QoS Laboratorioharjoitus 3

Transkriptio

1 QoS Laboratorioharjoitus 3 Eemeli Paananen Henrik Saari Robert Rahikainen Laboratorioharjoitus Tammikuu 2016 Tekniikan ja liikenteen ala Insinööri (AMK), Tietoverkkotekniikan tutkinto-ohjelma

2 1 Sisältö 1 Toimeksianto Teoria IPv IPv6 laajennusotsikot Network Address Translation Yleisesti Staattinen NAT Dynaaminen NAT PAT NAT Protocol Independent Multicast Yleisesti Reverse Path Forwarding Dense Mode Sparse Mode Bidirectional PIM Source Specific Multicast IGMPv Membership Query Messagen rakenne Membership Report Messagen Rakenne Group Recodien rakenne MLD Multicast Listener Query Messagen rakenne Multicast Listener Report Message rakenne Multicast Address Record rakenne Suunnitelmat Yhteydellisyys työryhmien välille IPv IPv PIM SSM IPv4 & IPv Toteutus Yhteydellisyys IPv IPv Multicast IPv IPv Pohdinta Lähteet Liitteet... 44

3 2 Kuviot Kuvio 1. NAT osoitteet (CCNA Routing and Switching: Routing and Switching Essentials, 2014) Kuvio 2. RPF Check (IP Multicast Technology Overview) Kuvio 3: Verkon arkkitehtuurin ja protokollien korrelointi. (IGMP Basic Architecture) Kuvio 4: IGMPv3 viestin formaatti. (RFC3376) Kuvio 5. Report Messagen rakenne. (RFC3376) Kuvio 6: Group Recordien rakenne. (RFC3376) Kuvio 7: MLQM -viestin rakenne Kuvio 8.: MLRM viestin rakenne Kuvio 9: MAR -rakenne Kuvio 10. Harjoituksen fyysinen topologia Kuvio 11. IPv4 osoitteistus Kuvio 12. IPv6 osoitteistus Kuvio 13. Ping ja Traceroute komennot Kuvio 14. IPv4 reitit Juniper Core R3 reittitaulusta Kuvio 15. OSPF database external reitit Kuvio 16. Show ip nat translations WG2-R Kuvio 17. Virtuaalikoneiden rajapinta-asetukset Kuvio 18. Ping ja Traceroute komennot Kuvio 19. IPv6 reitit Juniper Core R3 reittitaulusta Kuvio 20. OSPF3 database external reitit Kuvio 21: WG2-R1 IPv4 Multicast reittitaulu Kuvio 22: WG2-R1 IPv4 Multicast välitysmäärät Kuvio 23: Juniper Core R4 IPv4 multicast välitysmäärät Kuvio 24: IGMP Allow new sources Source Address Kuvio 25: IGMP Block Old Sources Source Address Kuvio 26: Multicast lähete aukaistaan Kuvio 27: WG2-R1 IPv6 Multicast reittitaulu Kuvio 28: WG2-R1 IPv6 Multicast välitysmäärät Kuvio 29: Juniper Core R4 IPv6 multicast välitysmäärät Kuvio 30: ICMPv6 Allow new sources FF08::1. S. Addr 2001:1337:5:2003:: Kuvio 31: ICMPv6 Block Old Sources FF08::1. S. Addr 2001:1337:5:2003:: Kuvio 32: Multicast lähete aukaistaan Kuvio 33. UDP pakettien vastaanotto ja VLC-source Kuvio 34. Show PIM join Core R Taulukot Taulukko 1. NAT osoitteet (CCNA Routing and Switching: Routing and Switching Essentials, 2014).... 7

4 Taulukko 2. Käytetyt 1-to-1 NAT -osoitteet

5 4 1 Toimeksianto Tässä laboratorioharjoituksessa on tarkoitus luoda yhteydellisyys kahden lähiverkon välille käyttäen Juniperin laitteistoa. Työryhmien välille ja corelle toteutetaan multicast-yhteydellisyys. Kun coren ja lähiverkkojen reititys on tehty, lähetetään toisesta lähiverkosta toiselle multicastia käyttäen suoratoistolähetys, jota voidaan katsoa vlcohjelmistolla. 2 Teoria 2.1 IPv6 IPv6 on luotu paikkaamaan muutamia IPv4:n ongelmia. Yksi ongelmista on se, että julkisesti jaettavat IP-osoitteet loppuvat. Ennen IPv6:n käyttöönottoa osoitteiden loppumista on paikattu NAT:n avulla, jossa useampi yksityinen IP-osoite on pystytty pakkaamaan yhteen julkiseen IP-osoitteeseen. IPv6 tuo mukanaan uudenlaiset 128-bittiset IP-osoitteet IPv4:n 32-bittisten sijaan. Tämä mahdollistaa lähes rajattoman määrän yksittäisiä laitteita kytkettäväksi suoraan internettiin. (Technet) IPv6 pyrkii myös parempaan automaattiseen konfigurointiin IPv6 laajennusotsikot Hop-by-Hop Options Header ja Destination Options header Hop-by-Hop Options Header kantaa sisällään vaihtoehtoista dataa, minkä kaikkien paketin polulla olevien laitteiden täytyy tutkia. Se koostuu seuraavanlaisista kentistä: - Next Header: 8 bittinen kenttä, joka kertoo arvolla 0, että nyt Hop-by-Hop Options Header on tulossa. - Hdr Ext Len: 8 bittinen kenttä, joka kertoo headerin pituuden. - Options-kenttä: Sisältää vaihtoehtoiset TLV-koodatut optiot ja täydennykset. Kentän koko vaihtelee. Destination Options headeriin voidaan laittaa vaihtoehtoista tietoa mitä vain paketin kohdelaitteen tarvitsee tutkia. Se on aivan vastaavanlainen kuin Hop-by-Hop Options Header, mutta sen next header arvo on 60.

6 Routing header Routing headerillä määritetään yksi tai useampi solmu, missä paketin tulee käydä päästäkseen kohteeseensa. Routing headerissä kenttiä on viisi: - Next Header: 8 bitin kenttä, jonka arvo 43 kertoo seuraavaksi tulevan Routing Header - Hdr Ext Len: 8 bitin kenttä, joka kertoo minkä pituinen headeri on tulossa - Routing Type: 8 bitin kenttä, joka määrittää käytettävän Routing headerin variantin - Segments Left: 8 bitin kenttä, joka kertoo montako solmua vielä täytyy käydä läpi ennen kuin ollaan kohteessa. - Type-specific data: Vaihtelevan kokoinen kenttä, jonka formaatti määräytyy Routing Type kentän mukaan Fragment header Mikäli käytettävän tietoliikennereitin MTU ei riitä IPv6-paketille, tarvitaan fragment headeriä. Lähettävä laite siis jakaa lähetettävän paketin useampaan osaan. Fragment headerin rakenne on seuraavan lainen: - Next Header: Kertoo arvolla 44, että Fragment Header on tulossa. - Reserved: 8 bitin kenttä, joka on 0 tiedonsiirron aikana. - Fragment Offset: 13 bitin kenttä, mikä pitää jaetut osat sisällään 8-oktetin yksiköissä. - Res: 2 bitin varattu kenttä. Arvo on 0 lähetyksen aikana. - M lippu: 1 mikäli lisää osia on vielä tulossa ja 0 mikäli osa on paketin viimeinen. - Identification: 32 bitin kenttä, jonka avulla vastaanottava puolisko kykenee kasaamaan paketin osat takaisin alkuperäiseen muotoon Authentication header ja Encapsulating Security Payload header Nämä kaksi headeriä ovat osa IPsec:iä ja toimivat täysin samalla tavalla niin IPv6:ssa kuin IPv4:ssa. Authentication headerin tehtävä on taata IP-paketin yhteydetön datan eheys ja sen alkuperäisyyden tunnistus. Rakenteeltaan Authentication header on seuraavan lainen: - Next Header: 8-bittinen arvo Payload Len: Authentication headerin pituus 4 oktetin yksiköissä miinus 2. IPv6:n tapauksessa headerin pituus tulee olla 8 oktetin moninkerta. - Reserved: 16 bittiä jotka ovat lähetyksen ajan nollia. - Security Parameters Index: Satunnainen luku mitä käytetään lähetyksen kohteen kanssa tunnistautumiseen. - Sequence Number: 32 bittiä jatkuvasti kasvava arvo. - Integrity Check Value: Vaihtelee useamman 32 bitin välillä. Käytetään paketin eheyden tarkistukseen.

7 Encapsulating Security Payload:n (tästä eteenpäin ESP) tehtävä on taata IP-pakettien luotettavuus ja alkuperäisyys. Se tukee kryptaus- ja tunnistautumis-pohjaisia konfiguraatioita. Authentication Headerista poiketen ESP kattaa koko IP-paketin vain tunneloidussa tilassa, jolloin koko IP-paketti on tiivistetty. Kuljetustilassa ESP siis ei kata koko pakettia. ESP:n rakenne on puolestaan seuraavanlainen: - Security Parameters Index: Satunnainen luku mitä käytetään lähetyksen kohteen kanssa tunnistautumiseen. - Sequence Number: Satunnainen luku mitä käytetään lähetyksen kohteen kanssa tunnistautumiseen. - Padding: oktettia pitkä täyte, joka sovittaa kryptauksen vastaamaan salausjärjestelmän lohkon kokoa. - Pad Length: 8 bittiä, jotka kertoo käytetyn täytteen koon. - Next Header: 8 bittinen arvo 50. Integrity Check Value: Vaihtelee useamman 32 bitin välillä. Käytetään paketin eheyden tarkistukseen Mobility Header Mobility headearia käytetään tukemaan IPv6:sta mobiililaitteissa. Jotta data menee eheänä perille, tulee otsikon olla 8-bitin monikerran pituinen. Mobility Header koostuu seuraavanlaisista osista: - Next Header: 8-bitin pituinen arvo Lenght: Otsikon koko 8-bitin yksiköissä. Lukee pois ensimmäiset 8 bittiä. - Type: 8-bitin kokoinen arvo, joka kertoo minkälainen viesti on tulossa. - Reserved: Lähettäjä asettaa tämän nollaksi ja vastaanottaja ei noteeraa mitenkään. - Checksum: 16-bitin kokoinen tarkastussumma varmistamaan otsikon eheys. - Data: Hyötydata Network Address Translation Yleisesti Network Address Translation eli NAT on monikäyttöinen tekniikka, joka alunperin kehitettiin säästämään julkista IPv4 osoiteavaruutta siihen asti, että IPv6 saataisiin implementoitua maailmanlaajuisesti. NAT sallii sisäverkon laitteiden käyttää yksityistä IPv4 oisoiteavaruutta, jotka NAT kääntää julkisiin IP-osoitteisiin joita taas voidaan reitittää globaalisti. Tämä lisää myös hiukan turvallisuutta, sillä sisäverkoin osoitteistus on piilossa ulkomaailman suunnasta. (CCNA Routing and Switching: Routing and Switching Essentials, 2014.)

8 7 NAT reitittimelle voidaan konfiguroida yksi tai useampi julkinen IP-osoite, joita kutsutaan NAT pooliksi. Poolista voidaan kääntää osoitteita usealla eri tavalla joko tietylle laitteelle tai usealle eri laitteelle eri tavalla, joko jakaen tarvittaessa osoitteita dynaamisesti tai kääntämällä aina tietty yksityinen IP-osoite tiettyyn julkiseen IPosoitteiseen. (CCNA Routing and Switching: Routing and Switching Essentials, 2014.) Yleisesti NAT toimii verkon rajareitittimellä, border routerilla. Kun sisäverkon laite haluaa kommunikoida ulkoverkkoon, sen lähettämät paketit kulkevat border routerille ja kyseinen reititin suorittaa NAT prosessin, jossa yksityinen osoite käännetään julkiseksi. Reititin pitää yllä taulua NAT käännöksistä hyväksikäyttäen neljää erityyppistä osoitetta. Taulukko 1 esittelee erityyppiset NAT-osoitteet. (CCNA Routing and Switching: Routing and Switching Essentials, 2014.) Taulukko 1. NAT osoitteet (CCNA Routing and Switching: Routing and Switching Essentials, 2014). Osoite Kuvaus Esimerkki Inside Local Inside Global Outside Local Outside Global Lähdeosoite sisäverkosta katsottuna. Lähdeosoite ulkoverkosta katsottuna. Kohdeosoite sisäverkosta katsottuna. Saattaa myös olla eri kuin globaalisti reititettävä osoite. Kohdeosoite ulkoverkosta katsottuna Kuvio 1 esittää NAT osoitteet edellisen taulukon 1 osoitteistuksia käyttäen. Lähiverkko on kuviossa vasemmalla käyttäen yksityistä IPv4 osoiteavaruutta ja lähiverkon reititin suorittaa NAT prosessin, muuttaen lähdeosoitteen reititettäväksi, julkiseksi osoitteeksi.

9 8 Kuvio 1. NAT osoitteet (CCNA Routing and Switching: Routing and Switching Essentials, 2014) Staattinen NAT Staattinen NAT kääntää osoitteet yksi yhteen periaatteella. NAT prosessin suorittava verkkolaite on konfiguroitu kääntämään aina tietty yksityinen osoite tiettyyn julkiseen osoitteeseen. Staattinen NAT voi olla käytössä esimerkiksi Web-palvelimelle käännettävässä liikenteessä. Staattinen NAT luonnollisesti vaatii, että käytettävissä on riittävä määrä julkisia osoitteita kattamaan tarvittavat istunnot. (CCNA Routing and Switching: Routing and Switching Essentials, 2014.) Dynaaminen NAT Dynaaminen NAT käyttää määrättyä julkisen osoiteavaruuden osaa, josta julkisia osoitteita jaetaan käyttäjille first come, first served periaatteella. Tämä tarkoittaa sitä, että ensimmäinen julkista osoitetta tarvitseva yksityinen osoite käännetään konfiguroidun julkisen osoiteavaruuden ensimmäiseen vapaaseen osoitteeseen, toinen toiseen ja niin edelleen. Dynaaminen NAT vaatii myös tarpeeksi julkisia osoitteita kattamaan kaikki yhtäaikaiset käyttäjäistunnot. (CCNA Routing and Switching: Routing and Switching Essentials, 2014.) PAT Port Address Translation tai myös NAT overload nimellä kulkeva NAT tekniikka kääntää useita yksityisiä IP-osoitteita yhdeksi julkiseksi IP-osoitteeksi. Tämä toteutetaan siten, että reititin seuraa NAT käännösten IP-osoitteiden lisäksi myös TCP tai UDP porttinumeroa, käytettävästä siirtokerroksen protokollasta riippuen.

10 9 Kun NAT reititin siis saa paketin, se käyttää lähdeporttia uniikkina tunnisteena NAT käännökselle. PAT myös huolehtii siitä, että jokainen yhteys käyttää eri porttinumeroa siinäkin tapauksessa, että sisäverkon kaksi eri käyttäjää generoisivat esimerkiksi http yhteydelleen saman lähdeportin. Tässä tapauksessa PAT kääntää myös lähdeportin seuraavaksi vapaaksi portiksi. (CCNA Routing and Switching: Routing and Switching Essentials, 2014.) NAT64 IPv4 osoiteavaruuden ollessa riittämätön siirrytään IPv6 osoitteistukseen. Huomioitavaa on, että kuitenkin olemassa oleva infra suurilta osin edelleen käyttää IPv4 osoitteistusta ja tämä luo yhteensopivuusongelmia haluttaessa saada IPv4 hostit ja IPv6 hostit juttelemaan keskenään. Tämä voidaan toteuttaa luomalla täysin dual-stack ympäristö, eli kaikilla latteilla on sekä IPv4 osoite että IPv6 osoite. Tämä kuitenkin vaatii laitteiston, joka tukee molempia ja suuren määrän konfigurointia. (NAT64 Technology, 2012.) Toinen vaihtoehto on tunneloida eli käytännössä enkapsuloida yhteen sopimattoman protokollan osoite yhteensopivan protokollan osoitteen sisään. Tämä ei välttämättä kuitenkaan mahdollista uuden arkkitehtuurin käyttäjiä kommunikoimaan vanhan infrastruktuurin kanssa. (Bagnulo, M., Matthews, P. & van Beijnum, I. 2011; NAT64 Technology, 2012.) Kolmantena vaihtoehtona on osoitteenkäännös IPv6 osoitteesta IPv4 osoitteeksi tai toisinpäin. Tämän tekee NAT64 yhteensopiva reititin ja mekaniikka on vastaavanlainen edellä esitettyihin IPv4 käännöksiin. Osoitteenkäännös mahdollistaa asteittaisen siirtymisen IPv6 verkkoihin. (Bagnulo, M., Matthews, P. & van Beijnum, I. 2011; NAT64 Technology, 2012.)

11 Protocol Independent Multicast Yleisesti Protocol Independent Multicast on unicast reititykseen pohjautuva multicast lähetystä kuljettava protokollaperhe. PIM tarvitsee pohjalleen toimivan unicast-reitityksen, kuten EIGRP, OSPF tai staattiset reitit. Unicast-reittitaulua PIM käyttää luomaan jakelupuut, joiden yli multicast-lähetys välitetään. Unicast-reititystä PIM käyttää myös tehdessään Reverse Path Forwarding tarkastuksen. PIM ei myöskään lähetä tai vastaanota reittipäivityksiä. (IP Multicast Technology Overview.) Reverse Path Forwarding Reverse Path Forwarding eli RPF on yksi multicast-liikenteen edelleenlähetyksen avaintekijöistä. Käytännössä RPF huolehtii siitä, että multicast-lähetys saapuu kohteeseen aina parasta saatavaa reittiä myöten sillä RPF tarkistus tehdään unicast-reittitauluun nojaten. (IP Multicast Technology Overview). Kun reititin vastaanottaa multicast-paketin, reititin suorittaan RPF-tarkastuksen. RPF tarkastuksessa reititin vertaa multicast-paketin lähdeosoitetta unicast-reittitauluunsa ja tarkistaa lähettäisikö reititin itse liikennettä lähdeosoitteeseen käyttäen samaa rajapintaa kuin mihin multicast-paketti saapui. Jos rajapinta on sama, paketti välitetään eteenpäin ja jos rajapinta on eri, niin paketti tiputetaan. Kuviossa 2 esitetään onnistuva RPF tarkastus.(ip Multicast Technology Overview.)

12 11 Kuvio 2. RPF Check (IP Multicast Technology Overview) Dense Mode PIM Dense Mode eli PIM-DM on multicast-lähetystapa, jossa liikenne työnnetään verkkoon välittämättä siitä onko liikenteelle vastaanottajia. PIM-DM rakentaa jokaiselle multicast lähteelle oman jakelupuunsa floodaamalla liikennettä verkkoon ja reitittimet matkan varrella ovat vastuussa ylimääräisten datavoiden karsimisesta. Dense Mode puut koostuvat aina lähde-, ja ryhmä merkinnöistä eli (S, G) merkinnällä kuten esimerkiksi ( , ). (IP Multicast Technology Overview.) Sparse Mode PIM Sparse Mode lähestyy multicast lähetystä eri näkökulmasta. Liikennettä ei vain pusketa linjoille, ja anneta alavirrassa sijaitsevien reitittimien huolehtia puun rakentumisesta, vaan multicast lähetys täytyy erikseen tilata lähteeltä. PIM-SM käyttää jaettua puuta mallina, joten multicast lähteet käyttävät Rendezvous Pointia, joka toimii lähetyksen juurena. Lähteet rekisteröityvät RP:lle ja reunareitittimet oppivat lähteet saadessaan multicast liikennettä kyseisestä lähteestä RP:n kautta. Reverse Path testi toimii tässä tapauksessa niin, että metriikkaa RP:lle verrataan lähteen suoraan metriikka-arvoon. Jos lähteen metriikka-arvo on parempi, PIM Join viesti lähetetään lähteen suuntaan ja jos RP:n metriikka-arvo on parempi, Join viesti lähetetään RP:n suuntaan. (IP Multicast Technology Overview.)

13 Bidirectional PIM Kaksisuuntainen PIM eli Bidirectional PIM (Bidir-PIM) on parannus PIM protokollaan, joka kehitettiin parantamaan monelta-monelle kommunikaation tehokkuutta. PIM- SM:n luomat jakelupuut ovat yksisuuntaisia ja lähteen täytyy rekisteröityä RP:lle, eli täytyy luoda lähdepuu lähteestä RP:lle. Bidir-PIM:ssä liikenne reititetään kaksisuuntaista jaettua puuta pitkin RP:n toimiessa juurena ja toimien ikään kuin spanning treen roottina. Bidir-PIM skaalautuu hyvin tämän vuoksi, mutta source specific tila ei ole mahdollinen. (IP Multicast Technology Overview.) Source Specific Multicast Source Specific Multicast eli SSM käyttää PIM-SM ja IGMPv3 yhdistelmää. Näiden avulla asiakkaan on mahdollista saada multicast-liikenne suoraan lähteeltä. PIM SSM käyttää PIM-SM toiminnallisuutta jakelupuun eli Shortest Path Treen muodostamiseen ilman RP:n apua. Jokainen lähdettä tilaava asiakas saa oman kanavan, sillä PIM SSM ei käytä multicast-ryhmän osoitetta vaan lähteelle tulee aina kanavaosoite. (Understanding PIM Source-Specific Mode.) 2.4 IGMPv3 IGMPv3 eli Internet Group Management protocol version 3 on protokolla jolla luodaan ja hallinnoidaan multicast-ryhmiä. IGMP toimii paikallisessa lähiverkossa multicastiä välittävän reitittimen ja loppuasiakkaan välissä. Kuviossa 3 on esitetty multicastissä käytetyt protokollat ja korreloitu ne verkon arkkitehtuuriin. (RFC3376) Kuvio 3: Verkon arkkitehtuurin ja protokollien korrelointi. (IGMP Basic Architecture)

14 Membership Query Messagen rakenne IGMPv3:ssa käytettävä formaatti Membership Query Messagelle on esitetty kuviossa 4. Kuvio 4: IGMPv3 viestin formaatti. (RFC3376) Tyyppi (Type) Versio 3 käyttää kahta eri viesti tyyppiä. 0x11 0x22 Membership Query Version 3 Membership Report Versio 3 on myös takaperin yhteensopiva vanhempien versioiden kanssa ja tukee seuraavia tyyppejä. 0x12 0x16 0x17 Version 1 Membership Report Version 2 Membership Report Version 2 Leave Group (RFC3376) Max Resp Code Kentällä määritellään suurin mahdollinen aika minkä sisään on vastattava raportteihin. Aikaa käsitellään 1/10 osa sekuntteina. Käytetään vain jos viestin tyyppi on 0x11. Muissa viesteissä kentän arvo on 0 ja sitä ei oteta huomioon. (RFC3376)

15 Checksum Viestin tarkastussumma. Varmistetaan viestin eheys. Tarkastus summaa laskettaessa kentän arvo on nolla. Tarkastussumma käsitellään aina kun viesti vastaanotetaan. (RFC3376) Group Address Kentän arvo on yleississä kyselyissä nolla. Arvo asetetaan jos lähetään ryhmäkohtainen tai ryhmä- ja osoitekohtainen kysely. (RFC3376) Resv Kenttä ei ole vielä käytössä ja se on varaus mahdollista tulevaisuuden käyttöä varten. (RFC3376) S-flag. S-lippu. Lipun avulla voidaan ilmoittaa reitittimelle, että jättää tulevaisuuden aikapäivitykset huomiotta. (RFC3376) Querier s Query Interval Code Koodilla määritelläään kyselijän kyselyiden väli sekunteina. Mikäli arvo on alle 128, niin arvoa käytetään suoraan. (RFC3376) Number of Sources Lähteiden lukumäärä. Yleisissä ryhmäkohtaisissa kyselyissä arvo on 0. (RFC3376) Source Address Lähdeosoite. Osoitteita on yhtä monta mitä Number of Source kentän arvossa määritellään. (RFC3376)

16 Membership Report Messagen Rakenne Kuviossa 5 on esitetty Membership Report Messagen rakenne. Kuvio 5. Report Messagen rakenne. (RFC3376) Number of Group reports Ilmaisee viestissä olevien Group Recordien määrän. (RFC3376) Group Recodien rakenne Kuviossa 6 on esitetty Group Recordsien rakenne.

17 16 Kuvio 6: Group Recordien rakenne. (RFC3376) Aux Data Len Nolla jos kenttä on tyhjä, muuten kenttä sisältää datan kuinka monta 32-bittisiä sanoja kenttä sisältää. (RFC3376) 2.5 MLD Multicast Listener Discovery on IPv6 verkoissa käytetty protokolla joka on verrattavissa IGMP:hen jota käytetään IPv4 multicastissä. (RFC3810) Multicast Listener Query Messagen rakenne Kuviossa 7 on esitetty MLQM viestissä käytettävä rakenne. Kenttien sisältö on hyvin pitkälle sama mitä IGMP:ssä IPv4. (RFC3810)

18 Kuvio 7: MLQM -viestin rakenne 17

19 Multicast Listener Report Message rakenne Kuviossa 8 on esitetty Multicast Listener Report Message viestin rakenne. Kuvio 8.: MLRM viestin rakenne Multicast Address Record rakenne Kuviossa 9 on esitetty MAR:n rakenne. MAR on osa MLRM viestiä.

20 Kuvio 9: MAR -rakenne. 19

21 20 3 Suunnitelmat 3.1 Yhteydellisyys työryhmien välille Harjoituksessa toteutetaan työryhmän WG2 sekä Juniper Core R5 reitittimessä kiinni olevan asiakaskoneen välille IPv4 sekä IPv6 yhteys. Yhteys suunnitellaan annetuilla osoitealueilla ja todennetaan traceroute ja ping komennoilla, sekä reittitaulun todennuksella. Kuviossa 10 esitetään harjoituksen fyysinen topologia. IPTV Serverinä toimii sesxci.labrabet.jamk alustalla pyörivä virtuaalikone IPTV Server2. IPTV Server on kiinni WG2 työryhmän SW1 kytkimen portissa Ge0/6. Asiakaslaite kytkettiin suoraan kiinni Juniper Core R5 reitittimeen. Kuvio 10. Harjoituksen fyysinen topologia IPv4 IPv4 yhteydellisyys luotiin käyttämällä jo Cisco Core harjoituksessa käytössä ollutta operaattorin /16 osoiteblokkia ja jakamalla asiakaslaitteelle WG5 työtyh-

22 21 män julkisen IP blokin /27 osoitteistuksen, ja IPTV Serverille WG2 työryhmän julkisen IP blokin /27 osoitteistuksen. Työryhmästä ja Juniper Core R5 reitittimeltä reititys ulospäin tehtiin staattisella nollareitillä. Corelta takaisin tehtiin myös staattiset reitit käyttäen relevantteja työryhmän WG2 ja Juniper Core R5 julkisia, ryhmän omia IPv4 blokeja. Corelle tehdyt staattiset reitit mainostetaan OSPF reititysprotokollalle E1-reitteinä eli metric-type 1 reitteinä. WG2-R1 ja Juniper Core R2 välille tehtiin laboratorioharjoituksen dokumentaation mukainen 802.1Q verkko, jolle myös kuitenkin määritettiin operaattorin IPosoiteavaruus. Työryhmän sisäverkon osoitteet niin IPTV Serverille, kuin yhteystodennuksissa käytetylle WG2-SW2-WS virtuaalikoneelle käännettiin julkisiksi osoitteiksi 1-to-1 NATin avulla. Juniper Core R5:n takana ollut asiakaslaite sai suoraan julkiset IPv4 osoitteet. NAT työryhmälle WG2 tehtiin seuraavan taulukon 2 mukaisesti. Taulukko 2. Käytetyt 1-to-1 NAT -osoitteet Laite Yksityinen Osoite Julkinen Osoite IPTV Server WG2-SW2-WS Kuviossa 11 esitetään harjoituksen looginen IPv4 topologia. Center Switchille osoittava verkko /24 on sama verkko kuin Cisco Coressa määritetty Center Switchille osoittava verkko ja tätä kautta Cisco Core ja Juniper Core voidaan yhdistää.

23 22 Kuvio 11. IPv4 osoitteistus IPv6 Myös IPv6 toteutuksessa käytetään jo Cisco Coressa ollutta operaattorin IPv6 blokia 2001:d074::/32. Toteutuksen selkeyden ja yksinkertaisuuden vuoksi lohkomme linkkiväleille helposti tunnistettavat osoiteavaruudet käyttäen suurta maskia. Juniper Coressa on mahdollista käyttää myös /127 maskia tehden suoraan point-to-point yhteyden sillä tällaisessa tapauksessa Juniperin J sarjalaiset reitittimet osaavat jättää subnet-router anycast osoitteen pois käytöstä. Työryhmän WG2 IPv6 osoitteistus käyttää WG2 työryhmälle osoitettuja globaaleja IPv6 osoiteblokkeja ja Juniper Core R5 ja sen takainen asiakaslaite käyttävät hyväksi työryhmälle WG5 osoitettuja globaaleja IPv6 blokeja. Kuten IPv4 toteutuksessa, myös IPv6 toteutuksessa rungon reititysprotokollana toimii OSPF ja tarkemmin OSPFv3, jossa on IPv6 tuki. Reititys asiakasverkosta ja työryhmästä ulos tapahtuu staattisella nollareitillä ja työryhmien käytössä oleviin osoitteisiin tehdään staattiset reitit rungon reunalaitteilta. Kyseiset reitit mainostetaan edelleen E1-reitteinä OSPFv3-reititysprotokollaan.

24 23 IPTV Serverille ja asiakaslaitteelle määritetään kiinteät IPv6 osoitteistukset, mutta todennuksessa käytettävä työryhmän WG2 virtuaalikone muodostaa osoitteensa SLAA- Cin avulla. Kuviossa 12 on esitetty harjoituksessa toteutettava looginen IPv6 topologia. Kuvio 12. IPv6 osoitteistus Käytetty IP-osoitesuunnitelma löytyy liitteestä 9. Se pitää sisällään käytetyt WG2 ja WG5 julkiset IPv4 blokit, sekä globaalit IPv6 blokit. 3.2 PIM SSM IPv4 & IPv6 Valitsimme multicastistä source specific version. Labran päämääränä on siirtää multicastillä video kuvaa WG2-työryhmän IPTV-serveriltä Juniper R5 reitittimeen kiinnitettyyn työasemaan. IPv4 multicast osoitteista käytetään osoitetta ja IPv6- osoitteista FF08::1. Lähiverkon laitteille asetetaan käyttöön IGMPv3 ja MLD. Runkoverkon laitteille asetetaan käyttöön PIM kaikissa rajapinnoista ja multicast lähetysten osoitteet kartoitetaan.

25 24 4 Toteutus 4.1 Yhteydellisyys Kytkennät olivat valmiiksi tehtyjä poislukien asiakaskoneen liittäminen Juniper Core R5 reitittimeen. Käytimme aluksi asiakaslaitteena Windows käyttöjärjestelmällä varustettua kannettavaa Spidernetin tiloissa, mutta myöhemmin vaihdoimmen Lubuntu pöytäkoneeseen. Laite liitettiin Juniper Core R5 porttiin ge-1/0/ IPv4 Laitteiden osoitteiden ja reitityksen konfiguroimisen jälkeen todensimme yhteydellisyyden käyttämällä WG2-SW2-WS virtuaalikonetta ja Juniper Core R5 takana ollutta asiakaslaitetta. Käytimme toista työryhmän virtuaalikonetta IPTV Serverin sijaan koska IPTV palvelimelle ei ollut asennettu traceroutea ja tracepath sekä traceroute6 huomattiin vasta jälkeenpäin. Kuviossa 13 esitetään Ping ja tracert komennot WG2-SW2-WS laitteelta asiakaslaitteelle. Kuvio 13. Ping ja Traceroute komennot

26 25 Kuviosta nähdään, että polku kulkee reittiä WG2-R1 Core R2 Core R4 Core R5 Asiakaslaite, kun osoitteistusta verrataan loogiseen topologiaan. Kuviossa 14 esitetään reittitaulu reitittimeltä Juniper Core R3. Kuviosta nähdään, että käytössä olleet julkiset IPv4 blokit on jaettuina OSPF protokollaan. Kuvio 14. IPv4 reitit Juniper Core R3 reittitaulusta Lisäksi kuviossa 15 todennetaan vielä Core R3 reitittimen OSPF tietokannasta, että reitit todella ovat E1 reittejä. Tämä havaitaan Type External, Type 1 korostetuista riveistä. Kuvio 15. OSPF database external reitit

27 26 Kuviossa 16 todennetaan NAT:n toimivuus WG2-R1 reitittimeltä edellä esitetyn taulukon x mukaisesti. Kuvio todentaa käytetyt inside global eli taulukon julkiset osoitteet ja niihin linkitetyt inside local, eli taulukon yksityiset osoitteet. Kuvio 16. Show ip nat translations WG2-R1 Kuvioissa 17 esitetään rajapinta-asetuksia käytetyiltä virtuaalikoneilta, IPTV Server2 ja WG2-SW2-WS. Kuviossa ensin IPTV Serverin rajapinta-asetukset ja perässä WG2- SW2-WS rajapinta-asetukset. Kyseisiä osoitteita käytetään Ping ja Tracert todennuksissa. Kuvio 17. Virtuaalikoneiden rajapinta-asetukset

28 IPv6 IPv6 toteutus tehtiin samassa järjestyksessä kuin IPv4. Ensin rajapinnoille asetettiin osoitteet, tehtiin rungon OSPF ja lopuksi asiakas- ja työryhmäverkoille tehtiin ulos staattinen nollareitti ja sisäänpäin rungolta tehtiin staattiset reitit työryhmien WG2 ja WG5 osoitteita käyttäen. Kuviossa 18 esitetään Ping ja tracert komennot WG2-SW2-WS laitteelta asiakaslaitteelle käyttäen IPv6:sta. Jälleen peilaten loogiseen topologiaan IPv6 osalta, voidaan todeta, että reitti kulkee polkua WG2-R1 Core R2 Core R4 Core R5 asiakaslaite. Kuvio 18. Ping ja Traceroute komennot Kuviossa 19 esitetään show route IPv6 osalta Core R3 reitittimeltä. WG2 ja WG5 työryhmien globaalit IPv6 blokit on jaettu E1-reitteinä OSPFv3:n.

29 28 Kuvio 19. IPv6 reitit Juniper Core R3 reittitaulusta Myös IPv6 todennuksessa esitetään OSPFv3 tietokannasta kuvio reittitietojen todentamiseksi. Reitit on jaettu External reitteinä ja Type on 1. Kuviossa 20 tietokanta external reittien osalta.

30 Kuvio 20. OSPF3 database external reitit 29

31 Multicast IPv4 Kuviossa 21 on esitetty WG2-R1 laitteen IPv4 multicast reittitaulu ja kuviossa 22 multicast välitysmäärät. Kuvio 21: WG2-R1 IPv4 Multicast reittitaulu. Kuvio 22: WG2-R1 IPv4 Multicast välitysmäärät. Kuviossa 23 on esitetty Juniper Core R4 laitteen multicast välitysmäärät eri rajapinnoissa. Näistä voidaan huomata liikenteen tulevan Juniper Core R2 laitteelta ja se välitetään Juniper Core R5 laitteelle.

32 31 Kuvio 23: Juniper Core R4 IPv4 multicast välitysmäärät. Kuviossa 24 on todennettu IGMP paketti uuden lähteen avaamisesta. IGMP Allow new sources Source Address Tässä iptv lähete avataan.

33 32 Kuvio 24: IGMP Allow new sources Source Address Kuviossa 25 on todennettu IGMP:n toiminta lähetteen sulkemisesta. IGMP Block old sources Source Address

34 33 Kuvio 25: IGMP Block Old Sources Source Address Kuviossa 26 on esitetty kuva VLC mediasoittimesta lähteen auetessa.

35 34 Kuvio 26: Multicast lähete aukaistaan IPv6 Kuviossa 27 on esitetty WG2-R1 laitteen IPv6 multicast reittitaulu ja kuviossa 28 multicast välitysmäärät.

36 35 Kuvio 27: WG2-R1 IPv6 Multicast reittitaulu. Kuvio 28: WG2-R1 IPv6 Multicast välitysmäärät. Kuviossa 29 on esitetty Juniper Core R4 laitteen IPv6 multicast välitysmäärät eri rajapinnoissa. Näistä voidaan huomata liikenteen tulevan Juniper Core R2 laitteelta ja se välitetään Juniper Core R5 laitteelle.

37 36 Kuvio 29: Juniper Core R4 IPv6 multicast välitysmäärät. Kuviossa 30 on todennettu ICMPv6 paketti uuden lähteen avaamisesta. ICMPv6 Allow new sources FF08::1. Source Address 2001:1337:5:2003::10. Tässä iptv lähete avataan.

38 37 Kuvio 30: ICMPv6 Allow new sources FF08::1. S. Addr 2001:1337:5:2003::10. Kuviossa 31 on todennettu ICMPv6 toiminta lähetteen sulkemisesta. ICMPv6 Block Old Sources FF08::1. Source Address 2001:1337:5:2003::10.

39 38 Kuvio 31: ICMPv6 Block Old Sources FF08::1. S. Addr 2001:1337:5:2003::10. Kuviossa 32 on esitetty kuva VLC mediasoittimesta vaatimasta komennosta lähteen avaamiseksi.

40 39 Kuvio 32: Multicast lähete aukaistaan. Kuviossa 33 on todennettu UDP-pakettien vastaanotto ja VLC mediasoittimen ilmoitus lähteen aukaisusta.

41 40 Kuvio 33. UDP pakettien vastaanotto ja VLC-source Kuviossa 34 todennetaan Juniper Core R4 laitteelta IPv4 ja IPv6 multicast lähteet, joihin PIM on liittynyt.

42 41 Kuvio 34. Show PIM join Core R4 5 Pohdinta Kun Juniperin laitteistoa ja komentoja oppii käyttämään, reitityksen ja multicastin konfigurointi on melko suoraviivaista. Ohjeita etsiessä internetistä saa tosin olla tarkkana laitemallien kanssa, koska Juniperilla tuntuu olevan melko paljonkin eroja eri laitemallien ja käyttöjärjestelmäversioiden välillä.

43 42 IPv6 multicastin todentamisessa tosin ongelmaksi koitui Windows-käyttöjärjestelmä. IPv4:n kanssa ei ilmennyt ongelmia, mutta millään VLC:n komennolla ei saatu IPv6:slla lähetettyä multicast-lähetystä näkymään. Lähetys lähti kuitenkin toimimaan vaihtamalla Linux-käyttöjärjestelmään. Linuxilla puolestaan ongelmaksi koitui dual-stack, eli molempien IP-versioiden käyttö yhtä aikaa. IPv4 lakkasi toimimasta kun IPv6:n laittoi päälle. Ilmeisesti Ubuntulla on tapana käyttää ensisijaisesti IPv6-osoitteita, mikäli ne on sille annettu.

44 43 Lähteet Bagnulo, M., Matthews, P. & van Beijnum, I Stateful NAT64: Network Address and Protocol Translation from IPv6 Clients to IPv4 Servers. RFC Viitattu CCNA Routing and Switching: Routing and Switching Essentials Chapter 11: Network Address Translation for IPv4. CCNA Networking Academy course material. Viitattu Cisco. Elokuu IPv6 Extension Headers Review and Considerations. Viitattu aecd8054d37d.html IP Multicast Technology Overview IP Multicast White paper. Viitattu ers/mcst_ovr.htmlwp NAT64 Technology NAT64 Technology: Connecting IPv6 and IPv4 Network. Viitattu Ojanen, H. & Turpeinen, J. & Rahikainen, R Active Directory Harjoitustyö. Jyväskylän ammattikorkeakoulu, IT-ala. Viitattu Technet. n/d.tcp/ip v4 and v6. Viitattu Understanding PIM Source-Specific Mode Juniper Networks TechLibrary. Viitattu IGMP Basic Architecture. Viitattu g RFC3376. Viitattu

45 44 Liitteet Liite 1. Core-R2 konfiguraatio show configuration Last commit: :50:26 UTC by root version 12.1X44-D40.2; system { root-authentication { encrypted-password "$1$v0YaCGuz$7Dy9/WWQ/DMxxKqtUNQ2W1"; SECRET- DATA syslog { user * { any emergency; file messages { any any; authorization info; file interactive-commands { interactive-commands any; license { autoupdate { url interfaces { ge-1/0/0 { unit 0 { family inet { address /24; family inet6 { address 2001:d074:10::1/126; ge-1/0/1 { unit 0; ge-1/0/2 { unit 0 { family inet { address /24; family inet6 { address 2001:d074:9::1/126; ge-1/0/3 { unit 0; ge-1/0/4 { unit 0; ge-1/0/5 { unit 0; ge-1/0/6 { unit 0; ge-1/0/7 {

46 45 vlan-tagging; unit 0 { vlan-id 902; family inet { address /24; family inet6 { address 2001:d074:11::1/126; lo0 { unit 0; routing-options { rib inet6.0 { static { route 2001:1337:5:2001::/64 next-hop 2001:d074:11::2; route 2001:1337:5:2002::/64 next-hop 2001:d074:11::2; route 2001:1337:5:2003::/64 next-hop 2001:d074:11::2; static { route /27 next-hop ; router-id ; multicast { ssm-map ssm-map-ipv4 { policy ssm-policy; source ; ssm-map ssm-map-ipv6 { policy ssm-policy; source 2001:1337:5:2003::10; protocols { igmp { interface ge-1/0/7.0 { version 3; ssm-map ssm-map-ipv4; mld { interface all { version 2; ssm-map ssm-map-ipv6; ospf { export exportstatic1; area { interface ge-1/0/0.0; interface ge-1/0/7.0; interface ge-1/0/2.0; ospf3 { export exportstatic1; area { interface ge-1/0/0.0; interface ge-1/0/2.0; interface ge-1/0/7.0; pim { interface all { mode sparse;

47 46 version 2; policy-options { policy-statement exportstatic1 { term exportstatic1 { from protocol static; then { external { type 1; accept; policy-statement ssm-policy { term A { from { route-filter /32 exact; then accept; term B { from { route-filter ff08::1/128 exact; then accept; security { policies { default-policy { permit-all; zones { security-zone All { host-inbound-traffic { system-services { all; protocols { all; interfaces { all;

48 47 Liite 2. Core-R3 konfiguraatio show configuration Last commit: :11:22 UTC by root version 12.1X44-D40.2; system { root-authentication { encrypted-password "$1$3dJc0SJX$OAj2lfyO0pwkp5L7z6otm1"; SECRET- DATA services { ssh; web-management { http { interface ge-0/0/0.0; syslog { user * { any emergency; file messages { any any; authorization info; file interactive-commands { interactive-commands any; license { autoupdate { url interfaces { ge-0/0/0 { unit 0; ge-1/0/0 { description "To R4"; unit 0 { family inet { address /24; family inet6 { address 2001:d074:8::1/126; ge-1/0/1 { description "To R2"; unit 0 { family inet { address /24; family inet6 { address 2001:d074:10::2/126; ge-1/0/2 { unit 0; ge-1/0/3 { unit 0; ge-1/0/4 {

49 48 unit 0; ge-1/0/5 { unit 0; ge-1/0/6 { unit 0; ge-1/0/7 { unit 0; lo0 { unit 0 { family inet { address /32; routing-options { router-id ; multicast { ssm-map ssm-map-ipv4 { policy ssm-policy; source ; ssm-map ssm-map-ipv6 { policy ssm-policy; source 2001:1337:5:2003::10; protocols { igmp { interface all { version 3; ssm-map ssm-map-ipv4; mld { interface all { version 2; static { group ff08::1; ssm-map ssm-map-ipv6; ospf { area { interface ge-1/0/1.0; interface ge-1/0/0.0; interface fxp0.0 { disable; interface all; ospf3 { area { interface ge-1/0/1.0; interface ge-1/0/0.0; pim { rp { local { address ; group-ranges { /24;

50 49 interface all { mode sparse; version 2; policy-options { policy-statement ssm-policy { term A { from { route-filter /32 exact; then accept; term B { from { route-filter ff08::1/128 exact; then accept; security { policies { default-policy { permit-all; zones { security-zone All { host-inbound-traffic { system-services { all; protocols { all; interfaces { all;

51 50 Liite 3. Core-R4 konfiguraatio show configuration Last commit: :19:08 UTC by root version 12.1X44-D40.2; system { root-authentication { encrypted-password "$1$v0YaCGuz$7Dy9/WWQ/DMxxKqtUNQ2W1"; SECRET- DATA syslog { user * { any emergency; file messages { any any; authorization info; file interactive-commands { interactive-commands any; license { autoupdate { url interfaces { ge-1/0/0 { description to_r5; unit 0 { family inet { address /24; family inet6 { address 2001:d074:12::1/126; ge-1/0/1 { description to_r3; unit 0 { family inet { address /24; family inet6 { address 2001:d074:8::2/126; ge-1/0/2 { unit 0; ge-1/0/3 { description to_r2; unit 0 { family inet { address /24; family inet6 { address 2001:d074:9::2/126; ge-1/0/4 { unit 0; ge-1/0/5 {

52 51 unit 0; ge-1/0/6 { unit 0; ge-1/0/7 { unit 0; lo0 { unit 0; routing-options { rib inet6.0 { static { route 2001:1337:005:5001::/64 next-hop 2001:d074:12::2; route 2001:1337:005:5002::/64 next-hop 2001:d074:12::2; route 2001:1337:005:5003::/64 next-hop 2001:d074:12::2; static { route /27 next-hop ; router-id ; multicast { ssm-map ssm-map-ipv4 { policy ssm-policy; source ; ssm-map ssm-map-ipv6 { policy ssm-policy; source 2001:1337:5:2003::10; protocols { mld { interface all { version 2; static { group ff08::1; ssm-map ssm-map-ipv6; ospf { export exportstatic1; area { interface ge-1/0/3.0; interface ge-1/0/0.0; interface ge-1/0/1.0; interface fxp0.0; ospf3 { export exportstatic1; area { interface ge-1/0/3.0; interface ge-1/0/0.0; interface ge-1/0/1.0; pim { interface all { mode sparse; version 2; interface fxp0.0 { disable;

53 52 policy-options { policy-statement exportstatic1 { term exportstatic1 { from protocol static; then { external { type 1; accept; policy-statement ssm-policy { term A { from { route-filter /32 exact; then accept; term B { from { route-filter ff08::1/128 exact; then accept; then reject; security { policies { default-policy { permit-all; zones { security-zone All { host-inbound-traffic { system-services { all; protocols { all; interfaces { all;

54 53 Liite 4. Core-R5 konfiguraatio show configuration Last commit: :17:51 UTC by root version 12.1X44-D40.2; system { root-authentication { encrypted-password "$1$v0YaCGuz$7Dy9/WWQ/DMxxKqtUNQ2W1"; SECRET- DATA syslog { user * { any emergency; file messages { any any; authorization info; file interactive-commands { interactive-commands any; license { autoupdate { url interfaces { ge-1/0/0 { unit 0; ge-1/0/1 { unit 0 { family inet { address /24; family inet6 { address 2001:d074:12::2/126; ge-1/0/2 { unit 0; ge-1/0/3 { unit 0; ge-1/0/4 { unit 0; ge-1/0/5 { unit 0; ge-1/0/6 { unit 0 { family inet { address /27; family inet6 { address 2001:1337:5:5003::1/64; ge-1/0/7 { unit 0; lo0 { unit 0;

55 54 routing-options { rib inet6.0 { static { route ::/0 next-hop 2001:d074:12::1; static { route /0 next-hop ; multicast { ssm-map ssm-map-ipv4 { policy ssm-ipv4; source ; ssm-map ssm-map-ipv6 { policy ssm-policy; source 2001:1337:5:2003::10; protocols { igmp { interface all { version 3; ssm-map ssm-map-ipv4; mld { interface all { version 2; static { group ff08::1; ssm-map ssm-map-ipv6; pim { interface all { mode sparse; version 2; policy-options { policy-statement ssm-ipv4 { term A { from { route-filter /32 exact; then accept; policy-statement ssm-policy { term B { from { route-filter ff08::1/128 exact; then accept; security { policies { default-policy { permit-all; zones {

56 55 security-zone All { host-inbound-traffic { system-services { all; protocols { all; interfaces { all;

57 56 Liite 5. WG2-R1 konfiguraatio WG2-R1sh run Building configuration... Current configuration : 3549 bytes version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname WG2-R1 boot-start-marker boot-end-marker logging message-counter syslog no aaa new-model memory-size iomem 5 dot11 syslog ip source-route ip cef ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp pool VLAN10 network default-router ip dhcp pool VLAN20 network default-router ip dhcp pool VLAN30 network default-router no ip domain lookup ip multicast-routing ipv6 unicast-routing ipv6 cef ipv6 multicast-routing multilink bundle-name authenticated

58 voice-card 0 archive log config hidekeys interface GigabitEthernet0/0 no ip address duplex auto speed auto interface GigabitEthernet0/1 no ip address duplex auto speed auto interface GigabitEthernet0/1.10 encapsulation dot1q 10 ip address ip pim sparse-mode ip nat inside ip virtual-reassembly ip igmp version 3 ipv6 address FE80:1337:5:2001::1 link-local ipv6 address 2001:1337:5:2001::1/64 ipv6 enable ipv6 mld join-group FF08::1 interface GigabitEthernet0/1.20 encapsulation dot1q 20 ip address ip pim sparse-mode ip nat inside ip virtual-reassembly ip igmp version 3 ipv6 address FE80:1337:5:2002::1 link-local ipv6 address 2001:1337:5:2002::1/64 ipv6 enable ipv6 mld join-group FF08::1 interface GigabitEthernet0/1.30 encapsulation dot1q 30 ip address ip pim sparse-mode ip nat inside ip virtual-reassembly ip igmp version 3 ipv6 address FE80:1337:5:2003::1 link-local ipv6 address 2001:1337:5:2003::1/64 ipv6 enable ipv6 mld join-group FF08::1 57

59 interface GigabitEthernet0/1.250 encapsulation dot1q 250 ip address ipv6 address FE80:1337:5:2::1 link-local ipv6 enable interface Serial0/0/0 no ip address no fair-queue clock rate interface Serial0/0/1 no ip address interface FastEthernet0/1/0 no ip address duplex auto speed auto interface FastEthernet0/1/1 description To-Juniper-R2 no ip address duplex auto speed auto interface FastEthernet0/1/1.902 encapsulation dot1q 902 ip address ip pim sparse-mode ip nat outside ip virtual-reassembly ip igmp query-interval 125 ipv6 address 2001:D074:11::2/126 ipv6 mld join-group FF08::1 router ospf 1 log-adjacency-changes network area 0 network area 0 network area 0 ip forward-protocol nd ip route no ip http server no ip http secure-server ip pim ssm range ssm-range ip nat inside source static ip nat inside source static ip access-list standard ssm-range permit ipv6 route ::/0 2001:D074:11::1 ipv6 mld ssm-map enable ipv6 mld ssm-map static multicast 2001:1337:5:2003::10 no ipv6 mld ssm-map query dns ipv6 access-list multicast permit ipv6 any host FF08::1 58

60 control-plane line con 0 password cisco login line aux 0 line vty 0 4 password cisco login line vty 5 15 password cisco login scheduler allocate end 59

61 60 Liite 6. WG2-SW1 konfiguraatio WG2-SW1sh run Building configuration... Current configuration : 3609 bytes version 12.2 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname WG2-SW1 no aaa new-model ip subnet-zero no ip domain-lookup vtp mode transparent crypto pki trustpoint TP-self-signed enrollment selfsigned subject-name cn=ios-self-signed-certificate revocation-check none rsakeypair TP-self-signed crypto pki certificate chain TP-self-signed certificate self-signed A9 A D0609 2A F70D F30 2D F532D 53656C66 2D E65642D D E 170D A17 0D A F302D F532D53 656C662D E 65642D D F 300D0609 2A F70D D AD6F 11D9836F 9CAEF00C C7672D83 E F114BA2E 4A0AF7CC C2F8E22F C7A1302F 46830DD5 11C4A1F2 16F1AB C537 E7C849E5 2A15AC4B 914AB8EB 9DA2880A EA ED9B28C9 A0997B92 9C472DE9 9E46197D D81C577B 4B2F9D95 BCDD689A A44F A14C17 4A41D16C 6160B171 A537AAC3 2ABA2026 F70B8FC4 77F A F D FF FF D1104 0C300A D E301F D F2A40EF CA 9580E596 7F4C420D AD3E301D D 0E F2 A40EF CA95 80E5967F 4C420DAD 3E300D06 092A F70D EB7EC 470D9CE6 94AA25AA 09B5062A 5BD66C2E 1DCCC59D FB91EB7B E 052F05FB 96255DBF AE4F5470 F8E DD1 D379BB2B 4D9F7EE8 D29A4445 A461A E9BA 60AEB24B 7A203F61 F2CD9735 DBAB524A 04157C7E 73875EE2 9A969F9C DE C886A7 4C BFDD37EE 7AF9F6D5 7F79ACED 97F033DD quit spanning-tree mode pvst spanning-tree extend system-id vlan internal allocation policy ascending vlan 10 name VoIP vlan 20 name DATA vlan 30 name IPTV vlan 50

62 name Hallinta vlan 250 name Management interface GigabitEthernet0/1 description Trunk-to-R1 switchport trunk encapsulation dot1q switchport mode trunk interface GigabitEthernet0/2 description Trunk-to-SW2 switchport trunk encapsulation dot1q switchport mode trunk interface GigabitEthernet0/3 description Trunk-to-SW3 switchport trunk encapsulation dot1q switchport mode trunk interface GigabitEthernet0/4 switchport mode dynamic desirable interface GigabitEthernet0/5 switchport mode dynamic desirable interface GigabitEthernet0/6 switchport access vlan 30 switchport mode access interface GigabitEthernet0/7 switchport mode dynamic desirable interface GigabitEthernet0/8 switchport mode dynamic desirable interface GigabitEthernet0/9 switchport mode dynamic desirable interface GigabitEthernet0/10 switchport mode dynamic desirable interface GigabitEthernet0/11 switchport mode dynamic desirable interface GigabitEthernet0/12 switchport mode dynamic desirable interface Vlan1 no ip address interface Vlan250 description Management ip address ipv6 address 2001:1337:5:2::2/64 ipv6 address FE80:1337:5:2::2 link-local 61

63 ipv6 enable ip default-gateway ip classless ip http server ip http secure-server control-plane line con 0 password cisco logging synchronous login line vty 0 4 password cisco login line vty 5 15 password cisco login end 62

64 63 Liite 7. WG2-SW2 konfiguraatio WG2-SW2show run Building configuration... Current configuration : 1731 bytes version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption hostname WG2-SW2 ip subnet-zero no ip domain-lookup ip ssh time-out 120 ip ssh authentication-retries 3 vtp mode transparent spanning-tree mode pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id vlan 10 name VoIP vlan 20 name DATA vlan 30 name IPTV vlan 50 name Hallinta vlan 250 name Management interface FastEthernet0/1 description Trunk-to-SW1 switchport mode trunk interface FastEthernet0/2 interface FastEthernet0/3 interface FastEthernet0/4 interface FastEthernet0/5 interface FastEthernet0/6 interface FastEthernet0/7 interface FastEthernet0/8 interface FastEthernet0/9

65 interface FastEthernet0/10 interface FastEthernet0/11 interface FastEthernet0/12 interface FastEthernet0/13 interface FastEthernet0/14 interface FastEthernet0/15 interface FastEthernet0/16 interface FastEthernet0/17 interface FastEthernet0/18 interface FastEthernet0/19 interface FastEthernet0/20 interface FastEthernet0/21 switchport access vlan 10 switchport mode access interface FastEthernet0/22 interface FastEthernet0/23 interface FastEthernet0/24 interface Vlan1 no ip address no ip route-cache interface Vlan250 description Management ip address no ip route-cache ip default-gateway ip http server line con 0 line vty 5 15 end 64

66 65 Liite 8. WG2-SW3 konfiguraatio * WG2-SW3.1 show configuration Module devmgr configuration. configure snmp sysname "WG2-SW3" configure sys-recovery-level switch reset Module vlan configuration. configure vlan default delete ports all configure vr VR-Default delete ports 1-26 configure vr VR-Default add ports 1-26 configure vlan default delete ports 1-26 create vlan "DATA" configure vlan DATA tag 20 create vlan "IPTV" configure vlan IPTV tag 30 create vlan "Managerointi" configure vlan Managerointi tag 250 create vlan "VoIP" configure vlan VoIP tag 10 disable port 1 disable port 2 disable port 3 disable port 4 disable port 5 disable port 6 disable port 7 disable port 8 disable port 9 disable port 10 disable port 11 disable port 12 disable port 13 disable port 14 disable port 15 disable port 16 disable port 17 disable port 18 disable port 19 disable port 20 disable port 21 disable port 22 disable port 23 disable port 24 disable port 25 disable port 26 configure vlan DATA add ports 1-2 tagged configure vlan IPTV add ports 1-2 tagged configure vlan Managerointi add ports 1-2 tagged configure vlan VoIP add ports 1-2 tagged configure vlan Managerointi ipaddress configure Managerointi ipaddress fe80:1337:5:2::4/64 configure Managerointi ipaddress 2001:1337:5:2::4/64 Module fdb configuration. Module rtmgr configuration. configure iproute add default Module mcmgr configuration.