Poradnik – RSNET.PL

Spanning Tree Protocol – podstawy

admin — Wed, 15 Aug 2018 22:13:46 +0000

Protokół drzewa rozpinającego (STP) został przedstawiony jako mechanizm przeciwdziałania pętlą w warstwie drugiej modelu ISO/OSI. STP używa mechanizmu, który polega na wyłączaniu redundantnych linków w celu uniknięcia pętli w sieci LAN. Gdyby nie STP pakiety rozgłoszeniowe (Broadcast) krążyły by w sieci w nieskończoność.

Załóżmy, że mamy poniższą topologię sieci przedstawioną na rysunku poniżej.

PC-1 chcę się skomunikować z PC-2, załóżmy że na PC-1 wydamy komendę ping 192.168.0.2. Host PC-1 nie zna adresu MAC hosta PC-2, więc musi wysłać zapytanie ARP na adres rozgłoszeniowy. Ramka z tym zapytaniem trafia najpierw do switcha SW3, który przesyła ją do wszystkich swoich interfejsów (Gi0/0, Gi0/1), z wyjątkiem interfejsu z którego ta ramka przyszła (Gi0/2). Następnie ramka dociera do SW1 oraz do SW2. Oba te switche również przesyłają tą ramkę w taki sam sposób jak zrobił to SW3, czyli SW1 przesyła ramkę przez Gi0/1 w kierunku SW2, oraz przez Gi0/2 do PC-2, natomiast SW2 przesyła ramkę przez Gi0/0 w kierunku SW1. Host PC-2 otrzymał zapytanie ARP i może na nie odpowiedzieć, jednak ramka z zapytaniem dalej krąży pomiędzy SW1, SW2 i SW3 i będzie tak krążyć w nieskończoność. Jedynym sposobem na przerwanie tej pętli jest wyłączenie jednego z interfejsów pomiędzy switchami, w taki sposób żeby istniała tylko jedna ścieżka pomiędzy PC-1 a PC-2 i do tego właśnie celu służy protokół drzewa rozpinającego (Spanning Tree Protocol).

Domyślnie przełączniki Cisco mają uruchomiony protokół STP, natomiast dla celów zobrazowania co się stanie jak w sieci LAN powstanie pętla i ramki będą krążyć w nieskończoność wyłączymy STP na switchach w topologii przedstawionej powyżej. Sprawdźmy co się stanie z przełącznikami jak wyłaczymy STP i wykonamy ping z PC-1 na PC-2.

Do wyłączenia STP służy komenda:

SW(config)# no spanning-tree vlan 1

Wykonajmy ją na wszystkich trzech switchach:

SW1(config)# no spanning-tree vlan 1
SW2(config)# no spanning-tree vlan 1
SW3(config)# no spanning-tree vlan 1

Teraz wykonajmy ping z PC-1 i PC-2 i obserwujmy co się stanie. Switche SW1 i SW2 przestały odpowiadać na komendy, utylizacja procesora jest na bardzo wysokim poziomie, dlatego nie odpowiada konsola, dodatkowo jak uruchomimy wiresharka na jednym z interfejsów pomiędzy switchami to zobaczymy, że cały czas krążą w sieci pakiety broadcast:

Dodatkowo ping pomiędzy PC-1 a PC-2 nie działa, dostajemy timeout i jest to spowodowane pętlą w sieci. Wyłączmy teraz jeden z interfejsów switcha SW3 (Gi0/1) i zobaczmy jak będzie wyglądała sytuacja. Od razu po wyłączeniu interfejsu Gi0/1 możemy zaobserwować, że konsole na switchach zaczęły odpowiadać, oraz ping z PC-1 na PC-2 działa.

VPCS> ping 192.168.0.2
84 bytes from 192.168.0.2 icmp_seq=1 ttl=64 time=9.095 ms
84 bytes from 192.168.0.2 icmp_seq=2 ttl=64 time=15.457 ms
84 bytes from 192.168.0.2 icmp_seq=3 ttl=64 time=27.437 ms
84 bytes from 192.168.0.2 icmp_seq=4 ttl=64 time=12.474 ms
84 bytes from 192.168.0.2 icmp_seq=5 ttl=64 time=11.474 ms

Jak działa STP ?

Włączmy teraz spowrotem na switchach spanning-tree protocol oraz interfejs który wyłączyliśmy. W celu weryfikacji czy STP jest uruchomione możemy posłużyć się następującą komendą:

SW1#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID    Priority 32769
           Address 00ca.0d3f.0c00
           Cost 4
           Port 1 (GigabitEthernet0/0)
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID  Priority 32769 (priority 32768 sys-id-ext 1)
           Address 00ca.0dc1.2f00
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
           Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Root FWD 4    128.1    P2p
Gi0/1     Altn BLK 4    128.2    P2p

SW2#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID    Priority 32769
           Address 00ca.0d3f.0c00
           Cost 4
           Port 2 (GigabitEthernet0/1)
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID  Priority 32769 (priority 32768 sys-id-ext 1)
           Address 00ca.0d8e.9c00
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
           Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Desg FWD 4    128.1    P2p
Gi0/1     Root FWD 4    128.2    P2p
Gi0/2     Desg FWD 4    128.3    P2p

SW3#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID    Priority 32769
           Address 00ca.0d3f.0c00
           This bridge is the root
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID  Priority 32769 (priority 32768 sys-id-ext 1)
           Address 00ca.0d3f.0c00
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
           Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Desg FWD 4    128.1    P2p
Gi0/1     Desg FWD 4    128.2    P2p
Gi0/2     Desg FWD 4    128.3    P2p

Protokół STP działa w oparciu o ramki BPDU (bridge protocol data unit). Switche wymieniają się tymi ramkami i na ich podstawie ustalają które nadmiarowe połączenia zablokować. Ramka BPDU wygląda następująco:

Najpierw na podstawie ramek BPDU wybierany jest korzeń drzewa (root bridge). Korzeń drzewa zostaje wybrany na podstawie Bridge Identifier, które składa się następujących pól:

Bridge Priority – priorytet przełacznika

Bridge System ID Extension – vlan dla którego działa STP

Bridge System ID – MAC adres przełącznika

Root Bridge zostaje switch który posiada najmniejszy priorytet, w przypadku gdy priorytety są takie same to korzeniem zostaje przełącznik o najniższym adresie MAC. W naszym przykładzie Root Bridge został wybrany switch SW3, ponieważ posiada najniższy MAC adres (priorytety na wszystkich switchach są takie same)

SW1 Bridge ID 
Priority 32769 (priority 32768 sys-id-ext 1) 
Address 00ca.0dc1.2f00

SW2 Bridge ID 
Priority 32769 (priority 32768 sys-id-ext 1)
Address 00ca.0d8e.9c00

SW3 Bridge ID
Priority 32769 (priority 32768 sys-id-ext 1)
Address 00ca.0d3f.0c00

Zweryfikujmy to wydając komendę show spanning-tree na SW3:

SW3#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
        Address 00ca.0d3f.0c00
        This bridge is the root
        Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
          Address 00ca.0d3f.0c00
          Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
          Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Desg FWD 4    128.1    P2p
Gi0/1     Desg FWD 4    128.2    P2p
Gi0/2     Desg FWD 4    128.3    P2p

Następny krok po wybraniu root bridge to ustawienie portów przełączników w odpowiedniej roli. Role portów w STP są trzy: Designated, Root, Alternate. Porty Designated i Root przesyłają ruch, natomiast porty Alternate są zablokowane tak aby nie powstała pętla. Porty Root są to porty które prowadzą do Root Bridge’a, natomiast porty Designated to porty które prowadzą do innych przełączników. Wszystkie porty root bridge są portami Designated:

Następnie pozostałe przełączniki wybierają porty Root i Designated, które wybierane są zgodnie z poniższym algorytmem:

1. Najniższy root bridge ID

2. Najniższy koszt ścieżki do root bridge

3. Najniższy bridge ID

4. Najniższy port ID (nadawcy).

Port ID składa się z priorytetu i numeru interfejsu. W wyniku polecenia show spanning-tree jest to pole Prio.Nbr.

Pierwszy punkt możemy ominąć, ponieważ ma on zastosowanie tylko dla portów Root Bridge’a. Kolejny punkt to najniższy koszt ścieżki do root bridge. Domyślnie koszty portów wyglądają następująco:

Pasmo	Koszt
10 Mbps	100
100 Mbps	19
1-Gigabit Ethernet	4
10-Gigabit Ethernet	2

W naszej topologii mamy interfejsy Gigabitowe więc koszty poszczególnych linków wynoszą 4:

Dla SW1 koszt ścieżki do Root Bridge przez Gi0/0 wynosi 4, natomiast przez Gi0/1 wynosi 4+4 czyli 8. W związku z tym Gi0/0 zostanie Root Port.

Dla SW2 koszt ścieżki do Root Bridge przez Gi0/0 wynosi 4 +4 czyli 8, natomiast przez Gi0/1 wynosi 4. W związku z tym Gi0/1 zostanie Root Port.

Ostatni krok to wybór portu Designated i portu Alternate. W obu przypadkach zarówno port Gi0/1 na SW1 oraz Gi0/0 na SW2 mają ten sam koszt ścieżki do Root Bridge, dlatego musimy wziąć następny punkt algorytmu wyboru, czyli punkt 3. Najniższy bridge ID. Dla przypomnienia Bridge ID SW1 = 32769 + 00ca.0dc1.2f00, a Bridge ID SW2 = 32769 + 00ca.0d8e.9c00. Priorytet w obu przypadkach jest taki sam, czyli niższy Bridge ID jest ustalany a podstawie niższego adresu MAC, w tym przypadku SW2 ma niższy Bridge ID, czyli port Gi0/0 na SW2 zostanie portem Designated, a port Gi0/1 na switchu SW1 zostanie zablokowany, czyli będzie pełnił rolę Alternate.

Zweryfikujmy stan portów korzystając z komendy show spanning-tree.

SW1#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID    Priority 32769
           Address 00ca.0d3f.0c00
           Cost 4
           Port 1 (GigabitEthernet0/0)
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID  Priority 32769 (priority 32768 sys-id-ext 1)
           Address 00ca.0dc1.2f00
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
           Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Root FWD 4    128.1    P2p
Gi0/1     Altn BLK 4    128.2    P2p

SW2#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID    Priority 32769
           Address 00ca.0d3f.0c00
           Cost 4
           Port 2 (GigabitEthernet0/1)
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID  Priority 32769 (priority 32768 sys-id-ext 1)
           Address 00ca.0d8e.9c00
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
           Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Desg FWD 4    128.1    P2p
Gi0/1     Root FWD 4    128.2    P2p

SW3#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID    Priority 32769
           Address 00ca.0d3f.0c00
           This bridge is the root
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID  Priority 32769 (priority 32768 sys-id-ext 1)
           Address 00ca.0d3f.0c00
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
           Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Desg FWD 4    128.1    P2p
Gi0/1     Desg FWD 4    128.2    P2p

Każdy z portów w STP może być w jednym z poniższych stanów:

Disabled – port jest wyłączony administracyjnie (shutdown) i nie bierze udziału w procesie STP

Blocking – jest to początkowy stan portu, który trwa przez 20 sekund, po tym czasie port przechodzi do stanu Listening. Jeśli port nie jest portem Designated ani Root, czyli jest portem Alternate to również będzie w stanie blocking i w nim pozostanie dopóki nie zostanie zmieniona topologia sieci. Port w stanie blocking nie uczestniczy w procesie przesyłania ramek.

Listening – tylko designated i root port może przejść w stan nasłuchiwania. W tym stanie switch próbuje dowiedzieć się jak wygląda topologia. Port w stanie listening przesyła tylko ramki BPDU, ramki z danymi nie są przesyłane, po 15 sekundach w stanie listening port przechodzi w stan learning.

Learning – w tym stanie port uczy się adresów MAC poprzez analizowanie adresów źródłowych ramek ethernetowych otrzymanych na porcie. Port uczy się adresów przez 15 sekund, a następnie przechodzi w stan przesyłania ramek (Forwarding)

Forwarding – jest to finalny stan portu, w którym następuje przesyłanie ramek z danymi.

STP przydatne komendy:

Zmiana Root Bridge

Zmianę root bridge’a możemy wykonać na dwa sposoby. Automatycznie i ręcznie.

SW1(config)#spanning-tree vlan 1 root primary

Powyższa komenda zmieni priorytet przełącznika (bridge priority) na wartość niższą niż priorytet obecnego root bridge’a.

SW1#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID     Priority 24577
            Address  00ca.0dc1.2f00
            This bridge is the root
            Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID   Priority 24577 (priority 24576 sys-id-ext 1)
            Address  00ca.0dc1.2f00
            Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
            Aging Time 15 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Desg FWD 4    128.1    P2p
Gi0/1     Desg FWD 4    128.2    P2p

Ręczną zmianę priorytetu możem wykonać następująca komendą:

SW1(config)#spanning-tree vlan 1 priority 4096

SW1#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID       Priority  4097
              Address   00ca.0dc1.2f00
              This bridge is the root
              Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID     Priority  4097 (priority 4096 sys-id-ext 1)
              Address   00ca.0dc1.2f00
              Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
              Aging Time 300 sec

Interface Role Sts  Cost  Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Desg FWD  4     128.1    P2p
Gi0/1     Desg FWD  4     128.2    P2p

Zmiana kosztu intefejsu:

SW1(config-if)#spanning-tree cost 100

SW1#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID       Priority  4097
              Address   00ca.0dc1.2f00
              This bridge is the root
              Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID    Priority   4097 (priority 4096 sys-id-ext 1)
             Address    00ca.0dc1.2f00
             Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
             Aging Time 300 sec

Interface Role Sts  Cost  Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Desg FWD   100  128.1    P2p
Gi0/1     Desg FWD   4    128.2    P2p

BGP – wyrażenia regularne

admin — Tue, 31 Jul 2018 17:32:43 +0000

Wyrażenia regularne bardzo często przydają się w manipulacji trasami BGP, oraz przeszukiwaniu tablicy BGP po atrybucie AS-Path. Do sprawadzenia w praktyce wykorzystania wyrażeń regularnych skorzystamy z jednego z dostępnych serwerów Looking Glass. Ja wybrałem serwer Looking Glass: https://www.as13030.net/looking-glass.php

Po wejściu na powyższy serwer możemy wybrać Router (domyślnie Router: RR Zurich (AS13030)), typ zapytania Request: show ip bgp regexp, oraz ustawić argumenty, w naszym przypadku będą to wyrażenia regularne.

1. Wyświetlenie wszystkich podsieci pochodzących tylko z AS4788

show ip bgp regexp ^4788$

BGP table version is 0, local router ID is 213.144.129.123
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

Network          Next Hop            Metric LocPrf Weight Path
*>i1.32.0.0/19      213.144.128.173          2    150      0 4788 i
*>i1.32.32.0/19     213.144.128.173          2    150      0 4788 i
*>i23.6.120.0/24    213.144.128.173          2    150      0 4788 i
*>i23.212.55.0/24   213.144.128.173          2    150      0 4788 i
*>i103.4.140.0/22   213.144.128.221          2    150      0 4788 i
*>i137.195.224.0/20 213.144.128.173          2    150      0 4788 i
*>i210.195.0.0/19   213.144.128.173          2    150      0 4788 ?
*>i210.195.32.0/19  213.144.128.173          2    150      0 4788 ?
*>i210.195.64.0/19  213.144.128.173          2    150      0 4788 ?
*>i210.195.96.0/19  213.144.128.173          2    150      0 4788 ?
*>i210.195.128.0/19 213.144.128.173          2    150      0 4788 ?
*>i210.195.160.0/19 213.144.128.173          2    150      0 4788 ?
*>i210.195.192.0/19 213.144.128.173          2    150      0 4788 ?
*>i210.195.224.0/19 213.144.128.173          2    150      0 4788 ?
*>i218.208.160.0/19 213.144.128.173          2    150      0 4788 i
*>i219.93.2.0       213.144.128.173          2    150      0 4788 i
*>i219.95.64.0/20   213.144.128.173          2    150      0 4788 i
*>i219.95.104.0/21  213.144.128.173          2    150      0 4788 i
*>i219.95.136.0/21  213.144.128.173          2    150      0 4788 i

Total number of prefixes 19

2. Wyświetlenie wszystkich podsieci pochodzących z AS4788, ale mogących przechodzić przez inne ASy

show ip bgp regexp _4788$

BGP table version is 0, local router ID is 213.144.129.123
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

Network          Next Hop            Metric LocPrf Weight Path
*>i1.9.0.0/16       213.144.128.169          1    160      0 1273 4788 i
*>i1.32.0.0/17      213.144.128.169          1    160      0 1273 4788 i
*>i1.32.0.0/19      213.144.128.173          2    150      0 4788 i
*>i1.32.32.0/19     213.144.128.173          2    150      0 4788 i
*>i1.32.64.0/18     213.144.128.169          1    160      0 1273 4788 i
*>i23.6.120.0/24    213.144.128.173          2    150      0 4788 i
*>i23.13.192.0/20   213.144.128.169          1    160      0 1273 4788 i
*>i23.15.16.0/20    213.144.128.169          1    160      0 1273 4788 i
*>i23.51.32.0/20    213.144.128.169          1    160      0 1273 4788 i
*>i23.51.48.0/20    213.144.128.169          1    160      0 1273 4788 i
*>i23.197.60.0/23   213.144.128.169          1    160      0 1273 4788 i
*>i23.200.82.0/23   213.144.128.169          1    160      0 1273 4788 i
*>i23.201.156.0/22  213.144.128.169          1    160      0 1273 4788 i
...
Total number of prefixes 402

3. Wyświetlenie wszystkich podsieci przechodzących przez AS46887

show ip bgp regexp _46887_

BGP table version is 0, local router ID is 213.144.129.123
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

Network          Next Hop            Metric LocPrf Weight Path
*>i5.11.28.0/24     213.144.128.216          1    150      0 6939 46887 36614 42705 i
*>i5.61.116.0/23    213.144.128.216          1    150      0 6939 46887 199373 199373 199373 199373 199373 199373 199373 199373 199373 199373 i
*>i8.2.68.0/24      213.144.128.216          1    150      0 6939 46887 396835 i
*>i8.2.104.0/24     213.144.128.216          1    150      0 6939 46887 396487 396487 396487 396487 396487 i
*>i8.11.166.0/24    213.144.128.216          1    150      0 6939 46887 i
*>i8.14.103.0/24    213.144.128.216          1    150      0 6939 46887 13817 i
*>i8.14.121.0/24    213.144.128.216          1    150      0 6939 46887 12169 i
*>i8.22.101.0/24    213.144.128.216          1    150      0 6939 46887 12220 i
*>i8.28.55.0/24     213.144.128.216          1    150      0 6939 46887 394830 i
*>i8.33.72.0/24     213.144.128.216          1    150      0 6939 46887 17158 17158 17158 17158 i
*>i8.37.99.0/24     213.144.128.216          1    150      0 6939 46887 16491 i
*>i8.44.200.0/24    213.144.128.216          1    150      0 6939 46887 25611 25611 25611 25611 25611 25611 i
...
Total number of prefixes 1537

4. Wyświetlenie wszystkich podsieci, które są lokalnymi podsieciami routera

show ip bgp regexp ^$

BGP table version is 0, local router ID is 213.144.129.123
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

Network          Next Hop            Metric LocPrf Weight Path
*>i14.0.0.0         213.144.128.214          1     10      0 i
*>i27.0.0.0         213.144.128.214          1     10      0 i
*>i37.17.232.0/22   213.144.128.208          1    100      0 i
*>i37.17.236.0/23   213.144.128.208          1    100      0 i
*>i37.17.238.0/23   213.144.128.208          1    100      0 i
*>i46.28.203.155/32 213.144.128.177          1    100      0 i
*>i46.28.204.142/32 213.144.128.177          1    100      0 i
*>i77.109.128.0/18  213.144.128.208          1    100      0 i
*>i77.109.128.0/19  213.144.128.208          1    100      0 i
*>i77.109.128.2/32  77.109.129.61            3    100      0 i
...
Total number of prefixes 127

5. wyświetlenie wszystkich podsieci tylko z bezpośrednio połączonych ASów

show ip bgp ^[0-9]+$

BGP table version is 0, local router ID is 213.144.129.123
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

Network          Next Hop            Metric LocPrf Weight Path
*>i1.0.0.0/24       213.144.128.173          1    150      0 13335 i
*>i1.1.1.0/24       213.144.128.173          1    150      0 13335 i
*>i1.6.4.0/22       213.144.128.179          2    150      0 9583 i
*>i1.6.6.0/24       213.144.128.179          2    150      0 9583 i
*>i1.6.8.0/22       213.144.128.179          2    150      0 9583 i
*>i1.6.12.0/22      213.144.128.179          2    150      0 9583 i
*>i1.6.16.0/22      213.144.128.179          2    150      0 9583 i
*>i1.6.20.0/22      213.144.128.179          2    150      0 9583 i
*>i1.6.24.0/22      213.144.128.179          2    150      0 9583 i
*>i1.6.28.0/22      213.144.128.179          2    150      0 9583 i
*>i1.6.32.0/22      213.144.128.179          2    150      0 9583 i
*>i1.6.36.0/22      213.144.128.179          2    150      0 9583 i
*>i1.6.40.0/22      213.144.128.179          2    150      0 9583 i
...
Total number of prefixes 41787

6. Wyświetlenie wszystkich podsieci osiągalnych przez AS6939

show ip bgp regexp ^6939_

BGP table version is 0, local router ID is 213.144.129.123
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

Network          Next Hop            Metric LocPrf Weight Path
*>i1.0.4.0/22       213.144.128.216          1    150      0 6939 4826 38803 56203 i
*>i1.0.4.0/24       213.144.128.216          1    150      0 6939 4826 38803 56203 i
*>i1.0.5.0/24       213.144.128.216          1    150      0 6939 4826 38803 56203 i
*>i1.0.6.0/24       213.144.128.216          1    150      0 6939 4826 38803 56203 i
*>i1.0.7.0/24       213.144.128.216          1    150      0 6939 4826 38803 56203 i
*>i1.255.30.0/24    213.144.128.216          1    150      0 6939 63199 i
*>i2.16.36.0/24     213.144.128.216          1    150      0 6939 7545 7545 7545 7545 2764 12222 12222 i
*>i2.17.218.0/24    213.144.128.216          1    150      0 6939 7545 7545 7545 7545 2764 32787 i
*>i2.18.52.0/24     213.144.128.216          1    150      0 6939 4826 20940 33905 i
...
Total number of prefixes 36028

7. Wyświetlenie wszystkich podsieci

show ip bgp regexp .*

BGP table version is 0, local router ID is 213.144.129.123
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

Network          Next Hop            Metric LocPrf Weight Path
*>i1.0.0.0/24       213.144.128.173          1    150      0 13335 i
*>i1.0.4.0/22       213.144.128.216          1    150      0 6939 4826 38803 56203 i
*>i1.0.4.0/24       213.144.128.216          1    150      0 6939 4826 38803 56203 i
*>i1.0.5.0/24       213.144.128.216          1    150      0 6939 4826 38803 56203 i
*>i1.0.6.0/24       213.144.128.216          1    150      0 6939 4826 38803 56203 i
*>i1.0.7.0/24       213.144.128.216          1    150      0 6939 4826 38803 56203 i
*>i1.0.16.0/24      213.144.128.221          2    150      0 2497 2519 i
*>i1.0.64.0/18      213.144.128.221          2    150      0 2497 7670 18144 i
*>i1.0.128.0/17     213.144.128.203          1     60      0 1299 38040 23969 i
*>i1.0.128.0/18     213.144.128.203          1     60      0 1299 38040 23969 i
*>i1.0.128.0/19     213.144.128.203          1     60      0 1299 38040 23969 i
*>i1.0.128.0/24     213.144.128.203          1     60      0 1299 4809 38040 23969 ?
...
Total number of prefixes 695338

8. Wyświetlenie wszystkich podsieci które pochodzą z AS56201 i przechodzą przez AS18101

show ip bgp regexp 18101_56201$

BGP table version is 0, local router ID is 213.144.129.123
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

Network          Next Hop            Metric LocPrf Weight Path
*>i220.225.183.0    213.144.128.173          2    150      0 15412 18101 56201 i

Total number of prefixes 1

9. Wyświetlenie wszystkich podsieci które pochodzą z AS46164 lub z AS46163

show ip bgp regexp _46164$|_46163$

BGP table version is 0, local router ID is 213.144.129.123
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

Network          Next Hop            Metric LocPrf Weight Path
*>i4.23.88.0/24     213.144.128.184          1     60      0 1299 7018 46164 i
*>i4.23.89.0/24     213.144.128.184          1     60      0 1299 7018 46164 i
*>i4.23.92.0/23     213.144.128.184          1     60      0 1299 7018 46164 i
*>i107.117.80.0/20  213.144.128.184          1     60      0 1299 7018 46164 i
*>i107.239.64.0/20  213.144.128.184          1     60      0 1299 7018 46164 i
*>i107.250.192.0/19 213.144.128.184          1     60      0 1299 7018 46164 i
*>i107.250.224.0/19 213.144.128.184          1     60      0 1299 7018 46164 i
*>i141.160.4.0/22   213.144.128.203          1     60      0 1299 174 46163 i
*>i141.160.12.0/22  213.144.128.173          2    150      0 6461 1294 46163 i
*>i141.160.20.0/22  213.144.128.173          2    150      0 6461 1294 4616346163 46163 46163 46163 i
*>i141.160.25.0/24  213.144.128.203          1     60      0 1299 174 46163 i
*>i141.160.26.0/24  213.144.128.184          1     60      0 1299 7018 2687 46163 i
*>i141.160.27.0/24  213.144.128.203          1     60      0 1299 174 46163 i
*>i141.160.28.0/24  213.144.128.214          2    150      0 7473 3758 46163 i
*>i141.160.29.0/24  213.144.128.203          1     60      0 1299 174 46163 I
...
Total number of prefixes 47

10. Wyświetlenie wszystkich podsieci, których atrybut AS_Path posiada więcej niż raz AS396835, czyli gdzie została zastosowana technika AS Prepending

show ip bgp regexp (396835_){2,}

BGP table version is 0, local router ID is 213.144.129.123
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

Network          Next Hop            Metric LocPrf Weight Path
*>i140.102.0.0      213.144.128.216          1    150      0 6939 46887 396835 396835 396835 396835 i
*>i140.102.2.0/23   213.144.128.216          1    150      0 6939 46887 396835 396835 396835 396835 i
*>i192.80.85.0      213.144.128.216          1    150      0 6939 46887 396835 396835 396835 396835 i
*>i192.80.95.0      213.144.128.216          1    150      0 6939 46887 396835 396835 396835 396835 i
*>i192.138.225.0    213.144.128.216          1    150      0 6939 46887 396835 396835 396835 396835 i

Total number of prefixes 5

11. Wyświetlenie wszystkich podsieci, które pochodzą z ASów trzy cyfrowych zaczynających się od 1,2 lub 3.
np. 312 , 123, 223 itp

show ip bgp regexp _[123].{2}$

BGP table version is 0, local router ID is 213.144.129.123
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

Network          Next Hop            Metric LocPrf Weight Path
*>i5.157.72.0/21    213.144.128.203          1     60      0 1299 174 i
*>i5.158.83.0/24    213.144.128.203          1     60      0 1299 174 i
*>i5.178.16.0/21    213.144.128.203          1     60      0 1299 3257 260 i
*>i6.64.164.0/23    213.144.128.184          1     60      0 1299 209 721 27064 367 i
*>i8.25.217.0/24    213.144.128.173          2    150      0 6461 54756 100 i
*>i8.27.160.0/24    213.144.128.184          1     60      0 1299 209 i
*>i8.27.167.0/24    213.144.128.184          1     60      0 1299 209 i
*>i8.28.178.0/23    213.144.128.216          1    150      0 6939 2381 2381 103 i
*>i8.30.248.0/22    213.144.128.216          1    150      0 6939 2381 2381 103 i
...
Total number of prefixes 6168

URPF – Unicast Reverse Path Forwarding

admin — Sun, 29 Jul 2018 10:59:47 +0000

Unicast Reverse Path Forwarding (uRPF) – jest to technika stosowana w routerach Cisco (oraz u innych producentów), która umożliwia sprawdzenie czy źródło pakietu IP jest osiągalne przez tablice routingu. Zapobiega to fałszowaniu adresów IP (IP spoofing). uRFP może działać w dwóch trybach: „ścisłym” i „luźnym”

– strict mode

– loose mode

STRICT MODE

W trybie ścisłym router sprawdza czy źródłowy adres ip pakietu otrzymanego na danym interfejsie, jest osiągalny przez router na postawie tablicy CEF FIB przez interfejs z którego przyszedł pakiet, jeśli nie to pakiet jest odrzucany.

LOOSE MODE

W trybie luźnym w przeciwieństwie do trybu ścisłego router sprawdza czy źródłowy adres ip pakietu otrzymanego na danym interfejsie jest osiągalny przez router na podstawie tablicy CEF FIB przez jakikolwiek z jego interfejsów.

PRZYKŁAD:

W celu zademonstrowania działania mechanizmu uRPF w routerach CISCO posłużę się następując topologią zbudowaną w GNS3

Konfiguracja wygląda następująco:

interface FastEthernet0/0
  ip address 192.168.12.1 255.255.255.0
  ip verify unicast source reachable-via rx
  duplex full
!
interface FastEthernet1/0
  ip address 192.168.13.1 255.255.255.0
  duplex full
!
router ospf 1
  network 192.168.0.0 0.0.255.255 area 0

interface Loopback0
  ip address 3.3.3.3 255.255.255.255
!
interface FastEthernet0/0
  ip address 192.168.12.2 255.255.255.0
  duplex full
!
interface FastEthernet1/0
  ip address 192.168.23.2 255.255.255.0
  duplex full
!
router ospf 1
  network 192.168.0.0 0.0.255.255 area 0

interface Loopback0
  ip address 3.3.3.3 255.255.255.255
!
interface FastEthernet0/0
  ip address 192.168.13.3 255.255.255.0
  duplex full
!
interface FastEthernet1/0
  ip address 192.168.23.3 255.255.255.0
  duplex full
!
router ospf 1
  network 3.3.3.3 0.0.0.0 area 0
  network 192.168.0.0 0.0.255.255 area 0

Sprawdźmy teraz jak wygląda tablica routingu na routerze R1.

R1# show ip route

      3.0.0.0/32 is subnetted, 1 subnets
O        3.3.3.3 [110/2] via 192.168.13.3, 00:06:01, FastEthernet1/0
      192.168.12.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.12.0/24 is directly connected, FastEthernet0/0
L        192.168.12.1/32 is directly connected, FastEthernet0/0
      192.168.13.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.13.0/24 is directly connected, FastEthernet1/0
L        192.168.13.1/32 is directly connected, FastEthernet1/0
O     192.168.23.0/24 [110/2] via 192.168.13.3, 00:14:33, FastEthernet1/0
                      [110/2] via 192.168.12.2, 00:14:33, FastEthernet0/0

Jak widać na powyższym wyniku prefix 3.3.3.3 jest osiągalny przez interfejs FastEthernet1/0, czyli interfejsu podłączonego do routera R3. Teraz ustawmy uRPF w trybie strict na interfejsach routera R1.

interface FastEthernet0/0
  ip verify unicast source reachable-via rx
!
interface FastEthernet1/0
  ip verify unicast source reachable-via rx

Przetestujmy działanie tego mechanizmu. Z routera R3 spingujmy router R1 i zobaczmy co się stanie.

R3#ping 192.168.13.1 source 3.3.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.13.1, timeout is 2 seconds:
Packet sent with a source address of 3.3.3.3
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 36/46/56 ms

Jak widać wszystko przebiegło bez zarzutów, ponieważ pakiet przyszedł przez interfejs FastEthernet1/0, czyli zgodnie z tablicą CEF FIB:

R1#show ip cef 3.3.3.3
3.3.3.3/32
nexthop 192.168.13.3 FastEthernet1/0

Sprawdzić działanie uRPF możemy wykonując polecenie:

R1#show ip int fa0/0 | in verif
IP verify source reachable-via RX
0 verification drops
0 suppressed verification drops
0 verification drop-rate

Jak widać mechanizm nie odrzucił pakietów, ponieważ założenia trybu ścisłego zostały spełnione.

Teraz spróbujmy wysłać pakiet z adresem źródłowym 3.3.3.3 przez interfejs FastEthernet0/0. Najprościej jest to zrobić z routera R2, w tym celu dodajmy interfejs Loopback0 z adresem 3.3.3.3/32 i wykonajmy polecenie ping:

R2(config)#int Loopback 0
R2(config-if)#ip address 3.3.3.3 255.255.255.255
R2(config-if)#do ping 192.168.12.1 source 3.3.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
Packet sent with a source address of 3.3.3.3
.....
Success rate is 0 percent (0/5)

Nie otrzymaliśmy odpowiedzi, sprawdźmy więc czy rzeczywiście mechanizm zadziałał:

R1#show ip int fa0/0 | in verif
IP verify source reachable-via RX
5 verification drops
0 suppressed verification drops
0 verification drop-rate

Teraz sprawdźmy jak działa tryb luźy (loose mode). Zmieńmy konfiguracje intefejsów na R1:

interface FastEthernet0/0
  ip verify unicast source reachable-via any
!
interface FastEthernet1/0
  ip verify unicast source reachable-via any

i spróbujmy wykonać jeszcze raz polecenie ping na routerze R2:

R2#ping 192.168.12.1 source 3.3.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
Packet sent with a source address of 3.3.3.3
.....
Success rate is 0 percent (0/5)

Hmm, nie otrzymaliśmy odpowiedzi, czyli wynik jest taki sam jak w przypadku trybu strict, sprawdźmy to dla pewności:

R1#show ip int fa0/0 | in verif
IP verify source reachable-via ANY
5 verification drops
5 suppressed verification drops
0 verification drop-rate

Wynik powyższej komendy jest jednak inny niż w przypadku trybu strict. Sugeruje to, że pakiety nie zostały odrzucone i powinniśmy dostać odpowiedzi, dlaczego więc się tak nie stało ?

Odpowiedź jest bardzo prosta (IP spoofing), ponieważ na R2 sfałszowaliśmy adres źródłowy (3.3.3.3), router R1 odesłał odpowiedzi do tego adresu, zgodnie ze swoją tablicą routingu, czyli do R3. Wykonajmy jeszcze raz to samo polecenie ping, ale włączmy tym razem debugowanie pakietów icmp na routerze R3:

R3#debug ip icmp
R3#
*Jul 29 10:38:02.111: ICMP: echo reply rcvd, src 192.168.12.1, dst 3.3.3.3, topology BASE, dscp 0 topoid 0
R3#
*Jul 29 10:38:04.131: ICMP: echo reply rcvd, src 192.168.12.1, dst 3.3.3.3, topology BASE, dscp 0 topoid 0
R3#
*Jul 29 10:38:06.079: ICMP: echo reply rcvd, src 192.168.12.1, dst 3.3.3.3, topology BASE, dscp 0 topoid 0
R3#
*Jul 29 10:38:07.967: ICMP: echo reply rcvd, src 192.168.12.1, dst 3.3.3.3, topology BASE, dscp 0 topoid 0

Czyli wszystko działa tak jak należy

PODSUMOWANIE

uRFP jest jednym z mechanizmów ochrony przed fałszowaniem źródłowego adresu IP i powinno być wykorzystywane jeśli tylko jest taka możlwość. Dodatkowe komendy przydatne przy diagnozowani problemów z uRPF to:

R1#show ip traffic
IP statistics:
  Rcvd:  298 total, 296 local destination
         0 format errors, 0 checksum errors, 0 bad hop count
         0 unknown protocol, 0 not a gateway
         0 security failures, 0 bad options, 0 with options
  Opts:  0 end, 0 nop, 0 basic security, 0 loose source route
         0 timestamp, 0 extended security, 0 record route
         0 stream ID, 0 strict source route, 0 alert, 0 cipso, 0 ump
         0 other
  Frags: 0 reassembled, 0 timeouts, 0 couldn't reassemble
         0 fragmented, 0 fragments, 0 couldn't fragment
  Bcast: 0 received, 0 sent
  Mcast: 255 received, 285 sent
  Sent:  332 generated, 0 forwarded
  Drop:  0 encapsulation failed, 0 unresolved, 0 no adjacency
         0 no route, 7 unicast RPF, 0 forced drop, 0 unsupported-addr
         0 options denied, 0 source IP address zero

R1#show cef interface f0/0
FastEthernet0/0 is up (if_number 2)
  Corresponding hwidb fast_if_number 2
  Corresponding hwidb firstsw->if_number 2
  Internet address is 192.168.12.1/24
  ICMP redirects are always sent
  Per packet load-sharing is disabled
  IP unicast RPF check is enabled
  Input features: uRPF
  IP policy routing is disabled
  BGP based policy accounting on input is disabled
  BGP based policy accounting on output is disabled
  Hardware idb is FastEthernet0/0
  Fast switching type 1, interface type 18
  IP CEF switching enabled
  IP CEF switching turbo vector
  IP CEF turbo switching turbo vector
  IP prefix lookup IPv4 mtrie 8-8-8-8 optimized
  Input fast flags 0x4000, Output fast flags 0x0
  ifindex 2(2)
  Slot  Slot unit 0 VC -1
  IP MTU 1500

R1#show cef interface f1/0
FastEthernet1/0 is up (if_number 3)
  Corresponding hwidb fast_if_number 3
  Corresponding hwidb firstsw->if_number 3
  Internet address is 192.168.13.1/24
  ICMP redirects are always sent
  Per packet load-sharing is disabled
  IP unicast RPF check is enabled
  Input features: uRPF
  IP policy routing is disabled
  BGP based policy accounting on input is disabled
  BGP based policy accounting on output is disabled
  Hardware idb is FastEthernet1/0
  Fast switching type 1, interface type 18
  IP CEF switching enabled
  IP CEF switching turbo vector
  IP CEF turbo switching turbo vector
  IP prefix lookup IPv4 mtrie 8-8-8-8 optimized
  Input fast flags 0x4000, Output fast flags 0x0
  ifindex 3(3)
  Slot  Slot unit 0 VC -1
  IP MTU 1500

Programowanie CGI Pythona

admin — Sat, 03 Feb 2018 19:05:56 +0000

Czym jest CGI ?

(ang. Common Gateway Interface) – jest standardowym sposobem przekazywania przez serwer www żądania użytkownika do aplikacji i odbierania danych od aplikacji i przekazywanie ich użytkownikowi. Gdy użytkownik odwiedza stronę internetową (np. wprowadzając adres strony internetowej), serwer odsyła żądaną stronę. Takie działanie ma miejsce w przypadku stron statycznych, jednakże obecnie mamy w internecie przewagę stron dynamicznych, w przypadku których prezentowana strona jest generowana dynamicznie przez aplikację. Dzieje się tak na przykład w przypadku formularza na stronie internetowej. Użytkownik wypełnia dane w formularzu, przesyła je do serwera, następnie serwer otrzymane dane przesyła do aplikacji, która następnie przetwarza otrzymanie dane i zwraca wynik działania do użytkownika. Ta metoda, lub konwencja przekazywania danych tam i z powrotem między serwerem a aplikacją nazywa się CGI.

Konfiguracja serwera WWW

W celu poprawnego działania skryptów CGI konieczne jest odpowiednie skonfigurowanie serwera www. W moim przypadku serwerem www jest Apache i pokażę jak go skonfigurować do pracy z CGI. Konfigurację apache możemy wykonać w następujących krokach:

Krok 1.

Edytujemy zawartość pliku z naszą stroną (/sites-available/000-default.conf) odkomentowując linijkę: Include conf-available/serve-cgi-bin.conf

root@ubuntu-2:/usr/lib/cgi-bin# nano /etc/apache2/sites-available/000-default.conf


        # The ServerName directive sets the request scheme, hostname and port 
        # the server uses to identify itself. This is used when creating
        # redirection URLs. In the context of virtual hosts, the ServerName
        # specifies what hostname must appear in the request's Host: header to
        # match this virtual host. For the default virtual host (this file) this
        # value is not decisive as it is used as a last resort host regardless.
        # However, you must set it for any further virtual host explicitly.
        #ServerName www.example.com

        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/html

        # Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
        # error, crit, alert, emerg.
        # It is also possible to configure the loglevel for particular
        # modules, e.g.

        #LogLevel info ssl:warn

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        # For most configuration files from conf-available/, which are
        # enabled or disabled at a global level, it is possible to
        # include a line for only one particular virtual host. For example the
        # following line enables the CGI configuration for this host only
        # after it has been globally disabled with "a2disconf".

        Include conf-available/serve-cgi-bin.conf

Krok 2.

Edytujemy plik conf-available/serve-cgi-bin.conf

         
                ScriptAlias /cgi-bin/ /home/kuba/scripts/
                /home/kuba/scripts/">
                        AllowOverride None
                        Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
                        Require all granted
                        AddHandler cgi-script .py

ScriptAlias wskazuje gdzie będą przetrzymywane nasze skrypty, domyślnie jest to katalog /var/www/cgi-bin, natomiast możemy tu ustawić dowolny inny katalog. Ja ustawiłem katalog /home/kuba/scripts.

AddHandler wskazuje jakie rozszerzenia skryptów będziemy obsługiwać (w moim przypadku będą to skrypty python więc dodałem rozszerzenie .py)

Krok 3.

Aktywujemy moduł cgi w apache i restartujemy apache’a.

root@ubuntu-2:/usr/lib/cgi-bin# a2enmod cgi
root@ubuntu-2:/usr/lib/cgi-bin# systemctl restart apache2

Pierwszy skrypt

Stwórzmy sobie pierwszy skrypt python, który wygeneruje nam stronę www z treścią Hello World !!!.

Skrypt ten wygląda następująco:

#!/usr/bin/python

print("Content-Type: text/html\n\n")
print('''


Hello World - script


Hello Word !!!


''')

Następnie skrypt musimy umieścić w naszym katalogu ze skryptami (/home/kuba/scripts) i nadać mu atrybuty wykonywalności (chmod +x).

Teraz pozostaje tylko otwarcie odpowiedniego linku w przeglądarce:

http://192.168.48.142/cgi-bin/hello.py

gdzie:

192.168.48.142 to adres naszego serwera,

hello.py to nazwa naszego skryptu.

Jeśli wszystko przebiegło pomyślnie naszym oczom powinna ukazać strona z zawartościa Hello World !!!.

KALKULATOR IP W PYTHON

Teraz spróbujmy napisać coś bardziej zaawansowanego w python, a mianowicie kalkulator IP. Do tego celu posłuży nam wbudowana Pythona biblioteka ipaddress, która umożliwia pracę z adresami IP.

Cała aplikacja będzie składać się z 3 plików:

/var/www/html/index.html
/home/kuba/scripts/script.py
/home/kuba/scripts/calc.py

Zawartość plików jest następująca:

/var/www/html/index.html

IP Calculator

Python IP Calculator

2. /home/kuba/scripts/script.py

#!/usr/bin/python

print("Content-Type: text/html\n\n")
print('''


IP Calculator


INSERT IP AND SUBNET


 IP Address (eg. 192.168.0.0)

 Subnet Mask (eg. 24)





''')

3. /home/kuba/scripts/calc.py

#!/usr/bin/python

import cgi, cgitb, ipaddress

form = cgi.FieldStorage()
ip = form.getvalue('ip')
subnet = form.getvalue('subnet')
ips = unicode(ip+"/"+subnet)
intf = ipaddress.ip_interface(ips)
netmask = intf.with_netmask.split("/")[1]

print("Content-Type: text/html\n\n")
print('''


IP Calculator


RESULTS

''')

print"IP Address %s
" % (ip)
print"Subnet Mask %s = %s
" % (netmask,subnet)
print"Wildcard Mask %s
" % (intf.network.with_hostmask.split('/')[1])
print"Network %s
" % (intf.network.with_prefixlen)
print"Broadcast %s
" % (intf.network.broadcast_address)
print"Host Min %s
" % (intf.network[1])
print"Host Max %s
" % (intf.network[-2])
print"Hosts/Net %s
" % (intf.network.num_addresses-2)

print('''



''')

Zasada działania kalkulatora jest następująca:

Klient wchodzi na stronę http://192.168.48.142/index.html (plik /var/www/html/index.html). Strona składa się z ramki, w której wyświetlany jest wynik skryptu script.py. Wynikiem działania skryptu script.py jest formularz, składający się z pól tekstowych ip i subnet, oraz przycisku Calc, który uruchamia skrypt calc.py. Skrypt calc.py wykonuje operacje na podanych w formularzu polach ip i subnet i prezentuje na ich podstawie następujące wyniki:

IP Address – adres IP podany w formularzu,

Subnet Mask – maska podsieci podana w formularzu,

Wildcard Mask – maska w formacie wildard’owym,

Network – adres sieci,

Broadcast – adres rozgłoszeniowy,

Host Min – najmniejszy adres dostępny dla hosta,

Host Max – największy adres dostępny dla hosta,

Hosts/Net – ilość adresów dostępna dla hostów.

WYNIK

Sprawdźmy teraz jak wygląda aplikacja kalkulatora IP z punku widzenia klienta i jego przeglądarki. Otwórzmy w tym celu stronę index.html:

PODSUMOWANIE

Na powyższym przykładzie aplikacji www kalkulatora IP, widać, że Python z CGI dają olbrzymie możliwości tworzenia aplikacji internetowych przy wykorzystaniu skryptów. Oczywiście powyższe zastosowanie nie jest najlepszą i najwydajniejsza metodą tworzenia stron internetowych, ale pokazuję, że właściwie bez zaawansowanej znajomości kodowania stron www, możemy tworzyć łatwe formularze czy aplikacje wykorzystując skrypty Pythona. Do bardziej zaawansowanych aplikacji można skorzystać z nowoczesnego frameworka opartego na Pythonie a mianowicie Django.

DMVPN faza 1 + IPSEC – konfiguracja

admin — Tue, 02 Jan 2018 19:36:21 +0000

We wpisie https://kubsoo.github.io/rsnet-website/dmvpn-faza-1-konfiguracja/ pokazałem jak skonfigurować DMVPN w fazie 1 z dynamicznymi mapowaniami NHRP. W tym wpisie pokażę jak do tak przygotowanej konfiguracji dodać konfigurację IPSEC, tak żeby łączność pomiędzy urządzeniami była zabezpieczona przy wykorzystaniu IPSEC.

Przypomnijmy jeszcze raz topologię oraz konfigurację DMVPN w fazie 1 z dynamicznymi mapowaniami NHRP.

Topologia

Konfiguracja DMVPN

hostname HUB
!
interface Tunnel0
 ip address 172.22.10.1 255.255.255.0
 ip nhrp network-id 123
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint
!
interface FastEthernet0/0
 ip address 192.168.10.1 255.255.255.0
!

hostname SPOKE1
!
interface Tunnel0
 ip address 172.22.10.2 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.2 255.255.255.0
!

hostname SPOKE2
!
interface Tunnel0
 ip address 172.22.10.3 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.3 255.255.255.0
!

hostname SPOKE3
!
interface Tunnel0
 ip address 172.22.10.4 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.4 255.255.255.0
!

KONFIGURACJA IPSEC

Przed przystąpieniem do konfigurowania IPSEC sprawdźmy jak wygląda ruch w DMVPN widziany na interfejsie fa0/0 routera R1. Posłużymy się do tego wiresharkiem:

Po uruchomieniu wiresharka spingujmy router R3 (SPOKE-2) z routera R2 (SPOKE-1). W tym celu wydajmy polecene ping 172.22.10.3 na routerze R2 (SPOKE-1).

SPOKE1#ping 172.22.10.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.22.10.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/40/60 ms

Sprawdźmy jak wygląda ten ruch w wiresharku:

Widzimy, że ruch nie jest szyfrowany i możemy go podsłuchać. Spróbujmy go teraz zabezpieczyć przy pomocy IPSECa.

Konfiguracja IPSEC na każdym routerze wygląda tak samo:

R1 (HUB), R2 (SPOKE1), R3 (SPOKE2), R4 (SPOKE3)

crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key cisco123 address 0.0.0.0
!
!
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
 mode transport
!
crypto ipsec profile IPSEC_PROFILE
 set transform-set TSET
!
int tunnel 0
 tunnel protection ipsec profile IPSEC_PROFILE

Po skonfigurowaniu IPSEC sprawdźmy czy zestawił się on poprawnie (isakmp sa i ipsec sa). Wystarczy, że dokonamy sprawdzenia na routerze R1 (HUB), ponieważ routery R2, R3, R4 zestawiają tunele tylko z nim.

R1 (HUB)

HUB#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
192.168.10.4 192.168.10.1 QM_IDLE 1005 ACTIVE
192.168.10.1 192.168.10.4 QM_IDLE 1004 ACTIVE
192.168.10.1 192.168.10.3 QM_IDLE 1003 ACTIVE
192.168.10.1 192.168.10.2 QM_IDLE 1001 ACTIVE
192.168.10.2 192.168.10.1 QM_IDLE 1002 ACTIVE
192.168.10.3 192.168.10.1 QM_IDLE 1006 ACTIVE

HUB#show crypto ipsec sa

interface: Tunnel0
 Crypto map tag: Tunnel0-head-0, local addr 192.168.10.1

protected vrf: (none)
 local ident (addr/mask/prot/port): (192.168.10.1/255.255.255.255/47/0)
 remote ident (addr/mask/prot/port): (192.168.10.3/255.255.255.255/47/0)
 current_peer 192.168.10.3 port 500
 PERMIT, flags={origin_is_acl,}
 #pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
 #pkts decaps: 7, #pkts decrypt: 7, #pkts verify: 7
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 0, #pkts compr. failed: 0
 #pkts not decompressed: 0, #pkts decompress failed: 0
 #send errors 0, #recv errors 0

local crypto endpt.: 192.168.10.1, remote crypto endpt.: 192.168.10.3
 path mtu 1500, ip mtu 1500, ip mtu idb (none)
 current outbound spi: 0x4D074ABE(1292323518)
 PFS (Y/N): N, DH group: none

inbound esp sas:
 spi: 0xA8B99213(2830733843)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 7, flow_id: 7, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4329808/3210)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x81E2FE13(2179137043)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 9, flow_id: 9, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4282574/3210)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x7BDEB7FE(2078193662)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 17, flow_id: 17, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4298093/3218)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

inbound ah sas:

inbound pcp sas:

outbound esp sas:
 spi: 0x2B6C154D(728503629)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 8, flow_id: 8, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4329808/3210)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x1A5D7249(442331721)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 10, flow_id: 10, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4282574/3210)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x4D074ABE(1292323518)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 18, flow_id: 18, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4298093/3218)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

outbound ah sas:

outbound pcp sas:

protected vrf: (none)
 local ident (addr/mask/prot/port): (192.168.10.1/255.255.255.255/47/0)
 remote ident (addr/mask/prot/port): (192.168.10.2/255.255.255.255/47/0)
 current_peer 192.168.10.2 port 500
 PERMIT, flags={origin_is_acl,}
 #pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
 #pkts decaps: 7, #pkts decrypt: 7, #pkts verify: 7
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 0, #pkts compr. failed: 0
 #pkts not decompressed: 0, #pkts decompress failed: 0
 #send errors 0, #recv errors 0

local crypto endpt.: 192.168.10.1, remote crypto endpt.: 192.168.10.2
 path mtu 1500, ip mtu 1500, ip mtu idb (none)
 current outbound spi: 0x72B18574(1924236660)
 PFS (Y/N): N, DH group: none

inbound esp sas:
 spi: 0x532102AC(1394672300)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 1, flow_id: 1, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4349860/3205)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0xA0B95616(2696500758)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 3, flow_id: 3, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4203743/3205)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x3D891B1C(1032395548)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 5, flow_id: 5, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4371005/3208)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

inbound ah sas:

inbound pcp sas:

outbound esp sas:
 spi: 0x8888EE44(2290675268)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 2, flow_id: 2, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4349860/3205)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x85FE093(140501139)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 4, flow_id: 4, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4203743/3205)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x72B18574(1924236660)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 6, flow_id: 6, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4371005/3208)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

outbound ah sas:

outbound pcp sas:

protected vrf: (none)
 local ident (addr/mask/prot/port): (192.168.10.1/255.255.255.255/47/0)
 remote ident (addr/mask/prot/port): (192.168.10.4/255.255.255.255/47/0)
 current_peer 192.168.10.4 port 500
 PERMIT, flags={origin_is_acl,}
 #pkts encaps: 1, #pkts encrypt: 1, #pkts digest: 1
 #pkts decaps: 2, #pkts decrypt: 2, #pkts verify: 2
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 0, #pkts compr. failed: 0
 #pkts not decompressed: 0, #pkts decompress failed: 0
 #send errors 0, #recv errors 0

local crypto endpt.: 192.168.10.1, remote crypto endpt.: 192.168.10.4
 path mtu 1500, ip mtu 1500, ip mtu idb (none)
 current outbound spi: 0xD87AECE3(3631934691)
 PFS (Y/N): N, DH group: none

inbound esp sas:
 spi: 0xFCF21C61(4243725409)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 11, flow_id: 11, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4192015/3216)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x8DACF8C3(2376923331)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 13, flow_id: 13, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4370183/3216)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0xF7D288AB(4157769899)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 15, flow_id: 15, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4608000/3218)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

inbound ah sas:

inbound pcp sas:

outbound esp sas:
 spi: 0xE7B4AE5B(3887378011)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 12, flow_id: 12, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4192015/3216)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x3D9E28E5(1033775333)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 14, flow_id: 14, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4370183/3216)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0xD87AECE3(3631934691)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 16, flow_id: 16, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4608000/3218)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

outbound ah sas:

outbound pcp sas:

Jak widać z wyników powyższych komend wszystkie tunele zestawiły się poprawnie.

WERYFIKACJA

Sprawdźmy teraz co widać w wiresharku przy pingowaniu routera R3 (SPOKE-2) z routera R2 (SPOKE-1).

SPOKE1#ping 172.22.10.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.22.10.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/40/60 ms

PODSUMOWANIE

Jak widać zgodnie z teorią IPSEC w wiresharku przy pingowaniu widzimy adresy 192.168.10.X (ponieważ skonfigurowaliśmy IPSEC w trybie transportowym), ponadto nie widzimy jaki ruch jest przesyłany. Widzimy tylko pakiety ESP które składają się z ESP SPI oraz numeru sekwencyjnego. DMVPN w połączeniu z IPSEC jest bardzo dobrą kombinacją do budowania skalowanych sieci VPN między oddziałami firmy, ponieważ przy dodawaniu nowego oddziału (SPOKE) dzięki zastosowaniu DMVPN nie musimy nic konfigurować na naszym HUBie i taki nowy oddział po skonfigurowaniu będzie miał łączność pomiędzy innymi oddziałami a IPSEC pozwoli dodatkowo zabezpieczyć transmisję.

DMVPN faza 1 – konfiguracja

admin — Mon, 18 Dec 2017 18:17:16 +0000

Dynamic Multipoint VPN (DMVPN) faza 1, czyli tunele hub-and-spoke z dynamicznymi mapowaniami NHRP

Topologia

Konfiguracja

hostname HUB
!
interface Tunnel0
 ip address 172.22.10.1 255.255.255.0
 ip nhrp network-id 123
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint
!
interface FastEthernet0/0
 ip address 192.168.10.1 255.255.255.0
!

hostname SPOKE1
!
interface Tunnel0
 ip address 172.22.10.2 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.2 255.255.255.0
!

hostname SPOKE2
!
interface Tunnel0
 ip address 172.22.10.3 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.3 255.255.255.0
!

hostname SPOKE3
!
interface Tunnel0
 ip address 172.22.10.4 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.4 255.255.255.0
!

Przydatne komendy

show dmvpn
show ip nhrp

HUB (R1)

HUB#show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
 N - NATed, L - Local, X - No Socket
 # Ent --> Number of NHRP entries with same NBMA peer
 NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
 UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Hub, NHRP Peers:3,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
 1 192.168.10.2 172.22.10.2 UP 01:36:59 D
 1 192.168.10.3 172.22.10.3 UP 01:36:59 D
 1 192.168.10.4 172.22.10.4 UP 01:36:59 D

HUB#show ip nhrp
172.22.10.2/32 via 172.22.10.2
 Tunnel0 created 01:37:43, expire 01:42:15
 Type: dynamic, Flags: unique registered used
 NBMA address: 192.168.10.2
172.22.10.3/32 via 172.22.10.3
 Tunnel0 created 01:37:44, expire 01:42:15
 Type: dynamic, Flags: unique registered used
 NBMA address: 192.168.10.3
172.22.10.4/32 via 172.22.10.4
 Tunnel0 created 01:37:44, expire 01:42:15
 Type: dynamic, Flags: unique registered used
 NBMA address: 192.168.10.4

SPOKE1 (R2)

SPOKE1#show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
 N - NATed, L - Local, X - No Socket
 # Ent --> Number of NHRP entries with same NBMA peer
 NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
 UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Spoke, NHRP Peers:1,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
 1 192.168.10.1 172.22.10.1 UP 01:39:36 S

SPOKE1#show ip nhrp
172.22.10.1/32 via 172.22.10.1
 Tunnel0 created 01:40:09, never expire
 Type: static, Flags:
 NBMA address: 192.168.10.1

SPOKE2 (R3)

SPOKE2#show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
 N - NATed, L - Local, X - No Socket
 # Ent --> Number of NHRP entries with same NBMA peer
 NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
 UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Spoke, NHRP Peers:1,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
 1 192.168.10.1 172.22.10.1 UP 01:40:38 S

SPOKE2#show ip nhrp
172.22.10.1/32 via 172.22.10.1
 Tunnel0 created 01:41:17, never expire
 Type: static, Flags:
 NBMA address: 192.168.10.1

SPOKE3 (R4)

SPOKE3#show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
 N - NATed, L - Local, X - No Socket
 # Ent --> Number of NHRP entries with same NBMA peer
 NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
 UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Spoke, NHRP Peers:1,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
 1 192.168.10.1 172.22.10.1 UP 01:41:40 S

SPOKE3#show ip nhrp
172.22.10.1/32 via 172.22.10.1
 Tunnel0 created 01:42:22, never expire
 Type: static, Flags:
 NBMA address: 192.168.10.1

WERYFIKACJA

traceroute SPOKE1 -> SPOKE2

SPOKE1#traceroute 172.22.10.3
Type escape sequence to abort.
Tracing the route to 172.22.10.3
VRF info: (vrf in name/id, vrf out name/id)
 1 172.22.10.1 20 msec 8 msec 12 msec
 2 172.22.10.3 32 msec 20 msec 24 msec

traceroute SPOKE1 -> SPOKE3

SPOKE1#traceroute 172.22.10.4
Type escape sequence to abort.
Tracing the route to 172.22.10.4
VRF info: (vrf in name/id, vrf out name/id)
 1 172.22.10.1 16 msec 8 msec 8 msec
 2 172.22.10.4 20 msec 20 msec 24 msec

traceroute SPOKE2 -> SPOKE3

SPOKE2#traceroute 172.22.10.4
Type escape sequence to abort.
Tracing the route to 172.22.10.4
VRF info: (vrf in name/id, vrf out name/id)
 1 172.22.10.1 20 msec 20 msec 12 msec
 2 172.22.10.4 20 msec 20 msec 32 msec

Jak widać ruch między oddziałami typu SPOKE (172.22.10.2,172.22.10.3,172.22.10.4) odbywa się przez HUB (172.22.10.1). Wyjaśnienie działania DMVPN oraz więcej informacji na temat pozostałych faz DMVPN w następnych wpisach.

IPSec S2S VPN Palo Alto – Cisco

admin — Thu, 14 Dec 2017 20:08:07 +0000

W poniższym wpisie pokażę konfigurację tunelu IPSEC VPN pomiędzy firewallem Palo Alto a routerem CISCO. Konfigurację wykonam w labie GNS3, w którym wykorzystam następujące obrazy:

CISCO CSR1000v3.17 – obraz routera CISCO
PA-VM7.1.1.0-1 – obraz firewalla Palo Alto w wersji 7.1.1.0-1
gns3-webterm – kontener dockera do zarządzania firewallem

LAB

Topologia laba GNS3 wygląda nastepująco:

Adresacja

Cisco

Gi1 – 150.1.1.1/30

Tunnel1 – 10.0.0.1/24

Palo Alto

ethernet1/1 – 150.1.1.2/30

tunnel.1 – 10.0.0.2/24

Konfiguracja CISCO

INTERFACES

Router(config)#interface Gi1
Router(config-if)#ip address 150.1.1.1 255.255.255.252
Router(config)#interface Tunnel1
Router(config-if)#ip address 10.0.0.1 255.255.255.0
Router(config-if)#tunnel source 150.1.1.1
Router(config-if)#tunnel destination 150.1.1.2

ISAKMP POLICY

Router(config)#crypto isakmp policy 10
Router(config-isakmp)#hash sha256
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#group 14
Router(config-isakmp)#lifetime 86400
Router(config-isakmp)#encryption aes 256

KLUCZ SZYFRUJĄCY

Router(config)#crypto isakmp key 0 palo_to_cisco! address 150.1.1.2

IP TRANSFORM SET

Router(config)#crypto ipsec transform-set TSET esp-sha512-hmac esp-aes 256

IPSEC PROFILE

Router(config)#crypto ipsec profile IPSEC-PROFILE
Router(ipsec-profile)#set transform-set TSET
Router(ipsec-profile)#set pfs group14
Router(ipsec-profile)#set security-association lifetime seconds 3600

IPSEC TUNNEL

Router(config-if)#tunnel mode ipsec ipv4
Router(config-if)#tunnel protection ipsec profile IPSEC-PROFILE

Cała konfiguracja CISCO

crypto isakmp policy 10
 hash sha256
 authentication pre-share
 group 14
 lifetime 86400
 encryption aes 256
!
crypto isakmp key 0 palo_to_cisco! address 150.1.1.2
!
crypto ipsec transform-set TSET esp-sha512-hmac esp-aes 256
!
crypto ipsec profile IPSEC-PROFILE
 set transform-set TSET
 set pfs group14
 set security-association lifetime seconds 3600
!
interface Gi1
 ip address 150.1.1.1 255.255.255.252
!
interface Tunnel1
 ip address 10.0.0.1 255.255.255.0 
 tunnel source 150.1.1.1
 tunnel destination 150.1.1.2
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile IPSEC-PROFILE
!

Konfiguracja PALO ALTO

INTERFACE MANAGEMENT PROFILE

Network -> Network Profiles -> Interface Mgmt

INTERFACES

Network -> Interfaces -> ethernet1/1

Network -> Interfaces -> tunnel.1

IKE CRYPTO PROFILE

Network -> Network Profiles -> IKE Crypto

IKE GATEWAY

Network -> Network Profiles -> IKE Gateways

IPSEC CRYPTO

Network -> Network Profiles -> IPSec Crypto

IPSEC TUNNEL

Network -> IPSec Tunnels

COMMIT

Teraz wystarczy zrobić commit.

WERYFIKACJA

Sprawdźmy czy tunel się zestawił. Spróbujmy na routerze CISCO spingować adres tunelu na Palo Alto:

Router#ping 10.0.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/8/29 ms

Udało się, teraz sprawdźmy teraz jak wyglądają wyniki następujących komend:

show crypto isakmp sa (faza 1 – IKE SA)
show crypto ipsec sa -(faza 2 – IPSEC SA)

Router#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
150.1.1.2 150.1.1.1 QM_IDLE 1001 ACTIVE

Router#show crypto ipsec sa
interface: Tunnel1
 Crypto map tag: Tunnel1-head-0, local addr 150.1.1.1

protected vrf: (none)
 local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
 remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
 current_peer 150.1.1.2 port 500
 PERMIT, flags={origin_is_acl,}
 #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
 #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 0, #pkts compr. failed: 0
 #pkts not decompressed: 0, #pkts decompress failed: 0
 #send errors 0, #recv errors 0

local crypto endpt.: 150.1.1.1, remote crypto endpt.: 150.1.1.2
 plaintext mtu 1422, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet1
 current outbound spi: 0xA402847E(2751628414)
 PFS (Y/N): Y, DH group: group14

inbound esp sas:
 spi: 0x1AB4F9C2(448068034)
 transform: esp-256-aes esp-sha512-hmac ,
 in use settings ={Tunnel, }
 conn id: 2003, flow_id: CSR:3, sibling_flags FFFFFFFF80004048, crypto map: Tunnel1-head-0
 sa timing: remaining key lifetime (k/sec): (4607999/3143)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

inbound ah sas:

inbound pcp sas:

outbound esp sas:
 spi: 0xA402847E(2751628414)
 transform: esp-256-aes esp-sha512-hmac ,
 in use settings ={Tunnel, }
 conn id: 2004, flow_id: CSR:4, sibling_flags FFFFFFFF80004048, crypto map: Tunnel1-head-0
 sa timing: remaining key lifetime (k/sec): (4607999/3143)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

outbound ah sas:

outbound pcp sas:

Jak widać od strony CISCO wszystko działa, sprawdźmy teraz jak wygląda tunel IPSEC od strony firewalla Palo Alto.

Najpierw spingujmy adres tunelu na CISCO:

admin@PA-VM> ping source 10.0.0.2 host 10.0.0.1
PING 10.0.0.1 (10.0.0.1) from 10.0.0.2 : 56(84) bytes of data.
64 bytes from 10.0.0.1: icmp_seq=1 ttl=255 time=1.91 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=255 time=1.81 ms
64 bytes from 10.0.0.1: icmp_seq=3 ttl=255 time=2.16 ms
64 bytes from 10.0.0.1: icmp_seq=4 ttl=255 time=2.50 ms

Teraz sprawdźmy status intefejsu. Robimy to w interfejsie webowym w zakładce Network -> IPSec Tunnels

Jeśli w polach Status widnieją zielone kropki to znaczy, że tunel zestawił się poprawnie.

PODSUMOWANIE

Tunel IPSEC między urządzeniami CISCO i PALO ALTO jest bardzo łatwy w konfiguracji i mam nadzieję, że po przeczytaniu powyższego wpisu nie powinien sprawić nikomu kłopotu.

Ubuntu aktualizacja jądra – na szybko

admin — Wed, 13 Dec 2017 21:35:33 +0000

Przed przystąpieniem do aktualizacji jądra sprawdźmy jaką wersję jądra posiadamy, służy do tego komenda uname -a:

kuba@Ubuntu-1:~$ uname -a
Linux Ubuntu-1 4.4.0-104-generic #127-Ubuntu SMP Mon Dec 11 12:16:42 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

Wersja jądra to 4.4.0-104-generic

W celu aktualizacji jądra w systemie Ubuntu wchodzimy na stronę: http://kernel.ubuntu.com/~kernel-ppa/mainline/

wybieramy wersję jądra (ja wybrałem wersję v4.10). Po kliknięciu w odpowiednią wersję zostaniemy przekierowani na stronę:

http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.10/

gdzie mamy pliki dla odpowiednich platform sprzętowych. Ja posiadam procesor z architekturą 64 bitową, więc szukam plików dla tej architektury:

Build for amd64 succeeded (see BUILD.LOG.amd64):
  linux-headers-4.10.0-041000_4.10.0-041000.201702191831_all.deb
  linux-headers-4.10.0-041000-generic_4.10.0-041000.201702191831_amd64.deb
  linux-headers-4.10.0-041000-lowlatency_4.10.0-041000.201702191831_amd64.deb
  linux-image-4.10.0-041000-generic_4.10.0-041000.201702191831_amd64.deb
  linux-image-4.10.0-041000-lowlatency_4.10.0-041000.201702191831_amd64.deb

Nas interesują tylko poniższe trzy pliki:

linux-image-4.10.0-041000-generic_4.10.0-041000.201702191831_amd64.deb

linux-headers-4.10.0-041000_4.10.0-041000.201702191831_all.deb

linux-image-4.10.0-041000-generic_4.10.0-041000.201702191831_amd64.deb

Powyższe pliki ściągamy na nasz komputer korzystając z komendy wget:

wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.10/linux-headers-4.10.0-041000_4.10.0-041000.201702191831_all.deb
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.10/linux-headers-4.10.0-041000-generic_4.10.0-041000.201702191831_amd64.deb
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.10/linux-image-4.10.0-041000-generic_4.10.0-041000.201702191831_amd64.deb

Jak mamy wszystkie 3 pliki ściągnięte:

kuba@Ubuntu-1:~$ ls
linux-headers-4.10.0-041000-generic_4.10.0-041000.201702191831_amd64.deb
linux-headers-4.10.0-041000_4.10.0-041000.201702191831_all.deb
linux-image-4.10.0-041000-generic_4.10.0-041000.201702191831_amd64.deb

to przechodzimy do ich instalacji. W tym celu wykonujemy poniższą komendę:

kuba@Ubuntu-1:~$ sudo dpkg-i *.deb

Jeśli wszystko przebiegło poprawnie i nie dostaliśmy żadnego błędu, możemy zrestartować urządzenie. Po restarcie system powinien wystartować z nowym zaktualizowanym jądrem.

root@Ubuntu-1:~# reboot

Po restarcie sprawdźmy wersję jądra:

kuba@Ubuntu-1:~$ uname -a
Linux Ubuntu-1 4.10.0-041000-generic #201702191831 SMP Sun Feb 19 23:33:19 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

Widzimy, że aktualizacja przebiegła poprawnie i system korzysta z jądra w wersji 4.10.0-041000-generic.

AUTOMATYZACJA

Skrypt to automatycznej aktualizacji jądra dla systemów Ubuntu i Debian można znaleźć pod poniższym linkiem:

https://gist.github.com/kubsoo/36b16278ece326dacc487bc68140a4be

Jest to skrypt Python, który działa następująco:

sprawdza architekturę systemu i obecnie zainstalowaną wersje systemu
sprawdza na stronie: http://kernel.ubuntu.com/~kernel-ppa/mainline jaka jest najnowsza wersja systemu
porównuje tą wersję z zainstalowaną wersją i jeśli się różnią to ściąga odpowiednie pliki dla najnowszej wersji
instaluje najnowszą wersję systemu
restartuje system

Wynik działania skryptu wygląda następująco:

root@ubuntu-2:/home/kuba# ./update_kernel.py
System Architecture is amd64
Kernel version is 4.13.0-21-generic
Found new kernel version 4.15.0-041500rc6
Proceed with download Y/n: Y
--2018-01-07 21:21:15-- http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.15-rc6/linux-headers-4.15.0-041500rc6_4.15.0-041500rc6.201712312330_all.deb
Translacja kernel.ubuntu.com (kernel.ubuntu.com)... 91.189.94.216
Łączenie się z kernel.ubuntu.com (kernel.ubuntu.com)|91.189.94.216|:80... połączono.
Żądanie HTTP wysłano, oczekiwanie na odpowiedź... 200 OK
Długość: 10864312 (10M) [application/x-debian-package]
Zapis do: `linux-headers-4.15.0-041500rc6_4.15.0-041500rc6.201712312330_all.deb.1'

linux-headers-4.15. 100%[===================>] 10,36M 5,85MB/s w 1,8s

2018-01-07 21:21:17 (5,85 MB/s) - zapisano `linux-headers-4.15.0-041500rc6_4.15.0-041500rc6.201712312330_all.deb.1' [10864312/10864312]

--2018-01-07 21:21:17-- http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.15-rc6/linux-headers-4.15.0-041500rc6-generic_4.15.0-041500rc6.201712312330_amd64.deb
Translacja kernel.ubuntu.com (kernel.ubuntu.com)... 91.189.94.216
Łączenie się z kernel.ubuntu.com (kernel.ubuntu.com)|91.189.94.216|:80... połączono.
Żądanie HTTP wysłano, oczekiwanie na odpowiedź... 200 OK
Długość: 1049628 (1,0M) [application/x-debian-package]
Zapis do: `linux-headers-4.15.0-041500rc6-generic_4.15.0-041500rc6.201712312330_amd64.deb.1'

linux-headers-4.15. 100%[===================>] 1,00M 2,64MB/s w 0,4s

2018-01-07 21:21:18 (2,64 MB/s) - zapisano `linux-headers-4.15.0-041500rc6-generic_4.15.0-041500rc6.201712312330_amd64.deb.1' [1049628/1049628]

--2018-01-07 21:21:18-- http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.15-rc6/linux-image-4.15.0-041500rc6-generic_4.15.0-041500rc6.201712312330_amd64.deb
Translacja kernel.ubuntu.com (kernel.ubuntu.com)... 91.189.94.216
Łączenie się z kernel.ubuntu.com (kernel.ubuntu.com)|91.189.94.216|:80... połączono.
Żądanie HTTP wysłano, oczekiwanie na odpowiedź... 200 OK
Długość: 52230452 (50M) [application/x-debian-package]
Zapis do: `linux-image-4.15.0-041500rc6-generic_4.15.0-041500rc6.201712312330_amd64.deb.1'

linux-image-4.15.0- 100%[===================>] 49,81M 6,34MB/s w 7,9s

2018-01-07 21:21:26 (6,27 MB/s) - zapisano `linux-image-4.15.0-041500rc6-generic_4.15.0-041500rc6.201712312330_amd64.deb.1' [52230452/52230452]

Kernel packages downloaded successfully!!!

Proceed with install Y/n: Y
Wybieranie wcześniej niewybranego pakietu linux-headers-4.15.0-041500rc6-generic.
(Odczytywanie bazy danych ... 69135 plików i katalogów obecnie zainstalowanych.)
Przygotowywanie do rozpakowania pakietu linux-headers-4.15.0-041500rc6-generic_4.15.0-041500rc6.201712312330_amd64.deb ...
Rozpakowywanie pakietu linux-headers-4.15.0-041500rc6-generic (4.15.0-041500rc6.201712312330) ...
Wybieranie wcześniej niewybranego pakietu linux-headers-4.15.0-041500rc6.
Przygotowywanie do rozpakowania pakietu linux-headers-4.15.0-041500rc6_4.15.0-041500rc6.201712312330_all.deb ...
Rozpakowywanie pakietu linux-headers-4.15.0-041500rc6 (4.15.0-041500rc6.201712312330) ...
Wybieranie wcześniej niewybranego pakietu linux-image-4.15.0-041500rc6-generic.
Przygotowywanie do rozpakowania pakietu linux-image-4.15.0-041500rc6-generic_4.15.0-041500rc6.201712312330_amd64.deb ...
Done.
Rozpakowywanie pakietu linux-image-4.15.0-041500rc6-generic (4.15.0-041500rc6.201712312330) ...
Konfigurowanie pakietu linux-headers-4.15.0-041500rc6 (4.15.0-041500rc6.201712312330) ...
Konfigurowanie pakietu linux-image-4.15.0-041500rc6-generic (4.15.0-041500rc6.201712312330) ...
Running depmod.
update-initramfs: deferring update (hook will be called later)
Examining /etc/kernel/postinst.d.
run-parts: executing /etc/kernel/postinst.d/apt-auto-removal 4.15.0-041500rc6-generic /boot/vmlinuz-4.15.0-041500rc6-generic
run-parts: executing /etc/kernel/postinst.d/initramfs-tools 4.15.0-041500rc6-generic /boot/vmlinuz-4.15.0-041500rc6-generic
update-initramfs: Generating /boot/initrd.img-4.15.0-041500rc6-generic
run-parts: executing /etc/kernel/postinst.d/zz-update-grub 4.15.0-041500rc6-generic /boot/vmlinuz-4.15.0-041500rc6-generic
Generowanie pliku konfiguracyjnego GRUB-a...
Uwaga: Ustawienie GRUB_TIMEOUT na wartość niezerową przy ustawionym GRUB_HIDDEN_TIMEOUT nie jest już obsługiwane.
Znaleziono obraz Linuksa: /boot/vmlinuz-4.15.0-041500rc6-generic
Znaleziono obraz initrd: /boot/initrd.img-4.15.0-041500rc6-generic
Znaleziono obraz Linuksa: /boot/vmlinuz-4.13.0-21-generic
Znaleziono obraz initrd: /boot/initrd.img-4.13.0-21-generic
gotowe
Konfigurowanie pakietu linux-headers-4.15.0-041500rc6-generic (4.15.0-041500rc6.201712312330) ...
Installation successfull

Proceed with reboot Y/n: Y

BGP – konfiguracja CISCO

admin — Wed, 06 Dec 2017 21:02:51 +0000

We wpisie BGP – podstawy opisałem zasadę działania protokołu BGP. Teraz zobaczmy to na przykładzie prostej topologii i skonfigurujmy BGP na routerach CISCO.

TOPOLOGIA

KONFIGURACJA

Wstępna konfiguracja adresów IP:

hostname R1
!
interface Loopback0
 ip address 1.1.1.1 255.255.255.255
!
interface FastEthernet0/0
 ip address 192.168.12.1 255.255.255.0
 duplex full
!
interface FastEthernet1/0
 ip address 192.168.13.1 255.255.255.0
 duplex full
!

hostname R2
!
interface FastEthernet0/0
 ip address 192.168.12.2 255.255.255.0
 duplex full
!
interface FastEthernet1/0
 ip address 192.168.23.2 255.255.255.0
 duplex full
!

hostname R3
!
interface FastEthernet0/0
 ip address 192.168.23.3 255.255.255.0
 duplex full
!
interface FastEthernet1/0
 ip address 192.168.13.3 255.255.255.0
 duplex full
!

Teraz przystąpmy do konfiguracji BGP. W tym celu na routerze wydajemy w trybie konfiguracji komendę: router bgp ASN, gdzie ASN to numer AS.

 R1(config)#router bgp 65200

A następnie w konfiguracji bgp wpisujemy adresy sąsiadów i numery AS w których się znajdują: neighbor IP_sąsiada remote-as ASN_sąsiada.

R1(config-router)#neighbor 192.168.12.2 remote-as 65100

Konfiguracja sąsiadów BGP na każdym routerze wygląda następująco:

R1(config)#router bgp 65200
R1(config-router)#neighbor 192.168.12.2 remote-as 65100
R1(config-router)#neighbor 192.168.13.3 remote-as 65200

R2(config)#router bgp 65100
R2(config-router)#neighbor 192.168.12.1 remote-as 65200
R2(config-router)#neighbor 192.168.23.3 remote-as 65200

R3(config)#router bgp 65200
R3(config-router)#neighbor 192.168.13.1 remote-as 65200
R3(config-router)#neighbor 192.168.23.2 remote-as 65100

Po wydaniu powyższych komend powinny nam się utworzyć relacje sąsiedztwa BGP pomiędzy routerami. Sprawdźmy to komendą: show ip bgp summary

R1#show ip bgp sum
BGP router identifier 192.168.13.1, local AS number 65200
BGP table version is 1, main routing table version 1

Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
192.168.12.2 4 65100 2 2 1 0 0 00:00:26 0
192.168.13.3 4 65200 3 3 1 0 0 00:00:59 0

R2#show ip bgp summary
BGP router identifier 192.168.23.2, local AS number 65100
BGP table version is 1, main routing table version 1

Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
192.168.12.1 4 65200 2 2 1 0 0 00:00:30 0
192.168.23.3 4 65200 2 2 1 0 0 00:00:10 0

R3#show ip bgp summary
BGP router identifier 192.168.23.3, local AS number 65200
BGP table version is 1, main routing table version 1

Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
192.168.13.1 4 65200 4 4 1 0 0 00:01:57 0
192.168.23.2 4 65100 4 4 1 0 0 00:01:03 0

Jak widać relacje sąsiedzta się nawiązały, jednak żadnymi trasami się nie wymieniły (State/PrxRcd). Rozgłośmy więc na R1 trasę do interfejsu loopback:

R1(config)#int loopback 0
R1(config-if)#ip address 1.1.1.1 255.255.255.255

R1(config)#router bgp 65200
R1(config-router)#network 1.1.1.1 mask 255.255.255.255

Po kilkunastu sekundach powinniśmy na routerach R2 i R3 zobaczyć trasy do sieci 1.1.1.1. Możemy to sprawdzić komendą: show ip bgp

R1#show ip bgp
BGP table version is 2, local router ID is 192.168.13.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
  r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
  x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

    Network    Next Hop  Metric LocPrf Weight Path
 *> 1.1.1.1/32 0.0.0.0 0               32768  i

R2#show ip bgp
BGP table version is 2, local router ID is 192.168.23.2
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
  r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
  x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

Network Next Hop Metric LocPrf Weight Path
* 1.1.1.1/32 192.168.23.3 0 65200 i
*> 192.168.12.1 0 0 65200 i

R3#show ip bgp
BGP table version is 2, local router ID is 192.168.23.3
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
  r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
  x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

Network Next Hop Metric LocPrf Weight Path
*>i 1.1.1.1/32 192.168.13.1 0 100 0 i

Jak widać na wynikach powyższych komend, trasa do sieci 1.1.1.1 została poprawnie rozgłoszona. Możemy również odczytać atrybuty z jakie posiada ta trasa na każdym routerze.

Na R1 trasa do sieci 1.1.1.1/32 ma następujące atrybuty:

    Network    Next Hop   Metric LocPrf Weight Path
 *> 1.1.1.1/32 0.0.0.0         0         32768 i

Next Hop = 0.0.0.0 – ponieważ trasa jest bezpośrednio połączona z routerem R1 (interfejs Loopback0)

AS Path = i – czyli trasa jest w tym samym AS co router (internal)

Metric (MED) – 0 – domyślna metryka

Weight = 32768 (bo jest to trasa lokalna)

Atrybuty dla tej samej sieci na R2 wyglądają następująco:

    Network     Next Hop      Metric LocPrf Weight  Path
 *  1.1.1.1/32  192.168.23.3                     0  65200 i
 *>             192.168.12.1       0             0  65200 i

Jak widać są dwie trasy do sieci 1.1.1.1, jedna z nich jest trasą preferowaną wybraną na podstawie porównywania atrybutów w odpowiedniej kolejności. Sprawdźmy więc która trasa będzie trasą preferowaną. Dla przypomnienia kolejności porównywania atrybutów znajduje się pod tym linkiem.

Wyświetlić więcej atrybutów możemy poleceniem show ip bgp ip_sieci:

R2#show ip bgp 1.1.1.1
BGP routing table entry for 1.1.1.1/32, version 2
Paths: (2 available, best #2, table default)
 Advertised to update-groups:
 1
 Refresh Epoch 1
 65200
 192.168.23.3 from 192.168.23.3 (192.168.23.3)
 Origin IGP, localpref 100, valid, external
 rx pathid: 0, tx pathid: 0
 Refresh Epoch 1
 65200
 192.168.12.1 from 192.168.12.1 (192.168.13.1)
 Origin IGP, metric 0, localpref 100, valid, external, best
 rx pathid: 0, tx pathid: 0x0

Sprawdźmy teraz po kolei wybór najlepszej trasy:

1. Weight – dla obu tras jest taka sama wartość 0.

2. Local Preference – nie ma wartości

3. Self-originated – wiemy, że trasy są rozgłaszane przez sąsiadów więc nie są self-originated

4. AS Path – obie trasy mają taki sam atrybut. 65200 i

5. Origin – IGP

6. Metric (MED) – dla obu tras jest taka sama wartość 0

7. External – obie trasy są eBGP

8. IGP Cost – jest taki sam bo są to trasy statyczne

9. EBGP Peering – preferowana jest starsza ścieżka, w naszym przypadku starszą ścieżką jest ścieżka przez R1, ponieważ ta relacja sąsiedztwa została nawiązana wcześniej.

Pokrywa się to z wynikiem komendy show ip bgp na R2:

    Network     Next Hop      Metric LocPrf Weight  Path
 *  1.1.1.1/32  192.168.23.3                     0  65200 i
 *>             192.168.12.1       0             0  65200 i

Najlepsza trasa jest zaznaczona znakiem > i jak widać kieruje na next-hop R1.

PODSUMOWANIE

Podstawowa konfiguracja BGP na routerach CISCO jest dosyć prosta, w następnych wpisać postaram się pokazać bardziej zaawansowanej konfiguracji BGP, oraz metody sterowania ruchem w BGP.1

BGP – podstawy

admin — Tue, 05 Dec 2017 20:42:59 +0000

WSTĘP

BGP (Border Gateway Protocol) to zewnętrzny protokół routingu, na którym opiera się działanie współczesnego internetu. W BGP informacje na temat routingu są przesyłane pomiędzy dostawcami internetu (ISP) tworzących przy jego pomocy publiczny internet. BGP jest protokołem wektora ścieżki (Path Vector). BGP utrzymuje oddzielne tablice routingu bazując na najkrótszej długości ścieżki (AS Path) i innych licznych atrybutach w przeciwieństwie do innych protokołów routingu, które bazują na metryce: dystans (w RIP) lub koszt w (OSPF). Obecnie wykorzystywany jest BGP w wersji 4.

Podstawą funkcjonowania BGP są tzw. systemy autonomiczne (Autonomous System), które są połączone ze sobą i tworzą internet jaki znamy. Każdy AS ma przypisany numer (Autonomous System Number), którego przydzielaniem zajmuje się organizacja IANA. IANA przydziela numery ASN dla tzw. RIR (Regional Internet Registry), a następnie RIR przydziela numery ASN dla operatorów internetowych. Obecnie mamy następujących RIRów:

AFRINIC	Africa Region
APNIC	Asia/Pacific Region
ARIN	Canada, USA, and some Caribbean Islands
LACNIC	Latin America and some Caribbean Islands
RIPE NCC	Europe, the Middle East, and Central Asia

Numer ASN można uzyskać kontaktując się z jednym z RIR odpowiednim dla danej lokalizacji. Nie będę opisywał jak to zrobić, zainteresowanych odsyłam do strony w języku angielskim ripe.net lub do wpisów na stronie w języku polskim lipowski.org. Bardzo dobrze jest tam wszystko opisane, autor ponadto oferuje pomoc przy wdrożeniu BGP więc jak najbardziej zachęcam do odwiedzenia jego strony.

Są dwa rodzaje numerów ASN (16-bitowe i 32-bitowe). 32 bitowe numery ASN zostały wprowadzone przez IANA jako odpowiedź na wyczerpujące się 16 bitowy numery ASN. Nowe numery 32 bitowe są kompatybilne wstecznie. 16-bitowe ASN przyjmują wartość od 1 do 65535. Numery ASN od 64512 do 65535 są numerami prywatnymi, zarezerwowanymi dla użytku wewnętrzengo na potrzeby iBGP (internal BGP).

Jak działa BGP ?

BGP działa na protokole transportowym TCP na porcie 179 zestawiając ze sąsiadami sesje BGP.

Są dwa typy relacji sąsiedztwa między routerami BGP:

iBGP – między sąsiadami w tym samym AS
eBGP – między sąsiadami w różnych AS

BGP wykorzystuje 4 rodzaje wiadomości:

Open Message

Wiadomość OPEN jest wysyłana po nawiązaniu połączenia TCP i służy otwarciu sesji sąsiedztwa pomiędzy routerami.

Update Message

Wiadomość UPDATE jest wykorzystywana do wysyłania aktualizacji o trasach do sąsiadów.

Keepalive Message

Wiadomość KEEPALIVE jest przesyłana w celu podtrzymania sesji. Jak router nie otrzyma wiadomości keepalive od sąsiada w czasie (HOLD TIME – domyślnie 180 sekund) uznaje go za niedostępnego , zamykana jest sesja BGP i usuwane są wszystkie trasy otrzymane od niego z tablicy routingu.

Notification Message

Wiadomość NOTIFICATION jest wysyłana w sytuacji jeśli połączenie napotka jakieś błędy. Kiedy wykryty jest błąd sesje BGP jest zamykana.

Zestawienie sesji BGP

Routery biorące udział w BGP mogą być w następujących stanach:

1. IDLE

Jest to pierwszy stan, w którym BGP czeka na „start event” (zdarzenie poczatkowe). Zdarzenie poczatkowe występuje gdy ktoś skonfiguruje nowego sąsiada BGP lub gdy zostanie zresetowana istniejąca sesja BGP. Po zdarzeniu początkowym router inicjuje połączenie TCP do zdalnego sąsiada BGP oraz dodatkowo nasłuchuje na połączenia od zdalnego sąsiada na wypadek jeśli to sąsiad będzie chciał zainicjować połączenie. Jak połączenie zostanie poprawnie nawiązane BGP przechodzi do stanu Connect, w przypadku niepowodzenia pozostaje w stanie Idle.

2. CONNECT

BGP czeka na ukończenia połączenia TCP (three-way handshake). Kiedy się powiedzie router przechodzi w stan OpenState, jeśli się nie powiedzie router przechodzi w stan Active.

3. ACTIVE

W tym trybie BGP próbuje ponownie dokończyć TCP three-way handshake. Jeśli się powiedzie to router przechodzi w stan OpenState, jeśli się nie powiedzie to router wraca do stanu Connect. Router ponadto nasłuchuje cały czas na przychodzące połączenia na wypadek, gdyby zdalny sąsiad BGP próbował ustanowić połączenie.

4. OPENSENT

BGP nawiązał połączenie TCP i wysłał wiadomość Open Message W tym stanie router nasłuchuje na wiadomość Open Message od zdalnego sąsiada BGP. Otrzymana wiadomość Open Message jest sprawdzana pod kątem błędów (niepoprawna wersja, błędny numer AS itp.) w przypadku błędu router wyśle wiadomość Notification do sąsiada BGP i wróci do stanu Idle. Jeśli wszystko jest w porzadku, BGP rozpoczyna wysyłanie wiadomości keepalive. Jeśli z jakiegoś powodu sesja TCP zostanie zerwana BGP wróci do stanu Active. Kiedy wystąpi błąd, BGP wyśle kod błędu i wróci do stanu Idle, tak samo się stanie w przypadku zresetowania procesu BGP.

5. OPENCONFIRM

BGP czeka na wiadomości keepalive od zdalnego sąsiada BGP, Router kiedy otrzyma wiadomość keepalive przechodzi w stan Established i relacja sąsiedztwa zostaje nawiązana. Jeśli zostanie otrzymana wiadomość notification od sąsiada, to router wraca do stanu Idle.

6. ESTABLISHED

W tym stanie relacja sąsiedztwa pomiędzy sąsiadami BGP zostaje nawiązana, a routery wysyłają wiadomości Update w celu wymiany informacji o trasach. Jeśli zostanie w tym stanie otrzymana wiadomość Notification, to router wróci do stanu Idle.

Atrybuty ścieżki BGP

Jak już wspomniałem na wstępie BGP wykorzystuje atrybuty do wyboru najlepszej trasy. W BGP dostępne sę następujące rodzaje atrybutów:

standardowe (well-known) – muszą być rozumiane przez wszystkie implementacje BGP,
niestandardowe – mogą nie być wspierane przez wszystkie implementacje BGP,
obowiązkowe – muszą występować w opisie trasy
opcjonalne – nie muszą występować w opisie trasy, wszystkie atrybuty niestandardowe są opcjonalne
przenośne (transitive) – są przesyłane do innych AS
nieprzenośne (non-transitive) – nie są przesyłane do innych AS

Najważniejsze atrybuty BGP to:

Nazwa atrybutu i kod	Kategoria atrybutu	Opis
1 Origin	standardowy i obowiązkowy	Atrybut określa źródło ścieżki (pochodzenie). Może przyjmować następujące wartości: IGP – trasa pochodząca z wewnętrz danego systemu autonomicznego EGP – trasa otrzymana z EGP (External Gateway Protocol) incomplete – trasa redystrybuowana
2 AS Path	standardowy i obowiązkowy	Atrybut opisujący sytemy autonomiczne, które są ścieżką do docelowej sieci.
3 Next Hop	standardowy i obowiązkowy	Atrybut wskazuje na adres IP następnego skoku (IP next hop) do docelowej sieci. Jest to adres IP sąsiada zdalnego BGP, przez którego dana trasa jest osiągalna.
4 Multiple Exit Discriminator (MED)	niestandardowy i nieprzenośny	Atrybut wskazujący metrykę dla zdalnych sąsiadów. Metryka wskazuje jaką ścieżkę dany sąsiad ma użyć dla dotarcia do lokalnego AS. Przy wyborze preferowana jest niższa metryka (domyślnie MED ma wartość 0)
5 Local Preference	standardowy i opcjonalny	Atrybut wskazujący metrykę dla ruchu wychodzącego z lokalnego routera do sąsiadów zdalnych do zewnętrznych sieci (domyślnie Local Preference ma wartość 100). Wyższa wartość Local Preference jest preferowana przy wyborze trasy.
6 Atomic Aggregate	standardowy i opcjonalny	Atrybut informujący o tym, że dokonana została agregacja tras. Zawiera ASy, które zostały porzucone w ramach agregacji.
7 Aggregator	niestandardowy i przenośny	Atrybut zawierający identyfikator routera odpowiedzialnego za agregację.
8 Community	niestandardowy i przenośny	Atrybut pozwalający na znakowanie tras i użycie grup tras o takich samych cechach charakterystycznych.
9 Originator ID	opcjonalny i nieprzenośny	Atrybut identyfikujący router, od którego pochodzi dana trasa. Atrybut jest ustawiany przez router reflector i eliminuje szansę pojawienia się pętli.
10 Cluster List	opcjonalny i nieprzenośny	Lista używana w środowisku route reflectorów. Używana do zapobiegania pętli.
— Weight	własność CISCO	Atrybut podobny do Local Preference, dostarcza wagę do wyznaczenia najlepszej trasy dla ruchu wychodzącego na urządzeniach CISCO

Wybór najlepszej ścieżki w BGP

W internecie istnieje wiele redundantnych połączeń do sieci docelowej. Gdy BGP ma do wyboru kilka ścieżek do trasy docelowej musi wybrać najlepszą ścieżkę. Najlepsza ścieżka w BGP jest wybierana na podstawie atrybutów. Atrybuty są sprawdzane zgodnie z poniżej podaną kolejnością w przypadku gdy atrybuty są takie same dla redundantnych ścieżek porównywany jest kolejny atrybut z listy, aż do znalezienia różnicy w atrybutach.

Atrybuty są porównywane w następującej kolejności:

Atrybut	Opis
1 Weight	Preferuj najwyższą wagę (dla routerów CISCO)
2 Local Preference	Preferuj najwyższy Local Preference
3 Self-originated	Preferuj trasy ogłoszone lokalnie przez komendę network lub redistribute
4 AS Path	Preferuj ścieżkę z krótszym AS_PATH (mniejsza ilość AS)
5 Origin	Preferuj trasy pochodzące z IGP nad trasami EGP, a EGP nad trasami unknown
6 MED	Preferuj niższą wartość MED
7 External	Preferuj trasy z eBGP nad trasami z iBGP
8 IGP Cost	Preferuj ścieżkę, gdzie koszt IGP do next-hopa BGP jest niższy
9 EBGP Peering	Preferuj starszą ścieżkę
10 Router ID	Preferuj ścieżkę, która ma niższy router-id

PODSUMOWANIE

BGP w wersji 4 jest podstawą funkcjonowania obecnego internetu. BGP jest opisane w RFC 4271. Dystans administracyjny w eBGP wynosi 20, w iBGP 200. BGP do komunikacji wykorzystuje transmisję IP na porcie TCP/179. Wybór najlepszej trasy w protokole BGP odbywa się na podstawie porównywania atrybutów. BGP jest protokołem o długim czasie zbieżności (pobranie pełnej tabicy routingu Internetu może potrwać wiele godzin, tak samo jak propagacja nowego wpisu w całej sieci.