Agenda—podstawy routingu

- Classes

- Sumaryzacja

- VLSM

- Load Balancing

- Split Horizon

Agenda—Protokoły routingu

- Routing statyczny

- RIP

- RIPv2

- IGRP

- EIGRP

- OSPF/ISIS

- Snapshot

Protokoły routingu:

“classless” routing protocols

- rozpoznają prefix

- 131.108.0.0 /16 i 255.255.0.0

- Grupy podsieci mogące podlegać sumaryzacji

“classfull”

korzystają ze standardowych masek dla klas adresowych

Co to jest sumaryzacja routingu?

Protokoły routingu mogą przeprowadzać sumaryzację i ukrywać więcej sieci pod jednym adresem

- Kontola wielkości tabeli routingu

VLSM (Variable Length Subnet Mask)

Sieci o maskach zmiennych

- Jedna podsieć IP

- Następne podsieci powstają poprzez wydłużenie maski

- Utrzymanie podsieci razem w jednym obszarze

- Oszczędność adresów wykorzystywanych do posieci WAN

Zwróć uwagę

- Różne adresy IP muszą mieć tę samą wartość bitu najbardziej znaczącego

- Decycje o routingu są podejmowane są na podstawie otrzymanego adresu

- Protokół routingu musi przesyłać infomację o prefiksie sieci.

Konwergencja

- Czas potrzebny routerowi do znalezienia i wykorzystania alternatywnej ścieżki dostępu

- Zależny od wartości timerów

- Trudny do precyzyjnego określenia

Czas wykrycia

- Linie szeregowe:wykrycie bezpośrednio po zaniku nośnej; 10 sekundowy keepalive wysłany 2 lub 3 razy

- Token Ring i FDDI: bezpośrednio

- Ethernet: keepalive - 2 lub 3 razy

- EIGRP Hello - 2 lub 3 rary 5 sekund (domyślnie)

-OSPF Hello -Dead Timer domyślnie : 40 sekund

Triggered Updates
-przyspieszenie konwergencji

- Zależy od “kształtu” sieci

- Triggered updates - info tylko o zmianach

Split Horizon

Nie przesyłaj danych tam skąd je otrzymałeś

Routing

- Statyczny - definiowany ręcznie

- Dynamiczny - bazuje na informacjach zebranych przez protokół

Routing Statyczny

- Routing konfigurowany ręcznie

- Używany,gdy jest kilka lub jeden router w sieci

- Najczęściej używany jako routing domyślny

Redystrybucja routingu statycznego

REDYSTRYBUOWANY PRZEZ SIEĆ

- Jako next hop musi być użyty interface

- ip route 172.16.1.0 255.255.255.0 ethernet 0

- router xxxx

- network 172.16.0.0

KONFIGURACJA REDYSTRYBUCJI

- router xxxx

- redistribute static

Floating Static Routes

- Routing statyczny ze zwiększonym parametrem administratitive distance

- Może być nadpisany przez informacje routingu dynamicznego

Protokoły routingu

- Routery są przełącznikami pakietów przesyłającymi dane na podstawie adresów logicznych warstwy 3.

- Informacje protokołów routingu są wymieniane przez routery dla uzyskania informacji o innych sieciach

- Protokół routingu jest wybierany przy projektowaniu sieci

Zalety protokołów routingu

- Wybór najlepszej drogi

- Routing loop-free

- Szybka konwergencja

- Niewielka ilość czynności administracyjnych

- Mały ruch “wewnętrzny”

- Wspierają ograniczenia adresowe

- Obsługa hierarchiczna

- Łatwe w konfiguracji

- Szybka reakcja na zmiany

- Nie powodują dużego ruchu

- Skalowalność

- Kompatybilność z istniejącymi hostami

- Obsługują maski sieciowe o zmiennej długości i nieciągość sieci

- Support dla policy routing

Metryki

- Wartości numeryczne służące do wyboru ścieżki

- RIP/RIPv2 - hop count

- OSPF/ISIS - cost (pasmo)

- (E)IGRP - złożona z kilku parametrów

- BGP - złożona z kilku parametrów

RIP

- Szeroko dostępny

- Metryka: hop count - ilość przejść

- Cykliczne update'y

- Łatwy w implementacji

- Często “w cenie”

- RFC 1058

- Wolna konwegencja

- Brak wsparcia VLSM

- Brak wsparcia nieciągłoci sieci

- Routing loops - mogą tworzyć się pętle

- Count to infinity

RIP—Distance Vector (liczy przejścia)

Przesyłanie tabel routingu do sąsiadów

RIP Timers

- Update = 1x 30 sec

- Invalid = 3x 90 sec

- Holddown = 3x 90 sec

- Flush = 7x 210 sec

Count to Infinity

- Maksymalna wartość hop count = 15

- 16 = infinity

Kiedy używać RIP

- Mało czasu na implementację

- Stabilne łącza

- Małe sieci

- Środowisko z urządzeniami wielu producentów

- Sieci bez redundancji

RIP V2

- RFC 1723

- Obsługiwany przez Cisco IOS™ 11.1

- Obsługa VLSM

- Sumaryzacja routingu

- Classless InterDomain Routing (CIDR)

- Uaktualnianie routingu - multicast

- Autentykacja update'ów (MD5)

Kiedy używać RIPv2

- Szybka implementacja

- Stabilne łącza

- Małe sieci

- Środowisko z urządzeniami wielu różnych producentów

- Sieci bez redundancji

IGRP

- Interior Gateway Routing Protocol

- Stworzony przez Cisco

- Distance vector

- Metryka komponowana

- IOS 9.21

- Update cykliczny

- Brak wsparcia VLSM

- Przy domyślnej konfiguracji timerów wolna konwergencja

Metryka IGRP

- Dobór wag

- Opóźnienie

- Przepustowość

- Stabilność

- Obciążenie

Jak określić metrykę IGRP

- Przepustowość określa “krótkie ścieżki”

- Opóźnienie określa “długie ścieżki”

- Na wszystkich interfejsach musi być skonfigurowany parametr “bandwidth”

Timery IGRP

- Update = 1x 90 sec

- Invalid = 3x 270 sec

- Holddown = 3x + 10 280 sec

- Flush = 7x 630 sec

Timery (E)IGRP

1.UPDATE—okres (czas w sekundach pomiędzy update'ami) przerwy pomiędzy uaktualnieniami

2.INVALID—okres czasu (w sekundach) po którym wpis w tabeli określa status “invalid”

3.HOLDDOWN—czas (w sekundach) w którym informacja o routingu lepszymi ścieżkami jest wprowadzony w użycie.

4.FLUSH—okres czasu (w sekundach) które muszą upłynąć, aby wpis tabeli routingu mógł być usunięty

5.SLEEPTIME—Okres czasu w którym uaktualnienia routingu są zawieszone

Ustawienia timerów dla szybszej konwergencji

- Użycie krótszych timerów update w miejscach gdzie są szybkie łącza

- Timery muszą być stałe wewnątrz Systemu Autonomicznego (AS)

Kiedy używać IGRP

- W małych i średnich sieciach

- Gdy ważne są parametry metryki

- Wymaganie: mały ruch związany z wymianą informacji wewnątrz protokołu

Enhanced IGRP

- Bardzo szybka konwergencja

- Support dla VLSM

- Obsługa nieciągłych sieci

- Sumaryzacja routingu

- Obsługa prefixów I routingu hostów

- Najlepsze cechy DV I LS

- Mały ruch wewnętrzny

- Gwarancja loop-free

- Stabilny, nadpisywane zmiany

- Obsługa: IP, IPX®, AppleTalk

- Łatwa konfiguracja

EIGRP Pewny transport

a)Gwarancja dostarczenia informacji:

- Sequence numbers - sekwencyjne ramki

- Acknowledgments - potwierdzenie

- Transmission queues - kolejkowanie i wysyłanie do każdego sąsiada

b)Do każdego sąsiada

Advanced Distance Vector

- Tworzenie tabeli sąsiadów

- Tworzenie topology table

- Wnioskowanie routingu

! przy starcie wymieniane są tabele routingu. Tabela routingu jest budowana na podstawie najlepszej ścieżki z Typology Table

Kiedy stosować EIGRP

- Bardzo duże złożone sieci

- VLSM

- Szybka konwergencja

- Obsługa wielu protokołów

Link State

- OSPF

- ISIS

! Informacja o topoliogii przechowywana jest niezależnie od tabeli routingu

OSPF

- Protokół routingu dynamicznego

- Algorytm Link state lub SPF

- Stworzony przez OSPF working group w IETF (RFC 1253)

- Intra-autonomous system (IGP)

- Zaprojektowany dla środowiska TCP/IP - Internet

- Szybka konwergencja

- VLSM

- Sieci nieciągłe

- Brak cyklicznych uaktualnień

- Autentykacja wpisów tabeli routingu - elementy szyfrowania

- Wymyślony 2 lata po IGRP

Routing Link State

- Wykrywanie sąsiadów

- Tworzenie pakietu LSA (Link State Advertisement)

- Dystrybucja LSA

- Określenie routingu przy użyciu SPF (Shortest Path First)

- W przypadku awarii sieci

* Wysłanie pakietu LSA

* Wszystkie routery aktualizują tabele routingu

Baza danych: Topology/Link State

- Router ma oddzielne bazy LS dla wszystkich obszarów do których należy

- Wszystkie routery w obszarze mają jednakowe bazy

- Kalkulacja SPF przeprowadzana jest oddzielnie dla każdego obszaru

- Ruch LSA jest zamknięty wewnątrz obszaru

Gdy łącze zmienia stan

- Wszystkie routery nasłuchują pakietów LSA

-Każdy router oblicza najbliższą ścieżkę dla sieci

Metryka OSPF

a)Zależna od pasma (bandwidth)

- 100 ÷ bandwidth

- 56-kbps = 1785 64-kbps = 1562

- T1 (1.544-Mbps) = 65 E1 (2.048-Mbps) = 48

- 4-Mbps Token Ring=25 16-Mbps Token Ring = 6

- Ethernet = 10 Fast Ethernet / FDDI = 1

b(Konfigurowane przez:

- Komendę interfejsu: bandwidth

- Komendę interfejsu : ip ospf cost

- Komendę router:

- ospf auto-cost reference-bandwidth

- Default = 108

Timery OSPF

- Hello = 10s - hello-interval

- Neighbour down = 4 x hello - dead-interval

- Pomiędzy retransmisją LSA = 5s - retransmit-interval (brak potwierdzenia to nowy)

- Czas do przesłania update= 1s - transmit-delay

- Opóźnienie uruchomienia algorytmu SPF = 10s timers spf

Obszary OSPF

- Musi być Backbone area (0)

- Wszystkie inne muszą mieć styk ze szkieletem

- Backbone musi być ciągły

Dlaczego obszary (area)

- Mniejsze wymagania RAM I CPU

- Topologia obszaru jest niewidoczna “z zewnątrz”

- Redukcja ruchu w sieci związanego z routingiem

Stub Area

a)Normal stub area

Sieci zewnętrzne i niesumaryzowane wewnętrzne są reprezentowane przez sieć domyślną z ABR

b)Totally stubby area

Routing domyślny reprezentuje wszystko spoza area

c)Not-so-stubby area (NSSA)

Redystrybucja w OSPF w innych stubby area

Kanały wirtualne - Virtual Links

- Kanały wirtualne konfigurowane są pomiędzy dwoma routerami w backbone, które mają interface we wspólnym obszarze, a który nie jest backbone area

- Służą do udostępnienia backbone area routerom w obszarze, który nie ma bezpośredniego styku do area 0.

Typy routerów w OSPF

Cztery różne kategorie routerów:

- Backbone routers

- Area Border Router - pomiędzy obszarami - routery graniczne

- Internal Router - routery wewnętrzne

- Autonomous System Boundrary Router - główny dostępowy do sieci

OSPF - reguły

- Maxymalna ilość obszarów = 3 dla routera

- Maksymalnie 25, 50, 100 routerów w obszarze

- Używaj default routing i stub area gdzie jest to możliwe

- Zredukuj ilość routerów w obszarze, gdy łącza są niestabilne

Kiedy stosować OSPF

- Duże sieci hierarchiczne

- Sieci o złożonej topologii

- Konieczność stosowania VLSM

- Potrzeba szybkiej konwergencji

- Sprzęt wielu producentów

Snapshot Routing

- Pozwala na stosowanie routingu dynamicznego (distance vector) w sieciach z DDR (dzwonienie na rządanie)

- Zminiejsza wielkość ruchu związanego z aktualizacją routingu

Działanie Snapshot Routing

- żądanie aktualizacji

- wywołanie routera

- przesyłanie informacji o routingu do router klient'a

- zablokowanie tabeli

- aktualizacja

Kiedy użyć Snapshot Routing

- Duże, rosnące sieci

- W technologii Hub-and-spoke (Huby w gwiazdę)

Policy Routing

- Decyzja “którędy przesłać” bazuje na informacji o adresie odbiorcy

- Wybór ścieżki bazuje na informacjach odebranych
w pakiecie użytkownika (adres IP źródłowy/odbiorcy, numer portu, długość pakietu itd)

- Określenie next hop lub interfejsu

- Określenie domyślnego next hop lub interfejsu

Porównanie protokołów routingu

Link state; Distance Vector; Advance DV

- skalowanie - dobre; mała; b. duże

- pasmo - małe; duże; małe

- pamięć - duża; mała; średnia

- CPU - duża; mała; mała

- Konwergencja - szybka; wolna; szybka

- Konfiguracja - przeciętna; łatwa; łatwa

Istotne parametry przełączników:

a)tryby pracy przełącznika

- Transparent Bridging

- Express Switching

b)metody przełączania (buforowanie)

-cut-through (un-buffered)

-fragment free (delayed cut-through)

-store & forward (buffered)

-inteligent switching

Rola przełączników w sieciach LAN

a)Przełącznik dzieli sieć tj. dużą domenę kolizyjną na szereg mniejszych domen

b)Dzięki temu:

-Mniej stacji ubiega się o dostęp do medium transmisyjnego

-Każda stacja ma większy kawałek pasma

-Zagregowane pasmo jest wielokrotnie większe

Ale nadal wszystkie domeny kolizyjne razem tworzą jedną domenę rozgłoszeniową

Realizacja sieci wirtualnych (VLAN)

Metody grupowania portów

-grupowanie portów

-grupowanie adresów MAC

-podsieci IP

Zalety

- Możliwość grupowania między przełącznikami

- Auto rekonfigurowanie po zmianie lokalizacji stacji roboczej

- Łatwość konfigurowania i zarządzania VLAN

- Routing pakietów przesyłanych między różnymi sieciami VLAN

Standardy

a)802.1Q

- standard for Virtual Bridged LAN

- max 127 VLAN na urządzenie

- jeden port może należeć do wielu VLAN

- przekazywanie info VLAN pomiędzy switchami (odbywa się poprzez protokół EVRP)

b)802.1p

- traffic class and dynamic multicast filtering services in bridged LAN

- można nadawać priorytet dla ramki

c)802.1 p/Q

- sekwencja synchroniczna

- adres przeznaczenia

- adres źródłowy

- nowa informacja ramki ethernet

*typ VLAN

*znacznik VLAN

priorytet

enkapsulacja Token Ring

VLAN identyfikator

- długość TCP

- dane

- CRC

- odstęp

POLITYKA BEZPIECZEŃSTWA

- dostępność (availability) - właściwość danych, informacji oraz systemów informatycznych, dzięki której są one osiągalne i mogą być używane w każdym czasie i w wymagany sposób;

- poufność (confidentiality) - właściwość danych i informacji polegająca na ujawnianiu ich wyłącznie uprawnionym podmiotom i na potrzeby określonych procedur, w dozwolonych przypadkach i w dozwolony sposób;

- integralność (integrity) - właściwość danych, informacji oznaczająca ich dokładność i kompletność oraz utrzymanie ich w tym

Wartość informacji

-Niesklasyfikowana (publikowana)

-Niesklasyfikowana (niepublikowana)

-Sklasyfikowana

-Poufna

-Tajna

Kto zagraża informacji ?

-Hackerzy

-Pracownicy firmy

-Kontrahenci

-Konkurencja

-Terroryści

Rodzaje włamań

-Maskarada (Spoofing)

-Zgadywanie haseł (Brute force attack)

-Podsłuchiwanie (Sniffing)

-Szukanie dziur

-Blokowanie serwisów

-Social Engineering

-Terroryzm sieciowy

-Sabotaż wewnętrzny

Zagrożenia związane z transmisją zbiorów (FTP)

-Wirusy

-Bakterie, królik

-Koń trojański

-Bomba czasowa i logiczna

-Robak

-Furtki i włazy

POLITYKA BEZPIECZEŃSTWA - KLASY BEZPIECZEŃSTWA (ORANGE BOOK)

a)D1 - Najniższy poziom bezpieczeństwa oznaczający brak wiarygodności systemu

b)C1 - System operacyjny kontroluje uprawnienia użytkownika do odczytu i zapisu plików i kartotek oraz dysponuje

c)C2 - Rejestracja wszystkich istotnych zdarzeń i zapewnia ochronę kluczowych danych systemowych

d)B1 - Bezpieczeństwo na kilku poziomach. Ma mechanizmy kontroli dostępu do zasobów systemowych

e)B2 - Poziom ten wymaga przypisania każdemu obiektowi systemu etykiety bezpieczeństwa określającej status. W trakcie odwołań do

zasobów żądanie jest akceptowane lub odrzucane przez system gdy etykiety są niezgodne

f)B3 - Bezpieczeństwo jest rozszerzone na sprzęt komputerowy np. łączenie z terminalem za pomocą wiarygodnego okablowania.

g)A1 - Jest to najwyższy poziom bezpieczeństwa. Sprzęt i oprogramowanie wymaga specjalnej weryfikacji np.. ochrona transportu.

Bezpieczeństwo sieci

-polityka zabezpieczeń zewnętrznych (firewall, routery ochronne, ....)

-separacja grup roboczych

-monitoring włamań

-określenie zasad korzystania z modemów

-testowanie sieci pod względem szczelności i efektywności

-szkolenie użytkowników

-Router Chroniący nie stanowi pełnego zabezpieczenia a jest jedynie elementem polityki bezpieczeństwa

BEZPIECZEŃSTWO INFORMACJI

-Hasła

-Autentyczność i integralność (elektroniczny podpis)

-Autoryzacja (Kerberos)

-Enkrypcja

a)dzielony klucz

Taki sam klucz jest używany do szyfrowania i deszyfrowania czyli musi być znany obu stronom

Problemem jest dystrybucja klucza. Wysłanie go otwartym tekstem może czyni go łatwym na przechwycenie a w konsekwencji na rozkodowywanie przesyłanej informacji. Mechanizmem ułatwiającym to zadanie jest metoda Kerberos. Ta metoda jest stosowana w niektórych routerach.

b)klucz publiczny

Występują dwa klucze: publiczny i prywatny. Prywatny klucz dekryptuje wszystko co zostało zaenkryptowane kluczem publicznym.

Użytkownik udostępnia klucz publiczny i wszyscy którzy chcą wysłać do niego informację enkryptują ją tym kluczem.

Jeśli użytkownik klucza prywatnego chce potwierdzić autentyczność partnera może zakryptować informację swoim kluczem. Musi być ona dekryptowalna kluczem publicznym.

ŚCIANY OGNIA

KLASYFIKACJA ŚCIAN OGNIOWYCH

- Ściany ogniowe zaimplementowane na routerach (routery chroniące)

- Ściany ogniowe zaimplementowane na komputerach (Bastion host)

BASTION HOST

-uszczelnia sieć

-instalowany w sieci narażonej na atak (DMZ)

-podstawowy komponent ścian ogniowych

-może równocześnie świadczyć serwisy: Name Server, Web server, FTP server

ZASADY OCHRONY PRZEZ ŚCIANĘ OGNIA:

- Wszystkie wydarzenia są dokładnie monitorowane i zapamiętywane. Zdarzenia mogą generować alarmy.

- Pakiety są badane przed dotarciem do określonego komputera. Jeśli nie spełniają zasad bezpieczeństwa są natychmiast odrzucane.

- Ściany ognia mogą ukrywać adresy IP sieci wewnętrznej.

- Wiele systemów ma możliwość tworzenia VLAN opartych na metodach szyfrowania transmisji danych.

- Użytkownicy wewnętrzni mogą mieć dostęp do wszystkich lub tylko wybranych usług Internet, natomiast użytkowncy zewnętrzni nie będą mieli dostępu do naszych zasobów.

- Usługi takie jak E-Mail, Ftp, WWW mogą być dozwolone tylko w odniesieniu do specyficznego komputera.

- znacznie podniesiony poziom identyfikacji i kontroli tożsamości metodą zabezpieczenia określonych zasobów i aplikacji.

KILKA NIEPRAWD ZWIĄZANYCH Z FIREWALL:

- Nie jest prawdą, że firewall rozwiązuje problem bezpieczeństwa. Jest tylko jedna z wielu części systemu zabezpieczeń.

- Pełny firewall to nie tylko możliwości filtrowania ruchu sieciowego, ale także współpraca z systemami identyfikacyjnymi, szyfrującymi i monitorującymi.

- Firewall wymaga poprawnej konfiguracji, zarządzania i aktualizacji. W przeciwnym razie spełnia odwrotną rolę do zamierzonej ( duże niebezpieczeństwo !!!)

- Do poprawnej implementacji i konfiguracji firewalla niezbędna jest jasna deklaracja w postaci polityki bezpieczeństwa

- Nie jest prawdą, że organizacja jest skazana na wybrany rodzaj firewalla. Wielu producentów oferuje niezwykle korzystne wymiany konkurencyjnych produktów na własne.

---