PPt_4face_021208.jpg © 2007 – 2016, Cisco Systems, Inc. All rights reserved. Cisco Public SWITCH v7.1 Chapter 5 ‹#› Cisco_NewLogo Chapter 5: Inter-VLAN Routing CCNP SWITCH: Implementace Cisco IP přepínaných sítí Cisco Networking Academy Program CCNP ROUTE: Implementing IP Routing Chapter 1: Routing Services Cíle kapitoly 5 §Návrh podnikové sítě, a jeho implementace a ověření inter-VLAN směrování pomocí externího směrovače nebo vícevrstvého přepínače pomocí přepínače virtuálních rozhraní nebo směrovaných rozhraní §Pochopení vrstvy 3 EtherChannelu a jeho konfigurace §Porozumění provozu DHCP a jeho implementaci, ověřování v dané podnikové síti § Chapter 1 Objectives Chapter 5 ‹#› © 2007 – 2016, Cisco Systems, Inc. All rights reserved. Cisco Public Rev08_Cisco_BrandBar10_060408.png ss1 Popis Inter-VLAN Routingu Popis Inter-VLAN Routingu §Úvod do inter-VLAN routingu §Inter-VLAN routing používající externí router §Inter-VLAN routing s virtuálními rozhraními přepínačů §Routing s routovanými porty §Konfigurace inter-VLAN routingu za použití SVI (Switch Virtual Interface) a routovaných portů §Troubleshooting inter-VLAN routingu Úvod do Inter-VLAN Routingu §Protože VLAN izolují provoz do definované vysílací domény a podsítě, síťová zařízení v různých VLAN nemohou navzájem komunikovat. §Zařízení v každé síti VLAN mohou komunikovat se síťovými zařízeními v jiné síti VLAN pouze prostřednictvím směrovacího zařízení vrstvy 3 §Následující zařízení mohou poskytovat směrování mezi sítěmi VLAN: •Každý externí směrovač nebo skupina směrovačů s odděleným rozhraním do každé VLAN – CCNA •Jakýkoli externí směrovač s rozhraním, které podporuje kanál (router-on-a-stick) – CCNA •Jakýkoli přepínač Catalyst vrstvy 3 – CCNP • Úvod do Inter-VLAN Routingu § Router vs MLS pro IVR §Přepínače vrstvy 3 mají obvykle propustnost přepínání paketů v milionech paketů za sekundu (p/s), zatímco tradiční směrovače obecného určení poskytují přepínání paketů v rozsahu 100 000 p/s až více než 1 milion p/s. §Všechny vícevrstvé přepínače Catalyst podporují tři různé typy rozhraní vrstvy 3: •A) Routed port: Čisté rozhraní vrstvy 3 podobné routovanému portu routeru Cisco IOS. •B) Switch virtual interface (SVI): Virtuální rozhraní VLAN pro směrování mezi VLAN. Jinými slovy, switch virtual interface (SVI) jsou virtuální směrované VLAN rozhraní. •C) Bridge virtual interface (BVI): virtuální přemostění rozhraní vrstvy 3. •Note As mentioned in previous chapters, the default configurations do not appear in the running or startup config. For some Cisco switches, the switchport command is the default configuration, and for others the no switchport command is the default configuration. Inter-VLAN Routing používající externí router Konfigurace směrování s externím routerem §Konfigurace subinterface routeru pro směrování provozu mezi VLAN 10 a VLAN 20: §R1(config)# interface ethernet 0/0.10 §R1(config-subif)# encapsulation dot1q 10 §R1(config-subif)# ip address 10.0.10.1 255.255.255.0 §R1(config)# interface ethernet 0/0.20 §R1(config-subif)# encapsulation dot1q 20 §R1(config-subif)# ip address 10.0.20.1 255.255.255.0 § §Konfigurace interface pro nativní VLAN provoz. §R1(config)# interface ethernet 0/0.1 §R1(config-subif)# encapsulation dot1q 1 native §R1(config-subif)# ip address 10.0.1.1 255.255.255.0 Verifikace konfigurace Routing s konfigurací externího routeru §Konfigurujme trunk port na přepínači. Povolme provoz VLAN 1, 10, a 20. § §SW1(config)# interface ethernet 0/0 §SW1(config-if)# switchport trunk encapsulation dot1q §SW1(config-if)# switchport mode trunk §SW1(config-if)# switchport trunk allowed vlan 1,10,20 Externí Routery: výhody §Externí směrovač pracuje s jakýmkoli přepínačem, protože na přepínači nejsou požadovány služby vrstvy 3. Mnoho přepínačů nemá možnosti předávání vrstvy 3, zejména přepínače, které se používají v přístupové vrstvě hierarchické sítě. §Implementace je jednoduchá. Konfigurovat je třeba pouze jeden port přepínače a jeden směrovač. §Pokud návrh sítě obsahuje pouze přepínače vrstvy 2, návrh a proces řešení potíží s tokem paketů jsou velmi jednoduché, protože v síti existuje pouze jedno místo, kde se propojují VLAN. Externí Routery: nevýhody §Směrovač je jediným bodem selhání (single point of failure). §Jediná komunikační cesta může být přetížena. U modelu router-on-a-stick je linka trunku omezena rychlostí rozhraní routeru, protože je sdílena všemi trunky VLANů §Může dojít ku zpoždění, protože rámce opakovaně opouštějí šasi a router rozhoduje o směrování na bázi softwaru. Inter-VLAN Routing používající rozhraní SVI (Switch Virtual Interfaces) § §SVI je virtuální rozhraní nakonfigurované v rámci vícevrstvého přepínače. §SVI může být vytvořeno pro libovolnou VLAN na switchi. Pouze jedna VLAN je spojená s SVI. § Switch Virtual Interfaces §SVI je „virtuální“, neboli žádný fyzický port není dedikovaný pro rozhraní, může vykonat stejné funkce, které koná pro VLAN rozhraní routeru. §Je také konfigurován stejným způsobem, jako rozhraní routeru (IP adresa, ACL, atd.). §Defaultně, je SVI vytvořeno pro defaultní VLAN (VLAN1) a slouží pro defaultní administraci. § Důvody pro konfiguraci SVI §Brána pro VLAN – provoz je směrován do ní a z ní. §Poskytuje fallback bridging pro nesměrovatelné protokoly. §Poskytuje L3 konektivitu IP pro switch. §Slouží pro podporu směrovacího protokolu a konfigurace mostu. Chapter 5 ‹#› © 2007 – 2016, Cisco Systems, Inc. All rights reserved. Cisco Public Rev08_Cisco_BrandBar10_060408.png SVI: Výhody a nevýhody §Výhody: §Rychlejší než router-on-a-stick protože pracuje s hardwarem. §Pro routing nepotřebuje externí linky. §Není omezen na jediný link. Mezi switchi mohou být pro navýšení pásma použit L2 EtherChannel. §Zpoždění je nižší, protože paket nemusí opustit switch. § §Nevýhody: §Pro inter-VLAN routing potřebuje dražší L3 switch. Chapter 5 ‹#› © 2007 – 2016, Cisco Systems, Inc. All rights reserved. Cisco Public Rev08_Cisco_BrandBar10_060408.png Routing s Routed Porty §A routed port je fyzický port, který se chová jako L3 port. §Není asociován s konkrétní VLAN. §Je odstraněna L2 funkčnost. §Link Aggregation Control Protocol (LACP) ale lze použít. §Slouží pro linky point-to-point. §Routed rozhraní na rozdíl od routerů nepodporují subinterfaces. §Je třeba na rozhraní dát příkaz § no switchport Routed Ports: Výhody § §Jedno multilayer zařízení může mít SVI and routed porty: § Je to rychlé, protože provoz běží na hardwaru na L2 i L3 úrovni. Konfigurace Inter-VLAN routingu za použití SVI i Routed Portů § Konfigurace routingu na Multilayer Switchi 1/1 §Step 1. Vytvořte VLANs 10 a 20: §DSW1(config)# vlan 10 §DSW1(config-vlan)# vlan 20 §Step 2. NA DSW1, nastavte IPv4 routing: §DSW1(config)# ip routing §Step 3. Konfigurujte SVI pro VLANy s IP adresami §DSW1(config)# interface vlan 10 §DSW1(config-if)# ip address 10.0.10.1 255.255.255.0 §DSW1(config-if)# no shutdown §DSW1(config)# interface vlan 20 §DSW1(config-if)# ip address 10.0.20.1 255.255.255.0 §DSW1(config-if)# no shutdown Konfigurace routingu na Multilayer Switchi 2/2 §Step 4. Zapněte rozhrani k R1 (Ethernet 0/0): §DSW1(config)# interface ethernet 0/2 §DSW1(config-if)# no switchport §*Nov 28 15:03:55.138: %LINK-3-UPDOWN: Interface Ethernet0/2, changed state to up §*Nov 28 15:03:56.142: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/2, changed state to up §DSW1(config-if)# ip address 10.0.99.1 255.255.255.0 § §Step 5. Konfigurujte Routing Protocol §DSW1(config)# router eigrp 1 §DSW1(config-router)# network 10.0.0.0 §*Nov 28 15:12:22.448: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 10.0.99.2 (Ethernet0/2) is up: new adjacency Použití příkazu SVI autostate exclude §SVI je výhodné, pokud má L2 port ve VLAN čas na konvergenci (změna ze stavu STP listening-learning na stav forwarding). §Defaultní akce v případě vícenásobných portů je, že SVI spadne, pokud spadnou všechny porty ve VLAN. §Lze řešit problémy typu „černá díra směrování“: § R1(config)# ip route 1.1.1.1 255.255.255.0 null0 § R2(config)# int null0 § R2(config-if)# no ip unreachables § §Můžete použít příkaz SVI autostate exclude, kdy nakonfigurujete port tak, aby nebyl zahrnut do SVI line-state up-and-down kalkulace. vlan (UP, forwarding a neblokovaná) + + port (trunk/access) = protocol up §Switch(config)# vlan 100 §Switch(config-vlan)# interface vlan100 §Switch(config-if)# ip address 192.168.100.1 255.255.255.0 Switch(config-if)# end §Switch# show ip interface brief | exclude unassigned §Interface IP-Address OK? Method Status Protocol §Vlan100 192.168.100.1 YES manual up down §Switch(config)# interface fa0/1 §Switch(config-if)# switchport access vlan 100 §Switch(config-if)# §LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan100, changed state to up Konfigurace autostate exclude §Switch(config)# interface interface slot/number §Switch(config-if)# switchport autostate exclude § §Vypne SVI autostate a učiní konkrétní rozhraní SVI permanentně aktivní §Autostate lze celkově vypnout příkazem no autostate. Jak konfigurovat SVI §Identifikovat, kdy VLANy vyžadují L3 brány. §Vytvořit VLANy na L3 switchi. §Vytvořit SVI rozhraní pro každou VLAN. §Konfigurovat na SVI IP addresy. §Nastavit rozhraní SVI. §Nastavit IP routing. §Určit, zda je potřebný dynamický protokol a konfigurovat ho. § Identifikovat a konfigurovat autostate exclude. Chapter 5 ‹#› © 2007 – 2016, Cisco Systems, Inc. All rights reserved. Cisco Public Rev08_Cisco_BrandBar10_060408.png Společné problémy Inter-VLAN routingu § ss2 Layer 2 Versus Layer 3 EtherChannel Layer 2 Versus Layer 3 EtherChannel Konfigurace Layer 3 EtherChannel 1/2 §Krok 1. Vytvoření virtuálního L2 rozhraní: §Switch(config)# interface port-channel 1 § §Krok 2. Změnit rozhraní na L3: §Switch(config-if)# no switchport § §Krok 3. Přiřazení ip adresy: §Switch(config-if)# ip address 172.32.52.10 255.255.255.0 § §Krok 4. Nastavení rozhraní pro EtherChannel: §Switch(config)# interface range fastethernet 5/4 - 5 Konfigurace Layer 3 EtherChannel 2/2 §Krok 5. Odstranění nezávislých funkčností L2 a L3 na portu, takže nyní bude port fungovat jako součást skupiny: §Switch(config-if-range)# no switchport §Switch(config-if-range)# channel-protocol pagp §Krok 6. Přiřazení skupiny: §Switch(config-if-range)# channel-group 1 mode desirable Jak konfigurovat L3 EtherChannel §Rychlost a duplex: Obojí stejné na všech rozhraních. §Interface mode: Vzhledem k tomu, že rozhraní kanálu portu je routed port, musí být stejný příkaz aplikován na všechny fyzické porty. §Verifikace konfigurace EtherChannel: •show interface port-channel channel-group-number •show etherChannel channel-group-number summary •show spanning-tree vlan vlan-number detail ss3 Implementace DHCP Cíle výkladu implementace DHCP §Vysvětlit ideu DHCP §Konfigurovat DHCP server §Konfigurovat manuální DHCP bindings §Konfigurovat DHCP relay §Konfigurovat volby DHCP Přehled DHCP §DHCP poskytuje konfigurační parametry hostitelům sítě. §DHCP se skládá ze dvou komponent: protokol pro poskytování konfiguračních parametrů specifických pro hostitele z DHCP serveru hostiteli a mechanismus přidělování síťových adres hostitelům. §DHCP je založen na modelu klient/server, ve kterém DHCP server přiděluje síťové adresy a dodává konfigurační parametry dynamicky konfigurovaným hostitelům. §Klienti v přístupových VLAN potřebují služby DHCP a pro služby DHCP mohou být použity nejen externí servery, ale i směrovače. § DHCP na L3 přepínačích §Mezi vícevrstvé přepínače společnosti Cisco, které používají software Cisco IOS, patří server DHCP a softwarový relay agent. §Distribuční vícevrstvé přepínače často slouží jako brány L3 vrstvy pro klienty, kteří se připojují k přístupovým přepínačům z různých VLAN. §Proto služba DHCP může být poskytována přímo distribučními přepínači. §Alternativně mohou být služby DHCP soustředěny na externím vyhrazeném serveru DHCP. §V takovém případě musí distribuční přepínače přesměrovat požadavky DHCP příchozích klientů na externí server DHCP. Konfigurace DHCP v Multilayer Switched síti § Konfigurace DHCP v Multilayer Switched síti §DHCP Server §DSW1(config)# ip dhcp excluded-address 10.0.10.1 §DSW1(config)# ip dhcp pool VLAN10POOL §DSW1(config-dhcp)# network 10.0.10.0 255.255.255.0 §DSW1(config-dhcp)# default-router 10.0.10.1 §DSW1(config-dhcp)# lease 2 (na 2 dny) §Přiřazení ip addresy klientovi §DSW1(dhcp-config)# host 10.0.10.200 255.255.255.0 §DSW1(dhcp-config)# client-identifier 0063.6973.636f.2d61.6162.622e.6363.3030.2e30.3630.302d.4574.302f.30 §anebo §DSW1(dhcp-config)# hardware-address MAC-address •O cliente identifier é conseguido depois de ser atribuído a primeira vez por dhcp com o comando show ip dhcp binding Konfigurace DHCP v Multilayer Switched síti Proces DHCP Discovery §DHCPDECLINE: Adresa je již použita. §DHCPNAK: Server odmítá potvrzení. §DHCPRELEASE: Klient informuje server o tom, že se vzdává použití přidělené adresy. §DHCPINFORM: Klient žádá jiné parametry. Konfigurace DHCP Relay §Klient ve VLAN 55 potřebuje forwardovat DHCP broadcasty k centralizovanému serveru 192.168.1.244: §Multilayer switch má L3 IP adresu 10.0.55.1/24, na které přijme DHCP požadavek. Tato adresa může být routed port SVI. §ip helper-address Požadavek přijde jako broadcast a odejde jako unicast. §Příkaz ip helper-address nejen přeposílá DHCP UDP pakety, ale také přeposílá defaultní pakety TFTP, DNS, time, NetBIOS, name server, a BOOTP. Konfigurace DHCP Options §Použití DHCP voleb k „rozšíření“ příkazů DHCP. •Option 43: Možnost zapouzdření dodavatele, která umožňuje dodavatelům, aby měli vlastní seznam možností na serveru. Můžete jej například použít k určení lehkého přístupového bodu, kde je Wireless LAN Controller (WLC). • Příklad: option 43 ascii “10.126.126.2,10.127.127.2” (dva WLC) •Option 69: SMTP server, chcete-li klientovi zadat dostupné servery SMTP. •Option 70: POP3 server, chcete-li klientům zadat dostupné servery POP3. •Option 150: server TFTP, který umožňuje telefonům přístup k seznamu serverů TFTP. Tři kategorie formátů adres §Statické adresy zůstávají v provozu po dlouhou dobu, jako např. v modifikovaném formátu EUI-64 a staticky přiřazených adresách. §Semistatické adresy, které vyžadují za určitých okolností specifikace změny - tyto se však v praxi vyskytují zřídka. Patří sem sémanticky neprůhledné identifikátory rozhraní a kryptograficky generované adresy. §Dynamické adresy jsou ty, které se mění pravidelně, např. každý den. V současné době tato skupina formátů adres zahrnuje pouze privacy extension IPv6. § §Semistatické a dynamické formáty adres jsou určeny pro klienty, zatímco servery mají tendenci používat výhradně statickou adresu. § Privacy extension – RFC 4941 (2007) §Je to formát definující dočasné adresy, které se mění v pravidelných časových intervalech; po sobě jdoucí adresy se navzájem neshodují pro cizí uživatele a jsou prostředkem ochrany proti korelování adres. Jejich pravidelná změna je nezávislá na prefixu sítě; Tímto způsobem chrání proti sledování pohybu a také proti časové korelaci. §Protivník je může získat vnitřní stav algoritmu přes postranní kanál, a předpovídat všechny budoucí adresy hostitele. Proto operační systémy implementující rozšíření IPv6 Privacy Extension používají namísto toho náhodná čísla adres, protivník nyní musí najít (náhodnou nebo pseudonáhodnou) dočasnou adresu namísto statické, což je náročnější úkol. Semantically Opaque Interface ID – RFC 7217 (2014) §Důvodem tohoto mechanismu je získat stabilní identifikátory rozhraní pro předponu, aby se snížila administrativní zátěž při zachování určité úrovně ochrany soukromí v jiné síti. Tyto IID jsou generovány hashováním síťového prefixu, tajného klíče a různých dalších parametrů. Tímto způsobem se identifikátor rozhraní změní při přechodu na jinou předponu sítě; při návratu do původní sítě se však vrátí na stejnou hodnotu. §Sémanticky neprůhledné IID zabraňují korelaci adres a zejména sledování pohybu, pokud je tajný klíč neznámému protivníkovi neznámý. Nechrání však před časovou korelací, tj. protivník je schopen připsat transakce v různých časových bodech jedinému (stacionárnímu) hostiteli. Pro ochranu před takovými hrozbami jsou zapotřebí dynamická schémata adres, jako je rozšíření ochrany soukromí IPv6. §Sémanticky neprůhledné identifikátory rozhraní jsou z hlediska síťového skenování určeny k tomu, aby se náhodně zobrazovaly z vnějšího pohledu a jejich nalezení by mělo zůstat zdlouhavým úkolem; jeho kvalita je však závislá na konkrétní implementaci. V současné době RFC 8064 doporučuje identifikátory sémanticky opaque rozhraní jako výchozí stabilní identifikátory namísto formátu Modified EUI-64. Chapter 5 ‹#› © 2007 – 2016, Cisco Systems, Inc. All rights reserved. Cisco Public Rev08_Cisco_BrandBar10_060408.png Kryptograficky generované adresy – RFC 3972 §Kryptograficky generované adresy jsou generovány hašováním veřejného klíče hostitele s jinými parametry a jsou tedy vázány na příslušného hostitele. §Jejich vlastnictví je ověřeno podpisem zpráv vzniklých z této adresy příslušným privátním klíčem. V kombinaci to zabraňuje spoofingu adres a bylo zamýšleno k ochraně před útoky pocházejícími z lokální sítě. Z hlediska ochrany soukromí jsou tyto adresy srovnatelné se sémanticky opaque IID: protože předpona sítě je zahrnuta do hash, adresa je změněna při přesunu do jiné sítě. Kromě toho může být nová adresa vytvořena bez pohybu; to by umožnilo ochranu před časovou korelací srovnatelnou s rozšířením ochrany soukromí IPv6. §Vytváření kryptograficky generovaných adres je však nákladné a v důsledku toho brání častým změnám adresy v praxi. Pokud jde o skenování, tento typ adres se jeví z pohledu protivníka jako náhodný , který poskytuje účinnou ochranu. §Kryptograficky generované adresy (stejně tak Secure Neighbor Discovery – SeND) nejsou podporovány žádným z hlavních operačních systémů, a to je jejich největší potíží. Chapter 5 ‹#› © 2007 – 2016, Cisco Systems, Inc. All rights reserved. Cisco Public Rev08_Cisco_BrandBar10_060408.png Co z toho plyne pro budoucnost a praxi §Budoucí internetová zařízení již nelze striktně klasifikovat do dvou rolí serveru a klienta: existují servery, např. brány zařízení IoT, které slouží pouze velmi omezené skupině uživatelů, např. obyvatelům domácnosti, a také potřebují nějakou formu ochrany soukromí. Například adresy serverů se mohou stát dočasnými a mohou být odvozeny ze sdíleného tajemství. Legitimní klient je schopen vypočítat aktuální adresu, protože má tajemství, zatímco protivník by musel vyčerpávajícím způsobem prohledat síť, aby našel server. Dále, protokoly typu peer-to-peer, jako je bitcoin, by mohly využít podobné mechanismy. § §Zařízení pro připojení k internetu musí přiřadit adresu. Bylo by moudré je definovat v nejbezpečnějším a nejbezpečnějším způsobem, aby byla zajištěna co největší ochrana. Tento aspekt je obzvláště zajímavý pro omezená zařízení, jako je internet věcí, protože pro výkonná ochranná opatření obvykle nemají dostatek výpočetního výkonu. Flexibilita adresování IPv6 je proto velkou příležitostí, kterou je třeba využít. §CCNPv7.1 SWITCH Lab5.1 IVL-ROUTING §CCNPv7.1 SWITCH Lab5.2 DHCP4/6 Chapter 5 Labs Které zprávy používá SLAAC? -Od klienta: - -Od serveru: Chapter 5 ‹#› © 2007 – 2016, Cisco Systems, Inc. All rights reserved. Cisco Public Rev08_Cisco_BrandBar10_060408.png Bezestavová autokonfigurace 50 A ICMP typ: 133 (RS) Zdroj: :: Cíl: Rozhlašování ke všem směrovačům (FF02::2) Zpráva: Pošlete prosím registrační adresu R1 Směrovače také registrační adresy rozesílají periodicky, zde se její přidělení pouze urychluje SLAAC a DHCPv6 Stateless Address Autoconfiguration (SLAAC) •SLAAC používá dvě zprávy: §ICMPv6 Router Solicitation (od klienta) §Router Advertisement (od DHCP serveru: prefix, délku prefixu atd.) 8.2 – Dynamic Host Configuration Protocol v6 8.2.1 – SLAAC and DHCPv6 8.2.1.1 - Stateless Address Autoconfiguration (SLAAC) Čtyři kroky operace SLAAC §Před poslání RA zprávy musí mít router nastaven IPv6 routing: Router(config)# ipv6 unicast-routing 8.2 – Dynamic Host Configuration Protocol v6 8.2.1 – SLAAC and DHCPv6 8.2.1.2 - SLAAC Operation Tři varianty SLAAC 8.2 – Dynamic Host Configuration Protocol v6 8.2.1 – SLAAC and DHCPv6 8.2.1.3 - SLAAC and DHCPv6 Jak funguje SLAAC defaultně: Stateless §Příznaky M (managed) a O (other) jsou nastaveny v RA na 0. 8.2 – Dynamic Host Configuration Protocol v6 8.2.1 – SLAAC and DHCPv6 8.2.1.4 - SLAAC Option Stateless DHCPv6 volba §Vezmi informaci ještě jinde: Router(config-if)# ipv6 nd other-config-flag 8.2 – Dynamic Host Configuration Protocol v6 8.2.1 – SLAAC and DHCPv6 8.2.1.5 - Stateless DHCPv6 Option Stateful DHCPv6 volba (podobná DHCPv4) §Zpráva RA říká: neber informaci ode mne, ale od stateful DHCPv6 serveru. § Router(config-if)# ipv6 nd managed-config-flag 8.2 – Dynamic Host Configuration Protocol v6 8.2.1 – SLAAC and DHCPv6 8.2.1.6 - Stateless DHCPv6 Option (cont.) A pak už běží standardní čtyřfázový proces 8.2 – Dynamic Host Configuration Protocol v6 8.2.1 – SLAAC and DHCPv6 8.2.1.7 - DHCPv6 Operations Konfigurace routeru jako Stateless DHCPv6 serveru 8.2 – Dynamic Host Configuration Protocol v6 8.2.2 – Stateless DHCPv6 8.2.2.1 - Configuring a Router as a Stateless DHCPv6 Server Konfigurace routeru jako Stateless DHCPv6 klienta 8.2 – Dynamic Host Configuration Protocol v6 8.2.2 – Stateless DHCPv6 8.2.2.2 - Configuring a Router as a Stateless DHCPv6 Client Verifikace Stateless DHCPv6 §Příkazy: §show ipv6 interface §debug ipv6 dhcp detail § 8.2 – Dynamic Host Configuration Protocol v6 8.2.2 – Stateless DHCPv6 8.2.2.3 - Verifying Stateless DHCPv6 Konfigurace routeru jako Stateful DHCPv6 serveru 8.2 – Dynamic Host Configuration Protocol v6 8.2.3– Stateful DHCPv6 Server 8.2.3.1 - Configuring a Router as a Stateful DHCPv6 Server Příklad konfigurace Stateful DHCPv6 serveru 8.2 – Dynamic Host Configuration Protocol v6 8.2.3– Stateful DHCPv6 Server 8.2.3.1 - Configuring a Router as a Stateful DHCPv6 Server (cont.) Konfigurace routeru jako Stateful DHCPv6 klienta 8.2 – Dynamic Host Configuration Protocol v6 8.2.3– Stateful DHCPv6 Server 8.2.3.2 - Configuring a Router as a Stateful DHCPv6 Client Verifikace Stateful DHCPv6 1/2 8.2 – Dynamic Host Configuration Protocol v6 8.2.3 – Stateful DHCPv6 Server 8.2.3.3 - Verifying Stateful DHCPv6 Verifikace Stateful DHCPv6 2/2 8.2 – Dynamic Host Configuration Protocol v6 8.2.3– Stateful DHCPv6 Server 8.2.3.3 - Verifying Stateful DHCPv6 (cont.) Konfigurace routeru jako DHCPv6 Relay agenta 8.2 – Dynamic Host Configuration Protocol v6 8.2.3– Stateful DHCPv6 Server 8.2.3.4 - Configuring a Router as a DHCPv6 Relay Agent Tak to RS si rozebereme podrobněji a v souvislostech 1.RS – Router Solicitation: klient žádá o adresní informaci 2. 2.RA – Router Advertisement: Router odpovídá a sdělí jeden ze tří způsobů způsob volby Jsou tři volby §RA Option 1: Jen SLAAC – vše, co klient potřebuje, dostane rovnou ve 2. kroku od routeru (prefix, jeho délku, defaultní bránu) a tím to končí. § §RA Option 2: SLAAC a DHCPv6: Gateway klient získá od routeru, na údaj o DNS se ptá všech serverů DHCPv6. § §RA Option 3: Router klientovi sděluje, že veškeré informace získá od DHCPv6. Bity M a O §‘M’ bit - Příznak (flag) "Managed address configuration" DHCPv6. Je použito jen DHCP. §‘O’ bit - "Other configuration" flag. M se pak obvykle rovná 0. Možné varianty bitů M a O M = 0, O = 0 : Klient používá RA pro získání non-link-local adresy i dalších informací. V případě, že DHCPv6 server existuje, client ho ignoruje. M = 0, O = 1 : Klient používá gateway adresu od RA, DHCPv6 poskytne to ostatní. Tato kombinace je označována jako DHCPv6 stateless. M = 1, O = 0 : Klient používá DHCPv6 jak pro adresu routeru, tak pro ostatní konfigurační údaje. Tato kombinace je známa jako DHCPv6 stateful. M = 1, O = 1 DHCPv6 klientu poskytuje plnou informaci zvanou stateful address. Pokud RA obsahuje prefix sítě, client navíc dostane stateless informaci od routeru (zbytečně). Na klientovi přitom nemusíme nic dělat – jen říci, že má nastavit OPv6 adresu automaticky 1. Uzel si sám generuje svoji IPv6 adresu (odvodil si ji ze své MAC adresy použitím metody EUI DII) Blíže RFC 4291 1a. krok SLAAC: použití MAC adresy klienta o 48 bitech 1b. krok SLAAC: vložení FFFE doprostřed MAC adresy Jaká je struktura MAC adresy? 7. bit = 1… lokální administrace universal/local 1c. krok SLAAC: Vsunuté 1 do 7. bitu záhlaví Výřez obrazovky 00000101 00000111 1d. krok SLAAC: Spojení prefixu lokální IP adresy a upravené MAC adresy 2. Uzel nyní detekuje, zda si nevygeneroval duplicitní adresu pomocí výzvy Neighbour Solicitation na adresu Solicited Mode Multicast 3. Uzel nedostal odpověď a tak oslovuje router se svojí nově vygenerovanou adresou – posílá zprávu Router Solicitation 4. Router posílá unicast Router Advertisement a předává uzlu prefix 5. Uzel připojí prefix ke své lokální adrese Krok 1/3: Případ M=0, O=1 (ipv6 nd other-config-flag). Nabídka routeru (router advertisement) rtaImage 1.png Krok 2/3: Protože M = 0 , klient použije Stateless Address Autoconfiguration (SLAAC) pro získání své IPv6 adresy, a protože O = 1, požaduje od DHCPv6 serveru informaci o DSM a případně další specifické informace, které výrobce poskytuje. rtaImage 2.png Krok 3/3: DHCP server jako odpověď posílá klientovi informaci o DNS rtaImage 3.png Ukázka konfigurace bitu M na L3 switchi ipv6 address FE80::D2 link-local ipv6 address 2001:DB8:3115:120::D2/64 ipv6 nd prefix 2001:DB8:3115:120::/64 2592000 604800 no-autoconfig ipv6 nd managed-config-flag ipv6 dhcp relay destination 2001:DB8:3115:99::D1 Port-channel2 PC získá adresu pomocí ipconfig /renew6 Doporučené zdroje k dalšímu studiu problematiky Pěkný porovnávací příklad na https://networklessons.com/ipv6/cisco-dhcpv6-server-configuration/ a 84 slajdů na https://slideplayer.com/slide/6640065/ a 93 slajdů na https://slideplayer.com/slide/4239341/ IPv6 First-Hop Security Concerns https://www.cisco.com/c/en/us/about/ security-center/ipv6-first-hop.html Domácí úkol: Popište některý SLAAC attack Výřez obrazovky https://resources.infosecinstitute.com/slaac-attack/ Výřez obrazovky Chapter 5 ‹#› © 2007 – 2016, Cisco Systems, Inc. All rights reserved. Cisco Public Rev08_Cisco_BrandBar10_060408.png Test slabiny SLAAC attack: Sudden Six §Overview §Sudden Six is an automation script for conducting the SLAAC attack outlined in Alec Water's blog post. This attack can be used to build an IPv6 overlay network on an IPv4 infrastructure to perform man-in-the-middle attacks. §The script installs and configures the following packages: §sipcalc §tayga §radvd §wide-dhcpv6-server §bind9 §Requirements This script has been tested on Ubuntu 12.04 LTS and Kali Linux 1.0.x. We suggest using Wireshark to view the intercepted traffic. §Usage §Execute the suddensix.sh script as the root user. The script will prompt you for the interface to conduct the attack from as well as ask you to specify a free IP address on the local IPv4 network you are attacking. After the script is running, run Wireshark to view the intercepted traffic. §Note: The script is not persistent, the attack host will not intercept traffic after a reboot. The script will not work on fully configured IPv6 networks. § Chapter 5 ‹#› © 2007 – 2016, Cisco Systems, Inc. All rights reserved. Cisco Public Rev08_Cisco_BrandBar10_060408.png Monitirovací řešení firmy Tenable: Nessus plugins support IPv6 interface enumeration: §25202 – Enumerate IPv6 Interfaces via SSH §24272 – Network Interfaces Enumeration (WMI) §45405 – Reachable IPv6 address §