Administração de Sistemas Informáticos (ASIST) – 2009/2010 Aula Prática Laboratorial 2
- Encaminhamento dinâmico (EIGRP e OSPF) - Redistribuição de rotas - Filtragem (ACLs)
Os protocolos de encaminhamento têm como objectivo a construção e manutenção automática das tabelas de encaminhamento. Os protocolos de encaminhamento conseguem o seu objectivo através das trocas de informação entre os encaminhadores. Depois de se estudar e configurar o protocolo RIP, em Redes de Computadores, seguemse agora alguns protocolos mais sofisticados: EIGRP e OSPF Sistemas autónomos (AS) Com o objectivo de simplificar a administração, a gestão automática das tabelas de encaminhamento é dividida em zonas ou áreas designadas de Sistemas Autónomos (Autonomous System - AS). Os protocolos de encaminhamento ficam confinados a essa zona da rede, não se propagando para fora dela. Se a propagação dos protocolos de encaminhamento não fosse confinada a determinadas zonas, todos os encaminhadores da Internet estariam inundados com milhões de entradas nas respectivas tabelas de encaminhamento. A divisão em zonas pode ser realizada pelos encaminhadores, impedindo que certo protocolo seja usado numa interface, ou se o protocolo o suportar, incluir uma identificação da zona para que encaminhadores de outras zonas ignorem essa informação.
Alguns comandos EIGRP (CISCO IOS) Activação do processo com número de AS indicado, note-se que este processo do protocolo EIGRP apenas comunica com outros processos do mesmo AS. (config) route eigrp {número do AS } Para que o protocolo se aplique a uma dada interface/rede é necessário indicar explicitamente: (config-router) network {endereço-rede} [wildcard-mask] , sem esta operação as interfaces não recebem sem emitem informações do protocolo de encaminhamento.
Administração de Sistemas Informáticos (ASIST) – 2009/2010 – PL2
1/5
Alguns comandos OSPF (CISCO IOS) Activação do processo com número indicado, este número de processo apenas tem significado no interior do encaminhador. (config) route ospf {Process ID} Para que o protocolo se aplique a uma dada interface/rede é necessário indicar explicitamente: (config-router) network {endereço-rede} [wildcard-mask] area {número-de-área} Em OSPF cada sistema autónomo é ele próprio subdividido em áreas independentes sob o ponto de vista de encaminhamento a informação de encaminhamento relativa a uma dada área é ignorada pelas outras áreas.
Observe o seguinte conjunto de encaminhadores, interligados por redes do tipo Ethernet:
1. Reproduza no “Packet Tracer” (versão 5.2) a configuração apresentada na figura, atribuindo endereços IPv4 a todas as interfaces usadas nos encaminhadores.
2. Configurar os dispositivos do lado esquerdo do “RouterAB” com sendo um sistema autónomo EIGRP com número AS igual a 200. Configurar os dispositivos do lado direito do “RouterAB” com sendo uma área do OSPF, com identificador de área igual a zero. O encaminhador “RouterAB” faz parte do AS do EIGRP e da área do OSPF.
3. Verifique as comunicações entre todos os dispositivos do AS EIGRP e da área OSPF. Observe as tabelas de encaminhamento.
Administração de Sistemas Informáticos (ASIST) – 2009/2010 – PL2
2/5
Redistribuição de rotas Sob o ponto de vista de facilidade de administração, tráfego e eficiência geral é conveniente isolar os protocolos de encaminhamento em zonas bem definidas, mas para garantir o encaminhamento correcto entre dispositivos pertencentes a zonas diferentes, é necessário permitir a propagação controlada de informação de encaminhamento. O comando redistribute (contexto de configuração de routing) permite definir os protocolos que devem ser propagados para o protocolo do contexto corrente. Na sua forma mais simples (config-router) redistribute {protocolo} Onde {protocolo} identifica um protocolo de encaminhamento (ex.: ospf, rip ou eigrp) a ser redistribuído no contexto do actual protocolo. Normalmente o comando “redistribute” necessita de parâmetros complementares que depende de que protocolo está a ser redistribuído em que protocolo. Estes parâmetros devem ser estudados caso a caso. Além desta utilização directa o comando “redistribute” permite operações mais complexas, efectuando alterações diversas nas rotas no momento da transferência de um sistema para o outro. Pode ainda ser usado em conjunto com o comando “route-map” que permite a definição ainda mais apurada de critérios de aplicação e alterações a realizar no processo de redistribuição.
4. Configurar o encaminhador “RouterAB” para redistribuir as rotas entre o AS EIGRP e a área OSPF. (Nota 1) – A redistribuição de sub-redes EIGRP em OSPF exige o parâmetro “subnets”, sem este parâmetro apenas serão redistribuídas as rotas “classfull”. (Nota 2) – A redistribuição de rotas OSPF em EIGRP só funciona se fizer a definição da métrica (parâmetro “metric”).
Filtragem de pacotes (CISCO IOS) A filtragem de pacotes tem como objectivo controlar segundo determinados critérios que informação deve ou não ser autorizada a passar pelo encaminhador. As regras que definem estes critérios são designadas ACL (“Access Control List”). - Cada ACL é identificada por um número - Cada ACL é constituída por uma sequência de regras (uma por linha). - É possível acrescentar regras, mas não é possível inserir, eliminar ou alterar. - Também é possível eliminar completamente toda a ACL. Acrescentar uma linha/regra à ACL número NN: Eliminar a ACL número NN:
Administração de Sistemas Informáticos (ASIST) – 2009/2010 – PL2
(config) access-list NN … (config) no access-list NN …
3/5
ACL Standard – As ACL Standard usam números de ACL com valores de 1 a 99 Caracterizam-se por definirem regras apenas em função do endereço de origem: (config) access-list {1..99} permit|deny {endereço-ip} {wildcard} O conjunto “{endereço-ip} {wildcard}” identifica os endereços IP permitidos (permit) ou não permitidos (deny) conforme a opção usada. Tanto o “{endereço-ip}” como o “{wildcard}” são representações decimais de conjuntos de 32 bits, na clássica notação de grupos de 8 bits separados por um ponto. O “{endereço-ip}” representa o endereço ao qual queremos aplicar a regra e o “{wildcard}” contém todos os bits cujo valor pode variar. Ex: - “193.136.62.1 0.0.0.255” representa qualquer endereço da rede 193.136.62.0/24 - “193.136.62.1 0.0.0.0” representa apenas o endereço 193.136.62.1 Existem algumas formas abreviadas: - “0.0.0.0 255.255.255.255” é equivalente a “any” - “host {endereço}” é equivalente a “{endereço} 255.255.255.255”
Aplicação de uma ACL a uma interface As ACL só têm efeito quando são aplicadas a uma interface do encaminhador, essa aplicação pode ser realizada no sentido de entrada de dados (in) ou saída de dados (out). O comando “ip access-group” aplicado no contexto de uma interface permite associar a essa interface uma dada ACL: (config-if) ip access-group {NN} {in|out} Onde NN representa o número de identificação da ACL a aplicar a esta interface. De referir que enquanto uma interface não tem nenhuma ACL associada, deixa passar todo o tráfego, mas a partir do momento que se lhe associa uma ACL passa a bloquear tudo o que não obedeça a nenhuma regra da ACL.
5. Criar uma ACL standard no encaminhador “RouterA1” para impedir a passagem de tráfego com origem na rede “192.168.20.32/27”. Testar.
Administração de Sistemas Informáticos (ASIST) – 2009/2010 – PL2
4/5
ACL Extended – As ACL Extended usam números de ACL com valores de 100 a 199 Além do endereço de origem, permitem também a definição de regras em função do endereço de destino, protocolo e número de porto (serviço). (config) access-list {100..199} permit|deny {protocolo} {ip-origem} {wildcard} {ipdestino} {wildcard} [comparação porto] O identificador de protocolo pode assumir diversos valores, por exemplo “ip”, “icmp”, “tcp” ou “udp”. Tratando-se de um protocolo de transporte com números de porto (ex.: tcp e udp), é possível aplicar um operador de comparação para definir regras com base nesses números de porto: eq {número-porto} neq {número-porto} gt {número-porto} lt {número-porto} range {número-porto1} {número-porto2}
6. Criar uma ACL no encaminhador “RouterAB” para impedir a passagem de tráfego ICMP origem na rede “192.168.0.0/26” e destino o encaminhador “RouterB3”. Testar.
Administração de Sistemas Informáticos (ASIST) – 2009/2010 – PL2
5/5