgłaszana.
    • Porównanie wartości Dystansu Administracyjnego tras zewnętrznych do tras wewnętrznych:
      • EIGRP internal AD 90 < OSPF external AD 110.
      • OSPF internal AD 110 < EIGRP external AD 170.
      • EIGRP internal AD 90 < RIP external AD 120.
      • RIP internal AD 120 < EIGRP external AD 170.
      • OSPF internal AD 110 < RIP external AD 120.
      • RIP internal AD 120 < OSPF external AD 110 (Występuje problem).
    Protokół RIP nie wykorzystuje pojęcia tras zewnętrznych oraz wewnętrznych.
    • Wartości Dystansu Administracyjnego można zmieniać za pomocą następujących komend:
      • Względem protokołu RIP – Komenda [distance wartość-AD].
      • Względem protokołu EIGRP – Komenda [distance eigrp internal-AD external-AD].
      • Względem protokołu OSPF – Komenda [distance ospf {external wartość-AD} {intra-area wartość-AD} {inter-area wartość-AD}].
    Wartość Dystansu Administracyjnego jest konfigurowana na lokalnym ruterze (Nie ulega propagacji na inne urządzenia).
    Protokół Routingu Dystans Administracyjny
    Connected 0
    Static Route 1
    BGP (External Routes) 20
    EIGRP (Internal Routes) 90
    IGRP 100
    OSPF 110
    IS-IS 115
    RIP 120
    EIGRP (External Routes) 170
    BGP (Internal Routes) 200
    DHCP default route 254
    Unusable 255

    Wartości dystansu administracyjnego (AD)

    Problemy związane z redystrybucją tras routingu (Loop Problems with More that Two Routing Domains)

    Loop Problems with More that Two Routing Domains

    Przyczyny powstawania problemu związanego z pętlą domenową (Domain Loop Problem)

    1. Ruter R2 rozgłasza sieć X z domeny RIP do domeny EIGPR z wartością AD równą 170.
    2. Ruter RD1 Rozgłasza sieć X z domeny EIGPR do domeny OSPF z wartością AD równą 110 (E2).
    3. Ruter RD2 otrzymuje dwie trasy zewnętrzne prowadzące do sieci X, pierwszą z domeny OSPF z wartością AD równą 110 oraz drugą z domeny EIGRP z wartością AD równą 170.
    4. Ruter RD2 dodaje sieć X z trasą prowadzącą przez domenę OSPF, dodatkowo rozgłaszając sieć X do domeny EIGRP z wartością AD równą 170.
    5. Ruter R3 otrzymuje dwie trasy zewnętrzne EIGRP z wartością AD równą 170.

    Rozwiązanie problemu za pomocą dystansu administracyjnego

    • Rozwiązaniem problemu pętli domenowych może być zmiana wartości Dystansu Administracyjnego względem rozgłaszanych tras.
    • Zwiększając na ruterze RD1 oraz ruterze RD2 wartość dystansu administracyjnego dla trasy prowadzącej do sieci X, rozgłaszanej przez protokół OSPF, do wartości wyższej niż ta rozgłaszana przez domenę EIGRP (170). Administrator zmusi lokalne urządzenie do wybrania bardziej optymalnej trasy przez domenę EIGRP.
    • Wartość Dystansu Administracyjnego można skonfigurować względem konkretnej sieci za pomocą komendy [distance AD {adres-IP(IP rutera rozgłaszającego daną sieć) maska / RID(W przypadku protokołu OSPF wartość RID rutera rozgłaszającego daną sieć) 0.0.0.0} ACL] wydanej w trybie konfiguracji danego protokołu routingu.
    • Przykładowa konfiguracja wygląda następująco:

    RD2 (config)# router ospf 1 – Przechodzi do poziomu konfiguracji protokołu OSPF.

    RD2 (config-router)# distance 171(Większa wartość AD) 1.1.1.1 0.0.0.0 ACL – W przypadku protokołu OSPF adres rutera rozgłaszającego daną sieć zostaje zastąpiony przez wartość RID a maska składa się z samych zer.

    RD2 (config-router)# ip access-list standard ACL

    RD2 (config-std-nacl)# permit 172.20.0.0 255.255.255.0(Adres i maska sieci X)

    ! g konfigurację należy wykonać na ruterze RD1 oraz R2.

    Rozwiązanie problemu za pomocą filtrowania tras routingu

    • Rozwiązaniem problemu pętli domenowych może być filtracja tras routingu.
    • W przypadku redystrybucji tras routingu z domeny OSPF do EIGRP należy zastosować dodatkowe filtrowanie wszelkich tras rozgłaszanych przez protokół RIP, za pomocą np. router mapy.

    Rozwiązanie problemu za pomocą tagowania tras routingu

    • Rozwiązaniem problemu pętli domenowych, może być filtracja tras routingu na podstawie tag-ów.
    • Aby usprawnić proces filtrowania, wszelkie trasy redystrybuowane np. z domeny RIP do domeny EIGPR na ruterze R2, mogą zostać otagowane. Następnie filtracja tras na ruterze RD1 oraz RD2 będzie wykonywana jedynie w stosunku do tras odpowiednio otagowanych.
    • Przykładowa konfiguracja wygląda następująco:

    RD1(config)# router ospf 2

    RD1(config-router)# redistribute eigrp 1 subsets router-map tagowanie

    RD1(config-router)# route-map tagowanie permit 10

    RD1(config-route-map)# set tag 11

    RD2(config-route-map)# router eigrp 1

    RD2(config-router)# redistribute ospf 2 metric 1000 200 255 1 1500 router-map tagowanie

    RD2(config-router)# route-map tagowanie deny 10

    RD2(config-route-map)# match tag 11

    RD2(config-route-map)# route-map tagowanie permit 20

    Pozostałe tematy związane z routing-iem

  • (K) Policy-Based Routing**

    (K) Policy-Based Routing**

    PBR (Policy-Based Routing)

    • Domyślne nadchodzące do rutera pakiety są de-enkapsulowane do poziomu ramki Ethernet-owej, sprawdzane pod kontem wartości FCS a następnie kierowane do interfejsu wyjściowego na podstawie tablicy CEF. Funkcja PBR umożliwia zmianę domyślnego zachowania rutera dzięki czemu nadchodzące pakiety będą rozpatrywane zgodnie z innymi niż domyślne kryteriami (Proces działania jest następujący: Interfejs wejściowy -> PBR -> de-enkapsulacja -> ).
    • Logika działanie funkcji PBR z wykorzystaniem opcji Default:
      • Default: Interfejs wejściowy -> Routing Table (CEF) (Jeżeli brakuje wpisu to ->) -> PBR (Pierwszy aktywny interfejs).
      • Brak komendy default: Interfejs wejściowy -> PBR (Pierwszy aktywny interfejs) (Jeżeli brakuje wpisu, bądź podane wpisy są nieaktywne to ->) -> Routing Table (CEF).

    Podstawowa konfiguracja funkcji PBR

    Tworzenie nowego wpisu funkcji PBR

    (config)# route-map nazwa-PBR permit

    Tworzy nową router mapę, wykorzystaną przez funkcję PBR.

    (config-route-map)# match {ip address Extended-ACL / length mini max}

    Określa sieć, której będzie dotyczył wpis PBR.

    (config-route-map)# set {ip next-hop adresy-IP / ip next-hop recursive adresy-IP / default next-hop adresy-IP / interface interfejsy / default interface interfejsy}

    Określa Interfejs bądź adres IP następnego przeskoku, dla sieci wskazanych komendą [match]. Poniższe opcje decydują o kolejności sprawdzania adresu następnego przeskoku:
    * brak – Wpierw rozpatrywane zostają wpisy PBR a następnie zawartość tablicy routingu.
    * default – Wpierw rozpatrywana zostaje zawartość tablicy routingu a następnie wpisy PBR.
    * recursive – Zarówno opcja pierwsza jak i druga wymagają aby adres następnego przeskoku znajdował się w sieci bezpośrednio przyległej do rutera. Natomiast opcja „recursive” nie posiada takiego obostrzenia.

    # show route-map [nazwa-router-mapy]

    Wyświetla określoną / wszystkie skonfigurowane na danym urządzeniu Router Mapy. 
    Funkcja PBR była wykorzystywana onegdaj prze protokół QoS.

    Przypisywanie wpisu funkcji PBR do interfejsu

    (config-route-map)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# ip policy route-map nazwa-PBR

    Przypisuje wpis funkcji PBR do konfigurowanego interfejsu sieciowego (Komenda nie uwzględnia pakietów wygenerowanych przez lokalne urządzenie).

    (config-if)# ip local policy route-map nazwa-PBR

    Przypisuje wpis funkcji PBR do konfigurowanego interfejsu sieciowego (Komenda uwzględnia pakiety wygenerowane przez lokalne urządzenie).

    Konfiguracja funkcji PBR z wykorzystaniem śledzenia Track

    (config)# route-map nazwa-PBR permit

    Tworzy nową router mapę, wykorzystaną przez funkcję PBR.

    (config-route-map)# set ip next-hop verify-availability [adres-IP(Adres następnego przeskoku) 1-65535(Numer sekwencyjny) track track-ID]

    Określa Interfejs bądź adres następnego przeskoku, przy jednoczesnym sprawdzeniu jego dostępność za pomocą protokołu IP SLA.

    # show route-map [nazwa-router-mapy]

    Wyświetla określoną / wszystkie skonfigurowane na danym urządzeniu Router Mapy.

    Komendy show

    # show route-map

    Wyświetla

    # show

    Wyświetla

    # show

    Wyświetla

    Pozostałe tematy związane z routing-iem

  • (TK) Wstęp do routingu**

    (TK) Wstęp do routingu**

    Podstawowe zagadnienia

    Zagadnienia związane z routingiem

    • Dynamic routing protocol – Zestaw zasad, wiadomości oraz algorytmów wykorzystywanych przez router do wykrywania nowych  sieci, jak i tras do nich prowadzących. Poprzez poszukiwanie nowych oraz analizowanie istniejących tras routingu w celu określenia jednej najlepszej trasy względem każdej z istniejących sieci. Przykładowym protokołem routingu dynamicznego jest protokół RIP, EIGRP, OSPF, BGP czy IS-IS.
    • Routed Protocol and Routable protocol – Protokół określający strukturę pakietu oraz logiczną adresację sieci (IPv4, IPv6)
    • Proces routingu – Następuje gdy ruter lub inne urządzenie warstwy trzeciej, podejmie decyzję o przesłaniu pakietów na podstawie informacji zawartych w tablicy routingu (adresacji sieci).

    Rola routingu w sieci firmowej (Enterprise Network)

    Przykładowy podział sieci Enterprise Network
    • Typowe komponenty sieci firmowej (Enterprise Network):
      • Warstwa Building Access – Zapewnia zweryfikowanym użytkownikom końcowym, dostęp do zasobów sieci.
      • Warstwa Building Distribution – Łączy ze sobą wiele przełączników warstwy dostępowej.
      • Warstwa Campus Backbone – Łączy ze sobą wiele przełączników warstwy dystrybucji zapewniając wysoką wydajność.
      • Warstwa Edge Distribution – Łączy przełączniki warstwy rdzenia z routerami brzegowymi.
      • Warstwa Internet Gateways – Łączy sieć lokalną LAN z Internetem.
      • Warstwa WAN Aggregation – Łączy sieć lokalną LAN z siecią WAN (Innymi biurami zdalnymi).

    Zasady działania rutera względem nadchodzącego ruchu sieciowego

    • Jeżeli adres docelowy należy do sieci lokalnej:
      • Urządzenie końcowe wykorzystuje protokół ARP w celu znalezienia adresu MAC hosta docelowego.
      • Urządzenie końcowe enkapsuluje dane, a następnie wysyła je pod otrzymany adres MAC hosta docelowego.
    • Jeżeli adres docelowy nie należy do sieci lokalnej:
      • Urządzenie końcowe wykorzystuje protokół ARP w celu znalezienia adresu MAC bramy domyślnej.
      • Urządzenie końcowe enkapsuluje dane, a następnie wysyła je pod otrzymany adres MAC bramy domyślnej.

    Proces routingu

    1. Ruter otrzymuje ramkę na swoim interfejsie:
      1. Sprawdza czy docelowy adres MAC należy do niego lub jest adresem rozgłoszeni-owym czy Multicast-owym.
      2. Wylicza sumę kontrolną na podstawie otrzymanej ramki, a następnie porównuje ją z wartością FCS zapisaną w nagłówku ramki Ethernet-owej.
    2. Ruter de-enkapsuluje ramkę do warstwy trzeciej.
    3. Ruter porównuje zawartość pakietu do tablicy routingu w celu znalezienia adresu kolejnego przez-skoku oraz interfejsu wyjściowego dla otrzymanego pakietu.
    4. Ruter z powrotem enkapsuluje pakiet do ramki ethernet-owej, wyliczając nową sumę kontrolną  (FCS).
    5. Ruter przesyła ramkę na określony w punkcie trzecim interfejs sieciowy.

    Tablica ARP na ruterze

    • Rutery posiadają tablicę APR, dzięki czemu są w stanie przesyłać ramki ethernet-owe na podstawie adresów IP.
    • Dane zapisane w tablicy ARP są przechowywane przez 240 minut. W przypadku wykorzystania określonego wpisu jego czas jest resetowany do zera. Komenda [clear ip arp] przyspiesza proces usunięcia wpisu z tablicy ARP, czyszcząc całą dynamiczną zawartość tablicy ARP.

    Router-on-a-stick

    Router-on-a-stick ROAS

    • Rutery Cisco umożliwiają stworzenie wirtualnych interfejsów, przesyłających ruch z wielu sieci VLAN. Dzięki czemu wystarczy jedynie jedno połączenie pomiędzy przełącznikiem a ruterem, aby przesyłać ruch sieciowy z wielu sieci VLAN.
    • Troubleshooting ROAS (Router on the Stick):
    Przyczyna Opis Status Interfejsu
    Pomylona prędkość Urządzenia mogą używać różnych ustawień prędkości interfejsu [Speed]. Down/Down
    Wyłączony interfejs rutera Pod-interfejs bądź interfejs rutera został wyłączony przez administratora za pomocą komendy [shutdown]. Admin Down/Down
    wyłączony interfejs przełącznika Interfejs trunk-owy przełącznika został wyłączony przez administratora za pomocą komendy [shutdown]. Down/Down
    Stan Err-disabled na przełączniku Funkcję bezpieczeństwa zostały aktywowane na wskazanym interfejsie, przez co znalazł sią on w stanie blokowanym (Err-disabled). Down/Down
    Brak kabla zły kabel Urządzenia zostały połączone ze sobą złym bądź uszkodzonym kablem. Down/Down

    Troubleshooting połączenia Router on the Stick

    Konfiguracja Router-on-a-stick

    (config)# interface interfejs.pod-interfejs(interface g0/0.10)

    Przechodzi do konfiguracji określonego pod-interfejsu.

    (config-if)# encapsulation {dot1q / ISL} pod-interfejs

    Określa rodzaj tagowania ramek Ethernet-owych (wartość pod-interfejsoznacza numer ID VLAN-u do którego będzie należał konfigurowany pod-interfejs).

    (config-if)# ip address adres-IP

    Przypisuje adres IP, do konfigurowanego interfejsu sieciowego.

    (config-if)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# no shutdown

    Administracyjnie włącza interfejs sieciowy. 
    W przypadku skonfigurowania pod interfejsu bez użycia komendy „encapsulation”, pod interfejs będzie korzystał z domyślnej sieci VLAN. Podobny efekt można uzyskać za pomocą komendy [encapsulation {dot1q / isl} native].
    Router-on-a-stick

    Routing statyczny

    Zalety routingu statycznego

    • Routing
      statyczny nie rozgłasza żadnych informacji na temat topologii sieciowej, tym
      samym jest bardzie bezpieczny od routingu dynamicznego.
    • Routing
      statyczny nie zużywa pasma sieciowego oraz minimalizuje zużycie procesora CPU.

    Wady routingu statycznego

    • Routing statyczny jest:
      • Czasochłonny w konfiguracji oraz zarządzaniu.
      • Ciężki w konfiguracji w przypadku dużych sieci.
      • Wymaga interwencji administratora w przypadku zajścia zmian w topologii sieciowej
      • Wymaga od administratora wiedzy na temat całej topologii sieciowej.
      • Jest słabo skalowalny.

    Rodzaje routingu statycznego

    • Standard Static Route – Określa sieć (Adres IP z maską) wraz z interfejsem bądź adresem następnego przeskoku.
      • Komenda wydana w trybie konfiguracji rutera [ip route adres-IP maska {adres-następnego-przeskoku / interfejs}].
    • Default Static Route – Stanowi domyślną drogę dla sieci nie znajdujących się w tablicy routingu. Najlepszym zastosowaniem dla tego typu trasy jest ruter brzegowy mający połączenie z dostawcą Internetu ISP, dzięki czemu każdy pakiet kierujący się poza sieć firmą, będzie docierał do tego interfejsu.
      • Komenda wydana w trybie konfiguracji rutera [ip route 0.0.0.0 0.0.0.0 {adres-następnego-przeskoku / interfejs}]
    • Summary Static Route – Definiuję grupę sieci zsumaryzowanych do jednej komendy. Przykładowo adresy 10.0.0.0/24, 10.0.1.0/24 i 10.0.2.0/24 mogą być zapisane jako jedna sieć 10.0.0.0/22, tym samym zamiast trzech wpisów w tablicy routingu znajdzie się jeden, co w przypadku dużej ilości pod sieci może znacząco ograniczyć ilość wpisów.
    • Floating Static Route – Umożliwia określenie dwóch tras prowadzących do tej samej sieci docelowej. Za pomocą manipulacji wartościami dystansu administracyjnego, który dla tras statycznych domyślnie wynosi „1”.
      • Komenda wydana w trybie konfiguracji rutera [ip route adres-IP {adres-następnego-przeskoku / interfejs}]
      • Komenda wydana w trybie konfiguracji rutera [ip route adres-IP maska {adres-następnego-przeskoku / interfejs} 10].
    • Next-Hop Static IPv4 Route – Określa sieć (Adres IP z maską) wraz z adresem następnego przeskoku
      • Komenda wydana w trybie konfiguracji rutera [ip route adres-IP maska adres-następnego-przeskoku].
    • Directly Connected Static IPv4 Route – Określa sieć (Adres IP z maską) wraz z interfejsem następnego przeskoku.
      • Komenda wydana w trybie konfiguracji rutera [ip route adres-IP maska interfejs-następnego-przeskoku].
    • Fully Specyfice Static IPv4 Route – Określa sieć (Adres IP z maską) wraz z interfejsem oraz adresem następnego przeskoku.
      • Komenda wydana w trybie konfiguracji rutera [ip route adres-IP maska adres-i-interfejs-następnego-przeskoku].
    W przypadku konfiguracji następnego przeskoku, Cisco zaleca stosowanie adresu IP zamiast interfejsu następnego przeskoku.

    Pozostałe tematy związane z routing-iem