HP MSR Routery a Comware 5 workshop

HP MSR Routery a Comware 5 workshop 22.08.2014 Daniel Fertšák

1|HP MSR Routery a Comware 5

Úvod Následující dokument není oficiálním materiálem firmy Hewlett Packard, ani jej nelze považovat za best practice. Smyslem dokumentu je poskytnout návod k nastavení základních konfiguračních scénářů prováděných na platfomě HP MSR v prostředí Comware 5. Pro úplné a podrobné pochopení témat doporučuji absolvování příslušného HP ExpertOne školení.

A. Základní správa zařízení Schéma CLI navigace:

Ethernet Port View

VLAN View VLAN Interface View

RIP,OSPF,BGP,… View

<>User-view

[ ]System-view

OSPF Area View

ACL View

PIM View

User Interface View

Local-User View

TACACS Server Group


Základní příkazy a jejich komentáře: ? >system-view return quit

nápověda přechod do režimu system-view přechod do režimu user-view přechod o úroveň níže

display current-configuration display saved-configuration save [n.cfg] save force >startup saved-configuration n.cfg >undo startup saved-configuration display startup configuration replace file n.cfg >reset saved-configuration display this

ukáže běžící konfiguraci v paměti RAM ukáže uloženou konfiguraci na flash uloží bežící konfiguraci na flash [do souboru n.cfg] uloží konfiguraci bez potvrzujících dotazů nastaví ukazatel na konfigurační soubor n.cfg vymaže ukazatel na konfigurační soubor ukáže konfigurační soubor (aktuální, pro příští start) nahradí běžící konfiguraci obsahem souboru n.cfg vymaže konfigurační soubor (factory default konfig) ukáže konfiguraci v aktuálním kontextovém view

reboot sysname

restart zařízení nastavení jména zařízení

>dir [/all] >cd,mkdir,rmdir,pwd >delete,undelete,copy,move,rename >reset recycle-bin >more

zobrazí soubory na flash [včetně skrytých] příkazy pro práci s adresáři příkazy pro práci se soubory vymaže obsah virtuálního koše ukáže obsah textového souboru

display display display display display

ukáže historii zadaných příkazů ukáže verzi běžícího firmware, uptime, hardware ukáže verzi firmware pro přístí start ukáže HW informace (serial number, mac adresa) ukáže obsah logovací paměti

history-command version boot-loader device manuinfo logbuffer reverse

Pokud se před příkazem vyskytuje znak > je nutno tento příkaz zadávat v režimu user-view, ostatní přikazy jsou v režimu system-view nebo příslušném konfiguračním kontextu (View).

Klávesové zkratky (hotkeys): CTRL + L CTRL + G CTRL + O CTRL + T CTRL + U

display ip routing-table display current-configuration undo debugging all volné zkratky které lze uživatelsky definovat např. hotkey CTRL_T display this


Konfiguračního diagram a adresní plán pracovního PODu pro dvojici, každý účastník má k dispozici vlastní router. VSR 192.168.240.0/24

.2

.1

Loopback 1 172.16.[ ].1 Loopback 2 172.16.[ ].2

ETH0/0

.1 192.168.[ ETH0/4

MSR[ ]

.1 24 ].0/

192 .16 8.[

HP 5120

SRV 192.168.240.240 TACACS,SYSLOG,TFTP

8.[ .16 192

].0/ 24

.2

Loopback 172.17.0.1

ETH0/0

].0/28 .2 ETH0/4

MSR[ ]

Loopback 1 172.16.[ ].1 Loopback 2 172.16.[ ].2

Do hranatých závorek doplňte adresy rozhraní vašeho routeru podle níže uvedené tabulky a přiděleného pořadového čísla. Poř. [X] 1 2 3 4 5 6 7 8 9 10

Eth0/0 192.168.101.1/24 192.168.102.1/24 192.168.103.1/24 192.168.104.1/24 192.168.105.1/24 192.168.106.1/24 192.168.107.1/24 192.168.108.1/24 192.168.109.1/24 192.168.110.1/24

Eth0/4 192.168.81.1/28 192.168.81.2/28 192.168.82.1/28 192.168.82.2/28 192.168.83.1/28 192.168.83.2/28 192.168.84.1/28 192.168.84.2/28 192.168.85.1/28 192.168.85.2/28

Eth0/4 secondary 192.168.91.1/28 192.168.91.2/28 192.168.92.1/28 192.168.92.2/28 192.168.93.1/28 192.168.93.2/28 192.168.94.1/28 192.168.94.2/28 192.168.95.1/28 192.168.95.2/28

Loopback 1 172.16.1.1/32 172.16.2.1/32 172.16.3.1/32 172.16.4.1/32 172.16.5.1/32 172.16.6.1/32 172.16.7.1/32 172.16.8.1/32 172.16.9.1/32 172.16.10.1/32

Loopback 2 172.16.1.2/32 172.16.2.2/32 172.16.3.2/32 172.16.4.2/32 172.16.5.2/32 172.16.6.2/32 172.16.7.2/32 172.16.8.2/32 172.16.9.2/32 172.16.10.2/32


1. Upgrade firmware V zařízení používejte aktuální verzi firmware, kterou je možné najít na HP webovém portálu http://hp.com/networking/support (po zadání označení zařízení nebo part number v sekci download). Na stejném místě lze stáhnout i podrobné manuály s detailním popisem nastavením jednotlivých funkcí. Ověřete verzi běžícího firmware: >display version HP Comware Platform Software Comware Software, Version 5.20, Release 2104P02 Copyright (c) 2010-2014 Hewlett-Packard Development Company, L.P. HP MSR20-10 uptime is 0 week, 0 day, 2 hours, 10 minutes Last reboot 2007/01/01 00:00:27 System returned to ROM By Power-up. CPU type: FREESCALE MPC8323E 333MHz 256M bytes DDR SDRAM Memory 32M bytes Flash Memory ... (vynecháno) Pro přenos firmware nebo souborů do zařízení lze využít následující protokoly a metody: TFTP, FTP, SFTP, SCP, USB kopírování. Velikost paměti flash některých zařízení neumožňuje současné uložení více verzí firmware, proto se přesvědčte před plánovaným upgrade o velikosti volného místa a v případě potřeby uvolňete potřebné místo. I po vymazání všech verzí firmware, nebo zformátování flash paměti, zůstává v zařízení software zavaděč bootrom (basic+extended), který je schopen samostatně zavést firmware. Pokud při mazání nepoužijete volbu “/u” (unreserved) bude soubor pouze přesunut do virtuálního odpadkového koše (ze kterého může být obnoven) a nedojde k uvolnění místa. Ověřte velikost volného místa a vymažte starší firmware: >dir flash:/ Directory of flash:/ 0 -rw- 23152692 Aug 08 2008 20:00:00 main.bin 1 -rw16256 Jan 01 2007 00:00:59 p2p_default.mtd 31369 KB total (8740 KB free) >delete /u main.bin The contents cannot be restored!!! Delete flash:/main.bin?[Y/N]:Y Deleting a file permanently will take a long time. Please wait... Přeneste firmware z USB kopírováním na flash: >dir usba0:/ Directory of usba0:/ 0 -rw- 27218944 Jun 06 2014 17:20:22 ... (vynecháno)

A_MSR201X-CMW520-R2512P11.BIN

copy usba0:/A_MSR201X-CMW520-R2512P11.BIN flash:/ Copy usba0:/A_MSR201X-CMW520-R2512P11.BIN to flash:/A_MSR201X-CMW520R2512P11.BIN?[Y/N]:Y ... %Copy file usba0:/a_msr201x-cmw520-r2512p11.bin to flash:/a_msr201x-cmw520r2512p11.bin...Done. 5|HP MSR Routery a Comware 5

Nastavte nový firmware pro příští restart: >boot-loader file flash:/a_msr201x-cmw520-r2512p11.bin main This command will set the boot file. Continue? [Y/N]:Y ....... The specified file will be used as the main boot file at the next reboot on slot 0! >display boot-loader Failed to get the boot file used at this reboot! The boot file used at the next reboot:flash:/a_msr201x-cmw520-r2512p11.bin attribute: main Failed to get the backup boot file used at the next reboot! Failed to get the secure boot file used at the next reboot! >reboot Start to check configuration with next startup configuration file, please wait.........DONE! This command will reboot the device. Current configuration will be lost, save current configuration? [Y/N]:N This command will reboot the device. Continue? [Y/N]:Y #Jan 1 02:51:37:143 2007 HP DEVM/1/REBOOT: Reboot device by command. %Jan 1 02:51:37:143 2007 HP DEVM/5/SYSTEM_REBOOT: System is rebooting now. Now rebooting, please wait... Ověřte verzi firmware po restartu zařízení: >display version HP Comware Platform Software Comware Software, Version 5.20.106, Release 2512P11 Copyright (c) 2010-2014 Hewlett-Packard Development Company, L.P. HP MSR20-10 uptime is 0 week, 0 day, 0 hour, 5 minutes Last reboot 2007/01/01 00:00:43 System returned to ROM By Command. ... (vynecháno) Všimněte si, že příkaz display version zobrazi kromě uptime času také způsob, jakým došlo k poslednímu restartu. Zde např. použitím příkazu reboot nebo ve výpisu výše vypnutím el. napájení.


2. Ethernet rozhraní Router umožňuje provozovat různé typy rozhraní např. ethernet, ADSL, serial, wireless, virtuální, atd. V této části se zaměříme nejrozšířenější typ tj. ethernet. Tato rozhraní pracují ve dvou módech: “bridge” nebo “route”, zjednodušeně Layer-2/LAN nebo Layer-3/WAN režim. V routed módu na rozhraní neběží protokol spanning tree a neprochází tudy např. pakety typu Layer-2 broadcast. Tuto vlastnost je možné využít při nasazení VRF, kdy lze v tomto módu na různých fyzických rozhraních terminovat provoz se stejným VLAN tagem (shodný 802.1Q subinterface) a přitom izolovat Layer-2 provoz mezi těmito subinterface. V továrním nastavení jsou porty v různých módech. Ověřte konkretní stav, přepněte interface eth0/4 do módu routed a vymažte tovární interface VLAN 1, který má IP adresu 192.168.1.1: display current-configuration interface Ethernet # interface Ethernet0/0 port link-mode route # interface Ethernet0/1 port link-mode bridge # ... (vynecháno) interface Ethernet 0/4 port link-mode route undo interface Vlan-interface 1 Kolik portů jde přepnout do módu route? Lze přepnout do módu bridge port eth0/0? Omezení počtu Layer-3 konvertovatelných portů neplatí pro novější řadu Nextgen MSR routerů, např. model MSR930. Další příkazy pro práci s interface: disp int brief stručný přehled o všech rozhraních disp ip int brief pouze rozhraní-nositelé IP adres disp int Ethernet 0/0 detailní přehled (stav, pakety, fronty) disp int Ethernet brief down všechna rozhraní ve stavu DOWN disp int brief | include UP všechna rozhraní ve stavu UP disp int brief | exclude DOWN disp int brief | include Eth0/[1-3] zobrazí rozhraní s využitím regexp filtru int range Eth0/1 to Eth0/3 nastaví range pro společnou konfiguraci interface Eth0/0.155 nastaví subinterface na rozhraní Eth0/0 vlan-type dot1q vid 600 jeho 802.1Q TAG = 600 interface description popis rozhraní shutdown administrativně vypne undo shutdown administrativně zapne default vrátí továrni konfiguraci na rozhraní Jak lze rychle vrátit nastavení všech ethernet rozhraní zpátky do továrního nastavení? 7|HP MSR Routery a Comware 5

Nastavte hostname routeru na MSRX, kde X je vaše pořadové číslo. Nastavte IP adresy podle výše uvedeného adresního plánu, pro X=1 takto: sysname MSR1 interface Ethernet 0/0 ip address 192.168.101.1 24 interface Ethernet 0/4 ip address 192.168.81.1 28 ip address 192.168.91.1 28 sub interface LoopBack 1 ip address 172.16.1.1 32 interface LoopBack 2 ip address 172.16.1.2 32 Ověřte dostupnost VSR a MSR sousedů v rámci PODu příkazem PING, pro X=1 takto: ping 192.168.101.2 PING 192.168.101.2: 56 data bytes, press CTRL_C to break Reply from 192.168.101.2: bytes=56 Sequence=0 ttl=255 time=3 ms ... (vynecháno) 192.168.101.2 ping statistics --5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 1/1/3 ms ping 192.168.81.2 ping 192.168.91.2

3. Vzdálený přístup Založte lokálního uživatele admin s plnými právy a povoleným přístupem ke službám TELNET i SSH: local-user admin password cipher heslo service-type telnet ssh authorization-attribute level 3 Zapněte služby TELNET a SSH, pro SSH vygenerujte kryptografické klíče (velikost klíčů 1024 bitů) telnet server enable public-key local create rsa public-key local create dsa ssh server enable V jakých souborech jsou uloženy kryptografické klíče?


Povolte přístup na virtuální terminálové rozhraní (VTY) pomocí protokolů TELNET a SSH. Ověřujte přihlašující se administrátory pomocí lokálního schemata (lokální DB): user-interface vty 0 4 protocol inbound all authentication-mode scheme Ověřte TELNET a SSH přistup do CLI vašeho MSR souseda ve skupině. Lze otestovat přístup sám na sobě např. TELNETem na vlastní loopback rozhraní. Pro X=1 takto: >telnet 172.16.1.1 >quit >display users all The user application information of all user interfaces: Idx UI Delay Type Userlevel 12 TTY 12 F 80 AUX 0 00:00:00 3 + 81 VTY 0 00:00:00 TEL 3 82 VTY 1 83 VTY 2 84 VTY 3 85 VTY 4 Following are more details. VTY 0 : User name: admin Location: 172.16.1.1 + : User-interface is active. F : User-interface is active and work in async mode. >quit >telnet 192.168.81.2 >display users all >quit >ssh2 192.168.81.2 Jakou zdrojovou IP adresu má vaše TELNET session na sousedním MSR routeru? Odpojit uživatele od virtuálního terminálu (VTY) můžete např. příkazem:>free user-interface vty X, kde X je číslo terminalu, také lze použít klávesovou zkratku CTRL+] (odpojí všechny příchozí spojení) nebo CTRL+K (odpojí všechny odchozí spojení). Nastavte default route směrem k virtuálnímu routeru VSR a ověřte příkazem PING dostupnost serveru na adrese 192.168.240.240. Pro X=1 takto: ip route-static 0.0.0.0 0 192.168.101.2 ping 192.168.240.240 PING 192.168.240.240: 56 data bytes, press CTRL_C to break Reply from 192.168.240.240: bytes=56 Sequence=0 ttl=63 time=3 ms ... (vynecháno) 9|HP MSR Routery a Comware 5

5 packet(s) received 0.00% packet loss round-trip min/avg/max = 2/2/3 ms Uložte aktuální konfiguraci do souboru zero.cfg: save zero.cfg The current configuration will be saved to flash:/zero.cfg. Continue? [Y/N]:Y Now saving current configuration to the device. Saving configuration flash:/zero.cfg. Please wait... Pomocí příkazu replace configuration file zero.cfg se lze k této konfiguaci rychle vracet bez nutnosti odstraňovat všechna předchozí nastavení. Pro vyšší míru zabezpečení, lze omezit přístup k VTY pomocí přistupového seznamu (ACL) a nastavit maximální dobu nečinnosti přihlášeného administrátora. Po uplynutí této doby, bude administrátor automaticky odpojen od zařízení, tím se omezí riziko vyčerpání VTY zdrojů. Nastavte ACL tak, by se váš MSR soused mohl připojit jen ze sítě, kterou má nastavenou jako sekundární na rozhraní eth0/4. Nastavte maximální dobu nečinnosti na 30 minut. Pro X=1 např. takto: acl number 2000 rule 10 permit source 192.168.91.0 0.0.0.15 user-interface vty 0 4 acl 2000 inbound idle-timeout 30 0 ACL aplikovaný na interface VTY se týká pouze provozu směrovaného z/na toto rozhraní. Ostatní (např. routovaný) provoz který pouze prochází zařízením není tímto ACL nijak dotčen. Otestujte funkci z X=2 např. takto: >telnet 192.168.81.1 source ip 192.168.81.2 >telnet 192.168.81.1 source ip 192.168.91.2 Pokus o navázání spojení z první IP adresy bude odmítnut, pokus z druhé IP bude úspěšný.

4. Přístupové seznamy (ACL) ACL mají široké využití nejen při blokování provozu, ale zejména ve spojení s dalšími konfiguračními úlohami, např. route-mapy, NAT, IPsec, policy-based routing, QoS. Platforma MSR podporuje následujících 5 typů IPv4 ACL: a) WLAN ACL – filtr podle SSID, má význam v kombinaci s wireless rozhraním b) BASIC ACL – filtr podle zdrojové IP adresy c) ADVANCED ACL – filtr podle kombinace: zdrojová-cílová IP, číslo portu, protokol atd. d) ETHERNET ACL – filtr podle kombinace: zdrojová-cílová mac adresa e) USER-DEFINED ACL – filtr podle definovaných ofsetů v hlavičkách frame nebo paketů Nastavte ACL, který bude blokovat příchozí ICMP provoz na rozhraní Eth0/4, správnost funkce otestuje váš MSR soused. acl number 3900 rule 10 deny icmp rule 20 permit ip 10 | H P M S R R o u t e r y a C o m w a r e 5

firewall enable interface Eth0/4 firewall packet-filter 3900 inbound ping 192.168.81.1 Pokud nenastavíte jinak, má každý ACL má na svém konci poslední implicitní pravidlo PERMIT ANY. Toto chování lze změnit globálním příkazem firewall default deny, tzn. poslední pravidlo bude pak DENY ANY. Všimněte si, že pro aktivování funkce ACL je použit globální příkaz firewall enable. Router disponuje technologií Application Specific Packet Filter (ASPF), která funguje jako stavový firewall a dokáže podle typu provozu detekovat některé typy aplikací.

5. AAA K základnímu ověřování administrátorů využijte službu TACACS, která běží na serveru 192.168.240.240. Nastavte parametry pro TACACS, včetně kliče pro šifrování a NAS-IP adresy, která odpovída vašemu rozhraní eth0/0. Login administrátora ověřujte primárně proti službě TACACS a následně proti lokální databázi routeru. Pro X=1 takto: hwtacacs scheme tam primary authentication 192.168.240.240 primary authorization 192.168.240.240 primary accounting 192.168.240.240 key authentication key123 key authorization key123 key accounting key123 nas-ip 192.168.101.1 user-name-format without-domain domain system authentication login hwtacacs-scheme tam local authorization login hwtacacs-scheme tam local accounting login hwtacacs-scheme tam local Dále přidejte ověřování jednotlivých příkazů, které bude administrátor po přihlášení zadávat do CLI. domain system authorization command hwtacacs-scheme tam accounting command hwtacacs-scheme tam user-interface vty 0 4 command authorization command accounting K plnohodnotnému ověřování a accountingu činnosti administrátorů lze využít software HP IMC TACACS+ Authentication Manager, který je volitelnou součástí nástroje pro správu sítě HP Intelligent Management Center (IMC).

11 | H P M S R R o u t e r y a C o m w a r e 5

Otestujte TELNETem ověřování administátorů, přihlašte se jako uživatel tacadmin s heslem 12345. Přihlásit se můžete na vlastní rozhraní nebo na sousední MSR. Pozor na předchozí ACL 2000 na VTY, který může blokovat telnet spojení. Pro X=1 ověřte např. takto: >telnet 172.16.1.1 >CTRL+K >telnet 192.168.81.2 Funguje přihlášení původním jménem a heslem (admin/heslo)? Lze se přihlásit v případě, že je TACACS server nedostupný?

6. Alternativní způsob kopírování firware nebo souborů z/do vzdáleného zařízení Další možností pro kopírování souborů nebo firmware je protokol TFTP. Zkopírujte do routeru soubor s názvem testfile.txt a prozkoumejte jeho obsah: >tftp 192.168.240.240 get testfile.txt >more testfile.txt Zazálohujte a obnovte konfiguraci routeru z TFTP serveru, použijte unikátní jméno, kde X je vaše pořadové číslo. >backup startup-configuration to 192.168.240.240 msrX.cfg Backup next startup-configuration file to 192.168.240.240, please wait... finished! >restore startup-configuration from 192.168.240.240 msrX.cfg Restore next startup-configuration file from 192.168.240.240. Please wait........ finished!

7. Debugging Základní debugging příkazy: >debugging [modul,submoduly] >terminal debugging >terminal monitor >undo debugging all

Pokud vše funguje, vraťte se k předchozí uložené konfiguraci příkazem: configuration replace file zero.cfg Current configuration will be lost, save current configuration? [Y/N]:N Info: Now replacing the current configuration. Please wait... Info: Succeeded in replacing current configuration with the file zero.cfg.


B. Nastavení síťových služeb DNS: Nastavte a otestujte DNS službu, nezapomeňte nastavit defaultni gateway směrem na VSR. dns server 217.31.204.130 dns server 8.8.8.8 dns resolve dns proxy enable ping nic.cz Trying DNS resolve, press CTRL_C to break Trying DNS server (217.31.204.130) PING nic.cz (217.31.205.50): 56 data bytes, press CTRL_C to break Reply from 217.31.205.50: bytes=56 Sequence=0 ttl=127 time=13 ms ... (vynecháno) --- nic.cz ping statistics --5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 11/16/36 ms Všimněte si, který z DNS serverů byl použit jako první. Příkaz dns proxy enable způsobí, že router bude odpovídat na DNS dotazy směrované na jeho rozhraní.

DHCP: Nastavte a otestujte službu DHCP. Nová síť pro hosty bude VLAN 200+X, a její adresa bude 192.168. 200+X.0/24, kde X je vase pořadové číslo. Pro X=1 např. takto: vlan 201 interface vlan 201 ip address 192.168.201.1 24 interface Eth0/1 port access vlan 201 dhcp server forbidden-ip 192.168.201.1 192.168.201.10 dhcp server ip-pool host network 192.168.201.0 mask 255.255.255.0 gateway-list 192.168.201.1 dns-list 192.168.201.1 expired day 0 hour 0 minute 30 dhcp enable display dhcp server tree all display dhcp server ip-in-use all Jakou IP adresu dostalo přiděleno PC, které jste připojili do portu Eth0/1? 13 | H P M S R R o u t e r y a C o m w a r e 5

SNMP: Nastavte základní SNMPv2 pro zápis i čtení. snmp-agent community read public snmp-agent community write hp snmp-agent sys-info version v2c Nastavte SNMPv3, např. pro zabezpečnou komunikaci s HP IMC. snmp-agent sys-info version v3 snmp-agent group v3 grp01 write-view snmpv3viewrw snmp-agent mib-view included snmpv3viewrw iso snmp-agent usm-user v3 user01 grp01 authentication-mode sha heslo privacymode aes128 heslo Uživatel je user01, skupina je grp01, MIB strom zahrnuje kompletní databázi bez omezení. Některá starší zařízení mohou mít odlišný brand od HP. Hledáte-li konkrétní položku v MIB, ujistěte se, že hledáte ve správné verzi, neboť každý brand využívá svou vlastní. Na stránkách HP je možné stáhnout všechny verze MIB. Ověřte a pokud to zařízení podporuje, změňte brand. Pozor, změna vyžaduje restart: >display brand Current BRANDs: Slot 0: H3C. New BRANDs: Slot 0: H3C. >brand hp Configuration will take effect after next reboot. Do you want to continue? [Y/N]:Y

SYSLOG: Nastavení a ověření základní služby SYSLOG: info-center loghost 192.168.240.240 info-center enable info-center source default channel loghost log level informational display info-center Pro nasazení plnohodnotné služby SYSLOG doporučuji používat HP IMC ve verzi Standard.

NTP: Nastavení času a jeho kontrola: ntp-service unicast-peer 217.31.205.226 clock timezone zone1 add 01:00:00 clock summer-time t1 repeating 03:00:00 03/31/2010 02:00:00 10/31/2010 1:00:00 display clock display ntp-service sessions Jaké časové stratum má výše uvedený server NTP?


C. Statické a dynamické směrování Statické směrování: V této části se budem zabývat směrováním, která slouží k propojení jednotlivých sítí (přesněji subnetů). Využijem stejný konfigurační diagram a adresní plán z předchozí části. Pro větší přehlednost je možné obnovit starší konfiguraci přikazem configuration replace file zero.cfg Ověřte stav směrovací tabulky a otestuje komunikaci příkazem PING, pro X=1 takto: display ip routing-table Routing Tables: Public Destinations : 12 Routes : 12 Destination/Mask

Proto

0.0.0.0/0 Static 127.0.0.0/8 Direct 127.0.0.1/32 Direct 172.16.1.1/32 Direct 192.168.81.0/28 Direct 192.168.81.1/32 Direct 192.168.91.0/28 Direct 192.168.91.1/32 Direct 192.168.101.0/24 Direct 192.168.101.1/32 Direct 192.168.201.0/24 Direct 192.168.201.1/32 Direct 0 0

Pre

Cost

60 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 127.0.0.1

NextHop

Interface

192.168.101.2 127.0.0.1 127.0.0.1 127.0.0.1 192.168.81.1 127.0.0.1 192.168.91.1 127.0.0.1 192.168.101.1 127.0.0.1 192.168.201.1

Eth0/0 InLoop0 InLoop0 InLoop0 Eth0/4 InLoop0 Eth0/4 InLoop0 Eth0/0 InLoop0 Vlan201

InLoop0

ping 192.168.240.240 Jaká je podmínka, aby se statická route objevila ve směrovací tabulce? Co znamená slovo Public v záhlaví tabulky? Směřuje se podle alogoritmu “Longest prefix match”, co to přesně znamená? Nastavte druhou statickou default route na adresu 192.168.100+X.4. Pozor, tato cílová IP adresa není na VSR dostupná. Ověřte stav směrovací tabulky a otestuje komunikaci příkazem PING, pro X=1 takto: ip route-static 0.0.0.0 0 192.168.101.4 display ip routing-table Routing Tables: Public Destinations : 11 Routes : 12 Destination/Mask 0.0.0.0/0 127.0.0.0/8 127.0.0.1/32 172.16.1.1/32 ... (vynecháno)

Proto Static Static Direct Direct Direct

Pre 60 60 0 0 0

Cost 0 0 0 0 0

NextHop 192.168.101.2 192.168.101.4 127.0.0.1 127.0.0.1 127.0.0.1

Interface Eth0/0 Eth0/0 InLoop0 InLoop0 InLoop0

ping –c 20 192.168.240.240 Jak se nyní chová odesílaný provoz? 15 | H P M S R R o u t e r y a C o m w a r e 5

Pro nastavení priority mezi jednotlivými statickými route lze využit volbu preference, nastavte horší prioritu pro route na IP adresu která není dostupná. Ověřte stav směrovací tabulky a otestuje komunikaci znovu příkazem PING, pro X=1 takto: ip route-static 0.0.0.0 0 192.168.101.4 preference 201 Info:Route has been modified. ping -c 10 192.168.240.240 display ip routing-table protocol static Prostudujte výpis posledního příkazu, v části inactive najdete route, která není aktivní v routovací tabulce. Nastavte statické route pro vzájemnou komunikovaci se sousedovým rozhranímm Loopback1 a ověřte komunikaci příkazem PING. Pro X=1 takto: ip route-static 172.16.2.1 32 192.168.81.2 ping 172.16.2.1 Popište nevýhody statického směrování? Najděte v rámci konfiguračního scénáře příklad, kdy bude provoz směrován asymetricky. (nápověda: směrovací tabulka VSR neobsahuje žádné informace jak se dostat k Loopback rozhraním MSR, důležitá je i zdrojová adresa se kterou se paket dostává do sítě). Pro následují testy vymažte všechny předchozí statické route, využijte příkaz: delete static-routes all This will erase all ipv4 static routes and their configurations, you must reconfigure all static routes Are you sure?[Y/N]:Y

Dynamické směrování: Pro dynamické směrování využijem link-state protokol OSPF, všechny směrovače jsou ve stejné oblasti area 0 a směrování se bude účastnit i VSR. Pozor na správné nastavení widcards při konfigraci, jde o inverzni síťovou masku. Jako router ID nastavte adresu vašeho rozhraní Loopback1. Pro X=1 takto: router id 172.16.1.1 ospf area 0 network 172.16.1.0 0.0.0.3 network 192.168.101.0 0.0.0.255 network 192.168.81.0 0.0.0.15 Ověřte počet a stav peerujicích sousedů, OSPF rozhraní a obsah směrovací tabulky. Pro X=1 takto: display ospf peer OSPF Process 1 with Router ID 172.16.1.1 Neighbor Brief Information Area: 0.0.0.0 Router ID Address 172.17.0.1 192.168.101.2 172.16.2.1 192.168.81.2 display ospf interface eth0/0

Pri 1 1

Dead-Time 35 35

Interface Eth0/0 Eth0/4

State Full/BDR Full/BDR


OSPF Process 1 with Router ID 172.16.1.1 Interfaces Interface: 192.168.101.1 (Ethernet0/0) Cost: 1 State: DR Type: Broadcast MTU: 1500 Priority: 1 Designated Router: 192.168.101.1 Backup Designated Router: 192.168.101.2 Timers: Hello 10, Dead 40, Poll 40, Retransmit 5, Transmit Delay 1 display ip routing-table protocol ospf Public Routing Table : OSPF Summary Count : 26 OSPF Routing Table Status : Summary Count : 22 Destination/Mask

Proto

Pre

Cost

NextHop

Interface

172.16.2.1/32 172.16.2.2/32 172.17.0.1/32 192.168.102.0/24

OSPF OSPF OSPF OSPF OSPF OSPF

10 10 10 10 10 10

1 1 1 2 2 2

192.168.81.2 192.168.81.2 192.168.101.2 192.168.81.2 192.168.101.2 192.168.101.2

Eth0/4 Eth0/4 Eth0/0 Eth0/4 Eth0/0 Eth0/0

Proto

Pre

Cost

NextHop

Interface

192.168.103.0/24 ... (vynecháno) OSPF Routing table Status : Summary Count : 4 Destination/Mask

172.16.1.1/32 OSPF 10 0 172.16.1.1 Loop1 172.16.1.2/32 OSPF 10 0 172.16.1.2 Loop2 ... (vynecháno) Pro sítě kam vedou dvě různé cesty se shodnou cenou, existují ve směrovací tabulkce 2 současně platné záznamy. Výběr nejlepší cesty lze ovlivnit změnou ceny linek. Na jednom z dvojice routerů změňte cenu linek a ověřte jak se změna promítla do směrovací tabulky: display ip routing-table protocol ospf interface Eth 0/0 ospf cost 10 interface Eth 0/4 ospf cost 5 display ip routing-table protocol ospf Cena má lokální význam, každý router používá při výpočtu ceny cest svou vlastní cenu linek. 17 | H P M S R R o u t e r y a C o m w a r e 5

Vraťte cenu linek zpět na původní hodnotu: interface range Eth 0/0 Eth 0/4 undo ospf cost Ladění parametrů konvergence a zabezpečení protokolu OSPF mezi sousedy: interface Eth 0/4 ospf timer hello 5 ospf timer dead 20 interface Eth 0/4 ospf authentication-mode md5 1 plain 0123456789abcdef Pozor na správné nastaveni parametrů: časovače (hello i dead), area, typ média, maska sítě a autentizace. Na obou stranách musí být nastaveny shodně, jinak nedojde k peeringu mezi sousedy. Stejná podsíť se muže dostat do směrovací tabulky pomoci různých směrovacích protokolů nebo staticky. Směrovací protokoly mají různé metriky výpočtu, kterými hodnotí výhodnost cesty k podsíti (např. OSPF cena, RIP počet hopů). Protože tyto metriky jsou vzájemně nesrovnatelné, existuje hodnota preference která říká, jaký protokol bude v případě stejných podsítí preferován při instalaci záznamu do směrovací tabulky. Comware využívá následující hodnoty preference, nižší hodnota znamená vyšší preferenci. PROTOKOL Preference DIRECT 0 OSPF 10 IS-IS 15 STATIC 60 RIP 100 OSPF ASE 150 OSPF NSSA 150 IBGP 255 EBGP 255 UNKNOWN 256 Hodnoty preference (administrative distance) se mezi jednotlivými výrobci síťových zařízení liší. Pokud nezměnite hodnotu preference, bude mít stejná podsíť instalovaná protokolem OSPF přednost před statickou route a ve směrovací tabulce se objeví cesta z protokolu OSPF. Hodnota preference je konfigurovatelná, tato je užitečné zejména v případě heterogenního síťového prostředí. Např. pro statické route nebo OSPF proces lze měnit takto: ip route-static default-preference K ospf preference K V rámci testování konvergence odpojte v PODu jednu z linek vedouci do rozhraní eth0/0. Sledujte jak reagují směrovací tabulky na změnu topologie a jak dlouho trvá konvergence sítě. Během odpojování provádějte test pomocí příkazu PING. Ke zrychlení konvergence se vedle ladění parametrů OSPF využívá i protokol BFD (Bidirectional Forwarding Detection). BFD protokol vyrobí spojení (session) mezi dvěma sousedy a udržuje je pomocí 18 | H P M S R R o u t e r y a C o m w a r e 5

rychlých hello paketů. V případě výpadku (ukončení BFD session) je informován lokální OSPF proces o nedosažitelnosti souseda a okamžitě začíná přepočet topologie. Nastavte BFD a ověřte session: interface Eth 0/4 ospf bfd enable bfd min-transmit-interval 200 bfd min-receive-interval 200 bfd detect-multiplier 3 display bfd session Total session number: 1 Up session number: 1 IPv4 session working under Ctrl mode:

Init mode: Active

LD/RD SourceAddr DestAddr State Holdtime Interface 11/11 192.168.81.2 192.168.81.1 Up 600ms Eth0/4 Otestujte konvergenci sitě při odpojení linky a současně provádějte test příkazem PING. BFD se nejvíce uplatní, v případě kdy je mezi OSPF sousedy mezilehlé zařízení např. switch. Otestujte konvergenci s použitím mezilehlého zařízení, jako switch využijte volné dva MSR porty, které nastavte do stejné VLAN. Po navázání BFD session změňte na jednom portu VLAN na jinou. Další funkce které protokol OSPF nabízí je možnost importu a distribuce statických (defaultních) route. Pro import defaultní route je možno použít příkaz (nenastavujte, bude nastaven na centrálním routeru VSR) : ospf default-route-advertise. Ověřte že se ve vaší směrovací tabulce objevila default route a najděte kterým routerem je propagována, pro X=1 takto: display ip routing-table Routing Tables: Public Destinations : 18 Routes : 19 Destination/Mask

Proto

Pre

0.0.0.0/0 127.0.0.0/8 ... (vynecháno)

O_ASE 150 Direct 0

Cost

NextHop

Interface

1 0

192.168.101.2 127.0.0.1

Eth0/0 InLoop0

display ospf routing ... (vynecháno) Routing for ASEs Destination 0.0.0.0/0 ... (vynecháno)

Cost 1

Type Type2

Tag 1

NextHop 192.168.101.2

AdvRouter 172.17.0.1


Import statických route lze využít při zjednodušení směřování provozu k zařízením, která nepodporují dynamický routing. Vytvořte platnou statickou route do NULL interface a tuto importujte do OSPF, pro X=1 např. takto: ip route-static 100+X.0.0.0 24 NULL 0 ospf import-route static Výběr statických route které se mají do OSPF importovat, lze omezit pomocí prefix filtru nebo pomocí route-map. Na sousedním routeru ověřte viditelnost importované statiké route příkazem: display ip routing-table protocol ospf Další příkazy pro práci s OSPF: ospf packet-process prioritizedtreatment ospf <1-65535> router-id A.B.C.D ospf X silent-interface all undo silent-interface Ethernet 0/4 silent interface eth0/4 maximum load-balancing <1-8> area 0 stub nssa >reset ospf process

prioritizace OSPF paketů při zpracování nastaví proces ID a router ID zakáže hello pakety na všech interface povolí hello pakety na eth0/4 zakáže hello pakety na eth0/4 nastavení počtu aktivních cest (ECMP) nastavi typ area na STUB nastaví typ area na NOT-SO-STUBBY restart OSPF procesu

VRF – virtuální směrovací instance: MSR platforma podporuje vice vzájemně oddělených instancí směrovacích tabulek. Základní tabulka (public) je v zařízení automaticky, ostatní tabulky (private) je nutno vyrobit. VRF najde uplatnění např. při požadavku na oddělení management IP adres, overlay L3 nebo při konfiguraci MPLS. Vyrobte druhou směrovací tabulku (ozn. TWO) a nastavte do ní interface eth0/4.1000 a interface loopback3 který bude mít shodnou IP adresu s interface loopback1. Pro X=1 takto: ip vpn-instance TWO route-distinguisher 1:100 interface Ethernet0/4.1000 ip binding vpn-instance TWO vlan-type dot1q vid 1000 ip address 192.168.200.X 255.255.255.0 interface LoopBack3 ip binding vpn-instance TWO ip address 172.16.X.1 255.255.255.255 Route distinguisher je prefix sloužící ke globálnímu rozlišení route, neboť v rámci jednotlivých rozhraní lze využít stejné IP adresy.


Prozkoumejte obsah jednotlivých směrovacích tabulek a otestujte vzájemnou komunikaci mezi sousedy. Pro X=1 takto: display ip routing-table display ip routing-table vpn-instance TWO ping -vpn-instance TWO 192.168.200.2 Zapěte druhý OSPF proces s ID 10 a ověřte zda vidíte cestu k sousednímu rozhraní loopback 3 ve směrovací tabulce TWO. Pro X=1 takto: ospf 10 vpn-instance TWO area 0 network 192.168.200.0 0.0.0.255 network 172.16.1.1 0.0.0.0 display ip routing-table vpn-instance TWO protocol ospf TWO Routing Table : OSPF Summary Count : 3 OSPF Routing Table Status : Summary Count : 1 Destination/Mask

Proto

Pre

Cost

NextHop

Interface

172.16.2.1/32

OSPF

10

1

192.168.200.2

Eth0/4.1000

NextHop

Interface

OSPF Routing table Status : Summary Count : 2 Destination/Mask

Proto

Pre

Cost

172.16.1.1/32 OSPF 10 0 172.16.1.1 Loop3 192.168.200.0/24 OSPF 10 1 192.168.200.1 Eth0/4.1000 Tímto způsobem lze nad síťovou infrastrukturou vytvořit nezávislou L3 overlay síť, která může mít překrývající se IP adresy.


D. Překlad síťových adres Překlad adres je populární metoda pro řešení nedostatku veřejných adres. Věřejné IP adresy jsou směrovatelné unitř sítě internet, privátní adresy (RFC 1918) nikoliv. MSR platforma podporuje překlad oběma směry a to několika různými způsoby. Nejčastější je překlad zdrojové privátní adresy na adresu veřejnou, tzv. SNAT. Obnovte konfiguraci ze souboru zero.cfg. Překlad nastavte tak, aby byl odchozí provoz na interface eth0/0 překládán na adresu tohoto rozhraní. interface Eth 0/0 nat outbound Otestujte překlad PINGem z obou interface Loopback, pro X=1 takto: ping -a 172.16.1.1 192.168.240.240 ping -a 172.16.1.2 192.168.240.240 display nat session There are currently 2 NAT sessions: Pro ICMP

GlobalAddr:Port 192.168.101.1:12294 GlobalVPN: --status: 1

LocalAddr:Port 172.16.1.1:10 LocalVPN: --TTL: 00:00:10

DestAddr:Port 192.168.240.240:10 Left: 00:00:04

ICMP

192.168.101.1:12295 172.16.1.2:11 192.168.240.240:11 GlobalVPN: --LocalVPN: --status: 1 TTL: 00:00:10 Left: 00:00:07 Aby došlo k překladu, zvolili jsme zdrojovou adresu jinou než má eth0/0. Výpis NAT session může ukazovat pouze jednu nebo dokonce žádnou položku. NAT session pro protocol ICMP má trvanlivost pouze 10 sekund, mezi zadáním příkazů uběhla dlouhá doba a položky se vymazaly. Zadejte příkazy rychleji nebo prodlužte délku trvání session. Ověřte standardní nastavení délky trvání session a pro pohodlnější testovaní nastavte ICMP aging na jednu minute: display nat aging-time NAT aging-time value information: tcp ---- aging-time value is 300 (seconds) udp ---- aging-time value is 240 (seconds) icmp ---- aging-time value is 10 (seconds) pptp ---- aging-time value is 300 (seconds) dns ---- aging-time value is 10 (seconds) ... (vynecháno) nat aging-time icmp 60 Vyvolejte následující testovací příkazy, druhý příkaz PING zopakujte 3x: ping -a 172.16.1.1 192.168.240.240 ping -a 172.16.2.1 192.168.240.240 Kolik je celkem v tabulce NAT session a proč? 22 | H P M S R R o u t e r y a C o m w a r e 5

NAT session lze vymazat manuálně příkazem: >reset nat session Pokud vše funguje, zrušte překlad adres příkazem: interface Eth 0/0 undo nat outbound V dalším příkladu přeložíme každou zdrojovou adresu na unikátní odchozí (globální) adresu. Založíme 2 NAT skupiny pro odchozí adresy a dva ACL k selekci zdrojové adresy. Pro X=1 takto: nat address-group 1 192.168.101.11 192.168.101.11 nat address-group 2 192.168.101.12 192.168.101.12 acl number 2101 rule 10 permit source 172.16.1.1 0 rule 20 deny acl number 2102 rule 10 permit source 172.16.1.2 0 rule 20 deny interface Eth 0/0 nat outbound 2101 address-group 1 nat outbound 2102 address-group 2 Ověřte zda k došlo k překladu, výstup by měl vypadat zhruba následujícím způsobem: display nat session There are currently 2 NAT sessions: Pro ICMP

GlobalAddr:Port 192.168.101.11:12288 GlobalVPN: --status: 1

LocalAddr:Port 172.16.1.1:19 LocalVPN: --TTL: 00:01:00

DestAddr:Port 192.168.240.240:19 Left: 00:00:48

ICMP

192.168.101.12:12288 172.16.1.2:20 192.168.240.240:20 GlobalVPN: --LocalVPN: --status: 1 TTL: 00:01:00 Left: 00:00:53 ACL pro výběr zdrojová adresy obsahuje pouze jednu položku, zde je možné podle potřeby přidávat další nebo celé sítě. Rozšířit je možné i skupinu odchozích adres, celkem je možno vytvořit až 64 skupin. Pokud oba rozsahy rozšíříme, překlad se bude provádět dynamickým způsobem „many-to-many” podle volných zdrojů. Další příkazy pro práci s NAT: nat static 172.16.1.100 192.168.101.100 connection-limit policy 1 nat server protocol tcp global 202.38.1.1 8080 inside 10.110.10.2 www

statický překlad v režimu 1:1 definice politiky pro omezení počtu spojení DNAT (port forwarding) do vnitřní sítě na WEB


E. WAN networking 1. Připojení pomocí USB 3G modemu Nastavte parametry interface cellular a povolte na něj veškerý IP provoz bez omezení: dialer-rule 1 ip permit interface Cellular0/0 async mode protocol link-protocol ppp ppp ipcp dns request ip address ppp-negotiate dialer enable-circular dialer-group 1 dialer number *99# Volitelně lze omezit IP provoz příkazem: dialer-rule 1 acl K, kde K je číslo basic nebo advanced ACL. Nastavte rozhraní TTY a defaultní route na cellular 0/0: user-interface tty 12 modem both ip route-static 0.0.0.0 0 Cellular 0/0 Zasuňte USB modem do zařízení, bude-li hardware správně identifikován vyhledá router ovladač a výstup bude vypadat zhruba následujícím způsobem: [MSR] %Jan 1 02:46:19:828 2007 MSR2 DRVICOUT/1/DrvIcOutStr: 3G/4G module is initializing, please wait... %Jan 1 02:46:25:157 2007 MSR2 DRVICOUT/1/DrvIcOutStr: (Cellular0/0) 3G/4G module is inserted! ... (vynecháno) The service status has been switched to available. %Jan 1 02:46:35:975 2007 MSR2 DRVICOUT/1/DrvIcOutStr: (Cellular0/0) The service domain has been switched to CS and PS. %Jan 1 02:46:35:976 2007 MSR2 DRVICOUT/1/DrvIcOutStr: (Cellular0/0) The SIM status has been switched to valid for PS and CS. #Jan 1 02:46:36:013 2007 MSR2 G3MODEM/4/WIRELESS_CARD_INSERTED: Trap 1.3.6.1.4.1.25506.2.98.3.0.1: Wireless card 74 is inserted, wireless card index is 74, UIM card index is 1, device OUI is 000FE2, device serial number is 210235A0A7B114001132, wireless card serial number is 862910018205291, UIM card IMSI is 230027100127512. #Jan 1 02:46:36:014 2007 MSR2 G3MODEM/6/RSSI_SIGNAL_TURNS_NORMAL: Trap 1.3.6.1.4.1.25506.2.98.3.0.7: The RSSI of wireless card 74 is medium, device OUI is 000FE2, device serial number is 210235A0A7B114001132, wireless card serial number is 862910018205291, current


service type is 4, current RSSI is -55, wireless card IMSI is 230027100127512. %Jan 1 02:46:40:947 2007 MSR2 DRVICOUT/1/DrvIcOutStr: (Cellular0/0) The network connection has been switched to 3G. %Jan 1 02:46:46:035 2007 MSR2 DRVICOUT/1/DrvIcOutStr: (Cellular0/0) The PS has been attached. Žluté řádky oznamují, že je dostupná služba připojení k síti přes paketová data. Kontrola svázání interface cellular0/0 s interface TTY: display user-interface Idx Type Tx/Rx Modem Privi Auth Int 12 TTY 12 9600 inout 0 N Cellular0/0 F 80 AUX 0 9600 3 N 81 VTY 0 0 A 82 VTY 1 0 A 83 VTY 2 0 A 84 VTY 3 0 A 85 VTY 4 0 A UI(s) not in async mode -or- with no hardware support: 0-11 13-80 Vyžaduje-li SIM karta PIN, doplňte konfiguraci následujícím způsobem: interface Cellular0/0 pin verify XXXX pin verification enable XXXX Otestujte připojení, vytvořte nějaký odchozí provoz, např: ping 4.2.2.2 PING 4.2.2.2: 56 data bytes, press CTRL_C to break %Jan 1 02:52:47:646 2007 MSR2 IFNET/3/LINK_UPDOWN: Cellular0/0 link status is UP. %Jan 1 02:52:47:661 2007 MSR2 IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Cellular0/0 is UP. Request time out %Jan 1 02:52:49:742 2007 MSR2 IFNET/5/PROTOCOL_UPDOWN: Protocol PPP IPCP on the interface Cellular0/0 is UP. Reply from 4.2.2.2: bytes=56 Sequence=1 ttl=50 time=93 ms ... (vynecháno) --- 4.2.2.2 ping statistics --5 packet(s) transmitted 4 packet(s) received 20.00% packet loss round-trip min/avg/max = 59/72/93 ms Všimněte si, že nedošlo k úspěšnému odeslání/příjmu všech testovacích paketů. Linka interface celullar0/0 se dostala do stavu UP, až poté co se objevil nějaký odchozí provoz a přechod do stavu UP si 25 | H P M S R R o u t e r y a C o m w a r e 5

vyžádal kratší časovou prodlevu. Pokud (cca 2 minuty) nebude generován žádný odchozí provoz, vrátí se linka zpět do stavu DOWN, ověřte stav interface: display interface brief | include Cell The brief information of interface(s) under route mode: Link: ADM - administratively down; Stby - standby Protocol: (s) - spoofing Interface Link Protocol Main IP Description Cellular0/0 DOWN UP(s) -Má-li být linka trvale ve stavu UP, lze využít funkci NQA, která bude pravidelně generovat odchozí provoz. Nastavte syntetický test PING s frekvencí 60 sekund na nějakou externí IP adresu: nqa entry admin 3g type icmp-echo data-size 56 destination ip 4.2.2.2 frequency 60000 nqa schedule admin 3g start-time now lifetime forever Jakou IP adresu dostalo rozhraní Cellular 0/0? Jaká je IP adresa DNS serveru dostupného za 3G rozhraním? Další příkazy pro práci s Cellular rozhraním: disp int Celular 0/0 interface Cellular 0/0 nat outbound pin verification disable XXXX qos apply policy N outbound

detailní přehled (stav, pakety, IP adresa) zapne překlad adres pro odchozí provoz neproběhe ověřování pomocí PIN zapne QoS politiku N pro odchozí provoz

Nastavte defaultní route na VSR a záložní defaultní route do 3G modemu. Otestujte jak se systém chová při výpadku konektivity LAN a po jejím obnovení.


2. Konfigurace IPsec site-to-site VPN IPsec je základní způsob zabezpečení provozu procházejícího přes layer-3 síť. např. při zabepečení propojení dvou poboček přes Internet. Konfigurace se skládá ze dvou částí, první je nastavení protokolu IKE (Internet Key Exchange protocol) a druhá je nastavení protokolu IPsec. Obnovte konfiguraci ze souboru zero.cfg. Nastavte VPN společně s překladem zdrojových adres, pro X=1 takto: acl number 3100 name NAT rule 10 deny ip source 172.16.1.0 0.0.0.255 dest 172.16.2.0 0.0.0.255 rule 20 permit ip acl number 3200 name IPsec rule 10 permit ip source 172.16.1.0 0.0.0.255 dest 172.16.2.0 0.0.0.255 rule 20 deny ip nat address-group 0 192.168.101.11 192.168.101.11 ACL 3100 definuje provoz, který se bude překládat. ACL 3200 definuje provoz, který bude tunelován protokolem IPsec. NAT skupina určuje globální adresu pro překlad. Nastavte protokol IKE: ike proposal 1 encryption-algorithm aes-cbc 128 authentication-algorithm sha dh group5 authentication-method pre-share ike peer msr proposal 1 pre-shared-key pkey remote-address 192.168.102.1 local-address 192.168.101.1 exchange-mode main V IKE proposal 1 volíme algoritmy šifrování a autentizace. V definici IKE souseda nastavíme proposal 1, sdílený autentizační klíč, typ exchange módu a IP adresy. Nastavte protokol IPsec a aplikujte politiku na rozhraní: ipsec transform-set transform1 encapsulation-mode tunnel transform esp esp authentication-algorithm sha1 esp encryption-algorithm aes-cbc-128 ipsec policy msr_pol1 10 isakmp security acl 3200 pfs dh-group5 ike-peer msr transform-set transform1 interface Eth 0/0 nat outbound 3100 address-group 0 ipsec policy msr_pol1 27 | H P M S R R o u t e r y a C o m w a r e 5

Otestujte VPN funkci příkazem PING: (testujeme PING mezi rozhraními loopback1) ping -a 172.16.1.1 172.16.2.1 PING 172.16.2.1: 56 data bytes, press CTRL_C to break Request time out Request time out Reply from 172.16.2.1: bytes=56 Sequence=2 ttl=255 time=31 ms Reply from 172.16.2.1: bytes=56 Sequence=3 ttl=255 time=34 ms Reply from 172.16.2.1: bytes=56 Sequence=4 ttl=255 time=4 ms Proč musíme použít zdrojovou IP adresu rozhraní Looopback1? Ověřte IKE a IPsec SA (bezpečnostní asociace): display ike sa total phase-1 SAs: 1 connection-id peer flag phase doi ---------------------------------------------------------------1 192.168.102.1 RD|ST 1 IPSEC 2 192.168.102.1 RD|ST 2 IPSEC flag meaning RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT RK--REKEY display ipsec sa =============================== Interface: Ethernet0/0 path MTU: 1500 =============================== ----------------------------IPsec policy name: "msr_pol1" sequence number: 10 acl version: ACL4 mode: isakmp ----------------------------PFS: Y, DH group: 5 tunnel: local address: 192.168.101.1 remote address: 192.168.102.1 flow: sour addr: 172.16.1.0/255.255.255.0 dest addr: 172.16.2.0/255.255.255.0

port: 0 port: 0

protocol: IP protocol: IP

[inbound ESP SAs] spi: 0xE3AB8BDA(3819670490) transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1 in use setting: Tunnel ... (vynecháno)


Nastavte na každe straně jiný autentizační algoritmus protokolu IKE (MD5 proti SHA), vymažte SA a otestujte znovu sestavení VPN se zapnutou diagnostikou pomocí příkazů: >reset ipsec sa >reset ike sa >debugging ike all >terminal debugging >terminal logging >ping -a 172.16.1.1 -c 1 172.16.2.1 *Jan 1 08:14:22:189 2007 MSR1 IKE/7/DEBUG: IKE receive acquire SA request, IKE peer name:msr. ... (vynecháno) *Jan 1 08:14:25:614 2007 MSR1 IKE/7/DEBUG: validate payload NOTIFY *Jan 1 08:14:25:715 2007 MSR1 IKE/7/DEBUG: DOI: IPSEC *Jan 1 08:14:25:765 2007 MSR1 IKE/7/DEBUG: PROTO: ISAKMP *Jan 1 08:14:25:815 2007 MSR1 IKE/7/DEBUG: SPI_SZ: 0 *Jan 1 08:14:25:916 2007 MSR1 IKE/7/DEBUG: MSG_TYPE: NO_PROPOSAL_CHOSEN ... (vynecháno) Diagnostika ukazuje neshodující se parametry IKE proposal obou stran, tzn. nedojde k vytvoření IKE SA. Pro scénáře kde existuje více poboček je výhodnější použít např. technologii technologii GET VPN. Pro hromadnou správu a monitoring VPN lze použít modul HP IMC IPSec/VPN Manager.

Příloha Pro zjednodušení migrace z prostředí Cisco IOS lze využít následující alias příkazy: command-alias enable command-alias command-alias command-alias command-alias command-alias command-alias command-alias command-alias command-alias command-alias command-alias command-alias command-alias command-alias command-alias

mapping mapping mapping mapping mapping mapping mapping mapping mapping mapping mapping mapping mapping mapping mapping

display show undo no return end quit exit save write reboot reload system-view config header banner reset clear acl access-list port switchport stp spanning-tree snmp-agent snmp-server delete erase info-center logging


HP MSR Routery a Comware 5 workshop

Recommend Documents