Tomaž Prelog GRAFIČNI VMESNIK ZA KONFIGURACIJO KRAJEVNIH OMREŽIJ NA USMERJEVALNIKIH Diplomsko delo Maribor, februar 2011

Transkripcija

1 Tomaž Prelog GRAFIČNI VMESNIK ZA KONFIGURACIJO KRAJEVNIH OMREŽIJ NA USMERJEVALNIKIH Diplomsko delo Maribor, februar 2011

2 I Diplomsko delo univerzitetnega študijskega programa GRAFIČNI VMESNIK ZA KONFIGURACIJO KRAJEVNIH OMREŽIJ NA USMERJEVALNIKIH Študent: Študijski program: Smer: Mentor: Tomaž Prelog univerzitetni študijski program telekomunikacije doc. dr. Janez Stergar, uni. dipl. inž. el. Maribor, februar 2011

3 II

4 III ZAHVALA Zahvaljujem se mentorju, doc. dr. Janezu Stergarju, za pomoč in vodenje pri opravljanju diplomskega dela. Posebna zahvala je namenjena mojim najbližjim, ki so mi omogočili študij in me pri tem spodbujali. Hvala.

5 IV GRAFIČNI VMESNIK ZA KONFIGURACIJO KRAJEVNIH OMREŽIJ NA USMERJEVALNIKIH Ključne besede: krajevna omrežja, usmerjevalnik, konfiguracija, grafični uporabniški vmesnik UDK: 004.5: (043.2) Povzetek Diplomska naloga obravnava grafično podporo za konfiguracijo krajevnih omrežij na usmerjevalnikih. Osredotočili smo se na grafični vmesnik podjetja Cisco Security Device Manager (SDM) ter preučili njegove lastnosti in prednosti ter slabosti. Postavili smo manjše omrežje, kjer smo s pomočjo SDM-ja konfigurirali vmesnike, povezave, usmerjanje, sezname za nadzor dostopa, požarni zid ter prevajanje omrežnih naslovov.

6 V A GRAPHIC INTERFACE FOR CONFIGURING LANs ON ROUTERS Key words: local area networks, router, configuration, graphical user interface UDK: 004.5: (043.2) Abstract Bachelor thesis deals with graphic support for configuring LANs on routers. We focused on the Cisco s graphical interface Security Device Manager (SDM) and examined its characteristics, advantages and disadvantages. We set up a small network and with SDM configured interfaces, connections, routing, access control lists, firewall and network address translation.

7 VI VSEBINA 1 UVOD SECURITY DEVICE MANAGER SISTEMSKE ZAHTEVE PC zahteve Operacijski sistemi Brskalniki Java Zahteve usmerjevalnika IOS Pomnilniške zahteve usmerjevalnika SDM DEMO NAMESTITEV IN ZAGON SDM PROGRAMSKE OPREME Postopek obnovitve gesla Zagon SDM-ja Zagonski čarovnik ZGRADBA SDM-ja IN OSNOVNE FUNKCIJE Vstopna stran Konfiguracijski zaslon Varnostno kopiranje in obnovitev konfiguracije Telnet Ping POSTAVITEV OMREŽJA IN KONFIGURACIJA USMERJEVALNIKOV Oprema Kabli Referenčna ura, takt (clock rate) Nastavitev gesla za dostop Konfiguracija vmesnikov / povezav Konfiguracija R

8 VII 7.7 Konfiguracija R Konfiguracija stikala USMERJANJE Statično usmerjanje Privzeta pot Dinamično usmerjanje Protokoli z vektorjem razdalje Protokoli, ki temeljijo na stanju povezav Hibridni protokoli RIP EIGRP OSPF Nadomestna maska SEZNAMI ZA NADZOR DOSTOPA Standardni seznami za kontrolo dostopa Razširjeni seznami za kontrolo dostopa Imenski seznami za kontrolo dostopa Kreiranje seznamov za kontrolo dostopa s pomočjo SDM-ja POŽARNI ZID Osnovni požarni zid Napredni požarni zid Konfiguracija požarnega zidu s pomočjo SDM-ja PREVAJANJE OMREŽNIH NASLOVOV (NAT) Statični NAT Dinamični NAT PAT Konfiguracija NAT-a s pomočjo SDM-ja ALTERNATIVNI GRAFIČNI VMESNIK - CISCO CONFIGURATION PROFESSIONAL SKLEP LITERATURA... 77

9 VIII 15 PRILOGE Seznam slik Seznam tabel Naslov študenta Kratek življenjepis... 80

10 IX UPORABLJENE KRATICE ACL AS BGP CCNA CCO CIDR CLI CPE CPP DCE DHCP DMZ DNS DTE EGP EIGRP FTP HDLC HTTP HTTPS IANA ICMP IETF IGP Access Control List Avtonomen sistem Boarder Gateway Protocol Cisco Certified Network Associate Cisco Connection Online Classless Inter Domain Routing Command Line Interface Centralno Procesna Enota Cisco Configuration Professional Data Circuit-terminating Equipment Dynamic Host Configuration Protocol Demilitirazation zone Domain Name Server Data Terminal Equipment Exterior Gateway Protocol Enhanced Interior Gateway Routing Protocol File Transfer Protocol High-Level Data Link Control HyperText Transfer Protocol HyperText Transfer Protocol Secure Internet Assigned Numbers Authority Internet Control Message Protocol Internet Engineering Task Force Interior Gateway Protocol

11 X IGRP IOS IP IPS IPSec LAN LSA NAT NVRAM OSPF PAT PPPoE PPP QoS RAM RIP RSA SDM SSH SSL TCP UDP UTP VLAN VLSM VPN Interior Gateway Routing Protocol Integrated Operating Sistem Internet Protocol Intrusion Prevention System Internet PRotocol Security Local Area Network Link State Advertisements Network Address Translation Non-Volatile Random Access Memory Open Shortest Path First Port Address Translation Point-to-Point Protocol over Ethernet Point-to-Point Protocol Quality of Service Random Access Memory Routing Information Protocol Riverst Shamir and Adleman Security Device Manager Secure Shell Secure Sockets Layer Transmission Control Protocol User Datagram Protcol Unshielded Twisted Pair Virtual Local Area Network Variable Length Subnet Mask Virtual Private Network

12 XI WAN WINS Wide Area Network Windows Internet Name Service

13 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 1 1 UVOD Današnja omrežja imajo pomemben vpliv na naše življenje spreminjajo način kako živimo, delamo in se zabavamo. Računalniška omrežja in v širšem kontekstu internet omogočajo ljudem, da med seboj komunicirajo, sodelujejo in vplivajo drug na drugega na načine, ki prej niso bili mogoči kot npr. preko spletnih aplikacij, IP telefonije, video konferenc, interaktivnih iger, elektronskega poslovanja, izobraževanja in še mnogo več. V središču omrežja je usmerjevalnik. Poenostavljeno povedano, usmerjevalnik povezuje eno omrežje z drugim in je zato odgovoren za dostavo paketov. Za pravilno delovanje usmerjevalnika, je le-tega potrebno ustrezno konfigurirati. Načina za konfiguracijo sta dva. Prvi je preko usmerjevalnikovega ukazno vrstičnega vmesnika (ang. command line interface - CLI), drugi pa preko grafičnega vmesnika. Konfiguracija preko ukazno vrstičnega vmesnika je dolgotrajnejša in zahteva poznavanje primernih ukazov. Če teh ukazov ne poznamo, nam preostane konfiguracija s pomočjo grafičnega vmesnika. Pri podjetju Cisco so razvili grafični vmesnik za konfiguracijo usmerjevalnikov Cisco Security Device Manager (v nadaljevanju SDM). V diplomski nalogi smo se osredotočili na konfiguracijo krajevnega omrežja preko grafičnega vmesnika SDM. V drugem poglavju smo opisali grafični vmesnik, njegove sistemske zahteve in namestitev. Pregledali in opisali smo tudi osnovne funkcije, ki jih podpira. Nato smo postavili manjše omrežje, sestavljeno iz treh usmerjevalnikov, enega stikala in več osebnih računalnikov. Na tem omrežju smo pokazali, kako s pomočjo SDM-ja izvedemo osnovne nastavitve usmerjevalnikov jih poimenujemo, nastavimo ime domene, IP naslove vmesnikov ter gesla. V nadaljevanju smo na usmerjevalnikih nastavili usmerjanje najprej statično, nato dinamično s pomočjo dinamičnih usmerjevalnih protokolov (RIP, RIP verzije2, EIGRP in

14 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 2 OSPF). Na usmerjevalniku R1 in stikalu smo nastavili dva navidezna lokalna omrežja (ang. virtual local area network VLAN) VLAN6 in VLAN7 in tako pokazali konfiguracijo usmerjanja med različnimi navideznimi omrežji. Nato smo pokazali kako se konfigurirajo seznami za kontrolo dostopa in požarni zid. Na koncu smo nastavili prevajanje omrežnih naslovov (ang. Network Address Translation NAT). V posameznih poglavjih smo z natančnimi navodili, podkrepljenimi s slikami pokazali osnovne konfiguracijske možnosti grafičnega vmesnika, poleg tega pa omenili tudi omejitve SDM-ja. V zaključku so zbrane ugotovitve in končen sklep o ustreznosti oz. primernosti grafičnega vmesnika SDM za konfiguracijo krajevnega omrežja.

15 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 3 2 SECURITY DEVICE MANAGER Ciscov SDM (Security Device Manager) je intuitivno spletno orodje za upravljanje usmerjevalnikov, ki temeljijo na Ciscovi IOS programski opremi. Omrežnim administratorjem omogoča hitro konfiguracijo usmerjevalnikov, lokalnih (ang. Local Area Network - LAN) ter prostranih (ang. Wide Area Network - WAN) vmesnikov, usmerjanja, seznamov za kontrolo dostopa (ang. Access Lists - ACL), prevajanja omrežnih naslovov (NAT), kakovost storitve (ang. Quality of Service QoS), virtualnih privatnih omrežij (ang. Virtual Private Network - VPN), kakor tudi drugih nastavitev povezanih z omrežno varnostjo kot so SSL in IPSec. SDM poenostavlja konfiguracijo usmerjevalnika in varnostnih nastavitev preko pametnih čarovnikov, ki pomagajo opraviti hitro in enostavno namestitev, konfiguracijo in spremljanje Ciscovega usmerjevalnika, vse to pa ne zahteva poznavanje ukazov ukazno vrstičnega vmesnika in usmerjevalnikovega operacijskega sistema (IOS Integrated Operating System). SDM omogoča uporabnikom, da enostavno nastavijo usmerjanje, preklapljanje, varnost ter kakovost storitev (QoS). Prav tako pa omrežnim administratorjem omogoča oddaljeno nastavljanje ter spreminjanje nastavitev usmerjevalnika z uporabo sloja varnih vtičnic (Secure Sockets Layer - SSL) in varne lupine (Secure Shell SSHv2). Sprotno preverjanje, ki je implementirano v SDM-ju, zmanjšuje napake pri sami konfiguraciji. SDM se prav tako pomaga izogniti potencialnim omrežnim zapletom s vnaprejšnjim spremljanjem usmerjevalnikove statistike uspešnosti, sistemskimi dnevniki ter dnevnikom požarnega zidu v realnem času.

16 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 4 3 SISTEMSKE ZAHTEVE 3.1 PC zahteve Operacijski sistemi Microsoft Windows Vista (Business Edition) Microsoft Windows XP Professional Microsoft Windows 2003 Server (Standard Edition) Microsoft Windows 2000 Professional ali Server (ne Advanced Server) z vzdrževalnim paketov - Service Pack 4 Verzije SDM-ja, v jeziku ki ni angleški, ne bodo delovale na PC-ju, kjer je nameščen angleški operacijski sistem Windows (2000 Professional ali XP). Navodila kako v tem primeru nastavimo PC najdemo v prilogi sdmloc.pdf Brskalniki SDM potrebuje spletni brskalnik za dostop do usmerjevalnika. Podprti so naslednji brskalniki: Firefox ali novejši Internet Explorer 5.5 ali kasnejši Netscape Navigator 7.1, 7.2 ali Java Za delovanje SDM-ja je potrebno imeti nameščeno pravo verzijo Jave. Verzija je zadnja, na kateri SDM verzije 2.5 še dela.

17 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 5 Po podatkih iz Ciscove strani opombe k izdaji programske opreme SDM bi naj le-ta delal z naslednjimi verzijami Jave: JRE 1.5_09 JRE 1.4.2_08 JRE 1.5.0_06 JRE 1.5.0_07 JRE 1.6.0_02 JRE 1.6.0_03 V času izvajanja diplomske naloge je bila najnovejša različica Jave 1.6.0_22, a smo jo izklopili in namestili različico 1.6.0_3, ker drugače določeni meniji niso pravilno delovali. Ker uporaba starejše verzije lahko vpliva na varnost drugih programov, ki zahtevajo Javo, je najbolje namestiti zadnjo, najnovejšo različico, katero SDM še podpira. SDM zahteva minimalno ločljivost zaslona 1024 x 768. Resolucija nižja od te ne bo dovolila ogleda celotnega zaslona, ki temelji na Javi. Java ima namreč s spreminjanjem velikosti aplikacij določene probleme. 3.2 Zahteve usmerjevalnika SDM je podprt na usmerjevalnikih serije 800 do 7300 in je samodejno (tovarniško) vključen v bliskovnem pomnilniku (ang. flash) ob nakupu naprave (usmerjevalnikov). Od začetka junija 2003 je SDM naložen na vseh usmerjevalnikih, ki imajo ustrezen IOS. V prilogi sdmi21.pdf se v tabeli 1 nahaja seznam usmerjevalnikov in IOS-ov, ki podpirajo Ciscov SDM IOS Z ukazom show version preverimo različico nameščenega operacijskega sistema IOS. Na naših usmerjevalnikih so bile nameščene verzije, katere SDM-ja ne podpirajo. Zato smo iz Ciscove strani sneli primerno različico.

18 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 6 Verzije operacijskih sistemov najdemo na povezavi: Odločili smo se za verzijo 12.4(25c), saj ta podpira vse funkcije, ki smo jih želeli demonstrirati Pomnilniške zahteve usmerjevalnika Verzije SDM-ja, starejše od 2.1, so lahko nameščene izključno na usmerjevalniku, medtem ko so novejše različice lahko nameščene bodisi na računalniku ali na usmerjevalniku. Minimalne zahteve pomnilnika so podane v tabeli 3.1. Tabela 3.1: Minimalno zahtevan pomnilnik Aplikacija Cisco SDM Cisco SDM Express Cisco SDM nameščen na PC-ju Minimalno zahtevan pomnilnik 7.63 MB (8,008,718 bytes) 2.43 MB (2,550,798 bytes) 8.14 MB (8,545,681 bytes) Če nismo prepričani ali je na našem usmerjevalniku SDM že naložen, lahko tudi to, v ukazno vrstičnem vmesniku preverimo z ukazom dir ali show flash (slika 3.1). Če je SDM že nameščen, so v bliskovnem pomnilniku shranjene datoteke kot npr. common.tar, es.tar, home.shtml, home.tar in sdm.tar (odvisno od različice SDM-ja). Če teh datotek v bliskovnem pomnilniku ni, potem tudi SDM na usmerjevalniku ni nameščen.

19 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 7 S pomočjo ukaza show flash, lahko tudi vidimo ali imamo na usmerjevalniku dovolj prostora za namestitev SDM-ja. Ker je bilo na naših usmerjevalnikih prostega pomnilnika v povprečju samo nekaj več kot 2.7 MB smo se odločili, da SDM namestimo samo na PCju. Slika 3.1: Izpis ukaza dir

20 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 8 4 SDM DEMO Na spletu je na voljo tudi različica SDM demo. SDM demo je mišljen kot pomoč pri učenju oz. rokovanju s SDM-jem, če na voljo nimamo usmerjevalnika ali imamo usmerjevalnik, ki ne podpira SDM-ja. Ta brezplačna aplikacija je mišljena kot demonstracija SDM-ja in deluje na Windows 2000 ali XP. Simulira dejansko konfiguracijo usmerjevalnika z vsemi podprtimi funkcijami in rešitvami. Uspeli smo jo zagnati tudi na Windows 7, na Windows Visti pa nam zaradi»varnostnih«omejitev samega operacijskega sistema to ni uspelo. Navodila za namestitev in zagon SDM demo verzije najdemo na strani Kot smo ugotovili pa navodila niso popolna. Ko smo namreč želeli zagnati SDM demo (ip naslov ), nam je aplikacija javila, da ni sposobna zagnati programa glej sliko 4.1. Slika 4.1: SDM javi, da se ni sposoben zagnati Rešitev problema je naslednja: namestiti smo morali majhen strežnik in ga konfigurirati tako, da kaže na C.\root direktorij oz. na datoteko datafile.zip oboje deluje.

21 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 9 Zaradi njegove majhnosti in enostavnosti smo se odločili za AnalogX SipleServer (slika 4.2), ki ga snamemo s strani Slika 4.2: AnalogX Simple Server

22 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 10 5 NAMESTITEV IN ZAGON SDM PROGRAMSKE OPREME SDM si lahko snamemo z naslednjega naslova: Potrebujemo le uporabniški račun Cisco Connection Online (CCO), ki je brezplačen, tako kot tudi sama SDM programska oprema. Tehnično literaturo najdemo na strani: ml Tukaj so zbrana navodila za postavitev požarnega zidu, virtualnega privatnega omrežja, IPS-a, itd. SDM lahko namestimo in zaženemo na usmerjevalniku, ki je že v uporabi, brez da prekinemo omrežni promet, le zagotoviti moramo, da so nekatere nastavitve prisotne v usmerjevalnikovi konfiguracijski datoteki. Seveda lahko SDM zaženemo tudi na usmerjevalniku, na katerem še ni konfigurirano ničesar oz. le-ta ni v uporabi. Postopek je enak, le najprej moramo poskrbeti za povezavo usmerjevalnika z PC-jem. To naredimo tako, da ju povežemo s prehodnim kablom ter na usmerjevalniku nastavimo vmesnik in na PC-ju omrežno kartico tako, da sta tako PC kot usmerjevalnik v istem omrežju. Povezljivost preverimo z ukazom ping. Sedaj lahko dostopamo do usmerjevalnika. Odpremo brskalnik (onemogočeno moramo imeti prepoved nezahtevanih oken pop up blocker) in vnesemo IP naslov, ki smo ga dodelili usmerjevalniku. Če pa želimo usmerjevalnik nastaviti tako, da bomo dostopali preko HTTPS protokola, kar omogoča dostop do privilegiranega načina, pa je postopek sledeč:

23 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran Omogočimo http in https strežnika na usmerjevalniku z vnosom naslednjih ukazov v globalnem konfiguracijskem načinu: Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# hostname ime usmerjevalnika (priporočljivo) Router(config)# ip domain-name domena (priporočljivo) Router(config)# ip http server Router(config)# ip http secure-server Router(config)# ip http authentication local SDM uporablja sloj varnih vtičnic (SSL Secure Socket Layer) za pošiljanje konfiguracije na usmerjevalnik in varnostno lupino (SSH Secure Shell) za dejansko dostavo ukazov ter posledično prikazovanje teh ukazov kot npr. show ukazov nazaj v SDM grafičnem vmesniku. Oba SSL in SSH zahtevata RSA (Riverst, Shamir and Adleman) par ključev. RSA asimetrični šifrirni postopek je algoritem, ki spada v družino algoritmov za šifriranje z javnim ključem. Je prvi algoritem praktično primeren za podpisovanje in šifriranje in ena prvih prednosti šifriranja z javnim ključem. RSA se na široko uporablja v protokolih, namenjenim komercialnim komunikacijam in velja kot varen, če je le dolžina ključev dovolj velika. Za generiranje teh ključev je priporočljivo, da usmerjevalniku dodelimo ime gostitelja (hostname) in domene (ip domain-name). Ko prvič preko SDM-ja dostopamo do usmerjevalnika, le-ta samodejno ustvari par ključev, ki ga uporablja za SSH, kot tudi za kreiranje samo podpisanega SSL ceftifikata (self-signed SSL certificate). V določenih verzijah IOS-a ime gostitelja in ime domene nista potrebna, saj se par ključev in SSL certifikat ustvarita ob omogočanju https protokola. Če usmerjevalnik podpira HTTPS protokol, bo HTTPS strežnik omogočen. Če pa ga ne podpira, bo omogočen HTTP strežnik. HTTPS je podprt v vseh IOS slikah, ki podpirajo Crypto/IPSec nabor funkcij, od IOS verzije 12.25(T) dalje.

24 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran Z vnosom naslednjega ukaza kreiramo uporabniški račun z geslom stopnje 15. Username in password zamenjamo z uporabniškim imenom in geslom, ki jih želimo uporabiti. Router(config)# username username privilege 15 secret 0 password Izbrali smo uporabniško ime cisco216 in geslo sdm216. Router(config)# username cisco216 privilege 15 secret 0 sdm216 To uporabniško ime in geslo bomo kasneje uporabili za prijavo v SDM. 3. Konfiguriramo SSH in Telnet za lokalno prijavo z stopnjo varnosti 15. Router(config)# line vty 0 4 Router(config-line)# privilege level 15 Router(config-line)# login local Router(config-line)# transport input telnet ssh Router(config-line)# exit Natančna navodila kako povezati usmerjevalnik s PC-jem in začeti uporabljati Cisco SDM najdemo v prilogi SDMq7.pdf. Pri začetni konfiguraciji enega izmed usmerjevalnikov smo naleteli na težavo. Na usmerjevalniku je bilo namreč nastavljeno geslo za dostop, katerega nismo poznali. Izvedli smo t. i. postopek obnovitve gesla z obvodom. 5.1 Postopek obnovitve gesla Z konzolnim kablom se povežemo na usmerjevalnik ter s privzetimi nastavitvami zaženemo uporabniški terminal Hyperterminal.

25 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 13 Če želimo obnoviti geslo, moramo vklopiti bit številka 6. S tem»povemo«usmerjevalniku naj prezre vsebino NVRAM-a. Vrednost konfiguracijskega registra za vklop bita 6 je 0x2142. Natančen postopek je sledeč: 1. Zaženemo usmerjevalnik in z pritiskom na gumb Break (ali različico Ctrl Break odvisno od platforme) prekinemo zagonsko sekvenco, kar nas preusmeri v t. i. ROM monitor usmerjevalnika, ki predstavlja najnižjo stopnjo konfiguracije naprave. 2. Spremenimo konfiguracijski register za vklop bita 6 (z vrednostjo 0x2142). Ukaz: confreg 0x Ponovno zaženemo usmerjevalnik. Ukaz: reset 4. Ob ponovnem zagonu usmerjevalnika vstopimo v privilegiran uporabniški način. Ukaz: enable 5. Prekopiramo zagonsko konfiguracijsko datoteko v trenutno konfiguracijsko datoteko (samo če želimo ohraniti nastavitve). Ukaz: copy startup-config running-config. 6. Spremenimo geslo (za spreminjanje gesla moramo preklopiti v konfiguracijski način) Ukaz: enable secret sdm Ponastavimo konfiguracijski register na privzeto vrednost (0x2102). Ukaz: confreg 0x Shranimo trenutno konfiguracijsko datoteko v zagonsko konfiguracijsko datoteko usmerjevalnika. Ukaz: copy running-config startup-config

26 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran Ponovno zaženemo usmerjevalnik (opcijsko). Ukaz: reload 5.2 Zagon SDM-ja Če imamo SDM nameščen na osebnem računalniku, potem ga zaženemo s potrditvijo Cisco SDM ikone na namizju. V polje Device IP Address (ali Hostname) vnesemo IP naslov (ali ime gostitelja), ki smo ga nastavili na usmerjevalnikovem vmesniku (ali ime gostitelja, če ga ima naprava in če je omogočen DNS), preko katerega smo povezani. V našem primeru je ip naslov glej sliko 5.1. Slika 5.1: Zagon SDM-ja S pritiskom na gumb Launch (zaženi), se zažene spletni brskalnik in aktivira okno za avtentifikacijo, kjer vpišemo predhodno nastavljeno uporabniško ime in geslo. V našem primeru je uporabniško ime cisco216 in geslo sdm216 glej sliko 5.2.

27 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 15 Slika 5.2: Vnos uporabniškega imena in gesla S pritiskom na gumb»v redu«se aktivira novo okno in dve varnostni opozorili (prvo glede digitalnega podpisa in drugo glede različice Jave). Za nadaljevanje potrdimo Run (zaženi) in SDM se zažene. Prvotno okno brskalnika lahko zapremo, pojavno (ang. pop-up) okno pa mora ostati odprto, saj SDM preko Jave to okno uporablja za komunikacijo do usmerjevalnika z uporabo SSL. 5.3 Zagonski čarovnik Nekateri modeli usmerjevalnikov in verzije SDM podpirajo čarovnika za zagon. Le-ta, če je podprt, se aktivira, ko prvič dostopamo do usmerjevalnika na katerem so privzete nastavitve. Funkcija zagonskega čarovnika je osnovna konfiguracija usmerjevalnika ob prvem zagonu. Čarovnik nas vodi skozi nekaj zaslonov, kjer lahko nastavimo naslednje informacije: Konfiguracijo lokalnih (LAN) vmesnikov informacije IP naslavljanja. Konfiguracijo DHCP strežnika za naprave, priključene na LAN vmesnik, vključno z obsegom (bazenom) IP naslovov, privzeti prehod, naslove strežnikov DNS in WINS ter druge informacije. Ime gostitelja in domene. Geslo za dostop do privilegiranega načina (enable secret geslo). Uporabniški račun in geslo stopnje 15. Usmerjevalniki, ki smo jih uporabili čarovnika za zagon niso podpirali in se nam je zato, po vpisu uporabniškega imena in gesla, odprla vstopna stran SDM SDM Home.

28 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 16 6 ZGRADBA SDM-ja IN OSNOVNE FUNKCIJE 6.1 Vstopna stran Po uspešni povezavi računalnika z usmerjevalnikom, se odpre okno, prikazano na sliki 6.1 to je t. i. vstopna stran SDM. Ta vsebuje informacije strojne in programske opreme usmerjevalnika, razpoložljivost funkcij in povzetek konfiguracije. Na samem vrhu je menijska vrstica od koder lahko dostopamo do naslednjih menijev: File (Datoteka), Edit (Urejanje), View (Pogled), Tools (Orodja) in Help (Pomoč). Pod menijsko vrstico najdemo naslednje gumbe: Home (Domov). To je domača stran grafičnega vmesnika. Configure (Konfiguriraj). S pritiskom na gumb vstopimo v konfiguracijski zaslon, kjer lahko spreminjamo konfiguracijo usmerjevalnika. Monitor (Nadzor). S pritiskom na gumb aktiviramo zaslon, kjer lahko nadzorujemo delovanje usmerjevalnika ter konfiguriranih lastnosti kot npr. vmesnikov, požarnega zidu itd. Refresh (Osveži). S pritiskom na gumb se prenese trenutna konfiguracija (ang. running-config) iz usmerjevalnika v SDM in nadomesti konfiguracijo, ki jo ima SDM trenutno nameščeno. Save (Shrani). S pritiskom na gumb se pošlje usmerjevalniku ukaz copy runningconfig startup-config, ki povzroči, da usmerjevalnik shrani svojo aktivno konfiguracijo v NVRAM. Search (Išči). S pritiskom na gumb, se prikaže zaslon, kjer lahko vnesemo ključno besedo ali besede, kot pomoč, da lažje najdemo iskani zaslon za konfiguracijo določene lastnosti. Rezultati so nadpovezave (ang. hyperlink) ki nas usmerijo neposredno v izbran konfiguracijski ali nadzorni zaslon.

29 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 17 Help (Pomoč). S pritiskom na gumb prikličemo pomoč kako uporabljati SDM za konfiguracijo usmerjevalnika. Slika 6.1: Osnovni zaslon Na vstopnem zaslonu imamo dva razdelka: Razdelek o usmerjevalniku (ang. About Your Router) in Pregled Konfiguracije (ang. Configuration Overview). V prvem si lahko ogledamo informacije o usmerjevalniku kot so ime gostitelja, model usmerjevalnika, količino pomnilnika RAM in bliskovnega pomnilnika nameščenega v usmerjevalniku, različici IOS-a in SDM-ja ter varnostnih funkcij, ki jih nameščeni IOS podpira. Če je indikacijski simbol zelen, nameščeni IOS to funkcijo podpira, če je rdeč, pa ne. Če je znotraj simbola še kljukica, je funkcija v uporabi oz. konfigurirana.

30 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 18 V drugem razdelku pa si lahko ogledamo naslednje: Nameščene fizične vmesnike in njihov status. Povzetek stanja konfiguracije požarnega zidu. Povzetek stanja virtualnih privatnih povezav (VPN). Povzetek konfiguracije usmerjanja. Povzetek konfiguracije sistema za preprečevanje vdorov (IPS). Med obema razdelkoma je gumb View Running Conf. S pritiskom nanj se izpiše trenutna konfiguracijska datoteka. 6.2 Konfiguracijski zaslon S pritiskom na gumb Configure (konfiguriraj) aktiviramo konfiguracijski zaslon, kjer je nabor možnih nastavitev usmerjevalnika, njegovih vmesnikov in lastnosti (slika 6.2). Na levi strani zaslona so gumbi za krmarjenje do različnih konfiguracij: Vmesniki in povezave (Interfaces and Connections). Nastavimo lahko snopljenje vmesnikov (ang. trunking) in prikažemo njihovo stanje ter konfiguracijo. Požarni zid in dostopovni seznami (Firewall and ACL). Na usmerjevalnikih z dvema ali več vmesniki lahko ustvarimo in spreminjamo politiko požarnega zidu ter nastavimo in urejamo sezname za nadzor dostopa. VPN (navidezna zasebna omrežja). Ustvarjamo, urejamo in pregledujemo lahko varnostni protokol za zaščito komunikacije med vozliščema (IPSec site-to-site), IPSec za oddaljen dostop in SSL virtualna privatna omrežja, ki jih Cisco imenuje WebVPN. Nadzor Varnosti (Security Audit). Opravimo lahko varnostni pregled usmerjevalnika.

31 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 19 Usmerjanje (Routing). Nastavimo lahko statično ali dinamično usmerjanje ter privzete poti. NAT (prevajanje omrežnih naslovov). Nastavimo lahko statične ali dinamične politike prevajanja IP naslovov. Zaščita pred vdori (Intrusion Prevention). Nastavimo lahko politiko sistema za preprečevanje vdorov in odkrivanje napadov na omrežje ali gostitelja. Kakovost storitve (Quality of Service). Določimo lahko politiko kakovosti storitev za promet, ki gre skozi usmerjevalnik. Kontrola omrežnega dostopa - NAC (ang. Network Admission Control). Nastavimo, da lahko strežnik za nadzor dostopa do omrežja. Dodatne nastavitve (Additional Tasks). Nastavimo lahko druge naloge upravljanja kot na primer postavitev DHCP strežnika, definicija lokalnih uporabniških računov, omejitev dostopa do virtualnih VTY linij, vzpostavitev SSH-ja in mnoge druge funkcije. Priročna lastnost SDM-ja je, da omogoča predogled ukazov katere generira, preden se ti vnesejo v tekočo konfiguracijo (running-config). Privzeto je ta funkcija izklopljena. Vklopimo pa jo tako, da izberemo Edit > Preferences in odkljukamo Predogled ukazov preden se posredujejo usmerjevalniku (ang. Preview commands before delivering to router). Ukazi so zapisani v enaki obliki kot bi jih vpisali v ukazno vrstičnem vmesniku CLI.

32 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 20 Slika 6.2: Konfiguracijski zaslon 6.3 Varnostno kopiranje in obnovitev konfiguracije SDM-jevo orodje za varnostno kopiranje konfiguracije je zelo preprosto. Deluje nekako takole: če bi se na usmerjevalnik povezali oddaljeno npr. s telnetom, vpisali ukaz show running-config in izpis shranili kot.txt datoteko, bi naredili pravzaprav nekaj podobnega kot to stori prav SDM. Uporaba SDM-ja je proti klasičnem načinu ukazno vrstičnega vmesnika enostavnejša. To pa zato, ker ne potrebujemo tftp strežnika. Z uporabo SDM-ja se preko protokola http ali https povežemo na usmerjevalnik in vse potrebne konfiguracijske datoteke shranimo lokalno na našem računalniku, namesto da bi za ta namen konfigurirali tftp gostitelja oz. strežnik.

33 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 21 Postopek je sledeč: Ne glede na katerem zaslonu se trenutno nahajamo, v zgornji vrstici izberemo File > Write to Startup Config za zapis trenutne konfiguracijske datoteke (running config) v neizbrisljivi RAM oz. NVRAM. Tako se bo ponovnem zagonu usmerjevalnika zagnala ta shranjena konfiguracija. Naslednja možnost je, da izberemo File > Save Running Config to PC. S tem ukazom posnamemo trenutno konfiguracijsko datoteko na PC. Odpre se novo okno, kjer izberemo lokacijo in ime shranjene konfiguracijske datoteke. Odpremo jo lahko kot tekstovno datoteko npr. z beležnico. Zadnja možnost za upravljanje datotek je uporaba zaslona za Upravljanje konfiguracije (ang. Configuration Management), ki ga najdemo pod dodatnimi zahtevami (Additional Tasks) v konfiguracijskem zaslonu. Konfiguracijski urejevalnik (ang. Config Editor) nam omogoča spreminjanje trenutne konfiguracije, vendar se moramo pred tem s pritiskom na gumb I Agree strinjati, da lahko»pokvarimo«konfiguracijo usmerjevalnika in nas to ne moti. Pametno je izbrati Save Running Configuration, da pred spreminjanjem shranimo trenutno konfiguracijo. Nato lahko izberemo ali želimo konfiguracijsko datoteko uvoziti iz RAM-a usmerjevalnika ali iz PC-ja. Uvožena konfiguracija se pojavi v spodnjem oknu kjer jo lahko spreminjamo. S pritiskom na gumb Save to PC jo shranimo na PC, lahko pa z njo zamenjamo obstoječo trenutno konfiguracijo ali spremenjene oz. dodatno konfigurirane ukaze s pritiskom na gumb Merge with Running Confg spojimo s trenutno konfiguracijo. Kot zadnjo lahko omenimo še možnost Reset to factory default v meniju Configuration Management. Na ta način lahko usmerjevalnik povrnemo v stanje tovarniških nastavitev, kar pomeni, da bomo tako izbrisali vse kar smo s pomočjo SDM-ja ali ukazno vrstičnega vmesnika nastavili oz. konfigurirali. Ta storitev pa ni na voljo, če smo SDM namestili na računalniku.

34 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran Telnet Telnet je omrežni protokol v aplikacijskem sloju v protokolnem skladu TCP/IP (OSI L7), ki omogoča oddaljeno povezovanje med strežnikom in odjemalcem. Standardno uporablja 7-bitni nabor znakov ASCII (8-bitne znake uporablja le kot ukazne). S posebno izbiro lahko sproži tudi 8 bitno delovanje. Poleg klasičnih terminalskih lastnosti omogoča tudi pošiljanje celotne vrstice v paketu (ne zgolj znak za znakom). Na usmerjevalnik se lahko s pomočjo SDM-ja povežemo tudi preko telneta in tako dostopamo do usmerjevalnikovega ukazno vrstičnega vmesnika. To storimo tako, da v zgornji vrstici izberemo Tools > Telnet. Odpre se pojavni zaslon DOS, ki vzpostavi zvezo z usmerjevalnikom na katerega smo že priključeni s protokolom http ali https. Vpišemo nastavljeno uporabniško ime ter geslo in tako preidemo v privilegiran uporabniški način, kjer imamo dostop do vseh usmerjevalnikovih nastavitvenih ukazov. Drugih možnosti za uporabo Telnet preko SDM-ja ni. 6.5 Ping Ping je administracijsko orodje za računalniška omrežja, s pomočjo katerega preverjamo dosegljivost gostiteljev v IP omrežju. Ping pošilja zahtevke za odgovore na določen naslov gostitelja. Uporablja protokol sloja 3, ki je del TCP/IP sklada. To je ICMP (Internet Control Message Protocol). Ping uporablja ICMP zahtevo za odgovor (ICMP Echo Request). Če gostitelj na določenem naslovu prejme zahtevo Echo Request, se odzove z datagramom ICMP Echo Reply. Za vsak poslan ICMP Echo Request meri čas, potreben za odgovor. Aplikacija za vsak prejeti odgovor prikaže koliko časa je minilo od poslanega zahtevka do prejetega odgovora in tako na nek način meri odzivnost omrežja. Ima določen maksimalen čas čakanja na odgovor in ko ta čas preteče, ping sporoči, da odgovor ni bil sprejet (privzeto 2 s). Tako se torej z aplikacijo ping analizira tudi uspešnost pozivov in odgovorov ter potreben obhodni čas (ang. round-trip time).

35 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 23 S pomočjo SDM-ja lahko uporabljamo ICMP. Izberemo Tools > Ping. Odpre se nam nov zaslon Ping. Tukaj lahko (opcijsko) v okno Source vpišemo (ali pa s pomočjo spustnega menija izberemo) ip naslov vmesnika s katerega želimo poslati ping (to je na usmerjevalnikih koristno saj je vmesnikov navadno več). Povezljivost s ping lahko preverjamo s kateregakoli vmesnika na usmerjevalniku. Privzeto pa se ping pošlje z zunanjega vmesnika preko katerega smo povezani z oddaljeno napravo. V okno Destination vpišemo (ali izberemo) ip naslov naprave, katerega povezljivost (vmesnik) želimo preveriti. S pritiskom na gumb Ping se le-ta izvede.

36 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 24 7 POSTAVITEV OMREŽJA IN KONFIGURACIJA USMERJEVALNIKOV Da smo lahko pokazali nekatere nastavitve, ki jih omogoča SDM, smo postavili manjše WAN omrežje (slika 7.1). Najprej smo celoten koncept omrežja izdelali v emulacijskem programu Cisco Packet Tracer. Program lahko brezplačno snamemo s Ciscove strani, če smo vpisani v enega izmed tečajev (npr. CCNA) in je namenjen kot pomoč pri praktičnem delu. Je zmogljiv simulacijski program, ki študentom omogoča eksperimentiranje obnašanja različnih omrežij, simulacijo in vizualizacijo le-teh ter odkrivanje in odpravljanje napak v konfiguracijah omrežnih naprav. Packet Tracer omogoča uporabo ukazno vrstičnega vmesnika (CLI) za konfiguracijo omrežnih naprav, žal pa ne omogoča simulacijo SDM-ja na usmerjevalnikih. Imena usmerjevalnikov smo nastavili že v konfiguraciji preko ukazno vrstičnega vmesnika kjer smo omogočili delovanje samega SDM-ja.

37 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 25 Slika 7.1: Skica omrežja Celotna IP naslovna shema je prikazana v tabeli 7.1 Tabela 7.1: Naslovna shema omrežja Usmerjevalnik Naslov omrežja Vmesnik IP Naslov Corp Corp F0/ Corp S0/ Corp S0/1 (DCE) Corp Loopback Corp Ethernet1/ R1

38 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 26 R S0/0 (DCE) R F0/ R1 Native VLAN F0/ R1 VLAN F0/ R1 VLAN F0/ R Ethernet1/ R2 R S0/ R F0/ R F0/ R Ethernet1/ Oprema Naprave v omrežju so naslednje: Corp, R1 in R2 so Cisco usmerjevalniki serije 2650 in 2651 XM, stikalo S1 je Cisco stikalo serije Catalyst Express 500. Usmerjevalnike serije 2650, 2651XM smo konfigurirali s pomočjo SDM-ja in sicer tako, da smo nanje povezali PC preko enega od lokalnih vmesnikov Ethernet 1/0. Tako smo imeli na voljo FastEthernet (10/100) vmesnike za omrežje. Vmesnikom za konfiguracijo smo dodelili enak IP naslov ( /24), tako da smo lahko vse usmerjevalnike konfigurirali z enim PC-jem na katerega smo namestili SDM. Preprosto smo preklapljali UTP kabel z neposredno zvezanimi vodi (ang. straight through cable) in v programu SDM pritisnili gumb Refresh (Osveži). Tako se je samodejno naložila trenutna konfiguracija usmerjevalnika, na katerega smo bili povezani.

39 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 27 Stikalo serije Catalyst Express 500 smo prav tako konfigurirali s pomočjo implementiranega grafičnega vmesnika (ta serija stikal nima CLI podpore). 7.2 Kabli Za gradnjo našega omrežja smo uporabili tako UTP parice z neposredno zvezanimi vodniki, UTP parice s križno zvezanimi vodniki (ang. crossover), UTP parice z zrcalno zvezanimi vodniki (ang. rollover) in serijske kable. Usmerjevalnik smo preko serijskega vmesnika povezali s serijskim kablom V.35. Paziti smo morali kje je DCE konec kabla (ang. Data Communication Equipment), da smo na tisti strani nastavili referenčno uro (clock rate), saj je v našem primeru šlo za laboratorijsko okolje drugače»dobimo«referenčno uro od ponudnika internetnih storitev (ponavadi naprave CSU/DSU). Povezavo Usmerjevalnik - PC smo povezali z UTP kablom s križno zvezanimi vodniki, saj gre za naprave istega sloja OSI modela. Povezavo PC - stikalo in stikalo - usmerjevalnik smo povezali z UTP kablom z neposredno zvezanimi vodniki. 7.3 Referenčna ura, takt (clock rate) S SDM-jem ni bilo mogoče konfigurirati procesorskega takta oz. ure (ang. clockrate) na usmerjevalnikih. Le-to smo nastavili preko ukazno vrstičnega vmesnika z ukazom: clock rate Na sliki 7.1 je vidno na katerih vmesnikih smo referenčno uro nastavili. 7.4 Nastavitev gesla za dostop Kot tudi vse ostale nastavitve, se gesla kreirajo v konfiguracijskem zaslonu. Pod Dodatnimi nastavitvami (Additional Tasks) in Lastnostmi usmerjevalnika (Router Properties) ter izbiro urejanja (Edit), lahko usmerjevalniku nastavimo ali spremenimo ime gostitelja (Hostname), ime domene (Domain Name), sporočilo ob dostopu (Banner) ter geslo za dostop do administratorskega načina (Enable secret Password).

40 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran Konfiguracija vmesnikov / povezav Najprej smo se lotili nastavitve lokalnih nato serijskih vmesnikov oz. povezav. Postopek izbire ukazov je naslednji: Configure > Interfaces and Connections. Tukaj izberemo kateri vmesnik / povezavo želimo konfigurirati. Na voljo imamo Ethernet LAN, Ethernet prek dvotočkovne povezave (PPPoE or Uncapsulated Routing) in serijski vmesnik - Serial s pripadajočimi protokoli (PPP, HDLC or Frame Relay). Izbira Ethernet LAN konfiguracija lokalnega vmesnika / povezave za neposredno usmerjanje (ang. straight routing) in uporabo protokola 802.1q za snopljenje (ang. trunking). Če izberemo neposredno usmerjanje, potem ni mogoče kreirati logičnih podvmesnikov (ang. subinterfaces) za VLAN-e, ki pogojujejo aktivacijo 802.1q. Izbira Ethernet (PPPoE or Unencapsulated Routing) konfiguracija lokalnega vmesnika / povezave za usmerjanje od točke do točke preko Eterneta ali neenkapsulirano usmerjanje. Izbira - Serial (PPP, HDLC or Frame Relay) konfiguracija serijskega vmesnika / povezave z uporabo različnih WAN protokolov: od točke do točke, HDLC ali blokovnega posredovanja. 7.6 Konfiguracija R2 Najprej smo se lotili konfiguracije usmerjevalnika R2. Ko smo lokalnemu vmesniku priredili IP naslov in masko, nas je SDM vprašal ali želimo omogočiti DHCP strežnik na tem vmesniku. Ker DHCP strežnika na lokalnih vmesnikih usmerjevalnika R2 nismo potrebovali, te možnosti nismo izbrali. Ob končani konfiguraciji so se izpisali ukazi, ki so bili poslani usmerjevalniku. Z izbiro Test the connectivity after configuration (testiraj povezljivost po končani konfiguraciji) smo imeli možnost preveriti povezljivost ob zaključeni nastavitvi.

41 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 29 Nato smo konfigurirali serijski vmesnik / povezavo (slika 7.2). Vmesniku smo priredili statičen IP naslov, na voljo pa smo imeli tudi izbiro IP Unnumbered. IP Unnumbered (Neoštevilčen IP) je zelo zanimiva možnost konfiguracije vmesnika, saj nam omogoča vzpostaviti omrežno povezavo brez uporabe IP naslova. Namesto tega si vmesnik usmerjevalnika»sposodi«ip naslov aktivnega vmesnika na drugi strani povezave. Vmesnik si torej deli IP naslov, ki je že bil dodeljen drugemu vmesniku. Če se odločimo za to možnost, moramo še izbrati vmesnik, katerega naslov želimo uporabiti. Ta funkcija je zelo priročna, če imamo na razpolago malo podomrežij oz. naslovov. Naslednja možnost, ki je na voljo je Enable Dynamic DNS. To možnost izberemo če želimo posodobiti naš DNS strežnik avtomatično vsakič, ko se spremeni IP naslov WAN vmesnika. Naslednji zaslon nam omogoča dodatne opcije, kjer lahko nastavimo statično usmerjanje in NAT. Opcijo Default Static Route izberemo, če želimo konfigurirati statično pot do zunanjega vmesnika, kamor bo odhodni promet usmerjen. Slika 7.2: Konfiguracija vmesnika s0/1

42 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran Konfiguracija R1 F0/1 smo konfigurirali za snopljenje. To smo storili tako, da smo izbrali drugo opcijo v čarovniku za konfiguracijo lokalnega vmesnika / povezave. Opcija je Konfiguriraj vmesnik za 802.1Q snopljenje. Odpre se novo okno, kjer vpišemo številko VLAN-a (1-4094). Poleg številke imamo možnost izbire privzetega (Native) VLAN-a. To storimo, če želimo npr. konfigurirati VLAN, ki ne uporablja 802.1Q protokola za enkapsulacijo - Native VLAN. Lahko tudi iz varnostnih razlogov. Če želimo uporabiti 802.1Q označevanje pustimo opcijo Native VLAN neizbrano. Na usmerjevalniku R1 smo določili VLAN 1 kot Native VLAN in mu dodelili IP naslov /24. Nato smo postopek na istem vmesniku ponovili za preostala dva VLAN-a 6 in 7, le da nismo izbrali možnosti privzetega VLAN. Tako smo omogočili označevanje z 802.1q. Slika 7.3: Konfiguracija VLAN-a

43 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 31 VLAN-u 6 smo določili IP naslov /24, VLAN-u 7 pa /24. Odprlo se je novo okno, kjer smo na vmesniku omogočili DHCP strežnik. Za vsak logični vmesnik (VLAN) smo definirali obseg IP naslovov (t. i. bazen naslovov), ki bodo dodeljeni priključenim napravam. Bazen IP naslovov za VLAN 6: Bazen IP naslovov za VLAN 7: Slika 7.4: Bazen IP naslovov za VLAN Sledila je konfiguracija serijskega vmesnika / povezave. S pritiskom na zavihek Edit Interface/Connection lahko preverimo in urejamo konfigurirane vmesnike oz. povezave (slika 7.5).

44 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 32 Slika 7.5: Konfigurirani vmesniki 7.8 Konfiguracija stikala Stikalo, ki smo ga imeli na razpolago je bilo serije Cisco Catalyst Express 500. Ta serija omogoča konfiguriranje izključno preko grafičnega vmesnika. Najprej smo stikalo ponastavili na tovarniške nastavitve. Postopek je sledeč: 1. Najprej mrežno kartico PC-ja nastavimo tako, da samodejno pridobi IP naslov preko DHCP strežnika vmesnika stikala (FastEthernet 0/0). 2. Medtem ko priključimo omrežno stikalo na napajanje (stikala navadno nimajo stikala za vklop), pritisnemo in držimo gumb Setup.

45 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran Počakamo tako dolgo, da vse LED (System, Alert, in PoE) zagorijo oranžno, nato tipko Setup spustimo. LED System utripa zeleno, nato se obarva oranžno. 4. Ko vidimo, da LED nad enimi vrati stikala utripa zeleno, tja priključimo PC (to so ponavadi kar prva vrata). Stikalo PC-ju dodeli IP naslov. 5. Odpremo spletni brskalnik. Če se grafični vmesnik ne pokaže samodejno, potem v naslovno vrstico vpišemo IP naslov privzetega prehoda (v našem primeru je to IP naslov stikala, ki je privzeto prvi logični naslov v privatnem omrežju ). 6. V grafičnem vmesniku nato sledimo navodilom za povrnitev na tovarniške nastavitve. 7. Ko se stikalo ponovno zažene, počakamo, da LED System začne utripati zeleno in nato pritisnemo pripadajoči istoimenski gumb. PC priklopimo na tista vrata nad katerimi LED lučka utripa zeleno. 8. V spletni brskalnik ponovno vpišemo IP naslov stikala in ga konfiguriramo. Na stikalu smo kreirali VLAN 6 in VLAN 7, ter ju priredili vratom. VLAN 6 je na vratih Fa13 - Fa18, VLAN7 pa na vratih Fa19 - Fa24. Postopek je sledeč: V meniju na levi izberemo VLANs in pritisnemo gumb Create. Odpre se nov zaslon, kjer vpišemo ime VLAN-a ter njegovo ID (identifikacijsko število). Kreirali smo VLAN 6 ter VLAN 7. Nato vratom določimo vlogo oz. določimo kakšna naprava bo nanje priključena in izberemo posamezna vrata, katera naj to vlogo prevzamejo (ta opcija velja za serije stikal vstopnega cenovnega razreda). V meniju na levi strani izberemo Configure > Smartports. Iz spustnega menija izberemo napravo. Na voljo imamo namizni računalnik, stikalo, usmerjevalnik, IP telefon + namizni računalnik, dostopovno točko, strežnik, tiskalnik, gosta in drugo (slika 7.6). Ta izbira je pomembna zaradi parametrov QoS, ki jih stikalo samodejno nastavi glede na tip naprave na vratih stikala.

46 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 34 Vratom Fa13 Fa24 smo priredili vlogo namiznega računalnika, kar pomeni, da smo za omenjena vrata določili, da bomo nanje priključili osebne računalnike. Vratom Gi1 pa smo dodelili vlogo usmerjevalnika, saj smo nanje priključili usmerjevalnik R1. S pritiskom na gumb Customize smo nato posameznim vratom dodelili dostop do izbranega VLAN-a. Vratom Fa13 Fa18 VLAN 6, vratom Fa19 Fa24 VLAN 7 in vratom Gi1 Native VLAN 1, ki je kreiran že privzeto. Slika 7.6: Grafični vmesnik stikala Ostala vrata na stikalu smo se zaradi varnostnih razlogov odločili onemogočiti. To smo storili tako, da smo v levem meniju izbrali Port Settings (nastavitve vrat) in označili le uporabljena vrata.

47 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 35 8 USMERJANJE Usmerjanje je postopek izbire poti, po kateri se pošiljajo podatki v omrežju. Temelji na tabelah usmerjanja, ki vsebujejo zapis smeri do različnih omrežij. V majhnih omrežjih lahko tabele izdelamo ročno in takrat govorimo o statičnem usmerjanju. To pa ni mogoče v velikih omrežjih s kompleksno topologijo, ki se pogosto spreminja. Zato v večjih omrežjih navadno uporabljamo dinamično usmerjanje, ki s pomočjo usmerjevalnih protokolov (RIP, OSPF, IGRP, EIGRP), izdeluje usmerjevalne tabele avtomatično. Dinamično usmerjanje je tipično za medmrežje. Najmanjša usmerjevalna tabela zajema le smeri do direktno povezanih omrežij. Za dostop do oddaljenih omrežij je potrebno v tabelo dodati še smeri preko zunanjih usmerjevalnikov (statično ali dinamično). 8.1 Statično usmerjanje Pri statičnem usmerjanju v usmerjevalnik ročno vnesemo podatek, preko katerega vmesnika ali IP naslova v neposredno povezanem omrežju dosežemo oddaljeno omrežje. Statično usmerjanje uporablja fiksne tabele. Preden so v usmerjevalni tabeli določene smeri (statično ali dinamično) ima tabela le podatke za neposredno povezana omrežja. Statično usmerjanje ima svoje prednosti, pa tudi slabosti. Prednosti statičnega usmerjanja so naslednje: Ni dodatnih (redundantnih) operacij centralno procesne enote (CPE), kar pomeni, da lahko kupimo cenejši usmerjevalnik, kot če bi uporabljali dinamično usmerjanje. Med usmerjevalniki ni porabe pasovne širine zaradi komunikacije med usmerjevalniki protokoli, kar pomeni, da lahko prihranimo denar na zakupljeni pasovni širini WAN povezav. Dodaja varnost, saj lahko administrator sam omejuje dostop nekaterih omrežij.

48 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 36 Slabosti statičnega usmerjanja so naslednje: Administrator mora dobro poznati in razumeti omrežje ter kako je posamezen usmerjevalnik povezan, da lahko pravilno konfigurira poti. Če je medmrežju dodano novo omrežje, mora administrator ročno vnesti pot do letega v vsak usmerjevalnik posebej. Ni izvedljivo v velikih omrežjih, saj bi bilo vzdrževanje časovno prezahtevno. Sintaksa ukaza za novo statično smer v ukazno vrstičnem vmesniku je: ip route [ciljno omrežje] [maska] [naslov naslednjega skoka ali izhodni vmesnik] [administrativna razdalja ] [permanentno] kjer so: ip route ukaz za kreiranje statične poti. ciljno omrežje (ang. destination address) omrežje, katerega želimo vnesti v usmerjevalno tabelo. maska (ang. mask) maska ciljnega omrežja. naslov naslednjega vozlišča (ang. next hop address) IP naslov sosednjega usmerjevalnika (njegovega vmesnika), ki bo paket, namenjen oddaljenemu omrežju, poslal dalje. Preden dodamo pot, moramo preveriti povezljivost z vmesnikom naslednjega vozlišča. izhodni vmesnik (ang. exit interface) lahko ga uporabimo namesto naslova naslednjega skoka takšna pot se v usmerjevalni tabeli prikaže kot neposredno povezana. administrativna razdalja (ang. administrative distance) je vrednost, ki označuje kako zanesljiva oziroma zaupanja vredna je informacija o poti. Čim nižja je številka, bolj zaupanja vredna je pot. Privzeto je administrativna razdalja za statične poti 1. Če pa namesto naslova naslednjega skoka uporabimo izhodni vmesnik je administrativna razdalja 1, kar pomeni nekje med 0 in 1. Do IOS-a verzije 12.2 je bila v tem primeru celo 0. Lahko

49 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 37 pa jo poljubno spremenimo. Pomembnejše administrativne razdalje so prikazane v tabeli 8.1. Tabela 8.1: Administrativne razdalje protokolov Protokol Administrativna Neposredno povezana pot 0 Statična pot preko izhodnega vmesnika 1 Statična pot do naslova naslednjega skoka 1 Zunanji BGP 20 Notranji EIGRP 90 IGRP 100 OSPF 110 IS-IS 115 RIP 120 Zunanji EIGRP 170 Notranji BGP 200 Nepoznan 255 trajni vpis (ang. permanent) če je vmesnik izklopljen ali usmerjevalnik ne more komunicirati s sosednjim usmerjevalnikom se bo pot iz usmerjevalne tabele zavrgla. Ukaz permanent ohrani vpis v usmerjevalni tabeli ne glede na aktivnost vmesnika. Statične poti pa lahko konfiguriramo tudi preko SDM-ja. Postopek konfiguracije je zelo preprost. Lahko uporabimo IP naslov naslednjega vozlišča ali izhodni vmesnik. Pokazali bomo postopek konfiguracije usmerjevalnika Corp.

50 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 38 Usmerjevalnik Corp je neposredno povezan z omrežji in Dodati pa moramo poti do omrežij: Postopek je sledeč: Na zaslonu Configure (Konfiguriraj) iz levega menija izberemo Routing (Usmerjanje) in nato pritisnemo gumb Add (Dodaj). Odpre se novo okno (slika 8.1), kjer dodamo pot do oddaljenega omrežja. Vpišemo IP naslov omrežja in masko. Imamo možnost, da z izbiro»make this as the default route«določimo privzeto pot. Na usmerjevalniku Corp smo nastavili privzeto pot preko logičnega vmesnika Loopback0 (ki smo ga prej kreirali), na usmerjevalniku R1 preko serijskega vmesnika S0/0 (povezava z Corp) ter na R2 preko S0/1 (povezava z Corp). Nato izberemo bodisi vmesnik preko katerega pridemo do ciljnega omrežja ali vpišemo IP naslov naslednjega skoka.

51 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 39 Slika 8.1: Konfiguracija statične poti Administrativno razdaljo smo nastavili na 150, tako da smo v nadaljevanju lahko pokazali delovanje dinamičnih usmerjevalnih protokolov, ki imajo administrativne razdalje privzeto EIGRP - 90, IGRP - 100, OSPF in RIP Privzeta pot Če specifična smer do oddaljenega omrežja ni določena, usmerjevalnik paket, namenjen temu omrežju zavrže. Da to preprečimo, nastavimo privzeto pot za vsa omrežja, ki niso v usmerjevalni tabeli. Paket nato potuje proti vozlišču (usmerjevalniku), ki mora poskrbeti za njegovo usmeritev proti ciljnemu omrežju. Tipičen primer za to je, kadar ima omrežje le en usmerjevalnik, ki ga uporabljamo kot prehod k vsem drugim omrežjem. Pri privzeti poti sta IP naslov omrežja in maska zavedena z značilnim zapisom (slika 8.2). Na splošno se statično usmerjanje uporablja v malih omrežjih oziroma omrežjih, ki imajo le en izhod proti ostalemu delu omrežja.

52 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 40 V našem omrežju smo na usmerjevalniku Corp preko ukazno vrstičnega vmesnika konfigurirali logični vmesnik Loopback0 z IP naslovom /27. S pomočjo SDM-ja logičnih vmesnikov ne moremo konfigurirati, se pa prikažejo pod Edit Interface/Connection. Loopback0 je nekakšna simulacija vmesnika (lahko tudi interneta). Čeprav omrežja (kamor spada ) nismo vnašali v usmerjevalne tabele ostalih usmerjevalnikov, bomo zaradi nastavljenih privzetih poti lahko preverjali povezljivost z omenjenim naslovom. Slika 8.2: Konfiguracija privzete poti Po končani konfiguraciji lahko na zaslonu Configure > Routing preverimo nastavljene usmerjevalne poti. Glej sliko 8.3 (konfigurirane statične poti na usmerjevalniku Corp).

53 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 41 Slika 8.3: Konfigurirane statične poti Po končani konfiguraciji na preostalih dveh usmerjevalnikih smo lahko dostopali do vseh omrežij. Sledila je konfiguracija dinamičnega usmerjanja. 8.3 Dinamično usmerjanje Kot smo že omenili, je ročno polnjenje usmerjevalnih tabel neprimerno v večini današnjih IP omrežij, ki so velika, kompleksna in se dinamično spreminjajo. Zato se večinoma uporablja dinamično usmerjanje, kjer usmerjevalni protokoli skrbijo za določitev usmerjevalnih tabel v usmerjevalnikih in za njihovo ažurno posodabljanje skladno s spremembami v IP omrežju. Dinamično usmerjanje omogoča učinkovit izkoristek

54 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 42 topologije omrežja. Naloga administratorja je le konfiguriranje dinamičnih usmerjevalnih protokolov. Poleg omenjenih prednosti, pa ima dinamično usmerjanje tudi svoje slabosti v smislu dodatnih (redundantnih) operacij centralno procesne enote (CPE) in porabe pasovne širine na omrežnih povezavah med usmerjevalniki. Le-ti si namreč med seboj pošiljajo svoje usmerjevalne tabele in jih tako nenehno posodabljajo. V medmrežju sta v uporabi dve skupini usmerjevalnih protokolov: IGP, t. i. skupine protokolov notranjih prehodov (ang. interior gateway protocols) in EGP, t. i. skupine t. i. protokolov zunanjih prehodov (ang. exterior gateway protocols). IGP protokoli se uporabljajo za izmenjavo usmerjevalnih informacij med usmerjevalniki znotraj istega avtonomnega sistema (AS). Avtonomen sistem je zbirka omrežij v okviru skupne administrativne domene, kar v bistvu pomeni, da so vsi usmerjevalniki, ki si delijo iste informacije usmerjevalne tabele, v istem avtonomnem sistemu. EGP protokoli pa se uporabljajo za komunikacijo med avtonomnimi sistemi. Primer EGP protokola je protokol BGP, t. i. protokol robnih prehodov (ang. Boarder Gateway Protocol). V okviru IGP protokolov poznamo tri razrede usmerjevalnih protokolov: protokoli z vektorjem razdalje (ang. distance vector protocols), protokoli stanja povezav (ang. link state protocols) in hibridni protokoli (ang. hybrid protocols) Protokoli z vektorjem razdalje Protokoli z vektorjem razdalje najdejo najboljšo pot do oddaljenega omrežja s presojo daljave. Vsakič, ko gre paket skozi usmerjevalnik, to imenujemo skok. Pot z najmanjšim številom skokov do ciljnega omrežja je določena kot najboljša. Vektor kaže smer do ciljnega omrežja. Protokoli z vektorjem razdalje pošljejo celotno lastno usmerjevalno tabelo svojim neposrednim sosedom. Uporabljajo Bellman Fordov usmerjevalni algoritem. Vsak usmerjevalnik»vidi«samo sosednje usmerjevalnike in tako ne pozna

55 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 43 celotne topologije omrežja. Nadgradnje tabel se zgodijo periodično in ob spremembah v omrežju. Primera takšnega protokola sta RIP, protokol usmerjevalne informacije (ang. Routing Information Protocol) in IGRP, protokol za usmerjanje med domenami (ang. Interior Gateway Routing Protocol) Protokoli, ki temeljijo na stanju povezav Protokoli, ki temeljijo na stanju povezav, v nadaljevanju protokoli stanja povezav, ustvarjajo topologijo celotnega omrežja. Vsak usmerjevalnik ustvari tri ločene tabele. Ena izmed tabel sledi neposredno povezane sosede, druga določa celotno topologijo omrežja, tretja pa je usmerjevalna tabela. Kot že omenjeno, vedo usmerjevalniki stanja povezav več kot usmerjevalniki vektorja povezave, saj poznajo celotno omrežje. Protokoli odvisni od stanja povezav pošiljajo posodobitve, ki vsebujejo stanja njihovih lastnih povezav do vseh usmerjevalnikov v omrežju, ne le do sosedov. Primer takšnega protokola je protokol OSPF, protokol najprej odprte najkrajše poti (ang. Open Shortest Path First) Hibridni protokoli Hibridni protokoli so mešanica protokolov vektorja razdalje in protokolov odvisnih od stanja povezave. Primer hibridnega protokola je EIGRP t. i. izboljšan protokol za usmerjanje med domenami (ang. Enhanced Interior Gateway Routing Protocol). S pomočjo SDM-ja lahko nastavimo delovanje treh usmerjevalnih protokolov in sicer: RIP (verzija 1 in verzija 2), OSPF in EIGRP. Postopek je zelo preprost. Najprej smo konfigurirali usmerjevalni protokol RIP.

56 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 44 V konfiguracijskem zaslonu potrdimo iz menija na levi strani zaslona ikono Routing (usmerjanje). Zaslon, ki ga s tem aktiviramo, je razdeljen na dva dela. Zgornji je za statično usmerjanje, spodnji za dinamično. V zgornjem delu lahko na usmerjevalnikih vidimo statične poti, ki smo jih nastavili. Poleg ciljnih omrežij in njihovih mask so zapisani vmesniki, preko katerih do ciljnih omrežij usmerjevalnik pakete posreduje, administrativne razdalje statičnih poti ter ali so poti trajne. V spodnjem delu zaslona s pritiskom na gumb Edit (uredi) konfiguriramo dinamične usmerjevalne protokole. Odpre se novo okno, kjer imamo možnost izbire med tremi zavihki RIP, OSPF in EIGRP RIP Najprej nastavimo RIP. Potrdimo okence Enable RIP (omogoči RIP) in izberemo verzijo protokola verzijo 1 ali verzijo 2. Razlika med njima je ta, da je RIP verzije 1 protokol usmerjanja z upoštevanjem razredov IP naslovov razredno orientirani, RIP verzije 2 pa pri usmerjanju razredov IP naslovov ne upošteva brezrazredno orientirani. Enako velja za OSPF in EIGRP. Kot že samo ime pove, temelji razredno orientirano usmerjanje na razredih IP naslovov. IP naslovi so namreč prvotno bili razdeljeni v pet razredov: razred A, razred B, razred C, razred D in razred E (tabela 8.2). A, B in C so se uporabljali za naslavljanje zasebnih in javnih omrežij, razred D za večponorni promet, razred E pa je bil rezerviran s strani agencije IANA (Internet Assigned Numbers Authority). Gre za organizacijo, ki skrbi za globalno dodeljevanje imen in IP naslovov.

57 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 45 Tabela 8.2: Naslovni razredi Naslovni razred Prvi oktet (decimalno) Omrežni (O) in gostiteljev (G) del naslova Privzeta maska A O.G.G.G B O.O.G.G C O.O.O.G D multicast E eksperimentalno Razredno orientirani usmerjevalni protokoli ne prenašajo informacije o maski omrežja v svojih posodobitvah usmerjevalnih tabel. Maska se namreč določi na osnovi prvega okteta omrežnega naslova oz. omrežne maske izhodnega vmesnika usmerjevalnika. Zato razredno orientiranih usmerjevalnih protokolov ne moremo uporabljati v omrežjih z različnimi maskami oz. z drugimi besedami razredno orientirani usmerjevalni protokoli ne podpirajo VLSM oz. spremenljive maske podomrežja (ang. variable length subnet mask). V našem omrežju takšnih problemov nismo imeli, saj smo za vsa podomrežja uporabili enako masko oz. /24. Torej, najprej smo izbrali RIP protokol verzije 1. S pritiskom na gumb Add (dodaj) se odpre novo okno kjer vpišemo omrežje, katerega želimo, da protokol oglašuje. Vpisali smo omrežje (razred A), saj je RIP verzije 1 razredno usmerjen protokol in sam najde vsa podomrežja na lastnih aktiviranih vmesnikih in jih vpiše v usmerjevalno tabelo. V spodnjem delu okna smo nato označili, kateri vmesniki naj postanejo pasivni. To pomeni, da na te vmesnike ne bodo priključeni usmerjevalniki in zato na te vmesnike ne bodo oglaševane posodobitve usmerjevalnih tabel. Če želimo spremeniti verzijo protokola na verzijo 2, v oknu samo izberemo Version 2 (verzija 2). Vse drugo oglaševana omrežja in pasivni vmesniki - ostane nespremenjeno.

58 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran EIGRP Naslednji usmerjevalni protokol, ki smo ga konfigurirali je bil EIGRP. EIGRP je brezrazredno usmerjen izboljšan protokol za usmerjanje med domenami. Že samo ime nam pove, da gre za posodobljeno različico Ciscovega lastniškega protokola IGRP. Tako kot IGRP, EIGRP uporablja koncept samostojnega sistema (ang. Autonomous system AS) za opis»družine«sosednjih usmerjevalnikov, ki uporabljajo isti usmerjevalni protokol in delijo usmerjevalne informacije. Za razliko od IGRP protokola, EIGRP v svojih posodobitvah usmerjevalnih poti vključuje maske podomrežij in zato omogoča uporabo spremenljive maske podomrežja. Protokol EIGRP se omenja kot hibridni usmerjevalni protokol, ker ima značilnosti obeh vrst protokolov protokolov z vektorjem razdalje in protokolov stanja povezav. Na primer, EIGRP ne pošilja paketov stanja povezave kot OSPF ampak posodobitve vektorja razdalje, ki vsebujejo informacije o omrežjih in stroških, potrebnih za dosego le-teh. Ima pa EIGRP tudi lastnosti protokolov stanja povezav - ob zagonu sinhronizira usmerjevalne tabele sosednih usmerjevalnikov in pošlje posodobitve le ob spremembi topologije omrežja. Zato je EIGRP primeren za velika omrežja. Za razliko od RIP protokola, ki ima maksimalno število skokov 15, jih ima EIGRP 255 oz. privzeto 100. Konfiguracija protokola EIGRP je zelo preprosta. Na zaslonu Configure > Routing s pritiskom na gumb Edit (pri dinamičnem usmerjanju) odpremo novo okno (kot pri konfiguraciji RIP protokola), kjer izberemo zavihek EIGRP. S pritiskom na gumb Add se odpre novo okno, kjer najprej vpišemo številko avtonomnega sistema ( ), ki se uporablja za identifikacijo avtonomne skupine usmerjevalnikov in nato s ponovnim pritiskom na gumb Add še naslove omrežij, ki jih usmerjevalnik naj oglašuje. Poleg omrežij lahko vpišemo še pripadajoče nadomestne maske (ang. wildcard mask), če npr. ne želimo, da usmerjevalnik oglašuje vse vmesnike, ki pripadajo razredu vnesenega IP naslova omrežja. Nadomestna maska je inverzna maski podomrežja (ni pa zmeraj tako). V našem primeru, ko so maske podomrežij je nadomestna maska enaka

59 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 47 Na koncu, tako kot smo to storili pri konfiguraciji RIP protokola, izberemo pasivne vmesnike. Pri implementaciji EIGRP protokola SDM samodejno izvede ukaz nezdruževanja sorodnih omrežij z no auto-summary. To lahko preverimo oz. onemogočimo samo preko ukazno vrstičnega vmesnika. Kot zadnjega smo konfigurirali protokol OSPF OSPF Protokol najprej odprte najkrajše poti (ang. Open Shortest Path First - OSPF) je hierarhični usmerjevalni protokol, razvit za IP omrežja s podporo organizacije IETF (Internet Engineering Task Force). Protokol je bil ustvarjen sredi 80-tih let za odpravo številnih pomanjkljivosti in težav glede nadgradljivosti RIP protokola v večjih omrežjih. Ker gre za odprt standardiziran protokol, je OSPF zelo priljubljen v današnjih omrežjih in ima številne prednosti, vključno s temi: Deloval bo na večini usmerjevalnikov (različnih proizvajalcev), saj temelji na odprtem standardu. Uporablja Dijkstra algoritem za izračun najkrajše poti do omrežij in tako zagotavlja usmerjanje brez povratnih zank. Zagotavlja hitro konvergenco omrežja (vendar ne tako hitro kot EIGRP) s sproženimi posodobitvami preko LSA t. i. obvestil o stanju povezave (ang. Link State Advertisements). Gre za brezrazredno orientiran usmerjevalni protokol, ki omogoča hierarhično zasnovo omrežja z uporabo maske podomrežja spremenljive dolžine (VLSM) in združevanjem poti (ang. route summarization). Podpira izboljšan način ugotavljanja metrike (stroškov) povezave; ki temelji na pasovni širini vmesnika. Presojanje povezave glede na število vozlišč oz. skokov

60 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 48 do cilja, ni vedno učinkovita. En skok lahko namreč predstavlja povezavo po gigabitni eternet povezavi ali po klicni liniji in segment povezave je lahko kratek ali dolg. Ima pa OSPF tudi svoje slabosti: Za grajenje in ohranjanje topologije sosednosti (seznama OSPF sosedov in njihovih povezav oz. poti do oddaljenih omrežij) ter usmerjevalnih tabel, zahteva protokol OSPF veliko pomnilnika in procesiranja centralno procesne enote usmerjevalnika. Za velika omrežja zahteva skrbno načrtovanje pri razdelitvi omrežja v ustrezne manjše segmente z ločitvijo usmerjevalnikov na različna področja. Konfiguracija in odpravljanje težav sta bolj zapletena kot pri protokolih z vektorjem razdalje. Konfiguracija protokola OSPF preko SDM-ja pa je preprosta. Preden smo ga konfigurirali, smo odstranili EIGRP, saj ima manjšo administrativno razdaljo od OSPF (EIGRP 90, OSPF - 110). To smo naredili tako, da smo pod zavihkom EIGRP preprosto pritisnili gumb Delete (Izbriši). Lahko izklopimo tudi RIP protokol, čeprav to ni potrebno, saj je administrativna razdalja RIP protokola 120 in bo usmerjevalnik upošteval informacije OSPF. Pod zavihkom RIP samo odznačili Enable RIP (omogoči RIP) in kljukica izgine. OSPF smo konfigurirali pod zavihkom OSPF. S pritiskom na gumb Add (dodaj) se nam odpre novo okno. V prostor OSPF Process ID vpišemo številko procesa ( ). Gre za posebnost OSPF, ki z navedenim številom uvrsti skupino OSPF konfiguracijskih ukazov pod specifičen lokalen proces. Nastavljena vrednost je le lokalnega pomena, saj je lahko na usmerjevalniku zagnanih več OSPF procesov. Na različnih usmerjevalnikih ni potrebno uporabiti enake vrednosti, da bi ti lahko med seboj komunicirali. Če želimo, lahko na enem usmerjevalniku teče več OSPF procesov istočasno, vendar to ni enakovredno območjem OSPF-a (ang. area ), ki so pravzaprav sorodni pojmu avtonomnega sistema. Vsak proces bo hranil svojo, ločeno topologijo omrežja in bo upravljal procesu prirejene komunikacije neodvisno od preostalih procesov.

61 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 49 S pritiskom na gumb Add opredelimo vmesnike, na katerih želimo vključiti OSPF komunikacijo ter območje. Na ta način konfiguriramo omrežja, ki jih želimo oglaševati. OSPF uporablja nadomestne maske omrežij, zato jih na ta način tudi vnesemo. Na vseh usmerjevalnikih smo vnesli omrežje , inverzno masko ter območje 0. Protokol OSPF bo tako na usmerjevalnikih poiskal konfigurirane vmesnike, ki so del /16 omrežja in jih dodelil OSPF območju 0. Tako kot pri drugih usmerjevalnih protokolih tudi pri OSPF-u označimo pasivne vmesnike Nadomestna maska Nadomestne maske uporabljamo med drugim pri konfiguraciji privzetih poti, EIGRP in OSPF usmerjevalnega protokola ter pri konfiguraciji seznamov za nadzor dostopa. Gre za 32 bitno število, razdeljeno v 4 oktete, ki pove usmerjevalniku katere dele naslova naj upošteva in katerih ne. Čeprav nadomestna maska ni funkcionalno povezana z masko podomrežja, pa zagotavlja podobno funkcijo. Podomrežne maske uporabljajo binarne enice in ničle za identifikacijo omrežnega in gostiteljevega dela IP naslova z leve proti desni. Koliko je zaporednih enic, tako velik je omrežni del naslova, ostali del je namenjen naslovom gostiteljev. Nadomestne maske pa uporabljajo binarne enice in ničle za filtriranje individualnih ali skupinskih IP naslovov za omogočanje ali onemogočanje dostopa. Ničelni bit v nadomestni maski pomeni, da se mora ustrezen bit v IP naslovu ujemati, medtem ko bit 1 v nadomestni maski pomeni, da je lahko ustrezen bit v IP naslovu poljuben. Splošno velja, da je nadomestna maska inverzna maski podomrežja. To se sicer pogosto dogaja, vendar pa ni nujno vedno tako. Če imamo npr. omrežje in masko podomrežja , je pripadajoča nadomestna maska enaka Inverzno masko podomrežni dobimo z odštevanje podomrežne maske od V tem primeru to velja. Filtrirani IP naslovi gostiteljev bi bili kar so vsi gostitelji omrežja /16.

62 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 50 Če pa želimo npr. filtrirati vse x.15 IP naslove, uporabimo nadomestno masko (maska podomrežja oblike ne obstaja). Kot vidimo, so nadomestne maske veliko bolj prilagodljive, saj ni pogoja stičnosti (zaporednih enic). Poglejmo vlogo nadomestne maske na še enem primeru z binarnega vidika. Primer je prikazan v tabeli 8.3. Želimo npr. filtrirati samo soda x.0/24 podomrežja. Kot vidimo na primeru, je zadnji bit vseh sodih podomrežij enak 0, zato lahko uporabimo nadomestno masko To pomeni, da se morata prvi in drugi oktet popolnoma ujemati, tretji pa se mora ujemati le v zadnjem bitu (ki ga postavimo v IP naslovu na 0), četrti pa je v celoti nepomemben, saj predstavlja gostitelje podomrežij. Opazimo, da nobena od zadnjih dveh nadomestnih mask ni stična. Namesto primerjanja ujemanja dolžine naslova od leve proti desni, se vsak bit posebej primerja in se mora ujemati (0) ali pa se ignorira (1). Tabela 8.3: Primer uporabe nadomestne maske Decimalen naslov Binaren naslov Primeri podomrežij Nadomestna maska

63 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 51 9 SEZNAMI ZA NADZOR DOSTOPA V zadnjih nekaj poglavjih smo predstavili usmerjevalne protokole in njihovo osnovno konfiguracijo. Ko nastavimo usmerjanje, bodo naši usmerjevalniki privzeto dovolili, da se paketi nemoteno prenašajo iz enega vmesnika na drugega. Zato je na mestu vprašanje, ali želimo implementirati politiko omejevanja pretoka prometa iz varnostnih razlogov, različne politike prometa ali pa preprosto iz razloga, da z filtriranjem neželenega, nepomembnega prometa varčujemo s pasovno širino. Cisco IOS omogoča, da nadzorujemo pretok prometa iz enega vmesnika na drugega z uporabo t. i. seznamov za nadzor dostopa (ang. Access Lists ACL) oz. tudi dostopovnih seznamov. Seznami za nadzor dostopa se lahko poleg filtriranja prometa na vmesnikih uporabljajo tudi za druge namene, vključno z omejevanjem dostopa na daljavo (preko virtualnega terminala) do IOS naprav, filtriranja podatkov o usmerjanju, spreminjanja administrativne razdalje potem itd. Če želimo npr. kontrolirati katera omrežja bodo in katere ne bodo oglaševana preko dinamičnega usmerjevalnega protokola, seznam za nadzor dostopa ustvarimo na enak način, razlika je le, da ga ne pripnemo vmesniku, temveč usmerjevalnem protokolu. Seznami za nadzor dostopa so v bistvu nizi ukazov, ki so združeni s številko ali imenom in se uporabljajo za filtriranje prometa, ob vstopu ali izstopu skozi vmesnik na usmerjevalniku. Ukazi natančno opredelijo kateri promet je dovoljen in kateri ne. Sezname na nadzor dostopa ustvarjamo v globalnem konfiguracijskem načinu (če konfiguriramo preko ukazno vrstičnega vmesnika) oz. s pomočjo SDM-ja. Ko ustvarimo seznam za kontrolo dostopa, ga je potrebno vključiti. Za filtriranje prometa med vmesniki, seznam aktiviramo v načinu konfiguracije vmesnika. To je lahko fizični vmesnik kot npr. ethernet 0 ali serial 0, lahko pa je tudi logični vmesnik kot npr. ethernet 0.1 ali serial 0.1. Pri aktiviranju seznama na vmesniku je potrebno določiti v kateri smeri je promet potrebno filtrirati. Obstajata dve možnosti:

64 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 52 Vhodno presejanje (ang. inbound) ko promet prihaja v vmesnik iz zunanjega vira. Prihajajoči paketi so tako procesirani preden so usmerjeni na izhodni vmesnik. Vhodni seznam za kontrolo dostopa je učinkovit, ker usmerjevalniku prihrani poizvedovanje v usmerjevalni tabeli za pakete, ki jih zavrže. Če pa je paket s strani seznama dovoljen, je nato procesiran za nadaljnjo usmerjanje. Izhodno presejanje (ang. outbound) preden promet zapusti vmesnik proti ciljnemu omrežju. Prihajajoči paketi so usmerjeni na izhodni vmesnik in nato procesirani s strani izhodnega seznama za kontrolo dostopa. Ena od omejitev seznamov za kontrolo dostopa je ta, da ne morejo filtrirati prometa, ki ga ustvari usmerjevalnik, na katerem so konfigurirani. To pomeni, če npr. izvedemo ping, traceroute ali če se iz usmerjevalnika povezujemo na drugo napravo s telnetom, tega prometa na samem usmerjevalniku ne moremo filtrirati. Zavedati se tudi moramo, da lahko dodelimo samo en seznam za kontrolo dostopa na vmesnik, na protokol in na smer. To pomeni, da lahko imamo pri oblikovanju IP seznama samo en vhodni in en izhodni seznam na vmesnik. Poznamo dva glavna tipa seznamov za kontrolo dostopa: standardnega in razširjenega. 9.1 Standardni seznami za kontrolo dostopa Ti uporabljajo le izvorne IP naslove kot pogoj testiranja IP paketov. Vse odločitve se sprejmejo na podlagi izvornega IP naslova. To pomeni, da standardni seznami za kontrolo dostopa v bistvu dovolijo ali zavrnejo celotno zbirko protokolov in tako ne razlikujejo med številnimi različnimi vrstami IP prometa kot so splet, telnet, UDP itd. Standardne sezname za kontrolo dostopa kreiramo v ukazno vrstičnem vmesniku z ukazom: access-list permit deny source_ip_address [wildcard_mask] [log].

65 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 53 Na osnovi števila (1 99 ali ) usmerjevalnik ve, da gre za standardno obliko seznama in zato ve kakšno sintakso pri kreiranju seznama lahko pričakuje - preverjanje izvornega IP naslova. 9.2 Razširjeni seznami za kontrolo dostopa Standardne sezname za kontrolo dostopa pa ne moremo konfigurirati tako, da bi npr. uporabnikom omogočale dostop do ene omrežne storitve, do druge pa ne. Prav tako jih ne moremo konfigurirati tako, da bi filtrirali promet glede na ciljni IP naslov. V takšnih primerih uporabimo razširjen seznam za kontrolo dostopa, ki nam omogoča filtriranje na osnovi izvornega in ciljnega IP naslova, kakor tudi na osnovi protokola in številke vrat (ang. port number). Z uporabo razširjenih seznamov lahko tako uporabnikom omogočimo dostop do določenega lokalnega omrežja in jim hkrati onemogočimo dostop do specifičnih gostiteljev ali celo samo do določenih storitev na teh gostiteljih. Niz števil za kreiranje razširjenega seznama je ali (razširjena serija). V ukazno vrstičnem vmesniku pa jih konfiguriramo z ukazom: access-list permit deny IP_protocol source_address source_wildcard_mask [protocol_information] destination_address destination_wilcard_mask [protocol_information] [log] 9.3 Imenski seznami za kontrolo dostopa Z IOS-om verzije 11.2 in kasnejšimi, lahko na Ciscovih usmerjevalnikih kreiramo tudi t. i. imenske sezname za kontrolo dostopa. Imenski seznami so samo še en način za ustvarjanje standardnih in razširjenih seznamov in sicer, namesto števil omogočajo uporabo imen. V sami konfiguraciji obstaja majhna razlika in sicer imenske sezname kreiramo v ukazno vrstičnem vmesniku z ukazom ip access-list.

66 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 54 Za razliko od oštevilčenih (standardnih in razširjenih) seznamov lahko pri imenskih izbrišemo posamezen vpis, ne da bi morali izbrisati celoten seznam. 9.4 Kreiranje seznamov za kontrolo dostopa s pomočjo SDM-ja S pomočjo SDM-ja lahko kreiramo imenske sezname za kontrolo dostopa. To lahko izvedemo na dva načina: kreiramo seznam preko SDM-jevega konfiguracijskega zaslona korak po korak ali z implementiranim čarovnikom postavimo požarni zid, ki sam ustvari sezname za kontrolo dostopa. Najprej smo izvedli konfiguracijo korak po korak. Z izbiro Configure > Firewall and ACL pridemo do zaslona za kreiranje požarnega zidu. Nato s pritiskom na zavihek Edit Firewall Policy / ACL pridemo do zaslona konfiguracije dostopnega seznama. V zgornjem delu zaslona izberemo smer prometa, katerega želimo omejiti. S pomočjo spustnega menija izberemo izvorni vmesnik (ang. From) in ponorni vmesnik (ang. To). Nato s pritiskom na gumb Add odpremo nov spustni meni, kjer dodamo nov seznam z ukazom Add New. Odpre se nov zaslon, prikazan na sliki 9.1, kjer nastavimo želene vrednosti imenskega razširjenega pravila.

67 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 55 Slika 9.1: Konfiguracija seznama za kontrolo dostopa Na zaslonu izberemo dejanje, katerega naj usmerjevalnik izvede, ko paket ustreza kriteriju seznama. Na voljo imamo zavrni (ang. deny) in dovoli (ang. permit). Nato lahko seznam poimenujemo. S pomočjo spustnih menijev izberemo izvornega ter ciljnega gostitelja (ali množico gostiteljev) oz. omrežje. Na dnu zaslona izberemo še protokol ter storitev, ki se naj preverita. Na voljo imamo protokole TCP, UDP, ICMP ter IP. Če želimo promet filtrirati po enem izmed protokolov aplikacijskega sloja (telnet, ftp, http,..), moramo izbrati primeren protokol transportnega sloja (TCP ali UDP). Torej če želimo npr. filtrirati telnet ali ftp, izberemo TCP, saj oba uporabljata TCP na transportnem sloju. Če pa izberemo IP ali ICMP, potem ne moremo določiti specifičnega protokola aplikacijskega sloja, saj sta IP in ICMP protokola omrežnega sloja, kateri ne razlikuje med različnimi transportnimi protokoli. Imamo tudi možnost izbire Log matches against this entry, če želimo, da se dokumentira promet, ki ustreza vnosu.

68 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 56 Kot vidimo na sliki 9.1, smo v našem omrežju na usmerjevalniku Corp konfigurirali seznam za kontrolo dostopa telneta do PC7 s statičnim IP naslovom Razširjeno pravilo (dostopni seznam) nam torej omogoča, dovoliti ali omejiti promet glede na njegov izvor ali cilj ter glede na protokol oz. storitev. Vsak promet, ki ne ustreza pravilom, katera s seznamom ustvarimo, je zavrnjen. Da zagotovimo nemoteno usmerjanje prometu, ki ga ne nameravamo zavreči, moramo seznamu pripeti izrecno dovoljenje preostalega prometa. To smo v našem primeru tudi storili kot je razvidno iz slike 9.2. S ponovnim pritiskom na gumb Add odpremo spustni meni. Sedaj, ko že imamo kreiran seznam, imamo možnost le-tega urediti in sicer tako, da nov pogoj vstavimo pred (ang. Insert before) ali za (ang. Insert after) obstoječim pogojem. Na našem usmerjevalniku smo dovolili ves preostali IP promet. Slika 9.2: Dovoli preostali promet

69 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 57 S pritiskom na tipko OK odpremo zaslon, kjer je grafično prikazan konfiguriran seznam slika 9.3. S pritiskom na Apply Changes se konfiguracija prenese na usmerjevalnik. Ker smo predhodno označili Preview commands before delivering to router, nam usmerjevalnik izpiše predogled ukazov katere generira, preden se ti vnesejo v tekočo konfiguracijo (slika 9.4). To so tudi ukazi, ki bi jih ročno vpisali, če bi seznam konfigurirali preko ukazno vrstičnega vmesnika. Slika 9.3: Konfiguriran seznam Ip access-list extended sdm_serial0/0_in je ukaz, ki ustvari imenski razširjen seznam z imenom sdm_serial0/0_in.

70 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 58 Ukaz za opombe (ang. remark) nam ustvari opombo oz. opis seznama, ki ga konfiguriramo. Prvo opombo SDM ustvari sam, drugo pa smo vnesli pri konfiguraciji v polje opis (ang. Description). Sledita ukaza: zavrni telnet protokol od kateregakoli, do gostitelja in dovoli preostali ip promet. Seznam je nato pripet vmesniku Seria0/0 vhodno (ang. inbound), kar pomeni, da se paketi preverijo pred procesiranjem na vmesniku. Slika 9.4: Ukazi za konfiguracijo seznama za prepoved telneta Preden smo konfiguriran seznam za omejitev telnet dostopa do PC7 prenesli na usmerjevalnik, smo iz PC5 (IP ) preverili povezljivost (ping) in telnet dostop do PC6 (IP ) ter PC7 ( ). Iz slike 9.5 in slike 9.6 je razvidno, da sta tako povezljivost in dostop omogočena.

71 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 59 Slika 9.5: Uspešen telnet na PC7 pred konfiguracijo seznama Slika 9.6: Uspešno preverjanje povezljivosti do PC6 in PC7 pred konfiguracijo seznama Po prenosu konfiguracije seznama na usmerjevalnik, pa je bil telnet dostop zavrnjen (slika 9.7).

72 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 60 Slika 9.7: Verifikacija zavračanja telnet dostopa do PC7 Ker smo med konfiguracijo izbrali možnost Log matches against this entry, se je promet, ki je ustrezal vnosu dokumentiral (slika 9.8). Slika 9.8: Dokumentiranje ujemanja z seznamom za nadzor dostopa Sledila je konfiguracija požarnega zidu.

73 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran POŽARNI ZID Požarni zid obsega niz pravil, ki se uporabljajo za zaščito virov v našem lokalnem omrežju. Ta pravila filtrirajo pakete, ki prihajajo na usmerjevalnik. Če paket ne izpolnjuje meril, določenih v pravilu je zavrnjen. Če pa merila izpolnjuje, mu je dovoljen prehod skozi vmesnik, kateri ta pravila uporablja. S pomočjo SDM-ja imamo možnost postavitve dveh tipov požarnega zidu: osnovnega in naprednega. Z izbiro Configure > Firewall and ACL pridemo do zaslona, kjer lahko izberemo med čarovnikoma za konfiguracijo enega ali drugega Osnovni požarni zid Cisco priporoča uporabo osnovnega požarnega zidu, če želimo povezati omrežje, ki je sestavljeno zgolj iz gostiteljev, brez strežnikov oz. s strežniki, ki ne komunicirajo z zunanjim svetom (npr. medmrežjem). Osnovni požarni zid nastavimo na usmerjevalniku, na katerem imamo en sam zunanji vmesnik Napredni požarni zid Če pa želimo povezati omrežje, ki je sestavljeno iz gostiteljev in hkrati strežnikov, kateri potrebujejo dostop do zunanjih gostiteljev (npr. na medmrežju), potem je za takšno omrežje potrebna konfiguracija naprednega požarnega zidu. Torej drugače povedano, za vsako omrežje, ki vsebuje spletne, e-poštne in druge strežnike, kateri komunicirajo preko medmrežja, izberemo napreden požarni zid. Le-tam nam namreč omogoča implementacijo DMZ t. i. demilitariziranega območja (ang. demilitirazation zone) za ločen priklop teh bolj izpostavljenih naprav. Napredni požarni zid pa nam omogoča tudi nastavitev več zunanjih vmesnikov usmerjevalnika.

74 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran Konfiguracija požarnega zidu s pomočjo SDM-ja V našem omrežju smo usmerjevalnik Corp zaščitili z osnovnim požarnim zidom. Po pritisku na Launch the selected task (Basic Firewall) se aktivira okno, kjer je navedeno, kaj vse bo osnovni požarni zid naredil. Osnovni požarni zid: Dodeli privzeta pravila o dostopu do notranjih (zaupanja vrednih) in zunanjih (zaupanja nevrednih) vmesnikov. Dodeli privzeto pravilo pregleda zunanjemu (zaupanja nevrednemu) vmesniku. Omogoči IP enoponorno (ang. unicast) posredovanje povratne poti na zunanjem vmesniku. S pritiskom na gumb Next se odpre novo okno (slika 10.1), kjer iz spustnega menija izberemo zunanji in notranje vmesnike. Slika 10.1: Določanje zunanjega in notranjih vmesnikov

75 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 63 Imamo tudi možnost, da dovolimo SDM-ju varen dostop preko zunanjega vmesnika. Na našem Corp usmerjevalniku smo izbrali logični vmesnik Loopback0 za zunanji ter vse ostale za notranje vmesnike. Kot smo že prej omenili, smo logičen vmesnik konfigurirali za simulacijo interneta. Po pritisku na Next se odpre okno, kjer so zapisana pravila, katera bodo dodeljena usmerjevalniku (slika 10.2). Slika 10.2: Povzetek konfiguracije požarnega zidu S pritiskom na Finish se postopek konfiguracije konča. Odpre se okno z opozorilom, da je SDM na vmesniku Serial0/0 našel seznam za kontrolo dostopa, katerega smo predhodno konfigurirali. Na voljo so 3 možnosti: spoji (ang. merge), zamenjaj (ang. replace) ter predogled pravila (ang. preview rule). Ker smo omenjen seznam namestili zgolj iz demonstracijskega vidika, smo se odločili za opcijo»zamenjaj«. S pomočjo Hyperterminala smo preverili, kaj je usmerjevalnik dejansko naredil.

76 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 64 Sledi delni izpis tekoče konfiguracijske datoteke usmerjevalnika Corp: Corp#sh run Building configuration...! ip inspect name SDM_LOW cuseeme ip inspect name SDM_LOW dns ip inspect name SDM_LOW ftp ip inspect name SDM_LOW h323 ip inspect name SDM_LOW https ip inspect name SDM_LOW icmp ip inspect name SDM_LOW imap ip inspect name SDM_LOW pop3 ip inspect name SDM_LOW netshow ip inspect name SDM_LOW rcmd ip inspect name SDM_LOW realaudio ip inspect name SDM_LOW rtsp ip inspect name SDM_LOW esmtp ip inspect name SDM_LOW sqlnet ip inspect name SDM_LOW streamworks ip inspect name SDM_LOW tftp ip inspect name SDM_LOW tcp ip inspect name SDM_LOW udp ip inspect name SDM_LOW vdolive! Ukaz ip inspect vključi osnovno preverjanje aplikacij za zmanjševanje možnosti napadov na posamezne aplikacije. Kot vidimo, vsaka od izjav inspect dodaja na seznam svoj protokol (dns, tfp, http, ). Brez uporabe SDM-jevega čarovnika (preko ukazno vrstičnega vmesnika), moramo sami izbrati protokole, ki jih želimo obravnavati. Ko je požarni zid postavljen, lahko v SDM pod Configure > Firewall and ACL > zavihek Application Security varnostno politiko spreminjamo, tako da protokole dodajamo ali jih odstranjujemo.

77 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 65 Sledi konfiguracija zunanjega vmesnika Loopback0:! interface Loopback0 description $FW_OUTSIDE$ ip address ip access-group 104 in ip verify unicast reverse-path ip inspect SDM_LOW out! Poleg opisa FW_OUTSIDE (ang. Firewall Outside), je SDM na vmesnik prilepil seznam kontrole dostopa 104 in sicer vhodno (ang. inbound). Ip verify unicast reverse-path je ukaz, ki omogoča IP enoponorno posredovanje povratne poti na vmesniku RPF (ang. unicast reverse path forwarding). RPF je funkcija, s katero onemogočimo oz. otežimo napad s sleparjenjem IP naslovov. Ko je RPF na vmesniku omogočen, usmerjevalnik pregleda izvorni naslov vsakega prispelega paketa, da se prepriča, če paket obstaja v usmerjevalni tabeli z izhodnim vmesnikom ki je isti kot vmesnikom kjer je bil paket sprejet. Če povratna pot ne obstaja, je paket (privzeto) zavržen ali posredovan glede na eventualno konfiguriran seznam za nadzor prenosa. Ukaz ip inspect SDM_LOW out nam pove, da je bil proces pregledov dodan izhodno (ang. outbound). Na ostale (notranje) vmesnike je SDM prilepil sezname za kontrolo dostopa vhodno (ang. inbound). Torej so paketi procesirani preden so usmerjeni na izhoden vmesnik.! interface FastEthernet0/0 description $ETH-LAN$$FW_INSIDE$ ip address ip access-group 100 in duplex auto speed auto!

78 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 66 interface Serial0/0 description $FW_INSIDE$ ip address ip access-group 101 in! interface Serial0/1 description $FW_INSIDE$ ip address ip access-group 102 in clock rate 64000! interface Ethernet1/0 description $FW_INSIDE$ ip address ip access-group 103 in half-duplex! Sledijo seznami za kontrolo dostopa, ki jih je SDM konfiguriral samodejno.! access-list 100 remark auto generated by SDM firewall configuration access-list 100 remark SDM_ACL Category=1 access-list 100 deny ip any access-list 100 deny ip any access-list 100 deny ip any access-list 100 deny ip any access-list 100 deny ip host any access-list 100 deny ip any access-list 100 permit ip any any access-list 101 remark auto generated by SDM firewall configuration access-list 101 remark SDM_ACL Category=1 access-list 101 deny ip any access-list 101 deny ip any access-list 101 deny ip any access-list 101 deny ip any access-list 101 deny ip host any access-list 101 deny ip any access-list 101 permit ip any any access-list 102 remark auto generated by SDM firewall configuration

79 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 67 access-list 102 remark SDM_ACL Category=1 access-list 102 deny ip any access-list 102 deny ip any access-list 102 deny ip any access-list 102 deny ip any access-list 102 deny ip host any access-list 102 deny ip any access-list 102 permit ip any any access-list 103 remark auto generated by SDM firewall configuration access-list 103 remark SDM_ACL Category=1 access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip host any access-list 103 deny ip any access-list 103 permit ip any any access-list 104 remark auto generated by SDM firewall configuration access-list 104 remark SDM_ACL Category=1 access-list 104 deny ip any access-list 104 deny ip any access-list 104 deny ip any access-list 104 deny ip any access-list 104 permit icmp any host echo-reply access-list 104 permit icmp any host time-exceeded access-list 104 permit icmp any host unreachable access-list 104 deny ip any access-list 104 deny ip any access-list 104 deny ip any access-list 104 deny ip any access-list 104 deny ip host any access-list 104 deny ip host any access-list 104 deny ip any any log! Kot smo že omenili, so seznami kontrole dostopa 100, 101, 102 in 103 na vmesnike Fa0/0, Serial0/0, Serial0/1 in Ethernet1/0 pripeti vhodno (ang. inbound). Iz imena vidimo, da gre za razširjene sezname, ki prepovedujejo pakete IP protokola z izvornimi IP naslovi preostalih vmesnikov. To pomeni, da seznami prepovedujejo vsa omrežja, ki jih

80 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 68 usmerjevalnik pozna in dovoljujejo prehod le paketom z izvornim IP naslovom omrežja, priključenega na vmesnik. S tem se prepreči t. i. sleparski promet (ang. spoofing trafic). Poleg tega prepovedujejo pakete, ki izvirajo iz IP naslovov razpršene oddaje (ang. broadcast) in izvorne naslove lokalnih (loopback) IP naslovov /8. Na koncu seznama pa je izjava, ki dovoljuje preostali promet. Seznam kontrole dostopa 104, ki je prilepljen na zunanji vmesnik Loopback0, pa ima še nekatere dodatne omejitve. Poleg omenjenih omejuje pakete z izvornimi privatnimi IP naslovi , in ter IP naslov privzetega omrežja Seznam dovoljuje icmp promet. Na koncu je tudi tukaj izjava, ki dovoljuje ves preostali IP promet. Lahko bi sklepali naslednje: če gre promet iz notranjega (zaupanja vrednega) vmesnika skozi požarni zid ven, bo povratni promet blokiran. Da temu ni tako, proces požarnega zidu ustvari dinamičnem seznam kontrole dostopa, ki povratnemu prometu dovoli prehod. Druga možnost konfiguracije požarnega zidu, je napredni način. Napredni požarni zid prilepi sezname za kontrolo nadzora na notranje, zunanje in DMZ vmesnike (teh osnovni ne konfigurira). Naslednja razlika je ta, da napredni čarovnik prilepi tudi inšpekcijska pravila vsem notranjim, zunanjim in DMZ vmesnikom (osnovni samo zunanjemu vmesniku). Ostale konfiguracije so enake kot pri osnovnem načinu. Kot zadnje smo na usmerjevalniku Corp nastavili prevajanje omrežnih naslovov (ang. network address translation NAT).

81 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran PREVAJANJE OMREŽNIH NASLOVOV (NAT) Prevajanje omrežnih naslovov (v nadaljevanju NAT) je bilo, podobno kot brezrazredno meddomensko usmerjanje (CIDR), prvotno namenjeno upočasnitvi izčrpavanja IP naslovov. Večje število privatnih IP naslovov je bilo predstavljeno z manjšim številom javnih IP naslovov. Od takrat pa je bilo ugotovljeno, da je NAT tudi koristno orodje za omrežne migracije in združitve, delitve obremenitve strežnika ter ustvarjanje virtualnih strežnikov. Če se npr. dve podjetji, ki imata podobno notranjo naslovno shemo združita, lahko z NAT-om preprečimo ponovno konfiguracijo celotnega omrežja. NAT je zelo priročen tudi če npr. neko podjetje spremeni ponudnika internetnih storitev in administrator ne želi spreminjati notranje naslovne sheme. Ima pa NAT tudi svojo slabo stran. Iz tabele 11.1 so razvidne prednosti in pomanjkljivosti NAT-a. Tabela 11.1: Prednosti in pomanjkljivosti NAT-a Prednosti Ohranja pravno registrirane javne IP naslove Zmanjšuje pojav prekrivajočih se IP naslovov Povečuje fleksibilnost pri povezovanju z internetom Pomanjkljivosti Prevajanje ustvarja zamudo Izguba IP sledljivosti (od začetka do konca) Nekatere aplikacije ne delujejo z NATom Odpravi prestrukturiranje ko se omrežje spremeni Poznamo tri različne tipe prevajanja omrežnih naslovov: statičnega, dinamičnega in prevajanje naslova vrat (PAT ang. Port Address Translation).

82 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran Statični NAT Ta vrsta NAT-a je zasnovana tako, da omogoča preslikavo enega privatnega v en javni IP naslov. Torej statična različica zahteva, da imamo en javni IP naslov za vsakega gostitelja v omrežju. Ukaz za konfiguracijo statičnega NAT-a je: ip nat inside source static inside_local inside_global 11.2 Dinamični NAT Ta verzija omogoča, preslikavo privatnega naslova v javni iz bazena javnih IP naslovov. Ni torej potrebno statično določiti kateri naslov bo preslikan v katerega, je pa potrebno imeti na voljo dovolj javnih IP naslovov za vsakega gostitelja, ki bo povezan v internet. Ukazi za konfiguracijo dinamičnega NAT-a je: ip nat pool pool_name starting_address ending_address ip nat inside source list list_number pool pool_name access-list list_number permit network inverse_mask 11.3 PAT Je najbolj razširjena vrsta NAT konfiguracije. PAT je oblika dinamičnega NAT-a, kjer se več privatnih naslovov preslika v enega javnega z uporabo različnih vrat. Razlika je torej v tem, da se je bazen naslovov zmanjšal na en sam javni IP naslov. Ukazi za konfiguracijo PAT-a: ip nat pool pool_name starting_address ending_address ip nat inside source list list_number pool pool_name overload access-list list_number permit network inverse_mask

83 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 71 PAT je pravi razlog, da do sedaj ni zmanjkalo javnih IP naslovov Konfiguracija NAT-a s pomočjo SDM-ja Kot vse ostale nastavitve do sedaj, je tudi konfiguracija NAT-a zelo enostavna. Ob pritisku na Configure > NAT se pojavi okno, kjer imamo možnost konfiguracije dve vrst NAT-a: osnovnega in naprednega. Cisco priporoča uporabo osnovnega NAT-a, če imamo v omrežju le PC-je oz. druge gostitelje, katere želimo povezati z internetom. Če pa imamo v omrežju demilitarizirano cono (DMZ) ali strežnike, do katerih zunanji gostitelji potrebujejo dostop, potem Cisco priporoča napredni način konfiguracije NAT-a. V našem omrežju nismo imeli DMZ cone ali posebnih strežnikov, zato smo uporabili osnovni način. Po izbiri Launch the selected task, se odpre nov zaslon, kjer je zapisano kaj vse bo čarovnik osnovnega NAT-a naredil. Po pritisku na Next se odpre okno (slika 11.1), kjer izberemo zunanjega in notranje vmesnike. Ker nismo imeli možnosti izbrati logičnega vmesnika Loopback0 kot zunanjega, smo iz demonstracijskih razlogov le konfigurirali NAT in izbrali FastEthernet0/0. Preko tega vmesnika bi se naj omrežje povezalo v internet. Ostale vmesnike (razen Ethernet1/0) smo določili kot notranje (zaupanja vredne). Po pritisku na Next se ustvari bazen naslovov in vmesnikom se dodelijo konfiguracije (notranje ali zunanje).

84 Grafični vmesnik za konfiguracijo krajevnih omrežij na usmerjevalnikih Stran 72 Slika 11.1: Določanje vloge vmesnikom Ponovno smo s pomočjo Hyperterminala verificirali, kaj je usmerjevalnik dejansko naredil. Sledi delni izpis tekoče konfiguracijske datoteke usmerjevalnika Corp. Vmesniki, ki jih je konfiguriral:! interface FastEthernet0/0 description $ETH-LAN$$FW_INSIDE$ ip address ip access-group 100 in ip nat outside ip virtual-reassembly duplex auto speed auto! interface Serial0/0 description $FW_INSIDE$ ip address ip access-group 101 in ip nat inside ip virtual-reassembly!