Sieci IP wyklad 2

15. Mapy tras - logika działania, zastosowanie.

Mapa tras (route-map) - jedno z najpotężniejszych narzędzi w systemie operacyjnym routera. Coś jak IF-THEN-ELSE

Zasada działania: Mapa tras nie jest pojedynczą komendą, lecz listą sekwencyjną. Składa się z uporządkowanych „bloczków” (sekwencji), które router przetwarza zawsze od góry do dołu. Każdy bloczek posiada numer (np. 10, 20, 30), co pozwala na łatwe wstawianie nowych reguł pomiędzy istniejące.

Każda sekwencja w mapie tras składa się z dwóch kluczowych elementów:

Warunek (match): Definiuje, jakie pakiety lub trasy nas interesują (np. „jeśli adres IP pochodzi z listy ACL nr 101” lub „jeśli metryka trasy wynosi 100”).

Działanie (set): Określa, co robimy, jeśli warunek został spełniony (np. „ustaw następny przeskok na adres X” lub „zmień typ metryki”).

Logika przetwarzania (Algorytm): Router bierze pakiet (lub trasę) i sprawdza go z pierwszą sekwencją mapy:

Jeśli pakiet spełnia warunek match, router wykonuje instrukcję przypisaną do tej sekwencji (decyzja permit lub deny) i kończy przetwarzanie mapy. Kolejne warunki nie są już dla tego pakietu sprawdzane.

Jeśli pakiet nie pasuje do warunku, router przechodzi do kolejnego bloczka (kolejnej sekwencji).

Kluczowa zasada "Implicit Deny": Na samym końcu każdej mapy tras, niewidoczna dla użytkownika, znajduje się domyślna reguła "odrzuć wszystko" (deny all). Oznacza to, że jeśli pakiet przejdzie przez wszystkie zdefiniowane przez Ciebie sekwencje i nie dopasuje się do żadnej z nich, zostanie odrzucony lub zignorowany przez proces korzystający z mapy. Czyli jesli korzystamy z mapy w PBR czyli routingu strategicznym, to instrukcja deny all, powie zeby po prostu nie korzystac z tego typu routingu i routowac pakiet normalnie. Z kolei jesli mape uzyjemy do redystrybucji tras, to deny all oznacza ze trasa dystrybuowana np z RIP do OSPF nie zostanie przekazana.

16. Routing strategiczny (Policy-Based Routing - PBR)

Standardowy routing (Destination-Based Routing) działa w sposób bardzo prosty i sztywny: router patrzy wyłącznie na docelowy adres IP pakietu i porównuje go z tablicą routingu. Routing strategiczny łamie tę zasadę. Pozwala on na dobieranie trasy w oparciu o znacznie szerszy zestaw kryteriów, takich jak: adres źródłowy, typ ruchu (np. HTTP vs VoIP), numer portu czy protokół.

Mechanizm działania: Routing strategiczny implementuje się poprzez zapięcie mapy tras na interfejsie wejściowym routera. Zanim pakiet zostanie poddany standardowemu routingowi, przechodzi on przez „sito” reguł zdefiniowanych w mapie tras.

Scenariusz praktyczny: Wyobraź sobie firmę z dwoma łączami do Internetu: szybkim (drogim) i wolnym (tanim).

• Standardowy routing wysłałby wszystko łączem szybszym (bo lepsza metryka).

• Dzięki PBR możemy zdefiniować regułę: „Jeśli ruch to głos (VoIP), wyślij łączem o najmniejszym opóźnieniu. Jeśli ruch to kopia zapasowa danych (mniej znaczący), wyślij łączem wolniejszym”.

17. Redystrybucja tras z użyciem map tras

Redystrybucja to proces tłumaczenia języka jednego protokołu na drugi – przekazywanie tras z bazy danych jednego protokołu (np. IS-IS) do bazy drugiego (np. OSPF). Jest to proces ryzykowny, mogący prowadzić do pętli, dlatego rzadko wykonuje się go „wprost”. Zazwyczaj używa się map tras jako filtra.

Zastosowanie map tras w redystrybucji: Podczas redystrybucji mapa tras służy do ścisłej selekcji, które informacje mają zostać przekazane. Proces ten wygląda następująco:

1. Tworzymy listę kontroli dostępu (ACL), która wyłapuje interesujące nas sieci (np. te należące do RIP).

2. Tworzymy mapę tras, która w sekcji match odwołuje się do tej ACL.

3. W sekcji set mapy tras ustawiamy parametry zrozumiałe dla nowego protokołu (np. typ metryki, koszt).

4. Podpinamy mapę pod proces redystrybucji. Dzięki temu tylko wybrane pakiety (np. z RIP) trafią do OSPF, a reszta zostanie odfiltrowana.

18. Listy dystrybucyjne, listy prefiksów, listy offsetowe

A. Listy dystrybucyjne (Distribute-lists) To klasyczna metoda filtrowania tras (decydowania, co wpuszczamy do tablicy routingu, a co z niej wypuszczamy). Działają one w oparciu o standardowe listy ACL.

• Wada: Główną wadą jest oparcie o ACL. Standardowe ACL projektowano do filtrowania pakietów, a nie tras. Trudno w nich precyzyjnie określić maskę podsieci (np. odróżnić /24 od /25). Dodatkowo, są mało elastyczne – każda zmiana wymaga często usunięcia i ponownego napisania całej listy.

B. Listy prefiksów (Prefix-lists) To nowoczesna alternatywa dla list dystrybucyjnych. Służą wyłącznie do filtrowania tras routingu.

• Przewaga: Nie korzystają z ACL. Pozwalają na precyzyjne dopasowanie adresu IP oraz (co kluczowe) długości maski (np. „zaakceptuj sieci 10.0.0.0, ale tylko z maską większą lub równą /24”).

• Edycja: Posiadają numerację sekwencyjną (podobnie jak mapy tras). Każdy warunek to osobna linia z numerem. Pozwala to na dopisanie nowego warunku w środku listy bez konieczności usuwania całości, co jest ogromnym ułatwieniem w zarządzaniu.

C. Listy offsetowe (Offset-lists) To specyficzny mechanizm służący nie do filtrowania (usuwania) tras, ale do manipulacji ich parametrami.

• Działanie: Służą do sztucznego zwiększania metryki tras wchodzących lub wychodzących.

• Ograniczenie: Działają tylko z protokołami wektora odległości (RIP, EIGRP), ponieważ tam metryka jest prosta do zsumowania (w OSPF metryka jest zbyt złożona).

• Zastosowanie: Używa się ich do wymuszenia użycia trasy alternatywnej (gorszej) lub zapobiegania pętlom routingowym czy segmentacji ruchu, poprzez celowe "pogorszenie" trasy głównej w oczach routera.

19. IP SLA – mechanizm działania i praktyczne zastosowania

IP SLA (Service Level Agreement) to funkcja w routerach Cisco, która zmienia podejście do monitorowania sieci z pasywnego na aktywne. Zwykły routing statyczny jest "ślepy" na jakość łącza – działa, dopóki interfejs jest podniesiony (Up/Up). Jeśli łącze działa, ale gubi 50% pakietów, router nadal będzie tamtędy wysyłał dane.

Mechanizm działania: IP SLA polega na generowaniu przez router sztucznego ruchu (sond) w celu badania parametrów sieci.

1. Sonda: Router wysyła pakiety (np. ICMP Echo, symulacja połączenia VoIP, zapytanie HTTP) do określonego celu.

2. Analiza: Mierzy parametry takie jak: czas odpowiedzi (Round-Trip Time), Jitter (zmienność opóźnienia), utratę pakietów.

3. Obiekt śledzący (Track): Wynik pomiaru jest wiązany z logicznym obiektem w routerze.

Praktyczne zastosowanie (Reliable Static Routing): Najczęstsze zastosowanie to łączenie IP SLA z trasą statyczną. Administrator konfiguruje trasę domyślną, która jest aktywna tylko wtedy, gdy obiekt IP SLA (np. ping do serwera Google 8.8.8.8) zwraca sukces. Jeśli ping przestanie wracać, router automatycznie usuwa trasę z tablicy i przełącza się na łącze zapasowe.

20. Struktura tablicy BGP

Protokół BGP (Border Gateway Protocol) zarządza routingiem międzyoperatorskim. Jest to zupełnie inna skala niż OSPF czy EIGRP, dlatego BGP posiada własną, oddzielną tablicę (BGP Table), zanim najlepsze trasy trafią do głównej tablicy routingu (Routing Table).

W tablicy BGP (show ip bgp) dla każdej sieci docelowej przechowywane są liczne atrybuty, które decydują o wyborze trasy. Nie jest to prosta metryka liczbowa. Kluczowe pola w strukturze tablicy:

• Network: Prefiks sieci, o której informację otrzymaliśmy. Etykieta celu. Jesli mamy 2 informacje o tej samej sieci, router zaczyna porownywac parametry i podejmowac wybor.

• Next Hop: Adres IP routera, do którego należy wysłać pakiet. W BGP jest to krytyczne pole, ponieważ przy wymianie tras między systemami autonomicznymi, Next Hop nie zawsze zmienia się automatycznie (zasada Next-Hop-Self). Jest to pierwsze porownywane pole podczas proby wyboru trasy do celu X (router sprawdza czy next-hop jest osiagalny).

• AS Path: Lista numerów Systemów Autonomicznych, przez które musi przejść pakiet, aby dotrzeć do celu. Jest to podstawowy mechanizm anty-pętlowy (jeśli router widzi swój własny AS w ścieżce, odrzuca trasę). Sluzy tez do wyboru sciezki do celu X.

• Atrybuty: Local Preference, Weight, MED, Origin – parametry służące do sterowania wyborem trasy.

21. Typy wiadomości BGP

BGP nie używa prostego "Hello" jak OSPF w trybie multicast. Działa w oparciu o sesję TCP (port 179) nawiązywaną między konkretnymi adresami IP. Wewnątrz tej sesji wymieniane są 4 typy komunikatów:

1. OPEN: Wiadomość powitalna. Wysłana tylko raz na początku sesji. Zawiera numer Systemu Autonomicznego (AS), wersję protokołu i identyfikator routera (BGP Router ID). Jeśli parametry się zgadzają, sesja przechodzi w stan Established.

2. KEEPALIVE: BGP nie wysyła "Hello" cyklicznie. Zamiast tego, aby utrzymać sesję TCP przy życiu i poinformować sąsiada, że router działa, wysyłane są małe wiadomości Keepalive (zazwyczaj co 60 sekund).

3. UPDATE: Najważniejsza wiadomość. Przenosi informacje o routingu.

   • NLRI (Network Layer Reachability Information): Nowe prefiksy, które router ogłasza (reklamuje).

   • Withdrawn Routes: Prefiksy, które przestały być dostępne i należy je usunąć. BGP wysyła aktualizacje tylko przy zmianie stanu sieci (triggered update).

4. NOTIFICATION: Wiadomość o błędzie. Jeśli router wyśle Notification, oznacza to, że wystąpił błąd krytyczny (np. błędny AS, błąd w atrybucie) i sesja jest natychmiast zrywana.

22. Atrybuty BGP – charakterystyka i znaczenie

W protokołach IGP (OSPF, EIGRP) router wybiera trasę na podstawie jednej liczby – metryki. W BGP wybór trasy to złożony proces decyzyjny oparty na liście atrybutów. Router analizuje atrybuty w ścisłej kolejności (od góry do dołu). Jeśli atrybut nr 1 jest identyczny dla dwóch tras, sprawdza atrybut nr 2, itd.

Oto hierarchia atrybutów (Klucz do zaliczenia BGP):

1. Weight (Waga):

   • Charakterystyka: Atrybut własnościowy Cisco. Lokalny dla routera – nigdy nie jest wysyłany do sąsiadów.

   • Znaczenie: "Jak ja mam wyjść z tego routera?". Im wyższa waga, tym lepiej.

2. Local Preference (Local Pref):

   • Charakterystyka: Standardowy atrybut. Przekazywany między routerami wewnątrz tego samego AS (iBGP), ale nie wychodzi poza AS (eBGP).

   • Znaczenie: "Jak cała nasza organizacja ma wychodzić do Internetu?". Im wyższa, tym lepiej. To najważniejszy atrybut do sterowania ruchem wychodzącym.

3. AS Path (Ścieżka AS):

   • Charakterystyka: Lista systemów autonomicznych, przez które przeszła trasa.

   • Znaczenie: Odpowiednik liczby skoków. Im krótsza lista (mniej AS-ów po drodze), tym lepsza trasa.

4. Origin (Pochodzenie):

   • Charakterystyka: Skąd wzięła się trasa?

   • Hierarchia: IGP (trasa wpisana komendą network) > EGP (historyczne) > Incomplete (redystrybucja, znak ?). Preferujemy trasy pewne (IGP).

5. MED (Multi-Exit Discriminator):

   • Charakterystyka: Opcjonalny atrybut wysyłany do sąsiada z innego AS.

   • Znaczenie: Sugestia dla sąsiada: "Wejdź do mnie tym łączem, bo jest szybsze". Im niższa wartość, tym lepiej (jak w OSPF).

23. Sterowanie ruchem w BGP (AS Path, MED, Local Pref, Weight)

Jako administrator BGP musisz umieć odpowiedzieć na pytanie: "Jak wymusić, aby ruch płynął łączem A, a nie B?". Dzielimy to na dwa scenariusze:

A. Sterowanie ruchem WYCHODZĄCYM (Upload - my decydujemy): Chcesz, aby Twoi użytkownicy pobierali dane przez łącze podstawowe (ISP1).

• Metoda: Używamy Local Preference.

• Konfiguracja: Na routerach brzegowych ustawiamy Local Pref 200 dla tras od ISP1 i Local Pref 100 (domyślne) dla ISP2. Wszystkie routery w Twojej sieci wybiorą wyjście przez ISP1.

• Alternatywa: Jeśli masz jeden router brzegowy, możesz użyć Weight.

B. Sterowanie ruchem PRZYCHODZĄCYM (Download - inni decydują): To trudniejsze, bo nie możesz bezpośrednio rozkazywać routerom w Internecie (np. Google czy Facebookowi), jak mają do Ciebie wysyłać pakiety. Możesz im to tylko sugerować.

• Metoda 1 (AS Path Prepending): Sztuczne wydłużanie ścieżki.

  • W ogłoszeniach do łącza zapasowego (ISP2) dodajesz swój numer AS wielokrotnie (np. zamiast 65001, wysyłasz 65001 65001 65001).

  • Internet pomyśli: "O, przez ISP2 jest bardzo daleko, wybiorę ISP1".

• Metoda 2 (MED):

  • Wysyłasz atrybut MED do ISP, mówiąc: "Łącze X ma koszt 10, łącze Y ma koszt 20".

  • Warunek: Działa zazwyczaj tylko, jeśli masz dwa połączenia do tego samego operatora. Różni operatorzy zazwyczaj ignorują cudzy MED.

24. Dlaczego IBGP wymaga siatki pełnej połączeń (Full Mesh)?

Wewnątrz własnego systemu autonomicznego (AS) używamy iBGP. Tutaj pojawia się fundamentalny problem pętli.

• Mechanizm anty-pętlowy eBGP: Router odrzuca trasę, jeśli widzi swój własny AS w atrybucie AS_PATH.

• Problem w iBGP: Wewnątrz AS atrybut AS_PATH się nie zmienia (nie dopisujemy własnego AS przy każdym przeskoku wewnętrznym, bo to ten sam system). Router nie ma jak wykryć pętli na podstawie ścieżki.

• Reguła Split Horizon dla iBGP: Aby zapobiec pętlom, wprowadzono żelazną zasadę: "Router iBGP nie może przekazać trasy nauczonej od jednego sąsiada iBGP innemu sąsiadowi iBGP".

• Konsekwencja (Full Mesh): Skoro routery nie mogą sobie "podawać dalej" informacji, to każdy router brzegowy, który zna trasę z zewnątrz, musi połączyć się bezpośrednio ze wszystkimi innymi routerami wewnątrz AS, aby im o tym powiedzieć.

• Wzór: Liczba sesji TCP = N*(N-1)/2. Dla 10 routerów to 45 sesji. Dla 100 routerów to 4950 sesji! Jest to nieskalowalne.

• Rozwiązanie: W dużych sieciach łamie się tę zasadę, stosując Route Reflector (RR) – specjalny router, który ma pozwolenie na przekazywanie tras iBGP.

25. Multihoming – typy i scenariusze

Multihoming to podłączenie sieci firmowej do więcej niż jednego dostawcy Internetu (ISP) w celu zwiększenia niezawodności.

Typy scenariuszy:

1. Single Homed: Jedno łącze do jednego ISP. (Brak BGP, wystarczy trasa statyczna domyślna).

2. Dual Homed: Dwa łącza do tego samego ISP. (Zabezpiecza przed awarią kabla, ale nie przed awarią operatora).

3. Single-Multihomed: Po jednym łączu do dwóch różnych ISP. (Najczęstszy scenariusz BGP. Chroni przed awarią operatora).

4. Dual-Multihomed: Po dwa łącza do dwóch różnych ISP. (Pełna redundancja).

Co przesyłamy w BGP przy Multihomingu?

• Pełna tablica (Full Table): Pobierasz od ISP listę wszystkich tras w Internecie (>900 000 tras). Wymaga potężnych routerów (dużo RAM). Pozwala na idealny routing.

• Partial Table + Default: Pobierasz tylko trasy do klientów danego ISP oraz trasę domyślną. Kompromis.

• Default Route Only: Pobierasz tylko 0.0.0.0/0 od obu. Ruch wychodzący rozkładasz po równo, bez wiedzy o tym, która trasa jest faktycznie krótsza.

26. Realne korzyści z MPLS (Multiprotocol Label Switching)

MPLS powstał, aby przyspieszyć routing (patrzenie na krótką etykietę jest szybsze niż na długi adres IP). Dziś routery są tak szybkie, że ten argument upadł. Dlaczego więc MPLS jest standardem w sieciach operatorskich?

1. Multi-Protocol: MPLS może przenosić cokolwiek (IPv4, IPv6, Ethernet, ATM) wewnątrz tych samych tuneli.

2. BGP Free Core (Rdzeń wolny od BGP): Routery w środku sieci operatora (Core) nie muszą znać 900 tysięcy tras internetowych. One tylko przerzucają etykiety. Tylko routery brzegowe muszą znać routing IP. To ogromna oszczędność zasobów.

3. VPN (L3VPN / L2VPN): MPLS pozwala na logiczne odseparowanie ruchu klientów. Dane klienta A i klienta B płyną tym samym światłowodem, ale są oznaczone różnymi etykietami i nigdy się nie widzą.

4. Traffic Engineering (MPLS-TE): Możliwość ręcznego sterowania ścieżkami (np. "Ten tunel ma omijać zatłoczone łącze").

27. Dystrybucja etykiet w MPLS IP

W klasycznym routingu router podejmuje decyzję na podstawie adresu IP. W MPLS na podstawie etykiety (Label) – 20-bitowej liczby wciśniętej między ramkę Ethernet a pakiet IP.

Skąd routery wiedzą, jaka etykieta oznacza jaką sieć? Używają protokołu LDP (Label Distribution Protocol).

Proces działania:

1. Każdy router przypisuje lokalną etykietę do każdej sieci, którą zna (np. dla sieci 10.1.1.0 przypisuję etykietę 50).

2. Router rozsyła tę informację sąsiadom przez LDP: "Hej, jeśli chcesz wysłać coś do 10.1.1.0, wyślij to do mnie z etykietą 50".

3. Budowa tablicy LFIB (Label Forwarding Information Base):

   • Input Interface / Input Label $\to$ Output Interface / Output Label.

   • Router odbiera pakiet z etykietą 50 $\to$ podmienia ją (Swap) na etykietę 60 (którą dostał od kolejnego routera) $\to$ wysyła dalej.

4. Wykorzystywany jest mechanizm optymalizacji PHP - przedostatni router sciaga etykiete zeby odciazyc ten brzegowy, brzegowy otrzymuje juz czysty pakiet np IPv4 i go routuje.

28. Wymiana informacji routingowych w MPLS-VPN (Najtrudniejszy element)

Jak operator obsługuje dwóch klientów (Bank A i Bank B), którzy używają tej samej adresacji prywatnej (np. obaj mają sieć 192.168.1.0/24)?

Mechanizm składa się z trzech elementów:

1. VRF (Virtual Routing and Forwarding): Wirtualizacja routera. Router brzegowy dzieli swoją pamięć na osobne instancje. VRF A to osobna tablica routingu dla Banku A. VRF B to osobna dla Banku B.

2. RD (Route Distinguisher): Unikalny identyfikator (64 bity) dodawany przed adresem IP klienta.

   • Adres Banku A staje się: 1:1:192.168.1.0

   • Adres Banku B staje się: 2:2:192.168.1.0

   • Teraz dla routera są to dwa różne adresy (tzw. adresy VPNv4).

3. RT (Route Target): Atrybut ("naklejka") decydujący o polityce. Służy do importowania i eksportowania tras.

   • "Eksportuj trasy z VRF A z naklejką Red".

   • "W innej części kraju, routerze brzegowy, jeśli widzisz trasę z naklejką Red, zaimportuj ją do VRF A".

Transport: Do przenoszenia tych długich adresów VPNv4 między routerami brzegowymi operatora używa się protokołu MP-BGP (Multiprotocol BGP). Zwykły BGP by tego nie zrozumiał.