Facultatea de Electronic i Telecomunicaii Laborator Reele i Servicii

Laborator 2 rev 2

Laborator 2 Rutarea static; rutarea dinamic folosind RIP; introducere n ACL Partea 1. Breviar teoretic 1. Rutare static Un ruter deine implicit informaie despre reelele direct conectate. Informaiile despre reelele care nu snt direct conectate la un ruter snt obinute fie prin specificarea lor direct de ctre administrator (rutare static), fie prin intermediul unui protocol de rutare (rutare dinamic). A) Configurarea unei rute statice se face folosind una din urmtoarele variante: Router(config)#ip route reea_destinaie masca_reea ip_next_hop Router(config)#ip route reea_destinaie masca_reea interf_ieire Evident, ip_next_hop este o destinaie cunoscut de ruter (aflat ntr-o reea direct conectat)! A doua variant este doar pentru cazul reelelor punct-la-punct, cum snt cele corespunznd interfeelor seriale. De exemplu, pentru a configura o rut static pe Router0 pentru a ajunge la reeaua 192.168.1.0/24:

Figura 1

se va folosi una din comenzile: Router0(config)#ip route 192.168.1.0 255.255.255.0 172.16.1.2 unde 172.16.1.2 este adresa IP a interfeei s2/0 de pe Router1, sau: Router0(config)#ip route 192.168.1.0 255.255.255.0 s2/0 unde s2/0 este interfaa ruterului Router0. B) Configurarea unei rute default (implicite) Pentru toate destinaiile care nu apar n tabela de rutare se poate defini o rut implicit: Router2(config)# ip route 0.0.0.0 0.0.0.0 ip_next_hop|interf_out Pentru default route se folosete notaia 0.0.0.0 0.0.0.0 ntruct procesul de rutare funcioneaz astfel: se compar adresa destinaie cu fiecare intrare din tabela de rutare, folosind functia I (AND). Comparaia la care se potrivesc cei mai multi bii va da rezultatul de valoarea cea mai mare i aceasta va fi calea aleasa. Rezultatul unui AND ntre o adres oarecare i orice alt adres este, n cazul cel mai defavorabil, 0.0.0.0 (atunci cnd nici un bit nu se potrivete). Aadar 0.0.0.0 semnific orice altceva.

Facultatea de Electronic i Telecomunicaii Laborator Reele i Servicii

Laborator 2 rev 2

2. Rutarea dinamic folosind RIP 2.1 Generaliti Rutarea static are avantajul c este simpl, nu necesit putere de calcul n ruter pentru determinarea rutelor (aceast munc e fcut de administrator) i nu genereaz trafic n reea (ruterele nu schimb ntre ele informaii de rutare), dar prezint urmtoarele dezavantaje: n cazul unor schimbri, administrarea este dificil nu se adapteaz automat n cazul apariiei unor defeciuni; o rut devenit inaccesibil rmne inaccesibil, pn la intervenia administratorului. Protocoalele de rutare dinamic pentru care n continuare se va folosi termenul de ,,protocoale de rutare se clasific, n functie de algoritmul de stabilire a informatiei de rutare, n: protocoale de tip ,,link state i protocoale de tip ,,distance vector O clasificare suplimentar, care ine cont de modul de definire a ariei de aciune a protocoalelor de rutare, const n protocoale de rutare interne (IGP - ,,Interior Gateway Protocols), acestea actionnd n interiorul unui domeniu de rutare compus dintr-un numr de rutere aflate sub administraie unic i care definesc un asa-numit sistem autonom (AS - ,,Autonomous System), i protocoale de rutare externe (EGP - ,,Exterior Gateway Protocol), utilizate pentru interconectarea sistemelor autonome. Indiferent de procedeul de rutare ales, rutarea IP este de tipul next hop, adic fiecare nod specific numai nodul (hopul) urmtor, spre deosebire de rutarea surs n care se specific ntreaga cale de urmat ntre surs i destinatie. Rutarea surs nu se foloseste n Internet ntruct ar presupune o cunoatere centralizat a ntregii reele i nu s-ar putea adapta usor schimbrilor neprevzute. 2.2 Protocoale de rutare de tip ,,distance vector Prin intermediul protocoalelor de rutare ,,distance vector, informaia de rutare este: (1) determinat pe baza unui algoritm de tip ,,shortest path, semnificativ fiind algoritmul Bellman-Ford determinarea cii optime de ajungere la un nod distant innd cont de cteva criterii de cost bine definite (numr de hop-uri (noduri intermediare), lrgime de band a conexiunii intre doua rutere, etc.); (2) distribuit ctre celelalte noduri ale reelei n vederea actualizrii tabelelor de rutare ale acestora. Exemple: RIP, RIP-v2, IGRP, EIGRP, etc (ultimele 2 snt proprietare Cisco). 2.3 Protocoale de rutare de tip ,,link-state Prin intermediul protocoalelor de rutare ,,link-state informaia de rutare este determinat: (1) prin intermediul unui procedeu de replicare n reea (replicare realizat de ctre fiecare nod component al reelei) a unei baze de date coninnd informaii despre starea nodului respectiv i a conexiunilor adiacente n acest mod fiecare nod al reelei ajungnd sa cunoasc datele referitoare la poziionarea fiecrui alt nod component al reelei; (2) prin calculul efectuat prin aplicarea unui algoritm SPF ( ,,shortest path first, exemplu fiind algoritmul Dijkstra ) unui arbore de ci minime ctre fiecare destinaie. Exemplu: OSPF va fi studiat n detaliu ntr-o lucrare ulterioar

2.4 Caracteristici comparative ale protocoalelor de rutare RIP i OSPF

Facultatea de Electronic i Telecomunicaii Laborator Reele i Servicii

Laborator 2 rev 2

RIP (RFC 1058, 2453, etc.) - metrica utilizat n selectarea (stabilirea) cii (,,path selection) este numrul de hopuri; - max. 15 hop-uri - update-uri transmise, n mod predefinit (,,by default), la fiecare 30 de secunde. - update-urile snt trimise ctre adresa de broadcast 255.255.255.255 RIP v2 transmite n pachetele de update ctre vecini i masca de reea, pentru a suporta reele classless i VLSM suport autentificare update-urile snt trimise ctre adresa multicast 224.0.0.9 (adresele cu primul octet mai mare decit 223 nu snt n clasele A,B,C ci au destinaii speciale; clasa multicast se numeste clasa D). lrgimea de band (,,bandwidth ) i ntrzierea (,,delay) avute n vedere n calculul caii optime; convergena rapid. 2.5 Detalii privind RIP Cteva comenzi care permit studiul tabelelor de rutare i a altor aspecte asociate rutarii: comanda show ip route descriere arat tabela de rutare; rutele snt clasificate dupa tip: cele direct conectate, cele introduse manual (static) i cele nvate prin intermediul protocoalelor de rutare show ip route destination_network arat informaii despre ruta ctre un net show ip protocols ofer informaii despre protocoalele de rutare care ruleaz show ip rip database informaii despre tabela RIP debug ip rip activeaz tiprirea mesajelor de debug la consol: de fiecare data cnd se produce un eliminat cu undebug all eveniment asociat RIP (de exemplu este trimis sau receptionat un update), snt afisate informatii despre acesta. Atentie! aceste mesaje snt tiparite doar la consola, nu i prin telnet ! Rutele nvate de un ruter se pot terge cu comanda: Router# clear ip route * unde * este un wildcard i specific toate rutele. Alternativ, se poate specifica o singur rut n loc de *. Fiecare rut are asociat o distan administrativ; dac exist mai multe rute disponibile, ruterul va alege ruta cu distana administrativ cea mai mic. Distanele administrative se vd n tabela de rutare generic urmtoare (valoarea cu bold din paranteze; cealalta valoare, dup /, este metrica rutei, care la RIP este numrul de hopuri pn la reeaua respectiv; n cazul altor protocoale, metrica este diferit). 3

OSPF -

Facultatea de Electronic i Telecomunicaii Laborator Reele i Servicii

Laborator 2 rev 2

Router# sh ip route
R C R C R S R R 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks 10.0.0.0/8 [120/2] via 172.16.1.2, 00:00:05, FastEthernet1/0 10.1.1.0/24 is directly connected, FastEthernet0/0 172.16.0.0/16 is variably subnetted, 4 subnets, 2 masks 172.16.0.0/16 [120/3] via 172.16.1.2, 00:00:05, FastEthernet1/0 172.16.1.0/24 is directly connected, FastEthernet1/0 172.16.2.0/24 [120/1] via 172.16.1.2, 00:00:05, FastEthernet1/0 172.16.3.0/24 [1/0] via 10.1.1.2 192.168.1.0/24 [120/2] via 172.16.1.2, 00:00:05, FastEthernet1/0 193.1.1.0/24 [120/2] via 172.16.1.2, 00:00:05, FastEthernet1/0

Rutele statice au o distan 1 n timp ce cele nvate prin RIP au 120. De aceea, ruterul va prefera rutele statice, i va folosi RIP doar dac acestea devin indisponibile. Pentru a pune o ruta static de rezerv, care sa nu fie preferat fa de RIP, i se va pune o distan mai mare, de exemplu 130: Router0(config)#ip route 192.168.1.0 255.255.255.0 172.16.1.2 130 2.6 Sumarizare Prin sumarizare se nelege concentrarea mai multor rute/destinaii ntr-una singur (n rute din interiorul unei anumite zone snt percepute n afara acelei zone ca o singur rut). Acest lucru presupune o adresare contingu n acea zon dac subneturile aceluiai net snt distribuite aleator pe mai multe rutere, nu se poate face sumarizarea. n cazul sumarizrii mai multor reele ntr-una singur, aceast reea este uneori numit superreea (supernet) prin analogie cu denumirile net subnet. Observaie: termenul supernet este folosit mai ales pentru a combina mai multe reele ntr-o reea superioar limitei implicite de clas, aa cum termenul subnet se folosete atunci cnd se fac reele mai mici dect cele specificate de clas. Dou reele de clas C (/24) combinate ntr-o reea /23 formeaz un supernet; 2 subneturi /30 combinate ntr-o reea /29 nu se consider de obicei un supernet, ci tot un subnet. Avantajele sumarizrii: reducerea dimensiunii tabelelor de rutare dac o reea din spatele unui ruter, anunat de acesta n cadrul unei super-reele, cade din cauza unei probleme tehnice (i eventual i revine cu intermiten), acest lucru nu este propagat n tabela de rutare, deci celelate rutere nu trebuie s-i modifice de fiecare dat tabelele de rutare. Problema rmne o problem intern ruterului respectiv. Exemplul 1: - se dau 4 reele: 192.168.0.0/24, 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24 - se dorete combinarea lor ntr-un supernet de masc /22 (4 reele ocup 2 bii) - supernetul scris n binar (bold) va fi 192.168.00000000.00000000 adic 192.168.0.0/22 - aadar 4 reele independente de cte 256 adrese se pot scrie ca un supernet de 1024 adrese. Exemplul 2: reelele 10.10.1.0/24, 10.10.2.0/24, , 10.10.255.0/24 snt percepute ca fiind reeaua mai mare 10.10.0.0/16. Supernetul 10.10.0.0/16 s-a obinut prin realizarea operaiei AND logic ntre cei 4 octeti ai reelelor initiale. Observai c nu este un supernet tipic, pentru c limita de clas era /8.

Facultatea de Electronic i Telecomunicaii Laborator Reele i Servicii

Laborator 2 rev 2

3. Access Control Lists - ACL 3.1 Generaliti Un ACL permite stabilirea de reguli prin care s fie permis sau interzis accesul pachetelor cu anumite adrese IP, fie integral, fie numai ctre anumite destinaii, porturi sau protocoale. Practic, folosind ACL se poate crea un firewall folosind un ruter Cisco. Exemple de reguli: hosturile 192.168.1.1-192.168.1.63 nu vor avea acces la siteurile de web dintr-o list calculatoarele pe care lucreaz studenii vor avea acces numai la anumite site-uri web nici un host din exteriorul domeniului nu va avea acces Telnet la hosturile din interiorul domeniului, dar reciproca va fi permis Specificarea hosturilor afectate de o regul se face cu perechea adresa_IP, wildcard_mask. 3.2. Wildcard masks n ACL Un wildcard mask prezint similitudini cu un netmask, adic permite specificarea cror bii din adresa IP li se aplic o regul i crora nu li se aplic. Mai precis, se selecteaz/verific acei bii din adresa IP care au 0 n masc i ignor pe cei care au 1 n masc, oarecum invers fa de netmask. Dar, wildcard masks snt mai generale i nu snt neaprat egale cu inversul netmask. Cazul particular n care ele snt egale este atunci cnd se dorete specificarea unei ntregi reele sau subreele, de exemplu s fie interzis sau permis traficul de la toate hosturile unei reele. De exemplu, pentru a specifica ntreaga reea 192.168.1.0/24, se scrie: 192.168.1.0 0.0.0.255 adic se verific (0=check) primii 3 octei, care au 0 n masc, cu semnificaia ca se verific octeii care desemneaza reeaua, i se ignor (1=ignore ) octetul care desemneaz hosturile. Faptul c nu se verific biii de host este echivalent cu a spune c regula se aplic tuturor hosturilor din net. Cazurile n care ele nu snt egale apar atunci cnd se dorete realizarea unor selecii mai complexe, i anume doar o parte din hosturile dintr-o reea. Aceasta nseamn c un wildcard mask permite s selectm anumite hosturi fr s trebuiasc s creem subneturi doar pentru aceasta. De exemplu, fie reeaua 192.168.1.0/24, care nu este subnetat. Asignm hosturile cu numere mari (de la 193 n sus, care ar fi echivalente cu ultimul subnet de lungime /26) pentru calculatoarele celor din management i hosturile 1-192 pentru angajai. Din punct de vedere al rutrii, toate hosturile trebuie s acceseze internetul, deci nu are sens s subnetm reeaua, dar dorim s dm acces la un anumit site de web din intranet numai celor din management. Specificm aceste hosturi cu sintaxa: adresa 192.168.1.11000000 192.168.1.192 wildcard mask 0.0.0.00111111 0.0.0.63 n zecimal adic:

Aadar ACL-ul va verifica ca hosturile s nceap cu 11 n binar, chiar dac netmaskul reelei rmne 255.255.255.0 (netmaskul nu apare n ACL). Mai mult, am putea aduga nc o regul, mprind n continuare hosturile > 192 astfel: primele pentru lower management i ultimele pentru upper management, difereniind n continuare n ACL-uri restricii suplimentare (nu toi s aib acelai acces, sau aceeai vitez, etc). Fiecare regul poate avea propriul wildcard mask. Putem crea o cu totul alt regul, care s funcioneze n paralel cu prima. De exemplu, stabilim c hosturile cu numr impar s fie plasate la etajul 1 i hosturile cu numr par la etajul 2 al cldirii (par/impar n binar nseamn c se termin n

Facultatea de Electronic i Telecomunicaii Laborator Reele i Servicii

Laborator 2 rev 2

binar cu 0, respectiv 1). n acest fel, dac dorim s dm acces numai celor cu hosturi impare la imprimanta de pe etajul 1, specificm aceste hosturi cu combinaia: adresa 192.168.1.11111111 192.168.1.255 wildcard mask 0.0.0.11111110 0.0.0.254 n zecimal adic:

unde se observ c pe poziia unde avem 1 n wildcard mask nu conteaz ce avem n adresa IP, ACL-ul va verifica doar ultimul bit din host! (am fi putut scrie la fel de bine adresa ca 192.168.0.1 sau 192.168.0.3 sau orice care s se termine cu 1 n binar!) n concluzie, netmaskul rmne unic pentru procesul de rutare, n timp ce folosind diferite wildcard masks n diferite reguli, putem controla orict de fin traficul de la anumite hosturi ale reelei. Anumite combinaii mai rspndite au urmtoarele prescurtri: expresia (adresa_IP, masca) prescurtarea explicatie A.B.C.D 0.0.0.0 host A.B.C.D ntruct 0.0.0.0 nseamn verific toi biii, este clar c se refer la adresa unui singur host 0.0.0.0 255.255.255.255 ntruct 255.255.255.255 nseamn any ignor toi biii, rezult c semnificaia este orice adres 3.3 Configurarea ACL Exist 2 tipuri de ACL pentru adrese IP pe ruterele Cisco: Standard ACLs au numere ntre 1-99, i nu permit specificarea dect a adresei surs a pachetului IP. De aceea, ele se plaseaz n reea ct mai aproape de destinaia afectat de ACL, n ideea c pachetele pot ajunge la acea destinaie pe mai multe ci.

configurarea se face astfel: Router(config)# access-list numr deny|permit [remark comentariu] adr_sursa wildcard_mask [log] Se va specifica numai una din actiunile deny (interzice) sau permit (permite). Opiunea remark permite scrierea unui comentariu despre list; opiunea log genereaz o nregistrare n fisierul log al ruterului atunci cnd un eveniment declaneaz aplicarea ACL-ului. Exemple: access-list 1 deny host 192.168.1.1 nu permite traficul de la hostul specificat, filtrnd efectiv pacherele de la acel host access-list 2 permit 192.168.1.0 0.0.0.255 permite traficul de la toate hosturile din netul 192.168.1.0/24 Extended ACLs au numere ntre 100-199 sau 2000-2699. Ele permit specificarea adresei surs, adresei destinaie, protocolului i portului ceea ce le face mult mai versatile. Vor fi studiate ntr-o lucrare viitoare.

Facultatea de Electronic i Telecomunicaii Laborator Reele i Servicii

Laborator 2 rev 2

Simpla definire a unui ACL ca mai sus nu are nici un efect asupra ruterului. Mai departe, el trebuie folosit. Cea mai simpl situaie e cnd ACL-ul e plasat pe o interfa a ruterului (2 alte situaii de utilizare a unui ACL vor fi prezentate n 3.6 i 3.7). Pentru aceasta se folosete comanda (n modul de configurare al interfeei care se dorete): Router(config-if)# ip access-group numr_ACL in|out unde sensul de intrare (in) sau ieire (out) se consider privind din interiorul ruterului. De exemplu, pentru a plasa lista cu numrul 1 pe interfaa S0/1 astfel nct s afecteze pachetele care intr n ruter prin acea interfa (a crei adres IP a fost n prealabil configurat): Router(config)# int S0/1 Router(config-if)# ip access-group 1 in Router(config-if)# CTRL-Z Folosind prefixul no se poate scoate un ACL de pe interfaa (no ip access-group); astfel, el va fi dezactivat fr a fi necesara tergerea ACL-ului. De asemenea, se poate folosi no pentru a terge complet un ACL: no access-list 101 3.4 Observaii importante privind ACL 1) Pe o interfa i un sens se aplic doar un singur ACL (definit cu access-group numr), dar un ACL poate avea mai multe reguli. De exemplu sintaxa: access-list 10 permit host 192.168.1.1 access-list 10 deny host 192.168.1.2 creaz ACL-ul 10 cu 2 reguli. n continuare se pot aduga i alte reguli. 2) La definirea unei reguli intr-un ACL (indiferent c e cu nume sau cu numr), regula se adaug la sfritul celor deja existente. Acest comportament este diferit de, spre exemplu, comenzi ca ip addr x.x.x.x sau shutdown | no shutdown pe o interfa, la care ultima comand care se d este reinut i terge efectul eventualelor comenzi date nainte. La ACL, folosirea prefixului no terge toate regulile (nu se pot terge sau modifica selectiv reguli). 3) Este important de neles c, atunci cnd ruterul primete un pachet pe o interfa, el verific fiecare regul fa de acel pachet, n ordinea n care au fost definite regulile, i efectueaza prima aciune de tip permit sau deny care se potrivete cu acel pachet, dup care verificarea inceteaz. Consecin: este esenial ordinea definirii regulilor intr-un ACL. De exemplu, s presupunem c dorim s permitem traficul de la 192.168.1.1 dar s interzicem traficul de la celelalte hosturi din 192.168.1.0. Urmtoarea definiie este corect: access-list 1 permit host 192.168.1.1 access-list 1 deny 192.168.1.0 0.0.0.255 iar urmtoarea definiie este greit: access-list 1 deny 192.168.1.0 0.0.0.255 access-list 1 permit host 192.168.1.1

Facultatea de Electronic i Telecomunicaii Laborator Reele i Servicii

Laborator 2 rev 2

ntruct pachetul de la 192.168.1.1 a fost deja respins de prima regul, cu deny 192.168.1.0, care este mai general (192.168.1.1 face parte din netul 192.168.1.0), dup care ruterul nu mai verific i regulile urmtoare pentru acel pachet. Rezult c trebuie s definim, n ordine, mai inti regulile mai puin generale i apoi regulile mai generale. 4) Dac pe un ruter nu este definit nici un ACL, implicit tot traficul este permis. Dar, dac este definit chiar i un singur ACL, tot traficul care NU este specificat de acel ACL este implicit interzis. Prin urmare dac pe un ruter snt definite N reguli, este ca i cnd ar exista o a N+1-a regula care spune deny any De aceea, dac se dorete implicit comportamentul permisiv, ca tot ce nu a fost specificat n ACL s fie permis, trebuie s fie adugat la sfrit regula permit any Aceasta regul va avea ca rezultat permiterea pachetului respectiv (orice pachet corespunde descrierii any) i ruterul va iei din verificare. Regula N+1, cea cu deny, exist n continuare, dar ruterul nu mai ajunge la ea. Atenie! n lipsa unui permit any, este posibil s blocm inclusiv routing updates i rutarea s nceteze s mai funcioneze ! Faptul c ordinea este foarte strict complic un pic scrierea de ACL-uri, ntruct dac s-a greit, nu se mai poate corecta greeala dect tergnd tot ACL-ul cu no i relund procesul de la capt (sau editnd fiierul de configurare al ruterului n mod offline). 3.5 Testarea ACLs Pentru a testa funcionarea ACL, trebuie generat trafic de tipul specificat n ACL i verificat dac comportamentul este cel dorit. ntruct un ruter poate avea mai multe interfee, uneori trebuie specificat de pe ce interfaa pleac traficul.

Figura 2

De exemplu, n figura 2, presupunem c am creat un ACL pe R1 care s impiedice traficul de la adresele 192.168.1.0/24 ctre 172.16.2.1/24. Dac sntem conectai pe R0 i dm comanda ping 172.16.2.1 putem constata c adresa surs a pachetelor IP nu este 192.168.1.1, ci 172.16.1.1, ntruct ambele snt adrese valide ale R0, iar cea de-a doua adres este mai aproape de destinaie. De aceea, trebuie s putem selecta manual interfaa surs a pachetelor pentru ping i telnet. Pentru a fora pachetele de tip ping s plece de pe o anumit adres surs se folosete extended ping, adic comanda ping fr parametri. Atunci ruterul ne va ntreba protocolul dorit, adresa surs, numrul de pachete, etc. La fiecare ntrebare raspunsul implicit este afiat ntre paranteze drepte i se poate da apasnd ENTER. Remarcai c la extended commands trebuie raspuns y. Dac testm cu Telnet n loc de ping, putem fora pachetele de tip Telnet s plece de pe o anumita adres surs folosind comanda: ip telnet source-interface adresa_ip 8

Facultatea de Electronic i Telecomunicaii Laborator Reele i Servicii

Laborator 2 rev 2

Atenie ! ACLs dintr-un ruter nu verific traficul generat local, pe ruter. Ele verific traficul provenind de la alte echipamente conectate la acel ruter.

Vizualizarea ACLurilor se poate face cu comenzile: comanda explicaie show ip interface arat detalii despre interfa, inclusiv ACLurile aplicate show access-lists [number] arat toate ACLurile definite, sau numai cea specificat show running-config arat toat configuraia, inclusiv ACLurile 3.6 Utilizarea ACL pentru telnet Un caz particular de plasare a unui ACL nu pe o interfa, ci pe sesiunile Telnet, se face folosind comanda access-class, astfel: 1) se definete un access-list n modul obinuit, de exemplu: access-list 99 permit 192.168.1.0 0.0.0.255 2) se plaseaz aceast list pe liniile de tip vty (virtual terminal) adic Telnet. n exemplul care urmeaz, se permite doar o singur sesiune de telnet (din cele 5 posibile pe 2500) i doar de la adresele specificate: line vty 0 password class access-class 99 in login line vty 1 4 no login 3.7 Utilizarea ACL pentru filtrarea rutelor Dup cum se tie, un protocol de rutare (RIP, OSPF, etc) funcioneaz prin transmiterea de actualizri ale tabelei de rutare (routing updates) ctre toate ruterele direct conectate. Uneori ns acest lucru nu este dorit. De exemplu, pe figura 1, dac exist protocol de rutare ntre cele 2 rutere, nu ar trebui trimise updates ctre PC, din urmtoarele motive: PC-ul are o singur cale de ieire, prin ruterul su direct conectat (R0), aadar este suficient ca acest ruter s fie definit ca default gateway n configuraia PC-ului. Routing updates trimise ctre PC doar consum inutil banda i puterea de procesare a ruterului routing updates care ajung pe PC ofer informaii despre tabela de rutare, care pot fi folosite n scop maliios (risc de securitate)

Pentru a opri transmiterea acestor updates se pot folosi 2 metode: 1) interfaa dintre ruter i PC poate fi declarat passive-interface. O astfel de interfa nu va transmite nici un fel de update i se declar astfel: 9

Facultatea de Electronic i Telecomunicaii Laborator Reele i Servicii

Laborator 2 rev 2

R0(config)# router rip R0(config-router)# passive-interface E0 2) o metod mai versatil presupune folosirea unui ACL n care s se specifice care reele vor fi permise i care vor fi interzise n routing updates. n acest fel se poate controla foarte precis rutarea; de exemplu, se poate dori ca un ruter de la marginea reelei (Border Router) s nu trimit n exterior updates despre unele reele interne, fie din considerente de securitate, fie pentru a reduce dimensiunea tabelei de rutare. De exemplu, n figura 1, reeaua 192.168.1.0 dintre ruter i PC trebuie ascuns n updates trimise de R1 n exterior; se definete un ACL care s interzic doar acea reea: R1(config)# access-list 50 deny 192.168.1.0 0.0.0.255 R1(config)# access-list 50 permit any Se aplic ACL-ul folosind cuvntul cheie distribute-list, care are efectul unui filtru: R1(config)# router rip R1(config-router)# network .... (se definesc toate reelele necesare) R1(config-router)# distribute-list 50 out Observaii: filtrul se poate aplica i n cazul altor protocoale de rutare, nu doar RIP cuvntul-cheie out semnific faptul c nu vor fi trimise reelele respective n updates. Este posibil specificarea folosind cuvntul-cheie in pentru a nu permite primirea de updates despre anumite reele; n acest exemplu, plasarea filtrului interzice trimiterea de updates pe toate interfeele, ceea ce nu afecteaz funcionarea rutrii n domeniul PC-R0-R1 (R1 a aflat de aceast reea de la R0, deci oricum nu o va trimite napoi). n anumite cazuri ns, restricia se poate aplica doar pe o interfa, adugnd cuvntul-cheie interface: R1(config-router)# distribute-list 50 out interface S0/1 sau cu sintaxa simplificat: R1(config-router)# distribute-list 50 out S0/1

Partea 2. Desfurare; exerciii Faza 1. Pregtirea topologiei de test; rutare static 1) Se va realiza topologia din figura 3, configurnd pe fiecare ruter: - hostname-ul corespunztor - adresele IP ale interfeelor (pentru PC-uri adresa este scris pe etichet, iar interfaa corespunztoare de pe ruter este .1) - Observaie: nu conteaz la care dintre cele 3 rutere snt legate cele 2 PC-uri. Alegei atunci cnd realizai topologia. - se vor configura cele 2 interfee loopback numite lo1 - clock-ul (64000) n cazul interfeelor seriale DCE - no shutdown pe interfee 10

Facultatea de Electronic i Telecomunicaii Laborator Reele i Servicii

Laborator 2 rev 2

parola pe telnet va fi class; nu se va pune parol de enable.

Figura 3

Q1. Desenai topologia corespunztoare echipei, notnd numele de pe etichetele ruterelor efectiv folosite (alturi de R0,R1,R2 pentru a uura identificarea pe parcursul lucrrii), numele interfeelor i toate adresele IP, inclusiv legturile cu PC-urile. Observaie: pentru ca ruterul sa nu ne mai scoat automat din modul enabled dup un timp de inactivitate, se dau comenzile: line con 0 no exec-timeout Se verific folosind ping conectivitatea ntre vecini (inclusiv PC-urile). Se urmrete acum ca R0, R1 s-i poat da reciproc ping la orice interfa serial sau Ethernet. Pe R0 se definete o rut static ctre R1/S1: ip route 172.17.1.0 255.255.255.0 172.16.1.2

Se ncearc ping de pe R0 pe 172.17.1.1 Q2: Funcioneaz ping ? Q3: Instalai o rut static pe R1 pentru a putea da ping ctre R0/S0; ce comand ai folosit ? testai. Se observ c la ping se specific doar adresa destinaie. Nu putem verifica, de exemplu, dac merge ping de pe R1/lo1 pe R0/E0. Pentru a specifica la ping i adresa surs, nu doar cea destinaie, trebuie folosit ping extins, dnd comanda ping fr parametri i rspunznd apoi la ntrebri ca mai jos (cu bold, ENTER n rest); de exemplu, pe R1: R1# ping Protocol [ip]: Target IP Address: 172.16.1.1 Repeat count [5]: Datagram size [100]: Timeout n seconds [2]: Extended commands [no]: y 11

Facultatea de Electronic i Telecomunicaii Laborator Reele i Servicii

Laborator 2 rev 2

Source address or interface: 192.168.1.65 Type of service [0]: Set DF bit n IP header [no]: Data pattern [0xABCD]: Loose, strict, record, timestamp, verbose [None]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.2.1, seconds: !!!!! Success rate is 100 percent (5/5) Q4: Are succes ping ca mai sus ? de ce sau de ce nu ?

timeout

is

Observai c, pentru ca un ping (i n general, rutarea IP) s funcioneze, nu e suficient s fie cunoscut calea de la A la B, dac nu e cunoscut i calea de la B la A. Pentru a vedea tabela de rutare de pe un ruter se folosete show ip route Q5: Vizualizai tabela de pe R0; ce reele cunoate acest ruter ? care este diferena dintre rutele marcate cu S i cele marcate cu C ? Q6: Adugai o rut static pe R0 ctre reeaua lui lo1 de pe R1; scriei comanda folosit, apoi repetai ping extins de mai sus; funcioneaz sau nu ? explicai. Faza 2. Instalarea unor rute default n acest scenariu se urmrete ca R0 s aib acces la reeaua 172.17.1.0 n mod redundant, fie prin R1 fie prin R2. Este o situaie similar cu un client care are acces la internet prin 2 ISP, unul de baz i unul de rezerv. Se va prefera conexiunea prin R1, iar cea prin R2 va fi de rezerv. R0 tie deja o rut ctre 172.17.1.0; se va terge aceast rut, prefixnd comanda cu no: no ip route 172.17.1.0 255.255.255.0 172.16.1.2 Se verific cu show ip route pe R0 c ruta a disprut din tabela de rutare! Se vor configura 2 rute statice de tip default, cu distane administrative diferite (130 i 140). Amintim c ruterele Cisco vor prefera distanele administrative mai mici (0=cea mai buna rut, 255=rut care nu va fi folosita niciodat). Pe ruterul R0 se vor configura: ip route 0.0.0.0 ip route 0.0.0.0 0.0.0.0 0.0.0.0 172.16.1.2 10.1.1.2 130 140

Q7: Ce semnific prescurtarea 0.0.0.0 0.0.0.0 ? Testarea conexiunii se va face dnd ping la oricare din interfeele R1/S1 sau R2/S1. Se va verifica tabela de rutare de pe R0 cu show ip route. Q8. Cine apare n tabela de rutare a R0 ca gateway of last resort ? 12

Facultatea de Electronic i Telecomunicaii Laborator Reele i Servicii

Laborator 2 rev 2

Q9. n tabel nu apare reeaua 172.17.1.0/24. De ce merge ping ? Cum tie R0 s ajung la aceast reea ? Se va ntrerupe legatura din stnga, dnd shutdown la interfaa E0 a lui R0; se va verifica noua tabel de rutare i faptul c ping nc funcioneaz ctre 172.17.1.2. Q10. Cine apare acum n tabela de rutare a R0 ca gateway of last resort ? Se repornete legatura din stnga (no shutdown la interfaa E0). Faza 3. Configurarea RIP Se instaleaz un protocol de rutare de tip classful RIP versiunea 1 (implicit, dac nu se specific versiunea, este v1). Pentru a avea o topologie curat se terg prin prefixare cu no toate rutele statice care au fost definite pn acum: Router(config)# no ip route ... Router(config)# no ip route ... Router(config)# exit se terge tabela de rutare: Router# clear ip route * Pentru configurarea RIP, trebuie listate cu cuvntul-cheie network toate reelele direct conectate la ruter (inclusiv ale loopback-urilor i ale PC-urilor, i se specific doar adresa de reea, nu i masca de reea; nu se listeaz reele care nu snt direct conectate! Reelele listate vor fi anunate ctre ruterele vecine. Router(config)# router rip Router(config-router)# network ... Router(config-router)# network ... Q11. Ce reele ai configurat pe fiecare ruter? Se examineaz tabela de rutare cu sh ip route; se verific funcionarea RIP cu sh ip protocols. Q12. Ce liter apare n faa unei reele nvate prin RIP, listat n tabela de rutare ? Q13. Pe R0, Apar reelele 192.168.1.64/26 i 192.168.1.128/26 n tabela de rutare? dac nu, ce apare n locul lor? Q14. Se verific cu sh running-config pe R1 cum arat linia network pentru reeaua 192.168.1.64. Ce s-a ntmplat? Se ncearc ping ntre oricare 2 noduri ale reelei. Se observ c nu funcioneaz n toate cazurile, ceea ce nseamn c RIP nu e configurat corect. Q15. Funcioneaz ping de pe R1 pe 192.168.1.129 ? de ce sau de ce nu ?

13

Facultatea de Electronic i Telecomunicaii Laborator Reele i Servicii

Laborator 2 rev 2

n acest caz, prin folosirea unui protocol classful, se cheam c RIP sumarizeaz rutele, adic combin toate rutele ctre subneturi ntr-o singur rut ctre netul corespunzator (adic un summary un net care este un rezumat al subneturilor sale). De exemplu, ruta ctre 192.168.1.64/26 este nlocuit cu 192.168.1.0/24. Aceasta constituie o problem major n cazul n care exist 2 subneturi ale aceluiai net, cum snt cele 2 subneturi reprezentate de lo1 de pe R1 i R2, i aceste subneturi snt ne-contingue (n cazul nostru, snt separate prin 2 alte neturi ataate lui R0). Se vizualizeaz pe R1 trimiterea de routing updates cu comanda debug ip rip. Q16. Ce reele trimite R1 intr-un update ? snt subneturile corecte? Ctre ce adres se trimite tabela de rutare? (vezi mesajele sending v1 update via...) Se oprete debugging-ul cu undebug all Dac cele 2 subneturi erau amndou ataate de exemplu lui R1, nu era nici o problem, pentru c prin sumarizare R1 anuna c tie o rut ctre 192.168.1.0/24, orice pachet ctre .33 sau .65 ajungea pe R1, i mai departe R1 distribuia pachetul ctre subnetul corect. n acest caz, sumarizarea ar fi constituit un avantaj, pentru ca n loc sa transmita updates despre 2 rute, R1 transmite despre o singur rut, reducnd tabela de rutare transmis vecinilor. Fr sumarizare, Internetul de azi nu ar putea funciona, tabelele de rutare devenind uriae! n cazul subneturilor necontingue ns, sumarizarea la limita de clas ofer informaia fals c cele 2 subneturi snt disponibile simultan pe R1 i R2. Se trece de la RIP v1 la RIP v2. Este posibil s se adauge pur i simplu liniile version 2 i no auto-summary n modul de configurare router rip; uneori ns, pot apare probleme n funcionare, de aceea calea cea mai sigur este: mai nti pe fiecare ruter se oprete protocolul RIP v1: Router(config)# no router rip Router(config)# CTRL-Z Se configureaz RIP v2 la fel ca v1, adugnd 2 linii n plus: Router(config)# router Router(config-router)# Router(config-router)# Router(config-router)# rip version 2 no auto-summary network ....

Observai comanda suplimentar no auto-summary. Aceasta nu este legat de diferena dintre v1 i v2 (dup cum spuneam, ruterele din Internet folosesc sumarizarea din plin), dar pe aceast topologie evident c nu dorim sumarizarea, datorit existenei subneturilor ne-contingue. Se vizualizeaz din nou cu sh running-config cum arat configurarea RIP. Se observ c, dei am dat comanda suplimentar, rutele snt artate tot sumarizate la limita de clas; aceasta este o restricie a lui RIP: chiar dac se va vedea c n tabela de rutare el le afieaza corect, la sh run comportamentul este neschimbat. Se vizualizeaz tabela de rutare pe R1 cu sh ip route. Q17. Ce linie de pe ecran indic efectul comenzii no auto-summary? 14

Facultatea de Electronic i Telecomunicaii Laborator Reele i Servicii

Laborator 2 rev 2

Se verific c acum e posibil de pe R1 s dm ping ctre toate destinaiile. Se vizualizeaz mesajele routing updates dintre rutere folosind debug ip rip. Q18. Scriei rutele trimise de R1 n routing updates observnd dac se respect mtile subneturilor. Ce semnific valoarea metric raportat pentru fiecare reea? Ctre ce adres trimite R1 tabela de rutare? (vezi mesajele sending v2 update via ....) Dei, n urma nvrii, fiecare ruter cunoate rutele ctre toate reelele, observai c ruterul R2 nu trimite ctre R0 reelele primite de la acesta din urm, ci numai propriile reele. Q19. Care e cauza acestui comportament? Q20. n cazul lui R1, trimite RIP updates prin toate interfeele? snt toate aceste updates necesare? care nu snt necesare? Se oprete debugging-ul cu undebug all. Q21. Verificai ping i ntre cele 2 PC-uri conectate la topologie. Funcioneaz? de ce? Se oprete trimiterea de updates pe acele interfee pe care nu snt conectate alte rutere ci doar PCuri (care nu ruleaz RIP deci oricum ignor updates) astfel: Router(config)# router rip Router(config-router)# passive-interface nume_interfa Se verific cu debug ip rip c nu se mai trimit updates pe acea interfa. Apoi se oprete din nou debugging-ul. Q22. Nu era mai simplu s oprim updates pe acea interfa, eliminnd network-ul corespunztor PCului din RIP? ce problem ar fi aprut n acest caz? Faza 4. Legarea topologiei la internet Se va simula internetul ca fiind o nou interfa loopback lo2, conectat la R2. Se configureaz aceast interfa cu adresa 172.30.1.1/24. Se configureaz reeaua interfeei respective ca default-network, adic reeaua n care se trimit toate pachetele pentru care nu exist destinaie explicit: R2(config)#ip default-network 172.30.1.0 Q23. Se verific pe R0 dac se poate da ping ctre 172.30.1.1. De ce sau de ce nu ? Q24. Se examineaz tabela de rutare de pe R0 folosind show ip route. Exist gateway of last resort (echivalent cu default gateway n Windows/Linux) ? Se configureaz R2 s anune ruta default ctre toate celelate rutere, astfel: R2(config)# router rip R2(config-router)# default-information originate

15

Facultatea de Electronic i Telecomunicaii Laborator Reele i Servicii

Laborator 2 rev 2

Q25. Se ateapt propagarea rutelor. Care snt cele dou linii afiate de sh ip route pe R0 care transmit informaii despre ruta default i ruterul respectiv? (gateway of last resort). Cu ce simbol este afiat (ca prefix) intrarea din tabela de rutare pentru ruta default? Q26. Incercai ping de pe R1 ctre internet (172.30.1.1). Funcioneaz? Explicai. Q27. Pe care dintre cele 3 rutere apare setat gateway of last resort, i pe care nu ? explicai ! Faza 5. Redistribuirea rutelor Pentru ca RIP s anune o rut, nu este nevoie neaprat ca aceasta s fie o rut definit cu network n configurarea sa, sau ruta default. n general, RIP poate anuna ctre vecinii si i rute nvate pe alte ci. Se numete redistribuire faptul c RIP distribuie mai departe o rut pe care el-nsui a nvat-o din alt surs (i nu prin configurare direct). Definim pe R2 o rut static oarecare: R2(config)# ip route 192.168.100.0 255.255.255.0 null0 Interfaa null0 nu exist i de aceea ruta nu va funciona, dar am creat-o doar pt. c dorim s vedem c se propag; instruim RIP s redistribuie rutele statice: R2(config)# router rip R2(config-router)# redistribute static Verificm acum pe R1 i R0 tabela de rutare. Q28: Ce nou rut a aprut ? Faza 6. Introducerea de restricii folosind ACL Pentru fazele care urmeaz, pentru a elimina ambiguitatea cii de urmat ntre 2 destinaii, n scopul unor configurri mai uoare ale ACL, se va elimina legtura direct ntre ruterele la care snt legate cele 2 PC-uri (seriala de jos ntre R1 i R2 pe fig. 3; modificai n funcie de topologia voastr). Oprii interfeele seriale respective cu shutdown, nu scoatei fizic cablul. Urmrii reactualizarea tabelei de rutare dintre R1 i R2 (dup timpul de convergen). Verificai c este n continuare posibil s dai ping ntre diferite destinaii care nu snt direct conectate. Este important s mearg ping acum, pentru ca atunci cnd testai ACL-urile, dac nu merge, tii sigur c e de la ACL, nu de la o configurare defectuoas. Q29: Definii i aplicai un ACL a.. s nu fie permis traficul de pe PC9x pe R2, tot restul fiind permis. Explicai cum ai fcut. Testai cu ping. Q30. Definii i aplicai un ACL a.. s nu fie permis traficul de pe R2/lo1 ctre R0, tot restul fiind permis. Explicai cum ai fcut. Testai cu ping. Ce fel de ping trebuie folosit? Q31. Folosind un ACL pus pe Telnet (cu access-class), permitei Telnet pe R2 doar de pe R1/lo1. Explicai cum ai fcut. Testai cu telnet. Ce comand prealabil trebuie dat pe R1 nainte de a testa?

16

Facultatea de Electronic i Telecomunicaii Laborator Reele i Servicii

Laborator 2 rev 2

Faza 7. Controlul anunrii reelelor n RIP prin ACL Considerm c PC9x (din stnga pe fig. 3) este privat i dorim s nu apar n internet ruta ctre reeaua n care este conectat PC9x, simulnd internetul ca fiind loopback1 de pe R2. Vom restriciona anunarea acestei reele de ctre R0 n routing updates ctre R2, i vom face teste cu ping de pe R2. (n prealabil eliminai cu no eventualele ACL care nu permit ping de pe R2 pe PC9x i verificai c este accesibil). Vom folosi un ACL standard care s restricioneze (deny) reeaua dintre PC9x i R1 n updates; vom boteza acest ACL 50. Folosind cuvntul-cheie distribute-list, vom introduce acest ACL n procesul RIP de pe R0, cu efect pe interfaa ctre R2 (cuvntul-cheie interface; Atenie: n funcie de versiunea de IOS, cuvntul-cheie poate lipsi, specificnd direct numele interfeei) Q32. Scriei comenzile cu care ai definit acest ACL i l-ai aplicat n RIP. tergei rutele de pe R2 folosind clear ip route * pentru a elimina rutele care exist deja; Q33. Ateptai actualizarea tabelei de rutare de pe R2; verificai n tabel dac mai exist ruta ctre PC9x. Mai funcioneaz ping? Verificai c mai funcioneaz ping de pe R0 pe PC9x, deci filtrarea nu a afectat procesul RIP ntre R0 i R1, ci doar ntre R0 i R2. Q34. Verificai i scriei ce updates trimite R0 ctre R2, folosind debug ip rip.

Pentru a lsa configuraia curat, se terge de pe fiecare ruter fiierul de configurare i se reseteaz ruterul: Router# erase start Router# reload i se rspunde no dac sntem ntrebai dac dorim s salvm configuraia.

17