Směrování IP datagramů

Směrování IP datagramů Směrovací protokoly - směrování je jeden ze základních principů na kterých stojí dnešní Internet

Principy směrování I. Směrování IP datagramů si lze představit např. jako: třídění dopisů na poště

je-li adresát z Brna, tak je dopis vhozen do otvoru Brno je-li adresát z Pardubic tak je dopis vhozen do otvoru HK protože do Pardubic neexistuje přímé spojení v HK bude poté následovat další směrování

každý pytel je následně svázán, ošetřen visačkou a odeslán...

Principy směrování II. Analogicky předchozímu příkladu se chová směrovač (router) jednotlivými přihrádkami jsou síťová rozhraní zjednodušeně řečeno směrovač je zařízení, které předává datagramy z jednoho svého rozhraní do jiného

příklad: směrovač obdržel datagram adresovaný stanici 10.5.2.1 a musí rozhodnout:  zdali jej vloží do S0 nebo S1  nebo jej snad vloží zpět do rozhraní Eth.

Hostitelské počítače a směrovače Uzlové počítače (hosts, hostitelské počítače) se typicky připojují jen do jedné dílčí sítě Existuje však možnost připojit je do více dílčích sítí, jako tzv. multi-homed host

IP síť 1

IP síť 2

Tzv. multi-homed host může fungovat současně i jako směrovač (kromě svých “hostitelských” funkcí), ale ... ... filozofie protokolů TCP/IP to nepovažuje za správné a vhodné!! a striktně rozlišuje mezi hostitelským počítače a směrovačem (IP směrovačem, IP bránou)

Směrování pomocí směrovačů N1

I0

R1 I1

N2 N3 R2 I1

I0

Tabulka R1 Síť

Rozhraní

Brána

M

N1

I0

přímo

0

N2

I1

přímo

0

N3

I1

R2

1

N4

I1

R2

2

N4

I0

Tabulka R2

R3 I1

Tabulka R3

Síť

Rozhraní

Brána

M

Síť

Rozhraní

Brána

M

N1

I0

R1

1

N1

I0

R2

2

N2

I0

přímo

0

N2

I0

R2

1

N3

I1

přímo

0

N3

0

I1

R3

1

I0

přímo

N4

N4

I1

přímo

0

Směrovací tabulky Směrovačům k rozhodování slouží tzv.: směrovací tabulky

v prvním sloupci je adresa cílové sítě lze si představit, že záznamy ve směrovací tabulce jsou například setříděny podle pravidla:  více specifická adresa předchází méně specifickou adresu sítě směrovač postupně prochází všechny záznamy od shora dolů  dokud nenarazí na záznam, který by se dal použít

Zpracování Zpracování probíhá po řádcích na každém řádku se vezme M která se bit po bitu vynásobí s IP A výsledek se porovná s A S AS <=?=> M x IP pokud se výsledek shoduje testuje se, zdali není více záznamů → více možných více cest  poté vstupuje do hry metrika zhodnocené parametry přenosové cesty (parametry jsou stanoveny protokolem) - např. počet směrovačů na přenosové cestě, cena za přenos, přenosová kapacita, zpoždění ...

Příklad Předchozí příklad: směrovač má vybrat vhodné síťové rozhraní k přenesení datagramu s cílovou adresou 10.5.2.1 1. řádek vynásobením bit po bitu 10.5.2.1 s M dostaneme 10.5.2.0

2. řádek vynásobením bit po bitu 10.5.2.1 s M dostaneme 10.5.2.0

3. řádek vynásobením bit po bitu 10.5.2.1 s M dostaneme 10.5.2.0

4. řádek vynásobením bit po bitu 10.5.2.1 s M dostaneme 10.5.0.0 což se rovná IP adrese v prvním sloupci.  IP datagram bude předán do rozhraní S1

poslední řádek pokud by nebyla nalezena žádná shoda, byla by použita tzv. default položka s maskou 0.0.0.0

Přímé a nepřímé směrování Přímé směrování (direct routing): odesilatel může poslat paket přímo jeho koncovému příjemci přímé směrování lze použít jen v případě, kdy odesilatel i příjemce jsou připojeni ke stejné dílčí síti (IP síti)

Nepřímé směrování (indirect routing): paket prochází přes “přestupní stanice”

Přímé směrování je od nepřímého snadno detekovatelné podle síťové části IP adresy příjemce

Přímé směrování je snadné a dokáží si jej zajišťovat hostitelské počítače samy na nepřímém směrování hostitelské počítače spolupracují se směrovači

Hlavní “tíha” nepřímého směrování však leží na směrovačích směrovače v každém TCP/IP internetu tvoří vzájemně spolupracující soustavu (strukturu), spolupracují na vlastním předávání paketů a na šíření směrovacích informací

Základní schéma směrování V každém OS jsou tedy implementovány základní směrovací funkce. Jsou to zejména: směrování obecných datagramů směrování datagramů pro vlastní stanici loopback směrování oběžníků forwarding echo replay ...

Zpětná smyčka Při směrování se velmi často vyskytne požadavek na odeslání paketů na vlastní adresu jak se tato situace řeší?

Korektní řešení: odeslat paket až na nejbližší směrovač ten zařídí správné „nasměrování“ datagramu zpět DA = my IP

IP = 1.2.3.4

další možné řešení

nezatěžuje síť zbytečnými pakety zvyšuje rychlost zpracování nezatěžuje směrovače

vytvořit virtuální zpětné zařízení - loopback ve směrovací tabulce přeposílat vybrané pakety na něj loopback se sám postará o „doručení“

Výpis směrovací tabulky Většina OS umožňuje minimálně: výpis konkrétní směrovací tabulky příkazem:

Ve Windows route print

netstat

pozor! - netstat vypisuje tabulku setříděnou vzestupně jednotlivé interfeacy jsou označeny svou IP adresou!

všechny datagramy určené pro vlastní IP adresu budou odeslány na: 127.0.0.1 - loopback

Konstrukce směrovacích tabulek Směrovací tabulky mohou být vytvářeny: manuálně / staticky při konfiguraci síťového rozhraní administrátorem příkazem route používá se v případě zvýšení bezpečnosti směrování je pak plně pod kontrolou síť však neumožňuje dynamickou rekonfiuraci topologie směrovač nemůže vytvářet alternativní cesty možnost chybné konfigurace vznik nežádoucích nekontrolovaných směrovacích smyček

u hostů dynamicky pomocí protokolu ICMP dynamicky pomocí směrovacích protokolů

Hostitelské směrovače a směrování Algoritmy směrování aplikují jak směrovače, tak i hostitelské počítače o aktualizaci obsahu směrovacích tabulek se aktivně starají pouze směrovače (podílí se na hledání cest atd.)

hostitelské počítače si své směrovací tabulky aktualizují až na přímý popud směrovačů (ty je doslova “učí”)

hostitelský počítač musí znát alespoň jeden směrovač (musí znát alespoň jednu “cestu ven” ze své sítě) ...

jeho směrovací tabulka musí na počátku obsahovat alespoň jednu položku (typicky: implicitní cestu) o existenci případných dalších směrovačů se hostitelský počítač dozvídá postupně

Vytváření směrovací tabulky hosta Postup naplňování ST dalšími záznamy v první fázi se může stát, že hostitelský počítač pošle paket takovému směrovači (typicky na implicitní cestě), přes který cesta ke konečnému adresátovi nevede

v takovém případě má dotyčný směrovač povinnost upozornit odesilatele (hostitelský počítač) na existenci jiného, vhodnějšího směrovače

hostitelský počítač si tento “nový” směrovač zanese do své směrovací tabulky původně “oslovený” směrovač má povinnost zprostředkovat doručení paketu

Předávání informací hostům Jak funguje předávání inf. mezi směrovači a hosty? směrovače upozorňují hosty pomocí ICMP na existenci jiných směrovačů směrovače hostům posílají tzv. ICMP redirect

ICMP má ve spojení se směrovači i další využití reakce na zahlcení - směrovač může poslat odesilateli žádost o snížení rychlosti odesílání při zacyklení cest oznamuje tuto skutečnost původnímu odesilateli umožňuje testovat dosažitelnost konkrétních uzlů sítě - tzv. ICMP echo

Směrovací protokoly

Původní představa distribuce směrovacích informací v Internetu

core gateways

páteř Internetu

non-core gateways

bude existovat soustava tzv. core gateways (centrálních směrovačů), nacházejících se v páteřní části Internetu tyto core gateways budou mít úplnou informaci o celé topologii Internetu a budou centrálně spravovány (pověřenou organizací)

Non-core gateways Non-core gateways typicky směrovače sítí, které se připojují k “páteři” Internetu mají své konkrétní provozovatele a správce vystačí jen s omezenými směrovacími informacemi 

pokrývajícími pouze jejich “dosah”

veškerý ostatní provoz posílají nejbližším core gateway musí inzerovat IP adresy svých sítí soustavě core gateways

S růstem Internetu se řešení s “core gateways” stalo neúnosné úplná informace o celé topologii Internetu je příliš velká režie na distribuci této informace mezi všemi “core gateways” značná

“core gateways” nešlo donekonečna “nafukovat” muselo se najít jiné řešení

Základní myšlenka řešení Informace o topologii je třeba vhodně distribuovat je vhodné respektovat skutečnost: k Internetu se připojují celé velké sítě či soustavy sítí které již mohou mít otázku šíření směrovacích informací (v dosahu své působnosti) nějak vyřešenu

ať si každý zodpovídá sám za sebe vzniknou autonomní systémy  soustava vzájemně propojených sítí, spadající pod jednu správní autoritu  autonomní systém má právo si zajistit šíření směrovacích informací podle svého (ve svém okruhu působnosti)  ostatním autonomním systémům předává údaje o dostupnosti svých sítí

Autonomní systémy Soustava “core gateways” bude nadále existovat a bude sama tvořit autonomní systém

Od ostatních autonomních systémů bude dostávat informace o dostupnosti jednotlivých sítí Předpokládá se stromovitá struktura autonomních systémů (bez cyklů) autonomní systém “core gateways” představuje kořen tohoto stromu každý autonomní systém inzeruje informace typu: já jsem tím, kdo poskytuje přístup k síti X.Y.

Autonomní systémy Uvnitř autonomních systémů si každý autonomní systém šíří směrovací informací tak, jak potřebuje

Navenek musí dodržovat jednotnou konvenci protokol EGP (Exterior Gateway Protocol) LAN

LAN

AS1

LAN

LAN

LAN

IGP

EGP

LAN

Core Network

LAN

IGP

LAN

LAN LAN IGP LAN

LAN

LAN

LAN

AS3

LAN

LAN

LAN

AS2

Uvnitř autonomních systémů Může existovat více směrovacích algoritmů (protokolů) obecně se označují jako IGP (Interior Gateway Protocols)

příklady: RIP, OSPF, EGRP... LAN

LAN

AS1 LAN

IGP

LAN

LAN

EGP Core Network

IGP směrovací protokoly Automatické směrovací protokoly využívají pro svou činnost: dynamicky vytvářené směrovací tabulky na základě informací periodicky šířených směrovacími protokoly se mapy vypočítávají programem podle určitého algoritmu  snadná adaptace na změny v topologii sítě  mezi směrovači musí být dohoda o implementaci určitého směrovacího protokolu

Algoritmy směrování mohou být: založeny na různých principech, myšlenkách, .... vycházejí z různých předpokladů mohou být vhodné či nevhodné pro různé druhy sítí a intenzity provozu mohou být více či méně odolné na změny v topologii sítě mohou či nemusí se umět vyrovnat se zdvojenými cestami...

Společnou vlastností všech směrovacích algoritmů je nalezení optimální cesty pro přenos datagramů

Optimální cesta Co je optimální cesta? nejkratší a v jakém smyslu? V délce kabelů, v počtu přeskoků?

nejrychlejší co do přenosového zpoždění, co do délky front?

nejlacinější co do nákladů, poplatků?

obecně: zavede se určitá metrika, a tou se ohodnotí jednotlivé spoje v síti algoritmy hledají optimální cestu podle této metriky metrika může vyjadřovat např. počet přeskoků, celkovou dobu přenosu, nebo kombinaci dalších parametrů

Algoritmy pro výpočet směrovacích cest U dynamického směrování se používají dva základní směrovací algoritmy: DVA - Distance Vector Algorithmus pracuje na principu vektorového ohodnocení cesty (délky)

LSA - Link State Algorithmus pracuje na základě ohodnocení stavu - kvality cesty

do těchto skupin patří dnes nejpoužívanější směrovací protokoly DVA

RIP-IP (RFC 1058)

RIP-IPX (Novell)

IGRP (Cisco)

E-IGRP (Cisco)

LSA

OSPF (RFC 1247)

IS-IS (ISO-OSI)

NLSP

EGP (RFC 827)

Distance Vector algoritmus Princip: pracuje na principu: vektorového ohodnocení délky cesty 

délka cesty je ohodnocena počtem mezilehlých směrovačů

a periodické výměny směrovacích informací 

vyměňují se přitom celé směrovací tabulky pomocí IP broadcastu

ze získaných tabulek mohou směrovače upřesňovat (doplňovat) nové nejkratší vzdálenosti

Vytvoření tabulky: vytvoření záznamů pro sousedící sítě podle postupně přijímaných obsahů tabulek dalších směrovačů se tvoří záznamy pro čím dál vzdálenější sítě hodnota „hopcount“ přijatá od sousedního směrovače se vždy zvýší o 1

Příklad - počáteční stav A B C D E F G A B C D E F G

? ? ? ? ? 2 -

3 ? ? ? 2 ?

? ? ? ? ? F -

do kterého uzlu

B ? ? ? F ?

A B C D E F G

A 3

3 A - 6 C ? ? ? ? ? ? ??

C

6

B

A B C D E F G

2 A ? ? ? ? ? ? 2 E - 2G

2

E

2

2 F přes který uzel za jakou cenu

? ? 6 B - 2 D ? ? ? ? ??

2

2 G

A B C D E F G

A B C D E F G

? ? ? ? ? ? 2 D - 2 F ??

D

A B C D E F G

? ? ? ? 2 C - 2 E ? ? ??

Příklad - stav po 1. kroku A B C D E F G

A B C D E F G

4 ? ? ? 4 2 -

3 9 ? 4 2 4

F ? ? ? F F -

do kterého uzlu

B B ? F F F

A B C D E F G

A 3

3 A - 6 C 8 C ? ? 5 A ??

C

6

B

A B C D E F G

2 A 5 A ? ? 4 E 2 E - 2G

2

E

2

2 F přes který uzel

9 B 6 B - 2 D 4 D ? ? ??

2

2 G

A B C D E F G

A B C D E F G

4 F ? ? 4 D 2 D - 2 F 4F

D

A B C D E F G

? ? 8 C 2 C - 2 E 4 E ??

Příklad - stav po 4. kroku A B C D E F G

A B C D E F G

4 7 8 6 4 2 -

3 8 6 4 2 4

F F F F F F -

do kterého uzlu

B F F F F F

A B C D E F G

A 3

3 A - 6 C 8 C 7 A 5 A 7A

C

6

B

A B C D E F G

2 A 5 A 6 E 4 E 2 E - 2G

2

E

2

2 F přes který uzel

8 D 6 B - 2 D 4 D 6 D 8D

2

2 G

A B C D E F G

A B C D E F G

4 F 7 F 4 D 2 D - 2 F 4F

D

A B C D E F G

6 E 8 C 2 C - 2 E 4 E 6E

Distance Vector algoritmus Protokoly založené na DVA definují malé přirozené číslo (tzv. max. hopcount) které omezuje hodnotu DISTANCE pokud dojde k dosažení této hodnoty 

síť se považuje za nedostižitelnou a záznam se z tabulky odstraní

protokoly tedy nejsou vhodné pro příliš rozsáhlé sítě Problémy jsou i s konvergencí: dobré zprávy“ se šíří rychle to, že někde existuje kratší cesta

špatné zprávy“ se šíří pomalu to, že někde přestala být cesta průchodná

Další nevýhoda nutnost vysílat celé tabulky u větších sítí to představuje velké datové pakety = velká zátěž sítě

typickým představitelem je rodina protokolů RIP

Link State algoritmus Pracuje na základě: ohodnocení stavů linek připojených bezprostředně ke směrovači

každý směrovač sleduje své připojené linky podle přenosového výkonu - propustnosti doby odezvy ceny přenosu ...

směrovač poté pravidelně

Požadavky na výpočet jsou náročnější ale požadavky na množství přenášených dat jsou nižší! algoritmy jsou také stabilnější poradí si např. lépe se smyčkami

informuje další směrovače o těchto změnách - flooding

nepřenáší se tedy celé tabulky, ale pouze změny! každý směrovač tak může kdykoli přepočítat stav celé sítě a zvolit optimální cestu pro datagram

typickým zástupcem je např. EGP nebo OSPF

Interní protokoly - RIP RIP - Routing Information Protocol princip Distance Vector Algorithmus verze RIP1 a RIP2 Přidává směrování i na základě cílové adresy a umožňuje také autorizaci směrovačů vlastnosti vzdálenostní metrika je dána pouze počtem směrovačů v cestě  max. 15 Ukážeme si na nevyužívá měřené parametry přenosové cesty cvičení požaduje použití broadcastových zpráv  každých 60s odeslána RIP zpráva - pomalé šíření informace  pokud není přijata do 180s RIP zpráva → platnost ST vyprší (dojde ke ztrátě konektivity) definuje vždy pouze jednu cestu pro daný směr - nedokáže vytvářet záložní alternativní cesty náchylný ke vzniku směrovacích smyček

Princip činnosti RIPu Informace jsou předávány pomocí RIP paketů RIP pakety jsou přenášeny prostřednictvím UDP (port 520) IP záhlaví 0

UDP záhlaví

RIP zpráva

7 8

15 16 31 identifikátor směrovacího procesu request/reply verze RIPu typ sítě (2 = IP) identifikátor AS IP adresa sítě maska podsítě „next - hope“ IP adresa vzdálenost k síti v počtu směrovačů (0-15), 16 = nedostupná síť záznamy pro dalších maximálně 24 směrovačů

zpráva obsahuje zejména: žádost / odpověď - o všech nebo vybraných sítích IP adresu následující sítě vzdálenost k síti

Princip činnosti RIPu Funkce směrovače: po zapnutí rozešle (broadcastem) žádosti o směrovací inf. do všech připojených sítí na základě odpovědí si sestaví S.T. tu rozešle v RIP paketu do připojených sítí dále rozesílá RIP pakety s periodou 60s nebo při změnách

výpadky rozhraní směrovač oznamuje údajem Hops = 16

Nastavení RIP subjektů (programová konfigurace): aktivní – generují a šíří RIP zprávy (zpravidla síťové směrovače) pasivní – pouze přijímají RIP zprávy od aktivních subjektů (zpravidla koncové uživatelské systémy)

Protokoly IGRP a E-IGRP firmy Cisco Postupem času přestal RIP stačit

RIP

zejména jednou metrikou a limitem 16 přeskoků

Limit 16 přeskoků

Firma Cisco přišla s vlastním protokolem

Jediná metrika -počet přeskoků (vzdálenost)

IGRP (Interior Gateway Routing Protokol) Distance Vector Algorithmus

IGRP byl původně vyvinut pouze pro IP později obohacen i o podporu pro další sítě (IPX, AppleTalk...) na zařízeních Cisco se stal standardem

IGRP

konkurence prosazovala jako náhradu protokol OSPF v r. 1994 byl protokol přepracován a podstatně rozšířen na protokol EIGRP (Enhanced Interior Gateway Routing Protokol)

Počet přeskoků neomezen Pět metrik -počet přeskoků -zpoždění přenosu -šířka pásma -spolehlivost sítě -zatížení sítě

Vlastnosti EIGRP EIGRP je řazen do kategorie advanced - DVA firma Cisco o něm mluví jako hybridním protokolu

Vlastnosti

Ukážeme si na cvičení

konečný stavový automat DUAL*1 základní sw algoritmus pomocí algoritmu DUAL jsou synchronizovány změny cest ve S.T. aniž by se do tohoto procesu museli zapojovat směrovače, kterých se tyto změny netýkají velký rozdíl oproti periodickému dotazování u RIPu...

aktualizace řízené událostmi nepoužívá se periodicky vysílaných updatů

spolehlivý přenosový protokol RTP protokol garantující řádné doručení prioritních paketů s aktualizačními informacemi

možná koexistence s IGRP používané metriky jsou přenositelné

*1 Diffusing Update Algorithm

Směrovací protokol OSPF OSPF - Open Shortest Path First na principu Link State Algorithmus odstraňuje některé nevýhody RIPu pomalost šíření změn objem přenášených zpráv v RIP paketech limit 15 směrovačů

vlastnosti OSPF stav sousedních směrovačů je periodicky kontrolován existuje pojem „cena cesty“ - je vždy spojen s portem směrovače oceňuje administrátor podporuje paralelní cesty (se shodnou metrikou)  rozdělování zátěže hierarchie sítě je členěna na dvě úrovně  páteřní síť  dílčí oblasti

Princip OSPF zprávy OSPF jsou přímo vkládány do IP protokolu IP záhlaví Protocol = 89

OSPF zpráva

OSPF využívá algoritmus distribuovaného výpočtu směrovacích tab. směrovače provádějí prostřednictvím zpráv LSA (Link State Advertisment) a protokolu „Hello“  kontrolu dostupných směrovačů  a kontrolu připojených linek ke směrovačům na základě LSA si každý směrovač v síti si udržuje inf. o topologii sítě ve formě orientovaného grafu (databáze OSPF)  může lehce zjistit nejkratší cestu  a záložní cestu kořenem stromu je vždy aktuální směrovač zprávy jsou odesílány periodicky (30min), resp. při změnách  pozor - i změnách stavu linek!

Hierarchie OSPF Protokol OSPF umožňuje členění sítě do dvou úrovní páteř sítě BA (Back Bone Area) a dílčí oblasti (Area) s podrobnou topologií, jež není mimo oblast v OSPF viditelná

V ustáleném stavu: malé množství inf. (hello pak., refresh/30min...)

Pokud časté změny častý přepočet SFP => DVĚ ÚROVNĚ flooding jen v intra area! => pouze lokální přepočet SPF algoritmu při změně

OSPF směrovací doména Area – soustava jedné nebo více souvislých sítí každá area má svou „kopii“ Shortest Path First (SPF) algoritmu Hierarchické směrování uvnitř oblasti – intra area – společná topologická databáze vnitřní směrovač (Area Router) – „pověřený“ směrovač mezi oblastmi - inter area – přes páteřní oblast– sumarizuje topologické informace oblasti směrovač páteře (Back Bone Router) mezi OSPF směrovacími doménami – autonomní oblasti se stejnou metrikou s rozdílnou metrikou hraniční směrovač (Border Router)

OSPF cena cesty / metrika OSPF zná pojem cena cesty: cena - cost vždy svázána s rozhraním směrovače menší cena cesty = vyšší priorita cost = konst. / bandwidth (bps)  při default konst. = 1e8:  100Mbit/s = 1  10Mbit/s = 10  64kbit/s = 1562

cena svázána s rozhraním! odlišné ceny cesty z různých směrů

Externí protokoly Jednotné protokoly pro nasazení na WAN slouží pro směrování v páteřních sítích Souhrnně EGP:

Exterior Gateway Protocol LAN

LAN

AS1

LAN

LAN

LAN

IGP

EGP

LAN

Core Network

LAN

IGP

LAN LAN

LAN IGP

LAN

LAN

LAN LAN

AS3

LAN

LAN

LAN

AS2

Externí protokoly - EGP Protokol EGP (Extrior Gateway Protocol) – jednoduchý protokol na bázi stromové struktury bez metriky.

Princip: zjistí každému směrovači sousední směrovače, se kterými bude komunikovat, Periodicky „sousedství“ ověřuje pomocí paketů „Hello“ a odpovědí na ně

Vyměňuje se sousedy informace o dostupnosti sítí ve svém seznamu sítí a směrovačů

Problémy EGP nedokáže využít více alternativních “páteřních AS” nedokáže rozkládat zátěž mezi více AS je šit na míru “centralizovanému Internetu”, s jediným páteřním autonomním systémem

Protokol BGP Protokol BGP – Border Gateway Protocol novější, na bázi hvězdicové struktury (Core Network)

Core Network

AS1

AS2

AS3

BGP v současnosti generický protokol Internetu – routery WAN podporují BGP

Externí protokoly - BGP BGP protokol používá transportní protokol TCP (spolehlivý) dokáže šířit informace i mezi interními směrovači (uvnitř AS)

kombinuje algoritmus DVA a LSA Funkce BGP navázáni a udržování komunikace se sousedními směrovači při první výměně informací vysílá celé směrovací mapy nevysílá periodicky, pouze aktualizuje směrovací informace Typy zpráv v BGP OPEN – navázání spojení se sousedním směrovačem UPDATE – předání informace o sítích, které jsou dosažitelné touto směrovací cestou a/nebo informace o změně směrovacích cest KEEPALIVE – periodické ověření spojení se sousedním směrovačem NOTIFICATION – chybová zpráva

Konec přednášky

Přístupové seznamy Směrovače pracují na 3. vrstvě díky své technologii však mohou nahlížet i do paketů mohou zjistit co, odkud a kam se přenáší – „vidí“ tedy i do 4. vrstvy Budeme konfigurovat na cvičení

díky tomu je možné na většině směrovačů provádět i filtraci průchozích paketů pomocí přístupových seznamů Access List – ACL

přístupový seznam obsahuje soustavu na sebe navazujících pravidel podle kterých lze přesně stanovit, zda má rozhraní daný paket doručit či zahodit

Algoritmus ACL Pravidla pro nakládání s pakety mohou být: povolující (permit) omezující (deny)

Příklady pravidel: hostu 1.1.1.1 povol přístup k hostu 2.2.2.2 pouze telnetem 5. 6.

permit tcp host 1.1.1.1 host 2.2.2.2 eq 23 deny any

hostům v podsíti 3.3.0.0/16 zablokuj přístup kamkoli webem 10. deny tcp 3.3.0.0 0.0.255.255 any eq 80 11. permit ip any any

paket musí všemi těmito pravidly postupně projít, aby byl zdárně doručen!

Přístupové seznamy V konfiguraci směrovače lze definovat mnoho ACL ty mohou být podle potřeby přiřazovány jako vstupní či výstupní k jednotlivým síťovým rozhraním

Ke každému rozhraní lze definovat jeden vstupní a jeden výstupní ACL vstupním se rozumí ten, který filtruje pakety přicházející do směrovače

pokud k rozhraní není přiřazen žádný ACL rozhraní propouští všechny pakety!!!

přístupové seznamy tak slouží jako základní ochrana vnitropodnikových sítí a to jak před „vnějším“ tak i „vnitřním“ nebezpečím se společným pravidlem:  propouštět jen to nejnutnější