http://ouprm.blogspot.hr/
https://trello.com/b/pD1mjbXs/vjezba1
Konfigurirati usmjernicke protokole prema shemi
1. Koristeci VPN template na R1 konfigurirajte Funkcionalan IPSec tunel kroz
koji vace racunalo moce komunicirati s racunalom iza HQ usmjernika. Ne smije
biti neopotrebne konfiguracije i sve mora biti precizno definirano
a. sve vezano za policu
b. sve vezano za transform set
c. sve vezano za crypto map
d. Sve veano za ACL
e. ostalo potrebno
2. vase racunalo takoder mora moci pingati ip adrese Lo5-8 na HQ usmjerniku
3. Konfigurirati sve potrebno na R1 za rucni IPv6 tunel tako da kroz njega
mozete komunicirati izmedu vasih sucelja lo0 i lo1 na usmjerniku HQ (za
usmjeravanje koristite ipv6 rip protokol naziva RIPng, izvor tunela je izlazno
su?elje ,a odrediste 193.200.203.99, za tunel ipv6 adrese na shemi)
4. konfigurirajte automatske ipv6 tunele na r1 tako da mozete komunicirati s
mrezema lo sucelja 100 i 101 na usmjerniku HQ. Za izradu vasih ipv6 adresa za
sucelja 100 i 101 na vasem R1 usmjerniku koristite ipv4 sucelje lo10
5. Konfigurirjte ipv6 acl koji dopusta telnet na vas usmjernik R1 samo mrezama
lo sucelja 0 i 1 na HQ usmjerniku.
___________________________________________________________________________________________
R1#sh run
Building configuration...
Current configuration : 3468 bytes
!
! Last configuration change at 20:09:30 UTC Mon Nov 28 2016
! NVRAM config last updated at 20:10:06 UTC Mon Nov 28 2016
! NVRAM config last updated at 20:10:06 UTC Mon Nov 28 2016
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
enable secret 4 tnhtc92DXBhelxjYk8LWJrPV36S2i4ntXrpb4RFmfqY
!
no aaa new-model
!
!
ipv6 unicast-routing
ipv6 cef
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
!
!
!
!
!
ip cef
!
multilink bundle-name authenticated
!
!
crypto pki token default removal timeout 0
!
!
license udi pid CISCO2901/K9 sn FCZ1614C50Y
license accept end user agreement
license boot module c2900 technology-package securityk9
license boot module c2900 technology-package datak9
!
!
!
redundancy
!
!
!
!
!
!
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
crypto isakmp key ciscokey123 address 193.200.0.99
!
!
crypto ipsec transform-set TS esp-aes 192 esp-md5-hmac
!
!
!
crypto map MAP 10 ipsec-isakmp
set peer 193.200.0.99
set transform-set TS
match address VPN_ACL
!
!
!
!
!
interface Loopback0
no ip address
ipv6 address 2A02:AC8:5:A::/64 eui-64
!
interface Loopback1
no ip address
!
interface Loopback2
no ip address
ipv6 address 2A02:AC8:5:B::1/64
!
interface Loopback5
ip address 88.88.5.1 255.255.255.192
!
interface Loopback6
ip address 88.88.5.65 255.255.255.192
!
interface Loopback7
ip address 88.88.5.129 255.255.255.192
!
interface Loopback8
ip address 88.88.5.193 255.255.255.192
!
interface Loopback10
ip address 173.100.5.1 255.255.255.0
!
interface Loopback100
no ip address
ipv6 address 2002:AD64:501:1::1/64
!
interface Loopback101
no ip address
ipv6 address 2002:AD64:501:2::1/64
!
interface Tunnel0
no ip address
ipv6 address 3005::1/112
ipv6 rip RIPng enable
tunnel source GigabitEthernet0/1
tunnel mode ipv6ip
tunnel destination 193.200.0.99
!
interface Tunnel1
no ip address
no ip redirects
ipv6 enable
tunnel source Loopback10
tunnel mode ipv6ip 6to4
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip address 10.5.5.1 255.255.255.0
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 11.5.5.1 255.255.255.0
duplex auto
speed auto
crypto map MAP
!
interface Serial0/0/0
no ip address
shutdown
clock rate 2000000
!
interface Serial0/0/1
no ip address
shutdown
clock rate 2000000
!
!
!
router eigrp 1
network 10.5.5.0 0.0.0.255
network 11.5.5.0 0.0.0.255
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 11.5.5.2
!
ip access-list extended VPN_ACL
permit ip 10.5.5.0 0.0.0.255 172.31.16.0 0.0.0.255
!
ipv6 route 2002::/16 Tunnel1
ipv6 router rip RIPng
redistribute connected
!
!
!
!
ipv6 access-list TELNET
permit tcp host 2A02:AC8:99:1::1 host 2A02:AC8:5:A::1
permit tcp host 2A02:AC8:99:2::1 host 2A02:AC8:5:A::1
permit tcp host 2A02:AC8:99:1::1 host 2A02:AC8:5:B::1
permit tcp host 2A02:AC8:99:2::1 host 2A02:AC8:5:B::1
!
control-plane
!
!
!
line con 0
password cisco
logging synchronous
login
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output lat pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
password cisco
ipv6 access-class TELNET in
login
transport input all
!
scheduler allocate 20000 1000
!
end
R1#
R1#
R1#
R1#
R1#
________________________________________________________________________________________
R2(config)#do sh run
Building configuration...
Current configuration : 2141 bytes
!
! Last configuration change at 16:43:51 UTC Mon Nov 28 2016
! NVRAM config last updated at 16:44:33 UTC Mon Nov 28 2016
! NVRAM config last updated at 16:44:33 UTC Mon Nov 28 2016
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
enable secret 4 tnhtc92DXBhelxjYk8LWJrPV36S2i4ntXrpb4RFmfqY
!
no aaa new-model
!
!
no ipv6 cef
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
!
!
!
!
!
ip cef
!
multilink bundle-name authenticated
!
!
!
!
!
crypto pki token default removal timeout 0
!
!
voice-card 0
!
!
!
!
!
!
!
!
license udi pid CISCO2901/K9 sn FCZ1614C50V
license boot module c2900 technology-package securityk9
license boot module c2900 technology-package uck9
license boot module c2900 technology-package datak9
!
!
!
redundancy
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip address 193.200.0.5 255.255.255.0
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 11.5.5.2 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface Serial0/0/0
no ip address
shutdown
clock rate 2000000
!
interface Serial0/0/1
no ip address
shutdown
clock rate 2000000
!
!
!
router eigrp 1
network 11.5.5.0 0.0.0.255
network 193.200.0.0 0.0.255.255
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source list NAT interface GigabitEthernet0/0 overload
!
ip access-list extended NAT
deny ip 10.5.5.0 0.0.0.255 172.31.16.0 0.0.0.255
permit ip 10.5.5.0 0.0.0.255 any
!
!
!
!
control-plane
!
!
!
!
!
!
!
mgcp profile default
!
!
!
!
!
gatekeeper
shutdown
!
!
!
line con 0
password cisco
logging synchronous
login
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output lat pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
password cisco
login
transport input all
!
scheduler allocate 20000 1000
!
end
___________________________________________________________________________________________
Ø
Tuneliranje – mehanizam koji se koristi kada želimo prenijeti određeni
protokol preko mreže koja ga ne podržava.
o
Ako je tunel kriptiran u trenutku kada podaci
dođu na kraj tunela oni se dekriptiraju i odlaze u mrežu ne kriptirani ovo treba
imati na umu
o
U nekim slučajevima želimo ostvariti L2 vezu
prema drugoj lokaciji i za to koristimo L2 tuneliranje. Takvo tuneliranje nam
omogućava direktnu L2 vidljivost između uređaja iza tunela.
Ø
MTU
o
Bitna stvar koju također treba imati na umu je
MTU na putanji do odredišta (MaximumTransmissionUnit) što je zapravo maksimalna
veličina paketa koji se može poslati preko nekog linka bez fragmentiranja paketa
o
Maksimalna veličina IP datagrama je
65535 bytova (većina linkova to ne
podržava pa se radi fragmentacija)
Ø
Problemi
kod Fragmentiranja
o
Veće korištenje CPU i memorije uređaja za
pošiljatelja i primatelja (uređaji koji su spojeni linkom preko kojeg se radi
fragmentacija) iako malo više za primatelja jer mora sve te fragmente presložiti
u originalni IP datagram
o
Nedostatak je što usmjernici za fragmentiranje
koriste maksimalan buffer zato što ne mogu znati koja je veličina IP datagrama
koji će primiti u fragmentima dok god ne primi zadnji fragment
Ø
VPN
-(Virtual Private Network)
o
Karakteristike VPN konekcija:
§
Dostupnost (Internet)
§
Uštede (Korištenje postojeće opreme)
§
Skalabilnost mreže (Jednostavno povezivanje više
lokacija po potrebi)
§
Sigurnost (Korištenje enkripcijskih algoritama)
o
Lokacija (Site to Site to -S2S)
o
VPN udaljenog pristupa (Remote access VPN)
o
VPN tuneliranje omogućava korištenje javne mreže
poput Interneta kao vlastite privatne mreže (mogu biti kriptirane, ali i bez
enkripcije)
o
Za to se koriste razni protokoli pomoću kojih se
promet enkapsulira između ishodišta i odredišta
o
Dodatno enkapsulacija sadrži informacije potrebne
za prijenos originalnih podataka na drugi kraj tunela
o
Na kraju tunela se dekapsuliraju originalni
podaci i šalju na odredišno računalo
o
Dakle,
tuneliranje uključuje proces enkapsulacije, prijenosa i dekapsulacije da bi se
dobili originalni podaci
o
Neki od protokola koji se mogu koristiti su:
§
Ipsec način rada (Internet Protocol Security)
§
PPTP (Point to Point Tunnelling Protocol)
§
L2F (Layer 2 Forwarding)
§
L2TP (Layer 2 Tunelling Protocol)
§
GRE (GenericRouting Encapsulation)
Ø
GRE
(Generic Route Encapsulation)
o
GRE Tunneling protokol je razvio Cisco, ali je
danas standard (RFC 2784) i služi za enkapsulaciju različitih tipova paketa
(razne protokole)
o
GRE enkapsulacijom stvara Virtualni
point-to-point link između dvije udaljene lokacije
o
GRE protokol enkapsulira “payload” odnosno
unutarnji IP paket koji se treba prebaciti u odredišnu mrežu preko neke javne
mreže u vanjski IP paket
o
Na odredištu GRE enkapsulacija se makne i paket
se prosljeđuje na odredište
o
GRE tunel može prenijeti različite protokole
preko mreže koja ih ne podržava (npr. Multicast, routing protokole, IPv6
promet), može povezati diskontinuirane
mreže
o
GRE tunel omogućava VPN preko WAN mreža
o
GRE tunel pruža privatnu vezu (zbog enkapsulacije
koja je različita od one u mreži kroz koju se stvara tunel), ali nije sigurna (nema
kriptiranja), zato se kombinira s protokolima
IPSec-om
Ø
Site to
Site – S2S
o
računala prosljeđuju promet kroz VPN pristupnik
(engl. gateway) koji može biti usmjernik ili vatrozid
o
VPN gateway je odgovoran za kriptiranje i
enkapsuliranje odlaznog prometa i
slanje kroz VPN tunel prema drugom kraju VPN tunela na kojemu se također nalazi
VPN gateway
o
Na odredištu, VPN gateway ukloni zaglavlje paketa
kojim je enkapsuliran orginalni paket, dešifrira originalni paket i pošalje ga u
privatnu mrežu
Ø
VPN
udaljenog pristupa (Remote access VPN)
o
koriste ga mobilni korisnici i udaljeni
zaposlenici (telecommuters)
o
Udaljeni zaposlenici mogu uspostaviti VPN vezu i
povezati se u mrežu svoje organizacije iz svojih domova ili sa bilo kojeg mjesta
na kojem imaju pristup Internetu
o
U ovom tipu VPN povezivanja, klijent mora
pokrenuti klijentski VPN program koji enkapsulira i kriptira odlazne podatke
o
Na odredištu, VPN pristupnik (engl. gateway)
obrađuje dobivene podatke kao i kod lokacija-2-lokacija VPN povezivanja
Ø
IPSEC
(Internet Protocol Security)
o
IPSec set standarda definira informacije koje se
moraju dodati IP paketu da bi se osigurala povjerljivost podataka, integritet
podataka i autentikacija, te način kriptiranja sadržaja paketa
o
Prednosti IPSec-a:
§
povjerljivost podataka (data confidentiality)
§
integritet podataka (data integrity)
§
autentikacija (authentication)
o
Moguće je dodati nove algoritme u IPSec okvir i
koristiti ih prema potrebi (skalabilnost)
o
Možemo koristiti bilo koju kombinaciju algoritama
ali mora biti isto na obje strane tunela
o
Dva načina rada:
§
Transport mode (prijenosni) – ne koristi se
·
šifrira se samo podatkovni dio paketa, a IP zaglavlje se ne mijenja
·
Prednost ovog načina je da se svakom paketu dodaje svega nekoliko okteta
·
Nedostatak je što se zbog nešifriranog IP zaglavlja mogu pročitati orginalna
ishodišna i odredišna adresa
§
Tunnel mode – vrlo često se koristi
·
obje strane moraju biti konfigurirane da koriste IPSec tuneliranje
·
IPSec tuneliranje koristi dogovorene mehanizme za enkapsulaciju i šifriranje
čitavih IP paketa (IP zaglavlje + podaci)
·
osigurava potpuno siguran prijenos podataka
o
IPSec protokoli za pregovaranje
§
AH (Authentication Header) – nije nužan
·
koristi se za autentikaciju pošiljatelja i integritet podataka bez kriptiranja
(IP protokol 51)
·
Ima problem u radu s NAT-om, pošto autenticira cijeli paket na promjene (a NAT
je promjena paketa)
§
ESP (Encapsulated Security Payload) – potreban
·
koristi se također za autentikaciju pošiljatelja i integritet, ali uz upotrebu
mehanizama za šifriranje (IP protokol 50)
·
Ključ poznaju samo primatelj i pošiljatelj
·
Ako su autentikacijski podaci ispravni, primatelj može biti siguran da su podaci
stigli od pošiljatelja, te da nisu promijenjeni
o
IPSEC enkripcijski protokoli:
§
DES (Data Encryption Standard)-simetrični
·
razvijen u IBM-u, koristi 56 bitni ključi
osigurava šifriranje visoke kvalitete
o
3DES (novija varijanta DES algoritma)-simetrični
o
AES (Advanced Encryption Standard)-simetrični
§
AES omogućava veću zaštitu od DES algoritma
§
AES nudi tri različite duljine ključa: 128, 192 i
256 bita
o
RSA (Rivest, Shamir, and Adleman)-asimetrični
§
Asimetrični algoritam za širiranje
§
Ključ može biti od 512, 768, 1024 bit i više
o
DH (Diffie Helman) –asimetrični
§
Za izmjenu tajnih ključeva na siguran način
o
IPSEC Integritet podataka:
§
HASH algoritam pridonosi integritetu podataka
tako da provjerava da li su podaci na putu od ishodišta do odredišta mijenjani
§
Pošiljatelj generira hash broj iz poruke koju
šalje i broj šalje zajedno sa porukom, primatelj dešifrira poruku i hash broj,
zatim generira novi hash broj iz dobivene poruke, te usporedi ta dva hash broja.
Ako su isti, integritet poruke je zadržan, odnosno poruka nije mijenjana
§
IPSec koristi HMAC (Hashed Mesage
Authentication)(2):
·
MD5 (Message Digest 5)
o
koristi 128 bitni zajednički ključ
o
Poruka i ključ se kombiniraju i primjene na
HMAC-MD5 hash algoritam
o
Rezultat je 128 bitni hash broj
o
Broj se dodaje orginalnoj poruci i prosljeđuje na
odredište
·
SHA-1 (Secure Hash Algorithm 1)
o
koristi 160 bitni ključ
o
Poruka i ključ se kombiniraju i primjene na
HMAC-SHA-1 hash algoritam
o
Rezultat je 160 bitni hash broj
o
Broj se dodaje originalnoj poruci i prosljeđuje
na odredište
o
IPSEC Digitalni potpis (Certifikat):
§
služi za identifikaciju, odnosno provjeru
autentičnosti (potvrdu da je pošiljatelj zaista onaj za kojega se izdaje)
§
Iz poruke pošiljatelj izračunava sažetak poruke
(message digest)
§
PKI (Public Key Infrastructure)
§
Sažetak se kriptira privatnim ključem i dobije se
jedinstveni digitalni potpis koji se šalje zajedno sa sažetkom poruke i izvornom
porukom
§
Primatelj može utvrditi autentičnost pošiljatelja
takve poruke dekriptirajući
digitalni potpis javnim ključem
o
Vrste enkripcije:
§
SIMETRIČNA(Manja sigurnost-manje cpu snage)
·
Par uređaja (usmjernik, VPN koncentrator...)
koriste isti ključ za kriptiranje i dekriptiranje podataka (SHARED SECRET)
§
ASIMETRIČNA (Veća sigurnost-više cpu snage)
·
Par uređaja (usmjernik, VPN koncentrator...)
koriste jedan ključ za kriptiranje, a drugi ključ za dekriptiranje podataka
(PUBLIC-PRIVATE KEY)
o
Sva komunikacija koja ide u VPN tunel (permit u
ACL za VPN) mora se zabraniti u ACL koja se koristi za NAT
§
deny any 10.0.0.0
0.255.255.255
Ø
DMVPN
o
Dynamic multipoint VPN tuneli su kombinacija GRE
(multipoint GRE), NHRP i IPSec mehanizama
o
NHRP (Next Hop Resolution Protocol) je L2
protokol koji omogućava ruterima na izdvojenim lokacijama da koriste dinamičke
IP adrese
o
Topologija je Hub-and-Spoke, ali s direktnom
komunikacijom između spoke usmjernika (nakon što ostvare vezu sa HUB uređajem)
o
Jedina IP adresa koja mora biti statička je IP
adresa HUB uređaja i ona je neka javna (od ISP-a)
Ø
L2TPv3
o
L2TP (Layer2 Tunneling Protocol) je industrijski
standard za L2 tuneliranje koji omogućava interoperabilnost različitih vendora i
ne zahtjeva korištenje MPLS-a u pozadini
o
L2TP omogućava prijenos bilo kojeg L2 protokola
između krajnjih točaka
o
Sam po sebi nema enkripciju, ali se kombinira s
IPSec
o
Koristi se u ISP okruženju, data centrima, za
proširenje LAN segmenata (česta upotreba) itd…
o
Proširenje LAN segmenta u slučaju kada želimo da
više korisničkih lokacija povežemo kao kada bi se povezivali preko preklopnika
Ø
IPv6
o
8 skupina po 16 bitova = 128-bit hexadecimalni
format
o
16 bitova = hextet – hexadecimalna polja odvojena
dvotočkama
o
Prve nule (leading zeroes) u bilo kojem hextetu
(nizu od 16 bitova) se mogu ispustiti (ne moramo ih pisati)
§
Adresa prije ispuštanja nula:2001:0DB8:0001:5270:0127:00AB:CAFE:0E1F
/64
§
Adresa poslije ispuštanja
nula:2001:DB8:1:5270:127:AB:CAFE:E1F /64
§
Ovo vrijedi samo za prve nule (Leadingzeroes)
zadnje nule (trailingzeroes) ne mogu se ispuštati isto kao i nule u sredini)
Ø
o
IPv6 adresiranje se radi po istom principu kao i
kod IPv4
§
/127 dobijemo 2 adrese
§
/124 dobijemo 16 adresa
§
/120 dobijemo 256 adresa
o
Prva adresa je sačinjena od
nula0000:0000:0000:0000:0000:0000:0000:0000
o
Zadnja adresa je sačinjena od
FFFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF
o
Preporuka je da se koristi /64 radi
konzistentnosti unutar mreže i efikasnijeg routinga, te općenito upravljanja
IPv6 adresama
o
korisnicima će ISP dijeliti uglavnom /56 ili /60
Ø
Vrste IPv6 adresa
o
Global Unicast
o
Multicast
o
Unspecified
o
Loopback
o
Link Local
o
Unique Local Address (ULAs)-privatne
o
Documentation
o
6 to 4 tunneling
o
Teredo tunneling
o
IANA Global Routing Number – Globalna unicast
adresa za usmjeravanje prometa na razini Interneta
§
Prva 3 bita su predefinirana kao 001 binarno
odnosno hex 2000::/3...raspon je od 2000-3FFF
Ø
Multicast IPv6 adresni prostor
o
Multicast adresa definira grupu sučelja
(interface)
o
Sve Multicast adrese definirane su rezerviranim
adresnim prostorom FF00::0/8 – 1111 1111 0000 0000 .....
o
Paket koji se šalje na neku multicastadresu doći
će na sva računala koja koriste tu IPv6 adresu
Protocol |
IPv4 Multicast |
IPv6 Multicast |
OSPF (Router) |
224.0.0.5 |
FF02::5 |
OSPF (DR/BDR) |
224.0.0.6 |
FF02::6 |
RIPv2 |
224.0.0.9 |
FF02::9 |
EIGRP |
224.0.0.10 |
FF02::A |
o
Unspecified IPv6 adresa su sve nule ::/128
...samo kao source kod DHCP requesta
o
LoopbackIPv6 adresa ::1/128
o
L2 Multicast adrese kod IPv6-OSPF su 48 bitova
nastaju tako što prvih 16 bitova u HEX zapisu su definirani kao 3333, a ostala
32 bita dobijemo doslovno iz L3 multicast IPv6 adrese
Ø
Vrste IPv6 adresa
o
fc00::/7 privatni adresni prostor
o
2001:db8::/32 Za dokumentaciju, nikad se ne
koriste za komunikaciju
o
2002::/16 6 to 4 tunneling, router koji radi 6to4
dodaje svoju IPv4 adresu u 2002::/16 i tako stvara jedinstvenu /48 IPv6 adresu.
Ovaj proces se na odredištu radi unazad kako bi se dobila IPv4 adresa
pošiljatelja
o
2001:0000::/32 Teredo tunneling-omogućava IPv6
adresama da prođu kroz IPv4 NAT (dio od IANA prostora)
o
ANYCAST adresa
§
Je istog oblika kao i Unicast
§
Primjena za DNS clustere i CDN mreže
§
Paket poslan na Anycast adresu će doći samo do
najbližeg člana grupe
o
LINK-LOCAL ADDRESS
§
Koriste se na jednom lokalnom linku
§
Link-Localaddresese automatski konfiguriraju na
svim sučeljima (bez ljudske intervencije)
§
Prefix koji se koristi za Link-Localaddreseje
FE80::/10
§
Usmjernici(Ruteri) ne prosljeđuju pakete koji
imaju source ili destination Link-local IPv6 ad
§
fe80::dd21:d5f0:7aab:b502%10
·
%10 je zoneID-potreban je zato što su sve link
local ipv6 adrese u istom subnetu, ali na više sučelja..štoinače ne može
funkcionirati. Omogućava računalu da zna gdje poslati paket..nakoji link local
scope/interface
Ø
IANA RIRs
o
ARIN
o
LACNIC
o
AFRINIC
o
RIPE NCC
o
APNIC
Ø
IPv6 adresni prostor
o
2001:0000::/23 –IANA (za razne potrebe)
o
2001:0200::/23 –APNIC (Asia/Pacific Region)
o
2001:0400::/23 –ARIN (North America Region)
o
2001:0600::/23 –RIPE NCC(Europe, Middle East and
Central Asia)-Network Coordination Center
o
Najmanji IPv6 prefiks koji dijeli RIPE je /48 /.
o
2a00:0000::/12 neki naši ISP imaju IPv6 adrese u
ovom rasponu npr...
§
OptimaAS34594 2a02:ac8::/32
§
PCK AS61211 2a03:bb40::/32
§
B-net AS31012 2a00:dd8::/32
Ø
Struktura IPv6 adresa
Ø
Karakteristike IPv6
o
Veći adresni prostor (128 bitna adresa)
o
Eliminacija NAT-a
o
Eliminacija Broadcasta
o
Jednostavniji Header - za jednostavnije
usmjeravanje prometa
o
Višestruke adrese na jednom sučelju
o
Link-local adrese –automatski ih generiraju
uređaji (koriste ih IGP kao next-hop)
Ø
Solicited-nodeaddress/multicastgroup(SNMA)
o
To je link-local multicast adresa i koristi se za
Layer 3 to Layer 2 address resolution (IPv6 NeighborDiscovey-ND)
o
Solicitation znači da Računalo A pita samo
Računalo B koja je njegova MAC adresa, a ne sve kao kod ARP-a gdje se šalje
broadcast
o
ff02:0:0:0:0:1:ff00::/104 plus zadnja 24 bita
IPv6 addrese
Ø
Usmjeravanje paketa sa ipv6 protokolom
o
Prije konfiguracije usmjeravanja IPv6 moramo
globalno uključiti IPv6 unicast-routing
o
RIPng
o
OSPFv3 (router ID -> IPv4 adresa)
o
EIGRP(router ID -> IPv4 adresa)
Ø
Prijelazne metode
o
Izvorni IPv6 (Native IPv6)
– izgradnja IPv6 infrastrukture
od početka, problem je što ne rade svi na ovakav način (razni su
razlozi..troškovi, znanje, podrška za aplikacije, oprema…)
o
Dvostruki stog(Dual-Stack) – preferirani
mehanizam. Uređaji podržavaju istovremeno IPv4 i IPv6. IPv4 i IPv6 koegzistiraju
neovisno jedan o drugome (slično je bilo kod migracije IPX na IPv4)
Ø
Tuneliranja(Tunneling) – povezivanje izoliranih
IPv6 mreža preko postojeće IPv4 jezgre (ili Interneta)
o
Usmjernik-Usmjernik
o
Računalo-Usmjernik
o
Računalo-Računalo
Ø
IPv6 Prevođenja(Translation techniques)
o
Network AddressTranslation-Protocol
translation(NAT-PT)
o
NAT
Ø
IPv6 tuneliranje
o
Pet načina tuneliranja IPv6 mreže preko IPv4
mreža (Overlay tunnel):
1.
Manual IPv6 tunnels
§
ekvivalent trajnom linku između dvije IPv6 mreže
povezane IPv4 mrežom/okosnicom
§
Koristimo kada nam treba česta komunikacijaizmeđu
tih lokacija
§
IPv6 adresa se ručno konfigurira na “tunnel”
sučelju
2.
Automatic IPv4-Compatible tunnels
§
tunnels koriste IPv4-compatible IPv6 adrese
§
To su IPv6 unicast adrese koje imaju sve nule u
prvih 96 bitova IPv6 adrese
§
Ruteri na krajevima tunela moraju podržavati IPv4
i IPv6 adrese..nije skalabilno za velike mreže
3.
IPv6-preko-IPv4 korištenjem GRE enkapsulacije
(tunela)
§
Slično kao i “manual IPv6 Tunnels” služi za
stalne veze
§
Ruteri na oba kraja moraju održavati IPv4 i IPv6
(“Dual Stack”)
4.
Automatic 6to4 tunnels
§
Povezuju izolirane IPv6 mreže preko IPv4 mreže
(na razini paketa), ali je razlika u odnosu na ručno konfigurirane tunele to što
su ove veze point-to-multipoint, za razliku od point-to-point kod ručnih tunela
§
Odredište tunela se određuje na temelju IPv4
adrese graničnih rutera koja je izvučena iz IPv6 adrese koja počinje prefiksom
2002::/16
5.
Intra-Site Automatic Tunnel Addressing Protocol
(ISATAP) Tunnels
§
automatski overlay mehanizam koji koristi IPv4
mrežu kao osnovu za povezivanje IPv6 mreža.
§
ISATAP se koristi unutar mreže na lokaciji gdje
ne postoji IPv6 infrastruktura, ali imamo računala koja su IPv6
§
Računala moraju biti “Dual Stack” unutar lokalne
mreže da bi mogla komunicirati
Ø
Glavna razlika između pojedinih metoda je način
na koji se definiraju izvor i odredište prometa
Ø
IPv6 ACL
o
IPv6 podržava samo named, extended access lists.
o
IPv6 ACL koriste /XX umjesto wildcard maske
o
IPv6 ACLse primjenjuju na sučelje korištenjem
naredbe “ipv6 traffic-filter”
o
IPv6 ACLse primjenjuju na VTY linije naredbom
“ipv6 access-class
Neka pitanja:
Koje parametre za IPSec konekciju bi odabrali za spajanje s
bankom, a koje za spajanje s malom tvrtkom i zašto?
Što bi učinili u slučaju da su LAN mreže koje trebaju biti
povezane IPSec tunelom iste i kako bi ocijenili to rješenje?
Što je potrebno uzeti u obzir prilikom izrade adresne sheme
za prijelaz s IPv4 na IPv6?
U slučaju velikog broja lokacija koje trebaju migrirati na
IPV6 koje rješenje bi odabrali i zašto?
IANA Globalni
adresni prostor
2000::/3, odnosno 2000-3FFF
Multicast IPv6
adresni prostor
·
FF00::0/8 do 1111 1111 0000 0000
·
FF02::5
OSPF (Router)
·
FF02::6
OSPF (DR/BDR)
·
FF02::9
RIPv2
·
FF02::A
EIGRP
Unspecified IPv6
adresa (sve nule)
0000:0000…, odnosno ::/128 i koristi se kao source kod DHCP
requesta
Loopback IPv6
adresa
::1/128
Privatni adresni
prostor
FC00::/7
Dokumentacija
2001:DB8::/32
6 to 4 tunneling
2002::/16, ruter dodaje svoju IPv4 adresu i tako stvara
jedinstvenu IPv6 adresu
Teredo tunneling
2001::/32
Link-Local adrese –
automatski se konfiguriraju na lokalnom linku
FE80::/10
FE80::DD21:D5F0:7AAB:B502%10 – ovaj %10 je ZoneID i koristi
se jer su sve link local ipv6 adrese u istom subnetu na raznim sučeljima pa to
omogućava računalu da zna na koji interface treba slati pakete.
RIPE NCC raspon
adresa
2A00::/12
RIPng
-
Distance i vector protokol
-
Isti mehanizmi za zaštitu od petlje (split
horizon)
-
Maksimalan radijus mreže je 15 usmjernika
-
UDP protokol na portu 521
-
Periodička osvježenja
-
Za osvježenja se koristi multicast adresa FF02::0
putem link-local
OSPFv3
-
Princip rada isti kao OSPFv2
-
Susjedski odnosi uspostavljaju se putem
link-local adresa
-
Osvježenja i dalje idu po LSA paketima
-
Osvježenja se šalju na multicast adrese FF02::5 i
FF02::6
-
Za autentikaciju se koristi IPsec
-
Za routerID se i dalje koristi IPv4 adresa
EIGRP
-
Princip rada ostao isti, DUAL-FSM
-
Za komunikaciju koristi multicast adresu FF02::A
-
Za routerID
se i dalje koristi IPv4 adresa
-
EIGRP se mora eksplicitno uključiti sa NO
SHUTDOWN naredbom pod EIGRP procesom
Općenito routing sa
IPv6
Potrebno ga je uključiti globalno sa naredbom IPV6
UNICAST-ROUTING
IPv6 adrese na R1
181.34.x.1/24 -> svaki oktet treba pretvoriti u HEX zapis
pa je 181 = B5, 34 = 22, 1 = 0101, 1 = 0101
ipv6 add 2002:b522:0101:1::1/64
ipv6 add 2002:b522:0101:2::1/64
isto tako za Lo11 i Lo12 treba upisati adrese
da bi provjerili ping, moramo pingati sa sourceom lo100 ili
lo101 sa ping 99.99.99.1 so lo 2
iBGP
R1
router bgp 1
nei 10.1.1.1 remote 1
nei 10.1.1.1 update lo 0
net 66.1.0.0 mask 255.255.255.0
R2
iBGP
router bgp 1
nei 10.1.0.1 remote 1
nei 10.1.0.1 update lo 0
net 66.1.1.0 mask 255.255.255.0
eBGP
nei 99.99.99.1 remote 444
nei 99.99.99.1 update lo 2
nei 99.99.99.1 ebgp-multihop 2
ip route 99.99.99.1 255.255.255.255 33.33.33.99
da bi ovo radilo, HQ isto mora imati statičku rutu do
12.1.1.1 i konfiguriran BGP prema neighbor 12.1.1.1
Local preference na
200 za mreže lo5 i lo6 na HQ (55.1.0.0 i 55.1.1.0)
R2
Ip access-list standard LP
Permit 55.1.0.0 0.0.1.255
Exit
Route-map MAP_IN
Route-map MAP_IN permit 10
Match ip add LP
Set local-preference 200
Exi
Router bgp 1
Nei 99.99.99.1 route-map MAP_IN in
POTREBNO JE PROPUSTITI OSTALE MREŽE PREMA R2 DA IDU
NORMALNO, a NAKON OVE MAPE NEĆE IĆI
Ip access-list standard FILTER
Permit 77.1.0.0 0.0.255.255 (ovo je iz AS333)
Permit 55.1.0.0 0.0.255.255 (ove mreže moraju proći)
Permit 33.33.33.0 0.0.0.255 (ovo će trebati za ipv6 tunel)
Permit 1.1.2.2 0.0.0.0
Exit
Route-map MAP_IN permit 20
Match ip address FILTER
Exi
Exi
OGLASITI MREŽU IZMEĐU R2 i HQ u BGP ili OSPF
R2
Router bgp 1
Net 33.33.33.0 mask 255.255.255.0
(četvrti zadatak)
KONFIGURIRATI MED
ATRIBUT ZA MREŽE 66.x.1.0 na R1 i R2 i DEFAULT RUTU ZA NEI 99.99.99.1
R2
Router bgp 1
Nei 99.99.99.1 default-originate
Exi
Ip access-list standard MED
Permit 66.1.0.0 0.0.0.255
Permit 66.1.1.0 0.0.0.255
Exi
Route-map MAP_OUT permit 10
Match ip add MED
Set metric 777
Exi
Router bgp 1
Nei 99.99.99.1 route-map MAP_OUT out
(peti zadatak)
KONFIGURIRATI SVE
ŠTO JE POTREBNO ZA RUČNI ipv6 tunel između R2 i HQ
R1 (source loopback
je „ljubičasti“ odnosno 33.33.33.x)
Int tun 0
Ipv6 add 3001::1/112
Ipv6 unicast-routing
Ipv6 eigrp 1
Tunn source lo1
Tunn destinat 33.33.33.99
Tunn mode ipv6ip
Exi
Int lo 11
Ipv6 eigrp 1
Int lo12
Ipv6 eigrp 1
Ipv6 router eigrp 1
No shut
AKO NIJE SLOŽENO, OVO ISTO TREBA NAPRAVITI I SA DRUGE
STRANE NA HQ
Ping 2A02:AAA:99:1::1 so lo 11
Ping 2A02:AAA:99:1::1 so lo 12
(zadatak 6)
KONFIGURIRATI SVE
ŠTO JE POTREBNO DA BI MOGLI KOMUNICIRATI PUTEM AUTOMATSKIH ipv6 TUNELA mogli
KOMUNICIRATI S MREŽAMA lo100 i lo101
R1
Int tun 10
Ipv6 enable
Tunnel source lo10
Tunnel mode ipv6ip 6to4
Exi
Ipv6 route 2002::/16 tunn 10
OBAVEZNO NA R1 OGLASITI MREŽU U BGP
Router bgp 1
Net 181.34.1.0 mask 255.255.255.0
OBAVEZNO PODESITI ACCESS LIST MED TAKO DA PROPUŠTA i OVU
MREŽU
Ip access-list standard IPV6
Permit 181.34.1.0 0.0.0.255
Exi
Route-map MAP_OUT permit 20
Match ip add IPV6
Provjeriti sa
Ping 2002:0101:0202:1::1 so lo 10
(zadatak 7)
Backupirati konfiguraciju na TFTP
R1
Copy running-config tftp
10.50.1.100
R2
Copy run tftp
10.50.1.100
(zadatak 8)
konfigurirati SNMP na usmjerniku 2 tako da imamo nadzor nad svim fizičkim
sučeljima
R2
Conf t
Snmp-server community prtgRO ro
Snmp-server trap-source fa0/0
Snmp-server enable traps
Snmp-server host 10.50.1.100 version 2c prtgRO
End
Wr
ONDA OTIĆI NA PRTG
Add device (dolje)
Odabrati kategoriju
Odrediti adresu (10.1.2.2 ili bilo koju iz subneta)
Community string podesiti na prtgRO
Dodati SNMP senzor
Odabrati interfejse i upaliti kanale
PODESITI UPPER I
LOWER ERROR LIMITE
Kliknuti na Traffic Total -> Limits > enable limits
Upper Error na 90 000
Upper Warning na 80 000
Lower Warningna 10 000
Lower Error na 5 000
ISTO OVO NAPRAVITI
I ZA DRUGI INTERFACE
(zadatak 9)
podesiti netflow
R2
Int f0/1
Ip flow ingress
Ip flow egress
Exi
Ip flow-export source f0/0
Ip flow-export version 5
Ip flow-export destination 10.50.1.100 9996
SADA ODABEREMO TAJ
SENZOR U PRTG
Devices -> R2 -> Add senzor -> Netflow/Jflow version 5
Odabrati UDP 9996 (port)
Active timeout prema potrebi
-----------------------------------------
-----------------------------------------