Εργαστηριακές Ασκήσεις Δικτύων Η/Υ

Transcript

1 Αριστοτέλειο Πανεπιστήμιο Θεσσαλονίκης Πρόγραμμα Μεταπτυχιακών Σπουδών Τμήμα Πληροφορικής Εργαστηριακές Ασκήσεις Δικτύων Η/Υ Γούσια Πολυξένη Α.Μ. 175 Κατεύθυνση: Επικοινωνιακά Συστήματα και Τεχνολογίες Μεταπτυχιακή Διατριβή 2008

2 Εργαστηριακές Ασκήσεις με Cisco Routers 871W για προπτυχιακά μαθήματα με έμφαση στη διαχείριση και την ασφάλεια επικοινωνιακών συστημάτων. Γούσια Πολυξένη Α.Μ. 175 Τριμελής Επιτροπή Πομπόρτσης Άνδρεας: Καθηγητής Τμήματος Πληροφορικής Γεώργιος Παπαδημητρίου : Αναπληρωτής Καθηγητής Τμήματος Πληροφορικής Νικοπολιτίδης Πέτρος: Λέκτορας Τμήματος Πληροφορικής Περίληψη Στην παρούσα μεταπτυχιακή διατριβή εξετάζονται οι δυνατότητες των Cisco Router 871W όσον αφορά την διαχείριση και την ασφάλεια που μπορούν να προσφέρουν σε δικτυακά περιβάλλοντα. Αρχικά γίνεται μια περιγραφή των Cisco Router 871W, των δυνατοτήτων τους, του τρόπου σύνδεσης σε αυτά και τις γλώσσας IOS (γλώσσα εντολών CISCO για τη ρύθμιση του δρομολογητή) με τις βασικές εντολές που θα χρειαστούμε για την εκτέλεση των ασκήσεων. Έπειτα, από τη σύντομη γνωριμία με το υλικό και τη γλώσσα IOS ακολουθούν ασκήσεις πάνω στα θεματικά αντικείμενα που περιγράφηκαν παραπάνω. Για κάθε θεματικό αντικείμενο παρέχεται θεωρητική προσέγγιση ενώ στη συνέχεια ακολουθούν ασκήσεις όπου εφαρμόζονται σενάρια χρήσεων των τεχνολογιών που αναλύθηκαν παραπάνω. 2

3 Περιεχόμενα ΚΕΦΑΛΑΙΟ 1 Ο 1.1 ΕΙΣΑΓΩΓΗ CISCO 871W ΔΟΜΗ ΤΟΥ ΔΡΟΜΟΛΟΓΗΤΗ ΣΥΝΔΕΣΗ ΜΕ ΤΟ ΔΡΟΜΟΛΟΓΗΤΗ ΒΑΣΙΚΕΣ ΕΝΤΟΛΕΣ ΔΙΑΧΕΙΡΙΣΗΣ...21 Χρήση βοήθειας...21 Χρήση διασωλήνωσης...21 Εμφάνιση πληροφοριών...21 Εντολές Διαχείρισης...22 ΒΙΒΛΙΟΓΡΑΦΙΑ...23 ΗΛΕΚΤΡΟΝΙΚΕΣ ΠΗΓΕΣ...23 ΚΕΦΑΛΑΙΟ 2 Ο ROUTER CONFIGURATION 2.1 ΕΙΣΑΓΩΓΗ ΕΙΔΗ ΜΝΗΜΗΣ INTERFACES INTERNETWORK OPERATING SYSTEM (IOS) CONFIGURATION FILES ROUTER LOGGING ΡΥΘΜΙΣΗ ΤΟΥ ΔΡΟΜΟΛΟΓΗΤΗ ΜΕΣΩ ΤΟΥ CONSOLE PORT ΠΑΡΑΔΕΙΓΜΑΤΑ ΧΡΗΣΗΣ ΤΩΝ ΕΝΤΟΛΩΝ ΆΣΚΗΣΗ ΛΥΣΗ...38 ΚΕΦΑΛΑΙΟ 3 Ο ΔΙΕΥΘΕΤΗΣΗ ΜΕΤΑΓΩΓΕΑ CATALYST

4 3.1 ΠΡΟΕΠΙΛΕΓΜΕΝΕΣ ΡΥΘΜΙΣΕΙΣ ΔΙΕΥΘΕΤΗΣΗΣ ΓΙΑ ΤΟ ΜΕΤΑΓΩΓΕΑ CATALYST ΔΙΕΥΘΕΤΗΣΗ ΤΟΥ ΜΕΤΑΓΩΓΕΑ CATALYST ΔΙΕΥΘΕΤΗΣΗ ΔΙΕΥΘΥΝΣΗΣ IP, ΜΑΣΚΑΣ ΥΠΟΔΙΚΤΥΟΥ, ΚΑΙ ΠΡΟΕΠΙΛΕΓΜΕΝΗΣ ΠΥΛΗΣ ΔΙΚΤΥΟΥ ΣΕ ΜΕΤΑΓΩΓΕΑ CATALYST ΔΙΕΥΘΕΤΗΣΗ ΑΜΦΙΔΡΟΜΗΣ ΚΑΤΑΣΤΑΣΗΣ ΛΕΙΤΟΥΡΓΙΑΣ ΣΕ ΔΙΑΣΥΝΔΕΣΗ ΜΕΤΑΓΩΓΕΑ CATALYST ΔΙΕΥΘΥΝΣΕΙΣ MAC ΚΑΙ ΔΙΑΣΥΝΔΕΣΕΙΣ ΘΥΡΩΝ ΜΕΤΑΓΩΓΕΑ CATALYST ΜΟΝΙΜΕΣ ΔΙΕΥΘΥΝΣΕΙΣ MAC ΔΙΕΥΘΕΤΗΣΗ VLAN TRUNKING PROTOCOL (VTP) ΚΑΙ ΕΙΚΟΝΙΚΩΝ ΤΟΠΙΚΩΝ ΔΙΚΤΥΩΝ (VLAN) ΔΙΕΥΘΕΤΗΣΗ ΑΣΦΑΛΕΙΑΣ ΘΥΡΑΣ ΣΕ ΜΕΤΑΓΩΓΕΑ CATALYST ΔΙΕΥΘΕΤΗΣΗ ΓΡΑΜΜΗΣ ΖΕΥΞΗΣ ΔΙΕΥΘΕΤΗΣΗ ΚΑΙ ΠΡΟΣΘΗΚΗ VLAN ΈΛΕΓΧΟΣ VLAN Η ΤΡΟΠΟΠΟΙΗΣΗ ΠΑΡΑΜΕΤΡΩΝ VLAN ΕΜΦΑΝΙΣΗ ΚΑΤΑΣΤΑΣΗΣ ΔΙΕΥΘΕΤΗΣΗΣ ΠΡΩΤΟΚΟΛΛΟΥ ΣΥΝΔΕΤΙΚΟΥ ΔΕΝΔΡΟΥ ΕΜΦΑΝΙΣΗ ΠΛΗΡΟΦΟΡΙΩΝ ΜΕΤΑΓΩΓΕΑ IOS ΔΙΑΧΕΙΡΙΣΗ ΑΡΧΕΙΩΝ ΔΙΕΥΘΕΤΗΣΗΣ ΜΕΤΑΓΩΓΕΑ ΣΥΝΟΨΗ ΕΝΤΟΛΩΝ ΜΕΤΑΓΩΓΕΑ CATALYST ΒΙΒΛΙΟΓΡΑΦΙΑ...62 ΗΛΕΚΤΡΟΝΙΚΕΣ ΠΗΓΕΣ...62 ΚΕΦΑΛΑΙΟ 4 Ο STATIC ROUTING 4.1 ΕΙΣΑΓΩΓΗ ΣΤΑΤΙΚΗ ΔΡΟΜΟΛΟΓΗΣΗ (STATIC ROUTING) ΆΣΚΗΣΗ ΛΥΣΗ...67 ΚΕΦΑΛΑΙΟ 5 Ο DYNAMIC ROUTING 5.1 ΕΙΣΑΓΩΓΗ ΑΛΓΟΡΙΘΜΟΙ ΔΡΟΜΟΛΟΓΗΣΗΣ (ROUTING ALGORITHMS) ROUTING INFORMATION PROTOCOL (RIP) ΡΥΘΜΙΣΗ ΤΟΥ ΠΡΩΤΟΚΟΛΛΟΥ RIP OSPF (OPEN SHORTEST PATH FIRST) ΡΥΘΜΙΣΗ ΤΟΥ ΠΡΩΤΟΚΟΛΛΟΥ OSPF

5 5.5 ΣΥΓΚΡΙΣΗ RIP V OSPF RIP OSPF ΆΣΚΗΣΗ ΛΥΣΗ ΆΣΚΗΣΗ ΛΥΣΗ...79 ΚΕΦΑΛΑΙΟ 6 Ο OPEN SHORTEST PATH FIRST 6.1 ΕΙΣΑΓΩΓΗ OSPF ΣΕΝΑΡΙΟ ΆΣΚΗΣΗΣ ΚΑΤΑΣΚΕΥΗ ΚΑΙ ΡΥΘΜΙΣΗ ΔΙΚΤΥΟΥ ΡΎΘΜΙΣΗ LOOPBACK ΡΎΘΜΙΣΗ OSPF ΈΛΕΓΧΟΣ ΟΡΘΟΤΗΤΑΣ, ΣΥΛΛΟΓΗ ΠΛΗΡΟΦΟΡΙΩΝ ΡΥΘΜΙΣΗ ΧΡΟΝΟΜΕΤΡΗΤΩΝ ΑΣΦΑΛΕΙΑ ΑΥΘΕΝΤΙΚΟΠΟΙΗΣΗ ΤΡΟΠΟΠΟΙΗΣΗ ΠΡΟΤΕΡΑΙΟΤΗΤΑΣ ΤΟΥ ΔΡΟΜΟΛΟΓΗΤΗ OSPF ΑΛΛΑΓΗ ΠΡΟΚΑΘΟΡΙΣΜΕΝΟΥ ΚΟΣΤΟΥΣ...95 ΒΙΒΛΙΟΓΡΑΦΙΑ...97 ΗΛΕΚΤΡΟΝΙΚΕΣ ΠΗΓΕΣ...97 ΚΕΦΑΛΑΙΟ 7 Ο HIERARCHICAL ROUTING MULTIAREA OSPF 7.1 ΣΕΝΑΡΙΟ ΆΣΚΗΣΗΣ ΚΑΤΑΣΚΕΥΗ ΚΑΙ ΡΥΘΜΙΣΗ ΔΙΚΤΥΟΥ ΡΥΘΜΙΣΗ LOOPBACK ΡΥΘΜΙΣΗ MULTIAREA OSPF ΈΛΕΓΧΟΣ ΟΡΘΟΤΗΤΑΣ, ΣΥΛΛΟΓΗ ΠΛΗΡΟΦΟΡΙΩΝ ΡΥΘΜΙΣΗ TOTALLY STUBBY AREA ΒΙΒΛΙΟΓΡΑΦΙΑ ΗΛΕΚΤΡΟΝΙΚΕΣ ΠΗΓΕΣ ΚΕΦΑΛΑΙΟ 8 Ο SUBNETTING 5

6 8.1. ΕΙΣΑΓΩΓΗ ΠΑΡΑΔΕΙΓΜΑΤΑ ΥΠΟΔΙΚΤΥΩΣΗΣ ΆΣΚΗΣΗ ΛΥΣΗ ΒΙΒΛΙΟΓΡΑΦΙΑ ΚΕΦΑΛΑΙΟ 9 Ο ΔΙΑΜΟΡΦΩΣΗ ΕΝΟΣ VLAN 9.1 ΔΙΑΜΟΡΦΩΣΗ ΕΝΟΣ VLAN ΕΚΧΩΡΗΣΗ ΘΥΡΩΝ ΣΤΑ ΔΙΑΦΟΡΑ VLANS ΔΙΕΥΘΕΤΗΣΗ INTER VLAN ROUTING ΒΙΒΛΙΟΓΡΑΦΙΑ ΗΛΕΚΤΡΟΝΙΚΕΣ ΠΗΓΕΣ ΚΕΦΑΛΑΙΟ 10 Ο NAT 10.1 ΕΙΣΑΓΩΓΗ ΝΑΤ ΣΕΝΑΡΙΟ ΆΣΚΗΣΗΣ ΚΑΤΑΣΚΕΥΗ ΚΑΙ ΡΥΘΜΙΣΗ ΔΙΚΤΥΟΥ ΑΡΧΙΚΕΣ ΣΤΑΤΙΚΕΣ ΔΙΑΔΡΟΜΕΣ ΔΗΜΙΟΥΡΓΙΑ ACCESS CONTROL LIST ΣΤΑΤΙΚΗ ΝΑΤ ΔΥΝΑΜΙΚΗ ΝΑΤ ΔΙΑΣΥΝΔΕΣΕΙΣ ΝΑΤ ΈΛΕΓΧΟΣ ΟΡΘΟΤΗΤΑΣ ΚΑΘΑΡΙΣΜΟΣ ΤΟΥ ΠΙΝΑΚΑ ΝΑΤ ΕΠΑΝΑΦΟΡΑ ΡΥΘΜΙΣΕΩΝ OVERLOADING NAT (PAT) ΈΛΕΓΧΟΣ ΟΡΘΟΤΗΤΑΣ ΠΡΟΩΘΗΣΗ ΘΥΡΑΣ ΈΛΕΓΧΟΣ ΟΡΘΟΤΗΤΑΣ ΒΙΒΛΙΟΓΡΑΦΙΑ ΗΛΕΚΤΡΟΝΙΚΕΣ ΠΗΓΕΣ ΚΕΦΑΛΑΙΟ 11 Ο IPV6 6

7 11.2 IPV6 ΤΡΟΠΟΣ ΔΙΕΘΕΤΗΣΗΣ ΛΙΣΤΑ ΧΡΗΣΙΜΟΠΟΙΟΥΜΕΝΩΝ ΕΝΤΟΛΩΝ ΚΕΦΑΛΑΙΟ 12 Ο ΑΣΦΆΛΕΙΑ FIREWALLS 12.1 ΕΙΣΑΓΩΓΗ ΤΕΧΝΟΛΟΓΙΕΣ FIREWALL PACKET FILTERING Πληροφορίες Φιλτραρίσματος Πλεονεκτήματα των Packet Filtering Firewalls Περιορισμοί των Packet Filtering Firewalls APPLICATION GATEWAY FIREWALLS (AGFS) PROXIES Κατηγορίες των Application Gateway Firewalls Connection Gateway Firewalls Cut Through Proxy Firewalls Πλεονεκτήματα των Application Gateway Firewalls Μειονεκτήματα των Application Gateway Firewalls STATEFUL INSPECTION Πλεονεκτήματα των Stateful Firewalls Μειονεκτήματα των Stateful Firewalls CISCO IOS SOFTWARE ΑΣΚΗΣΕΙΣ ΣΕΝΑΡΙΟ ΤΟΠΟΛΟΓΙΑ ΕΡΓΑΛΕΙΑ ΠΗΓΕΣ ΛΙΣΤΑ ΕΝΤΟΛΩΝ IOS ΠΟΥ ΘΑ ΧΡΕΙΑΣΤΟΥΜΕ ΆΣΚΗΣΗ 1Η. ΑΥΤΟΜΑΤΕΣ ΡΥΘΜΙΣΕΙΣ ΓΙΑ ΤΟ ΤΕΙΧΟΣ ΠΡΟΣΤΑΣΙΑΣ ΆΣΚΗΣΗ 2Η. ΔΗΜΙΟΥΡΓΙΑ ΚΑΙ ΧΡΗΣΗ ΛΙΣΤΩΝ ΠΡΟΣΒΑΣΗΣ (ACLS) ΜΕ ΒΑΣΗ ΤΟ ΠΕΡΙΕΧΟΜΕΝΟ (CONTEXT BASED) ΆΣΚΗΣΗ 3Η. ΠΡΟΣΤΑΣΙΑ ΑΠΟ ΕΠΙΚΙΝΔΥΝΑ JAVA APPLETS ΆΣΚΗΣΗ 4Η. ΠΡΟΣΤΑΣΙΑ ΑΠΟ ΕΠΙΘΕΣΕΙΣ ΆΡΝΗΣΗΣ ΥΠΗΡΕΣΙΑΣ (DOS) (CISCO 7200 SERIES) ΒΙΒΛΙΟΓΡΑΦΙΑ ΗΛΕΚΤΡΟΝΙΚΕΣ ΠΗΓΕΣ ΚΕΦΑΛΑΙΟ 13 Ο INTRUSION PREVENTION SYSTEM IPS 13.1 ΕΙΣΑΓΩΓΗ ΤΥΠΟΙ ΕΠΙΘΕΣΕΩΝ ΕΠΙΘΕΣΕΙΣ ΑΝΑΓΝΩΡΙΣΗΣ ΕΠΙΘΕΣΕΙΣ ΠΡΟΣΒΑΣΗΣ ΕΠΙΘΕΣΕΙΣ ΆΡΝΗΣΗΣ ΥΠΗΡΕΣΙΑΣ (DENIAL OF SERVICE (DOS) ATTACKS)

8 13.3 ΥΛΟΠΟΙΗΣΕΙΣ IPS ΔΙΚΤΥΑΚΗ ΥΛΟΠΟΙΗΣΗ ΥΛΟΠΟΙΗΣΗ ΣΕ ΣΤΑΘΜΟ ΕΡΓΑΣΙΑΣ ΜΕΘΟΔΟΛΟΓΙΕΣ ΥΛΟΠΟΙΗΣΗΣ ΤΟΥ IPS ΠΡΟΦΙΛ (PROFILES) ΥΠΟΓΡΑΦΕΣ (SIGNATURES) IPS ΥΠΟΓΡΑΦΕΣ ΥΛΟΠΟΙΗΣΕΙΣ ΥΠΟΓΡΑΦΩΝ ΔΟΜΗ ΥΠΟΓΡΑΦΩΝ ΒΑΣΙΚΗ ΚΑΤΗΓΟΡΙΟΠΟΙΗΣΗ Πίνακας 3 1. Κατηγοριοποίηση υπογραφών Cisco Η ΔΙΑΔΙΚΑΣΙΑ IPS ΘΕΜΑΤΑ ΑΠΟΔΟΣΗΣ ΜΝΗΜΗΣ ΆΣΚΗΣΗ ΣΕΝΑΡΙΟ ΤΟΠΟΛΟΓΙΑ ΕΡΓΑΛΕΙΑ ΠΗΓΕΣ ΛΙΣΤΑ ΕΝΤΟΛΩΝ IOS ΠΟΥ ΘΑ ΧΡΕΙΑΣΤΟΥΜΕ ΒΗΜΑ 1. ΕΝΕΡΓΟΠΟΙΗΣΗ ΤΟΥ IPS ΣΤΟ ΔΡΟΜΟΛΟΓΗΤΗ ΒΗΜΑ 2. ΦΟΡΤΩΣΗ ΥΠΟΓΡΑΦΩΝ ΒΗΜΑ 3. ΣΥΓΧΩΝΕΥΣΗ ΤΟΥ ΑΡΧΕΙΟΥ ΥΠΟΓΡΑΦΩΝ ATTACK DROP.SDF ΜΕ ΤΟ ΠΡΟΚΑΘΟΡΙΣΜΕΝΟ ΑΡΧΕΙΟ ΥΠΟΓΡΑΦΩΝ ΒΗΜΑ 4. ΕΠΑΛΗΘΕΥΣΗ ΤΩΝ ΡΥΘΜΙΣΕΩΝ ΒΗΜΑ 5. ΔΗΜΙΟΥΡΓΙΑ ΚΑΙ ΚΑΤΑΓΡΑΦΗ ΜΗΝΥΜΑΤΟΣ ΒΙΒΛΙΟΓΡΑΦΙΑ ΗΛΕΚΤΡΟΝΙΚΕΣ ΠΗΓΕΣ ΚΕΦΑΛΑΙΟ 14 Ο IPSEC 14.1 ΕΙΣΑΓΩΓΗ IPSEC ΠΡΩΤΟΚΟΛΛΟ AH ΠΡΩΤΟΚΟΛΛΟ ESP ΚΡΥΠΤΟΓΡΑΦΗΣΗ ΔΕΔΟΜΕΝΩΝ INTERNET KEY EXCHANGE (IKE) ΚΑΤΑΣΤΑΣΕΙΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΟΥ IPSEC ΆΣΚΗΣΗ. ΡΥΘΜΙΣΗ ΤΟΥ IPSEC ΣΕΝΑΡΙΟ ΤΟΠΟΛΟΓΙΑ

9 ΕΡΓΑΛΕΙΑ ΠΗΓΕΣ ΛΙΣΤΑ ΕΝΤΟΛΩΝ IOS ΠΟΥ ΘΑ ΧΡΕΙΑΣΤΟΥΜΕ ΒΗΜΑ 1. ΠΡΟΕΤΟΙΜΑΣΙΑ ΓΙΑ ΝΑ ΡΥΘΜΙΣΟΥΜΕ ΤΗΝ ΥΠΟΣΤΗΡΙΞΗ ΓΙΑ VPN ΒΗΜΑ 2. ΡΥΘΜΙΣΕΙΣ ΠΑΡΑΜΕΤΡΩΝ ΓΙΑ ΤΟ IKE ΒΗΜΑ 3. ΡΥΘΜΙΣΗ ΤΩΝ ΠΑΡΑΜΕΤΡΩΝ ΤΟΥ IPSEC ΒΗΜΑ 4. ΕΠΑΛΗΘΕΥΣΗ ΚΑΙ ΔΟΚΙΜΗ ΤΩΝ IPSEC ΡΥΘΜΙΣΕΩΝ ΒΗΜΑ 5. ΡΥΘΜΙΣΤΕ ΚΑΛΥΤΕΡΑ ΤΗΝ CRYPTO ACL(ΠΡΟΑΙΡΕΤΙΚΟ) ΒΙΒΛΙΟΓΡΑΦΙΑ ΗΛΕΚΤΡΟΝΙΚΕΣ ΠΗΓΕΣ ΚΕΦΑΛΑΙΟ 15 Ο SNMP 15.1 ΕΙΣΑΓΩΓΗ ΣΤΑΘΜΟΣ ΔΙΑΧΕΙΡΙΣΗΣ ΔΙΚΤΥΟΥ (NMS) ΔΙΑΧΕΙΡΙΖΟΜΕΝΕΣ ΣΥΣΚΕΥΕΣ ΒΑΣΗ ΔΙΑΧΕΙΡΙΣΗΣ ΠΛΗΡΟΦΟΡΙΑΣ (ΜΙΒ) Η ΛΕΙΤΟΥΡΓΙΑ ΤΟΥ ΠΡΩΤΟΚΟΛΛΟΥ ΠΛΕΟΝΕΚΤΗΜΑΤΑ ΤΟΥ SNMP ΜΕΙΟΝΕΚΤΗΜΑΤΑ ΤΟΥ SNMP SNMP ΚΑΙ CISCO IOS ΆΣΚΗΣΗ ΣΕΝΑΡΙΟ ΤΟΠΟΛΟΓΙΑ ΕΡΓΑΛΕΙΑ ΠΗΓΕΣ ΛΙΣΤΑ ΕΝΤΟΛΩΝ IOS ΠΟΥ ΘΑ ΧΡΕΙΑΣΤΟΥΜΕ ΒΗΜΑ 1. ΑΝΟΙΓΟΥΜΕ ΤΟΝ KIWI SYSLOG ΒΗΜΑ 2. ΕΝΕΡΓΟΠΟΙΗΣΤΕ ΤΟ SNMP COMMUNITY STRING ΒΗΜΑ 3. ΚΑΤΑΧΩΡΗΣΤΕ ΠΛΗΡΟΦΟΡΙΕΣ ΓΙΑ ΤΗΝ ΕΠΙΚΟΙΝΩΝΙΑ ΜΕ ΤΟΝ SNMP AGENT ΒΗΜΑ 4. ΡΥΘΜΙΣΤΕ ΤΟ ΔΡΟΜΟΛΟΓΗΤΗ ΝΑ ΑΠΟΣΤΕΛΛΕΙ TRAPS ΣΕ ΕΝΑ ΣΤΑΘΜΟ ΒΗΜΑ 5. ΔΟΚΙΜΑΣΤΕ ΤΙΣ ΡΥΘΜΙΣΕΙΣ ΒΗΜΑ 6. ΠΕΡΙΟΡΙΣΤΕ ΤΗ ΧΡΗΣΗ ΤΟΥ SNMP ΣΤΟΝ ΕΣΩΤΕΡΙΚΟ SERVER ΒΗΜΑ 7. ΑΠΕΝΕΡΓΟΠΟΙΗΣΗ SNMP TRAPS ΒΗΜΑ 8. ΑΠΕΝΕΡΓΟΠΟΙΗΣΗ SNMP ΚΑΙ ΣΧΕΤΙΖΟΜΕΝΩΝ ΛΙΣΤΩΝ ΠΡΟΣΒΑΣΗΣ ΒΙΒΛΙΟΓΡΑΦΙΑ ΗΛΕΚΤΡΟΝΙΚΕΣ ΠΗΓΕΣ ΠΑΡΆΡΤΗΜΑ 9

10 Α. ΕΓΚΑΤΑΣΤΑΣΗ IOS Β. ΑΠΟΘΗΚΕΥΣΗ ΤΟΥ IOS ΣΕ PC

11 Κεφάλαιο 1 ο Εισαγωγή Cisco Router 871W Δομή Δυνατότητες Σύνδεση Επικοινωνία Γλώσσα Επικοινωνίας IOS 11

12 12

13 1.1 Εισαγωγή Στο κεφάλαιο αυτό θα μελετήσουμε το υλικό που παρέχεται στο εργαστήριο και τις δυνατότητές του, ενώ στη συνέχεια θα εξετάσουμε το λογισμικό που τα συνοδεύει, ένα λειτουργικό σύστημα με πολλές δυνατότητες γνωστό ως IOS Internetworking Operating System. Το λογισμικό IOS των δρομολογητών Cisco είναι υπεύθυνο για : Την υποστήριξη δικτυακών λειτουργιών και πρωτοκόλλων Διασυνδέσεις υψηλών ταχυτήτων μεταξύ συσκευών Την προσθήκη υπηρεσιών ασφαλείας για τον έλεγχο πρόσβασης και την προστασία από προσπάθειες αναρμόδιας χρήσης Την παροχή δυνατοτήτων κλιμάκωσης για την επέκταση υπαρχόντων δικτύων Τη δημιουργία αξιόπιστων δικτύων για τη διασύνδεση με δικτυακούς πόρους Για την εξοικείωση με το υλικό και τη διαχείριση του, θα δοθούν παραδείγματα διασύνδεσης με αυτό καθώς και βασικές εντολές του IOS και συντομεύσεις που θα βοηθήσουν στη κατανόηση του τρόπου λειτουργίας και θα κάνουν ευκολότερη την κατανόηση των ασκήσεων των επόμενων κεφαλαίων. 13

14 1.2 Cisco 871W Η σειρά 871W της Cisco έχει τα παρακάτω χαρακτηριστικά Μνήμη RAM: 128 MB (εγκατεστημένη) / 256 MB (μέγιστη) Flash Memory: 24 MB (εγκατεστημένη) / 52 MB (μέγιστη) Επεκτάσεις / Διασυνδέσεις 4 δικτυακές θύρες Ethernet 10Base T/100Base TX RJ 45 (LAN) 1 δικτυακή θύρα Ethernet 10Base T/100Base TX RJ 45 ( WAN ) 2 Hi Speed USB 4 PIN USB Type A Ethernet (wireless) 1 θύρα διαχείρισης μέσω κονσόλας RJ 45 Δικτύωση Δυνατότητες: Τείχος προστασίας (Firewall), υποστήριξη DHCP, Ιδεατά ιδιωτικά Δίκτυα (VPN), Υποστήριξη ιδεατών τοπικών δικτύων (VLAN), auto uplink (auto MDI/MDI X), manageable, Υποστήριξη για IPv6 και Intrusion Prevention System (IPS) Τεχνολογία διασύνδεσης: Ασύρματη Ενσύρματη Πρωτόκολλα επιπέδου σύνδεσης δεδομένων (Data Link): Ethernet, Fast Ethernet, IEEE b, IEEE g Πρωτόκολλα επιπέδων δικτύωσης / μεταφοράς: PPTP, L2TP, IPSec, PPPoE, PPPoA Υποστηριζόμενα πρότυπα: IEEE b, IEEE g, IEEE 802.1x, Wi Fi CERTIFIED Ταχύτητα μεταφοράς δεδομένων: 54 Mbps (ασύρματο) Απομακρυσμένη διαχείριση: SNMP, Telnet, HTTP Μεταγωγή: Ethernet Πρωτόκολλα δρομολόγησης: RIP 1, RIP 2 Συχνότητα λειτουργίας: 2.4 GHz 14

15 Διάφορα Συμμόρφωση με τα παρακάτω πρότυπα : EN 60950, IEC , IEC , IEC , IEC , IEC , IEC , IEC , IEC , IEC950, VCCI II, EN55022 Class B, ICES 003 Class B, AS/NZ 3548 Class B, AS/NZS 3260, FCC Part 68, CS 03, UL 1950 Third Edition, EN Αλγόριθμοι κρυπτογράφησης: LEAP, Triple DES, AES, TLS, PEAP, TKIP, WPA PSK 1.3 Δομή του δρομολογητή Για να μπορέσουμε να διαμορφώσουμε εσωτερικά το δρομολογητή είναι απαραίτητο να γνωρίζουμε την εσωτερική δομή του, τα βασικά συστατικά από τα οποία αποτελείται καθώς και για ποιες εργασίες είναι υπεύθυνο το καθένα. Ένας δρομολογητής Cisco μπορεί να χαρακτηρισθεί ως ένας ειδικού σκοπού υπολογιστής. Έχει το δικό του λειτουργικό σύστημα που ονομάζεται IOS από τις λέξεις Internetwork Operating System (IOS), και επιπλέον έχει το δικό του σύστημα αρχείων ενώ υποστηρίζει καταλόγους και αρχεία. Για το λόγο αυτό γίνεται και αυτή η εισαγωγή ώστε να δοθούν οι απαραίτητες κατευθύνσεις για την καλύτερη διαχείριση του δρομολογητή. Για την αποθήκευση των πληροφοριών οι δρομολογητές της Cisco χρησιμοποιούν μνήμη flash αντί για σκληρούς δίσκους. Η μνήμη αυτή είναι αρκετά πιο ακριβή και πιο αργή ως μέσο αποθήκευσης, ωστόσο το μέγεθος των δεδομένων που χρειάζεται να αποθηκευτούν είναι σχετικά πολύ μικρό σε σχέση με ένα γενικού σκοπού ηλεκτρονικού υπολογιστή. Πλεονέκτημα για τη μνήμη Flash αποτελεί η αξιοπιστία και η διάρκεια ζωής σε σχέση με τους σκληρούς δίσκους. Η αποθήκευση στη μνήμη Flash είναι παρόμοια με αυτή της RAM (Random Access Memory), με τη διαφορά ότι δε χρειάζεται ρεύμα για να διατηρήσει τις πληροφορίες και αντίθετα με τη μνήμη ROM (Read Only Memory), μπορείς να τη σβήσεις και να την ξαναεγγράψεις. Τεχνικά υπάρχουν και άλλα παρόμοια είδη μνήμης όπως η EPROM (Erasable Programmable Read Only Memory) και η EEPROM (Electronically Erasable Programmable Read Only Memory). Η EPROM δεν είναι κατάλληλη για τους δρομολογητές επειδή συνήθως χρειάζεται μια εξωτερική συσκευή συνήθως υπεριώδους φωτός για να σβήσει το chip. Η EEPROM, από την άλλη πλευρά δεν μπορεί να κάνει επιλεκτική διαγραφή αλλά σβήνει όλα τα περιεχόμενα της. Η μνήμη Flash είναι μια ειδικού τύπου EEPROM με τα πλεονεκτήματα που αναφέραμε και κατασκευάζεται από την Intel. Σε κάθε δρομολογητή Cisco υπάρχουν τουλάχιστο δύο κύρια αποθηκευτικά μέσα μη προσωρινής αποθήκευσης. Το configuration του δρομολογητή αποθηκεύεται σε μια συσκευή που ονομάζεται NVRAM (Nonvolatile RAM), ενώ το IOS αποθηκεύεται σε μια 15

16 συσκευή που ονομάζεται flash. Είναι σημαντικό να γίνει διαχωρισμός ανάμεσα στα δυο μέσα μια και τα δυο χρησιμοποιούν την ίδια τεχνολογία αποθήκευσης (μνήμη flash). Στους περισσότερους δρομολογητές Cisco, η NVRAM περιοχή είναι μεταξύ 16 Kb και 256 Kb και εξαρτάται από το μέγεθος του δρομολογητή αφού μεγαλύτεροι δρομολογητές έχουν συνήθως μεγαλύτερα configuration και χρειάζονται περισσότερη NVRAM. Από την άλλη η μνήμη Flash, είναι αναβαθμίσιμη και μπορεί να έχει μέγεθος μερικές εκατοντάδες Megabytes. Σε κάθε δρομολογητή στην πραγματικότητα υπάρχουν δύο αρχεία ρυθμίσεων (configuration files). Το ένα περιγράφει την τρέχουσα κατάσταση του δρομολογητή και ονομάζεται running config. Ότι αλλαγές κάνουμε σε ρυθμίσεις αυτές αποθηκεύονται στο running config. Το άλλο αρχείο ρυθμίσεων είναι αυτό που χρησιμοποιεί ο δρομολογητής για να εκκινήσει και ονομάζεται startup config. Μόνο το startup config βρίσκεται αποθηκευμένο στην NVRAM (το running config βρίσκεται στη RAM). Για το λόγο αυτό είναι σημαντικό να ελέγχουμε περιοδικά αν τα δύο configuration είναι συγχρονισμένα. Τα δύο configuration μπορούν να συγχρονιστούν με μια απλή αντιγραφή του running config στο αρχείο startup config: Router1# copy running config startup config Ο δρομολογητής χρησιμοποιεί τη μεγαλύτερη μονάδα αποθήκευσης που έχει (Flash) για την αποθήκευση του λειτουργικού του συστήματος IOS. Αντίθετα με άλλα λειτουργικά συστήματα, το IOS αποτελείται από ένα μοναδικό αρχείο τύπου εικόνας που περιέχει όλη τη λειτουργικότητα τα χαρακτηριστικά και τις εντολές που είναι διαθέσιμες στο δρομολογητή. Υπάρχουν διαφορετικές εκδόσεις του IOS που υποστηρίζουν διαφορετικά σετ εντολών. Κάθε δρομολογητής έρχεται συνήθως με την πιο απλή έκδοση IOS που όμως είναι υπεραρκετή για τις περισσότερες και συνηθέστερες χρήσεις. Το IOS μπορεί να προμηθευτεί κανείς από τη Cisco ανάλογα με το είδος συμβολαίου που έχει συνάψει με την εταιρεία. 16

17 Σχήμα 1 1. Λογισμικό IOS και υπηρεσίες υποστήριξης Η αναβάθμιση του IOS σε ένα δρομολογητή γίνεται πρακτικά με τη διαγραφή της εικόνας του IOS από τη μνήμη Flash και την αποθήκευση της νέας εικόνας. Οι κυριότεροι λόγοι που το επιβάλουν αυτό είναι το υποστηριζόμενο σετ εντολών τις κάθε έκδοσης. Για παράδειγμα για την υποστήριξη του IPS (Intrusion Prevention System) χρειάστηκε να εγκατασταθεί το Advanced IP Services (Ο τρόπος εγκατάστασης περιγράφεται στο παράρτημα). Ωστόσο πριν κάνουμε οτιδήποτε είναι απαραίτητο να ελέγξουμε αν ο δρομολογητής έχει την απαραίτητη μνήμη για να αποθηκεύσει το αρχείο εικόνας του IOS. Ο έλεγχος της έκδοσης και της διαθέσιμης μνήμης γίνεται με την εντολή Router1# show version Επιπλέον είναι απαραίτητο να γνωρίζετε ότι σε περίπτωση που κάτι δεν πάει καλά με την αναβάθμιση (π.χ. διακοπή ρεύματος) υπάρχει αποθηκευμένο στη ROM ένα μικρό IOS μέσω του οποίου μπορεί να ανοιχτεί μια εξωτερική διασύνδεση και να γίνει η αντιγραφή του αρχείου εικόνας του IOS στη μνήμη flash. Γενικότερα η μνήμη ROM αποτελείται από τρία μέρη: το πρόγραμμα POST (power on self test) για το έλεγχο κατά την εκκίνηση τον βασικών δυνατοτήτων λειτουργιών του υλικού του δρομολογητή το πρόγραμμα bootstrap που εκκινεί το δρομολογητή και μια μικρή έκδοση του IOS. 17

18 Κατά την εκκίνηση του δρομολογητή αρχικά φορτώνεται το πρόγραμμα POST και γίνονται οι απαραίτητοι έλεγχοι, στη συνέχεια φορτώνεται το bootstrap και τέλος το IOS Στον πίνακα που ακολουθεί φαίνονται τα αυτά τα βασικά συστατικά ενός δρομολογητή και δίνεται μια σύντομη περιγραφή για τη λειτουργία τους. Component Bootstrap Power on self test (POST) ROM monitor Mini IOS Random access memory (RAM) Read only memory (ROM) Flash memory Nonvolatile RAM (NVRAM) Configuration register Περιγραφή Βρίσκεται αποθηκευμένο στο μικροκώδικα της ROM. Εκκινεί το δρομολογητή και στη συνέχεια φορτώνει το IOS. Βρίσκεται αποθηκευμένο στο μικροκώδικα της ROM, το POST χρησιμοποιείται για το έλεγχο κατά την εκκίνηση τον βασικών δυνατοτήτων λειτουργιών του υλικού του δρομολογητή και καθορίζει ποιες διασυνδέσεις (interfaces) είναι διαθέσιμες. Βρίσκεται αποθηκευμένο στο μικροκώδικα της ROM και χρησιμοποιείται για έλεγχο, εντοπισμό και αντιμετώπιση των σφαλμάτων. Ονομάζεται και RXBOOT από τη Cisco, είναι ένα μικρό IOS που βρίσκεται στη ROM και μπορεί να χρησιμοποιηθεί για να ανοίξει μια διασύνδεση και να φορτώσει ένα IOS στη μνήμη flash. Επίσης μπορεί να χρησιμοποιηθεί και για ορισμένες άλλες λειτουργίες συντήρησης. Χρησιμοποιείται για την αποθήκευση τον πινάκων δρομολόγησης, ως ενδιάμεση μνήμη για πακέτα, ως ARP cache, καθώς και για την αποθήκευση του λογισμικού και των δομών δεδομένων που χρειάζεται για τη σωστή λειτουργία του δρομολογητή. Επιπλέον το running config αποθηκεύεται στη RAM, ενώ οι περισσότεροι δρομολογητές κατά την εκκίνηση φορτώνουν το IOS από τη μνήμη flash στη RAM. Χρησιμοποιείται κατά την εκκίνηση του δρομολογητή. Περιλαμβάνει τα προγράμματα POST και bootstrap, καθώς και το mini IOS. Χρησιμοποιείται ως κύριο μέσο αποθήκευσης του λειτουργικού συστήματος IOS. Η μνήμη Flash δε διαγράφεται κατά την επανεκκίνηση του δρομολογητή. Είναι μια ειδικού τύπου EEPROM που κατασκευάζεται από την Intel. Χρησιμοποιείται για την αποθήκευση του startup config. Η NVRAM δε διαγράφεται κατά την επανεκκίνηση του δρομολογητή ή του switch η έπειτα από διακοπή ρεύματος. Επιπλέον εκεί αποθηκεύεται το αρχείο configuration register. Χρησιμοποιείται για να ρυθμίζει τον τρόπο που εκκινεί ο δρομολογητής. Η τιμή αυτή βρίσκεται στην τελευταία γραμμή της εντολής show version και έχει την προκαθορισμένη τιμή 0x2102, η οποία λέει στο δρομολογητή να φορτώσει το IOS από τη μνήμη flash και το configuration από την NVRAM. 1.4 Σύνδεση με το δρομολογητή Η σύνδεση με το δρομολογητή μπορεί να γίνει με διάφορους τρόπους όπως με χρήση ειδικού καλωδίου και σύνδεση στη θύρα της κονσόλας ελέγχου, με μόντεμ μέσω της θύρας aux ή ακόμα μέσω Telnet και SSH. Για τα παραδείγματα που θα ακολουθήσουν στο παρόν 18

19 και στα επόμενα κεφάλαια για μεγαλύτερη ευελιξία χρησιμοποιούμε τη σύνδεση μέσω Telnet. Η προκαθορισμένη διεύθυνση του δρομολογητή είναι: P.1 Όνομα χρήστη: admin Κωδικός εισόδου: cisco123 Σχήμα 1 2. Σύνδεση στο δρομολογητή μέσω telnet Σε κάθε δρομολογητή υπάρχουν τέσσερις δυνατές καταστάσεις διαμόρφωσης ρυθμίσεων. Για να αναγνωρίσουμε σε ποια ακριβώς βρισκόμαστε απλά ελέγχουμε το σύμβολο προτροπής της γραμμής εισόδου. Σύμβολο Προτροπής Επίπεδο διαχείρισης Επεξήγηση Router> Επίπεδο χρήστη Περιορισμός σε βασικές εντολές παρακολούθησης της κατάστασης του δρομολογητή Router# Προνομιακό επίπεδο Μπορεί να έχει πρόσβαση σε όλες τις εντολές και να κάνει ρυθμίσεις Router(config)# Γενική διαχείριση (Global) Οι εντολές που δίνονται από το διαχειριστή επηρεάζουν ολόκληρο το σύστημα Router(config subif)# Ειδική Διαχείριση Διαχείριση συγκεκριμένων πόρων / Συνδέσμων / διασυνδέσεων 19

20 Μπορούμε να μετακινηθούμε στα διάφορα επίπεδα διαχείρισης με τις εντολές που φαίνονται στον πίνακα που ακολουθεί Εντολή Router> enable Router# disable Router# config term Αποτέλεσμα Από το επίπεδο χρήστη πηγαίνουμε στο προνομιακό επίπεδο διαχειριστή όπου μπορούμε να κάνουμε ρυθμίσεις. Ζητείται κωδικός με ανάλογα δικαιώματα Από το προνομιακό επίπεδο διαχείρισης πηγαίνουμε σε επίπεδο χρήστη όπου απλά μπορούμε να παρακολουθούμε την κατάσταση του δρομολογητή Από το προνομιακό επίπεδο μετακινούμαστε σε επίπεδο γενικής διαχείρισης του δρομολογητή Router(config)# exit Έξοδος από οποιαδήποτε επίπεδο διαχείρισης στο προνομιακό (μπορεί να γίνει και με Ctrl+Z) Router(config)# interface <int> Enters interface configuration mode from global configuration mode Router(config)# interface <subint> Enters subinterface configuration mode from global configuration mode Router(config)# line <line> Router(config)# router eigrp 1 Enters line configuration mode from global configuration mode Enters router configuration mode from global configuration mode Για την ευκολότερη και γρηγορότερη πρόσβαση διαχείριση του δρομολογητή δίνονται οι παρακάτω συντομεύσεις και πλήκτρα ειδικών λειτουργιών Συντόμευση Ctrl+P ή βέλος Ctrl+N ή βέλος Ctrl+A Ctrl+E Esc+B Esc+F Ctrl+R Ctrl+U Αποτέλεσμα Εμφανίζει την τελευταία εντολή που δόθηκε Εμφανίζει προηγούμενες εντολές που δόθηκαν Μετακινεί τον κέρσορα στην αρχή της γραμμής Μετακινεί τον κέρσορα στο τέλος της γραμμής Μετακινεί τον κέρσορα πίσω κατά μια λέξη Μετακινεί τον κέρσορα προς τα εμπρός κατά μια λέξη Επανεμφανίζει μια γραμμή Διαγράφει μια γραμμή 20

21 Ctrl+W Ctrl+Z Tab Διαγράφει μια λέξη Τερματίζει την κατάσταση ρύθμισης παραμέτρων και επιστρέφει στην EXEC κατάσταση Ολοκληρώνει την πληκτρολόγηση μιας εντολής (δεν είναι δηλαδή απαραίτητο να πληκτρολογήσουμε όλη την εντολή) 1.5 Βασικές Εντολές Διαχείρισης Χρήση βοήθειας Εντολή Router#? Router#c? Router#clock? Ερμηνεία Εμφανίζει όλες τις διαθέσιμες εντολές Εμφανίζει όλες τις διαθέσιμες εντολές που ξεκινούν με το γράμμα c Εμφανίζει όλες τις διαθέσιμες επιλογές για την εντολή clock Χρήση διασωλήνωσης Εντολή Router#sh running config? Router#sh run begin interface Router#sh ip route include Ερμηνεία Εμφανίζει όλες τις δυνατές επιλογές για την εντολή pipe. Αυτές περιλαμβάνουν τα begin, include, exclude κ.τ.λ. Εμφανίζει την τρέχουσα κατάσταση ρυθμίσεων ξεκινώντας από τις ρυθμίσεις των διασυνδέσεων. Εμφανίζει όλες τις καταχωρήσεις στον IP πίνακα δρομολόγησης που περιλαμβάνουν την IP διεύθυνση Εμφάνιση πληροφοριών Εντολή Router#sh running config Router#sh startup config Router#sh history Router#sh ip int brief Router#sh users Αποτέλεσμα Εμφανίζει τις τρέχουσες ρυθμίσεις του δρομολογητή Εμφανίζει τις ρυθμίσεις εκκίνησης του δρομολογητή Εμφανίζει τις τελευταίες εντολές που δόθηκαν Εμφανίζει μια γρήγορη σύνοψη των διασυνδέσεων συμπεριλαμβανομένων των διευθύνσεων που τους έχουν αποδοθεί καθώς και της κατάστασης τους Εμφανίζει τους χρήστες και τους δρομολογητές που είναι συνδεδεμένοι στο δικό μας μέσω telnet 21

22 Router#sh sessions Εμφανίζει τους δρομολογητές στους οποίους είμαστε συνδεδεμένοι μέσω telnet Εντολές Διαχείρισης Εντολή Αποτέλεσμα PWD Εμφανίζει τον τρέχον κατάλογο εργασίας Show file Dir Copy More Delete Erase / Format Cd Mkdir / Rmdir no Reload Εμφανίζει πληροφορίες για ένα συγκεκριμένο φάκελο ή αρχείο Εμφανίζει τα περιεχόμενα ενός καταλόγου (ο προκαθορισμένος είναι ο flash:/) Δημιουργεί αντίγραφα ασφαλείας για το IOS, τα επαναφέρει ή αναβαθμίζει το IOS του δρομολογητή Εμφανίζει τα περιεχόμενα ενός αρχείου Διαγράφει ένα αρχείο Διαγράφει ή διαμορφώνει το λειτουργικό σύστημα Αλλαγή καταλόγου Δημιουργεί και διαγράφει καταλόγους Η λέξη no μπροστά από μια εντολή αντιστρέφει τη λειτουργία της π.χ. no shutdown Επανεκκίνηση του δρομολογητή 22

23 Βιβλιογραφία 1. Todd Lammle's CCNA IOS Commands Survival Guide, Todd Lammle, ISBN: , Wiley Publishing, Cisco IOS Quick Reference, Will Richards 3. Cisco IOS Cookbook, 2nd Edition, Kevin Dooley, Ian Brown, ISBN: , O'Reilly, 2006 Ηλεκτρονικές Πηγές 1. Wikipedia Cisco 2. Wikipedia Cisco IOS 3. Cisco IOS Configuration Fundamentals Command Reference, Release Cisco IOS Basic Commands 5. Cisco 800 Series Integrated Services Router d8028a982.html 23

24 6. Cisco CCENT: Basic IOS Commands for Routers and Switches ccent basic ios commands for routers andswitches/ / 24

25 Κεφάλαιο 2 ο Router Configuration Εισαγωγή Είδη μνήμης Interfaces Internetwork Operating System (IOS) Configuration files 25

26 Router logging Ρύθμιση του δρομολογητή μέσω του console port Παραδείγματα χρήσης των εντολών Άσκηση Λύση 26

27 Περίληψη Στο σημερινό εργαστήριο θα έρθετε για πρώτη φορά σε επαφή με τους Cisco δρομολογητές. Θα μάθετε τα βασικά της χρήσης του περιβάλλοντος χρήστη που παρέχει το λειτουργικό σύστημα IOS που τρέχουν οι δρομολογητές Cisco, καθώς και κάποιες βασικές εντολές ρύθμισής τους. 2.1 Εισαγωγή Οι δρομολογητές όπως και οι υπολογιστές περιέχουν έναν μικροεπεξεργαστή. Κάθε μοντέλο δρομολογητή περιέχει διαφορετικό μικροεπεξεργαστή. 2.2 Είδη μνήμης Οι δρομολογητές περιέχουν τα παρακάτω είδη μνήμης: ROM Περιέχει τα προγράμματα Power On Self Test (POST) και bootstrap. Η μνήμη ROM επίσης περιέχει ένα κομμάτι ή ολόκληρο το λειτουργικό σύστημα (IOS) του δρομολογητή. NVRAM Περιέχει το αρχείο startup configuration. Η μνήμη NVRAM μπορεί να αποθηκευτεί το αρχείο running configuration. Πολύ σημαντικό είναι ότι διατηρούνται οι πληροφορίες που περιέχει κι είναι διαθέσιμες όταν κλείσουμε το δρομολογητή. Flash Περιέχει ολόκληρο το λειτουργικό σύστημα (IOS) του δρομολογητή. Είναι ένας ειδικός τύπος μνήμης που μπορεί να σβηστεί και να ξαναγραφεί και μπορεί να περιέχει διαφορετικές εκδόσεις IOS (σε περιπτώσεις αναβάθμισης). RAM Περιέχει προσωρινές πληροφορίες του δρομολογητή όπως οι πίνακες δρομολόγησης και τα διάφορα πακέτα μέχρι να εξεταστεί η λογική τους διεύθυνση. Επίσης περιέχει και το αρχείο running configuration. 2.3 Interfaces Τα interfaces του δρομολογητή αποτελούν τη φυσική σύνδεση μεταξύ του δρομολογητή και των διάφορων ειδών δικτύων (LAN και WAN). Οι δρομολογητές υποστηρίζουν πολλά διαφορετικά interfaces ανάλογα το είδος των δικτύων που διασυνδέει. Συχνά αναφέρονται και ως πόρτες (ports) και για να ξεχωρίζουν μεταξύ τους χρησιμοποιούμε κατάλληλο 27

28 σύστημα αρίθμησης (π.χ. για ένα ethernet interface χρησιμοποιούμε την αρίθμηση e0/0 ενώ για ένα serial interface την αρίθμηση s0/0). 2.4 Internetwork Operating System (IOS) Το IOS είναι το πρόγραμμα που δίνει τη δυνατότητα στο hardware του δρομολογητή να δρομολογεί πακέτα σε ενα δίκτυο. Το IOS, όπως και τα άλλα λειτουργικά συστήματα, περίεχει ένα σύνολο εντολών που χρησιμεύουν για τη ρύθμιση και τη διάγνωση του δρομολογητή. Όταν λέμε ότι ρυθμίζουμε ένα δρομολογητή, σημαίνει ότι ενεργοποιούμε τα διάφορα interfaces και πρωτόκολλα (routed και routing). Δηλαδή πρέπει να χρησιμοποιήσουμε κάποιες εντολές για να ενεργοποιήσουμε τα interfaces, να δώσουμε πληροφορίες για τα προς δρομολόγηση πρωτόκολλα (routed protocols) και ρυθμίσουμε τα πρωτόκολλα δρομολόγησης (routing protocols). Για τη ρύθμιση του δρομολογητή με τις κατάλληλες εντολές χρησιμοποιούμε ενα περιβάλλον εντολής γραμμής (Command Line Interface CLI). 2.5 Configuration files Το σύνολο των εντολών που χρησιμοποιούνται για τη ρύθμιση του δρομολογητή αποτελούν ένα αρχείο κειμένου το οποίο αποθηκεύεται στο ανάλογο είδος μνήμης. Όταν πραγματοποιούμε μια αλλαγή στις ρυθμίσεις του δρομολογητή αυτές αποθηκεύονται στη μνήμη RAM (running configuration file). Με την κατάλληλη εντολή μπορούμε να αποθηκεύσουμε το running configuration file στη μνήμη NVRAM (startup configuration file) το οποίο μπορεί να είναι διαθέσιμο και μετά το κλείσιμο του δρομολογητή. 2.6 Router logging Σε έναν δρομολογητή μπορούμε να έχουμε πρόσβαση με τους τρόπους που φαίνονται στο παρακάτω σχήμα. 28

29 2.7 Ρύθμιση του δρομολογητή μέσω του console port Για να συνδέσετε το δρομολογητή με τον υπολογιστή ακολουθήστε τα παρακάτω βήματα: α. Συνδέετε το καλώδιο παροχής ρεύματος με το δρομολογητή. β. Συνδέετε το σειριακό καλώδιο κονσόλας από την κονσόλα του δρομολογητή στο πίσω μέρος του υπολογιστή(θύρα COM1). γ. Επιλέξτε Έναρξη(Start) Προγράμματα(Programs) Βοηθήματα(Accesories) Επικοινωνίες(Communication) HyperTerminal. δ. Όταν ξεκινάτε για πρώτη φορά το HyperTerminal πρέπει να το ρυθμίσετε ώστε να συνδεθεί στο δρομολογητή. Δημιουργήστε μία νέα σύνδεση που θα την ονομάσετε Cisco. Έπειτα επιλέξτε Αρχείο(File) Ιδιότητες(Properties) και θα εμφανιστεί το παρακάτω εικονίδιο: 29

30 Δεχθείτε το COM1 και πατήστε Configure. Οι ιδιότητες του COM1 εμφανίζονται στο παρακάτω παράθυρο: 30

31 Αλλάξτε το ρυθμό Baud στις ρυθμίσεις σειριακής πόρτας(serial Port Settings) σε 9600, πατήστε OK και θα περάσετε στην κονσόλα του δρομολογητή. στ. Αφού αποθηκευτούν οι αλλαγές πατήστε το εικονίδιο Σύνδεση Τώρα βρίσκεστε στην αρχική ρύθμιση του δρομολογητή, πληκτρολογήστε No και μετά Enter. ζ. Τώρα θα μεταφερθείτε στην κατάσταση χρήστη(user mode). Στο δρομολογητή έχουμε τρία επίπεδα πρόσβασης και το κάθε επίπεδο μας δίνει συγκεκριμένα δικαιώματα με τις αντίστοιχες εντολές. User mode παρέχει περιορισμένη πρόσβαση και οι εντολές που μπορούμε να χρησιμοποιήσουμε μας επιτρέπουν μόνο τη διάγνωση ορισμένων χαρακτηριστικών και όχι την αλλαγή των ρυθμίσεων του δρομολογητή. 31

32 Privileged or enabled mode παρέχει μεγαλύτερη δυνατότητα διάγνωσης και με τις κατάλληλες εντολές μπορούμε να αλλάξουμε αρκετές ρυθμίσεις του δρομολογητή. Configuration or global configuration mode παρέχει το σύνολο των εντολών με τις οποίες μπορούμε να ρυθμίσουμε πλήρως το δρομολογητή. Επίσης μπορούμε να έχουμε πρόσβαση σε υπο επίπεδα ρυθμίσεων που αφορούν πρωτόκολλα, interfaces και άλλα χαρακτηριστικά του δρομολογητή. Στο παρακάτω σχήμα και πίνακα φαίνεται με ποιες εντολές αποκτούμε πρόσβαση στο κάθε επίπεδο. 32

33 Κατάσταση Εντολών EXEC mode Privileged EXEC mode Τρόπος Προσπέλασης Με έναρξη συνόδου (log in). Από την EXEC mode, με χρήση της EXEC εντολής enable. Global configuration Από την Privileged EXEC mode, με χρήση της privileged EXEC εντολής configure terminal. Interface configuration Από την Global configuration mode, καθορίζοντας κάποιο συγκεκριμένο interface, με χρήση μιας interface εντολής. Σήμα προτροπής (prompt) Τρόπος εξόδου Router> Με τη χρήση της εντολής logout. Router # Router (config)# Router(config if)# Για επιστροφή στην EXEC mode, γίνεται χρήση της εντολής disable. Για επιστροφή στην Privileged EXEC mode, γίνεται χρήση της εντολής exit ή της εντολής end ή ο συνδυασμός των πλήκτρων Ctrl+Z. Για επιστροφή στην Global configuration mode, γίνεται χρήση της εντολής exit. Για προσπέλαση της Privileged EXEC mode, γίνεται χρήση της εντολής exit ή ο συνδυασμός των πλήκτρων Ctrl+Z. Subinterface configuration Από την Interface configuration mode, καθορίζοντας κάποιο συγκεκριμένο subinterface, με χρήση μιας interface εντολής. Router(config subif)# Για επιστροφή στην Global configuration mode, γίνεται χρήση της εντολής exit. Για προσπέλαση της Privileged EXEC mode, γίνεται χρήση της εντολής exit ή ο συνδυασμός των πλήκτρων Ctrl+Z. ROM monitor Από την Privileged EXEC mode, με χρήση της EXEC εντολής reload. Κατά τη διάρκεια των πρώτων 60 δευτερολέπτων της διαδικασίας εκκίνησης, πρέπει να πατηθεί το πλήκτρο Break. > Για επιστροφή στην EXEC mode, πληκτρολογείται γίνεται χρήση της εντολής continue. 33

34 Βασικές Εντολές Router>enable Router#? Router>enable Router#s? Router>enable Router#show version Router>enable Router#show running-config Router>enable Router#show startup-config Router#configure terminal Router(config)#hostname lablab lablab(config)# Router #configure terminal Router (config)#line console 0 Router (config-line)#login Router (config-line)#password pass Μας πηγαίνει στο enabled mode Εμφανίζει όλες τις εντολές που είναι διαθέσιμες στο enabled mode Μας πηγαίνει στο enabled mode Εμφανίζονται όλες οι εντολές που ξεκινούν με το γράμμα s Μας πηγαίνει στο enabled mode Εμφανίζει πληροφορίες όπως η έκδοση του λογισμικού, τα διαθέσιμα interfaces Μας πηγαίνει στο enabled mode Εμφανίζει το τρέχων configuration της DRAM Μας πηγαίνει στο enabled mode Εμφανίζει το αποθηκευμένο configuration της NVRAM Μας εισάγει σε configuraion mode ορίζει το όνομα του router <<lablab>> Εισάγει στην ρύθμιση παραμέτρων κονσόλας Ενεργοποιεί τη διαδικασία login Ορίζει το password Router #configure terminal Router(config)#interface fastethernet 0/0 Router(config-if)#ip address Router (config-if)#no shutdown Router#copy running-config startupconfig Εισάγει στη ρύθμιση fastethernet interface Ορίζει ip address και μάσκα υποδικτύου στο interface Ενεργοποιεί το interface γιατί εξ ορισμού είναι απενεργοποιημένα τα Interfaces Αποθηκεύει τις τρέχουσες ρυθμίσεις στο αρχείο εκκίνησης της nvram Επιστρέφει στο enabled mode Router(config)#CTR+Z Router# Router#show clock Δείχνει την ώρα και την ημερομηνία του συστήματος του συστήματος Router#show interfaces Δείχνει διάφορες λεπτομέρειες για κάθε interface που έχει ο δρομολογητής Router#show ip interface brief Εμφανίζει συνοπτικά τα interfaces του Router#show users Router#clock set 13:32:00 12 May 2001 Router>enable Router#config terminal δρομολογητή Δείχνει ποιοι χρήστες είναι συνδεδεμένοι αυτή τη στιγμή στο δρομολογητή Καθορίζει την ώρα και ημερομηνία του συστήματος Καθορίζει ένα νέο password στο δρομολογητή. Είναι το password που ζητείται όταν θέλουμε να 34

35 Βασικές Εντολές Router(config)#enable password my password Router#configure terminal Router(config)#enable secret pass3 μπούμε σε enabled mode. Ορίζει το enable secret 2.8 Παραδείγματα χρήσης των εντολών show version Με την εντολή show version βλέπουμε στη δεύτερη γραμμή το μοντέλο του δρομολογητή στο παράδειγμα ο 3600 και την έκδοση του IOS. έπειτα η ένδειξη Uptime δείχνει πόσο καιρό λειτουργεί ο δρομολογητής (4 εβδομάδες, 4 μέρες, 9 ώρες, 53 λεπτά) και η επόμενη γραμμή αναφέρει ποιος ήταν ο λόγος για τον οποίο ο δρομολογητής ήταν εκτός λειτουργίας(στο παράδειγμα έγινε reload). Η επόμενη γραμμή μας δείχνει ότι στη μνήμη flash του δρομολογητή είναι αποθηκευμένο το αρχείο που φορτώθηκε από το δρομολογητή, ως το λειτουργικό του σύστημα κατά την εκκίνησή του καθώς και το ακριβές όνομα αυτού του αρχείου (c3640 is56i mz XK1). Η γραμμή με το νούμερο 5 μας αναφέρει το είδος και το πλήθος των interfaces που έχει ο δρομολογητής. 35

36 enable password Router>enable Router#config terminal Router(config)#enable password mypassword Πληκτρολογώντας τις παραπάνω εντολές καθορίζετε σαν νέο enable password στο δρομολογητή το mypassword. Πατήστε exit και έπειτα πληκτρολογήστε enable. Το αποτέλεσμα θα είναι το εξής: Router> enable Password: Όπου password το mypassword που ορίσατε προηγουμένως. enable secret Αν θέλουμε να έχουμε μεγαλύτερη ασφάλεια στον δρομολογητή μας, μπορούμε να χρησιμοποιήσουμε μία νεότερη έκδοση της παραπάνω εντολής, η οποία εισάγει υψηλότερη κωδικοποίηση των password. Αυτή η εντολή είναι η enable secret. Router#configure terminal Router(config)#enable secret newpassword Αν μεταβείτε στο enabled mode και πληκτρολογήσετε Router# show running-config Building configuration Current configuration : 209 bytes! version 12.2 no service password-encryption! hostname Router 36

37 !! enable secret 5 $1$mERr$7sOd0mgRuXYhHwfWsV4QZ/ enable password mypassword είναι εμφανές ότι το απλό password μπορείτε να το δείτε ενώ το secret όχι. Να σημειωθεί ότι η χρήση της enable secret εντολής ακυρώνει την ύπαρξη της enable password, αν αυτή έχει προηγηθεί. Αυτό σημαίνει ότι θα μας ζητηθεί το enable secret password. show ip interface brief φαίνονται τα Interfaces του δρομολογητή, η κατάστασή τους και η IP διεύθυνσή τους αν τους έχει αποδοθεί. 2.9 Άσκηση Στην άσκηση αυτή σας δίνονται δύο δρομολογητές cisco 871, ένας τουλάχιστον ηλεκτρονικός υπολογιστής (που θα χρησιμοποιηθεί για τη ρύθμιση των δρομολογητών) και ένα ανάστροφο καλώδιο UTP RJ45. Συνδέστε τον υπολογιστή στην console port του πρώτου router και ανοίξτε ένα session με το δρομολογητή χρησιμοποιώντας το HyperTeriminal. 1. Χρησιμοποιήστε τις κατάλληλες εντολές για να διαπιστώσετε: 2. Το ακριβές μοντέλο του δρομολογητή 3. Την έκδοση IOS που τρέχει 4. Το πλήθος και το είδος των interfaces που διαθέτει 37

38 5. Εμφανίστε το τρέχον configuration και μελετήστε το. 6. Ορίστε τη σωστή ώρα στο δρομολογητή 7. Ορίστε σαν enable password στο δρομολογητή αυτό το newps και ως enable secret το csdauth. 8. Ορίστε σωστή ώρα και αντίστοιχα enable passwords και στον άλλο δρομολογητή. 9. Χρησιμοποιήστε όλα τα διαθέσιμα υλικά και υλοποιήστε το παρακάτω σενάριο συνδεσμολογίας και παραμετροποίησης στους δύο δρομολογητές. όπως φαίνεται και στο σχήμα, θα ονομαστεί ο πρώτος δρομολογητής ως netlab1 και ο δεύτερος ως netlab2. θα χρησιμοποιηθεί το ανάστροφο UTP καλώδιο για τη διασύνδεση των δύο δρομολογητών μέσω του FastEthernet1 interface τους. Οι IP διευθύνσεις που θα δοθούν στα interfaces αυτά φαίνονται στο σχήμα. Για να επιβεβαιώσετε τη σωστή υλοποίηση της άσκησης θα πρέπει να μπορείτε να στείλετε πακέτα από τον ένα δρομολογητή στον άλλο (με χρήση της εντολής ping από το περιβάλλον του δρομολογητή) Λύση Για να διαπιστώσετε όσα αναφέρει το ερώτημα 2 Router>enable Router#show version Router#show interfaces Για να ορίσετε τη σωστή ώρα στο δρομολογητή 38

39 Router# clock set 20:00:00 15 October 2008 Για να ορίσετε τα password του ερωτήματος 4 (ομοίως με 5) Router#configure terminal Router(config)#enable password newps Router(config)#enable secret csdauth2 Για τις ρυθμίσεις του ερωτήματος 6 Router#configure terminal Router(config)#hostname netlab1 netlab1 (config)#interface fastethernet1 netlab1 (config-if)#ip address netlab1 (config-if)#no shutdown netlab1 (config-if)#exit netlab1 (config)#exit netlab1 #copy running-config startup-config Router#configure terminal Router(config)#hostname netlab2 netlab2 (config)#interface fastethernet1 netlab2 (config-if)#ip address netlab2 (config-if)#no shutdown netlab2 (config-if)#exit netlab2 (config)#exit netlab2 #copy running-config startup-config Για την επιβεβαίωση της σωστής λειτουργίας netlab1 #ping Type escape sequence to abort. Sending 5, 100 byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round trip min/avg/max = 4/4/4 ms 39

40 Κεφάλαιο 3 ο Διευθέτηση μεταγωγέα Catalyst 2960 Ρυθμίσεις διευθέτησης για το μεταγωγέα Αμφίδρομη κατάσταση λειτουργίας Διευθύνσεις MAC και διασυνδέσεις θυρών Vlan Trunking Protocol / προσθήκη Vlan 40

41 Ασφάλεια θύρας και διευθέτηση γραμμής ζεύξης Διαχείριση αρχείων διευθέτησης και εμφάνιση πληροφοριών Σύνοψη εντολών μεταγωγέα 41

42 3.1 Προεπιλεγμένες ρυθμίσεις διευθέτησης για το μεταγωγέα Catalyst 2960 Οι μεταγωγείς Catalyst έχουν εργοστασιακές προεπιλεγμένες ρυθμίσεις οι οποίες, σε πολλές περιπτώσεις, θα ανταποκριθούν στις ανάγκες ενός διαχειριστή δικτύου. Ίσως όμως ορισμένες φορές χρειαστούν να αλλαχτούν ορισμένες από αυτές τις προεπιλεγμένες τιμές για να ταιριάζουν με τη συγκεκριμένη τοπολογία του δικτύου. Οι προεπιλεγμένες τιμές διαφέρουν ανάλογα με τα χαρακτηριστικά του μεταγωγέα. Στην επόμενη λίστα παρουσιάζονται μερικές από τις προεπιλεγμένες ρυθμίσεις για το μεταγωγέα Catalyst Ωστόσο, δεν περιέχει όλες τις προεπιλεγμένες τιμές: IP address : CDP : Enabled Switching mode : Fragment free 100BASE T port : Autonegotiate duplex mode 1OBASE T port : Half duplex Spanning Tree : Enabled Console password : None Data Transfer Rate :100 Mbps Οι 2960 είναι ένας από τους μεταγωγείς της οικογένειας Catalyst Στον Πίνακα 1 παρουσιάζονται οι θύρες που υπάρχουν στους μεταγωγείς Πίνακας 1 Θύρες μεταγωγέων Catalyst 2960 Catalyst 2960 Θύρες 10BASE T Θύρα AUI συνολικά 24 (FaO/1 έως FaO/24) Fa0/25 Οι θύρες στους μεταγωγείς Catalyst 2960 αναφέρονται είτε ως θύρες είτε ως διασυνδέσεις. Για παράδειγμα, για την e0/1, ισχύουν τα παρακάτω: Η έξοδος της εντολής show running config (δείτε το Παράδειγμα 1) αναφέρει την Fa0/1 ως interface (διασύνδεση) Ethernet 0/1. 42

43 Η έξοδος της εντολής show spantree (δείτε το Παράδειγμα 2) αναφέρει την Fa0/1 ως Port (θύρα) FastEthernet 0/1. Η έξοδος της εντολής show vlan (δείτε το Παράδειγμα 3) αναφέρει την Fa0/1 απλώς ως Port (θύρα) 1. Παράδειγμα 1 Η έξοδος της εντολής show running config αναφέρει τη Θύρα eo/ι ως διασύνδεση FastEthernet 0/1 wg_sw_d#show running-config Building configuration... Current configuration : 972 bytes! version 12.2 no service password-encryption! hostname wg_sw_d! ip host !! interface FastEthernet0/1! interface FastEthernet0/2! Παράδειγμα 2 Η έξοδος της εντολής show spantree αναφέρει τη θύρα eo/ι ως προσδιορισμένη (designated) θύρα FastEthernet 0/1 wg_sw_d#show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority Address E0C.1C84 This bridge is the root 43

44 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority (priority sys-id-ext 1) Address E0C.1C84 Aging Time 300 Interface Role Sts Cost Prio.Nbr Type Fa0/1 Desg FWD Shr Fa0/2 Desg FWD Shr Παράδειγμα 3 Η έξοδος της εντολής show vlan αναφέρει τη θύρα Fa0/1 ως θύρα e0/1 ως θύρα (Port) 1 wg_sw_d#show vlan VLAN Name Status Ports default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gig1/1, Gig1/ fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans enet enet enet enet enet

45 3.2 Διευθέτηση του μεταγωγέα Catalyst 2960 Ο μεταγωγέας Catalyst 2960 έχει διάφορες καταστάσεις διευθέτησης (configuration modes). Για να ρυθμίσετε καθολικές παραμέτρους του μεταγωγέα, όπως το όνομα υπολογιστή υπηρεσίας (host name) του μεταγωγέα ή η διεύθυνση IP, χρησιμοποιήστε την καθολική κατάσταση διευθέτησης, τα προτρεπτικά σήματα της οποίας είναι τα εξής: wg_sw_d(config)# %SYS-5-CONFIG_I: Configured from console by console wg_sw_d# Για να ρυθμίσετε μια συγκεκριμένη θύρα (διασύνδεση), χρησιμοποιήστε την κατάσταση διευθέτησης διασύνδεσης, τα προτρεπτικά σήματα της οποίας είναι τα εξής: wg_sw_d(config)#interface fastethernet 0/1 wg_sw_d(config-if)# Διευθέτηση διεύθυνσης IP, μάσκας υποδικτύου, και προεπιλεγμένης πύλης δικτύου σε μεταγωγέα Catalyst 2960 Για να διευθετήσετε μια διεύθυνση IP και μια μάσκα υποδικτύου στο μεταγωγέα, χρησιμοποιήστε την καθολική εντολή διευθέτησης ip address, η οποία συντάσσεται ως εξής: wg_sw_d(config)#ip host διεύθυνση μάσκα Για παράδειγμα, προκειμένου να διευθετήσετε ένα μεταγωγέα με διεύθυνση IP και μάσκα υποδικτύου , καταχωρίστε την επόμενη εντολή: wg_sw_d(config)#ip host Μια διεύθυνση IP απαιτείται στο μεταγωγέα για λόγους διαχείρισης. Για παράδειγμα, η χρήση του μοντέλου υπηρεσιών VPN (VPN Service Model VSM) απαιτεί τον ορισμό μιας διεύθυνσης IP και την παροχή συνδετικότητας IP στο μεταγωγέα ώστε να υπάρχει επικοινωνία με ένα φυλλομετρητή ιστού όπως ο Firefox ή ο Microsoft Internet Explorer. Μια διεύθυνση IP θα πρέπει επίσης να ορίζεται και όταν σκοπεύετε να συνδέεστε στο μεταγωγέα μέσω Telnet, ή αν θέλετε να χρησιμοποιείτε το SNMP (Simple Network Management Protocol Απλό Πρωτόκολλο Διαχείρισης Δικτύου) για να διαχειρίζεστε το μεταγωγέα. Αυτή η διεύθυνση ορίζεται για ολόκληρο το μεταγωγέα και αποτελεί τη 45

46 σύνδεση διαχείρισης. Για να επαναφέρετε τη διεύθυνση IP στην προεπιλεγμένη εργοστασιακή της τιμή , χρησιμοποιήστε την καθολική εντολή διευθέτησης no ip address. Για να διευθετήσετε την προεπιλεγμένη πύλη δικτύου, χρησιμοποιήστε την καθολική εντολή διευθέτησης ip default gateway. Η εντολή ip default gateway παίρνει την εξής μορφή: wg sw_a(config)# ip default-gateway διεύθυνση-ip Για παράδειγμα, προκειμένου να ρυθμίσετε την προεπιλεγμένη πύλη δικτύου με τη διεύθυνση IP για ένα μεταγωγέα, καταχωρίστε την επόμενη εντολή: wg_sw_d(config)# ip default-gateway Ο μεταγωγέας δέχεται μια διεύθυνση IP για λόγους διαχείρισης. Αν ο μεταγωγέας πρέπει να στείλει κυκλοφορία σε ένα διαφορετικό δίκτυο IP από αυτό στο οποίο είναι ενεργοποιημένος στέλνει την κυκλοφορία στην προεπιλεγμένη πύλη δικτύου, η οποία είναι συνήθως ο δρομολογητής. Ένας δρομολογητής χρησιμοποιείται για τη δρομολόγηση κυκλοφορίας μεταξύ διαφορετικών δικτύων. Για να διαγράψετε μια διευθετημένη προεπιλεγμένη πύλη δικτύου, χρησιμοποιήστε την εντολή no ip defaultgateway, και ορίστε ως διεύθυνση πύλης την προεπιλεγμένη τιμή Για να ελέγξετε τις ρυθμίσεις τής διεύθυνσης IP, της μάσκας υποδικτύου, και της προεπιλεγμένης πύλης δικτύου, χρησιμοποιήστε την εντολή show ip στην προνομιακή κατάσταση, όπως φαίνεται στο Παράδειγμα 4. Παράδειγμα 4 wg_sw_d#show hosts Η εντολή show ip ελέγχει τις ρυθμίσεις διεύθυνσης IP, μάσκας υποδικτύου, και προεπιλεγμένης πύλης σε ένα μεταγωγέα Catalyst 2960 Default Domain is not set Name/address lookup uses domain service Name servers are Codes: UN - unknown, EX - expired, OK - OK,?? - revalidate temp - temporary, perm - permanent NA - Not Applicable None - Not defined 46

47 Host Port Flags Age Type Address(es) None (perm, OK) 0 IP Διευθέτηση αμφίδρομης κατάστασης λειτουργίας σε διασύνδεση μεταγωγέα Catalyst 2960 Για να αλλάξετε την αμφίδρομη κατάσταση λειτουργίας μιας διασύνδεσης, χρησιμοποιήστε την εντολή διευθέτησης διασύνδεσης duplex. Η σύνταξη αυτής της εντολής (στη διασύνδεση Fa0/1 για παράδειγμα) είναι η εξής: wg_sw_d(config)#interface Fa0/1 wg_sw_d(config-if)# duplex {auto full half} Στις επιλογές της εντολής duplex περιλαμβάνονται οι εξής: Auto Ορίζει αυτόματη διαπραγμάτευση της αμφίδρομης κατάστασης λειτουργίαςauto είναι η προεπιλογή για θύρες ΤΧ 100 Mbps. Full Ορίζει πλήρως αμφίδρομη κατάσταση λειτουργίας. Halφ Ορίζει ημιαμφίδρομη κατάσταση λειτουργίας αυτή είναι η προεπιλογή για θύρες ΤΧ 10 Mbps. Για παράδειγμα, αν θέλετε να ορίσετε στο Μεταγωγέα Α ημιαμφίδρομη κατάσταση λειτουργίας για τη διασύνδεση FaO/1, καταχωρίστε τα εξής: wg_sw_d(config)# interface FaO/1 wg_sw_d(config-if)# duplex half Για να ελέγξετε τις ρυθμίσεις αμφίδρομης κατάστασης λειτουργίας σε μια συγκεκριμένη διασύνδεση, χρησιμοποιήστε την εντολή show interface. Για να εμφανίσετε στατιστικά στοιχεία και την κατάσταση συγκεκριμένων ή όλων των διασυνδέσεων, χρησιμοποιήστε την προνομιακή εντολή show interfaces, όπως βλέπετε και στο Παράδειγμα 5. Παράδειγμα 5 wg_sw_d#show interfaces Η έξοδος της εντολής show interfaces εμφανίζει στατιστικά στοιχεία και την κατάσταση όλων ή των καθοριζόμενων διασυνδέσεων 47

48 FastEthernet0/1 is up, line protocol is up (connected) Hardware is Lance, address is (bia ) MTU 1500 bytes, BW Kbit, DLY 1000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Half-duplex, 100Mb/s input flow-control is off, output flow-control is off ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:08, output 00:00:05, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue :0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 956 packets input, bytes, 0 no buffer Received 956 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 watchdog, 0 multicast, 0 pause input 0 input packets with dribble condition detected 2357 packets output, bytes, 0 underruns 0 output errors, 0 collisions, 10 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out FastEthernet0/2 is up, line protocol is up (connected)! Όπως μπορείτε να δείτε στην επισημασμένη γραμμή τού Παραδείγματος 5, η ρύθμιση της αμφίδρομης κατάστασης λειτουργίας για οποιαδήποτε δεδομένη διασύνδεση μπορεί να προσδιοριστεί με την εντολή show interfaces. Η αυτόματη διαπραγμάτευση (autonegotiation), σε ορισμένες περιπτώσεις, μπορεί να έχει απρόβλεπτα αποτελέσματα. Αν μια συνδεδεμένη συσκευή δεν υποστηρίζει αυτόματη διαπραγμάτευση και λειτουργεί σε πλήρως αμφίδρομη κατάσταση, ο μεταγωγέας Catalyst 48

49 εξορισμού ρυθμίζει την αντίστοιχη θύρα του μεταγωγέα σε ημιαμφίδρομη κατάσταση λειτουργίας. Αυτή η διευθέτηση ημιαμφίδρομη κατάσταση λειτουργίας στο ένα άκρο και πλήρως αμφίδρομη στο άλλο άκρο προκαλεί σφάλματα καθυστερημένης σύγκρουσης στο πλήρως αμφίδρομο άκρο. Για να αποφύγετε αυτή την κατάσταση, ρυθμίστε μόνοι σας τις παραμέτρους αμφίδρομης κατάστασης λειτουργίας του μεταγωγέα ώστε να ταιριάζουν με αυτές της συσκευής. Αν η θύρα του μεταγωγέα βρίσκεται σε πλήρως αμφίδρομη κατάσταση λειτουργίας, και η συνδεδεμένη συσκευή σε ημιαμφίδρομη, ελέγξτε για σφάλματα ακολουθίας ελέγχου πλαισίου (frame check sequence FCS) και καθυστερημένες συγκρούσεις στη θύρα που είναι ρυθμισμένη σε πλήρως αμφίδρομη κατάσταση λειτουργίας. Για να ελέγξετε για σφάλματα σύγκρουσης ή FCS, χρησιμοποιήστε την εντολή show interfaces. Ένας υψηλός αριθμός καθυστερημένων συγκρούσεων συνήθως δείχνει κάποια ασυμφωνία στη διευθέτηση της αμφίδρομης κατάστασης λειτουργίας. Μια τέτοια ασυμφωνία έχει αποτέλεσμα την αργή απόκριση του δικτύου στο χρήστη. Μπορείτε να δείτε μετρητές καθυστερημένων συγκρούσεων στη δεύτερη επισημασμένη γραμμή του Παραδείγματος Διευθύνσεις MAC και διασυνδέσεις θυρών μεταγωγέα Catalyst 2960 Οι μεταγωγείς χρησιμοποιούν τον πίνακα διευθύνσεων MAC για να προωθούν κυκλοφορία μεταξύ των θυρών. Ο πίνακας MAC περιλαμβάνει δυναμικές, μόνιμες, και στατικές διευθύνσεις. Η καταχώριση της εντολής show mac address table έχει αποτέλεσμα την εμφάνιση του πίνακα διευθύνσεων MAC και σας βοηθάει να προσδιορίσετε πόσες δυναμικές, μόνιμες, και στατικές διευθύνσεις υπάρχουν και ποιος τύπος χρησιμοποιείται για κάθε διασύνδεση. (Δείτε το Παράδειγμα 6) Παράδειγμα 6 Η έξοδος της εντολής show mac address table εμφανίζει τον πίνακα διευθύνσεων MAC για τις διασυνδέσεις θυρών σε έναν καθοριζόμενο μεταγωγέα wg sw a#show mac-address-table Number of permanent addresses : 0 Number of restricted static addresses : 0 Number of dynamic addresses : β 49

50 3.3.1 Μόνιμες διευθύνσεις MAC Ένας διαχειριστής μπορεί να εκχωρεί με συγκεκριμένο τρόπο μόνιμες διευθύνσεις σε συγκεκριμένες θύρες με την εντολή mac address table static, η σύνταξη της οποίας είναι η εξής: wg_sw_d(config)#mac-address-table static διεύθυνση-mac αριθμός vlan τύπος άρθρωμα/θύρα Στον Πίνακα 2 περιγράφονται τα ορίσματα της εντολής mac address table static. Αντίθετα από τις δυναμικές διευθύνσεις, οι μόνιμες διευθύνσεις δεν "γηράζουν". Οι μεταγωγείς Catalyst 2960 μπορούν να κρατούν μέχρι 4096 διευθύνσεις MAC στον πίνακα διευθύνσεων MAC. Όταν ο πίνακας διευθύνσεων MAC είναι πλήρης, προκαλεί κατακλυσμό με τις νέες διευθύνσεις μέχρι μία από τις υπάρχουσες καταχωρίσεις να "γηράσει". Για να διασφαλίσετε ότι μια διεύθυνση θα βρίσκεται πάντα στον πίνακα MAC, μπορείτε να χρησιμοποιήσετε την καθολική εντολή διευθέτησης macaddress table static ώστε να συσχετίσετε μια μόνιμη διεύθυνση MAC με μια συγκεκριμένη διασύνδεση θύρας μεταγωγέα (που καθορίζεται από τα ορίσματα τύπος και άρθρωμα/θύρα). Για να διαγράψετε μια μόνιμη διεύθυνση MAC, χρησιμοποιήστε την εντολή no mac address table static. Πίνακας 2 Όρισμα διεύθυνση mac τύπος Vlan Ορίσματα της εντολής mac address table static Σημασία Μια διεύθυνση μονοεκπομπής MAC Τύπος διασύνδεσης: ethernet, fastethernet, fddi5 atm, ή port channel Αριθμός του Vlan που ανήκει η θύρα άρθρωμα/θύρα Αριθμός θύρας: 1 25 FastE thernet 26 και 27 GigaEthernet Μια μόνιμη διεύθυνση στον πίνακα διευθύνσεων MAC δεν "γηράζει", και όλες οι διασυνδέσεις μπορούν να στείλουν κυκλοφορία σε αυτή τη θύρα 5 ακόμη και αν η συσκευή μετακινηθεί. Για παράδειγμα, η εντολή: wg_sw_d(config)#mac-address-table static vlan 1 interface Fa0/3 καθορίζει ότι τα πλαίσια με διεύθυνση προορισμού MAC πρέπει να προωθηθούν έξω από τη διασύνδεση Fastethernet 0/3 του Vlan 1, και ότι όλες οι διασυνδέσεις μπορούν να στείλουν κυκλοφορία στη διεύθυνση

51 Για να επαληθεύσετε την επιτυχή εκχώρηση της μόνιμης διεύθυνσης MAC, καταχωρίστε την εντολή show mac address table, όπως φαίνεται στο Παράδειγμα 7. Παράδειγμα 7 Η έξοδος της εντολής show mac address table εμφανίζει τις μόνιμες διευθύνσεις MAC wg_sw_d#show mac-address-table Mac Address Table Vlan Mac Address Type Ports STATIC Fa0/1 3.4 Διευθέτηση VLAN Trunking Protocol (VTP) και εικονικών τοπικών δικτύων (VLAN) Χρησιμοποιήστε την καθολική εντολή διευθέτησης vtp για να καθορίσετε την κατάσταση λειτουργίας, το όνομα περιοχής, τον κωδικό πρόσβασης, τη δημιουργία παγίδων (traps), και τις δυνατότητες περικοπής (pruning) VTP. Η σύνταξη αυτής της εντολής είναι η εξής: switch(config)# vtp {[server transparent client] [domain όνομαπεριοχής] [trap (enable disable)] [password κωδικός-πρόσβασης] [pruning {enable disable}]} Για να επαληθεύσετε μια πρόσφατη αλλαγή διευθέτησης, ή για να δείτε απλώς τις πληροφορίες διευθέτησης VTP, χρησιμοποιήστε την προνομιακή εντολή show vtp status, με τον τρόπο που βλέπετε στο Παράδειγμα 8. Επίσης, με την εντολή αυτή εμφανίζεται η διεύθυνση IP της συσκευής που τροποποίησε τελευταία τη διευθέτηση, καθώς και η χρονική στιγμή που έγινε η τροποποίηση. To VTP έχει δύο εκδόσεις. Η έκδοση 1 του VTP υποστηρίζει μόνο το Ethernet. Η έκδοση 2 του VTP υποστηρίζει το Ethernet και το Token Ring. Παράδειγμα 8 wg_sw_d#show vtp status Έξοδος της εντολής show vtp status VTP Version : 2 51

52 Configuration Revision : 0 Maximum VLANs supported locally : 64 Number of existing VLANs : 5 VTP Operating Mode : Server VTP Domain Name : VTP Pruning Mode : Disabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0x7D 0x5A 0xA6 0x0E 0x9A 0x72 0xA0 0x3A Configuration last modified by at :00:00 Local updater ID is (no valid interface found) 3.5 Διευθέτηση ασφάλειας θύρας σε μεταγωγέα Catalyst 1900 Ένα άλλο μέτρο περιορισμού που βασίζεται στις διευθύνσεις MAC και εφαρμόζεται ως επιλογή του μεταγωγέα, είναι η ασφάλεια θύρας. Η ασφάλεια θύρας έχει τα εξής πλεονεκτήματα: Ορίζει μια διασύνδεση ως ασφαλή θύρα ώστε μόνο συγκεκριμένες συσκευές να μπορούν να συνδεθούν σε αυτή. Ορίζει το μέγιστο αριθμό διευθύνσεων MAC που επιτρέπονται στον πίνακα διευθύνσεων γι' αυτή τη θύρα (κυμαίνεται από 1 έως 132, όπου 132 είναι η προεπιλογή). Για να ενεργοποιήσετε την ασφάλεια διευθυνσιοδότησης, χρησιμοποιήστε την εντολή διευθέτησης διασύνδεσης port secure. Η σύνταξη αυτής της εντολής είναι η εξής: wg_sw_d(config-if)#switchport port-security maximum πλήθος Η τιμή πλήθος που δίνετε στην επιλογή max mac count ορίζει το μέγιστο αριθμό διευθύνσεων που επιτρέπονται στη θύρα. Για παράδειγμα, προκειμένου να ορίσετε σε 1 το μέγιστο αριθμό διευθύνσεων που θα επιτρέπεται να συνδεθούν στη διασύνδεση e0/4, καταχωρίστε την επόμενη εντολή: wg_sw_d(config)#interface Fa0/1 wg_sw_d(config-if)#switchport port-security maximum 5 Για να απενεργοποιήσετε την ασφαλή διευθυνσιοδότηση, ή για να ορίσετε το μέγιστο προεπιλεγμένο αριθμό (132) των διευθύνσεων που θα επιτρέπονται στη διασύνδεση, χρησιμοποιήστε την εντολή no port secure. 52

53 Οι ασφαλείς θύρες περιορίζουν τη χρήση μιας θύρας σε μια οριζόμενη από το χρήστη ομάδα σταθμών. Ο αριθμός των συσκευών σε μια ασφαλή θύρα μπορεί να κυμαίνεται από 1 έως 132. Οι διευθύνσεις MAC για τις συσκευές σε μια ασφαλή θύρα εκχωρούνται στατικά από ένα διαχειριστή ή μαθαίνονται με "αυτοδιδασκαλία" (sticky learned). Η εκμάθηση με "αυτοδιδασκαλία" συμβαίνει όταν ο πίνακας διευθύνσεων για μια ασφαλισμένη θύρα δεν είναι συμπληρωμένος με στατικές διευθύνσεις. Η θύρα μαθαίνει με αυτοδιδασκαλία τη διεύθυνση. Για να εμφανίσετε και να ελέγξετε τις ρυθμίσεις της ασφάλειας θύρας, χρησιμοποιήστε την προνομιακή εντολή show port security interface. Στο Παράδειγμα 9 βλέπετε ένα δείγμα εξόδου τής εντολής show port security interface. Παράδειγμα 9 Η έξοδος της εντολής show port security interface εμφανίζει τις ρυθμίσεις για την ασφάλεια θύρας wg_sw_d#show port-security interface Fa0/1 Port Security Port Status Violation Mode Aging Time Aging Type : Disabled : Secure-down : Shutdown : 0 mins : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 5 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address:Vlan : :0 Security Violation Count : Διευθέτηση γραμμής ζεύξης Για να ορίσετε μια θύρα GigabitEthernet στην κατάσταση ζεύξης (trunk mode), χρησιμοποιήστε την εντολή διευθέτησης διασύνδεσης trunk. Ο μεταγωγέας Catalyst 2960 υποστηρίζει το πρωτόκολλο DISL (Dynamic Inter Switch Link Δυναμικός Διαμεταγωγικός Σύνδεσμος). To DISL διαχειρίζεται την αυτόματη διαπραγμάτευση ζεύξης ISL. Η σύνταξη της ε ντολής διευθέτησης διασύνδεσης trunk είναι η εξής: wg_sw_d(config-if)#switchport trunk allowed vlan add 1 Οι επιλογές για την εντολή trunk είναι οι ακόλουθες: 53

54 WORD VLAN IDs of the allowed VLANs when this port is in trunking mode add add VLANs to the current list all all VLANs except all VLANs except the following none no VLANs remove remove VLANs from the current list 3.7 Διευθέτηση και προσθήκη VLAN Για να διευθετήσετε ένα VLAN, χρησιμοποιήστε την καθολική εντολή διευθέτησης vlan. Η σύνταξη της εντολής αυτής είναι η εξής: vlan vlan# [name όνομα ν1άπ] Κάθε VLAN έχει ένα μοναδικό τετραψήφιο αναγνωριστικό (ID) που μπορεί να είναι οποιοσδήποτε αριθμός από 0001 έως Για να προσθέσετε ένα VLAN στη βάση δεδομένων VLAN, αναθέστε στο VLAN έναν αριθμό και ένα όνομα. Τα προεπιλεγμένα από το εργοστάσιο VLAN είναι τα VLAN1, VLAN1002, VLAN1003, VLAN1004, και VLAN1005. Αυτά τα VLAN υπάρχουν σε όλους τους μεταγωγείς Catalyst και χρησιμοποιούνται ως προεπιλεγμένα VLAN για άλλες τοπολογίες, όπως Token Ring και FDDL Κανένα προεπιλεγμένο VLAN δεν μπορεί να τροποποιηθεί ή να διαγραφεί. Για να προσθέσετε ένα VLAN τύπου Ethernet, πρέπει να καθορίσετε τουλάχιστον έναν αριθμό VLAN. Αν δεν καταχωριστεί κανένα όνομα VLAN, εξ ορισμού προστίθεται ο αριθμός VLAN στη λέξη VLAN. Για παράδειγμα, αν δεν οριστεί κανένα όνομα για το VLAN4, ένα προεπιλεγμένο όνομα θα μπορούσε να είναι το VLAN0004. Θυμηθείτε ότι, για να είναι δυνατή η προσθήκη, η τροποποίηση, ή η διαγραφή VLAN, ο μεταγωγέας πρέπει να βρίσκεται στην κατάσταση διακομιστή VTP ή στη διαφανή κατάσταση Έλεγχος VLAN ή τροποποίηση παραμέτρων VLAN Όταν διευθετηθεί ένα VLAN, πρέπει να επαληθεύσουμε τις παραμέτρους του για να εξασφαλίσουμε την εγκυρότητα τους. Για να ελέγξετε τις παραμέτρους ενός VLAN, χρησιμοποιήστε την προνομιακή εντολή show vlan id vlan# ώστε να εμφανίσετε 54

55 πληροφορίες για το συγκεκριμένο VLAN. Με την εντολή show vlan εμφανίζετε όλα τα διευθετημένα VLAN. Στην έξοδο της εντολής show vlan στο Παράδειγμα 10, φαίνεται επίσης και ποιες θύρες μεταγωγέα έχουν αντιστοιχιστεί στο VLAN. Παράδειγμα 10 Έξοδος της εντολής show vlan id 1004 wg_sw_d#show vlan id 1004 VLAN Name Status Ports fddinet-default active VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans enet Άλλες παράμετροι VLAN που παρουσιάζονται στο Παράδειγμα 10 είναι ο τύπος (type η προεπιλογή είναι Ethernet), το SAID (που χρησιμοποιείται για τη γραμμή ζεύξης FDDI), η MTU (η προεπιλογή είναι 1500 για VLAN Ethernet), το πρωτόκολλο STP (ο μεταγωγέας 2960 υποστηρίζει μόνο το πρότυπο Spanning Tree Protocol 802.ID), και άλλες παράμετροι που χρησιμοποιούνται για VLAN Token Ring ή FDDI. Για να τροποποιήσετε μια υπάρχουσα παράμετρο VLAN (όπως το όνομα VLAN), χρησιμοποιήστε την ίδια σύνταξη εντολής που εφαρμόζεται για την προσθήκη ενός VLAN. Στο Παράδειγμα 11, το όνομα VLAN για το VLAN9 αλλάζει σε temporary. Παράδειγμα 11 Αλλαγή ονόματος VLAN wg_sw_d#configure terminal Enter-configuration commands, one per line. End with CNTL/Z wg_sw_d(config)#vlan 9 wg_sw_d(config-vlan)#name temporary 55

56 Για να επαληθεύσετε την αλλαγή, χρησιμοποιήστε την εντολή show vlan 9, όπως φαίνεται στο Παράδειγμα 12. Παράδειγμα 12 wg_sw_d#show vlan id 9 Επαλήθευση της τροποποίησης VLAN VLAN Name Status Ports temporary active VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans enet Εμφάνιση κατάστασης διευθέτησης Πρωτοκόλλου Συνδετικού Δένδρου Για να εμφανίσετε την κατάσταση διευθέτησης του Πρωτοκόλλου Συνδετικού Δένδρου (Spanning Tree Protocol) στο μεταγωγέα, χρησιμοποιήστε την προνομιακή εντολή show spantree, με τον τρόπο που βλέπετε στο Παράδειγμα 13. Η βασική σύνταξη για την προνομιακή εντολή EXEC show spantree vlan είναι η εξής: switch# show spantree vlan [αριθμός_νlan] Το Παράδειγμα 13 παρουσιάζει διάφορες πληροφορίες του συνδετικού δέντρου για το VLAN1,όπως: Η θύρα Fa0/1 βρίσκεται στην κατάσταση προώθησης για το VLAN1. Η ριζική γέφυρα για το VLAN1 έχει προτεραιότητα γέφυρας 0 και διεύθυνση MAC E0C.1C84. Ο μεταγωγέας εκτελεί το Πρωτόκολλο Συνδετικού Δένδρου IEEE 802.Id. Παράδειγμα 13 Έξοδος της εντολής show spantree vlan 56

57 wg_sw_d#show spanning-tree vlan 1 VLAN0001 Spanning tree enabled protocol ieee Root ID Priority Address E0C.1C84 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority (priority sys-id-ext 1) Address E0C.1C84 Aging Time 300 Interface Role Sts Cost Prio.Nbr Type Fa0/1 Desg FWD Shr Fa0/2 Desg FWD Shr Fa1/1 Desg FWD Shr 3.9 Εμφάνιση πληροφοριών μεταγωγέα IOS Το IOS είναι το λειτουργικό λογισμικό που εκτελεί τις σημαντικές λειτουργίες του μεταγγέα και παρέχει τη διασύνδεση διαχείρισης για τη διευθέτηση του. Για να εμφανίσετε βασικές πληροφορίες σχετικά με το υλικό και την έκδοση του λογισμικού IOS της Cisco, χρησιμοποιήστε την προνομιακή εντολή show version, όπως φαίνεται στο Παράδειγμα 15. Παράδειγμα 15 wg_sw_d#show version Η έξοδος της εντολής show version εμφανίζει πληροφορίες σχετικά με το υλικό και το λογισμικό IOS του μεταγωγέα Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)FX, RELEASE SOFTWARE (fc1) Copyright (c) by Cisco Systems, Inc. Compiled Wed 12-Oct-05 22:05 by pt_team 57

58 ROM: C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(25r)FX, RELEASE SOFTWARE (fc4) System returned to ROM by power-on Cisco WS-C TT (RC32300) processor (revision C0) with 21039K bytes of memory. 24 FastEthernet/IEEE interface(s) 2 Gigabit Ethernet/IEEE interface(s) 64K bytes of flash-simulated non-volatile configuration memory. Base ethernet MAC Address : E0C.1C84 Motherboard assembly number : Power supply part number : Motherboard serial number : FOC103248MJ Power supply serial number : DCA102133JA Model revision number : B0 Motherboard revision number : C0 Model number : WS-C TT System serial number : FOC1033Z1EY Top Assembly Part Number : Top Assembly Revision Number : B0 Version ID : V02 CLEI Code Number : COM3K00BRA Hardware Board Revision Number : 0x01 Switch Ports Model SW Version SW Image * 1 26 WS-C TT 12.2 C2960-LANBASE-M Configuration register is 0xF Όπως φαίνεται στο Παράδειγμα 15, η εντολή show version εμφανίζει πολύτιμες πληροφορίες για τη λειτουργία τού λογισμικού τού μεταγωγέα, όπως ο αριθμός έκδοσης, πληροφορίες μνήμης, και ο χρόνος λειτουργίας (uptime). 58

59 3.10 Διαχείριση αρχείων διευθέτησης μεταγωγέα Επίσης σημαντική είναι και η διαχείριση των αρχείων διευθέτησης του μεταγωγέα. Είναι χρήσιμο να αντιγράφετε αυτά τα αρχεία σε και από ένα διακομιστή TFTP. Για να ανεβάσετε (upload) την τρέχουσα διευθέτηση σε ένα διακομιστή TFTP, χρησιμοποιήστε την εντολή copy nvram tftp. Η σύνταξη αυτής της εντολής είναι η εξής: wg_sw_d#copy running-config tftp: Για παράδειγμα, προκειμένου να ανεβάσετε το τρέχον αρχείο διευθέτησης του Μεταγωγέα Α σε ένα διακομιστή TFTP με διεύθυνση IP , όπου το αρχείο προορισμού έχει το όνομα wgswd.cfg, καταχωρίστε την επόμενη εντολή: Address or name of remote host []? ftp:// Destination filename [wg_sw_d-confg]? Backup Για να κατεβάσετε (download) το τρέχον αρχείο διευθέτησης από ένα διακομιστή TFTP, χρησιμοποιήστε την εντολή copy tftp nvram. Η σύνταξη αυτής της εντολής είναι η εξής: wg_sw_d#copy tftp: running-config Για παράδειγμα, προκειμένου να κατεβάσετε ένα αρχείο διευθέτησης από ένα διακομιστή TFTP με διεύθυνση IP στη μνήμη flash του Μεταγωγέα Α, καταχωρίστε την επόμενη εντολή: wg_sw_d#copy tftp: running-config Address or name of remote host []? ftp:// Source filename []? Backup Destination filename [running-config]? Running Config Στο μεταγωγέα Catalyst 2960, η τρέχουσα διευθέτηση αποθηκεύεται αυτόματα στη μνήμη NVRAM όταν γίνεται μια αλλαγή. Αν, για κάποιο λόγο, χρειάζεται να γίνει επαναφορά των εργοστασιακών ρυθμίσεων στη συσκευή, πρέπει να διαγράψετε τη διευθέτηση του μεταγωγέα χρησιμοποιώντας την προνομιακή εντολή delete flash. Για παράδειγμα, για να επαναφέρετε τις προεπιλεγμένες εργοστασιακές ρυθμίσεις στο Μεταγωγέα Δ, πληκτρολογήστε τα εξής: wg sw d#delete flash Delete filename []? file Delete flash:/ file? [confirm] yes 59

60 3.11 Σύνοψη εντολών μεταγωγέα Catalyst 2960 Ο Πίνακας 3 παρουσιάζει μερικές χρήσιμες εντολές που περιγράψαμε σε αυτό το κεφάλαιο. Πίνακας 3 Εντολές διευθέτησης του μεταγωγέα Catalyst 2960 Εντολή ip address διεύθυνση μάσκα Περιγραφή Ρυθμίζει τη διεύθυνση IP για τη διαχείριση του μεταγωγέα μέσα στο εύρος ζώνης. ip default gateway show ip Ορίζει την προεπιλεγμένη πύλη δικτύου ώστε η διασύνδεση διαχείρισης να μπορεί να προσεγγιστεί από ένα απομακρυσμένο δίκτυο. Εμφανίζει τη ρύθμιση της διεύθυνση IP. show interfaces Εμφανίζει πληροφορίες της διασύνδεσης. mac address table permanent διεύθυνση mac τύπος άρθρωμα/θύρα mac address table restricted static διεύθυνσηmac τύπος άρθρωμα/θύρα λίσταδιασυνδέσεων προέλευσης port secure [max mac count πλήθος] show mac address table {security} address violation delete vtp vtp domain όνομα transparent show vtp interface αριθμός_διασύν δέσης trunk on Ορίζει μια μόνιμη διεύθυνση MAC. Ορίζει μια περιορισμένη στατική διεύθυνση MAC. Ρυθμίζει την ασφάλεια της θύρας. Εμφανίζει τον πίνακα διευθύνσεων MAC Η επιλογή security εμφανίζει πληροφορίες για τις ρυθμίσεις των περιορισμένων ή στατικών διευθύνσεων. Ορίζει την ενέργεια που θα εκτελείται από το μεταγωγέα όταν συμβαίνει παραβίαση ασφάλειας διεύθυνσης. Επαναφέρει τον αριθμό αναθεώρησης VTP και όλες τις παραμέτρους VTP στις εργοστασιακές τους ρυθμίσεις. Αναθέτει ένα όνομα περιοχής VTP και ορίζει διαφανή κατάσταση. Εμφανίζει την κατάσταση VTP. Διευθετεί μια διασύνδεση γραμμής ζεύξης. show trunk Εμφανίζει την κατάσταση της γραμμής ζεύξης. vlan vlan# όνομα όνομα vlan Ορίζει ένα VLAN και ένα όνομα VLAN. 60

61 Εντολή show vlan interface αριθμός διασύνδεσης vlanmembership static vlantt Εντολή show vlan membership Περιγραφή Εμφανίζει πληροφορίες VLAN. Αναθέτει μια θύρα σε ένα VLAN. Εμφανίζει την κατάσταση συμμετοχής σε VLAN. show spantree vlan# show version Εμφανίζει πληροφορίες για το συνδετικό δέντρο (spanning tree) ενός VLAN. Εμφανίζει πληροφορίες έκδοσης. copy tftp:// /config.cfg nvram Αντιγράφει ένα αρχείο διευθέτησης από το διάκομιστή TFTP στη διεύθυνση IP copy nvram ftp:// /config.cfg Αποθηκεύει ένα αρχείο διευθέτησης στο διάκο μιστή TFTP στη διεύθυνση IP delete nvram Αφαιρεί όλες τις παραμέτρους διευθέτησης και επαναφέρει το μεταγωγέα στις προεπιλεγμένες εργοστασιακές ρυθμίσεις του 61

62 Βιβλιογραφία 4. Catalyst 2960 Switch Hardware Installation Guide, Cisco Systems Inc, February CCNA αυτοδιδασκαλία: διασύνδεση συσκευών δικτύου Cisco (ICND), CCNA self study., Steve McQuerry. Κλειδάριθμος, 2005 Ηλεκτρονικές Πηγές 7. Basics of Cisco Switch Administration 8. What is dynamic routing? doc/dfht1/dfht1mk.htm 9. Cisco CCENT: Basic IOS Commands for Routers and Switches ccent basic ios commands for routers andswitches/ / 10. Wikipedia Cisco Wikipedia Cisco IOS 62

63 Κεφάλαιο 4 ο Static routing Εισαγωγή Στατική δρομολόγηση (static routing) Άσκηση Λύση 63

64 Περίληψη Στο σημερινό εργαστήριο θα μάθετε την έννοια της στατικής δρομολόγησης, για ποιον λόγο προτιμάται κάποιες φορές από τη δυναμική καθώς και να προγραμματίζεται τους δρομολογητές με στατικές διαδρομές. 4.1 Εισαγωγή Για να μπορεί ένας δρομολογητής να μεταφέρει οποιαδήποτε πληροφορία θα πρέπει να ισχύουν τα ακόλουθα: να γνωρίζει τη διεύθυνση προορισμού (destination address) της πληροφορίας που πρέπει να δρομολογηθεί να καθορίζει τις πηγές πληροφορίας (άλλους δρομολογητές), από τις οποίες μπορεί να μάθει τη διαδρομή προς το συγκεκριμένο προορισμό να ανακαλύπτει νέους δρόμους ή διαδρομές (routes) προς τον προορισμό να επιλέγει τους βέλτιστους δρόμους προς τον προορισμό να συντηρεί την πληροφορία δρομολόγησης, έτσι ώστε να εγγυάται η συνέχεια της ύπαρξης δρόμων προς τους προορισμούς Η πληροφορία δρομολόγησης τοποθετείται στον πίνακα δρομολόγησης (routing table) του κάθε δρομολογητή. Βασιζόμενος στον πίνακα δρομολόγησης ο δρομολογητής αποφασίζει πού θα στείλει την πληροφορία. Όταν οι hosts αφετηρίας και προορισμού ανήκουν στο ίδιο δίκτυο /υποδίκτυο η παράδοση της πληροφορίας γίνεται χωρίς να παρεμβάλλεται ο δρομολογητής (άμεση δρομολόγηση direct routing). Όταν ο host προορισμού ανήκει σε διαφορετικό δίκτυο /υποδίκτυο, θα πρέπει ο δρομολογητής να γνωρίζει το βέλτιστο δρόμο προς αυτό (έμμεση δρομολόγηση indirect routing). 64

65 Ο πίνακας δρομολόγησης είναι αποθηκευμένος στη μνήμη RAM του δρομολογητή και περιέχει τις ακόλουθες καταχωρήσεις: τους άμεσους δρόμους (direct routes) για τα τοπικά δίκτυα /δίκτυα τους έμμεσους δρόμους (indirect routes) για τα δίκτυα /υποδίκτυα τα οποία είναι προσπελάσιμα μέσω ενός ή περισσότερων δρομολογητών Η πληροφορία αυτή μπορεί να γίνει γνωστή (εισαγωγή της στον πίνακα δρομολόγησης) με τους παρακάτω τρόπους: χειροκίνητα από το διαχειριστή του δικτύου (static routing) μέσω δυναμικών διεργασιών (πρωτόκολλα δρομολόγηση routing protocols) που τρέχουν στο δίκτυο (dynamic routing) Στο παραπάνω δίκτυο ο πίνακας δρομολόγησης του R1 μπορεί να περιέχει καταχωρίσεις για τον προορισμό (destination network), τον τρόπο δρομολόγησης και τη διασύνδεση (interface) από την οποία θα σταλθούν τα δεδομένα. routing protocol destination network exit interface connected fa0/0 RIP s0/0 4.2 Στατική δρομολόγηση (static routing) Στη στατική δρομολόγηση ο διαχειριστής του δικτύου ρυθμίζει χειροκίνητα στο δρομολογητή το δρόμο για τα δίκτυα προορισμού. Όταν υπάρξει μια αλλαγή στην τοπολογία του δικτύου θα πρέπει ο διαχειριστής του να ενημερώνει τους πίνακες δρομολόγησης. Εύκολα γίνεται αντιληπτό ότι σε μεγάλα δίκτυα με πολλούς δρομολογητές η 65

66 διαχείριση των πινάκων δρομολόγησης τους γίνεται πολύ δύσκολη. Τα πλεονεκτήματα της στατικής δρομολόγησης είναι τα παρακάτω: μικρός φόρτος στον επεξεργαστή του δρομολογητή δε χρησιμοποιείται μέρος της χωρητικότητας της γραμμής για την ανταλλαγή πληροφοριών δρομολόγησης, όπως γίνεται στη δυναμική δρομολόγηση μεγαλύτερη ασφάλεια, διότι μόνο ο διαχειριστής επιτρέπει την πρόσβαση σε συγκεκριμένα δίκτυα. Τα μειονεκτήματα της στατικής δρομολόγησης είναι τα παρακάτω:σε μεγάλα δίκτυα θα πρέπει ο διαχειριστής να έχει πλήρη εικόνα του δικτύου αν προστεθεί ένα καινούργιο δίκτυο θα πρέπει ο διαχειριστής να ενημερώσει τους πίνακες δρομολόγησης σε κάθε δρομολογητή του δικτύου η διαχείρηση του δικτύου είναι πολύ χρονοβόρα Η σύνταξη της εντολής για τη χρήση στατικής δρομολόγησης είναι: Router(config)#ip route network [mask] {address interface} [distance] [permanent] όπου: network, το δίκτυο προορισμού mask, η μάσκα του δικτύου προορισμού address, η ΙΡ διεύθυνση του επόμενου δρομολογητή που θα δεχθεί τα δεδομένα και θα τα προωθήσει στο δίκτυο προορισμού interface, το interface το οποίο οδηγεί στο δίκτυο προορισμού. Μπορεί να χρησιμοποιηθεί στη θέση της παραπάνω ΙΡ διεύθυνσης. Ισχύει μόνο για WAN pointtopoint συνδέσεις. distance, εξ ορισμού έχει τιμή 1. Χρησιμοποιείται στην περίπτωση που υπάρχουν πολλαπλές καταχωρήσεις στον πίνακα δρομολόγησης για τον ίδιο προορισμό permanent, αν το interface του δρομολογητή απενεργοποιηθεί ή υπάρξει βλάβης στη σύνδεση με τον επόμενο δρομολογητή η στατική δρομολόγηση αυτόματα θα διαγραφεί από τον πίνακα δρομολόγησης. Με την επιλογή αυτή η στατική δρομολόγηση παραμένει μόνιμα στον πίνακα. 66

67 4.3 Άσκηση Σας δίνετε το παρακάτω σενάριο το οποίο και πρέπει να υλοποιήσετε. Ονομάστε τον πρώτο δρομολογητή Router1 και τον δεύτερο Router2. Αποδώστε στο FastEthernet0 interface του πρώτου δρομολογητή διεύθυνση IP με μάσκα υποδικτύου την και στο FastEthernet0 interface του δεύτερου δρομολογητή διεύθυνση IP με μάσκα υποδικτύου την Έπειτα αποδώστε στον υπολογιστή Α διεύθυνση IP /24 με προεπιλεγμένη πύλη την και στον υπολογιστή Β διεύθυνση IP /24 με προεπιλεγμένη πύλη την Ρυθμίστε τα FastEthernet1 interfaces των δύο δρομολογητών με ip διευθύνσεις /24 και /24 αντίστοιχα. Να κάνετε το configuration των δρομολογητών με στατική δρομολόγηση έτσι ώστε να μπορείτε να κάνετε ping από τον υπολογιστή Α στον υπολογιστή Β και αντίστροφα. Εμφανίστε σε κάθε δρομολογητή τον πίνακα δρομολόγησης και διαπιστώστε τα αποτελέσματα. 4.4 Λύση Για τον πρώτο δρομολογητή Router>enable Router#configure terminal Router(config)#hostname Router1 Router1(config)#interface fastethernet0 Router1(config-if)#ip address Router1(config-if)#no shutdown Router1(config-if)#exit Router1(config)#interface fastethernet1 Router1(config-if)#ip address Router1(config-if)#no shutdown Router1(config-if)#exit Router1(config)# ip route Για τον δεύτερο δρομολογητή Router>enable 67

68 Router#configure terminal Router(config)#hostname Router2 Router2(config)#interface fastethernet0 Router2(config-if)#ip address Router2(config-if)#no shutdown Router2(config-if)#exit Router2(config)#interface fastethernet1 Router2(config-if)#ip address Router2(config-if)#no shutdown Router2(config-if)#exit Router2(config)# ip route Για την εμφάνιση του πίνακα δρομολόγησης Router1#show ip route Router2#show ip route Για τον έλεγχο C:\>ping Γίνεται ping στο με 32 bytes δεδομένων Απάντηση από: : bytes=32 χρόνος=26ms TTL=57 Απάντηση από: : bytes=32 χρόνος=26ms TTL=57 Απάντηση από: : bytes=32 χρόνος=26ms TTL=57 Απάντηση από: : bytes=32 χρόνος=26ms TTL=57 68

69 Κεφάλαιο 5 ο Dynamic Routing Αλγόριθμοι δρομολόγησης (Routing algorithms) Routing Information Protocol (RIP) Ρύθμιση του πρωτόκολλου RIP OSPF (Open Shortest Path First) 69

70 Ρύθμιση του πρωτόκολλου OSPF Σύγκριση RIP v OSPF Ασκήσεις Λύσεις 70

71 Περίληψη Στο σημερινό εργαστήριο θα μάθετε την έννοια της δυναμικής δρομολόγησης καθώς και πώς λειτουργούν τα δύο επικρατέστερα πρωτόκολλα δυναμικής δρομολόγησης το RIP και το OSPF. 5.1 Εισαγωγή Τα πρωτόκολλα δρομολόγησης (routing protocols) είναι υπεύθυνα για: την επιλογή του καλύτερου δρόμου προς οποιοδήποτε δίκτυο/υποδίκτυο προορισμού την κατάλληλη ενημέρωση των πινάκων δρομολόγησης την ανταλλαγή πληροφοριών δρομολόγησης μεταξύ των δρομολογητών ενός δικτύου. Υπάρχουν δυο βασικά πρωτόκολλα δρομολόγησης: τα εσωτερικά πρωτόκολλα πύλης IGP (Interior Gateway Protocols) τα οποία χρησιμοποιούνται για την επικοινωνία των δρομολογητών και την ανταλλαγή των πινάκων δρομολόγησης τους σε ένα αυτόνομο σύστημα (autonomous system). ( π.χ RIP, OSPF) Αυτόνομο σύστημα είναι ένα σύνολο δικτύων που εποπτεύονται από μια κοινή αρχή διαχείρησης. τα εξωτερικά πρωτόκολλα πύλης EGP (Exterior Gateway Protocols) τα οποία χρησιμοποιούνται για την επικοινωνία των δρομολογητών και την ανταλλαγή των πινάκων δρομολόγησης τους μεταξύ αυτόνομων συστημάτων. (π.χ BGP) 71

72 5.2 Αλγόριθμοι δρομολόγησης (Routing algorithms) Βασική λειτουργία των πρωτοκόλλων δρομολόγησης είναι η εύρεση και η επιλογή του καλύτερου δρόμου για τα δίκτυα προορισμού με τη χρήση κατάλληλων αλγορίθμων δρομολόγησης (routing algorithms). Ο αλγόριθμος δρομολόγησης δημιουργεί έναν αριθμό, τον οποίο ονομάζουμε τιμή κόστους (metric), για κάθε διαδρομή στο δίκτυο. Η διαδρομή με το μικρότερο κόστος για τον ίδιο προορισμό καταχωρείται τελικά στον πίνακα δρομολόγησης. Ανάλογα με την υλοποίηση, ως κόστος μπορεί να χρησιμοποιηθεί ο αριθμός των δρομολογητών (hop count) που περνά το μήνυμα μέχρι να φτάσει στον προορισμό του, το εύρος ζώνης της γραμμής (bandwidth), η καθυστέρηση (delay), το φορτίο της γραμμής (load) και μια σειρά άλλων παραμέτρων ή ένας συνδυασμός από αυτές. Οι αλγόριθμοι δρομολόγησης χωρίζονται σε δυο κατηγορίες: αλγόριθμοι διανύσματος απόστασης (Distance Vector Algorithms), όπου οι πίνακες δρομολόγησης αποτελούνται από μια σειρά από προορισμούς (vectors) και κόστη τις αποστάσεις (distances) που διανύονται για την προσέγγιση του προορισμού. αλγόριθμοι της κατάστασης της σύνδεσης (Link State Algorithms) 5.3 Routing Information Protocol (RIP) Το πρωτόκολλο RIP χρησιμοποιεί τον αλγόριθμο διανύσματος απόστασης και είναι κατάλληλο για τη λειτουργία μικρών δικτύων. Στους πίνακες δρομολόγησης που προκύπτουν υπάρχουν πληροφορίες για το δρόμο και το κόστος της απόστασης προς τα δίκτυα προορισμού. Ως κόστος χρησιμοποιείται ο αριθμός των ενδιάμεσων δρομολογητών μέχρι να φτάσουμε στο δίκτυο προορισμού (hop count). Ο αριθμός των ενδιάμεσων 72

73 δρομολογητών μέχρι το δίκτυο προορισμού μπορεί να είναι μέχρι 15. Στο πρωτόκολλο RIP οι δρομολογητές περιοδικά (κάθε 30 δευτερόλεπτα), ανακοινώνουν ολόκληρο το περιεχόμενο του πίνακα δρομολόγησής τους, στους άμεσα γειτονικούς δρομολογητές. Ο πίνακας δρομολόγησης μπορεί να μεταδοθεί κι όταν υπάρξει κάποια αλλαγή στην τοπολογία του δικτύου. Έτσι επιτρέπεται στο κάθε δρομολογητή να βλέπει το δίκτυο του γειτονικού δρομολογητή και να προσθέτει το ανάλογο κόστος στην απόσταση που έχει ήδη προσθέσει ο δεύτερος. Το μειονέκτημα της προσέγγισης αυτής είναι ότι καθώς το δίκτυο μεγαλώνει, ανταλλάσσεται ένα μεγάλο ποσό πληροφορίας ανά τακτά χρονικά διαστήματα, ακόμα κι όταν η τοπολογία του δικτύου δεν έχει αλλάξει, με αποτέλεσμα να περιορίζεται το διαθέσιμο εύρος ζώνης και να αυξάνεται ο χρόνος σύγκλισης. Ως χρόνος σύγκλισης (convergence time), ορίζεται ο χρόνος που περνά μέχρι όλοι οι δρομολογητές να συμφωνήσουν σχετικά με την τοπολογία του δικτύου, από τη στιγμή που θα προκύψει μια αλλαγή. Όταν αλλάζει η τοπολογία του δικτύου, εκτελείται ο αλγόριθμος δρομολόγησης και σταματά η κίνηση των δεδομένων που μεταφέρει ο δρομολογητής προς τα διάφορα interfaces του, γιατί δεν γνωρίζει αν το δίκτυο προορισμού είναι διαθέσιμο ή όχι. Άρα, όσο πιο γρήγορα γίνεται η σύγκλιση τόσο πιο γρήγορα θα μεταφερθούν τελικά τα δεδομένα προς τον προορισμό τους. Σύμφωνα με τα παραπάνω οι πίνακες δρομολόγησης που προκύπτουν στο παραπάνω δίκτυο θα είναι: R1 network next hop router metric LAN1 connected 0 LAN2 R2 1 LAN3 R3 2 R2 network next hop router metric LAN1 R1 1 LAN2 connected 0 LAN3 R3 1 R3 network next hop router metric 73

74 LAN1 R2 2 LAN2 R2 1 LAN3 connected 0 Υπάρχουν δυο εκδόσεις του πρωτόκολλου RIP: η έκδοση RIP 1, όπου δεν στέλνεται η μάσκα υποδικτύωσης μαζί με τους πίνακες δρομολόγησης (classful routing). Όλα τα δίκτυα πρέπει να έχουν τη default μάσκα, η έκδοση RIP 2, όπου μαζί με τους πίνακες δρομολόγησης στέλνεται και η μάσκα υποδικτύωσης (classless routing) Ρύθμιση του πρωτόκολλου RIP Η ρύθμιση του πρωτοκόλλου RIP γίνεται με τις παρακάτω εντολές: όπου network number, τα απ ευθείας συνδεδεμένα δίκτυα στα interfaces του δρομολογητή. Για την επαλήθευση του πρωτόκολλου RIP χρησιμοποιείται η εντολή: show ip protocols Για την εμφάνιση του πίνακα δρομολόγησης χρησιμοποιείται η εντολή: show ip route 5.4 OSPF (Open Shortest Path First) Το OSPF είναι πρωτόκολλο δρομολόγησης IP δικτύων. Είναι ένα πρωτόκολλο τύπου IGP( Interior Gateway Protocol), δηλαδή διανέμει την πληροφορία εντός ενός αυτόνομου συστήματος παρότι μπορεί να στείλει και να λάβει διαδρομές και από άλλα. Βασίζεται στον 74

75 αλγόριθμο του Dijkstra. Δεν υπάρχει περιορισμός στον αριθμό των hops, ενώ το RIP περιορίζεται στα 15 hops. Έχει τη δυνατότητα να σπάσει το IP δίκτυο σε πολλά υποδίκτυα διαφόρων μεγεθών, παρέχοντας μεγαλύτερη ευελιξία στον διαχειριστή και επίσης παρέχει λειτουργία αυθεντικοποίησης των μηνυμάτων δρομολόγησης. Τέλος επιτρέπει τη μεταφορά και το μαρκάρισμα των διαδρομών οι οποίες εισάγονται σε ένα αυτόνομο σύστημα από εξωτερικά πρωτόκολλα Ρύθμιση του πρωτόκολλου OSPF Η ρύθμιση του πρωτοκόλλου OSPF γίνεται με τις παρακάτω εντολές σε configuration mode: Router(config)#router ospf <processid> Router(config-router)#network <network or IP address> <mask> <areaid> Το process id είναι μία αριθμητική αξία τοπική στο δρομολογητή και δεν είναι απαραίτητο να ταιριάζει με άλλα process ids που τρέχουν σε άλλους δρομολογητές η εντολή αυτή χρησιμοποιείται για να αναθέτει ένα interface σε συγκεκριμένη περιοχή, όπου area id ο αριθμός της περιοχής που θέλουμε να είναι το interface. Το mask τοποθετείται με αντίστροφη λογική σε σχέση με αυτά που έχουμε δει ως τώρα. Π.χ. ένα υποδίκτυο με subnet mask θα πρέπει εδώ να δηλωθεί ως Παράδειγμα interface Ethernet0 ip address interface Ethernet1 ip address Ορίζει ip διευθύνσεις στα διάφορα interfaces του δρομολογητή interface Ethernet2 ip address router ospf 100 network τοποθετεί και το Ε0 και το Ε1 στην ίδια περιοχή 10 75

76 area 10 network area 23 τοποθετεί το Ε2 στην περιοχή Σύγκριση RIP v OSPF RIP Οι RIP routers μαζεύουν μεγάλο ποσό άχρηστης πληροφορίας και δημιουργούνται λανθασμένες δρομολογήσεις λόγω της μεγάλης καθυστέρησης σύγκλισης Οι ενημερώσεις στέλνονται περιοδικά ανά 30 sec, αφορούν όλη την πληροφορία δρομολόγησης και γίνονται με broadcast μετάδοση Το γεγονός αυτό αυτόματα κάνει το RIP ακατάλληλο για χρήση σε ασύρματα δίκτυα Ακατάλληλο πρωτόκολλο για μεγάλα δίκτυα ή δίκτυα που αλλάζουν αρκετά γρήγορα και συχνά Η σύγκλιση μπορεί να πάρει αρκετά λεπτά, οι δρομολογητές κάνουν timeout πληροφορία που δεν έχει ληφθεί πρόσφατα Οι αποφάσεις δρομολόγησης λαμβάνονται με βάση μόνο των αριθμό των συνδέσεων και όχι το κόστος εύρος της κάθε σύνδεσης. Έτσι προτιμάται μια κοντινή διαδρομή έστω και αν υπάρχει μακρύτερη με περισσότερο εύρος OSPF Έχει καλύτερη γρηγορότερη σύγκλιση, διότι οι αλλαγές προωθούνται άμεσα και όχι περιοδικά. Αλλαγές στη δρομολόγηση συμβαίνουν άμεσα και όχι περιοδικά Οι ενημερώσεις στέλνονται μόνο σε περίπτωση αλλαγής και γίνονται με ip multicast μετάδοση 76

77 Λιγότερο overhead στο δίκτυο, ιδιότητα σημαντική για μεγάλα δίκτυα Οι αποφάσεις δρομολόγησης λαμβάνονται με βάση το κόστος των συνδέσεων και έτσι προτιμάται η αληθινά βέλτιστη διαδρομή Το αντίτιμο που πληρώνουμε για τις περισσότερες δυνατότητες του πρωτοκόλλου είναι η πολυπλοκότητα στην ρύθμιση και στην άρση βλαβών Επίσης απαιτείται περισσότερη επεξεργαστική ισχύς και μνήμη στους δρομολογητές. 5.6 Άσκηση 1 Σας δίνετε το παρακάτω σενάριο το οποίο και πρέπει να υλοποιήσετε. Ονομάστε τον πρώτο δρομολογητή Router1 και τον δεύτερο Router2. Αποδώστε στο FastEthernet0 interface του πρώτου δρομολογητή διεύθυνση IP με μάσκα υποδικτύου την και στο FastEthernet0 interface του δεύτερου δρομολογητή διεύθυνση IP με μάσκα υποδικτύου την Έπειτα αποδώστε στον υπολογιστή Α διεύθυνση IP /24 με προεπιλεγμένη πύλη την και στον υπολογιστή Β διεύθυνση IP /24 με προεπιλεγμένη πύλη την Ρυθμίστε τα FastEthernet1 interfaces των δύο δρομολογητών με ip διευθύνσεις /24 και /24 αντίστοιχα. Να κάνετε το configuration των δρομολογητών με το πρωτόκολλο RIP έτσι ώστε να μπορείτε να κάνετε ping από τον υπολογιστή Α στον υπολογιστή Β και αντίστροφα. Εμφανίστε σε κάθε δρομολογητή τον πίνακα δρομολόγησης και διαπιστώστε τα αποτελέσματα Λύση Για τον πρώτο δρομολογητή Router>enable Router#configure terminal Router(config)#hostname Router1 77

78 Router1(config)#interface fastethernet0 Router1(config-if)#ip address Router1(config-if)#no shutdown Router1(config-if)#exit Router1(config)#interface fastethernet1 Router1(config-if)#ip address Router1(config-if)#no shutdown Router1(config-if)#exit Router1(config)#router rip Router1(config-router)#network Router1(config-router)#network Για τον δεύτερο δρομολογητή Router>enable Router#configure terminal Router(config)#hostname Router2 Router2(config)#interface fastethernet0 Router2(config-if)#ip address Router2(config-if)#no shutdown Router2(config-if)#exit Router2(config)#interface fastethernet1 Router2(config-if)#ip address Router2(config-if)#no shutdown Router2(config-if)#exit Router2(config)#router rip Router2(config-router)#network Router2(config-router)#network Για την εμφάνιση του πίνακα δρομολόγησης Router1#show ip route Router2#show ip route Για τον έλεγχο C:\>ping Γίνεται ping στο με 32 bytes δεδομένων Απάντηση από: : bytes=32 χρόνος=26ms TTL=57 Απάντηση από: : bytes=32 χρόνος=26ms TTL=57 Απάντηση από: : bytes=32 χρόνος=26ms TTL=57 Απάντηση από: : bytes=32 χρόνος=26ms TTL=57 78

79 5.7 Άσκηση 2 Σας δίνετε το παρακάτω σενάριο το οποίο και πρέπει να υλοποιήσετε. Ονομάστε τον πρώτο δρομολογητή Router1 και τον δεύτερο Router2. Αποδώστε στο FastEthernet0 interface του πρώτου δρομολογητή διεύθυνση IP με μάσκα υποδικτύου την και στο FastEthernet0 interface του δεύτερου δρομολογητή διεύθυνση IP με μάσκα υποδικτύου την Έπειτα αποδώστε στον υπολογιστή Α διεύθυνση IP /24 με προεπιλεγμένη πύλη την και στον υπολογιστή Β διεύθυνση IP /24 με προεπιλεγμένη πύλη την Ρυθμίστε τα FastEthernet1 interfaces των δύο δρομολογητών με ip διευθύνσεις /24 και /24 αντίστοιχα. Να κάνετε το configuration των δρομολογητών με το πρωτόκολλο OSPF, τοποθετώντας τα υποδίκτυα στην περιοχή 0, έτσι ώστε να μπορείτε να κάνετε ping από τον υπολογιστή Α στον υπολογιστή Β και αντίστροφα. Εμφανίστε σε κάθε δρομολογητή τον πίνακα δρομολόγησης και διαπιστώστε τα αποτελέσματα. Area Λύση Για τον πρώτο δρομολογητή: 79

80 Router>enable Router#configure terminal Router(config)#hostname Router1 Router1(config)#interface fastethernet0 Router1(config-if)#ip address Router1(config-if)#no shutdown Router1(config-if)#exit Router1(config)#interface fastethernet1 Router1(config-if)#ip address Router1(config-if)#no shutdown Router1(config-if)#exit Router1(config-router)#router ospf 1 Router1(config-router)#network area 0 Router1(config-router)#network area 0 Για τον δεύτερο δρομολογητή Router>enable Router#configure terminal Router(config)#hostname Router2 Router2(config)#interface fastethernet 0/0 Router2(config-if)#ip address Router2(config-if)#no shutdown Router2(config-if)#exit Router2(config)#interface fastethernet1 Router2(config-if)#ip address Router2(config-if)#no shutdown Router2(config-if)#exit Router2(config-router)#router ospf 1 Router2(config-router)#network area 0 Router2(config-router)#network area 0 Για την εμφάνιση του πίνακα δρομολόγησης Router1#show ip route Router2#show ip route Για τον έλεγχο C:\>ping Γίνεται ping στο με 32 bytes δεδομένων Απάντηση από: : bytes=32 χρόνος=26ms TTL=57 80

81 Απάντηση από: : bytes=32 χρόνος=26ms TTL=57 Απάντηση από: : bytes=32 χρόνος=26ms TTL=57 Απάντηση από: : bytes=32 χρόνος=26ms TTL=57 81

82 Κεφάλαιο 6 ο Open Shortest Path First (Link state Πρωτόκολλο Δρομολόγησης) Εισαγωγή OSPF Σενάριο Άσκησης Κατασκευή και Ρύθμιση Δικτύου Ρύθμιση Loopback Ρύθμιση OSPF Ρύθμιση Χρονομετρητών Ασφάλεια Αυθεντικοποίηση Τροποποίηση Προτεραιότητας του Δρομολογητή OSPF Αλλαγή Προκαθορισμένου Κόστους 82

83 6.1 Εισαγωγή OSPF Το OSPF είναι ένα Link State πρωτόκολλο δρομολόγησης. Τα πρωτόκολλα Link State διαφέρουν από τα distance vector στο ότι διαχέουν πληροφορία κατάστασης καναλιού και επιτρέπουν σε κάθε δρομολογητή να έχει πλήρη εικόνα της τοπολογίας δικτύου. Ο αλγόριθμος του πρωτοκόλλου OSPF (ανακαλύφθηκε από τον Dijkstra) καθορίζει την καλύτερη διαδρομή σε μία σύνδεση βάσει μιας τιμής, του κόστους (cost). Αρχικά ξεκίνησε ως ένας αλγόριθμος για point to point συνδέσεις δικτύου. Για να υλοποιηθεί το πρωτόκολλο OSPF στην ποικιλομορφία των διαθέσιμων σημερινών δικτύων, χρειάζεται να γνωρίζει τον τύπο του δικτύου στον οποίο λειτουργεί. Το πρωτόκολλο OSPF ξεπερνά τους περιορισμούς άλλων πρωτοκόλλων (RIP) κι έχει αποδειχθεί ότι είναι ένα δυνατό και κλιμακωτό πρωτόκολλο δρομολόγησης κατάλληλο για τα σημερινά δίκτυα. Μπορεί να χρησιμοποιηθεί σε μία χωριστή περιοχή (single area) για μικρά δίκτυα και σε πολλαπλές περιοχές (multiple areas) για μεγάλα δίκτυα. Μεγάλα δίκτυα OSPF χρησιμοποιούν αρχές ιεραρχικής σχεδίασης. Πολλαπλές περιοχές συνδέονται σε μία περιοχή διανομής, την Περιοχή 0, που επίσης καλείται ραχοκοκαλιά (backbone). Αυτή η προσέγγιση σχεδίασης επιτρέπει τον εκτεταμένο έλεγχο ενημερώσεων δρομολόγησης. Ο καθορισμός διαφορετικών περιοχών μειώνει την υπερφόρτωση δρομολόγησης, επιταχύνει την σύγκλιση, περιορίζει την αστάθεια δικτύου σε μια περιοχή και βελτιώνει γενικότερα την απόδοση. Πριν την ανταλλαγή της πληροφορίας link state, το πρωτόκολλο OSPF εγκαθιστά μια γειτονική σχέση μεταξύ των δρομολογητών. Για αυτόν τον σκοπό χρησιμοποιείται το πρωτόκολλο OSPF Hello. Οι δρομολογητές OSPF καταγράφουν πληροφορία για τους γείτονες τους στην βάση δεδομένων γειτονίας. Για να μειωθεί ο αριθμός ανταλλαγής πληροφορίας μεταξύ διαφόρων γειτόνων στο ίδιο δίκτυο, οι δρομολογητές εκλέγουν έναν δρομολογητή DR κι έναν εφεδρικό BDR, οι οποίοι λειτουργούν ως κεντρικά σημεία για την ανταλλαγή πληροφορίας δρομολόγησης. Μπορούν να χωριστούν οι δρομολογητές OSPF σε τέσσερεις διαφορετικούς τύπους: Internal router Αυτός ο δρομολογητής βρίσκεται σε μία περιοχή μόνο. Όλες οι διασυνδέσεις του ανήκουν στην ίδια περιοχή. Backbone router Συνδέεται στην Περιοχή 0, γνωστή επίσης ως Περιοχή

84 Area border router (ABR) Είναι υπεύθυνοι για την σύνδεση δύο ή περισσοτέρων περιοχών. Κατέχουν την πλήρη βάση δεδομένων για την τοπολογία κάθε περιοχής που είναι συνδεδεμένοι και στέλνουν αυτήν την πληροφορία σε άλλες περιοχές. Autonomous system boundary router (ASBR) Συνδέεται στον εξωτερικό κόσμο είτε έχει την δυνατότητα να εισάγει πληροφορία που παράχθηκε εκτός OSPF δικτύου στο OSPF δίκτυο ή και το αντίθετο, αναδιανομή. Γενικά, τα πέντε βήματα λειτουργίας του πρωτοκόλλου OSPF έχουν ως εξής: 1. Εγκαθίδρυση γειτονιών των δρομολογητών. 2. Εκλογή DR και BDR (εάν είναι απαραίτητο). 3. Ανακάλυψη διαδρομών. 4. Επιλογή χρήσης των κατάλληλων διαδρομών. 5. Διατήρηση της πληροφορίας δρομολόγησης. 6.2 Σενάριο Άσκησης Η ραχοκοκαλιά μιας εταιρίας που βρίσκεται στη Θεσσαλονίκη, αποτελείται από δύο δρομολογητές που συνδέονται μέσω Ethernet καλωδίωσης. Θα ρυθμιστούν οι δρομολογητές ώστε να είναι μέλη του πρωτοκόλλου OSPF Περιοχής 0. Στο βασικό τμήμα σύνδεσης των δρομολογητών, οι αποτυχίες δικτύου χρειάζεται να γίνονται αντιληπτές γρήγορα. Επιπλέον, επειδή αυτοί οι δρομολογητές έχουν πρόσβαση στο διαδίκτυο, θα πρέπει, για ασφάλεια, να εμποδίζονται μη εξουσιοδοτημένοι δρομολογητές από το να εισέρχονται στην Περιοχή 0. Στη συνέχεια, θα αλλαχτεί η προτεραιότητα των δρομολογητών και το κόστος σε κάποια διασύνδεση. 84

85 6.2.1 Κατασκευή και Ρύθμιση Δικτύου Φτιάχνουμε και ρυθμίζουμε το δίκτυο σύμφωνα με το διάγραμμα, αλλά ακόμη δεν ρυθμίζουμε το πρωτόκολλο OSPF. Χρησιμοποιούμε την εντολή ping για να ελέγχξουμε τη σύνδεση μεταξύ των διασυνδέσεων FastEthernet Ρύθμιση Loopback Σε κάθε δρομολογητή ρυθμίζουμε μια διασύνδεση loopback με μια μοναδική IP διεύθυνση. Σε περίπτωση έλλειψης διασύνδεσης loopback, ο δρομολογητής χρησιμοποιεί την μεγαλύτερη IP διεύθυνση μεταξύ των ενεργών του διασυνδέσεων, το οποίο μπορεί να αναγκάσει τον δρομολογητή να αλλάξει τα ID του εάν κάποια διασύνδεση πέσει. Επειδή οι διασυνδέσεις loopback είναι προστατευμένες από τυχόν προβλήματα στη σύνδεση, χρησιμοποιούνται συνήθως για να παράγουν το σταθερό ID του δρομολογητή. Για να αποφύγουμε συγκρούσεις με καταχωρημένες διευθύνσεις δικτύου, χρησιμοποιούμε ιδιωτικές διευθύνσεις για τις διασυνδέσεις loopback. Salonica1(config)#interface loopback 0 Salonica1(confige-if)#ip address

86 Salonica2(config)#interface loopback 0 Salonica2(config-if)#ip address Ρύθμιση OSPF Αφού έχουμε ρυθμίσει τις διασυνδέσεις loopback είμαστε έτοιμοι να ρυθμίσουμε το πρωτόκολλο OSPF. Χρησιμοποιούμε τις παρακάτω εντολές: Salonica1(config)#router ospf 1 Salonica1(config-router)#network area 0 Salonica2(config)#router ospf 2 Salonica2(config-router)#network area 0 Το ID του OSPF έχει σημασία μόνο τοπικά. Αυτό σημαίνει πως δε χρειάζεται να ταιριάζουν τα ID γειτονικών δρομολογητών. Το ID χρειάζεται για να προσδιορίσει μια μοναδική καταχώρηση σε μια βάση δεδομένων OSPF, διότι πολλαπλές διεργασίες μπορούν να τρέχουν παράλληλα μόνο σε έναν δρομολογητή. Ο ID μπορεί να είναι οποιοσδήποτε αριθμός μεταξύ

87 6.2.4 Έλεγχος Ορθότητας, Συλλογή Πληροφοριών Μετά από την ενεργοποίηση του πρωτοκόλλου OSPF στους δύο δρομολογητές, επιβεβαιώνουμε την λειτουργία του χρησιμοποιώντας διάφορες εντολές show που μας δίνουν ενδιαφέρουσες πληροφορίες. Αρχικά πληκτρολογούμε την εντολή show ip protocols σε κάποιον από τους δύο δρομολογητές: Salonica1#show ip protocols Routing Protocol is "ospf 1" Sending updates every 0 seconds Invalid after 0 seconds, hold down 0, flushed after 0 Outgoing update filter list for all interfaces is Incoming update filter list for all interfaces is Redistributing: ospf 1 Routing for Networks: Routing Information Sources: Gateway Distance Last Update Distance: (default is 110) Σημείωση: Οι χρονομετρητές ενημέρωσης (update) είναι στο 0. Ενημερώσεις δεν στέλνονται σε τακτά διαστήματα. Οι ενημερώσεις είναι καθοδηγούμενες από γεγονότα. Έπειτα, χρησιμοποιούμε την εντολή show ip ospf για να συλλέξουμε παραπάνω λεπτομέρειες για το πρωτόκολλο OSPF, συμπεριλαμβάνοντας το router ID: Salonica1#show ip ospf Routing Process "ospf 1" with ID Supports only single TOS(TOS0) routes SPF schedule delay 5 secs, Hold time between two SPFs 10 secs Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs 87

88 Number of external LSA 0. Checksum Sum 0x0 Number of DCbitless external LSA 0 Number of DoNotAge external LSA 0 Number of areas in this router is 1. 1 normal 0 stub 0 nssa External flood list length 0 Area BACKBONE(0) Number of interfaces in this area is 1 Area has no authentication SPF algorithm executed 5 times Area ranges are Number of LSA 4. Checksum Sum 0x1CAC4 Number of DCbitless LSA 0 Number of indication LSA 0 Number of DoNotAge LSA 0 Flood list length 0 Ερώτηση: Ποιά διεύθυνση χρησιμοποιεί ο δρομολογητής για το router ID; Απάντηση: Η διασύνδεση του loopback θα πρέπει να εμφανίζεται ως το router ID. Για να δούμε τους γειτονικούς OSPF, χρησιμοποιούμε την εντολή show ip ospf neighbor. Το αποτέλεσμα αυτής της εντολής μας δείχνει όλους τους γνωστούς γειτονικούς OSPF, συμπεριλαμβάνοντας το router ID τους, τις διευθύνσεις των διασυνδέσεων τους, και την κατάσταση γειτονίας τους. Salonica1#show ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface FULL/BDR 00:00: FastEthernet 4 Για ακόμη περισσότερες πληροφορίες εισάγουμε την εντολή show ip ospf neighbor detail: Salonica1#show ip ospf neighbor detail Neighbor , interface address In the area 0 via interface FastEthernet 4 Neighbor priority is 1, State is FULL, 6 state changes 88

89 DR is BDR is Options 2 Dead timer due in 00:00:34 Index 2/2, retransmission queue length 0, number of retransmission 2 First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0) Last retransmission scan length is 1, maximum is 1 Last retransmission scan time is 0 msec, maximum is 0 msec Ερώτηση: Βασιζόμενοι στην έξοδο της παραπάνω εντολής, ποιος δρομολογητής είναι ο εκλεγμένος (DR) και ποιος είναι ο εφεδρικός (BDR) και γιατί? Απάντηση: Πιθανότατα, ο δρομολογητής με το μεγαλύτερο router ID είναι ο DR, ενώ ο δρομολογητής με το δεύτερο μεγαλύτερο είναι ο BDR. Αργότερα, θα δούμε πως μπορούμε να παρέμβουμε για να αλλάξουμε τις προτεραιότητες για την εκλογή των DR και BDR Ρύθμιση Χρονομετρητών Επειδή κάθε διασύνδεση σε έναν δρομολογητή είναι συνδεδεμένη σε διαφορετικό δίκτυο, διαφορετική πληροφορία του πρωτόκολλο OSPF απευθύνεται στην κάθε διασύνδεση. Οπότε, εισάγουμε την εντολή show ip ospf interface για την διασύνδεση FastEthernet 4 στον δρομολογητή Salonica1 ως ακολούθως: Salonica1#show ip ospf interface FastEthernet 4 FastEthernet 4 is up, line protocol is up Internet Address /24, Area 0 Process ID 1, Router ID , Network Type BROADCAST, Cost: 1 Transmit Delay is 1 sec, State BDR, Priority 1 Designated Router (ID) , Interface address Backup Designated router (ID) , Interface address Timer intervals configured, Hello 10, Dead 40, Wait 40, 89

90 Retransmit 5 Hello due in 00:00:09 Index 1/1, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 0, maximum is 1 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 1, Adjacent neighbor count is 1 Adjacent with neighbor (Designated Router) Τα δίκτυα Ethernet είναι γνωστά στο πρωτόκολλο OSPF ως δίκτυα broadcast. Οι προκαθορισμένες τιμές του χρονομετρητή για τις ενημερώσεις hello είναι 10 δευτερόλεπτα και για τις ενημερώσεις dead 40 δευτερόλεπτα. Αποφασίσαμε να ρυθμίσουμε τους χρονομετρητές του OSPF ώστε οι δρομολογητές στο βασικό τμήμα του δικτύου να εντοπίζουν αποτυχίες στο δίκτυο σε λιγότερο χρόνο. Αυτό θα αυξήσει την κίνηση, αλλά δεν αφορά τόσο το υψηλής ταχύτητας βασικό τμήμα δικτύου, όσο θα αφορούσε μια αποσχολούμενη σύνδεση WAN. Αλλάζουμε χειροκίνητα τα διαστήματα hello και dead στον δρομολογητή Salonica1 σε 5 και 20 δευτερόλεπτα αντίστοιχα: Salonica1(config)#interface FastEthernet 4 Salonica1(config-if)#ip ospf hello-interval 5 Salonica1(config-if)#ip ospf dead-interval 20 Παρόλο που το Cisco IOS δεν το απαιτεί, ρυθμίσαμε το διάστημα dead να είναι τέσσερις φορές μεγαλύτερο από το διάστημα hello. Αυτό διασφαλίζει στους δρομολογητές, που υπόκεινται σε προσωρινά προβλήματα σύνδεσης, την δυνατότητα επαναφοράς και όχι απαραίτητα την δήλωση dead, η οποία προκαλεί τη συνεχή μετάδοση ενημερώσεων και επαναϋπολογισμών σε κάθε σημείο του δικτύου. Μετά την αλλαγή των χρονομετρητών, εισάγουμε και πάλι την εντολή show ip ospf neighbor. Ερώτηση: Δείχνει ακόμη ο δρομολογητής Salonica1 ότι έχει OSPF γείτονες; Απάντηση: Όχι. Για να δούμε τι συνέβη στους γείτονες του Salonica1 χρησιμοποιούμε την εντολή debug ip ospf events: Salonica1#debug ip ospf events 90

91 OSPF events debugging is on Salonica1# 00:08:25: OSPF: Rcv hello from area 0 from FastEthernet :08:25: OSPF: Mismatched hello parameters from :08:25: Dead R 40 C 20, Hello R 10 C 5 Mask R C Ερώτηση: Σύμφωνα με την έξοδο του debug, τι εμποδίζει τον δρομολογητή Salonica1 να διατηρεί σχέσεις με τους άλλους δύο δρομολογητές OSPF στην περιοχή 0; Απάντηση: Τα διαστήματα hello και dead πρέπει να είναι τα ίδια σε διαφορετικούς δρομολογητές μέσα στην ίδια περιοχή για να μπορέσουν οι δρομολογητές να αποκτήσουν πληροφορίες γειτονίας. Απενεργοποιούμε κάθε πιθανό debugging χρησιμοποιώντας undebug all: Salonica1#undebug all Τα διαστήματα Hello και Dead είναι δηλωμένα στις επικεφαλίδες πακέτων Hello. Για να μπορέσουν οι δρομολογητές OSPF να συσχετιστούν μεταξύ τους θα πρέπει να ταιριάζουν τα διαστήματα τους (Ηello και Dead). Οπότε, ρυθμίζουμε όμοια με τον Salonica1 και τους χρονομετρητές του Salonica2: Salonica2(config)#interface FastEthernet 4 Salonica2(config-if)#ip ospf hello-interval 5 Salonica2(config-if)#ip ospf dead-interval 20 Πριν να συνεχίσουμε, επιβεβαιώνουμε ότι οι δρομολογητές επικοινωνούν πλέον μεταξύ τους, ελέγχοντας τον πίνακα γειτονίας OSPF Ασφάλεια Αυθεντικοποίηση Είτε σκόπιμα, είτε άθελα, δε θέλουμε μη εξουσιοδοτημένοι δρομολογητές να ανταλλάζουν ενημερώσεις εντός της Περιοχής 0. Αυτό επιτυγχάνεται προσθέτοντας κρυμμένη αυθεντικοποίηση σε κάθε επικεφαλίδα πακέτου OSPF. Επιλέγουμε αυθεντικοποίηση MD5. Αυτή η μέθοδος αυθεντικοποίησης στέλνει μία σύνοψη ή ένα ανακάτωμα του μηνύματος, στη θέση του κωδικού. Οι γειτονικοί δρομολογητές OSPF πρέπει να ρυθμιστούν με το ίδιο κλειδί σύνοψης, τον ίδιο τύπο απόκρυψης και τον ίδιο κωδικό για να αυθεντικοποιηθούν χρησιμοποιώντας το ανακάτωμα. Για να ρυθμίσουμε κωδικό MD5 στον Salonica1, ώστε να τον χρησιμοποιήσει στη διασύνδεση Ethernet 4, πληκτρολογούμε: 91

92 Salonica1(config)#interface FastEthernet 4 Salonica1(config-if)#ip ospf message-digest-key 1 md5 7 secretpasswd Salonica1(config-if)#router ospf 1 Salonica1(config-router)#area 0 authentication message digest Μετά την είσοδο των παραπάνω εντολών αναμένουμε περίπου 20 δευτερόλεπτα κι έπειτα εισάγουμε την εντολή show ip ospf neighbour. Ερώτηση: Συνεχίζει να δείχνει ο δρομολογητής Salonica1 ότι έχει OSPF γείτονες; Γιατί; Απάντηση: Όχι. Για να δούμε τι συνέβη στους γείτονες του Salonica1 χρησιμοποιούμε ξανά την εντολή debug ip ospf events: Salonica1#debug ip ospf events OSPF events debugging is on Salonica1# 00:49:32: OSPF: Send with youngest Key 1 Salonica1# 00:49:33: OSPF: Rcv pkt from , FastEthernet 4 : Mismatch Authentication type. Input packet specified type 0, we use type 2 Salonica1#undebug all All possible debugging has been turned off Σε αυτήν την περίπτωση, οι δρομολογητές δεν επικοινωνούν διότι τα πεδία αυθεντικοποίησης στην κεφαλίδα πακέτου OSPF είναι διαφορετικά. Το πρόβλημα λύνεται όταν ρυθμίσουμε την ίδια αυθεντικοποίηση και στον άλλον δρομολογητή: Salonica2(config)#interface FastEthernet 4 Salonica2(config-if)#ip ospf message-digest-key 1 md5 7 secretpasswd Salonica2(config-if)#router ospf 2 Salonica2(config-router)#area 0 authentication message digest 92

93 Αφού ολοκληρώσουμε τη ρύθμιση και στους δύο δρομολογητές εισάγουμε και πάλι την εντολή show ip ospf neighbour για να επιβεβαιώσουμε την επικοινωνία μεταξύ τους: Salonica1#show ip ospf neighbors Neighbor ID Pri State Dead Time Address Interface FULL/DR 00:00: FastEthernet Τροποποίηση Προτεραιότητας του Δρομολογητή OSPF Μπορούμε να αλλάξουμε τις προτεραιότητες εκλογής των DR/BDR, ρυθμίζοντας την τιμή της προτεραιότητας σε διαφορετική από την καθορισμένη, η οποία είναι 1. Όσο μεγαλύτερη είναι η τιμή της προτεραιότητας τόσο μεγαλώνει η πιθανότητα να εκλεγεί ο δρομολογητής ως DR. Η τιμή 0 εξασφαλίζει στον δρομολογητή ότι δεν θα εκλεγεί ως DR ή BDR. Κάθε διασύνδεση μπορεί να αναγγείλει διαφορετική προτεραιότητα. Οι τιμές που παίρνει η προτεραιότητα είναι μεταξύ Με την παρακάτω εντολή δίνουμε στον δρομολογητή τιμή προτεραιότητας 2, ώστε να εκλεγεί αυτός ως DR: Salonica1(config)#interface FastEthernet 4 Salonica1(config-if)#ip ospf priority 2 Παρακάτω βλέπουμε εάν οι δρομολογητές αναλάβανε τους σωστούς ρόλους με την εντολή show ip ospf neighbor detail: Salonica2#show ip ospf neighbour detail Neighbor , interface address In the area 0 via interface FastEthernet 4 Neighbor priority is 2, State is FULL, 6 state changes DR is BDR is Options 2 Dead timer due in 00:00:19 Index 1/1, retransmission queue length 0, number of retransmission 2 First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0) Last retransmission scan length is 1, maximum is 1 93

94 Last retransmission scan time is 0 msec, maximum is 0 msec 94

95 6.2.8 Αλλαγή Προκαθορισμένου Κόστους Το πρωτόκολλο OSPF χρησιμοποιεί το Cost για να καθορίσει την καλύτερη διαδρομή. Το Cisco IOS καθορίζει αυτόματα το Cost βασισμένο στο εύρος ζώνης της διασύνδεσης. Το Cost μπορεί να αλλάξει και να πάρει τιμές από Με την εντολή ip ospf cost 1000 σε κάποια διασύνδεση αλλάζουμε το Cost σε 1000: Salonica1(config)#interface loopback 0 Salonica1(config-if)#ip ospf cost 1000 Δίνωντας την εντολή show ip route στον Salonica2 βλέπουμε αν έγινε σωστή ανάθεση του Cost στον Salonica1: Salonica2# show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B BGP, D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area, N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2, E1 - OSPF external type 1, Gateway of last resort is not set /24 is variably subnetted, 3 subnets, 1 masks C /32 is directly connected, Loopback 1 O /32 [110/1010] via , 00:01:19, FastEthernet 4 C /24 is directly connected, FastEthernet 4 Ερώτηση: Πόσο είναι το Κόστος του δικτύου /32; Γιατί; Απάντηση: Το Κόστος για το απομακρυσμένο δίκτυο όπως φαίνεται και στην έξοδο της παραπάνω εντολής είναι Το πρωτόκολλο OSPF υπολογίζει το ολικό Κόστος από την πηγή μέχρι τον προορισμό είναι το Κόστος που ο δρομολογητής Salonica1 ορίζει και αναγγέλει στον Salonica2. Όταν ο Salonica2 λάβει την ενημέρωση, υπολογίζει και αυτός το ολικό κόστος. Η διαδρομή μέχρι το απομακρυσμένο δίκτυο /32 περνάει μέσω και της διασύνδεσης Ethernet 4 του δρομολογητή Salonica2. Για να μάθουμε το Κόστος που σχετίζεται με την διασύνδεση Ethernet 4 του δρομολογητή Salonica2 εισάγουμε την εντολή show ip ospf interface FastEthernet 4: 95

96 Salonica2# show ip ospf interface FastΕthernet 4 FastEthernet 4 is up, line protocol is up Internet Address /24, Area 0 Process ID 1, Router ID , Network Type BROADCAST, Cost: 10 Transmit Delay is 1 sec, State BDR, Priority 1 Designated Router (ID) , Interface address Backup Designated router (ID) , Interface address Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 Hello due in 00:00:06 Neighbor Count is 1, Adjacent neighbor count is 1 Adjacent with neighbor (Designated Router) Παρατηρούμε πως το Κοστος που σχετίζεται με το τμήμα Ethernet είναι 10. Για αυτό και το ολικό κόστος είναι 1010 (1000 όπως αναγγέλεται από τον Salonica1 + 10). Μια ακόμη μέθοδος που να προσδιορίζει το Κόστος σε ένα τμήμα Ethernet είναι βάση της εξίσωσης: Cost = 10 8 / Bandwidth. 96

97 Βιβλιογραφία 1. CCNA 3 and 4, Companion Guide, Third Edition 2. CCNP Practical Studies: Routing, Henry Benjamin, Publisher: Cisco Press, First Edition April 12, CCNA ICND2, Official Exam Certification Guide, Second Edition, Wendell Odom, CCIE No CCNA th Edition Todd Lammle _802(CCNA Ver4) Portable Command Guide 6. CCNA Fast Pass, Third Edition, Todd Lammle, CCSI, Nov Cisco IOS Cookbook, 2nd Edition, Kevin Dooley, Ian Brown, ISBN: , O'Reilly, 2006 Ηλεκτρονικές Πηγές 1. CCNP 1, Advanced Routing v CCNA 4: WAN Technologies v Wikipedia Cisco 97

98 Κεφάλαιο 7 ο Hierarchical Routing Multiarea OSPF Σενάριο Άσκησης Κατασκευή και Ρύθμιση Δικτύου Ρύθμιση Loopback Ρύθμιση Multiarea OSPF Ρύθμιση Totally Stubby Area 98

99 7.1 Σενάριο Άσκησης Σε αυτήν την άσκηση θα βελτιστοποιηθεί η δρομολόγηση OSPF. Για τον σκοπό αυτό θα πραγματοποιηθούν διαφορετικές Περιοχές σε διαφορετικά τμήματα δικτύων (multiarea OSPF). Θα κατασκευαστεί ένα δίκτυο τεσσάρων δρομολογητών με ιεραρχική δρομολόγηση. Οι δύο δρομολογητές θα ανήκουν στην Περιοχή 0 (backbone) και θα γνωρίζουν όλες τις διαδρομές, ενώ οι άλλοι δύο δρομολογητές θα γνωρίζουν τις διαδρομές μόνο της περιοχής τους. Αυτό θα επιτευχθεί αν ρυθμίσουμε την περιοχή, στην οποία θα ανήκουν οι δύο τελευταίοι δρομολογητές, ως totally stubby area. 99

100 7.1.1 Κατασκευή και Ρύθμιση Δικτύου Φτιάχνουμε και ρυθμίζουμε το δίκτυο σύμφωνα με το διάγραμμα, αλλά ακόμη δεν ρυθμίζουμε κανένα πρωτόκολλο Ρύθμιση Loopback Ρυθμίζουμε τον κάθε δρομολογητή με την διεύθυνση loopback που απεικονίζεται στο διάγραμμα: Salonica1(config)#interface loopback 0 Salonica1(confige-if)#ip address Salonica2(config)#interface loopback 0 Salonica2(config-if)#ip address Salonica3(config)#interface loopback 0 Salonica3(confige-if)#ip address Salonica4(config)#interface loopback 0 Salonica4(config-if)#ip address Χρησιμοποιούμε την εντολή ping για να επιβεβαιώσουμε την σωστή σύνδεση των διασυνδέσεων Ρύθμιση Multiarea OSPF Στον δρομολογητή Salonica1 ρυθμίζουμε τις διασυνδέσεις FastEthernet 4 και Loopback 0 ως μέλη της Περιοχής 0: Salonica1(config)#router ospf 1 Salonica1(config-router)#network area 0 Salonica1(config-router)#network area 0 Στον δρομολογητή Salonica2, ρυθμίζουμε τις διασυνδέσεις FastEthernet 4 και Loopback 0 ως μέλη της Περιοχής 0, αλλά την διασύνδεση FastEthernet 0 την ρυθμίζουμε ως μέρος της Περιοχής 2: Salonica2(config)#router ospf 1 100

101 Salonica2(config-router)#network area 0 Salonica2(config-router)#network area 0 Salonica2(config-router)#network area 2 Στον δρομολογητή Salonica3, ρυθμίζουμε τις διασυνδέσεις FastEthernet 0, FastEthernet 4 και Loopback 0 ως μέλη της Περιοχής 2: Salonica3(config)#router ospf 1 Salonica3(config-router)#network area 2 Salonica3(config-router)#network area 2 Salonica3(config-router)#network area 2 Τέλος, ρυθμίζουμε την διασύνδεση FastEthernet 4 και την διασύνδεση Loopback 0 του δρομολογητή Salonica4 να ανήκουν στην Περιοχή 2: Salonica4(config)#router ospf 1 Salonica4(config-router)#network area 2 Salonica4(config-router)#network area Έλεγχος Ορθότητας, Συλλογή Πληροφοριών Εισάγουμε την εντολή show ip ospf και την εντολή show ip ospf neighbor detail και στους τέσσερις δρομολογητές. Παρακάτω εμφανίζονται η έξοδοι των εντολών στον δρομολογητή Salonica2: Salonica2#show ip ospf Routing Process "ospf 1" with ID Supports only single TOS(TOS0) routes It is an area border router SPF schedule delay 5 secs, Hold time between two SPFs 10 secs Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs Number of external LSA 0. Checksum Sum 0x0 Number of DCbitless external LSA 0 Number of DoNotAge external LSA 0 Number of areas in this router is 2. 2 normal 0 stub 0 nssa 101

102 External flood list length 0 Area BACKBONE(0) Number of interfaces in this area is 2 Area has no authentication SPF algorithm executed 6 times Area ranges are Number of LSA 8. Checksum Sum 0x42B0C Number of DCbitless LSA 0 Number of indication LSA 0 Number of DoNotAge LSA 0 Flood list length 0 Area 2 Number of interfaces in this area is 1 Area has no authentication SPF algorithm executed 4 times Area ranges are Number of LSA 8. Checksum Sum 0x59B4F Number of DCbitless LSA 0 Number of indication LSA 0 Number of DoNotAge LSA 0 Flood list length 0 Ερώτηση: Σύμφωνα με την έξοδο της παραπάνω εντολής στους τέσσερις δρομολογητές, ποιος εμφανίζεται να είναι ABR; Απάντηση: Ο Salonica2, ο οποίος συνδέει την Περιοχή 2 στην Περιοχή 0 (backbone). Salonica2#show ip ospf neighbor detail Neighbor , interface address In the area 0 via interface FastEthernet 4 Neighbor priority is 1, State is FULL, 6 state changes 102

103 DR is BDR is Options 2 Dead timer due in 00:00:33 Index 1/1, retransmission queue length 0, number of retransmission 2 First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0) Last retransmission scan length is 1, maximum is 1 Last retransmission scan time is 0 msec, maximum is 0 msec Neighbor , interface address In the area 2 via interface FastEthernet 0 Neighbor priority is 1, State is FULL, 6 state changes DR is BDR is Options 2 Dead timer due in 00:00:32 Index 1/2, retransmission queue length 0, number of retransmission 1 First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0) Last retransmission scan length is 1, maximum is 1 Last retransmission scan time is 0 msec, maximum is 0 msec Ερώτηση: Υπάρχει εκλογή DR στα δίκτυα /24 και /24; Ναι/όχι και Γιατί; Απάντηση: Παρατηρούμε ότι έχουμε να κάνουμε με διαφορετικούς τύπους δικτύων OSPF. Το βασικό τμήμα δικτύου Ethernet χαρακτηρίζεται ως «broadcast», ενώ η σύνδεση WAN (FastEthernet 4) μεταξύ του Salonica1 και του Salonica2 χαρακτηρίζεται ως «point topoint». Σε μία σύνδεση point to point, δεν χρειάζεται να εκλεγεί DR για να μειωθεί ο αριθμός των γειτνιάσεων, επειδή υπάρχουν μόνο δύο δρομολογητές στο δίκτυο. Το τμήμα Ethernet έχει και αυτό μόνο δύο δρομολογητές. Ωστόσο, εκλέγεται DR και BDR διότι γειτονικοί δρομολογητές θα μπορούσαν να εισέλθουν στην Περιοχή. Αν ελέγξουμε τους πίνακες δρομολόγησης και στους τέσσερις δρομολογητές, θα δούμε ότι είναι πλήρης: Salonica3#show ip route <output omitted> 103

104 Gateway of last resort is not set /24 is variably subnetted, 4 subnets O IA /32 [110/66] via , 00:08:05, FastEthernet 0 O IA /32 [110/66] via , 00:26:20, FastEthernet 0 C /32 is directly connected, Loopback 0 O /32 [110/11] via , 00:26:20, FastEthernet /16 is variably subnetted, 3 subnets C /24 is directly connected, FastEthernet 0 C /24 is directly connected, FastEthernet 4 O IA /24 [110/66] via , 00:26:20, FastEthernet0 Παρατηρούμε πως οι μισές σχεδόν διαδρομές του δρομολογητή Salonica3 διαπερνάνε διαφορετικές περιοχές (ΙΑ). Αν είχαμε και άλλους δρομολογητές, πιθανότατα ίσως και άλλες περιοχές, ο πίνακας δρομολόγησης θα ήταν πολύ μεγαλύτερος Ρύθμιση Totally Stubby Area Σε πολύπλοκα δίκτυα OSPF, ένας μεγάλος αριθμός από εξωτερικές και ΙΑ διαδρομές μπορούν χωρίς λόγο να υπερφορτώσουν κάποιους δρομολογητές. Στο παράδειγμα μας, οι δρομολογητές Salonica3 και Salonica4 ανήκουν στην Περιοχή 2, μια περιοχή με μία μοναδική έξοδο προς την Περιοχή 0. Οπότε δεν χρειάζονται πληροφορία εξωτερικής δρομολόγησης αλλά ούτε και πληροφορία για τις ΙΑ διαδρομές. Το μόνο που χρειάζονται είναι απλά μια προκαθορισμένη διαδρομή προς τον Area Border Router (ABR), τον Salonica2 στην προκειμένη περίπτωση. Οπότε, θα φιλτραριστούν οι διαδρομές ΙΑ τύπου 3 και 4 με την ρύθμιση της Περιοχής 2 ως totally stubby area στον δρομολογητή Salonica2: Salonica2(config)#router ospf 1 Salonica2(config-router)#area 2 stub no-summary Η λέξη no summary στον ABR σταματάει τις διαδρομές ΙΑ από το να εισέλθουν στην Περιοχή 2, μετατρέποντας την σε περιοχή totally stubby area. Μόνο ο δρομολογητής ABR χρειάζεται αυτήν την επιπρόσθετη ρύθμιση. 104

105 Επιστρέφουμε στον δρομολογητή Salonica3 και ελέγχουμε ξανά τον πίνακα δρομολόγησης του: Salonica3#show ip route <output omitted> Gateway of last resort is to network /24 is subnetted, 1 subnets C is directly connected, FastEthernet 0 C /24 is directly connected, FastEthernet 4 C /32 is directly connected, Loopback 0 O /32 [110/11] via , 00:26:20, FastEthernet4 0 O*IA /0 [110/65] via , 00:00:25, FastEthernet Ερώτηση: Τι έχει αλλάξει από την προηγούμενη φορά που τρέξαμε την εντολή show ip route; Απάντηση: Οι διαδρομές ΙΑ έχουν αντικατασταθεί από την προκαθορισμένη διαδρομή /0. Ο δρομολογητής Salonica3 θα πρέπει να παίρνει θετική απάντηση από τον δρομολογητή Salonica2 χρησιμοποιώντας την προκαθορισμένη διαδρομή. 105

106 Βιβλιογραφία 1. CCNP Practical Studies: Routing, Henry Benjamin, Publisher: Cisco Press, First Edition April 12, CCNA ICND2, Official Exam Certification Guide, Second Edition, Wendell Odom, CCIE No CCNA th Edition Todd Lammle 4. Advanced IP Network Design (CCIE Professional Development), Alvaro Retana, Don Slice, Russ White, First Edition June 17, Cisco IOS Cookbook, 2nd Edition, Kevin Dooley, Ian Brown, ISBN: , O'Reilly, 2006 Ηλεκτρονικές Πηγές 1. CCNP 1, Advanced Routing v CCNA 4: WAN Technologies v Wikipedia Cisco 106

107 Κεφάλαιο 8 ο Subnetting Εισαγωγή Παραδείγματα υποδικτύωσης Ασκήσεις Λύσεις 107

108 Περίληψη Στο σημερινό εργαστήριο θα μάθετε την έννοια της υποδικτύωσης, πώς λειτουργεί και πώς μπορείτε να εφαρμόσετε υποδικτύωση σε για ποιον λόγο προτιμάται κάποιες φορές από τη δυναμική καθώς και να προγραμματίζεται τους δρομολογητές με στατικές διαδρομές Εισαγωγή Η λογική διεύθυνση (IP address) έχει μήκος 32 bits. Επειδή η απομνημόνευση της IP διεύθυνσης είναι δύσκολη έχει επινοηθεί μια απλούστερη παράστασή της με τη χρήση τεσσάρων δεκαδικών αριθμών διαχωρισμένους με τελείες. Η IP διεύθυνση αποτελείται από δύο μέρη: το μέρος που προσδιορίζει τo IP δίκτυο (network ID) το μέρος που προσδιορίζει τον χρήστη στο ΙΡ δίκτυο (host ID) Κλάσεις λογικών διευθύνσεων (IP address classes) Ανάλογα τη χρησιμοποίησή τους σε δίκτυα διαφορετικού είδους και μεγέθους οι IP διευθύνσεις χωρίζονται σε πέντε κατηγορίες ή κλάσεις: 108

109 Εξετάζοντας τον πρώτο αριστερά αριθμό της ΙΡ διεύθυνσης και με τη βοήθεια του παρακάτω πίνακα μπορείτε να καταλάβετε σε ποια κλάση ανήκει: class IP range A B C D E Σε κάθε δίκτυο υποδίκτυο υπάρχουν τα παρακάτω είδη διευθύνσεων τα οποία δε μπορούν να αποδοθούν σε συσκευές που ανήκουν στο δίκτυο υποδίκτυο (NIC υπολογιστή, switch ή router interface): network address, όπου όλα τα bit του host ID είναι 0 (π.χ. η είναι η ΙΡ διεύθυνση του δικτύου που περιέχει τον host ) broadcast address, όπου όλα τα bit του network ID είναι 1 (π.χ. η είναι η broadcast διεύθυνση του δικτύου ) Οι υπόλοιπες ενδιάμεσες διευθύνσεις του δικτύου υποδικτύου είναι διαθέσιμες και μπορούν να αποδοθούν στις συσκευές του δικτύου (valid addresses). Υπάρχουν 3 σύνολα IP διευθύνσεων δεσμευμένα για ιδιωτική χρήση: 109

110 * Class A: (1 Class A network) * Class B: (16 Class B networks) * Class C: (256 Class C networks) Επίσης το δίκτυο είναι δεσμευμένο για δοκιμές και διαδικασίες loopback. Μάσκες λογικών διευθύνσεων (subnet masks) Η μάσκα επιτρέπει σε μια συσκευή δικτύωσης ή έναν υπολογιστή να διακρίνει σε μια ΙΡ διεύθυνση ποιο τμήμα είναι το network ID και ποιο το host ID. Η μάσκα είναι μια σειρά από 32 bits, όπου τα bits που αφορούν το network ID έχουν τιμή 1 και τα bits που αφορούν το host ID έχουν τιμή 0. Η μάσκα παριστάνεται σε δεκαδική μορφή με τον ίδιο τρόπο που χρησιμοποιείται στις ΙΡ διευθύνσεις. Συχνά χρησιμοποιείται μια εναλλακτική παράσταση της ΙΡ διεύθυνσης που συνδυάζει και τη μάσκα. Δηλ. η παράσταση /24 δηλώνει ότι έχουμε μια ΙΡ διεύθυνση κλάσης C και η μάσκα της έχει 24 bits με τιμή 1 ή σε δεκαδική μορφή Στον παρακάτω πίνακα φαίνονται οι εξ ορισμού μάσκες (default masks) των κλάσεων Α,Β και C. ΚΛΑΣΗ DEFAULT MASK (δυαδική μορφή) DEFAULT MASK (δεκαδική μορφή) Α ή /8 Β ή /16 C ή /24 Υποδικτύωση (subnetting) Για να αποφεύγεται η μεγάλη σπατάλη διευθύνσεων έχει επινοηθεί η τεχνική της υποδικτύωσης (subnetting). Η τεχνική αυτή βασίζεται στη λογική του «δανεισμού» ενός τμήματος του host ID για την δημιουργία μικρότερων υποδικτύων (subnets). Τα υποδίκτυα που προκύπτουν διακρίνονται από τις διάφορες συσκευές του δικτύου με τη βοήθεια της νέας μάσκας που προκύπτει από το άθροισμα της default και των bits που προκύπτουν από το «δανεισμό». Το κάθε υποδίκτυο έχει μια network address μια broadcast address και τις ενδιάμεσες διαθέσιμες ΙΡ διευθύνσεις. Γενικοί κανόνες υποδικτύωσης 2 x 2 = αριθμός υποδικτύων 2 y 2 = αριθμός hosts ανά δίκτυο A class: x+y = 24 B class: x+y = 16 C class: x+y = 8 110

111 8.2 Παραδείγματα υποδικτύωσης 1) Subnetting ενός B class με 250 hosts ανα υποδίκτυο 2 y 2 = 250 => 2 y = 252 => 2 y = 254 (στην πιο κοντινή δύναμη του 2) 2 y = 2 8 =>y=8 οπότε x=8 άρα /24 2) Subnetting ενός B class σε 10 υποδίκτυα 2x 2 = 10 => 2x = 12 => 2x = 16 (στην πιο κοντινή δύναμη του 2) 2x =24 =>x= 4 άρα /20 3) Subnetting ενός C class με 40 hosts ανά υποδίκτυο i) Εύρεση μάσκας: 2y 2 = 40 => 2y = 42 => 2y = 64 (στην πιο κοντινή δύναμη του 2) 2y = 26 => y=6 οπότε x=2 άρα /26 ή Ισχύει ότι 22 2 = 2 υποδίκτυα ii) Εύρεση hosts ανα υποδίκτυο: =64 οπότε: η network address του 1ου υποδικτύου η broadcast address του 1ου υποδικτύου εως οι διαθέσιμες ΙΡ διευθύνσεις 64+64=128 οπότε: η network address του 2ου υποδικτύου η broadcast address του 2ου υποδικτύου εως οι διαθέσιμες ΙΡ διευθύνσεις 4) Subnetting ενός C class σε 4 υποδίκτυα i) Εύρεση μάσκας: 2x 2 = 4 => 2x = 6 => 2x = 8 (στην πιο κοντινή δύναμη του 2) 2x =23 => x=3 άρα /27 ή Ισχύει ότι: 23 2 = 6 υποδίκτυα ii) Εύρεση hosts ανα υποδίκτυο: =32 οπότε: η network address του 1ου υποδικτύου 111

112 η broadcast address του 1ου υποδικτύου εως οι διαθέσιμες ΙΡ διευθύνσεις 32+32=64 οπότε: η network address του 2ου υποδικτύου η broadcast address του 2ου υποδικτύου εως οι διαθέσιμες ΙΡ διευθύνσεις 32+64=96 οπότε: η network address του 3ου υποδικτύου η broadcast address του 3ου υποδικτύου εως οι διαθέσιμες ΙΡ διευθύνσεις 32+96=128 οπότε: η network address του 4ου υποδικτύου η broadcast address του 4ου υποδικτύου εως οι διαθέσιμες ΙΡ διευθύνσεις =160 οπότε: η network address του 5ου υποδικτύου η broadcast address του 5ου υποδικτύου εως οι διαθέσιμες ΙΡ διευθύνσεις =192 οπότε: η network address του 6ου υποδικτύου η broadcast address του 6ου υποδικτύου εως οι διαθέσιμες ΙΡ διευθύνσεις Υπολογισμός Network Number και Broadcast Address με Δύσκολες Μάσκες Υποδικτύου. Όταν η μάσκα υποδικτύου μιας IP διεύθυνσης δεν είναι , ή τότε την θεωρούμε «δύσκολη μάσκα». Σε αυτή την περίπτωση μπορείτε να ακολουθήσετε την παρακάτω μέθοδο για τον υπολογισμό του Network Number και της Broadcast διεύθυνσης για την συγκεκριμένη IP. Στο παράδειγμα υπάρχει η διεύθυνση με subnet mask

113 1. Σχεδιάζετε τον παρακάτω πίνακα. Οκτάδα IP Address Mask Network number First Address Broadcast Last Address Με έντονη γραμμή μαρκάρετε την στήλη όπου η μάσκα περιέχει αριθμό διαφορετικό από 0 ή Στη γραμμή network number και στις στήλες όπου η μάσκα είναι 255 γράφετε τον αντίστοιχο αριθμό της IP address. Όπου η μάσκα είναι 0 γράφετε 0. Έτσι ο πίνακας παίρνει την παρακάτω μορφή: Οκτάδα IP Address Mask Network number First Address Broadcast Last Address 3. Απομένει να υπολογιστεί ο αριθμός του Network Number στη στήλη 3 όπου το subnet mask είναι 252. Ο αριθμός αυτός βρίσκεται ως εξής. Αφαιρείτε τον αριθμό της μάσκας σε αυτή την στήλη από το 256. Δηλ =4. Για τον αριθμό αυτό που ονομάζεται και μαγικός ψάχνετε το πολλαπλάσιο το οποίο είναι πλησιέστερο αλλά όχι μεγαλύτερο από το αντίστοιχο νούμερο της IP address. Στο συγκεκριμένο παράδειγμα το πολλαπλάσιο αυτό είναι το 100 (4*25=100<102). Έτσι ο πίνακας παίρνει τη μορφή. Οκτάδα IP Address Mask Network number First Address Broadcast Last Address Γνωρίζοντας τον Αριθμό Δικτύου και προσθέτοντας 1 στην τελευταία στήλη βρίσκετε και την 1 η επιτρεπτή διεύθυνση οπότε ο πίνακας γίνεται: 113

114 Οκτάδα IP Address Mask Network number First Address Broadcast Last Address 4. Για να βρείτε την broadcast address στην δύσκολη οκτάδα τοποθετείστε τον αριθμό ο οποίος προκύπτει ως εξής αριθμός πρώτης διεύθυνσης+ network number 1 δηλ =103 και στις επόμενες οκτάδες αν υπάρχουν τον αριθμό 255. Η τελευταία διεύθυνση υπολογίζεται από την brodacast αν αφαιρεθεί από την τελευταία οκτάδα το 1. Έτσι ο πίνακας τελικά παίρνει την μορφή Οκτάδα IP Address Mask Network number First Address Broadcast Last Address Άσκηση Έστω μια εταιρία με τέσσερα γραφεία (Αθήνα, Θεσσαλονίκη, Καβάλα, Πάτρα) που διασυνδέονται μεταξύ τους με routers όπως φαίνεται στο σχήμα. Ας υποθέσουμε ότι η εταιρία αυτή έχει 10 υπολογιστές στο κάθε γραφείο και κάνει χρήση της κλάσης C υποδικτύου για ολόκληρο το σενάριο. 1. Βρείτε τον αριθμό των υποδικτύων που θα χρησιμοποιήσετε στο δίκτυο της εταιρείας. 2. Βρείτε τη μάσκα υποδικτύωσης που θα χρησιμοποιήσετε. 3. Αποδώστε τις απαραίτητες IP διευθύνσεις στους routers και στους υπολογιστές του δικτύου όπως φαίνεται και στο παρακάτω σχήμα. 4. Ρυθμίστε τη δρομολόγηση του συνολικού δικτύου με πρωτόκολλο OSPF. 5. Επιχειρήστε δοκιμές ping για την επαλήθευση της σωστής υλοποίησης. 114

115 8.4 Λύση 1. Για το παραπάνω σενάριο, παρατηρούμε ότι έχουμε τέσσερα LANs, για τα οποία θα χρειαστούμε ισάριθμα ip υποδίκτυα. Επίσης, για τους τέσσερις δρομολογητές που χρησιμοποιούνται στο σενάριο, θα χρειαστούν άλλα τέσσερα ip υποδίκτυα, ένα για κάθε μία προς μία σύνδεση δρομολογητών. Άρα συνολικά, θα χρειαστεί να δημιουργηθούν οκτώ (8) υποδίκτυα από το διαθέσιμο κλάσης C υποδίκτυο. Ακόμη, το κάθε υποδίκτυο έχει 256/8=32 διευθύνσεις και υπερκαλύπτει τις απαιτήσεις του κάθε LAN, που απαιτεί 10 (αφού υπάρχουν 10 υπολογιστές σε κάθε LAN). 2. Σύμφωνα με την μέθοδο που μάθαμε, αφού θέλουμε 8 υποδίκτυα, απαιτούνται y subnet bits, δηλαδή 2 y =8. Άρα y=3. Άρα η subnet mask που θα χρησιμοποιηθεί είναι η εξής δηλαδή

116 1. Τα 8 υποδίκτυα που έχουμε δημιουργήσει είναι τα εξής: Net. Number Broadcast 1 st Address Last Address Από τα παραπάνω υποδίκτυα πρέπει να επιλέξουμε ποια θα αποδοθούν στα LAN υπολογιστών και ποια για τη διασύνδεση των δρομολογητών μεταξύ τους. Δεν έχουμε κάποιο περιορισμό στο συγκεκριμένο σενάριο και η επιλογή θα γίνει ως εξής. Τα τέσσερα πρώτα θα αποδοθούν στη διασύνδεση των δρομολογητών και τα τέσσερα τελευταία για κάθε LAN. Η απόδοση των διευθύνσεων στα διάφορα interfaces θα έχει ως εξής: Fa0 Fa1 Fa2 Router Router Router Router Ρύθμιση του Router1 Router>enable Router#config t Router(config)#hostname Router1 Router1(config)#interface Fastethernet0 Router1(config-if)#ip address Router1(config-if)#no shutdown Router1(config-if)#exit Router1(config)#interface Fastethernet1 Router1(config-if)#ip address Router1(config-if)#no shutdown Router1(config-if)#exit Router1(config)#interface Fastethernet2 Router1(config-if)#ip address Router1(config-if)#no shutdown Router1(config-if)#exit Router1(config)#exit Router1#copy run start 116

117 Ρύθμιση του Router2 Router>enable Router#config t Router(config)#hostname Router2 Router2(config)#interface Fastethernet0 Router2(config-if)#ip address Router2(config-if)#no shutdown Router2(config-if)#exit Router2(config)#interface Fastethernet1 Router2(config-if)#ip address Router2(config-if)#no shutdown Router2(config-if)#exit Router2(config)#interface Fastethernet2 Router2(config-if)#ip address Router2(config-if)#no shutdown Router2(config-if)#exit Router2(config)#exit Router2#copy run start Ρύθμιση του Router3 Router>enable Router#config t Router(config)#hostname Router3 Router3(config)#interface Fastethernet0 Router3(config-if)#ip address Router3(config-if)#no shutdown Router3(config-if)#exit Router3(config)#interface Fastethernet1 Router3(config-if)#ip address Router3(config-if)#no shutdown Router3(config-if)#exit Router3(config)#interface Fastethernet2 Router3(config-if)#ip address Router3(config-if)#no shutdown Router3(config-if)#exit Router3(config)#exit Router3#copy run start Ρύθμιση του Router4 Router>enable Router#config t Router(config)#hostname Router4 Router4(config)#interface Fastethernet0 Router4(config-if)#ip address Router4(config-if)#no shutdown Router4(config-if)#exit Router4(config)#interface Fastethernet1 Router4(config-if)#ip address

118 Ρύθμιση του Router4 Router4(config-if)#no shutdown Router4(config-if)#exit Router4(config)#interface Fastethernet2 Router4(config-if)#ip address Router4(config-if)#no shutdown Router4(config-if)#exit Router4(config)#exit Router4#copy run start 2. Για την ρύθμιση του OSPF θα χρησιμοποιήσουμε την περιοχή 0 σε όλους τους δρομολογητές. Η ρύθμιση θα γίνει σε κάθε έναν δρομολογητή ξεχωριστά, όπως φαίνεται ακολούθως. Ρύθμιση του OSPF Router1(config-router)#router ospf 1 Router1(config-router)#network area 0 Router1(config-router)#network area 0 Router1(config-router)#network area 0 Router2(config-router)#router ospf 1 Router2(config-router)#network area 0 Router2(config-router)#network area 0 Router2(config-router)#network area 0 Router3(config-router)#router ospf 1 Router3(config-router)#network area 0 Router3(config-router)#network area 0 Router3(config-router)#network area 0 Router4(config-router)#router ospf 1 Router4(config-router)#network area 0 Router4(config-router)#network area 0 Router4(config-router)#network area 0 3. Για να επαληθεύσουμε τη σωστή υλοποίηση του σεναρίου, θα πρέπει να κάνουμε δοκιμές ping είτε μεταξύ των δρομολογητών, είτε μεταξύ των τοπικών δικ τυων. Π.χ. Για την επιβεβαίωση της σωστής λειτουργίας (ping από τον Router1 στον Router2) Router1 #ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms 118

119 Βιβλιογραφία search engine.com/cisco pdf pdf.html 4. recipes.com/rx/76/add a static route to a cisco router/ 5. Cisco IOS Cookbook, 2nd Edition, Kevin Dooley, Ian Brown, ISBN: , O'Reilly, Cisco IOS Quick Reference, Will Richards 119

120 Κεφάλαιο 9 ο Διαμόρφωση ενός VLAN Διαμόρφωση ενός VLAN Εκχώρηση θυρών στα διάφορα VLANs Διευθέτηση Inter VLAN Routing Βιβλιογραφία 120

121 Ηλεκτρονικές Πηγές 121

122 9.1 Διαμόρφωση ενός VLAN Η διαμόρφωση των VLANs είναι πραγματικά αρκετά εύκολη με την χρήση των δρομολογητών και των μεταγωγέων της Cisco. Παρόλα αυτά όμως, ο υπολογισμός για το ποιοι χρήστες θα μπουν σε κάθε VLAN, με τι προνόμοια και ποια θα είναι η ορθή τοπολογία, είναι κάτι αρκετά δύσκολο και χρονοβόρο. Στο παρακάτω παράδειγμα θα επειδείξουμε ένα VLAN. Έχοντας όμως αποφασίσει εκ των προτέρων όλα τα παραπάνω θέματα. Κάθε vlan έχει ένα μοναδικό τετραψήφιο αναγνωριστικό (ID) που μπορεί να είναι ένας οποιοσδήποτε αριθμός από το 0001 εώς το Για να προσθέσετε ένα VLAN στην βάση δεδομένων VLAN, πρέπει να οριστεί ένας αριθμός και ένα όνομα. Με τον ορισμό του ονόματος μπαίνετε σε κατάσταση διευθέτησης του VLAN. Τα προεπιλεγμένα VLANs του μεταγωγέα είναι τα VLAN1, VLAN1002, VLAN1003, VLAN1004, VLAN1005. Αυτά τα vlans δεν μπορούν να τροποποιηθούν ή να αλλαχτούν. Πρώτα θα δείξουμε τις βασικές εντολές που χρειάζονται για την διευθέτηση ενός VLAN στον μεταγωγέα 2960, και για την παραμετροποίηση. Εν συνεχεία θα περιγράψουμε δύο συγκεκριμένα παραδείγματα, σε πραγματικές συνθήκες. Οι βασικές εντολές που χρησιμοποιούνται λοιπόν, είναι οι παρακάτω. Πρώτα συνδεόμαστε, ενεργοποιούμε και ονοματίζουμε τον μεταγωγέα. >enable #configure terminal Enter configuration commands, one per line. End with CNTL/Z (config)#hostname Switch_A Στην συνέχεια αναφερόμαστε στα εσωτερικά δίκτυα με την εντολή VLAN, και για να το ονοματήσουμε την εντολή vlan αριθμός_vlan όνομα_vlan. Παρακάτω ενεργοποιούμε και δίνουμε όνομα σε 3 vlans. Switch(config)#vlan 2 122

123 Switch(config-vlan)#name sales Switch(config-vlan)#exit Switch(config)#vlan 3 Switch(config-vlan)#name marketing Switch(config-vlan)#exit Switch(config)#vlan 4 Switch(config-vlan)#name mis Switch(config-vlan)#exit Αφότου δημιουργηθούν τα VLANs που χρειάζονται, με την εντολή show vlans επαληθεύεται η δημιουργία τους. Με την εκτέλεση της εντολής show vlans παρατηρήτε ότι όλες οι θύρες είναι στο εξ ορισμού VLAN1. Αυτό οφείλεται στο ότι όλοι οι μεταγωγείς από κατασκευής έχουν όλες τις θύρες στο VLAN1, το οποίο δεν μπορεί να μετονομαστεί ούτε να σβηστεί. Η Cisco προτείναι μάλιστα στην βιβλιογραφία της να χρησιμοποιείται ως το administrative VLAN για λόγους ασφαλείας. Για να οριστούν οι θύρες στα καινούρια vlans πρέπει να διευθετηθούν μία μία ξεχωριστά. Switch_A#show vlan brief VLAN Name Status Ports default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10,Fa0/11, Fa0/12 Fa0/13,Fa0/14,Fa0/15, Fa0/16 Fa0/17,Fa0/18,Fa0/19, Fa0/20 Fa0/21,Fa0/22,Fa0/23, Fa0/24 2 sales active 3 marketing active 4 mis active 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active 123

124 9.2 Εκχώρηση θυρών στα διάφορα VLANs Μετά την δημιουργία ενός VLAN, μπορείτε να του εκχωρήσετε στατικά μία ή πολλές θύρες. Μία θύρα μπορεί να ανήκει μόνο σε ένα VLAN κάθε φορά. Για να ρυθμίσετε την εκχώρηση θυρών VLAN στην κατάσταση διευθέτησης, εισάγετε την εντολή swithport access vlan αριθμός, με τον εξής τρόπο Switch_A(config-if)#switchport access vlan [ dynamic] Η παράμετρος dynamic σημαίνει ότι ο μεταγωγέας ζητάει από ένα διακομηστή VPMS πληροφορίες VLAN βάσει μιαας διεύθηνσης MAC, μεταξύ 1 και Η διευθέτηση της κάθε θύρας στα διάφορα VLANs, στον μεταγωγέα 2960 γίνεται με την εντολή vlanmembership. Η διευθέτηση γίνεται μόνο για μία θύρα κάθε φορά. Η εκχώρηση μιας θύρας γίνεται είτε δυναμικά είτε στατικά. Παρακάτω παρουσιάζονται οι προανεφερθείσες εντολές. Switch_A#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch_A(config)#interface Fa0/1 Switch_A(config-if)#switchport access vlan 2 Switch_A(config-if)#exit Switch_A(config)#interface Fa0/2 Switch_A(config-if)#switchport access vlan 3 Switch_A(config-if)#exit Switch_A(config)#interface Fa0/3 Switch_A(config-if)#switchport access vlan 4 Switch_A(config-if)#exit Switch_A(config)#exit %SYS-5-CONFIG_I: Configured from console by console Για επαλήθευση των παραπάνω ρυθμίσεων εισάγουμε show vlan brief. Switch_A#show vlan brief VLAN Name Status Ports default active Fa0/4, Fa0/5, Fa0/6, Fa0/7 Fa0/8, Fa0/9, Fa0/10, Fa0/11 Fa0/12, Fa0/13, Fa0/14, Fa0/15 124

125 Fa0/16, Fa0/17, Fa0/18, Fa0/19 Fa0/20, Fa0/21, Fa0/22, Fa0/23 Fa0/24 2 sales active Fa0/1 3 marketing active Fa0/2 4 mis active Fa0/ fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active Switch_A# Ολοκληρώθηκε η δημιουργία εικονικών υποδικτύων στον μεταγωγέα. Αν συνδέσουμε κάποιον υπολογιστή στην θύρες που ρυθμιστήκαν προηγουμένως, θα πρέπει να να ανήκουν στο ίδιο υποδίκτυο για να επικοινωνούν μεταξύ τους. Τέλος για να αφαιρέσουμε ένα εικονικό δίκτυο από τον μεταγωγέα, χρησιμοποιούμε την εντολή no vlan αριθμός_van. Με την εκτέλεση αυτής της εντολής, όλες οι θύρες που βρίσκόταν στο προς διαγραφή vlan, μεταφέρονται αυτόματα στο εξ ορισμού vlan 1 του μεταγωγέα. Στο παρακάτω σχήμα παρουσιάζονται 4 vlans που πρέπει να διευθετηθούν από ένα κοινό μεταγωγέα. Τα εικονικά αυτά δίκτυα αποτελούν τα εσωτερικά δίκτυα μιας φανταστικής εταιρείας. Το VLAN1 είναι το πρωταρχικό vlan του μεταγωγέα το οποίο θα μείναι κανό για μεταχηριστικούς λόγους. Στον vlan 10 πρέπει να μουν οι διαχειριστές, οι οποίοι θα είναι μέχρι 8. Η εταιρεία επίσης διαθέτει λογιστές. Οι λογιστές θα μπούνε στο vlan 20, και θα αφήσουμε περιθώριο μέχρι 7 διαφορετικούς. Και τέλος οι τεχνικοί, οι οποίοι προβλέπεται να είναι μέχρι 9, θα διευθετηθούν ώστε να επικοινωνούν μέσω του vlan 30. Για το παράδειγμα θα χρησιμοποιήσουμε έναν μεταγωγέα

126 Αφότου γίνουν οι απαραίτητες φυσικές συνδέσεις, προχωράμε στην διευθέτηση. Πρώτα ενεργοποιούμε και ονοματίζουμε τον μεταγωγέα. Switch>enable Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#hostname 2960 Το πρώτο εικονικό υποδίκτυο που θα γίνει είναι αυτό των διαχειριστών με όνομα admin. Με την εντολή vlan 10 δημιουργούμε και μπαίνουμε σε κατάσταση διευθέτησής του. Εν συνεχεία με την εντολή name ονοματοδοτούμε το δίκτυο. 2960(config)#vlan (config-vlan)#name Admin 126

127 2960(config-vlan)#exit Ακολούθως προχωράμε στην δημιουργία και των άλλων δύο vlans. 2960(config)#vlan (config-vlan)#name Accounting 2960(config-vlan)#exit 2960(config)#vlan (config-vlan)#name Engineering 2960(config-vlan)#exit Όπως δείξαμε και παραπάνω με την εντολή switchport access vlan αριθμός_vlan. Η διαφορά με το παρακάτω παρακάτω παράδειγμα είναι ότι αντί να διευθετούμε την κάθε θύρα κανονικά, χρησιμοποιούμε την εντολή interface range fastethernet 0/1 8 με την οποία μπορούμε να διευθετήσουμε πολλές θύρες με την ίδια εντολή συγχρόνως. 2960(config)#interface range fasthethernet 0/1 8 Επίσης θέτουμε το trunkink mode σε access 2960(config-if-range)#switchport mode access 2960(config-if-range)#switchport access vlan (config-if-range)#interface range fastethernet 0/ (config-if-range)#switchport mode access 2960(config-if-range)#switchport access vlan (config-if-range)#interface range fastethernet 0/ (config-if-range)#switchport mode access 2960(config-if-range)#switchport access vlan (config-if-range)#exit 2960(config)#exit Τέλος αντιγράφουμε το αρχείο διευθέτησης στην μνήμη εκκίνησης του μεταγωγέα από την ενεργό μνήμη. 2960#copy running-config startupconfig 2960(config)#exit 127

128 9.3 Διευθέτηση Inter VLAN Routing Στο παρακάτω παράδειγμα, όπως μπορούμε να δούμε και στο σχήμα υπάρχουν 3 VLANs τα οποία έχουν από δύο υπολογιστές το καθένα. Στην θύρα 0/1 είναι συνδεδεμένος ένας δρομολογητής μέσω του οποίου το δίκτυο βλέπει προς το διαδίκτυο. Για την διευθέτηση του παρακάτω δικτύου πρέπει να γνωρίζουμε τα εξής. Ο δρομολογητής χρησιμοποιεί για την διασύνδεση του με τον μεταγωγέα υποσύνδεση (subinterface). Ο δρομολογητής και ο μεταγωγέας συνδέονται μέσω διασύνδεσης trunk.. Ο μεταγωγέας συνδέεται με τους υπολογιστές με συνδέσεις access. Ξεκινώντας την διευθέτηση, θέτουμε πρώτα την διασύνδεση του μεταγωγέα με τον δρομολογητή με διασύνδεση μορφής trunk. 2960#config terminal 2960(config)#interface FastEthernet0/1 2960(config-if)#switchport mode trunk 2960(config-if)#interface FastEthernet0/2 2960(config-if)#switchport access vlan (config-if)#interface FastEthernet0/3 2960(config-if)#switchport access vlan 1 128

129 2960(config-if)#interface FastEthernet0/4 2960(config-if)#switchport access vlan (config-if)#interface FastEthernet0/5 2960(config-if)#switchport access vlan (config-if)#interface FastEthernet0/6 2960(config-if)#switchport access vlan 2 Πριν από την διευθέτηση του δρομοληγητή πρέπει να αποφασίσουμε για τις διευθύνσεις των εικονικών δικτύων. Βάσει του σχήματος θα χρειαστούμε 3 διευθύνσεις, οι οποίες έστω ότι θα απέχουν ανα 16. Για το παράδειγμά μας θα χρησιμοποιήσουμε την κοινή αρχική διεύθηνση XX. Οπότε οι διευθήνσεις των τριών VLAN θα είναι VLAN 1: VLAN 2: VLAN 3: Ο καθορισμός των διεθύνσεων των εικονικών δικτύων στον δρομολογητή πρέπει να γίνει με ενθυλάκωση. Αυτό διότι υπάρχει μόνο μία σύνδεση μεταξύ δρομολογητή και μετγωγέα. Και μάλιστα αυτή είναι διασύνδεση trunk. Η ενθυλάκωση δεδομένων είναι μια σημαντική έννοια στα δίκτυα. Είναι η λειτουργία των όμοιων επιπέδων σε κάθε συσκευή που επικοινωνεί, και ονομάζονται ομότιμα επίπεδα (peer). Με αυτή την λειτουργία μεταδίδονται οι κρίσιμες παράμετροι όπως η διευθηνσιοδότηση και ο έλεγχος των πληροφοριών. Στην ουσία είναι η προσθήκη περαιτέρω πληροφοριών σε κάθε πακέτο δεδομένων όταν η πληροφορία προέρχεται από μεγαλύτερο επίπεδο. Στην περίπτωσή μας το επίπεδο αυτό είναι ο δρομολογητής. Επειδή δεν γίνεται να έχουμε όσες συνδέσεις έχει ο μεταγωγέας με τα VLANs στον δρομολογητή, εισάγεται μια περαιτέρω διευθηνσιοδότηση για να ξέρει ο δρομολογητής ποιο εικονικό δίκτυο «βλέπει» προς το διαδίκτυο και αντίστροφα ο μεταγωγέας για ποιο υποδίκτυο αναφέρεται η πληροφορία που λαμβάνει. Αυτό στο παραδειγμά μας επιτυγχάνεται με την εικονική διαίρεση της διεύθυνσης της θύρας που επικοινωνεί ο δρομολογητής με τον μεταγωγέα σε τόσες υποδιευθήνσεις όσα είναι κατ τα VLANs. Εδώ σε 3. Επομένως θα χρησιμοποιήσουμε την εντολή encapsulation dot1q αριθμός_vlan.πρώτα ανοίγουμε σύνδεση με τον δρομολογητή κατά τα γνωστά και ενεργοποιούμε την θύρα επικοινωνίαςς με τον μεταγωγέα με την εντολή no shutdown. ISR#config terminal ISR(config)#int f0/0 ISR(config-if)#no ip address ISR(config-if)#no shutdown 129

130 Στην συνέχεια θέτουμε τις 3 ενθυλακομένες υποδιευθήνσεις για τα ισάριθμα υποδίκτυά μας. Πριν από αυτό πρέπει να πύμε ότι η μάσκα υποδικτύου πρέπει να είναι κοινή για τα τρία υποδίκτυα. Έστω Η σειρά των εντολών είναι κάπως έτσι. ISR(config-if)#int f0/0.1 ISR(config-subif)#encapsulation dot1q 1 ISR(config-subif)#ip address ISR(config-subif)#int f0/0.2 ISR(config-subif)#encapsulation dot1q 2 ISR(config-subif)#ip address ISR(config-subif)#int f0/0.3 ISR(config-subif)#encapsulation dot1q 3 ISR(config-subif)#ip address Στον χρήστης του κάθε VLAN θα τεθεί μία διεύθυνση σύμφωνα με την μάσκα υπο δικτύου του και η default gateway η διεύθυνση IP του VLAN του δρομολογητή. 130

131 Βιβλιογραφία 6. Designing High Performance Campus Intranets with Multilayer Switching, Geoff Haviland, August Cisco IP subnetting 101: Five things you should know, David Davis, July Site to Site and Extranet VPN Business Scenarios, Cisco IOS Enterprise VPN Configuration Guide, Cisco Press, 2007 Ηλεκτρονικές Πηγές 12. Wikipedia Intranet, Wikipedia Vlan, Creating Ethernet VLANs on Catalyst Switches, 186a e.shtml 15. VLAN Basics A look at Cisco VLAN Basics, VLAN tutorial, tips.com/viewthread.cfm?qid= The Virtual LAN Technology Report, 131

132 Κεφάλαιο 10 ο Network Address Translation Εισαγωγή ΝΑΤ Σενάριο Άσκησης Κατασκευή και Ρύθμιση Δικτύου Στατική ΝΑΤ Δυναμική ΝΑΤ Διασυνδέσεις ΝΑΤ Καθαρισμός του Πίνακα ΝΑΤ Επαναφορά ρυθμίσεων Overloading NAT (PAT) Προώθηση Θύρας 132

133 10.1 Εισαγωγή ΝΑΤ Το ΝΑΤ (Network Address Translation) είναι ένας μηχανισμός που διατηρεί καταχωρημένες IP διευθύνσεις σε μεγάλα δίκτυα και απλοποιεί την διαχείριση τους. Καθώς ένα πακέτο δρομολογείται μέσω ενός δρομολογητή Cisco IOS NAT, ο δρομολογητής μεταφράζει την IP διεύθυνση της πηγής του πακέτου, από ιδιωτική εσωτερική διεύθυνση δικτύου σε νόμιμη εξωτερική διεύθυνση IP ώστε το πακέτο να μπορεί να μεταφερθεί μέσω δημοσίων εξωτερικών δικτύων, όπως είναι το Διαδίκτυο. Εξωτερική εισερχόμενη κίνηση μεταφράζεται αντίστοιχα για διανομή στο εσωτερικό δίκτυο. Ένας λόγος για την χρησιμοποίηση του ΝΑΤ είναι ο περιορισμός των IP διευθύνσεων. Μόνο μια μοναδική διεύθυνση IP χρειάζεται για την αναπαράσταση ενός ολόκληρου τοπικού δικτύου υπολογιστών στον εξωτερικό κόσμο. Επιπροσθέτως, το NAT αυξάνει την ασφάλεια του δικτύου αποκρύπτοντας τις εσωτερικές IP διευθύνσεις από εξωτερικά δίκτυα. Η Cisco ορίζει τους παρακάτω όρους ΝΑΤ: Εσωτερική τοπική διεύθυνση Η ιδιωτική IP διεύθυνση της πηγής πριν την μετάφραση. Εσωτερική γενική διεύθυνση Η IP διεύθυνση της πηγής μετά την μετάφραση. Εξωτερική τοπική διεύθυνση Η IP διεύθυνση του προορισμού πριν την μετάφραση. Εξωτερική γενική διεύθυνση Η IP διεύθυνση του προορισμού μετά την μετάφραση. Το ΝΑΤ που χρησιμοποιείται από έναν δρομολογητή Cisco, συνήθως διασυνδέει δύο δίκτυα και μεταφράζει τις ιδιωτικές (εσωτερικές τοπικές) διευθύνσεις του εσωτερικού δικτύου σε δημόσιες διευθύνσεις (εσωτερικές γενικές) πριν να προωθηθούν τα πακέτα σε άλλο δίκτυο. Το ΝΑΤ μπορεί να χρησιμοποιηθεί με διάφορους τρόπους: Στατικό ΝΑΤ Μεταφράζει μία μη καταχωρημένη IP διεύθυνση σε μία καταχωρημένη μία προς μία. Είναι ιδιαίτερα χρήσιμο όταν μια εσωτερική συσκευή χρειάζεται να είναι προσπελάσιμη από εξωτερικό δίκτυο. Στο στατικό ΝΑΤ, ο υπολογιστής με την IP διεύθυνση θα μεταφράζεται πάντα σε

134 Δυναμικό ΝΑΤ Μεταφράζει μία μη καταχωρημένη IP διεύθυνση σε μία καταχωρημένη από ένα σύνολο καταχωρημένων διευθύνσεων. Οι μεταφράσεις δεν υπάρχουν στον πίνακα NAT μέχρι ο δρομολογητής να λάβει κίνηση που να χρειάζεται μετάφραση. Στο δυναμικό ΝΑΤ, ο υπολογιστής με την IP διεύθυνση θα μεταφράζεται στην πρώτη διαθέσιμη διεύθυνση από τις Overloading NAT (PAT) Πολλές ιδιωτικές διευθύνσεις μπορούν να έχουν πρόσβαση στο Internet χρησιμοποιώντας μία μονάχα γενική διεύθυνση. Μεταφράζει πολλαπλές μη καταχωρημένες IP διευθύνσεις σε μία καταχωρημένη χρησιμοποιώντας διαφορετικές πύλες. Στο Overloading NAT κάθε υπολογιστής στο ιδιωτικό δίκτυο μεταφράζεται στην ίδια IP διεύθυνση ( ) αλλά με διαφορετική πύλη. 134

135 10.2 Πως λειτουργεί το ΝΑΤ Όπως φαίνεται στο πάνω σχήμα, ο υπολογιστής στέλνει ένα πακέτο προς τον δρομολογητή που έχει ρυθμιστεί με ΝΑΤ. Ο δρομολογητής αναγνωρίζει την IP διεύθυνση ως μία εσωτερική τοπική IP διεύθυνση που προορίζεται για εξωτερικό δίκτυο. Μεταφράζει τη διεύθυνση σε εσωτερική γενική από τον πίνακα ΝΑΤ που διαθέτει και προωθεί το πακέτο. Αυτή είναι τώρα η διεύθυνση που αναγνωρίζεται στον εξωτερικό κόσμο. Η αντίθετη διαδικασία γίνεται ανάλογα, με τον δρομολογητή να μεταφράζει την εσωτερική γενική IP διεύθυνση σε εσωτερική τοπική χρησιμοποιώντας και πάλι τον πίνακα ΝΑΤ. Στο σχήμα φαίνεται η λειτουργία στατικού ΝΑΤ. Αντίστοιχα γίνεται και δυναμικό ΝΑΤ αν αντί της μίας προς μίας αντιστοιχίας διευθύνσεων υπάρξει αντιστοιχία μίας διεύθυνσης σε μία άλλη από ένα σύνολο καταχωρημένων διευθύνσεων. Η λειτουργία του φαίνεται στο παρακάτω σχήμα. 135

136 Ας δούμε τώρα πως λειτουργεί το Overloading NAT (PAT). Με το Overloading ΝΑΤ, όλοι οι εσωτερικοί υπολογιστές μεταφράζονται σε μία μοναδική IP διεύθυνση. Αυτό που τους κάνει να ξεχωρίζουν όμως είναι ότι χρησιμοποιούνται διαφορετικές πύλες που βοηθούν τον δρομολογητή να αναγνωρίζει κάθε φορά ποιος υπολογιστής πρέπει να λάβει την εισερχόμενη κίνηση. Η διαφορά με το στατικό ΝΑΤ κι ένα μεγάλο πλεονέκτημα του PAT είναι ότι χρησιμοποιούνται πολύ λιγότερες IP διευθύνσεις. Το PAT μας επιτρέπει να χρησιμοποιούμε το επίπεδο μεταφοράς για την αναγνώριση των υπολογιστών, πράγμα που σημαίνει πως μπορούμε θεωρητικά να αναπαραστήσουμε μέχρι και υπολογιστές με μία μόνο IP διεύθυνση Σενάριο Άσκησης Μια εταιρία χρειάζεται αρκετές ιδιωτικές IP διευθύνσεις μετεφρασμένες μία προς μία με ένα σύνολο δημοσίων IP διευθύνσεων. Για το σκοπό αυτό θα χρησιμοποιηθεί στατική και 136

137 δυναμική μετάφραση ΝΑΤ. Έπειτα, όλες οι «εσωτερικές» IP διευθύνσεις θα μεταφραστούν σε μία γενική δημόσια διεύθυνση όπως θα εμφανίζεται στον «εξωτερικό» κόσμο. Αυτό θα επιτευχθεί μεσω του Overloading NAT (PAT). Τέλος, οι χρήστες του Διαδικτύου χρειάζεται να έχουν πρόσβαση στον Web Server που βρίσκεται στο ιδιωτικό δίκτυο της εταιρίας. Θα γίνει χρήση της τεχνικής προώθησης θύρας Κατασκευή και Ρύθμιση Δικτύου Φτιάχνουμε και ρυθμίζουμε το δίκτυο σύμφωνα με το διάγραμμα. Χρησιμοποιούμε την εντολή ping για να ελέγχξουμε τη σύνδεση του δρομολογητή ΝΑΤ με τον δρομολογητή ISP1, των σταθμών εργασίας με τον ΝΑΤ, καθώς και του Web Server με τον ISP Αρχικές Στατικές Διαδρομές Εφόσων δεν έχουμε κανένα πρωτόκολλο δρομολόγησης ενεργοποιημένο, ρυθμίζουμε τον δρομολογητή ΝΑΤ να έχει προκαθορισμένη διαδρομή (default route) στο internet, δηλαδή στη διασύνδεση του ISP1: NAT(config)#ip route Ο δρομολογητής ISP1 χρειάζεται να μπορεί να επικοινωνήσει με τους υπολογιστές που βρίσκονται στο ιδιωτικό δίκτυο (private network). Όμως, αυτοί οι υπολογιστές θα έχουν μεταφρασμένες IP διευθύνσεις στο δίκτυο /25. Για αυτόν τον λόγο απαιτείται στατική δρομολόγηση στο δίκτυο /25: ISP1(config)#ip route

138 Δημιουργία Access Control List Δημιουργούμε μια Access Control List που να ορίζει όλους τους χρήστες στο ιδιωτικό δίκτυο: NAT(config)#access-list 1 permit Στατική ΝΑΤ Σε αυτό το βήμα ρυθμίζουμε την στατική μετάφραση των IP διευθύνσεων. Οι δημόσιες διευθύνσεις /25 θα χρησιμοποιηθούν ως «δεξαμενή» για τη μετάφραση ΝΑΤ των ιδιωτικών IP διευθύνσεων. Για την στατική αντιστοιχία του χρήστη με ιδιωτική IP διεύθυνση με την IP διεύθυνση πληκτρολογούμε την παρακάτω εντολή: NAT(config)#ip nat inside source static Η στατική αντιστοιχία έχει το πλεονέκτημα να επιτρέπει στους «εξωτερικούς» χρήστες να έχουν πάντοτε πρόσβαση στον «εσωτερικό» χρήστη γνωρίζοντας μόνο την προκαθορισμένη IP διεύθυνση Επιπρόσθετα επιτρέπει στον «εσωτερικό» χρήστη να έχει πρόσβαση στο Διαδίκτυο με αλλαγμένη διεύθυνση. Αυτή η αλλαγή της διεύθυνσης αυξάνει την ασφάλεια του ιδιωτικού δικτύου Δυναμική ΝΑΤ Για να επιτραπεί η πρόσβαση στο Διαδίκτυο και στους υπόλοιπους υπολογιστές του ιδιωτικού δικτύου, χρειάζεται να γίνουν ανάλογες μεταφράσεις και για αυτούς. Μια λίστα από στατικές μεταφράσεις θα μπορούσαν να γίνουν μία προς μία, αλλά ευκολότερη εναλλακτική τεχνική είναι να ρυθμιστεί ένα σύνολο διευθύνσεων στις οποίες ο δρομολογητής θα μεταφράζει μία προς μία δυναμικά τις ιδιωτικές IP διευθύνσεις. Ας αντιστοιχίσουμε δυναμικά τους υπολογιστές του ιδιωτικού δικτύου /24 σε δημόσιες IP διευθύνσεις του συνόλου : NAT(config)#ip nat pool public netmask NAT(config)#ip nat inside source list 1 pool public Οι παραπάνω εντολές παρέχουν μία προς μία δυναμική ΝΑΤ μετάφραση μεταξύ ιδιωτικών IP διευθύνσεων, που ορίζονται από την Access List 1, και δημοσίων IP διευθύνσεων που βρίσκονται στη δημόσια «δεξαμενή» (pool) public. Δυναμικές μεταφράσεις ΝΑΤ γίνονται για κάθε «εσωτερικό» υπολογιστή για τον οποίο δεν έχει οριστεί στατική μετάφραση. 138

139 Παρατηρούμε από την παραπάνω ρύθμιση ότι δεν χρησιμοποιούνται οι IP διευθύνσεις Και αυτό γιατί κρατιούνται για χρήση σε μελλοντικές στατικές μεταφράσεις ΝΑΤ. Εάν υπάρχουν περισσότεροι από 128 ενεργοί υπολογιστές στο ιδιωτικό δίκτυο, η στατική και/ή δυναμική ΝΑΤ μετάφραση θα εμποδίσει τους επιπρόσθετους υπολογιστές να έχουν πρόσβαση στο Διαδίκτυο. Για αυτούς τους επιπρόσθετους υπολογιστές θα πρέπει να ρυθμιστεί το Overloading NAT (PAT) για να έχουν πρόσβαση Διασυνδέσεις ΝΑΤ Τώρα θα προσδιορίσουμε τις εσωτερικές και εξωτερικές διασυνδέσεις ΝΑΤ. Σε περισσότερο πολύπλοκες τοπολογίες είναι πιθανό να υπάρχουν περισσότερες από μία εσωτερικές διασυνδέσεις ΝΑΤ. NAT(config)#interface FastEthernet 0 NAT(config-if)#ip nat inside NAT(config-if)#interface FastEthernet 4 NAT(config-if)#ip nat outside Έλεγχος Ορθότητας Υπάρχουν διάφορες εντολές show που μπορούν να χρησιμοποιηθούν για να δούμε εάν δουλεύει σωστά το στατικό και το δυναμικό ΝΑΤ: show ip nat translations, show ip nat statistics και show ip nat translations verbose. NAT#show ip nat translations Pro Inside global Inside local Outside local Outside global NAT#show ip nat statistics Total active translations: 2 (1 static, 1 dynamic; 0 extended) Outside interfaces: FastEthernet 4 Inside interfaces: FastEthernet 0 139

140 Hits: 131 Misses: 9 Expired translations: 0 Dynamic mappings: -- Inside Source [Id: 2] access-list 1 pool public refcount 1 pool public: netmask start end type generic, total addresses 122, allocated 1 (0%), misses 0 NAT#show ip nat translations verbose Pro Inside global Inside local Outside local Outside global create 00:02:55, use 00:02:55, left 23:57:04, Map-Id(In): 2, flags: none, use_count: create 00:40:36, use 00:02:59, flags: static, use_count: 0 Παρατηρούμε πως στον χρήστη με την IP διεύθυνση μεταφράστηκε η διεύθυνση του δυναμικά σε , στην πρώτη δηλαδή διαθέσιμη διεύθυνση από την pool «public» Καθαρισμός του Πίνακα ΝΑΤ Η εντολή clear ip nat translation * μπορεί να χρησιμοποιηθεί για να καθαρίσει όλες τις δυναμικές μεταφράσεις από τον πίνακα ΝΑΤ: NAT#clear ip nat translation * NAT#show ip nat translations Pro Inside global Inside local Outside local Outside global 140

141

142 Επαναφορά ρυθμίσεων Ας δούμε όμως πως μπορούμε να μεταφράσουμε όλες τις «εσωτερικές» IP διευθύνσεις σε μία γενική δημόσια διεύθυνση. Αρχικά, θα αφαιρέσουμε το ΝΑΤ pool «public» και τις στατικές/δυναμικές ρυθμίσεις ΝΑΤ που κάναμε παραπάνω: NAT(config)#no ip nat pool public NAT(config)#no ip nat inside source static NAT(config)#no ip nat inside source list 1 pool public Overloading NAT (PAT) Επειδή η μοναδική εσωτερική γενική διεύθυνση θα χρησιμοποιηθεί για να αναπαραστήσει πολλαπλές εσωτερικές τοπικές διευθύνσεις x ταυτόχρονα, θα εφαρμόσουμε την access list και θα ρυθμίσουμε ΝΑΤ overload στην διασύνδεση FastEthernet 4 του δρομολογητή ΝΑΤ. Γενικά, αυτό αναφέρεται ως Port Address Translation (PAT): NAT(config)#ip nat inside source list 1 interface FastEthernet 4 overload Αυτή η ρύθμιση επιτρέπει στους «εσωτερικούς» χρήστες να έχουν πρόσβαση στο Διαδίκτυο, αλλά εμποδίζει «εξωτερικούς» χρήστες να έχουν πρόσβαση σε εσωτερικούς υπολογιστές Έλεγχος Ορθότητας Εκτελούμε κι εδώ τις εντολές show ip nat translations, show ip nat statistics και show ip nat translations verbose για να ελέγξουμε την ορθότητα του PAT: NAT#show ip nat translations Pro Inside global Inside local Outside local Outside global icmp : : : :516 icmp : : : :

143 icmp : : : :518 icmp : : : :519 icmp : : : :520 NAT#show ip nat statistics Total active translations: 5 (0 static, 5 dynamic; 5 extended) Outside interfaces: FastEthernet 4 Inside interfaces: FastEthernet 0 Hits: 25 Misses: 30 Expired translations: 20 Dynamic mappings: -- Inside Source [Id: 1] access-list 1 interface FastEthernet 4 refcount 5 NAT#show ip nat translations verbose Pro Inside global Inside local Outside local Outside global icmp : : : :516 create 00:00:15, use 00:00:15, left 00:00:44, Map-Id(In): 1, flags: extended, use_count: 0 icmp : : : :517 create 00:00:15, use 00:00:15, left 00:00:44, Map-Id(In): 1, flags: 143

144 extended, use_count: 0 icmp : : : :518 create 00:00:15, use 00:00:15, left 00:00:44, Map-Id(In): 1, flags: extended, use_count: 0 icmp : : : :519 create 00:00:15, use 00:00:15, left 00:00:44, Map-Id(In): 1, flags: extended, use_count: 0 icmp : : : :520 create 00:00:15, use 00:00:15, left 00:00:44, Map-Id(In): 1, flags: extended, use_count: Προώθηση Θύρας 144

145 Έστω μια παραλλαγή του αρχικού σχήματος. Όλοι οι χρήστες του Διαδικτύου χρειάζονται να έχουν πρόσβαση στον Web Server που βρίσκεται στο ιδιωτικό δίκτυο, μέσω της διεύθυνσης και της θύρας 80. Θα ρυθμίσουμε το PAT έτσι ώστε οι χρήστες του Διαδικτύου να μεταφέρονται στον Web Server με IP διεύθυνση , όταν συνδέονται στην IP διεύθυνση NAT(config)#ip nat inside source static tcp extendable Η λέξη extendable στο τέλος της παραπάνω εντολής προκαλεί στον δρομολογητή να επαναχρησιμοποιεί την γενική διεύθυνση μιας ενεργούς μετάφρασης και να αποθηκεύει αρκετή πληροφορία ώστε να την ξεχωρίζει από άλλη καταχώρηση μετάφρασης. Η διαδικασία εκτέλεσης μεταφράσεων ΝΑΤ που βασίζονται στη τιμή του εισερχόμενου αριθμού θύρας ενός IP πακέτου ονομάζεται προώθηση θύρας (port forwarding) Έλεγχος Ορθότητας Επιτυχημένη ρύθμιση της Προώθησης Θύρας πραγματοποιείται όταν επιτύχουμε να έχουμε πρόσβαση στον Web Server από έναν σταθμό εργασίας στο Διαδίκτυο με Web Browser που χρησιμοποιεί την εσωτερική γενική διεύθυνση Εκτελούμε τις ίδιες τρεις εντολές show για να δούμε τις μεταφράσεις: NAT#show ip nat translations Pro Inside global Inside local Outside local Outside global tcp : : : :4806 tcp : : : :4809 tcp : : : :4814 tcp : : NAT#show ip nat statistics Total active translations: 4 (1 static, 3 dynamic; 4 extended) Outside interfaces: FastEthernet 4 Inside interfaces: FastEthernet 0 Hits: 243 Misses:

146 Expired translations: 34 Dynamic mappings: -- Inside Source [Id: 1] access-list 1 interface FastEthernet 4 refcount 0 NAT#show ip nat translations verbose Pro Inside global Inside local Outside local Outside global tcp : : : :4806 create 00:01:00, use 00:00:59, left 00:00:00, flags: extended, timing-out, use_count: 0 tcp : : : :4809 create 00:00:59, use 00:00:59, left 00:00:00, flags: extended, timing-out, use_count: 0 tcp : : : :4814 create 00:00:41, use 00:00:40, left 00:00:19, flags: extended, timing-out, use_count: 0 tcp : : create 00:11:23, use 00:00:41, flags: static, extended, extendable, use_count: 3 146

147 Βιβλιογραφία 1. CCNA 3 and 4, Companion Guide, Third Edition 2. CCNA ICND2, Official Exam Certification Guide, Second Edition, Wendell Odom, CCIE No CCNA th Edition Todd Lammle 4. CCNA Fast Pass, Third Edition, Todd Lammle, CCSI, Nov Cisco IOS Cookbook, 2nd Edition, Kevin Dooley, Ian Brown, ISBN: , O'Reilly, 2006 Ηλεκτρονικές Πηγές 1. CCNP 1, Advanced Routing v CCNA 4: WAN Technologies v How NAT works shtml 4. Wikipedia Cisco 147

148 148

149 Κεφάλαιο 11 ο IPv6 Εισαγωγή Τρόπος διευθέτησης Διαμόρφωση δικτύου με δρομολογητές Cisco Βασική διευθέτηση 149

150 Ενεργοποίηση IPv6 στο δρομολογητή IPv6 Tunnels: Διευθέτηση με χειροκίνητο τρόπο Λίστα εντολών 150

151 11.1 Γενικά Στις αρχές του 1990 ο οργανισμός IETF κατάλαβε ότι ο χώρος διευθύνσεων του πρωτοκόλλου IPv4 λιγόστευε με ταχείς ρυθμούς. Μάλιστα υπήρχε η πρόβλεψη ότι αν συνέχιζε να μικραίνει ο χώρος διευθύνσεων με αυτούς τους ρυθμούς μέχρι το 2005 θα είχαν τελειώσει όλες οι διευθύνσεις. Κάτι τέτοιο δε συνέβη επειδή λόγω της τεχνολογίας ΝΑΤ που χρησιμοποιείται ευρύτατα. Tα τελευταία χρόνια υπάρχει όλο και περισσότερο έντονη ερευνητική και επιχειρηματική δραστηριότητα γύρω από το IPv6. Υποστηρίζεται πλέον από πληθώρα δικτυακών συσκευών και από όλα τα δημοφιλή λειτουργικά συστήματα όπως Windows, Linux, MacOSΧ, FreeBSD και άλλα. Δεν έχει φτάσει ακόμα σε επίπεδο ώστε να είναι εφικτή η ευρεία υιοθέτησή του στο Internet. Σύμφωνα με όλα αυτά και όλες οι τελευταίες εκδόσεις των Cisco δρομολογητών και μεταγωγέων υποστιρίζουν πλήρως την μετάβαση από Ipv4 σε Ipv6. Παρακάτω υπάρχουν κάποια στοιχεία για το Ipv6 και εν συνεχεία ασκήσεις για την κατανόηση της δρομολόγησης βάσει IPv6. Ipv4 IPv6 32 bits ή 4 bytes 128 bits ή 16 bytes: 4 φορές τα bits του Ipv4 4,200,000,000 πιθανές διευθύνσεις 3.4 * 1038 πιθανές διευθύνσεις 340,282,366,920,938,463,374,607,432,768,211,456 5 * 1028 διευθύνσεις για κάθε κάτοικο της γης 11.2 IPv6 Τρόπος διεθέτησης x:x:x:x:x:x:x:x, όπου για κάθε x βρίσκεται ένας δεκαεξαδικός αριθμός Όταν υπάρχουν διαδοχικά μηδενικά μπορούν να παραλειφθούν με την χρήση ενός μηδενικού: 2031:0:130F:0:0:9C0:876A:130B 151

152 Όταν υπάρχουν δύο τετράδες η κει παραπάνω με μηδενικά, αντικαθίστανται με το σύμβολο της ανω κάτω τελείας ( : ). Παραδείγματα Ipv6 2031:0000:130F:0000:0000:09C0:876A:130B 2031:0:130f::9c0:876a:130b FF01:0:0:0:0:0:0:1 >>> FF01::1 0:0:0:0:0:0:0:1 >>> ::1 0:0:0:0:0:0:0:0 >>> :: 11.3 Διαμόρφωση ενός δικτύου που χρησιμοποιεί τους δρομολογητές Cisco βάσει IPv6. Στην ακόλουθη άσκηση, θα ολοκληρώσετε τα παρακάτω θέματα: 1. Να εγκαταστήστε ένα νέο IOS Cisco λογισμικό με την υποστήριξη IPv6 σε έναν δρομολογητή Cisco. Το όνομα αρχείου του νέου λειτουργικού είναι c2600 ismz Να ενεργοποίησετε το IPv6 σε ένα δρομολογητή Cisco. 3. Να ορίστε τις διευθύνσεις IPv6 στις θύρες. 4. Να ελέγξτε τις θύρες και τις διευθύνσεις που ορίζονται. 152

153 Σχήμα 1. Βασική αρχιτεκτονική του δικτύου που χρησιμοποιήταε στην άσκηση. ΣΗΜΕΙΩΣΗ Οι ασκήσεις διαμόρφωσης επιτρέπουν σε σας για να ασκήσουν τις δεξιότητες και τη γνώση σας με τη διαμόρφωση IPv6 σε έναν δρομολογητή Cisco χρησιμοποιώντας τις εντολές που παρουσιάζονται σε αυτό το κεφάλαιο. Στην άσκηση που παρουσιάζεται εδώ, μόνο ένας δρομολογητής με τις πολλαπλές θύρες FastEthernet παρέχει τη συνδετικότητα IPv6 στους κόμβους σε ένα δίκτυο. Αυτή η άσκηση υποθέτει ότι έχετε την ελάχιστη εμπειρία με τη διεπαφή εντολή γραμμών (CLI) και ότι μπορείτε να μεταφορτώσετε ένα νέο ios Cisco λογισμικό από τον ιστοχώρο Cisco Λίστα χρησιμοποιούμενων εντολών Όλες οι εντολές που θα χρησιμοποιηθούν στη άσκηση βρίσκονται στον πίνακα 1, ο οποίος μπορεί να χρησιμοποιηθεί σαν αναφορά κατά την διάρκεια της άσκησης. Πίνακας 3.1 Εντολή copy running config startup config copy tftp flash Οι χρησιμοποιούμενες εντολές της άσκησης Περιγραφή Αποθήκευση του αρχείου διευθέτησης στην εσωτερική μνήμη NVRAM Εγκατάσταση νέου αρχείου διευθέτησης στον δρομολογητή από έναν TFTP κόμβο 153

154 hostname name interface interface type interfacenumber ip address ip address network mask ip cef ipv6 cef ipv6 unicast routing ipv6 address ipv6 address/prefixlength no ip address ip address networkmask show interface interface type interface number show ipv6 show ipv6 interface interface type interface number Καθορισμός του ονόματος του δρομολογητή Καθορισμός μιας συγκεκριμένης θύρας ή ενός συγκεκριμένου τύπου θύρας Ρυθμίζει τη διεύθυνση IP για την διαχείριση του δρομολογητή μέσα στο εύρος ζώνης του Ενεργοποίηση περιβάλλοντος IPv4 Ενεργοποίηση περιβάλλοντος IPv6 Ενεργοποίηση της δρομολόγησης της κίνησης βάση IPv6 Διευθέτηση μιας στατικής IPv6 διεύθυνσης με συγκεκριμένο μήκος προθέματος Απενεργοποίηση μιας διεύθυνσης IPv4 Εμφάνιση πληροφοριών μιας διασύνδεσης ή θύρας Εμφάνιση γενικών πληροφοριών για την υποστήριξη του IPv6 από τον δρομολογητή Εμφάνιση γενικών πληροφοριών για την υποστήριξη του IPv6 από τον δρομολογητή για μια συγκεκριμένη θύρα 11.4 Βασική διευθέτηση δρομολογητή και εγκατάσταση του νέου αρχείου διευθέτησης για υποστήριξη IPv6 Στην επόμενη σειρά εντολών παρουσιάζεται ο τρόπος εγκατάστασης ενός νέου αρχείου διευθέτησης από έναν TFTP serer και αντικατάσταση του παλιού. Το νέο αρχείο διευθέτησης παρέχει την υποστήριξη της διεύθυνσηοδότησης βάσει IPv6. Ο TFTP server είναι συνδεδεμένος στο ίδιο δίκτυο με τον δρομολογητή, και συγκεκριμένα με την θύρα FastEthernet 0/0. Ο TFTP server μπορεί να επικοινωνήσει μόνο βάσει πρωτοκόλλου IPv4 με την διεύθυνση Βήμα 1 Το όνομα του δρομολογητή έστω ότι θα είναι RouterΑ. Για να γίνει η ονοματοδοσία του χρειάζονται οι παρακάτω εντολές: Router#conf t Router(config)#hostname RouterA Router(config)#exit RouterA# 154

155 Βήμα 2 Στο συγκεκριμένο παράδειγμα θα χρησιμοποιήσουμε μόνο την θύρα FastEthernet 0/0. Οι παράμετροι που θέλουμε να εισάγουμε είναι οι εξής : Router's Interface IPv4 Address Netmask Fast Ethernet 0/ Οι ακόλουθες εντολές θα χρησιμοποιηθούν για την διεύθετηση της θύρας 0/0. RouterA(config)#interface fastethernet 0/0 RouterA(config-if)#ip address RouterA(config-if)#exit RouterA(config)#exit Βήμα 3 Επειδή ο δρομολογητής 871 W δεν παρέχει υποστήριξη IPv6 από τον κατασκευαστή του, είναι αναγκαία η εγκατάσταση ενός ενημερωμένου αρχείου διευθέτησης (IOS) από κάποιος server οτυ δικτύου. Το όνομα του αρχείου διευθέτησης μπορούμε να το ελέγξουμε με την εντολή show version : RouterA#show version Cisco IOS Software, 2800 Software (C2800NM-IPBASE-M), Version 12.3(14)T7, RELEASE SOFTWARE (fc2) Technical Support: Copyright (c) by Cisco Systems, Inc. Compiled Wed 22-Mar-06 18:40 by pt_team ROM: System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1) Copyright (c) 2000 by cisco Systems, Inc. System returned to ROM by power-on System image file is "flash:c2800nm-ipbase-mz t7.bin" cisco 2811 (MPC860) processor (revision 0x200) with 60416K/5120K bytes of memory Processor board ID JAD05190MTZ ( ) M860 processor: part number 0, mask 49 2 FastEthernet/IEEE interface(s) 239K bytes of NVRAM K bytes of processor board System flash (Read/Write) 155

156 Configuration register is 0x2102 Έστω ότι αυτός ο sever βρίσκεται στη IPv4 διεύθυνση Με την εντολή copy tftp flash προχωράμε στην αντικατάσταση του τρέχοντος IOS, με όνομα c2600 is mz Και πατάμε Yes όταν μα ζητηθεί επιβεβαίωση. RouterA#copy tftp flash Address or name of remote host []? Source filename []? c2600-is-mz Destination filename [c2600-is-mz ]? Do you want to over write? [confirm] ENTER Accessing tftp:// /c2600-is-mz Erase flash: before copying? [confirm] ENTER Erasing the flash filesystem will remove all files! Continue? [confirm] ENTER Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee...erased Erase of flash: complete Loading c2600-is-mz from (via FastEthernet0/0): <output omitted> [OK / bytes] Verifying checksum... OK (0xE9F1) bytes copied in secs ( bytes/sec) Βήμα 4 Για να δούμε καταρχάς αν το νέο αρχείο διευθέτησης είναι ορθό και εγκαταστάθηκε σωστά, επανεκκινούμε τον δρομολογητή. Εφόσον η εκκίνηση ολοκληρωθεί επιτυχώς, προχωράμε στον έλεγχο για το αν ενεργοποιήθηκε το IPv6. Ο έλεγχος αυτός γίνεται στην κατάσταση enable. Ο έλεγχος γίνεται με την εντολή show ipv6?. Η οποία πρέπει να μας δώσει μια λίστα με πιθανά ορίσματα που αφορούν την διευθέτηση του IPv6. Το αποτέλεσμα της εντολής φαίνεται παρακάτω. RouterA#show ipv6? access-list Summary of access lists cef Cisco Express Forwarding for IPv6 interface IPv6 interface status and configuration 156

157 mtu MTU per destination cache neighbors Show IPv6 neighbor cache entries prefix-list List IPv6 prefix lists protocols IPv6 Routing Protocols rip RIP routing protocol status route Show IPv6 route table entries routers Show local IPv6 routers traffic IPv6 traffic statistics tunnel Summary of IPv6 tunnels RouterA#show ipv6 Σε περίπτωση που παραχθεί συντακτικό λάθος του τύπου RouterA#show ipv6? % Unrecognized command RouterA#show ipv6 Σημαίνει ότι η εγκατάσταση του νέου IOS απέτυχε. Βήμα 5 Πριν την διευθέτηση μιας IPv6 διεύθυνσης, προχωράμε στην διαγραφή της IPv4 διεύθυνσης από την θύρα 0/0 με τις εξής εντολές: RouterA(config)#interface fastethernet 0/0 RouterA(config-if)#no ip address RouterA(config-if)#exit RouterA(config)#exit Βήμα 6 Για να σώσουμε ότι έχουμε κάνει στην μνήμη NVRAM ώστε να μπορούμε να έχουμε τις αλλαγές σε περίπτωση που δημιουργηθεί πρόβλημα, χρησιμοποιούμε την εντολή copy: RouterA#copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK] 157

158 11.5 Ενεργοποίηση του IPv6 στον δρομολογητή και διευθέτηση στατικής διεύθυνσης. Βήμα 1 Για την ενεργοποίηση του IPv6 στις θύρες του δρομολογητή, χρησιμοποιούμε την εντολή ipv6 unicast routing. Έτσι πετυχαινουμε να προωθούνται πακέτα μεταξύ των συνδέσεων του δρομολογητή βάσει IPv6. Επίσης ενεργοποιούμε το CEFv6. RouterA#conf t RouterA(config)#ipv6 unicast-routing RouterA(config)#ip cef RouterA(config)#ipv6 cef RouterA(config)#exit Βήμα 2 Πριν προχωρήσουμε θα πρέπει να βρούμε τις Mac διευθύνσεις των θυρών που μας ενδιαφέρουν. Στο συγκεκριμένο παράδειγμα είναι οι FastEthernet0/1 και FastEthernet0/2. Με την εντολή show interface fastethernet x/x, μπορούμε να δούμε τις MAC διευθύνσεις και τις τοπικές διευθύνσεις δρομολόγησης των 2 θυρών. Εν συνεχεία θα τις τοποθετήσουμε στον παρακάτω πίνακα για αναφορά. Interface Hardware Address Link Local Address Fast Ethernet 0/0 Fast Ethernet 0/1 RouterA#show interface fastethernet 0/0 FastEthernet0/0 is up, line protocol is up Hardware is AmdFE, address is ee4.4c00 (bia ee4.4c00) MTU 1500 bytes, BW Kbit, DLY 1000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Half-duplex, 10Mb/s, 100BaseTX/FX ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:03:01, output 00:00:07, output hang never Last clearing of "show interface" counters never Queueing strategy: fifo <data omitted>.. RouterA#show interface fastethernet 0/1 158

159 FastEthernet0/1 is administratively down, line protocol is down Hardware is AmdFE, address is ee4.4c01 (bia ee4.4c01) MTU 1500 bytes, BW Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Auto-duplex, Auto Speed, 100BaseTX/FX ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output never, output hang never Last clearing of "show interface" counters never Queueing strategy: fifo Βήμα 3 Από το εμφανιζόμενο αποτέλεσμα της εντολή show interface fastethernet x/x εισάγουμε τις τιμές στον πίνακα. Interface Hardware Address Link Local Address Fast Ethernet 0/ ee4.4c Fast Ethernet 0/ ee4.4c Το ζητούμενο είναι να καταχωρηθούν οι παρακάτω IPv6 τιμές στις δύο θύρες. Αυτό επιτυγχάνεται με την εντολή ipv6 address. Εισάγουμε λοιπόν την διεύθυνση fec0:0:0:1001::1/128 και fec0:0:0:1002::1/128 στις θύρες 0/0 και 0/1 αντίστοιχα. Interfaces Fast Ethernet 0/0 Fast Ethernet 0/1 IPv6 Addresses FEC0:0:0:1001::1/128 FEC0:0:0:1002::1/128 RouterA#conf t Enter configuration commands, one per line. End with CNTL/Z. RouterA(config)#interface fastethernet 0/0 RouterA(config-if)#ipv6 address fec0:0:0:1001::1/128 RouterA(config-if)#interface fastethernet 0/1 RouterA(config-if)#ipv6 address fec0:0:0:1002::1/128 RouterA(config)#exit 159

160 Βήμα 4 Για επαλήθευση των κινήσεών μας, εισάγουμε την εντολή show ipv6 interface fastethernet x/x, όπου πρέπει να εμφανιστούνε ως διευθύνσεις δικτύου των θυρών οι IPv6 διευθύνσεις που εισάγαμε προηγουμένως. RouterA#show ipv6 interface fastethernet 0/0 FastEthernet0/0 is up, line protocol is up IPv6 is enabled, <Anchor0>link-local address is FE80::250:3EFF:FEE4:4C00 Global unicast address(es): <Anchor1>FEC0:0:0:1002::1, subnet is FEC0:0:0:1001::/128 Joined group address(es): FF02::1 FF02::2 FF02::1:FF00:1 FF02::1:FFE4:4C00 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ND DAD is enabled, number of DAD attempts: 1 ND reachable time is milliseconds ND advertised reachable time is 0 milliseconds ND advertised retransmit interval is 0 milliseconds ND router advertisements are sent every 200 seconds ND router advertisements live for 1800 seconds Hosts use stateless autoconfig for addresses. RouterA#show ipv6 interface fastethernet 0/1 FastEthernet0/1 is administratively down, line protocol is up IPv6 is enabled, <Anchor2>link-local address is FE80::250:3EFF:FEE4:4C01 Global unicast address(es): <Anchor3>FEC0:0:0:1002::1, subnet is FEC0:0:0:1002::/128 Joined group address(es): FF02::1 FF02::2 FF02::1:FF00:1 FF02::1:FFE4:4C01 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds 160

161 ICMP redirects are enabled ND DAD is enabled, number of DAD attempts: 1 ND reachable time is milliseconds ND advertised reachable time is 0 milliseconds ND advertised retransmit interval is 0 milliseconds ND router advertisements are sent every 200 seconds ND router advertisements live for 1800 seconds Hosts use stateless autoconfig for addresses. Βήμα 5 Αποθήκευση της τρέχουσας διευθέτησης στην μνήμη NVRAM. RouterA#copy running-config startup-config Destination filename [startup-config]? Building configuration... Βήμα 6 Για διάγνωση της βασικής συνδετικότητας με Ipv6 χρησιμοποιείτε η παρακάτω γνωστή εντολή. RouterΑ#ping ipv6 FEC0:0:0:1001::1/ IPv6 Tunnels: Διευθέτηση με χειροκίνητο τρόπο Σε πολλές περιπτώσεις υπάρχει η ανάγκη διασύνδεσης δικτύων με υπολογιστές διευθετημένους με IPv6 μέσω δικτύων IPv4. Αυτό συμβαίνει καθότι το IPv6 δεν είναι πολύ διαδεδομένο. Η Cisco έχει εισάγει για αυτές τις περιπτώσεις την ορολογία tunneling. Με τον όρο tunneling εννοούμε ακριβώς την διασύνδεση του IPv6 με το IPv4. Στο παρακάτω σχήμα υπάρχει ένα τέτοιο δίκτυο. Υπάρχουν δύο υπολογιστές διευθετημένοι με IPv6 συνδεδεμένοι σε δύο δρομολογητές αντίστοιχα με διευθύνσεις 2001:db8:c003:1104::1/64 και 2001:db8:c003:1104::2/64. Οι δύο δρομολογητές συνδέονται μεταξύ τους με δίκτυο IPv4 με αντίστοιχες διευθύνσεις /24 και /24 με τις οποίες είναι προσβάσιμες από εξωτερικές διευθύνσεις. Στόχος της άσκησης είναι η διευθέτηση του δικτύου με τέτοιο τρόπο ώστε οι δύο υπολογιστές να μπορούν να ανταλλάσουν δεδομένα 161

162 Ξεκινώντας, προχωράμε πρώτα στην διευθέτηση του δρομολογητή Juneau. Πρώτα τον ενεργοποιούμε και τον ονοματίζουμε. Router>enable Router#configure terminal Router(config)#hostname Juneau Συνεχίζοντας πρέπει να ενεργοποιηθεί η λειτουργία του IPv6. Αυτό επιτυγχάνεται με την εντολή ipv6 unicastrouting, η οποία θέτει τον δρομολογητή σε κατάσταση προώθησης των πακέτων σε μορφή IPv6. Juneau(config)#ipv6 unicastrouting Για να ορίσουμε την λειτουργία tunneling εισάγουμε την εντολή interface tunnel αριθμός_tunnel. Με αυτή την εντολή μπαίνουμε σε κατάσταση διευθέτησης του tunnel 0. Μπορούμε να επιλέξουμε οποιονδήποτε αριθμό tunnel από 0 έως Ακολούθως εισάγουμε την IPv6 διεύθυνση μέσω της οποίας θα συνδέετε ο υπολογιστής του δικτύου του δρομολογητή. Juneau(config)#interface tunnel 0. Juneau(config-if)#ipv6 address 2001:db8:c003:1104::1/64 Όντας σε κατάσταση διευθέτησης τον τύπο της θύρας tunnel και τον αριθμός της. Στο συγκεκριμένο παράδειγμα θα είναι σειριακός με αριθμό 0/0. Επίσης πρέπει να οριστεί και η διεύθυνση IPv4 στην οποία θα στοχεύει το tunnel, δηλαδή το άλλο δίκτυο που πρέπει να διασυνδεθεί. Αυτό γίνεται με την εντολή tunnel destination [ IPv4 ]. Επίσης εισάγεται η εντολή tunnel mode ipv6ip, με την οποία δηλώνεται ότι υπάρχει ένα IPv6 tunnel, και πιο συγκεκριμένα ότι το πρωτόκολλο IPv6 είναι το πρωτόκολλο φορέας και το IPv4 το πρωτόκολλο μεταφοράς και ενθυλάκωσης των πακέτων από το IPv6 δίκτυο. Juneau(config-if)#tunnel source serial 0/0 162

163 Juneau(config-if)#tunnel destination Juneau(config-if)#tunnel mode ipv6ip Για την ολοκλήρωση του tunnel πρέπει να οριστεί και η διεύθυνση IPv4 που ο δρομολογητής θα βλέπει το εξωτερικό δίκτυο. Επιλέγετε η θύρα που έχει οριστεί για να χρησιμοποιεί το tunnel, στην περίπτωσή μας η serial 0/0, και δίνεται η διεύθυνση με μάσκα υποδικτύου με την εντολή ip address, και ενεργοποιείτε με την εντολή no shutdown. Juneau(config-if)#interface serial 0/0 Juneau(config-if)#ip address Juneau(config-if)#no shutdown Αυτά όσον αφορά τις ρυθμίσεις του δρομολογητή για να βλέπει προς το δίκτυο IPv4 και να μεταφράζει όλα τα πακέτα ενθυλακωμένα από το IPv6. Ακολούθως πρέπει να διευθετηθούν οι ρυθμίσεις για το IPv6 δίκτυο από όπου θα προέρχονται τα πακέτα και θα μεταφέρονται έξω. Στο εξεταζόμενο δίκτυο υπάρχει ένας υπολογιστής χρήστης με IPv6. Ενεργοποιούμε την θύρα που συνδέετε με τον δρομολογητή κατά τα γνωστά και θέτουμε την IPv6 με την εντολή ipv6 address [ IPv6 ]. Ενεργοποιείτε η θύρα όπως και στα δίκτυα IPv4. Juneau(config-if)#interface fastethernet 0/0 Juneau(config-if)#ipv6 address 2001:db8:c003:111e::1/64, Juneau(config-if)#no shutdown Έξοδος από την κατάσταση διευθέτησης του δρομολογητή και αντιγραφή του αρχείου διευθέτησης στην μνήμη του δρομολογητή. Juneau(config-if)#exit Juneau(config)#exit Juneau#copy running-config startup-config Με τον ίδιο αντίστοιχο τρόπο διευθετούμε και τον δεύτερο δρομολογητή. Εδώ πρέπει να προσεχτεί ότι πρέπει να οριστεί η ίδια μάσκα υποδικτύου και η διεύθυνση του πρώτου δρομολογητή ως στόχο του IPv6 tunnel. Router>enable Router#configure terminal Router(config)#hostname Fairbanks Fairbanks(config)#interface tunnel 0 Fairbanks(config-if)#ipv6 address 2001:db8:c003:1104::2/64 Fairbanks(config-if)#tunnel source serial 0/0 163

164 Fairbanks(config-if)#tunnel destination Fairbanks(config-if)#tunnel mode ipv6ip Fairbanks(config-if)#interface fastethernet 0/0 Fairbanks(config-if)#ipv6 address 2001:db8:c003:111f::1/64 Fairbanks(config-if)#no shutdown Fairbanks(config-if)#interface serial 0/0 Fairbanks(config-if)#ip address Fairbanks(config-if)#no shutdown Fairbanks(config-if)#exit Fairbanks(config)#exit Fairbanks#copy running-config startup-config 164

165 Βιβλιογραφία 9. Chapter 7: The Routing in Ipv6, HP & Cisco Driving Development of Next Generation Internet Protocol focused on enabling IPv6 with Security, Fail Over Features, and Seamless Mobility between Wireless Networks, Cisco Systems Inc, Implementing IPv6 Addressing and Basic Connectivity, Cisco Systems Inc, Το πρωτόκολλο IPv6, Εργασία στα πλαίσια του μαθήματος Δίκτυα Δημόσιας Χρήσης και Διασύνδεση Δικτύων, Τμήμα Μηχανικών Η/Υ και Πληροφορικής Πολυτεχνική Σχόλη, Πανεπιστήμιο Πάτρας, Βασίλης Παπαπαναγιώτου, 2007 Ηλεκτρονικές Πηγές 18. Using Cisco Routers, Chapter 7: The Routing in Ipv6, IPv6 Workshop, Dave Wilson, ipv6 workshop.pdf 165

166 21. Configuring IPv6 Host Functions 4_se/configuration/guide/swipv6.html 22. Lab 4: Tunneling and BGP, UKERNA, Lancaster University and University of Southampton,

167 Κεφάλαιο 12 ο Ασφάλεια Firewalls Εισαγωγή Τεχνολογίες Firewall Εντολές IOS Ασκήσεις Λύσεις 167

168 168

169 12.1 Εισαγωγή Η τεχνολογία που σχετίζεται με τα τείχη προστασίας (firewalls) έχει αλλάξει σημαντικά σε σχέση με την εποχή που έκανε τα πρώτα της βήματα στις αρχές του Τα πρώτα firewall ήταν απλά συσκευές φιλτραρίσματος πακέτων. Από εκείνη την εποχή πολλά άλλαξαν με αποτέλεσμα σήμερα τα firewall να έχουν αποκτήσει νέες δυνατότητες όπως είναι το stateful filtering, Virtual Private Networks (VPNs), intrusion detection systems (IDS), multicast routing, connection authentication, Dynamic Host Configuration Protocol (DHCP) services καθώς και πολλά άλλα. Πέρα από τον ανταγωνισμό των εταιριών, αυτό που οδήγησε στις παραπάνω βελτιώσεις και προσθήκες δυνατοτήτων ήταν η ραγδαία ανάπτυξη και χρήση του Internet στα μέσα της δεκαετίας του Πέρα από τα οφέλη, αυτή η ανάπτυξη έφερε σημαντικά προβλήματα που σχετίζονταν με την ασφάλεια. Έτσι σήμερα τα firewall αποτελούν μια συνήθη τεχνολογία για την προστασία όχι μόνο των μεγάλων επιχειρήσεων αλλά επιπλέον όλων όσων έχουν πρόσβαση στο διαδίκτυο. Ένα Firewall (τείχος προστασίας) είναι ένα σύστημα που επιβάλει μια πολιτική ελέγχου πρόσβασης. Σκοπός του είναι να προστατέψει το δίκτυο μας από μη εξουσιοδοτημένα άτομα και να σταματήσει τις παράνομες ενέργειες τους σε προκαθορισμένα και οριοθετημένα σημεία. Είναι ένα πρόγραμμα ή μια συσκευή που φιλτράρει την πληροφορία που περνάει, μέσω της σύνδεσης στο Δικτυακό χώρο, σε ένα ιδιωτικό δίκτυο ή σε ένα υπολογιστικό σύστημα. Ουσιαστικά υλοποιεί δυο μηχανισμούς, ο ένας είναι η επιβεβαίωση της κυκλοφορίας ενός πακέτου πληροφορίας και ο άλλος η απόρριψη της κυκλοφορίας κάποιου πακέτου πληροφορίας. Ο λόγος εγκατάστασης ενός firewall είναι κυρίως για να προστατεύει το ιδιωτικό τοπικό δίκτυο από αυθαίρετες επισκέψεις. Ωστόσο, σύμφωνα με μελέτες οι περισσότερες δικτυακές επιθέσεις συμβαίνουν μέσα στα όρια του δικτύου (60% 70%). Επιπλέον, σε ένα δίκτυο εκτός από το TCP/IP τρέχουν και άλλα πρωτόκολλα όπως τα IPX, AppleTalk, SNA, NetBIOS. Άρα, ένα τείχος προστασίας δεν αρκεί απλά να αντιμετωπίζει τις εξωτερικές και εσωτερικές απειλές αλλά να μπορεί να χειριστεί και τα διαφορετικά πρωτόκολλα. Όπως φαίνεται στο Books\cisco_router_firewall_security_2005_cisco_press.chm::/ /ch02lev1sec2.h tml ch02fig04, ένα firewall μπορεί να λειτουργεί σε 5 από τα 7 επίπεδα του μοντέλου OSI. Ωστόσο, τα περισσότερα firewall λειτουργούν μόνο στα τέσσερα επίπεδα: σύνδεσης δεδομένων, δικτύου, μεταφοράς, και εφαρμογής. Οι standard IP access control list (ACL) στους δρομολογητές Cisco λειτουργούν στο επίπεδο 3 του OSI ενώ μια extended IP ACL λειτουργεί στα επίπεδα 3 and

170 Σχήμα 2 1. Επίπεδα του μοντέλου OSI στα οποία λειτουργεί ένα τείχος προστασίας Γίνεται εύκολα κατανοητό ότι όσο περισσότερα επίπεδα υποστηρίζει το τείχος προστασίας τόσο καλύτερο είναι Τεχνολογίες Firewall Όπως προείπαμε, ο σκοπός ενός τείχους προστασίας είναι να επιτρέπει ή να απορρίπτει πακέτα πληροφορίας που προσπαθούν να περάσουν δια μέσω του βασιζόμενο σε προκαθορισμένους κανόνες. Κάθε firewall χρησιμοποιεί ορισμένες μεθόδους για να ελέγχει την κυκλοφορία των δεδομένων που διακινούνται δια μέσω του δικτύου. Αυτές είναι : Packet filtering (Φιλτράρισμα πακέτων): μικρά πακέτα πληροφορίας αναλύονται με βάση ένα σύνολο καθορισμένων φίλτρων. Τα πακέτα που εγκρίνονται από τα φίλτρα αποστέλλονται στο αντίστοιχο σύστημα ενώ τα υπόλοιπα απορρίπτονται Proxy (Application gateway, Address translation, Host based (server και personal)): Η πληροφορία από το δίκτυο ανακτάται από το firewall και αποστέλλεται στο σύστημα που κάνει την αίτηση, και αντίστροφα Stateful inspection (Επιθεώρηση κατάστασης): Είναι μια νέα μέθοδος που δεν εξετάζει τα περιεχόμενα του κάθε πακέτου πληροφορίας που αποστέλλεται αλλά 170

171 συγκρίνει μερικά τμήματα των πακέτων με μια βάση δεδομένων που περιέχει πληροφορία εμπιστοσύνης. Έτσι η πληροφορία που απορρέει από το δίκτυο της εταιρείας προς τον εξωτερικό κόσμο υπόκειται σε κάποιους περιορισμούς, το ίδιο και η εισερχόμενη πληροφορία. Δηλαδή αν υπάρξει συμφωνία με βάση τους περιορισμούς που τίθενται, η πληροφορία δεν απορρίπτεται Packet Filtering Το φιλτράρισμα πακέτων αποτελεί την απλούστερη μορφή ενός τοίχους προστασίας. Ένα τείχος προστασίας που εφαρμόζει φιλτράρισμα πακέτων είναι τυπικά ένας δρομολογητής που έχει τη δυνατότητα να επιθεωρεί και να φιλτράρει ορισμένα από τα περιεχόμενα των πακέτων. Αυτά περιλαμβάνουν τις πληροφορίες που βρίσκονται στα επίπεδα 3 και ορισμένες φορές στο επίπεδο 4 του μοντέλου OSI όπως φαίνεται στο σχήμα που ακολουθεί. Για παράδειγμα, οι δρομολογητές Cisco με τυπικές λίστες πρόσβασης (standard access control lists ACL) μπορούν να φιλτράρουν πληροφορίες στο επίπεδο 3, ενώ αυτοί με extended ACLs μπορούν να φιλτράρουν και πληροφορίες του επιπέδου 4. Σχήμα 2 2. Φιλτράρισμα πακέτων και μοντέλο OSI Επειδή το TCP/IP είναι το εκ των πραγμάτων πρωτόκολλο επικοινωνίας στα σημερινά δίκτυα, τα περισσότερα firewall που κάνουν φιλτράρισμα πακέτων το υποστηρίζουν. Ωστόσο, συνήθως υποστηρίζουν και μια πλειάδα άλλων πρωτοκόλλων όπως είναι τα IPX, AppleTalk, DECnet, και επιπέδου 2 MAC διευθύνσεις. Οι Cisco δρομολογητές με standard 171

172 και extended ACLs υποστηρίζουν τα πρωτόκολλα που αναφέρθηκαν παραπάνω καθώς και αρκετά άλλα Πληροφορίες Φιλτραρίσματος Ένα τείχος προστασίας που εφαρμόζει φιλτράρισμα πακέτων μπορεί να φιλτράρει τα παρακάτω στοιχεία: Διευθύνσεις προέλευσης προορισμού επιπέδου δικτύου (επίπεδο 3) Πληροφορίες πρωτοκόλλου επιπέδου δικτύου (επίπεδο 3) Πληροφορίες πρωτοκόλλου επιπέδου μεταφοράς (επίπεδο 4) πρωτόκολλο αποστολής λήψης δεδομένων Θύρα αποστολής Θύρα προορισμού Αυτού του είδους τα firewall αναλύουν τα TCP και UDP πακέτα και τα συγκρίνουν με ένα σύνολο προκαθορισμένων κανόνων που ονομάζεται access control list (ACL) για να προσδιορίσουν και να αποφασίσουν αν το πακέτο θα πρέπει να επιτραπεί ή να απορριφθεί. Για παράδειγμα ένας δρομολογητής Cisco μπορεί να χρησιμοποιηθεί για να φιλτράρει μηνύματα ICMP (επιπέδου 3), ή IP διευθύνσεις προέλευσης προορισμού (επιπέδου 3) και αριθμούς TCP θυρών (επιπέδου 4). Στον πίνακα που ακολουθεί φαίνονται ορισμένα στοιχεία που ένα TCP/IP packet filtering firewall μπορεί να φιλτράρει. Επίπεδο OSI Φιλτραρισμένη Πληροφορία 3 IP διευθύνσεις 3 TCP/IP πρωτόκολλα όπως IP, ICMP, OSPF, TCP, UDP κ.α. 3 IP πληροφορίες (Type of Service [ToS]) προτεραιότητας 4 TCP και UDP αριθμοί θυρών 4 TCP σήματα ελέγχου όπως SYN, ACK, FIN, PSH, RST κ.α. Πίνακας 2 1. Πληροφορίες TCP/IP φιλτραρίσματος πακέτων Γίνεται εύκολα κατανοητό ότι μπορούμε να χρησιμοποιήσουμε πολλές πληροφορίες όταν παίρνουμε αποφάσεις σχετικά με το φιλτράρισμα των πακέτων. Παράδειγμα φιλτραρίσματος φαίνεται στον πίνακα που ακολουθεί. Κανόνας Διεύθυνση Διεύθυνση IP Πληροφορίες IP Ενέργεια Προέλευσης Προορισμού Πρωτόκολλο Πρωτοκόλλου 1 Any TCP Port 80 Allow 2 Any UDP Port 53 Allow 172

173 3 Any TCP Port 25 Allow 4 Any Any other address Any Any Drop Πίνακας 2 2. Φιλτράρισμα πακέτων Σχήμα 2 3. Παράδειγμα τοίχους προστασίας με φιλτράρισμα πακέτων Σε αυτό το παράδειγμα, ο κανόνας 1 λέει ότι αν κυκλοφορία από οποιαδήποτε συσκευή σταλεί στην TCP θύρα 80 του υπολογιστή με διεύθυνση , το packet filtering firewall θα την επιτρέψει. Ομοίως θα συμβεί για κυκλοφορία UDP θύρας 53 του ή TCP θύρας 25 του Κάθε άλλου είδους κυκλοφορία θα απορριφθεί. Είναι πολύ σημαντικό να αντιληφθούμε πως λειτουργεί το firewall σε σχέση με τους κανόνες φιλτραρίσματος και πρέπει να είμαστε πολύ προσεκτικοί όταν προσθέτουμε ή αλλάζουμε κάποιο κανόνα γιατί τα αποτελέσματα των αλλαγών μπορεί να είναι καταστροφικά. Όταν ένας κανόνας δεν έχει οριστεί και δε βρίσκει αντιστοίχιση τότε το τείχος προστασίας μπορεί είτε να επιτρέψει είτε να απορρίψει την κυκλοφορία κατά βούληση Πλεονεκτήματα των Packet Filtering Firewalls Τα Packet filtering firewalls έχουν δύο βασικά πλεονεκτήματα: Μπορούν να επεξεργαστούν τα πακέτα σε πολύ υψηλές ταχύτητες. 173

174 Μπορούν να επεξεργαστούν τα περισσότερα πεδία των πακέτων επιπέδου 3 και τμήματα των κεφαλίδων επιπέδου 4, παρέχοντας ευελιξία στην υλοποίηση πολιτικών ασφαλείας. Επειδή οι δρομολογητές βρίσκονται στην περίμετρο του δικτύου, μπορούν να χρησιμοποιηθούν για το φιλτράρισμα των πακέτων παρέχοντας ένα επιπλέον επίπεδο ασφάλειας στο δίκτυο. Ακόμα και το απλό φιλτράρισμα για τα επίπεδα 3 και 4 μπορεί να χρησιμοποιηθεί για την προστασία από επιθέσεις που περιλαμβάνουν συγκεκριμένες περιπτώσεις άρνησης υπηρεσίας (denial of service [DoS]). Αυτό επιτρέπει στο εσωτερικό τείχος προστασίας να δώσει προσοχή σε άλλες επιθέσεις που το φιλτράρισμα πακέτων δεν μπορεί να αντιμετωπίσει Περιορισμοί των Packet Filtering Firewalls Παρά τα πλεονεκτήματά τους, τα packet filtering firewalls έχουν τα ακόλουθα μειονεκτήματα: Μπορεί να είναι πολύπλοκα και δύσκολα στο να διαχειριστούν. Δεν μπορούν να εμποδίσουν επιθέσεις στο επίπεδο εφαρμογής. Είναι ευάλωτα σε συγκεκριμένου τύπου επιθέσεις του πρωτοκόλλου TCP/IP. Δεν υποστηρίζουν πιστοποίηση του χρήστη. Έχουν περιορισμένες δυνατότητες καταγραφής (logging). Ένα firewall που βασίζεται στο φιλτράρισμα πακέτων μπορεί εύκολα να εξαπατηθεί με τεχνικές spoofing (όταν ένας μη πιστοποιημένος χρήστης παρουσιάζεται με μια IP διεύθυνση που ανήκει στη λίστα πρόσβασης ACL). Πολλές καινούργιες εφαρμογές (όπως είναι οι πολυμεσικές) δημιουργούν πολλαπλές συνδέσεις σε τυχαίες θύρες χωρίς να υπάρχει η δυνατότητα να προσδιοριστούν εκ των προτέρων πριν την εγκατάσταση της σύνδεσης. Επειδή οι λίστες πρόσβασης ρυθμίζονται με μη αυτόματο τρόπο είναι πολύ δύσκολο να υποστηριχτούν αυτού του είδους οι εφαρμογές. Το φιλτράρισμα πακέτων είναι ένα χαρακτηριστικό που χρησιμοποιείται συχνά στους δρομολογητές. Όπως αναφέρθηκε προηγουμένως ένα από τα σημαντικότερα μειονεκτήματα των packetfiltering firewalls είναι ότι λειτουργούν με τη βοήθεια λιστών πρόσβασης (ACLs) οι οποίες και πρέπει να διατηρούνται ενημερωμένες. Χρειάζεται πολύ καλή γνώση των πρωτοκόλλων 174

175 και των κεφαλίδων τους ώστε να μην αποκλειστούν πακέτα που δε θα έπρεπε και να μην επιτραπεί από την άλλη αναρμόδια κυκλοφορία. Επιπλέον τα packet filtering firewalls δεν μπορούν να εμποδίσουν όλες τις επιθέσεις. Παραδείγματα αποτελούν οι επιθέσεις τύπου IP spoofing και άρνησης υπηρεσίας (DoS attacks) οι οποίες για να αντιμετωπιστούν χρειάζεται να γίνει πιστοποίηση ταυτότητας. Το φιλτράρισμα όμως γίνεται στα επίπεδα 3 και 4 του OSI μοντέλου ενώ η πιστοποίηση συμβαίνει στο επίπεδο εφαρμογής (επίπεδο 7). Τέλος, αν και τα packet filtering firewalls υποστηρίζουν συναρτήσεις για την καταγραφή των συμβάντων αυτές περιορίζονται σε πληροφορίες που αφορούν τα επίπεδα 3 και 4. Έτσι αν κάποιος εφάρμοζε μια επίθεση στο web server στη θύρα 80 και αυτή αντιμετωπίζονταν, το packet filtering firewall θα κατέγραφε την άρνηση, αλλά όχι και την ακριβή αιτία που σχετίζονταν με το επίπεδο εφαρμογής. Δηλαδή, ο διαχειριστής θα καταλάβαινε ότι συνέβηκε κάτι αλλά δε θα γνώριζε επακριβώς τι ήθελε ο χρήστης να κάνει Application gateway firewalls (AGFs) Proxies Τα Application gateway firewalls (AGFs), που ονομάζονται και proxy firewalls, φιλτράρουν πληροφορίες των επιπέδων 3, 4, 5 και 7 του μοντέλου OSI. Η πληροφορία επεξεργάζεται στο επίπεδο εφαρμογής μέσω λογισμικού πράγμα που προσδίδει καλύτερο έλεγχο σε σχέση με τις άλλες μεθόδους. Σχήμα 2 4. Application Gateway Firewalls και μοντέλο OSI 175

176 Proxy = το να ενεργεί κάποιος άνθρωπος ως αντικαταστάτης κάποιου άλλου. Άδεια να ενεργείς για λογαριασμό άλλου. (New Webster s Dictionary of the English Language) Αν και αυτός ο ορισμός δεν ορίζει ένα proxy firewall, η λειτουργία του είναι παρόμοια. Ένα proxy firewall, δηλαδή ένας proxy server, ενεργεί για λογαριασμό των σταθμών σε ένα προστατευόμενο τμήμα ενός δικτύου. Στην πραγματικότητα οι σταθμοί δεν κάνουν καμιά σύνδεση με τον εξωτερικό κόσμο αλλά στέλνουν τις αιτήσεις τους στο μεσολαβητή (proxy). Αυτός πιστοποιεί την ταυτότητα των χρηστών με τη βοήθεια ενός ονόματος και ενός κωδικού πρόσβασης και στη συνέχεια προωθεί την αίτηση στον εξωτερικό προορισμό. Η διαδικασία της πιστοποίησης συμβαίνει στο επίπεδο εφαρμογής και οι πληροφορίες πιστοποίησης αποθηκεύονται σε μια βάση δεδομένων, έτσι ώστε να μη χρειάζεται κάθε φορά που ένας χρήστης επιθυμεί την πρόσβαση σε ένα πόρο του δικτύου να επαναλαμβάνει τη διαδικασία. Οι proxy server λειτουργούν στα ανώτερα επίπεδα του OSI και το μεγαλύτερο μειονέκτημα τους είναι ότι είναι εφαρμογές που τρέχουν στην κορυφή των λειτουργικών συστημάτων τα οποία και δεν είναι ασφαλή. Υποστηρίζουν ένα περιορισμένο αριθμό από εφαρμογές όπως , web services, DNS, Telnet, FTP, Usenet news, LDAP, finger Κατηγορίες των Application Gateway Firewalls Τα Application Gateway Firewalls μπορούν να διαχωριστούν σε δύο κατηγορίες: Connection Gateway Firewalls (CGFs) και Cut Through Proxy (CTP) firewalls. Connection Gateway Firewalls Στα Connection Gateway Firewalls η πιστοποίηση της ταυτότητας του χρήστη γίνεται ανά σύνδεση και όλοι οι κανόνες που αφορούν αυτή την σύνδεση τίθενται σε εφαρμογή χωρίς να απαιτείται ο χρήστης να πιστοποιήσει ξανά τον εαυτό του. Στο παράδειγμα που ακολουθεί, φαίνεται η λειτουργία των Connection Gateway Firewalls: Ο εξωτερικός χρήστης Richard επιθυμεί να κάνει μια σύνδεση με τον εσωτερικό web server Το τείχος προστασίας παρεμβαίνει ελέγχει και πιστοποιεί την ταυτότητα του χρήστη και στη συνέχεια κάνει τη σύνδεση με τον web server. Κάθε άλλη σύνδεση προς άλλους σταθμούς απορρίπτεται εκτός και αν γίνει εκ νέου πιστοποίηση. 176

177 Σχήμα 2 5. Παράδειγμα Connection Gateway Firewalls (CGF) Αυτό το είδος ελέγχου δεν είναι εφικτό σε ένα packet filtering ή stateful firewall διότι αυτά λειτουργούν κυρίως στα επίπεδα δικτύου και μεταφοράς. Επιπλέον, δημιουργούνται νέες δυνατότητες φιλτραρίσματος που σχετίζονται με την πρόσβαση σε Java applets η ActiveX scripts που μπορεί να έχει ένας χρήστης. Cut Through Proxy Firewalls Το σημαντικότερο πρόβλημα των firewall της προηγούμενης κατηγορίας είναι ότι όλη η πληροφορία και όλη η κυκλοφορία επεξεργάζεται στο επίπεδο εφαρμογής πράγμα που δημιουργεί μεγάλες καθυστερήσεις. Σε ορισμένες περιπτώσεις χρειάζεται μόνο η πιστοποίηση της ταυτότητας στο επίπεδο εφαρμογής και όχι η παρακολούθηση της δραστηριότητας που συμβαίνει. Οι Cut through proxy αποτελούν μια μέθοδο διαφανούς πιστοποίησης ταυτότητας των χρηστών για εσωτερικές και εξωτερικές συνδέσεις σε σχέση με το τείχος προστασίας. Απαιτούν ελάχιστους πόρους και παρέχουν σημαντικά πλεονεκτήματα απόδοσης σε σχέση με τα application proxy firewalls. 177

178 Τα Cut through proxy (CTP) firewalls αποτελούν παραλλαγή της προηγούμενης κατηγορίας και αντιμετωπίζουν το πρόβλημα των αυξημένων καθυστερήσεων. Κατά αναλογία με το προηγούμενο παράδειγμα ο εξωτερικός χρήστης Richard επιθυμεί να κάνει μια σύνδεση με τον εσωτερικό web server Το CTP παρεμβαίνει ελέγχει και πιστοποιεί την ταυτότητα του χρήστη και στη συνέχεια κάθε σύνδεση προστίθεται στον πίνακα με τους κανόνες φιλτραρίσματος όπως φαίνεται στο βήμα 2. Τέλος, η υπόλοιπη κυκλοφορία ανάμεσα στο χρήστη και τον web server διαχειρίζεται από τους κανόνες φιλτραρίσματος των επιπέδων δικτύου και μεταφοράς. Σχήμα 2 6. Παράδειγμα Cut Through Proxy Δηλαδή η διαδικασία πιστοποίησης συμβαίνει στο επίπεδο εφαρμογής ενώ όλη η κυκλοφορία επεξεργάζεται στα επίπεδα 3 και 4 του μοντέλου OSI. Ωστόσο, η τεχνική αυτή δε μπορεί να ανιχνεύσει επιθέσεις επιπέδου εφαρμογής Πλεονεκτήματα των Application Gateway Firewalls Τα πλεονεκτήματα των Application Gateway Firewalls είναι πολλά και περιλαμβάνουν τα παρακάτω: Πιστοποιούν άτομα και όχι συσκευές. 178

179 Δυσκολεύουν επιθέσεις τύπου spoofing και άρνησης υπηρεσίας (DoS). Μπορούν να παρακολουθούν και να φιλτράρουν δεδομένα εφαρμογών. Προσφέρουν εκτεταμένες δυνατότητες καταγραφής Μειονεκτήματα των Application Gateway Firewalls Παρόλα τα σημαντικά πλεονεκτήματά τους, τα Application Gateway Firewalls έχουν σημαντικούς περιορισμούς: Επεξεργάζονται τα πακέτα με λογισμικό. Υποστηρίζουν μικρό αριθμό εφαρμογών. Ορισμένες φορές απαιτούν στον πελάτη (client) εγκατάσταση ειδικού λογισμικού Stateful Inspection Το Stateful inspection, το οποίο ονομάζεται και stateful packet filtering, αποτελεί συνδυασμό του packet filtering και υπηρεσιών διαμεσολάβησης (proxy services). Αυτή η τεχνολογία είναι η ασφαλέστερη και παρέχει την καλύτερη λειτουργικότητα επειδή οι συνδέσεις δεν εφαρμόζονται στις λίστες πρόσβασης αλλά καταγράφονται σε ένα πίνακα επιθεώρησης κατάστασης (state table). Αν τα δεδομένα τις συνόδου δεν συμπίπτουν με τις πληροφορίες για τη σύνδεση που βρίσκονται στον πίνακα επιθεώρησης κατάστασης, η σύνδεση απορρίπτεται. Αντίθετα με τα τείχη προστασίας που κάνουν φιλτράρισμα πακέτων, τα stateful firewalls παρακολουθούν την κατάσταση της σύνδεσης δηλαδή αν είναι σε κατάσταση αρχικοποίησης σύνδεσης, μεταφοράς δεδομένων η τερματισμού. Αυτό είναι χρήσιμο όταν θέλουμε να αρνηθούμε συνδέσεις από εξωτερικές συσκευές, αλλά να επιτρέψουμε στους χρήστες μας τέτοιου είδους συνδέσεις καθώς και την επιστροφή των αποκρίσεων μέσω του stateful firewall. 179

180 Σχήμα 2 7. Stateful Firewalls και μοντέλο OSI Υπάρχει μια διαφωνία σχετικά με τα επίπεδα σε σχέση με το μοντέλο OSI στα όποια λειτουργούν τα stateful firewalls. Πολλοί πιστεύουν ότι λειτουργούν μόνο στα επίπεδα δικτύου και μεταφοράς ενώ άλλοι προσθέτουν επιπλέον και το επίπεδο συνόδου. Το τείχος προστασίας εξετάζει τις πληροφορίες των κεφαλίδων των πακέτων των επιπέδων δικτύου και μεταφοράς, (π.χ. εξετάζει την κεφαλίδα του TCP για σήματα ελέγχου τύπου SYN, RST, ACK, FIN) ώστε να καθορίσει την κατάσταση της σύνδεσης. Ωστόσο, επειδή το επίπεδο συνόδου είναι αυτό που εγκαθιστά και τερματίζει τη σύνδεση πολλοί λένε ότι λειτουργεί και στο επίπεδο συνόδου. Σε κάθε περίπτωση, τα stateful firewalls γνωρίζουν για την κατάσταση της σύνδεσης. Ta stateful firewalls όπως προείπαμε χρησιμοποιούν τον πίνακα κατάστασης για να ελέγξουν τη σύνδεση. Πλεονέκτημα των διαδικασιών επιθεώρησης κατάστασης αποτελεί το γεγονός ότι όταν μια σύνδεση τερματίζεται από μια συσκευή του δικτύου το τείχος προστασίας αντιλαμβάνεται τον τερματισμό με την εξέταση των σημάτων ελέγχου της TCP κεφαλίδας και δυναμικά αφαιρεί τη σύνδεση από τον πίνακα κατάστασης (state table). Συγκριτικά δηλαδή θα μπορούσαμε να πούμε ότι τα stateful firewalls είναι εξυπνότερα από τα packet filtering firewalls γιατί αντιλαμβάνονται επιπλέον την κατάσταση της σύνδεσης. Ωστόσο, δεν υποστηρίζουν σήματα ελέγχου όλα τα πρωτόκολλα του επιπέδου μεταφοράς (π.χ. UDP) ενώ επιπλέον, τα σήματα ελέγχου μπορούν να παραποιηθούν επιτρέποντας σε ένα κακόβουλο χρήστη να περάσει πακέτα μέσα από το τείχος προστασίας. 180

181 Πλεονεκτήματα των Stateful Firewalls Σε σχέση με τα τείχη προστασίας που κάνουν φιλτράρισμα πακέτα τα, stateful firewalls παρουσιάζουν σημαντικά πλεονεκτήματα: Είναι ενήμερα της κατάστασης της σύνδεσης. Διατηρούν έναν πίνακα με την κατάσταση της σύνδεσης (state table) τον οποίο και ελέγχουν σε κάθε προσπάθεια επικοινωνίας. Όταν η σύνδεση τερματιστεί ή εγγραφή αφαιρείται από τον πίνακα και δεν επιτρέπεται επιπλέον επικοινωνία. Δε χρειάζεται να ανοίξουν ένα μεγάλο αριθμό θυρών για να επιτρέψουν την διμερή επικοινωνία. Χρησιμοποιείται ο state table. Προστατεύουν από περισσότερες επιθέσεις τύπου άρνησης υπηρεσίας (DoS) σε σχέση με τα packet filtering firewalls και έχουν καλύτερο σύστημα καταγραφής (logging). Μπορούν δηλαδή να κρατούν πληροφορίες σχετικά με το πότε έγινε η σύνδεση, για πόσο χρόνο και πότε τερματίστηκε Μειονεκτήματα των Stateful Firewalls Παρά τα πλεονεκτήματά τους, τα stateful firewalls παρουσιάζουν αρκετούς περιορισμούς: Μπορεί να είναι πολύπλοκα στη ρύθμιση. Δεν μπορούν να προστατέψουν από επιθέσεις στο επίπεδο εφαρμογής. Δεν υποστηρίζουν πιστοποίηση ταυτότητας χρήστη για τις συνδέσεις. Δεν κρατούν όλα τα πρωτόκολλα πληροφορίες κατάστασης. Τα πρωτόκολλα που ορίζουν μια προκαθορισμένη διαδικασία σχετικά με το πώς εγκαθίσταται, διατηρείται και τερματίζεται μια σύνδεση ονομάζονται stateful (π.χ. TCP/IP). Ωστόσο, δε λειτουργούν όλα με αυτόν τον τρόπο. Χαρακτηριστικά παραδείγματα αποτελούν τα UDP και ICMP. Στο UDP δηλαδή, ή διαδικασία που περιγράφηκε παραπάνω ορίζεται σε σχέση με τις εφαρμογές που το χρησιμοποιούν. Τέλος δεν υποστηρίζουν σήματα ελέγχου όπως το TCP (SYN, RST, ACK, FIN) όλα τα πρωτόκολλα του επιπέδου μεταφοράς. Πολλές εφαρμογές δημιουργούν πολλαπλές δυναμικές συνδέσεις σε τυχαίες και μη θύρες για να μεταδώσουν δεδομένα. Οι εφαρμογές μπορεί να περιλαμβάνουν τα FTP, NetBIOS και πολυμέσα. Οι νέες συνδέσεις απαιτούν καινούργιους κανόνες φιλτραρίσματος. 181

182 Για τη διατήρηση του πίνακα επιθεώρησης κατάστασης (state table), απαιτούνται επιπλέον πόροι. Σε μεγάλα δίκτυα ο state table γίνεται αρκετά μεγάλος και για να παραμένει ενήμερος απαιτεί επεξεργαστικούς πόρους. Όσο περισσότερες συνδέσεις παρακολουθεί τόση περισσότερη επεξεργαστική δύναμη χρειάζεται για τη διατήρηση του πίνακα Cisco IOS Software Το λογισμικό Cisco IOS Software παρέχει ένα εκτεταμένο σύνολο υπηρεσιών ασφαλείας με το οποίο μπορούν να σχεδιαστούν πολιτικές ασφαλείας που να ανταποκρίνονται στις ανάγκες μας. Ένας δρομολογητής δηλαδή μπορεί να ρυθμιστεί κατάλληλα ώστε να υποστηρίζει υπηρεσίες ασφαλείας. Το τείχος προστασίας του Cisco IOS αποτελείται από αρκετά υποσυστήματα που περιλαμβάνουν : Cisco IOS Firewall stateful packet inspection (SPI): Το SPI παρέχει πραγματικές δυνατότητες προστασίας μη εξουσιοδοτημένης χρήσης και κυκλοφορίας. Context Based Access Control (CBAC): Το CBAC αποτελεί την κλασσική statefulinspection μηχανή του firewall παρέχει δυνατότητες δυναμικού φιλτραρίσματος της κυκλοφορίας. Intrusion Prevention System (IOS IPS): Παλαιότερα ονομάζονταν IDS (Intrusion Detection System) και παρέχει ολοκληρωμένη προστασία από εισβολείς. Παρέχεται ως μέρος του λειτουργικού Cisco IOS. Από την έκδοση IOS 12.3T αντικατέστησε το IDS παρέχοντας καλύτερες υπηρεσίες ανίχνευσης. Το IOS IPS αναλύει τα πακέτα και τις συνόδους με σκοπό να αναγνωρίσει πιθανές εξωτερικές ή εσωτερικές απειλές. Η ανάλυση του IPS θα γίνει σε επόμενο κεφάλαιο. Authentication proxy: Η πιστοποίηση της ταυτότητας μέσω proxy επιτρέπει τον έλεγχο σε επίπεδο χρηστών και την εφαρμογή πολιτικών πρόσβασης σε επίπεδο χρηστών. Port to Application Mapping (PAM): Το PAM επιτρέπει τη ρύθμιση TCP ή UDP θυρών για δικτυακές υπηρεσίες και εφαρμογές. Για παράδειγμα το HTTP μπορεί να ρυθμιστεί να χρησιμοποιεί τη θύρα TCP 8080 αντί για την κλασσική 80). Network Address Translation (NAT): Το NAT κρύβει τις εσωτερικές IP διευθύνσεις από δίκτυα έξω από το τείχος προστασίας παρέχοντας μια χαμηλού επιπέδου ασφάλεια. Το NAT παρέχει ιδιωτικές IP διευθύνσεις σε εσωτερικά δίκτυα τις οποίες και μεταφράζει σε πραγματικές καταχωρημένες διευθύνσεις καθώς τα πακέτα διέρχονται μέσω της NAT υπηρεσίας. Το Cisco IOS υποστηρίζει και επιπλέον δυνατότητες που σχετίζονται με την ασφάλεια. Αυτές περιλαμβάνουν το IPsec που θα δούμε αναλυτικά σε επόμενο κεφάλαιο καθώς και τα Lock 182

183 and Key, Reflexive access list, TCP Intercept και AAA υποστήριξη που είναι εκτός του παρόντος ενδιαφέροντός μας Ασκήσεις Στις παρακάτω ασκήσεις, οι εκπαιδευόμενοι θα προσπαθήσουν να ρυθμίσουν το τείχος προστασίας του δρομολογητή ώστε να προστατέψουν το δίκτυο από εξωτερικές επιθέσεις. Ποιο συγκεκριμένα σε αυτό το εργαστήριο θα κάνουν τις ακόλουθες εργασίες: Θα ενεργοποιήσουν το τείχος προστασίας του δρομολογητή με τις προκαθορισμένες ρυθμίσεις. Θα φιλτράρουν TCP και UDP πακέτα. Θα δημιουργήσουν λίστες πρόσβασης. Θα χρησιμοποιήσουν λίστες πρόσβασης για φιλτράρισμα με βάση το περιεχόμενο ή την υπηρεσία. Θα προστατέψουν το δίκτυο από επιθέσεις τύπου DoS. Σενάριο Η εταιρεία XYZ θέλει να αυξήσει την περιμετρική ασφάλεια του δικτύου της ενεργοποιώντας στο δρομολογητή που διαθέτει το τείχος προστασίας. Για το λόγο αυτό θέλει να το ρυθμίσει κατάλληλα ώστε να αναγνωρίζει και να προστατεύει από τις συνήθεις απειλές και να λαμβάνει μέτρα όπου χρειάζεται σύμφωνα με την πολιτική ασφαλείας της. Τοπολογία Το σχήμα που ακολουθεί απεικονίζει την τοπολογία του δικτύου. 183

184 Σχήμα 2 8. Τοπολογία του δικτύου για το σενάριο εφαρμογής των Firewalls Εργαλεία Πηγές Για την ολοκλήρωση του εργαστηρίου είναι απαραίτητα: Θεωρητικό υπόβαθρο πάνω στη λειτουργία του Firewall και στα είδη επιθέσεων Η τοπολογία του δικτύου Ένα καλώδιο κονσόλας για το δρομολογητή Το HyperTerminal των windows ή κάποιος telnet client Λίστα εντολών IOS που θα χρειαστούμε Για την ολοκλήρωση του εργαστηρίου θα χρειαστούμε τις παρακάτω εντολές του IOS. Στον πίνακα που ακολουθεί δίνεται μια περιγραφή της σύνταξης των εντολών καθώς και μια περιγραφή της λειτουργίας τους. 184

185 Εντολή auto secure access list nnn permit x.x.x.x mask y.y.y.y mask access-list access_list_number [deny permit] {icmp tcp ip} protocol source any ip access-group access_list_number {in out} ip access-list [standard extended] <name> Περιγραφή Δίνει στο δρομολογητή την εντολή να αρνηθεί όλα τα πακέτα μέχρι η μηχανή των υπογραφών να ετοιμαστεί ώστε να αρχίσει να εξετάζει την κίνηση. Η εντολή χρησιμοποιείται στο γενικό επίπεδο διαχείρισης (Router(config)#). Ορίζει μια λίστα πρόσβασης. Επιτρέπει όλες τις IP διευθύνσεις στο δίκτυο x.x.x.x με μάσκα y.y.y.y Επιτρέπει ή απαγορεύει την κίνηση με βάση κάποιο πρωτόκολλο Ορίζει τη λίστα access_list_number σε μια διασύνδεση Ορίζει μια standard ή extended λίστα με όνομα name ip inspect name inspection_name protocol Ορίζει ένα κανόνα επιθεώρησης με όνομα inspection_name για ένα πρωτόκολλο ip inspect name inspection_name http Χρησιμοποιείται για επιθεώρηση Java applet. Το [java-list standard_acl_#] πρωτόκολλο είναι το Http και συνοδεύεται από μια αναφορά σε μια standard_acl που έχει ήδη οριστεί show ip access-list access_list_number Εμφανίζει τα περιεχόμενα μιας λίστας πρόσβασης Άσκηση 1η. Αυτόματες ρυθμίσεις για το τείχος προστασίας Θέλετε να ασφαλίσετε το δρομολογητή σας, χωρίς να μπείτε σε κόπο να ψάχνετε για όλες τις δυνατές περιπτώσεις και σημεία πιθανής επίθεσης. a. Σε προνομιακό επίπεδο εισάγετε την ακόλουθη εντολή Router1#auto secure --- AutoSecure Configuration --- *** AutoSecure configuration enhances the security of the router, but it will not make it absolutely resistant to all security attacks *** AutoSecure will modify the configuration of your device. All configuration changes will be shown. For a detailed explanation of how the configuration changes enhance security and any possible side effects, please refer to Cisco.com for Autosecure documentation. At any prompt you may enter '?' for help. Use ctrl-c to abort this session at any prompt. 185

186 Gathering information about the router for AutoSecure Is this router connected to internet? [no]: y Enter the number of interfaces facing the internet [1]: Enter the interface name that is facing the internet: FastEthernet4 Από την έκδοση 12.3(1) η Cisco ενσωμάτωσε στο IOS το χαρακτηριστικό auto secure το οποίο μέσα από ένα σύνολο ερωτήσεων κάνει όλες τις προτεινόμενες ρυθμίσεις για το τείχος προστασίας. Μετά την ολοκλήρωση των ερωτήσεων παράγεται αυτόματα το configuration το οποίο και μας ρωτά αν θέλουμε να το αντιγράψουμε στο running config του δρομολογητή no service finger no service pad no service udp-small-servers no service tcp-small-servers service password-encryption service tcp-keepalives-in service tcp-keepalives-out no cdp run no ip bootp server no ip http server no ip finger no ip source-route no ip gratuitous-arps interface FastEthernet4 ip verify unicast source reachable-via rx allow-default 102 ip inspect audit-trail ip inspect dns-timeout 7 ip inspect tcp idle-time ip inspect udp idle-time 1800 ip inspect name autosec_inspect cuseeme timeout 3600 ip inspect name autosec_inspect ftp timeout 3600 ip inspect name autosec_inspect http timeout 3600 ip inspect name autosec_inspect rcmd timeout 3600 ip inspect name autosec_inspect realaudio timeout 3600 ip inspect name autosec_inspect smtp timeout 3600 ip inspect name autosec_inspect tftp timeout 30 ip inspect name autosec_inspect udp timeout 15 ip inspect name autosec_inspect tcp timeout 3600 ip access-list extended autosec_firewall_acl permit udp any any eq bootpc deny ip any any interface FastEthernet4 ip inspect autosec_inspect out! end 186

187 Άσκηση 2η. Δημιουργία και χρήση Λιστών Πρόσβασης (ACLs) με βάση το περιεχόμενο (Context based) Η πρόσβαση με βάση το περιεχόμενο (Context Based Access Control CBAC) αποτελεί δυνατότητα του IOS Firewall από την έκδοση Το CBAC πραγματοποιεί stateful inspection φιλτράροντας TCP και UDP πακέτα για τη διαχείριση των συνόδων καθώς διέρχονται μέσω του δρομολογητή. Το CBAC χρησιμοποιεί τις πληροφορίες κατάστασης ώστε να αλλάζει δυναμικά τις υπάρχουσες λίστες πρόσβασης ελέγχοντας τις ενεργές συνόδους και επιτρέποντας ανάλογα με την πολιτική την επιστροφή των πακέτων μέσω του δρομολογητή. Επιπλέον, μπορεί να παρακολουθεί και να διαχειρίζεται συνόδους με βάση το είδος της εφαρμογής και να αναγνωρίζει, τερματίζει και να καταγράφει ύποπτες δραστηριότητες. Σε σχέση με ένα τείχος προστασίας που κάνει απλά φιλτράρισμα πακέτων, προσφέρει πολύ μεγαλύτερη ασφάλεια και έχει χαρακτηριστικά που συναντούμε σε συστήματα αφιερωμένα για τέτοιους σκοπούς. Αποτελεί δε, άριστη λύση για μικρές επιχειρήσεις. Στην άσκηση που ακολουθεί θα ρυθμίσουμε το δρομολογητή με μια λίστα πρόσβασης που αρνείται οποιαδήποτε επικοινωνία για την εσωτερική κίνηση που περνά από μια διασύνδεση του δρομολογητή. Ωστόσο, αν κάποιος από το εσωτερικό δίκτυο επιθυμεί να επικοινωνήσει με τον έξω κόσμο, το CBAC θα δημιουργεί δυναμικά μια προσωρινή λίστα πρόσβασης (για το χρονικό διάστημα της συνόδου) που θα επιτρέπει τη συγκεκριμένη επικοινωνία. Ολοκληρώστε τα παρακάτω βήματα για να ρυθμίσετε το CBAC: a. Μεταβείτε σε κατάσταση γενικής διαχείρισης Router1#configure terminal b. Ορίστε δύο λίστες πρόσβασης για να φιλτράρετε τα εισερχόμενα και εξερχόμενα πακέτα. Τα δεδομένα που θέλετε να επιθεωρήσετε θα πρέπει να είναι στην permit λίστα. Επιτρέψτε την κίνηση μέσω της εφαρμογής telnet. Για τις extended λίστες που θα δημιουργήσετε επιλέξτε τιμές μεταξύ ή (για να δείτε τις δυνατές τιμές σε γενικό επίπεδο διαχείρισης γράψτε Router1(config)#access-list?). Router1(config)#access-list 166 deny ip any any Router1(config)#access-list 167 permit tcp any any eq telnet c. Ορίστε τον κανόνα επιθεώρησης. Ο κανόνας αυτοί ορίζει ποιο είδος κίνησης θα μπει κάτω από παρακολούθηση. Ανάλογα με τους κανόνες που έχουν οριστεί θα προσαρμόζει τις λίστες πρόσβασης (με καταχωρήσεις) ώστε να επιτρέπει τις απαντήσεις από εξωτερικούς σταθμούς. Αν εξωτερική κίνηση δεν αντιστοιχηθεί σε κανόνα, ο δρομολογητής την αντιμετωπίζει ως κανονική κίνηση Router1(config)#ip inspect name Telnet tcp d. Ενεργοποιήστε τις λίστες πρόσβασης στη διασύνδεση. Τα επιτρεπόμενα πακέτα εφαρμόζονται στην εξωτερική διασύνδεση πάντα Router1(config)#interface fastethernet 4 Router1(config-if)#ip access-group 166 in Router1(config-if)#ip access-group 167 out 187

188 e. Ενεργοποιήστε τον κανόνα επιθεώρησης στη διασύνδεση Router1(config-if)#ip inspect Telnet out f. Μεταβείτε σε προνομιακή κατάσταση Router1(config-if)#exit Router1(config)#end g. Ελέγξτε τις ρυθμίσεις δημιουργώντας μια εξωτερική telnet σύνοδο και στη συνέχεια ελέγξτε την εσωτερική λίστα πρόσβασης. Παρατηρείστε ότι έχει προστεθεί μια νέα γραμμή στην εσωτερική λίστα για να επιτρέψει την επιστροφή των telnet δεδομένων. Router1#show ip access-list 166 Extended IP access list 166 permit tcp host P.2 eq telnet host Q.3 eq 1379 (22 matches) deny ip any any (456 matches) Router1# Η γραμμή που προστίθεται σχετίζεται αποκλειστικά με τη συγκεκριμένη σύνοδο και αφαιρείται αυτόματα μετά τον τερματισμό της Άσκηση 3η. Προστασία από επικίνδυνα Java Applets Ο διαχειριστής του δικτύου αντιλήφθηκε ότι ένας ιός διαδίδεται μέσα στο εσωτερικό δίκτυο μέσω java applets και ύστερα από μια έρευνα εντόπισε ότι προέρχεται από τον πολύ γνωστό δικτυακό τόπο με διεύθυνση /24. Δυστυχώς ο διαχειριστής δε μπορεί να αποκλείσει την πρόσβαση σε όλο το site γιατί οι χρήστες του χρειάζονται την πρόσβαση στους web servers. Έπειτα από επικοινωνία με την εταιρεία και την αναφορά του προβλήματος και αφού δεν έλαβε πειστικές απαντήσεις, αποφάσισε να χρησιμοποιήσει CBAC java inspection για να εμποδίσει τη μεταφόρτωση των applet και την περαιτέρω μόλυνση του δικτύου του. Ολοκληρώστε τα ακόλουθα βήματα για να ενεργοποιήσετε το χαρακτηριστικό CBAC java inspection και να προστατέψετε τους υπολογιστές σας από πιθανές μολύνσεις μέσω των applet a. Μεταβείτε σε κατάσταση γενικής διαχείρισης Router1#configure terminal b. Ορίστε μια λίστα πρόσβασης για να φιλτράρετε τα εισερχόμενα πακέτα. Router1(config)#access-list extended EXTERNAL-ACL Router1(config-ext-nacl)# deny ip any any Router1(config-ext-nacl)# exit c. Ορίστε μια λίστα πρόσβασης για να φιλτράρετε τα πακέτα από το μολυσμένο web server. Router1(config)# ip access-list standard JAVA-ACL Router1(config-std-nacl)# deny Router1(config-std-nacl)# permit any Router1(config-std-nacl)# exit 188

189 c. Ορίστε τον κανόνα επιθεώρησης Applet-EXAMPLE για τα Java Applet. Ο κανόνας αυτός ορίζει ποιο είδος κίνησης θα μπει κάτω από παρακολούθηση. Router1(config)# ip inspect name Applet-EXAMPLE http java-list JAVA-ACL d. Ενεργοποιήστε τις λίστες πρόσβασης και τον κανόνα επιθεώρησης στη διασύνδεση FastEthernet 4. Router1(config)#interface fastethernet 4 Router1(config-if)#ip access-group EXTERNAL-ACL in Router1(config-if)#ip inspect Applet-EXAMPLE out f. Μεταβείτε σε προνομιακή κατάσταση Router1(config-if)#exit Router1(config)#end Άσκηση 4η. Προστασία από επιθέσεις Άρνησης Υπηρεσίας (DoS) (Cisco 7200 series) Αυτό το χαρακτηριστικό επιτρέπει στο δρομολογητή να μπορεί να διαχειρίζεται τις TCP συνόδους ανάμεσα σε έναν εξυπηρέτη και έναν πελάτη. Σε μια κανονική περίπτωση ο πελάτης στέλνει ένα TCP SYN πακέτο για να ξεκινήσει τη σύνοδο. Ο εξυπηρέτης απαντά με ένα SYN ACK και ο πελάτης στη συνέχεια στέλνει ένα ACK. Μετά από αυτά τα μηνύματα η επικοινωνία και μπορεί να ξεκινήσει. Μια συνήθης διαδικασία επίθεσης άρνησης υπηρεσίας στέλνει συνεχόμενα SYN πακέτα, αλλά ποτέ πραγματικά δεν ξεκινά τη σύνοδο. Αυτό έχει ως αποτέλεσμα να γεμίσει ο πίνακας συνδέσεων του εξυπηρέτη με πολλές μισάνοιχτες TCP συνόδους οι οποίες στο τέλος εμποδίζουν οποιαδήποτε κανονική επικοινωνία. Με την ενεργοποίηση του χαρακτηριστικού TCP Intercept, ο δρομολογητής δε μεταβιβάζει το SYN πακέτο στον εξυπηρέτη. Αντίθετα απαντά αυτός απευθείας στον πελάτη με ένα SYN ACK πακέτο σαν να ήταν ο εξυπηρέτης. Αν ο πελάτης είναι νόμιμος χρήστης τότε ξεκινά τη σύνοδο και ο δρομολογητής ανοίγει τη δίοδο με τον εξυπηρέτη και επιτρέπει τη σύνοδο. Αν ο αριθμός των μισάνοιχτων TCP συνόδων ξεπεράσει ένα μέγιστο αριθμό, ο δρομολογητής προστατεύει τον εξυπηρέτη μπαίνοντας στην κατάσταση λειτουργίας aggressive όπου κάνει τα ακόλουθα: Ελαττώνει το χρόνο επαναμετάδοσης από 1 δευτερόλεπτο σε to 0.5, έτσι ώστε τα TCP SYN ACK πακέτα να μπορούν να αποστέλλονται πιο συχνά. Ελαττώνει το μέγιστο χρόνο για τον οποίο μια μισάνοιχτη σύνοδος θα παραμένει ενεργή από 30 σε 15 δευτερόλεπτα. Σε κάθε καινούργια προσπάθεια σύνδεσης, ο δρομολογητής αφαιρεί μια μισάνοιχτη σύνοδο από τον πίνακά του. Εξ ορισμού διώχνει την παλαιότερη αλλά μπορεί να ρυθμιστεί να διώχνει μια τυχαία. 189

190 Ολοκληρώστε τα ακόλουθα βήματα για να ενεργοποιήσετε το χαρακτηριστικό tcp intercept και να προστατέψετε τον εξυπηρέτη σας από επιθέσεις άρνησης υπηρεσίας τύπου TCP SYN a. Μεταβείτε σε κατάσταση γενικής διαχείρισης Router1#configure terminal b. Δημιουργείστε μια λίστα πρόσβασης για το σταθμό (εξυπηρέτη) που θέλετε να προστατέψετε Router1(config)#access-list 109 permit ip any host Σημείωση. Αν θέλαμε να προστατέψουμε όλο το υποδίκτυο μας /24 θα μπορούσαμε να γράψουμε Router1(config)#access-list 109 permit ip any c. Ενεργοποιήστε το χαρακτηριστικό tcp intercept για να προστατέψετε τον εξυπηρέτη σας Router1(config)#ip tcp intercept list 109 Σημείωση. Η εντολή δίνεται σε γενικό επίπεδο διαχείρισης. Δηλαδή με μία εντολή μπορείς να προστατέψεις όλους τους εξυπηρέτες ανεξάρτητα σε ποια διασύνδεση βρίσκονται συνδεδεμένοι d. Ορίστε ο δρομολογητής να μπαίνει στην κατάσταση λειτουργίας aggressive όταν υπάρχουν 10 μισάνοιχτες σύνοδοι (προκαθορισμένη τιμή 1100) και όταν ο αριθμός των συνόδων που ξεκινούν σε ένα λεπτό ξεπεράσει τις 15. Router1(config)#ip tcp intercept max-incomplete high 10 Router1(config)#ip tcp intercept one-minute high 15 Σημείωση. Οι αριθμοί αυτοί συμβολίζουν το σύνολο των προσπαθειών ανεξάρτητα του αν ήταν επιτυχημένες. Αν κάναμε επίτηδες μια επίθεση, θα βλέπαμε το ακόλουθο μήνυμα: Nov 15 13:56:38.944: %TCP-6-INTERCEPT: getting aggressive, count (10/10) 1 min 0 Και μετά τη λήξη της επίθεσης: Nov 15 13:58:14.367: %TCP-6-INTERCEPT: calming down, count (0/5) 1 min 11 f. Ορίστε πότε ο δρομολογητής θα επανέλθει στην κανονική κατάσταση λειτουργίας (Όταν οι ανοιχτές σύνοδοι γίνουν 5 και έχουμε λιγότερες από 10 αιτήσεις για συνδέσεις το λεπτό). Router1(config)#ip tcp intercept max-incomplete low 5 Router1(config)#ip tcp intercept one-minute low 10 h. Αλλάξτε το χρόνο διατήρησης μη ενεργών συνόδων σε μία ώρα Router1(config)#ip tcp intercept connection-timeout 3600 i. Μεταβείτε σε προνομιακή κατάσταση διαχείρισης Router1(config)#end i. Εμφανίστε στατιστικά σχετικά με το TCP Intercept Router1#show tcp intercept statistics 190

191 Intercepting new connections using access-list incomplete, 1 established connections (total 10) 8 connection requests per minute j. Εμφανίστε τον πίνακα συνδέσεων Router1# show tcp intercept connections 191

192 Βιβλιογραφία 1. Cisco Router Firewall Security, Richard A. Deal, ISBN: , Cisco Press, CCIE Professional Development Series Network Security Technologies and Solutions, Yusuf Bhaiji, ISBN 10: , Cisco Press, CCSP Cisco Secure PIX Firewall Advanced Exam Certification Guide, Greg Bastien, Christian Degu, ISBN: , Cisco Press, Cisco IOS Quick Reference, Will Richards 5. Cisco IOS Cookbook, 2nd Edition, Kevin Dooley, Ian Brown, ISBN: , O'Reilly, Router Security Strategies Securing IP Network Traffic Planes, Gregg Schudel, David J. Smith, ISBN , Cisco Press, 2008 Ηλεκτρονικές Πηγές 1. Wikipedia Cisco 2. Wikipedia Cisco IOS 192

193 3. Cisco IOS Configuration Fundamentals Command Reference, Release

194 Κεφάλαιο 13 ο Intrusion Prevention System IPS Εισαγωγή στο IPS Τύποι Επιθέσεων Υλοποιήσεις Μεθοδολογίες πρόληψης 194

195 Διαδικασία IPS Ασκήσεις Λύσεις 195

196 13.1 Εισαγωγή Το IOS IPS (Intrusion Prevention System) επεκτείνει τις δυνατότητες των τειχών προστασίας για την ανακάλυψη εισβολέων στους δρομολογητές Cisco παρέχοντας μια αποδοτικά οικονομική μέθοδο στην περίμετρο του δικτύου. Σε σχέση με τα κλασσικά firewall τα συστήματα IPS παρέχουν ένα επιπλέον επίπεδο προστασίας προστατεύοντας το δίκτυο από εξωτερικές και εσωτερικές απειλές (προέρχονται από δρομολογητές που προωθούν απλά τα πακέτα από ένα δίκτυο σε ένα άλλο). Με την αύξηση των δυνατοτήτων αναγνώρισης των εισβολέων, ο δρομολογητής μπορεί να λειτουργήσει σαν ένα εσωτερικό σημείο ελέγχου εξετάζοντας τα πακέτα και τη ροή τους ψάχνοντας να ταυτοποιήσει συγκεκριμένες συμπεριφορές με δικτυακές απειλές. Το IPS μπορεί να εφαρμοσθεί σε όλα τα μέρη του δικτύου και φυσικά στην περίμετρό του. Τυπικά η αναγνώριση των εισβολέων αποτελείται από τρία διαφορετικά κομμάτια: Sensor (Ανιχνευτής): μια δικτυακή συσκευή (στην περίπτωση μας ένας δρομολογητής με τα χαρακτηριστικά του IPS Firewall ενεργοποιημένα) που χρησιμοποιεί μια μηχανή βασισμένη σε κανόνες για να ερμηνεύσει ένα μεγάλο αριθμό IP πακέτων και να τα αντιστοιχει σε γεγονότα ασφαλείας. Ο ανιχνευτής μπορεί να καταγράφει δεδομένα ασφαλείας και να τερματίζει TCP συνόδους. Ο ανιχνευτής αναφέρει τα γεγονότα σε ένα IPS Director ή syslog server. Director: μια συσκευή που παρέχει κεντρική διαχείριση και αναφορές για θέματα ασφαλείας. Post Office: Ένα πρωτόκολλο που παρέχει τη ραχοκοκαλιά μέσω της οποίας όλες οι IPS συσκευές επικοινωνούν μεταξύ τους. Το IPS ελέγχει τα πακέτα του δικτύου σε πραγματικό χρόνο για την ανακάλυψη εισβολέων ή κακοπροαίρετης συμπεριφοράς. Πρακτικά το IPS ψάχνει για μοτίβα συμπεριφορών ελέγχοντας είτε το κομμάτι των δεδομένων ή της κεφαλίδας. Όταν το IPS ανιχνεύσει ύποπτη δικτυακή κυκλοφορία και πριν αυτή προκαλέσει ρήγμα στην πολιτική ασφαλείας του δικτύου το IPS αντιδρά και καταγράφει όλη την κίνηση σε ένα syslog server ή IPS Director χρησιμοποιώντας το Post Office Protocol (POP). Οι διαχειριστές ασφάλειας του συστήματος έχουν τη δυνατότητα με το λογισμικό του IOS IPS να ρυθμίσουν τον τρόπο αντίδρασης σε πακέτα που αντιστοιχίζονται σε υπογραφές που περιγράφουν επιθέσεις. Όταν μια υπογραφή αντιστοιχίζεται σε ένα είδος επίθεσης υπάρχουν τέσσερις διαφορετικοί τρόποι αντίδρασης: 196

197 Δημιουργία συναγερμού Οι συναγερμοί δημιουργούνται από τον ανιχνευτή και αποστέλλονται σε ένα ή περισσότερους Directors. Ο Director εμφανίζει το συναγερμό και καταγράφει το γεγονός. Δημιουργία καταγραφών Οι καταγραφές των γεγονότων μπορούν να αποσταλούν σε ένα ξεχωριστό syslog server με σκοπό την ανάλυση του γεγονότος. Τερματισμός TCP συνδέσεων Ο ανιχνευτής τερματίζει και επαννεκινεί αιτήσεις για TCP συνδέσεις κατά τη διάρκεια μιας επίθεσης για την ελαχιστοποίηση της απειλής ενώ επιτρέπει όλες τις άλλες αιτήσεις να διαβιβαστούν στον προορισμό τους. Αποφυγή της επίθεσης με την αντιστοίχηση μιας υπογραφής ο ανιχνευτής μπορεί να ρυθμιστεί να αρνηθεί αιτήσεις για σταθμούς η υποδίκτυα απορρίπτοντας το πακέτο. Η απόρριψη των πακέτων πρέπει να ρυθμιστεί με προσοχή ώστε να μη έχουμε αντίθετα από τα προσδοκώμενα αποτελέσματα. Η Cisco IOS IPS υλοποίηση προορίζεται για επιχειρήσεις μεσαίου επιπέδου εξαιτίας των καθυστερήσεων που εισάγονται από την εξέταση των πακέτων για πιθανές απειλές και επιθέσεις στην περίμετρο του δικτύου. Επίσης μπορεί να προσφέρει ένα επιπλέον επίπεδο προστασίας για απομακρυσμένη πρόσβαση και dialup συνδέσεις. Τέσσερις είναι οι βασικοί λόγοι για την ενεργοποίηση του Cisco IOS Firewall IPS: Να επεκτείνει την περιμετρική ασφάλεια του δικτύου Να παρέχει μια χαμηλού κόστους λύση σχετικά με την ασφάλεια Να αναγνωρίζει εξωτερικές επιθέσεις στον δρομολογητή (μια συσκευή ανίχνευσης συνδεδεμένη πίσω από το δρομολογητή δε μπορεί να ανιχνεύσει αυτές τις επιθέσεις) Να υλοποιήσει μια λύση ασφαλείας χωρίς επιπλέον υλικό Στις επόμενες παραγράφους θα αναλυθούν τα είδη των πιθανών επιθέσεων, θα εξεταστούν οι δύο δυνατές υλοποιήσεις (σε σταθμούς και δικτυακά), θα αναφερθούν οι μέθοδοι ανίχνευσης εισβολέων του IPS με τη χρήση προφίλ και υπογραφών και θα περιγραφεί ο τρόπος λειτουργία τους Τύποι επιθέσεων Το IPS αποτελεί την επιστήμη ανίχνευσης δικτυακών επιθέσεων. Οι επιθέσεις σε ένα δίκτυο μπορούν να κατηγοριοποιηθούν σε τρεις κατηγορίες: Επιθέσεις αναγνώρισης (Reconnaissance attacks) Επιθέσεις Άρνησης Υπηρεσίας (Denial of service (DoS) attacks) Επιθέσεις πρόσβασης (Access attacks) 197

198 Οι IPS λύσεις προσπαθούν να αναγνωρίσουν και να αποθαρρύνουν αυτού του είδους τις επιθέσεις Επιθέσεις αναγνώρισης Επίθεση αναγνώρισης (reconnaissance) αποτελεί η χωρίς εξουσιοδότηση συλλογή δεδομένων σχετικά με τις αδυναμίες, τις υπηρεσίες και τους πόρους του συστήματος. Επιθέσεις πρόσβασης και άρνησης υπηρεσίας τυπικά ακολουθούν των επιθέσεων αναγνώρισης. Οι εισβολείς χρειάζεται να γνωρίζουν σε τι μπορούν να επιτεθούν πριν ξεκινήσουν τη διαδικασία εισβολής. Η επίθεση αναγνώρισης είναι ανάλογη μιας ληστείας τράπεζας όπου ο κλέφτης πριν τη ληστεία προσπαθεί να συλλέξει στοιχεία σχετικά με τις κάμερες ασφαλείας, τους φρουρούς και τη θέση τους, τον τρόπο διαφυγής Επιθέσεις Πρόσβασης Ο όρος επίθεση πρόσβασης είναι ευρύς και χρησιμοποιείται για να περιγράψει επιθέσεις που έχουν ως αποτέλεσμα ο εισβολέας να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε ένα σύστημα ασφαλείας με σκοπό την παραποίηση δεδομένων ή την απόκτηση επιπλέον δικαιωμάτων στο σύστημα. Επίθεση πρόσβασης συστήματος. Είναι η προσπάθεια πρόσβασης σε ένα σύστημα για το οποίο ο επιτιθέμενος δεν έχει λογαριασμό. Επίθεση παραποίησης δεδομένων. Παραποίηση δεδομένων συμβαίνει όταν ο εισβολέας απλά διαβάζει αντιγράφει εγγράφει διαγράφει ή αλλάζει δεδομένα που δε θα έπρεπε να μπορεί να έχει πρόσβαση. Επίθεση απόκτησης δικαιωμάτων. Η απόκτηση επιπλέον δικαιωμάτων πρόσβασης αποτελεί ένα κοινό τύπο επιθέσεων. Με την απόκτηση των επιπλέον δικαιωμάτων ο εισβολέας μπορεί να εγκαταστήσει επικίνδυνα προγράμματα όπως backdoors και Trojan horses που θα επιτρέψουν περισσότερες μελλοντικές επιθέσεις Επιθέσεις Άρνησης Υπηρεσίας (Denial of Service (DoS) Attacks) Οι επιθέσεις άρνησης υπηρεσίας εκτελούνται με σκοπό την εξουδετέρωση ή το κρέμασμα του δικτύου ή υπηρεσιών του εμποδίζοντας τη χρήση από τους νόμιμους χρήστες. Αυτού του είδους οι επιθέσεις αποτελούν πονοκέφαλο για επιχειρήσεις που δραστηριοποιούνται στον τομέα του ηλεκτρονικού εμπορίου αφού ο σκοπός του εισβολέα είναι να αποτρέψει την περαιτέρω παροχή των ηλεκτρονικών υπηρεσιών. Η επίθεση πραγματοποιείται παράγοντας υπερβολική δικτυακή κίνηση σε συγκεκριμένες υπηρεσίες. Για μια επιτυχημένη 198

199 επίθεση άρνηση υπηρεσίας, οι εισβολείς χρησιμοποιούν πολλούς διαφορετικούς υπολογιστές σε μια προσπάθεια να κατακλύσουν με αιτήσεις τον υπό επίθεση σταθμό. Όταν χρησιμοποιούνται πολλοί υπολογιστές για μια επίθεση αυτή ονομάζεται κατανεμημένη επίθεση άρνησης υπηρεσίας Υλοποιήσεις IPS Η χρησιμοποίηση του συστήματος IPS έρχεται σε δύο δυνατές υλοποιήσεις. Τη δικτυακή (network based) και του σταθμού εργασίας (host based). Σχήμα 3 1. Εγκατάσταση του IPS σε σταθμούς και στην περίμετρο του δικτύου Δικτυακή Υλοποίηση Η δικτυακή λύση χρησιμοποιεί μια συσκευή που ονομάζεται ανιχνευτής (sensor) για να παρακολουθεί την κίνηση σε ένα μέρος του δικτύου. Ο ανιχνευτής εξετάζει τα πακέτα και τα περιεχόμενα τους και αποφασίζει κατά πόσο συμβαίνει μια επίθεση. Πρακτικά ο ανιχνευτής συλλαμβάνει πακέτα και τα συγκρίνει με τους εσωτερικούς κανόνες που έχει για την ανίχνευση εισβολών. Η Cisco προσφέρει τις παρακάτω δικτυακές λύσεις: 4200 series hardware sensors IDS αρθρώματα για τα Catalyst 6500 switches Network Module Cisco IDS (NM CIDS) 199

200 Δρομολογητές με το Cisco IOS Firewall σετ εντολών PIX firewalls Στη δικτυακή υλοποίηση υπάρχουν δύο σχεδιαστικές φιλοσοφίες: ευθυγραμμισμένη(inline) και παθητική παρακολούθηση. Σε ένα inline σύστημα τα πακέτα περνούν μέσα από την IPS συσκευή. Πλεονέκτημα αυτού του σχεδιασμού αποτελεί το γεγονός ότι η συσκευή παίζει ένα πιο ενεργητικό ρόλο ωστόσο το μειονέκτημα είναι ότι προσπαθεί να ελέγξει τα πακέτα ενώ παράλληλα διακινεί την κίνηση μέσω των διασυνδέσεων σε υψηλές ταχύτητες. Παραδείγματα τέτοιου σχεδιασμού αποτελούν οι δρομολογητές με το Cisco IOS Firewall σετ εντολών και τα PIX IPS. Στην παθητική παρακολούθηση, ο ανιχνευτής έχει μια διασύνδεση συνδεδεμένη με το κομμάτι που επιθυμεί να παρακολουθήσει. Πλεονέκτημα αυτής της προσέγγισης αποτελεί ότι η διασύνδεση παρακολούθησης είναι παθητική και δέχεται μόνο κυκλοφορία (σε σπάνιες μόνο περιπτώσεις παράγει κίνηση), δηλαδή είναι λιγότερο ευαίσθητη σε επιθέσεις. Ωστόσο μειονέκτημα αυτής της επιλογής αποτελεί ότι ο ανιχνευτής αντιδρά στην επίθεση αφού το πακέτο έχει ήδη φτάσει στο θύμα. Παραδείγματα τέτοιων συσκευών αποτελούν οι 4200 sensors και το IDS άρθρωμα για τα Catalyst 6500 switches. Ένας ανιχνευτής μπορεί να ενεργήσει ως εξής: Να καταγράψει την ενέργεια ή την επίθεση (συναγερμός) Να εμποδίσει την κυκλοφορία (απόρριψη πακέτων) Να τερματίσει την TCP σύνδεση (reset) Πλεονέκτημα της δικτυακής υλοποίησης είναι ο κεντρικόποιημένος χαρακτήρας της. Οι συσκευές τοποθετούνται σε κρίσιμα σημεία στην περίμετρο ή στη ραχοκοκαλιά του δικτύου όπου ο έλεγχος είναι πιο εύκολος. Θα πρέπει να σημειωθεί ότι όταν επιλέγεται η δικτυακή προσέγγιση θα πρέπει να επιλέξουμε μια λύση που να επιτρέπει την ανάλυση των πακέτων σε υψηλές ταχύτητες. Για παράδειγμα αν ο ανιχνευτής παρακολουθεί ένα 100 Mbps link, αλλά μπορεί να επεξεργαστεί μόνο κίνηση ταχύτητας 50 Mbps θα χρειαστεί σε ορισμένες περιπτώσεις να απορρίψει ή να μην εξετάσει πακέτα με αποτέλεσμα να χάσει μια πιθανή επίθεση Υλοποίηση σε σταθμό εργασίας Αυτές οι υλοποιήσεις χρησιμοποιούν λογισμικό που εγκαθίσταται στο σταθμό εργασίας και φροντίζουν για: Τη μη τροποποίηση εφαρμογών και του λειτουργικού συστήματος. Μη εξουσιοδοτημένη πρόσβαση. Κατάλληλη χρήση των εφαρμογών. 200

201 Επιθέσεις αναγνώρισης (reconnaissance) και άρνησης υπηρεσίας. Τη δημιουργία αρχείων καταγραφής 13.4 Μεθοδολογίες υλοποίησης του IPS Για την ανίχνευση και πρόληψη των επιθέσεων, οι IPS λύσεις υλοποιούνται με έναν από τους δύο τρόπους: προφίλ (profiles) ή υπογραφές (signatures). Στις επόμενες παραγράφους αναλύονται οι δύο μέθοδοι τα πλεονεκτήματα και οι περιορισμοί τους Προφίλ (Profiles) Τα συστήματα βασισμένα σε προφίλ ελέγχουν την κυκλοφορία των πακέτων στο δίκτυο για μη λογική συμπεριφορά («ανωμαλία» anomaly). Το κάνουν αυτό συλλέγοντας πακέτα κάτω από κανονικές συνθήκες, κάτι που ονομάζουν προφίλ. Στη συνέχεια χρησιμοποιούν αυτό το προφίλ για να το συγκρίνουν με την δικτυακή κίνηση. Το προφίλ περιλαμβάνει πληροφορίες σχετικά με μοτίβα κίνησης καθώς και στατιστικά. Κάθε κομμάτι κίνησης που δεν ταιριάζει με το προφίλ θεωρείται ύποπτο και πιθανή δικτυακή επίθεση. Εξαιτίας αυτής της διαδικασίας τα συστήματα αυτά συχνά καλούνται «συστήματα αναγνώρισης ανωμαλιών». Ένα από τα μεγαλύτερα πλεονεκτήματα των συστημάτων αυτών είναι ότι παρουσιάζουν μεγαλύτερη πιθανότητα να αναγνωρίσουν νέες απειλές σε σχέση πάντα με τα συστήματα υπογραφών που θα αναφέρουμε στη συνέχεια. Για παράδειγμα, έστω ότι ένας εισβολέας ανακαλύπτει ένα κενό ασφάλειας στο web server και προσπαθεί να αποκτήσει πρόσβαση σε ένα ειδικό αρχείο το access.htm που ξεχάστηκε κατά την τυποποιημένη εγκατάσταση. Για το αρχείο αυτό δεν υπάρχει πουθενά καμιά αναφορά αλλά και μόνο ότι βρίσκεται εκεί παρέχει μια πίσω πόρτα πρόσβασης στο web server. Τυπικά το αρχείο αυτό αφαιρείται μετά την εγκατάσταση του web server αλλά υπάρχει πιθανότητα να ξεχαστεί. Το αρχείο αυτό δεν προσπελάσετε σε κανονικές συνθήκες, άρα στην περίπτωση που κάποιος προσπαθήσει να το προσπελάσει ένα σύστημα βασισμένο σε προφίλ θα αναγνώριζε αυτή την κίνηση ως «ανωμαλία» και θα σήμαινε συναγερμό. Παρά το σημαντικό αυτό πλεονέκτημα τα συστήματα βασισμένα σε προφίλ έχουν τα παρακάτω μειονεκτήματα: Είναι επιρρεπή στην εσφαλμένη αναγνώριση συμπεριφορών ως ανωμαλίες στην κίνηση σε σχέση με τα συστήματα υπογραφών. Αυτό είναι σημαντικό ιδιαίτερα κατά την εγκατάσταση νέων εφαρμογών στο δίκτυο. Επιπλέον παίρνει περισσότερο χρόνο η απόφαση για τον αν πράγματι συνέβηκε επίθεση ή αν ήταν απλά μια εσφαλμένη αναγνώριση, πράγμα που αυξάνει τη διαχειριστική πολυπλοκότητα. 201

202 Εξαιτίας των αλλαγών που συμβαίνουν στις δικτυακές τοπολογίες και στα μοτίβα κυκλοφορίας, χρειάζεται να καταναλωθεί αρκετός χρόνος για την επαναδημιουργία του προφίλ. Κατά τη δημιουργία του προφίλ για τη σύγκριση με την κυκλοφορία του δικτύου, αν το προφίλ που επιλέξαμε περιέχει μια επίθεση, η επίθεση θεωρείται κανονική κίνηση. Δηλαδή αν ξανασυμβεί αυτό το είδος της επίθεσης και συγκριθεί με το προφίλ το IPS θα θεωρήσει την κίνηση κανονική και δε θα αναγνωρίσει την απειλή Υπογραφές (Signatures) Τα συστήματα βασισμένα σε υπογραφές, συγκρίνουν την κίνηση με υπογραφές για να καθορίσουν αν συμβαίνει μια επίθεση. Μια υπογραφή αποτελεί ένα σύνολο από κριτήρια που πρέπει να βρεθούν να αληθεύουν (συνήθως αναφέρεται ως ένα πρότυπο template) και που τα συστήματα IPS χρησιμοποιούν για να καθορίσουν αν συμβαίνει μια επίθεση. Η εισερχόμενη κίνηση συγκρίνεται με ένα σύνολο υπογραφών. Αν βρεθεί αντιστοιχία τότε σημαίνει συναγερμός. Αντίθετα με τα συστήματα βασισμένα σε προφίλ τα συστήματα με υπογραφές έχουν λιγότερους εσφαλμένους συναγερμούς και αυτό γιατί ψάχνουν για συγκεκριμένες και καλά ορισμένες συμπεριφορές μέσα στις υπογραφές. Για παράδειγμα ένα είδος επίθεσης στους web server είναι μέσω malformed URL. Ένα σύστημα βασισμένο σε υπογραφές θα έψαχνε για τις συγκεκριμένες πληροφορίες στο κομμάτι του http. Παρά τα πλεονεκτήματα τους, τα συστήματα αυτά έχουν δύο βασικά μειονεκτήματα: Μπορούν να αναγνωρίσουν μόνο τις επιθέσεις που έχουν προγραμματιστεί από τις υπογραφές που είναι εγκατεστημένες. Αν ανακαλυφθεί μια νέα επίθεση το σύστημα είναι πολύ πιθανό να μην την αναγνωρίσει. Για αυτό, όπως και με τα συστήματα προστασίας ιών θα πρέπει το σύστημα μας να είναι πλήρως ενημερωμένο. Τα συστήματα βασισμένα σε υπογραφές έχουν προβλήματα με επιθέσεις που διαρκούν πολύ μεγάλα χρονικά διαστήματα. Μια τέτοια επίθεση είναι πολύ δύσκολο να αναγνωρισθεί. Για παράδειγμα ένα ping ή μια σάρωση θυρών (port scan) που συμβαίνει για ώρες ή μέρες δε θα μπορούσε να αναγνωρισθεί γιατί το σύστημα δε θα μπορούσε να αποθηκεύσει στο buffer όλη την κίνηση για να την εξετάσει. Αντίθετα τα συστήματα που λειτουργούν με προφίλ θα εμφάνιζαν αυτού του είδους την κίνηση ως ανωμαλία. 202

203 13.5 IPS Υπογραφές Οι δικτυακές υλοποιήσεις των Cisco βασίζονται σε υπογραφές. Μια υπογραφή είναι ένας κανόνας με τον οποίο εξετάζεται ένα πακέτο η μια σειρά από πακέτα για συγκεκριμένο περιεχόμενο και αντιστοιχίες στην κεφαλίδα και στο ωφέλιμο φορτίο του(payload). Είναι σημαντικό να γίνει κατανοητό ότι το πλήθος των υπογραφών δεν κάνει απαραίτητα ένα IPS σύστημα καλό. Στην πραγματικότητα αυτό που έχει σημασία είναι η ευελιξία που παρουσιάζουν οι υπογραφές στην αναγνώριση των απειλών. Για παράδειγμα μπορεί ένα σύστημα να χρειάζεται τρεις υπογραφές για να ταυτοποιήσει μια απειλή, ενώ ένα άλλο μόνο μία Υλοποιήσεις υπογραφών Οι υπογραφές έρχονται σε δύο υλοποιήσεις: Context εξετάζουν την κεφαλίδα του πακέτου για αντιστοιχία Content εξετάζουν τα περιεχόμενα του πακέτου για αντιστοιχία Στην πρώτη περίπτωση εξετάζεται μόνο η κεφαλίδα του πακέτου για αντιστοίχιση. Αυτή μπορεί να περιλαμβάνει πεδία της IP διεύθυνσης, το πεδίο του IP πρωτοκόλλου, παραμέτρους κατάτμησης του IP,αθροίσματα ελέγχου(checksums) των IP, TCP και UDP, αριθμούς θυρών για τα IP και TCP, TCP flags, ICMP τύπους μηνυμάτων κ.α. Στη δεύτερη περίπτωση εξετάζεται και η κεφαλίδα των πακέτων αλλά και το ωφέλιμο φορτίο του. Για παράδειγμα σε μια sendmail reconnaissance επίθεση ερευνάται το ωφέλιμο φορτίο για εντολές EXPN και VRFY (Cisco 3103 signature) Δομή υπογραφών Εκτός από δύο υλοποιήσεις οι υπογραφές έχουν και δύο διαφορετικές δομές: Atomic Εξετάζουν ένα μόνο πακέτο για αντιστοιχία Compound εξετάζουν μια ροή από πακέτα για αντιστοιχία Ένα παράδειγμα υπογραφής που ακολουθεί τη δομή atomic είναι ένα που εξετάζει ένα TCP κομμάτι κεφαλίδας για τα SYN και FIN σημαιάκια ελέγχου. Επειδή αυτές οι πληροφορίες περιλαμβάνονται στην TCP κεφαλίδα και επειδή υπάρχουν σε ένα IP πακέτο, μόνο ένα πακέτο χρειάζεται να ελεγχτεί για αντιστοιχία με υπογραφή. Ωστόσο υπάρχουν επιθέσεις που διαδίδονται δια μέσου πολλών πακέτων και πιθανότατα μέσω πολλών συνδέσεων. Μια σύνθετη υπογραφή εξετάζει με τη βοήθεια του ανιχνευτή 203

204 μια ροή πακέτων. Ένα παράδειγμα τέτοιας υπογραφής θα έλεγχε κομμάτια της ίδιας σύνδεσης για να καθορίσει αν αυτά επαναλαμβάνονται (προφανή περίπτωση επίθεσης) Βασική κατηγοριοποίηση Γενικότερα υπάρχουν τέσσερις κατηγορίες υπογραφών: Πληροφοριακές (Informational) αυτές οι υπόγραφες πυροδοτούνται σε κανονικές δικτυακές συνθήκες, όπως για παράδειγμα ύστερα από μια ICMP echo αίτηση ή κατά την εκκίνηση και τον τερματισμό TCP και UDP συνδέσεων. Αναγνώρισης (Reconnaissance) αυτές οι υπόγραφες πυροδοτούνται σε επιθέσεις που γίνονται για να αποκαλύψουν σταθμούς και πόρους του δικτύου, καθώς και τα πιθανά τρωτά σημεία αυτών. Παραδείγματα τέτοιων επιθέσεων αποτελούν η σάρωση μέσω ping, DNS ερωτήματα και εξέταση ανοικτών θυρών του δικτύου. Πρόσβασης (Access) Οι υπογραφές αυτές πυροδοτούνται σε επιθέσεις που περιλαμβάνουν: μη εξουσιοδοτημένη πρόσβαση, μη εξουσιοδοτημένη αύξηση προνομίων και δικαιωμάτων και πρόσβαση σε προστατευμένα και ευαίσθητα δεδομένα. Παραδείγματα αποτελούν τα Back Orifice, οι Unicode επιθέσεις κατά του Microsoft IIS και το NetBus. Άρνησης Υπηρεσίας (DoS) Οι υπογραφές αυτές πυροδοτούνται από προσπάθειες τρίτων να μειώσουν το επίπεδο ενός πόρου ή του συστήματος ή να το αναγκάσουν σε κατάρρευση. Παραδείγματα περιλαμβάνουν TCP SYN floods, Ping of Death, Smurf, Fraggle, Trinoo. Η υπογραφές της Cisco ταξινομούνται σε 8 βασικές κατηγορίες όπως φαίνεται στον πίνακα που ακολουθεί Σειρά Περιγραφή Υπογραφών 1000 Υπογραφές σχετικές με τους κανόνες των IP κεφαλίδων, που περιλαμβάνουν IP options, IP fragments και λανθασμένα ή άκυρα IP πακέτα 2000 Υπογραφές για πακέτα ICMP, που περιλαμβάνουν ICMP επιθέσεις, σαρώσεις με ping και ICMP traffic καταγραφές 3000 Υπογραφές για επιθέσεις στο TCP που περιλαμβάνουν TCP host sweeps, TCP SYN floods, TCP port scans, TCP session hijacking, TCP traffic records, TCP applications, e mail επιθέσεις, NetBIOS επιθέσεις και legacy web επιθέσεις 4000 Υπογραφές για επιθέσεις στο UDPπου περιλαμβάνουν UDP port scans, UDP applications και UDP traffic records 5000 Υπογραφές σχετικές με επιθέσεις στο web server και τον φυλλομετρητή χρησιμοποιώντας το HTTP 6000 Υπογραφές για επιθέσεις πάνω από διαφορετικά και πολλαπλά πρωτόκολλα που περιλαμβάνουν κατανεμημένες DoS επιθέσεις, DNS 204

205 επιθέσεις, Loki επιθέσεις, επιθέσεις πιστοποίησης αυθεντικότητας και RPC επιθέσεις 8000 Υπογραφές που ψάχνουν για αντιστοιχίες αλφαριθμητικών σε TCP συνόδους/εφαρμογές 10,000 Υπογραφές που πυροδοτούνται από παραβάσεις στις ACL των Cisco δρομολογητών Πίνακας 3 1. Κατηγοριοποίηση υπογραφών Cisco 13.6 Η διαδικασία IPS Το IPS δεν είναι εξαρχής ενεργοποιημένο στο δρομολογητή. Αντίθετα πρέπει να οριστούν κανόνες που θα ορίζουν συγκεκριμένα τις υπογραφές που οι δρομολογητές θα πρέπει να χρησιμοποιούν όταν εξετάζουν την κίνηση για πιθανές απειλές. Η Cisco στο IOS χωρίζει τις υπογραφές σε δύο διαφορετικές κατηγορίες βασιζόμενη στη σοβαρότητα των απειλών. Αυτές ονομάζονται πληροφοριακές (informational) και επίθεσης (attack). Μπορούν να ενεργοποιηθούν η μία ή και οι δύο κατηγορίες. Επιπλέον, μπορεί να γίνει επιλεκτική ενεργοποίηση και απενεργοποίηση συγκεκριμένων υπογραφών για όλο το δίκτυο αλλά και ξεχωριστά για κάθε σταθμό εργασίας. Έπειτα από τη δημιουργία του κανόνα εξέτασης, αυτός θα πρέπει να ενεργοποιηθεί (αντιστοιχηθεί) σε μια ή περισσότερες διασυνδέσεις (interfaces) στα εισερχόμενα και εξερχόμενα πακέτα. Έπειτα από αυτή τη διαδικασία το IPS ενεργοποιείται. Αν εφαρμοσθεί ο κανόνας στα εισερχόμενα πακέτα τότε αυτά ελέγχονται πριν φτάσουν στη διασύνδεση. Ο έλεγχος αυτός γίνεται πριν από όλους τους άλλους ελέγχους όπως είναι των λιστών πρόσβασης (ACL). Αυτό επιτρέπει την αναγνώριση εξωτερικών απειλών κατά την προσπάθεια εισβολής στο δίκτυο. Όταν συγκρίνεται ένα πακέτο ή πακέτα με τις υπογραφές που βρίσκονται στο δρομολογητή, αυτό γίνεται με την ακόλουθη σειρά: 1. IP υπογραφές 2. ICMP υπογραφές 3. TCP ή UDP υπογραφές (ανάλογα με το είδος σύνδεσης) 4. Υπογραφές επιπέδου εφαρμογής Όταν βρεθεί μια αντιστοιχία με κάποια υπογραφή, τότε το Cisco IOS σταματά να ψάχνει για περαιτέρω αντιστοιχίσεις του ίδιου τύπου. Ωστόσο συνεχίζει να ψάχνει για αντιστοιχίσεις σε άλλες κατηγορίες υπογραφών. Για παράδειγμα αν το Cisco IOS ταυτοποιήσει μια IP υπογραφή, δε συνεχίζει να ψάχνει για άλλες IP αντιστοιχίες αλά συνεχίζει στην επόμενη κατηγορία που είναι για υπογραφές σχετικά με το ICMP. Αυτό γίνεται σε αντίθεση με τους Cisco 4200 hardware ανιχνευτές οι οποίοι συνεχίζουν την αναζήτηση σε όλες τις δυνατές περιπτώσεις και κατηγορίες. 205

206 Όταν ένας δρομολογητής με ενεργοποιημένο το IPS firewall ανιχνεύει μια επίθεση, μπορεί να κάνει τις ακόλουθες ενέργειες: Δημιουργία ενός συναγερμού που από προεπιλογή εμφανίζεται στην κονσόλα. Ο συναγερμός μπορεί επίσης να σταλεί σε ένα syslog server, στο Cisco Secure IPS Director ή σε κάποια κεντρική πλατφόρμα διαχείρισης. Ο συναγερμός μπορεί να έχει τη μορφή ενός μηνύματος καταγραφής ή ακόμα και ενός e mail και περιέχει πληροφορίες για την επικινδυνότητα της επίθεσης ενώ προτείνει και λύσεις αντιμετώπισης. Τερματισμός της TCP συνόδου του εισβολέα. Απόρριψη η μπλοκάρισμα του πακέτου του εισβολέα Θέματα απόδοσης μνήμης Η απόδοση του IPS σε ένα δρομολογητή Cisco router εξαρτάται από πολλές παραμέτρους που περιλαμβάνουν τα ακόλουθα: Τον επεξεργαστή του δρομολογητή. Το μέγεθος της μνήμης του δρομολογητή. Για σύνθετες υπογραφές (compound), το CBAC δεσμεύει μνήμη για τη διατήρηση όχι μόνο των πληροφοριών της τρέχουσας κατάστασης αλλά και της εσωτερικής αποθήκευσης των πακέτων. Το σύνολο της κίνησης που διατρέχει το δρομολογητή. Αν ο δρομολογητής κάνει κρυπτογράφηση των πληροφοριών. Η ενεργοποίηση και απενεργοποίηση συγκεκριμένων υπογραφών δεν επηρεάζει την απόδοση του IPS στο δρομολογητή. Το ίδιο ισχύει και για τις λίστες πρόσβασης (ACLs) εκτός και αν χρησιμοποιούντα για να προσδιορίσουν ποια πακέτα θα πυροδοτήσουν υπογραφές οπότε τότε θα υπάρχει σημαντική επίδραση στην απόδοση του δρομολογητή. Τέλος θα πρέπει να σημειωθεί ότι ο δρομολογητής υποστηρίζει ένα περιορισμένο αριθμό υπογραφών σε σχέση με άλλες συσκευές αφιερωμένες σε αυτή τη λειτουργία όπως είναι o 4200 της Cisco. Το IPS των δρομολογητών Cisco υποστηρίζει περίπου το 1/10 των υπογραφών σε σχέση με συσκευές ανίχνευσης. Για αυτό και θα πρέπει να συνδυαστεί και με άλλες λύσεις ασφαλείας. Ωστόσο το σετ υπογραφών της Cisco μπορεί να αναγνωρίσει τις βασικότερες και συνηθέστερες απειλές. 206

207 13.8 Άσκηση Στην παρακάτω άσκηση, οι εκπαιδευόμενοι θα προσπαθήσουν να ρυθμίσουν το δρομολογητή στο να υποστηρίζει το IPS και να εκτελεί βασικές λειτουργίες ελέγχου. Ποιο συγκεκριμένα σε αυτό το εργαστήριο θα κάνουν τις ακόλουθες εργασίες: Θα ενεργοποιήσουν το Intrusion Protection System (IPS) στο δρομολογητή. Θα απενεργοποιήσουν υπογραφές. Θα ενσωματώσουν επιπλέον υπογραφές από εξωτερικό αρχείο. Θα επιβεβαιώσουν τις ρυθμίσεις του IPS. Θα επιβεβαιώσουν τη σωστή λειτουργία του IPS δημιουργώντας και καταγράφοντας μηνύματα. Σενάριο Μια εταιρεία θέλει να αυξήσει την περιμετρική ασφάλεια του δικτύου της που βασίζεται κυρίως στο stateful inspection. Για το λόγο αυτό θέλει να ενεργοποιήσει το IPS του δρομολογητή της και να το ρυθμίσει κατάλληλα ώστε να αναγνωρίζει επιπλέον απειλές και να λαμβάνει μέτρα όπου χρειάζεται σύμφωνα με την πολιτική ασφαλείας της. Τοπολογία Το σχήμα που ακολουθεί απεικονίζει την τοπολογία του δικτύου. 207

208 Σχήμα 3 2. Τοπολογία του δικτύου για το σενάριο εφαρμογής του IPS Εργαλεία Πηγές Για την ολοκλήρωση του εργαστηρίου είναι απαραίτητα: Θεωρητικό υπόβαθρο πάνω στη λειτουργία του IPS Η τοπολογία του δικτύου Ένα καλώδιο κονσόλας για το δρομολογητή Το HyperTerminal των windows ή κάποιος telnet client Το αρχείο υπογραφών attack drop.sdf Η τελευταία έκδοση του attack drop.sdf file μπορεί να μεταφορτωθεί από την παρακάτω διεύθυνση URL. Απαιτείται ωστόσο ένας ενεργός λογαριασμός CCO για την πρόσβαση στον ιστοχώρο

209 Λίστα εντολών IOS που θα χρειαστούμε Για την ολοκλήρωση του εργαστηρίου θα χρειαστούμε τις παρακάτω εντολές του IOS. Στον πίνακα που ακολουθεί δίνεται μια περιγραφή της σύνταξης των εντολών καθώς και μια περιγραφή της λειτουργίας τους. Εντολή ip ips ips-name {in out} [list acl] ip ips fail closed ip ips name ips-name ip ips signature signature-id[:subsignature-id] {delete disable list acl-list} ip ips sdf location url show ip ips {[all] [configuration] [interfaces] [name name] [statistics [reset]] [sessions [details]] [signatures [details]]} Περιγραφή Χρησιμοποιείται για την εφαρμογή ενός IPS κανόνα σε μια διασύνδεση (interface). Η εντολή ip ips χρησιμοποιείται κατά τη λειτουργία ειδικής διαχείρισης (Router(config-subif)#) στην οποία χειριζόμαστε συγκεκριμένες διασυνδέσεις (interfaces). Δίνει στο δρομολογητή την εντολή να αρνηθεί όλα τα πακέτα μέχρι η μηχανή των υπογραφών να ετοιμαστεί ώστε να αρχίσει να εξετάζει την κίνηση. Η εντολή χρησιμοποιείται στο γενικό επίπεδο διαχείρισης (Router(config)#). Χρησιμοποιείται για τον ορισμό ενός IPS κανόνα. Η εντολή εφαρμόζεται στο γενικό επίπεδο διαχείρισης (Router(config)#). Προσαρτά μια πολιτική ασφαλείας σε μια υπογραφή. Η εντολή ip ips signature χρησιμοποιείται στο γενικό επίπεδο διαχείρισης (Router(config)#). Χρησιμοποιείται για τον ορισμό της τοποθεσίας από την οποία ο δρομολογητής θα φορτώσει το αρχείο υπογραφών (*.SDF). Η εντολή ip ips sdf location χρησιμοποιείται στο γενικό επίπεδο διαχείρισης (Router(config)#). Χρησιμοποιείται για να εμφανίσει IPS πληροφορίες όπως για παράδειγμα συνόδους ή υπογραφές. Η εντολή show ip ips χρησιμοποιείται στο προνομιακό επίπεδο διαχείρισης (Router#). Βήμα 1. Ενεργοποίηση του IPS στο δρομολογητή Ολοκληρώστε τα ακόλουθα βήματα για να ενεργοποιήσετε το IPS στο δρομολογητή: a. Από ένα σταθμό εργασίας συνδεθείτε στο δρομολογητή είτε μέσω του καλωδίου κονσόλας και του HyperTerminal ή εναλλακτικά μέσω telnet όπως περιγράφεται στο πρώτο κεφάλαιο της παρούσης εργασίας. b. Αν δεν βρίσκεστε σε προνομιακό επίπεδο μεταβείτε σε αυτό: RouterP> enable (όπου P=το όνομα του δρομολογητή P=1,2,3,4) Password: cisco c. Μεταβείτε στο γενικό επίπεδο διαχείρισης: RouterP# configure terminal RouterP(config)# 209

210 d. Ρυθμίστε το δρομολογητή να χρησιμοποιεί το ενσωματωμένο αρχείο υπογραφών (SDF). RouterP(config)# ip ips sdf builtin e. Δημιουργήστε ένα IPS κανόνα με το όνομα SECURIPS. RouterP(config)# ip ips name SECURIPS f. Μεταβείτε σε επίπεδο ειδικής διαχείρισης για τη θύρα Fa 4. RouterP(config)# interface fastethernet 4 g. Βρισκόμενοι σε κατάσταση ειδικής διαχείρισης για τη διασύνδεση fastethernet 4 θα εφαρμόσουμε τον κανόνα IPS που δημιουργήσαμε σε προηγούμενο βήμα σε αυτό. Η εντολή θα σχηματίσει (built) τις μηχανές υπογραφών και θα φορτώσει τις υπογραφές. Το in στο τέλος της εντολής δηλώνει ότι ο κανόνας θα εφαρμοσθεί στα εισερχόμενα στο interface πακέτα. RouterP(config-if)# ip ips SECURIPS in Παρατηρείστε ότι το σήμα κατάστασης του δρομολογητή καθυστερεί να εμφανιστεί. Αυτό συμβαίνει γιατί όπως προείπαμε η λειτουργία του δρομολογητή προσωρινά και μέχρι να σχηματιστούν οι μηχανές υπογραφών και να φορτωθούν αυτές στη μνήμη διακόπτεται. Η επανεμφάνιση του συμβόλου κατάστασης δηλώνει την ολοκλήρωση της διαδικασίας. h. Βγείτε από το επίπεδο ειδικής διαχείρισης. RouterP(config-if)# exit i. Αν η υπηρεσία NetBIOS τρέχει στο σταθμό εργασίας που δουλεύουμε μπορεί να πυροδοτήσει ένα συναγερμό μέσω της υπογραφής Το μήνυμα που θα λάβουμε θα έχει τη μορφή: *Αugust 19 22:56:40.884: %IPS-4-SIGNATURE: Sig:4050 Subsig:0 Sev:3 UDP Bomb [10.0.P.12:137 -> 10.0.P.255:137] Σε επίπεδο γενικής διαχείρισης, απενεργοποιήστε την υπογραφή 4050 RouterP(config)# ip ips signature 4050 disable j. Ρυθμίστε την καταγραφή των συμβάντων (logging) στο σταθμό εργασίας. RouterP(config)# logging P.2 k. Ρυθμίστε να γίνεται καταγραφή μηνυμάτων τύπου warning (χαμηλή ασφάλεια). RouterP(config)# logging trap warnings l. Ενεργοποίση της καταγραφής. RouterP(config)# logging on m. Έξοδος στην κατάσταση προνομιακού επιπέδου με το συνδυασμό πλήκτρων Ctrl+Z ή την εντολή end. RouterP(config)# ^Z n. Εμφανίστε την τρέχουσα κατάσταση ρυθμίσεων για το IPS και απαντήστε στις παρακάτω ερωτήσεις. RouterP# show ip ips configuration 210

211 Configured SDF Locations: none Builtin signatures are enabled and loaded Last successful SDF load time: 03:42:29 PCTime Mar IPS fail closed is disabled IPS deny-action ips-interface is false Fastpath ips is enabled Quick run mode is enabled Event notification through syslog is enabled Event notification through SDEE is disabled Total Active Signatures: 135 Total Inactive Signatures: 0 Signature 50000:0 disable Signature 50000:1 disable Signature 4050:0 disable Signature 50000:2 disable Signature 1107:0 disable IPS Rule Configuration IPS name secureips Interface Configuration Interface FastEthernet4 Inbound IPS rule is secureips Outgoing IPS rule is not set Πόσες υπογραφές φορτώθηκαν στη μνήμη ; Ποιες υπογραφές είναι απενεργοποιημένες; Βήμα 2. Φόρτωση υπογραφών Ακολουθείστε τα παρακάτω βήματα για να αντικαταστήσετε το υπάρχων αρχείο υπογραφών με το πιο πρόσφατο, attack drop.sdf. a. Βεβαιωθείτε ότι το αρχείο attack drop.sdf βρίσκεται στη μνήμη flash του δρομολογητή. Αν υπάρχει μεταβείτε στο βήμα c. RouterP# show flash 24576K bytes of processor board System flash (Intel Strataflash) Directory of flash:/ 2 -rwx Mar :50:41 +02:00 c870- advipservicesk9-mz t7.bin 3 -rwx 2254 Mar :06:30 +02:00 sdmconfig-8xx.cfg 4 -rwx Mar :06:47 +02:00 es.tar 5 -rwx Mar :07:07 +02:00 common.tar 6 -rwx 1038 Mar :07:19 +02:00 home.shtml 7 -rwx Mar :07:31 +02:00 home.tar 8 -rwx Mar :08:00 +02:00 wlanui.tar 9 -rwx Mar :08:24 +02:00 attack-drop.sdf bytes total ( bytes free) b. Αν το αρχείο δεν υπάρχει στη μνήμα flash μπορείτε να το μεταφορτώσετε στο δρομολογητή μέσω ftp. 211

212 RouterP# copy tftp://10.0.p.12/attack-drop.sdf flash:attackdrop.sdf Destination filename [attack-drop.sdf]?<enter> Accessing tftp://10.0.p.12/attack-drop.sdf... Erase flash: before copying? [confirm]n Loading attack-drop.sdf from 10.0.P.12 (via FastEthernet0/0):!!!!!!!!!!!!!!!!!!! [OK bytes] c. Μεταβείτε στην κατάσταση γενικής διαχείρισης και δημιουργείστε έναν IPS κανόνα RouterP# configure terminal RouterP(config)# ip ips name SECURIPS d. Προσδιορίστε την τοποθεσία από την οποία ο δρομολογητής θα φορτώσει το συγκεκριμένο αρχείο υπογραφών SDF. Αν η εντολή δε δοθεί, ο δρομολογητής θα φορτώσει το προκαθορισμένο αρχείο υπογραφών που βρίσκεται στην εικόνα του IOS. RouterP(config)# ip ips sdf location flash:attack-drop.sdf e. Εμφανίστε τις ρυθμίσεις του IPS και απαντήστε στις ακόλουθες ερωτήσεις. RouterP# show ip ips configuration f. Ρυθμίστε το δρομολογητή να απορρίπτει όλα τα πακέτα έως ότου ολοκληρωθεί η δημιουργία των μηχανών υπογραφών και καταστούν έτοιμες για έλεγχο κυκλοφορίας με τη βοήθεια της εντολής ip ips fail closed. Όταν δοθεί η εντολή μπορεί να συμβεί ένα από τα παρακάτω σενάρια: Αν το IPS δεν καταφέρει να φορτώσει το SDF, όλα τα πακέτα θα απορριφθούν εκτός και αν ο χρήστης ορίσει μια ACL για πακέτα μέσω του IPS. Αν το IPS καταφέρει να φορτώσει το SDF αλλά δε μπορέσει να φτιάξει τη μηχανή υπογραφών, όλα τα πακέτα που προορίζονται για αυτή τη μηχανή θα απορριφτούν. Αν η εντολή δε δοθεί, όλα τα πακέτα θα περάσουν χωρίς να γίνει κανένας έλεγχος. RouterP(config)# ip ips fail closed g. Μεταβείτε στη διασύνδεση Fa 4. RouterP(config)# interface fastethernet 4 h. Αφαιρέστε τον κανόνα IPS που προϋπήρχε (είχαμε ενεργοποιήσει σε προηγούμενα βήματα). RouterP(config-if)# no ip ips SECURIPS in i. Εφαρμόστε τον IPS κανόνα στη διασύνδεση. Η εντολή αυτόματα φορτώνει τις νέες υπογραφές και δημιουργεί τις μηχανές (δεν έχει σημασία ότι δίνουμε το ίδιο όνομα). RouterP(config-if)# ip ips SECURIPS in Σημείωση. Οποτεδήποτε γίνεται αντικατάσταση ή συγχώνευση υπογραφών, η κατάσταση ετοιμότητας του δρομολογητή διακόπτεται προσωρινά μέχρι να ολοκληρωθεί η διαδικασία φορτώματος και σχηματισμού των μηχανών και των υπογραφών. 212

213 j. Έξοδος από την κατάσταση ειδικής διαχείρισης. RouterP(config-if)# ^Z k. Εμφανίστε τις νέες ρυθμίσεις του IPS και απαντήστε στις επόμενες ερωτήσεις. RouterP# show ip ips configuration Configured SDF Locations: flash:attack-drop.sdf Builtin signatures are enabled but not loaded Last successful SDF load time: 00:20:07 UTC May IPS fail closed is enabled Fastpath ips is enabled Quick run mode is enabled Event notification through syslog is enabled Event notification through SDEE is disabled Total Active Signatures: 82 Total Inactive Signatures: 0 IPS Rule Configuration IPS name SECURIPS Interface Configuration Interface FastEthernet4 Inbound IPS rule is SECURIPS Outgoing IPS rule is not set Από πού έγινε η φόρτωση των υπογραφών ; Τι συνέβη με τις προκαθορισμένες υπογραφές l. Κάντε ανασκόπηση των ρυθμίσεων των IPS υπογραφών και μηχανών. RouterP# show ip ips signatures Βήμα 3. Συγχώνευση του αρχείου υπογραφών attack drop.sdf με το προκαθορισμένο αρχείο υπογραφών Σε ορισμένες περιπτώσεις, αν αισθανόμαστε ότι η ασφάλεια του συστήματος μας δεν είναι αρκετή, χρειάζεται η συγχώνευση του προκαθορισμένου αρχείου υπογραφών με το attackdrop.sdf για να την ενισχύσουμε. Ολοκληρώστε τα ακόλουθα βήματα για να προσθέσετε το αρχείο SDF και να αλλάξετε τις προκαθορισμένες παραμέτρους για συγκεκριμένες υπογραφές του αρχείου SDF ή της μηχανής διαχείρισης των υπογραφών. a. Επαναφορτώστε τις προκαθορισμένες υπογραφές. RouterP(config)# no ip ips sdf location flash:attack-drop.sdf RouterP(config)# int fastethernet 4 RouterP(config-if)# no ip ips SECURIPS in RouterP(config-if)# ip ips SECURIPS in b. Στην προνομιακή κατάσταση, συγχωνεύεστε τις υπογραφές του αρχείου attack drop.sdf, με τις προκαθορισμένες. RouterP(config-if)# end 213

214 RouterP# copy flash:attack-drop.sdf ips-sdf Με την εντολή αυτή γίνεται η συγχώνευση των υπογραφών με αυτές που βρίσκονται στη μνήμη του δρομολογητή, εκτός αν χρησιμοποιηθεί η παράμετρος /erase. c. Αποθηκεύστε τις συγχωνευμένες υπογραφές σε νέο αρχείο. RouterP# copy ips-sdf flash:my-signatures.sdf d. Ρυθμίστε το δρομολογητή να χρησιμοποιεί το νέο αρχείο υπογραφών. RouterP(config)# ip ips sdf location flash:my-signatures.sdf e. Αρχικοποιήστε ξανά το IPS αφαιρώντας τον IPS κανόνα και επανα εφαρμόζοντας τον. RouterP(config)# interface fastethernet 4 RouterP(config-if)# no ip ips SECURIPS in f. Εφαρμογή του κανόνα στη διασύνδεση Fa 4. RouterP(config-if)# ip ips SECURIPS in g. Έξοδος από κατάσταση διαχείρισης διασυνδέσεων RouterP(config-if)# exit h. Έξοδος στην προνομιακή κατάσταση RouterP(config)# exit i. Εμφανίστε τις νέες ρυθμίσεις του IPS και απαντήστε στις επόμενες ερωτήσεις. RouterP# show ip ips configuration Configured SDF Locations: flash:my-signatures.sdf Builtin signatures are enabled but not loaded Last successful SDF load time: 00:31:50 UTC May IPS fail closed is enabled Fastpath ips is enabled Quick run mode is enabled Event notification through syslog is enabled Event notification through SDEE is disabled Total Active Signatures: 183 Total Inactive Signatures: 0 Signature 4050:0 disable Signature 1107:0 disable IPS Rule Configuration IPS name SECURIPS Interface Configuration Interface FastEthernet4 Inbound IPS rule is SECURIPS Από πού έγινε η φόρτωση των υπογραφών ; Πόσες είναι πλέον οι ενεργές υπογραφές; 214

215 Βήμα 4. Επαλήθευση των ρυθμίσεων Ακολουθήστε τα επόμενα βήματα για να επαληθεύσετε τις ρυθμίσεις. a. Εμφανίστε τις τρέχουσες IPS ρυθμίσεις RouterP# show ip ips configuration Εμφανίζονται οι παράμετροι που μόλις ρυθμίσαμε καθώς και πλήθος άλλων ρυθμίσεων. b. Εμφανίστε τις τρέχουσες IPS ρυθμίσεις για τις διασυνδέσεις RouterP# show ip ips interface Interface Configuration Interface FastEthernet4 Inbound IPS rule is SECURIPS Outgoing IPS rule is not set Βήμα 5. Δημιουργία και καταγραφή μηνύματος Ακολουθήστε τα επόμενα βήματα για να δημιουργήσετε και να καταγράψετε ένα μήνυμα (συναγερμό) που παράγει το IPS. a. Ξεκινήστε τον Syslog server στον υπολογιστή σας. b. Στείλτε πολλαπλά fragmented πακέτα στο δρομολογητή χρησιμοποιώντας την ακόλουθη τεχνική: RouterP# ping Protocol [IP] <Enter> Target IP address: Q.1 Repeat count [5]: 20 Datagram size [100]: 2000 Timeout in seconds [2]: <Enter> Extended commands [n]: <Enter> Sweep range of sizes [n]: <Enter> (όπου Q = peer pod number) Ο RouterP θα αποστείλει πολλαπλά fragmented πακέτα στο δρομολογητή RouterQ. Λόγω των κανόνων που έχουν οριστεί, αυτό θα έχει ως αποτέλεσμα να δημιουργηθούν καταγραφές γεγονότων στον Syslog server. c. Αναλύστε τα μηνύματα που καταγράφηκαν στον Syslog server και στην κονσόλα του δρομολογητή. Ποιες υπογραφές εμφανίζονται στο Syslog server ; 215

216 Βιβλιογραφία 1. Cisco Router Firewall Security, Richard A. Deal, ISBN: , Cisco Press, Cisco IOS Quick Reference, Will Richards 3. Cisco IOS Cookbook, 2nd Edition, Kevin Dooley, Ian Brown, ISBN: , O'Reilly, CCSP Cisco Secure PIX Firewall Advanced Exam Certification Guide, Greg Bastien, Christian Degu, ISBN: , Cisco Press, Cisco Network Security Little Black Book, Joe Harris, ISBN: , Coriolis Group, Configuring Cisco IOS Intrusion Prevention System (IPS), Cisco IOS Security Configuration Guide, 2008, E book ( guide/ sec_cfg_ips_ps6350_tsd_products_configuration_guide_chapter.html) Ηλεκτρονικές Πηγές 1. Wikipedia Cisco 2. Wikipedia Cisco IOS 3. Cisco IOS Configuration Fundamentals Command Reference, Release

217 4. Cisco IOS IPS Deployment Guide ( products_white_paper0900aecd shtml). 217

218 Κεφάλαιο 14 ο IPSec Εισαγωγή Πρωτόκολλα AH, ESP Κρυπτογράφηση Δεδομένων Internet Key Exchange (IKE) 218

219 Καταστάσεις Λειτουργίας Ασκήσεις Λύσεις 219

220 14.1 Εισαγωγή Όταν σχεδιάστηκε το IPv6, πριν από μερικά χρόνια, υπήρχαν ισχυρές πιέσεις να συμπεριληφθούν σ αυτό λειτουργίες ασφάλειας. Ο βασικός στόχος ήταν να εξασφαλιστεί ότι η επόμενη γενιά του ΙΡ θα είχε διαθέσιμους ισχυρούς κρυπτογραφικούς μηχανισμούς για τους χρήστες εκείνους που θα επιθυμούσαν να τους χρησιμοποιήσουν. Σύμφωνα με τους στόχους σχεδίασης, οι μηχανισμοί αυτοί έπρεπε να είναι ανεξάρτητοι από αλγόριθμους, έτσι ώστε να είναι δυνατή η αλλαγή των αλγόριθμων χωρίς να επηρεάζεται η υπόλοιπη υλοποίηση. Οι μηχανισμοί θα έπρεπε, επίσης, να είναι χρήσιμοι στην επιβολή μιας μεγάλης ποικιλίας πολιτικών ασφάλειας, αλλά, ταυτόχρονα, θα έπρεπε να σχεδιαστούν με τέτοιον τρόπο ώστε να αποφευχθούν δυσμενείς επιπτώσεις στους χρήστες του Internet που δεν χρησιμοποιούν καθόλου μηχανισμούς ασφάλειας για τη διακίνηση των δεδομένων τους. Το αποτέλεσμα της προσπάθειας αυτής ήταν η προδιαγραφή μιας ολοκληρωμένης αρχιτεκτονικής ασφάλειας για το IPv6, η οποία συνδυάζει μηχανισμούς αυθεντικοποίησης και κρυπτογράφησης. Στο τέλος του 1992, η Internet Engineering Task Force (IETF) συγκρότησε μια ομάδα εργασίας με στόχο την προτυποποίηση ενός πρωτοκόλλου ασφάλειας ΙΡ (IP Security Protocol IPSP) και ενός πρωτοκόλλου διαχείρισης κλειδιών Internet (Internet Key Management Protocol IKMP). Σύντομα έγινε αντιληπτό ότι η ίδια αρχιτεκτονική που σχεδιαζόταν για το IPv6 μπορούσε να χρησιμοποιηθεί και για το IPv4. Η βασική διαφορά είναι ότι οι μηχανισμοί ασφάλειας που περιγράφονται στην αρχιτεκτονική πρέπει εκ των υστέρων να ενταχθούν στις υλοποιήσεις του IPv4, ενώ ενυπάρχουν στις υλοποιήσεις του IPv6 εξ αρχής. Τα IPSP και IKMP συνδέονται μόνο μέσω συσχετίσεων ασφάλειας (Security Associations SAs), στις οποίες γίνονται αναφορές από δείκτες παραμέτρων ασφάλειας (Security Parameter Indices SPIs). Βασικά, το IKMP χρησιμοποιείται για να εγκατασταθούν οι συσχετίσεις ασφαλείας και να αρχικοποιηθούν οι SPIs, ενώ το IPSP χρησιμοποιεί αυτές τις συσχετίσεις και τους SPIs για να κρυπτογραφήσει πακέτα IP. Κάθε υποσύστημα υλοποίησης IPsec περιέχει υλοποιήσεις του IPSP και του IKMP, μια βάση δεδομένων πολιτικής ασφάλειας και μια βάση δεδομένων συσχετίσεων ασφάλειας. Το IPSP περιέχει τα πρωτόκολλα Authentication Header Protocol (AHP) και Encapsulating Security Payload Protocol (ESP), τα οποία, είτε μεμονωμένα είτε σε συνεργασία, παρέχουν τις αντίστοιχες υπηρεσίες στη συσχέτιση ασφάλειας. 220

221 14.2 IPSec Το Internet Protocol Security (IPSec) δεν αποτελεί πρωτόκολλο αλλά ένα πλαίσιο από ανοικτά πρότυπα για την διασφάλιση της ιδιωτικής επικοινωνίας πάνω σε δίκτυα IP. Βασίζεται όπως είπαμε σε πρότυπα που αναπτύχθηκαν από την Internet Engineering Task Force (IETF) με σκοπό την εξασφάλιση της ακεραιότητας, εμπιστευτικότητας και αυθεντικότητας των επικοινωνιών πάνω από δημόσια IP δίκτυα. Η IPSec πρωτοβουλία προτείνει ένα τυποποιημένο τρόπο επαλήθευσης της αυθεντικότητας και των υπηρεσιών κρυπτογράφησης μεταξύ δύο άκρων. Αυτό σημαίνει ότι δε χρησιμοποιεί μόνο τυποποιημένους αλγορίθμους και μεθόδους μετατροπής, αλλά επιπλέον τυποποιημένους μηχανισμούς για τη διαπραγμάτευση και τη διαχείριση των κλειδιών. Το IPSec παρέχει κρυπτογράφηση στο επίπεδο δικτύου με νέες μορφές πακέτων όπως το Authentication Header (AH) που παρέχει ακεραιότητα δεδομένων και το Encapsulation Security Payload (ESP) που παρέχει και ακεραιότητα δεδομένων αλλά και εμπιστευτικότητα. Το πρωτόκολλο Diffie Hellman χρησιμοποιείται για τη δημιουργία του διαμοιραζόμενου μυστικού κλειδιού μεταξύ δύο σταθμών που υποστηρίζουν το IPSec ενώ το Internet Key Exchange (IKE) που βασίζεται στο Internet Security Association Key Management Protocol (ISAKMP)/Oakley είναι το πρωτόκολλο που χρησιμοποιείται για τη δημιουργία και τη διαχείριση των κλειδιών. Ένας συσχετισμός ασφαλείας (Security Association SA) αποτελεί μια πολιτική διαπραγμάτευσης ή συμφωνία μεταξύ δύο ομότιμων συσκευών σχετικά με τον τρόπο ανταλλαγής και χειρισμού των δεδομένων. Για παράδειγμα η μετατροπή που γίνεται με την κρυπτογράφηση των δεδομένων αποτελεί ένα είδος πολιτικής. Γενικότερα το IPSec τρέχει στο IP επίπεδο και χρησιμοποιεί την IKE για να διαπραγματευθεί τους συσχετισμούς ασφαλείας μεταξύ των δύο μερών. Κατά τη διαπραγμάτευση θα πρέπει να συμφωνηθούν τα ακόλουθα: ο αλγόριθμος κρυπτογράφησης ο αλγόριθμος κατακερματισμού η μέθοδος πιστοποίησης της ταυτότητας και η ασφάλεια του Diffie Hellman για την εγκατάσταση των κλειδιών πάνω από μη ασφαλή κανάλια επικοινωνίας (1 η κατηγορία: 768 bit, 2 η κατηγορία: 1024 bit) Με την ολοκλήρωση της διαπραγμάτευσης ο συσχετισμός ασφαλείας που εγκαθίσταται είναι αμφίδρομος. Ο σκοπός λοιπόν του IPSec είναι να εγκαταστήσει μία σύναψη ασφαλείας μεταξύ των ομότιμων IPSec σταθμών. Η σύναψη αυτή καθορίζει τον τρόπο ανταλλαγής των κλειδιών, τα πρωτόκολλα και τους αλγορίθμους που θα χρησιμοποιηθούν. Δύο είναι τα βασικά πρωτόκολλα ασφαλείας που περιλαμβάνονται στο IPSec πρότυπο: 221

222 Authentication Header (AH): παρέχει αυθεντικοποίηση δεδομένων και προστασία από επιθέσεις επανάληψης. Η κύρια λειτουργία του είναι η πιστοποίηση της ταυτότητας του αποστολέα ή η επαλήθευση ότι το πακέτο προέρχεται από τον αποστολέα. Το AH δεν προσφέρει κρυπτογράφηση δεδομένων. Στο σχήμα που ακολουθεί βλέπουμε πως το AH εισάγεται σε ένα IPv4 πακέτο. Σχήμα 4 1. Εισαγωγή AH σε ένα IPv4 πακέτο Encapsulating Security Payload (ESP): προσφέρει αυθεντικοποίηση δεδομένων, κρυπτογράφηση και προστασία από επιθέσεις επανάληψης (μέσω επαναποστολής δεδομένων). Η κύρια δουλειά του ESP είναι να μεταφέρει τα δεδομένα από τον αποστολέα στο δέκτη με τρόπο τέτοιο ώστε να είναι σίγουρο ότι κανένας δεν μπορεί να καταφέρει να τα μεταβάλλει και ότι η σύνοδος μεταξύ των δύο μερών να παραμένει ασφαλής. Το ESP μπορεί να χρησιμοποιηθεί και για την πιστοποίηση της ταυτότητας του αποστολέα σε συνδυασμό με το Authentication Header (AH). Υπάρχει η δυνατότητα το ESP να ρυθμιστεί έτσι ώστε να κρυπτογραφεί ολόκληρο το πακέτο δεδομένων ή μόνο τα δεδομένα χωρίς τις κεφαλίδες. Στο σχήμα που ακολουθεί βλέπουμε πως το ESP ενθυλακώνεται σε ένα IPv4 πακέτο, ποια κομμάτια κρυπτογραφούνται και ποια αυθεντικοποιούνται. 222

223 Σχήμα 4 2. Εισαγωγή ESP σε ένα IPv4 πακέτο Είναι σημαντικό να σημειωθεί ότι το AH αυθεντικοποιεί την κεφαλίδα IP ενώ το ESP πιστοποιεί την ταυτότητα του μηνύματος (δεδομένα). Ωστόσο όπως προείπαμε τόσο το AH όσο και το ESP πρέπει να ρυθμιστούν ώστε να χρησιμοποιούν συγκεκριμένο αλγόριθμο κρυπτογράφησης για τα δεδομένα και συγκεκριμένο αλγόριθμο κατακερματισμού για την εξασφάλιση της ακεραιότητας αυτών Πρωτόκολλο AH Το πρωτόκολλο αυτό χρησιμοποιείται όταν πρέπει να προστατευτούν η ακεραιότητα και αυθεντικότητα του πακέτου ΙΡ ή του περιεχομένου του. Το πρωτόκολλο ΑΗ παρέχει μια επιπλέον επικεφαλίδα μεταξύ των επικεφαλίδων των επιπέδων ΙΡ και μεταφοράς, η οποία περιέχει κάποια δεδομένα αυθεντικοποίησης, τα οποία ο αποδέκτης επαληθεύει, ώστε να διαπιστώσει αν ο αποστολέας ήταν πράγματι αυτός που ισχυρίζεται πως ήταν. Για το σκοπό αυτό χρησιμοποιείται μια μονόδρομη συνάρτηση κατακερματισμού (hash function), όπως η MD5 ή o SHA. Ο υπολογισμός και η επαλήθευση των δεδομένων με τον τρόπο αυτό γίνονται πολύ αποτελεσματικότερα απ ό,τι αν κρυπτογραφούσαμε και αποκρυπτογραφούσαμε όλο το πακέτο. Στο σχήμα φαίνεται η δομή της επικεφαλίδας αυτής και η θέση της μέσα σε ένα πακέτο IPv6. Κάθε γραμμή της επικεφαλίδας αντιστοιχεί σε λέξη 32 bits. 223

224 Σχήμα 4 3. Δομή της κεφαλίδας AH και θέση της σε ένα IPv6 πακέτο Το πεδίο Next header (μήκους 8 bits) χρησιμοποιείται για την αναγνώριση του τύπου των δεδομένων που ακολουθούν την επικεφαλίδα αυθεντικοποίησης. Το πεδίο Payload length (μήκους 8 bits) καθορίζει το μήκος της επικεφαλίδας αυθεντικοποίησης σε λέξεις των 32 bits, μειωμένο κατά 2. Για παράδειγμα, αν η τιμή αυθεντικοποίησης είναι μήκους 96 bits, το πραγματικό μήκος της επικεφαλίδας θα είναι 6, αλλά η τιμή του πεδίου αυτού θα είναι 4. Η τιμή 2 σημαίνει ότι δεν χρησιμοποιείται αλγόριθμος αυθεντικοποίησης. Το πεδίο Reserved (μήκους 16 bits) είναι δεσμευμένο για μελλοντική χρήση. Το πεδίο Security parameter index (SPI) (μήκους 32 bits) καθορίζει τη σύναψη ασφάλειας του πακέτου. Η τιμή 0 σημαίνει ότι δεν υπάρχει σύναψη ασφάλειας. Το πεδίο Authentication data περιέχει ένα μεταβλητό πλήθος λέξεων μήκους 32 bits που περιγράφουν τα δεδομένα αυθεντικοποίησης, π.χ. έναν κώδικα αυθεντικοποίησης μηνύματος ή μια ψηφιακή υπογραφή. Για να πιστοποιηθεί η ταυτότητα ενός πακέτου, ο αποστολέας πρέπει πρώτα να εντοπίσει μια σύναψη ασφάλειας, καθορίζοντας παραμέτρους όπως ο αλγόριθμος ελέγχου ακεραιότητας, το κρυπτογραφικό κλειδί και το μήκος των δεδομένων αυθεντικοποίησης. Κανονικά, η ταυτότητα του χρήστη, η διεύθυνση προορισμού και ο δείκτης παραμέτρων ασφάλειας (SPI) καθορίζουν ποια σύναψη ασφάλειας θα χρησιμοποιηθεί. Συνήθως, για την πιστοποίηση της ταυτότητας χρησιμοποιείται ένας αλγόριθμος κατακερματισμού. Οι προκαθορισμένες επιλογές που πρέπει να υποστηρίζονται από όλες τις υλοποιήσεις IPsec είναι με τον MD5 και τον SHA 1. Ωστόσο, μπορούν να χρησιμοποιηθούν και άλλοι αλγόριθμοι ελέγχου ακεραιότητας. Ο υπολογισμός των δεδομένων αυθεντικοποίησης θεωρεί τα πεδία του πακέτου, όπως αυτά εμφανίζονται στην πλευρά του δέκτη. Μερικά πεδία θα αλλάξουν κατά τη μετάδοση, όπως το hop limit στην επικεφαλίδα ΙΡ. Μερικά πεδία δεν είναι ακόμη γνωστά, όπως τα δεδομένα αυθεντικοποίησης στην επικεφαλίδα αυθεντικοποίησης. Τα πεδία αυτά γεμίζουν με μηδενικά κατά τον υπολογισμό του κώδικα αυθεντικοποίησης μηνύματος. Ο κώδικας αυτός εισάγεται στη συνέχεια στο κατάλληλο πεδίο δεδομένων της επικεφαλίδας αυθεντικοποίησης. 224

225 Ο δέκτης του πακέτου αναφέρεται στο SPI και στη διεύθυνση προορισμού για να εντοπίσει τη σχετική σύναψη ασφάλειας και να επαληθεύσει τα δεδομένα αυθεντικοποίησης. Αν αποτύχει η αυθεντικοποίηση, η αποτυχία πρέπει να καταγραφεί και το πακέτο να απορριφθεί. Σ αυτόν τον αλγόριθμο, κάποια πεδία της επικεφαλίδας ΙΡ δεν καλύπτονται από το μηχανισμό προστασίας. Για περισσότερη προστασία, η λειτουργία σήραγγας που θα εξετάσουμε στη συνέχεια, προσθέτει μια εξωτερική ΙΡ επικεφαλίδα που περιέχει κάποια άλλη διεύθυνση ΙΡ, συνήθως τη διεύθυνση ενός τοίχους προστασίας (firewall). Η εσωτερική επικεφαλίδα ΙΡ περιέχει τις αρχικές διευθύνσεις προορισμού και προέλευσης και προστατεύεται πλήρως από την επικεφαλίδα αυθεντικοποίησης, όπως φαίνεται στο Σχήμα 4.4. Σχήμα 4 4. Δομή της εξωτερικής κεφαλίδας IP και θέση της σε ένα IPv6 πακέτο 14.4 Πρωτόκολλο ESP Το πρωτόκολλο αυτό χρησιμοποιείται για να κρυπτογραφήσει και να ενσωματώσει είτε μόνο το περιεχόμενο επιπέδου μεταφοράς είτε ολόκληρο το πακέτο IP, ανάλογα με τον τρόπο χρήσης, όπως θα δούμε αμέσως μετά. Το υποσύστημα υλοποίησης ΙΡ πρέπει να περιέχει μια επικεφαλίδα ΙΡ και να κρυπτογραφεί τμήματα του πακέτου ΙΡ, αντίστοιχα. Η κρυπτογράφηση γίνεται στην πλευρά του αποστολέα και η αποκρυπτογράφηση στην πλευρά του δέκτη. Η ακριβής μορφή των δεδομένων περιεχομένου εξαρτάται από τον συγκεκριμένο αλγόριθμο κρυπτογράφησης και το συγκεκριμένο μετασχηματισμό που χρησιμοποιείται. Το ESP προστατεύει την εμπιστευτικότητα. Ανάλογα με τον αλγόριθμο κρυπτογράφησης που χρησιμοποιείται, μπορεί επίσης να προστατεύει την ακεραιότητα και την αυθεντικότητα. Η επικεφαλίδα ESP συνήθως τοποθετείται μπροστά από τα κρυπτογραφημένα δεδομένα, όπως φαίνεται στο Σχήμα 4.5, και περιέχει το SPI. Η δομή της έχει ως εξής: Το πεδίο Security Parameter Index (μήκους 32 bits) αναφέρεται στο δείκτη παραμέτρων ασφάλειας του δέκτη. Το πεδίο Initialization Vector αποτελείται από μεταβλητό πλήθος λέξεων μήκους 32 bits, των οποίων το ακριβές πλήθος ορίζεται ως παράμετρος της σύναψης ασφάλειας. Το περιεχόμενο του πεδίου αυτού είναι κανονικά το αποτέλεσμα μιας γεννήτριας τυχαίων αριθμών. Το πεδίο Payload Data περιέχει τα κρυπτογραφημένα δεδομένα. Το πεδίο Padding (μεταβλητού μήκους) συνήθως γεμίζει με τυχαία bits. Το μήκος του πεδίου επιλέγεται έτσι ώστε το συνολικό μήκος των πεδίων Payload Data και Padding mod 8 να ισούται με 6. Το πεδίο Pad Length (μήκους 8 bits) καθορίζει το μήκος του πεδίου Padding. Το πεδίο Payload Type (μήκους 8 bits) περιέχει τον κωδικό του πρωτοκόλλου των δεδομένων του περιεχομένου. 225

226 Σχήμα 4 5. Δομή της κεφαλίδας ESP και θέση της σε ένα IPv6 πακέτο Πριν κρυπτογραφήσουμε ένα πακέτο, ο πομπός εντοπίζει μια σύναψη ασφάλειας για να καθορίσει ποιον αλγόριθμο κρυπτογράφησης και ποιο κλειδί θα χρησιμοποιήσει. Η σύναψη αυτή είναι διαφορετική από εκείνη που χρησιμοποιείται με το ΑΗ Ο πομπός έχει στη συνέχεια δύο επιλογές τρόπου λειτουργίας του ESP: Σε λειτουργία μεταφοράς (transport mode), ένα πλαίσιο από ανώτερο πρωτόκολλο, όπως, π.χ., από το TCP ή το UDP, ενσωματώνεται στο ESP. Η επικεφαλίδα ΙΡ δεν κρυπτογραφείται. Η λειτουργία αυτή παρέχει προστασία των πακέτων που μεταδίδονται μεταξύ δύο κόμβων απ άκρη σε άκρη. Σε λειτουργία σήραγγας (tunnel mode), ολόκληρο το ΙΡ πακέτο ενσωματώνεται στο ESP. Αυτό το ESP μεταδίδεται μέσα σε ένα άλλο πακέτο ΙΡ με μη κρυπτογραφημένες επικεφαλίδες. Επομένως, η λειτουργία αυτή μπορεί να ονομαστεί «ΙΡ μέσα στο ΙΡ». Ο δέκτης του πακέτου εντοπίζει τη σχετική σύναψη ασφάλειας και αποκρυπτογραφεί το κρυπτογραφημένο περιεχόμενο. Αν η αποκρυπτογράφηση αποτύχει, το γεγονός καταγράφεται και το πακέτο απορρίπτεται Κρυπτογράφηση δεδομένων Οι αλγόριθμοι κρυπτογράφησης που υποστηρίζονται από το IPSec είναι : Data Encryption Algorithm (DES): Ο DES είναι ένας συμμετρικός αλγόριθμος κρυπτογράφησης των 56bit. Αν και ακόμα χρησιμοποιείται ευρέος ή κρυπτογράφηση που κάνει έχει ξεπεραστεί και αν τα δεδομένα που μεταφέρονται είναι κρίσιμα θα ήταν καλύτερα να μην χρησιμοποιηθεί. Σήμερα χρησιμοποιείται κυρίως για VPN συνδέσεις σε τοποθεσίες εκτός της Αμερικής όπου το κόστος για υψηλότερη κρυπτογράφηση είναι απαγορευτικό. 226

227 Triple Data Encryption Algorithm (3DES): Ο 3DES είναι ένας συμμετρικός αλγόριθμος των 168bit και αποτελεί παραλλαγή του DES. Οι δρομολογητές Cisco υποστηρίζουν επιπλέον δύο αλγορίθμους κατακερματισμού Message Digest 5 (MD5): Η έξοδος του MD5 είναι 128bit. Ο MD5 θεωρείται ταχύτερος λόγω του μικρότερου συγχωνευμένου μηνύματος που παράγει. Secure Hash Algorithm (SHA): Η έξοδος του sha 1 είναι 160bit. Για αυτό το λόγο θεωρείται περισσότερο ασφαλής από τον MD5. Ένας αλγόριθμος κατακερματισμού (hash algorithm) παίρνει σαν είσοδο ένα μήνυμα οποιουδήποτε μήκους και με τη χρήση ενός μετασχηματισμού επιστρέφει στην έξοδο μια ακολουθία bits σταθερού μήκους. Η συνάρτηση αυτή που συχνά ονομάζεται και συγχώνευση μηνύματος (message digest, MD) έχει τρεις βασικές ιδιότητες: Με δεδομένο το μήνυμα P, είναι εύκολο να υπολογιστεί το MD ( P). Με δεδομένο το MD ( P), είναι ουσιαστικά απίθανο να βρεθεί το P. Κανείς δεν μπορεί να παράγει δύο μηνύματα που να έχουν το ίδιο message digest. Για να ικανοποιείται το τρίτο κριτήριο η συνάρτηση κατακερματισμού πρέπει να έχει μήκος τουλάχιστον 128 bits. Ο υπολογισμός του συγχωνευμένου μηνύματος από ένα κομμάτι καθαρού κειμένου είναι αρκετά γρηγορότερος από ότι η κρυπτογράφηση του καθαρού κειμένου με έναν αλγόριθμο δημοσίου κλειδιού, για το λόγο αυτό οι συγχωνεύσεις μηνυμάτων μπορούν να χρησιμοποιηθούν ώστε να επιταχύνουν τους αλγόριθμους ψηφιακών υπογραφών Internet Key Exchange (IKE) Το IPSP υποθέτει ότι υπάρχουν συνάψεις ασφάλειας μεταξύ των οντοτήτων που επιθυμούν να χρησιμοποιήσουν το IPsec. Ο σκοπός του πρωτοκόλλου IKMP είναι να διαπραγματευτεί τις κρυπτογραφικές δυνατότητες και των δύο μερών, ώστε να συμφωνήσουν σε αλγόριθμους και παραμέτρους και να ανταλλάξουν κλειδιά. Με άλλα λόγια, το πρωτόκολλο εγκαθιστά και συντηρεί τις συνάψεις ασφάλειας που θα χρησιμοποιήσουν τα πρωτόκολλα AH και ESP. Το IKE αποτελεί το πρωτόκολλο που είναι υπεύθυνο για την διαπραγμάτευση. Το όνομά του προέρχεται από το ISAKMP/Oakley. Η τρέχουσα έκδοση του πρωτοκόλλου συνδυάζει το πρωτόκολλο Internet Security Association Key Management Protocol (ISAKMP), που αναπτύχθηκε από την NSA, και το πρωτόκολλο καθορισμού κλειδιού Oakley, που αναπτύχθηκε από το Πανεπιστήμιο της Αριζόνα. Το ISAKMP χρησιμοποιείται για τη 227

228 διαπραγμάτευση αμοιβαία υποστηριζόμενων αλγόριθμων και μαθηματικών δομών για την ανταλλαγή κλειδιών Diffie Hellman καθώς και για το επακόλουθο βήμα της πιστοποίησης ταυτότητας. Το IKE λειτουργεί πάνω από την UDP 500 πόρτα και διαπραγματεύεται την ανταλλαγή κλειδιών ανάμεσα στους σταθμούς ώστε να εγκατασταθεί μια σύναψη ασφαλείας. Η διαδικασία αυτή απαιτεί, τα συστήματα IPSec να πιστοποιήσουν αρχικά την ταυτότητα τους το ένα στο άλλο και στη συνέχεια να αποκτήσουν τα διαμοιραζόμενα κλειδιά. Αυτή η διαπραγμάτευση ονομάζεται Φάση 1 και κατά τη διάρκειά της γίνεται η συμφωνία για τα κλειδιά Diffie Hellman. Φάση 1. Κατά τη διάρκειά της η IKE δημιουργεί μια σύναψη ασφαλείας μεταξύ των δύο μερών, δηλαδή ένα ασφαλή κανάλι επικοινωνίας. Η IKE πιστοποιεί την ταυτότητα των σταθμών και των μηνυμάτων που ανταλλάσουν μεταξύ τους. Η φάση 1 μπορεί να έχει δύο καταστάσεις: την κύρια βασική (main) και την επιθετική (aggressive). Ο χρήστης δεν έχει τη δυνατότητα να επιλέξει την κατάσταση. Η κατάσταση επιλέγεται αυτόματα από το δρομολογητή και εξαρτάται από τις παραμέτρους που χρησιμοποιούνται για τη σύναψη ασφαλείας μεταξύ των δύο σταθμών. Γενικότερα η aggressive mode χρησιμοποιείται σε σπάνιες και ακραίες καταστάσεις. Η κύρια βασική κατάσταση (main mode) διαπραγμάτευσης αποτελείται από έξι ανταλλαγές μηνυμάτων. Οι πρώτες δύο απλά διαπραγματεύονται την πολιτική ανταλλαγής. Οι επόμενες δύο ανταλλάσουν τις τιμές των δημόσιων Diffie Hellman κλειδιών και ένα bit nonce (ένας τυχαίος αριθμός ή μια ακολουθία από bit που χρησιμοποιείται ως κωδικός μιας χρήσης) Οι τελευταίες δύο πιστοποιούν την αυθεντικότητα της ανταλλαγής των κλειδιών. Η επιθετική κατάσταση (aggressive mode) αποτελείται από τρία μηνύματα Τα πρώτα δύο διαπραγματεύονται την πολιτική, ανταλλάσσουν τις τιμές των δημοσίων κλειδιών και πιστοποιούν τον δέκτη. Το τρίτο μήνυμα πιστοποιεί τον αποστολέα και για αυτό αναβάλλεται η αποστολή του μέχρι η διαπραγμάτευση να ολοκληρωθεί. Το μήνυμα δεν αποστέλλεται ως καθαρό κείμενο. Οι σταθμοί που θέλουν να συμμετάσχουν σε μια IPSec σύνοδο πρέπει να πιστοποιήσουν τον εαυτό τους στους άλλους πριν από την ΙΚΕ. Η πιστοποίηση της ταυτότητας των σταθμών συμβαίνει κατά τη διάρκεια της φάσης 1. Το πρωτόκολλο IKE υποστηρίζει πολλαπλές μεθόδους πιστοποίησης. Οι δύο οντότητες θα πρέπει να συμφωνήσουν σε ένα πρωτόκολλο πιστοποίησης κατά τη διάρκεια της διαπραγμάτευσης. Η IKE για τα προϊόντα της Cisco υποστηρίζει τρεις μεθόδους πιστοποίησης των IPSec σταθμών. 228

229 Preshared keys: μια τιμή κλειδιού που τοποθετείται σε κάθε σταθμό με μη αυτοματοποιημένο τρόπο και χρησιμοποιείται για την πιστοποίηση των σταθμών (γίνεται διάκριση κεφαλαίων μικρών) RSA signatures: Ο RSA είναι ένα κρυπτογραφικό σύστημα δημοσίου κλειδιού που χρησιμοποιεί ψηφιακά πιστοποιητικά πιστοποιημένα με μια RSA υπογραφή RSA encrypted nonces: Χρησιμοποιεί RSA κρυπτογραφία για να κρυπτογραφήσει την τιμή του nonce Σχήμα 4 6. Ανταλλαγή μηνυμάτων για τη Φάση 1 της διαπραγμάτευσης 229

230 Φάση 2. Έπειτα από την ολοκλήρωση της πρώτης φάσης η IKE παρέχει ένα ασφαλή κανάλι για την ολοκλήρωση της φάσης 2. Αυτό χρησιμοποιείται για να εξάγει υλικό σχετικά με τα κλειδιά και να διαπραγματευτεί πολιτικές για μη ISAKMP συνάψεις ασφαλείας όπως είναι η IPSec. Η IKE εκτελεί τις ακόλουθες λειτουργίες και παράγει τα παρακάτω οφέλη: Αυτόματα διαπραγματεύεται τις παραμέτρους ασφαλείας για συνάψεις μεταξύ των σταθμών, απαλείφοντας την υποχρέωση για χειροκίνητη ρύθμιση κάθε σταθμού Παρέχει τη δυνατότητα ρύθμισης της διάρκειας ζωής των συνάψεων ασφαλείας Επιτρέπει το κλειδί κρυπτογράφησης να μπορεί να αλλάζει δυναμικά κατά τη διάρκεια της IPSec συνόδου Προσφέρει προστασία από επιθέσεις επανάληψης για τις IPSec υπηρεσίες Προσφέρει δυναμική πιστοποίηση των συνάψεων ασφαλείας των σταθμών Παρέχει υποστήριξη για αρχές πιστοποίησης Επιτρέπει την κλιμακούμενη (βαθμιαία) υλοποίηση του IPSec 14.7 Καταστάσεις λειτουργίας του IPSec Η διάταξη της κεφαλίδας του AH και ESP και οι τιμές που περιλαμβάνουν σε κάθε πακέτο διαφέρουν ανάλογα με τον τρόπο με τον οποίο χρησιμοποιούνται. Το IPSec έχει δύο καταστάσεις λειτουργίας: τη λειτουργία σήραγγας (tunnel mode) και τη λειτουργία μεταφοράς (transport mode). Λειτουργία μεταφοράς (Transport mode). Η λειτουργία μεταφοράς χρησιμοποιείται όταν και τα δύο μέρη είναι σταθμοί εργασίας. Μπορεί επίσης να χρησιμοποιηθεί όταν το ένα μέρος είναι σταθμός εργασίας και το άλλο πύλη (gateway) αν η πύλη συμπεριφέρεται ως σταθμός. Η λειτουργία μεταφοράς έχει το πλεονέκτημα ότι προσθέτει μόνο λίγα bit στην κεφαλίδα κάθε πακέτου. Όταν χρησιμοποιείται η λειτουργία μεταφοράς η κεφαλίδα δεν προστατεύεται. Αυτή η ρύθμιση επιτρέπει στις πραγματικές διευθύνσεις προέλευσης και προορισμού να είναι ορατές από ενδιάμεσες συσκευές που υλοποιούνται και βασίζονται στα περιεχόμενα της κεφαλίδας IP. Πλεονέκτημα της μη αλλαγής της αρχικής κεφαλίδας είναι ότι η ποιότητα υπηρεσίας (QoS) μπορεί να επεξεργαστεί από τις πληροφορίες που βρίσκονται στην IP κεφαλίδα. Μειονέκτημα αποτελεί το γεγονός ότι μπορεί να γίνει ανάλυση της κίνησης των πακέτων. Η λειτουργία μεταφοράς μπορεί να χρησιμοποιηθεί μόνο αν και οι δύο τελικές συσκευές είναι αυτές που προσφέρουν την IPSec προστασία. Για παράδειγμα η λειτουργία μεταφοράς δε μπορεί να χρησιμοποιηθεί αν μια ενδιάμεση συσκευή όπως ένας δρομολογητής ή ένα τείχος προστασίας παρέχει την IPSec προστασία. 230

231 Όταν χρησιμοποιείται η κεφαλίδα AH στη λειτουργία μεταφοράς, οι AH υπηρεσίες προστατεύουν την εξωτερική IP κεφαλίδα σε συνδυασμό με τα δεδομένα. Προστατεύει δηλαδή όλα τα πεδία στην κεφαλίδα που δεν αλλάζουν κατά τη λειτουργία μεταφοράς. Η AH κεφαλίδα τοποθετείται μετά την κεφαλίδα του IP και πριν του ESP αν υπάρχει καθώς και των άλλων πρωτοκόλλων. Όταν χρησιμοποιείται η ESP κεφαλίδα στη λειτουργία μεταφοράς τα δεδομένα του IP πακέτου κρυπτογραφούνται. Ωστόσο η αρχική κεφαλίδα δεν κρυπτογραφείται. Η ESP κεφαλίδα τοποθετείται μετά την κεφαλίδα του IP και πριν τις κεφαλίδες των ανώτερων πρωτοκόλλων όπως του TCP. Τα πρωτόκολλα των ανωτέρων επιπέδων κρυπτογραφούνται και αυθεντικοποιούνται μαζί με την ESP κεφαλίδα. Η ESP δεν πιστοποιεί την IP κεφαλίδα αλλά ούτε και πληροφορίες των ανωτέρων επιπέδων όπως την TCP πόρτα της κεφαλίδας του επιπέδου μεταφοράς. Λειτουργία Σήραγγας (Tunnel mode). Η λειτουργία σήραγγας χρησιμοποιείται μεταξύ δύο κόμβων μετάβασης όπως για παράδειγμα δύο PIX firewall ή ανάμεσα σε ένα κόμβο μετάβασης (πύλη) και ένα σταθμό εργασίας. Στη λειτουργία σήραγγας ολόκληρο το αρχικό IP πακέτο κρυπτογραφείται και γίνεται το payload ενός καινούργιου IP πακέτου. Η νέα IP κεφαλίδα έχει τη διεύθυνση προορισμού του IPSec σταθμού του. Αυτό επιτρέπει τη δημιουργία σήραγγας για IP πακέτα από ένα προστατευόμενο σταθμό μέσω ενός δρομολογητή ή τείχος προστασίας σε ένα άλλο δρομολογητή η firewall, που και τα δύο μπορούν να συμπεριφέρονται ως ασφαλείς πύλες μεταφοράς δεδομένων (gateways). Το πλεονέκτημα αυτής της λειτουργίας είναι ότι οι ενδιάμεσες συσκευές όπως οι δρομολογητές, μπορούν να κρυπτογραφούν χωρίς να χρειάζεται καμιά αλλαγή του συστήματος. Όλη η πληροφορία του αρχικού πακέτου συμπεριλαμβανομένων των κεφαλίδων είναι προστατευμένη. Η λειτουργία σήραγγας προστατεύει από ανάλυση της κίνησης των πακέτων γιατί η αρχική πληροφορία μαζί με τις κεφαλίδες του IP κρυπτογραφούνται. Όταν χρησιμοποιείται η κεφαλίδα AH στη λειτουργία σήραγγας, η ταυτότητα της αρχικής κεφαλίδας πιστοποιείται ενώ η νέα IP κεφαλίδα προστατεύεται με τον ίδιο τρόπο που γίνεται στη λειτουργία μεταφοράς. Όταν χρησιμοποιείται η ESP κεφαλίδα στη λειτουργία σήραγγας, η αρχική IP κεφαλίδα προστατεύεται διότι ολόκληρο το IP πακέτο κρυπτογραφείται. Όταν απαιτείται και πιστοποίηση ταυτότητας αλλά και κρυπτογράφηση, η κρυπτογράφηση προηγείται ως διαδικασία γιατί με αυτόν τον τρόπο γίνεται γρηγορότερος ο εντοπισμός και η απόρριψη πακέτων που έχουν επαναποσταλεί μέσω επιθέσεων επανάληψης. Όταν χρειάζεται δεδομένα από μια γνωστή έμπιστη πηγή να μεταφερθούν με ακεραιότητα και τα δεδομένα δε χρειάζονται εμπιστευτικότητα χρησιμοποιείται το πρωτόκολλο AH. Το AH δεν προστατεύει από την ακρόαση του καναλιού και από το να μπορέσει κάποιος να δει την κεφαλίδα και τα δεδομένα. Ωστόσο αυτά δε μπορούν να μεταβληθούν χωρίς να γίνει αντιληπτή η μεταβολή που έχει ως συνέπεια την απόρριψη των πακέτων. 231

232 Αν είναι απαραίτητη η εμπιστευτικότητα χρησιμοποιείται το ESP που επιπλέον παρέχει και πιστοποίηση ταυτότητας. Ωστόσο, όταν χρησιμοποιείται σε λειτουργία μεταφοράς, η εξωτερική αρχική IP κεφαλίδα δεν προστατεύεται. Στη λειτουργία σήραγγας δεν προστατεύεται η νέα IP κεφαλίδα. Κατά την IPSec χρήση συνήθως έχουμε λειτουργία σήραγγας. Αυτή επιτρέπει σε μια διαδικτυακή συσκευή όπως είναι ο ένας δρομολογητής να ενεργεί ως IPsec Proxy. Αν απαιτείται προστασία και με το AHP και με το ESP, τα επικοινωνούντα υποσυστήματα υλοποίησης IPsec πρέπει να εγκαταστήσουν και να συντηρήσουν δύο συνάψεις ασφάλειας. Ομοίως, προκειμένου να επιτευχθεί αμφίδρομη επικοινωνία μεταξύ δύο κεντρικών συστημάτων, το υποσύστημα υλοποίησης IPsec πρέπει να εγκαταστήσει και να συντηρήσει δύο συνάψεις ασφάλειας, μία για κάθε κατεύθυνση επικοινωνίας. Η βάση δεδομένων πολιτικής ασφάλειας, την οποία εγκαθιστά και συντηρεί ένας χρήστης ή ένας διαχειριστής συστήματος μέσα στο υποσύστημα υλοποίησης IPsec, περιέχει απαιτήσεις για το συγκεκριμένο επίπεδο προστασίας. Ο συγκεκριμένος τρόπος επεξεργασίας των πακέτων κάθε εφαρμογής επιλέγεται ταυτίζοντας πληροφορίες των επικεφαλίδων επιπέδου ΙΡ και επιπέδου μεταφοράς (διευθύνσεις ΙΡ πομπού και δέκτη, αριθμοί θυρών κτλ.) με εγγραφές της βάσης. Μια σύναψη ασφάλειας είτε αποδέχεται τις υπηρεσίες ασφάλειας IPsec κάθε πακέτου, είτε απορρίπτει το πακέτο, είτε του επιτρέπει να παρακάμψει πλήρως τα πρωτόκολλα IPsec. Κάθε σύναψη ασφάλειας αναγνωρίζεται μοναδικά από μια τριάδα αριθμών, που αποτελείται από ένα δείκτη παραμέτρων ασφάλειας, μια ΙΡ διεύθυνση προορισμού και ένα όνομα, που καθορίζει το AH ή το ESP ως πρωτόκολλο ασφάλειας. Η βάση δεδομένων σύναψης ασφάλειας περιέχει μια εγγραφή για κάθε σύναψη, που ορίζει τις παραμέτρους ασφάλειάς της Άσκηση. Ρύθμιση του IPSec Στην παρακάτω άσκηση, οι εκπαιδευόμενοι θα προσπαθήσουν να ρυθμίσουν το δρομολογητή για τη χρήση του IPSec με διαμοιραζόμενα κλειδιά (Pre Shared Keys). Ποιο συγκεκριμένα σε αυτό το εργαστήριο θα κάνουν τις ακόλουθες εργασίες: Θα δημιουργήσουν ένα Virtual Private Network (VPN) Θα ρυθμίσουν τη φάση 1 του Internet Key Exchange (IKE) Θα ρυθμίσουν τις παραμέτρους του IKE και θα επαληθεύσουν την ασφάλεια του IKE και τις ρυθμίσεις του IPSec Θα ρυθμίσουν τις παραμέτρους του IPSec Θα επαληθεύσουν και δοκιμάσουν την επικοινωνία μέσω του IPSec 232

233 Σενάριο Η εταιρία XYZ έχει Cisco δρομολογητές σε δύο δικτυακές τοποθεσίες και επιθυμεί να δημιουργήσει ένα ασφαλές VPN πάνω από το Internet ανάμεσα στις δύο δικτυακές τοποθεσίες χρησιμοποιώντας το IPSec. Η πιστοποίηση της αυθεντικότητας θα γίνει με διαμοιραζόμενα κλειδιά. Τοπολογία Το σχήμα που ακολουθεί απεικονίζει την τοπολογία του δικτύου. Σχήμα 4 7. Τοπολογία του δικτύου για το σενάριο εφαρμογής του IPSec Εργαλεία Πηγές Για την ολοκλήρωση του εργαστηρίου είναι απαραίτητα: Θεωρητικό υπόβαθρο πάνω στη λειτουργία του IPS Η τοπολογία του δικτύου 233

234 Ένα καλώδιο κονσόλας για το δρομολογητή Το HyperTerminal των windows ή κάποιος telnet client Επιπλέον πληροφορίες για τη ρύθμιση των παραμέτρων μπορείτε να βρείτε στο : Λίστα εντολών IOS που θα χρειαστούμε Για την ολοκλήρωση του εργαστηρίου θα χρειαστούμε τις παρακάτω εντολές του IOS. Στον πίνακα που ακολουθεί δίνεται μια περιγραφή της σύνταξης των εντολών καθώς και μια περιγραφή της λειτουργίας τους. Εντολή authentication {rsa-sig rsa-encr pre-share} crypto ipsec transform-settransformset-name transform1 [transform2[ transform3]] crypto isakmp enable crypto isakmp key key address peer - address crypto isakmp policy priority crypto map map-name crypto map map-name seq-num[ipsecisakmp] hash {sha md5} match address [access-list-id name] mode [tunnel transport] Περιγραφή Προσδιορισμός της μεθόδου πιστοποίησης αυθεντικότητας σε μια IKE. Ορίζει ένα σύνολο μετασχηματισμών, που είναι ένας αποδεκτός συνδυασμός πρωτοκόλλων ασφαλείας και αλγορίθμων και εισέρχεται στην κατάσταση ρυθμίσεων αυτών. Ενεργοποιεί στο δρομολογητή το IKE/ISAKMP. Ρυθμίζει τα διαμοιραζόμενα κλειδιά και τις διευθύνσεις των σταθμών. Ορίζει μια πολιτική IKE και εισέρχεται στην κατάσταση ρυθμίσεων της ISAKMP πολιτικής. Εφαρμόζει ένα crypto map που είχε οριστεί νωρίτερα σε μια διασύνδεση. Δημιουργεί ή τροποποιεί μια δυναμική crypto map καταχώρηση μπαίνοντας στην κατάσταση ρυθμίσεων του crypto map. Ορίζει τον αλγόριθμο κατακερματισμού που θα χρησιμοποιηθεί για την ανταλλαγή κλειδιών από την IKE. Ορίζει μια εκτεταμένη λίστα πρόσβασης για μια crypto map καταχώρηση. Ορίζει τον τρόπο λειτουργίας του IPSec. 234

235 Βήμα 1. Προετοιμασία για να ρυθμίσουμε την υποστήριξη για VPN Για να λειτουργήσουμε το IPSec χρειάζεται να δημιουργήσουμε ένα κανάλι επικοινωνίας μεταξύ των δύο δρομολογητών. Αυτό το κάνουμε δημιουργώντας ένα VPN: a. Καθορίστε τις πολιτικές για το IKE και το IPSec. Σε αυτό το εργαστήριο χρησιμοποιείστε τις προκαθορισμένες τιμές εκτός και αν σας ζητηθεί κάτι το διαφορετικό. Οι παρακάτω αποτελούν τις πολιτικές που χρησιμοποιούνται στους δρομολογητές cisco: Η προκαθορισμένη IKE πολιτική χρησιμοποιεί pre shared κλειδιά. Η πολιτική του IPSec είναι να χρησιμοποιεί το Encapsulating Security Payload (ESP) με κρυπτογράφηση DES (Data Encryption Standard). Η πολιτική του IPSec είναι να κρυπτογραφεί όλη την επικοινωνία (κίνηση) ανάμεσα στους δρομολογητές. b. Βεβαιωθείτε ότι υπάρχει επικοινωνία μεταξύ των δύο δρομολογητών RouterP>enable password:cisco RouterP#ping Q.1 (όπου P = pod number, Q = peer pod number) Βήμα 2. Ρυθμίσεις παραμέτρων για το IKE Ακολουθείστε τα επόμενα βήματα για να ρυθμίσετε το IKE στο δρομολογητή της Cisco: Παρακολουθήστε πως αλλάζει το σημάδι προτροπής καθώς μπαίνουμε στις επιμέρους καταστάσεις ρυθμίσεων. Χρησιμοποιείστε το για να ξεχωρίσετε την ενεργή σε κάθε περίπτωση κατάσταση ρυθμίσεων. a. Βεβαιωθείτε ότι βρίσκεστε στην κατάσταση γενικής διαχείρισης. RouterP#configure terminal b. Ενεργοποιήστε το IKE/ISAKMP στο δρομολογητή. RouterP(config)#crypto isakmp enable c. Δημιουργείστε την IKE πολιτική ώστε να χρησιμοποιεί pre shared κλειδιά ακολουθώντας τα επόμενα βήματα: i. Ορίστε την προτεραιότητα και μπείτε στην κατάσταση ρυθμίσεων του isakmp. RouterP(config)#crypto isakmp policy 110 ii. Ορίστε η πιστοποίηση της ταυτότητας να χρησιμοποιεί διαμοιραζόμενα κλειδιά. RouterP(config-isakmp)#authentication pre-share 235

236 iii. Ορίστε τον αλγόριθμο κρυπτογράφησης που θα χρησιμοποιηθεί στην IKE. RouterP(config-isakmp)#encryption des iv. Ορίστε την κατηγορία ασφάλειας για τον Diffie Hellman. RouterP(config-isakmp)#group 1 v. Ορίστε τον αλγόριθμο κατακερματισμού (hash algorithm) που θα χρησιμοποιηθεί. RouterP(config-isakmp)#hash md5 vi. Ορίστε στην IKE το χρόνο ζωής για τη σύναψη ασφαλείας (SA) που θα δημιουργηθεί. Μικρή τιμή σημαίνει ότι θα γίνεται συχνότερα η διαπραγμάτευση. RouterP(config-isakmp)#lifetime vii. Βγείτε από την κατάσταση ρυθμίσεων για το isakmp. RouterP(config-isakmp)#exit viii. Δημιουργείστε το διαμοιραζόμενο κλειδί για την επικοινωνία με το δρομολογητή. RouterP(config)#crypto isakmp key cisco1234 address Q.1 ix. Μεταβείτε στο προνομιακό επίπεδο διαχείρισης. RouterP(config)#exit x. Ελέγξτε την πολιτική που δημιουργήσατε. RouterP#show crypto isakmp policy Protection suite of priority 110 encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: Pre-Shared Key Diffie-Hellman group: #1 (768 bit) lifetime: seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) lifetime: seconds, no volume limit Βήμα 3. Ρύθμιση των παραμέτρων του IPSec Ακολουθείστε τα επόμενα βήματα για να ρυθμίσετε το IPSec στο δρομολογητή. a. Βεβαιωθείτε ότι βρίσκεστε σε κατάσταση γενικής διαχείρισης. RouterP#configure terminal b. Δείτε τις δυνατές επιλογές για το crypto IPSec και απαντήστε στην επόμενη ερώτηση: RouterP(config)#crypto ipsec? Τι μπορούμε να ορίσουμε σε αυτό το επίπεδο; c. Ελέγξτε τις δυνατές επιλογές για το transform set και απαντήστε στην παρακάτω ερώτηση: 236

237 RouterP(config)#crypto ipsec transform-set? Μπορούμε να ρυθμίσουμε ένα transform set χωρίς πρώτα να το ονοματίσουμε; d. Ορίστε ένα transform set. Χρησιμοποιείστε τις παρακάτω παραμέτρους: Transform όνομα: MINE ESP πρωτόκολλο: des Λειτουργία (mode): tunnel RouterP(config)#crypto ipsec transform-set MINE esp-des e. Ορίστε το IPSec στη λειτουργία σήραγγας (tunnel mode). RouterP(cfg-crypto-trans)#mode tunnel f. Μεταβείτε στην προνομιακή κατάσταση. RouterP(cfg-crypto-trans)#^Z g. Ελέγξτε τις ρυθμίσεις. RouterP#show crypto ipsec transform-set MINE Transform set MINE: { esp-des } will negotiate = { Tunnel, }, h. Ρυθμίστε τις crypto λίστες πρόσβασης Ακολουθείστε τα επόμενα βήματα για να δημιουργήσετε τις crypto λίστες πρόσβασης. Δημιουργήστε μια λίστα πρόσβασης (ACL) και επιλέξτε την κυκλοφορία που θέλετε να προστατέψετε. Η ACL θα κρυπτογραφεί την κίνηση ανάμεσα στους δύο δρομολογητές. Χρησιμοποιείστε τις παρακάτω παραμέτρους: Traffic permitted: all Peer address: διεύθυνση της εξωτερικής διασύνδεσης του δρομολογητή ACL number: 102 Protocol: οποιοδήποτε Internet πρωτόκολλο i. Βεβαιωθείτε ότι βρίσκεστε σε κατάσταση γενικής διαχείρισης. RouterP#config terminal j. Ρυθμίστε τη λίστα πρόσβασης (ACL). RouterP(config)#access-list 102 permit ip host P.2 host Q.1 (όπου P = pod number, Q = peer s pod number) k. Ρύθμιση των crypto maps Ακολουθείστε τα επόμενα βήματα για να ρυθμίσετε ένα crypto map. Χρησιμοποιείστε τις παρακάτω παραμέτρους: 237

238 Όνομα map: MYMAP Αριθμός map: 10 Τρόπος ανταλλαγής κλειδιών: isakmp Σταθμός (Peer): Q.1 Transform set: MINE Match address: 102 l. Ορίστε το όνομα του map, τον αριθμό του και τον τρόπο ανταλλαγής κλειδιών που θα χρησιμοποιηθεί. RouterP(config)#crypto map MYMAP 10 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured. m. Ορίστε μια εκτεταμένη λίστα πρόσβασης (extended ACL) για χρήση με το map. RouterP(config-crypto-map)#match address 102 n. Καθορίστε το transform set που θα χρησιμοποιηθεί (αυτό που ορίσατε νωρίτερα). RouterP(config-crypto-map)#set transform-set MINE o. Ορίστε τον VPN σταθμό χρησιμοποιώντας την IP διεύθυνση του δρομολογητή. RouterP(config-crypto-map)#set peer Q.1 p. Βγείτε από την κατάσταση ρυθμίσεων του crypto map. RouterP(config-crypto-map)#exit Ακολουθήστε τα επόμενα βήματα για να εφαρμόσετε το crypto map στην κατάλληλη διασύνδεση του δρομολογητή. Χρησιμοποιήστε τις παρακάτω παραμέτρους: Διασύνδεση (Interface): FastEthernet 4 (εξωτερική διασύνδεση) Crypto map: MYMAP q. Μεταβείτε στην κατασταση ρυθμίσεων για την παραπάνω διασύνδεση. RouterP(config)#interface FastEthernet 4 r. Εφαρμόστε το crypto map στη διασύνδεση. RouterP(config-if)#crypto map MYMAP s. Βγείτε από την κατάσταση ρυθμίσεων της διασύνδεσης. RouterP(config-if)#^Z Βήμα 4. Επαλήθευση και δοκιμή των IPSec ρυθμίσεων Ακολουθείστε τα επόμενα βήματα για να επαληθεύεστε τις ρυθμίσεις και να ελέγξετε τη λειτουργία του IPSec. 238

239 a. Εμφανίστε τις πολιτικές IKE που ρυθμίσατε. RouterP#show crypto isakmp policy Protection suite of priority 110 encryption algorithm: DES - Data Encryption Standard (56 bit keys) hash algorithm: Message Digest 5 authentication method: Pre-Shared Key Diffie-Hellman group: #1 (768 bit) lifetime: seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys) hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) lifetime: seconds, no volume limit b. Εμφανίστε τα transform sets που ρυθμίσατε. RouterP#show crypto ipsec transform-set Transform set MINE: { esp-des } will negotiate = { Tunnel, }, c. Εμφανίστε τα crypto maps που ρυθμίσατε. RouterP#show crypto map Crypto Map "MYMAP" 10 ipsec-isakmp Peer = Q.1 Extended IP access list 102 access-list 102 permit ip host P.1 host Q.1 Current peer: Q.1 Security association lifetime: kilobytes/3600 seconds PFS (Y/N): N Transform sets={ MINE, } (where P = pod number, Q = peer pod number) d. Εμφανίστε την τρέχουσα κατάσταση για τις συνάψεις ασφαλείας (SAs) του IPSec. Οι συνάψεις εγκαταστάθηκαν με τη δρομολόγηση κίνησης. Το παρακάτω παράδειγμα δείχνει αρχικοποιημένες συνάψεις ασφαλείας πριν την κρυπτογράφηση της κίνησης: RouterP#show crypto ipsec sa interface: FastEthernet4 Crypto map tag: MYMAP, local addr P.1 local ident (addr/mask/prot/port): ( P.1/ /0/0) remote ident (addr/mask/prot/port): ( Q.1/ /0/0) current_peer: Q.1 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0 #send errors 0, #recv errors 0 local crypto endpt.: P.1, remote crypto endpt.: Q.1 path mtu 1500, media mtu 1500 current outbound spi: 0 inbound esp sas: inbound ah sas: outbound esp sas: outbound ah sas: e. Καθαρίστε τις υπάρχουσες συνάψεις ασφαλείας (SAs). 239

240 RouterP#clear crypto sa f. Ενεργοποιήστε το debug για γεγονότα IPSec. RouterP#debug crypto ipsec g. Ενεργοποιήστε το debug για γεγονότα ISAKMP. RouterP#debug crypto isakmp h. Ενεργοποιήστε την καταγραφή των γεγονότων στην κονσόλα για να δείτε το debug. RouterP(config)#logging console i. Κάντε ένα ping στον άλλο δρομολογητή. Παρατηρείστε τα IKE και IPSec debug. RouterP#ping Q.1 j. Επαληθεύστε τις συνάψεις ασφαλείας για τα IKE και IPSec. Παρατηρείστε τον αριθμό των πακέτων που κρυπτογραφούνται και αποκρυπτογραφούνται μέσω των συνάψεων του IPSec. RouterP#show crypto isakmp sa dst src state conn-id slot P Q.1 QM_IDLE 16 0 RouterP#show crypto ipsec sa interface: FastEthernet4 Crypto map tag: MYMAP, local addr P.1 local ident (addr/mask/prot/port): ( P.1/ /0/0) remote ident (addr/mask/prot/port): ( Q.1/ /0/0) current_peer: Q.1 PERMIT, flags={origin_is_acl,} #pkts encaps: 6, #pkts encrypt: 6, #pkts digest 0 #pkts decaps: 6, #pkts decrypt: 6, #pkts verify 0 #send errors 4, #recv errors 0 local crypto endpt.: P.1, remote crypto endpt.: Q.1 path mtu 1500, media mtu 1500 current outbound spi: DB5049D inbound esp sas: spi: 0x26530A0D( ) transform: esp-des, in use settings ={Tunnel, } slot: 0, conn id: 2, crypto map: MYMAP sa timing: remaining key lifetime (k/sec): ( /3542) IV size: 8 bytes replay detection support: N inbound ah sas: outbound esp sas: spi: 0xDB5049D( ) transform: esp-des, in use settings ={Tunnel, } slot: 0, conn id: 3, crypto map: MYMAP sa timing: remaining key lifetime (k/sec): ( /3542) IV size: 8 bytes replay detection support: N outbound ah sas: 240

241 k. Επιβεβαιώστε ότι η κρυπτογράφηση λειτουργεί κανονικά παράγοντας επιπλέον κίνηση. Στη συνέχεια παρατηρείστε ότι ο αριθμός των κρυπτογραφημένων και αποκρυπτογραφημένων πακέτων έχει αυξηθεί. RouterP#ping Q.1 RouterP#show crypto ipsec sa interface: FastEthernet0/1 Crypto map tag: MYMAP, local addr P.1 local ident (addr/mask/prot/port): ( P.1/ /0/0) remote ident (addr/mask/prot/port): ( Q.1/ /0/0) current_peer: Q.1 PERMIT, flags={origin_is_acl,} #pkts encaps: 11, #pkts encrypt: 11, #pkts digest 0 #pkts decaps: 11, #pkts decrypt: 11, #pkts verify 0 #send errors 4, #recv errors 0 local crypto endpt.: P.1, remote crypto endpt.: Q.1 path mtu 1500, media mtu 1500 current outbound spi: DB5049D inbound esp sas: spi: 0x26530A0D( ) transform: esp-des, in use settings ={Tunnel, } slot: 0, conn id: 2, crypto map: MYMAP sa timing: remaining key lifetime (k/sec): ( /3506) IV size: 8 bytes replay detection support: N inbound ah sas: outbound esp sas: spi: 0xDB5049D( ) transform: esp-des, in use settings ={Tunnel, } slot: 0, conn id: 3, crypto map: MYMAP sa timing: remaining key lifetime (k/sec): ( /3506) IV size: 8 bytes replay detection support: N outbound ah sas: Βήμα 5. Ρυθμίστε καλύτερα την Crypto ACL(προαιρετικό) Fine tune the crypto ACL that is used to determine interesting traffic so that only the traffic between the internal LANs. Οι ρυθμίσεις των ACLs πρέπει να είναι συμμετρικές και στους δύο δρομολογητές. Βεβαιωθείτε ότι η επιθυμητή κίνηση μεταξύ των δύο δρομολογητών κρυπτογραφείται. a. Μεταβείτε στην κατάσταση γενικής διαχείρισης. RouterP#config terminal b. Αφαιρέστε την προηγούμενη λίστα πρόσβασης (ACL) που ορίσατε. RouterP(config)#no access-list 102 c. Ρυθμίστε μια νέα ACL για τους σταθμούς. RouterP(config)#access-list 102 permit ip P

242 10.10.Q d. Επαληθεύεστε τις ρυθμίσεις κάνοντας σύνδεση με τον web server Q.12, χρησιμοποιώντας το φυλλομετρητή σας. 242

243 Βιβλιογραφία 1. Cisco Router Firewall Security, Richard A. Deal, ISBN: , Cisco Press, Cisco IOS Cookbook, 2nd Edition, Kevin Dooley, Ian Brown, ISBN: , O'Reilly, CCSP Cisco Secure PIX Firewall Advanced Exam Certification Guide, Greg Bastien, Christian Degu, ISBN: , Cisco Press, Cisco Network Security Little Black Book, Joe Harris, ISBN: , Coriolis Group, Cisco IOS Quick Reference, Will Richards 6. The Best Damn Firewall Book Period, Second edition, ISBN: , Syngress, Nov 2007 Ηλεκτρονικές Πηγές 1. Wikipedia Cisco 2. Wikipedia Cisco IOS 3. Cisco IOS Configuration Fundamentals Command Reference, Release

244 Κεφάλαιο 15 ο SNMP Εισαγωγή Σταθμός Διαχείρισης Δικτύου Βάση Διαχείρισης Πληροφορίας Η λειτουργία του πρωτοκόλλου 244

245 Εντολές IOS Ασκήσεις Λύσεις 245

246 15.1 Εισαγωγή To πρωτόκολλο SNMP αποτελεί επέκταση ενός άλλου παλαιότερου πρωτοκόλλου διαχείρισης δικτύου ονομαζόμενου SGΜΡ (Πρωτόκολλο ελέγχου απλής πύλης), το οποίο είχε σχεδιασθεί για τον έλεγχο των πυλών των TCP/IP συστημάτων. Σκοπός του SNMP ήταν να παρουσιάσει μια καλύτερη λύση που αφορούσε την εξ' αποστάσεως διαχείριση των TCP/IP πυλών και των σχετικών συνόρων του δικτύου. Έτσι τον Αύγουστο του 1988 παρουσιάστηκαν οι προδιαγραφές του και δεν άργησε να καθιερωθεί ως το κυρίαρχο πρωτόκολλο διαχείρισης δικτύων. Όπως φαίνεται και από το όνομα του (Simple Network Management Protocol) πρόκειται για ένα απλό πρωτόκολλο διαχείρισης δικτύων, το οποίο χρησιμοποιείται για τη διαχείριση μικρών αλλά και μεγαλύτερου μεγέθους δικτύων και είναι σχεδιασμένο για το επίπεδο εφαρμογής. Χρησιμοποιεί UDP πακέτα για την ανταλλαγή πληροφοριών μεταξύ των συσκευών που διαχειρίζεται. Οι πληροφορίες αυτές αναφέρονται σε διάφορα στοιχεία των συσκευών, όπως: κατάσταση στοιχείων συσκευής, υπερφόρτωση συσκευής, σφάλματα και άλλα. Ορίζει μια βάση δεδομένων (ΜΙΒ), βαθμωτών μεταβλητών και δισδιάστατων πινάκων και ένα πρωτόκολλο ώστε να επιτρέπει στο διαχειριστή να καθορίζει την τιμή των μεταβλητών της ΜΙΒ και σε ένα πελάτη να εκδίδει αυτόνομα ειδοποιήσεις που λέγονται παγίδες (traps). Η απλότητα που το διακρίνει είναι και ο λόγος για τον οποίο το συγκεκριμένο πρωτόκολλο έχει επικρατήσει, ενώ καταναλώνει μικρή υπολογιστική ισχύ και δικτυακούς πόρους. Καταφέρνει και συγκεντρώνει τις πληροφορίες που χρειάζεται με ένα μικρό αριθμό εντολών και αυτό ισχύει για όλες τις συσκευές του δικτύου. Ωστόσο με τη μεγάλη απήχηση του SNMP, άρχισαν να φαίνονται και τα μειονεκτήματα του, τα οποία είχαν να κάνουν κυρίως με θέματα ασφάλειας. Έτσι το 1993 παρουσιάστηκε η δεύτερη έκδοση (SNMPv2), η οποία ήταν σαφώς βελτιωμένη σε σχέση με την πρώτη. Τα νέα χαρακτηριστικά που προστέθηκαν περιελάμβαναν καλύτερο, μεγαλύτερους μετρητές δεδομένων (64 bit), βελτιωμένη λειτουργικότητα (get bulk transfers), μηνύματα επιβεβαίωσης για ειδοποιήσεις (informs) και σημαντικές βελτιώσεις στην ασφάλεια. Δυστυχώς το SNMPv2 δεν έγινε ευρέως αποδεκτό διότι η IETF δεν κατάφερε να συμφωνήσει στα χαρακτηριστικά ασφαλείας που θα περιλάμβανε. Για το λόγο αυτό το 1996 ανακοινώθηκε μια νέα έκδοση του SNMPv2 η οποία περιείχε όλα τα χαρακτηριστικά που αναφέρονταν στα RFCs 1905, 1906, και 1907 εκτός από αυτά που σχετίζονταν με την ασφάλεια. Η IETF αναφέρεται σε αυτή την έκδοση ως SNMPv2c, η οποία και χρησιμοποιεί το μοντέλο ασφάλειας (δεν υπάρχει ασφάλεια) του SNMPv1. Αυτό το μοντέλο βασίζεται σε κωδικούς που ονομάζονται community strings που στέλνονται μέσω 246

247 του δικτύου ως καθαρό κείμενο. Ούτε το SNMPv2c γνώρισε μεγάλη επιτυχία και οι περισσότεροι οργανισμοί συνέχισαν να χρησιμοποιούν το SNMPv1. Το 1998, ξεκίνησε η προσπάθεια για το SNMPv3 που ορίζεται στο RFC Το SNMPv3 προσφέρει βελτιώσεις ασφαλείας για να χρησιμοποιηθούν σε συνδυασμό με το SNMPv2c. Αυτό σημαίνει ότι το SNMPv3 δεν αποτελεί αυτόνομο πρωτόκολλο διαχείρισης και σε καμιά περίπτωση δεν αντικαθιστά τα SNMPv2c και SNMPv1. Το SNMPv3 προσφέρει μια ασφαλή μέθοδο πρόσβασης συσκευών χρησιμοποιώντας πιστοποίηση ταυτότητας, ακεραιότητα αναφορών και κρυπτογράφηση των SNMP πακέτων στο δίκτυο. Τα βασικά τμήματα στα οποία χωρίζεται η περιγραφή του SNMP είναι : Σταθμός Διαχείρισης Δικτύου(Network Management Station Manager) Διαχειριζόμενες Συσκευές (Managed Devices) Βάση Διαχείρισης Πληροφορίας (Management Information Base) Λειτουργία του Πρωτοκόλλου διαχείρισης Επικοινωνίας (Network Management Protocol). Στις επόμενες παραγράφους θα αναπτυχθούν αναλυτικά τα παραπάνω τμήματα καθώς και τα χαρακτηριστικά και η λειτουργία του πρωτοκόλλου Σταθμός Διαχείρισης Δικτύου (NMS) Αυτό το σύστημα της δομής είναι υπεύθυνο για την διαχείριση του δικτύου. Πρόκειται για τον κεντρικό σταθμό από τον οποίο γίνεται και η κυρίως διαχείριση. Μπορεί να είναι ένα μεμονωμένο σύστημα, αλλά μπορούν να υπάρχουν και περισσότερα από ένα τέτοια συστήματα (κατανεμημένο σύστημα), ώστε να υπάρχει επάρκεια ή απλώς για τον καταμερισμό των εργασιών σε ένα μεγάλο δίκτυο. Στις παραπάνω περιπτώσεις, το διαλογικό περιβάλλον που παρουσιάζεται στο χρήστη του συνολικού συστήματος διαχείρισης, είναι γνωστό ως κονσόλα. Μέσα από αυτό το διαλογικό (συνήθως γραφικό) περιβάλλον ο διαχειριστής μπορεί να επιβλέπει την κατάσταση του συστήματος αλλά και μεμονωμένων συσκευών, να μεταβάλλει τις παραμέτρους της κάθε συσκευής και να διαχειρίζεται καταστάσεις σφαλμάτων. Βέβαια για να μπορέσει να αντεπεξέλθει με επιτυχία σ' όλα αυτά ο σταθμός διαχείρισης, απαιτείται αρχικά ένα βοηθητικό πακέτο για ανάλυση δεδομένων, αφού ακατέργαστα αυτά τα δεδομένα δεν προσφέρουν καμιά ουσιαστική πληροφορία στο διαχειριστή για την κατάσταση και τη λειτουργικότητα του συστήματος. Επίσης χρειάζεται η χρήση μιας βάσης δεδομένων στην οποία θα αποθηκεύονται τα διάφορα στοιχεία των συσκευών του δικτύου. Τέλος είναι απαραίτητο και ένα λογισμικό, το οποίο θα παρουσιάζει φιλική συμπεριφορά και θα είναι κατάλληλο για την εποπτεία του συστήματος. 247

248 Όπως αναφέραμε το SNMP μπορεί να υποστηρίξει τόσο κεντρική όσο και κατανεμημένη διαχείριση. Η δεύτερη περίπτωση της λειτουργίας του κατανεμημένου συστήματος παρουσιάζει ιδιαίτερο ενδιαφέρον για την διαχείριση του δικτύου. Έτσι μερικά συστήματα λειτουργούν ταυτόχρονα τόσο στο ρόλο του διαχειριστή όσο και στο ρόλο του πελάτη. Στη λειτουργία του σαν πελάτη ένα τέτοιο σύστημα θα δέχεται εντολές από ένα ανώτερο σύστημα διαχείρισης. Εδώ λοιπόν ο κεντρικός σταθμός διαχείρισης δεν αναλαμβάνει από μόνος του όλο το έργο της διαχείρισης του δικτύου, αλλά μοιράζεται αυτή τη διαδικασία με άλλες συσκευές(proxy agents). Κύρια δουλειά του κεντρικού σταθμού είναι να συλλέγει στο τέλος όλες τις πληροφορίες που έχουν συλλεχθεί από τις υπόλοιπες συσκευές του δικτύου και να τις παρουσιάζει στην κεντρική κονσόλα. Όλες οι συναλλαγές μεταξύ των συστημάτων του δικτύου μπορούν να γίνουν χρησιμοποιώντας το πρωτόκολλο SNMP που ουσιαστικά είναι ένα απλό πρωτόκολλο ερώτησης απάντησης και όπως αναφέραμε και στην εισαγωγή εφαρμόζεται πάνω από το UDP Διαχειριζόμενες Συσκευές Μ' αυτό τον όρο μπορούν να χαρακτηριστούν όλες οι συσκευές οι οποίες είναι συνδεδεμένες στο δίκτυο όπως π.χ.: υπολογιστές, εκτυπωτές, επαναλήπτες (hub), δρομολογητές(router). Αυτές οι συσκευές δέχονται διαχείριση από τον σταθμό διαχείρισης δικτύου και πολλές φορές ονομάζονται " στοιχεία δικτύου". Συνήθως εφοδιάζονται με κατάλληλο λογισμικό το οποίο ονομάζεται αντιπρόσωπος (agent). Σκοπός του κάθε αντιπροσώπου είναι να αποκρίνεται σε διάφορες πληροφορίες οι οποίες ζητούνται από το σταθμό διαχείρισης, ενώ μπορεί να ενημερώνει ασύγχρονα για διάφορα γεγονότα. Κάθε αντιπρόσωπος είναι ικανός να επιστρέφει συγκεκριμένες μόνο πληροφορίες και χαρακτηριστικά στο σταθμό διαχείρισης. Στην περίπτωση στην οποία έχουμε κατανεμημένο σύστημα διαχείρισης, χρησιμοποιούμε όπως προαναφέραμε εκτός των παραπάνω απλών αντιπροσώπων και τους πιο σύνθετους που τους ονομάζουμε "μεσολαβητές αντιπροσώπους". Τέτοιοι αντιπρόσωποι έχουν τα εξής πλεονεκτήματα: Επιτρέπεται στο συνολικό σύστημα να διαχειρίζεται διάφορες συσκευές χρησιμοποιώντας εικονικά οποιοδήποτε πρωτόκολλο. Οι αντιπρόσωποι επικοινωνούν με το σταθμό εργασίας μέσω της "Κλήσης Απομακρυσμένων Διαδικασιών" (Remote Procedural Call). Ο μεσολαβητής αντιπρόσωπος μπορεί να δώσει την δυνατότητα ώστε το σύστημα να έχει πρόσβαση σε περισσότερες από μια συσκευές. Έτσι ο κεντρικός σταθμός μπορεί να επικοινωνήσει με έναν αντιπρόσωπο για να διαχειριστεί μέσω αυτού ένα σύνολο από συσκευές που ελέγχονται από τον παραπάνω αντιπρόσωπο. Έτσι στην περίπτωση που ο αντιπρόσωπος αυτός βρίσκεται σε διαφορετικό υποδίκτυο από τον κεντρικό σταθμό διαχείρισης μπορούμε να αναγνωρίσουμε τα πλεονεκτήματα που παρέχει μια τέτοια υποδομή. Ο μεσολαβητής αντιπρόσωπος θα αναλάβει την χαμηλή επιπέδου λειτουργία που έχει να κάνει με την συλλογή δεδομένων από τις συσκευές τις οποίες αυτός μπορεί να διαχειριστεί. Έτσι μεταξύ των διάφορων αντιπροσώπων των συσκευών των 248

249 απομακρυσμένων υποδικτύων και του σταθμού διαχείρισης πραγματοποιείται η ελάχιστη δυνατή κυκλοφορία δεδομένων, ενώ ο κεντρικός σταθμός κατά κάποιο τρόπο αποφεύγει την άμεση επικοινωνία με όλα τα στοιχεία του δικτύου. Αυτή η δομή του δικτύου είναι πολύ διαδεδομένη γιατί παρέχει μια πιο γρήγορη απάντηση σε αποτυχίες του δικτύου η περιστατικά, αλλά από την άλλη πρέπει να αναφερθεί ότι περιορίζονται σε τοπική αριστοποίηση ενώ γενικά είναι πιο πολύπλοκα στην ανάπτυξη και διατήρηση του συστήματος του δικτύου Βάση Διαχείρισης Πληροφορίας (ΜΙΒ) Η καρδιά του πρωτοκόλλου SNMP είναι μια τοπική βάση δεδομένων διαχείρισης η οποία περιλαμβάνει ορισμούς για τις διαχειριζόμενες συσκευές, τους αντιπροσώπους οι οποίοι είναι διαθέσιμοι καθώς και τις αιτήσεις για τις πληροφορίες τις οποίες αυτοί έχουν δεχθεί. Όλες οι πληροφορίες οι οποίες χρειάζονται για την διαχείριση μιας συγκεκριμένης συσκευής είναι αποθηκευμένες σε ένα αρχείο το οποίο είναι γνωστό ως " αρχείο Βάσης Διαχείρισης Πληροφορίας" (ΜΙΒ file). Αυτό το αρχείο είναι οργανωμένο ώστε να υπακούει σε ένα γενικότερο πλαίσιο, το οποίο ονομάζεται Δομή των Πληροφοριών Διαχείρισης (Structure of Management Information). Η Δομή Πληροφοριών Διαχείρισης SMI καθορίζει το μοντέλο των αντικειμένων διαχείρισης (managed object), τις λειτουργίες που μπορούν να πραγματοποιηθούν σ' αυτά καθώς και τους τύπους των δεδομένων που μπορούν να χρησιμοποιηθούν. Σκοπός της είναι να ενθαρρύνει την απλότητα και την επεκτασιμότητα της ΜΙΒ γι' αυτό και αυτή αποθηκεύει μόνο απλούς τύπους δεδομένων: τα βαθμωτά μεγέθη και τους δισδιάστατους πίνακες. Στον πίνακα που ακολουθεί παρουσιάζονται οι τύποι δεδομένων που επιτρέπονται από την SMI. Μπορούμε να πούμε ότι είναι μια αρκετά περιορισμένη ομάδα, αφού π.χ δεν υπάρχουν αριθμοί κινητής υποδιαστολής, αλλά ταυτόχρονα και αρκετά πλούσια ώστε να είναι ικανή για να καλύψει τις ανάγκες διαχείρισης του δικτύου. Τύπος Περιγραφή Integer Ακέραιοι από 2 31 ως Uinteger 32 Ακέραιοι από 0 ως Counter 32 Ένας μη αρνητικός ακέραιος που μπορεί να αυξηθεί mod2 32 Counter 64 Ένας μη αρνητικός ακέραιος που μπορεί να αυξηθεί mod2 64 Gauge 32 Time Ticks Octet String IpAddress NsapAddress Ένας μη αρνητικός ακέραιος που μπορεί να αυξηθεί ή να μειωθεί χωρίς να περάσει την τιμή Ένας μη αρνητικός ακέραιος που αναπαριστά το χρόνο mod2 32, σε εκατοστά του δευτερολέπτου Οκτάδες χαρακτήρων για δυαδικά δεδομένα ή κείμενα 32 bit Internet διεύθυνση OSI διεύθυνση 249

250 BIT STRING Object Identifier Enumeration of named bits Όνομα που έχει δοθεί από το διαχειριστή Πίνακας 5 1. Οι τύποι δεδομένων που επιτρέπονται από την SMI Όταν αναφέρουμε τον όρο "αντικείμενα διαχείρισης", εννοούμε τα χαρακτηριστικά μιας συσκευής του δικτύου που μπορούμε να διαχειριστούμε. Έτσι για παράδειγμα όλες οι ενεργές συνδέσεις μιας συσκευής αποτελούν ένα αντικείμενο διαχείρισης. Σ' αυτό το σημείο θα πρέπει να αποφευχθεί η σύγχυση με τις μεταβλητές τους, οι οποίες είναι γνωστές ως" στιγμιότυπα αντικειμένων" (object instances). Οι πόροι (resources) του δικτύου που υπάρχουν, μπορούν να διαχειριστούν αν παρουσιαστούν ως αντικείμενα διαχείρισης. Τα αντικείμενα διαχείρισης μπορεί να έχουν ένα στιγμιότυπο όπως π.χ η τοποθεσία ενός συστήματος, ενώ άλλα μπορεί να έχουν πολλαπλά στιγμιότυπα όπως π.χ οι ενεργές συνδέσεις. Όταν τα αντικείμενα σχετίζονται ώστε να είναι του ίδιου τύπου, οργανώνονται σε πίνακες. Η ταυτότητα ενός αντικειμένου μαζί με το σχετιζόμενο στιγμιότυπο, χαρακτηρίζεται ως SNMP μεταβλητή (variable). Τα αντικείμενα που ορίζονται στο SNMP είναι οργανωμένα σε τρεις τύπους ΜΙΒ αρχείων, οι οποίοι είναι οι εξής: SNMPv2 MIB Manager to manager MIB MIB του party (μελών) Κάθε MIB είναι οργανωμένη σε ένα αριθμό ομάδων η οποία (ομάδα) είναι με τη σειρά της μια συλλογή σχετικών μεταξύ τους αντικειμένων. Κατά αυτό τον τρόπο, ένα είδος διαχείρισης μπορεί να χαρακτηριστεί από τις ομάδες που περιλαμβάνει και έτσι περιγράφονται και οι πληροφορίες που μπορεί να διαχειριστεί. Η SNMPv2 MIB χρησιμοποιείται για να περιγράψει αντικείμενα τα οποία δέχονται διαχείριση. Ο διαχειριστής μπορεί να παρακολουθεί τις ενέργειες ενός πελάτη καθώς και το ποσοστό των πόρων που χρησιμοποιούνται απ' αυτόν. Εδώ περιλαμβάνονται πέντε ομάδες αντικειμένων οι οποίες είναι οι εξής : "στατιστικά πρώτης έκδοσης" (SNMPv1 statistics) "στατιστικά δεύτερης έκδοσης" (SNMPv2 statistics), "πόροι αντικειμένου"(object resource) "παγίδες" (traps) και "ανάθεση" (set). Οι πληροφορίες τις οποίες περιγράφει η κάθε μία από τις παραπάνω ομάδες είναι σχετικές με το όνομα τους. Ειδικότερα η ομάδα στατιστικών του SNMPv1 αποτελείται από αντικείμενα τα οποία τα οποία χρησιμεύουν για να μας δείξουν αν μια οντότητα του SNMPv2 πραγματοποιεί και το SNMPv1. Η ομάδα στατιστικών του SNMPv2 περιέχει αντικείμενα τα οποία είναι τα βασικά εργαλεία μιας SNMPv2 οντότητας. Αποτελείται από καταμετρητές οι οποίοι καταγράφουν συνεχώς των αριθμό των εισερχόμενων και εξερχόμενων μηνυμάτων, τα οποία διαχωρίζονται σε επιτυχή μηνύματα και σε μηνύματα τα οποία έχουν υποστεί οποιαδήποτε μορφή λάθους. Η ομάδα αντικειμένων πόρων επιτρέπει σε μια οντότητα του SNMPv2, η οποία στη προκειμένη περίπτωση δρα σαν πελάτης να περιγράφει τους δυναμικά 250

251 καθοριζόμενους πόρους της. Η ομάδα αυτή αποτελείται από ένα πίνακα με μια σειρά για κάθε πόρο. Η ομάδα "trap" αποτελείται από αντικείμενα τα οποία επιτρέπουν σε ένα πελάτη να παρέχει μια ασύγχρονη ειδοποίηση στο σταθμό διαχείρισης όταν συμβεί ένα ασυνήθιστο γεγονός. Τέλος η εντολή "set" αποτελείται από ένα μόνο αντικείμενο, το snmpsetseriaino και χρησιμοποιείται για την επίλυση προβλημάτων που μπορούν να συμβούν σε μια εντολή set. Η manager to manager MIB βρίσκει εφαρμογή στα συστήματα καταμερισμένης αρχιτεκτονικής διαχείρισης και χρησιμοποιείται μεταξύ σταθμών διαχείρισης (κύριου και δευτερεύοντος),ώστε να οργανώνουν τις πληροφορίες που δέχεται ο καθένας. Έτσι ο κύριος διαχειριστής καθορίζει γεγονότα τα οποία ο δευτερεύων στην ιεραρχία διαχειριστής τα χρησιμοποιεί ώστε να στέλνει ειδοποιήσεις στον πρώτο. Μ' αυτό τον τρόπο ένας απομακρυσμένος διαχειριστής μπορεί να παρακολουθεί την κίνηση του δικτύου. Αυτή η ΜΙΒ αποτελείται από δύο ομάδες: "συναγερμού"(alarm) και "γεγονότων "(events). Η ομάδα συναγερμών χρησιμοποιείται για να καθορίσει ένα σύνολο από συναγερμούς κατωφλίου. Πρέπει να διευκρινιστεί ότι κάθε συναγερμός κατωφλίου καθορίζει και ένα αντικείμενο στην τοπική ΜΙΒ το οποίο και θα παρακολουθείται. Όταν αυτή η τιμή του αντικειμένου ξεπεράσει το παραπάνω κατώφλι τότε το συμβάν πυροδοτείται. Ουσιαστικά το συμβάν είναι μια lnformreguest PDU που στέλνεται στον ανώτερο διαχειριστή Η λειτουργία του πρωτοκόλλου Το SNMP είναι ένα απλό πρωτόκολλο και έχει έξι βασικές εντολές οι οποίες χρησιμοποιούνται από τον σταθμό διαχείρισης και τον αντιπρόσωπο. Ο σταθμός διαχείρισης μπορεί να στέλνει αιτήσεις με τις SNMP εντολές για να συγκεντρώσει πληροφορίες για την κατάσταση της διαχειριζόμενης συσκευής, ή ακόμα και να την μετατρέψει μέσω των μεταβλητών που την χαρακτηρίζουν, ενώ ο αντιπρόσωπος αποκρίνεται σ' αυτές τις αιτήσεις. Ουσιαστικά λοιπόν το πρωτόκολλο SNMP είναι ένα πρωτόκολλο αίτησης απόκρισης και έτσι ανταλλάσσονται οι πληροφορίες μεταξύ των agent και manager. Παρακάτω περιγράφονται σε συντομία οι έξι εντολές του πρωτοκόλλου. GET: Μ' αυτή την εντολή ο κεντρικός σταθμός μπορεί να ανακτήσει το στιγμιότυπο ενός αντικειμένου, από ένα αντιπρόσωπο. Έτσι ανακτάται η τιμή των διάφορων μεταβλητών, οι οποίες περιγράφουν την κατάσταση της συγκεκριμένης συσκευής. GETNEXT: Ο κεντρικός σταθμός ανακτά το επόμενο στιγμιότυπο ενός αντικειμένου από ένα πίνακα ή μία λίστα σε ένα αντιπρόσωπο. Μάλιστα όταν θέλει να ανακτήσει όλα τα στοιχεί ενός πίνακα, στέλνει μια φορά την εντολή get και μετά μια ακολουθία από εντολές getnext. GETBULK: Σκοπός αυτής της εντολής είναι να αντικαταστήσει την προηγούμενη εντολή και υπάρχει μόνο στην δεύτερη έκδοση του πρωτοκόλλου (SNMPv2). Κάνει πιο εύκολη την ανάκτηση σχετιζόμενων πληροφοριών, εξαλείφοντας την ανάγκη πολλαπλών εντολών getnext. SET: Ο κεντρικός σταθμός μ' αυτή την εντολή θέτει την τιμή σε μια μεταβλητή και έτσι καθορίζει το στιγμιότυπο μιας διαχειριζόμενης συσκευής. TRAP: Αυτή η εντολή χρησιμοποιείται μόνο από τον αντιπρόσωπο και ενημερώνει των σταθμό διαχείρισης ασύγχρονα για την πραγματοποιήση ενός γεγονότος. Στη δεύτερη 251

252 έκδοση η καινούρια έκδοση του μηνύματος παγίδας αντικαθιστά την πρώτη. INFORM : Και αυτή η εντολή έχει προστεθεί στην δεύτερη έκδοση του πρωτοκόλλου. Με τη χρήση της δύο σταθμοί διαχείρισης μπορούν να επικοινωνούν μεταξύ τους και να ανταλλάσσουν πληροφορίες για παγίδες που έχουν δεχθεί από κάποιο αντιπρόσωπο Πλεονεκτήματα του SNMP Το μεγαλύτερο και δυναμικότερο προτέρημα αυτού του πρωτοκόλλου, είναι η απλότητα που το διακατέχει. Καταφέρνει να διαχειρίζεται επιτυχώς τις συσκευές του δικτύου χρησιμοποιώντας ένα σετ, έξι μόνο εντολών. Παρουσιάζει επίσης, μεγάλη ευκολία στην υλοποίηση ακόμα και σε μεγάλα δίκτυα ευρείας περιοχής (WANs).Η εγκατάσταση μιας εφαρμογής που το χρησιμοποιεί είναι επίσης μια απλή διαδικασία και κάτω από φυσιολογικές συνθήκες δεν παρουσιάζει ιδιαίτερα προβλήματα. Ένας απλός χρήστης μπορεί εύκολα να αποφασίσει ποιους από τους πόρους του δικτύου θέλει να παρακολουθεί και να επιλέξει τις κατάλληλες "μεταβλητές" για επίβλεψη ή ακόμα και καταγραφή της κίνησης της μεταβλητής για ενδεχόμενη χρήση στατιστικής. Με την απλότητα που το διακατέχει και ιδιαίτερα με την βελτίωση που δέχθηκε από την δεύτερη έκδοση του (εισαγωγή της εντολής GetBulkRequest), το πρωτόκολλο δεν επιβαρύνει το δίκτυο ακόμη και όταν πρόκειται για συνεχή επισκόπηση πολλών πόρων του δικτύου. Ένα σημαντικό στοιχείο που συνηγορεί στην επιλογή του SNMP είναι ότι είναι αρκετά δοκιμασμένο και διαδεδομένο. Έτσι οι περισσότερες δικτυακές συσκευές που κυκλοφορούν σήμερα στο εμπόριο, το υποστηρίζουν,και είναι σίγουρο ότι και οποιοδήποτε καινούργιο προϊόν για την διαχείριση δικτύων θα το υποστηρίζει αφού εκ των πραγμάτων έχει καθιερωθεί ως στάνταρ. Ένα ακόμη βασικό πλεονέκτημα του είναι και η μεγάλη δυνατότητα επέκτασης του. Μπορούμε για πάντα να δημιουργήσουμε καινούργια ΜΙΒ αρχεία, που να περιγράφουν καινούριες συσκευές και αμέσως να τις εισάγουμε στο περιβάλλον διαχείρισης το οποίο χρησιμοποιούμε, καθιστώντας έτσι δυνατή την διαχείριση των νέων συσκευών του δικτύου Μειονεκτήματα του SNMP Παρά την ευρεία διάδοση που έχει γνωρίσει το SNMP έχει αρκετά αδύνατα σημεία, πολλά από τα οποία όμως καταφέρνει να υπερνικήσει, χρησιμοποιώντας την έξυπνη σχεδίαση που το χαρακτηρίζει. Ένα από τα σημαντικότερα αρνητικά του πρωτοκόλλου είναι η μικρή έμφαση που δίνει σε θέματα ασφάλειας. Είναι εύκολη η υποκλοπή της πληροφορίας διαχείρισης μεταξύ του διαχειριστή και των συσκευών που αυτός επιβλέπει και είναι δυνατή ακόμη και η μεταβολή των παραμέτρων λειτουργίας των συσκευών. Όπως έχει αναφερθεί με το SNMPv2 το 252

253 επίπεδο ασφάλειας, προσθέτοντας μηχανισμούς ασφάλειας, αλλά υπάρχουν πολλά ακόμα που πρέπει να γίνουν μέχρι το πρωτόκολλο να θεωρηθεί απόλυτα ασφαλές. Ένα ακόμη μειονέκτημα, το οποίο πηγάζει από την απλή μορφή που έχει το SNMP, είναι ακριβώς ότι δεν έχει δοθεί ιδιαίτερη προσοχή στην οργάνωση των πληροφοριών, που αυτό διαχειρίζεται. Ένα μεγάλο μέρος αυτής, παρουσιάζει προβλήματα από άποψη οργάνωσης, ενώ παντού είναι εμφανής η έλλειψη λεπτομερειακών περιγραφών. Η έλλειψη αυτή είναι ακόμη εμφανέστερη όταν το πρωτόκολλο έρχεται αντιμέτωπο με την τεχνολογία των τελευταίων χρόνων. Αιτία για την δημιουργία αυτού του προβλήματος ήταν ίσως η γρήγορη και πρόχειρη δημιουργία του πρωτοκόλλου, μια και ποτέ δεν είχαν σκοπό οι κατασκευαστές του να το καθιερώσουν ως πρότυπο. Η εισαγωγή της δεύτερης έκδοσης του πρωτοκόλλου γενικά διόρθωσε κάποια από τα προβλήματα του. Πάντως η επέκταση ενός τόσο επιτυχημένου πρωτοκόλλου, όπως ήταν η πρώτη έκδοση του είναι τουλάχιστον δύσκολη. Οι κατασκευαστές δυσκολεύονται να αποφασίσουν για τα επιμέρους χαρακτηριστικά, και σημαντικός λόγος γι' αυτό είναι ότι το καινούριο πρωτόκολλο πρέπει να διορθώσει τα προβλήματα του παλιού, διατηρώντας όμως τα στοιχεία που το έκαναν επιτυχημένο SNMP και Cisco IOS Το Cisco IOS υποστήριζε το SNMPv2 μέχρι την έκδοση 11.2(6)F, όπου και ξεκίνησε την υποστήριξη για το SNMPv2c. Σήμερα η Cisco συνεχίζει να υποστηρίζει το SNMPv2c σε όλα τα IOS με έκδοση μεγαλύτερη της 11.2(6)F. Επιπλέον υποστηρίζεται σε όλες τις εκδόσεις το SNMPv1. Ο πίνακας που ακολουθεί δείχνει τις εκδόσεις που υποστηρίζονται από τη Cisco καθώς και τις δυνατότητες τους σε θέματα ασφαλείας. Έκδοση Πιστοποίηση Κρυπτογράφηση Περιγραφή v1 Community strings Καμία Αδύναμη πιστοποίηση ταυτότητας. Τα πακέτα στέλνονται ως καθαρό κείμενο. v2c Community strings Καμία Αδύναμη πιστοποίηση ταυτότητας. Τα πακέτα στέλνονται ως καθαρό κείμενο. v3(noauthnopriv) v3(authnopriv) v3(authpriv) Όνομα χρήστη (Username) SHA ή με MD5 κρυπτογραφημένη passphrase SHA ή με MD5 κρυπτογραφημένη passphrase Καμία Καμία DES, 3DES, AES Αδύναμη πιστοποίηση ταυτότητας. Τα πακέτα στέλνονται ως καθαρό κείμενο. Ισχυρή πιστοποίηση ταυτότητας. Τα πακέτα στέλνονται ως καθαρό κείμενο. Ισχυρή πιστοποίηση ταυτότητας. Τα πακέτα κρυπτογραφούνται Πίνακας 5 2. Εκδόσεις SNMP που υποστηρίζονται από τη Cisco 253

254 15.9 Άσκηση Στην παρακάτω άσκηση, οι εκπαιδευόμενοι θα προσπαθήσουν να ρυθμίσουν το SNMP του δρομολογητή για ανταλλαγή μηνυμάτων. Ποιο συγκεκριμένα σε αυτό το εργαστήριο θα κάνουν τις ακόλουθες εργασίες: Θα ορίσουν το SNMP community string Θα εγκαταστήσουν τα στοιχεία επικοινωνίας και τοποθεσίας για τον SNMP Agent Θα ελέγξουν την ορθή λειτουργία του SNMP Θα περιορίσουν τη χρήση του στο εσωτερικό του δικτύου Θα απενεργοποιήσουν SNMP μηνύματα, υπηρεσίες και συνδεδεμένες λίστες πρόσβασης Σενάριο Μια μικρή εταιρία έκανε μια επέκταση στο δίκτυο της οπότε και δημιουργήθηκαν προβλήματα σχετικά με τη διατήρηση των καταγραφών, τις αλλαγές των ρυθμίσεων κ.α. Η πολιτική ασφαλείας ενημερώθηκε έτσι ώστε να επιτρέπει την SNMP διαχείριση των σημαντικότερων συσκευών. Ωστόσο, η SNMP πρόσβαση θα πρέπει να περιοριστεί μόνο σε συγκεκριμένους σταθμούς εργασίας. Τοπολογία Το σχήμα που ακολουθεί απεικονίζει την τοπολογία του δικτύου. 254

255 Σχήμα 5 1. Τοπολογία του δικτύου για το σενάριο εφαρμογής του SNMP Εργαλεία Πηγές Για την ολοκλήρωση του εργαστηρίου είναι απαραίτητα: Θεωρητικό υπόβαθρο πάνω στη λειτουργία του SNMP Η τοπολογία του δικτύου Ένα καλώδιο κονσόλας για το δρομολογητή Το HyperTerminal των windows ή κάποιος telnet client Kiwi Syslog Server Επιπλέον πληροφορίες για τη ρύθμιση των παραμέτρων μπορείτε να βρείτε στα :

256 Λίστα εντολών IOS που θα χρειαστούμε Για την ολοκλήρωση του εργαστηρίου θα χρειαστούμε τις παρακάτω εντολές του IOS. Στον πίνακα που ακολουθεί δίνεται μια περιγραφή της σύνταξης των εντολών καθώς και μια περιγραφή της λειτουργίας τους. Εντολή no snmp-server show snmp snmp-server community snmp-server contact snmp-server enable traps snmp snmp-server host snmp-server location Περιγραφή Απενεργοποίηση του SNMP. Τρέχουσα κατάσταση του SNMP. Ορίζει την community access string. Χρησιμοποιείτε για να δηλώσει στοιχεία επικοινωνίας που σχετίζονται με το δρομολογητή. Ενεργοποιεί την αποστολή παγίδων και καθορίζει τους τύπους ειδοποιήσεων που θα σταλούν Ρυθμίζει τον αποδέκτη μιας διαδικασίας SNMP παγίδας. Χρησιμοποιείτε για να δηλώσει την τοποθεσία του δρομολογητή. Βήμα 1. Ανοίγουμε τον Kiwi Syslog Ο Kiwi Syslog server μπορεί να χρησιμοποιηθεί για να λαμβάνει syslog και SNMP μηνύματα από στοιχεία του δικτύου, όπως δρομολογητών, switches και σταθμών εργασίας. Οι παγίδες ενεργοποιούνται και αποστέλλονται όταν συμβαίνει κάποιο σφάλμα ή κάποιο συγκεκριμένο γεγονός στο δίκτυο. a. Αν δεν βρίσκεται εγκατεστημένο στον υπολογιστή σας, πηγαίνετε στον παρακάτω ιστοχώρο και κατεβάστε τον Kiwi Syslog server b. Αφού ανοίξετε την Kiwi εφαρμογή, πηγαίνετε από το μενού File >Setup ή κάντε κλικ στο εικονίδιο Setup από τη μπάρα εργαλείων του μενού. c. Μεταβείτε στο Inputs >SNMP. d. Τσεκάρετε την επιλογή Listen for SNMP Traps. 256

257 Σχήμα 5 2. Το παράθυρο ρυθμίσεων του Kiwi Syslog Daemon e. Ο Syslog server μπορεί να ρυθμιστεί να αποστέλλει ειδοποιήσεις και μέσω e mail. Ακόμα, σημειώστε ότι ο αριθμός της θύρας που χρησιμοποιεί το SNMP για να ακούει για γεγονότα (traps), θα χρησιμοποιηθεί αργότερα. f. Κάντε κλικ στο κουμπί OK. Βήμα 2. Ενεργοποιήστε το SNMP Community String a. Χρησιμοποιούμε ένα SNMP community string για να ορίσουμε τη σχέση ανάμεσα στον SNMP manager και στον agent. Το community string λειτουργεί όπως ένας κωδικός για να επιτρέψει την πρόσβαση στον agent στο δρομολογητή. Οι προκαθορισμένες τιμές για αυτά τα strings είναι public για μόνο για ανάγνωση (read only) και private για ανάγνωσηεγγραφή (read write). Ωστόσο, αυτές οι τιμές θα πρέπει πάντα να αλλαχτούν σε κάτι άλλο. Ρυθμίστε το community string χρησιμοποιώντας την εντολή snmp server community. Ορίστε ως writemib την άδεια για ανάγνωση εγγραφή (read write) και readmib την μόνο για ανάγνωση (read only) άδεια. RouterP(config)#snmp-server community writemib rw RouterP(config)#snmp-server community readmib ro 257